行为识别垃圾邮件

申请免费试用、咨询电话：400-8352-114

在今天的安全市场上，防垃圾邮件产品一直如雨后春笋一样不断涌现，在这些形形色色的产品背后，以“行为识别”为亮点的核心技术产品引来了越来越多的关注。

尽管反垃圾邮件的产品和解决方案不断在市场亮相，人们也通过各种技术和法律的手段对垃圾邮件围追堵截，但垃圾邮件泛滥的形势依然不容乐观，据IDC 估计，垃圾邮件每天被发送到世界各地的数量从2002 年的70亿封增长到2004年的230亿封。

巨大的市场需求和政府政策的出台驱动了各安全厂家加大了在防垃圾邮件产品方面的投入。据不完全统计，从2004年初至今，国内市场上出现了超过80个防垃圾邮件产品，如此繁多的品牌，良莠不齐，那么如何寻找真正能够帮助用户解决垃圾邮件问题的产品呢？在听到天融信推出了称为“第三代”反垃圾邮件产品后，记者联系采访了该公司的技术人员。

据介绍，市场上防垃圾邮件产品所采用的技术按照发展阶段主要分为以下三类：

第一代技术: 通过IP过滤，关键字过滤，邮件（附件）大小控制，SMTP连接时间频率控制来进行垃圾邮件的区分；

第二代技术：通过基于统计算法(如贝叶斯)的智能内容过滤，RBL过滤进行垃圾邮件的区分；

第三代技术：通过基于对垃圾邮件发送行为的研究和统计而发展出来的行为识别技术，来进行垃圾邮件的区分。

目前市面上的大部分防垃圾邮件产品采用的是第一代和第二代技术。但是，在经过了一段时间的应用后，大部分的使用者都发现了它们致命的缺陷：误报率高，处理性能很低，语言依赖性强，非常不适合在网关处使用。这是为什么呢？因为第一代和第二代的过滤技术，始终没有跳出内容匹配过滤的技术局限，它们需要将邮件完整接收下来后，对邮件按照指定语言进行分词处理，并与一个有着数以百万计的词库进行逐一匹配，从而判断该邮件是否为垃圾邮件。由于仅仅是对孤立的词语进行匹配，抛弃了人类语言最重要的特性：连贯性，就无法正确判别邮件的真实含义，从而造成邮件的大量误判。同时，由于这两种技术需要进行大量的匹配运算，对CPU和内存的占用极高，这就很容易成为处理瓶颈。

第三代行为识别技术，是基于对大量的垃圾邮件样本进行的统计、分析和计算，并且根据RFC  822标准，建立垃圾邮件发送的行为识别模型。这一模型有着极高的垃圾邮件区分度，能够在MTA（邮件传输代理）通信阶段就判断出所接收邮件是否为垃圾邮件，不需要接受全部的邮件内容进行相应的内容匹配。这项技术大大提高了邮件过滤速度，减少了网络延迟，同时还避免了内容过滤技术不可避免的高误报率问题。那么垃圾邮件发送行为到底有哪些呢？经过归纳，现在的垃圾邮件发送行为主要分为以下四种。

邮件滥发行为：垃圾邮件发送者登录邮件服务器进行联机查询或投递邮件，尝试各种方式投递邮件，发件主机异常变动等行为；邮件非法行为：垃圾邮件发送者借用各地的多个开启了 Open Relay 邮件转发功能的邮件服务器来发送邮件的行为；邮件匿名行为：发件人、收件人、发件主机或邮件传输信息刻意隐匿，使得无法追溯其来源的行为；邮件伪造行为：发件人、收件人、发件主机或邮件传输信息经过刻意伪造，经查证不属实的行为。

由垃圾邮件和正常邮件的通讯行为对比得知，能否正确地识别垃圾邮件的关键就在于能否正确地识别邮件的关键传输值。据天融信公司技术人员介绍，他们采用的是业界领先的邮件来源回溯技术，能够深入数层追踪到邮件的原始传输信息，对于伪造发信人和发信服务器，不断变化IP地址发信，不断变化的发信人地址，以字典攻击的方式群发，发信的频度异常，发信的时间规律，虚假的SMTP路由信息等多种可能的垃圾邮件发送行为进行深入探测，从而精确区分每一封垃圾邮件。