创新中的垃圾邮件攻防之战20070801.ppt-趋势科技.ppt

创新垃圾邮件攻防之战 议题 不断演化的垃圾邮件攻防技术 趋势科技防垃圾邮件技术 趋势科技防垃圾邮件解决方案 第三方防垃圾邮件评测报告 1、不断演化的垃圾邮件攻防技术 垃圾邮件的演化 垃圾邮件恶之源：逐利 垃圾邮件发送者可以以极其低廉的成本将信息传递给大量受众 垃圾邮件发送者只需要很少的回复回应就可以获利 人们仍通过垃圾邮件的信息来采购产品 特别是采购一些不便公开购买的私人物品 垃圾邮件技术还被应用于欺骗或窃取等犯罪行为 垃圾邮件发送者用尽计谋来逃避过滤防护 垃圾邮件与防垃圾邮件方案完全是一种 对抗关系，彼此技术此消彼涨。 原始的垃圾邮件 垃圾邮件过滤技术的产生 当垃圾邮件人人生厌的时候，垃圾邮件过滤技术就产生了 简单的黑名单/白名单 关键字过滤 可定义上下文的复杂过滤 垃圾邮件发送者很快就反应过来了 黑名单/白名单变得效率低下 基于用户名的控制容易出错 不能解决僵尸网络群发的问题 垃圾邮件中的关键字被想尽办法隐藏起来 用符号代替字符 (如用@代替a) 空格、下划线等放在字符之间 (信 用 卡, 信-用-卡 ) 文字垂直排列 等等… 僵尸网络 肉鸡 感染僵尸程序的电脑 在用户不知情的情况下被感染 被黑客恶意操纵 Internet上大约16-25%的电脑是肉鸡1 僵尸网络由一群肉鸡电脑组成 僵尸网络的控制者称为僵尸牧马人( bot herders) 可远程对肉鸡进行控制 为什么用僵尸网络? 肉鸡机器可用来收集地址信息发送垃圾邮件、进行DDoS攻击等各种恶意行为 肉鸡机器的资源被暗中占用 可以群发大量的垃圾邮件 (垃圾邮件中有80%是僵尸网络发出) 他们隐藏掉真实的邮件发送者地址 内容过滤欺骗技术 数据库匹配技术的窘境 垃圾邮件发送者 最初通常是将一封相同的垃圾邮件进行大范围群发 防垃圾邮件厂商 采用收集起来的垃圾邮件的特征值进行比对，象扫描病毒一样阻止垃圾邮件 垃圾邮件发送者 采用随机性垃圾邮件产生模板，让每一 封垃圾邮件都与众不同 启发式和统计式过滤技术 启发式过滤技术 基于规则的方法查找垃圾邮件的特征 不再只是关键字，而是一封邮件的各种属性 可以识别欺骗伎俩 必须良好设计并不断保持更新 统计式过滤技术 采用统计学的方法来识别垃圾邮件 为每封信计算一个分值 用配置好的策略去判断是垃圾邮件的可能性 必须良好优化并及时更新策略 欺骗统计式过滤技术 让垃圾邮件的特征不明显 在邮件中加入特别的内容降低垃圾邮件特征的分量 图片垃圾邮件 内容用图片来传递垃圾邮件 邮件正文中不含文本信息 目前在垃圾邮件中比例占到40%1 图片垃圾邮件大小通常是传统文本邮件的10倍1 典型的图片垃圾邮件 邮件信誉服务 信誉过滤技术 阻止已知的垃圾邮件发送者IP 不需要分析垃圾邮件内容 不需要接收到邮件进行扫描 让垃圾邮件的风险在到达企业网络前就被化解 高效的信誉服务 持续地分析邮件发送行为 收集邮件发送历史和样本—审计整个流程 不断更新列表阻止新的垃圾邮件源IP和清除已无害的垃圾邮件源IP 保证将绝大部分垃圾邮件阻止在网络之外，保证网络安全并节省网络资源 2、趋势科技防垃圾邮件技术 趋势科技防垃圾邮件技术 邮件信誉检查– 第一道防线 全球实时动态信誉服务 可以将80%的垃圾邮件在进入网络前阻止掉 IP连接控制 – 客户自定义防护 客户基于自身邮件流量自定义的信誉服务 SMTP防火墙阻止目录收集攻击(DHA)和地址反弹攻击 复合式垃圾邮件引擎 – 为每个收件箱提供防护 阻止任何通过前两层检测的垃圾邮件进入收件箱 集成多种防垃圾邮件技术, 包括图片垃圾邮件侦测技术 邮件信誉技术 信誉服务 – 管理界面 IP 连接控制 客户自定义的信誉服务 垃圾邮件 病毒 目录收集攻击(DHA) 反弹邮件 客户定义如下极值: 监控的时间 恶意邮件比例 对应的邮件总数 触发的动作– 当这些极值触发后执行什么动作 (暂时阻止对方连接或者长期阻止对方连接) 通过阻止超过极值的源IP的连接，提供客户自定义的信誉服务，保证威胁在网络之外被化解掉 IP 连接控制 DHA和邮件反弹攻击的防火墙 IP 连接控制采用如下信息阻止DHAs 一封邮件的收件人数量 不存在的收件人的数量(这需要与LDAP集成) IP 连接控制同时也分析 其它行为来构建防火墙 IP 连接控制 – 工作机制 记录所有进出的邮件流量 将每一封邮件的发送IP记录到数据库中 邮件采用复合式垃圾引擎扫描 扫描结果被记录到数据库中 每个发件的源IP与扫描的结果在数据库中对应起来 例如,从某一个IP发送的所有邮件 vs. 从这个IP发送的垃圾邮件 用比对的结果对照管理员配置的各项极值 如果实际结果超过极值，就触发永久阻止动作(SMTP 5xx) 或临时阻止动作(SMTP 4xx) IP