专利名称:广域网中垃圾邮件主机检测的方法和系统的制作方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种在广域网中检测垃圾邮件主机的方法和系统。
背景技术:
垃圾邮件一般指的是大量未经用户许可,但却被强行塞入用户邮箱的电子邮件。 垃圾邮件的常见内容包括赚钱信息、成人广告、商业或个人网站广告、电子杂志、连环信等。垃圾邮件一般具有以下特性同一内容多次重复发送;同一发件人特定时间段非正常通讯;不合法的地址;来自国际公开RBL列表的IP请求。日益泛滥的垃圾邮件不仅会给电子邮件用户带来许多困扰,还会极大占用带宽服务器资源,给社会经济带来巨大损失。目前反垃圾邮件技术研究主要分为三个大方向一是修改现有的SMTP协议,制定一个新的安全可靠邮件协议,让垃圾邮件没有“生存的环境”;二是使垃圾邮件发送者承受 “巨大的成本”,以使通过电子邮件渠道来大量发送广告信息在经济利益上不合算,来减少垃圾邮件;三是是根据邮件的格式,发送时间,文件大小,内容以及其它特性,来识别该邮件是否为垃圾邮件,如果是,则把垃圾邮件过滤掉。由于前两种方法应用较为复杂,实施难度大,而第三种方法相对简单易行,所以目前反垃圾邮件技术大都属于第三种检测过滤方法。黑/白名单方法是一个简单有效最常用的检测过滤方法。黑名单(Black List) 和白名单(White List)分别是已知的垃圾邮件发送者和可信任的发送者的IP地址、邮件地址或域名。“黑名单”的方法立足于排除,服务器拒绝来自黑名单地址的邮件。“白名单” 的方法是包含,它主要用来确认合法的电子邮件来源减少黑名单排除失误的情况。目前在黑名单技术上最流行的是实时黑名单(Real-time Blackhole List,简称RBL)技术。它通过检查所有收到邮件的IP地址,与在RBL中的IP地址核对来阻断与垃圾邮件的连接。黑/白名单过滤技术简单,系统资源消耗小,易于实施,但是RBL的维护需要耗费相当大的时间和精力,而且由于垃圾邮件发送者在不断更换他的域名和地址,为了让该技术实时有效,RBL也得不断的更新升级,这就又给RBL的管理增加了很大的难度。
发明内容
为此本发明要解决的一个技术问题是提供一种在广域网中检测垃圾邮件发送主机,并能够不断升级垃圾邮件发送主机列表的方法和系统。为解决上述问题,本发明提供了一种在广域网中,通过统计DNS MX查询记录,检测垃圾邮件主机,并不断升级垃圾邮件发送主机列表的方法和系统。DNS MX记录是邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。本发明提供的广域网内垃圾邮件主机检测方法具体处理步骤如下1监测网内主机所进行的DNS MX查询,获得如下信息查询时间,查询主机IP,查询域名,是否返回NXD0MAIN (所查询域名不存在);2对查询记录进行统计分析,获得如下信息查询主机IP,查询域名数,返回NXD0MAIN的次数。3对查询域名数大于等于2的主机(称为目标主机)进行排查。发送DNS MX查询多个域名的机器可以分为下几种类1:DNS服务器类2:SMTP 服务器。类3 使用多个E-mail账户的正常用户类4 异常垃圾邮件主机具体排查流程参见附图1。1)向目标主机发送DNS查询请求,检查其响应情况,判断其是否为一台DNS服务器。若为DNS服务器,在目标主机列表中,将其标识为DNS服务器。否则,进行下一步判断。2)探测目标主机是否开启SMTP服务。若开启了 SMTP服务,在目标主机列表中,将其标识为SMTP服务器,否则标识为可疑主机。3)对于可疑主机,按照返回NXD0MAIN的次数(可疑度)降序排序。排名越高,其作为垃圾邮件主机的概率越大。
图1为本发明提供垃圾邮件主机检测方法的流程示意图;图2为本发明实施例中垃圾邮件主机检测系统的结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。本发明广域网垃圾邮件主机检测的方法和系统包含若干DNS MX监测点和一个垃圾邮件主机排查子系统。DNS MX监测点功能为监测网内主机所进行的DNS MX查询,获得如下信息查询时间、查询主机IP、查询域名、是否返回NXD0MAIN ;并定时将结果回送垃圾邮件排查子系统。 DNS MX监测点部署于所属子网的DNS服务器之上或者网关处,采用被动测量方式,通过捕获,分析经过该监测点的DNS查询报文和响应报文获取以上统计信息。垃圾邮件主机排查子系统部署于广域网中一个主机之上。该子系统由数据存储统计模块、目的主机排查模块,可疑主机告警模块三部分组成。其主要功能在于统计分析由 DNS MX监测点收集的网内主机DNS MX查询记录,获取目的主机列表;再通过对目的主机列表逐一进行排查,获得可疑主机列表;最后按照返回NXD0MAIN次数(降序)对可疑主机进行排序,排名越靠前,其作为垃圾邮件主机的概率越大。数据存储统计模块负责收集来自于各个DNS MX监测点所发送来的监测结果信息, 将其写入数据库。于每日凌晨0:00(这个时间可以按照更新垃圾邮件主机列表的实时性进行调整),按照查询主机IP对数据进行归并,统计处理,得到新的信息,数据格式如下查询主机IP,查询域名数,返回NXD0MAIN的概率,并从中除去查询域名数仅为一个的主机之后, 按照DNSMX查询域名个数排序,得到目的主机列表。同时删除数据库中已处理数据。目的主机排查模块负责逐一排查目的主机列表中的主机,排除DNS服务器及SMTP服务器,得到可疑主机列表。首先向目的主机列表中的主机,发送DNS查询请求,检查其响应情况,判断其是否为一台DNS服务器。若为DNS服务器,在可疑主机列表中,将其标识为 DNS服务器。否则,探测目标主机是否开启SMTP服务。若开启了 SMTP服务,在目标主机列表中,将其标识为SMTP服务器,否则标识为可疑主机。最终获得可疑主机列表,并对可疑主机列表按照返回NXD0MAIN次数降序排序。可疑主机告警模块负责向系统配置的网络管理人员邮箱,发送告警邮件。告警邮件内容为按可疑程度由大到小进行排序的可疑垃圾邮件主机列表,包含查询主机IP,每个主机查询域名数,返回NXD0MAIN次数。由上述实施示例可见,本发明的可实现性及可实施性较高,并可以定时更新可疑垃圾邮件主机列表。
权利要求
1.一种广域网中垃圾邮件主机检测的方法和系统,其特征在于通过监测统计网内主机进行DNS MX查询记录,对查询域名数超过两个的的主机,进行 DNS服务器,SMTP服务器排查,得到可疑主机列表,最后将可疑主机以返回NXD0MAIN次数作为可疑度进行降序排序。并由系统负责向网络管理员进行告警。
2.根据权利要求1所述的一种广域网中垃圾邮件主机检测系统,其特征在于该系统由若干DNS MX监测点及一个垃圾邮件主机排查子系统构成。
3.根据权利要求2所述的DNSMX监测点,其特征在于部署于网关处或DNS服务器之上,用于DNS MX记录监测,获取查询主机IP,查询域名, 是否返回NXD0MAIN等信息,并将结果回传垃圾邮件主机排查子系统。
4.根据权利要求2所述的垃圾邮件主机排查子系统,其特征在于由数据统计存储模块,目的主机排查模块,可疑主机告警模块三部分组成,用于收集来自DNS MX监测点的数据,进行统计分析,得到目的主机列表,再通过DNS服务器,SMTP服务器排查,得到可疑主机列表,最后将可疑主机以返回NXD0MAIN次数作为可疑度进行降序排序,并向网络管理员进行告警。
全文摘要
本发明涉及网络通信技术领域,提出了一种广域网中垃圾邮件主机检测的方法和系统。该方法的基本思想在于通过监测统计网内主机进行DNS MX查询的记录,对查询域名数为两个或两个以上的主机,进行DNS服务器,SMTP服务器排查,从而得到可疑主机列表。最后将可疑主机以返回NXDOMAIN次数作为可疑度进行降序排序,并向网络管理员进行告警。
文档编号H04L12/58GK102571463SQ20101057820
公开日2012年7月11日 申请日期2010年12月8日 优先权日2010年12月8日
发明者田阳光, 罗智慧 申请人:罗智慧