行为模式识别:新一代反垃圾邮件技术

发表于:2007-06-23来源:作者:点击数: 标签:
1、垃圾邮件和病毒已成为主要的 安全 威胁 MessageLabs发布的2004年11月份的数字显示,垃圾邮件的比例接近74%,在发送的垃圾邮件中,钓鱼欺诈性邮件占了24%,这使得它成为了增长速度最快的垃圾邮件类型,其它数量较大的垃圾邮件类型包括广告(23%)、医疗(1

   1、垃圾邮件和病毒已成为主要的安全威胁

MessageLabs发布的2004年11月份的数字显示,垃圾邮件的比例接近74%,在发送的垃圾邮件中,钓鱼欺诈性邮件占了24%,这使得它成为了增长速度最快的垃圾邮件类型,其它数量较大的垃圾邮件类型包括广告(23%)、医疗(11%)、色情(14%)。

调查还显示,具有更大破坏性的垃圾邮件发展迅猛,其中病毒邮件和钓鱼欺诈性邮件占垃圾邮件的比例达到50%以上,用户最讨厌的垃圾邮件类别由“色情、暴力相关”的垃圾邮件转变为“病毒垃圾邮件”。

另外,垃圾邮件和病毒间的界线已经十分模糊,未来将更模糊。病毒作者在被感染的计算机上开后门,而这些被感染的计算机则能够用来大量发送垃圾邮件,这是一个趋势。有的垃圾邮件更携带木马病毒,一旦进入用户的电脑,就可以盗取用户包括网上银行密码在内的各种数据,也能删除用户的各种文件,已经严重影响到了用户的数据安全。

据调研厂商Ferris公司的最新研究报告称,2005年垃圾邮件给全球的生产力造成的损失和其他反垃圾邮件的投资将达到500亿美元,其中仅美国公司的损失和投资将超过三分之一达到170亿美元。

企业用户迫切希望能够有整合杀毒和反垃圾邮件的综合方案,在带毒电子邮件到达企业前就拦截它们。IDC公司预报说,到2008年反垃圾邮件软件收入及其服务收入将能够达到17亿美元的规模。在通常情况下,采用服务器过滤垃圾邮件的用户每年的花费是132美元。

2、企业迫切需要在网络边界部署邮件安全网关拦截垃圾邮件和病毒

据统计,87%的电脑病毒是通过邮件互相传染的,而病毒又能产生大量的垃圾邮件,在企业边界部署邮件安全网关成为企业必备的安全措施。邮件安全网关也成为市场上最受用户关注的安全武器,众多厂商也纷纷推出邮件网关产品,顾名思义,邮件网关就是在邮件服务器之前、防火墙之后,部署相应的反恶意攻击、反垃圾邮件和邮件病毒过滤系统,从而防止垃圾邮件和病毒冲进企业内部。应该说,在电子邮件还是互联网时代主要的通信工具的前提下,优秀的邮件网关产品担负着最为重要的邮件安全任务。

3、反垃圾邮件不卖“过期药”,国内安全公司力推新一代“行为模式识别”反垃圾邮件技术

网上不断有关于安全厂商卖反病毒软件过期药的说法,其实在反垃圾邮件领域也存在着卖过期药的情况。传统反垃圾邮件技术,基本上还是沿用了“截获样本,解析特征,生成规则,规则下发,内容过滤”这种类似杀病毒系统的原理,但是由于每天新的垃圾邮件数量巨大,内容特征变化快,这种传统思路的实时黑名单、内容过滤、内容评分反垃圾邮件技术,面临动态IP跟踪难、过滤率低、误判率高、网络流量大、资源消耗大、规则维护工作量大的技术瓶颈,难以克服。

要想从根本上解决反垃圾邮件的技术难题,必须从事先原理出发,从邮件内容进一步往前提一步,做到主动性垃圾邮件行为模式识别的技术,这样才能做到主动型的邮件攻击行为防御、主动型的垃圾邮件阻断,从而最大程度地提高垃圾邮件识别率、拦截率,降低资源消耗,真正达到电信级的网关处理速度。

反垃圾邮件技术公司敏讯科技公司对大量垃圾邮件进行了实时的行为观察,归纳总结出了大量的垃圾邮件发送行为特征,并且据此建立了我国第一个“垃圾邮件行为模式特征数学模型”,并且将计算机顶级智能领域的“模式识别”技术和统计学理论,应用于垃圾邮件的行为特征研究,从而创立了划时代的“垃圾邮件行为模式识别”理论。公司自主开发的EQManager邮件网关管理系统,在国家商务部、教育部、工商总局、国土资源部、千龙新闻网、中国网、清华大学、北京大学、社科院、中科院、用友集团、方正集团等多个高校、科研单位、政府机关和知名企业实际应用,取得了优异的效果。并且获得了公安部2004年反垃圾邮件推荐产品和2005年中国最值得信赖反垃圾邮件网关产品品牌奖。

新一代基于垃圾邮件“行为模式识别”理论的“智能反垃圾邮件新技术”系列软件,产生了巨大的社会影响和经济效益,甫一出世,即以其崭新的视角、前瞻的理论在国内反垃圾邮件市场上占据了领先地位。

敏讯科技利用概率统计数学模型对垃圾邮件进行分类分析统计,与以往不同我们在分析时不但导入邮件内容本身的特征点,而且最关键的是全面加入了各类行为相关因素。通过两年多对上千万封垃圾邮件样本的分析、统计,并经过大量的统计分析计算,从归纳出了垃圾邮件发送行为模式识别模型。行为模式识别模型包含了邮件发送过程中的各类行为要素,如,时间、频度、发送IP、协议声明特征、发送指纹等。在统计分析中,我们发现行为特征上,垃圾邮件与正常邮件具有极高的区分度,且不论内容如何均相对为固有特征,特别是对大量的采用动态IP发送的邮件更是如此。

垃圾邮件行为模式识别模型在理论计算上有着较高的垃圾邮件区分度(>90%),在实证分析中也暗合“小偷的行为心理异于常人”的道理,禁得起逻辑和哲学理论的推敲。

采用垃圾邮件行为模式识别模型不仅大大提高了垃圾邮件辨别的准确率,而且不需要对信件的全部内容进行扫描,所以又可以大大提高计算处理能力,为电信级的邮件过滤打下了坚实的基础。

此外,采用垃圾邮件行为模式识别模型识别垃圾邮件,也可以从另一方面给垃圾邮件攻击者以压力,迫使发送者必须按照一定的规范发送邮件。也就是说迫使邮件发送者只能从正常渠道,以正常方式发送邮件,从而使得邮件的发送处于受控状态。

垃圾邮件行为模式识别模型是完全不同其他邮件过滤技术或算法的技术,虽说依然是站在巨人的肩膀上,但通过推出这种行为识别技术,可以说是将目前的邮件过滤技术带入到下一代的技术革新中。相信不久的将来,在全球的邮件过滤器上都会应用到行为识别技术。

原文转自:http://www.ltesting.net