|
在过去的几年时间里,Email日趋成为主要的威胁传播载体,像垃圾邮件、病毒、特洛依木马及钓鱼攻击等。由于Email具有全球范围传播的特性,攻击者平均每天可以在网络上广播4万种安全威胁,一年累计下来高达1500万种安全威胁。Ferris的研究报告指出,仅2007年,美国的企业因为垃圾邮件而造成的生产力及维护损失就达到了350亿美金,全球则高达1000亿美金。Nucleus的研究报告显示垃圾邮件让美国企业增加了710亿美元的额外管理费用。 造成这个现象的最主要原因是大多数安全软件都缺乏快速适应不断变化的安全威胁的能力。垃圾邮件和恶意软件等威胁的制造者正在不停地完善他们的传播方式,尽可能将他们的威胁传播得更加广泛。而大多数的垃圾邮件过滤和安全软件产品仅仅扫描收到的邮件中的地址信息差异和其它的邮件头信息。这些扫描工具只能根据现有的策略进行分析,没有办法快速地检测到基于新技术和新属性的威胁。但是,由于安全威胁通过邮件被同时发送到成千上万个收件人,我们需要一种能够及时检测和阻止垃圾邮件爆发的技术。 NETGEAR采用的技术是基于威胁爆发的共通性进行分析: 大多数爆发的邮件都会有所变化,使得难以根据分析邮件内容来制定相应的阻挡规则。比如,垃圾邮件现在经常采用图片的方式来传播,简单地避开当前的内容过滤器。 大多数爆发会包含数百万邮件,从而获得更大的邮件回复,提高发起人的投资回报率。 大部分爆发都是在短时间内释放出来,需要实时的解决方案才能及时检测到爆发,降低或者避免造成损失。 攻击发起人一般都采用大量的伪装方法来使得攻击源难以被反向追踪。 爆发的生命周期 恶意软件发起人通过采用僵尸网络的方式,一般都能够在几分钟时间内同时发送几百万封邮件。僵尸网络由大量的僵尸计算机组成,这些计算机通常都是被恶意软件所感染,恶意软件发起人可以通过远程随心所欲地控制这些计算机系统。僵尸网络平均由2万台以上的僵尸计算机组成一个庞大的系统来发送大规模的威胁攻击。大型的僵尸网络甚至由上百万的僵尸计算机组成。当恶意软件发起人下达指令时,网络中的所有僵尸计算机便同时开始执行。 当病毒和其它通过Email传播的威胁成功植入计算机后,它们便会开始自我繁殖和传播。在开始的时候,越多计算机被感染,随着时间的推移,受感染的范围就会越广。正是由于这种原因,我们需要尽早在传播的阶段控制爆发。通过在爆发发生的前几分钟内对其进行控制可以有效地阻止大规模的攻击。 消息特征码 垃圾邮件、钓鱼攻击和其它通过Email传播的威胁中通常都由几百万各不相同的信息所组成,用以避开常规的用户过滤规则。虽然如此,一次爆发中的所有信息都包含有至少一个唯一且可识别的值,可用于标识各种爆发。不同的垃圾邮件通常由同个僵尸网络中的机器发出;各种钓鱼攻击一般诱导用户访问同一个欺诈网站;而每个通过邮件传播的病毒都包含同种恶意代码。尽管有些攻击只针对特定小范围的群体,但是这种共通性也同样对最新的技术有效,如鲸钓式攻击。 每个像这样重复出现的值都可以作为一个爆发的“信息特征码”。包含一个或多个这种唯一的特征码的信息便非常可能是爆发中的一部分。 大部分爆发的生命周期都相当短——通常只有几个小时,所以,检测方案必须能够实时地检测,并在威胁造成破坏之前完全检测和分类信息才有意义。而且,由于大多数爆发都伪装成合法的邮件,所以基于特征分析的检测方案需要能够区分真正的合法邮件和通过邮件传播的威胁。>>
|
