转自:中国电子政务资讯网
时间:2006年12月12日
防垃圾邮件“行为模式识别技术”是现阶段对垃圾邮件过滤最先进的技术行为,防垃圾邮件行为模式识别技术比内容识别技术有本质的不同,它是基于对大量的垃圾邮件样本进行的统计、分析和计算,建立垃圾邮件行为模式数学模型。这一模型有着极高的垃圾邮件特征行为,这些特征行为能够在MTA(邮件传输代理)通信阶段针对垃圾邮件的在传递过程中显示出来的特征行为如“发送频率频繁、在短时间内不断地进行联机投递、动态IP等明显一系列带有垃圾邮件的典型行为特征的邮件在空中就开始“边接受、边处理、边判断。 这项技术大大提高了网关过滤垃圾邮件的速度,减少了网络资源的负荷和网络流量。
而基于“内容关键字”过滤是目前市场常见的过邮件过滤垃圾技术,这种技术相对于“行为识别技术”还处于落后的技术阶段,它往往是把所有的邮件内容先接受到邮件网关,把邮件按照指定语言进行分词处理,并与一个有着数以百万计的词库进行逐一匹配,从而判断该邮件是否为垃圾邮件。由于人类语言变通连贯性极强,垃圾邮件发送者经常会随意修改关键词内容,这样原先的词库里就找不到匹配的关键词,从而网关就无法判断出垃圾邮件。这种垃圾邮件过滤技术判断非常被动,辨别垃圾邮件经常要跟着邮件内容变化而增加关键字词库的变化规则。由于这种技术需要对邮件进行大量的匹配运算,对计算机硬件的运载和使用的占用率极高,计算机的超负荷运转经常造成瘫痪和死机,这样更增加了网管员徒劳的工作量。
基于这两种的垃圾邮件判断技术往往在虚拟的环境中去测试拦截效果,“行为模式识别技术”并不占优势地位,因为虚拟的测试环境中很难模拟出垃圾邮件发送者及发送服务器的典型行为特征,例如敏讯科技“EQManager 邮件安全网关”的行为模式识别模型包含了邮件发送过程中的各类行为要素,如,时间、频度、发送IP、协议声明特征、发送指纹等,这些明显的垃圾邮件发送行为特征很难在测试环境中模拟出来。虚拟测试环境中测试的技术手段多是基于对内容关键字的过滤,所以基于“行为模式识别”技术在虚拟的测试环境中发挥不到最大功效。实际“行为模式识别技术”除了采用识别垃圾邮件,也可以从另一方面给垃圾邮件攻击者以压力,迫使发送者必须按照一定的规范发送邮件。也就是说迫使邮件发送者只能从正常渠道,以正常方式发送邮件,从而使得邮件的发送处于受控状态。