创新 &垃圾邮件攻防之战

徐学龙　　产品技术顾问

电话： (010)85252277-315

手机： 13901254647

steven_xu@trendmicro.com.cn

制作日期： 2007 年 8 月

2

议题

1. 不断演化的垃圾邮件攻防技术2. 趋势科技防垃圾邮件技术3. 趋势科技防垃圾邮件解决方案4. 第三方防垃圾邮件评测报告

1 、不断演化的垃圾邮件攻防技术

4

垃圾邮件的演化

垃圾邮件恶之源：逐利• 垃圾邮件发送者可以以极其低廉的成本将信息传递给大量受众• 垃圾邮件发送者只需要很少的回复回应就可以获利

• 人们仍通过垃圾邮件的信息来采购产品• 特别是采购一些不便公开购买的私人物品

• 垃圾邮件技术还被应用于欺骗或窃取等犯罪行为• 垃圾邮件发送者用尽计谋来逃避过滤防护

垃圾邮件与防垃圾邮件方案完全是一种对抗关系，彼此技术此消彼涨。

5

原始的垃圾邮件

• 垃圾邮件在 1990 年代出现

• 最开始，垃圾邮件发送者只是单纯地发送邮件推广自己的产品或服务

• 当时网络环境通常不采用防垃圾邮件技术，所以垃圾邮件堂而皇之地就可以进入到用户的邮箱。

6

垃圾邮件过滤技术的产生

当垃圾邮件人人生厌的时候，垃圾邮件过滤技术就产生了• 简单的黑名单 / 白名单• 关键字过滤• 可定义上下文的复杂过滤垃圾邮件发送者很快就反应过来了• 黑名单 / 白名单变得效率低下

– 基于用户名的控制容易出错– 不能解决僵尸网络群发的问题

• 垃圾邮件中的关键字被想尽办法隐藏起来– 用符号代替字符 ( 如用 @ 代替 a)– 空格、下划线等放在字符之间

( 信 用 卡 , 信 - 用 - 卡 ) – 文字垂直排列– 等等…

7

僵尸网络

• 肉鸡– 感染僵尸程序的电脑 – 在用户不知情的情况下被感染– 被黑客恶意操纵– Internet 上大约 16-25% 的电脑是肉鸡 1

• 僵尸网络由一群肉鸡电脑组成– 僵尸网络的控制者称为僵尸牧马人 ( bot herders)– 可远程对肉鸡进行控制

• 为什么用僵尸网络 ?– 肉鸡机器可用来收集地址信息发送垃圾邮件、进行 DDoS 攻击等各种恶意行

为– 肉鸡机器的资源被暗中占用– 可以群发大量的垃圾邮件 ( 垃圾邮件中有 80% 是僵尸网络发出 )– 他们隐藏掉真实的邮件发送者地址

1. Source: Weber, Tim. “Criminals ‘May Overwhelm the Web‘” BBC News. 25 January 2007

8

内容过滤欺骗技术

简单的内容过滤欺骗技术● 在邮件标题的字符间插入特殊符号● 字符垂直排列● 用符号代替字符

9

数据库匹配技术的窘境

垃圾邮件发送者最初通常是将一封相同的垃圾邮件进行大范围群发

防垃圾邮件厂商采用收集起来的垃圾邮件的特征值进行比对，象扫描病毒一样阻止垃圾邮件

垃圾邮件发送者采用随机性垃圾邮件产生模板，让每一封垃圾邮件都与众不同

10

启发式和统计式过滤技术

• 启发式过滤技术– 基于规则的方法查找垃圾邮件的特征

• 不再只是关键字，而是一封邮件的各种属性• 可以识别欺骗伎俩• 必须良好设计并不断保持更新

• 统计式过滤技术– 采用统计学的方法来识别垃圾邮件

• 为每封信计算一个分值 • 用配置好的策略去判断是垃圾邮件的可能性

– 必须良好优化并及时更新策略

11

欺骗统计式过滤技术

• 让垃圾邮件的特征不明显• 在邮件中加入特别的内容降

低垃圾邮件特征的分量

12

图片垃圾邮件

• 内容用图片来传递垃圾邮件

• 邮件正文中不含文本信息

• 目前在垃圾邮件中比例占到 40%1

• 图片垃圾邮件大小通常是传统文本邮件的 10 倍 1

Source: Osterman Research. Image Spam and New Threats Summit Webinar. Conducted on 10 January 2007.

13

典型的图片垃圾邮件

垃圾邮件模板随机的背景、文字颜色、图片尺寸和其它属性让每一封垃圾邮件都与众不同

14

邮件信誉服务

信誉过滤技术• 阻止已知的垃圾邮件发送者 IP• 不需要分析垃圾邮件内容• 不需要接收到邮件进行扫描• 让垃圾邮件的风险在到达企业网络前就被化解

高效的信誉服务• 持续地分析邮件发送行为• 收集邮件发送历史和样本—审计整个流程• 不断更新列表阻止新的垃圾邮件源 IP和清除已无害的垃圾邮件源 IP• 保证将绝大部分垃圾邮件阻止在网络之外，保证网络安全并节省网络资

源

2 、趋势科技防垃圾邮件技术

16

趋势科技防垃圾邮件技术

1. 邮件信誉检查– 第一道防线– 全球实时动态信誉服务– 可以将 80% 的垃圾邮件在进入网络前阻止掉

2. IP 连接控制 – 客户自定义防护– 客户基于自身邮件流量自定义的信誉服务– SMTP 防火墙阻止目录收集攻击 (DHA)和地址反弹攻击

3. 复合式垃圾邮件引擎 – 为每个收件箱提供防护– 阻止任何通过前两层检测的垃圾邮件进入收件箱– 集成多种防垃圾邮件技术 , 包括图片垃圾邮件侦测技术

17

邮件信誉技术

邮件信誉的两个库• Global: 采用全球最大、最值得信赖的信誉数据库验证邮件发送源 IP(超过 160万个地址 )

• Dynamic: 动态识别新垃圾邮件源和网络钓鱼源，识别新的肉鸡和僵尸网络的垃圾邮件发送行为

在源头击退垃圾邮件 • 在垃圾邮件进入网关前进行阻止

• 毫秒级响应速度， 100% 的可用性• 采用邮件样本和发送者历史进行精确的信誉审计• 为传统垃圾邮件防护技术降低了处理压力

• 节省了带宽、存储空间和网络带宽资源

18

信誉服务 – 管理界面

业界领先的技术和管理• 全球垃圾邮件更新• 垃圾邮件报告• 前 100 位 ISP 垃圾邮件发送排行榜• 阻止列表可以基于国家或 ISP 方便查看

19

IP 连接控制

客户自定义的信誉服务垃圾邮件病毒目录收集攻击 (DHA)反弹邮件

客户定义如下极值 :

• 监控的时间• 恶意邮件比例• 对应的邮件总数• 触发的动作– 当这些极值触发后执行什么动作

(暂时阻止对方连接或者长期阻止对方连接 )

通过阻止超过极值的源 IP 的连接，提供客户自定义的信誉服务，保证威胁在网络之外被化解掉

20

IP 连接控制

DHA 和邮件反弹攻击的防火墙IP 连接控制采用如下信息阻止 DHAs

• 一封邮件的收件人数量• 不存在的收件人的数量 (这需要与 LDAP 集成 )

IP 连接控制同时也分析其它行为来构建防火墙

21

IP 连接控制 – 工作机制

1. 记录所有进出的邮件流量2. 将每一封邮件的发送 IP记录到数据库中3. 邮件采用复合式垃圾引擎扫描4. 扫描结果被记录到数据库中5. 每个发件的源 IP 与扫描的结果在数据库中对应起来

例如 ,从某一个 IP 发送的所有邮件 vs. 从这个 IP 发送的垃圾邮件

6. 用比对的结果对照管理员配置的各项极值

7. 如果实际结果超过极值，就触发永久阻止动作 (SMTP 5xx) 或临时阻止动作 (SMTP 4xx)

22

IP 连接管理

管理当前监控到的IP

显示日志–总垃圾邮件流量–总恶意信息尝试次数

–总连接数–连接数中恶意信

息的百分比

选择 IP 进行长期阻止或暂时阻止

在 global 中建黑 / 白名单会同时应用于邮件信誉服务和 IP连接管理

23

趋势科技防垃圾邮件引擎

趋势科技复合式防垃圾邮件引擎采用“鸡尾酒”方法同时阻止垃圾邮件和网络钓鱼邮件

– 统计分析– 智能启发 – 数据库比对– 黑 / 白名单– 多语言分析– 正在专利申请中的图片垃圾邮件侦测技术

业界成熟技术在过去 4 年中，有超过 2500万用户采用

24

图片垃圾邮件侦测

专利申请技术对邮件的核心标只进行分析—例如：剥离掉背景、文字颜色、文字大小和其它随机元素

采用关键特征来进行比对，提高效率，降低了资源占用

25

嵌入式的 URL 过滤技术

阻止带有高风险 URL 的邮件

风险常常同时结合邮件和Web 来传播

邮件可能包含如下链接• 垃圾邮件站点• 网络钓鱼站点• 恶意的下载站点

趋势科技在解决方案中同时嵌入 Web 信誉服务• 有不良站点链接的邮件被阻止• 阻止员工点击恶意链接和掉入 Web威胁的陷阱

3 、趋势科技防垃圾邮件解决方案

27

中小企业网关解决方案

安全无忧的防护• InterScan Gateway Security Appliance(硬件 )• InterScan VirusWall(软件 )

一体化邮件和Web 网关防护解决方案• 防垃圾邮件• 防病毒• 防间谍软件• 防网络钓鱼• 内容过滤• Web 过滤

防垃圾邮件技术• 邮件信誉服务• 趋势科技复合式防垃圾邮件引擎

28

企业级邮件网关解决方案• InterScan Messaging Security Suite(软件 )• InterScan Messaging Security Appliance(硬件 )• InterScan Messaging Hosted Security(主机服务 )

三个解决方案都提供全面的邮件安全 :

• 防垃圾邮件• 防病毒• 防间谍软件• 防网络钓鱼• 内容过滤

大型企业邮件网关解决方案

企业级邮件网关解决方案同时采用了趋势科技 3种防垃圾邮件技术• 邮件信誉服务• IP连接控制• 复合式防垃圾邮件引擎

29

群件服务器防护方案 ScanMail

群件防护方案• ScanMail for Microsoft Exchange• ScanMail for Lotus Domino

全面的邮件和群件应用防护• 防垃圾邮件• 防病毒• 防间谍软件• 防网络钓鱼• 内容过滤

防垃圾邮件技术• 趋势科技复合式防垃圾邮件引擎

30

邮件信誉服务 ERS

独立的信誉服务• Email Reputation Services 标准版 (global database)• Email Reputation Services 增强版 (global and dynamic)• Email Reputation Services Hosted (global and dynamic)

邮件防护的第一道防线 可以单独采购 兼容所有流行邮件系统 可以与众多的解决方案相结合

31

趋势科技企业保护战略 – 一个完整的网络安全架构

个性化和全面的集中管理

监控及时发现风险

在网络所有节点上强制实施安全策略

自动清除恢复 阻止风险造成的危害趋势科技控管中心

4 、第三方防垃圾邮件评测报告

33

邮件网关评测结果

Based on independent anti-spam benchmark tests conducted by Opus One, Inc. Testing methodology can be retrieved from:

http://www.opus1.com/www/whitepapers/antispamfeb2007.pdf

• Trend Micro 在防垃圾邮件的效能上排名第一 • 最高的侦测率和较低的误报率• 如果采用 IP连接控制技术将进一步提高效能

第三方 Opus One 独立评测：

34

单独信誉服务评测

• Trend Micro 在单独信誉服务评测中侦测率排名第一 • 增强版获得最高侦测率排名 • 标准版获得最低误报率排名

第三方 Opus One 独立评测：

Based on independent anti-spam benchmark tests conducted by Opus One, Inc. Testing methodology can be retrieved from:

http://www.opus1.com/www/whitepapers/antispamfeb2007.pdf

35

访问我们的讯息安全论坛

Trend Micro讯息站点 :

http://messagingsecurity.trendmicro.com

• 白皮书• Pod casts• Blogs• Opportunity to comment