御界防APT邮件网关技术白皮书-腾讯智慧安全.PDF

御界防 APT 邮件网关 技术白皮书 目录 背景介绍3 透明邮件还原4 高效哈勃沙箱分析5 全类型防御邮件威胁6 定制化文档附件加强检测7 邮件检测智能化8 灵活的部署方案9 2 / 9 背景介绍 邮件安全并不是一个新的话题，但时至今日却呈愈演愈烈之势。垃圾邮件、基于邮件传 播的病毒以及高级有针对性的威胁，企业面临着越来越多的安全挑战。传统的邮件安全检测 方案基于静态特征，擅长于用已知的恶意附件、链接和内容来捕捉传统的邮件网络钓鱼攻击， 这些方案的广度和深度都有很大局限。基于特征的防护产品对于新型攻击，对于一天之内或 者数小时之内就进行多次变种的复杂的、有针对性的高级攻击，大多时候也充满无力感。当 前的邮件攻击问题，不仅是包含木马附件的问题，也包含恶意链接或者经过成熟流水线加密 的脚本，更有甚者是高级攻击以及勒索软件等 ，对此传统手段更显心余力绌。 御界是腾讯推出的边界安全解决方案，邮件安全防御系统（以下简称御界邮件安全防御 系统）是其中一个产品分支。依托反病毒实验室在安全领域多年的深耕细作，融入了哈勃分 析系统的核心技术，使得邮件子系统具备国际一流的检出效果。首先，相比传统的基于静态 特征签名的方案，哈勃动态沙箱检测的分析深度可有效应对恶意样本快速变形和各种加密方 式的变换，不仅可从邮件附件文件作为分析源头，更能从邮件体中的链接甚至是附件中的链 接发起恶意分析鉴定。其次依托大数据与深度学习 ，研发了一套智能检测系统，能检出垃圾 邮件，更能综合邮件的各种信息，诸如发件人 IP、发件人、标题、时间及传播广度等维度 学习出模型，用于恶意鉴定以及钓鱼和诈骗行为的感知。最后我们从客户端和后台抓取特色 的威胁情报，推送到前端设备中，用以防御最新的流行威胁和攻击溯源。 3 / 9 御界邮件安全防御系统架构图 透明邮件还原 通过把御界邮件安全防御系统软硬件部署到企业邮箱网关，完成邮件流量的监控和解析， 最终实现邮件还原。 邮件还原模块被部署于企业邮件网关旁路，实时分析网络流量包，通过抓取各个邮件协 议网络数据包，解析邮件数据，包括邮件主题、发件人、收件人、发件机构、接收机构、发 件人的 IP、发件时间、邮件 id、邮件附件等基本信息；同时 ，对附件类型进行精准识别， 可以甄别图片、压缩包、可执行文件、网页文件、脚本文件等多种文件类型并进行针对性处 理，对于压缩包会尝试解压并提取其中的子文件进一步分析，甚至对于一些加密的压缩包也 具备一定破解解密的能力。 4 / 9 高效哈勃沙箱分析 御界邮件安全防御系统是一种有效的网络威胁防护解决方案。通过精确检测并即时拦截 隐藏在电子邮件通信中的先进的、针对性的恶意攻击，最小化企业面临的安全风险。 御界邮件安全防御系统的核心是哈勃沙箱分析模块。哈勃沙箱检测模块是兼具静态规则 与动态分析的独立的高仿真沙箱系统。邮件还原模块提取到可疑邮件附件，提交到哈勃分析 模块分析。哈勃分析模块自动化解析附件文件类型，对于可执行文件类型（EXE、OFFICE 各类型、网页文件、脚本等），进入沙箱会触发到的各种敏感行为，如密码窃取、网络访问、 系统破坏等都会被捕捉到，这些都会作为后续判定基本数据。行为日志分析模块对哈勃沙箱 产出的样本动态行为、静态信息等日志，进行智能聚类和规则判定。行为日志分析模块通过 各种模式匹配算法，启发式行为鉴定规则，对样本进行全面鉴别，具备很强的恶意样本识别 能力，在保证检测覆盖面的同时，降低误报率、漏报率。 哈勃分析模块采用虚拟执行技术，对流量解析提取出来的附件进行异步并发分析处理， 一台真实物理服务器可以模拟几十个虚拟机，支持灵活的横向扩展，以应对高并发的业务需 求，具备实时报警能力和异常恢复能力，能够在无人监管模式下稳定运行。 5 / 9 账号、密码 构造输入