2013年 Feb月 23日
你从未听说过的功能 – 第四部分
2012年2月23日
尤金·卡巴斯基
大家好,
这次的主题又是垃圾邮件。
按照“星级”和时间划分,任何地方的垃圾邮件比例占据所有邮件流量的70-90%。
看起来好像很多,不是吗?但是,当你把所有的网络流量考虑进去,实际上就没有那么多 – 电子邮件流量大约只占总流量的1%。另一方面,你不能不去管这些垃圾邮件。点此了解更多有关垃圾邮件在网络犯罪生态系统中的作用。打击这个特殊的罪恶势力,是我们对网络犯罪分子正在发动的大规模战争的一部分。毫不夸张地说,如果我们在这方面的努力失败了,其余所有的努力都将落空。
换句话说,我们热爱反垃圾邮件技术,并尽可能地改善这些技术。但是,反垃圾邮件技术与反恶意软件技术之间有一个微妙的差异。更确切地说,这两种技术之间有不同的评价其保护质量的标准。恶意软件的评价标准很简单:检测水平越高越好。而对于垃圾邮件,更重要的是没有误报。理由很简单:用户宁愿耗费几秒钟去删除被过滤器漏掉的垃圾邮件,也不愿错过重要的商业信函。所以,垃圾邮件防护,在某种程度上来说,是一项更为复杂的任务,确切的说是试图一举两得。在处理这项艰巨的任务时,云技术提供了很大的帮助。
正如我之前所说,我们使用云技术已经有一段时间的,并且相当的成功。但令人惊讶的是一个有趣的细节却被忽略了,这很不公平。在基于云的卡巴斯基安全网络(KSN)中,(视频,细节)有一个令人印象相当深刻的反垃圾邮件云。它始于紧急检测系统(UDS)。反垃圾邮件云与类似反恶意软件技术之间的联系并非巧合:两者都基于类似的原则。
下面是传统的反垃圾邮件技术的工作原理。
比如说,一封电子邮件发送至一台电脑。它会立即遇上各种本地的和基于云的反垃圾邮件技术,这些技术会对邮件进行测试然后进行判断。系统将根据这些测试结果决定这封邮件的去留。
下面是紧急检测系统的工作原理。
系统从电子邮件中获取微签名,并把它发送到云,通过一个专门的垃圾邮件数据库来进行检查。早期我们使用的是16字节的哈希值,2011年我们开始使用UDS2(第2代UDS)程序,其中涉及到4个字节的模糊哈希值,这一程序能更有效地对抗混淆文本,因此能更好地过滤掉垃圾邮件。重要的是,这些哈希值不会带来额外的分析工作,因为系统会根据收集到的垃圾邮件样本自动创建这些值。
反垃圾邮件的两个主要问题是:(一)更新发展的速度(分析人员只是普通人,而且他们的资源有限);及(ii)这些更新传递给用户的速度。为此,在这个领域的发展正致力于制作和优化各种专门技术,如莫比乌斯(Möbius),尽可能地取代人类专家。这就是UDS2所蕴藏的巨大潜力。
你瞧,UDS2有一个功能叫做集群。第一代UDS只能简单回答用户查询的某个签名是否存在数据库中。然而,UDS2能够组合类似的签名成一个集群并计算他们的垃圾邮件信誉进而阻止其发送!这反过来又有助于在云中自动处理垃圾邮件。
集群和垃圾邮件的自动处理都是通过内容信誉技术进行的。在2012年,我们计划发布基于内容信誉技术的一些新特点。第一个特点是重新扫描,用户可以选择延迟(20-30分钟)以检查可疑的电子邮件。在现实生活中,这类邮件占整个邮件流量的比例不超过1%,所以即使在一个大的组织内,隔离的邮件不会超过100 MB。这段时间就足够我们弄清楚哪些是垃圾邮件哪些不是了,进而添加更多签名。
第二个特点是自动禁止或自动阻止归类为高信誉垃圾邮件集群的电子邮件。当然,分析人员还会手动检查这些邮件,如果有必要可以立即撤销阻止。在这种方法中,系统会提示人员进行分析,而不是人类请求系统进行分析,这样使得分析更加快速有效。
这两种功能目前正在通过内部测试,并显示出非常鼓舞人心的结果。例如,重新扫描将未识别垃圾邮件的数量减少了十倍(是的,十倍!),并将一般检测率从99.50%提高至99.95%(是的,没错!)。这是整个行业出现过的最好的结果,同时报错率仍然保持为零。
我们也有一些其他雄心勃勃的计划。首先,我们打算开发一个多维的“集群者”以组合和计算一些除模糊哈希值之外的其他属性的信誉。KSN中有大量的类似属性。
我在想今年是否能够将测试结果变为精英100/0俱乐部(100%检测/0误报)。祝我们好运吧!
