正在阅读：NETGEAR垃圾邮件云分布分析技术NETGEAR垃圾邮件云分布分析技术

　　当病毒和其它通过Email传播的威胁成功植入计算机后，它们便会开始自我繁殖和传播。在开始的时候，越多计算机被感染，随着时间的推移，受感染的范围就会越广。正是由于这种原因，我们需要尽早在传播的阶段控制爆发。通过在爆发发生的前几分钟内对其进行控制可以有效地阻止大规模的攻击。

　　消息特征码

　　垃圾邮件、钓鱼攻击和其它通过Email传播的威胁中通常都由几百万各不相同的信息所组成，用以避开常规的用户过滤规则。虽然如此，一次爆发中的所有信息都包含有至少一个唯一且可识别的值，可用于标识各种爆发。不同的垃圾邮件通常由同个僵尸网络中的机器发出；各种钓鱼攻击一般诱导用户访问同一个欺诈网站；而每个通过邮件传播的病毒都包含同种恶意代码。尽管有些攻击只针对特定小范围的群体，但是这种共通性也同样对最新的技术有效，如鲸钓式攻击。

　　每个像这样重复出现的值都可以作为一个爆发的“信息特征码”。包含一个或多个这种唯一的特征码的信息便非常可能是爆发中的一部分。

　　大部分爆发的生命周期都相当短——通常只有几个小时，所以，检测方案必须能够实时地检测，并在威胁造成破坏之前完全检测和分类信息才有意义。而且，由于大多数爆发都伪装成合法的邮件，所以基于特征分析的检测方案需要能够区分真正的合法邮件和通过邮件传播的威胁。

　　为了达到这两个目标，特征码必须从邮件的信封、邮件头和邮件体上进行提取，而不需要关系到邮件本身的内容。所以特征码分析可以识别任何语言、任何信息格式和任何编码类型的爆发。信息特征码可以分为分布特征（Distribution Patterns）和结构特征（Structure Patterns）。分布特征通过分析信息散布到收信人的方式来判断信息是属于合法，或者是潜在的威胁，而结构特征则用于定义散布的量。

NETGEAR垃圾邮件云分布分析技术