您的位置: 网界网 > 周报全文 > 正文

[周报全文]防恶意威胁,有信则立

2010年03月02日 13:50:33 | 作者:网界网 边歆 | 来源:网界网 | 查看本文手机版

摘要:面对海量恶意威胁,与其等它们“打上门来”再防御,不如主动出击直捣其老巢。信誉评估技术就是帮助安全产品从根源上战胜恶意威胁的有效工具。

标签
恶意威胁
信誉评估技术

信誉评估将无所不在

层出不穷的恶意软件及其数量庞大的变种,对所有安全产品而言,都是一个严峻的考验。当大家都在思索对策时,防病毒软件厂商率先推出了基于云安全的信誉评估技术,该技术已经被证明是行之有效的。因此,越来越多的安全厂商开始采纳信誉评估技术。

作为IT界的巨头,思科的做法具有代表性。随着IT进入云时代,思科也把其防火墙升级到了“云火墙”。 云火墙的“大脑”是SensorBase(前身是SenderBase,思科通过收购IronPort获得了SenderBase)。现在,SensorBase是全球最大的邮件流量监控网络,提供全球安全威胁实时视图和电子邮件的“信用报告服务”。 思科还在SensorBase中加入了僵尸网络主控数据库,使其能够敏感监控僵尸网络的动态。

可以看到,SensorBase的核心功能之一就是提供相关资源的安全信誉。思科安全产品事业部技术专家郭庆表示,SensorBase是云火墙出现的前提,SensorBase让云火墙实现了动态防范、主动安全。

McAfee的产品线中既有防病毒软件,也有防火墙。因此,McAfee可以很轻松地在防火墙产品中加入信誉技术。McAfee的新一代防火墙使用了基于全球信誉(包括TrustedSource 信誉和地理定位)的技术,能够在恶意流量攻击网络前将其过滤掉 ,对威胁做到防患于未然。

除了防火墙之外,IDS产品也借助互联网安全信誉服务武装自己。绿盟科技产品市场部陈星霖对记者表示,目前,木马威胁愈演愈烈。通过看似正常的互联网站点向用户传播木马等恶意程序,是一种极为隐蔽的攻击方法,很少有用户是因为了解自身操作系统、应用服务的脆弱性而发现遭受攻击的。因此,在互联网上大量投放利用客户端漏洞的恶意代码,再“借助”用户对互联网站点的盲目信任,就能够很轻松地诱骗客户被动下载木马程序。当然,更多时候,首先植入用户主机的可能是一个下载器,它会自动连接远端的“木马养殖场”,下载更多恶意程序到本地执行,从而使得木马控制者能够获得某些敏感的数据,或通过渗透,最终获取用户主机的控制权限。

在面向以木马为代表的新型应用层攻击时,IDS可采用的检测技术则主要包括以下三种:基于协议分析的特征检测、基于行为分析的异常检测,以及基于互联网安全信誉服务的恶意流量检测。

特征检测技术能够识别已知的攻击类型,但是面对新的未知攻击时会变得束手无策。异常检测技术对于未知的攻击模式有一定检测能力,但在实现上,要求系统对用户行为的正常态有着较强的敏感性。同时能够及时感知用户行为的变化,否则不可避免会产生误报。

当前(+本站微信networkworldweixin),在“地下黑色产业链”的操控下,恶意程序的变种数量越来越多,传播和分散速度越来越快,已经远远超过攻击特征库的更新速度,传统的、基于特征匹配的检测和响应速度逐渐滞后。新兴的混合型攻击通常还把功能实现拆分到多个动作完成,以逃避面向行为分析的安全监控。

要应对新的安全威胁挑战,就需要一种更加全面、高效的监测和防护机制,于是安全厂商将互联网安全信誉服务的成果应用到了IDS等传统安全产品中。该项技术的核心思想是:基于云安全体系,运用部署在全国多个数据中心里的探测引擎,对互联网相关资源进行威胁分析和信誉评级,再将研究成果应用到IDS等安全产品中。一旦检测到网络中有匹配的恶意流量在传输,立即报警并做出响应,保护用户免受Web流量中病毒、木马、间谍软件和其他恶意程序的伤害。

这种信誉服务还融合了来自授权客户和第三方合作伙伴的威胁反馈,与目标站点的历史信息进行整合,从而建立针对互联网领域的长期信誉追踪机制,并保证加载此项成果的产品能够有效地拦截Web威胁。(更多内容详见http://www.cnw.com.cn/P/2182)

编看编想

Web 2.0时代更需要“信誉”

Web 2.0时代,互联网上每天新增的恶意代码和恶意网页数量都在数十万的量级,它们严重威胁着用户的上网安全。这些恶意代码和曾经风靡一时的冲击波等传统病毒相比,变种更多、更新更快,完全以经济利益为导向。而且,它们以网页挂马形式实施大面积传播。

传统黑名单技术可以有效防范已知的恶意代码,而白名单技术可有效加速防病毒引擎扫描文件,但时至今日,对于未被黑白名单涵盖的众多文件,已无法仅靠用户提交或主动收集恶意代码样本,进行分析后也无法再发布病毒签名进行防护。可行的做法是,从Web 2.0的思维角度出发,通过云端服务计算文件信誉分值来实时防范最新的恶意威胁

文件信誉评估技术可与现有的病毒签名、启发式和入侵检测技术互补,来甄别各种新型网络威胁和有针对性的攻击,提供更为主动与实时的安全防护。

虽然有观点质疑“文件信誉评估技术”,认为其只是延续了单台计算机防毒的思路,企图以中心服务器建立整个互联网范围内的“病毒特征库”;认为现在互联网上每天新出现的数据以TB计,如此巨量的网页、视频、邮件、文件,任何一个商业公司都无法把它们全部、实时地标明安全等级并存储在数据库里供用户进行安全查询。但是,既然“文件信誉评估技术”已经存在并被众多安全厂商所采纳,就说明它是合理的,说明它一定是安全技术的一个重要发展方向。

安全厂商的信誉评估技术

厂商 技术特色
思科 SensorBase是全球最大的邮件流量监控网络,提供全球安全威胁实时视图和电子邮件的“信用报告服务”。SensorBase还能敏感监控僵尸网络的动态。
绿盟 运用部署在全国多个数据中心里的探测引擎,对互联网相关资源进行威胁分析和信誉评级,再将研究成果应用到IDS等安全产品中,一旦检测到网络中有匹配的恶意流量在传输,立即报警并做出响应。
McAfee McAfee TrustedSource信誉地理定位和信誉过滤,使企业能够将其网络连接限定到那些来自相关位置、具有良好信誉的用户。另外,TrustedSource 信誉技术能够过滤大多数垃圾邮件,大幅节省了带宽成本。
赛门铁克 赛门铁克基于信誉的安全技术充分利用多方数据资源,这些数据会持续不断地更新到信誉引擎,以此确定每一软件文档的安全信誉等级,绝不需要对该文档进行扫描。基于信誉的技术所利用的信息包括文档的相关性、使用年限,以及用于计算高度精确的信誉分数的其他因素。
趋势科技 文件信誉技术是基于云安全的病毒查杀机制,在云端存放恶意程序的特征,仅在需要的时候才会访问云端。文件信誉技术不仅是病毒与代码的简单比对,还包括参照50多种病毒属性对恶意程序进行信誉辨别。

1 2
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]