導(dǎo)言
顯然,垃圾郵件制造者、網(wǎng)絡(luò)欺詐者和病毒作者更喜歡隱藏他們的身份,
解析ciphertrust反垃圾郵件新技術(shù)反垃圾郵件
。他們偽造信息頭,將鏈接隱藏在信息正文中,并借助其它各種技術(shù)偽裝自己,意圖逃過檢查,偷偷溜進(jìn)收件箱里。相應(yīng)地,如果能知道這些發(fā)送者是誰以及他們的狀態(tài),那些與之戰(zhàn)斗的人們無疑將得到莫大的好處。為了解發(fā)送者過去表現(xiàn)出來的行為類別,并利用該資料判定某信息是否有威脅,電子郵件安全廠商創(chuàng)造了信譽(yù)系統(tǒng),告訴他們發(fā)送者都做過什么,并預(yù)測(cè)發(fā)送者可能會(huì)做些什么,無論所做是好是壞。
內(nèi)容檢查已不能滿足要求
不幸的是,許多企業(yè)所依賴的電子郵件安全解決方案僅僅停留在信息內(nèi)容檢查上,而從未將識(shí)別某特定信息的來源納入考慮范疇。這種方法在對(duì)付含有特定垃圾郵件標(biāo)志的信息時(shí)還能起到一定作用,但若想阻止那些采取了新技術(shù)的垃圾郵件就完全無能為力了。新技術(shù)包括例如偽造郵件頭、內(nèi)嵌鏈接及其它無數(shù)種偷偷潛入企業(yè)網(wǎng)關(guān)進(jìn)入收件箱的方法等。
電子郵件安全與信譽(yù)
全面的電子郵件安全方案應(yīng)同時(shí)涉及對(duì)信息內(nèi)容和發(fā)送者歷史的檢查。根據(jù)過去行為對(duì)發(fā)送者進(jìn)行評(píng)估,人們可以更精確地描述出他們的目的和合法性。他們是否曾經(jīng)發(fā)送過垃圾郵件?傳播過病毒?或?qū)嵤┻^欺詐攻擊?如果是,一個(gè)有效的信譽(yù)系統(tǒng)就能知道并給信息加上相應(yīng)標(biāo)簽。發(fā)送者是新出現(xiàn)的嗎?如果是,信譽(yù)系統(tǒng)就會(huì)密切關(guān)注他以確定該發(fā)送者是否為 遠(yuǎn)程控制的“僵尸”機(jī)器。
信譽(yù)系統(tǒng)增加了企業(yè)對(duì)電子郵件安全所作努力的價(jià)值,表現(xiàn)在以下方面:
·增加了有效性 —— 如果一個(gè)已知的垃圾郵件制造者試圖使用新的技術(shù)以規(guī)避檢查,一個(gè)精確的信譽(yù)系統(tǒng)就會(huì)辨別出信息的來源,并將其攔截。未使用信譽(yù)系統(tǒng)的電子郵件安全解決方案在面對(duì)新的威脅時(shí)將無法保持其有效性。
·降低了服務(wù)器負(fù)載 —— 通過識(shí)別和攔截已知的“壞”ip地址,信譽(yù)系統(tǒng)可以降低網(wǎng)絡(luò)多達(dá)50%的信息流入量。這對(duì)處理不斷增加的電子郵件負(fù)載來說是相當(dāng)關(guān)鍵的。
與最初相比,信譽(yù)系統(tǒng)無論在概念上,還是在其支持技術(shù)上,都有了重大的進(jìn)步。
信譽(yù)系統(tǒng)定義了什么
其實(shí)很簡單,信譽(yù)系統(tǒng)對(duì)發(fā)送者行為進(jìn)行跟蹤,看其發(fā)送行為是好(如發(fā)送合法的電子郵件信息)、是壞(如發(fā)送垃圾郵件或惡意代碼)還是介于兩者之間。
通過長時(shí)間對(duì)發(fā)送者行為的跟蹤,ciphertrust的發(fā)送者信譽(yù)數(shù)據(jù)庫保持了持續(xù)增長和改進(jìn)。現(xiàn)在我們來看一下信譽(yù)系統(tǒng)相對(duì)簡短的歷史,您不難發(fā)現(xiàn)其發(fā)展的迅速:
第一代信譽(yù)系統(tǒng)
在垃圾郵件發(fā)展的“早期”(大約2001年),世界上收件箱里開始出現(xiàn)擾人的信息,這時(shí)簡單的黑名單和白名單(bl/wl)似乎是一種合宜的響應(yīng)。黑名單包含已知的垃圾郵件制造者、網(wǎng)絡(luò)欺詐者和病毒發(fā)送者的ip地址,白名單則包含已知合法發(fā)送者的ip地址。參考這些名單能幫助企業(yè)過濾掉郵件總流量的一部分,暫時(shí)遏制了垃圾信息的沖擊。但幾乎在一夜之間,黑名單白名單的缺點(diǎn)變得慘痛的顯而易見:
·黑/白名單是反應(yīng)式的,不是前瞻式的。為保持名單的更新,最終用戶必須先收到惹人討厭的信息,然后才能手動(dòng)報(bào)告給系統(tǒng)管理員。而那時(shí)已經(jīng)太晚了;垃圾郵件已經(jīng)進(jìn)入用戶的收件箱。
·黑/白名單是軼事性的。就像有關(guān)海怪的故事如大腳毛人和“逃脫之人”一樣,白名單和黑名單可能是也可能不是完全建立在事實(shí)的基礎(chǔ)上。警戒員可能只是稍微甚至沒有研究發(fā)送者的實(shí)際發(fā)送習(xí)慣,就將他們不分青紅皂白或惡意地加入名單之中。
·黑/白名單很容易出錯(cuò)。合法電子郵件發(fā)送者發(fā)現(xiàn)自己常常因?yàn)殄e(cuò)誤信息而被列入黑名單;不幸的是,將自己從黑名單上消除就像去除頭發(fā)上的口香糖一樣困難;蛟S更麻煩的是,有些“付費(fèi)拉單”式白名單允許任何人扮成合法發(fā)送者并繞過垃圾郵件過濾器,只要他們有足夠的金錢(包括垃圾郵件制造者)。
·黑/白名單速度慢。任何單純依靠名單的防御技術(shù)總會(huì)落后垃圾郵件制造者好幾步。當(dāng)黑名單更新一個(gè)新地址時(shí),全世界的最終用戶已經(jīng)收到了垃圾信息,并暴露在可能附加的任何有毒物中。反過來,來自合法發(fā)送者的電子郵件可能會(huì)被誤認(rèn)為是垃圾郵件,直到該發(fā)送者的ip地址被添加到白名單中,然而信息已經(jīng)丟失了。
·這不是一個(gè)黑白分明的世界。對(duì)于手動(dòng)的、主觀的且經(jīng)常出錯(cuò)的名單來說,常常存在太多灰色的陰影而無法以“翹
關(guān) 鍵 字:反垃圾郵件
相關(guān)文章:
恐嚇電郵 FBI提醒網(wǎng)民不要理會(huì)
英國電信向垃圾郵件源宣戰(zhàn)
反垃圾郵件軟硬兼施
廣東首次公開處罰垃圾郵件發(fā)送者
以色列為最高垃圾郵件目標(biāo)地 比例達(dá)75.9%
起拇指”和“拇指朝下”對(duì)發(fā)送者做出簡單的判斷。第一代信譽(yù)系統(tǒng)并沒有考慮到那些處在“好”與“壞”之間的發(fā)送者。
在黑名單和白名單有效性下降的背后固然還有其他一些因素,但總而言之,這些名單作為電子郵件安全解決方案的失敗主要還在于它們無法將信息質(zhì)量因素包括其中。
第一代信譽(yù)系統(tǒng)根據(jù)不準(zhǔn)確、軼事性的黑名單和白名單賦予發(fā)送者“好”或“壞”的等級(jí)。本應(yīng)屬于中間位置的ip地址就被趕到兩個(gè)極端之一上。
第二代信譽(yù)系統(tǒng)(2g)
第二代信譽(yù)系統(tǒng)彌補(bǔ)了黑/白名單的不足,對(duì)垃圾郵件洪流進(jìn)行了控制。在名單繼續(xù)作為整體構(gòu)件之一的情況下,新的特性暫時(shí)增加了2g信譽(yù)系統(tǒng)的效率和有效性。然而,隨著時(shí)間的過去,垃圾郵件制造者也修改了他們的習(xí)慣以逃過檢查。
第二代信譽(yù)系統(tǒng)的改進(jìn)措施中包括:
·動(dòng)態(tài)名單。電子郵件安全領(lǐng)域中僵尸的出現(xiàn)使人們必須采取相應(yīng)的措施。在垃圾郵件出現(xiàn)早期黑名單和白名單尚足以給發(fā)送者分配信譽(yù),而僵尸的出現(xiàn)則完全改變了這種狀況。它們將發(fā)送者變好為壞,使壞的發(fā)送者以其他人的ip地址發(fā)送惡意信息,而不用通過明顯的偽造或擔(dān)心損壞信譽(yù)。動(dòng)態(tài)更新名單的加入使得信譽(yù)系統(tǒng)能夠適應(yīng)迅速變化的條件。
·自動(dòng)更新。許多第二代系統(tǒng)都包含了自動(dòng)更新,從而減輕了管理員負(fù)擔(dān),不用像以前那樣不得不手動(dòng)上載名單給中央主機(jī),以便將名單分發(fā)到互聯(lián)網(wǎng)上。盡管效率因此得到了顯著改善,但更新還是需要手動(dòng)提交黑白名單。
·信息評(píng)分,
電腦資料
《解析ciphertrust反垃圾郵件新技術(shù)反垃圾郵件》(http://m.dameics.com)。在研究了數(shù)百萬封垃圾電子郵件后,人們發(fā)現(xiàn)了這些信息的某些共性。一些第二代信譽(yù)系統(tǒng)對(duì)此做出了響應(yīng),開發(fā)出識(shí)別進(jìn)入信息中這些特征的運(yùn)算法則,根據(jù)信息為合法信息的可能性給一條信息評(píng)分。
盡管有些第二代信譽(yù)系統(tǒng)包含了基于發(fā)送者行為的動(dòng)態(tài)ip地址白/黑名單,但沒有一個(gè)系統(tǒng)能夠?qū)⑦@個(gè)特性與自動(dòng)更新和信息評(píng)分結(jié)合起來,以便發(fā)展成為一個(gè)真正全面的系統(tǒng)。
trustedsource:下一代信譽(yù)系統(tǒng)
現(xiàn)在的垃圾郵件制造者比什么時(shí)候都聰明,因此信譽(yù)系統(tǒng)也必須同樣成熟。一個(gè)有效的信譽(yù)系統(tǒng)必須是動(dòng)態(tài)的、全面的、精確的,并且建立在企業(yè)實(shí)際郵件流量上,才能防止垃圾郵件制造者有任何可乘之機(jī)。為此,ciphertrust開發(fā)出trustedsource —— 現(xiàn)有最準(zhǔn)確最全面的信譽(yù)系統(tǒng)。借助由ciphertrust業(yè)內(nèi)領(lǐng)先的客戶網(wǎng)絡(luò)得到的研究結(jié)果,trustedsource使企業(yè)在爭奪收件箱的戰(zhàn)斗中走在垃圾郵件制造者的前面。
開發(fā)出trustedsource后,ciphertrust成功為互聯(lián)網(wǎng)上使用中的每一個(gè)ip地址(一共42億個(gè)!)定義了一個(gè)信譽(yù)值,而不僅僅是那些過去曾經(jīng)遭遇過的地址。
trustedsource如何運(yùn)作?
結(jié)合業(yè)界領(lǐng)先的多年研究成果和ironmail 信息工具箱,ciphertrust在ip地址的電子郵件發(fā)送行為上取得了驚人的發(fā)現(xiàn)。trustedsource獨(dú)特地將通常可得數(shù)據(jù)例如流量模式、白/黑名單和網(wǎng)絡(luò)特征與ciphertrust全球1400多家客戶公司的企業(yè)網(wǎng)絡(luò)結(jié)合起來。這一有力的結(jié)合使得trustedsource能夠同時(shí)根據(jù)發(fā)送者歷史和信息特征對(duì)ip地址進(jìn)行評(píng)分,不管它處在好與壞之間哪個(gè)位置上。
trustedsource是首個(gè)也是唯一一個(gè)將流量數(shù)據(jù)、白名單、黑名單和網(wǎng)絡(luò)特征與無可比擬的ciphertrust全球網(wǎng)絡(luò)相結(jié)合的信譽(yù)系統(tǒng)。ciphertrust的全球網(wǎng)絡(luò)囊括了1400多家公司和3000多部部署設(shè)備,造就了業(yè)內(nèi)最完整的信譽(yù)系統(tǒng)和對(duì)互聯(lián)網(wǎng)上42億個(gè)ip地址進(jìn)行評(píng)分的能力。
網(wǎng)絡(luò)效果
關(guān) 鍵 字:反垃圾郵件
相關(guān)文章:
恐嚇電郵 FBI提醒網(wǎng)民不要理會(huì)
英國電信向垃圾郵件源宣戰(zhàn)
反垃圾郵件軟硬兼施
廣東首次公開處罰垃圾郵件發(fā)送者
以色列為最高垃圾郵件目標(biāo)地 比例達(dá)75.9%
要得出科學(xué)的結(jié)論,就必須有一個(gè)相應(yīng)的統(tǒng)計(jì)樣本。對(duì)于驅(qū)動(dòng)trustedsource的研究來說,ciphertrust從數(shù)目龐大的運(yùn)行中ironmail設(shè)備收集數(shù)據(jù):
·受ironmail設(shè)備保護(hù)的1400多家公司
·財(cái)富百強(qiáng)1/3的企業(yè)客戶
·總數(shù)達(dá)3000多的設(shè)備部署
借助業(yè)內(nèi)最大的企業(yè)客戶基礎(chǔ),ciphertrust的研究人員獲得了比其他同類廠商更多、更完整的數(shù)據(jù)。利用如此眾多的部署設(shè)備和龐大的可用數(shù)據(jù),研究人員得以抽取一個(gè)樣本,該樣本精確顯示了流經(jīng)整個(gè)互聯(lián)網(wǎng)的電子郵件流量特征。
持續(xù)的測(cè)試 —— 有罪原則(在證明無罪之前先假設(shè)有罪)
在對(duì)未知的或不熟悉的發(fā)送者進(jìn)行信譽(yù)評(píng)分上,trustedsource采取了有罪原則,即在證明無罪之前先假設(shè)有罪,而不是在對(duì)可疑情況無把握時(shí)不對(duì)發(fā)送者做出不利判定。通過檢查某個(gè)特定ip地址發(fā)送電子郵件活動(dòng)的頻率和所發(fā)信息的質(zhì)量(利用ironmail信息工具箱),trustedsource會(huì)為該地址分配一個(gè)概率值,顯示其作為垃圾郵件制造者或被 接管并利用來發(fā)送垃圾郵件、病毒或其它多余信息的僵尸機(jī)器的可能性有多大。
根據(jù)從運(yùn)行中的ironmail設(shè)備收集來的信息,ciphertrust識(shí)別了約5千萬個(gè)ip地址,它們發(fā)送的電子郵件達(dá)到每天或幾乎每天發(fā)送總量的大約70%。另外30%的郵件量來自之前未遭遇過的ip地址,這些信息中95%以上都是垃圾郵件、病毒或其它不受歡迎的信息。據(jù)此,ciphertrust的研究人員得出結(jié)論,即首次遭遇的ip地址更可能是僵尸機(jī)器。根據(jù)該原則,ciphertrust在一小時(shí)之內(nèi)識(shí)別了1萬8千多臺(tái)新的僵尸機(jī)器。
上表以全球ironmail設(shè)備一個(gè)月中接收到的信息為樣本,顯示了大多數(shù)ip地址發(fā)送電子郵件的頻率。藍(lán)色陰影部分表示每月只有幾天發(fā)送電子郵件的ip地址。ciphertrust研究95%肯定來自這些發(fā)送者的信息最有可能是垃圾郵件或其它多余信息。請(qǐng)注意月末31號(hào)綠色陰影部分的小幅上升。該部分代表那些每日發(fā)送電子郵件的發(fā)送者,ciphertrust肯定他們最有可能是合法的。
持續(xù)反饋
ironmail設(shè)備收到的多余信息越多,就越能夠偵測(cè)并阻止它們。trustedsource為ciphertrust提供發(fā)送者狀態(tài)的持續(xù)更新;這些更新會(huì)通過ciphertrust威脅響應(yīng)更新(tru)發(fā)送到其它運(yùn)行中的ironmail設(shè)備,從而創(chuàng)造反饋循環(huán),使所有關(guān)聯(lián)方(除了垃圾郵件制造者)都受益,并幫助ironmail在區(qū)分電子郵件好壞時(shí)取得最高水平的精確度。
結(jié)束語
傳統(tǒng)的電子郵件安全措施要么單純依靠內(nèi)容和/或特征基礎(chǔ)上的信息識(shí)別,要么單純依靠黑名單和白名單,二者都無法生成足夠的發(fā)送者資料。為了精確識(shí)別信息是需要的還是多余的,企業(yè)必須采取一種結(jié)合了信息檢查和全面信譽(yù)系統(tǒng)(如trustedsource)的方法,才能根據(jù)發(fā)送者歷史來識(shí)別哪些是危險(xiǎn)ip地址。
由于結(jié)合了ironmail信息工具箱和ciphertrust trustedsource信譽(yù)系統(tǒng),ironmail用戶與其它電子郵件安全解決方案用戶相比具有顯著的優(yōu)勢(shì);更為重要的是,ironmail用戶的優(yōu)勢(shì)是垃圾郵件制造者、病毒作者、網(wǎng)絡(luò)欺詐者和其他惡意發(fā)送者無法相提并論的。
關(guān) 鍵 字:反垃圾郵件
相關(guān)文章:
恐嚇電郵 FBI提醒網(wǎng)民不要理會(huì)
英國電信向垃圾郵件源宣戰(zhàn)
反垃圾郵件軟硬兼施
廣東首次公開處罰垃圾郵件發(fā)送者
以色列為最高垃圾郵件目標(biāo)地 比例達(dá)75.9%