Upload
lexine
View
31
Download
0
Embed Size (px)
DESCRIPTION
Védelmek nem windows platformon. SPAM. A haszontalan levelek nagy része SPAM A levelek 80-90%-a szemét ennek majdnem fele SPAM Miért probléma? Munkaidő kiesés Hálózati terhelés Erőforrásokat köt le Bizonyos mennyiség után kommunikációs probléma - PowerPoint PPT Presentation
Citation preview
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Védelmek nem windows platformonVédelmek nem windows platformon
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
SPAMSPAM
A haszontalan levelek nagy része SPAM– A levelek 80-90%-a szemét ennek majdnem fele SPAM
Miért probléma?– Munkaidő kiesés
– Hálózati terhelés
– Erőforrásokat köt le
– Bizonyos mennyiség után kommunikációs probléma
– Haszontalan internet forgalmat okoz és kezdeményez
Mit kell tenni– Azonosítani a levelet
– Blokkolni vagy jelezni a levelet
Megoldások– Antigen (Windows)
– Mailshield for SMTP (UNIX)
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
HelyzetképHelyzetkép
1. A SPAM levelek száma folyamatosan nől
2. Profibb SPAM küldők jelennek meg
3. A SPAM gazdasági vonzatai nővekszik
4. A „jó hogy van” megoldásoktól el kell jutni a MEGOLDÁSig
5. Többszintű, többtechnológiás SPAM szűrők lehetősége
Total spam messages/day (Billions)
Source: The Radicati Group, Inc. 2003
13.519.4
28.4
39.7
53.9
0
10
20
30
40
50
60
2003 2004 2005 2006 2007
Osterman Research: Spam is the biggest problem in today’s security market
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
HelyzetképHelyzetkép
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Miből derül ki, hogy SPAM a levélMiből derül ki, hogy SPAM a levél
From: QSTR 在家創業系統 17:02:25 [[email protected]] Sent: Tuesday, June 15, 2004 12:16 AMTo: medeatw
Subject: *上班族的隱憂*
2004年,新的一年,新的開始 請打下面的電話,或上網索取免費致富小冊子
http://www.cashcome.net 索取帳號:直接進入索取
現在讓我幫助你重新認識自己,如果你真的想要改變你的人生,你要的是一份事業,而不只是一份工作的話,美國 QSTR 在家創業系統,是結合網路、郵購、通訊的三大通路,也是目前全球最熱門的商機,已經幫助許多人成功在家創業賺到錢,這是個己經證實成功的系統了,它絕對不只是一般所看到的在家創業系統,它是一個突破傳統結合趨勢的全新在家創業系統,你只要按步就班,照著系統的步驟做,就可成功,也就是可以完成你的夢想,你還
在猶豫不決什麼 ? O ?
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
SPAM felismerési technológia RPDSPAM felismerési technológia RPD
From: QSTR 在家創業系統 17:02:25 [[email protected]] Sent: Tuesday, June 15, 2004 12:16 AMTo: medeatw
Subject: *上班族的隱憂*
2004年,新的一年,新的開始 請打下面的電話,或上網索取免費致富小冊子
http://www.cashcome.net 索取帳號:直接進入索取
現在讓我幫助你重新認識自己,如果你真的想要改變你的人生,你要的是一份事業,而不只是一份工作的話,美國 QSTR 在家創業系統,是結合網路、郵購、通訊的三大通路,也是目前全球最熱門的商機,已經幫助許多人成功在家創業賺到錢,這是個己經證實成功的系統了,它絕對不只是一般所看到的在家創業系統,它是一個突破傳統結合趨勢的全新在家創業系統,你只要按步就班,照著系統的步驟做,就可成功,也就是可以完成你的夢想,你還
在猶豫不決什麼 ? O ?
取 /m取
Hash FvvCb
三最機是般 Hash L8k1n
175.237.138.240
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
RPDRPDTMTM szűrő szűrő
Recurrent Pattern Detection TechnológiaRecurrent Pattern Detection Technológia
Ismétlődő Minta KeresésIsmétlődő Minta Keresés
– Gyors
– Pontos
– Világra kiterjedő
– Központilag karban tartott „Felejts el” alkalmazás
– Nyelvfüggetlen
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
InternetInternet
HASH Sync
HASH Sync
HASH Sync
HASH Sync
SPAM?
SPAM?
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Technológia értékelésTechnológia értékelés
Fekismerés - Rövid lista
Felismerés
Cloudmark 98.20% PCWorld June 2004
Commtouch 97.00% Netoptus (Information week NL) Sep 2004
Clearswift 96.32% Network Computing 13 May 2004
iHateSpam 96.20% PCWorld June 2004
MXLogic 96.06% Network Computing 13 May 2004
Barracuda 95.67% Network Computing 13 May 2004
Tévesztés – Rövid listaFalse Positives
Commtouch 0.00358% Netoptus (Information week NL) Sep 2004
Borderware 0.39% Network Computing 13 May 2004
Brightmail 0.39% Network Computing 13 May 2004
IronPort 0.39% Network Computing 13 May 2004
Postini 0.40% NWFusion 5/23/2004
Corvigo 0.70% NWFusion 5/23/2004
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Zero-Hour virus detectionZero-Hour virus detection
RPDOutbreak Blocking
AVEffective
Outbreakkezdete
Első detekció Csúcspont Első ellenszer Adatbázis kiadása a
top AV cégek
90%-nál
RP
D d
ete
cti
on
: 0
.5-2
min
ute
s
20-30 óra
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Zero-Hour virus detectionZero-Hour virus detection
Integrated Solution
Outbreak Detection
Engine Real-time Detection Center
Outbreak Virus samples sent to AV
partner
Signature Based Anti Virus
AV Gateway
Known Virus Quarantine
Outbreak Virus Quarantine
CleanMessages
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
VeszélyforrásokVeszélyforrások
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Zero-Hour megoldásZero-Hour megoldás
Hatékony a támadás legelső perceitől kezdve: percekkel a támadás elindulása után véd,
Preemptív védelmi módszer, a támadási hullám felismerésével blokkolja az ismert és ismeretlen károkozókat
Kiemelkedő felismerési arány: a károkozót tartalmazó levelek akár 95%-át felismeri önmagában, a "hagyományos" vírus-, vagy spam védelem alkalmazása nélkül.
Teljesen automatikus: nem igényel karbantartást.
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Zero-Hour megoldás itthonZero-Hour megoldás itthon
Egy szerveren vizsgált levelek száma
7 358 310
Ebből a ZH találat 395 905
Ebből csak ZH-val talált
3 316
ZH-val talált új károkozó
57
Találat aránya vírusadatbázissal rendelkező AV megoldáshoz képest
95,53%95,53%
Téves riasztás aránya 0,000292%0,000292%
Egy szerver adatai (Augusztus-Október )
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Beagle.AV Outbreak – 29 October, 2004 Beagle.AV Outbreak – 29 October, 2004
7.00GMT
MessagesLabs detektálja a Beagle.AV-t
10.30GMT
Symantec beta
vírusadatbázis
9 óra az első vírusadatbázisig5 óra 34 perc
1.20GMT
Commtouch RPD
detektálás és blokkolás
Forrás: Commtouch
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Beagle.BE Outbreak – March 1, 2005(*) Beagle.BE Outbreak – March 1, 2005(*)
8:00GMT
F-Secure jelzés
12:00 – 14:30GMT
11 óra védelem nélkül7 óra
1:06GMT
Commtouch RPD detektálás és blokkolás
Forrás: Commtouch
Top AV cégek ellenszere elérhető
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
MyDoom.ax Outbreak – Feb 16, 2005MyDoom.ax Outbreak – Feb 16, 2005
16;55 GMT
University of Michigan jelzése
6:00 GMT, FEB 17
16 óra védelem nélkül
2:55
14:00GMT
Commtouch RPD detektálás és
blokkolás
University of
Michigan
Forrás: Commtouch
Top AV cégek ellenszere elérhető
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Zero-Hour virus detectionZero-Hour virus detection
CommtoCommtouch uch ProtectioProtection: n:
Top AV Top AV signatures signatures availability availability
Gap Gap bridged bridged
by by CommtoCommto
uchuchOct 29 2004 Beagle.av 01:20
GMT10:30 GMT
9.30 hours
Jan 27 2005 Beagle.az 07:07
GMT12:30 GMT
5.30 hours
Jan 31 2005 Sober.k 03:11
GMT15:13 GMT
12 hours
Feb 16 2005, Mydoom.ax 14:04
GMTFeb-17 06:00 GMT
16 hours
March 1 2005 Beagle.BE 01:06
GMT12:00 GMT
11 Hours
5-16 Hours Advantage
Source: Commtouch
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
VirusBuster MailShield - Vírus szűrőVirusBuster MailShield - Vírus szűrő
Támogatott platformok
– Linux (i386), BSD (i386)
– Solaris, AIX (v4)
Szűrés
– Virus szűrés
– I-Worm szűrés (WormBuster)
– File szűrés
– Tartalom szűrés (SPAM, mail-header)
Új (v4) engine
– Keresés .tar, .gz, .bzip2, .zip, .rar, .arj, .ace, MS .cab és InstallShield .cab
– Keresés diet, upx, aspack tömörítvényekben, MS Office 2003 xml, HTML, Java Script, ActiveX és VB scripts, Windows HELP fájl, beépített MIME kezelő, Oultook Express adatbázis támogatás
– WormBuster
4444ENGINEENGINE
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
VirusBuster MailShield –VirusBuster MailShield – SPAM SPAM szűrő szűrő
Többszintű SPAM szűrés
Bayes statisztikai szűrő
HTML szűrés
UNICODE formátum
Automata tanulás
Több spam adatbázis használata
Frissített SPAM adatbázis
ESP – RPD technológia
Akciók: block, header modify, forward, quarantine
NEWNEWNEWNEWFEATURESFEATURES
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
VirusBuster MailShield – SPAM szűrőVirusBuster MailShield – SPAM szűrő
Spam automatikus tanulás
– A false positive ráta csökkentése érdekében
• Különálló komponens
• SPAM és nem SPAM tanulása
– Akár speciális címen keresztül is tanítható
Új Watchdog
- Szabályozható felügyelet
- Akciók a szabályzási folyamatokra
NEWNEWNEWNEWFEATURESFEATURES
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Fájl és mező szűrőFájl és mező szűrő
Operációs rendszerfüggetlen fájl típus felismerés
Jelszóvédett fájlkezelés
File Filter – speciális fájlok szűrése
File Gate – speciális fájlok átengedése
Tartalom szűrés subject / from / to / cc / date / mailfrom / rcptto mezők alapján
Akciók: forward / block / delete mail / delete file
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
vbsmtpd – fogadó• A beállított interfészen és porton fogadja a kapcsolatokat
vbsmtps – küldő• Küldi a leveleket a beállított hostra
vbmailshield – hook• Levélfeldolgozó
vbwatchdog – rendszer folyamatfelügyelő• Felügyeli a rendszer komponenseinek működését
spamal – Spam automatikus tanuló• Az automatikus tanulás szolgáltatása
+ Extended SPAM Protection (ASAP filter)• RPD technológiás SPAM szűrő
Rendszer komponenseiRendszer komponensei
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
VBMailshieldVBMailshield folyamatai folyamatai
Receiver
Fork()
Receiver proc_n
Receiver proc_max
Fogadás
QueueHook Getqueue()
Fork()
Hook.proc_n
Hook.proc_max
Feldolgozás
Queue
SenderGetqueue()
Fork()
Sender proc_n
Sender proc_max
Küldés
Timingfork()
ReSendWatchdog
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
A rendszer bevezetésének lépéseiA rendszer bevezetésének lépései
Tervezés
•Jelenlegi rendszer és az elérni kívánt rendszer felépítése
•MailShield integrációjának pontja
•Szükséges biztonsági szabályok
Új rendszer felépítése
•Installáció
•Configuráció
•Szabályok és szűrések
•Útvonalak
•Ellenőrzés
•Rendszer forgalomba helyezése
•Finomhangolás
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Mailserver Mailserver integrációintegráció – SMTP Relay – SMTP Relay
INTERNETINTERNET PortPort 2525
My machineMy machine
Mail to external addressMail to external address
Internal mail serverInternal mail server
Mailshield SMTP relayMailshield SMTP relay
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Mailserver Mailserver integrációintegráció – SMTP Relay – SMTP Relay
INTERNETINTERNET
Mailshield SMTP relayMailshield SMTP relay
Backend mail serversBackend mail servers
Firewall/external mail serverFirewall/external mail server
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
SAMBA SAMBA védelemvédelem
VirusBuster SAMBA ShieldVirusBuster SAMBA Shield
SMBVFS emulatorSMBVFS emulator
VFS LayerVFS Layer
SAMBA SERVERSAMBA SERVER
File SystemFile System
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
VFS shieldVFS shield
VirusBuster Scan daemonVirusBuster Scan daemon
VBFS kernel moduleVBFS kernel module
Kernel VFS LayerKernel VFS Layer
VBshieldVBshield
Engine + VirusdatabaseEngine + Virusdatabase
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Qmail inteQmail integrációgráció
MTAMTA KommunikáviósKommunikáviós interfaceinterface
loglog
Bejövő levelekBejövő levelek
InterfaceInterface
MailfilterMailfilter
Virus filterVirus filterFile filterFile filterInverse Inverse filefilterfilefilterSpam filterSpam filterZero-HourZero-HourESPESP
Back-end Back-end levelező levelező szerverszerver
VirusBuster for MailServersVirusBuster for MailServers
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Sendmail integrSendmail integrációáció
MTAMTA
loglog
Incoming mailIncoming mail
deliverydelivery
Milter interfaceMilter interface
MailfilterMailfilter
Virus filterVirus filterFile filterFile filterInverse Inverse filefilterfilefilterSpam filterSpam filter......
Zero-Hour Virus Outbrake DetectionZero-Hour Virus Outbrake Detection
Questions ?
BudapestVegyész utca 17-25.
H-1116
+36-1-382-7000
MalwaresMalwares