文｜申超

一、反垃圾郵件新技術(shù)在新華網(wǎng)電子郵局中的應(yīng)用

垃圾郵件是指那些未經(jīng)用戶許可就強(qiáng)行發(fā)送到用戶郵箱中的任何電子郵件，包括商業(yè)廣告、政治言論、病毒郵件、惡意郵件（恐嚇欺詐，釣魚郵件等）。垃圾郵件一般具有批量發(fā)送的特征。垃圾郵件問題日趨嚴(yán)重，傳統(tǒng)的反垃圾郵件技術(shù)已無法應(yīng)對(duì)各種層出不窮、變化多端的新型垃圾郵件。為了更好地防范新型垃圾郵件，提高病毒郵件、垃圾郵件的處理效率，需要將反垃圾郵件新技術(shù)應(yīng)用到新華網(wǎng)電子郵局中。

1.云安全技術(shù)

由于傳統(tǒng)的反垃圾郵件技術(shù)不能對(duì)日新月異的網(wǎng)絡(luò)威脅提供充分保護(hù)，因此用戶需要一種全新的方式。云安全就是這樣一種應(yīng)運(yùn)而生的新的防護(hù)技術(shù)。針對(duì)大量復(fù)雜的惡意程序，傳統(tǒng)的人工分析處理技術(shù)已無法及時(shí)處理，必須采用全新的技術(shù)來突破防護(hù)的瓶頸。云計(jì)算是分布式計(jì)算技術(shù)的一種，是指通過網(wǎng)絡(luò)將龐大的運(yùn)算處理程序自動(dòng)分拆成無數(shù)個(gè)較小的子程序，再交由多臺(tái)服務(wù)器組成的龐大系統(tǒng)經(jīng)搜索、運(yùn)算分析后將處理結(jié)果回傳給用戶。云安全是云計(jì)算的安全應(yīng)用。云安全采用云計(jì)算技術(shù)將Internet中的網(wǎng)絡(luò)風(fēng)險(xiǎn)計(jì)算出來，從而實(shí)現(xiàn)有效阻止風(fēng)險(xiǎn)侵入的一種安全技術(shù)。云安全的計(jì)算原理是：任何一個(gè)Internet出現(xiàn)的惡意信息都擁有無數(shù)的自身屬性在述說其自身的惡意性。云安全不是直接獲取目標(biāo)信息進(jìn)行風(fēng)險(xiǎn)分析，而是采用收集目標(biāo)信息的外在客觀屬性來進(jìn)行分析，如信息所在網(wǎng)站的注冊(cè)時(shí)間、注冊(cè)人的信譽(yù)、用來發(fā)布DNS的信譽(yù)、同一URL是否曾發(fā)現(xiàn)病毒、站點(diǎn)IP是否經(jīng)常更改等50多種屬性，通過采用數(shù)學(xué)算法計(jì)算，就可以得出Internet上各種信息的安全分值，在用戶去訪問這些信息時(shí)安全子系統(tǒng)就可以自動(dòng)提供安全保護(hù)。云安全和傳統(tǒng)方式相比，它可以在最新威脅到達(dá)用戶計(jì)算機(jī)或公司網(wǎng)絡(luò)之前對(duì)其予以攔截，從而讓安全變得更加智能。通過在云中按照不斷更新和相互關(guān)聯(lián)的威脅數(shù)據(jù)庫檢查URL、電子郵件，用戶始終都能夠立即獲得最新保護(hù)。云安全是一個(gè)由針對(duì)各種威脅提供全面保護(hù)的威脅情報(bào)技術(shù)和傳感器組成的全球性網(wǎng)絡(luò)——從惡意文件、垃圾郵件、網(wǎng)絡(luò)釣魚和網(wǎng)絡(luò)威脅到拒絕服務(wù)攻擊、網(wǎng)絡(luò)漏洞甚至數(shù)據(jù)丟失。云安全把在云中信譽(yù)、掃描和關(guān)聯(lián)技術(shù)集合起來，從而降低了對(duì)傳統(tǒng)的特征碼文件下載的依賴性。云安全技術(shù)應(yīng)用于郵件網(wǎng)關(guān)系統(tǒng)，可以使80%的病毒和垃圾郵件在到達(dá)用戶的郵件系統(tǒng)之前被攔截掉，可以節(jié)省大量的網(wǎng)絡(luò)帶寬，同時(shí)有效減少傳統(tǒng)代碼比對(duì)模式對(duì)服務(wù)器系統(tǒng)資源的占用。這種從郵件源頭阻擋垃圾郵件的最新技術(shù)將是未來垃圾郵件防御的一個(gè)重要發(fā)展方向（見圖1）。

2.基于信譽(yù)的等級(jí)評(píng)分技術(shù)

新華網(wǎng)電子郵局防病毒反垃圾郵件網(wǎng)關(guān)所采用的信譽(yù)等級(jí)評(píng)分技術(shù),是以云安全技術(shù)為基礎(chǔ)的一種評(píng)分規(guī)則。郵件信譽(yù)技術(shù)按照已知垃圾郵件源信譽(yù)數(shù)據(jù)庫以及可以實(shí)時(shí)評(píng)估電子郵件發(fā)送者信譽(yù)的動(dòng)態(tài)服務(wù)來驗(yàn)證IP地址或計(jì)算機(jī)地址。信譽(yù)評(píng)級(jí)通過對(duì)IP地址“行為”、活動(dòng)范圍和以前的歷史進(jìn)行不斷的分析而進(jìn)行優(yōu)化。按照發(fā)送者的IP地址，惡意電子郵件將被攔截在云中，從而防止威脅到達(dá)網(wǎng)絡(luò)或用戶的計(jì)算機(jī)。信譽(yù)情況會(huì)動(dòng)態(tài)更新，確保在清除被感染的僵尸后恢復(fù)良好信譽(yù)和合法電子郵件的接收。此技術(shù)運(yùn)用到新華網(wǎng)電子郵局中，不僅提高了垃圾郵件防護(hù)效果，還大大提高了系統(tǒng)的性能。

3.優(yōu)化的RBL+檢測(cè)技術(shù)

RBL+是由國際反垃圾郵件組織MAPS維護(hù)的黑名單列表，目前已被國內(nèi)外防垃圾郵件廠商作為基本的反垃圾郵件技術(shù)使用。RBL+包括:RBL (Realtime Black hole list)、DUL (Dialup Users List)、RSS (Relay Spam Stopper)、NML (Non-confirmed Mailing List)、OPS (Open Proxy Stopper)等數(shù)據(jù)庫。用于垃圾郵件過濾的傳統(tǒng)RBL服務(wù)是通過DNS協(xié)議來完成的，所以稱之為基于DNS的實(shí)時(shí)黑名單查詢。RBL服務(wù)會(huì)提高垃圾郵件的掃描效率和準(zhǔn)確率，但也會(huì)導(dǎo)致DNS劫持。基本上所有的RBL服務(wù)都會(huì)返回特定的查詢結(jié)果，即每次都返回同樣的一個(gè)或幾個(gè)IP地址，而且這種IP地址通常都是特定的保留IP，不會(huì)出現(xiàn)在正常的DNS查詢中?；谶@一原理，新華網(wǎng)電子郵局防病毒反垃圾郵件網(wǎng)關(guān)采用優(yōu)化的RBL+檢測(cè)技術(shù)，根據(jù)RBL服務(wù)所公示的查詢結(jié)果來設(shè)置RBL查詢，實(shí)現(xiàn)對(duì)RBL查詢結(jié)果的驗(yàn)證，避免DNS劫持的發(fā)生。

圖1 云安全架構(gòu)圖

4.自定義IP Profiler技術(shù)

IP Profiler運(yùn)用客戶指定的自動(dòng)化機(jī)制，阻截網(wǎng)絡(luò)釣魚垃圾郵件，并可防范賬號(hào)搜集，避免日后再收到網(wǎng)絡(luò)釣魚垃圾郵件。比如用戶可以設(shè)定在20個(gè)小時(shí)內(nèi)，某個(gè)IP所發(fā)送的1000封郵件，其中有80%的郵件收件者數(shù)量超過100個(gè)，或收件者不存在的郵件數(shù)超過 10 個(gè)時(shí)，便可認(rèn)為這個(gè)來源IP是賬號(hào)搜集攻擊者，且將這個(gè)IP封鎖。此技術(shù)的運(yùn)用，還可定義出垃圾郵件、病毒郵件及郵件退回攻擊的IP封鎖原則。

5.智能型掃描陷阱病毒檢測(cè)技術(shù)

來自IDC的調(diào)查報(bào)告顯示，83%的病毒是通過電子郵件進(jìn)行傳播的。智能型掃描陷阱病毒檢測(cè)技術(shù)（Intellitrap）是一項(xiàng)壓縮文件啟發(fā)式掃描技術(shù)。這種技術(shù)可以阻攔未知的“加殼”程序?！凹託ぁ边@種技術(shù)目前在許多病毒中使用，“加殼”后相當(dāng)于給程序加了密，如果使用非通用或者非商業(yè)的加殼方法，就會(huì)導(dǎo)致防病毒軟件無法識(shí)別該程序，無法對(duì)其“脫殼”，也就無法對(duì)其進(jìn)行處理。新華網(wǎng)電子郵局防病毒引擎可以識(shí)別常用軟件和商業(yè)軟件的加殼，加上“脫殼”掃描，因此不會(huì)造成常用軟件和商業(yè)軟件的誤報(bào)。Interllitrap針對(duì)網(wǎng)絡(luò)中存在的病毒特點(diǎn)，在識(shí)別bot類程序以及特殊文件結(jié)構(gòu)上進(jìn)行了增強(qiáng)，可以提高對(duì)未知病毒的識(shí)別率。Intellitrap技術(shù)配合黑白名單使用，可以有效增強(qiáng)郵件查毒能力，從而減少病毒通過電子郵件傳播的威脅。

6.空中抓毒技術(shù)

“空中抓毒”技術(shù)其基本設(shè)計(jì)理念是，在電腦病毒通過Internet入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的第一個(gè)入口處設(shè)置一道防毒屏障，使得電腦病毒在進(jìn)入企業(yè)網(wǎng)絡(luò)之前即被阻截，這一技術(shù)創(chuàng)造性地提出“流處理技術(shù)”，即網(wǎng)關(guān)在病毒掃描的過程中，并發(fā)流病毒掃描引擎無需將應(yīng)用會(huì)話中所有數(shù)據(jù)包在內(nèi)部進(jìn)行重組緩存并對(duì)文件進(jìn)行掃描完成后再傳送到客戶端，而是接收數(shù)據(jù)包重組緩存和文件傳輸?shù)浇K端同時(shí)并行處理，只是在掃描完成前留下文件的幾個(gè)特定字節(jié)，在確認(rèn)文件未被病毒感染后再發(fā)送到客戶端，使得網(wǎng)關(guān)防病毒處理能力得到很大的提升。

7.優(yōu)化的貝葉斯過濾器技術(shù)

貝葉斯過濾器通過使用貝葉斯邏輯分析法，對(duì)郵件的標(biāo)題和內(nèi)容進(jìn)行分析，從而判斷郵件是否為垃圾郵件。貝葉斯分析法是在18世紀(jì)英國數(shù)學(xué)家托馬斯·貝葉斯的理論基礎(chǔ)上發(fā)展而來的。垃圾郵件一般包含有特定的文字，貝葉斯過濾器需要進(jìn)行一段時(shí)間的學(xué)習(xí)，才能對(duì)垃圾郵件做出有效的攔截。貝葉斯過濾器會(huì)根據(jù)概率把郵件分類，比如：“信任郵件”、“可疑郵件”等。但是貝葉斯過濾器也有其局限性，因?yàn)閻阂獠《净蛉湎x病毒有時(shí)會(huì)通過郵件附件的方式進(jìn)行傳播，即使郵件的來源是安全的。新華網(wǎng)電子郵局防病毒反垃圾郵件網(wǎng)關(guān)的貝葉斯過濾器與Intellitrap等防病毒技術(shù)結(jié)合使用，協(xié)同工作，大大提高了算法的準(zhǔn)確性。

8.Adversarial OCR技術(shù)

Adversarial OCR技術(shù)專為圖片垃圾郵件過濾而設(shè)計(jì)，在防護(hù)引擎中納入了所有的圖片變體。這樣一來，就不需要像傳統(tǒng)OCR技術(shù)那樣摘取全部圖片文字，只需要套用少數(shù)幾個(gè)核心特征文件就足以攔截所有的圖片變體。此外，對(duì)圖片和 HTML 內(nèi)容進(jìn)行分析，以判斷圖片的結(jié)構(gòu)，然后套用啟發(fā)性規(guī)則來過濾這些電子郵件，將圖片變體范圍縮小為極少數(shù)幾個(gè)核心特征文件的方式，再加上目標(biāo)啟發(fā)法，在遏制圖片垃圾郵件方面成效顯著。

9.基于規(guī)則的等級(jí)評(píng)分技術(shù)

新華網(wǎng)電子郵局反垃圾郵件網(wǎng)關(guān)使用一種基于全面規(guī)則集的等級(jí)評(píng)定技術(shù)來判斷某個(gè)電子郵件是否為垃圾郵件。針對(duì)每個(gè)電子郵件運(yùn)行數(shù)百個(gè)規(guī)則，每個(gè)規(guī)則都有一個(gè)負(fù)的或正的分?jǐn)?shù)。得負(fù)分?jǐn)?shù)的規(guī)則表示郵件為合法郵件，得正分?jǐn)?shù)的規(guī)則表示郵件為未經(jīng)請(qǐng)求的非法郵件。將所有分?jǐn)?shù)相加，就能夠得出每一封郵件的“總體垃圾郵件級(jí)別”。采用遺傳算法對(duì)分?jǐn)?shù)進(jìn)行優(yōu)化處理，并使用數(shù)百萬個(gè)垃圾郵件和非垃圾郵件存檔信息來評(píng)估每一個(gè)規(guī)則的分?jǐn)?shù)。在當(dāng)今反垃圾郵件的斗爭(zhēng)中，評(píng)分技術(shù)起著基石的作用，它比傳統(tǒng)的匹配技術(shù)更準(zhǔn)確。它可以檢測(cè)到郵件里很多細(xì)節(jié)部分，智能甄別，從而保證郵件識(shí)別的準(zhǔn)確率。

二、系統(tǒng)部署

1.服務(wù)器虛擬化

虛擬化已成為當(dāng)今信息產(chǎn)業(yè)領(lǐng)域最受矚目的新興概念。虛擬化是表示計(jì)算機(jī)資源的抽象方法，通過虛擬化可以用與訪問抽象前資源一致的方法訪問抽象后的資源。這種資源的抽象方法并不受實(shí)現(xiàn)、地理位置或底層資源的物理配置的限制。服務(wù)器虛擬化將系統(tǒng)虛擬化技術(shù)應(yīng)用于服務(wù)器上，將一個(gè)服務(wù)器虛擬成若干個(gè)服務(wù)器使用。 新華網(wǎng)電子郵局系統(tǒng)采用VMware軟件將一臺(tái)服務(wù)器虛擬成兩臺(tái)服務(wù)器，提高了服務(wù)器的資源利用率，減少了需要管理和維護(hù)的物理服務(wù)器數(shù)量，降低了管理的復(fù)雜度，提高了運(yùn)維效率。

2.硬件部署

為了提供更多的反垃圾郵件服務(wù)，將新華網(wǎng)電子郵局防病毒反垃圾郵件服務(wù)器部署在網(wǎng)關(guān)的位置。實(shí)現(xiàn)這種部署，只要將DNS中的MX記錄指向防病毒反垃圾郵件服務(wù)器即可。這樣一來所有發(fā)送到新華網(wǎng)電子郵局的郵件都會(huì)先投遞到郵件網(wǎng)關(guān)服務(wù)器，經(jīng)過病毒掃描和垃圾郵件過濾后，再投遞到郵件服務(wù)器。這樣一方面可以阻止外部病毒郵件的肆意傳入，另一方面可以實(shí)現(xiàn)對(duì)垃圾郵件的有效防范，提升整個(gè)新華網(wǎng)電子郵局的工作效率（見圖2）。

3.軟件部署

新華網(wǎng)電子郵局防病毒反垃圾郵件網(wǎng)關(guān)軟件采用模塊化功能管理結(jié)構(gòu)，提供基于Web的管理模式。對(duì)于病毒、蠕蟲、木馬、間諜軟件的清除、垃圾郵件過濾、Web釣魚過濾、內(nèi)容監(jiān)控及管理，能夠根據(jù)需求來配置不同的功能模塊。系統(tǒng)采用定制開發(fā)的精簡(jiǎn)Linux專用加固平臺(tái)，從基礎(chǔ)系統(tǒng)平臺(tái)上保證了系統(tǒng)的安全性。

圖2 防病毒反垃圾郵件網(wǎng)關(guān)部署圖

防病毒和反垃圾郵件組件定時(shí)自動(dòng)更新。系統(tǒng)可對(duì)郵件正文及附件中的病毒進(jìn)行有效處理，對(duì)于可清除感染文件類病毒進(jìn)行清除，對(duì)不具備清除屬性的蠕蟲、木馬類病毒直接進(jìn)行刪除操作（見圖3）。

反垃圾郵件網(wǎng)關(guān)針對(duì)復(fù)雜多變的垃圾郵件問題，采用“雞尾酒”方式過濾垃圾郵件，具有過濾率高、誤判率小的特點(diǎn)。同時(shí)，對(duì)于不斷變化的垃圾郵件，能夠調(diào)整相應(yīng)的過濾策略，以確保垃圾郵件的過濾效果。防病毒反垃圾郵件網(wǎng)關(guān)可以設(shè)置對(duì)所有郵件都生效的全局策略，也可以設(shè)置針對(duì)具體郵件路由的子策略。對(duì)于經(jīng)過過濾的郵件可以設(shè)置投遞、刪除、標(biāo)記、隔離等處理措施（見圖4）。

對(duì)于新華網(wǎng)電子郵局這樣的多域郵件系統(tǒng)，可以實(shí)現(xiàn)基于域的投遞（見圖5）。

圖3 自動(dòng)更新組件列表圖

圖4 策略列表圖

圖5 基于域的投遞圖

圖6 實(shí)時(shí)統(tǒng)計(jì)摘要圖

圖7 垃圾郵件摘要報(bào)表圖

4.統(tǒng)計(jì)報(bào)表

新華網(wǎng)電子郵局防病毒反垃圾郵件網(wǎng)關(guān)能夠通過Web界面提供詳盡的圖形化統(tǒng)計(jì)數(shù)據(jù)并且能導(dǎo)出數(shù)據(jù)。系統(tǒng)能提供各種報(bào)表，包括策略和通信流摘要報(bào)表、垃圾郵件摘要報(bào)表、垃圾郵件收件人排行榜報(bào)表、郵件病毒和惡意代碼排行榜報(bào)表等。通過設(shè)置，每天可以定時(shí)生成統(tǒng)計(jì)報(bào)表。報(bào)表采用圖文等形式直觀顯示，可以讓系統(tǒng)管理員及時(shí)了解防病毒反垃圾郵件網(wǎng)關(guān)的總體運(yùn)行情況（見圖6）。

系統(tǒng)實(shí)時(shí)生成的統(tǒng)計(jì)摘要報(bào)表可以讓系統(tǒng)管理員對(duì)系統(tǒng)CPU、內(nèi)存利用率等硬件指標(biāo)，垃圾郵件掃描性能，各時(shí)間段處理的病毒或惡意代碼、垃圾郵件、間諜軟件、灰色軟件、釣魚程序等情況一目了然。

垃圾郵件摘要報(bào)表詳細(xì)給出了病毒或惡意代碼、間諜軟件、釣魚程序等各種掃描類型垃圾郵件的數(shù)量以及百分比，為策略調(diào)整提供了依據(jù)（見圖7）。

三、結(jié)束語

云安全等反垃圾郵件新技術(shù)應(yīng)用于新華網(wǎng)電子郵局，為用戶提供了全面、智能、高效的郵件安全防護(hù)，有效阻止了各種通過郵件而傳送的病毒、垃圾郵件、間諜軟件、釣魚程序等復(fù)雜的混合式惡意攻擊，取得了很好的應(yīng)用效果?！?/p>