綠盟科技 盧小海

隨著IT產(chǎn)業(yè)的飛速發(fā)展和互聯(lián)網(wǎng)用戶數(shù)量的逐漸增加，互聯(lián)網(wǎng)與人們工作和生活的結(jié)合更加緊密，依托互聯(lián)網(wǎng)開展的商業(yè)活動(dòng)也日益豐富。而與此同時(shí)攻擊者也更為關(guān)注互聯(lián)網(wǎng)，發(fā)展形成了具有相當(dāng)規(guī)模的，針對安全威脅研究、生產(chǎn)和分發(fā)的“地下產(chǎn)業(yè)鏈”。這些攻擊者利用惡意代碼、垃圾郵件、釣魚站點(diǎn)等不同攻擊方法，給企業(yè)和個(gè)人造成財(cái)產(chǎn)損失、信息泄露和信譽(yù)受損等不良影響。如何保護(hù)自己的用戶使其免受互聯(lián)網(wǎng)安全威脅的影響，已成為整個(gè)互聯(lián)網(wǎng)相關(guān)硬件、軟件、服務(wù)和網(wǎng)絡(luò)提供商面臨的共同挑戰(zhàn)。

隨著“地下產(chǎn)業(yè)鏈”不斷擴(kuò)張，層出不窮的安全威脅不斷涌現(xiàn)。攻擊者只需要少許的變化就可以產(chǎn)生全新的惡意代碼，而基于傳統(tǒng)特征庫的防護(hù)者，需要耗費(fèi)大量的時(shí)間和精力，對惡意代碼樣本進(jìn)行采集、提取和分析；惡意代碼分析和特征庫分發(fā)的響應(yīng)速度，只能大大滯后于攻擊者產(chǎn)生和傳播新惡意代碼的速度，致使基于傳統(tǒng)特征庫的防護(hù)方法逐漸陷入困境。越來越大的特征庫、越來越慢的掃描速度已經(jīng)成為現(xiàn)有防護(hù)體系需要面對的難題。

為應(yīng)對安全威脅和攻擊方法的迅速增長，我們定期對互聯(lián)網(wǎng)相關(guān)站點(diǎn)進(jìn)行威脅分析和信譽(yù)評(píng)級(jí)，累積IP地址、域名和 URL等不同資源的內(nèi)容和行為記錄。同時(shí)，我們匯集來自于授權(quán)客戶和第三方合作伙伴的威脅反饋、自身安全產(chǎn)品的安全事件以及安全研究團(tuán)隊(duì)的風(fēng)險(xiǎn)預(yù)警，與目標(biāo)站點(diǎn)的歷史信息進(jìn)行整合，建立針對互聯(lián)網(wǎng)領(lǐng)域的長期信譽(yù)追蹤機(jī)制?；ヂ?lián)網(wǎng)相關(guān)產(chǎn)品可以通過我們提供的開放信譽(yù)服務(wù)接口，對互聯(lián)網(wǎng)資源的安全信譽(yù)進(jìn)行實(shí)時(shí)查詢；以其信譽(yù)評(píng)級(jí)作為判斷依據(jù)，進(jìn)行針對性的防護(hù)動(dòng)作，以保護(hù)互聯(lián)網(wǎng)終端用戶。

對傳統(tǒng)安全防護(hù)體系來說，信譽(yù)系統(tǒng)是有力的補(bǔ)充。

隨著互聯(lián)網(wǎng)應(yīng)用的重要性逐漸提升，安全威脅來源開始從傳統(tǒng)的網(wǎng)絡(luò)和系統(tǒng)層，轉(zhuǎn)向以惡意代碼為代表的應(yīng)用層。僅僅 2008年上半年，國內(nèi)發(fā)現(xiàn)的惡意代碼樣本數(shù)量就超過了之前五年時(shí)間的總數(shù)，達(dá)到驚人的900萬種。

由于攻擊方式方法的研究不斷成熟和深入，攻擊者產(chǎn)生和傳播惡意代碼的成本日益降低；而防護(hù)產(chǎn)品仍然依賴于傳統(tǒng)的樣本采集和分析，特征碼生成和分發(fā)機(jī)制。惡意代碼樣本數(shù)量的爆發(fā)式增長，直接導(dǎo)致傳統(tǒng)的依賴于特征庫的現(xiàn)有防護(hù)體系不堪重負(fù)。無論是特征庫容量還是威脅響應(yīng)速度，都難以跟上惡意代碼的迅速增長。

為應(yīng)對這個(gè)挑戰(zhàn)，綠盟科技投入大量的網(wǎng)絡(luò)和計(jì)算資源，對互聯(lián)網(wǎng)資源(域名、IP地址、URL等等)進(jìn)行威脅分析和信譽(yù)評(píng)級(jí)。互聯(lián)網(wǎng)產(chǎn)品只需針對目標(biāo)資源向安全信譽(yù)服務(wù)查詢，就可以獲得相應(yīng)的安全信譽(yù)評(píng)級(jí)信息；進(jìn)而根據(jù)結(jié)果調(diào)整自身的防護(hù)策略，在惡意代碼下載到本地之前，阻止對客戶端對惡意資源的訪問，從而實(shí)現(xiàn)對客戶端的保護(hù)。

為應(yīng)對新興安全威脅，信譽(yù)系統(tǒng)可以提供及時(shí)并有效的檢測和防護(hù)。

隨著互聯(lián)網(wǎng)應(yīng)用的多樣性不斷發(fā)展，掛馬網(wǎng)站、網(wǎng)絡(luò)釣魚、流氓軟件等各種新的安全威脅也不斷涌現(xiàn)。這些新興攻擊手法利用互聯(lián)網(wǎng)用戶的疏忽大意(網(wǎng)絡(luò)釣魚)，以及對第三方的信任(掛馬網(wǎng)站、垃圾郵件和IM)誘騙互聯(lián)網(wǎng)用戶并最終造成損失。

這種混搭多種攻擊手法的安全威脅，通過把功能拆分到多個(gè)動(dòng)作，以逃避面向行為進(jìn)行防護(hù)的安全監(jiān)控。面對這些新型的攻擊方式，傳統(tǒng)的基于已知特征的針對動(dòng)作的防護(hù)體系，很難為互聯(lián)網(wǎng)用戶提供有效的防護(hù)。

信譽(yù)系統(tǒng)可以利用海量的計(jì)算資源分析從不同信息源獲取的事件，并結(jié)合來自不同用戶和合作伙伴的反饋進(jìn)行關(guān)聯(lián)；互聯(lián)網(wǎng)用戶僅需要通過簡單的接口進(jìn)行查詢，即可獲得相應(yīng)的信譽(yù)評(píng)級(jí)進(jìn)行防護(hù)。進(jìn)而通過多來源、多維度信息的綜合分析，解決從單一層面來解決新威脅的技術(shù)難題，建立針對各種新興威脅的防護(hù)機(jī)制。

信譽(yù)系統(tǒng)并非一個(gè)孤立的系統(tǒng)，而是一個(gè)動(dòng)態(tài)的由不同合作伙伴組成的生態(tài)系統(tǒng)。

隨著互聯(lián)網(wǎng)應(yīng)用的適用面日益廣泛，安全作為一種硬性的需求，被列入各種互聯(lián)網(wǎng)產(chǎn)品和應(yīng)用的考慮范疇中。而日新月異的攻擊手法，也使得安全威脅的發(fā)現(xiàn)和防護(hù)，是一個(gè)立體的多層面的工作，不再是一兩家安全公司能夠完整覆蓋。

現(xiàn)有傳統(tǒng)安全體系往往是由廠商獨(dú)立建立和維護(hù)，服務(wù)于自身產(chǎn)品和客戶的封閉系統(tǒng)；臃腫的檢測和防護(hù)模塊，也難以被集成到第三方產(chǎn)品和應(yīng)用中；此外冗長的法律和商務(wù)談判，也使?jié)撛诤献髡咄鴧s步。

而基于安全信譽(yù)服務(wù)的輕量級(jí)客戶端不再需要復(fù)雜的內(nèi)容掃描和監(jiān)控模塊，只需要通過簡單接口即可完成客戶端的防護(hù)工作，大大減輕了進(jìn)行集成的成本。綠盟科技會(huì)提供持續(xù)和穩(wěn)定的服務(wù)端運(yùn)維支持，通過匯集客戶端實(shí)時(shí)反饋與合作伙伴的交換信息，進(jìn)而改善服務(wù)的自身質(zhì)量。整個(gè)信譽(yù)系統(tǒng)是為一個(gè)開放生態(tài)系統(tǒng)而設(shè)計(jì)，來源于互聯(lián)網(wǎng)并服務(wù)于互聯(lián)網(wǎng)。

在對自有產(chǎn)品提供支持的同時(shí)，信譽(yù)系統(tǒng)也通過信譽(yù)服務(wù)為第三方產(chǎn)品和應(yīng)用提供服務(wù)，使用者將通過雙向信息反饋通道與信譽(yù)系統(tǒng)形成互動(dòng)。

信譽(yù)系統(tǒng)自身是一個(gè)綜合不同維度信息的知識(shí)庫，通過掃描系統(tǒng)和反饋系統(tǒng)實(shí)時(shí)更新和積累原始數(shù)據(jù)。為提高發(fā)現(xiàn)威脅的及時(shí)性，信譽(yù)系統(tǒng)包含了一整套自動(dòng)化閉環(huán)反饋處理的流程，對客戶反饋、合作伙伴和運(yùn)營商提供的信息進(jìn)行處理。

互聯(lián)網(wǎng)企業(yè)或用戶可以通過綠盟科技提供的開放接口，通過信譽(yù)服務(wù)進(jìn)行查詢。各種網(wǎng)關(guān)產(chǎn)品、終端軟件和應(yīng)用服務(wù)，可以在用戶訪問互聯(lián)網(wǎng)資源前，通過對資源安全信譽(yù)進(jìn)行查詢，發(fā)現(xiàn)潛在的安全分析，一旦發(fā)現(xiàn)用戶訪問的互聯(lián)網(wǎng)資源安全信譽(yù)存在問題，即可暫時(shí)停止用戶對此資源的訪問，從而達(dá)到保護(hù)用戶的目的。

在與現(xiàn)有安全防護(hù)體系進(jìn)行整合，結(jié)合主動(dòng)探測和客戶反饋之后，信譽(yù)系統(tǒng)可以更好的服務(wù)于整個(gè)安全體系中的合作伙伴，持續(xù)改善使用者的用戶體驗(yàn)。