邮件反病毒网关技术研究与实现（已处理）

邮件反病毒网关技术研究与实现（已处理） 邮件反病毒网关技术研究与实现 电子科技大学 硕士学位论文 邮件反病毒网关技术研究与实现 姓名:肖航 申请学位级别:硕士 专业:计算机应用技术 指导教师:崔金钟 20090501摘要 摘要 电子邮件成为网络病毒传播的重要途径,隐藏在电子邮件中的计算机病毒常 常随着邮件一起传输,在一定条件下激活,进行破坏和传播,轻则占用资源、破 坏计算机系统部分功能,重则导致重要数据丢失、窃取机密信息、堵塞网络,带 来巨大的经济损失。邮件病毒对计算机系统和网络安全构成威胁,因此邮件系统 安全成为一个重要的问,有效的邮件病毒防护对于邮件系统的安全使用以及网 络安全至关重要,本文即致力于研究邮件反病毒网关技术。 文章研究了电子邮件系统的工作原理和邮件协议的流程特点,探讨了电 子邮件的结构与邮件的投递机制,描述了邮件病毒的机理,分析了当前邮件反病 毒技术的原理与特点。随后了一种邮件反病毒网关系统,分析了系统的功能 需求,对该系统的处理流程和总体结构进行设计,并对系统进行了模块划分,设 计了系统进行邮件病毒过滤的安全策略。 然后分析描述系统的邮件协议与数据分析模块的功能结构,详细设计了邮件 协议与数据分析模块的处理过程、子模块划分,设计抽象统一的协议分析的框架, 以及各个协议的具体命令状态码解析方法。对邮件结构进行探讨,引入了邮件结 构划分的方法。其次详细设计了邮件病毒过滤模块,其中重点设计了反病毒引擎 的流程结构、关键扫描算法以及病毒库的设计方法,并给出了部分功能的实现方 法。提出了系统测试方法,从功能和性能上进行测试,分析了系统的测试数据并 进行总结。 关键词:邮件病毒,反病毒技术,网关,反病毒引擎,扫描算法 . . , , , , ,., ? . , , , ? ?? . , , ,? . ? , ,, .. ., ?,. , . ,,? , : 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知,除了文中特以标注和致谢的地 方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名: 只 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁 盘,允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 保密的学位论文在解密后应遵守此规定 签名:第一章引言 第一章引言 .研究背景 电子邮件系统广泛应用于企业和个人用户,通过计算机网络传递电子邮件, 具有方便、快速、易保存等特点,有效地改善了人们的通信方式,对人们在工作 和生活中的信息传递与交流起到了巨大的推动作用。在人们充分享受电子邮件带 来的便利的同时,也时常受到邮件病毒的困扰,隐藏在电子邮件中的计算机病毒 常常随着邮件一起传输,在收件人打开邮件时被激活,进行破坏和传播,轻则占 用资源、破坏计算机系统部分功能,重则导致重要数据丢失、窃取机密信息、堵 塞网络,带来巨大的经济损失。据统计,近年来大部分计算机病毒都通过计算机 网络进行传播,而%以上的网络病毒都通过电子邮件系统传播,邮件病毒对计 算机系统和网络安全构成了巨大的威胁,因此邮件系统安全成为一个重要的问题, 有效的邮件病毒防护对于邮件系统的安全使用以及网络安全至关重要,本文即致 力于研究邮件反病毒网关技术。 .邮件反病毒技术历史与现状 电子邮件产生与世纪年代,随着计算机网络的普及逐渐得到广泛的应 用,操作方便、传递迅速、便于存储,成为一种重要的通信方式,然而电子邮件 系统本身存在诸多安全隐患,通信数据以明文进行传输,存在被截获、篡改、伪 造等安全风险,而邮件病毒则是其中最严重的安全威胁之一 。邮件病毒通常隐 藏于电子邮件附件中,当接收者打开邮件附件时发作,破坏本地计算机系统,并 进行自我复制,继续通过邮件系统或者通过其他网络途径进行传播,造成大面积 的计算机病毒感染与破坏,导致巨大的经济损失瞄。邮件病毒具有体积小、隐蔽 性强、传播速度快、难以检测、扩散范围大、清除困难等特征,对于电子邮件通 信的安全性构成了巨大的威胁,需要有效的邮件病毒反制技术来保证安全可靠的 电子邮件信息传输。 反病毒技术主要是通过一定的技术手段识别并清除计算机病毒,总体上可以 分为四个方面:检测、清除、预防、免疫弘。反病毒技术的主要难点在于病毒的电子科技人学硕士学位论文 检测,能够准确高效的检测出病毒是反病毒技术的关键。 早期的反病毒产品主要是针对特定病毒的专杀工具,只能防治特定的病毒, 缺乏通用性,一些所谓的通用反病毒软件也仅仅是将一些病毒专杀工具捆绑到一 起,其病毒防治功能也很有限。后来逐渐出现了通用防病毒产品,将病毒检测引 擎与病毒库分离,将大量病毒分析提取共同特征码生成病毒库,可以实时更新, 能检测出大部分病毒,效果比较理想。随着加密变形病毒、多态病毒的出现,传 统反病毒技术无能为力,产生了基于虚拟机的病毒检测技术。以软件模拟计算机 硬件设备如、内存等来虚拟执行文件,同时监测执行情况,经过分析能检测 出加密变形病毒,其特点是病毒检测准确性高,但耗费资源,同时速度相对比较 慢,因此其应用不如传统的病毒检测引擎技术广泛弘。后来还出现了行为监测法, 对程序执行期间的行为进行监测,如修改删除文件、获取权限、修改注册表等动 作,或者监控程序执行时的系统调用顺序,对比病毒判断,能监测出多态变 形病毒,病毒检出率高,但同时误报率也高,因而有待完善。病毒还有的通过压 缩、加壳等技术躲避监测,随之而产生了解压缩、脱壳等技术来对抗病毒。还有 通过校验来检测可能存在的病毒,其效果一般,也存在误报的可能性。 邮件反病毒技术在通用的反病毒技术基础上进行了一些改进,针对邮件病毒 的特点做了一些特殊的处理与优化,结合了邮件协议分析及邮件结构解析定位等 技术,检测邮件通信中的数据流量,对电子邮件内容进行扫描,发现并清除邮件 病毒。早期的邮件病毒主要利用电子邮件系统存在的一些漏洞,电子邮件协议本 身不完善,存在一些漏洞缺陷,特别是以明文传送的命令和状态码容易被截 获并 修改。这一时期的邮件反病毒技术主要是根据电子邮件系统的漏洞进行病毒扫描, 检测并清除邮件附件中发现的病毒。比较具有代表性的病毒“梅丽莎”病毒即出 现于这一时期,其背景是互联网络的普及和电子邮件的广泛使用,这一病毒通过 电子邮件和文件进行大量传播,发作当天就感染了数千台电脑,造成 巨大的经济损失,也暴露了电子邮件技术的不完善。年月“爱虫”病毒爆 发,通过 电子邮件系统进行大面积的传播,包含一个病毒附件, 一旦在微软邮件客户端上打开此邮件,系统就会自动复制并向地址簿中的所有邮 件地址发送这个病毒。其本质是一种病毒蠕虫,可以改写本地及网络硬盘上的某 些文件,用户机器染毒以后,邮件系统运行起来就会变慢,并且有可能导致整个 网络系统堵塞甚至崩溃。它在很短的时间内感染了全球无以计数的电脑,并且重 点攻击了具有较高资源价值的电脑系统,比如美国国防部、中情局、英国国会 等政府机构和多个跨国子公司的电子邮件系统均遭受攻击。“爱虫病毒的泛滥直 第一章引言 接导致了邮件病毒查杀技术的产生与发展,在国内以瑞星公司推出的系列反病毒 软件为标志。这一阶段的邮件反病毒即进行主动扫描,在客户端进行病毒扫描, 检测用户邮箱中的每一封电子邮件,找出可疑的文件并清除。 随着电子邮件系统的改进,改进后的邮件病毒很少仅仅依赖于邮件系统的漏 洞,而是利用一些欺骗手段、密码猜测等方式,引入了许多“社会工程学’’的方 法,使得邮件病毒更加复杂,难于检测。针对这些情况,对邮件通信的监控变得 重要,一些邮件反病毒产品对主机上的邮件通信进行监控,记录并分析命令行、 状态码、邮件信封、邮件头等部分,同时改进了邮件病毒扫描技术,加入了一些 智能的手段进行分析,比早期的反病毒技术有较大的提高。这一时期的邮件病毒 中多在主题正文或者附件名中包含一些具有吸引力的词语,比如“个人简历”,有 的还对附件进行伪装,将文件类型修改成为多媒体文件或者图片,利用用户的好 奇心,造成了大量的邮件病毒传播与破坏。与之伴随的还有大量的垃圾邮件 的出 现,对邮件用户造成了很大的麻烦一。邮件监控技术在这一时期逐渐发展,能在 服务器中转站上进行邮件监控,过滤带病毒的邮件,一些智能的邮件反病毒产品 还能根据病毒爆发的情况进行推测,在用户收到不明邮件时分析后给出建议,邮 件反病毒产品的位置也从以客户端为主发展到邮件服务器和客户端并重。 反病毒技术广泛应用后,计算机病毒的技术手段逐渐改进,借鉴了木马、后 门等新兴的技术手段,给反病毒技术带了更大的挑战;病毒程序自身也在不断改 进,能逃避反病毒软件的扫描识别,例如一些加密、变形病毒能轻易的通过病毒 扫描不被发现,一些加壳病毒也能轻易绕过反病毒软件,即使要发现此类病毒也 要耗费更多的软硬件资源和时间;与此同时,邮件病毒也加入了这些因素。邮件 病毒技术也向智能化、复合化的方向发展,变得更加难以检测【。对应的邮件反 病毒技术也在不断演化发展,加入了更多的智能分析判断,综合了多种发病毒措 施,在查杀病毒的同时检测木马、后门;反病毒引擎技术也在逐渐优化,引入 了 检测新型病毒的虚拟机技术、校验技术、间压缩与去壳技术等;有的产品还 对邮件通信连接进行分析、统计,评估预测病毒感染情况,针对邮件病毒的特点 限制邮件通信的一些功能来达到较高的安全性。对邮件通信的实时监控成为保障 邮件系统安全的一个有力手段,最近出现的很多防火墙、邮件网关、安全产品即 具备了邮件通信监控与病毒检测功能,能分析邮件协议中所有的可疑信息,查杀 病毒,邮件反病毒技术具备了智能化、全面化、集成化、高效率、灵活可变等特 。 人们对网络安全的逐渐重视和反病毒产品的改进使得病毒制造者们不断改善 电子科技大学硕士学位论文 病毒的制造技术,与此同时反病毒术也在不断的改进发展,这一矛与盾的较量中, 反病毒技术始终要稍微落后于病毒的发展,在新的病毒爆发以后,才会出现相应 的针对性强的反病毒产品【,。邮件病毒的更新换代也在向多元化发展,攻击的方 式越来越多样,结合木马、远程控制等技术,加密变形技术、加壳技术等使得病 毒更加隐蔽;邮件病毒的传播逐渐结合黑客技术,充分利用系统漏洞以及邮件 协议的脆弱性进行传播破坏;邮件病毒结合一些其他的攻击手段,占用网络资源, 降低系统速度,造成网络拥堵,这些情况的发生对邮件反病毒技术提出了更高的 要求。 .邮件反病毒技术发展需求 邮件病毒的技术手段越发智能化、多样化,给邮件系统安全带来巨大的挑战, 迫使邮件反病毒技术不断改进,需要有效的邮件反病毒技术手段来保障邮件安全。 邮件病毒逐渐与木马、后门、蠕虫、黑客等技术相结合,需要邮件反病毒技术具 有全面性,能检查出各种类型的病毒以及混合型病毒;病毒的智能化特点,需要 反病毒技术中具有智能判断的功能,结合邮件通信的命令与状态信息,综合邮件 内容进行判断,找出可疑部分,查杀病毒;许多邮件病毒具有了自我隐藏变形的 技术手段,加密、变形、加壳后的病毒难以通过常规手段发现,因此邮件反病 毒 技术需要具备解密、去壳、虚拟执行等功能以识别这些病毒,校验、行为监 测法、预判断等一些新技术手段可以用来检测未知病毒。如今邮件反病毒技术产 品化的同时,需要具有稳定、高效、准确等特点,进行协议针对性强的病毒查杀, 实现尽可能低的网络通信延迟,达到反病毒功能的透明化运行。 相对于以往主要应用于邮件客户端和邮件服务器的邮件反病毒技术,新的应 用需求应该更多地位于邮件通信的中间环节,比如在邮件服务器上部署反病毒系 统扫描来往的邮件,可以减轻通信两端的资源消耗【,;将客户端分散杀毒集中到 邮件服务器、上执行可以提高病毒扫描的效率,而在邮件服务器的前端部署 专用邮件反病毒网关来代替服务器端杀毒还以减轻服务器负担,增强邮件服务器 的稳定性并减少通信延迟;很多局域网需要在网络边界部署邮件反病毒设备保障 内部网络的邮件通信安全,有的还应用具有综合防护能力的防火墙等系统进行安 全防护。邮件反病毒技术手段的集成化、专用化是一个重要的发展方向,其应用 方式将向专用平台过渡,比如邮件网关,可以在专用嵌入式硬件平台上实现 对邮 件协议的通信流量进行监控,检测清除其中的邮件病毒。此类专用邮件网关设备 第一章引言 具有稳定高效,功能针对性强,灵活可配置,易于升级维护等特点,相对于其他 手段具有较大的优点,将会逐渐得到更为广泛的应用。 .主要研究内容 本文为自拟题目,围绕在企业参与开发的一种邮件安全产品的部分功能模块, 结合对相关理论技术进行分析研究,设计一种邮件邮件反病毒网关系统。首先通 过对电子邮件系统的工作原理进行分析,研究讨论电子邮件的结构特点与邮件的 投递机制,对邮件病毒的技术机理与特点进行研究分析,探讨当前主要的邮件反 病毒技术,分析各自的特点。随后设计了一种邮件反病毒网关系统,对该系统的 总体结构、流程进行分析设计。接着详细设计了其中的邮件协议与数据分析模块, 然后对邮件病毒过滤模块进行分析设计,并实现其部分子模块。最后从功能和性 能上对该系统进行测试,并进行总结分析。 .本文结构安排 本文可以分为邮件反病毒技术原理分析、基于邮件网关的邮件反病毒系统总 体设计、邮件协议与数据分析模块设计、邮件病毒过滤模块设计与实现这几 个部 分。 在接下来的第二章分析研究相关的理论技术基础,对电子邮件系统的结构和 协议、计算机病毒与病毒反制技术、邮件反病毒技术进行分析,讨论其原理 和特 点。 第三章通过分析邮件反病毒网关技术,从总体上设计一种邮件反病毒网关系 统,并设计该系统的结构模块、流程以及它的安全策略。 第四章详细设计邮件协议与数据分析模块,从功能描述、方案流程到邮件协 议分析模块的框架设计以及邮件数据分析的流程设计。 第五章设计邮件病毒过滤模块的详细策略与运行流程,设计并是是实现了其 中的反病毒引擎系统,设计相关的病毒特征库,随后还给出清除邮件病毒与 转发 邮件的实现方法。 第六章对整体系统进行功能和性能测试。 第七章对前面的内容进行总结。电子科技大学硕士学位论文 第二章相关理论基础 .邮件系统结构与邮件协议 ..邮件系统的结构 电子邮件,又称电子信箱、电子邮政,它是一种用电子手段提供信息交换的 通信方式。它是应用最广的服务,通过网络的电子邮件系统,用户可以 用非常低廉的价格,以非常快的速度,与世界上任何一个角落的网络用户联系, 这些电子邮件可以是文字、图象、声音等各种方式。同时,用户可以得到大量免 费的新闻、专题邮件,并实现轻松的信息搜索。由于电子邮件具有使用简易、投 递迅速、收费低廉,易于保存、全球畅通无阻等特点,它得到了广泛的应用,使 得人们的交流方式得到了极大的改变。 电子邮件系统采用电子手段传送信件、单据、资料等信息,它综合了电话通 信和邮政信件的特点,它传送信息的速度和电话一样快,又能象信件一样使收信 者在接收端收到文字记录。电子邮件系统还可以被称作“基于计算机的邮件报文 系统”,它承担从邮件进入系统到邮件到达目的地为止的全部处理过程。电子邮件 的传递不仅可利用电话网络,而且可利用其他已知的通信网络。通过电话网络传 递时,可利用其非高峰期间传送信息,这对于商业邮件具有特殊价值。由中央 计 算机和小型计算机控制的面向有限用户的电子系统可以看作是一种计算机会议系 统。 电子邮件的工作过程遵循客户.服务器模式例。每份电子邮件的发送都要涉及 到发送方与接收方,发送方式构成客户端,而接收方构成服务器,服务器含有众 多用户的电子信箱。发送方通过邮件客户程序,将编辑好的电子邮件向邮局服务 器服务器发送。邮局服务器识别接收者的地址,并向管理该地址的邮 件服务器服务器发送消息【?。邮件服务器识将消息存放在接收者的电 子信箱内,并告知接收者有新邮件到来。接收者通过邮件客户程序连接到服务器 后,就会看到服务器的通知,进而打开自己的电子信箱来查收邮件。 通常上的个人用户不能直接接收电子邮件,而是通过申请主机 第二章相关理论基础 的一个电子信箱,由主机负责电子邮件的接收。一旦有用户的电子邮件到来, 主机就将邮件移到用户的电子信箱内,并通知用户有新邮件。因此,当发送 一条电子邮件给一另一个客户时,电子邮件首先从用户计算机发送到主机, 再到,再到收件人的主机,最后到收件人的个人计算机。 用户通常不能直接在互联网上接收电子邮件,而是向邮件服务器申请一个电 子信箱,由邮件服务器负责电子邮件的接收。一旦有用户的电子邮件到来,邮件 服务器就将邮件移到用户的电子信箱内,并通知用户有新邮件??。因此,当发送 一条电子邮件给一另一个客户时,电子邮件首先从用户计算机发送到邮件服务器, 然后传递到互联网上,再到收件人的邮件服务器,最后到收件人的个人计算机。邮 件服务器起着“邮局”的作用,管理着众多用户的电子信箱。每个用户的电子信 箱实际上就是用户所申请的帐号名,占用邮件服务器一定容量的硬盘空间,由于 这一空间是有限的,因此用户要定期查收和阅读电子信箱中的邮件,以便腾出空 间来接收新的邮件。 在互联网上每位用户收发邮件,都需要具有一个特定的邮件地址,邮件地址 ., 如同自己的身份,一般而言邮件地址的格式如下: 此处的 为域名的标识符,也就是邮件必须要交付到的邮件目的地的 域名,为用户名,不能为中文,这个用户名在该域名的范围内是惟一的。 后面的部分作为后缀,一般则代表了该域名的性质,与地区的代码, 例如、.、、等等。 电子邮件系统由用户代理、消息传输代理组成,其结构如图.所示。电子 邮件系统用户代理,如 ,,至少应具有撰写、显示、处理 信件三项基本功能,能给用户提供方便的信件编辑环境,同时可以方便地在计算 机屏幕上显示来信及附件,收信人应能根据情况对来信进行处理,比如读后删除、 存盘、转发,分类保存等。即邮件传输代理,运行在邮件服务器上,在发方 邮件服务器和收方邮件服务器之间传递消息,它将邮件通过网络发送给对方服务 器,并从网络接收邮件【川。在后台运行,有以下两个功能:传送和接 收:按照客户/服务器方式工作;报告:将邮件传送的情况报告发信人,通 知发信人邮件已交付、被拒绝、丢失等结果。通常一封邮件被投递出去后,要经 过多个中继传递才能到达接收用户的邮件服务器?。。 在互联网上实现电子邮件传送,必须有服务器和服务器,使用 一个服务器来发送邮件,相当于将信投入邮筒;在使用电子邮件前,用户 需要在某个服务器上注册邮箱,然后才能通过所登记的服务器收取 信件:客户端的邮件客户程序,有多种邮件客户程序可使用,如 ’、、 等。 ,夕\ 』.。』上 圈 了自口什系统的站构电子邮件协议冈特网常用电了邮件坼议有和, ,来从邮件窖户邮件服务器传送邮件,或从个邮件服务器向另一 个邮件服务器发送邮件.这发送邮件的服务器也称服务器。.是个邮件榆索协议,用柬从邮件服务器接收邮件。这些接收邮 件的服务器也称服务器。有刚也用剑协议, ,?口丝特嘲消息访问协议,是类似于的邮什检索协议。 从若千方面改进了。运用,不必将邮件先下载钊本地计算机上,而是 在服务器上就可以浏览邮件,并进行移动、删除等操作。这样,邮件客户町以在 不同的计算机上登入到邮件服务器,对邮什进行列读。 协议规定,发送者是客户,接收者是服务器,两端进行交互,客 户向胀务器发送命令,服务器对命令进行响应回复状态信息。命令有先后顺序, 状态信息包括编码的数字和文本。部分命令如:一确认发送者; 一开始一个有事务处理,确认邮件发送者;一确认单独的邮件 接收者,此字段口』以有多个,将邮件发送到多个接收者;命令一发送者,始 发送多行文本,每行由试结束用只含有‘’的单独行结束文本。 协议提供对电子邮件信箱进行远程存取,允许用户的邮箱放置在某个 运行邮件服务器程序的邮件服务器.用户从其个人计算机对邮箱的内容进行访 问。和的顺序对话类似,一个命令对应个应菩。用户接收邮件时使片,第二章相关理论基础 需要身份验证,命令和应答都是码。应答以“或“.”开始, 应答可以包括多行。协议的工作机制为:在收信人邮箱所在的服务器上运 行两个服务器程序,邮件服务器程序,它用协议将信件接收到邮件 服务器上。服务器程序与收信人计算机中的客户程序通过协议 进行通信。服务器只有在用户输入鉴别信息如密码后才允许对邮箱进行 访问。 ,。 邮件协议是消息访问协议 和都采用客户/服务器模式工作,但它们有很大差别。协议规定: 从网上收到的邮件交付给一个共享邮件服务器,而个人计算机可以不定期地 连接 到这个共享服务器,将用户的邮件下载到个人计算机上。此后,所有对邮件的 处 理都在用户的计算机上进行。服务器就可以不再保存这些邮件。因此使用 允许用户脱机处理收到的信件。协议则规定:能使用户就像在本地一样, 操纵在接收邮件服务器上的邮箱,是一个联机协议。若用户需要打开某个邮 件时, 则该邮件才传到用户的计算机上。在用户未发出删除邮件的命令之前,服 务器邮箱中的邮件一直保存着,因此用户需要经常与服务器建立连接。 、和:和是用户从目的邮件服务器取回邮件时 使用的协议,是发信人的用户代理向源邮件服务器发送邮件,以及源邮件 服务器向目的邮件服务器发送邮件所使用的协议。 , :扩展,就是对标准协 议进行的扩展。是邮件服务器系统为了限制非本系统的正式用户利用本系统 散发 垃圾邮件或其它不当行为而开设的一项安全认证服务。在服务器上,发 送邮件需要对用户的身份进行验证。它与传统的方式相比,只是多了一道 用户身份的验证手续,验证之后的邮件发送过程与传统的方式一致。希望 使用的客户进程在与服务器建立连接时,先发送一条消息,而不 是消息。如果消息被拒收,证明服务器是一个标准的服务器, 客户机应该以通常方式进行邮件传输处理。如果消息被接接收,则客户机 与服务器按协议完成邮件的传输。 及其相关的的具有一些限制:不能传送可执行文 件或其它的二进制对象。仅限于传送位的码。会 拒绝超过一定长度的邮件。的某些实现并没有完全按照的 标准。因而又增加了协议,即多用途因特网邮件扩展,如图.所 示,它本身不是一个邮件协议,它没有改动,也不能代替,它只是 电子科技大学硕士学位论文 的一个扩展。允许通过发送非码数据。的主要包含 增加了个新的邮件头部字段,这些字段提供了有关邮件主体的信息。定义 了许多邮件内容的格式,对多媒体电子邮件的表示方法进行了标准化。定义 了传送编码,可对任何内容格式进行转换,而不会被邮件系统改变,可以实现 透 明传输。可以将看作是一组软件函数,这些函数将非码数据转换成 码数据,以及将码数据还原成非码数据。电子邮件体的编码 格式如图.所示。 图电子邮件体的编码格式示意 电子邮件由信封和内容两部分组成。电子邮件的传 输程序根据邮件信封上的信息来传送邮件。用户在从自己的邮箱中读取邮件 时才 能见到邮件的内容。在邮件的信封上,最重要的就是收信人的地址。一封电 子邮 件的信息如下所示: .. :.. :.. :测试邮件 . 一 :: :星期三,正文 邮件信息包含多个信头,一些信头由创建,一些由自动添加。 每个至少添加一个“:’’头。需要使用头中的一些 信息,一部分头在传送过程中被忽略。邮件内容分为邮件正文、附件以及一 些附 件信息,其中用分隔符隔开,有的带有一些格式信息如格式信息等,通常 邮件内容还会针对具体的字符集进行相应的编码处理。邮件附件可以包含多 种信 第二章相关理论基础 息,例如文字、图片、声音、视频等,通常邮件服务器会对投递的邮件大小进行 限制,一般为以内,相应的限制了附件文件的大小。 .计算机病毒与反病毒技术 ..计算机病毒的技术原理 在《中华人民共和国计算机信息系统安全保护 计算机病毒 》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能 或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代 码。 计算机病毒的产生有多种因素,计算机系统本身有许多漏洞,其脆弱性容 易利用来制造病毒,黑客制造病毒出于技术学习、恶作剧、报复心理等,一些企 业进行版权保护、或者特殊目的军事、计算机防病毒公司等都有可能编制计 算机病毒。计算机病毒的前身只不过是程序员闲来无事而编写的趣味程序;后来, 才发展出了诸如破坏文件、修改系统参数、干扰计算机的正常工作等的恶性病毒。 “病毒一词的正式出现在年月份的“科学美国人”里。“计算机病毒 与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所 固有的脆弱性,编制的具有特殊功能的程序。它与生物医学上的病毒同样有传染 和破坏的特性,因此这一名词是由生物医学上的“病毒概念引申而来。从广义 上讲,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。依据 此定义,诸如恶意代码,蠕虫,木马等均可称为计算机病毒。计算机病毒具有破 坏性、传染性、隐蔽性、寄生性、触发潜伏性等特点,其中传染性是计算机 病毒最重的特征。计算机病毒的能对计算机系统及用户造成多种危害,例如破坏 计算机系统功能,抢占计算机资源,影响计算机运行速度,破坏计算机硬盘信息, 堵塞计算机网络等,造成巨大的经济损失。计算机病毒的分类方式有很多种,比 如按照病毒存在的媒体分类,可分为:网络病毒、文件病毒、引导型病毒、混合 型病毒;按病毒传染的方法分为:引导扇区传染病毒和执行文件传染病毒;按病 毒算法分为:伴随型病毒、蠕虫型病毒、寄生型病毒、变形病毒等;按计算机病 毒的链结方式分为源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒;病 毒攻击操作系统有: 、 //、 //、、、等斗。随着反病毒技术的出现及 各种反病毒产品的普及,计算机病毒编制手段也在不断改进,病毒更新换代向多电子科技大学硕士学位论文 元化发展,更多地依赖网络进行传播,病毒攻击方式多样邮件,网页,局域网 等,同时利用系统漏洞成为病毒有力的传播方式,有的病毒还与黑客技术相融合, 利用木马、远程控制等手段窃取信息、控制远程计算机。 计算机病毒一般分为感染模块、触发模块、破坏模块表现模块、引导模块 主控模块四大模块【 ,如图.所示。 病毒引导模块 计 算 机 激活传染条件的判断部分 病 病毒传染模块 毒 传染功能的实施部分 程 序 激活破坏表现条件的判断部分 病毒表现破坏模块 破坏表现功能的实施部分 图计算机病毒的结构 以下是一种计算机病毒的内部代码结构: /导功能模块宰/ 将病毒程序寄生于宿主程序中; 加载计算机程序; 病毒程序随其宿主程序的运行进入系统; 传染功能模块; 破坏功能模块; 调用引导功能模块; : 寻找传染对象; 传染条件不满足 ; 满足传染条件; 调用传染功能模块; 满足破坏条件 激活病毒程序; 第二章相关理论基础 调用破坏功能模块; 运行宿主源程序; 不关机 : 关机; 计算机病毒一般有以下的技术特征:驻留内存、病毒变种、 技术、抗分析技术加密、反跟踪、隐蔽性病毒技术、多态性病毒 技术、插入型病毒技术、超级病毒技术、破坏性感染技术、病毒自动生产技术、 网络病毒技术等。 ..反病毒技术 计算机病毒的泛滥催生了反病毒技术的出现,各种不同的反病毒技术手段逐 渐出现,反病毒产品开始被部署到计算机系统中,防止病毒造成破坏。反病毒技 术的发展有一下几个阶段,第一代反病毒技术采取单纯的病毒特征诊断,但是对 加密、变形的新一代病毒无能为力。第二代反病毒技术采用静态广谱特征扫描技 术,可以检测变形病毒,但是误报率高,杀毒风险大。第三代反病毒技术将静态 扫描技术和动态仿真跟踪技术相结合。第四代反病毒技术基于多位校验和扫 描机理、启发式智能代码分析模块、动态数据还原模块能查出隐蔽性极强的压 缩加密文件中的病毒、内存解毒模块、自身免疫模块等先进解毒技术,能够较好 地完成查解毒的任务。第五代反病毒技术主要体现在反蠕虫病毒、恶意代码、邮 件病毒等技术。这一代反病毒技术作为一种整体解决方案出现,形成了包括漏洞 扫描、病毒查杀、实时监控、数据备份、个人防火墙等技术的立体病毒防治体系。 反病毒防治技术总的来说可以括成检测、清除、预防、免疫四个方面,其中 最重要的是病毒的检测,需要在正常文件代码中检测出计算机病毒。计算机病毒 的检测有多种手段,根据病毒感染正常程序后的一些特征来判断是否存在病毒。 通常有如下的方法:比较法、校验和、扫描法、行为监测法、行为感染试验法、 虚拟执行法、陷阱技术以及分析法等等。其中用得最多的即扫描法,用每一种病 毒体含有的特定字符串对被检测的对象进行扫描,如果在被检测对象 内部发现了某一种特定字符串,就表明发现了该字符串所代表的病毒。扫描器由 特征串和扫描算法两部分组成。病毒特征代码串的选择,电子科技大学硕士学位论文 一般是在仔细分析了程序之后才能选出最具代表性的,足以将该病毒区别于其他 病毒和该病毒的其他变种的代码串;特征串必须能将病毒与正常的非病毒程序区 分开,例如:给定特征串为“”,则“ 和“”都能被识别出来。代码串一般不包括病毒的数据区, 数据区是会经常变化的;在保持唯一性的前提下,特征代码长度尽可能的选得简 短一些,可以减少时间和空间开销。现在的反病毒产品普遍采用特征串扫描法, 它有较多的优点,当特征串选择得很好时,病毒检测软件让计算机用户使用 起来方便快速,对病毒了解不多的人也能用它来发现病毒;不用专门软件, 用编辑软件也能用特征串扫描法去检测特定病毒;可识别病毒的名称; 误报警率低。依据检测结果,可做杀毒处理;因而被广泛使用,在病毒检测 方面发挥重要的作用,能在较大程度上保障计算机系统与网络免受病毒的破坏。 但同时也存在一些不足,当被扫描的文件很长时,扫描需要消耗很多的时间,有 的时候不容易选出合适的特征串,有时还会产生误报情况,新病毒的特征串未加 入病毒代码库时,老版本的扫毒程序无法识别出新病毒,难以检测出变形变种病 毒,同时这种针对主机系统的扫描手段在网络上使用效率低。 当前出现了一些新的计算机病毒,采用多种手段伪装自己,躲避杀毒软件, 比如变形、变种、加密、加壳、宏病毒等,以及很多新型未知病毒,对网络与主 机系统安全造成了新的威胁,相对应的产生了许多新的反病毒技术,诸如虚拟机 技术、宏指纹识别技术、驱动程序技术、计算机监控技术、数字免疫系统、网络 病毒防御技术、立体防毒技术等。 .邮件反病毒技术分析 如今电子邮件成为计算机病毒的重要载体,病毒隐藏于电子邮件中,在接收 端打开邮件附件时即触发造成破坏,向地址簿旱的邮件地址发送带病毒邮件进行 广泛的传播,对企业及个人用户构成巨大的安全威胁。随着邮件病毒的流行,专 门的邮件反病毒技术产生并不断发展,部署到邮件系统的各个环节,保障邮件通 信安全。邮件反病毒技术针对邮件病毒,根据邮件病毒编制、传播、发作的一些 特征进行检测,发现电子邮件中可能存在的病毒。它在通用反病毒技术的基 础上 针对邮件病毒进行优化配置,分析邮件病毒的特征,检测邮件通信及邮件内容, 扫描可疑目标,综合了反病毒技术以及邮件协议分析技术、邮件格式分析等手段。 第二章相关理论基础 ..邮件病毒分析 邮件病毒主要是利用邮件系统的漏洞,例如客户端漏洞编写。邮件 病毒一般隐藏于邮件附件中,这种邮件病毒最为普遍,接收者打开邮件附件时即 发作,破坏本地计算机系统,并且复制自身,将带病毒的邮件发送到邮件地址簿 里的收件人,或者发送到邮件服务器上进行传播。“主页”和“爱虫 病毒即是典型的附件型病毒,它们带有文件,病毒的关键部 分即隐匿于其中。也有的隐藏在邮件本身,“欢乐时光”病毒就是 藏身于邮件体中,一旦用户将鼠标移至带毒邮件上,还未阅读邮件就已经中毒了; 一些病毒隐藏在格式的邮件正文中,如果在~些带预览功能的邮件客户端 上对邮件进行预览,也会导致系统中毒。除了具有通常病毒的传染性、潜伏性、 隐蔽性、寄生性、破坏性等特点,邮件病毒还有体积小、易于制造、难于检测、 传播快速、扩散范围大、清除困难、占用网络资源少等特点。与其他计算机病毒 一样,分为引导模块、感染模块、触发模块、破坏模块。其产生和传播方式则与 其他病毒有较大的差异,邮件病毒通常产生于邮件服务器或者邮件客户端,一些 潜伏于目标计算机上病毒,在用户通过邮件客户端发送邮件时寄生于待发送邮件 中,随着邮件一起传播出去。有的病毒被制造者刻意传送到邮件服务器上去,潜 伏于服务器上,感染进出的所有邮件,这种邮件病毒造成的破坏范围往往非常大。 还有的病毒制造者在局域网络边界监控网络通信,截取邮件数据后注入病毒代码 进行传播,这种病毒传播方式的技术难度较大。邮件病毒大多通过邮件附件进行 传播,通过在附件文件中添加病毒文件,然后修正邮件长度字段即完成病毒的寄 生。病毒通常是可执行文件,也有部分是网页文件、压缩文件或者宏病毒等,还 有少部分隐藏于图片、音频文件中更加难于检测,这些邮件病毒的发作通常要在 附件被打开时才进行;一些病毒以控件的形式寄生于带格式的邮件中,只 要接收端以格式预览邮件即会引发病毒发作。邮件病毒制造者常常在网络 上发送大量标题带有诱惑性词语的邮件,如广告、招聘信息等来诱使用户打开这 些附件含有病毒的陌生邮件,一旦发作即破坏目标计算机系统,并自我复制大量 传播,在受感染计算机上将带毒邮件发送给客户端邮件地址簿里的收件人,这些 收件人接收到熟悉地址发来的邮件时往往缺乏警觉,随意打开邮件,造成病毒的 大面积传播。 。 电子科技大学硕士学位论文 ..邮件反病毒技术原理 。。早期的反病毒 邮件反病毒技术分为四个方面:检测、清除、预防、免疫【 产品主要是针对特定病毒的专杀工具,只能防治特定的病毒,缺乏通用性,一些 所谓的通用反病毒软件也仅仅是将一些病毒专杀工具捆绑到一起,其病毒防治功 能也很有限。后来逐渐出现了通用防病毒产品,将病毒检测引擎与病毒库分离, 将大量病毒分析提取共同特征码生成病毒库,可以实时更新,能检测出大部分病 毒,效果比较理想。随着加密变形病毒、多态病毒的出现,传统反病毒技术无能 为力,产生了基于虚拟机的病毒检测技术。以软件模拟计算机硬件设备如、 内存等来虚拟执行文件,同时监测执行情况,经过分析能检测出加密变形病毒, 其特点是病毒检测准确性高,但耗费资源,同时速度相对比较慢,因此其应用不 如传统的病毒检测引擎技术广泛。后来还出现了行为监测法,对程序执行期间的 行为进行监测,如修改删除文件、获取权限、修改注册表等动作,或者监控程序 执行时的系统调用顺序,对比病毒判断标准,能监测出多态变形病毒,病毒检出 率高,但同时误报率也高,因而有待完善。病毒还有的通过压缩、加壳等技术躲 避监测,随之而产生了解压缩、脱壳等技术来对抗病毒。还有通过校验来检 测可能存在的病毒,其效果一般,也存在误报的可能性。 邮件反病毒技术针对邮件病毒做了一些特殊的优化配置,结合邮件结构解析 定位技术,在邮件数据流中提取邮件数据并还原为原始邮件文件,交由病毒检测 引擎进行检测,有的邮件反病毒产品还检测邮件协议通信,分析命令状态码、连 接状态等,进行更为全面的检测。邮件服务器上大多附带有杀毒工具,用以检测 邮件病毒;一些邮件客户端也带有病毒检测软件防治病毒。针对邮件病毒体积较 小、隐藏于邮件附件,通常是可执行文件、经过压缩或者加密,附带邮件自动传 播机制等特点,邮件反病毒引擎作了特别的优化配置,提高其检测准确度与效率, 基本上能检测出大部分病毒。检测出病毒后需清除带病毒附件,通常是删除这部 分代码,同时需要修改邮件头中的邮件长度字段以及邮件体中的附件边界字段, 然后将带格式邮件还原为邮件数据流,一般还要经过邮件编码解码过程。邮件病 毒也可以通过一些安全策略进行预防,无需病毒检测,以损失部分邮件系统功能 的代价取得较高的安全性,比如丢弃来源不明的邮件,丢弃含可疑标题的邮件、 禁止打开可疑的邮件附件,丢弃含加密附件的邮件、禁止客户端预览格式 的邮件,这些安全措施往往以较小的代价在一定程度上保护邮件系统的安 全。 第二章相关理论基础 ..邮件反病毒产品的应用 邮件反病毒产品一般部署在邮件客户端计算机、邮件服务器上,有的也在内 外网络边界进行邮件病毒防治。客户端计算机进行邮件病毒扫描,可以防治接收 到带病毒的邮件,同时也能防止潜在的邮件病毒通过此客户端进一步传播,在一 定程度上能实现客户端邮件系统的安全,但是效果有限,并且对耗费较多的资源, 病毒防止效率不高。在邮件服务器上配以杀毒软件、防火墙等,能检测清除经过 此服务器的大部分病毒,其防治效率远高于客户端防治,能在一定程度上阻止邮 件病毒的传播。但是此种方案会加重邮件服务器负担,特别是邮件传输负荷较大 时,可能会导致邮件服务器运行缓慢、死机等情况出现。一种更好的方案是在内 外网络边界部署专用的邮件反病毒产品,比如邮件网关,功能针对性强,效率高, 速度快,能减轻服务器的杀毒负担,对网络内部的邮件接收端也能起到很好的保 护,但此类设备价格较高,一般用于大中型企业机构、安全要求高的单位。邮件 网关检测清除邮件病毒会产生很小的邮件传输延迟,但对于大多数用户来说这点 延迟可以忽略不计。客户端和邮件服务器上的反病毒技术已产生多年且比较成熟, 邮件反病毒网关产生时间不长,在嵌入式计算机技术取得较大进步以后有较大发 展,并且嵌入式设备价格的下降,邮件反病毒技术的进步,网关设备的价格也逐 步下降,有的被集成到硬件防火墙、路由器等设备中综合实现内部网络安全。 网关一般部署在内外网络边界,保护内部网络的安全,在大中型企业机构中 应用广泛。网关通常在专用的硬件平台上实现,速度快、效率高、专用性强,安 全防护效果好,有的仅实现访问控制或者反病毒等功能,也有的将防火墙、反病 毒、访问控制、虚拟专网、入侵检测等功能集成到专用硬件平台上,实现全方位 的安全防护。在网关实现邮件反病毒功能,对局域网的邮件系统进行安全保护, 具有较强的针对性,能高效实时的保障邮件系统安全。在网络边界,网关对进出 局域网边界的邮件通信进行监测,扫描病毒、发现攻击,作出适当的响应,保护 内部用户的邮件通信安全。因而在网关上实现邮件反病毒功能将会成为邮件反病 毒技术的一个重要发展方向,对该项技术的研究与应用具有一定的实用价值。 .小结 本章对邮件反病毒网关技术的相关理论基础进行了介绍,详细描述了电子邮 件系统的原理和结构,介绍了电子邮件协议的机制、特点以及电子邮件的内部结 电子科技大学硕士学位论文 构;描述了计算机病毒的技术机理、结构和技术特征,阐释了反病毒技术的原理、 流程,重点分析了邮件反病毒技术的原理、机制、技术手段,对比分析了不同的 邮件反病毒实现方式的优劣,引出后面对邮件反病毒网关系统的分析与研究。 第三章邮件反病毒网关技术研究与系统设计 第三章邮件反病毒网关技术研究与系统设计 .邮件反病毒网关技术研究 ..邮件反病毒技术对比 早期的邮件反病毒产品主要部署在邮件客户端计算机和邮件服务器上。个人 计算机上通常安装有反病毒工具,对进入主机的网络流量进行扫描,实现基于主 机的安全防护,可以在接受电子邮件时对其进行扫描,过滤邮件病毒。这类工具 一般是商业反病毒软件,在主机上实现综合的安全防护,对邮件的安全防护针对 性不强,检测邮件病毒的准确度不高,并且会耗费主机资源,造成一定的时间延 迟,有时会影响邮件客户端的正常使用;而且在各个客户端分散进行邮件病毒过 滤效率较低,经常重复扫描同一封邮件,浪费系统资源,因而此方案效果不理想, 现应用较少。在邮件服务器上部署反病毒产品,对网络上经过邮件服务器投递的 邮件进行集中的病毒过滤,避免了客户端重复扫描,提高了过滤效率,减少了客 户端的负担。由于邮件投递过程中一般要经过多个邮件服务器的中转,在服务器 端过滤病毒,能有效地防止邮件病毒的扩散,其效果优于邮件客户端病毒防护。 现今大多数邮件服务器都安装有反病毒软件,能够对电子邮件进行病毒过滤,有 的邮件服务程序自身就带有反病毒扫描过滤模块,可以在一定程度上保障邮件系 统的安全。但是这种应用也存在一定的不足之处,在邮件服务器端进行病毒扫描, 需要耗费较多是服务器资源,尤其是在服务器的邮件流量较大时,会造成较大的 负担,导致邮件服务器运行缓慢、死机等情况出现,影响服务器的正常服务和运 行速度,有时为了实现邮件服务器的稳定性而放弃病毒扫描,因而服务器端的邮 件反病毒方案并不完善。随着网关防火墙的广泛应用和嵌入式系统技术的成熟, 出现了在网关上实现的邮件反病毒系统。网关通常采用专用的嵌入式硬件平台, 配置经过优化剪裁的操作系统和专用的应用软件,实现具有较强针对性的安全防 护,除了具有传统安全产品的包过滤、状态检测等功能外,还具备有应用层的安 全防护,能实现基于应用协议的病毒过滤、虚拟专网、入侵防护等功能。网关部 署在局域网边界,扫描进出内部网络的所有网络信息,防止病毒入侵与黑客攻击、 过滤不安全信息,控制网络流量,能有效的保障内部网络安全。在服务器前端配 电子科技大学硕士学位论文 置网关设备,代替服务器扫描网络流量,能够减轻服务器的负担,提高服务效率 与质量,增强服务器的稳定性,减少服务器管理员的工作量。网关反病毒使得反 病毒处理从服务器和客户端计算机独立出来集中进行,可以有效地提高反病毒的 效率,在病毒进入内部网络之前将其过滤掉。同时网关能够进行各网络层次的优 化配置,可以屏蔽内部网络细节,减少内部网络关键部位受到攻击的可能性。另 外网关一般集成多项安全功能,例如防火墙、等,实现综合全面的安全保护, 针对各种可能的攻击进行防御,其效果优于在服务器端进行安全防护。邮件反病 毒网关系统主要工作在应用层,在专用软硬件平台上针对电子邮件协议进行病毒 过滤,其功能针对性强,能够高效准确地过滤邮件病毒,有效减轻邮件服务器的 杀毒负担,对网络内部的邮件接收端也能起到很好的保护,系统相对独立,便于 实现模块化,抽象内部细节,便于配置管理和优化升级。因而在网关上实现邮件 反病毒功能相对客户端和服务器端的邮件反病毒方案而言具有较多的优势,在邮 件反病毒领域具有较高的应用价值。 。.邮件反病毒网关技术改进需求 如今邮件反病毒网关技术得到了一定范围的应用,然而其技术不够成熟,应 用面不够广泛,还有许多有待完善之处。网关平台搭建需要选取合适的软硬件, 嵌入式硬件的设计和操作系统的移植难度较大,嵌入式技术本身有待提高;网关 过滤病毒,针对网络协议进行分析处理,有时会影响网络的正常通信,造成网络 拥堵和不稳定,系统透明度不够高,有时通信两端的时延较大,给网络用户造成 一定的不适应。邮件反病毒网关系统专门处理邮件信息,移植较多的邮件服务功 能模块,由于网关的软硬件资源有限,有时其处理效果不理想,特别是在网络环 境时常变化、安全需求多变的环境下,检测病毒的准确性和全面性等方面有待提 高。邮件协议本身具有较多的安全隐患,进行邮件协议分析与邮件内容解析, 有 可能存在不易察觉的漏洞,造成反病毒功能的部分失效,该项处理的技术需要根 据网络环境、病毒类型以及过滤效果进行改进。邮件反病毒系统中的病毒过滤模 块比较关键,相对通用的反病毒软件而言技术要求更高,需要在稳定性、全面性、 效率、准确度等方面进行权衡,其中的病毒扫描算法、安全策略需要灵活配置, 对邮件结构分析、编解码、病毒定位与清除、邮件重组等方面也需要合理完善的 设计。网关设备的技术比较复杂,配置维护需要专业化的知识技能,具有一定的 难度,其配置系统的易用性和界面友好性等方面均需要不断改进;由于技术专业第三章邮件反病毒网关技术研究与系统设