NOPAM + Enterprise

盛博科技股份有限公司Sheng-Bo Technology Corp.

盛博科技股份有限公司 (Sheng-Bo Technology Corp.)

公司網址 : HTTP://WWW.SBTC.COM.TW

公司簡介 :

定位於提供客戶專業、優質的資訊內容安全服務

協助客戶提升資訊內容安全。

我們的團隊從事內容安全相關領域已有十年經驗，且特別專精於電子郵件內容安全、員工上網內容安全。

目前所服務的客戶其產業領域涵括: 晶圓製造、IC 設計、金融服務、高科技產業、其他服務和製造。

客戶多數為上市或上櫃之大型公司。

Clearswift

MIMEsweeper for SMTP

SECURE Email Gateway

SECURE Web Gateway

Green-Computing

Nopam MDLP Gateway

Nopam Jbase Archiving

Gateway

Sophos

Endpoint Protection

Safeguard Enterprise

Sophos UTM

GTB Technologies

GTB Inspector

GTB eDiscovery

GTB Endpoint Protector

GTB IRM

NOPAM 特色及效益

百分之百國人自行研發之優質產品：

1. 高偵測率 ( 98~99% )

2. 極低誤判率 ( 十萬分之一，領先全球 )

3. 免調教、免維護、輕鬆管理

4. 無關語系及地域，安全後立即有效

5. 內建Mail Archive功能

6. 百分之百國人自行研發

百分之百國人自行研發團隊

吳昇 中正大學副教授

Openfind 創辦人（GAIS 搜尋引擎 Leader）

劉培欣 清華大學資訊科學博士

董仲愷 成功大學電機工程博士

Openwebmail 作者

許廷兆 中正大學資訊工程博士

楊曜聰 台灣大學資訊工程碩士

解決所有電郵資安與管理問題

防垃圾郵件 (Anti-Spam)

防病毒郵件 (Anti-Virus)

防間諜程式 (Anti-Spyware)

防釣魚郵件 (Anti-Phishing)

防轉嫁郵件 (Anti-pharming)

防中繼跳板 (Anti-Relay)

防DoS攻擊 (Anti-DoS)

防郵件炸單 (Anti-Mail Bombing)

防駭客入侵 (Anti-Hacking)

防造假攻擊 (Anti-Faking Attacking)

Mail-in

郵件備存 (Mail Archiving)

郵件稽核 (Mail Auditing)

郵件追蹤 (Mail Tracing)

郵件回存 (Mail recall)

郵件搜尋 (Mail huge data Search)

郵件統計 (Mail Statistics)

郵件分析 (Mail Analysis)

郵件報告 (Mail Report)

郵件控制 (Mail Control)

階梯備存 (Mail Lifecycle Management)

Mail-out

垃圾信/誤判/資安威脅帶給企業界的損失

根據最新ITU報告表示:目前約90％的電子郵件是垃圾郵件

誤判掉信：商業書信遺失?採購合約遺失?通知遺失?論文遺失? $$$ 損失!!

資安災害：郵件炸彈攻擊(Bounce attack) ,Spam ,Virus ,Relay ,Hack ,跳板 , Phishing ,Deny of service…$$$無法估算 一封蠕蟲信入侵馬上打垮網路

其它管理成本、頻寬浪費、信譽、生意往來通信中斷 $$$無法估算

1. 每天每個使用者平均收到正常信50封，垃圾郵件500封2. 一般內容過濾式Anti-spam Filter偵測率約95%，誤判率2~5%

Example： 收信匣內只有48封正常信，卻有25封垃圾信 有時發現重要信件不知跑那去了?

卻需要在垃圾郵件匣裡，於480封垃圾信裡，尋找那封誤判信。或需要拉下臉狂Call可憐MIS找尋重要信件

選擇Anti-spam Filter重要評估指標考量

考量點 Nopam 行為模式 傳統內容過濾式

偵測率 99%Depends 調教

（可能越學越糟）

誤判率 十萬分之一 1~5% (by Gartner Group )

IT

維護成本

上線後，

幾乎不需維護

要常常調教，

上線後需machine training

才可達5%~1x%

處理效能 單機處理可達180萬封內容過濾耗CPU，

效能隨郵件攻擊數量遞減

一般 AntiSpam技術的問題

Antispam Solution 發展史

第二代：Spamassain出現關鍵字典庫+

rule加權(敏感度)

第三代：貝式分析加權調教

內容過濾 行為模式

第四代：Spammer

行為模式分析

第一代：關鍵字+

rule+action

坊間AntiSpam 常用技術分類

來源

查表法Connection filer, 黑白名單, ORBL, RBL,

Safelist

溯源法DNS正反查, Domain Key,

SenderID(SPF), Sendback Challenge

內容

比對法Contents filter, 關鍵字, Spam Signature,

Spam fingerprint, FuzzyOCR, (SCL, SRL),

DCC…

統計法Bayesian(貝式分析), Rule based scoring,

(SCL, SRL)

Spammer 技倆大公開

愚弄Content Filter的變型大法

VIAGRA!以下開此變型----->

V1agra!以相似字型騙過 spam filters

Via<!--hi-->gra用HTML TAG (人看不到<!--hi--> ,機器確看的到,用來愚弄spam filter)

V1agr@!多重相似字型(帶符號)騙過 spam filters

Vi<asdf>ag<asdf>ra用 Bad HTML (人眼看不見,用來愚弄filter again!)

V’ 1ag^r”a (或V.i.a.gr.a 或V/i/a/g/ra ......等)關鍵字中加入Noise 以愚弄filter

Vi <b>ag</b> ra用 HTML與法夾帶方式讓Viagra(看起來是 Vi ag ra ) 躲過filter

狡滑的Spammer

將廣告文字以直式排列，外面加上許多混淆字眼，電腦可能無法判讀出關鍵詞句，

但肉眼一看便知為垃圾信。

Image Spam - 內容過濾的致命傷

近來流行的圖檔垃圾信(Image Spam)，在郵件內只有一個廣告圖檔，更是貝氏演算法的致命傷，根本無法找出關鍵詞句，因此大量垃圾郵件隨之侵入

先用OCR辨識逆向反解再內容過濾??

用OCR 對抗Image Spam ? 內容過濾乎?

先用OCR辨識逆向反解再內容過濾??

Image spam 變型大法-內容過濾乎?

利用影像扭曲、傾斜、交錯、對比、切割、位移、比例、色彩或是特效，就能讓OCR的辨識錯亂，況忽逆向反解來內容過濾??

PDF Stock Spam- 內容過濾乎?

新型態 PDF spam – found in 2007 summer

結合Image spam易變特性與PDF 商業公認性(還是愚弄內容過濾 again!)

利用拉高倒貨(Pump-and-dump)的垃圾郵件 ,製造假內線消息,詐欺散戶

結合Botnet 發送(same like Image spam act.)

夾在PDF 檔中的wrap image text

If I was a doctor, Viagra?

未上市股票?

怎麼判斷?只好猜猜看!

Anti-Spam 其實只是分類問題

What is the Clear Cut?

顯然不是內容!

垃圾信發技術 1 – 表頭造假

垃圾信發送技術 2 – 內容造假

內容造假 ( Faked Content)

￭ For example, adding “normal”

content, in the context, such

as “bible”, “news”.

￭ Twisting some sensitive

keywords.

版本化 ( Spam Versioning)

垃圾信發送技術 3 - 殭屍大軍 + 圖像式垃郵

A spam mail can be sent in millions of copies from different

IPs, with different Subjects, different Senders,... ( Zombie

Botnet + Image Spam –殭屍大軍+圖像式垃郵)

Hacking to spam

VMVM

VM

VM

VMVM

VM

VMVM

VM

VM VMVM

VM

VMVMVMVM

VM

VMVM

VMVM

VM

VMVM

VM

VM

VMVM

VM

VMVM

VM

VM VMVM

VM

VMVMVMVM

VM

VMVM

VMVM

VM

VMVM

VM

VM

VMVM

VM

VMVM

VM

VM VMVM

VM

VMVMVMVM

VM

VMVM

VMVM

VM

140.119.72.1

120.112.32.245

226.132.43.110

168.95.100.10

26.113.12.1

66.30.43.225

目前Antispam廠商最感頭痛的…

Botnet：「位置一直變，內容一直變」是目前antispam 廠商(內容過濾)最頭痛的問題

黑名單? RBL? 內容過濾? 不斷貝式分析train 樣本? 不斷加rule ?不斷回報spam?

Rule越來越多，樣本train不完，效能越來越低，誤判越來越多，bug抓不完?

方法不好導致Antispam效果不良

正確的方法導致好的結果

95% spammer使用造假行為發信(不會造假的spam馬上被抓)

90% 以上的惡意信件都是使用造假行為發送 70% 的垃圾信是First spam，利用繞道或跳板技術發送，發了就跑，靠黑

名單是完全無效

垃圾郵件與正常郵件最大的分野在於「行為」而非「內容」

垃圾郵件最大的特徵在於「造假」

Nopam:全球首創針對Spammer行為分析的antispam 技術核心

垃郵三大定律

一定造假

位置一直變 內容一直變

Spammer 與 Spam Mail 特性

Spammer特性:

造假 (防你back-trace)

短週期內大量發送(成本低廉，1/10000就海賺)

spam版本化(Spam Version，扭一下再發)

Spam mail特徵:

“內容”造假(header->body ,txt->image)

短週期大量發送(bulk mailer+botnet+image spam)

相似度(Spam Versioning)

透過巨量造假可疑信 即時線上統計分析

Anti-Faking Technology

基於過去在網路通訊技術、搜尋引擎、 近似比對、演算法設計等研究專長與成果，利用搜尋引擎技術，以近似比對與造假分析之行為分析來偵測垃圾郵件

行為分析則是以Spammer的立場來做分析(ex:會造假,

fake from, fake envelop, 大量發送, spam

versioning…)等規避的作法來做防堵，理論上是比內容分析要合理，也較不費力…

PS:市面上號稱有「行為模式」的antispam過濾器多半是內容過濾 + 檔頭檢查 (本質還是內容過濾)

關鍵核心

如果Spammers 沒有造假

￭簡單的統計加黑名單就能解決Spam問題

正常信是不會告假的

如果造假￭利用造解分析來抓垃圾信

￭只要確認造假的行為，過濾非常安全

無痛移轉 - NOPAM!! No Pain!!

為何會痛?

誤判率高，很痛

偵測率不夠好，小痛

MIS 不好維護，又煩又痛

您可以當作NOPAM不存在

該收的信不會掉

擋掉絕大部分垃圾信

幾乎不需要維護

台灣索尼通訊網路股份有限公司(So-net)

（已更名為 台灣碩網）

日本Sony集團網際網路事業核心So-net，經過一年多的篩選，以及日系廠商嚴格的品質要求下，最後由「濾擎」獲得為 So-net 所有會員提供電子郵件防護機制的任務。目前我們共設置三部安裝「濾擎-NOPAM+」的伺服器，處理So-net 14萬ADSL會員及其他撥接會員的內送郵件，每日總量約 320萬封～

400萬封，自民國95年七月一日安裝至今，單一機器每日最大信件處理量達1,895,964封（2007/12/28）；單一機器每小時最大信件處理量達80,875封；單機每日資

料處理量可達20GB以上

（So-net 服務負責人 張華揚先生 0939-362-550）

NOPAM - 代表客戶建置實蹟

台北市教育入口網

台北市政府教育局及教育入口網自94年五月即開始使用濾擎為反垃圾郵件解決方案。目前我們共設置兩部安裝「濾擎-NOPAM+」的伺服器，處理20萬郵件帳號（約12萬有效帳號），每日總量約 60萬封～100萬封，以

2008/02/14為例，兩部機器分別處理46萬封與53萬封信；每日資料處理量分別為11GB 及 11.1GB。8％為正常信，76％為垃圾信，16％為拒絕信件。

（市網負責老師 蔡政道0931-151-655 黃仲生）

NOPAM - 代表客戶建置實蹟

農業委員會林務局

林務局於民國九十四年六月中起，配合資訊安全工作的推展，開始導入「濾擎」電子郵件防護系統，在六月底完成同仁及系統管理者教育訓練、系統通透模式觀察、產品驗收後，於九十四年七月一日正式啟動電子郵件防護系統，至今成效良好，從未出現系統異常及當機情形，由此可見系統穩定度相當良好。本公司於每個月初亦會提供其前一個月之系統統計資料之報告，以便相關人員充分掌握系統狀況。目前每天大約處理林務局約4000名員工，三萬封郵件，其中80% 被系統拒絕或攔截，至今並無使用者 反 應 「 公 務 郵 件 」 曾 遭 誤 情 形 。

（林務局承辦人：資訊科 林鍵興先生 02- 2351-5441 # 531）

NOPAM - 代表客戶建置實蹟

各大企業機關團體的肯定與數百萬mail帳號的驗證

………………….

Antispam PK大賽新盟主

考量點 NOPAM 行為模式 內容過濾

核心技術 Anti-Faking + GSD 1,2,3代各家不一

價格 中等合理 混亂

偵測率 99% Depends 調教

誤判率 0.001% 1% (by Gartner Group )

處理效能

維護成本

單機>100萬封

上線後不怎需維護

Depends(內容過濾耗cpu)

常常要調教

學習曲線上線安裝完畢後

即可達99%以上

上線後要machine learning

數月才達8x~9x%

勝

Antispam 採購的迷思(TCO的考量)任何IT solution重點考量-Total cost of ownership (TCO)

不在偵測率

不在偵測率(因為大家都可以作到差不多.... 一種要tune ..一種不要tune而已 ... tune 多1%少1%意義不大)...多一兩封spam,殺掉即可(且這次加規則去把偵測率 tune高起來可能會造成而後更多問題 )

不在哪一封有抓到哪一封沒抓到

Antispam的比較重要不在哪一封有抓到哪一封沒抓到,任何一家都無法100%不miss....用"看content"的方式去硬抓,爾後問題會越多.....

誤判率是關鍵不同模式的誤判率差異很大(行為vs內容可以差到100倍以上)內容過濾誤判較高是基於其特性

誤判的成本訂單/合約/重要書信/開會通知等…往來被誤判的商機/商譽損失無法估計

調教/維護/學習的成本

Machine learning過程,不斷的關鍵字/rule/黑白名單設定與調教費時費力

設定這一個就能執行

防疫（攔截）通知

防疫所/郵件備存 自動切換功能（免重新登入）

多樣化 Mail Log 查詢 for Mail Tracking

某市網電郵使用Nopam+ 作為Antispam

Engine 的效能(近60000萬mail

account)

~Thank You~

盛博科技股份有限公司Sheng-Bo Technology Corp.

~歡迎您實機測試~