一種多通道的客戶客戶客戶客戶防護系統(tǒng)

一種多通道的客戶客戶客戶客戶防護系統(tǒng)

隨著網(wǎng)絡應用的快速發(fā)展，電子郵件已越來越受到重視。據(jù)統(tǒng)計，自2000年7月以來，中國互聯(lián)網(wǎng)用戶已經(jīng)超過1700萬（cnic統(tǒng)計）。除了使用企業(yè)網(wǎng)絡的網(wǎng)絡消息傳輸系統(tǒng)外，網(wǎng)絡傳輸系統(tǒng)還達到了非常高的實際電子郵件用戶。因此，電子郵件的安全性已成為一個眾所周知的問題。1999年，melasart病毒在短時間內(nèi)感染并影響了1000家谷歌的電子郵件服務器和10000名互聯(lián)網(wǎng)用戶。2000年5月，iloveyou病毒在短時間內(nèi)在世界范圍內(nèi)傳播，造成許多無法彌補的損失。這些病毒都是通過電子郵件附件傳播的。同時，我也在網(wǎng)上發(fā)送了大量的病毒和電子郵件。大量電子郵件服務器被阻止并癱瘓。因此，有必要有效研究反惡意電子郵件、病毒和電子郵件泵技術，這是一個具有重大現(xiàn)實意義的問題。1短信和通信技術的傳播電子郵件在為人們提供極其方便的通信手段的同時也為病毒、黑客程序的傳播提供了重要的載體.一個帶有病毒的郵件可能在極短的時間內(nèi)傳遍一個企業(yè),甚至全世界,因而必須采取有效的措施對其進行防范.為了有效地扼制郵件炸彈、病毒和黑客程序通過電子郵件的傳播,有幾種不同的選擇:1)基于系統(tǒng)活動這是近年來出現(xiàn)并逐漸完善的動態(tài)病毒防治系統(tǒng)的主要功能之一.它的特點是針對一臺主機的文件系統(tǒng)活動進行監(jiān)視,一旦發(fā)現(xiàn)文件的改動或讀取文件的請求就立即檢測該文件是否受到感染,如果感染即予清除.然而各種不同的郵件系統(tǒng)中的暫存郵件有著不同格式,因而基于文件系統(tǒng)查殺病毒很難確保郵件中的病毒和其他惡意程序全部被發(fā)現(xiàn)、清除.2客戶端的過濾方式另一種可行的方案是針對特定的郵件客戶端程序(如POP3客戶),增加相應的過濾機制,濾除不希望收到的郵件,防止病毒和郵件炸彈的發(fā)作.事實上許多郵件客戶程序已經(jīng)部分地提供了這種方式.然而,客戶端過濾方式存在以下問題:(1)系統(tǒng)的安全依賴于每個郵件客戶都有完善的防護,任何一個客戶的安全漏洞都會使整個系統(tǒng)的安全性能降低;(2)客戶端的防護只能保證客戶端不被郵件中的病毒、黑客程序及郵件炸彈所影響,卻不能保證郵件服務系統(tǒng)不受其影響;(3)要在大量客戶端上進行安全策略的設置、管理比較困難,實施成本很大.3)基于電話的過濾與客戶端過濾相對應的,也可以在郵件服務器端設置過濾機制.由于電子郵件服務的處理方式是集中式的,對所有經(jīng)過系統(tǒng)的郵件進行監(jiān)視和處理的最佳地點在服務器端.在服務器端截獲郵件,采用特定安全策略進行過濾、處理,然后再放入用戶的郵箱中或發(fā)送給網(wǎng)上其他的服務器.這種方式相比之下開銷更小,既直接保障了郵件服務器的安全,避免出現(xiàn)整個郵件服務系統(tǒng)受攻擊而癱瘓的情況,又間接保障了郵件客戶不受郵件中的病毒、黑客程序和郵件炸彈的影響.綜合上述幾種方式的特點,在網(wǎng)絡中對可疑郵件進行過濾、堵截的最佳方法是在郵件服務器上加設郵件過濾器.2)發(fā)送電話的過濾、發(fā)送圖1顯示了一個郵件過濾器的結構示意圖.整個過濾器主要由三級過濾處理組成,即基于規(guī)則的過濾、郵件附件的分析過濾和郵件內(nèi)嵌腳本的過濾處理,此外為了支持對大量的已知病毒、黑客程序及二進制型郵件炸彈的檢測、清除,必須有專門的殺病毒引擎來進行相應的處理,這一部分可以采用成熟的殺病毒技術實現(xiàn).從功能上說,郵件過濾器主要包括以下幾個方面:2.1特征與預留設置的吻合這是目前已經(jīng)廣泛采用的傳統(tǒng)的郵件過濾方式.它通常是針對郵件中的特定特征進行檢測,一旦特征與預先設置的吻合,即根據(jù)預設邏輯對郵件進行處理,如刪除、退回、拒收、轉交管理員等.規(guī)則過濾系統(tǒng)中常用的規(guī)則有:1)發(fā)件人回復地址中包含特定地址;2)收件人抄收欄中包含特定地址;3)郵件標題中包含特定字符串;4)郵件內(nèi)容中包含特定字串或特定附件.2.2通信滲流對通信網(wǎng)絡的影響傳統(tǒng)意義上的郵件反病毒、反黑客主要是針對郵件附件的,只有附件才能帶有復雜的處理邏輯而可能被執(zhí)行(現(xiàn)有HTML格式郵件直接內(nèi)嵌腳本是一種例外),而郵件本身并不能被執(zhí)行.因此,郵件附件的分析及其病毒、黑客程序的檢測與清除是很重要的一個功能模塊,主要包括以下2個方面:1（1）消息格式的分解和組合目前Internet郵件一般都采用MIME編碼格式2（2）可疑部分的掃描因為郵件可以被徹底分解開,這里可以采用通用的殺病毒引擎對郵件的最小組成單元進行病毒、黑客程序的檢測與清除.2.3腳本型電話絡創(chuàng)新近年來,隨著各種腳本語言在網(wǎng)絡中越來越廣泛的應用及其能力的逐漸增強,使用腳本語言編寫的惡意程序也越來越多,這給Internet郵件系統(tǒng)帶來了空前的威脅.腳本型郵件炸彈和惡意程序的新特點決定了傳統(tǒng)殺病毒引擎不足以清除它們.需解決的問題有:主要是針對HTML格式的郵件中可直接嵌入Javascript和VBscript腳本,以及像MSWord文檔和LotusWordpro文檔這樣可嵌入VBA腳本的情況,必須能夠?qū)@樣的基本郵件組成部分進行進一步的分解,識別并提取其中的可執(zhí)行的腳本,交給掃描引擎.2)啟發(fā)式的識別算法與以往的二進制型病毒不同,文本型的腳本程序本身非常容易被改變,必須采用具有一定未知腳本識別能力的啟發(fā)式識別算法,才能達到一般安全防護的要求.事實上,郵件及其附件中的腳本程序通常不是郵件的必需部分,因而,可以將一切郵件內(nèi)嵌腳本濾除,這樣通常不會損害郵件的主要內(nèi)容,同時又提供了萬無一失的保護,以提供最高的安全性.3服務器電子郵件過濾系統(tǒng)的配置方法除了郵件過濾系統(tǒng)的功能結構之外,另一個值得關注的問題是如何將過濾系統(tǒng)部署到網(wǎng)絡上去.3.1)電話電話服務器第1種部署方式,也是最直觀的方式,就是提供具有專門的安全防護能力的郵件服務器.圖2給出了一種帶有安全防護能力的Internet郵件服務器的結構示意圖.在這里,郵件過濾器成為整個郵件服務器的一個組成部分,因而可能提供更高的處理效率、優(yōu)化的過濾策略.但是,存在很大的限制,即現(xiàn)有的郵件系統(tǒng)必須完全被替換,因而郵件系統(tǒng)的管理、維護方式不可避免地要發(fā)生變化.例如大量的郵件賬戶可能需要在新的系統(tǒng)上重新設置,這對于大規(guī)模的系統(tǒng)而言是非常困難的.3.2)特定電話服務器有一類郵件服務系統(tǒng)提供了對郵件進行預處理的開放接口,這使得開發(fā)針對特定郵件系統(tǒng)的過濾器插件成為可能.典型的例子如MSExchangeServer.Exchange系統(tǒng)支持標準的SMTP郵件,但同時它主要是一個專有的消息傳遞系統(tǒng),基于WindowsMAPI規(guī)范,而不是SMTP.在這個系統(tǒng)中,消息的傳遞、共享基于一種邏輯上的Folder結構.為了提供可定制的消息處理機制,Exchange支持針對特定邏輯Folder設置Customagent來處理指定的事件,這些事件包括消息的創(chuàng)建、修改、刪除等.ExchangeServer和Customagent之間的接口是由微軟定義的一個基于COM(componentobjectmodel)的調(diào)用接口.ExchangeServer的郵件過濾器插件與服務器的關系如圖3所示.采用針對特定郵件服務器的插件方式提供郵件過濾,對原有系統(tǒng)影響比較小,而且在支持標準SMTP郵件系統(tǒng)之外,還可以支持各種非SMTP的消息傳遞系統(tǒng)(如MSExchangeServer,LotusNotes等).同時由于插件本身是按照原有郵件服務器提供的擴展接口設計的,通?？梢蕴峁┍容^高的過濾效率,安全策略的設置也沒有什么限制.然而插件方式不是一個通用的解決方案,支持Exchange需要Exchange插件,支持Notes需要Notes插件,支持Sendmail需要Sendmail插件等等,況且有的郵件系統(tǒng)根本就沒有提供插件的擴展接口.3.3即時的網(wǎng)絡發(fā)送嚴格的說,基于嗅探器的郵件過濾器并不是真正的過濾器,因為它只能提供對問題郵件的告警,但不能對其進行進一步處理.嗅探器是從網(wǎng)絡上直接截獲數(shù)據(jù)包,并對其進行協(xié)議分析,從而得到需要處理的協(xié)議數(shù)據(jù),通常基于TCP之上的協(xié)議都可以采用這種方式進行分析.在這里,我們需要分析的協(xié)議是SMTP,從SMTP協(xié)議數(shù)據(jù)中直接得到正在傳輸?shù)泥]件內(nèi)容.如圖4所示,在原有郵件服務器的網(wǎng)絡接口上接入一網(wǎng)絡嗅探器(圖中虛線標出的部分),即可即時對網(wǎng)絡上傳遞的郵件內(nèi)容進行檢測.一旦發(fā)現(xiàn)含有惡意內(nèi)容的郵件,可向管理員收件人發(fā)件人報警.由于嗅探器的工作方式是一種完全被動的方式,所以這種方式對原有系統(tǒng)影響最小,完全對現(xiàn)有郵件系統(tǒng)透明,只要郵件系統(tǒng)所使用的郵件傳輸協(xié)議是已知的,就能做到實時的網(wǎng)絡郵件監(jiān)視;然而,被動監(jiān)視方式只能監(jiān)視郵件的傳輸,不能影響郵件的處理,因而不是真正意義上的郵件過濾器.3.4smtp過濾器Internet郵件系統(tǒng)使用標準的“簡單郵件傳輸協(xié)議”即SMTP進行郵件的傳遞圖5給出了一種基于SMTP過濾器系統(tǒng)的參考配置.通過將DNS的MX記錄由原先的郵件服務器調(diào)整為新增的郵件過濾器,將郵件過濾器的SMTP轉發(fā)路由設置到原先的郵件服務器,再將所有用戶的SMTP發(fā)信服務器設置為郵件過濾器,所有來自外部系統(tǒng)的郵件以及來自內(nèi)部郵件用戶的郵件都將首先被SMTP過濾器截獲,在進行預定的處理之后再轉發(fā)給原先的郵件服務器.前述的SMTP過濾器是作為單獨的主機進行配置的,這樣做可以支持任意的基于SMTP協(xié)議的郵件系統(tǒng).但是,這種支持不是透明的,必須對原有系統(tǒng)進行一些重新配置(郵箱不需要重配置).然而,SMTP協(xié)議的缺省TCP端口號是25,將原郵件服務器的SMTP服務器端口改為25以外的一個端口,將SMTP過濾器安裝在與原郵件服務器同一臺主機上,使其在標準SMTP服務端口25上監(jiān)聽,SMTP過濾器的郵件轉發(fā)路徑指向原郵件服務器的新的SMTP服務端口,如此,即可做到在不改變其他系統(tǒng)設置的情況下實現(xiàn)透明的SMTP過濾功能.我們發(fā)現(xiàn)絕大多數(shù)的SMTP郵件服務系統(tǒng)支持這種透明的過濾方式.基于SMTP過濾器的方式是一種通用的郵件過濾器的部署方式,它以網(wǎng)絡結構的重配置為手段從郵件服務器的外部插入SMTP郵件的過濾功能.這種方式也有它的弱點,一方面,郵件傳遞路徑的改變會降低郵件處理系統(tǒng)的吞吐量;另一方面,SMTP過濾器只能用于SMTP系統(tǒng),對一些采用專有協(xié)議的消息傳遞系統(tǒng)(MSExchange,LotusNotes等)無法支持.4電子郵件系統(tǒng)管理策略研制基于SMTP過濾器的,具有基于規(guī)則的、基于附件