反垃圾邮件技术分析与中文垃圾邮件过滤规则研究ppt课件.ppt
《反垃圾邮件技术分析与中文垃圾邮件过滤规则研究ppt课件.ppt》由会员分享,可在线阅读,更多相关《反垃圾邮件技术分析与中文垃圾邮件过滤规则研究ppt课件.ppt(75页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、反垃圾邮件技术分析与中文垃圾邮件过滤规则研究ppt课件 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望主要内容 垃圾邮件的情况垃圾邮件的情况 反垃圾邮件技术分析反垃圾邮件技术分析垃圾邮件的定义垃圾邮件的定义垃圾邮件历史垃圾邮件历史现状分析现状分析 中文垃圾邮件过滤规则研究中文垃圾邮件过滤规则研究CCERTCCERT开展的反垃圾邮件工作开展的反垃圾邮件工作垃圾邮件的定义垃垃圾圾邮邮件件:普普通通意意义义上上的的垃垃圾圾邮邮件件指指的的是是未未经经主主动动请请求求的的
2、大大量量的的电电子子邮邮件件,SPAM,UBE(UnsolicitedBulkEmail),UCE(UnsolicitedCommercialEmail)v收收件件人人事事先先没没有有提提出出要要求求或或者者同同意意接接收收的的广广告告、电电子子刊刊物物、各种形式的宣传品等宣传性的电子邮件各种形式的宣传品等宣传性的电子邮件;v收件人无法拒收的电子邮件;收件人无法拒收的电子邮件;v隐藏发件人身份、地址、标题等信息的电子邮件;隐藏发件人身份、地址、标题等信息的电子邮件;v含有虚假的信息源、发件人、路由等信息的电子邮件。含有虚假的信息源、发件人、路由等信息的电子邮件。主要内容 垃圾邮件的情况垃圾邮件
3、的情况 反垃圾邮件技术分析反垃圾邮件技术分析垃圾邮件的定义垃圾邮件的定义垃圾邮件历史垃圾邮件历史现状分析现状分析 中文垃圾邮件过滤规则研究中文垃圾邮件过滤规则研究CCERTCCERT开展的反垃圾邮件工作开展的反垃圾邮件工作1985年年8月一封通过电子邮件发送的链锁信,一直持月一封通过电子邮件发送的链锁信,一直持续到续到1993年,这是首次关于垃圾邮件的记录。年,这是首次关于垃圾邮件的记录。1993年年6月份,在月份,在Internet上出现了名为上出现了名为“MakeMoneyFast”的电子邮件。的电子邮件。1994年年4月份,月份,Canter&Siegel的法律事务所把一封的法律事务所把
4、一封移民顾问服务广告邮件发到移民顾问服务广告邮件发到6000多个新闻组,一时间多个新闻组,一时间群情激奋。群情激奋。-首次用首次用spam称呼垃圾邮件。称呼垃圾邮件。1995年年5月出现第一个专门的垃圾邮件群发软件月出现第一个专门的垃圾邮件群发软件Floodgate。vv分析分析分析分析:简单邮件传输协议:简单邮件传输协议:简单邮件传输协议:简单邮件传输协议(SMTP)(SMTP)(SMTP)(SMTP)协议安全性存在不足协议安全性存在不足协议安全性存在不足协议安全性存在不足:SMTP SMTP基于基于RFC 524RFC 524发展而来,发展而来,RFC524RFC524是在是在197319
5、73年提出的,它不是一个安年提出的,它不是一个安全的命令集。这使得全的命令集。这使得SMTPSMTP缺乏安全性保障。缺乏安全性保障。发展历史主要内容 垃圾邮件的情况垃圾邮件的情况 反垃圾邮件技术分析反垃圾邮件技术分析垃圾邮件的定义垃圾邮件的定义垃圾邮件历史垃圾邮件历史现状分析现状分析 中文垃圾邮件过滤规则研究中文垃圾邮件过滤规则研究CCERTCCERT开展的反垃圾邮件工作开展的反垃圾邮件工作现状分析-数据统计v全全球球范范围围统统计计,20012001年年垃垃圾圾邮邮件件仅仅占占电电邮邮总总量量的的7%7%,到到20022002年年即即达达到到29%29%,至至20032003年年7 7月月就
6、就超超过过了了51%51%,20042004年年1 1月高达月高达60%60%v垃垃圾圾邮邮件件的的数数量量已已经经超超过过了了合法电子邮件的数量合法电子邮件的数量 。现状分析现状分析-我国垃圾邮件形势严峻我国垃圾邮件形势严峻v20032003年年终终统统计计显显示示:中中国国邮邮件件服服务务器器总总计计接接收收到到的的垃垃圾圾邮邮件件为为15001500亿亿封封,用用户户实实际际共共计计收收到到垃垃圾圾邮邮件件470470亿亿封,经济损失封,经济损失4848亿亿。v第第十十四四次次中中国国互互联联网网络络发发展展状状况况统统计计报报告告显显示示,我我国国网网民民在在20042004年年7 7
7、月月份份每每周周收收到到13.813.8封封电电子子邮邮件件,其其中正常电子邮件为中正常电子邮件为4.64.6封封,垃圾邮件数却达到,垃圾邮件数却达到9.29.2封。封。v网网民民每每周周收收到到的的垃垃圾圾邮邮件件数数是是非非垃垃圾圾邮邮件件数数的的两两倍倍!商业宣传邮件商业宣传邮件政治宣传邮件政治宣传邮件色情宣传色情宣传邮件邮件病毒邮件病毒邮件现状分析现状分析-常见垃圾邮件类常见垃圾邮件类型型vv 爱虫(爱虫(2000-2-14 2000-2-14)、)、vv nimda nimda(2001-9-192001-9-19)、)、vv 求职信(求职信(2001-10-262001-10-26
8、)、)、vv 中文版求职信(中文版求职信(2002-2002-年年5-105-10)、)、vv 怪物(怪物(2002-10-022002-10-02)、)、vv sobig sobig(2003-1-112003-1-11)、)、vv 爱情后门(爱情后门(2003-2-252003-2-25)、)、vv 小邮差(小邮差(2003-8-042003-8-04)、)、vv 斯文(斯文(2003-9-192003-9-19)、)、vv MyDoom(SCO MyDoom(SCO炸弹炸弹)(2004-1-2004-1-2727)vv Netsky Netsky及其变种(及其变种(2003-2003-今
9、)今)发件人地址随机变化发件人地址随机变化邮件主题随机变化邮件主题随机变化伪造邮件头干扰信息伪造邮件头干扰信息信体内容随机变化内容信体内容随机变化内容正文以图片方式显示,难以识别正文以图片方式显示,难以识别对垃圾邮件的定义和分类因人而异对垃圾邮件的定义和分类因人而异垃圾邮件在不同时段内的传播内容不一样垃圾邮件在不同时段内的传播内容不一样垃圾邮件在不同范围内的传播内容不一样垃圾邮件在不同范围内的传播内容不一样现状分析垃圾邮件的特点宽带网络的快速发展宽带网络的快速发展网络通信成本的下降网络通信成本的下降硬件性能的提高并且成本不断降低硬件性能的提高并且成本不断降低成本与产出的巨大反差成本与产出的巨大
10、反差邮件的易伪造邮件的易伪造缺乏法律与规范的约束缺乏法律与规范的约束现状分析-泛滥原因现状分析危害国家层面:国家层面:政治、经济、文化政治、经济、文化用户层面:学习、工作、生活用户层面:学习、工作、生活对于对于CERNET内的高校而言内的高校而言:网络安全性、稳定性、高效性;网络安全性、稳定性、高效性;占用带宽、存储空间;占用带宽、存储空间;被列入各种黑名单;被列入各种黑名单;被投诉;被投诉;声誉、国际影响;声誉、国际影响;现状分析现状分析-Spammers的手段v获取目标地址获取目标地址扫描、猜测、购买扫描、猜测、购买利用病毒从本地邮箱获取联络人利用病毒从本地邮箱获取联络人EmailEmai
11、l地址地址v逃避检测、追踪和过滤的技术逃避检测、追踪和过滤的技术Open-Relay Open-Relay 自架设自架设 MTA MTA服务服务采用动态采用动态IPIP地址地址伪造或隐藏信源地址伪造或隐藏信源地址逃避内容过滤:逃避内容过滤:Graphics,URL,mis-spelling,etc.Graphics,URL,mis-spelling,etc.v欺骗(欺骗(PhishingPhishing)技术)技术Ifthemessagewillnotdisplayedautomatically,followthelinktoreadthedeliveredmessage.Receivedme
12、ssageisavailableat: 垃圾邮件的情况垃圾邮件的情况 反垃圾邮件技术分析反垃圾邮件技术分析技术概览技术概览垃圾邮件的响应环节及措施垃圾邮件的响应环节及措施邮件的传输过程及对垃圾邮件的控制邮件的传输过程及对垃圾邮件的控制 中文垃圾邮件过滤规则研究中文垃圾邮件过滤规则研究CCERTCCERT开展的反垃圾邮件工作开展的反垃圾邮件工作技术概览vv邮件服务系统的安全加固邮件服务系统的安全加固邮件服务系统的安全加固邮件服务系统的安全加固vv垃圾邮件过滤技术垃圾邮件过滤技术垃圾邮件过滤技术垃圾邮件过滤技术vv热点讨论技术热点讨论技术热点讨论技术热点讨论技术增强邮件服务器的安全性,防止漏洞及时
13、补丁提高系统防病毒能力提供邮件服务安全身份认证添加反垃圾邮件的专用设备或插件IP、域名、邮件地址的黑白名单及BBL方式SMTP通信链接速率、频度的设定反向域名验证基于信头、信体、附件的内容关键词基于贝叶斯算法的统计分析基于匹配判定规则的方式电子邮票Challenge-ResponseDomainkeys、SenderIDSPF(sender policy framework)主要内容 垃圾邮件的情况垃圾邮件的情况 反垃圾邮件技术分析反垃圾邮件技术分析技术概览技术概览垃圾邮件的响应环节及措施垃圾邮件的响应环节及措施邮件的传输过程及对垃圾邮件的控制邮件的传输过程及对垃圾邮件的控制 中文垃圾邮件过滤
14、规则研究中文垃圾邮件过滤规则研究CCERTCCERT开展的反垃圾邮件工作开展的反垃圾邮件工作反垃圾邮件的技术环节vv 预防预防预防预防增强邮件服务器的安全性,防止漏洞及时补丁提高系统防病毒能力提供邮件服务安全身份认证添加反垃圾邮件的专用设备或插件IP、域名、邮件地址的黑白名单及BBL方式SMTP通信链接速率、频度的设定反向域名验证法基于信头、信体、附件的内容关键词基于贝叶斯算法的统计分析基于垃圾邮件判定规则电子邮票Challenge-ResponseDomainkeys、SenderIDSPF(sender policy framework)vv 检测检测检测检测vv 响应响应响应响应丢弃(D
15、rop)标记(Lable)隔离(Quarantine主要内容 垃圾邮件的情况垃圾邮件的情况 反垃圾邮件技术分析反垃圾邮件技术分析技术概览技术概览垃圾邮件的响应环节及措施垃圾邮件的响应环节及措施邮件的传输过程及对垃圾邮件的控制邮件的传输过程及对垃圾邮件的控制 中文垃圾邮件过滤规则研究中文垃圾邮件过滤规则研究CCERTCCERT开展的反垃圾邮件工作开展的反垃圾邮件工作邮件的传输过程OriginatorReceiverExternal-Relay布控点及相关措施(一)vvOriginatorOriginator端端端端:q 在发送邮件的服务器上采取措施:在发送邮件的服务器上采取措施:限制服务器发送邮
16、件的速率、频率限制服务器发送邮件的速率、频率规定邮件服务器开放服务的端口,关闭不必要的服务规定邮件服务器开放服务的端口,关闭不必要的服务使用经过认证的使用经过认证的MTAMTA转发邮件转发邮件设定邮件用户身份认证方式设定邮件用户身份认证方式q 与邮件用户间互签安全协议与邮件用户间互签安全协议vv对转发邮件过程中的对转发邮件过程中的对转发邮件过程中的对转发邮件过程中的Relay Relay Relay Relay 服务器身份认证:服务器身份认证:服务器身份认证:服务器身份认证:布控点及相关技术(二)q:可信任的信道,即每次中转都采用可信赖的实体:可信任的信道,即每次中转都采用可信赖的实体SSL/
17、TLSSSL/TLSPPP LogicPPP LogicSSHSSHq:合法的对象源,对邮件信息可以做确认:合法的对象源,对邮件信息可以做确认S/MIMES/MIMEPGPPGPq设置不同方式的过滤措施设置不同方式的过滤措施 vv ReceiverReceiver端:端:端:端:布控点及相关技术(三)q基于流量的入侵检测基于流量的入侵检测q基于基于honeypothoneypot或或miningfield miningfield 的检测的检测IPIP、域名、邮件地址的、域名、邮件地址的黑白名单黑白名单、RBLRBLBBL(Benefit Blackhole List)BBL(Benefit B
18、lackhole List)基于链接速率、基于链接速率、频度频度的动态规则的动态规则反向域名验证反向域名验证基于信头、信体、附件的内容基于信头、信体、附件的内容关键词关键词过滤过滤基于基于贝叶斯贝叶斯的内容统计分析的内容统计分析基于规则评分系统的过滤平台例如:基于规则评分系统的过滤平台例如:SpamAssassinSpamAssassin邮件病毒扫描邮件病毒扫描正在讨论中的正在讨论中的:SPF:SPF、DMP DMP、RMX RMXDomain keysDomain keysq订制第三方服务订制第三方服务 例如例如:DSBL、DCC、Razor、APFChallenge-response黑名单
19、不占用计算机资源,易于实施。需要手动维护的IP地址清单。垃圾邮件发送者经常修改他们的IP地址,并采用一个广泛的IP地址区间以逃避反垃圾邮件手段的检测,因此该方案在总体的垃圾邮件解决方案中仅起补充作用。黑名单、白名单、灰名单q设置不同方式的过滤措施设置不同方式的过滤措施 vv ReceiverReceiver端:端:端:端:布控点及相关技术(三)q基于流量的入侵检测基于流量的入侵检测q基于基于honeypothoneypot或或miningfield miningfield 的检测的检测IPIP、域名、邮件地址的、域名、邮件地址的黑白名单黑白名单、RBLRBLBBL(Benefit Blackh
20、ole List)BBL(Benefit Blackhole List)基于链接速率、基于链接速率、频度频度的动态规则的动态规则反向域名验证反向域名验证基于信头、信体、附件的内容基于信头、信体、附件的内容关键词关键词过滤过滤基于基于贝叶斯贝叶斯的内容统计分析的内容统计分析基于规则评分系统的过滤平台例如:基于规则评分系统的过滤平台例如:SpamAssassinSpamAssassin邮件病毒扫描邮件病毒扫描正在讨论中的正在讨论中的:SPF:SPF、DMP DMP、RMX RMXDomain keysDomain keysq订制第三方服务订制第三方服务 例如例如:DSBL、DCC、Razor、AP
21、FChallenge-responseRBLs(实时黑名单)也被称为DNS-RBLs,检查所有收到邮件的IP地址,与在RBL中的IP地址核对来阻断与spammer的连接。RBL服务运营商维护公共RBLs,使用单位仅需订阅实时黑名单服务。RBLs的计算开销非常低,同时它们通常采用一个类似与DNS的协议实施,所以它们的网络开销也非常低。RBLs缺点易于产生误报,须谨慎。RBL工作原理SMTP服务器接收到链接请求对链接地址进行DNS反向查询与RBL服务器建立查询查询得到肯定的结果,则拒绝该连接查询无结果,继续进行连接q设置不同方式的过滤措施设置不同方式的过滤措施 vv ReceiverReceive
22、r端:端:端:端:布控点及相关技术(三)q基于流量的入侵检测基于流量的入侵检测q基于基于honeypothoneypot或或miningfield miningfield 的检测的检测IPIP、域名、邮件地址的、域名、邮件地址的黑白名单黑白名单、RBLRBLBBL(Benefit Blackhole List)BBL(Benefit Blackhole List)基于链接速率、基于链接速率、频度频度的动态规则的动态规则反向域名验证反向域名验证基于信头、信体、附件的内容基于信头、信体、附件的内容关键词关键词过滤过滤基于基于贝叶斯贝叶斯的内容统计分析的内容统计分析基于规则评分系统的过滤平台例如:基
23、于规则评分系统的过滤平台例如:SpamAssassinSpamAssassin邮件病毒扫描邮件病毒扫描正在讨论中的正在讨论中的:SPF:SPF、DMP DMP、RMX RMXDomain keysDomain keysq订制第三方服务订制第三方服务 例如例如:DSBL、DCC、Razor、APFChallenge-responsev检查邮件内容中含有的URL链接v定义受益黑名单基于基于BBL过滤过滤q设置不同方式的过滤措施设置不同方式的过滤措施 vv ReceiverReceiver端:端:端:端:布控点及相关技术(三)q基于流量的入侵检测基于流量的入侵检测q基于基于honeypothoney
24、pot或或miningfield miningfield 的检测的检测IPIP、域名、邮件地址的、域名、邮件地址的黑白名单黑白名单、RBLRBLBBL(Benefit Blackhole List)BBL(Benefit Blackhole List)基于链接速率、基于链接速率、频度频度的动态规则的动态规则反向域名验证反向域名验证基于信头、信体、附件的内容基于信头、信体、附件的内容关键词关键词过滤过滤基于基于贝叶斯贝叶斯的内容统计分析的内容统计分析基于规则评分系统的过滤平台例如:基于规则评分系统的过滤平台例如:SpamAssassinSpamAssassin邮件病毒扫描邮件病毒扫描正在讨论中的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 垃圾邮件 技术 分析 中文 过滤 规则 研究 ppt 课件
限制150内