防御邮件病毒的VOF技术

防御邮件病毒的VOF技术
    VOF全称Virus Outbreak Filters，是防御爆发性邮件病毒的解决方案，由IronPort公司在SenderBase服务平台上开发。通过对邮件特征的技术分析，它可以在杀毒厂商没有捕获病毒代码之前的高危险时段中将可疑邮件隔离，这样可以最大限度地防御爆发性病毒对用户的侵害。目前，采用VOF技术的IronPort C系列邮件网关防火墙已经在最近的数次病毒爆发中成功对病毒邮件进行了预先隔离。

VOF的工作原理

其实当我们看到一封奇怪的电子邮件，它的发件人地址相当陌生，或者信件有着“I love you”一样敏感的名字，又或者其中夹带着可疑的附件，我们就会猜测这些奇怪的特征会不会意味着这是一封病毒邮件？而VOF系统正是基于这个原理，但是它会进行更为复杂的统计分析，通过识别邮件的重点特征来对潜在的病毒邮件进行隔离，在病毒确认之前努力保护用户网络不受侵害。

探寻VOF的原理，首先不得不提一下SenderBase服务，它是IronPort建立的邮件统计以及等级评定服务，并且免费开放。目前已经有相当多的用户参与其中，SenderBase时刻掌握着全球超过两万个网络的邮件发送情况，并且它还在对超过3000万个IP地址和60万个域的邮件行为进行等级评分。而收集如此众多的信息的目的就是在于从宏观上对全球性邮件异常情况进行统计分析，另一方面从微观上对单独的IP地址进行等级评定。

病毒邮件的传播通常就是通过含有恶意代码的附件攻击用户的电脑，并且进行自我复制，传播给更多的PC。而这样同一种病毒邮件往往就会有相近的用户名，或者携带相似的附件。VOF通过监测海量的邮件信息，一旦在短时间内，有大量的邮件采用同一标题，或者携带非常相似的附件。系统就会立刻对这一现象进行评定，一旦符合可疑邮件的判定标准，全球所有采用VOF技术的邮件防火墙网关都会立即实时得到指令，将这些邮件统一存放到网关的隔离区内，暂时阻止其进入内部网络。然后直到杀毒软件公司发布病毒的查杀程序后，邮件防火墙网关就会立刻升级杀毒模块，对隔离区内的邮件进行处理。另外，依据IP地址的历史信息，当一个邮件流量很少的IP突然有大量邮件行为的时候，VOF也会对这一反常现象进行分析处理，办法与前一种情况类似。

通常我们了解的防病毒网关，大多是工作在网络结构的第三层，它们仅仅是对网络中传输的包进行监测，给了很多病毒邮件蒙混过关的机会。而基于VOF方案的网关则是在应用层对邮件进行分析处理，对网络中的包重新还原，然后进行特征识别。这样处理的最大好处就是可以大大提升病毒筛选的效率。另外，因为VOF只针对邮件名称、附件进行监测，不涉及邮件内容，所以用户也无需担心个人隐私受到侵犯