方　智

摘要:當(dāng)前,利用網(wǎng)絡(luò)進(jìn)行傳播的病毒已成為互聯(lián)網(wǎng)最主要的威脅。任何一臺(tái)連入互聯(lián)網(wǎng)的計(jì)算機(jī)隨時(shí)都有可能感染病毒。因此,分析計(jì)算機(jī)病毒的傳播特性,進(jìn)而提出相應(yīng)的防御策略已成為網(wǎng)絡(luò)信息安全領(lǐng)域一個(gè)首要而緊迫的任務(wù)。

關(guān)鍵詞:計(jì)算機(jī)病毒 網(wǎng)絡(luò) 檢測(cè)

我們知道利用電子郵件進(jìn)行傳播的病毒在很大程度上依賴于用戶打開感染郵件的概率。如果用戶對(duì)于收到的感染郵件都置之不理,那么再厲害的病毒也無法得逞。因此,研究郵件病毒的防治策略,可以從病毒傳播的根源上入手,即從控制用戶打開感染郵件的概率入手。本文以控制病毒郵件的傳播速度和提示用戶謹(jǐn)慎打開可疑郵件兩個(gè)方面為突破口,研究基于網(wǎng)絡(luò)的郵件病毒防治方案。

一、利用郵件限速機(jī)制

無論多么狡猾的郵件病毒,都以在最短的時(shí)間內(nèi)傳播最多的病毒為目標(biāo),當(dāng)然也就不可避免地引起流量異常,從而暴露它病毒的身份。一般情況下,郵件用戶不會(huì)在短時(shí)間內(nèi)給所有聯(lián)系人都發(fā)送相同的郵件。當(dāng)然郵件群發(fā)是個(gè)特例。然而,病毒郵件會(huì)盡可能快地將郵件副本發(fā)送給大量不同的用戶,導(dǎo)致同一封郵件的發(fā)送速度大大超過了正常郵件的速度。例如,同一封郵件同時(shí)發(fā)往100個(gè)不同的護(hù),這顯然是病毒的惡意攻擊。正常郵件與異常郵件在傳播速度上的不同為研究病毒檢測(cè)機(jī)制提供了一個(gè)很好的著手點(diǎn)。因此,本文在發(fā)送端服務(wù)器上新增了一個(gè)延遲隊(duì)列用于減慢可疑郵件的發(fā)送速度。

電子郵件用戶通過SM即發(fā)送端口將郵件發(fā)送給發(fā)送端郵件服務(wù)器。郵件服務(wù)器收到用戶發(fā)來的郵件后將其放入緩沖隊(duì)列中,等待發(fā)送。監(jiān)測(cè)進(jìn)程則負(fù)責(zé)對(duì)緩沖隊(duì)列進(jìn)行實(shí)時(shí)監(jiān)控,分析相同郵件的發(fā)送速度。郵件病毒企圖大量發(fā)送攜帶病毒的郵件,導(dǎo)致緩沖隊(duì)列迅速增長(zhǎng)。通過檢測(cè)相同郵件在單位時(shí)間內(nèi)到達(dá)緩沖隊(duì)列的情況,可以分析出郵件的發(fā)送速度。若發(fā)送速度大于一個(gè)預(yù)先設(shè)定好的值,則認(rèn)為該郵件是可疑的并將其放到延遲隊(duì)列中。若郵件發(fā)送速度在一個(gè)允許的范圍內(nèi),則認(rèn)為該郵件是無惡意的,并將其放到發(fā)送隊(duì)列中。調(diào)度進(jìn)程在經(jīng)過一段時(shí)間的延遲后會(huì)將暫存在延遲隊(duì)列中的郵件取出,放到發(fā)送隊(duì)列中,繼續(xù)其正常的發(fā)送過程。

二、完善風(fēng)險(xiǎn)評(píng)估機(jī)制

單獨(dú)依靠限制發(fā)送速度來抑制病毒的傳播是不夠的,病毒的速度雖然慢了,卻沒有從根本上清除。很多病毒都具有多種傳播方式,一旦某臺(tái)主機(jī)感染了病毒就可能以其它方式傳播出去。如:“熊貓燒香”就是一種集多種傳播方式于一身的病毒。因此,本文在接收端的郵件服務(wù)器上設(shè)置第二道關(guān)卡,進(jìn)一步控制郵件病毒的傳播。本文擴(kuò)展了一個(gè)風(fēng)險(xiǎn)評(píng)估模塊,用于計(jì)算所接收到的郵件的風(fēng)險(xiǎn)系數(shù),并給出用戶提示信息。

如圖1所示,風(fēng)險(xiǎn)評(píng)估模塊主要由三個(gè)子模塊組成,分別為傳輸延時(shí)評(píng)估模塊、發(fā)信人身份認(rèn)證模塊和郵件轉(zhuǎn)發(fā)次數(shù)記錄模塊。當(dāng)SMTP分組到達(dá)目的郵件服務(wù)器時(shí),上述三個(gè)子模塊會(huì)對(duì)其進(jìn)行病毒檢測(cè),并將檢測(cè)結(jié)果送往風(fēng)險(xiǎn)級(jí)別評(píng)定模塊,最后發(fā)送模塊會(huì)將風(fēng)險(xiǎn)評(píng)定的詳細(xì)信息連同郵件一起發(fā)送到用戶的郵箱中。用戶收到郵件后可根據(jù)郵件系統(tǒng)的風(fēng)險(xiǎn)提示決定是否要打開郵件。

傳輸延時(shí)評(píng)估模塊主要用于計(jì)算郵件在網(wǎng)絡(luò)中的傳輸延時(shí)。若傳輸延時(shí)大于一個(gè)指定的值,則表明該郵件有可能曾被放入到延遲隊(duì)列中,故該郵件是可疑的。若傳輸延時(shí)小于或等于指定的值,表明該郵件是正常的郵件。發(fā)信人身份認(rèn)證模塊用于判斷郵件是來自用戶熟悉的聯(lián)系人還是來自陌生人。郵件病毒制造者為了收集到大量用于傳播病毒的郵件地址,往往會(huì)將病毒發(fā)送給大量未知的郵件地址。若某一郵件地址不存在,則郵件系統(tǒng)會(huì)自動(dòng)回復(fù),告之發(fā)送者該地址不存在。利用郵件系統(tǒng)的禮貌性,病毒制造者能夠快速地收集到大量有效的郵件地址。郵件轉(zhuǎn)發(fā)記錄模塊用于記錄同一封郵件在網(wǎng)絡(luò)中轉(zhuǎn)發(fā)的次數(shù)。正常情況下,一封郵件在網(wǎng)絡(luò)中傳輸?shù)拇螖?shù)為一,也就是說,當(dāng)郵件到達(dá)其目的郵箱時(shí),它的傳輸過程就結(jié)束了,該郵件不會(huì)再出現(xiàn)在網(wǎng)絡(luò)中。然而,病毒郵件就不會(huì)僅僅滿足于一次傳播過程。當(dāng)攜帶有病毒的郵件到達(dá)某一目的地址并感染了目的主機(jī)時(shí),它會(huì)將病毒郵件大量復(fù)制并轉(zhuǎn)發(fā)出去。因此,通過記錄郵件在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)次數(shù),可以將正常郵件與異常郵件區(qū)分開來。

三、結(jié)論

本文提出的基于異常檢測(cè)策略的優(yōu)點(diǎn)在于它不僅能夠檢測(cè)出新病毒,而且不需要花費(fèi)大量的時(shí)間和空間去管理病毒特征庫?？朔藗鹘y(tǒng)的基于特征碼檢測(cè)的缺陷,實(shí)現(xiàn)了智能的行為監(jiān)控。風(fēng)險(xiǎn)提示機(jī)制將郵件的處理決定權(quán)留給用戶。當(dāng)用戶收到帶有風(fēng)險(xiǎn)提示信息的郵件后可通過其他方式來進(jìn)一步確認(rèn)郵件的可靠性。如:打電話給發(fā)件人確認(rèn)。這樣做既沒有侵犯到用戶的個(gè)人隱私,也較好地利用了人的行為在病毒控制中的作用,避免了郵件病毒檢測(cè)與干預(yù)個(gè)人隱私的兩難境地。當(dāng)然,該策略也并非完美無瑕,它的缺點(diǎn)是檢測(cè)存在著不確定性。因?yàn)檫@里的風(fēng)險(xiǎn)評(píng)估模塊僅僅是給出郵件可能存在病毒的概率。基于特征碼匹配的策略雖然對(duì)新病毒和病毒變種無能為力但是能夠準(zhǔn)確地檢測(cè)出已知的病毒。因此,合理的設(shè)計(jì)方案是將上述兩種策略結(jié)合起來實(shí)現(xiàn)郵件病毒的監(jiān)控。

參考文獻(xiàn):

[1]徐莉、張士軍,一種郵件服務(wù)器端郵件病毒防治方案.計(jì)算機(jī)應(yīng)用與軟件,2006(3).

[2]李江濤、韓臻,基于行為的病毒檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)應(yīng)用,2009(8).