行為識別垃圾郵件

申請免費試用、咨詢電話：400-8352-114

在今天的安全市場上，防垃圾郵件產(chǎn)品一直如雨后春筍一樣不斷涌現(xiàn)，在這些形形色色的產(chǎn)品背后，以“行為識別”為亮點的核心技術(shù)產(chǎn)品引來了越來越多的關(guān)注。

盡管反垃圾郵件的產(chǎn)品和解決方案不斷在市場亮相，人們也通過各種技術(shù)和法律的手段對垃圾郵件圍追堵截，但垃圾郵件泛濫的形勢依然不容樂觀，據(jù)IDC 估計，垃圾郵件每天被發(fā)送到世界各地的數(shù)量從2002 年的70億封增長到2004年的230億封。

巨大的市場需求和政府政策的出臺驅(qū)動了各安全廠家加大了在防垃圾郵件產(chǎn)品方面的投入。據(jù)不完全統(tǒng)計，從2004年初至今，國內(nèi)市場上出現(xiàn)了超過80個防垃圾郵件產(chǎn)品，如此繁多的品牌，良莠不齊，那么如何尋找真正能夠幫助用戶解決垃圾郵件問題的產(chǎn)品呢？在聽到天融信推出了稱為“第三代”反垃圾郵件產(chǎn)品后，記者聯(lián)系采訪了該公司的技術(shù)人員。

據(jù)介紹，市場上防垃圾郵件產(chǎn)品所采用的技術(shù)按照發(fā)展階段主要分為以下三類：

第一代技術(shù): 通過IP過濾，關(guān)鍵字過濾，郵件（附件）大小控制，SMTP連接時間頻率控制來進行垃圾郵件的區(qū)分；

第二代技術(shù)：通過基于統(tǒng)計算法(如貝葉斯)的智能內(nèi)容過濾，RBL過濾進行垃圾郵件的區(qū)分；

第三代技術(shù)：通過基于對垃圾郵件發(fā)送行為的研究和統(tǒng)計而發(fā)展出來的行為識別技術(shù)，來進行垃圾郵件的區(qū)分。

目前市面上的大部分防垃圾郵件產(chǎn)品采用的是第一代和第二代技術(shù)。但是，在經(jīng)過了一段時間的應用后，大部分的使用者都發(fā)現(xiàn)了它們致命的缺陷：誤報率高，處理性能很低，語言依賴性強，非常不適合在網(wǎng)關(guān)處使用。這是為什么呢？因為第一代和第二代的過濾技術(shù)，始終沒有跳出內(nèi)容匹配過濾的技術(shù)局限，它們需要將郵件完整接收下來后，對郵件按照指定語言進行分詞處理，并與一個有著數(shù)以百萬計的詞庫進行逐一匹配，從而判斷該郵件是否為垃圾郵件。由于僅僅是對孤立的詞語進行匹配，拋棄了人類語言最重要的特性：連貫性，就無法正確判別郵件的真實含義，從而造成郵件的大量誤判。同時，由于這兩種技術(shù)需要進行大量的匹配運算，對CPU和內(nèi)存的占用極高，這就很容易成為處理瓶頸。

第三代行為識別技術(shù)，是基于對大量的垃圾郵件樣本進行的統(tǒng)計、分析和計算，并且根據(jù)RFC  822標準，建立垃圾郵件發(fā)送的行為識別模型。這一模型有著極高的垃圾郵件區(qū)分度，能夠在MTA（郵件傳輸代理）通信階段就判斷出所接收郵件是否為垃圾郵件，不需要接受全部的郵件內(nèi)容進行相應的內(nèi)容匹配。這項技術(shù)大大提高了郵件過濾速度，減少了網(wǎng)絡延遲，同時還避免了內(nèi)容過濾技術(shù)不可避免的高誤報率問題。那么垃圾郵件發(fā)送行為到底有哪些呢？經(jīng)過歸納，現(xiàn)在的垃圾郵件發(fā)送行為主要分為以下四種。

郵件濫發(fā)行為：垃圾郵件發(fā)送者登錄郵件服務器進行聯(lián)機查詢或投遞郵件，嘗試各種方式投遞郵件，發(fā)件主機異常變動等行為；郵件非法行為：垃圾郵件發(fā)送者借用各地的多個開啟了 Open Relay 郵件轉(zhuǎn)發(fā)功能的郵件服務器來發(fā)送郵件的行為；郵件匿名行為：發(fā)件人、收件人、發(fā)件主機或郵件傳輸信息刻意隱匿，使得無法追溯其來源的行為；郵件偽造行為：發(fā)件人、收件人、發(fā)件主機或郵件傳輸信息經(jīng)過刻意偽造，經(jīng)查證不屬實的行為。

由垃圾郵件和正常郵件的通訊行為對比得知，能否正確地識別垃圾郵件的關(guān)鍵就在于能否正確地識別郵件的關(guān)鍵傳輸值。據(jù)天融信公司技術(shù)人員介紹，他們采用的是業(yè)界領(lǐng)先的郵件來源回溯技術(shù)，能夠深入數(shù)層追蹤到郵件的原始傳輸信息，對于偽造發(fā)信人和發(fā)信服務器，不斷變化IP地址發(fā)信，不斷變化的發(fā)信人地址，以字典攻擊的方式群發(fā)，發(fā)信的頻度異常，發(fā)信的時間規(guī)律，虛假的SMTP路由信息等多種可能的垃圾郵件發(fā)送行為進行深入探測，從而精確區(qū)分每一封垃圾郵件。