您的位置: 网界网 > 周报全文 > 正文

[周报全文]防恶意威胁,有信则立

2010年03月02日 13:50:33 | 作者:网界网 边歆 | 来源:网界网 | 查看本文手机版

摘要:面对海量恶意威胁,与其等它们“打上门来”再防御,不如主动出击直捣其老巢。信誉评估技术就是帮助安全产品从根源上战胜恶意威胁的有效工具。

标签
恶意威胁
信誉评估技术

【CNW.com.cn 专稿】《论语》中有这样一句话——“人而无信,不知其可也”。意思是说,“作为一个人却不讲信用,不知他怎么可以立身处世”。两千多年前的孔子一定想不到,他说的这句话竟然还可以用来描述当今的防恶意威胁技术发展趋势。

我们可以把孔子的话稍微改动一下——“安全无信,不知其可也”。在这里,“信”指的是信誉评估技术。现在,安全产品的发展趋势之一就是采用信誉评估技术,不具备信誉评估技术的产品已经越来越没有竞争力。

应对威胁新形势

近年来,安全威胁状况发生了很大变化,导致新兴恶意软件的传播方式也随之改变。过去通常是一个恶意软件感染上百万台计算机,而现在,更为常见的则是上百万种恶意软件的变种,而每个仅感染一定数量的计算机。

2009年,全世界共发现了近2亿个不同的恶意软件变种。面对此种挑战,只有改变传统的安全防护方法,才能在与恶意软件变种的斗争中占据上风。

传统的防病毒软件主要依赖使用病毒签名的黑名单技术来拦截恶意软件。赛门铁克资深首席信息安全技术顾问林育民向记者表示,10年前,赛门铁克平均每天发布5个新型病毒签名,现如今,尽管每个签名仍然能够检测出许多不同的恶意软件,但安全厂商每天所要发布的签名已经达到了上千个。

基于信誉的安全技术弥补了传统安全技术的不足,该技术最早在反垃圾邮件产品中应用。随着安全进入Security 2.0时代,反病毒软件厂商开始在云安全中应用信誉评估技术。据林育民介绍,赛门铁克研究实验室于4年前开始研发这项技术,研究重点集中在如何凭借指定文件的部分使用情况信息来辨别该文件是否安全。在试验成功后,交由赛门铁克安全技术与响应中心负责后续的商用开发,以及市场应用工作。

赛门铁克基于信誉的安全技术充分利用多方数据资源,包括Norton Community Watch成员提供的匿名数据,软件发行商提供的数据,以及在针对大型企业用户发起的数据收集项目中获得的数据。这些数据会持续不断地更新到信誉引擎,以此确定每一软件文档的安全信誉等级,绝不需要对该文档进行扫描。基于信誉的技术所利用的信息包括文档的相关性、使用年限,以及用于计算高度精确的信誉分数的其他因素。

趋势科技是较早采用信誉技术的反病毒软件厂商。在趋势科技2009年推出的云安全2.0概念中,与云安全1.0相比,云安全2.0也增加了文件信誉技术。趋势科技中国区总经理张伟钦说:“云安全2.0新增了文件信誉技术和多协议关联分析技术。”

在云安全2.0中,包含着“邮件信誉技术”、“Web信誉技术”和“文件信誉技术”。这三者相辅相成,是有效打击恶意威胁的安全防护“组合拳”,而把这三种技术有效整合在一起的则是多协议关联分析技术。

文件信誉技术就是通过互联网达到“反病毒厂商的计算机群”与“用户终端”之间的互动,变病毒代码下发为上传文件的特征至云端比对。上传文件并不是将整个文件上传比对,而只上传文件中的一些特征,查询时间仅需几毫秒。在云安全2.0中,下发病毒代码只起到辅助防御的作用,真正要做到的是随用随查,保证防护的实时性。

趋势科技的文件信誉技术与反垃圾邮件产品中的黑名单技术有些相似,二者之间有什么区别呢?趋势科技资深产品技术顾问徐学龙表示,从“黑名单”的内容来看,反垃圾邮件产品中的黑名单主要包括垃圾邮件发送源IP和发送邮箱,进来的每一封邮件都需要比对。而文件信誉技术则是基于云安全的病毒查杀机制,在云端存放这些恶意程序的特征,仅在需要的时候才会访问云端。徐学龙特别强调,文件信誉技术不仅是病毒与代码的简单比对,还包括参照50多种病毒属性对恶意程序进行信誉辨别,精准实现对企业的安全防护。

文件信誉技术采用了特殊的智能过滤器,可以实现客户端的离线保护。该过滤器减少客户连接到本地云扫描服务器的需要,采用先进的技术来确定文件是否安全,是否还需从服务器中获得其他信息。无论用户在线还是离线,文件信誉技术都可以提供持续保护,避免恶意威胁感染计算机。

赛门铁克的信誉技术也强调“反病毒厂商的计算机群”与“用户终端”之间的互动。全球任何角落的终端用户加入赛门铁克信息安全共享社群后,会与云端的服务器保持实时联络。当发现异常行为或病毒等风险后,自动提交到云端的服务器群组中,由云计算[注]技术进行集中分析和处理。

除了文件信誉评估之外,借助URL信誉数据库,安全厂商可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。

通过URL信誉分值的比对,用户可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时,系统就会及时提醒或阻止。通过这种URL库的信誉评分机制,可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度,而不是真正的内容,因此能有效预防恶意软件的初始下载,用户访问恶意网站前就能够获得防护能力。

12

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]