存档

文章标签 ‘云安全’

云安全 让手动更新病毒码将成为历史

2008年12月4日 1 条评论 63 views

今天,你更新病毒码了吗?根据AV-Test.org的最新统计,全球恶意程序已超过1100万个,而且每4秒钟就产生一个新病毒。在网络威胁飙升的今天,更新病毒码成为企业及网民每天必备的工作,从每周一次到每天一次,直至时刻更新,而传统代码比对技术的流程性问题正在导致查杀病毒的有效性急剧下降,反病毒行业必须寻找新的技术突破。

今年7月,趋势科技率先在业内推出了基于云计算平台的云安全解决方案,以应对快速增长和极具动态性的网络威胁。据趋势科技的产品技术顾问徐学龙介绍:该技术超越了传统病毒样本分析的处理机制,通过构建庞大的云端服务器群对Internet上的海量信息源进行分析整理,将高风险信息源保存到云端数据库中,当用户访问Internet信息时,通过实时查询信息源的安全等级,就可以及时将高风险信息及时阻挡,在网络威胁到达终端用户或公司网络之前将其拦截,从而让用户频繁的更新病毒码工作成为历史。

病毒在进化:Web传播是主渠道 变种弹指瞬息万变

病毒发展的渠道、传播形式以及生命周期已经发生了质的改变。目前病毒的成长多数来自网络,通过网络传播、自动下载新病毒或自动更新变种,不断成长。

网络钓鱼、木马、间谍程序、Botnet僵尸网络,往往潜伏在看似正常的页面中,它们像是网络的隐形地雷,一旦 Click 就有可能引爆。当你浏览网页或按下垃圾邮件、MSN所附带的URL链接的同时,其实与灾难只有一“键”之隔!

2007年起利用Web 页面的攻击如过江之鲫,到2008年3月趋势科技发现有 400 多种用来产生网络钓鱼的工具套件。近20年来,网络恶意攻击呈爆炸性增长态势。1988年,全球共搜集发现了1738例病毒样本,而2008年单月搜集的数量就超过了64万例(平居一天约2万,每隔4秒一个病毒)。截止2008年5月份,整个恶意软件的数量超过了1100万例。根据趋势科技的统计,Web威胁从2005年到2008年3月,增长了1731%。

道高一尺 魔高一丈 传统病毒特征码比对已现疲态

病毒特征码像是犯人的指纹,当防病毒软件公司收集到一个新的病毒样本时,他们就会从这个病毒程序中截取一小段独一无二,而且足以表示这个病毒的二进制程序代码 (Binary Code),来当做扫毒程序辨认此病毒的依据,这段独一无二的二进制程序代码就是所谓的病毒特征码。因为病毒的种类及型态一直在改变,新病毒每天不断的被写作出来,如果不经常更新病毒特征码,再强悍的防病毒软件也会失灵。今天,由于新的恶意软件海量出现,而且在线自动更新变种,这使得采用传统的病毒特征码防护工作变得非常困难。

不断更新的病毒特征库,不仅文件越变越大,而且无法追上新病毒产生的速度。2001年,每周更新一次病毒特征码成为了业内的共识。那时病毒的生命周期较长,每周更新一次足以保证计算机的安全。随着病毒的生命周期的缩短,更新病毒特征码从每周一次到每天一次,再到每小时一次,甚至以分钟计算的地步。但即便这样,传统的病毒特征码防护价值仍在缩水,对遏制主流Web威胁已经起不到太大作用。

传统的反病毒应付这些木马,需要先从客户端得到病毒样本,然后进行研制作出解决样本,再通过成功测试,最终还需端点用户下载更新病毒代码才能实现真正的病毒防护工作。如上文所说,目前每隔4秒种就有一个新病毒诞生,而在4秒内,我们可以做出病毒特征码并分发到各个终端吗?这显然是不现实的。

仅针对制作病毒特征码的环节,每天2万个病毒就至少需要1000位资深病毒分析工程师一刻不停地进行分析才能完成,由于病毒仍在持续加速产生,这对任何一个安全厂商来讲,如果没有技术上的革新,最终都会走到一个人力的瓶颈。目前单个病毒的发作周期日益缩短,病毒特征码的防护有效性正变得越来越低,传统的代码比对技术因此变得越来越不经济。

减轻终端负担 让你的病毒码在云中进行更新

趋势科技认知到:与网络上流窜的病毒对抗,必须要找到新方法。须以其人之道还治其人之身,网络来的病毒,就得在云端解决。目前,趋势科技云安全技术架构已经在全球建立了5个数据中心,34000多部在线服务器,拥有99.9999%的可靠性。可以支持平均每天50亿笔点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全技术,趋势科技现在每天阻断的病毒感染高达1000万次。

徐学龙强调:“反病毒响应时间必须与病毒生成的时间相匹配,云安全技术在云端构建了庞大的病毒威胁库,进行7×24小时的进行实时计算,云安全技术将手工制作特征码的方式转变为云服务器群动态计算的方式,相同的分析工作,传统的人工分析需要2小时的时间,而云安全技术只需要几秒钟,从而达到了与病毒产生速度匹配的效果。用户在实际使用中,通过安全子系统的自动查询,就可获得及时保护,如此惊人的差距,必然让以往频繁的更新病毒码工作成为历史。”

目前,趋势科技针对来自于网络的病毒,将基于Internet传播的病毒特征码放入云端,端点用户可以大大减少更新病毒码的工作。同时,趋势科技全线硬件网关产品如IWSA、IGSA等都内嵌了云安全的核心技术之一Web信誉评估技术(WRS),彻底阻绝用户与病毒接触的风险。

趋势科技Web安全网关IWSA现已成功应用在制造、政府、交通等行业,据这些用户反馈:自从云安全技术应用后,在网关处实现了对网站挂马病毒的有效拦截,使得病毒数量下降了70%,这是依靠传统的病毒特征码更新无法达到的效果。与此同时,作为企业IT管理人员表示,现在接到的企业内部中毒报警电话也大大下降,与之前相比减少了80%左右。

趋势科技云安全技术将病毒本地扫描防护的机制转变为了Client—Cloud(客户端-云端)的安全防护架构,这意味着用户随时都能获得最新的安全防护,相信在未来,随着网络应用的深入发展,云端防护的有效性会越来越突出。虽然云安全技术不是万能的,但至少是反病毒技术的一次飞跃,也是内容安全厂商的必由之路。

可以预计:对整个信息安全行业来说,未来产品客户端将不再是竞争的焦点,企业差异化竞争的核心将转移到云端架构的后台计算和分析服务能力方面;而对于用户来说,安全防护更及是地、更全面,还不用频繁地升级病毒特征码数据库,用户将以最低限度的存储和计算资源,获得最完善的安全防护。

分类: 业界资讯 标签:

四问“Web防御与云安全”(4)

2008年11月6日 没有评论 75 views

四问“云安全”

在本次采访中令人振奋的另一大热点,就是各家安全厂商都在或多或少地将最新的云计算模型引入到Web安全技术之中,并构建了完善的云安全方案。

在云安全方面投入力量最早的是趋势科技,他们早在两年前就开始针对云安全进行研究,并且在全球部署了34000台云端服务器,同时与顶级域名管理机构合作,在DNS中增加参数,进行全球域安全解析。无疑,所有的努力都是为了尽可能全面地应对Web安全的挑战。

趋势科技资深技术顾问徐学龙在接受本报独家专访时表示,云计算是一个数据处理的概念,在处理海量数据的时候的模型,大量集群服务器收集信息,给出结果。这种模式是一种模型,安全厂商利用这种模型推出来的服务,就是云安全方案。

他说:“云安全可以从整个互联网上收集源信息,判断用户的互联网搜索、访问、应用的对象是不是恶意信息。这种模式与病毒代码的比对不同,病毒代码是用特征码进行识别,而云安全根据信息的位置来判断,根据URL地址这一段的风险程度来判断。要知道,传统的病毒代码分析依靠大量人工,而云安全则利用历史的观点不停地对互联网进行分析,通过将URL划分为50多种属性,安全统计的准确性、动态性会非常好,第一次的安全事件命中率可以达到99%,只要全球范围内有1%的用户提交需求给云端服务器,15分钟之后全球的云安全库就会进行策略控制。目前云安全的分析方法是根据信息所在地址的多种属性来分析,通过长期跟踪,几乎没有误报。”

长远来看,针对Web安全中比较头疼的病毒、木马、间谍软件、恶意软件与恶意站点攻击,采用云安全技术确实可以有效阻止此类威胁的蔓延。据统计,目前全球的病毒代码约为100万个,并且在不断增长,这就造成病毒代码比对的难度越来越高。在记者看来,云安全的出发点则是阻止整个互联网中的“威胁块”,这里说的“威胁块”不仅仅是指某个网站,有时候就是一个网页中的一小部分。

云安全是一个技术,不是单一的产品。云安全技术是第一道防线,用户可以选择对访问目标(下载的文件)进行病毒代码扫描,并且与云端服务器进行安全回馈。对企业用户来说,具体的回馈敏感度管理员可以根据使用情况来调整。

最后,徐学龙给记者列出了一套完整的云安全方案需要的组件:Web信誉服务、邮件信誉服务、文件信誉服务。

中国工商银行总行的IT负责人介绍,他们近期已经为全行采购了趋势科技的Web安全网关IWSA,出发点就是看中了其中集成的相关信誉服务体系。随着Web病毒越来越多,Web信誉的价值越发明显。而文件信誉服务则是追踪整个互联网上文件的信誉,跟踪文件的生命周期。包括本地U盘拷贝等,通过MD5算出的32位值比对云端的恶意文件匹配,从而确保了文件安全与防泄漏。

另外,Blue Coat资深技术经理毛骏也向记者表示:“为了获得更加完整的安全效果,公司推出基于分层理念的Web安全防御体系。其中包括了云计算层和网关层两大部分。云计算层提供基于全球的网站分类、样本收集与策略分发,而网关层涵盖了基本内容过滤、Web防病毒、用户行为管理、数据防泄露四部分。两大部分相互结合,组成全面、准确、及时的Web安全方案。”

其实,相对于大而全的云安全方案,还有一些在Web安全网关中应用了云安全模型的技术值得关注。

比较有代表性一类包括Blue Coat的Web Pluse网络脉冲技术、Wedge Networks的Trusted Cloud Forest云信任森林技术,他们的共同之处都是将技术嵌入到自家的Web安全网关之中,并且利用在互联网上部署的上万台设备,采集上百万客户端的样本,并且由统一的中心进行分析,全球每天15亿次的各种请求最终形成自身的安全策略进行下发。

另一类则是以Secure Computing的TrustedSource和Websense的ThreatSeeker为代表的信誉体系技术。他们的共同点都是利用云计算的特征,在全球范围内部署设备收集信息,同时进行关联分析,甚至利用蜜罐、网格计算技术为安全规则库更新信息。这种精细化的策略,能够更精准的进行控制,并且减少设备管理上的负担。
 

分类: 技术文章 标签: ,

四问“Web防御与云安全”(3)

2008年11月6日 没有评论 51 views

三问“新型Web安全网关”

由于发现了Web安全对于企业用户的重要性,同时也由于传统的安全技术对此束手无策,新型的Web安全网关被推到了当前安全话题的中央。

传统的Web安全网关诞生于2006年,经过两年的市场磨合,感觉存在四方面的不足:第一,性能跟不上;第二,功能与检测准确度不够;第三,部署比较复杂;第四,维护难度较高。为此,当前主流安全厂商在大量应用新技术的条件下,推出了“新一代”Web安全网关。细心的读者可能发现,参与本次专题的都是外资安全厂商。确实,在占领技术的制高点上,外资公司又走到了Web安全的“风口浪尖”。

对此,张鸿文博士对记者表示,目前恶意Web攻击在全球范围内呈指数形式增长,对抗类似威胁的有效方法之一,就是和每一个Web安全方面的领导厂商建立强有力的合作伙伴关系。以Wedge Networks为例,我们一直在推动NDP网络数据处理平台,并且在其中应用了Subsonic次声技术。这种技术目前在北美的大型企业网关、服务器池、以及IDC中心颇为流行,它可以让Web安全网关在一个高负载的网络中从容提供实时的七层深度内容检测。Subsonic技术在算法上取得了突破,不仅性能可以满足繁忙网络的需求,而且可以基于特征码和模式识别进行安全检测,配合NDP开放的服务总线架构与高级的网络协议堆栈,确保一个Web安全网关可以整合更多不同安全厂商(如更专业的反病毒、反恶意软件厂商)的技术与算法。

对于很多用户关心Web安全防御中的性能损耗问题,他说:“我同意并且理解这些用户担心什么。我们的渠道已经告诉我们在处理Web安全方面,维持一个可以接受的性能会有多么重要。事实上,自从2003年以来,随着单核CPU的时钟频率趋于稳定,每年网络带宽的需求都会增加四倍。作为企业的CTO,我发现任何架构想要跨越这个性能鸿沟都不得不采用多CPU和多核系统。幸运的是,Subsonic技术可以利用行为模式原理去管理大量并发会话,从而在多核环境中大量提高性能。”

另外,李松对于Web内容的深度检测也非常看重。他说:“当前防御来自HTTP的威胁已经成为安全网关的首要问题之一。而大量存在漏洞的Web服务器更是随时可能被攻击并被利用来传播或发布恶意软件。网站内容的可变性决定了只有进行内容检查才能得到最可靠的结果。而HTTP访问对于即时性有很高的要求,传统基于X86架构的安全设备在性能处理上存在瓶颈,面对应用层安全设备的高性能需求,利用ASIC芯片扫描技术可以对Web内容进行流畅的扫描。Anchiva目前采用ASIC芯片来进行病毒扫描,加上自主研发的性能优化操作系统,单台设备可以做到千兆级别的线速吞吐。”

在多核的应用上,王钟也非常积极,不过他对实时的内容检测技术有所担心。他说:“针对基于Web的安全威胁,我跟踪了相当长的时间,这方面国外厂商积累了较为资深的经验,从实践来看,效果还不错。针对网页内容引发的Web风险,我更青睐基于URL的网页过滤,以及基于应用协议分析的管控手段。因为安全检测到了内容级,都会消耗较多的系统资源。所以大家才会有这样一个共识,事先对Web内容做安全性检测,提供出对应的URL列表。但这种技术对相应的安全数据库有较高的要求,必须做到经常更新,确保控制的有效性。其实,任何安全防范手段都有其时效性的问题。考虑到开启深度内容检测功能带来的性能下降问题,多数厂商选择放弃,而只提供了入口级的控制手段。如果厂商能解决好处理性能问题,比如将多核处理器支持运用的如火纯青,会为用户提供更为稳固的安全防范手段。”

在功能的全面性与性能的平衡上,Secure Computing的做法比较独特。有意思的是,这家公司本月初刚刚被IDC认定为“全球Web安全产品和解决方案领域市场份额第一,居于市场领导者地位。”

ecure Computing中国区总裁蔡勇先生向记者表示,Web安全需要全方位的技术方案,包含了从防火墙、Web控制、邮件安全的各个层面。因此对于安全问题,并非某个独立的应用,而是需要在各种不同层次的安全设备中,提供对混合威胁(blended threat)的防护。

他说:“安全做到现在的阶段,我越来越感到安全本身的复杂与庞大。如果要做到全面的安全,单靠某一点的努力已经远远不够了。比如我们一直在推动全球最大和历史最久的信誉系统TrustedSource,目的就是希望通过对不同国家、多种应用的分析----包括对IP地址、域名、邮件、图片、URL等多种对象的数据关联分析,提供最全面、准确和实时的信誉评估,从而最大程度地保护用户的网络和应用。当然,这仅仅是基础,一个优秀的Web安全网关,还需要对SSL扫描进行支持,因为当前隐藏在SSL流量中的恶意软件不胜枚举----全面就不能忽视安全的细节。”

针对当前用户比较头疼的HTTP防御和Web服务器漏洞保护问题,他提出了五点建议:第一,HTTP防御中最困难和最复杂的是解决应用层面的攻击,例如SQL注入、特殊编码、恶意变换URL等;第二,Secure Computing的Sidewinder防火墙通过采用应用代理技术,可以从根本上确定安全防御的模型,确保应用协议的规范性,以及应用的可控性,从而为应用的安全控制提供了管理的可能;第三,利用高效IPS引擎对已经过规范性审核的HTTP流量进行特征检查,可以即时发现恶意攻击;第四,通过Sidewinder中的GeoLocator功能,可以针对不同地域来源的访问设定不通的安全防护级别,优化系统资源与效能;第五,TrustedSource信誉体系提供的信誉评估数据,可以使得安全设备识别出访问的意图,从网络的边缘拒绝掉恶意的僵尸主机攻击,提高正常访问的比率,在提高了安全性的同时节省了带宽。

另外,针对新型Web安全网关的部署模式问题,Websense中国区技术经理刘沛旻向记者透露,目前主流的Web安全防御方案,主要采用的是旁路监听方式和结合网关设备的方式。如果是采用旁路监听的方式,可以通过复制出口流量来进行内容分析,只有在发现异常数据时才会通过相关组件发送阻断指令,阻断不良、恶意连接,这样的方式是完全不会造成任何网络延迟的。结合网关设备的方式则利用网关设备和Web安全防御方案联动的方式进行,客户的请求将由网关设备转交给Web安全防御产品处理,再决定用户的请求是否被允许,这样的工作方式的确可能造成一定的互联网访问的延迟,但是因为目前主流的Web安全防御方案还是主要采用URL匹配的方式来发现恶意的网站,而不是本地分析整个网页的内容,因此,匹配过滤的速度还是相当快速的。

另外,他也建议,如果用户采用网关设备结合部署,可以采用Proxy设备及硬件缓存设备来进行结合,因为这类网关设备可提供本地的缓存能力,可以为用户提供更快速的内容缓存和页面内容过滤的缓存。 
 

分类: 技术文章 标签: ,

四问“Web防御与云安全”(2)

2008年11月6日 没有评论 80 views

二问“Web安全形势”

之所以当前Web安全成为热门话题,关键还是因为国内外Web安全大环境不容乐观。根据趋势科技刚刚发布的《2008年上半年安全威胁报告》的统计,目前针对Web应用的威胁正以爆炸式的速度增长,全球范围内企业与终端用户面临的风险已经到了非常严重的地步。

对此,Wedge Networks全球CTO张鸿文博士介绍,无论是美国还是中国,随着“社会网络、Web2.0、SaaS”的兴起,网络本身已经成为社会生活的一部分。在这种环境下,与传统的病毒制造不同,当前各种木马程序、间谍软件、恶意软件等以利益驱动的攻击手段越来越多。事实上,随着当前Web应用开发越来越复杂与迅速,攻击者可以很容易地通过各种漏洞实施诸如:注入攻击、跨站脚本攻击、以及不安全的直接对象关联攻击,从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。另外,通过木马、漏洞控制海量的普通用户主机组成僵尸网络,利用这些“肉鸡”,控制者可以通过多种方式获取利益,比如发起攻击、点击广告、增加流量等行为。

“从实际的经验看,在一个典型的Web服务架构中,很有可能发生某些攻击行为从Web层面渗透到企业的控制与数据层面,从而引起更大范围的灾难。其实不论是攻击Web站点还是Web服务,恶意Web站点总是能够快速建立起来,并在搜索引擎的推动下袭击无辜的用户。”

从Wedge Networks全球合作伙伴反馈的信息来看,美国、日本、韩国、英国的企业用户对于Web攻击以及Web应用的脆弱性都有较为充分的了解。在此基础上,那些国家中一些垂直行业与机构,比如公共安全、金融、医疗、交通、能源等企业,对于Web安全保护的技术关注与投入都非常高。
然而遗憾的是,记者在国内进行的统计结果并不乐观。有调查显示,超过70%的被调查用户不清楚Web安全的威胁形势与防御手段,其中将近六成用户都没有编列相关安全预算。令人担心的是,很多企业对此出现了认识误区,他们认为通过防火墙或者IDS/IPS设备就可以确保Web安全。更有甚者,在某些国内厂商的“误导”下,一些用户将Web安全等同于系统漏洞/脆弱性扫描。

实际情况是可悲的。根据趋势科技发布的统计数字,从今年二季度开始,国内就有超过1万个大型网站遭受“注入攻击”,这些攻击者的动机几乎都是恶意软件植入、名誉损害、以及数据窃取。

记者清楚的记得,有用户这样抱怨:“我们重视Web安全造成的损失,但是我不清楚,这部分预算究竟应该分配给谁:是分配给负责网络基础设施的管理团队,还是分配给管理Web服务器和数据库服务器的团队?”无疑,Web安全的挑战被演绎到了技术、应用与企业管理水平的层次上。

问题已经很清楚了,当前针对Web应用的威胁,企业用户当前的防范措施还远远不够。对此张鸿文博士曾一针见血地指出:“当前国内企业已有的大部分安全设备都是基于TCP/IP协议的三、四层防范,而针对Web应用的威胁是基于协议的七层攻击(应用层攻击),从技术角度来看,传统防火墙、IDS等设备针对应用层的攻击几乎是没有防御效果的。”

分类: 技术文章 标签: ,

四问“Web防御与云安全”(1)

2008年11月6日 没有评论 49 views

一直以来,针对Web安全保护的技术层出不穷,当前此类技术流派已经分成两大类:第一类以新型的Web安全网关为基础,第二类以最新的云安全技术为基础,两种技术一度出现了互相渗透与融合的局面。对用户而言,无论采用哪种技术,最关键的还是安全效果的体验。

为了能够更加清晰地指导用户进行Web安全技术选型,本报特别邀请了Anchiva、Blue Coat、Hillstone、Secure Computing、Websense、Wedge Networks、趋势科技的安全技术专家,共同对当前热门的Web安全技术进行分析。

一问:“定义与共识”

者在筹备这次大型专题的过程中,最为兴奋的一件事情,就是当前业内主流安全厂商经过多年的反复争论,终于在Web安全上达成了共识,统一了Web安全的定义。这的确是一件不容易的事情,要知道不同的厂商侧重点不同----URL过滤的、Http过滤的、防病毒的、反垃圾邮件的、Proxy的、端口镜像的等等----大相径庭的方案很可能导致用户对整个Web安全领域的困惑,非常不利于整个产业的成长。

针对Web安全,当前业内的一致看法是,统一的定义不能从厂商的技术上去下,而是要与用户需求的紧迫程度挂钩。

从这个角度上分析,Web安全分成两类应用模式:一类是针对病毒、木马、间谍软件、恶意软件的威胁;另一类着眼于规范用户行为,比如用URL过滤某些站点、员工上班时间上网控制、对用户应用协议的控制、对IM应用的记录与过滤、对P2P软件的管理与控制、对企业内部的带宽管理等。

需要注意的是,两种应用模式并非孤立存在,彼此间是有交叉的。据Anchiva中国区总经理李松介绍,根据经验,一套完整的Web安全方案,至少需要两个部分:一台针对TCP/IP协议二、三、四层应用的安全防御设备(比如防火墙、入侵检测、UTM),之后串接一台针对七层内容的安全防御设备,以便解决病毒、IM、P2P、网络游戏、垃圾邮件、内容审计等应用。

持类似看法的,还有中国民用航空管理局的一位安全管理员。他说:“到目前为止,我所了解的不少同类用户对于Web安全仍然无法形成最优的配置或共识,但我们有一个最基本的思路,即一套完整的IPS系统+Web安全网关相配合,至少能够满足相当多的内部员工对于Web安全的需求。”

说到应用,Hillstone首席软件架构师王钟在接受本报独家专访时表示,针对企业的攻击总是跟随着应用而来,越来越多的企业应用构建在互联网之上,而用户在互联网上的活动也是越来越频繁和难以控制。无论是正常的企业应用还是企业员工的个人上网行为,都会成为Web攻击的对象。从目前来看,多年的积累,使得企业具备一定的网络攻击防御能力,而针对新出现的Web活动引发的安全威胁,企业需要根据自身的特点,增强相应的防范手段。

分类: 技术文章 标签: ,

云安全的七大技术核心

2008年11月6日 没有评论 53 views

从目前的安全厂商对于病毒、木马等安全风险的监测和查杀方式来看,"云安全"的总体思路与传统的安全逻辑的差别并不大,但二者的服务模式却截然不同。在“云”的另一端,拥有全世界最专业的团队来帮助用户处理和分析安全威胁,也有全世界最先进的数据中心来帮你保存病毒库。而且,云安全对用户端的设备要求降低了,使用起来也最方便。

云安全为我们提供了足够广阔的视野,这些看似简单的内容,其中缺涵盖七大核心要素:

Web信誉服务

借助全信誉数据库,云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。为了提高准确性、降低误报率,安全厂商还为网站的特定网页或链接指定了信誉分值,而不是对整个网站进行分类或拦截,因为通常合法网站只有一部分受到攻击,而信誉可以随时间而不断变化。

通过信誉分值的比对,就可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,从而帮助用户快速地确认目标网站的安全性。通过Web信誉服务,可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容,因此能有效预防恶意软件的初始下载,用户进入网络前就能够获得防护能力。

电子邮件信誉服务

电子邮件信誉服务按照已知垃圾邮件来源的信誉数据库检查IP地址,同时利用可以实时评估电子邮件发送者信誉的动态服务对IP地址进行验证。信誉评分通过对IP地址的“行为”、“活动范围”以及以前的历史进行不断的分析而加以细化。按照发送者的IP地址,恶意电子邮件在云中即被拦截,从而防止僵尸或僵尸网络等Web威胁到达网络或用户的计算机。

文件信誉服务

文件信誉服务技术,它可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单,即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。由于恶意信息被保存在云中,因此可以立即到达网络中的所有用户。而且,和占用端点空间的传统防病毒特征码文件下载相比,这种方法降低了端点内存和系统消耗。

行为关联分析技术

通过行为分析的“相关性技术”可以把威胁活动综合联系起来,确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处,但是如果同时进行多项活动,那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁,可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库,即能够实时做出响应,针对电子邮件和Web威胁提供及时、自动的保护。

自动反馈机制

云安全的另一个重要组件就是自动反馈机制,以双向更新流方式在威胁研究中心和技术人员之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁。例如:趋势科技的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式,实现实时探测和及时的“共同智能”保护,将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库,防止以后的客户遇到已经发现的威胁。

由于威胁资料将按照通信源的信誉而非具体的通信内容收集,因此不存在延迟的问题,而客户的个人或商业信息的私密性也得到了保护。

威胁信息汇总

安全公司综合应用各种技术和数据收集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路。通过趋云安全中的恶意软件数据库、服务和支持中心对威胁数据进行分析。过7×24小时的全天候威胁监控和攻击防御,以探测、预防并清除攻击。

白名单技术

作为一种核心技术,白名单与黑名单(病毒特征码技术实际上采用的是黑名单技术思路)并无多大区别,区别仅在于规模不同。AVTest.org的近期恶意样本(Bad Files,坏文件)包括了约1200万种不同的样本。即使近期该数量显著增加,但坏文件的数量也仍然少于好文件(Good Files)。商业白名单的样本超过1亿,有些人预计这一数字高达5亿。因此要逐一追踪现在全球存在的所有好文件无疑是一项巨大的工作,可能无法由一个公司独立完成。

作为一种核心技术,现在的白名单主要被用于降低误报率。例如,黑名单中也许存在着实际上并无恶意的特征码。因此防病毒特征数据库将会按照内部或商用白名单进行定期检查,趋势科技和熊猫目前也是定期执行这项工作。

因此,作为避免误报率的一种措施,白名单实际上已经被包括在了Smart Protection Network中。

分类: 技术文章 标签: