走近卡巴斯基(八)

释放双眼,带上耳机,听听看~!

前     言


杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

慢慢的,大家会发现,杀毒还是要靠技术说话的。很多人问我:你说卡巴斯基好,到底好在哪? 这个问题还真不是三言两语能说清楚的,所以我整理了一些内容,希望大家能看完,或许就能从中找到答案。下面来讲第八个技术:

八、卡巴斯基反垃圾邮件(Anti-spam)

       大规模群发垃圾邮件是一个严重的问题,不仅是因为整理邮箱时花很多时间很烦人,而且它恶意程序的载体。例如,Duqu木马,是目前最臭名昭著的网络“进攻武器”,当无辜的收件人不经意间打开一个貌似正常的文本文档时,系统的漏洞就被利用了。另一种方式是电子邮件钓鱼,目标是特定的个人或进入某组织的信息服务设施,这种攻击手段在在Hellsing APT中用到了。 

       对于企业来说,不想要的通信(垃圾邮件的骚扰)是严重问题。在“IT Security Risks Survey”(IT安全风险调查)中,在过去12个月,60%的公司将垃圾邮件作为头号外部威胁。在2015年上半年,卡巴斯基的安全专家发现56.4%的邮件流量是垃圾邮件产生的。

       超过一半的电子邮件流量都是垃圾邮件,要打击这种威胁,需靠安全解决方案。

卡巴斯基检测新的垃圾邮件而几乎不会误报,这基于多层内容分析,包括对内容的语言,图文,垃圾邮件签名,邮件的附件属性进行检查,以及使用默认筛选规则(黑白名单)和云技术。

应急检测系统


       第二代应急监测系统集成在KSN里,允许安装了卡巴斯基产品的计算机和在KSN威胁数据库交换信息来检测垃圾邮件。当收到一封可疑的电子邮件时客户端软件会将邮件的特征信息交给云数据库,云数据库将此特征进行分析比对,然后给客户端返回一个鉴定结果:是否是垃圾邮件。不过,邮件的真实内容不会被送至服务器,收集到的信息并不能还原出原来邮件的内容,这保证了电子邮件的保密性,保护用户隐私。

       如果一个欺诈者在垃圾邮件中假冒发件人地址,使用知名组织的域名(比如example@google.com,example@apple.com等),反垃圾邮件技术会确认邮件的真实性。基于对垃圾邮件典型行为的分析积累,可以完成这一任务,比如一封邮件显示是某组织发出的,但是IP却不属于这个组织的IP段。

       在过去,向垃圾邮件数据库添加特征码需要人手动输入。UDS2(应急检测系统2)使用新技术创建特征码。原来,一个单独的特征码只能对应一个单独的垃圾邮件,如果垃圾邮件内容稍稍做改动,就不能检测到了。而现在UDS2使用一种新的特征吗–––––shingles。一个“Shingle”是一个独特的“Checksum”(校验和,详见https://en.wikipedia.org/wiki/Checksum),能够检测原始文本的内容,即使发送者对邮件做了修改(比如,插入特殊符号)。

       UDS2和其他的基于特征吗检测的系统最大的不同之处是特征码不需要100%匹配一个邮件。其结果是,甚至一个被修改过的垃圾邮件也会被云端封锁,基于一个“Shingle”,无需分析员自己查看邮件来创建特征码。

       Shingles通过KSN的应急更新传送到用户计算机,这使得用户在短短几分钟内即可免受新出现的垃圾邮件的侵害。       

内容信誉


       基于UDS2的信誉技术筛选可疑的和不需要的邮件。这个卡巴斯基文件信誉顾问的机制很类似(基于对在其他设备上文件行为的检测)。

       封锁垃圾邮件的自动化信誉检测系统,UDS2的工作基于Shingles,但返回的结果不只是“垃圾邮件”或“非垃圾邮件”。如果大量的Shingles和邮件的特征(比如发送邮件的服务器或者IP地址的信誉)很可疑,系统将会把邮件“隔离”以便于进行更深一步的检查(比如,分析对照类似来自其他卡巴斯基客户端的邮件)。

       在欺诈者让成千上万个用户上当之前,系统将可疑的新邮件与已知的垃圾邮件的模糊匹配(并得出结果),后将可疑邮件拉入本地黑名单。

暂时阻止可疑邮件的技术(隔离)


       检测一些不需要的信件需要本机与KSN进行数据交互。例如,从数据库里搜索邮件特征的信息或者访问外部服务器可能需要一段时间。隔离技术允许将邮件先行存放在“重新扫描”这个选项,如果得到的判定是“垃圾邮件”,邮件会被立刻封锁。当垃圾邮件在几分钟内传播时,这种方法很有效。

卡巴斯基反垃圾邮件技术的优势


       •UDS2技术的使用和云信誉技术缩短了对新的垃圾邮件的响应时间,Shingles在实时更新。

       •该技术确定了发件人的信誉,通过对来源IP地址和域名的分析,不需要分析员手动操作,加速了阻止不需要的通信的速度。

       •自动分析垃圾邮件中的网站(比如分析域名注册商,发送垃圾邮件的频率等),让垃圾邮件源很快被封锁。

       •每一个同意加入KSN的用户是一个匿名的关于垃圾邮件信息的源,紧急更新传送减少了响应时间,只需几秒钟。

       •判决“垃圾邮件”或“非垃圾邮件”后,反垃圾邮件模块会标记邮件的类型。用户可以将私人信件和商务信函和广告分开。

使用反垃圾邮件技术的产品

       对于企业用户:Kaspersky for Linux Mail Server  

                               Kaspersky Security for Mail Gateway

                               Kaspersky Security for Microsoft Exchange Servers

                               Kaspersky Anti-Spam SDK 

                               KES(端点安全解决方案)/KSOS(中小企业版)

       个人用户:KAV/KIS/KTS

未完待续……


转发是一种美德,如果你觉得不错请转发让更多人看到。

您的关注就是我的动力,扫描下面二维码关注“大兵说安全”

本文源自微信公众号:大兵说安全

人已赞赏
安全工具

紧急通知:防范一起针对政府部门的勒索病毒邮件攻击

2019-10-14 17:33:28

安全工具

论工控生产系统的数据备份及系统灾难恢复方法

2019-10-14 17:33:35

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索