| 反垃圾邮件产品:行为判别技术成新方向 国内外主要的反垃圾邮件系统,普遍采用的是关键字内容过滤技术,采取“截获样本,解析特征,生成规则,规则下发,内容过滤” 这种类似传统杀病毒系统的原理,而这种技术存在着许多难以克服的问题: 反垃圾邮件产品:行为判别技术成新方向 国内外主要的反垃圾邮件系统,普遍采用的是关键字内容过滤技术,采取“截获样本,解析特征,生成规则,规则下发,内容过滤” 这种类似传统杀病毒系统的原理,而这种技术存在着许多难以克服的问题: ◆垃圾邮件内容变化快,数量远远大于病毒,任何一家安全公司都很难保证样本采集的数量和及时性,也就很难保证反垃圾邮件的使用效果和效果的持久性; ◆必须比对完所有的关键字规则,一封信才能被确信不是垃圾邮件,导致效率低下、资源消耗大、网关系统不稳定,尤其是在遭受巨量邮件攻击时,可能导致系统崩溃; ◆依赖关键字规则判别垃圾邮件,导致误判率较高,垃圾邮件识别准确性低,效果差; ◆系统自维护能力差,管理员维护大量规则库,工作量大; ◆信件必须接收完整才能进行内容过滤,导致国际网络流量费用高; ◆通过拆信检查内容的方式进行反垃圾邮件,侵犯了公民电子邮件通信自由权和隐私权,这种内容过滤技术将受到广泛的法律质疑。 传统反垃圾邮件技术,只能提升信噪比,以免垃圾邮件淹没正常邮件,但垃圾邮件与病毒邮件仍然占用了大量带宽与存储资源,垃圾邮件的发送仍处于非受控状态。 要想从根本上解决反垃圾邮件的技术难题,就要采用主动型垃圾邮件行为模式识别的技术,这样才能做到主动的邮件攻击行为防御、主动的垃圾邮件阻断,从而最大程度地提高垃圾邮件识别率、拦截率,降低资源消耗,真正达到电信级的网关处理速度。 行为模式识别模型包含了邮件发送过程中的各类行为要素,例如:时间、频度、发送IP、协议声明特征、发送指纹等。在统计分析中,可以发现在行为特征上,垃圾邮件与正常邮件具有极高的区分度,且不论内容如何均相对为固有特征,特别是对大量的采用动态IP发送的邮件更是如此。垃圾邮件行为模式识别模型在理论计算上有着较高的垃圾邮件区分度(>90%),在实证分析中也暗合“小偷的行为心理异于常人”的道理,经得起逻辑和哲学理论的推敲。 采用垃圾邮件行为模式识别模型不仅大大提高了垃圾邮件辨别的准确率,而且不需要对信件的全部内容进行扫描,所以又可以大大提高计算处理能力,为电信级的邮件过滤打下了坚实的基础。 此外,采用垃圾邮件行为模式识别模型识别垃圾邮件,也可以从另一方面给垃圾邮件攻击者以压力,迫使发送者必须按照一定的规范发送邮件。也就是说迫使邮件发送者只能从正常渠道,以正常方式发送邮件,从而使得邮件的发送处于受控状态。 垃圾邮件行为模式识别模型是完全不同其他邮件过滤技术或算法的技术,虽说依然是站在巨人的肩膀上,但通过推出这种行为识别技术,可以说是将目前的邮件过滤技术带入到下一代的技术革新中。相信不久的将来,在全球的邮件过滤器上都会应用到行为识别技术。
|
