NETGEAR垃圾邮件云分布分析技术

　　基于网络杜绝Email威胁

　　在过去的几年时间里，Email日趋成为主要的威胁传播载体，像垃圾邮件、病毒、特洛依木马及钓鱼攻击等。由于Email具有全球范围传播的特性，攻击者平均每天可以在网络上广播4万种安全威胁，一年累计下来高达1500万种安全威胁。Ferris的研究报告指出，仅2007年，美国的企业因为垃圾邮件而造成的生产力及维护损失就达到了350亿美金，全球则高达1000亿美金。Nucleus的研究报告显示垃圾邮件让美国企业增加了710亿美元的额外管理费用。

　　造成这个现象的最主要原因是大多数安全软件都缺乏快速适应不断变化的安全威胁的能力。垃圾邮件和恶意软件等威胁的制造者正在不停地完善他们的传播方式，尽可能将他们的威胁传播得更加广泛。而大多数的垃圾邮件过滤和安全软件产品仅仅扫描收到的邮件中的地址信息差异和其它的邮件头信息。这些扫描工具只能根据现有的策略进行分析，没有办法快速地检测到基于新技术和新属性的威胁。但是，由于安全威胁通过邮件被同时发送到成千上万个收件人，我们需要一种能够及时检测和阻止垃圾邮件爆发的技术。

　　NETGEAR采用的技术是基于威胁爆发的共通性进行分析：

　　大多数爆发的邮件都会有所变化，使得难以根据分析邮件内容来制定相应的阻挡规则。比如，垃圾邮件现在经常采用图片的方式来传播，简单地避开当前的内容过滤器。

　　大多数爆发会包含数百万邮件，从而获得更大的邮件回复，提高发起人的投资回报率。

　　大部分爆发都是在短时间内释放出来，需要实时的解决方案才能及时检测到爆发，降低或者避免造成损失。

　　攻击发起人一般都采用大量的伪装方法来使得攻击源难以被反向追踪。

　　爆发的生命周期

　　恶意软件发起人通过采用僵尸网络的方式，一般都能够在几分钟时间内同时发送几百万封邮件。僵尸网络由大量的僵尸计算机组成，这些计算机通常都是被恶意软件所感染，恶意软件发起人可以通过远程随心所欲地控制这些计算机系统。僵尸网络平均由2万台以上的僵尸计算机组成一个庞大的系统来发送大规模的威胁攻击。大型的僵尸网络甚至由上百万的僵尸计算机组成。当恶意软件发起人下达指令时，网络中的所有僵尸计算机便同时开始执行。

　　当病毒和其它通过Email传播的威胁成功植入计算机后，它们便会开始自我繁殖和传播。在开始的时候，越多计算机被感染，随着时间的推移，受感染的范围就会越广。正是由于这种原因，我们需要尽早在传播的阶段控制爆发。通过在爆发发生的前几分钟内对其进行控制可以有效地阻止大规模的攻击。

　　消息特征码

　　垃圾邮件、钓鱼攻击和其它通过Email传播的威胁中通常都由几百万各不相同的信息所组成，用以避开常规的用户过滤规则。虽然如此，一次爆发中的所有信息都包含有至少一个唯一且可识别的值，可用于标识各种爆发。不同的垃圾邮件通常由同个僵尸网络中的机器发出;各种钓鱼攻击一般诱导用户访问同一个欺诈网站;而每个通过邮件传播的病毒都包含同种恶意代码。尽管有些攻击只针对特定小范围的群体，但是这种共通性也同样对最新的技术有效，如鲸钓式攻击。

　　每个像这样重复出现的值都可以作为一个爆发的“信息特征码”。包含一个或多个这种唯一的特征码的信息便非常可能是爆发中的一部分。

　　大部分爆发的生命周期都相当短——通常只有几个小时，所以，检测方案必须能够实时地检测，并在威胁造成破坏之前完全检测和分类信息才有意义。而且，由于大多数爆发都伪装成合法的邮件，所以基于特征分析的检测方案需要能够区分真正的合法邮件和通过邮件传播的威胁。

　为了达到这两个目标，特征码必须从邮件的信封、邮件头和邮件体上进行提取，而不需要关系到邮件本身的内容。所以特征码分析可以识别任何语言、任何信息格式和任何编码类型的爆发。信息特征码可以分为分布特征(Distribution Patterns)和结构特征(Structure Patterns)。分布特征通过分析信息散布到收信人的方式来判断信息是属于合法，或者是潜在的威胁，而结构特征则用于定义散布的量。

　　图1：NETGEAR垃圾邮件云分布分析技术

　　特征检测代表了一种新的、更强大的认识，用以了解通过Email传播的威胁是如何产生和传播的。

图2：NETGEAR垃圾邮件云分布分析技术

　　垃圾邮件云分布分析技术

　　NETGEAR垃圾邮件云分布分析技术由两个组件构成：ProSecure™ STM内容安全网关安装在企业网络之中，和NETGEAR垃圾邮件分类中心，用于进行垃圾邮件云分布分析。STM将与垃圾邮件分类中心进行实时沟通，获得“秒级别”的垃圾邮件和恶意软件爆发信息(参见图1)。

　　基于对全球5000万数据源的分析，两个系统通过不断、紧密地通信沟通，NETGEAR实时主动地检测和分类所有类型的通过Email传播的威胁。垃圾邮件云分布分析技术从邮件中提取相关的信息特征码，用于识别和分类通过邮件传播的威胁的分布特征和结构特征(参见图2)。除了识别新的威胁特征，垃圾邮件云分布分析可用于修改或者加强早先识别出来的信息特征码的分类。

　　通过反向分析，垃圾邮件云分布分析技术可以识别由商业应用而发出主动请求的批量邮件的分布特征，和那些不请自来的批量邮件。因此，垃圾邮件云分布分析技术能够接近100%识别出威胁信息并且几乎没有误杀。它与语言无关，也可以应对所有信息格式和编码类型。

　　总结

　　为了有效地防止来自Email的威胁，一个成功的解决方案必须能够应付不断增长的挑战。垃圾邮件云分布分析技术是一种主动检测技术，不需要依靠邮件内容分析，并且可以检测任何语言、任何信息格式(包括HTML、图片和非英文文字)。垃圾邮件云分布分析技术可以主动分析和分类新的Email威胁并在攻击发生的几分钟内形成特征文件。垃圾邮件云分布分析技术提供：

　　超高垃圾邮件检测率且几乎无误杀率;

　　及时检测到新的Email威胁;

　　防御钓鱼攻击;

　　防御未知内容威胁;

　　检测多语言威胁;

　　检测多格式威胁。

　　垃圾邮件云分布分析技术通过高级特征分析提供了最好的Email威胁保护。