硕琦：解析第三代反垃圾邮件技术

　　Q：硕琦的“垃圾邮件行为模式分析技术”，据称是反垃圾邮件技术的第三代，请您介绍一下这种技术，和前面两代相比，有何优点？

　　A：国内邮件安全市场大体经历了三个发展阶段。第一阶段，大多厂商利用对防火墙的安全管理来控制邮件安全，从IP黑名单着手。第二阶段，是2003年一些厂商推出的基于内容监测的安全防护行为。第三阶段，是基于对SMTP（简单邮件传输协议）的行为监测。

　　这里我可以讲一下硕琦的发展历程，在2001年的时候，我们推出了LisoMail，这是一款软硬件高度整合的E-mail网络通讯服务器，领先全球发展智能化（Lights out）设计理念，做到系统自我侦察、调整、防御和修复。到2002年我们又推出了BF Server，邮件备份服务器。在2003年初的时候，我们收到客户的反馈，说邮件的过滤功能带来很大问题。第一，邮件过滤是基于关键字的，这样需要管理员不断地添加关键字。第二，关键字的选择，是一个大问题，比如，某商场的宣传海报，可能对于某些用户来说是不请自来的垃圾邮件，但对于那些对该商场打折信息感兴趣的用户，就是有价值的，不是垃圾邮件。

　　在这种情况下，我们就想到了，只靠关键字的过滤，很难有效对付垃圾邮件。并且我们了解到，垃圾邮件发送者的行为有一些共同点，于是我们就采取对SMTP协议行为的分析，来决定哪些是垃圾邮件。这样与内容无关，一方面解决了上述提到的问题，另一方面也保护了用户的隐私。

　　Q：我了解到，Outlook 等 MUA 软件所解析的邮件传输值仅达 Level 4，BOX SpamTrap 可深度验证邮件传输值、邮件标题、邮件信封至少 Level 25，属于决定性判别。请问硕琦是如何达到Level 25的？

　　A：这个问题之前也有人问过我们，我只能说，我们确实可以达到。但具体是怎样达到的，属于技术专利机密，恕不能透露。

　　Q：创新意味着挑战、意味着风险，当初做出大力度研发“垃圾邮件行为模式分析技术”时是“力排众议”，请问为什么认准了这一点，怎样才能下这么大的决心？

　　A：这个问题问得非常好，确实是这样，是有很大风险的。但我们有一支非常强的研发团队，在台湾，是由一些技术非常精通的人组成的，我们的老总，是CMU（编者注：美国卡耐基·梅隆大学）的数学博士。他懂技术、懂市场需求、并且非常有胆识，所以才能够做出这样的决定。事实证明，这个决定是正确的。我们现在的市场走向非常好。

　　Q：图像垃圾邮件占所有垃圾邮件的份额已经从今年初的1%上涨到现在的约15%，请问硕琦的产品是否可以有效打击这种垃圾邮件？

　　A：这正是我们的长处所在，图像垃圾邮件的出现就是为了逃避对关键字的过滤，所以垃圾邮件发送方把关键字写在图片里，过滤器分析出图片中的字是什么内容就太困难了，因为字体、颜色变化都非常多。而对于行为分析来讲，和内容是无关的，不管是文字还是图像，我们只看发送的行为。

　　内容本身并没有什么错误，错误的是行为。比如这张纸，放在桌子上，我们在看上面的内容，它本身不是垃圾。如果我现在一把把它揉掉，然后从窗户上扔出去，那它就是垃圾了。纸还是那张纸，使它成为垃圾的只是我“扔”的这个“行为”。

　　Q：有的时候，垃圾邮件所传播的内容本身就是垃圾，比如说传播病毒、间谍软件、网络钓鱼，对人们的经济利益造成直接的威胁，请问针对这些恶意行为，硕琦有什么好的方法？

　　A：我们的SpamTrap卫士邮——邮件安全服务器，首创革命性“垃圾邮件行为模式分析”技术，预设上百种“垃圾邮件行为类型Pattern”，阻挡率为95%以上。不仅具有Anti-spam的功能，还有病毒扫描（Anti-Virus）、攻击侦测（Attack Detection）、入侵反制（Intrusion Defense）和系统保护（Overall System Protection）的功能，对于您刚才提到的那些恶意行为是可以防止的。

　　Q：我看过一篇文章“垃圾邮件的‘鸡尾酒’疗法”，讲的是三种方法中的每一种都把自己“醉人的力量”添加到了配方中。通过结合与调整这些技术，精明老练的系统管理员能够把他们网络中的垃圾邮件数量从滔滔洪水降低到涓涓细流。目前的网络安全领域，“UTM”、“融合”也成为流行词汇。您怎么看待这种“融合”？在硕琦的产品中是否有所体现？

　　A：这里我可以画一个图示来说明。我先在纸上画画，回头给您发过来我们的整体解决方案图。

　　PC上面有若干保护层，Anti-Virus、E-mail、Anti-Spam、IPS、Firewall等。其中MegaBOX、SpamTrap、LisoMail、BF Server是我们的产品，分别对应的层级从图中可以清晰地看到。您所说的UTM的概念，其实相当于上面的三层融合起来，所以我们的Anti-Spam技术可以很容易的嵌入UTM概念的产品。同时多功能的邮件系统融合，我们是考虑了的，所以去年推出MegaBOX。另外，目前超过70%的病毒邮件是透过垃圾邮件传递的，我们认为把Anti-Virus这个功能直接放在PC端来实现更有效用，没有必要在邮件安全服务器产品中包含这个功能。总的来说，都是为了以最高的性价比为用户提供最好的服务。

　　Q：垃圾邮件不是技术发展的结果，主要是受经济利益驱动。这样看来，只靠反垃圾邮件产品、技术是不够的，而这种无本万利的追逐经济利益的行为是不会停止的，这是否意味着垃圾邮件不会被消灭，至少在短期内？我们所做的努力只是为了“减少”损失？

　　A：魔与道的较量，永远都是魔比道先走一步。确实，现在的黑客不只是为了那点成就感，他们想要的是实实在在的经济利益。反垃圾邮件，虽然技术是很重要的一个方面，但只靠技术是不行的，必须全民警觉、全民打击，才能达到最好的效果。

　　Q：如您所说，第三代的“垃圾邮件行为分析”技术比第二代的内容过滤要好很多，但像SurfControl这样的厂商，他们的内容过滤技术是一流的，那是不是意味着有了硕琦的“行为分析”，就可以取代“内容过滤”呢？

　　A：不是这样的。无论是“行为分析”，还是“内容过滤”，技术本身并没有错，只是看用在什么地方。在反垃圾邮件方面，“行为分析”要优于“内容过滤”，但内容过滤技术在其它很多方面都可以用到。

　　Q：硕琦一直叫得不是很响，既然是这么好的一个产品，为什么不大力推广、以提高市场份额呢？请问硕琦的销售策略是怎样的？

　　A：确实，和一些实力相当强的安全厂商相比，我们抢占市场份额有点吃力。我们的策略是，不是对手、而是伙伴。我们和一些国内知名的安全厂商合作，他们利用我们先进的反垃圾邮件技术，在他们已有的市场中推广使用。这样一方面，我们和他们不是竞争关系，另一方面，可以借助他们强大的市场推广力。

　　Q：“行为分析”可能是硕琦首先提出的，但如果其它厂商也来模仿，硕琦如何保证自己的领先地位？

　　A：确实是的。别的安全厂商也可以来做“行为分析”技术。但对于那些大的安全厂商来讲，他们没有必要做，因为他们直接可以使用我们的技术。对于其它的厂商，没错，完全可以模仿我们的技术。但一个公司的成功，不只靠的是技术，还有管理、企业文化等，都是很重要的因素。模仿成功不是很容易的。要想获得真正的成功，就必须创新、做别人没有做过的事。
相关链接：

http://security.ccidnet.com/

http://security.ccidnet.com/art/3885/20060719/646497_1.html