各网络安全产品工作原理

各网络安全产品工作原理 1、杀毒的工作原理 病毒检测的方法 在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法 这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。 特征代码法 特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。 特征代码法的实现步骤如下: 采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。 在病毒样本中，抽取特征代码。依据如下原则: 抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。 在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码。将特征代码纳入病毒数据库。 打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。 采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。 特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低(在网络服务器上，因长时间检索会使整个网络性能变坏)。 其特点: A.速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。 B.误报警率低。 非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。 D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。 校验和法 将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。 这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。 病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。 这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。 校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。 运用校验和法查病毒采用三种方式: ?在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。 ?在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。 ?将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。 校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。 行为监测法 利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。 这些做为监测病毒的行为特征如下: A.占有INT 13H 所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT 13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。 B.改DOS系统为数据区的内存总量 病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。 C.对COM、EXE文件做写入动作 病毒要感染，必须写COM、EXE文件。 D.病毒程序与宿主程序的切换 染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。 行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。 软件模拟法 多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。 2、防火墙工作原理 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流， 尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬件防火墙和软件防火墙，他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。 1、防火墙技术 防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面，我们将介绍这些手段的工作机理及特点，并介绍一些防火墙的主流产品。 包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。 状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包(通常是大量的数据包)通过散列算法，直接进行状态检查，从而使得性能得到了较大提高;而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。 2、防火墙工作原理 (1) 包过滤防火墙 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。 (包过滤防火墙工作原理图) (2) 应用网关防火墙 应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机,服务器模式实现的。每个客户机,服务器通信需要两个连接:一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。 (应用网关防火墙工作原理图) (3) 状态检测防火墙 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 上的行为。 (状态检测防火墙工作原理图) (4) 复合型防火墙 复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。 (复合型防火墙工作原理图) 3、四类防火墙的对比 包过滤防火墙:包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。 应用网关防火墙:不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。 状态检测防火墙:不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。 复合型防火墙:可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。 3、入侵检测、防御 IPS到底是什么, “IPS可以阻断攻击，这正是IDS所做不了的，所以IPS是IDS的升级，是IDS的替代品”，可能很多人都会有这种看法。 我们先来看IPS的产生原因: A:串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。 B:旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断。 : IDS和防火墙联动:通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统C 一的接口规范，加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果，如SQL注入、溢出攻击等)，使得IDS与防火墙联动在实际应用中的效果不显著。 于是就有下面的一种想法，如图1所示。 图1 IPS的起源 这就是IPS产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。 而为什么会有这种需求呢,是由于用户发现了一些无法控制的入侵威胁行为，这也正是IDS的作用。 入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。 入侵防御系统(IPS)对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。 这也解释了IDS和IPS的关系，并非取代和互斥，而是相互协作:没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。 IPS应该看重那些方面的功能, 有些人认为:“IPS应该具备各种扩展功能，ACL、路由、NAT，一个都不能少”。“IPS最重要的就是性能了，其他的都不重要”。 入侵防御系统作为串接部署的设备，确保用户业务不受影响是一个重点，错误的阻断必定意味着影响正常业务，在错误阻断的情况下，各种所谓扩展功能、高性能都是一句空话。 这就引出了IPS设备所应该关心的重点——精确阻断，即精确判断各种深层的攻击行为，并实现实时的阻断。 精确阻断解决了自IPS概念出现以来用户和厂商的最大困惑:如何确保IPS无误报和滥报，使得串接设备不会形成新的网络故障点, 而作为一款防御入侵攻击的设备，毫无疑问，防御各种深层入侵行为是第二个重点，这也是IPS系统区别于其他安全产品的本质特点;这也给精确阻断加上了一个修饰语:保障深层防御情况下的精确阻断，即在确保精确阻断的基础上，尽量多地发现攻击行为(如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件)，这才是IPS发展的主线功能。 如何确保对深层入侵行为的准确判断,刚刚推出入侵防御系统的专业安全厂商有着自己独特的技术和专利。的技术专家介绍说，依托多年以来在入侵检测技术方面的深厚积累，独创性地建立了柔性化检测机制，在确保精确判定攻击行为的基础上，涵盖了各种攻击手法类型。 我们知道常用的攻击检测方法有两种，一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测，其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截;但仅能识别已知攻击、抗变种能力弱。另一种方法是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。两种检测机制如图2所示。 图2 基于特征和原理的检测机制对比 融合“基于特征的检测机制”和“基于原理的检测机制”形成的 “柔性检测”机制，它最大的特点就是基于原理的检测方法与基于特征的检测方法并存，有机组合了两种检测方法的优势。这种融合不仅是一个两种检测方法的大融合，而且细分到对攻击检测防御的每一个过程中，在抗躲避的处理、协议分析、攻击识别等过程中都包含了动态与静态检测的融合，如图3所示。 图3 柔性检测机制原理 通过运用柔性检测机制，入侵防御系统进一步增强了设备的抗躲避能力、精确阻断能力、变形攻击识别能力和对新攻击应变能力，提高了精确检测的覆盖面。 当然，前面提到的扩展功能和高性能，也是入侵防御系统所必需关注的内容，但也要符合产品的主线功能发展趋势。如针对P2P的限制:P2P作为一种新兴的下载手段，得到了极为广泛的运用，但由无限制的P2P应用会影响网络的带宽消耗，并且还随此带来知识产权、病毒等多种相关问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 。而实现对P2P的控制和限制，需要较为深入的应用层分析，交给IPS来限制、防范，是一个比较恰当的选择。而ACL控制、路由、NAT等，这些都是防火墙可以完成的工作，在IPS上来实现这些功能，就有画蛇添足之嫌了。 性能表现是IPS的又一重要指标，但这里的性能应该是更广泛含义上的性能:包括了最大的参数表现和异常状况下的稳定保障。也就是说，性能除了需要关注诸如“吞吐率多大,”，“转发时延多长,”，“一定背景流下检测率如何,”等性能参数表现外，还需要关注:“如果出现了意外情况，怎样/多快能恢复网络的正常通讯,”，这个问题也是IPS出现之初被质疑的一个重点。串接设备出现故障和旁路设备不一样，是会影响到正常业务运营的，而做深层分析的串接设备更加如此，在长时间做大量数据深度分析的情况下，如何确保通讯的顺畅,如何确保出现异常情况后通讯的顺畅, 入侵防御系统通过内置硬件Watchdog、软件监控进程，对系统的异常实时监控和处理，实现了软件和硬件的双BYPASS功能，在各种异常情况下确保了网络的通畅，部署后不增加网络故障点。IPS始终遵循最短时间优先原则，调度任务、算法和CPU时间，具体如图4所示。 图4 IPS的性能表现 IPS的未来发展方向是什么, 明确了IPS的主线功能是深层防御、精确阻断后，IPS未来发展趋势也就明朗化了:不断丰富和完善IPS可以精确阻断的攻击种类和类型，并在此基础之上提升IPS产品的设备处理性能。 而在提升性能方面存在的一个悖论就是:需提升性能，除了在软件处理方式上优化外，硬件架构的设计也是一个非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+专用语言开发，将已知攻击行为的特征固化在电子固件上，虽然能提升匹配的效率，但在攻击识别的灵活度上过于死板(对变种较难发现)，在新攻击特征的更新上有所滞后(需做特征的编码化)。而基于开放硬件平台的IPS由于采用的是高级编程语言，不存在变种攻击识别和特征更新方面的问题，但在性能上存在处理效率瓶颈:暂时达不到电信级骨干网络的流量要求。 所以，入侵防御系统的未来发展方向应该有以下两个方面: 第一、更加广泛的精确阻断范围:扩大可以精确阻断的事件类型，尤其是针对变种以及无法通过特征来定义的攻击行为的防御。 第二、适应各种组网模式:在确保精确阻断的情况下，适应电信级骨干网络的防御需求。 4、VPN技术 SSL VPN与IPSec VPN是目前流行的两类Internet远程安全接入技术，它们具有类似功能特性，但也存在很大不同。 SSL的“零客户端”解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 被认为是实现远程接入的最大优势，这对缺乏维护大型IPSec配置资源的用户来说的确如此。但SSL方案也有不足， 它仅支持以代理方式访问基于Web或特定的客户端/服务器的应用。由服务器直接操纵的应用，如Net Meeting以及一些客户书写的应用程序，将无法进行访问。 IPSec方案安全级别高 基于Internet实现多专用网安全连接，IPSec VPN是比较理想的方案。IPSec工作于网络层，对终端站点间所有传输数据进行保护，而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网，使远程客户端拥有内部网用户一样的权限和操作功能。 IPSec VPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。 IPSec VPN还能减轻网管负担。如今一些IPSec客户端软件能实现自动安装，不需要用户参与。VPN服务器能够为终端用户接入设备自动安装和配置客户端软件包，因而无论对网管还是终端用户，安装过程都大为简化。 IPSec VPN应用优势 SSL用户仅限于运用Web浏览器接入，这对新型基于Web的商务应用软件比较合适，但它限制了非Web应用访问，使得一些文件操作功能难于实现，如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SSL网关或其它办法来支持非Web应用，但实现成本高且复杂，难以实现。IPSec VPN能顺利实现企业网资源访问，用户不一定要采用Web接入(可以是非Web方式)，这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案。 IPSec方案能实现网络层连接，任何LAN应用都能通过IPSec隧道进行访问，因而在用户仅需要网络层接入时，IPSec是理想方案。如今有的机构同时采用IPSec和SSL远程接入方案，IT主管利用IPSec VPN实现网络层接入，进行网络管理，其他人员要访问的资源有限，一般也就是电子邮件、传真，以及接入公司内部网(Web浏览)，因而采用SSL方案。这正是充分利用了IPSec的网络层接入功能。 IPSec VPN与SSL VPN优劣比较 IPSec VPN和SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能，因而是实现多专用网安全连接的最佳选项;而SSL VPN的“零客户端”架构特别适合于远程用户连接，用户可通过任何Web浏览器访问企业网Web应用。SSL VPN存在一定安全风险，因为用户可运用公众Internet站点接入;IPSec VPN需要软件客户端支撑，不支持公共Internet站点接入，但能实现Web或非Web类企业应用访问。 Meta Group认为，不能简单地给IPSec与SSL方案的优劣下定论。客户在关注应用方案本身的同时，还应考虑远程机器外围设备的安全性，如是否配置有个人防火墙和反病毒防护系统。IT主管需要综合评估商务应用需求，以决定采纳哪类VPN策略。 IPSec VPN与SSL VPN技术对比 有别于传统VPN的另外一种VPN实现技术是采用基于SSL的VPN。这种基于SSL的VPN提供了与IPSec VPN近似的安全性。 SSL VPN如何工作 SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证该用户的身份，然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。 SSL VPN的劣势 由于是一种相对来说还没有大量应用的技术，目前能够提供相应产品和服务的厂商也不多，那么SSL VPN这种技术与IPSec VPN相比，究竟有什么劣势呢,在这里做一个简要的分析。 SSL VPN应用的局限性很大，只适用于数据库,应用服务器,Web服务器,浏览器这一种模式。在部署方式、保护范围、认证方式上限制很多，这也是SSL VPN市场有限的原因之一 另外，具体到我们国家，国家商用密码管理部门有明确的规定(比如国务院273号令)，表明我国在政策上就不允许使用那些采用DES的SSL VPN技术。 SSL VPN的问题 1、SSL VPN的认证方式比较单一，只能采用证书，而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSec VPN认证方式更为灵活(口令、RADIUS、令牌等)。 2、SSL VPN只能进行认证和加密，不能实施访问控制，建立隧道后，管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色，在其访问内部资源(主机、数据库)进行访问控制和安全审计，这也是用户最为关心的一点。 3、要实现网络,网络的安全互联，只能考虑采用IPSecVPN。 4、应用层局限性 SSL VPN的另一个主要局限在于用户只能访问基于Web服务器的应用，而IPSec VPN却几乎可以为所有的应用提供访问，包括客户端/服务器模式和某些传统的应用。 一个企业往往有很多种应用(OA、财务、销售管理、ERP，很多并不基于Web)，单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果(比如网上邻居，而SSL VPN只能保护应用层协议，如WEB、FTP等)，保护更多的应用这点，SSL VPN根本做不到。 5、SSL VPN需要CA的支持，企业必须外购或自己部署一个小型的VPN系统。对于一个企业来说(哪怕是IT企业)证书的管理也是一件相当复杂的工作。 6、性能 SSL VPN是应用层加密，性能比较差。目前，VPN可以达到千兆甚至接近10G，而SSL VPN由于是应用层加密，即使使用加速卡，通常只能达到300M左右的性能。 基于以上分析，SSL VPN所具有的先天局限性导致了在大范围部署的VPN方案中，SSL VPN远远不能解决用户的需求，所以希望用户在选择产品的时候能够认真的考虑并仔细选择。 要了解SSL VPN与IPSec VPN到底有哪些联系与区别，首先还是先来回顾一下传统的IPSec VPN方案。 IPSec的英文全名为“Internet Protocol Security”，中文名为“因特网安全协议”, 这个安全协议是VPN的基本加密协议，它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道，首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式，所以通信双方先要确定所要采用的安全策略和使用模式，这包括如加密运算法则和身份验证方法类型等。在IPSec协议中，一旦IPSec通道建立，所有在网络层之上的协议在通信双方都经过加密，如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等，而不管这些通道构建时所采用的安全和加密方法如何。 1. IPSec的主要不足 (1)安全性能高，但通信性能较低 因为IPSec安全协议是工作在网络层的，不仅所有网络通道都是加密的，而且在用户访问所有公司资源时，就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分，IPSec不仅使你正在通信的那一很小的部分通道加密，而是对所有通道进行加密。所以在在安全性方面比SSL VPN好，但整体通信性能却因安全性受到了影响，不过安全性方面始终高于性能的，这也是目前IPSec VPN仍为主流的原因之一。 (2)需要客户端软件 在IPSec VPN中需要在每一客户端安装特殊用途的客户端软件，用这些软件来替换或者增加客户系统的TCP/IP堆栈。在许多系统中，这就可能带来了与其他系统软件之间兼容性问题的风险，例如木马程序所带来的安全性风险，特别是在这些客户端软件是从网站上下载，而且不是经过专门的IT人员安装的情况下。解决IPSec协议的这一兼容性问题目前还缺乏 一致的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，几乎所有的IPSec客户端软件都是专有的，不能与其它兼容。 在一些情形中，IPSec安全协议是在运行在网络硬件应用中，在这种解决方案中大多数要求通信双方所采用的硬件是相同的，IPSec协议在硬件应用中同样存在着兼容性方面的问题。 并且，IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性，在没有装载IPSec客户端系统的远程用户中用户不能与网络进行VPN连接。 (3)安装和维护困难 IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。 (4)实际全面支持的系统比较少 虽然已有许多开发的操作系统提出对IPSec协议的支持，但是在实际应用是，IPSec安全协议客户的计算机通常只运行基于Windows系统，很少有运行其它PC系统平台的，如Mac、Linux、Solaris 等。 2. 为什么要用SSL，而不用IPSec VPN, 虽然目前并不是所有，也不大多数用户采用SSL代理方式进行VPN通信，但是使用SSL VPN的用户数却在不断增加，有些是原来一直采用IPSec VPN的，原因主要有以下几个方面: (1)不需要客户端软件和硬件需求 在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件，而只需要在服务器端安装相应的软件和硬件，然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。 (2)容易使用，容易支持Web界面 在今天的工厂中，有许多Web浏览器和支持SSL的email客户端，包括Windows、Macintosh、Linux/UNIX、PDAs，甚至到蜂窝电话都可以通过SSL协议进行通信。因为这些都是人们已非常熟悉的，这样就可以大大节省培训费用。 (3)端到端 vs. 端到边缘安全 IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全，不管怎样，所有运行在内部网络的数据是透明的，包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的，确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。 这两种VPN方式的通道安全示意图如图1所示。 图1 (4)90%以上的通信是基于Web和Email的 近呼90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信，另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用，属非因特网应用。 3. SSL VPN与IPSec VPN的比较列表 下表是SSL VPN与IPSec VPN主要性能比较，从表中可以看出各自的主要优势与不足。 5、网页防篡改技术比较 目前市场上常见的网页防篡改技术有以下三种: 1. 外挂轮询技术 利用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页相比较， 来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。 2. 核心内嵌技术 将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检 查，对于篡改网页进行实时访问阻断，并予以报警和恢复。 3. 事件触发技术 利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查， 对于非法操作进行报警和恢复。 5.1、形象性描述 1. Web服务器与大楼 我们把Web服务器看成是一个美术馆大楼，目录是大楼的楼层和房间，每个网页文件都是房间挂着的画作。这些画作每天在由工作人员不断更新，每天也有成千上万的借阅者通过借阅口来取出和阅读这些画作。网页防篡改系统的目标就是保证人们看到的是真实的画作，而不是赝品甚至反动宣传品。 2. 外挂轮询技术 大楼配备了一个检查员进行巡检，他以一个普通借阅者的身份不停地在借阅处调取每个房间的每副画作，与手里的真实画作相比较里进行检查，发现有可疑物品即进行报警。 这种方式的显著弱点是:当大楼规模很大，房间和画作很多时，他会忙不过来。对于特定的一幅画作，两次检查的时间间隔会很长，不法分子完全有机会更换画作，对借阅者造成严重影响。 3. 核心内嵌技术 大楼在借阅口处配备一个检查员，他对每一个调出的画作进行检查，发现有可疑画作即阻止它的流出。 这种方式的显著优点是:每副画作在流出时都进行检查，因此可疑画作完全没有被借阅者看到的可能;相应弱点是，由于存在检查手续，画作在流出时会耽误时间。 4. 事件触发技术 大楼在正门进口处配备一个检查员，他对每一个进入的画作进行检查，发现有可疑物品即进行报警。 这种方式的显著优点是:防范成本很低，但缺点是:美术馆大楼的结构非常复杂，不法分子通常不会选择正门进来，他会从天花板、下水道甚至利用大楼结构的薄弱处自己挖个洞进来，并且还不断会有新的门路被发现，可见防守进口的策略是不能做到万无一失的。另外，非法画作一旦混进了大楼，就再也没有机会进行安全检查了。 5.2、技术评估 1. 技术对比 外挂轮询技术 核心内嵌技术 事件触发技术 访问篡改网页 可能 不可能 可能 服务器负载 中 低 低 带宽占用 中 无 无 绕过检测机制 不可能 不可能 可能 防范连续篡改攻击 不能 能 不能 保护所有网页 不能 能 能 动态网页脚本 不支持 支持 支持 适用操作系统 所有 所有 受限 上传时检测 不能 能 受限 断线时保护 不能 能 不能 2. 访问被篡改网页 , 外挂轮询技术:无法阻止公众访问到被篡改网页，它只能在被篡改后一段时间 发现和进行恢复，因此公众有很大可能访问到被篡改网页。 , 核心内嵌技术:守住Web网页流出的最后一道关口，因此能够完全杜绝被篡改 的网页被公众访问到，真正做到万无一失。 , 事件触发技术:将安全保障建立在“网页不可能被隐秘地篡改”这种假设上， 因此也没有对网页流出进行任何检查，在一些情形下(具体情形见下文)，公众是有 可能访问到被篡改网页的。 3. 服务器负载 , 外挂轮询技术:由于从外部不断地和独立地扫描Web服务器文件，因此对Web 服务器形成相当的负载，并且扫描频度(亦即安全程度)和负载总是矛盾的。 , 核心内嵌技术:篡改检测模块内嵌于Web服务器软件里，Web服务器软件读出 网页文件后，由篡改检测模块进行水印比对，因此要占用一定CPU计算时间。但这 个计算是在内存中进行的，比起Web服务器软件从硬盘中读取网页文件的操作来， 额外产生的负载是非常小的。 事件触发技术:由于只在正常网页发布时进行安全检查，因此对网页访问的影响几乎为零， 4. 带宽占用 , 外挂轮询技术:从外部独立检测网页，因此需要占用访问的网络带宽。 , 核心内嵌技术和事件触发技术:检测都在服务器本机上进行，不占用网络带宽。 5. 绕过检测机制 , 外挂轮询技术:由外部主机进行，不可能绕过检测。 , 核心内嵌技术:整合在Web服务器软件里的，对每一个网页都进行篡改检查， 不可能有网页绕过检测机制。 , 事件触发技术:并不能确保捕获对文件的所有方式的修改(例如直接写磁盘、 直接写内核驱动程序、利用操作系统漏洞等)，非常容易被专业黑客很容易绕过;而 且一旦成功，它没有任何手段来察觉和恢复。它的技术特点决定了它类似于防病毒 工具(以黑防黑)而不是专门针对网站保护的系统。 6. 连续篡改攻击 有意进行恶意攻击的黑客可以利用其他技术的扫描间隔来进行连续的篡改攻击，即在网页被恢复后立即重新篡改网页。 , 外挂轮询技术:由于重篡改过程可以利用程序自动和连续进行，并只针对一个 重要网页(例如网站首页)进行，因此即使的扫描时间间隔设置得再小(例如1分 钟)，也无法阻止篡改后的网页被公众访问到。 , 核心内嵌技术:在每次输出网页时都进行完整性检查，如有变化则阻断发送。 因此，无论连续攻击多么迅速和频繁，都无法使公众看到被篡改的网页。 , 事件触发技术:对Web服务器软件没有控制能力，它发现篡改后没有办法去协 调Web服务器工作，对于大规模或精心策划的攻击是无能为力的。 7. 动态网页脚本 , 由篡改检测模块进行水印比对，因此要占用一定CPU计算时间。但这个计算是 在内存中进行的，比起Web服务器软件从硬盘中读取网页文件的操作来，额外产生 的负载是非常小的。 , 事件触发技术:由于只在正常网页发布时进行安全检查，因此对网页访问的影 响几乎为零，额外占用的服务器负载也基本上为零。 目前的网站越来越多地使用动态技术(例如:ASP、JSP、PHP)来输出网页。动态网页由网页脚本和内容组成:网页脚本以文件形式存在于Web服务器上;网页内容则取自于数据库。 , 外挂轮询技术:所监测到的动态网页是网页脚本和内容混合后的结果，而网页 内容是根据访问情况时时在变化的，外挂轮询技术又无法区分网页脚本和内容，因 此无法实现对动态网页的防篡改保护。 , 核心内嵌技术和事件触发技术:可以直接从Web服务器上得到动态网页脚本， 不受变化的内容影响，因而能够象静态网页一样保护动态网页脚本。 8. 断线时保护 , 核心内嵌技术:即使在黑客中断了Web服务器和备份网页服务器连接的情况 下，也可以阻止被篡改网页的流出，最大程度达到保证效果。 事件触发技术:如果黑客中断了Web服务器和备份网页服务器的连接，这个被篡改的 网页就没法即时恢复，而与此同时，大量的公众可能已经访问到了这个网页，造成严重 后果。 6、网管软件 内网管理产品可以从监控、管理、维护三方面管理全网计算机。该产品的远程监控功能可以实时监控网络各终端的使用情况，解决了违规内网外联、内外网互联;禁用USB移动存储;全网查杀病毒、木马、流氓软件、间谍软件和未知软件;禁用光驱、禁用软驱;禁用管理员权限、禁用网络共享、禁用自动播放等困扰许多单位的安全管理问题的管理手段，并提供流量监控、注册表监控等运行维护功能，减轻网管日常工作量，是把内网安全管理和内网运维管理有效结合并实现的适合中国国情的网络综合管理类产品。 6.1、网管理软件的功能列表 内网管理软件包含了许多实用的功能，这些功能加强了网络秩序，增加了网络的可管理性，使您无论处于一个分布式网络环境还是一个集中式网络环境都可以方便地通过网络实施全网的统一管理要求。 首先，内网管理软件提供了方便的网络监控功能，其中包括屏幕监控、屏幕拷贝、上网网址监控、文件监控和打印监控等功能。 网络监控功能 实时屏远程对联网的计算机实施屏幕监视，可实时了解到该客户端的计算机使用情况，幕监控 也可获取敏感文件使用中是否外泄的情况。 远程屏远程抓取联网的计算机的屏幕图像，图像自动传输并存放在管理平台，可在任意幕拷贝 时间查看网络中任意计算机使用计算机的屏幕图像信息。 上网网远程提取联网的计算机的上网信息，包括上网网址及其上网历史记录和Cookie信址监控 息等。由于采用了不同的提取方法，所以，可恢复部分已删除的上网记录。避免 逃避管理的行为。 文件监监视并记录计算机内发生的文件操作,当文件从一台计算机拷贝到本地计算机时控 或者从一个文件夹拷贝到另外一个文件夹时，本地计算机会产生新增文件事件上 报管理平台;本地文件或者文件夹删除了，本地计算机会产生删除文件事件上报 管理平台;修改了本地文件内容，本地计算机会产生文件修改事件上报管理平台; 把本地文件夹或者文件改名后，本地计算机会产生重命名文件事件上报管理平台; 所有计算机的文件监控事件集中在管理平台后，管理平台还提供了关键字查询功 能，可了解一个关键文件在网络中的扩散到哪几台计算机了的文件扩散情况。还 提供了文件过滤规则，能够仅监控符合过滤规则的文件;也提供除了符合过滤规 则的文件之外所有文件变化的监控。 打印监对本地打印机或者网络打印机的打印行为进行监控，记录打印的文件名、打印人、控 打印时间等日志信息。可以提供监控日志报表功能和查询统计功能。 其次，内网管理软件提供了统一的管理控制功能，其中包括禁用USB、禁用光驱、禁用软驱、禁止上网和禁止QQ等软件在网络中运行等功能。 管理控制功能 USB管可对全网计算机统一设置禁用USB等管理策略或者对指定一台计算机设置。管理 理 策略仅对USB磁盘实时生效，不影响USB键盘、USB鼠标和USB打印机等的使用。 管理策略分四种:(1)禁止使用。具体地，当计算机接上USB就自动阻断并移出， 然后产生USB违规接入、阻断USB和USB移出事件上报给管理平台。(2)重启阻 断。具体地，当计算机接上USB就立即重启，这是最具强制性的禁用USB的办法， 如果不移出USB,计算机重启后仍然反复重启，直到移出为止;然后产生USB违规 接入、USB重启阻断和USB移出事件上报给管理平台。(3)允许使用。具体地， 当计算机接上USB可以像往常一样使用，但是产生USB接入和USB移出事件上报 给管理平台。(4)允许并监视。当计算机接上USB可以像往常一样使用，但记录 USB盘上的文件操作，如会记录拷进文件名、文件重命名、文件删除、文件修改等 事件信息上报管理平台。这四种方案都可在计算机拔了网线离开网络后仍然有效， 并且在计算机重新联网后，仍然把离开网络后的日志记录上报给管理平台。 光驱管可对全网计算机统一设置禁用光驱或者启用光驱等两种管理策略或者对指定一台理 计算机设置。策略变化后，需要计算机重启以后才生效。管理策略对CD-ROM、DVD 或者刻录机都生效。 软驱管可对全网计算机统一设置禁用软驱或者启用软驱等两种管理策略或者对指定一台理 计算机设置。策略变化后，需要计算机重启以后才生效。 上网管(1)拨号上网阻断管理。可阻止通过MODEM拨号上网绕过防火墙管理的行为。可理 (非设置全网计算机统一禁止拨号或者允许拨号等管理策略或者设置指定一台计算法外联机。禁止策略下，拨号实时阻断。管理策略对PSTN普通电话线拨号上网、ISDN拨管理) 号上网、无线MODEM拨号上网、ADSL拨号上网均生效。(2)双网卡通过代理服务 器上网阻断管理。(3)离开局域网的单网卡计算机使用互联网网线上网实时记录 “连通互联网”日志，回到内部局域网后上报离网时的日志。通过这种方式，基 本上可以强制内网的计算机不得私自上网。(4)另外，上一部分的网络监控中描 述的上网网址监控功能能够远程提取计算机的上网信息，包括上网网址及其上网 历史记录和Cookie信息等，同样也加强了上网管理。 禁止QQ可对全网计算机统一设置禁用比如QQ.exe软件进程等管理策略或者对指定一台计等软件算机设置。管理策略分三种:(1)禁止运行。这个策略就是一台计算机的单机策 运行 略。策略到达计算机后，计算机立即自动封杀该进程。(2)统一禁止运行。这个 策略对网络中所有计算机生效。(3)单机允许。如果在统一禁止运行的情况下， 这个策略就是对一台计算机特殊的允许运行该进程的策略。进程封杀的策略设置 后一直生效，除非删除才能够解除策略。 再次，内网管理软件提供了终端PC的维护工具功能，其中包括远程桌面维护功能、管理和分配IP地址功能、管理和分配代理服务器功能、管理和分配计算机名功能、进程知识库功能、注册表监控功能、补丁分发和全网终端流量监控等功能。 终端PC维护工具 远程桌也称为远程协助或者桌面工具。对网络中一台计算机进行远程桌面，可用鼠标键面管理 盘远程操作该计算机，远程用户可用本地的鼠标键盘同时操作该计算机。远程桌 面功能具有两种工作模式，一种是需要对方确认的远程桌面工作模式，一种是不 需要对方确认的无人值守工作模式。所有的远程桌面的请求和确认都记录日志信 息提交给管理平台。本软件的远程桌面功能可管理局域网内计算机，还可以管理 跨互联网的具有私有IP地址上网的另外一台计算机，这是与众不同之处。 管理和可锁定远程计算机的IP地址，锁定后远程用户无法自行修改。可远程分配和修改分配IP计算机的IP地址，分配和修改后自动锁定，远程用户无法更改。锁定后策略一直地址 生效，除非删除才能够解除锁定。 管理和可锁定远程计算机的网关地址和DNS地址，锁定后远程用户无法自行修改。可远分配网程分配和修改计算机的网关地址和DNS地址，分配和修改后自动锁定，远程用户关地无法更改。锁定后策略一直生效，除非删除才能够解除锁定。 址、DNS 地址 管理和可锁定远程计算机的代理服务器地址，锁定后远程用户无法自行修改。可远程分分配代配和修改计算机的代理服务器地址，分配和修改后自动锁定，远程用户无法更改。理服务锁定后策略一直生效，除非删除才能够解除锁定。 器地址 管理和可锁定远程计算机的计算机名(又称:机器名)，锁定后远程用户无法自行修改。分配计可远程分配和修改计算机的计算机名，分配和修改后自动锁定，远程用户无法更算机名 改。锁定后策略一直生效，除非删除才能够解除锁定。 可发现全网计算机将进程列表集中提交给管理平台，在管理平台可用别名标识一个进程，网络中如用"系统服务"来标识svchost.exe，标识后，相同进程均自动标上"系统服务"异常进的名字。这个就是建立进程知识库的过程。很快，网络中所有进程都有了标记。程的进此后，一旦网络中出现异常进程，例如是一个未知病毒或者未知木马，则因其没程知识有标记而突出出来，可以把注意力集中在这些异常进程中，预先感知网络中可能库 会出现的病毒感染、扩散或者木马潜伏等异常变化。进程知识库可以独立导入和 导出，方便交流和维护。 注册表病毒、木马在计算机里潜伏，需要在注册表里面有引导项。比如:有的病毒木马监控 会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中 增加引导项。注册表监控功能通过对注册表的引导项乃至任意项值的监控，可极 大地提高对病毒木马以及计算机其它运行情况的监控能力。另外，注册表知识库 的功能，同样也能够为发现网络异常提供知识积累，注册表知识库可独立导入和 导出，方便交流和维护。 补丁分微软免费提供的WSUS是网络化补丁自动分发的标准解决方案，WSUS在域网络环境发 下能够容易地靠域的组策略来统一部署补丁自动分发，但是工作组环境下需要在 每个终端上手工逐台配置。内网管理提供了辅助的便利的全网集中部署补丁自动 分发的管理手段。 流量监网络流量是衡量网络是否畅通的主要指标。但是容易得到一台两台电脑流量，诺控 大一个网络的各个节点的网络流量并不容易得到。基于这种客观需求，内网管理 软件提供了全网的终端节点流量监控、基于节点的流量排名，并能够对异常流量 进行报警和节点阻断。可设置全网统一报警流量阈值，也可设置一台计算机报警 阈值。对超过流量阈值的计算机可弹出报警窗口、可记录报警日志也提供了网卡 阻断等多种管理方式。可设置阻断网卡的时间长度，时间到后将自动恢复联网。 最后，内网管理软件提供了主机审计功能，其中包括操作系统账户审计、操作系统事件日志审计、操作系统开放端口审计、陌生主机接入审计等功能。 主机审计功能 操作系可记录操作系统账户信息及其隶属组信息，记录账户的禁用或者启用状态。 统账户 审计 操作系可记录操作系统事件日志信息，所有计算机的事件日志集中在管理平台后，管理统日志平台还提供了关键字查询功能，可了解包含关键字的日志出现在哪几台计算机了。 审计 操作系可通过记录netstat的实时信息，了解终端PC开放了哪些端口，全网计算机打开统开放的端口信息全部集中到管理平台后，管理平台可直观地掌握网络中是否出现了异端口审常端口等情况。 计 陌生主可发现网络中陌生计算机的接入并记录日志。 机接入 审计 7、反垃圾邮件技术 1、概述 电子邮件是最常用的网络应用之一，已经成为网络交流沟通的重要途径。但是，垃圾邮 )烦恼着大多数人，近来的调查显示，93%的被调查者都对他们接收到的大量垃圾件(spam 邮件非常不满。一些简单的垃圾邮件事件也造成了很有影响的安全问题。日益增加的垃圾邮件现在会造成1年94亿美元的损失(来自chinabyte上一则新闻的数据)，在一些文章表明，垃圾邮件可能会花费一个公司内每个用户600到1000美元。 垃圾邮件随着互联网的不断发展而大量增长，不再像以前一样，只是小小的一个骚扰， 现在的垃圾邮件可以说是铺天盖地了。最初，垃圾邮件主要是一些不请自来的商业宣传电子邮件，而现在更多的有关色情、政治的垃圾邮件不断增加，甚至达到了总垃圾邮件量的40%左右，并且仍然有持续增长的趋势。另一方面，垃圾邮件成了计算机病毒新的、快速的传播途径。 而且目前世界上50%的邮件都是垃圾邮件，只有少数组织承担责任。很多反垃圾邮件的措施都被提出出来，但是只有非常少的被实施了。不幸的是，这些解决办法也都还不能完全阻止垃圾邮件，而且还对正常的邮件来往产生影响。 1.1、什么是垃圾邮件, 某种程度上，对垃圾邮件的定义可以是:那些人们没有意愿去接收到的电子邮件都是垃圾邮件。比如: 行宣传。 *商业广告。很多公司为了宣传新的产品、新的活动等通过电子邮件的方式进 *政治言论。目前会收到不少来自其他国家或者反动组织发送的这类电子邮件，这就跟垃圾的商业广告一样，销售和贩卖他们的所谓言论。 *蠕虫病毒邮件。越来越多的病毒通过电子邮件来迅速传播，这也的确是一条迅速而且有效的传播途径。 *恶意邮件。恐吓、欺骗性邮件。比如phishing，这是一种假冒网页的电子邮件，完全是一种诡计，来蒙骗用户的个人信息、账号甚至信用卡。 普通个人的电子邮箱怎么成为了垃圾邮件的目标呢，造成这样的结果有很多原因，比如在网站、论坛等地方注册了邮件地址，病毒等在朋友的邮箱中找到了你的电子邮箱，对邮件提供商进行的用户枚举，等等。通常情况下，越少暴露电子邮件地址越少接收到垃圾邮件，使用时间越短越少接收到垃圾邮件。一些无奈的用户就选择了放弃自己的邮箱而更换新的电子邮箱。 1.2、安全问题 垃圾邮件给互联网以及广大的使用者带来了很大的影响，这种影响不仅仅是人们需要花费时间来处理垃圾邮件、占用系统资源等，同时也带来了很多的安全问题。 垃圾邮件占用了大量网络资源，这是显而易见的。一些邮件服务器因为安全性差，被作为垃圾邮件转发站为被警告、封IP等事件时有发生，大量消耗的网络资源使得正常的业务运作变得缓慢。随着国际上反垃圾邮件的发展，组织间黑名单共享，使得无辜服务器被更大范围屏蔽，这无疑会给正常用户的使用造成严重问题。 垃圾邮件和黑客攻击、病毒等结合也越来越密切，比如，SoBig蠕虫就安装开放的，可 以用来支持邮件转发的代理。随着垃圾邮件的演变，用恶意代码或者监视软件等来支持垃圾邮件已经明显地增加了。2003年12月31，巴西的一个黑客组织发送包含恶意javascript脚本的垃圾邮件给数百万用户，那些通过Hotmail来浏览这些垃圾邮件的人们在不知不觉中已经泄露了他们的账号。另外一个例子就是，近来IE的URL显示问题，在主机名前添加"%01"可以隐藏真实的主机地址，在被发布之后几个星期内就出现在垃圾邮件中了。 越来越具有欺骗性的病毒邮件，让很多企业深受其害，即便采取了很好的网络保护策略，依然很难避免，越来越多的安全事件都是因为邮件产生的，可能是病毒、木马或者其他恶意程序。Phishing的假冒诡计对于普通使用者来说，的确很难作出正确的判断，但是造成的损失却是很直接的。 2、反垃圾邮件技术 已经存在的和在被提及的反垃圾邮件方法试图来减少垃圾邮件问题和处理安全需求。通过正确的识别垃圾邮件，邮件病毒或者邮件攻击程序等都会减少。这些解决方法采取多种安全途径来努力阻止垃圾邮件。 Dr. Neal Krawetz在Anti-Spam Solutions and Security[ref 1]文中将反垃圾邮件技术作了非常好的分类。当前的反垃圾邮件技术可以分为4大类:过滤器(Filter)、反向查询(Reverse lookup)、挑战(challenges)和密码术(cryptography),这些解决办法都可以减少垃圾邮件问题，但是都有它们的局限性。本文将在下面的内容讨论这些技术以及一些主要技术的实现。 2.1、过滤 过滤(Filter)是一种相对来说最简单却很直接的处理垃圾邮件技术。这种技术主要用于接收系统(MUA，如OUTLOOK EXPRESS或者MTA，如sendmail)来辨别和处理垃圾邮件。从应用情况来看，这种技术也是使用最广泛的，比如很多邮件服务器上的反垃圾邮件插件、反垃圾邮件网关、客户端上的反垃圾邮件功能等，都是采用的过滤技术。 2.1.1、关键词过滤 关键词过滤技术通常创建一些简单或复杂的与垃圾邮件关联的单词表来识别和处理垃圾邮件。比如某些关键词大量出现在垃圾邮件中，如一些病毒的邮件标题，比如:test。这种方式比较类似反病毒软件利用的病毒特征一样。可以说这是一种简单的内容过滤方式来处理垃圾邮件，它的基础是必须创建一个庞大的过滤关键词列表。 这种技术缺陷很明显，过滤的能力同关键词有明显联系，关键词列表也会造成错报可能比较大，当然系统采用这种技术来处理邮件的时候消耗的系统资源会比较多。并且，一般躲 避关键词的技术比如拆词，组词就很容易绕过过滤。 2.1.2、黑白名单 黑名单(Black List)和白名单(White List)。分别是已知的垃圾邮件发送者或可信任的发送者IP地址或者邮件地址。现在有很多组织都在做*bl(block list)，将那些经常发送垃圾邮件的IP地址(甚至IP地址范围)收集在一起，做成block list，比如spamhaus的SBL(Spamhaus Block List)，一个BL，可以在很大范围内共享。许多ISP正在采用一些组织的BL来阻止接收垃圾邮件。白名单则与黑名单相反，对于那些信任的邮件地址或者IP就完全接受了。 目前很多邮件接收端都采用了黑白名单的方式来处理垃圾邮件，包括MUA和MTA，当然在MTA中使用得更广泛，这样可以有效地减少服务器的负担。 也有明显的缺陷，因为不能在block list中包含所有的(即便是大量)的IP BL技术 地址，而且垃圾邮件发送者很容易通过不同的IP地址来制造垃圾。 2.1.3 HASH技术 HASH技术是邮件系统通过创建HASH来描述邮件内容，比如将邮件的内容、发件人等作为参数，最后计算得出这个邮件的HASH来描述这个邮件。如果HASH相同，那么说明邮件内容、发件人等相同。这在一些ISP上在采用，如果出现重复的HASH值，那么就可以怀疑是大批量发送邮件了。 2.1.4 基于规则的过滤 这种过滤根据某些特征(比如单词、词组、位置、大小、附件等)来形成规则，通过这些规则来描述垃圾邮件，就好比IDS中描述一条入侵事件一样。要使得过滤器有效，就意味着管理人员要维护一个庞大的规则库。 2.1.5 智能和概率系统 广泛使用的就是贝叶斯(Bayesian)算法，可以学习单词的频率和模式，这样可以同垃圾邮件和正常邮件关联起来进行判断。这是一种相对于关键字来说，更复杂和更智能化的内容过滤技术。我将在下面详细描述这种在客户端和服务器中使用最广泛的技术。 2.1.5.1 Bayesian 贝叶斯算法 在过滤器中，现在表现最好的应该是基于评分(score)的过滤器，因为我们很容易就可以明白对付狡猾的垃圾邮件，那些黑白名单、关键词库或者HASH等过滤器是多么的简单。评分系统过滤器是一种最基本的算法过滤器，也是贝叶斯算法的基本雏形。它的原理就是检查垃圾邮件中的词或字符等，将每个特征元素(最简单的元素就是单词，复杂点的元素就是 短语)都给出一个分数(正分数)，另一方面就是检查正常邮件的特征元素，用来降低得分的(负分数)。最后邮件整体就得到一个垃圾邮件总分，通过这个分数来判断是否spam。 这种评分过滤器尽量实现了自动识别垃圾邮件的功能，但是依然存在一些不适应的问题: *特征元素列表通过垃圾邮件或者正常邮件获得。因此，要提高识别垃圾邮件的效果，就要从数百邮件中来学习，这降低了过滤器效率，因为对于不同人来说，正常邮件的特征元素是不一样的。 *获得特征元素分析的邮件数量多少是一个关键。如果垃圾邮件发送者也适应了这些特征，就可能让垃圾邮件更象正常邮件。这样的话，过滤特征就要更改了。 *每个词计算的分数应该基于一种很好的评价，但是还是有随意性。比如，特征就可能不会适应垃圾邮件的单词变化，也不会适应某个用户的需要。 贝叶斯理论现在在计算机行业中应用相当广泛，这是一种对事物的不确定性描述，比如google计算中就采用了贝叶斯理论。贝叶斯算法的过滤器就是计算邮件内容中成为垃圾邮件的概率，它要首先从许多垃圾邮件和正常邮件中进行学习，因此，效果将比普通的内容过滤器更优秀，错报就会更少。贝叶斯过滤器也是一种基于评分的过滤器。但不仅仅是一种简单的计算分数，而更从根本上来识别。它采用自动建立特征表的方式，原理上，首先分析大量的垃圾邮件和大量的正常邮件，算法分析邮件中多种特征出现概率。 贝叶斯算法计算特征的来源通常是: ?邮件正文中的单词 ?邮件头(发送者、传递路径等) ?其他表现，比如HTML编码(如颜色等) ?词组、短语 ?meta信息，比如特殊短语出现位置等 比如，正常邮件中经常出现单词AAA，但是基本不在垃圾邮件中出现，那么，AAA标示垃圾邮件的概率就接近0，反之则然。 贝叶斯算法的步骤为: 1. 收集大量的垃圾邮件和非垃圾邮件，建立垃圾邮件集和非垃圾邮件集。 2. 提取特征来源中的独立字符串，例如 AAA等作为TOKEN串并统计提取出的TOKEN串出现的次数即字频。按照上述的方法分别处理垃圾邮件集和非垃圾邮件集中的所有邮件。 3. 每一个邮件集对应一个哈希表，hashtable_good对应非垃圾邮件集而hashtable_bad对 应垃圾邮件集。表中存储TOKEN串到字频的映射关系。 4. 计算每个哈希表中TOKEN串出现的概率P=(某TOKEN串的字频)/(对应哈希表的长度) 5. 综合考虑hashtable_good和hashtable_bad，推断出当新来的邮件中出现某个TOKEN串时，该新邮件为垃圾邮件的概率。数学表达式为: A 事件 ---- 邮件为垃圾邮件; t1,t2 „„.tn 代表 TOKEN 串 则 P(A|ti)表示在邮件中出现 TOKEN 串 ti 时，该邮件为垃圾邮件的概率。设 hashtable_good 中的值 P1(ti)=ti 在 P2(ti)=ti 在 hashtable_ bad 中的值 P(A|ti)=P2(ti)/[(P1(ti)+P2(ti)] ; 则 6. 建立新的哈希表hashtable_probability存储TOKEN串ti到P(A|ti)的映射 7.根据建立的哈希表 hashtable_probability可以估计一封新到的邮件为垃圾邮件的可能性。 当新到一封邮件时，按照步骤2，生成TOKEN串。查询hashtable_probability得到该TOKEN 串的键值。假设由该邮件共得到N个TOKEN 串，t1,t2„„.tn,hashtable_probability中对应的值为 P1 ，P2 ，„„PN ，P(A|t1 ,t2, t3„„tn) 表示在邮件中同时出现多个TOKEN串t1,t2„„tn时，该邮件为垃圾邮件的概率。 由复合概率公式可得: P(A|t1 ,t2, t3„„tn)=(P1*P2*„„PN)/[P1*P2*„„PN+(1-P1)*(1-P2)*„„(1-PN)] 当 P(A|t1 ,t2, t3„„tn) 超过预定阈值时，就可以判断邮件为垃圾邮件。 当新邮件到达的时候，就通过贝叶斯过滤器分析，通过使用各个特征来计算邮件是spam的概率。通过不断的分析，过滤器也不断地获得自更新。比如，通过各种特征判断一个包含单词AAA的邮件是spam，那么单词AAA成为垃圾邮件特征的概率就增加了。 这样，贝叶斯过滤器就有了自适应能力，既能自动进行，也可以用户手工操作，也就更能适应单个用户的使用。而垃圾邮件发送者要获得这样的适应能力就很难了，因此，更难逃避过滤器的过滤，但他们当然还是能够将邮件伪装成很普遍的正常邮件的样子。除非垃圾邮件发送者能去对某个人的过滤器进行判断，比如，采用发送回执的办法来了解哪些邮件被用户打开了等，这样他们就可以适应过滤器了。 虽然贝叶斯过滤器还存在有评分过滤器的缺陷，但是它更优化了。实践也证明，贝叶斯过滤 器在客户端和服务器中效果是非常明显的，优秀的贝叶斯过滤器能够识别超过99.9%的垃圾邮件。大多数目前应用的反垃圾邮件产品都采用了这样的技术。比如Foxmail中的贝叶斯过滤。 2.1.6 局限性和缺点 现行的很多采用过滤器技术的反垃圾邮件产品通常都采用了多种过滤器技术，以便使产品更为有效。过滤器通过他们的误报和漏报来分等级。漏报就是指垃圾邮件绕过了过滤器的过滤。而误报则是将正常的邮件判断为了垃圾邮件。完美的过滤器系统应该是不存在漏报和误报的，但是这是理想情况。 一些基于过滤器原理的反垃圾邮件系统通常有下面的三种局限性: ?可能被绕过。垃圾邮件发送者和他们用的发送工具也不是静态的，他们也会很快适应 比如，针对关键字列表，他们可以随机更改一些单词的拼写，比如("强悍", "弓虽过滤器。 悍", "强-悍").Hash-buster(在每个邮件中产生不同的HASH)就是来绕过hash过滤器的。当前普遍使用的贝叶斯过滤器可以通过插入随机单词或句子来绕过。多数过滤器都最多只能在少数几周才最有效，为了保持反垃圾邮件系统的实用性，过滤器规则就必须不断更新，比如每天或者每周更新。 ?误报问题。最头痛的问题就是将正常邮件判断为垃圾邮件。比如，一封包含单词sample的正常邮件可能因此被判断为垃圾邮件。某些正常服务器不幸包含在不负责任的组织发布的block list对某个网段进行屏蔽中，而不是因为发送了垃圾邮件(xfocus的服务器就是这样的一个例子)。但是，如果要减少误报问题，就可能造成严重的漏报问题了。 ?过滤器复查。由于误报问题的存在，通常被标记为垃圾邮件的消息一般不会被立刻删除，而是被放置到垃圾邮件箱里面，以便日后检查。不幸的是，这也意味着用户仍然必须花费时间去察看垃圾邮件，即便仅仅只针对邮件标题。 目前更严重的问题是，人们依然认为过滤器能有效阻止垃圾邮件。实际上，垃圾邮件过滤器并不能有效阻止垃圾邮件，在多数案例中，垃圾邮件依然存在，依然穿过了网络，并且依然被传播。除非用户不介意存在被误报的邮件，不介意依然会浏览垃圾邮件。过滤器可以帮助我们来组织并分隔邮件为垃圾邮件和正常邮件，但是过滤器技术并不能阻止垃圾邮件，实际上只是在"处理"垃圾邮件。 尽管过滤器技术存在局限，但是，这是目前最为广泛使用的反垃圾邮件技术。 2.2、验证查询 SMTP在设计的时候并没有考虑到安全问题。在1973年，计算机安全还没有什么意义，那个时候能够有一个可执行的邮件协议已经很了不起了。比如，RFC524描述将SMTP作为独立协议的一些情况: "虽然人们可以或者可能可以，以本文档为基础设计软件，但请恰如其分地进行批注。 和问题。我坚信协议中依然存在问题，我希望读者能够阅读RFC的时候能够将它请提出建议 们都指出来。" 尽管SMTP的命令组已经发展了很长时间，但是人们还是以RFC524为基础来执行SMTP的，而且还都假定问题(比如安全问题)都会在以后被解决。因此直到2004年，源自RFC524中的错误还是依然存在，这个时候SMTP已经变得非常广泛而很难简单被代替。垃圾邮件就是一个滥用SMTP协议的例子，多数垃圾邮件工具都可以伪造邮件头，伪造发送者，或者隐藏源头。 垃圾邮件一般都是使用的伪造的发送者地址，极少数的垃圾邮件才会用真实地址。垃圾邮件发送者伪造邮件有下面的几个原因: *因为是违法的。在多个国家内，发送垃圾邮件都是违法行为，通过伪造发送地址，发送者就可能避免被起诉。 *因为不受欢迎。垃圾邮件发送者都明白垃圾邮件是不受欢迎的。通过伪造发送者地址，就可能减少这种反应。 *受到ISP的限制。多数ISP都有防止垃圾邮件的服务条款，通过伪造发送者地址，他们可以减少被ISP禁止网络访问的可能性。 因此，如果我们能够采用类似黑白名单一样，能够更智能地识别哪些是伪造的邮件，哪些是合法的邮件，那么就能从很大程度上解决垃圾邮件问题，验证查询技术正是基于这样的出发点而产生的。以下还会解析一些主要的反垃圾邮件技术，比如Yahoo!、微软、IBM等所倡导和主持的反垃圾邮件技术，把它们划分在反向验证查询技术中并不是很恰当，但是，从某种角度来说，这些技术都是更复杂的验证查询。 2.2.1、反向查询技术 从垃圾邮件的伪造角度来说，能够解决邮件的伪造问题，就可以避免大量垃圾邮件的产生。为了限制伪造发送者地址，一些系统要求验证发送者邮件地址，这些系统包括: 反向邮件交换 (RMX)];[/ url] 发送者许可(SPF)];[/url] 标明邮件协议(DMP)];[/url] 这些技术都比较相近。DNS是全球互联网服务来处理IP地址和域名之间的转化。在1986年，DNS扩展，并有了邮件交换纪录(MX)，当发送邮件的时候，邮件服务器通过查询MX纪录来对应接收者的域名。 类似于MX纪录，反向查询解决方案就是定义反向的MX纪录("RMX"--RMX，"SPF"--SPF，"DMP"--DMP)，用来判断是否邮件的指定域名和IP地址是完全对应的。基本原因就是伪造邮件的地址是不会真实来自RMX地址，因此可以判断是否伪造。 2.2.2 DKIM技术 基于雅虎的DomainKeys验证技术和思科的 DKIM(DomainKeys Identified Mail)技术 Internet Identified Mail。 雅虎的DomainKeys利用公共密钥密码术验证电子邮件发件人。发送系统生成一个签名并把签名插入电子邮件标题，而接收系统利用DNS发布的一个公共密钥验证这个签名。 思科的验证技术也利用密码术，但它把签名和电子邮件消息本身关联。发送服务器为电子邮件消息签名并把签名和用于生成签名的公共密钥插入一个新标题。而接收系统验证这个用于为电子邮件消息签名的公共密钥是授权给这个发件地址使用的。 DKIM将把这两个验证系统整合起来。它将以和DomainKeys相同的方式用DNS发布的公共密钥验证签名，它也将利用思科的标题签名技术确保一致性。 DKIM给邮件提供一种机制来同时验证每个域邮件发送者和消息的完整性。一旦域能被验证，就用来同邮件中的发送者地址作比较检测伪造。如果是伪造，那么可能是spam或者是欺骗邮件，就可以被丢弃。如果不是伪造的，并且域是已知的，可为其建立起良好的声誉，并绑定到反垃圾邮件策略系统中，也可以在服务提供商之间共享，甚至直接提供给用户。 对于知名公司来说，通常需要发送各种业务邮件给客户、银行等，这样，邮件的确认就 。可以保护避免受到phishing攻击。 显得很重要 现在，DKIM技术标准提交给IETF，可以参考draft文档的实现过程 发送服务器经过两步: 1、建立。域所有者需要产生一对公/私钥用于标记所有发出的邮件(允许多对密钥)，公钥 在DNS中公开，私钥在使用DomainKey的邮件服务器上。 2、签名。当每个用户发送邮件的时候，邮件系统自动使用存储的私钥来产生签名。签名作为邮件头的一部分，然后邮件被传递到接收服务器上。 接收服务器通过三步来验证签名邮件: 1、准备。接收服务器从邮件头提取出签名和发送域(From:)然后从DNS获得相应的公钥。 2、验证。接收服务器用从DNS获得的公钥来验证用私钥产生的签名。这保证邮件真实发送并且没有被修改过。 3、传递。接收服务器使用本地策略来作出最后结果，如果域被验证了，而且其他的反垃圾邮件测试也没有决定，那么邮件就被传递到用户的收件箱中，否则，邮件可以被抛弃、隔离等。 2.2.3、SenderID技术 2004年，Gates曾信誓旦旦地预言微软能够在未来消灭垃圾邮件，他所期望的就是Sender ID技术，但是，最近他则收回了他的预言。这也就是标准之争，微软希望IETF能够采用Sender ID技术作为标准，并且得到了大量支持，比如Cisco, Comcast, IBM, Cisco,Port25,Sendmail,Symantec,VeriSign等，也包括后来又倒戈的AOL的支持，但是在开源社区，微软一直没有得到足够的支持，IETF最终否决了微软的提议。 SenderID技术主要包括两个方面:发送邮件方的支持和接收邮件方的支持。其中发送邮件方的支持主要有三个部分:发信人需要修改邮件服务器的DNS，增加特定的SPF记录以表明其发信身份，比如"v=spf1 ip4:192.0.2.0/24 -all"，表示使用SPF1版本，对于192.0.2.0/24这个网段是有效的;在可选情况下，发信人的MTA支持在其外发邮件的发信通信协议中增加SUBMITTER等扩展，并在其邮件中增加Resent-Sender、Resent-From、Sender等信头。 接收邮件方的支持有:收信人的邮件服务器必须采用SenderID检查技术，对收到的邮件检查PRA或MAILFROM，查询发件者DNS的SPF纪录，并以此验证发件者身份。 因此，采用Sender ID技术，其整个过程为: 第一步，发件人撰写邮件并发送; 第二步，邮件转移到接收邮件服务器; 第三步，接收邮件服务器通过SenderID技术对发件人所声称的身份进行检查(该检查通过DNS的特定查询进行); 第四步，如果发现发信人所声称的身份和其发信地址相匹配，那么接收该邮件，否则对该邮件采取特定操作，比如直接拒收该邮件,或者作为垃圾邮件。 Sender ID技术实际上并不是根除垃圾邮件的法宝，它只是一个解决垃圾邮件发送源的技术，从本质上来说，并不能鉴定一个邮件是否是垃圾邮件。比如，垃圾邮件发送者可以通过注册廉价的域名来发送垃圾邮件，从技术的角度来看，一切都是符合规范的;还有，垃圾邮件发送者还可以通过别人的邮件服务器的漏洞转发其垃圾邮件，这同样是SenderID技术所不能解决的。 2.2.4、FairUCE技术 FairUCE(Fair use of Unsolicited Commercial Email)由IBM开发，该技术使用网络领域的内置身份管理工具，通过分析电子邮件域名过滤并封锁垃圾邮件。 FairUCE把收到的邮件同其源头的IP地址相链接--在电子邮件地址、电子邮件域和发送邮件的计算机之间建立起一种联系，以确定电子邮件的合法性。比如采用SPF或者其他方法。如果，能够找到关系，那么检查接受方的黑白名单，以及域名名声，以此决定对该邮件的操作，比如接收、拒绝等。 FairUCE还有一个功能，就是通过溯源找到垃圾邮件的发送源头，并且将那些传递过来的垃圾邮件再转回给发送源头，以此来打击垃圾邮件发送者。这种做法利弊都有。好处就是能够影响垃圾邮件发送源头的性能，坏处就是可能打击倒正常的服务器(比如被利用的)的正常工作，同时该功能又复制了大量垃圾流量。 2.2.5、局限性和缺点 这些解决方案都具有一定的可用性，但是也存在一些缺点: **非主机或空的域名 反向查询方法要求邮件来自已知的并且信任的邮件服务器，而且对应合理IP地址(反向MX纪录)。但是，多数的域名实际上并不同完全静态的IP地址对应。通常情况下，个人和小公司也希望拥有自己的域名，但是，这并不能提供足够的IP地址来满足要求。DNS注册主机，比如GoDaddy，向那些没有主机或只有空域名的人提供免费邮件转发服务。尽管这 种邮件转发服务只能管理接收的邮件，而不能提供邮件发送服务。 反向查询解决方案对这些没有主机或者只有空域名的用户造成一些问题: ?没有反向MX记录。这些用户现在可以配置邮件客户端就可以用自己注册的域名能发送邮件。但是，要反向查询发送者域名的IP地址就根本找不到。特别是对于那些移动的、拨号的和其他会频繁改变自己IP地址的用户。 ?不能发送邮件。要解决上面的问题，一个办法就是通过ISP的服务器来转发邮件，这样就可以提供一个反向MX纪录，但是，只要发送者的域名和ISP的域名不一样的时候，ISP现在是不会允许转发邮件的。 这两种情况下，这些用户都会被反向查询系统拦截掉。 **合法域名 能验证身份，并不一 定就是合法的身份，比如:垃圾邮件发送者可以通过注册廉价的域名来发送垃圾邮件，从技术的角度来看，一切都是符合规范的;还有，目前很多垃圾邮件发送者可以通过别人的邮件服务器漏洞进入合法邮件系统来转发其垃圾邮件，这些问题对于验证查询来说还无法解决。 2.3、挑战 垃圾邮件发送者使用一些自动邮件发送软件每天可以产生数百万的邮件。挑战的技术通过延缓邮件处理过程，将可以阻碍大量邮件发送者。那些只发送少量邮件的正常用户不会受到明显的影响。但是，挑战的技术只在很少人使用的情况下获得了成功。如果在更普及的情况下，可能人们更关心的是是否会影响到邮件传递而不是会阻碍垃圾邮件。 和 计算性挑战(challenge-response and 这里介绍两种主要的挑战形式:挑战-响应， proposed computational challenges) 2.3.1 挑战-响应 挑战-响应(Challenge-Response:CR)系统保留着许可发送者的列表。一个新的邮件发送者发送的邮件将被临时保留下来而不立即被传递。然后向这个邮件发送者返回一封包含挑战的邮件(挑战可以是连接URL或者是要求回复)。当完成挑战后，新的发送者则被加入 到许可发送者列表中。对于那些使用假邮件地址的垃圾邮件来说，它们不可能接收到挑战，而如果使用真实邮件地址的话，又不可能回复所有的挑战。但是，CR系统还是有许多局限性: CR死锁。假如Alice告诉Bill要给朋友Charlie发送邮件。Bill发送一个邮件给Charlie，Charlie的CR系统临时中断邮件并发送给Bill一个挑战。但是Bill的CR系统又会中断Charlie这里发送出来的挑战邮件，并发送自己的挑战。因此，结果就是，用户都没有接收到挑战，而且用户也无法回复邮件。而且用户也无法知道，在挑战过程中发生了问题。因此，如果双方都使用CR系统的话，他们就可能根本无法进行沟通。 发送给朋友„„"功能， 自动系统问题。邮件列表或者那些自动系统，比如一些网站的" 就不可能回应挑战。 解释挑战。许多CR系统都执行解释性挑战。这些复杂的CR系统包含了字符识别和参数匹配，但是即便如此，还是能够进行自动化操作。比如，Yahoo的CR系统在创建新邮件账号的时候，对于那些有简单智能字符分析的系统是存在漏洞的。Hushmail的邮件CR系统要求从蓝背景图片中找出指定的图形(分析背景，找出图形，提交坐标，这是可能的) 这些在市场宣传神化中强调了两点:1、人们必须得提供挑战，2、这些问题都非常复杂而不太可能自动化操作。但是实际上，多数的垃圾邮件发送者完全不理睬了这些CR系统，因为他们主要是担心没有大量的接收者，而不是担心挑战太复杂。许多垃圾邮件发送者也使用有效的邮件地址。当CR系统会干扰垃圾邮件的时候，那些发送者也会找出自动化搞定这些挑战的办法的。 2.3.2、计算性挑战 现在也提出了一些计算性挑战方案Computational Challenge (CC)，如，通过增加发送邮件的"费用"。多数CC系统使用复杂的算法来有意拖延时间。对于单个用户来说，这种拖延很难被察觉，但是对于发送大量邮件的垃圾邮件发送者来说，这就意味着要花费很多时间了。CC系统的实例，如Hash Cash ()。但是，即便如此，CC系统还是会影响快速通讯而不仅仅影响垃圾邮件。这些局限包括: ?不平等影响。计算性挑战是以CPU、内存和网络为基础的，比如，在1Ghz计算机上 挑战可能花费10秒，但是在500Mhz上就需要花费20秒了。 ?邮件列表。许多邮件列表都有数千，甚至数百万的接受者。比如BugTraq，就可能会被看作垃圾邮件了。CC系统来处理邮件列表是不现实的。如果垃圾邮件发送有办法通过合法的邮件列表来绕过挑战，那么他们也就有办法绕过其他的挑战了。 象垃圾邮件一样的病毒，能让垃圾邮件发送者控制大量 ?机器人程序。Sobig或者其他 的机器。这就让他们能够用大量的系统来均衡"费用"了。 ?合法的机器人程序。垃圾邮件发送者发送垃圾邮件是因为会给他们带来收入。如果这 费用"，这完全是合法的，而且不需要通过病些人联合起来，就可能提供大量的系统来分担" 毒了。 当前，计算性挑战还没有广泛应用，因为这种技术还不能解决spam问题，反而可能干扰正常用户。 2.4、密码术 现在提出了一些采用密码技术来验证邮件发送者的方案。从本质上来说，这些系统采用证书方式来提供证明。没有适当的证书，伪造的邮件就很容易被识别出来，下面就是一些研究中的密码解决办法: AMTP. MTP. S/MIME and PGP/MIME. 目前的邮件协议(SMTP)不能直接支持加密验证。研究中的解决方案扩展了SMTP(比如S/MIME，PGP/MIME和AMTP)，还有一些其他的则打算代替现在的邮件体系，比如MTP。有趣的是，MTP的作者说到:"SMTP已经有20多年历史了，然而近代的一些需求则在过去5到10年内发展起来。许多扩展都是针对SMTP的语句和语义，纯粹的SMTP不能满足这些需求，如果不改变SMTP的语句，是很难有所突破的。"但是，很多的扩展的SMTP实例恰恰表明了SMTP的可变性，而不是不变性，完全创造一个新的邮件传输协议并不是必须的。 在采用证书的时候，比如X.509或TLS，某些证书管理机构必须得可用，但是，如果证 书存储在DNS，那么私钥必须得在验证的时候可用。(换句话说，如果垃圾邮件发送者可以访问这些私钥，那么他们就可以产生有效的公钥)。另一方面，也要用到主要的证书管理机 )，但是，邮件是一种分布式系统，没有人希望所有的邮件都由单独的CA来控制。一构(CA 些解决办法因此允许多个CA系统，比如，X.509就会确定可用的CA服务器。这种扩展性也导致垃圾邮件发送者也可以运行着私有的CA服务器。 如果没有证书管理机构，就需要其他的途径在发送者和接收者之间来分发密钥。比如，PGP，就可以预先共享公钥。在未连接网络或者比较封闭的群组中，这种办法是可行的，但是在大量个体使用的时候，就不是太适合，特别是对于需要建立新的联系的情况下。从本质上来说，预先共享密钥有些类似白名单的过滤器:只有彼此知道的人才能发送邮件。 不幸的是，这些加密解决方案还不能阻止垃圾邮件，比如，假设其中的一种加密方案广泛被接受了。这些办法都不能确认邮件地址是真实的，而只是可以确认发送者有邮件的正确密钥。缺点就是: ?滥用自动化工具。如果在广大范围内被应用，就需要有一种办法为所有用户产生证书 (包括邮件服务器端，邮件客户端，依赖与相应的解决办法)系统很可能通过一种或者密钥 自动化的方法来提供密钥。可是，可以相信垃圾邮件发送者也会滥用任何自动化系统，并且用来发送经认证的垃圾邮件。 ?可用性问题。这也有一些可用性的争论。比如，如果CA服务器不可用怎么办,邮件被挂起,退票,还是依然可用,垃圾邮件发送者近来对一半以上的提供黑名单网站进行了拒绝服务攻击，并导致这些网站都无法访问。显然，这些垃圾邮件发送者想阻止别人更新黑名单。对于单一的CA服务器，很显然也无法避免这样的命运。 3、总结 上面介绍了一些反垃圾邮件的技术，其实，现在很多反垃圾邮件方案所采用的都不会只是一种技术，而是多种多类技术的综合体。 垃圾邮件的危害现在已经深入人心，反垃圾邮件也取得越来越多的成绩，比如，Scott Richter向微软赔款700万。不少国家也在为反垃圾邮件进行立法，以便能够得到法律上的支持。 但从技术上来说，这跟反攻击一样，是一个正反双方的博弈过程，一种新的反垃圾邮件技术必然会出现一种对应得垃圾邮件技术，况且，任何一种技术，还没有办法去解决所有问题，技术的发展也将延续下去。 十二种流行的防垃圾邮件技术 1.实时黑名单法 实时黑名单(RBL:Realtime blackhole list):即将发送垃圾邮件的服务器列入黑名单拒收。所谓实时黑名单实际上是一组可供查询的IP地址列表，判断一个IP地址是否已经被列入了黑名单，只要使用黑名单服务的软件会发出一个查询到黑名单服务器。如果该地址被列入了黑名单，那么服务器会返回一个有效地址的答案。反之则得到一个否定答案。同时，由于现在世界上大多数的主流邮件服务器都支持实时黑名单服务，通常多数的提供者都是有国际信誉的组织，因此该名单是可信任的。 2.贝叶斯Bayesian算法 这是一个非常著名的算法，很多电子邮件程序包括foxmail都在使用。贝叶斯算法，可以学习单词的频率和模式，这样可以同垃圾邮件和正常邮件关联起来进行判断。这种方法虽然更复杂，却更加智能化。应用特征过滤筛选邮件应该算做是这种方法的一个雏形。 3.服务器认证法 这是一个看起来很简单但是实施起来很麻烦的方法，世界上那么多服务器根本不可能建立一各全社会都互相关联的服务器网络，尽管有些邮件服务器已经开始建立起这样的关联，但是这只是这项“社会工程”里的一小部分。 4.连接/发送频率监测法 正常用户发送和接收邮件的数量和频率远远低于垃圾邮件发送者，因此可以根据垃圾邮件发送具有一定时间内邮件数量和邮件连接频率都非常大的情况，从频率和数量对垃圾发送者的连接行为进行控制。 从1993年至今，这四种方法成为对付垃圾邮件的“斗士”，很多安全厂商纷纷采用这些方法阻击垃圾邮件，不过我们仍然要提到一个在软件业各个领域都是带头人的一个公司，那就是微软。 不得不提到的一个反垃圾邮件的积极响应者就是比尔?盖茨的微软，他们所提出的电子邮票方案一度让人们看到了垃圾邮件凄惨的未来，不过这个提案给正常发送邮件者带来了一定的困扰因而现在遭受到了人们的质疑。 5.Challenge-Response方式 挑战-应答模式是从增加垃圾邮件发送者时间成本上入手，要求每发送一封邮件，就要求发件人回答一些问题的方式来增加发送时间。 6.Domainkeys方式 这是一种基于PKI的方式对邮件发送者进行验证，对邮件信息进行加密保护，对收信人实现防抵赖机制。 7.SPF方式 这是一种源头认证的方式，它通过改变域名系统的数据库，接受方核实邮件实际来源是否和SPF注册的一致来判断邮件是否为假冒邮件。 另外还有基于病毒引擎的病毒邮件的过滤等的一些反垃圾邮件方式，主要在一些反病毒产品中体现，但是有时候会出现失误，因为它会将所有通过群发而来的邮件全都当成垃圾邮件，即使有的是正常的群发邮件。 8.Sender ID技术 如果说反垃圾邮件是一场各项技术“争奇斗艳”的舞会，那么Sender ID技术无疑就是最耀眼的舞者，因为正是它让盖茨对消灭垃圾邮件有了莫大的信心，因为它曾经是反垃圾邮件行业最热门的话题，也因为它差点成为反垃圾邮件行业的标准。 SenderID技术对发送方的DNS记录进行修改，增加特定的DNS资源记录以标识其发信方身份。同时对接收方也进行认证:收信人对收到的邮件通信信息进行DNS查询，通过特定的DNS资源记录检查其发信身份。这些检查的通讯信息包括EHLO/HELO信息、MAIL FROM信息、信头中特定的字段信息等。如果上述两个方面的检查失败，则判断为垃圾邮件拒收。 9.专用反垃圾邮件防火墙 在反垃圾邮件设备中，梭子鱼应当是大家最常听到的一个名词。它其实是Barracuda N 服务器和固化的操etworks出品的一种反垃圾邮件防火墙。专用的反垃圾邮件防火墙由专用 作系统构成，逻辑位置部署在网关和服务器之间，拥有专项服务、设置简单、邮件保护等功能。虽然增加了网络建设的成本，但是这种设备可以保证处理效率，不会造成高速网络环境的停滞，比较适合大型公司。 目前市场上专用反垃圾邮件防火墙比较权威的要属CipherTrust公司的Ironmail和Barracuda Networks的梭子鱼。 10.网关级反垃圾邮件设备 将专用反垃圾设备集成在网关来检测流入的邮件，在网关部署的优点是在不打破网络拓扑环境的情况下，加强了原来邮件服务器的安全，而这种设备的缺点也比较明显，是由于反垃圾邮件属于内容安全，反垃圾邮件处理需要更多的处理资源，在大流量的网络环境中，一旦网络流量很大，反垃圾邮件的智能检查有可能会降低网络性能，成为高速网络中的瓶颈设备。所以网关级反垃圾邮件产品适用于网络流量不大的中小企业网络环境，用户可以不用专门购买梭子鱼等反垃圾邮件防火墙从而降低企业成本。 目前市场上网关级反垃圾邮件产品有KILL赤霄邮件过滤网关和美讯智安全信息网关等，这是口碑比较好的产品。 11.服务器级反垃圾邮件产品 所谓服务器级产品，也就是在服务器上加装反垃圾邮件功能模块，它的本职工作是“处理--转发”邮件，因此不会像反垃圾邮件防火墙那样具备强大的功能。 12.桌面级反垃圾邮件产品 桌面级的反垃圾邮件更加简单，它其实只是邮件接收端的一个功能模块，是反垃圾邮件 的最后一道关卡，可以集成在Outlook、Hotmail里发挥过滤功能，这是纯粹的个人级产品。