IT安全魔與道的反復較量
據Radicati估計,2005年全球電子郵件安全產品和服務方面的收入將達到38億美元,明年會增加12%。此后,增長的速度會更快一些。和市場的樂觀預期相對應,反垃圾郵件的現實卻令人頭痛。盡管安全廠商已經和垃圾郵件進行了長期的斗爭,但垃圾郵件并沒有明顯的減少。
因為無本萬利的獲利模式,使得垃圾郵件的制造者絞盡腦汁,想盡種種辦法來逃避反垃圾郵件技術的過濾。根據計算,如果每個月,在每2000位垃圾郵件收件人中有一人回應,并向垃圾郵件發(fā)送者支付20美元(回應率為0.05%),那么,這個垃圾郵件發(fā)送者即可輕松賺取100萬美元。為了獲取暴利,垃圾郵件制造者將絞盡腦汁,不擇手段。那么我們手邊有什么樣的武器呢 ?
反垃圾郵件武器庫
不同的反垃圾郵件產品采用的技術有所不同,但總體來說,不外乎以下幾種技術,其中,針對垃圾郵件的核心技術有貝葉斯智能分析、垃圾郵件評分、垃圾郵件指紋識別。
關鍵字
這是使用的最早的反垃圾郵件技術之一。它將一些會在垃圾郵件中經常出現的字符(例如:廣告、化妝品、發(fā)票等)收集起來形成一個大的數據庫,當一封郵件到來的時候對信頭、信標題、主題和信體幾部分進行檢查,看里面是否有數據庫中的字符,如果有就被認為是垃圾郵件,如果沒有就判斷不是垃圾郵件。主要采用的技術是關鍵詞匹配。這種技術的優(yōu)點是,技術比較容易實現,判斷處理速度比較快;缺點是誤判率比較高。
IP黑/白名單
這同樣是較早的一種反垃圾郵件的技術,將經常發(fā)垃圾郵件的IP地址添加到IP黑名單中,以后再從同樣的IP地址發(fā)來的信件都被判定為垃圾郵件。如果IP地址被加入到白名單中,則認為從那里來的任何郵件都不是垃圾郵件。后來出現的拒絕發(fā)件人、拒絕的域也都是類似的技術。這種技術的優(yōu)缺點和“關鍵字”技術相同。
貝葉斯算法
貝葉斯算法是一種比較智能的技術,用戶通過培訓讓反垃圾郵件產品認識什么樣的郵件是垃圾郵件,什么樣的郵件是正常的郵件,然后形成一個貝葉斯庫。根據分析以前發(fā)生的事情頻率和概率來預測將發(fā)生事情的頻率和概率,判斷垃圾郵件的依據就是貝葉斯庫。貝葉斯算法的優(yōu)點是,垃圾郵件的判斷準確性大大提高;缺點是,需要用戶進行干預,判別的速度較慢。
垃圾郵件評分
這種技術是建立在關鍵字技術基礎之上的,單一的關鍵字會出現大量的誤判情況,為了解決這個問題,出現了多關鍵字檢測的方式—評分。為每個可能在垃圾郵件中出現的關鍵字賦予分數,分數的多少要根據關鍵字在垃圾郵件中出現的可能性和嚴重性來決定。對一封郵件進行掃描,其中有一個關鍵字就加一定的分數,最后將所有的得分同設置好的閥值進行比較。一般情況下閥值有兩個,分成三種情況:第一種情況一定是垃圾郵件;第二種可能是垃圾郵件;第三種一定不是垃圾郵件。市場上大部分反垃圾郵件產品都運用了此項技術。
這種技術的優(yōu)點是,比較容易實現,降低了一定的誤報;缺點是,還是有比較多的誤報情況。
指紋識別
聽起來這應該是屬于生物識別技術的內容,怎么會運用到反垃圾郵件上來了呢?在這里確實模仿了生物識別中指紋的概念。所謂郵件的指紋,就是郵件內容中的一些字符串的組合,又稱為快照。就是從類似、但不相同的信息中,識別已經被確認為垃圾郵件的信息。舉例來說:如果您經常受垃圾郵件的困擾,一定對下面的詞匯不會陌生:代理服務、招生、現金,是不是你一看到它們就不免聯想到垃圾郵件呢?其實這就是垃圾郵件的指紋,和反病毒技術的特征碼識別的思想是共通的。反垃圾郵件產品通過確認郵件的指紋,完成對垃圾郵件的識別。
當然,指紋檢查的準確性依賴于垃圾郵件的指紋庫,反垃圾郵件產品先給郵件中出現的每一個字符賦予一個數值(這個數值的確定是按照特定垃圾的用詞規(guī)律特點進行分類),再利用統計方法給這封郵件計算出一個綜合的數值。也可以根據是否與其他多次收到的郵件相似來判定(多次收到相似的郵件很可能就是垃圾郵件)。指紋識別技術的缺點是,要經常維護指紋庫。
實時黑名單列表
這種技術類似于前面所提到IP黑名單的方法,區(qū)別在于實時黑名單列表是借助于第三方機構,他們?yōu)橛脩籼峁?,垃圾郵件的判斷工作也是在Internet上進行的,不需要用戶進行干涉和手動添加。
為了有效地拒絕來自惡意的垃圾郵件來源站點和/或被利用的垃圾郵件來源站點所發(fā)來的垃圾郵件,最直接和有效的辦法就是拒絕該來源的連接。通過將確認后的垃圾郵件來源站點(無論是否是惡意與否)放入一個黑名單(Blackhole List),然后通過發(fā)布該名單來保護郵件服務器不受到黑名單中站點的侵擾確實是一個目前對抗日益嚴重的垃圾郵件的行之有效的方法。
目前在黑名單技術上最流行的是實時黑名單(Realtime Blackhole List,簡稱RBL)技術。通常該技術是通過DNS方式(查詢和區(qū)域傳輸)實現的。目前國外流行的幾個主要的實時黑名單服務器都是通過DNS方式提供的,如Mail-Abuse的RBL、RBL+等。
黑名單服務的提供和黑名單的維護由黑名單服務提供者來承擔,所以該名單的權威性和可靠性就依賴于該提供者。通常多數的提供者都是比較有國際信譽的組織,所以該名單還是可以信任的。
不過由于多數的黑名單服務提供者是國外的組織和公司,所以其提供的黑名單并不能有效地反映出國內的垃圾郵件情況,因此國內使用實時黑名單服務的郵件商很少。國內目前只有中國反垃圾郵件聯盟提供實時黑名單服務。實時黑名單技術的優(yōu)點是,減少用戶的工作量和設置難度,降低一定的誤報率;缺點是,有的RBL提供方提供的黑名單過于強硬。
意圖檢測
垃圾郵件的制造者變著法地想逃過反垃圾郵件產品的檢測,所以各種各樣的垃圾郵件也不斷出現,現在有很多垃圾郵件其標題和信體都和非垃圾郵件一樣。信體部分有個URL地址,恰恰就是這個URL地址鏈接的內容是垃圾內容。意圖檢測這項技術就是可以對URL進行檢查,看其鏈接的內容來判斷此郵件是否為垃圾郵件。這種技術的優(yōu)點是,提高垃圾郵件的識別率;缺點是,要經常性地維護非法URL庫。
DNS反向查找
在發(fā)郵件的時候,隨意編造一個域名是非常容易的,如果采用阻斷非法域名的方式來防止垃圾郵件的話。那么,用戶可以說是被動到極點了,而且根本沒有辦法防止,因為那些域名都是根本不存在的。DNS反向查找技術就是在收到郵件時對發(fā)件人的地址的真實性進行核查,防止DNS欺騙。
防止字典攻擊
在我們平時使用郵件系統給別人發(fā)信的時候遇到過這樣的情況,一不小心將收件人的地址寫錯了,那么這樣的郵件是不可能被正確地送到目的地的,將被退回來。一些垃圾郵件的發(fā)送者就利用了郵件系統這個特點,大量地向郵件系統發(fā)送信件,沒有被退回來的信件就是郵件系統當前擁有的郵件地址,這樣垃圾郵件的發(fā)送者就可以很輕松地得到發(fā)送垃圾郵件的對象了。采用防止字典攻擊的技術就是讓郵件系統在沒有真實用戶存在于系統當中時不退信,這樣攻擊者就不能夠獲得有效的用戶列表。
垃圾郵件防火墻
在一個極短的時間里,向一個郵件服務器發(fā)送大量的郵件,占用郵件服務器的資源使郵件服務器不能正常地提供郵件服務,這就是針對于郵件系統的拒絕式服務攻擊。
垃圾郵件防火墻可以有效抵御拒絕式服務攻擊,它是只對郵件數據包進行過濾的防火墻,只負責偵聽25端口(SMTP協議的端口)的數據包。有些垃圾郵件防火墻還兼有防病毒功能,跟一般意義上的防毒墻不同的是,這個病毒是作為附件發(fā)送的郵件病毒,其他病毒并不在它所關心的范圍里面。它的病毒處理機制跟防毒墻類似。
郵件域名過濾
最近,IBM開發(fā)了代號為FairUCE(合理使用主動提供的商業(yè)電子郵件)的反垃圾郵件新技術。該技術使用網絡領域的內置身份管理工具,通過分析電子郵件域名過濾并封鎖垃圾郵件。FairUCE把收到的郵件同其源頭的IP地址相連接,在電子郵件地址、電子郵件域和發(fā)送郵件的計算機之間建立起一種聯系,以確定電子郵件的合法性。IP地址是固定不變的,因此FairUCE就能夠識別信息是來自僵尸(Zombie)電腦、機器人(Bot)裝置還是來自合法的電子郵件服務器。
選擇武器的標準
每一種反垃圾郵件的技術幾乎都有它自身的不足,如果只是僅僅依靠一項反垃圾郵件技術就夢想能夠很好地解決垃圾郵件的困擾,那幾乎是不可能的。如何才能有效地防范垃圾郵件呢?就是將多種反垃圾郵件的技術有效地結合在一起形成一個有效的整體,不同技術間互相彌補不足,這樣才是上上策。所以,那些需要購買專用反垃圾郵件產品的用戶一定要認清所購買的產品都有哪些技術,采用技術越多越完善,防范效果才能更好。
評估反垃圾郵件解決方案的主要標準是有效性、準確度和易于管理性。先進的解決方案可以提供綜合性技術,并減少管理員在部署和持續(xù)維護等方面的繁瑣工作。
有效性。衡量反垃圾郵件解決方案效用的根本衡量標準就是有效性,但保持高有效性難度很大。垃圾郵件發(fā)送者的適應能力很強,因此,反垃圾郵件供應商必須不斷地監(jiān)視并調整其過濾器,且具有與垃圾郵件發(fā)送者同步發(fā)展所必需的承諾和基礎架構。
準確度。反垃圾郵件解決方案必須具備很高的準確度,某些誤報對于很多用戶來說就表示產品的失敗。如果用戶無法依賴反垃圾郵件過濾器的準確度,他們將不得不進入隔離區(qū)手動刪除垃圾郵件,這樣做既危險又無效。反垃圾郵件供應商首先要致力于消除誤報,而后再逐漸提高產品的有效性。
主動性和響應能力。理想情況下,反垃圾郵件解決方案應該是 100% 準確并有效的。但是許多供應商不得不權衡其利弊,要禁止足夠多的垃圾郵件,解決方案必須嚴格,由此又很可能造成誤報。反垃圾郵件解決方案應謹慎地將主動和響應過濾技術結合起來,響應過濾器是提供防御誤報的重要壁壘,從而彌補了主動過濾器的有效性問題。
最低限度的管理。雖然許多反垃圾郵件解決方案聲稱可即裝即用,但事實上,它們還是把很多任務甩給了管理員和最終用戶。反垃圾郵件解決方案應該為管理員和最終用戶實現易管理性。
面對眾多相互競爭的供應商和解決方案,選擇出正確的反垃圾郵件產品是相當艱巨的。評估過程應該從明確了解解決方案的評判標準開始。準確性、有效性和低管理開銷目前仍是最重要的決策因素?,F場評估(反垃圾郵件解決方案在生產環(huán)境中工作)時,應該密切跟蹤這些因素。
編看編想:治標更要治本
垃圾郵件泛濫,讓我聯想到了泛濫的污水。如果等污水都排放到了江河湖海里,再想治理就是難上加難了。所以,治理污水排放要從源頭抓起,不讓污水流出來才是理想的狀態(tài)。反垃圾郵件的道理和治理污水很相似。
反垃圾郵件產品的市場這么紅火,說明了用戶的反垃圾郵件意識很強;市場的紅火還映襯出了另一個問題:我們是在家門口和垃圾郵件作戰(zhàn),我們在被動的防御。此時的垃圾郵件,已經流過了互聯網,已經將整個社會治理垃圾郵件的綜合成本大大抬高。
要想扭轉被動的局面,就要抓垃圾郵件的源頭,讓它根本發(fā)不出來,這才是成本最低的治理方法。令人興奮的是,ISP已經將反垃圾郵件的重點放在了不讓垃圾郵件發(fā)出來方面。如果在這方面的技術取得突破性進展,再輔以相關法律的支持,垃圾郵件這個互聯網的“頑疾”將有望得到徹底的根治。
來源:CCW
- 1小專題:VoIP企業(yè)級應用
- 2安全網關的“硬”道理
- 3沈陽OA系統技術交流會等系列會議
- 4計算機輔助工業(yè)設計技術發(fā)展狀況與趨勢
- 5布線系統智能化發(fā)展
- 6小心撥號連接欺騙
- 7確保Linux環(huán)境下文件共享的安全性
- 8用圍棋理論指導布線施工
- 9自動化的虛擬環(huán)境中的安全威脅
- 10全新的業(yè)務連續(xù)性思路
- 11千兆網綜合布線系統設計與測試
- 12天堂與地獄僅“容災”一墻之隔
- 13路由器中的管理間距和量度參數
- 14信息化技術: 有關WBS的三個基本問題
- 15刺向僵尸網絡的劍
- 16計世解讀企業(yè)安全風險評估
- 17IT項目經理怎么樣進行項目跟蹤
- 18管理新型存儲系統的7點提示
- 19數據“集線器”開始抬頭
- 20信息安全:過去五種影響最大的攻擊
- 21可重構計算為何獲芯片業(yè)集體追捧
- 22中小連鎖零售企業(yè)信息化優(yōu)勢一念之間
- 23網站構建十大技術準則
- 24泛普協同OA系統的后臺設置和前臺使用
- 25沈陽OA軟件的收(發(fā))文單位維護
- 26泛普OA軟件可設置權限以保護機密資料安全
- 27沈陽哪個公司做中小企業(yè)的OA辦公管理系統?售后服務好的!
- 28OA軟件的新增功能:系統基礎數據導出功能擴展
- 29中國的災備建設從探索到實踐
- 30怎樣編織家中“線網”
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓