反垃圾邮件新技术在新华网电子邮局中的应用研究

文｜申超

一、反垃圾邮件新技术在新华网电子邮局中的应用

垃圾邮件是指那些未经用户许可就强行发送到用户邮箱中的任何电子邮件，包括商业广告、政治言论、病毒邮件、恶意邮件（恐吓欺诈，钓鱼邮件等）。垃圾邮件一般具有批量发送的特征。垃圾邮件问题日趋严重，传统的反垃圾邮件技术已无法应对各种层出不穷、变化多端的新型垃圾邮件。为了更好地防范新型垃圾邮件，提高病毒邮件、垃圾邮件的处理效率，需要将反垃圾邮件新技术应用到新华网电子邮局中。

1.云安全技术

由于传统的反垃圾邮件技术不能对日新月异的网络威胁提供充分保护，因此用户需要一种全新的方式。云安全就是这样一种应运而生的新的防护技术。针对大量复杂的恶意程序，传统的人工分析处理技术已无法及时处理，必须采用全新的技术来突破防护的瓶颈。云计算是分布式计算技术的一种，是指通过网络将庞大的运算处理程序自动分拆成无数个较小的子程序，再交由多台服务器组成的庞大系统经搜索、运算分析后将处理结果回传给用户。云安全是云计算的安全应用。云安全采用云计算技术将Internet中的网络风险计算出来，从而实现有效阻止风险侵入的一种安全技术。云安全的计算原理是：任何一个Internet出现的恶意信息都拥有无数的自身属性在述说其自身的恶意性。云安全不是直接获取目标信息进行风险分析，而是采用收集目标信息的外在客观属性来进行分析，如信息所在网站的注册时间、注册人的信誉、用来发布DNS的信誉、同一URL是否曾发现病毒、站点IP是否经常更改等50多种属性，通过采用数学算法计算，就可以得出Internet上各种信息的安全分值，在用户去访问这些信息时安全子系统就可以自动提供安全保护。云安全和传统方式相比，它可以在最新威胁到达用户计算机或公司网络之前对其予以拦截，从而让安全变得更加智能。通过在云中按照不断更新和相互关联的威胁数据库检查URL、电子邮件，用户始终都能够立即获得最新保护。云安全是一个由针对各种威胁提供全面保护的威胁情报技术和传感器组成的全球性网络——从恶意文件、垃圾邮件、网络钓鱼和网络威胁到拒绝服务攻击、网络漏洞甚至数据丢失。云安全把在云中信誉、扫描和关联技术集合起来，从而降低了对传统的特征码文件下载的依赖性。云安全技术应用于邮件网关系统，可以使80%的病毒和垃圾邮件在到达用户的邮件系统之前被拦截掉，可以节省大量的网络带宽，同时有效减少传统代码比对模式对服务器系统资源的占用。这种从邮件源头阻挡垃圾邮件的最新技术将是未来垃圾邮件防御的一个重要发展方向（见图1）。

2.基于信誉的等级评分技术

新华网电子邮局防病毒反垃圾邮件网关所采用的信誉等级评分技术,是以云安全技术为基础的一种评分规则。邮件信誉技术按照已知垃圾邮件源信誉数据库以及可以实时评估电子邮件发送者信誉的动态服务来验证IP地址或计算机地址。信誉评级通过对IP地址“行为”、活动范围和以前的历史进行不断的分析而进行优化。按照发送者的IP地址，恶意电子邮件将被拦截在云中，从而防止威胁到达网络或用户的计算机。信誉情况会动态更新，确保在清除被感染的僵尸后恢复良好信誉和合法电子邮件的接收。此技术运用到新华网电子邮局中，不仅提高了垃圾邮件防护效果，还大大提高了系统的性能。

3.优化的RBL+检测技术

RBL+是由国际反垃圾邮件组织MAPS维护的黑名单列表，目前已被国内外防垃圾邮件厂商作为基本的反垃圾邮件技术使用。RBL+包括:RBL (Realtime Black hole list)、DUL (Dialup Users List)、RSS (Relay Spam Stopper)、NML (Non-confirmed Mailing List)、OPS (Open Proxy Stopper)等数据库。用于垃圾邮件过滤的传统RBL服务是通过DNS协议来完成的，所以称之为基于DNS的实时黑名单查询。RBL服务会提高垃圾邮件的扫描效率和准确率，但也会导致DNS劫持。基本上所有的RBL服务都会返回特定的查询结果，即每次都返回同样的一个或几个IP地址，而且这种IP地址通常都是特定的保留IP，不会出现在正常的DNS查询中。基于这一原理，新华网电子邮局防病毒反垃圾邮件网关采用优化的RBL+检测技术，根据RBL服务所公示的查询结果来设置RBL查询，实现对RBL查询结果的验证，避免DNS劫持的发生。

图1 云安全架构图

4.自定义IP Profiler技术

IP Profiler运用客户指定的自动化机制，阻截网络钓鱼垃圾邮件，并可防范账号搜集，避免日后再收到网络钓鱼垃圾邮件。比如用户可以设定在20个小时内，某个IP所发送的1000封邮件，其中有80%的邮件收件者数量超过100个，或收件者不存在的邮件数超过 10 个时，便可认为这个来源IP是账号搜集攻击者，且将这个IP封锁。此技术的运用，还可定义出垃圾邮件、病毒邮件及邮件退回攻击的IP封锁原则。

5.智能型扫描陷阱病毒检测技术

来自IDC的调查报告显示，83%的病毒是通过电子邮件进行传播的。智能型扫描陷阱病毒检测技术（Intellitrap）是一项压缩文件启发式扫描技术。这种技术可以阻拦未知的“加壳”程序。“加壳”这种技术目前在许多病毒中使用，“加壳”后相当于给程序加了密，如果使用非通用或者非商业的加壳方法，就会导致防病毒软件无法识别该程序，无法对其“脱壳”，也就无法对其进行处理。新华网电子邮局防病毒引擎可以识别常用软件和商业软件的加壳，加上“脱壳”扫描，因此不会造成常用软件和商业软件的误报。Interllitrap针对网络中存在的病毒特点，在识别bot类程序以及特殊文件结构上进行了增强，可以提高对未知病毒的识别率。Intellitrap技术配合黑白名单使用，可以有效增强邮件查毒能力，从而减少病毒通过电子邮件传播的威胁。

6.空中抓毒技术

“空中抓毒”技术其基本设计理念是，在电脑病毒通过Internet入侵企业内部网络的第一个入口处设置一道防毒屏障，使得电脑病毒在进入企业网络之前即被阻截，这一技术创造性地提出“流处理技术”，即网关在病毒扫描的过程中，并发流病毒扫描引擎无需将应用会话中所有数据包在内部进行重组缓存并对文件进行扫描完成后再传送到客户端，而是接收数据包重组缓存和文件传输到终端同时并行处理，只是在扫描完成前留下文件的几个特定字节，在确认文件未被病毒感染后再发送到客户端，使得网关防病毒处理能力得到很大的提升。

7.优化的贝叶斯过滤器技术

贝叶斯过滤器通过使用贝叶斯逻辑分析法，对邮件的标题和内容进行分析，从而判断邮件是否为垃圾邮件。贝叶斯分析法是在18世纪英国数学家托马斯·贝叶斯的理论基础上发展而来的。垃圾邮件一般包含有特定的文字，贝叶斯过滤器需要进行一段时间的学习，才能对垃圾邮件做出有效的拦截。贝叶斯过滤器会根据概率把邮件分类，比如：“信任邮件”、“可疑邮件”等。但是贝叶斯过滤器也有其局限性，因为恶意病毒或蠕虫病毒有时会通过邮件附件的方式进行传播，即使邮件的来源是安全的。新华网电子邮局防病毒反垃圾邮件网关的贝叶斯过滤器与Intellitrap等防病毒技术结合使用，协同工作，大大提高了算法的准确性。

8.Adversarial OCR技术

Adversarial OCR技术专为图片垃圾邮件过滤而设计，在防护引擎中纳入了所有的图片变体。这样一来，就不需要像传统OCR技术那样摘取全部图片文字，只需要套用少数几个核心特征文件就足以拦截所有的图片变体。此外，对图片和 HTML 内容进行分析，以判断图片的结构，然后套用启发性规则来过滤这些电子邮件，将图片变体范围缩小为极少数几个核心特征文件的方式，再加上目标启发法，在遏制图片垃圾邮件方面成效显著。

9.基于规则的等级评分技术

新华网电子邮局反垃圾邮件网关使用一种基于全面规则集的等级评定技术来判断某个电子邮件是否为垃圾邮件。针对每个电子邮件运行数百个规则，每个规则都有一个负的或正的分数。得负分数的规则表示邮件为合法邮件，得正分数的规则表示邮件为未经请求的非法邮件。将所有分数相加，就能够得出每一封邮件的“总体垃圾邮件级别”。采用遗传算法对分数进行优化处理，并使用数百万个垃圾邮件和非垃圾邮件存档信息来评估每一个规则的分数。在当今反垃圾邮件的斗争中，评分技术起着基石的作用，它比传统的匹配技术更准确。它可以检测到邮件里很多细节部分，智能甄别，从而保证邮件识别的准确率。

二、系统部署

1.服务器虚拟化

虚拟化已成为当今信息产业领域最受瞩目的新兴概念。虚拟化是表示计算机资源的抽象方法，通过虚拟化可以用与访问抽象前资源一致的方法访问抽象后的资源。这种资源的抽象方法并不受实现、地理位置或底层资源的物理配置的限制。服务器虚拟化将系统虚拟化技术应用于服务器上，将一个服务器虚拟成若干个服务器使用。 新华网电子邮局系统采用VMware软件将一台服务器虚拟成两台服务器，提高了服务器的资源利用率，减少了需要管理和维护的物理服务器数量，降低了管理的复杂度，提高了运维效率。

2.硬件部署

为了提供更多的反垃圾邮件服务，将新华网电子邮局防病毒反垃圾邮件服务器部署在网关的位置。实现这种部署，只要将DNS中的MX记录指向防病毒反垃圾邮件服务器即可。这样一来所有发送到新华网电子邮局的邮件都会先投递到邮件网关服务器，经过病毒扫描和垃圾邮件过滤后，再投递到邮件服务器。这样一方面可以阻止外部病毒邮件的肆意传入，另一方面可以实现对垃圾邮件的有效防范，提升整个新华网电子邮局的工作效率（见图2）。

3.软件部署

新华网电子邮局防病毒反垃圾邮件网关软件采用模块化功能管理结构，提供基于Web的管理模式。对于病毒、蠕虫、木马、间谍软件的清除、垃圾邮件过滤、Web钓鱼过滤、内容监控及管理，能够根据需求来配置不同的功能模块。系统采用定制开发的精简Linux专用加固平台，从基础系统平台上保证了系统的安全性。

图2 防病毒反垃圾邮件网关部署图

防病毒和反垃圾邮件组件定时自动更新。系统可对邮件正文及附件中的病毒进行有效处理，对于可清除感染文件类病毒进行清除，对不具备清除属性的蠕虫、木马类病毒直接进行删除操作（见图3）。

反垃圾邮件网关针对复杂多变的垃圾邮件问题，采用“鸡尾酒”方式过滤垃圾邮件，具有过滤率高、误判率小的特点。同时，对于不断变化的垃圾邮件，能够调整相应的过滤策略，以确保垃圾邮件的过滤效果。防病毒反垃圾邮件网关可以设置对所有邮件都生效的全局策略，也可以设置针对具体邮件路由的子策略。对于经过过滤的邮件可以设置投递、删除、标记、隔离等处理措施（见图4）。

对于新华网电子邮局这样的多域邮件系统，可以实现基于域的投递（见图5）。

图3 自动更新组件列表图

图4 策略列表图

图5 基于域的投递图

图6 实时统计摘要图

图7 垃圾邮件摘要报表图

4.统计报表

新华网电子邮局防病毒反垃圾邮件网关能够通过Web界面提供详尽的图形化统计数据并且能导出数据。系统能提供各种报表，包括策略和通信流摘要报表、垃圾邮件摘要报表、垃圾邮件收件人排行榜报表、邮件病毒和恶意代码排行榜报表等。通过设置，每天可以定时生成统计报表。报表采用图文等形式直观显示，可以让系统管理员及时了解防病毒反垃圾邮件网关的总体运行情况（见图6）。

系统实时生成的统计摘要报表可以让系统管理员对系统CPU、内存利用率等硬件指标，垃圾邮件扫描性能，各时间段处理的病毒或恶意代码、垃圾邮件、间谍软件、灰色软件、钓鱼程序等情况一目了然。

垃圾邮件摘要报表详细给出了病毒或恶意代码、间谍软件、钓鱼程序等各种扫描类型垃圾邮件的数量以及百分比，为策略调整提供了依据（见图7）。

三、结束语

云安全等反垃圾邮件新技术应用于新华网电子邮局，为用户提供了全面、智能、高效的邮件安全防护，有效阻止了各种通过邮件而传送的病毒、垃圾邮件、间谍软件、钓鱼程序等复杂的混合式恶意攻击，取得了很好的应用效果。■