信誉系统应对新兴网络安全威胁

绿盟科技 卢小海

随着IT产业的飞速发展和互联网用户数量的逐渐增加，互联网与人们工作和生活的结合更加紧密，依托互联网开展的商业活动也日益丰富。而与此同时攻击者也更为关注互联网，发展形成了具有相当规模的，针对安全威胁研究、生产和分发的“地下产业链”。这些攻击者利用恶意代码、垃圾邮件、钓鱼站点等不同攻击方法，给企业和个人造成财产损失、信息泄露和信誉受损等不良影响。如何保护自己的用户使其免受互联网安全威胁的影响，已成为整个互联网相关硬件、软件、服务和网络提供商面临的共同挑战。

随着“地下产业链”不断扩张，层出不穷的安全威胁不断涌现。攻击者只需要少许的变化就可以产生全新的恶意代码，而基于传统特征库的防护者，需要耗费大量的时间和精力，对恶意代码样本进行采集、提取和分析；恶意代码分析和特征库分发的响应速度，只能大大滞后于攻击者产生和传播新恶意代码的速度，致使基于传统特征库的防护方法逐渐陷入困境。越来越大的特征库、越来越慢的扫描速度已经成为现有防护体系需要面对的难题。

为应对安全威胁和攻击方法的迅速增长，我们定期对互联网相关站点进行威胁分析和信誉评级，累积IP地址、域名和 URL等不同资源的内容和行为记录。同时，我们汇集来自于授权客户和第三方合作伙伴的威胁反馈、自身安全产品的安全事件以及安全研究团队的风险预警，与目标站点的历史信息进行整合，建立针对互联网领域的长期信誉追踪机制。互联网相关产品可以通过我们提供的开放信誉服务接口，对互联网资源的安全信誉进行实时查询；以其信誉评级作为判断依据，进行针对性的防护动作，以保护互联网终端用户。

对传统安全防护体系来说，信誉系统是有力的补充。

随着互联网应用的重要性逐渐提升，安全威胁来源开始从传统的网络和系统层，转向以恶意代码为代表的应用层。仅仅 2008年上半年，国内发现的恶意代码样本数量就超过了之前五年时间的总数，达到惊人的900万种。

由于攻击方式方法的研究不断成熟和深入，攻击者产生和传播恶意代码的成本日益降低；而防护产品仍然依赖于传统的样本采集和分析，特征码生成和分发机制。恶意代码样本数量的爆发式增长，直接导致传统的依赖于特征库的现有防护体系不堪重负。无论是特征库容量还是威胁响应速度，都难以跟上恶意代码的迅速增长。

为应对这个挑战，绿盟科技投入大量的网络和计算资源，对互联网资源(域名、IP地址、URL等等)进行威胁分析和信誉评级。互联网产品只需针对目标资源向安全信誉服务查询，就可以获得相应的安全信誉评级信息；进而根据结果调整自身的防护策略，在恶意代码下载到本地之前，阻止对客户端对恶意资源的访问，从而实现对客户端的保护。

为应对新兴安全威胁，信誉系统可以提供及时并有效的检测和防护。

随着互联网应用的多样性不断发展，挂马网站、网络钓鱼、流氓软件等各种新的安全威胁也不断涌现。这些新兴攻击手法利用互联网用户的疏忽大意(网络钓鱼)，以及对第三方的信任(挂马网站、垃圾邮件和IM)诱骗互联网用户并最终造成损失。

这种混搭多种攻击手法的安全威胁，通过把功能拆分到多个动作，以逃避面向行为进行防护的安全监控。面对这些新型的攻击方式，传统的基于已知特征的针对动作的防护体系，很难为互联网用户提供有效的防护。

信誉系统可以利用海量的计算资源分析从不同信息源获取的事件，并结合来自不同用户和合作伙伴的反馈进行关联；互联网用户仅需要通过简单的接口进行查询，即可获得相应的信誉评级进行防护。进而通过多来源、多维度信息的综合分析，解决从单一层面来解决新威胁的技术难题，建立针对各种新兴威胁的防护机制。

信誉系统并非一个孤立的系统，而是一个动态的由不同合作伙伴组成的生态系统。

随着互联网应用的适用面日益广泛，安全作为一种硬性的需求，被列入各种互联网产品和应用的考虑范畴中。而日新月异的攻击手法，也使得安全威胁的发现和防护，是一个立体的多层面的工作，不再是一两家安全公司能够完整覆盖。

现有传统安全体系往往是由厂商独立建立和维护，服务于自身产品和客户的封闭系统；臃肿的检测和防护模块，也难以被集成到第三方产品和应用中；此外冗长的法律和商务谈判，也使潜在合作者望而却步。

而基于安全信誉服务的轻量级客户端不再需要复杂的内容扫描和监控模块，只需要通过简单接口即可完成客户端的防护工作，大大减轻了进行集成的成本。绿盟科技会提供持续和稳定的服务端运维支持，通过汇集客户端实时反馈与合作伙伴的交换信息，进而改善服务的自身质量。整个信誉系统是为一个开放生态系统而设计，来源于互联网并服务于互联网。

在对自有产品提供支持的同时，信誉系统也通过信誉服务为第三方产品和应用提供服务，使用者将通过双向信息反馈通道与信誉系统形成互动。

信誉系统自身是一个综合不同维度信息的知识库，通过扫描系统和反馈系统实时更新和积累原始数据。为提高发现威胁的及时性，信誉系统包含了一整套自动化闭环反馈处理的流程，对客户反馈、合作伙伴和运营商提供的信息进行处理。

互联网企业或用户可以通过绿盟科技提供的开放接口，通过信誉服务进行查询。各种网关产品、终端软件和应用服务，可以在用户访问互联网资源前，通过对资源安全信誉进行查询，发现潜在的安全分析，一旦发现用户访问的互联网资源安全信誉存在问题，即可暂时停止用户对此资源的访问，从而达到保护用户的目的。

在与现有安全防护体系进行整合，结合主动探测和客户反馈之后，信誉系统可以更好的服务于整个安全体系中的合作伙伴，持续改善使用者的用户体验。