防御图形lj
前面说过,以图形lj为代表的第三代lj邮件已经在国外出现泛滥之势。有意思的是,人眼极易识别图片lj邮件。事实上,这正是图片lj邮件吸引lj邮件发送者的属性之一,因为他们在发送图片lj邮件时,不必为了避免被过滤掉而像处理传统的文本lj邮件那样花费很大的力气去模糊邮件内容。
但是,如果这种lj邮件对于最终用户如此明显,那么为什么lj邮件过滤器无法识别呢?答案在于,人可以利用非常丰富的数据集而不仅仅是显示的文本来解译消息内容。图片颜色、形状、字体的大小和类型、图形等属性以及其他许多特性也是形成用户认知消息的因素。这些信息对于传统的内容过滤器是完全隐藏的。
据王景辉介绍,图形lj邮件是目前最能有效规避过滤机制的发送机制,所有文字皆以图形做成,若是使用关键字来作lj邮件识别的工具就无法发挥作用。但厂商也能使用光学识别技术,识别图片中的文字,如增加了一些OCR的插件。另外一种拦截的思路是使用栏杆技术,在SMTP会话阶段就返回4XX错误,拒绝可疑的图形lj,第二次投递再放其进入,但这样也很容易被2次重发而绕过。
不过从结果上分析,无论采用哪种技术,目前对图形的防御效果都不是很好。对此,李松解释说,按照传统的lj邮件防御理论,一个图片在系统中可以生成二进制代码。而普通预防lj邮件的网关,都是看二进制的代码是否相同来判断。但是,如果在图片中打一些光点、做一些横格、进行一些切分,二进制的代码就变了。目前,国外的黑客利用全球的僵尸网络复制图片,然后利用无顺序的规则切片或者加入干扰点,造成每一张图片的二进制代码都不相同,防御难度极高。
据介绍,目前对于图形lj邮件比较有效的防御手段,就是多维模式识别技术(MPR)。传统的反lj邮件内容过滤器依赖的数据,容易被发送人控制。而多维模式识别技术则是跨13个以上的纬度进行分析,分割图片更细致,引擎会从不同角度去解析,包括图片本身以及图片中干扰点的规则。
记者了解到,多维模式识别技术属于目前安全界所提倡的模糊控制技术的一种。这种技术的核心,是把变化当成规律的一部分,而IP地址、包头包尾信息、Web页面链接、图片本身像素、图片分割画面、干扰底层颜色变化,都是纬度之一。
以颜色维度为例,颜色维度提供了丰富的有关消息内容的信息。系统对每条消息的颜色分布进行分析,以确定消息是lj邮件的可能性。例如,系统可以对.gif文件进行扫描,确定其像素模式。像素模式能够表明图片文件向用户显示的是“全文本”,这种模式常见于lj邮件中却罕见于合法邮件中(大多数合法的.gif文件包含的是图片而不是文本)。系统还可以发现图片中与合法邮件常见的“更加平滑”的光线渐变现象不吻合的异常“圆点”,而这些原点可能是lj邮件发送者试图欺骗特征的表现。
为了使这层检查成为可能同时又不损害性能,系统应用了“及早退出”的理念。这意味着更彻底的多维检查过程,只应用于那些已经通过常规的上下文自适应扫描并且带有图片的消息。要知道,多维检查过程也运用了同样的理念,如果对部分图片文件进行分析后就有足够的数据确定这是一封lj邮件,就不再对整个图片文件进行分析。最后的结果是,多维检查过程不仅准确,而且比传统的OCR技术快若干倍。这种技术之所以有效的关键在于反lj邮件的实时性。每五分钟对系统进行一次更新,确保即时、准确地保护系统不受基于图片的lj邮件的威胁。
转载于:https://my.oschina.net/u/1416142/blog/192036
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
