行為識(shí)別垃圾郵件

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在今天的安全市場(chǎng)上，防垃圾郵件產(chǎn)品一直如雨后春筍一樣不斷涌現(xiàn)，在這些形形色色的產(chǎn)品背后，以“行為識(shí)別”為亮點(diǎn)的核心技術(shù)產(chǎn)品引來(lái)了越來(lái)越多的關(guān)注。

盡管反垃圾郵件的產(chǎn)品和解決方案不斷在市場(chǎng)亮相，人們也通過(guò)各種技術(shù)和法律的手段對(duì)垃圾郵件圍追堵截，但垃圾郵件泛濫的形勢(shì)依然不容樂(lè)觀，據(jù)IDC 估計(jì)，垃圾郵件每天被發(fā)送到世界各地的數(shù)量從2002 年的70億封增長(zhǎng)到2004年的230億封。

巨大的市場(chǎng)需求和政府政策的出臺(tái)驅(qū)動(dòng)了各安全廠家加大了在防垃圾郵件產(chǎn)品方面的投入。據(jù)不完全統(tǒng)計(jì)，從2004年初至今，國(guó)內(nèi)市場(chǎng)上出現(xiàn)了超過(guò)80個(gè)防垃圾郵件產(chǎn)品，如此繁多的品牌，良莠不齊，那么如何尋找真正能夠幫助用戶解決垃圾郵件問(wèn)題的產(chǎn)品呢？在聽到天融信推出了稱為“第三代”反垃圾郵件產(chǎn)品后，記者聯(lián)系采訪了該公司的技術(shù)人員。

據(jù)介紹，市場(chǎng)上防垃圾郵件產(chǎn)品所采用的技術(shù)按照發(fā)展階段主要分為以下三類：

第一代技術(shù): 通過(guò)IP過(guò)濾，關(guān)鍵字過(guò)濾，郵件（附件）大小控制，SMTP連接時(shí)間頻率控制來(lái)進(jìn)行垃圾郵件的區(qū)分；

第二代技術(shù)：通過(guò)基于統(tǒng)計(jì)算法(如貝葉斯)的智能內(nèi)容過(guò)濾，RBL過(guò)濾進(jìn)行垃圾郵件的區(qū)分；

第三代技術(shù)：通過(guò)基于對(duì)垃圾郵件發(fā)送行為的研究和統(tǒng)計(jì)而發(fā)展出來(lái)的行為識(shí)別技術(shù)，來(lái)進(jìn)行垃圾郵件的區(qū)分。

目前市面上的大部分防垃圾郵件產(chǎn)品采用的是第一代和第二代技術(shù)。但是，在經(jīng)過(guò)了一段時(shí)間的應(yīng)用后，大部分的使用者都發(fā)現(xiàn)了它們致命的缺陷：誤報(bào)率高，處理性能很低，語(yǔ)言依賴性強(qiáng)，非常不適合在網(wǎng)關(guān)處使用。這是為什么呢？因?yàn)榈谝淮偷诙倪^(guò)濾技術(shù)，始終沒(méi)有跳出內(nèi)容匹配過(guò)濾的技術(shù)局限，它們需要將郵件完整接收下來(lái)后，對(duì)郵件按照指定語(yǔ)言進(jìn)行分詞處理，并與一個(gè)有著數(shù)以百萬(wàn)計(jì)的詞庫(kù)進(jìn)行逐一匹配，從而判斷該郵件是否為垃圾郵件。由于僅僅是對(duì)孤立的詞語(yǔ)進(jìn)行匹配，拋棄了人類語(yǔ)言最重要的特性：連貫性，就無(wú)法正確判別郵件的真實(shí)含義，從而造成郵件的大量誤判。同時(shí)，由于這兩種技術(shù)需要進(jìn)行大量的匹配運(yùn)算，對(duì)CPU和內(nèi)存的占用極高，這就很容易成為處理瓶頸。

第三代行為識(shí)別技術(shù)，是基于對(duì)大量的垃圾郵件樣本進(jìn)行的統(tǒng)計(jì)、分析和計(jì)算，并且根據(jù)RFC  822標(biāo)準(zhǔn)，建立垃圾郵件發(fā)送的行為識(shí)別模型。這一模型有著極高的垃圾郵件區(qū)分度，能夠在MTA（郵件傳輸代理）通信階段就判斷出所接收郵件是否為垃圾郵件，不需要接受全部的郵件內(nèi)容進(jìn)行相應(yīng)的內(nèi)容匹配。這項(xiàng)技術(shù)大大提高了郵件過(guò)濾速度，減少了網(wǎng)絡(luò)延遲，同時(shí)還避免了內(nèi)容過(guò)濾技術(shù)不可避免的高誤報(bào)率問(wèn)題。那么垃圾郵件發(fā)送行為到底有哪些呢？經(jīng)過(guò)歸納，現(xiàn)在的垃圾郵件發(fā)送行為主要分為以下四種。

郵件濫發(fā)行為：垃圾郵件發(fā)送者登錄郵件服務(wù)器進(jìn)行聯(lián)機(jī)查詢或投遞郵件，嘗試各種方式投遞郵件，發(fā)件主機(jī)異常變動(dòng)等行為；郵件非法行為：垃圾郵件發(fā)送者借用各地的多個(gè)開啟了 Open Relay 郵件轉(zhuǎn)發(fā)功能的郵件服務(wù)器來(lái)發(fā)送郵件的行為；郵件匿名行為：發(fā)件人、收件人、發(fā)件主機(jī)或郵件傳輸信息刻意隱匿，使得無(wú)法追溯其來(lái)源的行為；郵件偽造行為：發(fā)件人、收件人、發(fā)件主機(jī)或郵件傳輸信息經(jīng)過(guò)刻意偽造，經(jīng)查證不屬實(shí)的行為。

由垃圾郵件和正常郵件的通訊行為對(duì)比得知，能否正確地識(shí)別垃圾郵件的關(guān)鍵就在于能否正確地識(shí)別郵件的關(guān)鍵傳輸值。據(jù)天融信公司技術(shù)人員介紹，他們采用的是業(yè)界領(lǐng)先的郵件來(lái)源回溯技術(shù)，能夠深入數(shù)層追蹤到郵件的原始傳輸信息，對(duì)于偽造發(fā)信人和發(fā)信服務(wù)器，不斷變化IP地址發(fā)信，不斷變化的發(fā)信人地址，以字典攻擊的方式群發(fā)，發(fā)信的頻度異常，發(fā)信的時(shí)間規(guī)律，虛假的SMTP路由信息等多種可能的垃圾郵件發(fā)送行為進(jìn)行深入探測(cè)，從而精確區(qū)分每一封垃圾郵件。