近几年,垃圾邮件、病毒、钓鱼攻击和间谍软件等恶意攻击的爆炸式增长趋势(以及攻击者在侵犯用户隐私并盗取个人敏感信息这方面能力的不断增强)已经对因特网的稳定性构成了极大的威胁。从整体上看这种增长趋势是显而易见的:垃圾邮件从2002年以来就一直保持着每年200%的增长率,而间谍软件站点的数量在2005年则翻了四番。不过相比纯粹数量上的增长,恶意软件在攻击性和破坏性上的不断增强则更令人担忧。几年以前,一个典型的病毒感染所造成的后果通常不过是电脑性能上的暂时停滞或者系统崩溃,而时至今日,间谍软件和病毒则会暗中控制受感染的系统,盗取系统上的个人隐私信息和金融数据,并以这些受感染的系统为跳板继续发动进一步的攻击。
这些年来由于恶意软件开发者不断地改进策略和技巧,因此恶意软件始终能够保持蓬勃的发展趋势。2005年12月份,美国联邦贸易委员会发布的一份报告显示,垃圾邮件制造者已经抛弃了暴力攻击的策略,转而开发更老练、更具有针对性的攻击手段,而传统的内容过滤器对于此类攻击的防御能力是非常有限的。对于那些会封禁所有邮件附件的附件过滤系统,病毒作者的应对措施是将那些指向有害软件的URL链接嵌入到不带附件的良性电子邮件中,不知情的用户在点击了此类URL后病毒就会被下载到用户系统上。另外,钓鱼站点的进化速度也十分惊人,现在用户已经很难分辨出钓鱼站点和它们所模仿的真正的在线银行站点或电子商务站点。
一方面,恶意软件正在变得越来越狡猾老练,而同时另一方面,攻击者已经开始将多种形式的恶意软件相结合,制造出了具有更高的整体攻击效果的“混合式攻击”。最近所爆发的Sober-Z蠕虫就同时使用了垃圾邮件、病毒和间谍软件等多种方式进行传播。Sober-Z最初是通过携带该病毒的垃圾邮件启动攻击,一旦用户的机器受到感染,间谍软件就将控制用户的系统并将其变成“木马网络”(bot network)中的一台僵尸电脑。这些僵尸电脑会发送大量垃圾邮件,收集用户的信用卡和在线银行帐号信息,并发动拒绝服务攻击。当然,Sober-Z并不是唯一的一款混合式攻击:所有病毒中有75%都包含了垃圾邮件传播引擎,而2005年的10大病毒中也有60%具有某种类型的间谍软件功能。
传统的单点防病毒、防间谍软件和防垃圾邮件解决方案会对这些不断变化的混合式攻击的各种症状做出响应,但是,它们并没有深入而又全面地分析整个混合式攻击的各个组成部分,因此就不得不要等到攻击出现之后才会被动地进行响应。所有我们需要一个全新的解决方案,这个解决方案应该要能够以一种全面而又创新的方式对安全威胁进行分析,这样不管攻击以何种方式传播,它都能够有效地进行抑制和防御。
IronPort Web名誉系统 - 极具创新的方法
现在的恶意邮件有一个越来越常见的特征,即通常它们都内嵌了某些指向外部有害站点或有害软件的URL,而用户一旦访问了这些URL就会遭到攻击。垃圾邮件、基于URL的病毒、钓鱼攻击和各种间谍软件全都试图把用户引向这种有害的URL。如果我们能够准确地分析这些URL并为其赋予一个名誉分值的话,我们就有机会更快更准确地阻止攻击的发生,不论这些URL是以何种方式进行传播,其危害都能得以避免。
IronPort系统公司充分意识到了在检测恶意软件和邮件时对其内嵌的URL进行分析的重要性,并为我们带来了IronPort Web名誉系统,该系统通过一个极具创新的方法来帮助防御各种基于URL的安全威胁。这个解决方案向我们提出了一个简单却有力的问题--“何谓一个URL的名誉?” 在评估一个URL的可信赖度时,通过分析一些极难伪造的数据,比如一个域名注册了有多长时间、Web站点主机位于哪个国家、站点域名是否为全球财富500强企业所有、Web服务器是否使用的是动态IP地址等等,综合这些信息从中我们可以得出大量有用的信息。通过在超大量的全球网络数据中分析检查一个站点的多种(接近50个)网络参数,IronPort的Web名誉技术可以为任何一个给定URL的可信任度描绘出一个极为准确的视图。
Web名誉系统的输入
IronPort Web名誉系统所使用的数据来源于IronPort的通用安全数据库(即SenderBase网络)。SenderBase网络是世界上最大的邮件和Web数据流监视网络,它跟踪着每个站点的超过50多种不同的网络参数,而其中每个参数都能够很好地反映出一个URL的名誉状况。IronPort Web名誉系统在SenderBase所提供的数据的基础上使用先进的安全建模和恶意软件检测代理来对URL进行评估。下面是SenderBase所跟踪的一些网络参数:
•URL所属类别的数据
•站点上是否有可下载运行的代码
•站点上是否有冗长的难以理解的终极用户许可协议(EULA)
•整体网络流量以及网络流量的变化情况
•网络所有者的信息
•URL的历史行为
•URL存在的时间长度
•是否被列入病毒/垃圾邮件/间谍软件/钓鱼站点/域嫁接攻击黑名单
•是否被列入病毒/垃圾邮件/间谍软件/钓鱼站点/域嫁接攻击白名单
•是否故意错误拼写URL以使自己看起来像其他流行站点
•站点的域名注册情况
•IP address information
Web名誉系统的计算方式
Web名誉系统的计算方式如下:
1. 系统会不断地反复检查SenderBase所跟踪的每个网络参数,并确定和某个特定参数相关的URL指向恶意站点或软件的可能性。并且每个参数都会被赋予一个权重。
2. 每个URL都要使用所有这些参数进行安全性评估,从总体上分析并确定其指向恶意站点或软件的可能性。
3. 这个体现URL是否指向恶意站点或软件的总的可能性最终将被映射到一个最小为-10,最大为+10的Web名誉分值区间中。如果一个URL具有最低的名誉分值,那么基本上可以确定它所指向的是一个恶意站点或软件,而最高的分值则正好相反。
IronPort Web名誉跟踪技术不同于传统的URL黑名单或白名单,因为它在分析了大量数据后能够给出一个介于-10到+10之间的非常细粒度的分值,而不象其他绝大多数恶意软件检测应用那样只能做“好”与“坏”这两种分类。这个细粒度的评分机制为管理员的安全策略管理提供了极大的灵活性:企业可以根据不同的Web名誉分值区间制定不同的安全策略。
数据的数量、质量与广度
为了准确评估任何一个给定的URL的名誉并实现最高的系统功效,其所依赖的底层数据在数量、质量和广度方面必须要足够出色。而这正是SenderBase之所以能够在业界处于领先地位的原因。
打开SenderBase的全球监视列表我们可以看到,SenderBase所跟踪的域名超过了3百万个,并且能够提供全球25%的电子邮件数据流的非常好的细节信息。与其他仅限于某个特定厂商的客户所使用的网络不同,SenderBase是唯一一个真正开放的安全威胁数据库。全世界有超过10万家企业机构为SenderBase提供数据,其中包括世界上10个最大型的ISP中的8个及许多财富500强企业和全球2000强企业,世界上每个主要的地域和用户群都是SenderBase的数据源。为了保证这些数据的全面性与及时性,IronPort还使用了先进的Web爬虫程序来搜索因特网上新创建和新修改的URL所指向的站点。IronPort同样还接收一些经过严格审核和认证的数据源所提供的URL数据,这些数据源会按照自己的方式去识别那些含有病毒、垃圾邮件、间谍软件、钓鱼攻击和域嫁接攻击的URL。
由于为SenderBase贡献数据的网络数量非常庞大,彼此之间存在很大的差异,这样就引出了第二个必须要认真考虑的重要的数据库属性,即数据的质量。从三年多以前创建邮件发送人名誉系统到现在,IronPort从实践中积累了大量宝贵的管理数据质量和完备性的操作经验,在此基础上IronPort已经开发出了一个数据质量引擎,该引擎通过使用先进的网络异常检测技术持续不断地对一个给定数据源的可信任度进行评估。
电子邮件和Web数据流监视系统的最后一个重要的属性是数据的广度。如果一个系统只看到了非常片面的数据,那么出现误报或漏网的几率就会很高。比如数据流量就是一个非常有意思的参数。数据流量在短时间内突然猛增的情况常常和新病毒的爆发有关,但也不排除有某些正常合法的事件也会导致数据流量的突增,比如一旦BBC在站点上发布了一条具有轰动效应的新闻时就很可能会出现这种情况。因此如果只以数据流量的突增为唯一参考因素的话,许多合法的URL就会被错误地封锁掉。但是如果在检查数据流量的同时还参考了其他重要的参数,比如站点提供内容服务的历史很悠久,或者站点出现在了很多白名单上,或者站点落在财富500强企业的IP范围内等等,那么我们就可以得出准确地多的结论。在目前业界中,IronPort Web名誉系统所检查的数据是最多最广的(超过50种不同的参数),这就有效避免了Web名誉分值系统因为某个参数参考了不准确的数据而减弱整体分值评定的准确性的情况。图表二给出了一个例子。
Web名誉系统在实践中的应用
IronPort Web名誉系统极大地增强了企业安全系统在处理每个基于URL的恶意软件时的功效和截获率。这项强大的技术目前已经应用在了IronPort的C系列邮件安全设备上。IronPort安全网关设备使用Web名誉技术能够及时阻止任何一个试图通过邮件和Web进入企业网络的恶性URL。
垃圾邮件和基于URL的病毒: 传统垃圾邮件解决方案在评估一封邮件是否为垃圾邮件时会回答一些类似于“是什么”的基本问题,例如“这封邮件的内容的性质是什么?”。这种方式有天生的缺陷,困难在于垃圾邮件制造者已经找到了各种技巧来欺骗此类邮件过滤器,比如在邮件体中加入一块合法文本(称作贝叶斯克星)或者用数字替代字母(如L0ve),结果造成第一代防垃圾邮件过滤器的功效急剧下降,因为几乎每封垃圾邮件都内嵌了一个指向广告站点或恶意站点的URL链接,并使用各种社会工程学技巧诱骗读者去点击。而Web名誉技术则添加了另一维垃圾邮件分析方式,它会问一些“哪里”的问题,比如“这个URL会把我带到哪里?”
通过准确地鉴定邮件中URL的名誉,我们就可以对邮件是否为垃圾邮件的可能性进行更准确的分析。类似的,如果一份邮件包含有指向有病毒的站点的链接,Web名誉系统就会阻止这些邮件到达客户手中。传统的防病毒和附件过滤解决方案则缺少这些功能。
间谍软件: 传统的防间谍软件解决方案使用的都是相对静态的黑名单和间谍软件特征码文件。间谍软件必须首先要进行解析后才能编写出相应的特征码,而这个过程常常需要数天的时间。IronPort Web名誉系统始终持续不断地反复评估给定的URL是否指向间谍软件,并能立即相应调整这些URL的分值,从而极大地缩短了响应时间差。另外,与其他传统的只能处理间谍软件的防间谍软件引擎不同,Web名誉系统还能保护用户远离各种钓鱼攻击站点和域嫁接攻击站点,当然也包括那些受到病毒感染的站点。
为了最大化系统吞吐能力并最小化延迟,IronPort Web名誉系统也可以被用于决定应该采取哪种类型的扫描。一个很高的正名誉分值可能意味着可以不需要经过防间谍软件引擎的扫描。一个较低的正名誉分值可能意味着只需要经过一个防间谍软件引擎的扫描。一个较低的负名誉分值可能意味着需要经过多个防间谍软件引擎的扫描。而一个很糟糕的名誉分值则可能意味着根本无需任何扫描动作,直接进行封禁即可。IronPort所推荐的缺省设置就已经是一个具有足够智能的扫描策略,但系统管理员也完全可以根据自己或宽松或严格的防间谍软件策略对扫描引擎的各种阀值进行细调。
钓鱼攻击/域嫁接攻击: 钓鱼站点的创建者也许可以完美地伪造一个站点,使其看起来与其他合法银行或电子商务站点一模一样,但是他们却无法伪造该站点的URL实际所处的位置。IronPort Web名誉系统拥有绝大多数URL的最新详细名誉分值,因此可以有效保护用户远离各种钓鱼攻击的侵害。
混合式攻击: 最近出现的Windows元文件(WMF)漏洞突显了目前混合式攻击的广泛流行,以及IronPort Web名誉技术在有效封禁此类安全威胁的所有表现形式时的强大能力。2005年12月底,安全机构公布了一个WMF的漏洞,攻击者利用该漏洞可以在用户的系统上执行任意有害代码。用户一旦浏览了内嵌有恶意WMF文件(通常是一个图片)的站点就有可能受到感染,而整个感染的过程中并不需要用户自己去下载运行这些有害代码。最早的时候是一些间谍软件的制造着发现了这一漏洞,于是他们特意将一些很流行的合法站点的URL进行错误拼写,之后把受到WMF漏洞感染的文件放在这些URL所指向的站点上并诱骗用户进行访问。用户系统在无意间打开这些带有利用该漏洞的间谍软件的站点后将受到感染,随后开始向外发送大量内嵌有指向这些恶意站点的链接的垃圾邮件。这个过程不断地快速重复,以至于最后问题严重到微软不得不破例在一个预先定好的月度补丁升级日之前几天单独发布一个补丁来修复该WMF漏洞。
传统的防间谍邮件解决方案根本无法及时识别此类新型间谍软件并及时提供特征码,同样,对于受感染主机发出的这类内嵌了指向利用WMF进行攻击的恶意站点的URL的邮件,传统防垃圾邮件和防病毒解决方案也无能为力。然而,IronPort的Web名誉技术却能够立即探测到这类新型URL的出现,并综合分析多方因素,例如使用了故意错误拼写的域名、急速增长的访问量以及带有可下载的代码等等,最终评出了一个合适的Web名誉分值。而且只有IronPort Web名誉技术才有能力在用户试图访问这类有害站点时及时进行阻止。最后,Web名誉技术的细粒度分值系统也让管理员可以配置各种不同的安全策略以满足企业的特定安全需求。
总结
垃圾邮件、病毒、钓鱼攻击和间谍软件等安全威胁的数量和狡猾程度一直在不断地提高。第一代的防病毒、防垃圾邮件和防间谍软件解决方案主要依靠的是对原始内容的分析,因此碰到那些能够将内容进行改头换面的高级安全威胁,第一代解决方案常常束手无策。IronPort Web名誉系统采用了一个更深入问题本质的方法,即对Web服务器的行为和特征进行全面的分析。IronPort Web名誉系统通过实时分析大量丰富而又深入的全球数据集来检测与安全威胁相关的URL的名誉,并根据分析结果为每个URL赋予一个从-10到+10之间的细粒度的名誉分值。Web名誉系统是IronPort的安全数据库的一个关键组成部分,它的存在使得IronPort安全网关产品可以有效封禁以电子邮件、Web数据流或其他任何形式出现的恶意软件和混合式安全威胁。
