第三代防垃圾邮件技术“行为识别”诞生
出处:eNet硅谷动力 作者:eNet硅谷动力 时间:2005-8-12 13:33:00
据IDC 估计,垃圾邮件每天被发送到世界各地的数量从2002 年的70亿封增长到2004年的230亿封。 美国SBL著名垃圾邮件对比资料库提供的资料表明,中国是全球第二大垃圾邮件受害国,仅位居美国之后。SBL称,中国网民收到的垃圾邮件数量占全球的十分之一,并且这个数字每五个月会翻一番。中国互联网中心统计,现在我国用户平均每周收到的垃圾邮件数超过邮件总数的60,部分企业每年为此投入上百万元的设备和人力,垃圾邮件泛滥造成了严重后果。
垃圾邮件的危害已经引起了国家有关部门的高度重视。为了有效遏制垃圾邮件的传播、保障电子邮件服务的正常运营秩序、维护网络安全,教育部在去年紧急启动了垃圾邮件专项整治行动,联合公安部、信息产业部和国务院新闻办公室下发了《关于开展垃圾电子邮件专项治理工作的通知》。
巨大的市场需求和政府政策的出台驱动了各安全厂家加大了在防垃圾邮件产品方面的投入。一时间,防垃圾邮件产品如雨后春笋一样迅速份份亮相,据不完全统计,从2004年初至今,国内市场上出现了超过80个防垃圾邮件产品,如此繁多的品牌,良莠不齐,那么如何寻找真正能够帮助用户解决垃圾邮件问题的产品呢?让我们来分析一下目前防垃圾邮件产品采用的核心技术。
市场上防垃圾邮件产品所采用的技术按照技术发展的阶段主要分为以下三类:
第一代技术:通过IP过滤,关键字过滤,邮件(附件)大小控制,SMTP连接时间频率控制来进行垃圾邮件的区分;
第二代技术:通过基于统计算法(如贝叶斯)的智能内容过滤,RBL过滤进行垃圾邮件的区分;
第三代技术:通过基于对垃圾邮件发送行为的研究和统计而发展出来的行为识别技术来进行垃圾邮件的区分。
目前市面上的大部分防垃圾邮件产品采用的是第一代和第二代技术。但是,在经过了一段时间的应用后,大部分的使用者都发现了它们致命的缺陷:误报率高,处理性能很低,语言依赖性强,非常不适合在网关处使用。这是为什么呢?因为第一代和第二代的过滤技术,始终没有跳出内容匹配过滤的技术局限,它们需要将邮件完整接收下来后,对邮件按照指定语言进行分词处理,并与一个有着数以百万计的词库进行逐一匹配,从而判断该邮件是否为垃圾邮件。由于仅仅是对孤立的词语进行匹配,抛弃了人类语言最重要的特性:连贯性,就无法正确判别邮件的真实含义(比如“法轮功”与“反对法轮功”就表达了完全不同的含义),从而造成邮件的大量误判。同时,由于这两种技术需要进行大量的匹配运算,对CPU和内存的占用极高,这就很容易成为处理瓶颈。
国内安全企业的领跑者,北京天融信公司根据其十多年来从事网络安全的经验和技术积累,在经过了多年的防垃圾邮件技术研究后,终于于2005年推出了基于第三代行为识别技术的防垃圾邮件网关NGFG-AS。天融信公司经过多年的技术积累,对大量的垃圾邮件样本进行了统计、分析和计算,并且根据RFC.822标准,建立了垃圾邮件发送的行为识别模型。这一模型有着极高的垃圾邮件区分度,能够在MTA通信阶段就判断出所接收邮件是否为垃圾邮件,不需要接受全部的邮件内容进行相应的内容匹配。这项技术大大提高了邮件过滤速度,减少了网络延迟,同时还避免了内容过滤技术不可避免的高误报率问题。
那么垃圾邮件发送行为到底有哪些呢?
经过天融信公司的长期研究发现,现在的垃圾邮件发送行为主要分为以下四种:
邮件滥发行为
垃圾邮件发送者登陆邮件服务器进行联机查询或投递邮件,尝试各种方式投递邮件,发件主机异常变动等行为;
邮件非法行为
垃圾邮件发送者借用各地的多个开启了 Open Relay 邮件转发功能的邮件服务器来发送邮件的行为;
邮件匿名行为
发件人、收件人、发件主机或邮件传输信息刻意隐匿,使得无法追溯其来源的行为;
邮件伪造行为
发件人、收件人、发件主机或邮件传输信息经过刻意伪造,经查证不属实的行为。
由垃圾邮件和正常邮件的通讯行为对比得知,能否正确地识别垃圾邮件的关键就在于能否正确地识别邮件的关键传输值。天融信公司采用业界最领先的邮件来源回溯技术,能够深入数层追踪到邮件的原始传输信息,对于伪造发信人和发信服务器,不断变化IP地址发信,不断变化的发信人地址,以字典攻击的方式群发,发信的频度异常,发信的时间规律,虚假的SMTP路由信息等多种可能的垃圾邮件发送行为进行深入探测,从而精确区分每一封垃圾邮件。
下面,就让我们来看看天融信防垃圾邮件网关针对以上四种垃圾邮件发送行为具体是怎样工作的。
防范邮件滥发行为
NFGFG-AS通过深入追踪邮件原始发送数据,判断其是否是通过登陆邮件服务器直接投递邮件,或者通过垃圾邮件发送工具进行邮件的发送等方面对垃圾邮件做出判断。
防范邮件非法行为
NGFG-AS通过深入追踪邮件原始发送数据,检查其原始发送地址,如果发现其发送地址不固定,改变频率高,则说明它在利用多个开启OPEN RELAY功能的邮件服务器进行转发,符合常见垃圾邮件发送行为,从而对垃圾邮件做出判断。
防范邮件匿名行为
NGFG-AS通过深入追踪邮件原始发送数据,一旦发现邮件发件人不声明真实邮件传输记录信息,而是以匿名方式投递或是发件人的邮件传输值具有异常变化,就会将其判断为具有匿名行为的垃圾邮件。
防范邮件伪造行为
NGFG-AS通过深入追踪邮件原始发送数据,如果发现发件人声明域名与实际来源 IP不符合或是发件人伪造成无反向域名记录的主机,发件人以答复邮件格式伪造电子邮件,发件人的邮件传输值多处变化、信息不一等,就会将其判断为具有伪造行为的垃圾邮件。
通过以上的垃圾邮件防范技术和策略,天融信防垃圾邮件网关就能够高效、准确地区分垃圾邮件与正常邮件,使得采用任何垃圾邮件发送技术发出的垃圾邮件都无法躲过它的检测。在以行为识别为核心技术的同时,天融信防垃圾邮件网关还具有以下特性:
强大的多域管理
针对大型企业、ISP和ASP的邮件系统常常使用一个或多个MTA对多个域提供服务的 情况,天融信防垃圾邮件网关可同时支持对多个域的邮件进行过滤;
语言无关性
只检查邮件头部分,对各国语言的垃圾邮件都能有效过滤;
个人化策略
可以针对个人进行白名单,黑名单,邮件放行等策略的设置;
用户认证代理
支持LDAP认证,能够有效防止伪造内部用户进行发信。
友好、安全的管理界面
提供了一个基于浏览器的安全管理界面。管理员可以从远程对其进行有效管理:远程备份和恢复系统配置,远程关闭和重启设备,调整网关策略,使用方便,易用性强;
丰富的日志
提供了详尽的报告,能够按照用户配置的参数查询相关的数据生成报表。报表形式丰富多样,可以是表格、曲线图和饼图,满足用户的不同需求。报表中记录了邮件总数,垃圾邮件比列,病毒邮件数目,还有近期邮件走势曲线图等,这些数据可以帮助管理员更好的规划网络需求和对防垃圾邮件网关进行优化配置;
直观的统计报表
可根据日志数据生成多种格式的统计图形化统计报表,形象直观,方便管理员的管理工作;
防病毒邮件
内置国际知名反病毒厂商CA的杀毒引擎,如果用户选择启用邮件病毒扫描功能,则防垃圾邮件网关将会对未被其识别为垃圾邮件的邮件进行扫描,进一步提高了用户接收到邮件的安全性及垃圾邮件识别率,并可终身进行免费的病毒库升级服务;
灵活的邮件处理方式
对垃圾邮件可以采用标记、隔离、直接删除、退信等多种处理方式;
卓越的网络处理性能
天融信防垃圾邮件网关采用了高效的行为识别过滤技术,不同于传统的内容过滤技术,在MTA通信阶段就对邮件性质进行判断,大大节省了系统资源,提高了系统的处理速度,减少了网络延迟,给使用者带来更好的使用感受,而且更能够应用于网络流量大,用户数多,对邮件处理速度有较高要求的大型企事业单位。
通过以上功能,天融信防垃圾邮件网关能够为企业用户构建一个安全纯净的邮件环境,免去垃圾邮件给企业带来的种种困扰,有效减轻企业IT部门的工作强度,减少员工在处理垃圾邮件上浪费的大量工时,最重要的是保证了企业内网的安全与高效,让企业踏入电子商务的新时代!,