邮件蠕虫防御系统的设计|蠕虫只能通过邮件传播

　　摘要:邮件蠕虫是蠕虫传播的一种常用方式,本文在分析了邮件蠕虫传播特点的基础上提出了一种邮件蠕虫的防御系统设计方案。并对系统的结构以及关键技术进行了阐述,并对ui未来进一步研究的工作提出了建议和设想。
　　关键词:邮件蠕虫传播模型 多层检测 流量分析
　　中图分类号:TP393文献标识码:A文章编号:1007-9416(2010)05-0000-00
　　
　　1 引言
　　邮件蠕虫是网络蠕虫的一种表现形式,主要通过电子邮件附件进行传播,其行为特征符合网络蠕虫的行为特征。目前很多蠕虫都把邮件作为其传播方式的一种,因而对邮件蠕虫的检测和防御有利于对网络蠕虫的检测和防御的研究。
　　
　　2 邮件蠕虫的传播特点
　　邮件蠕虫病毒是以电子邮件作为载体进行传播的,如Sobig、爱虫后门Lovegate等。一般来说,采用的传播模式为“获取邮件地址――发送邮件――感染邮件蠕虫病毒”。
　　(1)获取邮件地址: 和传统蠕虫的扫描模块对可传播主机进行确认的作用相同,邮件蠕虫病毒获取可传播的邮件地址是整个蠕虫病毒攻击过程的前提。(2)发送邮件: 根据STMP协议的定义,发送邮件模块发送邮件前需要选择一个邮件服务器地址。只有当指定的邮件服务器可用的时候,邮件蠕虫病毒才能够正常传播受感染的邮件。(3)感染病毒:当邮件用户打开邮件附件时,邮件所携带的蠕虫病毒会得以执行并且感染该主机,然后近一步的传播。
　　随着邮件蠕虫技术的不断发展,其传播模式也体现了新的特点:
　　(1)与黑客技术的结合。红色代码和Nimda的出现,标志着社会工程病毒的终结,和与黑客工具相结合的混合威胁的病毒的出现。这两种病毒都没有依靠传统的需要用户双击恶意附件才能感染的方式。这个混合病毒攻击的倾向,将模糊对于电脑蠕虫病毒的责任的界限。(2)与病毒技术的结合。越来越多的邮件蠕虫开始结合病毒技术,多态、变形得邮件蠕虫使单纯的杀毒软件防御面临极大的挑战。(3)与垃圾邮件的结合。许多近来的病毒和蠕虫使用了相似的技术以阻止收件人抛弃未阅读的邮件,并说服他们打开附件或者点击对网站的连接。例如以管理员名义发邮件、邮件题目的变化等。
　　
　　3 邮件蠕虫防御系统设计
　　本系统的主要防御对象是受保护邮件服务器及其用户,它的主要目的是能够过滤发送给受保护用户的有害电子邮件,并且可以主动发现最新出现的邮件蠕虫病毒并添加到病毒库中。此邮件安全防御系统中设想完成的功能如下: ①能够检测出邮件中所包含的已知病毒;②能够分离病毒,提交给邮件用户安全邮件;③发现病毒时,能够有效保护其它电子邮件用户。力求达到以下目标:系统性能较高,对正常邮件处理效率的影响较小;病毒的误报、漏报率较低;系统自身稳定性好、安全性高。
　　在系统防御需求及功能分析基础上,把邮件蠕虫病毒防御系统划分为以下 5个子系统(如图1所示):
　　3.1 邮件服务器
　　邮件服务器在经过防火墙过滤后,通过病毒库的病毒样本对邮件进行检测。通过检测可以将邮件划分为正常邮件、病毒邮件和可疑邮件3类。邮件服务器丢弃病毒邮件,且将正常邮件直接发送给接收用户,对于可疑邮件则提交给邮件分析子系统作进一步的分析检测。
　　3.2邮件分析子系统
　　邮件分析子系统对邮件服务器提交的可疑邮件进行进一步的分析。电子邮件的格式可以有两种:纯文本和超文本。 超文本( HTML )可以内嵌数种脚本语言,常见的就是VbsScript和JavaScript,很容易被蠕虫病毒恶意利用。对于邮件体中未被过滤掉的恶意脚本,通过邮件分析子系统进行检测。经检测安全的邮件体则会直接发送给最终接收者,经过过滤,可保障邮件体的安全性。
　　3.3邮件蠕虫病毒发现子系统
　　邮件蠕虫病毒发现子系统的主要功能是通过杀毒软件对可疑附件进行初步检测。通过杀毒软件可以已知的蠕虫病毒的检测,有些智能化的杀毒软件可以根据以前出现的某些病毒的一些特征对可以的附件进行检测。
　　3.4客户端安全防御
　　在客户端进行正确的设置减少绝大部分的邮件蠕虫的攻击,如漏洞定时更新、设置文件夹选项,显示文件名的扩展名。打开扩展名为VBS、SHS和PIF的邮件附件时予以提示和建议等。
　　3.5 关键技术
　　(1)附件剥离技术。由于绝大多数的基于垃圾邮件的蠕虫病毒都是通过附件对计算机进行感染的,如果能够将附件从邮件中分离出来,那么就可以有效地防止病毒感染受保护的邮件接收者的计算机。可疑邮件通过附件分离将附件传送到一个缓冲系统中,只发给收件人邮件体,并在邮件体内提供一个下载的链接地址。而在缓冲系统中可以对附件做单独的病毒检测。(2)采用多层检测技术。多层检测技术,即将邮件蠕虫的检测过程分为多个阶段。首先是外部的防火墙过滤,其次是服务器上的病毒库的对比检测;再次邮件接收子系统通过初步检测将邮件分为3类。正常邮件可以被直接传递给邮件的真正接收者,蠕虫邮件被过滤掉,而可疑邮件则需要进行下一层的检测过滤;当发给客户端的邮件,用户还可以根据自己的一些常识来避免染上一些恶意的邮件蠕虫病毒。(3)基于异常流量的检测技术。没有蠕虫与存在蠕虫时网络流量存在很明显的差异性。因此异常流量的判断也可以用做对邮件蠕虫的判断。基于流量的检测方法的难点在于各种参数的阈值的确定,这影响着检测结果的准确性,本系统中采用了按照蠕虫不同爆发时期(初期、中期、后期)流量明显不同的特点,分段设置阈值,减少了以往因为阈值设定平均造成的误报和漏报情况。并从一定程度上能够拦截、隔离部分未知的邮件蠕虫。
　　
　　4 结语
　　邮件蠕虫作为一种互联网高速发展下的一种新型病毒,对网络产生巨大危险,在防御上已经不再是由单独某一家厂商能解决的问题,需要网络安全公司、系统厂商、杀毒软件厂商以及用户的共同参与,构建全方位的防范体系,除此之外,建立一个可以自动发现、学习并且检测未知邮件蠕虫病毒的防御系统也是有待研究的问题。
　　
　　参考文献
　　[1] 曹麒麟,张千里.垃圾邮件与反垃圾邮件技术[M].北京:人民邮电出版社,2006(3).
　　[2] 张志斌,贾旺剩等译.恶意传播代码[M].北京:机械工业出版社,2004(6).
　　[3] 罗浩,方滨兴等.高速实时的一种邮件蠕虫异常检测模型[J].通信学报,2006.2.
　　[4] 邢长友,杨莉.网络蠕虫传播建模分析[J].电子科技大学学报,2007.6.
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文