思科电邮安全：了解情景自适应扫描引擎(CASE)

简介

混合威胁的数量急剧增加。过去两年中，许多最严重的病毒爆发都与垃圾邮件发送有关，也就是说病毒负载会创建一群“僵尸”计算机，用于发送垃圾邮件、网络钓鱼、间谍软件以及更多病毒。电子邮件传播的间谍软件每六个月就会翻一番，垃圾邮件URL安装窃取用户名和密码的“键盘记录器”的情况也并不少见。病毒甚至可以用来创建僵尸网络，发动大规模的分布式拒绝服务攻击，比如Mydoom.B变种通过协同攻击使SCO网站下线。

是什么在推动混合威胁的突然增加？简言之，这是钱。随着第一代反垃圾邮件技术（如黑名单和内容过滤器）的部署越来越广泛，传统方法（如从固定服务器银行发送垃圾邮件，在邮件文本中包含“优惠”）的利润越来越低。随着使用反垃圾邮件技术的网络日益增多，“简单”的垃圾邮件也会越来越少，导致它通过垃圾邮件过滤器进入收件人的收件箱。这损害了垃圾邮件发送者的利润率，迫使他们适应这些变化。 

垃圾邮件发送者通过两种不同的方式处理这种情况： 

1. 他们发送更多垃圾邮件，希望他们丢掉的传送率会大幅增加。
2. 他们转向混合攻击来掩饰其报文，并提高每条报文的利润。

第二种方法往往成为犯罪活动。有组织犯罪网络已经建立，用于执行攻击，并从病毒、网络钓鱼和其他威胁中获利。2004年，一个名叫约翰·多佛的个人因交易超过两百万个信用卡号而被捕，这些信用卡号是通过网络钓鱼攻击被盗的。

混合攻击中使用的技术也变得越来越复杂。Sober.N病毒使用电子邮件、网络下载、特洛伊木马和僵尸程序。传统内容分析过滤器无法应对这些智能威胁。许多第一代反垃圾邮件过滤器的用户发现，他们需要花费更多的时间“培训”他们的过滤器或编写新规则。然而，尽管作出了这些努力，它们的捕获率和吞吐量都在下降。其结果是，随着需要更多系统来跟上负载，成本会增加，而管理每个系统需要更多的管理时间。 

思科电邮安全已经通过称为情景自适应扫描引擎(CASE)的独特混合威胁防御技术解决了这些威胁。 思科电邮安全的CASE技术可用于阻止传统的垃圾邮件和基于僵尸网络的复杂攻击。这种扫描技术也可用于在签名可用性前42小时阻止病毒和恶意软件 — 通过一次统一扫描提高效率。

了解CASE，在环境中检测混合威胁

第一代过滤器设计用于查看消息的内容并做出决定。例如，如果“免费”一词与“草药”一词一起出现在邮件中超过两次，则可能是垃圾邮件。垃圾邮件发送者使用隐藏的字符或数字代替字母（例如“f0r y0u”代替“for you”）相对容易挫败。 第二代技术（如贝叶斯过滤器）试图通过学习自动区分垃圾邮件和合法邮件的特征来弥补这一限制。但事实证明，这些技术很难训练，反应太迟，扫描速度太慢。 

鉴于目前垃圾邮件使用的高级混淆技术，先进的过滤器需要全情景检查传入邮件。CASE使用先进的机器学习技术，该技术模仿人类用来评估消息合法性的逻辑。人类阅读者以及思科电邮安全的CASE技术提出了四个基本问题：

1. 谁给我发的信息？
2. 邮件中的链接将带给我什么位置？
3. 消息是如何构建的？
4. 该消息包含什么内容？

接下来是检查所评估的每个逻辑区域。 

谁？ 

如前所述，第一代垃圾邮件过滤器主要依靠关键字搜索来识别垃圾邮件。2003年，思科(IronPort)引入了信誉过滤的概念，彻底改变了电邮安全行业。当内容过滤问到“消息中有什么？”时，信誉过滤问到“谁发送了消息？”的问题。这个简单但强大的概念拓宽了评估威胁的环境。到2005年，几乎每一家主要的商业安全供应商都采用了某种类型的信誉系统。 

确定信誉包括检查有关给定发件人（发件人定义为发送邮件的IP地址）行为的广泛数据集。 思科会考虑超过120个不同的参数，包括随时间变化的邮件量、此IP攻击的“垃圾邮件陷阱”数量、来源国家/地区、主机是否遭到入侵等。思科拥有一组统计人员，他们负责开发和维护算法，这些算法会处理这些数据以生成信誉得分。然后，接收思科邮件安全设备(ESA)可使用此信誉得分，然后根据发件人的可信度对其进行限制。简而言之，发送者出现的“垃圾邮件”越多，发送速度越慢。信誉过滤还通过在接受邮件之前拒绝或限制连接，解决了与邮件量激增相关的问题，从而显着提高了邮件系统的性能和可用性。思科ESA信誉过滤器拦截超过80%的传入垃圾邮件，捕获率大约是竞争对手系统的两倍。

哪里？ 

2003年，将电子邮件内容分析和声誉结合在一起成为一流，但垃圾邮件发送者和病毒编写者策略复杂性却在不断增加。作为回应，思科(IronPort)引入了Web声誉的概念，这是一个重要的新媒介，可拓宽消息评估环境。与计算电子邮件信誉的方法类似，思科网络信誉会查看超过45个与服务器相关的参数，以评估任何给定URL的信誉。参数包括随时间变化的HTTP对URL的请求量、URL是否托管在信誉得分很差的IP地址上、此URL是否与已知的“僵尸”或受感染的PC主机关联，以及URL使用的域的年龄。与邮件信誉一样，此Web信誉是使用粒度得分来衡量的，这使得系统能够处理复杂威胁的不确定性。

怎么会？ 

思科电邮安全情景分析的另一种新方法是检查邮件的结构。合法邮件客户端（例如Microsoft Outlook）以独特的方式构建邮件 — 使用MIME编码、HTML或其他类似方式。对信息构建的审查可以揭示出其大部分合法性。一个最能说明问题的例子是垃圾邮件服务器尝试模拟合法邮件客户端的结构。这很难做到，不完美的仿真是非法消息的可靠指标。 

什么？ 

全面的情景分析需要考虑邮件的内容，但如前所述，仅内容分析不足以识别非法邮件。思科电邮安全的CASE技术使用最先进的机器学习技术执行全面的内容分析。这些技术会检查邮件的内容，并将其分为不同的类别 — 是财务的、色情的，还是包含已知与其他垃圾邮件相关的内容？此内容分析与其他属性（Who、Where、How和What）一起计入CASE，以评估邮件的完整上下文。

实际案例

由于CASE分析数据的广度，该技术可用于各种安全应用，包括IronPort反垃圾邮件(IPAS)、灰色邮件和病毒爆发过滤器(VOF)。 以下示例重点介绍如何使用CASE阻止垃圾邮件。该邮件的内容与被窃取的组织几乎相同，因此该邮件的内容分析不会识别任何威胁。对于基于内容的过滤器，此消息似乎是合法的通信。要确定此邮件是否为垃圾邮件，主要依赖于“什么”的过滤器很容易被骗来识别邮件是否合法。但是，对消息整个上下文的分析描绘了不同的图景。

• 发送邮件服务器的IP地址可疑 — 其数量突然激增，反过来，该域不接受邮件。 
• 邮件的URL指向似乎位于消费者宽带网络中的服务器。 
• 消息中通告的URL与点击链接时用户导航到的“实际”URL不同。

在情景中考虑上述所有三个因素后，您会清楚地看到，这并不是合法邮件，而是垃圾邮件攻击。

传统的“内容过滤器” 内容过滤器找到的内容	情景自适应扫描 CASE找到的内容
什么？邮件内容合法。	什么？邮件内容合法。
	怎么会？邮件构造模拟Microsoft Outlook客户端。
	谁？ 1)电子邮件发送量突然激增。 2)反过来，邮件服务器不接受邮件。  3)位于乌克兰的邮件服务器。
	哪里？ 1)一天前注册的显示和目标URL网站域不匹配。 2)用户宽带网络托管的网站。  3)“Whois”数据将域所有者显示为已知垃圾邮件发送者。
判定：未知	判定:阻止

在病毒爆发过滤器中使用CASE时，会应用相同的评分和机器学习功能 — 尽管会对单独调整的数据集进行评分。病毒爆发过滤器是思科提供的由CASE技术提供支持的预防性防病毒解决方案。Outbreak Filters解决方案根据“实时”爆发规则（由Cisco Talos特定爆发发布）和“永不间断”自适应规则（始终驻留在CASE上）扫描邮件，在用户有机会完全形成病毒爆发之前保护用户。CASE允许病毒爆发过滤器以多种方式准确检测并防御病毒爆发。首先，CASE可以根据附件文件扩展名、文件大小、文件名、文件名关键字、文件幻数（文件的实际扩展名）和嵌入式URL等参数快速扫描邮件。由于CASE技术会将消息分析到这一详细程度，因此Cisco Talos可以发布极其精细的爆发规则，从而以最小的误报率准确地防御爆发。CASE可以动态接收更新的爆发规则，确保它针对最新爆发提供保护。 

除了基于爆发规则的邮件分析外，CASE技术还基于自适应规则扫描邮件。自适应规则是经过精细调整的启发式方法和算法，可检查传入的邮件是否存在表示病毒的伪装和欺骗特征。除了这些参数外，自适应规则还根据邮件的SenderBase病毒评分(SBVS)对邮件进行评分。SBVS是一个类似于SenderBase信誉得分(SBRS)的得分，其评级基于发送方发送病毒性电子邮件而非垃圾邮件的可能性。大部分病毒邮件由以前受感染的“僵尸”计算机发送，因此识别和评分这些发送方是捕获病毒的关键因素。

思科电邮安全的CASE技术使病毒爆发过滤器能够在传统防病毒解决方案之前阻止病毒爆发，因为CASE以多种方式检查邮件。它能够分析邮件附件、邮件内容和邮件结构的诸多特征，并能够根据邮件发件人的信誉分析邮件。而且，由于CASE还充当IronPort反垃圾邮件和信誉过滤器引擎，因此只需针对所有这些应用扫描一次邮件。

高性能、低成本

CASE技术背后的逻辑可能非常复杂，因此处理过程会占用大量的CPU。为了最大限度地提高效率，CASE采用了独特的“早期退出”技术。Early exit会优先处理CASE处理的大量规则的效力。CASE技术首先运行影响最大、成本最低的规则。如果达到统计判定（正或负），则不会运行其他规则，从而节省系统资源。此方法的优雅是对每条规则的效果有很好的了解。CASE会自动监控规则的执行顺序，并根据有效性变化进行调整。

提早退出的结果是，CASE技术处理邮件的速度比传统的基于规则的过滤器快约100%。这对于大型ISP和企业而言具有明显的优势。但它也给中小企业带来了好处。CASE的效率，加上思科电邮安全AsyncOS操作系统的有效性，意味着可以在非常低成本的硬件上实施采用AsyncOS和CASE技术的ESA，从而降低资本成本。 

CASE技术转变为低成本的另一种方式是消除管理开销。CASE每天自动调整和更新上千次。Cisco Talos提供经过培训的工程师、多语言技术人员和统计人员。Cisco Talos分析师使用特殊工具来突出显示在任何思科电邮安全客户的网络或全球电邮流量模式中检测到的邮件流异常。Cisco Talos会生成自动实时推送到系统的新规则。Cisco Talos还维护着一个大量“垃圾邮件和火腿”语料库，用于训练CASE使用的各种规则。自动更新的CASE规则意味着管理员不必调整和调整过滤器，也不用花时间浏览垃圾邮件隔离区。

摘要

垃圾邮件、病毒、恶意软件、间谍软件、拒绝服务攻击和目录搜集攻击都受到相同的基本动机 — 利润。这些利润是通过销售或宣传商品或窃取信息获得的。从这些销售中获得的利润正在推动由专业工程师开发的日益复杂的攻击。高级电邮安全系统需要在最广泛的环境中分析邮件以对抗这些威胁。思科电邮安全的情景自适应扫描引擎技术问了四个基本问题：谁、地点、内容和方式 — 从混合威胁中清除合法邮件。 

• “谁”是发送邮件的发件人的电子邮件信誉。 
• “Where”是托管网站的源的声誉 — 分析链接会将您带到何处。 
• “什么”是对消息内容的分析 — 消息包含的内容（第一代系统通常仅依赖于“什么”类型的分析）。 
• 最后，“如何”是对消息构建方式的分析。

此基本分析框架在阻止垃圾邮件方面与防止病毒爆发、网络钓鱼攻击、邮件传播的间谍软件或其他邮件威胁方面同样有效。针对每个威胁专门调整数据集和分析规则集。CASE技术允许思科ESA通过在单个高性能引擎上处理这些威胁，以最高效率阻止最广泛的威胁。