反垃圾郵件新技術在新華網(wǎng)電子郵局中的應用研究

文｜申超

一、反垃圾郵件新技術在新華網(wǎng)電子郵局中的應用

垃圾郵件是指那些未經(jīng)用戶許可就強行發(fā)送到用戶郵箱中的任何電子郵件，包括商業(yè)廣告、政治言論、病毒郵件、惡意郵件（恐嚇欺詐，釣魚郵件等）。垃圾郵件一般具有批量發(fā)送的特征。垃圾郵件問題日趨嚴重，傳統(tǒng)的反垃圾郵件技術已無法應對各種層出不窮、變化多端的新型垃圾郵件。為了更好地防范新型垃圾郵件，提高病毒郵件、垃圾郵件的處理效率，需要將反垃圾郵件新技術應用到新華網(wǎng)電子郵局中。

1.云安全技術

由于傳統(tǒng)的反垃圾郵件技術不能對日新月異的網(wǎng)絡威脅提供充分保護，因此用戶需要一種全新的方式。云安全就是這樣一種應運而生的新的防護技術。針對大量復雜的惡意程序，傳統(tǒng)的人工分析處理技術已無法及時處理，必須采用全新的技術來突破防護的瓶頸。云計算是分布式計算技術的一種，是指通過網(wǎng)絡將龐大的運算處理程序自動分拆成無數(shù)個較小的子程序，再交由多臺服務器組成的龐大系統(tǒng)經(jīng)搜索、運算分析后將處理結果回傳給用戶。云安全是云計算的安全應用。云安全采用云計算技術將Internet中的網(wǎng)絡風險計算出來，從而實現(xiàn)有效阻止風險侵入的一種安全技術。云安全的計算原理是：任何一個Internet出現(xiàn)的惡意信息都擁有無數(shù)的自身屬性在述說其自身的惡意性。云安全不是直接獲取目標信息進行風險分析，而是采用收集目標信息的外在客觀屬性來進行分析，如信息所在網(wǎng)站的注冊時間、注冊人的信譽、用來發(fā)布DNS的信譽、同一URL是否曾發(fā)現(xiàn)病毒、站點IP是否經(jīng)常更改等50多種屬性，通過采用數(shù)學算法計算，就可以得出Internet上各種信息的安全分值，在用戶去訪問這些信息時安全子系統(tǒng)就可以自動提供安全保護。云安全和傳統(tǒng)方式相比，它可以在最新威脅到達用戶計算機或公司網(wǎng)絡之前對其予以攔截，從而讓安全變得更加智能。通過在云中按照不斷更新和相互關聯(lián)的威脅數(shù)據(jù)庫檢查URL、電子郵件，用戶始終都能夠立即獲得最新保護。云安全是一個由針對各種威脅提供全面保護的威脅情報技術和傳感器組成的全球性網(wǎng)絡——從惡意文件、垃圾郵件、網(wǎng)絡釣魚和網(wǎng)絡威脅到拒絕服務攻擊、網(wǎng)絡漏洞甚至數(shù)據(jù)丟失。云安全把在云中信譽、掃描和關聯(lián)技術集合起來，從而降低了對傳統(tǒng)的特征碼文件下載的依賴性。云安全技術應用于郵件網(wǎng)關系統(tǒng)，可以使80%的病毒和垃圾郵件在到達用戶的郵件系統(tǒng)之前被攔截掉，可以節(jié)省大量的網(wǎng)絡帶寬，同時有效減少傳統(tǒng)代碼比對模式對服務器系統(tǒng)資源的占用。這種從郵件源頭阻擋垃圾郵件的最新技術將是未來垃圾郵件防御的一個重要發(fā)展方向（見圖1）。

2.基于信譽的等級評分技術

新華網(wǎng)電子郵局防病毒反垃圾郵件網(wǎng)關所采用的信譽等級評分技術,是以云安全技術為基礎的一種評分規(guī)則。郵件信譽技術按照已知垃圾郵件源信譽數(shù)據(jù)庫以及可以實時評估電子郵件發(fā)送者信譽的動態(tài)服務來驗證IP地址或計算機地址。信譽評級通過對IP地址“行為”、活動范圍和以前的歷史進行不斷的分析而進行優(yōu)化。按照發(fā)送者的IP地址，惡意電子郵件將被攔截在云中，從而防止威脅到達網(wǎng)絡或用戶的計算機。信譽情況會動態(tài)更新，確保在清除被感染的僵尸后恢復良好信譽和合法電子郵件的接收。此技術運用到新華網(wǎng)電子郵局中，不僅提高了垃圾郵件防護效果，還大大提高了系統(tǒng)的性能。

3.優(yōu)化的RBL+檢測技術

RBL+是由國際反垃圾郵件組織MAPS維護的黑名單列表，目前已被國內外防垃圾郵件廠商作為基本的反垃圾郵件技術使用。RBL+包括:RBL (Realtime Black hole list)、DUL (Dialup Users List)、RSS (Relay Spam Stopper)、NML (Non-confirmed Mailing List)、OPS (Open Proxy Stopper)等數(shù)據(jù)庫。用于垃圾郵件過濾的傳統(tǒng)RBL服務是通過DNS協(xié)議來完成的，所以稱之為基于DNS的實時黑名單查詢。RBL服務會提高垃圾郵件的掃描效率和準確率，但也會導致DNS劫持。基本上所有的RBL服務都會返回特定的查詢結果，即每次都返回同樣的一個或幾個IP地址，而且這種IP地址通常都是特定的保留IP，不會出現(xiàn)在正常的DNS查詢中。基于這一原理，新華網(wǎng)電子郵局防病毒反垃圾郵件網(wǎng)關采用優(yōu)化的RBL+檢測技術，根據(jù)RBL服務所公示的查詢結果來設置RBL查詢，實現(xiàn)對RBL查詢結果的驗證，避免DNS劫持的發(fā)生。

圖1 云安全架構圖

4.自定義IP Profiler技術

IP Profiler運用客戶指定的自動化機制，阻截網(wǎng)絡釣魚垃圾郵件，并可防范賬號搜集，避免日后再收到網(wǎng)絡釣魚垃圾郵件。比如用戶可以設定在20個小時內，某個IP所發(fā)送的1000封郵件，其中有80%的郵件收件者數(shù)量超過100個，或收件者不存在的郵件數(shù)超過 10 個時，便可認為這個來源IP是賬號搜集攻擊者，且將這個IP封鎖。此技術的運用，還可定義出垃圾郵件、病毒郵件及郵件退回攻擊的IP封鎖原則。

5.智能型掃描陷阱病毒檢測技術

來自IDC的調查報告顯示，83%的病毒是通過電子郵件進行傳播的。智能型掃描陷阱病毒檢測技術（Intellitrap）是一項壓縮文件啟發(fā)式掃描技術。這種技術可以阻攔未知的“加殼”程序。“加殼”這種技術目前在許多病毒中使用，“加殼”后相當于給程序加了密，如果使用非通用或者非商業(yè)的加殼方法，就會導致防病毒軟件無法識別該程序，無法對其“脫殼”，也就無法對其進行處理。新華網(wǎng)電子郵局防病毒引擎可以識別常用軟件和商業(yè)軟件的加殼，加上“脫殼”掃描，因此不會造成常用軟件和商業(yè)軟件的誤報。Interllitrap針對網(wǎng)絡中存在的病毒特點，在識別bot類程序以及特殊文件結構上進行了增強，可以提高對未知病毒的識別率。Intellitrap技術配合黑白名單使用，可以有效增強郵件查毒能力，從而減少病毒通過電子郵件傳播的威脅。

6.空中抓毒技術

“空中抓毒”技術其基本設計理念是，在電腦病毒通過Internet入侵企業(yè)內部網(wǎng)絡的第一個入口處設置一道防毒屏障，使得電腦病毒在進入企業(yè)網(wǎng)絡之前即被阻截，這一技術創(chuàng)造性地提出“流處理技術”，即網(wǎng)關在病毒掃描的過程中，并發(fā)流病毒掃描引擎無需將應用會話中所有數(shù)據(jù)包在內部進行重組緩存并對文件進行掃描完成后再傳送到客戶端，而是接收數(shù)據(jù)包重組緩存和文件傳輸?shù)浇K端同時并行處理，只是在掃描完成前留下文件的幾個特定字節(jié)，在確認文件未被病毒感染后再發(fā)送到客戶端，使得網(wǎng)關防病毒處理能力得到很大的提升。

7.優(yōu)化的貝葉斯過濾器技術

貝葉斯過濾器通過使用貝葉斯邏輯分析法，對郵件的標題和內容進行分析，從而判斷郵件是否為垃圾郵件。貝葉斯分析法是在18世紀英國數(shù)學家托馬斯·貝葉斯的理論基礎上發(fā)展而來的。垃圾郵件一般包含有特定的文字，貝葉斯過濾器需要進行一段時間的學習，才能對垃圾郵件做出有效的攔截。貝葉斯過濾器會根據(jù)概率把郵件分類，比如：“信任郵件”、“可疑郵件”等。但是貝葉斯過濾器也有其局限性，因為惡意病毒或蠕蟲病毒有時會通過郵件附件的方式進行傳播，即使郵件的來源是安全的。新華網(wǎng)電子郵局防病毒反垃圾郵件網(wǎng)關的貝葉斯過濾器與Intellitrap等防病毒技術結合使用，協(xié)同工作，大大提高了算法的準確性。

8.Adversarial OCR技術

Adversarial OCR技術專為圖片垃圾郵件過濾而設計，在防護引擎中納入了所有的圖片變體。這樣一來，就不需要像傳統(tǒng)OCR技術那樣摘取全部圖片文字，只需要套用少數(shù)幾個核心特征文件就足以攔截所有的圖片變體。此外，對圖片和 HTML 內容進行分析，以判斷圖片的結構，然后套用啟發(fā)性規(guī)則來過濾這些電子郵件，將圖片變體范圍縮小為極少數(shù)幾個核心特征文件的方式，再加上目標啟發(fā)法，在遏制圖片垃圾郵件方面成效顯著。

9.基于規(guī)則的等級評分技術

新華網(wǎng)電子郵局反垃圾郵件網(wǎng)關使用一種基于全面規(guī)則集的等級評定技術來判斷某個電子郵件是否為垃圾郵件。針對每個電子郵件運行數(shù)百個規(guī)則，每個規(guī)則都有一個負的或正的分數(shù)。得負分數(shù)的規(guī)則表示郵件為合法郵件，得正分數(shù)的規(guī)則表示郵件為未經(jīng)請求的非法郵件。將所有分數(shù)相加，就能夠得出每一封郵件的“總體垃圾郵件級別”。采用遺傳算法對分數(shù)進行優(yōu)化處理，并使用數(shù)百萬個垃圾郵件和非垃圾郵件存檔信息來評估每一個規(guī)則的分數(shù)。在當今反垃圾郵件的斗爭中，評分技術起著基石的作用，它比傳統(tǒng)的匹配技術更準確。它可以檢測到郵件里很多細節(jié)部分，智能甄別，從而保證郵件識別的準確率。

二、系統(tǒng)部署

1.服務器虛擬化

虛擬化已成為當今信息產業(yè)領域最受矚目的新興概念。虛擬化是表示計算機資源的抽象方法，通過虛擬化可以用與訪問抽象前資源一致的方法訪問抽象后的資源。這種資源的抽象方法并不受實現(xiàn)、地理位置或底層資源的物理配置的限制。服務器虛擬化將系統(tǒng)虛擬化技術應用于服務器上，將一個服務器虛擬成若干個服務器使用。 新華網(wǎng)電子郵局系統(tǒng)采用VMware軟件將一臺服務器虛擬成兩臺服務器，提高了服務器的資源利用率，減少了需要管理和維護的物理服務器數(shù)量，降低了管理的復雜度，提高了運維效率。

2.硬件部署

為了提供更多的反垃圾郵件服務，將新華網(wǎng)電子郵局防病毒反垃圾郵件服務器部署在網(wǎng)關的位置。實現(xiàn)這種部署，只要將DNS中的MX記錄指向防病毒反垃圾郵件服務器即可。這樣一來所有發(fā)送到新華網(wǎng)電子郵局的郵件都會先投遞到郵件網(wǎng)關服務器，經(jīng)過病毒掃描和垃圾郵件過濾后，再投遞到郵件服務器。這樣一方面可以阻止外部病毒郵件的肆意傳入，另一方面可以實現(xiàn)對垃圾郵件的有效防范，提升整個新華網(wǎng)電子郵局的工作效率（見圖2）。

3.軟件部署

新華網(wǎng)電子郵局防病毒反垃圾郵件網(wǎng)關軟件采用模塊化功能管理結構，提供基于Web的管理模式。對于病毒、蠕蟲、木馬、間諜軟件的清除、垃圾郵件過濾、Web釣魚過濾、內容監(jiān)控及管理，能夠根據(jù)需求來配置不同的功能模塊。系統(tǒng)采用定制開發(fā)的精簡Linux專用加固平臺，從基礎系統(tǒng)平臺上保證了系統(tǒng)的安全性。

圖2 防病毒反垃圾郵件網(wǎng)關部署圖

防病毒和反垃圾郵件組件定時自動更新。系統(tǒng)可對郵件正文及附件中的病毒進行有效處理，對于可清除感染文件類病毒進行清除，對不具備清除屬性的蠕蟲、木馬類病毒直接進行刪除操作（見圖3）。

反垃圾郵件網(wǎng)關針對復雜多變的垃圾郵件問題，采用“雞尾酒”方式過濾垃圾郵件，具有過濾率高、誤判率小的特點。同時，對于不斷變化的垃圾郵件，能夠調整相應的過濾策略，以確保垃圾郵件的過濾效果。防病毒反垃圾郵件網(wǎng)關可以設置對所有郵件都生效的全局策略，也可以設置針對具體郵件路由的子策略。對于經(jīng)過過濾的郵件可以設置投遞、刪除、標記、隔離等處理措施（見圖4）。

對于新華網(wǎng)電子郵局這樣的多域郵件系統(tǒng)，可以實現(xiàn)基于域的投遞（見圖5）。

圖3 自動更新組件列表圖

圖4 策略列表圖

圖5 基于域的投遞圖

圖6 實時統(tǒng)計摘要圖

圖7 垃圾郵件摘要報表圖

4.統(tǒng)計報表

新華網(wǎng)電子郵局防病毒反垃圾郵件網(wǎng)關能夠通過Web界面提供詳盡的圖形化統(tǒng)計數(shù)據(jù)并且能導出數(shù)據(jù)。系統(tǒng)能提供各種報表，包括策略和通信流摘要報表、垃圾郵件摘要報表、垃圾郵件收件人排行榜報表、郵件病毒和惡意代碼排行榜報表等。通過設置，每天可以定時生成統(tǒng)計報表。報表采用圖文等形式直觀顯示，可以讓系統(tǒng)管理員及時了解防病毒反垃圾郵件網(wǎng)關的總體運行情況（見圖6）。

系統(tǒng)實時生成的統(tǒng)計摘要報表可以讓系統(tǒng)管理員對系統(tǒng)CPU、內存利用率等硬件指標，垃圾郵件掃描性能，各時間段處理的病毒或惡意代碼、垃圾郵件、間諜軟件、灰色軟件、釣魚程序等情況一目了然。

垃圾郵件摘要報表詳細給出了病毒或惡意代碼、間諜軟件、釣魚程序等各種掃描類型垃圾郵件的數(shù)量以及百分比，為策略調整提供了依據(jù)（見圖7）。

三、結束語

云安全等反垃圾郵件新技術應用于新華網(wǎng)電子郵局，為用戶提供了全面、智能、高效的郵件安全防護，有效阻止了各種通過郵件而傳送的病毒、垃圾郵件、間諜軟件、釣魚程序等復雜的混合式惡意攻擊，取得了很好的應用效果。■