文章目录
-
- 内容安全过滤技术的四大方面
- 文件过滤技术
- 内容过滤技术
- 邮件过滤技术
- 应用行为控制
内容过滤技术的四大方面
文件过滤技术
注:文件过滤技术,这里说的文件过滤技术是指针对文件的类型进行的过滤,而不是文件的内容。
想要实现这个效果,我们的设备必须识别出:
承载文件的应用----承载文件的协议很多,我们需要先识别出协议以及应用。
文件传输的方向----上传,下载。
文件的类型和拓展名-----设备可以识别出文件的真实类型,但是如果文件的真实类型,无法识别则将基于后缀的拓展名来进行判断,主要为了减少一些绕过检测的伪装行为。
压缩
内容过滤技术
文件内容的过滤---比如我们上传下载的文件中,包含某些关键词(可以进行精准的匹配,或者已通过正则表达式去实现范围的匹配 )
应用内容的过滤---比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时候其实都是通过http之类的协议中规定的动作来实现的,包括邮件附件名称,FTP传输的文件名称,这些都属于应用内容的过滤。
(注意,对于一些加密的应用,比如我们https协议,则在进行内容识别的时候需要,配置SSL代理,中间人解密才可以识别内容,但是对于一些本身就加密了的文件,则无法识别其内容)
邮件过滤技术
邮件过滤技术
SMTP---简单邮件传输协议 tcp25,它主要定义了邮件该如何发送到邮件服务器中。
Pop3---邮局协议 TCP 110,它定义了邮件该如何从邮件服务器中下载下来。
IMap--- TCP 143 ,也是定义了邮件该如何从邮件服务器中获取邮件
(使用pop3则客户端会将邮件服务器中未读的邮件都下载到本地,之后进行操作,邮件服务器会将这些邮件删除掉,如果是iMap用户,可以直接对服务器上的邮件进行操作,而不用下载到本地进行操作)
邮件过滤技术
主要是用来过滤垃圾邮件的,所谓垃圾邮件就是收件人事先没有提出要求所接收的广告,电子刊物以及各种形式的宣传的邮件,包括一些携带病毒木马的钓鱼软件都属于垃圾邮件。
统计法-----基于行为的深度检测技术。
贝叶斯算法-----一种基于预测的过滤手段。
基于带宽的统计-----统计单位时间内某一个固定IP地址,试图建立的连接数限制,其在单位时间内单个IP地址发送邮件的数量。
基于信誉评分-----评价一个邮件服务器。如果发送垃圾邮件,则将降低信誉分。如果信誉分过低,则将其发出的邮件判定为垃圾邮件。
列表法---黑,白名单
RBL实时黑名单RBL服务器所提供,这里面的内容会实时根据检测的结果进行更新,我们的设备在接收到邮件时可以找RBL服务器进行查询,如果发现垃圾邮件,则将进行告知。这种方法可能存在误报的情况,所以谨慎选择。
源头法---SPF技术,这是一种检测伪造邮件的技术。可以反向的查询邮件的域名和IP地址是否对应?如果对应不上,则判定为伪造邮件。
意图分析----通过分析邮件的目的的特点来进行过滤,称为意图分析。(结合内容过滤来进行)
应用行为控制
应用行为控制技术主要针对HTTP和FTP协议