内容安全过滤技术

文章目录

• • 内容安全过滤技术的四大方面
  • 文件过滤技术
  • 内容过滤技术
  • 邮件过滤技术
  • 应用行为控制

内容过滤技术的四大方面

文件过滤技术

注：文件过滤技术，这里说的文件过滤技术是指针对文件的类型进行的过滤，而不是文件的内容。

想要实现这个效果，我们的设备必须识别出：

承载文件的应用----承载文件的协议很多，我们需要先识别出协议以及应用。

文件传输的方向----上传，下载。

文件的类型和拓展名-----设备可以识别出文件的真实类型，但是如果文件的真实类型，无法识别则将基于后缀的拓展名来进行判断，主要为了减少一些绕过检测的伪装行为。

压缩

内容过滤技术

文件内容的过滤---比如我们上传下载的文件中，包含某些关键词（可以进行精准的匹配，或者已通过正则表达式去实现范围的匹配 ）

应用内容的过滤---比如微博或者抖音提交帖子的时候，包括我们搜索某些内容的时候其实都是通过http之类的协议中规定的动作来实现的，包括邮件附件名称，FTP传输的文件名称，这些都属于应用内容的过滤。

（注意，对于一些加密的应用，比如我们https协议，则在进行内容识别的时候需要，配置SSL代理，中间人解密才可以识别内容，但是对于一些本身就加密了的文件，则无法识别其内容）

邮件过滤技术

邮件过滤技术

 SMTP---简单邮件传输协议  tcp25，它主要定义了邮件该如何发送到邮件服务器中。

 Pop3---邮局协议  TCP 110，它定义了邮件该如何从邮件服务器中下载下来。

 IMap--- TCP 143 ，也是定义了邮件该如何从邮件服务器中获取邮件      

（使用pop3则客户端会将邮件服务器中未读的邮件都下载到本地，之后进行操作，邮件服务器会将这些邮件删除掉，如果是iMap用户，可以直接对服务器上的邮件进行操作，而不用下载到本地进行操作）

邮件过滤技术

主要是用来过滤垃圾邮件的，所谓垃圾邮件就是收件人事先没有提出要求所接收的广告，电子刊物以及各种形式的宣传的邮件，包括一些携带病毒木马的钓鱼软件都属于垃圾邮件。

统计法-----基于行为的深度检测技术。

贝叶斯算法-----一种基于预测的过滤手段。

基于带宽的统计-----统计单位时间内某一个固定IP地址，试图建立的连接数限制，其在单位时间内单个IP地址发送邮件的数量。

基于信誉评分-----评价一个邮件服务器。如果发送垃圾邮件，则将降低信誉分。如果信誉分过低，则将其发出的邮件判定为垃圾邮件。

列表法---黑，白名单

RBL实时黑名单RBL服务器所提供，这里面的内容会实时根据检测的结果进行更新，我们的设备在接收到邮件时可以找RBL服务器进行查询，如果发现垃圾邮件，则将进行告知。这种方法可能存在误报的情况，所以谨慎选择。

源头法---SPF技术，这是一种检测伪造邮件的技术。可以反向的查询邮件的域名和IP地址是否对应？如果对应不上，则判定为伪造邮件。

意图分析----通过分析邮件的目的的特点来进行过滤，称为意图分析。（结合内容过滤来进行）

应用行为控制

应用行为控制技术主要针对HTTP和FTP协议