走近卡巴斯基（二）KSN/系统监控/漏洞防护/反垃圾邮件

白露为霜

走近卡巴斯基（二）

2L	KSN（卡巴斯基安全网络）
3L	系统监控
4L	漏洞防护
5L	反垃圾邮件

上一帖：http://bbs.kafan.cn/thread-2043703-1-1.html
                                                                                                      

转载请注明来自bbs.kafan.cn
                                                                                                                                   By root1605

白露为霜

Kaspersky Security Network

       KSN（卡巴斯基安全网络）是一个复杂的分布式系统，专门用来处理从世界各地加入KSN的用户中收集到的数据。它给每个合作伙伴或客户保证了对新威胁最快的响应速度，构成了卡巴高等级的保护。它是卡巴斯基产品中最重要的组件之一。


对于未知威胁和高风险威胁的保护体系

       根据卡巴斯基实验室的数据，每天大约有325,00个新的恶意文件被发现，每月向反钓鱼数据库新增钓鱼网站标识约113,500个。然而，网络犯罪在发展，数量和复杂程度都有所上升。根据卡巴斯基实验室的内部统计，用户每天遇到的70%威胁是已知的，而剩下30%是未知的和高度复杂的，这要求有一个附加的保护层。这也是为什么传统的基于病毒特征码检测的保护不够的原因。如今，所有的领先安全软件提供商都有混合保护–––––基于本机设备的保护和云技术。云技术也结合了传统保护，尽量弥补传统保护模式的缺点，可以全球检测威胁和快速收集新威胁的信息。云保护的三个主要好处是：
       •更高的检测率。
       •对威胁更少的响应时间。
       •最小化误报。


KSN的基本原则

       •KSN自动分析收集自世界各地的数据，再提供给用户数据，更好更快的检测威胁，不影响电脑性能。
       •信息来自同意加入KSN的用户，在安装时或安装后用户可以自己选择是否加入KSN。

       •KSN收集到的数据不是个人的隐私信息（按照大多数国家的法律的隐私判定标准），比如名字，联系方式以及其他。收集这种信息的依据在最终用户协议中（End-User License Agreements ），在http://support.kaspersky.com/可以看到。
       •卡巴斯基对收集到的标准的保护是符合现行法律安全要求的，也是行业内的最高标准。
       •用户设备到KSN的数据交换是全面加密的，不会受到中间人攻击。


KSN的工作流程
       KSN的工作机制包含了几个关键步骤，比如对用户计算机上的威胁的数据进行持续性的分析，包括分析威胁的地理分布情况。这些数据提供了保护好每一个终端（Endpoint）的对策。得益于服务器强大的计算分析能力，可以收集分析尝试感染的威胁的信息。
       判定一个程序是安全的需要综合考虑几个因素，包括供应商的数字签名，hash，对该资源的扫描，以及文件完整性。确认网站安全需要查看域名证书和网站内容。
       一旦一个程序或者网站被确认是合法安全的，会被添加到可信程序及网站列表里（白名单数据库）。如果一个程序或网站被定义为恶意，相关信息会被立即送到卡巴斯基紧急响应系统，所有用户安装的卡巴斯基都可以通过KSN，封锁这种威胁。
       创建上传文件的特征码到传统病毒数据库需要几小时，而使用KSN的用户，在每一次检测到的线上攻击后都会在几分钟内程序会收到处理此类威胁的措施。KSN既有特征码检测技术，也有启发保护，还带有完整的白名单以及应用程序控制，白名单会及时的更新。
       KSN另一个值得一提的功能是云辅助的反垃圾邮件技术，Anti-Spam组件使用来自云端的信息检测并封锁未经同意传入的消息，这样用户不需要安装本地的反垃圾邮件筛查器了。
      下面展示的是卡巴斯基程序和KSN交互的基本原理，这种交互包含着四个不同的阶段。
      1.有关检测到的威胁和可疑的活动的信息被送到卡巴的云基础设施（一个大型服务器）。如果卡巴斯基的病毒库不包含相关信息（比如用启发技术检测到的威胁），数据会自动交给能够分析大多数线上威胁的分析系统，分析设备利用了卡巴强大的资源，不必在用户的设备上消耗资源分析。如果分析设备不能自动做出判断，会交给卡巴斯基实验室的专家人工分析。
      2.如果代码或者网站被认定是恶意，将会立即添加到紧急检测系统数据库，在几分钟内，所有的用户都可检测到。而合法的程序会被加入到白名单数据库。
      3.在对可疑文件和网站进行深入分析后，分析系统或者分析专家将会认定危险的程度，添加到正式的病毒库，被卡巴斯基保护的设备都可以有规律地收到更新。      
      4.当用户遇到一个已知的威胁（不在数据库），程序会向KSN发出请求，并会马上收到判决信息。这确保了保护的高水平。



消费者的KSN
       除了云技术来完善防御体系有一定好处，KSN还能给用户提供全局威胁统计数据，比如受保护的用户，封锁的恶意对象，处理的合法数据等等。

       KSN除了以上功能，还可以让用户在KSN上查询可执行文件的信誉。一旦查询，服务器会返回一个判定信息（是否合法），还会提供文件首次出现的时间，在各个国家或地区受欢迎的程度以及其他数据（信誉技术被称作“卡巴斯基文件顾问”）。这样用户在启动未知程序时，这可作为一个初步的检查，不过用户启动未知程序时，卡巴斯基会自动地向服务器请求这些信息。





针对企业的KSN

        KSN也专门为企业用户提供了很多功能。首先，云协助保护技术被用于将合法程序加入白名单（依靠KSN的数据）。已知的合法文件会被自动归类，比如游戏，商业软件等。使用这些分类，系统的管理员可以根据他们的安全策略，快速建立并应用对各软件的规则。应用程序白名单数据是由世界领先的400多家软件开发商提供的。
        Kaspersky Security Center（卡巴斯基安全中心）管理解决方案可以控制每一个端点KSN的保护。管理员可以选择关闭终端上（Kaspersky Endpoint Security）KSN的防护，也可以将其打开。管理端可以控制每一个端点是否将数据送至KSN以供分析。为了减少带宽占用，一台本地服务器将会缓存KSN的数据给其他终端使用。IT部门也可以追踪与KSN的联系。



KSN的优势
         如今，KSN被数百万台计算机使用，提供了详细的全球威胁演变和蔓延的信息（来源是何处，在一定时间里发生的感染事件等）。全球分布式的威胁追踪系统确保了能够快速响应新威胁，不管威胁的源在哪里目标所在位置。KSN帮助建造了一个主动防护的体系，在新威胁广泛传播和给设备造成巨大破坏之前，KSN会帮助识别和封锁它们。这种防护体系十分重要，确保网络的稳定和持续运行，保护企业的业务。

白露为霜

Kaspersky System Watcher

       如今的计算机系统比以前更擅长于多任务处理。同一时间可以运行很多程序，每个程序都有其执行的特定目的和在系统中的特定权限。
       安全解决方案的目的就是阻止任何具有破化性的程序进行活动，比如感染文件，或者恶意修改注册表。检测出现过的恶意文件的最“经典”的方法是用唯一的特征码检测（特征码检测技术）。然而，仅仅使用特征码检测技术不能再提供有效的防护了–––––根据卡巴斯基的内部数据，每天会有315,000个新的恶意样本会出现，很多都没有被收录进病毒数据库。
       应对这种形势有一个方法，须跟踪程序在系统中的行为，并将行为和典型的木马行为对比，再判断是否是病毒。然而，针对每一个单独的程序收集的数据是分散的，并没有提供程序在系统中所有活动的准确完整的记录。


      

系统事件监测技术
       系统事件监测是一种新的手段，这种技术收集了整个系统的信息来控制全局，从而最大限度阻止恶意软件的活动。如果有必要，程序会修复计算机，复原一些被恶意软件修改的参数。
       系统事件监测会跟踪系统中所有的重要事件，操作系统文件和系统配置的变化，程序的运行和网络活动。这些活动会被记录下来并分析，如果程序正在执行恶意操作，将会立即阻止并靠这些记录回滚恶意操作，阻止全面感染。
       系统事件监测用处很多，它有效对抗在系统中任何有迹象执行破坏的程序。这意味着它可以对抗未知威胁，即没有被收录进病毒数据库的威胁。


卡巴斯基系统监控，更高级别的保护
       卡巴斯基实验室的产品一直以最先进最前沿的技术打击威胁。在2009年开始，最基础的系统事件监控技术就有了，随着此功能的进一步改进，形成了卡巴斯基系统监控。
       卡巴斯基系统监控扫描最有价值的系统事件数据，比如监控文件的创建和修改，对于系统注册表的任何修改，系统的调用，网络的数据传输等。系统监控也监控各种操作的有关的目录和文件以及MBR的修改（操作系统加载程序存放的地方）。
       此外，系统监控分析通过TCP协议（传输控制协议）传输的数据包，从中搜寻任何恶意活动的证据。数据收集是全自动的，无需用户参与。
       使用BSS（Behavior Stream Signatures，行为流签名，即危险活动特征码）模式，系统监控可以基于对行为数据的分析，判定一个程序是否是恶意的。卡巴斯基包含一个信息交换机制，比如和网络反病毒组件，即时通讯反病毒组件，HIPS以及防火墙。这样，产品能够全面整体地检测恶意程序对程序规则（判定恶意软件）的违反，更好识别程序的行为。

（新版无法关闭了）
       系统监控组件是可以更新和调整的，比如事件列表和事件监视机制，甚至启发扫描都可以完全根据需要调整。这样很灵活和快速地响应威胁演化的迅速和系统配置的不断调整。系统组件的更新是常规反病毒数据库更新的一部分，不需要用户手动操作。



威胁检测
        内置的BSS模块（Behavior Stream Signatures，危险活动特征码）判定一个程序是否恶意。系统监控将程序的实时行为和典型的恶意程序的行为作对比。这个模块分析数据后会实时做出判断。卡巴斯基也提供了一种叫做启发式BSS，即检测到程序的行为相似与恶意程序，但也可能不是。系统监控除了使用标准的检测方式，系统监控也可以识别潜在的恶意活动。比如，一个受信任的程序被利用程序漏洞来执行恶意代码，系统监控依然会检测到这个行为并提示用户是否阻止。
        用户可以选择全自动处理模式，也可以选择交互模式。在交互模式，用户对行为有更多的控制权

勒索软件对抗模块

        随着勒索软件（加密用户数据，必须支付赎金才能解密）的持续增加和传播，迫切需要相应的技术对抗，这在系统监控中有相应的模块。一旦可以的程序打开了用户的个人数据，该模块会做好文件的备份，使勒索攻击无效。因此，没有必要花钱解锁，加密的文件会被事先自动备份好的正常文件替换掉。

        
保护系统不被锁屏木马破坏
        锁屏木马是一种形式的勒索程序，它会锁住用户的屏幕，让用户无法进行正常的计算机操作，然后显示一个要求支付赎金才能解开锁的提示窗口。系统监控同样地提供了针对此类威胁的保护措施。在系统监控的设置菜单里，有相应的地方开启保护，并设置组合键，可以手动地在屏幕被锁后终止锁屏木马的进程，删除木马，实现解锁的目的。默认这项保护是处于开启状态的。


漏洞防护模块
        系统监控的另一个模块是反漏洞利用模块，阻止利用其他软件的漏洞，甚至是零日漏洞的恶意程序。这个模块控制各类程序，尤其是那些经常被当作漏洞利用目标的程序。如果这些程序被加载恶意代码，会开始检查并阻止。在这种方式下收集到的信息帮助检测漏洞利用行为并阻止它们。此外，反漏洞利用模块使用Forced Address Space Layout Randomization 技术（地址空间布局随机化，是参与保护缓冲区溢出问题的一个计算机安全技术。是为了防止攻击者在内存中能够可靠地对跳转到特定利用函数。ASLR包括随机排列程序的关键数据区域的位置，包括可执行的部分、堆、栈及共享库的位置），这样漏洞利用程序很难将恶意代码加载到内存从而阻止了漏洞利用。


Java程序控制模块
       利用Java进行漏洞入侵一直是个大的安全隐患，原因是Java的普及和Java程序执行的虚拟环境的不透明性Java 虚拟机是运行所有Java程序虚拟机，是 Java语言的运行环境，Java语言的一个非常重要的特点就是与平台的无关性。而使用Java 虚拟机是实现这一特点的关键）。为了检测通过Java的攻击，系统监控有一个叫做Java2SW的特殊模块，有权限直接访问Java平台，在每一个JVM（Java Virtual Machine）植入安全监控模块。Java2SW分析在Java虚拟机内运行的代码，如果检测到可疑行为，会立即阻止。

回滚恶意软件对系统的更改
       在检测到恶意程序的感染时，系统监控会立即启动回滚（将计算机系统回滚到原来安全的状态）。回滚系统的工作包括还原创建后和修改的可执行文件，重要的Windows文件，和注册表项。在卡巴斯基最新版本中，回滚机制可以做修改。


可用性
       系统监控模块在个人版产品和企业用户产品都集成了。
       对于家庭用户：KAV,KIS,KTS
       对于企业用户：KES/KSOS


结论
       系统事件检测是通过系统监控实现的，是一种保护方法。所有重要的系统活动会被监测，基于监测数据，恶意程序的行为会被识别并阻止。这种方式可以阻挡住任何程序的恶意活动，不管恶意程序是否是已知的，在不在病毒数据库里。它提供了极高的检测率而误报却很少，因为一般是恶意程序才有破坏性的行为。
       因为对系统持续不断和详细的监控，所以能够精准的回滚恶意软件的操作，这提高了计算机的整体安全水品，提供了更精准的系统状态和进程的诊断。

白露为霜

Automatic Exploit Prevention Technology

      卡巴斯基的安全性基于多层次的保护。大多数的恶意程序被阻挡在第一层–––––比如，它们会被基于特征码的检测技术检测到。但是，一些恶意程序，需要另外的应对方式，我们须确保它们突破第一道防线后还会被另一个模块阻止。比如，一个全新的复杂的恶意程序的特征未被病毒库收录，还是会被KSN拦截，基于由加入KSN几百万的用户提供的实时线上威胁的情报数据。再下一层防线是复杂的的主动防御技术，分析程序是否含有可疑代码。程序的活动会被跟踪，任何危险的行为都会被系统监控模块阻止。
      然而，还会有一种我们认为需要特殊防护的攻击活动，那就是针对普及度较高的程序的漏洞利用攻击。犯罪分子利用已知的漏洞和新的（零日漏洞或之前从未发现的）漏洞，这些漏洞总是在Adobe Flash，Adobe Reader，Java运行环境，网络浏览器和Windows组件中，这些程序被植入恶意代码并执行。恶意程序大量的使用了漏洞攻击，但也有（被某些组织或个人等）针对性地漏洞攻击，很难使用传统的检测方式发现和阻止。我们针对漏洞利用有专门的防护层，叫做Automatic Exploit Prevention （自动反漏洞利用保护），对于检测新漏洞和未知漏洞很有效。

典型的漏洞利用行为
      任何漏洞利用都是触发软件中的漏洞来加载各种恶意代码。为了通过软件来感染系统，用户必须被诱骗进入一个恶意网站（或者一个合法网站，被篡改，包含恶意代码）；或者打开一个特殊的文档（Microsoft Office文档，PDF文件，甚至是图像文件），这些看起来不会是有危险的，但包含恶意代码触发漏洞。恶意网址或受感染的网址通过电子邮件，即时消息，社交网络散布，甚至是在搜索引擎搜索热门关键词时也会出现。典型的漏洞利用攻击在用户打开一个似乎无害的邮件附件时就开始了。

最常被利用的软件
      几乎每个程序都有bug，一些甚至会被用来未经授权地执行恶意代码。但是犯罪分子通常选择的对象（指软件）都是几乎每个计算机都安装了的，这保证有大量的潜在受害者。根据卡巴斯基实验室的统计数据，2013年，这些程序或组件被广泛地利用来完成攻击（包含移动设备，数据基于KSN）：


      随着时间的推移，被利用最多的软件在改变，比如在2010年，最频繁受到攻击的是Microsoft Office，其次是Java和Adobe Flash。（最新的漏洞利用情况，可以参考卡巴斯基2016年Q1威胁演化报告“统计数据–––易被网络犯罪分子攻击使用的应用程序”一节）


反漏洞利用攻击的一般方法      

      像KIS一样的保护产品利用多种途径阻止漏洞利用。对于漏洞利用检测有特殊的签名，有助于打开此类恶意文件（比如恶意的邮件附件）前检测到。主动预防性保护和其他技术会在打开一个触发漏洞的文件后阻止代码的加载和执行。最终，漏洞扫描功能允许用户着出有漏洞的软件，并且建议用户升级。当然，最好的避免漏洞利用攻击的方法是经常有规律的更新Windows组件和安装了的软件。


      然而，在某些情况下，一般的反漏洞利用技术不起作用，尤其是利用零日漏洞或者刚发现的漏洞进行攻击时。使用特征码技术检测此类漏洞对于安全厂商是几乎不可能的事。一些复杂的漏洞利用工具也可以使用技术绕开防护。即使逃过传统的检测方式的威胁不多，但一旦进行破坏损失很大。因此，需要一层额外的安全保护，这就是自动漏洞利用预防性保护技术诞生的原因。


自动反漏洞利用预防性保护模块怎样工作

      Automatic Exploit Prevention技术专门针对利用软件漏洞的恶意程序。这项技术的发展开始于对最常见的漏洞利用行为和功能（指漏洞利用工具包的功能）的深入研究。这项研究有利于识别特定的漏洞利用行为，区分开恶意程序和合法程序。发展这项技术还会更多考虑最常被利用的软件。
•控制潜在易受攻击的应用程序      
      Automatic Exploit Prevention技术特别重视最常被利用的程序，比如Java，Adobe Reader，Flash，网络浏览器，Microsoft Office等等。任何利用这些软件来加载可以的可执行文件和代码都会被执行另外的检查，不过“可疑”不代表“确定”，比如Adobe Reader可能会启动另一个可执行文件执行更新。但是经过分析某些可执行文件的特征，以及之前的行为可以基本分析出文件是否恶意。
•监视要加载的程序之前的行为
      关于试图启动加载可疑代码的程序之前的行为信息可以被用来鉴别是否是恶意程序。Automatic Exploit Prevention技术跟踪这些活动并尝试获知启动代码的来源。来源可能是软件自身，也可能是漏洞利用工具。漏洞利用的原始行为数据也有助于检测漏洞攻击甚至使用的是零日漏洞。
•跟踪（要执行的）代码的来源
      某些漏洞利用程序，尤其是访问网站时下载来的，会在执行前取得Payload（在因特网上，Payload指的是在一个数据包或者其它传输单元中运载的基本必要数据。可以理解为邮局在寄信时，你可以标明是普通信件，特快专递，作为标记这次传输的类型） 。Automatic Exploit Prevention跟踪文件的来源，明确启动下载的浏览器和文件的远程服务器地址。此外，Automatic Exploit Prevention 还会辨别未经授权下载的新文件（漏洞利用后下载的文件）和用户自己创建的文件。当尝试启动恶意代码时，这些信息可以帮助确定是一个漏洞利用程序，并阻止它。
•预防潜在的漏洞利用
      对于很多程序，Automatic Exploit Prevention会使用ASLR模式（ALSR，即Forced Address Space Layout Randomization，地址空间布局随机化，是参与保护缓冲区溢出问题的一个计算机安全技术。是为了防止攻击者在内存中能够可靠地对跳转到特定利用函数。ASLR包括随机排列程序的关键数据区域的位置，包括可执行的部分、堆、栈及共享库的位置）。ASLR技术也被Windows系统使用，从Windows Vista开始。但是卡巴斯基强迫默认不支持这项技术的程序使用ASLR，其结果是，漏洞利用程序不能利用这些漏洞，因为在内存中，代码不是静态的位置，无法被探测到。（注：并不能完全阻止漏洞攻击）


可用性
      Automatic Exploit Prevention技术被集成在部分卡巴斯基产品里
      对于家庭用户：KAV/KIS/KTS
      对于企业用户：KES，KSOS

Automatic Exploit Prevention技术的优势
       Automatic Exploit Prevention技术大大降低了被恶意程序用漏洞利用手段攻击的可能性，即使是零日漏洞。在内部的测试中，该项技术阻止了对被漏洞利用程序广泛利用的程序的攻击，比如Adobe Flash Player, QuickTime Player, Adobe Reader和其他程序。当然，Java是最常被利用的。卡巴斯基实验室的专家显著的提升了Automatic Exploit Prevention技术检测针对对这些应用程序的漏洞利用程序的能力。在2013年，卡巴斯基实验室的产品阻止了640万次针对110万用户的漏洞利用攻击。
       这项技术最显著的成效之一是主动检测测到了对新的在Microsoft Graphics组件中发现的漏洞的利用。该漏洞在2013年11月被发现，影响了Windows，Microsoft Office，Microsoft Lync。攻击者可以通过诱使用户预览或打开特制的电子邮件，文件或网站来利用此漏洞。利用了此漏洞并且成功的攻击者可以获得与当前用户相同的用户权限。另一个表现Automatic Exploit Prevention技术效果的案例是Red October攻击。攻击行为在2013年1月被发现。但是在Red October的攻击行为被披露之前几个月，Automatic Exploit Prevention技术就检测到了它的活动。
       阻止。Automatic Exploit Prevention针对最复杂或者未知的漏洞：其他普遍存在的恶意对象会被Web反病毒组件，文件反病毒组件，甚至垃圾邮件过滤器阻止掉。因此，该项技术大大提高了用户的整体安全性。

白露为霜

反垃圾邮件

       大规模群发垃圾邮件是一个严重的问题，不仅是因为整理邮箱时花很多时间很烦人，而且它恶意程序的载体。例如，Duqu木马，是目前最臭名昭著的网络“进攻武器”，当无辜的收件人不经意间打开一个貌似正常的文本文档时，系统的漏洞就被利用了。另一种方式是电子邮件钓鱼，目标是特定的个人或进入某组织的信息服务设施，这种攻击手段在在Hellsing APT中用到了。
       对于企业来说，不想要的通信（垃圾邮件的骚扰）是严重问题。在“IT Security Risks Survey”（IT安全风险调查）中，在过去12个月，60%的公司将垃圾邮件作为头号外部威胁。在2015年上半年，卡巴斯基的安全专家发现56.4%的邮件流量是垃圾邮件产生的。
       超过一半的电子邮件流量都是垃圾邮件，要打击这种威胁，需靠安全解决方案。
卡巴斯基检测新的垃圾邮件而几乎不会误报，这基于多层内容分析，包括对内容的语言，图文，垃圾邮件签名，邮件的附件属性进行检查，以及使用默认筛选规则（黑白名单）和云技术。


应急检测系统
       第二代应急监测系统集成在KSN里，允许安装了卡巴斯基产品的计算机和在KSN威胁数据库交换信息来检测垃圾邮件。当收到一封可疑的电子邮件时客户端软件会将邮件的特征信息交给云数据库，云数据库将此特征进行分析比对，然后给客户端返回一个鉴定结果：是否是垃圾邮件。不过，邮件的真实内容不会被送至服务器，收集到的信息并不能还原出原来邮件的内容，这保证了电子邮件的保密性，保护用户隐私。
       如果一个欺诈者在垃圾邮件中假冒发件人地址，使用知名组织的域名（比如example@google.com，example@apple.com等），反垃圾邮件技术会确认邮件的真实性。基于对垃圾邮件典型行为的分析积累，可以完成这一任务，比如一封邮件显示是某组织发出的，但是IP却不属于这个组织的IP段。
       在过去，向垃圾邮件数据库添加特征码需要人手动输入。UDS2（应急检测系统2）使用新技术创建特征码。原来，一个单独的特征码只能对应一个单独的垃圾邮件，如果垃圾邮件内容稍稍做改动，就不能检测到了。而现在UDS2使用一种新的特征吗–––––shingles。一个“Shingle”是一个独特的“Checksum”（校验和，详见https://en.wikipedia.org/wiki/Checksum），能够检测原始文本的内容，即使发送者对邮件做了修改（比如，插入特殊符号）。
       UDS2和其他的基于特征吗检测的系统最大的不同之处是特征码不需要100%匹配一个邮件。其结果是，甚至一个被修改过的垃圾邮件也会被云端封锁，基于一个“Shingle”，无需分析员自己查看邮件来创建特征码。
       Shingles通过KSN的应急更新传送到用户计算机，这使得用户在短短几分钟内即可免受新出现的垃圾邮件的侵害。      


内容信誉
       基于UDS2的信誉技术筛选可疑的和不需要的邮件。这个卡巴斯基文件信誉顾问的机制很类似（基于对在其他设备上文件行为的检测）。
       封锁垃圾邮件的自动化信誉检测系统，UDS2的工作基于Shingles，但返回的结果不只是“垃圾邮件”或“非垃圾邮件”。如果大量的Shingles和邮件的特征（比如发送邮件的服务器或者IP地址的信誉）很可疑，系统将会把邮件“隔离”以便于进行更深一步的检查（比如，分析对照类似来自其他卡巴斯基客户端的邮件）。
       在欺诈者让成千上万个用户上当之前，系统将可疑的新邮件与已知的垃圾邮件的模糊匹配（并得出结果），后将可疑邮件拉入本地黑名单。


暂时阻止可疑邮件的技术（隔离）
       检测一些不需要的信件需要本机与KSN进行数据交互。例如，从数据库里搜索邮件特征的信息或者访问外部服务器可能需要一段时间。隔离技术允许将邮件先行存放在“重新扫描”这个选项，如果得到的判定是“垃圾邮件”，邮件会被立刻封锁。当垃圾邮件在几分钟内传播时，这种方法很有效。


卡巴斯基反垃圾邮件技术的优势
       •UDS2技术的使用和云信誉技术缩短了对新的垃圾邮件的响应时间，Shingles在实时更新。
       •该技术确定了发件人的信誉，通过对来源IP地址和域名的分析，不需要分析员手动操作，加速了阻止不需要的通信的速度。
       •自动分析垃圾邮件中的网站（比如分析域名注册商，发送垃圾邮件的频率等），让垃圾邮件源很快被封锁。
       •每一个同意加入KSN的用户是一个匿名的关于垃圾邮件信息的源，紧急更新传送减少了响应时间，只需几秒钟。
       •判决“垃圾邮件”或“非垃圾邮件”后，反垃圾邮件模块会标记邮件的类型。用户可以将私人信件和商务信函和广告分开。


使用反垃圾邮件技术的产品

       对于企业用户：Kaspersky for Linux Mail Server 
                               Kaspersky Security for Mail Gateway 
                               Kaspersky Security for Microsoft Exchange Servers 
                               Kaspersky Anti-Spam SDK
                               KES/KSOS
       个人用户：KAV/KIS/KTS

o0net315

感谢支持！

dongwenqi

感谢对卡巴斯基的支持，我还是继续使用

T.Yoshiyuki

Java程序控制模块
       利用Java进行漏洞入侵一直是个大的安全隐患，原因是Java的普及和Java程序执行的虚拟环境的不透明性Java 虚拟机是运行所有Java程序的抽象计算机

这里“抽象计算机”应该是“虚拟机”（virtual machine）的误译吧？

小小龙

其实我更关心卡巴斯基的防火墙，这几年不知道有什么进步。

驭龙

支持一下