3. 各种方法的协同
多种反垃圾算法在系统中存在协同问题。同时,各种网络安全设备之间也存在协同问题。例如,当垃圾邮件、病毒邮件大量泛滥时,应该凭借防火墙分流,将邮件流量交由邮件安全系统处理,而将非邮件流量交IDS监控,否则大量的邮件流量会淹没IDS,甚至导致IDS死机。
优化的引擎控制流程:
【动态引擎】-【同时连接数】:动态控制引擎的同时连接数在网络层限制大量同一IP的SMTP连接,并可能阻挡未知病毒和垃圾的泛滥程度;
【动态引擎】-【重复控制】:动态控制引擎的用户重复、邮件重复和连接频率三个重复控制引擎限制同一发件人、同一主题、同一IP的邮件的发送频率,并可能阻挡未知病毒和垃圾的泛滥程度;
【垃圾引擎】-【黑白名单】:垃圾引擎的黑白名单将已知的垃圾发送者摒弃、放进已知的非垃圾发送者,黑白名单匹配的项不会再做其他垃圾检测工作;
【垃圾引擎】-【可追查检查】:垃圾引擎的可追查性检查高效地发现伪造了来源、路由的邮件,这样的垃圾邮件占所有垃圾邮件的95$\%$以上,阻挡的同时降低了高负荷的内容过滤和智能垃圾分析所需要的系统资源要求;
【垃圾引擎】-【智能检测】-【智能实时黑名单】:智能实时黑名单将这些黑名单列入的匹配邮件(注意:不仅是最早的RBL的IP列表)判断为垃圾邮件;
【内容过滤引擎】:内容过滤引擎发现内容匹配的邮件,主要针对政治、色情邮件,这些邮件一般不会再发给垃圾智能检测去分析或让贝叶斯过滤器去学习;
【垃圾引擎】-【智能检测】-【贝叶斯/集中分析/内容分析/降噪】:最后上述方法都认为是正常的邮件经过负荷要求最高、但人工智能因素也最高的邮件特征智能集中分析和智能内容分析来判断该邮件是否垃圾邮件,同时提交贝叶斯过滤器学习,相辅相成地,贝叶斯过滤器也可以判断该邮件是否垃圾邮件,如果认为是,会自动提交智能集中分析服务器。同时智能降噪系统降低突发因素导致误判的可能。
可追查性检查引擎排除了绝大部分非正常邮件,使进入高负荷的智能检测引擎和较高负荷的内容过滤引擎的邮件量只占全部邮件的5%,相当于使整个系统的性能提高了20倍。
由于基于内容分析的反垃圾邮件方法占用相对多的系统资源,因此一台平时负荷不大、完全满足应用的邮件安全产品可能在邮件病毒爆发或垃圾邮件极度泛滥时系统资源被充满,对于自身防护不好的邮件安全产品甚至可能导致自身崩溃,因此在这时可以关闭高负荷的反垃圾引擎,只使用负荷最低的可追查性检查,仍然能保证较好的反垃圾邮件效果。
4. 反-反垃圾技术方法
上述内容已覆盖所有已有技术,但大部分这些技术在防止垃圾邮件时效果都不理想,有些方案虽然能够达到一定的理想程度,但原因是目前的垃圾群发邮件尚不够好,如果再优化一下,完全有可能躲过上述所有方法。
利用动态IP:利用动态分配的IP地址、国外的OpenRelay隐藏来源,前者尤其在宽带网、智能社区高速发展的今天会很有效,因为基于IP的封堵技术会导致殃及无辜。
反内容分析
1. 信头、正文随机化:使用随机内容产生器产生随机的信头、内容和附件名
2. 内容图片化:将真正要传送的内容放入附件图片
3. 图片加噪:对附件图片做随机的、不影响图片阅读效果的噪声处理,可以躲避所有内容分析。
分散发布源:垃圾发送者合作相互转发
结合蠕虫的功能,将垃圾发送分散到世界各地可被蠕虫侵染的机器,可防止智能分析中对发送邮件IP的分析。
5. 反垃圾邮件立法
5.1 立法实施的技术问题
反垃圾邮件立法存在实施
难度,对于不可追查的邮件,不仅占用了大量网络带宽,而且使用内容监控提交管理机关时,会导致大量无法或难以查找的邮件充塞管理机关的监控存储,而管理机关又无法追查邮件来源,或者追查邮件来源时需要消耗很大的精力,无法保证立法的顺利实施,损害了法律的威严。
同时,对于国外的、管理机关无法监管的计算机发出的垃圾邮件,如果不基于可追查检查,则黑名单方案很难奏效,可能导致殃及无辜,而且垃圾发送者可以躲避黑名单方案。而使用了可追查检查方案后,对于正常的邮件服务器和邮件发送人,如果因为当地没有使用全面可追查方案而被误判,可以从错误反馈信息中得到原因,使用另外的、可追查方案可接受的邮件发送方式和国内使用了可追查检查方案的系统通邮。如果国外计算机使用可追查检查方案可接受的方式发送垃圾邮件,黑名单方案就可以起作用了。
立法以后无法实施、难以实施,对违法的人难以查找和制裁,必然损害法律的威严。
5.2 可追查后的立法实施
使用了可追查性检查后,所有能够在网络上传输的邮件都是可以追查来源的,这是内容监控也可以起作用了,一方面可追查体系保证了邮件发件人的可追查性,一般人慑于法律威严不敢乱发垃圾邮件;另一方面内容监控提交的信息都是可追查到的,管理机关可以很容易地有的放矢,对需要制裁的邮件发送人可以很容易地找到他、制裁他。
立法的可实施、易实施性,提高了管理机关的工作效率,维护了法律的威严。(E-works)
