一种基于ma通信的垃圾邮件行为识别技术.docxVIP

一种基于ma通信的垃圾邮件行为识别技术 0 加大对地下空间的可识别性,提高反病毒的行为识别能力,强化用户通信秘密 随着中国互联网的快速发展和普及，垃圾邮件的传播也变得越来越猖獗，严重侵犯了电子邮件用户的合法权益和公司的利益，影响了电子邮件服务的正常运作秩序和网络的正常运行。它直接影响到互联网信息安全，每年给经济带来数十亿元的巨大损失。互联网协会2006年第一次反垃圾邮件调查结果表明:2005年11月～2006年3月期间,中国互联网用户收到的垃圾邮件比例由61.53%上升到63.97%,上升了2.44个百分点。中国互联网用户平均每周收到垃圾邮件数量为19.33封,较2005年10月的每周17.25封上升了2.08封,上升幅度也高于上次的调查结果。面对日益严峻的反垃圾邮件形势,为了维护广大用户的合法权益、促进互联网健康发展,信息产业部已公布了《互联网电子邮件服务管理办法》(后面简称《管理办法》),并于2006年3月30日开始施行。《管理办法》的公布,意味着政府主管部门对垃圾邮件治理工作越来越重视。 《管理办法》中规定,包括运营商、电子邮件服务提供商和垃圾邮件举报受理中心,都无权自行打开邮件和查看邮件的内容。因此,以绝大多数厂商为代表的邮件内容扫描技术则不符合此项法规。2006年3月21在北京举行的主题为“治理、规范、发展的《管理办法》研讨会暨2006年第一次中国反垃圾邮件状况发布会”中,信息产业部政策法规司法规处副处长李长喜博士说:“《管理办法》对垃圾邮件的管理主要是从电子邮件的标题等外在形式方面进行判断。”因此,本文提出了一种主动式的垃圾邮件行为识别技术。所谓行为识别技术就是在MTA通信阶段就判断出所接收邮件是否为垃圾邮件而不需要打开邮件检查其内容。这种行为识别技术完全符合法律规定的保障公民通信秘密的要求,也符合《管理办法》规定的要求,还可避免内容过滤技术不可避免的误报率高、语言依赖性强、网络流量大和资源消耗大等问题;同时还可提高邮件过滤速度,减少网络延迟。 1 垃圾邮件的定义与通信行为的分析 1.1 规范使用权滥用 2002年11月1日,中国互联网协会在《中国互联网协会反垃圾邮件规范》中是这样定义垃圾邮件的:“本规范所称垃圾邮件,包括下述属性的电子邮件:a)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;b)收件人无法拒收的电子邮件;c)隐藏发件人身份、地址、标题等信息的电子邮件;d)含有虚假的信息源、发件人、路由等信息的电子邮件。” 国际互联网邮件协会(Internet Mail Consortium,IMC)于1997年10月做了题名为“不请自来的大量邮件的定义及其产生的原因”的报告。这份报告中就将垃圾邮件定义为不请自来的大量邮件,即UBE(unsolicited bulk e-mail)。美国弗吉尼亚2003年《反计算机犯罪法》就采用了“不请自来的大量邮件”来定义垃圾邮件。 垃圾邮件之所以烦人,并不是因为内容无趣不吸引人,而在于大量滥发,任意长驱直入至收信者电子邮件箱。从法律上讲,没有取得他人同意滥发垃圾邮件,属于滥用发信自由、侵犯他人的收信自由,实质上是强迫通信。反垃圾邮件就是反对强迫通信,维护通信自由。 1.2 b发送含带病毒的电话 垃圾邮件发送者已经在全球形成较紧密的合作网络,发送的手段也更加隐蔽和狡猾。垃圾邮件发送行为解析分类如下:a)邮件滥发行为。利用软件群发带有商业目的电子邮件。这些垃圾邮件发送者经常利用动态IP地址来发送垃圾邮件,混淆垃圾邮件的来源和路由,以逃避法律法规的追查和制裁,以及病毒邮件、蠕虫邮件利用操作系统或应用系统的漏洞,大量转发含带病毒的邮件。b)邮件非法行为。垃圾邮件发送者借用各地的多个开启了open relay邮件转发功能的邮件服务器来发送邮件的行为。c)邮件伪造行为。发件人、收件人、发件主机或邮件传输信息经过刻意伪造,经查证不属实的行为。d)邮件匿名行为。发件人、收件人、发件主机或邮件传输信息刻意隐匿,使得无法追溯其来源的行为。e)利用IDC(互联网数据中心)提供的邮件服务以正常用户的方式进行垃圾邮件发送。 从上面对垃圾邮件通信行为分析发现,垃圾邮件与正常邮件的发送行为具有极高的区分度,这对过滤垃圾邮件提供了突破点:根据这些通信行为特征可以判断垃圾邮件通信的存在性,从而可以采取相应的手段来阻止。 2 会话连接通信过程 SMTP(简单邮件传输协议)有一个协议状态空间,协议会话过程中,会话双方都将分别维护会话状态。协议命令驱动协议会话状态在SMTP 协议状态空间中转换。MTA会话连接通信过程主要包括helo、mail、rcpt和data四个核心命令。下面详细介绍其会话连接通信过程。 首先,发件方SMTP发送helo命令,表示发件方问候收件方,后面是发