第三代防垃圾邮件技术“行为识别”诞生

中国成为全球仅次于美国的第二大垃圾邮件受害国.

第一代和第二代的过滤技术始终没有跳出内容匹配过滤的技术局限除行为识别外，新一代防垃圾邮件网关的一些新特性:强大的多域管理 针对大型企业、ISP和ASP的邮件系统常常使用一个或多个MTA对多个域提供服务的情况，新一代的防垃圾邮件网关可同时支持对多个域的邮件进行过滤;语言无关性 只检查邮件头部分，对各国语言的垃圾邮件都能有效过滤;个人化策略 可以针对个人进行白名单，黑名单，邮件放行等策略的设置;用户认证代理 支持LDAP认证，能够有效防止伪造内部用户进行发信。丰富的日志 提供了详尽的报告，能够按照用户配置的参数查询相关的数据生成报表。报表形式丰富多样，可以是表格、曲线图和饼图，满足用户的不同需求。

直观的统计报表 可根据日志数据生成多种格式的统计图形化统计报表，形象直观，方便管理员的管理工作;防病毒邮件 内置国际知名反病毒厂商CA的杀毒引擎美国SBL著名垃圾邮件对比资料库提供的资料表明，中国是全球第二大垃圾邮件受害国，仅次于美国。中国互联网中心统计，我国用户平均每周收到的垃圾邮件数超过邮件总数的60%，部分企业每年为此投入上百万元的设备和人力。

巨大的市场需求驱动了各安全厂家在防垃圾邮件产品方面的研发投入加大。据不完全统计，从2004年初至今，国内市场上出现了超过80个防垃圾邮件产品，如此繁多的品牌如何寻找真正能够帮助用户解决垃圾邮件问题的产品呢?让我们来分析一下目前防垃圾邮件产品采用的核心技术。

市场上防垃圾邮件产品所采用的技术按照技术发展的阶段主要分为以下三类:

第一代技术:通过IP过滤，关键字过滤，邮件(附件)大小控制，SMTP连接时间频率控制来进行垃圾邮件的区分;

第二代技术:通过基于统计算法(如贝叶斯)的智能内容过滤，RBL过滤进行垃圾邮件的区分;

第三代技术:通过基于对垃圾邮件发送行为的研究和统计而发展出来的行为识别技术对垃圾邮件区分。

由于第一代和第二代的过滤技术始终没有跳出内容匹配过滤的技术局限，仅仅是对孤立的词语进行匹配，抛弃了人类语言最重要的特性:连贯性，从而无法正确对邮件进行判别(比如“法轮功”与“反对法轮功”就表达了完全不同的含义)，造成邮件的大量误判。同时，这两种技术需要进行大量的匹配运算，对CPU和内存的占用极高，这样就很容易成为处理瓶颈。

经过长期研究，现在的垃圾邮件发送行为主要分为以下四种:

邮件滥发行为:垃圾邮件发送者登陆邮件服务器进行联机查询或投递邮件，尝试各种方式投递邮件，发件主机异常变动等行为。

邮件非法行为:垃圾邮件发送者借用各地的多个开启了 Open Relay 邮件转发功能的邮件服务器来发送邮件的行为。

邮件匿名行为:发件人、收件人、发件主机或邮件传输信息刻意隐匿，使得无法追溯其来源的行为。

邮件伪造行为:发件人、收件人、发件主机或邮件传输信息经过刻意伪造，经查证不属实的行为。

由垃圾邮件和正常邮件的通讯行为对比得知，能否正确地识别垃圾邮件的关键就在于能否正确地识别邮件的关键传输值。

那么行为识别技术如何对以上四种垃圾邮件发送行为进行处理呢?

首先，对于邮件的滥发行为，通过深入追踪邮件原始发送数据，判断其是否是通过登陆邮件服务器直接投递邮件，或者通过垃圾邮件发送工具进行邮件的发送等方面对是否是垃圾邮件做出判断。

其次，对于邮件的非法行为，通过深入追踪邮件原始发送数据，检查其原始发送地址，如果发现其发送地址不固定，改变频率高，则说明它在利用多个开启OPEN RELAY功能的邮件服务器进行转发，符合常见垃圾邮件发送行为，从而对是否是垃圾邮件做出判断。

再次，对于邮件匿名行为，通过深入追踪邮件原始发送数据，一旦发现邮件发件人不声明真实邮件传输记录信息，而是以匿名方式投递或是发件人的邮件传输值具有异常变化，就会将其判断为具有匿名行为的垃圾邮件。

最后，对于邮件的伪造行为，通过深入追踪邮件原始发送数据，如果发现发件人声明域名与实际来源 IP不符合或是发件人伪造成无反向域名记录的主机，发件人以答复邮件格式伪造电子邮件，发件人的邮件传输值多处变化、信息不一等，就会将其判断为具有伪造行为的垃圾邮件。

通过以上的垃圾邮件防范技术和策略，行为识别技术就能够高效、准确地区分垃圾邮件与正常邮件，使得采用任何垃圾邮件发送技术发出的垃圾邮件都无法躲过它的检测。

很多安全厂商如国内的天融信公司经过多年防垃圾邮件技术研究后，相继在2005年前后推出了基于第三代行为识别技术的防垃圾邮件网关。

该技术对大量的垃圾邮件样本进行了统计、分析和计算，并且根据RFC.822标准，建立了垃圾邮件发送的行为识别模型。这一模型有着极高的垃圾邮件区分度，能够在MTA通信阶段就判断出所接收邮件是否为垃圾邮件，不需要接受全部的邮件内容进行相应的内容匹配，从而大大提高了邮件过滤速度，减少了网络延迟，同时还避免了内容过滤技术不可避免的高误报率问题，大大提高了对垃圾邮件的识别精度。

汹涌澎湃的第四媒体已经将第一波浪潮的能量释放殆尽。互联网给人们带来了全新的信息传播方式，它对重大事件报道的快捷性、详尽性、生动性和互动性给传统媒体带来前所未有的冲击，加之网络传播的高速度、大容量、互动性、即时性、生动性、开放性、易检索性以及跨时间、跨边界、跨媒体等优势，使得人们对网络媒体趋之若鹜，大有后来居上横扫传统媒体的势头。

而事实上，伴随着宽带网络技术的进一步创新和完善，第四媒体的上述优势还将进一步深化，带给人们更新的感受以及更强的依赖。

但是，就如同现在仍然如日中天的第三媒体电视一样，第四媒体网络的传播理论缺失仍然十分明显。电视与网络的发展经历十分相似，同样依赖技术进步，同样获得迅速膨胀，同样大有取代传统媒体的趋势，但也同样面临与传统媒体并存、互动、依赖的局面。电视至今仍然是最强有力的媒体，它的感染力和影响力是制胜的法宝，但深度上、思考上、容量上的劣势依然明显，似乎对于这样的问题，网络有了很好的补充，但是从目前的表现看，网络依然无法取代电视，甚至不能取代广播和报纸。这不仅是由于人们获取信息的习惯问题，更主要的是网络还没有建立起一套足以使人信服的传播学意义上的理论。

优势也是劣势，这似乎是一个悖论，但却在媒体这种人类特有的信息传播方式中得到了体现。

广播的优势在于人们接收轻松方便而且可以同时进行其他活动。但是广播依赖声音，没有视觉信号，因此没有电视生动，没有报纸的文字图片，感人力差而且缺乏理性思维。报纸的优势在于它文字的生动传神以及富于理性思维，加之图片效果凝固精彩瞬间，便于反复阅读品味，因此自创始以来便深受欢迎，甚至成为收藏的对象。但是报纸的时效性差，对受众文化素质的要求高，使报纸的影响力降低。电视的优势在于新闻报道时效性、同步性，视听感官的直接刺激强烈，电视制作手段加深观众印象，因此电视的影响力巨大，激起的社会舆论反响强烈。但是，电视传播的非理性色彩浓烈，深度报道不易体现，不能反复阅读审视，加之面对面采访的难度较报纸要大得多，因此电视报道给报纸等其他媒体留下了较大的空间，形成了信息的互补和互动。

现在再来看看网络，应该说，网络几乎弥补了所有媒体的欠缺，并且加上了互动的功能。应该讲，网络在解决了所有技术问题之后，肯定会将所有其它媒体的缺欠解决掉，到那时，也正是媒体消亡的时候。

媒体是一个需要通过控制来进行传播的工具，媒体不能包罗万象，媒体也不可能绝对客观，媒体的成功必须依靠制造一个又一个舆论焦点，否则其生存的土壤就会流失。这就是媒体，一个经常说一套做一套的东西，它的理念要求她追求公平、客观、公正，但实际上它经常需要判断利益价值然后采取行动。失去了这样的特征，媒体就不复存在了，因为缺陷被修补之后，事物本身就会发生必然的变化。

从功能上讲，网络几乎修复了所有的媒体缺陷。可视、可听、可反复观看、可互动，甚至可以主动发布消息。因此，我们不能将网络称之为媒体，至少不是报纸广播电视那种意义上的媒体，当然也就不是什么第四媒体。网络是一种全新的、能够影响人们思想的东西。它所蕴藏的能量巨大，它的影响力不可预知。如同龙卷风一般，你只知道它可能出现，但不可能预测它会在哪里出现，以什么样的形式出现，她的能量有多大，何时会消失。因此网络的冲击会让传统意义上的媒体理论变得无法适应和理解，现成的可以操控媒体运作的诸多理论都会变得苍白无力。一种新的适应于网络的理论将会取代所有传统的媒体研究成果。

在没有互联网的时代，媒体的运作可以简单地称为可控制的信息发布，因为媒体被掌握在社会的高端，受到利益的支配，因此媒体的传播几乎是单向的，受众的回应是被动的，从而容易形成由媒体一方支配的舆论关注焦点。这些焦点问题，成为政府管理社会的工具，成为媒体赢得利益的手段，而运作媒体手段的一个前提就是一切能够得到控制。

但是互联网的出现，让舆论控制变成了不可确定的奢望。网络的扩大增容使得社会成员参与数量急剧增长，信息来源的不可限量，传播方式的无孔不入，传播速度已完全可以和电视直播相媲美。这样的一个渗透在社会每一个角落的无形网络，让每一个接受信息的点，也成为发布信息的点。控制互联网简直是天方夜谭。

互联网的传播不是媒体的传播，但是互联网的传播并非没有其自身的问题，互联网解决的是技术层面的传播难题，但是互联网至今没有形成自己传播理论，原因很简单，它太年轻了，同时，它的不确定性又实在太多了。试图利用互联网发表意见引起注意的人，仍然需要借助传统媒体的优势，在形成一定的社会关注度之后，再通过网络发表自己的观点。但即便如此，他也会被迅速遗忘，因为在网络上，能够吸引别人目光的事情实在是太多了。

这就出现了互联网的第一个问题：舆论热点形成不稳定，热点话题易转移。与传统媒体相比，互联网的本身对舆论焦点的形成，很难做到有效的迅速启动和推动。它远远没有传统媒体来的直接有效，它往往是作为一种辅助的工具，在热点形成之后加以推波助澜，形成更大的舆论热潮。而依靠互联网本身，尚难以独立推动舆论焦点的形成。同时，网络上的话题往往集中在个人兴趣方面，极容易被忽略遗忘，因此对互联网操纵舆论的期待不能过高。

但我们还是不能忽视这样一个事实，尽管互联网上的信息传播绝大多数难以形成值得社会关注的焦点，但是，谁也无法阻止互联网上的信息传播。因此互联网上的信息传播总是在人们还没有注意到时形成了一种具有广泛影响的“氛围”。这种“氛围”又在左右着人们的思想。它潜藏在非主流的论坛、聊天室里，在一片混杂当中逐步影响一个人对一件事的观点，而影响的氛围越大，越会积存一定的舆论关注的能量。而在一件普遍引人关注的事件到来时，这种能量会突然爆发出来，形成难以控制的社会问题。而值得关注的是，往往引发社会关注的事件都是通过传统媒体首先发布的，而这种发布会立即引发人们对该事件的讨论，而这种讨论会在互联网上率先蔓延开来，然后再影响传统媒体的进一步报道。这样就形成了传统媒体和互联网的互动关系。从而我们就会发现，其实互联网并不是一个真正的媒体，它是独立与媒体之外的信息传播渠道。这也是对“第四媒体”的提法采取否定态度的一个明证。

因此对互联网的认识不能简单地从媒体的角度去考虑。互联网传播的复杂程度，焦点形成的不确定性、不稳定性以及互联网传播对社会的影响方式，都是值得深入探讨的东西。简单的把互联网当成媒体来对待，会在其发展的过程中采取错误的应对手段，比如像管理传统媒体一样管理互联网，比如把传统媒体发布热点新闻形成舆论焦点的时间表套用在互联网传播上，从而试图预测舆论焦点的形成时间等。这些手段和预测往往会将互联网的发展引向歧途，并且收不到任何预期的效果。坦率地说，目前谁都不能说已经掌握了互联网传播的规律和能量，因为互联网本身还在进行基础性的技术发展，关于网络的未来尚不能进行全面的预测，因此试图在此时就去评价互联网传播的能量和效应还很难做到科学准确。人们仅仅知道互联网的威力，但这种理由有多大？是否可以加以控制？现在的认识还远远不够。不过至少我们可以说，互联网不是一个媒体，更不是第四媒体，它超越了媒体的概念，而不是媒体概念的延伸。这也就解释了为什么我们总是对互联网感到困惑。而研究互联网的传播方式将是一个值得进一步探讨的重要课题。