大智

来源: BlogBus 原始链接: http://www.blogbus.com:80/blogbus/blog/diary.php?diaryid=239496 存档链接: https://web.archive.org/web/20040922174448id_/http://www.blogbus.com:80/blogbus/blog/diary.php?diaryid=239496

大智-为人民服务追求的最高境界是无欲无求，为人民服务是大智的终生目标！三里刚起步，百折不回头。 <<< 中国将出现100亿的世界最大反垃圾邮件市场 | 首页 | 全面剖析E-mail收发失败的原因>>> 2004-06-27 敏讯科技有限公司总经理郑海明主题讲座：反垃圾邮件解决方案作者:敏讯科技有限公司总经理郑海明　2004年05月21日 16:02 来源:赛迪网【赛迪网讯】感谢大家给我们这么一个机会在这里作发言。我们敏讯科技公司是2002年成立的，我们注意到垃圾邮件增长的速度非常快，所以我们一直研究垃圾邮件的问题，垃圾邮件的问题大家也介绍了很多，我也不想介绍它的危害。我们从用户这边调查的结果，80％的安全威胁来自于垃圾邮件和蠕虫病毒，企业如何做防护呢？我们的反垃圾邮件系统，主要放在邮件服务器前端，跟大家理解的邮件网关也是一样的。我主要讲一下我们核心的东西，传统的反垃圾邮件技术主要是：IP阻断列表，黑白名单，关键字内容过滤，信息分类。经常有用户问我，你能不能扫描图片，能不能做OCR，或者是信息的分类，我认为这根本不是技术发展的方向。传统反垃圾邮件有一些无法解决的问题，很多反垃圾邮件都是动态IP，如果用IP阻断列表几乎没有太大的效果。另外，垃圾邮件病毒变化的速度非常快，垃圾邮件五分钟之前和五分钟之后收到的垃圾邮件内容都不一样，如果用关键字过滤如何过滤。用关键字过滤的方式，首先你的成本也是非常高的，你消耗的资源也是非常多，过滤规则比较庞大，过滤垃圾信跟内容高度相关，拦截率低，误判率高。为什么有人说大多数会想到用内容过滤的方式，很多人收到信，第一印象我收到的这份内容是垃圾邮件，其实不是的，垃圾邮件研究的课题，用服务器来解决它的行为特征才是新的技术。传统的反垃圾邮件一些理念上我认为有一些问题，比如说都采用被动堵截的方式，而不去规范；如果哪个IP来发，我就阻断哪个IP，我觉得这种方式是比较被动的，头疼医头，脚疼医脚的方式，你加了这个关键字，他明天换了另外一个关键字。 EQManang新一代反垃圾技术，我们的倡导“行为识别”反垃圾新技术，经过大量的统计分析计算，归纳出垃圾邮件发送行为识别模型。这一模型在理论计算上有着较高的垃圾邮件区分度（大于90％），并且在实证分析中也暗合“小偷的行为心理异于常人”的道理。垃圾邮件行为特征是垃圾邮件的固有特征。采用行为识别模型识别垃圾邮件，也可以从另一方面给垃圾邮件发送者以压力，迫使发送者按照一定的规范发送邮件，只能以正常方式发送邮件，使邮件的发送处于受控状态。刚才提到的蠕虫病毒的问题，蠕虫病毒在很大程度上了一种攻击的行为，它对邮件网关或者邮件服务器发送的时候，表现的就是一种攻击行为。比如新浪网也在研究行为特征，比如你一个IP快速地给我发一万封信，是不是要阻断他们，这要看垃圾邮件行为特征的识别模型，是多指标模型还是单指标模型，我们研究的是多指标模型，只有把内容平分的技术用为行为特征的平分，你发一万封信，我仅仅认为你是高度可疑，但我并不能马上下结论阻断你。典型的行为特征上有很多种不断变化IP，包括一些时间上的规律，包括一些虚假的路由，我们两年来积累了一些非常宝贵的行为特征库。另外，我们反垃圾邮件采用“空中截击”的反垃圾新技术，敏讯科技对垃圾邮件采用“边接收、边判断、边处理”的模式，不需要把邮件完整收下来，就能及时阻断垃圾邮件，减少垃圾邮件的对带宽与存储资源占用。只要把信收下来，从经济学角度来说，你处理垃圾邮件的成本如果比发送邮件的成本要高的话，肯定是反不了垃圾邮件。从行为特征上可以提供一个入侵检测的系统，建立“SMTP IPS”邮件入侵防护系统，这个过程如果人来参与，这个过程就非常复杂。有一个非常典型的客户，一个小时光攻击的日志就写了40兆，这里我就不详细说了。我们反垃圾邮件从2002年就开始做了。从电信应用的角度来讲，这种行为识别反垃圾系统处理的效率要远远高于内容过滤型的。从垃圾的拦截率来讲，我们平均都是在90％以上，刚才也有一些厂商说我们的智能的反垃圾邮件体现在哪里？如果体现在规则制定上，那就根本不叫智能反垃圾系统，智能的反垃圾系统必须对垃圾邮件进行核心研究，这是设计思路上的一个错误方向。我们垃圾邮件评测了一些建议，垃圾邮件有拦截率和误判率的问题，有些企业天天特价卖产品，它是正常邮件，不是垃圾邮件。有的产品看上去功能很多，但实际上带来的管理工作量非常大，说明这个网关是没有核心的模型和算法，它需要*人工的管理去管理它，这样看上去很强大，但是并没有成熟的模型。我们在第三方评测中，包括另外媒体的评测也是碰到一个很大的问题，很多垃圾邮件网关的评测，是说我模拟一个服务器，把网关放在上面，然后由这个产品厂商提供一个特征库来狂发这个信，然后再过滤，在这种情况下，我们的行为特征识别的技术就非常吃亏。为什么？我们的行为特征识别必须在真实的环境中进行测试，这种方式虽然可以正确的评测网关的效果，但由于电子邮件系统处于正常生产状况，评测给用户带来了很大的风险。建议建立第三方的评测中心，以模拟真实环境的市对反垃圾邮件网关进行评测。这是一个真实的数据（见图），这是一个某著名的企业集团，平常的流量都是在两万到四万封之间，后面几天受到了攻击，这是一个月的数据，这一个月每天的数据，经过很快处理以后，从信号学来讲，它本身的信号非常规则，每天的流量不超过6000封信，从2到4万封信到现在每天不超过6000封信。这是我们网关的效果图（见图），上面都是受到攻击的，比如红色非常高的情况，是网关自动防护的。这里有一些成功的案例，我在这里不详细讲了，我们成功的案例，国内一些著名的学校，都是用我们公司的产品来做防护，还有一些企业集团和政府都是用我们的产品来做防护。非常感谢大家给我这样一个机会来解释我们的行为识别的反垃圾邮件的技术，供大家参考，有什么问题，我可以回答大家的提问。提问：你说的误判率，拦截率比较高，你们怎么提高安全率？郑海明：我们的很多企业、很多客户都是一些比较大的商业客户，比如国内顶级的第一的软件公司，他们的合同里面天天走的都是这些跟生意上相关的东西，如果说他用内容过滤的方式来反垃圾邮件，我想这个后果不堪设想，可能某个学校、研究所可能百分之一或者更低的误判率还能忍受，如果是商业客户可能误判率无法忍受。行为特征识别，我们不会因为某一个特征符合就认为它是垃圾邮件，我觉得应该是一个代表未来反垃圾邮件的方向，我们自己认为这是一个第三代反垃圾邮件的技术。提问：目前该公司的产品与国外的网站比如雅虎、搜狐这样的网站，在反垃圾邮件的技术上有哪些差距？郑海明：网站上的反垃圾邮件技术我不是很了解，我跟搜狐的人打交道比较多，搜狐的人也在研究这方面的问题，包括学术库的一些专家，全世界范围内没有人提出来用行为特征识别来反垃圾邮件。提问：你指的使用识别有哪些是垃圾邮件的识别？怎么识别它是发自于服务器？郑海明：我们有很多方面，比如只能发自于服务器，而不是发自于桌面，如果我企业接收的服务器是一定要接收从对方服务器来的信才收，我不会容忍随便一个人架一台笔记本电脑给我发信我就收了。在国内很少这方面的研究，大家的关注点就是，怎么样用文字来切断，要考虑清楚。提问：垃圾邮件是越反越多，是谁在制造这个垃圾邮件。垃圾邮件越反越多，说明它成本很低，为什么不能从源头上制止？还有一个方面，垃圾邮件是从它的内容来定义，还是从它的邮箱E－Mail来定义，我个人认为我的邮箱用的不是普通的姓名，我就是用一个很怪的名字或者其他，让人一看就像垃圾邮件，就会很快删掉，这怎么办？郑海明：我判断这封垃圾邮件是看这封信是怎么发过来的，我并不关心你这封信里到底是什么，我不会把它都打开，没有这个必要。跟警察抓小偷一样，他上了公共汽车，他根本不会看你偷不偷钱包，他是看你是不是在找偷钱的对象，他从小偷的眼神就可以找到了。 juan 发表于 2004-06-27 12:39 编辑 | New Blog | 引用(Trackback0) 评论发表评论最后更新 IM的合作伙伴-BBS msn上订blog E.T.的入侵深圳市某软件有限公司以“另类”方式直接杀入网络即时通讯 PHP5正式发布用客户端注册机器人 Weblog 发展前景看好桌面搜索搜索引擎发展新动向计算机术语辞典可以看到网站搜索排名的服务