多过滤器安全邮件网关的设计

多过滤器安全邮件网关的设计刘幸辉等[摘要]针对传统邮件网关不能真正面向用户和处理垃圾邮件性能差等缺陷，设计一种个性化安全邮件网关，该邮件网关与邮件服务器协同工作，可以实现多过滤器过滤功能。对其体系结构进行详细设计和分析，通过与普通的邮件过滤网关进行对比测试，结果表明：多过滤安全邮件网关过滤效果好，性能高。[关键词]邮件网关体系结构垃圾邮件一、传统邮件网关的缺陷常见的邮件过滤系统通常只能对邮件内容进行过滤，无法防御网络层的DoS攻击，而且大多数需要修改邮件服务器的配置或者DNS服务器的MX记录，对原有系统的影响较大，如果园区网管理员没有DNS管理权限(例如通过其他代理商注册域名)，修改MX记录还会遇到一定的困难。因此我们根据局域网的特点，设计开发了一种采用多层过滤模式的邮件过滤网关，保护电子邮件服务器的安全。采用多过滤器过滤垃圾邮件的策略有两大优点：一是方便了管理员对系统的管理，增加了用户反垃圾邮件的选择。也就是说，采用多过滤器过滤垃圾邮件的策略是设计并实现个性化过滤的基础；二是改善了过滤效果。即采用了多过滤器的方法对垃圾邮件进行内容过滤，可以得到更好的过滤效果。二、模块设计基于多过滤安全邮件网关的由八个组成模块构成（如图1所示），其详细设计如下。（一）IP过滤模块IP过滤模块实现邮件网关三层过滤的第一层:IP过滤。此模块进行的操作与防火墙相似，因此可以将此模块放置到防火墙中去实现。IP过滤模块通过黑名单管理模块得到被列入黑名单的IP地址。根据这个黑名单以及相应的配置信息来过滤所有远程邮件服务器发来的IP包。（二）黑名单管理模块是反垃圾邮件的重要方法。凡是列入黑名单的客户，邮件网关拒绝转发信件。在本系统中，黑名单分为权威黑名单和临时黑名单。权威黑名单是由民间组织维护，定期发布的垃圾邮件源地址列表，可信性比较高；而临时黑名单是由本系统产生的。与本系统交互的客户如果采取了可疑的行为，例如DOS攻击，目录树攻击，大规模群发邮件等，系统就可能结合配置信息认定该客户有发垃圾邮件的嫌疑。此时该客户的IP地址会被加入图1多过滤安全邮件网关的模块结构临时黑名单。此类黑名单具有动态性，在使用特定的次数时间段后就会从名单中删除。（三）策略过法模块没有被IP过滤模块过滤掉的IP包进入邮件网关的第二层过滤阶段，进行策略过滤，如果此邮件为合法邮件，则进行记日志等操作，并将该邮件传给第三层智能过滤模块；否则进行相应善后工作。策略层过滤是反垃圾邮件的另一个重要手段。策略层通过DNS检索，域名规范性检查，攻击检测，拒收列表，关键字过滤，规则表达式匹配等方法对垃圾邮件进行堵截。其中，DNS检索，域名规范性检查，攻击检测等是在SMTP对话中进行的过滤；而关键字过滤与规则表达式匹配属于接收后过滤，即在SMTP对话结束后，对接收的信件再次过滤。（四）智能过滤模块智能过滤模块是邮件网关的第三层过滤阶段。通过策略过滤模块的信件进入智能过滤模块，进一步对垃圾邮件进行过滤。智能过滤模块所使用的垃圾邮件过滤器采用具有自学习功能的贝叶斯算法。垃圾邮件过滤器可以根据实际情况以及超级管理员的意愿主动或被动进行升级。智能过滤模块也将体现个性化过滤的思想。超级管理员提供若干过滤器供域管理员和用户选择，并为整个邮件网关(即所有的用户)确定要使用的过滤器。域管理员根据实际情况，在超级管理员给定的若干过滤器中选定本域用户都要使用的过滤器。用户也根据自己的意愿在超级管理员给定的若千过滤器中选定需要使用的过滤器。每个过滤器专门负责一种类型垃圾邮件的过滤工作。所谓“一种类型垃圾邮件”，是指其特性相近的一组垃圾邮件的集合。例如所有病毒垃圾邮件就被认为是一组特性相近的垃圾邮件。对于其他非病毒性垃圾邮件而言，“特性相近”主要是指其内容具有一定的相似性。这主要是为了体现“个性化过滤”的特点，以及提高垃圾邮件过滤性能。为了过滤掉所有的共性化垃圾邮件，根据其特性创建若干过滤器。例如，针对病毒垃圾邮件建立一个专门的过滤器；针对反动宣传性垃圾邮件建立一个专门的过滤器等等。当然，也可以根据实际情况，或者随着现实情况以及需求的变化，建立多个过滤器共同负责原来仅由一个过滤器完成的垃圾邮件过滤工作。例如，可能需要一个专门的过滤器来负责过滤“法轮功”的宣传性垃圾邮件，而另一个过滤器负责过滤其他的反动宣传性垃圾邮件。对于个性化垃圾邮件，每个用户都有不同的定义。这里为所有用户提供一系列的过滤器。每个过滤器负责特性相近的一组个性化垃圾邮件的过滤工作。用户可以根据自己的好恶以及实际情况进行选择。一封邮件被发送到智能过滤模块，首先根据其接收者的账号来决定它所要使用的垃圾邮件过滤器。然后分别用这些过滤器对此邮件进行多次过滤。每一次过滤都会有一个结果，也就是说此邮件是不是垃圾邮件，如果是，是什么类型的垃圾邮件。只要有一个过滤器判定此邮件是垃圾邮件，那么这封邮件就被判定为垃圾邮件，并根据给定的配置信息进行相应的善后处理工作。否则，此邮件就被判定为正常邮件。这也是个性化安全邮件网关对其进行垃圾邮件过滤的最终结果。这封信件将被邮件网关转发给原邮件服务器，在原邮件服务器将被分发到信件接收者的信箱中存储起来。（五）日志管理模块要求对本系统执行的动作进行详细的记录以备查询，并对日志加以分析统计以获得有用的信息。主要有两方面的工作要做。一是为黑名单管理模块提供相应信息，使其正常的为第一层IP过滤模块生成临时黑名单;二是通过管理界面模块向超级管理员，域管理员以及用户提供显示相关系统信息的表格和图形化信息。这些都需要日志模块做好相关日志信息的记录和统计工作。（六）配置文件管理模块配置文件管理模块负责组织，存储，管理和查询个性化安全邮件网关的，每个子模块的，以及超级管理员，域管理员和用户的各种配置信息。各种需要保存的系统信息，以及超级管理员，域管理员和用户在每个过滤模块的各种过滤策略都被理解为配置信息而由配置文件管理模块进行统一管理。配置文件管理模块在整个系统中占据极为重要的地位。它支持IP过滤模块，策略过滤模块和智能过滤模块等功能模块进行正常运作。为其他各模块调用配置文件管理模块提供的统一接口，对目标配置信息进行读取，修改，删除和查询等操作。（七）管理界面模块管理界面模块负责给超级管理员，域管理员以及用户提供一个便捷，高效和友好的管理界面。管理员以及用户利用管理界面模块提供的图形化界面，在自己权限内对相关配置信息进行添加，删除，修改等操作。三、性能测试多过滤器过滤是建立若干个垃圾邮件集，将同一类型的垃圾邮件放在一个集合里，进行分字概率统计，并生成对这一类型的垃圾邮件而言的垃圾邮件概率表。对一封信来的邮件，将进行多次垃圾邮件过滤，每次过滤分别以一种类型垃圾邮件的垃圾邮件概率表为依据。下面我们分别对贝叶斯垃圾邮件过滤和多过滤器过滤方法进行测试。假设现有四封垃圾邮件、一封正常邮件可以提供学习，其中垃圾邮件内容分别是:第一封为“法轮功”；第二封为“法轮大法好”；第三封为“免费使用”；第四封为“费用全免”。前两封为法轮功宣传性垃圾邮件，后两封为商业广告垃圾邮件。一封正常邮件内容是“用功学法律”。如果来了一封电子邮件等待判定，待判定邮件的内容为“法轮法”，查询生成的垃圾邮件概率表，取出现概率最高的两个字（“法”和“轮”）来判定，带入公式。如果概率大于0.95，则判定此邮件为垃圾邮件。在贝叶斯垃圾邮件过滤方法中，四封垃圾邮件一共出现10个字，正常邮件政一共出现5个字,垃圾邮件集和正常邮件集一共出现12个字。其中，“法”出现的概率为:15/31，“轮”出现概率为:100/108，垃圾邮件概率生成如下：P(垃圾邮件|法,轮)=[(15/31)*(100/108)]/[(15/31)*(100/108)+(16/31)*(8/108)]=375/407=0.92P小于0.95，所以这封邮件被判定为非垃圾邮件，即正常邮件。由此邮件的内容可知应该是一封法轮功宣传性垃圾邮件，但是没有被过滤出来。同样在多过滤器过滤方法中，将上述两封法轮功宣传性垃圾邮件作为一个垃圾邮件集进行学习，两封垃圾邮件一共出现5个字。待学习的正常邮件集不变，圾邮件集和正常邮件集一共出现8个字。同理，根据公式4.1生成法轮功宣传性垃圾邮件概率表（见表1），其中，“法”出现的概率为:15/31，“轮”出现概率为:100/108，垃圾邮件概率生成如下：P(垃圾邮件|法,轮)＝[(15/23)*(100/104)]/[(15/23)*(100/104)+(8/23)*(4/104)]=750/766=0.98P值大于0.95，所以这封邮件被判定为法轮功宣传性垃圾邮件。证明采用这种方法进行垃圾邮件过滤，其效果有很大的提高，有效的提高垃圾邮件的查杀率。表1生成垃圾邮件概率表过滤对象（字）多过滤器过滤概率生成贝叶斯垃圾邮件过滤概率生成法(3/8)/((3/8)+(1/5))=15/23(3/16)/((3/16)+(1/5))=15/31轮(2/8)/((2/8)+(0.01))=100/104(2/16)/((2/16)+(0.01))=100/108功(1/8)/((1/8)+(1/5))=5/13(1/16)/((1/16)+(1/5))=5/21大(1/8)/((1/8)+(0.01))=100/108(1/16)/((1/16)+(0.01))=100/116好(1/8)/((1/8)+(0.01))=100/108(1/16)/((1/16)+(0.01))=100/116免(2/16)/((2/16)+(0.01))=100/108费(2/16)/((2/16)+(0.01))=100/108使(1/16)/((1/16)+(0.01))＝100/116用(0.01)/((0.01)+(1/5))=5/105(2/16)/((2/16)+(1/5))=10/26全(1/16)/((1/16)+(0.01))=100/116学(0.01)/((0.01)+(1/5))=5/105(0.01)/((0.01)+(1/5))=5/105律(0.01)/((0.01)+(1/5))=5/105(0.01)/((0.01)+(1/5))=5/105四、总结本文的创新点是：设计一套具备个性化过滤和多过滤器过滤功能的安全邮件网关解决方案。对用户来说，个性化过滤可以根据用户自己对垃圾邮件的不同定义，主动参与到共性化垃圾邮件和个性化垃圾邮件过滤策略的定制之中。对管理员而言，通过分域管理的方式，能够根据实际需求定制不同过率策略，更好的对系统进行管理，可以更好的满足用户以及管理员的需要。多过滤器过滤是指改变传统单一过滤的方法，为各种特性的垃圾邮件建立各自的垃圾邮件过滤器，对邮件进行多次过滤操作，它为个性化过滤提供了基础，并且提高了垃圾邮件的过滤效率。参考文献[1]范建华，青光辉，张涛，等译.W.RichardStevens.TCP/IP详解(第一版)[M]，北京：机械工业出版社，1999：191-192[2]谢希仁.计算机网络(第二版)[M]，北京：电子工业出版社，1999：291-301[3]张宝平，李芝棠.融合入侵检测模块的分布式防火墙系统模型[J]，华中科技大学学报，2003.31：185－186（原刊于《电脑知识与技术》2007年第5期）