NETGEAR垃圾郵件云分布分析技術
基于網絡杜絕Email威脅
在過去的幾年時間里,Email日趨成為主要的威脅傳播載體,像垃圾郵件、病毒、特洛依木馬及釣魚攻擊等。由于Email具有全球范圍傳播的特性,攻擊者平均每天可以在網絡上廣播4萬種安全威脅,一年累計下來高達1500萬種安全威脅。Ferris的研究報告指出,僅2007年,美國的企業因為垃圾郵件而造成的生產力及維護損失就達到了350億美金,全球則高達1000億美金。Nucleus的研究報告顯示垃圾郵件讓美國企業增加了710億美元的額外管理費用。
造成這個現象的最主要原因是大多數安全軟件都缺乏快速適應不斷變化的安全威脅的能力。垃圾郵件和惡意軟件等威脅的制造者正在不停地完善他們的傳播方式,盡可能將他們的威脅傳播得更加廣泛。而大多數的垃圾郵件過濾和安全軟件產品僅僅掃描收到的郵件中的地址信息差異和其它的郵件頭信息。這些掃描工具只能根據現有的策略進行分析,沒有辦法快速地檢測到基于新技術和新屬性的威脅。但是,由于安全威脅通過郵件被同時發送到成千上萬個收件人,我們需要一種能夠及時檢測和阻止垃圾郵件爆發的技術。
NETGEAR采用的技術是基于威脅爆發的共通性進行分析:
大多數爆發的郵件都會有所變化,使得難以根據分析郵件內容來制定相應的阻擋規則。比如,垃圾郵件現在經常采用圖片的方式來傳播,簡單地避開當前的內容過濾器。
大多數爆發會包含數百萬郵件,從而獲得更大的郵件回復,提高發起人的投資回報率。
大部分爆發都是在短時間內釋放出來,需要實時的解決方案才能及時檢測到爆發,降低或者避免造成損失。
攻擊發起人一般都采用大量的偽裝方法來使得攻擊源難以被反向追蹤。
爆發的生命周期
惡意軟件發起人通過采用僵尸網絡的方式,一般都能夠在幾分鐘時間內同時發送幾百萬封郵件。僵尸網絡由大量的僵尸計算機組成,這些計算機通常都是被惡意軟件所感染,惡意軟件發起人可以通過遠程隨心所欲地控制這些計算機系統。僵尸網絡平均由2萬臺以上的僵尸計算機組成一個龐大的系統來發送大規模的威脅攻擊。大型的僵尸網絡甚至由上百萬的僵尸計算機組成。當惡意軟件發起人下達指令時,網絡中的所有僵尸計算機便同時開始執行。
當病毒和其它通過Email傳播的威脅成功植入計算機后,它們便會開始自我繁殖和傳播。在開始的時候,越多計算機被感染,隨著時間的推移,受感染的范圍就會越廣。正是由于這種原因,我們需要盡早在傳播的階段控制爆發。通過在爆發發生的前幾分鐘內對其進行控制可以有效地阻止大規模的攻擊。
消息特征碼
垃圾郵件、釣魚攻擊和其它通過Email傳播的威脅中通常都由幾百萬各不相同的信息所組成,用以避開常規的用戶過濾規則。雖然如此,一次爆發中的所有信息都包含有至少一個唯一且可識別的值,可用于標識各種爆發。不同的垃圾郵件通常由同個僵尸網絡中的機器發出;各種釣魚攻擊一般誘導用戶訪問同一個欺詐網站;而每個通過郵件傳播的病毒都包含同種惡意代碼。盡管有些攻擊只針對特定小范圍的群體,但是這種共通性也同樣對最新的技術有效,如鯨釣式攻擊。
每個像這樣重復出現的值都可以作為一個爆發的“信息特征碼”。包含一個或多個這種唯一的特征碼的信息便非常可能是爆發中的一部分。
大部分爆發的生命周期都相當短——通常只有幾個小時,所以,檢測方案必須能夠實時地檢測,并在威脅造成破壞之前完全檢測和分類信息才有意義。而且,由于大多數爆發都偽裝成合法的郵件,所以基于特征分析的檢測方案需要能夠區分真正的合法郵件和通過郵件傳播的威脅。
為了達到這兩個目標,特征碼必須從郵件的信封、郵件頭和郵件體上進行提取,而不需要關系到郵件本身的內容。所以特征碼分析可以識別任何語言、任何信息格式和任何編碼類型的爆發。信息特征碼可以分為分布特征(Distribution Patterns)和結構特征(Structure Patterns)。分布特征通過分析信息散布到收信人的方式來判斷信息是屬于合法,或者是潛在的威脅,而結構特征則用于定義散布的量。
圖1:NETGEAR垃圾郵件云分布分析技術
特征檢測代表了一種新的、更強大的認識,用以了解通過Email傳播的威脅是如何產生和傳播的。
圖2:NETGEAR垃圾郵件云分布分析技術
垃圾郵件云分布分析技術
NETGEAR垃圾郵件云分布分析技術由兩個組件構成:ProSecure™ STM內容安全網關安裝在企業網絡之中,和NETGEAR垃圾郵件分類中心,用于進行垃圾郵件云分布分析。STM將與垃圾郵件分類中心進行實時溝通,獲得“秒級別”的垃圾郵件和惡意軟件爆發信息(參見圖1)。
基于對全球5000萬數據源的分析,兩個系統通過不斷、緊密地通信溝通,NETGEAR實時主動地檢測和分類所有類型的通過Email傳播的威脅。垃圾郵件云分布分析技術從郵件中提取相關的信息特征碼,用于識別和分類通過郵件傳播的威脅的分布特征和結構特征(參見圖2)。除了識別新的威脅特征,垃圾郵件云分布分析可用于修改或者加強早先識別出來的信息特征碼的分類。
通過反向分析,垃圾郵件云分布分析技術可以識別由商業應用而發出主動請求的批量郵件的分布特征,和那些不請自來的批量郵件。因此,垃圾郵件云分布分析技術能夠接近100%識別出威脅信息并且幾乎沒有誤殺。它與語言無關,也可以應對所有信息格式和編碼類型。
總結
為了有效地防止來自Email的威脅,一個成功的解決方案必須能夠應付不斷增長的挑戰。垃圾郵件云分布分析技術是一種主動檢測技術,不需要依靠郵件內容分析,并且可以檢測任何語言、任何信息格式(包括HTML、圖片和非英文文字)。垃圾郵件云分布分析技術可以主動分析和分類新的Email威脅并在攻擊發生的幾分鐘內形成特征文件。垃圾郵件云分布分析技術提供:
超高垃圾郵件檢測率且幾乎無誤殺率;
及時檢測到新的Email威脅;
防御釣魚攻擊;
防御未知內容威脅;
檢測多語言威脅;
檢測多格式威脅。
垃圾郵件云分布分析技術通過高級特征分析提供了最好的Email威脅保護。
NETGEAR® ProSecure™ STM內容安全網關解決方案
NETGEAR® ProSecure™采用特有的技術,通過爆發擴散的速度和廣泛程度來檢測并阻止爆發。通過這種方式,可以在垃圾郵件和惡意軟件爆發產生的極短時間內檢測出來,并且實時地阻止所有相關的信息。
ProSecure™ STM平臺采用了專利的串流掃描技術,能夠在數據流進入網絡的時候馬上進行掃描。NETGEAR STM使用單一的平臺即可實現對垃圾郵件、惡意軟件、安全破壞或不必要的應用程序進行掃描,通過串流掃描技術,能夠實時地掃描大量的數據。這使得局域網中的用戶可以接收到安全的Email和Web內容但卻沒有任何延時。
ProSecure™ STM平臺使用主動防御系統來避免漏洞從發現到修復之間的時間差。NETGEAR的解決方案中采用“法醫式鑒定方法”來識別進出網絡數據流中的可疑的特征,并抵制這些特征直到它們能夠更精確匹配。
【編輯推薦】
