VOF全称Virus Outbreak Filters，是防御爆发性邮件病毒的解决方案，由IronPort公司在SenderBase服务平台上开发。通过对邮件特征的技术分析，它可以在杀毒厂商没有捕获病毒代码之前的高危险时段中将可疑邮件隔离，这样可以最大限度地防御爆发性病毒对用户的侵害。目前，采用VOF技术的IronPort C系列邮件网关防火墙已经在最近的数次病毒爆发中成功对病毒邮件进行了预先隔离。

VOF的工作原理

    其实当我们看到一封奇怪的电子邮件，它的发件人地址相当陌生，或者信件有着“I love you”一样敏感的名字，又或者其中夹带着可疑的附件，我们就会猜测这些奇怪的特征会不会意味着这是一封病毒邮件？而VOF系统正是基于这个原理，但是它会进行更为复杂的统计分析，通过识别邮件的重点特征来对潜在的病毒邮件进行隔离，在病毒确认之前努力保护用户网络不受侵害。

    探寻VOF的原理，首先不得不提一下SenderBase服务，它是IronPort建立的邮件统计以及等级评定服务，并且免费开放。目前已经有相当多的用户参与其中，SenderBase时刻掌握着全球超过两万个网络的邮件发送情况，并且它还在对超过3000万个IP地址和60万个域的邮件行为进行等级评分。而收集如此众多的信息的目的就是在于从宏观上对全球性邮件异常情况进行统计分析，另一方面从微观上对单独的IP地址进行等级评定。

    病毒邮件的传播通常就是通过含有恶意代码的附件攻击用户的电脑，并且进行自我复制，传播给更多的PC。而这样同一种病毒邮件往往就会有相近的用户名，或者携带相似的附件。VOF通过监测海量的邮件信息，一旦在短时间内，有大量的邮件采用同一标题，或者携带非常相似的附件。系统就会立刻对这一现象进行评定，一旦符合可疑邮件的判定标准，全球所有采用VOF技术的邮件防火墙网关都会立即实时得到指令，将这些邮件统一存放到网关的隔离区内，暂时阻止其进入内部网络。然后直到杀毒软件公司发布病毒的查杀程序后，邮件防火墙网关就会立刻升级杀毒模块，对隔离区内的邮件进行处理。另外，依据IP地址的历史信息，当一个邮件流量很少的IP突然有大量邮件行为的时候，VOF也会对这一反常现象进行分析处理，办法与前一种情况类似。

    通常我们了解的防病毒网关，大多是工作在网络结构的第三层，它们仅仅是对网络中传输的包进行监测，给了很多病毒邮件蒙混过关的机会。而基于VOF方案的网关则是在应用层对邮件进行分析处理，对网络中的包重新还原，然后进行特征识别。这样处理的最大好处就是可以大大提升病毒筛选的效率。另外，因为VOF只针对邮件名称、附件进行监测，不涉及邮件内容，所以用户也无需担心个人隐私受到侵犯。

VOF技术在病毒高峰到来之前保护网络

VOF与杀毒软件相辅相成

    仅仅在几年之前，一种电脑病毒从第一次被发现，一直到它大规模传播感染计算机，其间需要经过相当长的一段时间。因此，开发杀毒软件的公司也就有充裕的时间赶在病毒大规模爆发的高峰之前对病毒特征进行识别，升级相应的病毒库。然而随着互联网的普及，大量的病毒通过电子邮件迅速传播，诸如“爱情后门”、“MyDoom”这些邮件病毒从第一次出现到席卷全球往往只是一两天的时间。当杀毒软件厂商日夜兼程升级好他们的病毒库时，已经有不计其数的计算机受到感染，而且更为糟糕的是，这时候病毒又衍生出了几个新的变种，厂商不得不重新寻找病毒特征来进一步补全病毒信息库。所谓一波未平，一波又起。而就在从病毒出现到杀毒程序更新完毕的这个空档，网络基本处于无防护状态，异常脆弱。而如果应用了VOF方案，则可以在杀毒软件就绪之前把可疑的邮件隔离在内部网络之外，弥补了杀毒程序更新迟滞的不足。

    这种新兴的方案与我们熟知的传统杀毒软件相比，正好比中国的两句成语，前者可称为“未雨绸缪”，将潜在的病毒邮件隔离，阻止其进入内部网络；而后者则属于“亡羊补牢”，对已经进入网络的病毒进行彻底清除。而实际上，他们之间的关系并不是互相竞争，VOF技术并不会取代传统的杀毒软件，它们之间是一种相辅相成的关系。VOF隔离的病毒邮件，最终还需要杀毒软件进行处理，VOF本身不具备对病毒代码的处理能力。


VOF的前景展望

    VOF大量应用以来，很多企业因为使用这一方案而在病毒爆发中幸免于难。在今年1月15号格林尼治时间18点左右，VOF侦测到了MyDoom的一个变种MyDoom.BB，并在所有系统上进行了隔离。而杀毒软件公司针对该变种的病毒预警和查杀措施，直到第二天的晚上10点左右才在网上公布。其间相隔超过27小时，而大部分的损失正是在这27个小时内产生的。其他诸如Troj/Cidra-D、Sober.J等大规模泛滥的病毒邮件，VOF也都做到了不同程度的提前防范，案例不胜枚举。

    目前，随着更多的邮件用户加入到SenderBase平台，VOF的效率仍在进一步提升。这种事前防范的安全机制已经被中国电信、CNN以及ebay易趣等众多大型公司所采用。而一些小型的面向中小企业用户的邮件网关防火墙，也已经采用了VOF技术。