创新 & 垃圾邮件攻防之战

1. 创新&垃圾邮件攻防之战 徐学龙　　产品技术顾问 电话：(010)85252277-315 手机：13901254647 steven_xu@trendmicro.com.cn 制作日期：2007年8月

2. 议题 • 不断演化的垃圾邮件攻防技术 • 趋势科技防垃圾邮件技术 • 趋势科技防垃圾邮件解决方案 • 第三方防垃圾邮件评测报告

3. 1、不断演化的垃圾邮件攻防技术

4. 垃圾邮件的演化 垃圾邮件恶之源：逐利 • 垃圾邮件发送者可以以极其低廉的成本将信息传递给大量受众 • 垃圾邮件发送者只需要很少的回复回应就可以获利 • 人们仍通过垃圾邮件的信息来采购产品 • 特别是采购一些不便公开购买的私人物品 • 垃圾邮件技术还被应用于欺骗或窃取等犯罪行为 • 垃圾邮件发送者用尽计谋来逃避过滤防护 垃圾邮件与防垃圾邮件方案完全是一种 对抗关系，彼此技术此消彼涨。

5. 原始的垃圾邮件 • 垃圾邮件在1990年代出现 • 最开始，垃圾邮件发送者只是单纯地发送邮件推广自己的产品或服务 • 当时网络环境通常不采用防垃圾邮件技术，所以垃圾邮件堂而皇之地就可以进入到用户的邮箱。

6. 垃圾邮件过滤技术的产生 当垃圾邮件人人生厌的时候，垃圾邮件过滤技术就产生了 • 简单的黑名单/白名单 • 关键字过滤 • 可定义上下文的复杂过滤 垃圾邮件发送者很快就反应过来了 • 黑名单/白名单变得效率低下 • 基于用户名的控制容易出错 • 不能解决僵尸网络群发的问题 • 垃圾邮件中的关键字被想尽办法隐藏起来 • 用符号代替字符 (如用@代替a) • 空格、下划线等放在字符之间(信 用 卡, 信-用-卡 ) • 文字垂直排列 • 等等…

7. 僵尸网络 • 肉鸡 • 感染僵尸程序的电脑 • 在用户不知情的情况下被感染 • 被黑客恶意操纵 • Internet上大约16-25%的电脑是肉鸡1 • 僵尸网络由一群肉鸡电脑组成 • 僵尸网络的控制者称为僵尸牧马人( bot herders) • 可远程对肉鸡进行控制 • 为什么用僵尸网络? • 肉鸡机器可用来收集地址信息发送垃圾邮件、进行DDoS攻击等各种恶意行为 • 肉鸡机器的资源被暗中占用 • 可以群发大量的垃圾邮件 (垃圾邮件中有80%是僵尸网络发出) • 他们隐藏掉真实的邮件发送者地址 1. Source: Weber, Tim. “Criminals ‘May Overwhelm the Web‘” BBC News. 25 January 2007

8. 内容过滤欺骗技术 • 简单的内容过滤欺骗技术 • 在邮件标题的字符间插入特殊符号 • 字符垂直排列 • 用符号代替字符

9. 数据库匹配技术的窘境 垃圾邮件发送者 最初通常是将一封相同的垃圾邮件进行大范围群发 防垃圾邮件厂商 采用收集起来的垃圾邮件的特征值进行比对，象扫描病毒一样阻止垃圾邮件 垃圾邮件发送者 采用随机性垃圾邮件产生模板，让每一 封垃圾邮件都与众不同

10. 启发式和统计式过滤技术 • 启发式过滤技术 • 基于规则的方法查找垃圾邮件的特征 • 不再只是关键字，而是一封邮件的各种属性 • 可以识别欺骗伎俩 • 必须良好设计并不断保持更新 • 统计式过滤技术 • 采用统计学的方法来识别垃圾邮件 • 为每封信计算一个分值 • 用配置好的策略去判断是垃圾邮件的可能性 • 必须良好优化并及时更新策略

11. 欺骗统计式过滤技术 • 让垃圾邮件的特征不明显 • 在邮件中加入特别的内容降低垃圾邮件特征的分量

12. 图片垃圾邮件 • 内容用图片来传递垃圾邮件 • 邮件正文中不含文本信息 • 目前在垃圾邮件中比例占到40%1 • 图片垃圾邮件大小通常是传统文本邮件的10倍1 Source: Osterman Research. Image Spam and New Threats Summit Webinar. Conducted on 10 January 2007.

13. 典型的图片垃圾邮件 垃圾邮件模板 随机的背景、文字颜色、图片尺寸和其它属性让每一封垃圾邮件都与众不同

14. 邮件信誉服务 信誉过滤技术 • 阻止已知的垃圾邮件发送者IP • 不需要分析垃圾邮件内容 • 不需要接收到邮件进行扫描 • 让垃圾邮件的风险在到达企业网络前就被化解 高效的信誉服务 • 持续地分析邮件发送行为 • 收集邮件发送历史和样本—审计整个流程 • 不断更新列表阻止新的垃圾邮件源IP和清除已无害的垃圾邮件源IP • 保证将绝大部分垃圾邮件阻止在网络之外，保证网络安全并节省网络资源

15. 2、趋势科技防垃圾邮件技术

16. 趋势科技防垃圾邮件技术 • 邮件信誉检查– 第一道防线 • 全球实时动态信誉服务 • 可以将80%的垃圾邮件在进入网络前阻止掉 • IP连接控制 – 客户自定义防护 • 客户基于自身邮件流量自定义的信誉服务 • SMTP防火墙阻止目录收集攻击(DHA)和地址反弹攻击 • 复合式垃圾邮件引擎 – 为每个收件箱提供防护 • 阻止任何通过前两层检测的垃圾邮件进入收件箱 • 集成多种防垃圾邮件技术, 包括图片垃圾邮件侦测技术

17. 邮件信誉技术 邮件信誉的两个库 • Global:采用全球最大、最值得信赖的信誉数据库验证邮件发送源IP(超过160万个地址) • Dynamic:动态识别新垃圾邮件源和网络钓鱼源，识别新的肉鸡和僵尸网络的垃圾邮件发送行为 在源头击退垃圾邮件 • 在垃圾邮件进入网关前进行阻止 • 毫秒级响应速度，100%的可用性 • 采用邮件样本和发送者历史进行精确的信誉审计 • 为传统垃圾邮件防护技术降低了处理压力 • 节省了带宽、存储空间和网络带宽资源

18. 信誉服务 – 管理界面 业界领先的技术和管理 • 全球垃圾邮件更新 • 垃圾邮件报告 • 前100位ISP垃圾邮件发送排行榜 • 阻止列表可以基于国家或ISP方便查看

19. IP 连接控制 客户自定义的信誉服务 垃圾邮件 病毒 目录收集攻击(DHA) 反弹邮件 客户定义如下极值: • 监控的时间 • 恶意邮件比例 • 对应的邮件总数 • 触发的动作– 当这些极值触发后执行什么动作 (暂时阻止对方连接或者长期阻止对方连接) 通过阻止超过极值的源IP的连接，提供客户自定义的信誉服务，保证威胁在网络之外被化解掉

20. IP 连接控制 DHA和邮件反弹攻击的防火墙 IP 连接控制采用如下信息阻止DHAs • 一封邮件的收件人数量 • 不存在的收件人的数量(这需要与LDAP集成) IP 连接控制同时也分析 其它行为来构建防火墙

21. IP 连接控制 – 工作机制 • 记录所有进出的邮件流量 • 将每一封邮件的发送IP记录到数据库中 • 邮件采用复合式垃圾引擎扫描 • 扫描结果被记录到数据库中 • 每个发件的源IP与扫描的结果在数据库中对应起来 例如,从某一个IP发送的所有邮件 vs. 从这个IP发送的垃圾邮件 • 用比对的结果对照管理员配置的各项极值 • 如果实际结果超过极值，就触发永久阻止动作(SMTP 5xx) 或临时阻止动作(SMTP 4xx)

22. IP 连接管理 管理当前监控到的IP 显示日志 • 总垃圾邮件流量 • 总恶意信息尝试次数 • 总连接数 • 连接数中恶意信息的百分比 选择IP进行长期阻止或暂时阻止 在global中建黑/白名单会同时应用于邮件信誉服务和IP连接管理

23. 趋势科技防垃圾邮件引擎 趋势科技复合式防垃圾邮件引擎 采用“鸡尾酒”方法同时阻止垃圾邮件和网络钓鱼邮件 • 统计分析 • 智能启发 • 数据库比对 • 黑/白名单 • 多语言分析 • 正在专利申请中的图片垃圾邮件侦测技术 业界成熟技术 在过去4年中，有超过2500万用户采用

24. 图片垃圾邮件侦测 专利申请技术 对邮件的核心标只进行分析—例如：剥离掉背景、文字颜色、文字大小和其它随机元素 采用关键特征来进行比对，提高效率，降低了资源占用

25. 嵌入式的URL过滤技术 阻止带有高风险URL的邮件 风险常常同时结合邮件和Web来传播 邮件可能包含如下链接 • 垃圾邮件站点 • 网络钓鱼站点 • 恶意的下载站点 趋势科技在解决方案中同时嵌入Web信誉服务 • 有不良站点链接的邮件被阻止 • 阻止员工点击恶意链接和掉入Web威胁的陷阱

26. 3、趋势科技防垃圾邮件解决方案

27. 中小企业网关解决方案 安全无忧的防护 • InterScan Gateway Security Appliance(硬件) • InterScan VirusWall(软件) 一体化邮件和Web网关防护解决方案 • 防垃圾邮件 • 防病毒 • 防间谍软件 • 防网络钓鱼 • 内容过滤 • Web 过滤 • 防垃圾邮件技术 • 邮件信誉服务 • 趋势科技复合式防垃圾邮件引擎

28. 大型企业邮件网关解决方案 企业级邮件网关解决方案 • InterScan Messaging Security Suite(软件) • InterScan Messaging Security Appliance(硬件) • InterScan Messaging Hosted Security(主机服务) 三个解决方案都提供全面的邮件安全: • 防垃圾邮件 • 防病毒 • 防间谍软件 • 防网络钓鱼 • 内容过滤 • 企业级邮件网关解决方案同时采用了趋势科技3种防垃圾邮件技术 • 邮件信誉服务 • IP连接控制 • 复合式防垃圾邮件引擎

29. 群件服务器防护方案ScanMail 群件防护方案 • ScanMail for Microsoft Exchange • ScanMail for Lotus Domino 全面的邮件和群件应用防护 • 防垃圾邮件 • 防病毒 • 防间谍软件 • 防网络钓鱼 • 内容过滤 • 防垃圾邮件技术 • 趋势科技复合式防垃圾邮件引擎

30. 邮件信誉服务ERS 独立的信誉服务 • Email Reputation Services 标准版 (global database) • Email Reputation Services 增强版 (global and dynamic) • Email Reputation Services Hosted (global and dynamic) • 邮件防护的第一道防线 • 可以单独采购 • 兼容所有流行邮件系统 • 可以与众多的解决方案相结合

31. 在网络所有节点上 强制实施安全策略 监控 及时发现风险 个性化和全面的集中管理 自动清除恢复 阻止风险造成的危害 趋势科技企业保护战略 – 一个完整的网络安全架构 趋势科技控管中心

32. 4、第三方防垃圾邮件评测报告

33. 邮件网关评测结果 第三方Opus One独立评测： • Trend Micro 在防垃圾邮件的效能上排名第一 • 最高的侦测率和较低的误报率 • 如果采用IP连接控制技术将进一步提高效能 Based on independent anti-spam benchmark tests conducted by Opus One, Inc. Testing methodology can be retrieved from: http://www.opus1.com/www/whitepapers/antispamfeb2007.pdf

34. 单独信誉服务评测 • Trend Micro在单独信誉服务评测中侦测率排名第一 • 增强版获得最高侦测率排名 • 标准版获得最低误报率排名 第三方Opus One独立评测： Based on independent anti-spam benchmark tests conducted by Opus One, Inc. Testing methodology can be retrieved from: http://www.opus1.com/www/whitepapers/antispamfeb2007.pdf

35. 访问我们的讯息安全论坛 Trend Micro讯息站点: http://messagingsecurity.trendmicro.com • 白皮书 • Pod casts • Blogs • Opportunity to comment