如图1所示,风险评估模块主要由三个子模块组成,分别为传输延时评估模块、发信人身份认证模块和邮件转发次数记录模块。当SMTP分组到达目的邮件服务器时,上述三个子模块会对其进行病毒检测,并将检测结果送往风险级别评定模块,最后发送模块会将风险评定的详细信息连同邮件一起发送到用户的邮箱中。用户收到邮件后可根据邮件系统的风险提示决定是否要打开邮件。
传输延时评估模块主要用于计算邮件在网络中的传输延时。若传输延时大于一个指定的值,则表明该邮件有可能曾被放入到延迟队列中,故该邮件是可疑的。若传输延时小于或等于指定的值,表明该邮件是正常的邮件。发信人身份认证模块用于判断邮件是来自用户熟悉的联系人还是来自陌生人。邮件病毒制造者为了收集到大量用于传播病毒的邮件地址,往往会将病毒发送给大量未知的邮件地址。若某一邮件地址不存在,则邮件系统会自动回复,告之发送者该地址不存在。利用邮件系统的礼貌性,病毒制造者能够快速地收集到大量有效的邮件地址。邮件转发记录模块用于记录同一封邮件在网络中转发的次数。正常情况下,一封邮件在网络中传输的次数为一,也就是说,当邮件到达其目的邮箱时,它的传输过程就结束了,该邮件不会再出现在网络中。然而,病毒邮件就不会仅仅满足于一次传播过程。当携带有病毒的邮件到达某一目的地址并感染了目的主机时,它会将病毒邮件大量复制并转发出去。因此,通过记录邮件在网络中的转发次数,可以将正常邮件与异常邮件区分开来。
三、结论
本文提出的基于异常检测策略的优点在于它不仅能够检测出新病毒,而且不需要花费大量的时间和空间去管理病毒特征库。克服了传统的基于特征码检测的缺陷,实现了智能的行为监控。风险提示机制将邮件的处理决定权留给用户。当用户收到带有风险提示信息的邮件后可通过其他方式来进一步确认邮件的可靠性。如:打电话给发件人确认。这样做既没有侵犯到用户的个人隐私,也较好地利用了人的行为在病毒控制中的作用,避免了邮件病毒检测与干预个人隐私的两难境地。当然,该策略也并非完美无瑕,它的缺点是检测存在着不确定性。因为这里的风险评估模块仅仅是给出邮件可能存在病毒的概率。基于特征码匹配的策略虽然对新病毒和病毒变种无能为力但是能够准确地检测出已知的病毒。因此,合理的设计方案是将上述两种策略结合起来实现邮件病毒的监控。
参考文献:
[1]徐莉、张士军,一种邮件服务器端邮件病毒防治方案.计算机应用与软件,2006(3).
[2]李江涛、韩臻,基于行为的病毒检测系统的设计与实现.计算机应用,2009(8).
论神经系统网络在入侵检测系统的应用
现代图书管理系统设计(C++代码)