基于异常检测的邮件病毒防治方案

本文提出了一种专门针对电子邮件病毒的异常检测策略。该策略不仅考虑了网络流量的异常，而且将邮件的行为异常也考虑进来，克服了现有策略的不足，且易于管理和维护。

一、现有病毒检测策略的不足

特征码匹配技术是当前反病毒软件的主流技术。这种检测策略有两个明显的缺点。一是这种策略具有滞后性。二是不能检测出新病毒及已有病毒的变种。

权限控制技术与特征码扫描技术相比，则要智能的多，它具有一定的未知病毒检测能力。但在具体实现上，该技术是相当复杂的。

完整性技术也能够发现未知的病毒，但是，它不能识别病毒类，不能报出病毒名称，该策略的误报率较高，且对隐蔽性病毒的检测无效。

基于网络的误用检测技术由于也是通过特征码匹配来识别病毒的，因而存在着不能对付未知或变种病毒的缺点。

二、基于异常检测的防治方案

我们知道，利用电子邮件进行传播的病毒在很大程度上依赖于用户打开感染邮件的概率。如果用户对于收到的感染邮件都置之不理，那么再厉害的病毒也无法得逞。因此，研究邮件病毒的防治策略，可以从病毒传播的根源上入手，即从控制用户打开感染邮件的概率入手。

本文以控制病毒邮件的传播速度和提示用户谨慎打开可疑邮件两个方面为突破口，研究基于网络的邮件病毒防治方案。该方案的基本架构如图1所示，在发送端的邮件服务器上，可疑邮件的发送速度被强制限制在一个可接受的范围内；当邮件到达目的接收端的服务器后，相应的风险评估模块会判断该邮件是否存在风险。若存在，则将风险提示信息连同邮件一起发送给用户；若不存在，则接收端服务器按正常程序处理该邮件。

2.1邮件限速机制

无论多么狡猾的邮件病毒，都以在最短的时间内传播最多的病毒为目标，当然也就不可避免地引起流量异常，从而暴露它病毒的身份。正常邮件与异常邮件在传播速度上的不同为研究病毒检测机制提供了一个很好的着手点。因此，本文在发送端服务器上新增了一个延迟队列用于减慢可疑邮件的发送速度。如图2所示。

电子邮件用户通过SM即发送端口将邮件发送给发送端邮件服务器。邮件服务器收到用户发来的邮件后将其放入缓冲队列中，等待发送。监测进程则负责对缓冲队列进行实时监控，分析相同邮件的发送速度\"邮件病毒企图大量发送携带病毒的邮件，导致缓冲队列迅速增长。通过检测相同邮件在单位时间内到达缓冲队列的情况，可以分析出邮件的发送速度\"若发送速度大于一个预先设定好的值，则认为该邮件是可疑的并将其放到延迟队列中。若邮件发送速度在一个允许的范围内，则认为该邮件是无恶意的，并将其放到发送队列中。调度进程在经过一段时间的延迟后会将暂存在延迟队列中的邮件取出，放到发送队列中，继续其正常的发送过程。

邮件限速机制的目地是最大限度地抑制病毒的传播速度且最小程度地影响正常的电子邮件使用。

2.2风险评估机制

单独依靠限制发送速度来抑制病毒的传播是不够的，病毒的速度虽然慢了，却没有从根本上清除。很多病毒都具有多种传播方式，一旦某台主机感染了病毒就可能以其它方式传播出去。因此，本文在接收端的邮件服务器上设置第二道关卡，进一步控制邮件病毒的传播。本文扩展了一个风险评估模块，用于计算所接收到的邮件的风险系数，并给出用户提示信息。如图3所示，风险评估模块主要由三个子模块组成，分别为传输延时评估模块、发信人身份认证模块和邮件转发次数记录模块。当SMTP分组到达目的邮件服务器时，上述三个子模块会对其进行病毒检测，并将检测结果送往风险级别评定模块，最后发送模块会将风险评定的详细信息连同邮件一起发送到用户的邮箱中。用户收到邮件后可根据邮件系统的风险提示决定是否要打开邮件。

（作者单位：宜宾职业技术学院）