企业网络及应用层安全防护技术精要

　　3、垃圾邮件防护技术

　　随着Internet的发展，电子邮件作为一种通信方式逐渐普及。当前电子邮件的用户已经从科学和教育行业发展到了普通家庭中的用户，电子邮件传递的信息也从普通文本信息发展到包含声音、图像在内的多媒体信息。电子邮件的廉价和操作简便在给人们带来巨大便利的同时，也诱使有些人将之作为大量散发自己信息的工具，最终导致了互联网世界中垃圾邮件的泛滥。垃圾邮件问题已经极大地消耗了网络资源，并给人们带来了极大的不便。据中国互联网协会(ISC)2005年第一次反垃圾邮件状况调查显示，中国邮件用户2005年4月平均每人每天收到邮件16.8封，占收到邮件总数的60.87%。

　　(1)SMTP用户认证

　　这是目前最常见、最简单并且十分有效的方法。在邮件传送代理(Mail Transport Agent，MTA)上对来自本地网络以外的互联网的发信用户进行SMTP认证，仅允许通过认证的用户进行远程转发。这样既能够有效避免邮件传送代理服务器为垃圾邮件发送者所利用，又为出差在外或在家工作的员工提供了便利。如果不采取SMTP认证，则在不牺牲安全的前提下，设立面向互联网的Web邮件网关也是可行的。此外，如果SMTP服务和POP3服务集成在同一服务器上，在用户试图发信之前对其进行POP3访问验证就是一种更加安全的方法，目前，新浪等大型网站都相继采用了该功能，使得这些大型服务商的服务器被利用来发送垃圾邮件的概率大大降低，同时，在应用的时0候当前支持这种认证方式的邮件客户端程序比较出色的是FoxMail。

　　(2)逆向DNS解析

　　无论哪一种认证，其目的都是避免邮件传送代理服务器被垃圾邮件发送者所利用，但对于发送到本地的垃圾邮件仍然无可奈何。要解决这个问题，最简单有效的方法是对发送者的IP地址进行逆向名字解析，即通过DNS查询来判断发送者的IP与其声称的名字是否一致，例如，其声称的名字为pc.sina.com，而其连接地址为120.20.96.68，与其DNS记录不符，则予以拒收。这种方法可以有效过滤掉来自动态IP的垃圾邮件，对于某些使用动态域名的发送者，也可以根据实际情况进行屏蔽。但是上面这种方法对于借助Open Relay的垃圾邮件依然无效。对此，更进一步的技术是假设合法的用户只使用本域具有合法互联网名称的邮件传送代理服务器发送电子邮件。需要指出的是，逆向名字解析需要进行大量的DNS查询。这样，在网络中将会出现大量的UDP数据包。

　　(3)黑名单过滤

　　黑名单服务是基于用户投诉和采样积累而建立的、由域名或IP组成的数据库，最著名的是RBL、DCC和Razor等。这些数据库保存了频繁发送垃圾邮件的主机名字或IP地址，供MTA进行实时查询以决定是否拒收相应的邮件。简单地说，即数据库中保存的IP地址或者域名都应该是非法的，都应该被阻断。但是，目前各种黑名单数据库难以保证其正确性和及时性，一般该名单的形成需要一段时间的积累。例如，曾经一段时期，北美的RBL和DCC包含了我国大量的主机名字和IP地址，其中有些是早期的Open Relay造成的，有些则是由于误报造成的。但这些迟迟得不到纠正，在一定程度上阻碍了我国与北美地区的邮件联系，也妨碍了我国的用户使用这些黑名单服务。

　　(4)白名单过滤

　　白名单过滤是相对于上述的黑名单过滤来说的。它建立的数据库的内容和黑名单的一样，但是其性质是：库中存在的都是合法的，不应该被阻断。同样，该过滤方法存在的缺点与黑名单类似，也是更新和维护难以达到实时，一些正常的、不为系统白名单所收集的邮件有可能被阻断。从应用的角度来说，在小范围内使用白名单是比较成功的，可以通过在企业或者是公司的网关处通过一段时间内获取由内部发出的邮件的相关信息的办法来生成白名单。

　　(5)内容过滤

　　即使使用了前面诸多环节中的技术，仍然会有相当一部分垃圾邮件漏网。对此情况，目前最有效、最根本的方法是基于邮件标题或正文的内容过滤。其中比较简单的方法是，结合内容扫描引擎，根据垃圾邮件的常用标题语、垃圾邮件受益者的姓名、电话号码、Web地址等信息进行过滤。更加复杂但同时更具智能性的方法是，基于贝叶斯概率理论的统计方法、支持向量机(SVM)方法、人工神经网络、Winnow等方法所进行的内容过滤，这些方法的理论基础是通过对大量垃圾邮件中常见关键词等采用上述方法进行机器学习后分析后得出其分布的统计模型，并由此推算目标邮件是垃圾邮件的可能性。这些方法具有一定的自适应、自学习能力，目前已经得到了广泛的应用。最有名的垃圾邮件内容过滤是Spamassassin，它使用Perl语言实现，集成了以上两种过滤方法，可以与当前各种主流的MTA集成使用。内容过滤是以上所有各种方法中耗费计算资源最多、最有效的办法，在邮件流量较大的场合，需要配合高性能服务器使用。

　　4、病毒防护技术

　　对于当今网络来说，病毒和蠕虫成为了一对"孪生兄弟"，两者几乎总会同时出现，而且对企业网络及其应用系统造成的危害也是非常致命的。从病毒的发展过程我们可以看出病毒有如下的发展趋势：

　　◆病毒向有智能和有目的的方向发展

　　◆未来凡能造成重大危害的，一定是"蠕虫"。"蠕虫"的特征是快速地不断复制自身，以求在最短的时间内传播到最大范围。

　　◆病毒开始与黑客技术结合，他们的结合将会为世界带来无可估量的损失

　　◆从Sircam、"尼姆达"、"求职信"、"中文求职信"到"中国黑客"，这类病毒越来越向轻感染文件、重复制自身的方向发展。

　　◆病毒的大面积传播与网络的发展密不可分

　　◆基于分布式通信的病毒很可能在不久即将出现

　　◆未来病毒与反病毒之间比的就是速度，而增强对新病毒的反应和处理速度，将成为反病毒厂商的核心竞争力之一。

　　当今有几种典型反病毒技术：

　　◆特征值技术：所谓特征值查毒法，就是在获取病毒样本后，提取出其特征值，然后通过该特征值对各个文件或内存等进行扫描。如果发现这种特征值，这说明感染了这种病毒，然后针对性地解除病毒;

　　◆虚拟机技术：随着病毒技术的发展，加密技术渐渐成熟起来，很多病毒的特征都在那么容易提取。这样，虚拟机杀毒技术出现，所谓虚拟机技术，就是用软件先虚拟一套运行环境，让病毒先在该虚拟环境下运行，看看他的执行效果。由于加密的病毒在执行时最终还是要解密的。这样，在其解密之后我们可以通过特征值查毒法对其进行查杀;

　　◆启发式扫描技术：新病毒不断出现，传统的特征值查毒法完全不可能查出新出现的病毒。启发式扫描技术产生了。一个病毒总存在其与普通程序不一般的地方，譬如他会格式化硬盘，重定位，改回文件时间，修改文件大小，能够传染等等，通过在各个层面进行病毒属性的确定和加权，就能发现新的病毒;

　　◆计算机病毒疫苗："计算机病毒免疫"发源于生物免疫技术，就象为动物注射某种病毒的免疫疫苗后可以对此病毒产生自然抵抗能力一样。"计算机病毒免疫"就是一种具有类似特点的技术，它的设计目标是不依赖于病毒库的更新而让电脑具有对所有病毒的抵抗能力。普通防毒软件的最大缺点是总要等到病毒出现后才能制定出清除它的办法，并且还要用户及时的升级到新的病毒库。这就让病毒有更多的机会去蔓延传播，而病毒免疫则完全打破这种思路，它可以让电脑具有自然抵抗新病毒的能力，当有新病毒感染计算机系统时不用升级病毒库而同样可以侦测出它。