信譽技術(shù)在安全領(lǐng)域中的應(yīng)用安全研究院 李鴻培摘要:本文主要針對安全信譽的基本概念、安全信譽度的評估管理，以及在安全領(lǐng)域中的應(yīng)用模式進行了探討。對利用安全信譽技術(shù)改善安全產(chǎn)品的防護能力，以及監(jiān)測性能具有

信譽技術(shù)在安全領(lǐng)域中的應(yīng)用

安全研究院 李鴻培

摘要:本文主要針對安全信譽的基本概念、安全信譽度的評估管理，以及在安全領(lǐng)域中的應(yīng)用模式進行了探討。對利用安全信譽技術(shù)改善安全產(chǎn)品的防護能力，以及監(jiān)測性能具有一定的指導(dǎo)意義。 關(guān)鍵字:信譽技術(shù) 安全信譽 信譽度 信譽庫

一、前言

“暗處”，而且出于巨大的非法經(jīng)濟利益的驅(qū)動，一些利益集團也涉及其中，惡意攻擊者已成為有組織的群體，惡意的攻擊手段得到了快速的發(fā)展。面對這種情況，對于互聯(lián)網(wǎng)用戶及安全廠商來說，大量存在的未知攻擊已造成了嚴(yán)重的攻守信息不對稱問題，也對傳統(tǒng)的安全檢測與防護方案提出了新的挑戰(zhàn)。 在以前，應(yīng)對攻擊的方式是被動的，往往是通過跟蹤攻擊者的技術(shù)手段來應(yīng)對。這里我們以信息資源管理者的身份，轉(zhuǎn)而關(guān)注用戶所要使用和訪問的信息資源和服務(wù)，考慮如何來保證這些信息資源和服務(wù)的完整性和可信賴程度。對此我們這里引入了“安全信譽”的概念，通過評估網(wǎng)站服務(wù)器、郵件服務(wù)器、URL 等網(wǎng)絡(luò)中關(guān)鍵的信息，以及服務(wù)的安全可信程度—“安全信譽”，來盡可能的降低互聯(lián)網(wǎng)客戶利用互聯(lián)網(wǎng)資源

時所面臨的風(fēng)險。這種方式由于是針對防守方所能管控資源的內(nèi)容及行為的可信度建模，就不會存在以往被動追蹤和信息不對稱的問題，而且用戶訪問控制的模型也比較簡單——要保證自己的安全，就去訪問可信任的資源！

在現(xiàn)實生活中，類似的信譽體系已經(jīng)廣泛存在并被應(yīng)用，例如公司品牌形象、人際口碑、信用卡使用記錄等等。在計算機科學(xué)領(lǐng)域中，類似的思路也被廣泛使用于諸如Amazon, eBay，阿里巴巴等電子商務(wù)系統(tǒng)，P2P 信息網(wǎng)絡(luò)和垃圾郵件檢測等多個領(lǐng)域。而安全信譽的概念和技術(shù)，在近幾年也被反病毒、反惡意軟件、反釣魚、惡意網(wǎng)站監(jiān)視和告警等很多安全領(lǐng)域所關(guān)注。Cisco 、McAfee 、趨勢科技等廠商在他們的相關(guān)產(chǎn)品中也聲稱采用了安全信譽技術(shù)，綠盟科技

隨

著互聯(lián)網(wǎng)與人們?nèi)粘Ｉ罱Y(jié)合的越來越緊密，互聯(lián)網(wǎng)已不僅僅是以前那個

只提供資源共享的平臺，各種的商業(yè)服務(wù)、電子交易，以及各種支撐社會運營的重要數(shù)據(jù)信息，都成為互聯(lián)網(wǎng)內(nèi)容的一部分，并成為人類社會活動在網(wǎng)絡(luò)虛擬世界延伸的平臺。又因網(wǎng)絡(luò)虛擬世界對匿名身份的支持，現(xiàn)實社會中的各種不良行為，在虛擬世界中更為泛濫，諸如虛假信息、欺詐行為、垃圾郵件、釣魚網(wǎng)站、惡意代碼網(wǎng)站等等。對于互聯(lián)網(wǎng)的一般客戶來說，在期望享用互聯(lián)網(wǎng)便利服務(wù)的同時，卻又無法判斷所訪問信息和服務(wù)的真實性，以及是否會給自己帶來危害，也許在不經(jīng)意間自己的系統(tǒng)就被對方侵入，要么偷竊需要的重要信息，要么被接管成為“肉雞”，成為攻擊別人的跳板。由于互聯(lián)網(wǎng)中的惡意攻擊者處于

9

在安全信譽方面也開展了不少的研究工作。

目前在信息安全領(lǐng)域最常用的信譽評估體系有如下兩種：

1、郵件信譽評估體系

主要針對電子郵件建立的郵件評估體系，重點評估是否為垃圾郵件。評估要素通常包括：郵件發(fā)送頻度、重復(fù)次數(shù)、群發(fā)數(shù)量、郵件發(fā)送/接收質(zhì)量、郵件路徑以及郵件發(fā)送方法等。由于全球每天有幾十億封郵件發(fā)送，這對于郵件信譽評估體系來說，在精確度及處理能力方面提出了很大挑戰(zhàn)。

2、Web 信譽評估體系

重點針對目前Web 應(yīng)用，尤其是URL 地址進行評估的Web 信譽評估體系，評估要素通常包括域名存活時間、DNS 穩(wěn)定性、域名歷史記錄，以及域名相似關(guān)聯(lián)性等。

在信譽評估體系中重點強調(diào)對象的可信度，如果認(rèn)可對象的可信度，則該對象許可并允許其在網(wǎng)絡(luò)中傳播，如果可信度不足，將開展更進一步的分析。

本文在他人研究的基礎(chǔ)上，將主要就安全信譽的定義界定、安全信譽的評定、管理及其在信息安全領(lǐng)域的應(yīng)用模式進行探討。

二、基本概念

1、信譽

信譽(Reputation)通俗的講是口碑或聲譽，這是來源于經(jīng)濟學(xué)的一個概念，其定義信譽是以信用為基礎(chǔ)的抽象價值和社會聲譽 。信用在經(jīng)濟活動中是指社會成員之間為了某種經(jīng)濟交易和價值轉(zhuǎn)移的需要，建立在相互信任、誠實守信基礎(chǔ)上的，以償還為條件的一種承諾 。而信譽則是區(qū)域性的社會群體長期以來對主體的信用表現(xiàn)及其信用抽象價值的評價 ，體現(xiàn)的是信用的一般意思——守信 。也就是說，信譽是指依附在人之間、單位之間和商品交易之間，形成的一種相互信任的生產(chǎn)關(guān)系和社會關(guān)系 。 維基百科將信譽定義為“一個人、一群人或一個組織根據(jù)某一特定標(biāo)準(zhǔn)對一組實體的看法”。2、安全信譽 這里安全信譽是對互聯(lián)網(wǎng)上資源和服務(wù)相關(guān)實體（主、客體）安全可信性的評估與看法。顯然，經(jīng)濟學(xué)上信譽，評估的是社會上人的信用，考慮的是其信用承諾的可信性及承諾不兌現(xiàn)的風(fēng)險。而我們這里的安全信譽，這主要是面對網(wǎng)絡(luò)虛擬世界中的主、客體，判定的則是主體（服務(wù)）行為的安全可信性及相關(guān)客體（信息資源）內(nèi)容的真實性問題，考慮的是保障用戶在訪問網(wǎng)絡(luò)資源和享受服務(wù)時，如何降低受到危害的風(fēng)險。3、信譽度與信譽庫 由上面的定義可知，信譽是區(qū)域群體對某實體的行為表現(xiàn)或其被關(guān)注屬性可信性的動態(tài)評估，也就是口碑或聲譽的概念。顯然，信譽評定過程不是非此即彼的二選一硬判決，而是依據(jù)對實體狀況的綜合評估，賦予該實體一個信譽評估值，這個信譽評估值能夠反映實體某一方面信譽好壞的程度。本文把這個實體信譽評估值定義為該實體某一被關(guān)注屬性的信譽度。 就現(xiàn)實來說，一個主體的信譽評估值不可能僅是0（黑）或（1白），更多的是介入0-1之間（中間地帶）；當(dāng)然，信譽度的取值區(qū)間也可

10

以自選確定。后面可以看到，信譽度的概念將為安全信譽在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用奠定基礎(chǔ)。

在信譽度概念的基礎(chǔ)上，我們可以把信譽庫定義為網(wǎng)絡(luò)實體（主、客體）及其信譽度的集合。網(wǎng)絡(luò)安全設(shè)備上的黑、白名單就是信譽庫的一個特例——非此即彼。 信譽度的評估以及應(yīng)用都將涉及到安全信息智能處理的內(nèi)容，而且信譽及應(yīng)用具有如下典型的特點：

信譽的評估是主體相關(guān)的

談信譽必然是針對某個環(huán)境下的某個主體而言，這里的實體可以是“人”也可以是“物”；而在網(wǎng)絡(luò)虛擬世界中則指各種可以產(chǎn)生行為、操作的進程、代理、服務(wù)等主體或服務(wù)器、網(wǎng)頁等客體等。 信譽的評估是歷史相關(guān)的

信譽是建立在歷史數(shù)據(jù)上的綜合評估，信譽可作為網(wǎng)絡(luò)服務(wù)及內(nèi)容可信性判斷的經(jīng)驗性依據(jù)，判斷的結(jié)果可反饋調(diào)整該服務(wù)相關(guān)的信譽度。這是一個動態(tài)調(diào)整的過程。 信譽具有區(qū)域有效性和動態(tài)可變性（時效性）

信譽的結(jié)果取決于參與群體的綜合評估，也會因評估環(huán)境和參評群體的不同以及時間的變化而動態(tài)變化；這是應(yīng)為不同的任務(wù)或環(huán)境下, 即使對同一個主體，其信譽評估相關(guān)的參數(shù)與標(biāo)準(zhǔn)也可能不同：比如建立基于IP 的信譽，用于防垃圾郵件系統(tǒng)或不良網(wǎng)站內(nèi)容分析的信譽評估參數(shù)應(yīng)該就有很大的差異。

三、安全信譽的評定與管理

在網(wǎng)絡(luò)安全領(lǐng)域，安全信譽是對網(wǎng)絡(luò)中指定主體行為及內(nèi)容不具有危害性的可信程度的綜合評估，這是建立在歷史數(shù)據(jù)上的動態(tài)評估概念。我們應(yīng)用信譽技術(shù)時，必須考慮信譽庫的區(qū)域有效性和時效性，并注意信譽庫的及時更新。

據(jù)TCAF 理論，可信性是信息安全的一個屬性，而信譽則可以視為一段時間內(nèi)可信性評估結(jié)果的綜合評價，并可作為下一步可信性評估的經(jīng)驗性依據(jù)，同樣每次可信性評估的結(jié)果可反饋調(diào)整信譽度。1、安全信譽的評估流程 1.1確定評估參數(shù)

首先確定任務(wù)及工作環(huán)境，并在確定相

關(guān)主體群的基礎(chǔ)上確定安全信譽相關(guān)的評估參數(shù)。

1.2信譽評估信息采集數(shù)

建立分布式的數(shù)據(jù)采集系統(tǒng)，實現(xiàn)信譽評估信息的多源性采集，評估信息可能來源于： 投票表決/舉報機制；

監(jiān)管機制（行為異常監(jiān)測、內(nèi)容真實性評估、合規(guī)性評估）；

系統(tǒng)安全完整性檢查（環(huán)境的可信性）； 入侵檢測系統(tǒng)、惡意代碼檢測系統(tǒng)； 主動搜索 內(nèi)容分析結(jié)果（不良信息網(wǎng)站判定）；1.3信譽綜合評估

安全信譽綜合評估系統(tǒng)，將對采集到的信息結(jié)合歷史數(shù)據(jù)進行智能化的分析、處理（安全智能），構(gòu)建安全信譽庫 。2、安全信譽庫的生成與更新

安全信譽綜合評估系統(tǒng)將持續(xù)分析挖掘評估相關(guān)主體的信譽度，構(gòu)建安全信譽庫并隨評估系統(tǒng)的工作持續(xù)更新 。當(dāng)然，為了保證信譽庫在使用過程中的穩(wěn)定性和可用性，可以采用定期發(fā)布信譽庫的方式。2.1信譽庫的管理——運維問題 1. 技術(shù)評估策略的公平性保證

11

投票機制、多數(shù)原則 ；

評估信息的多源化及信息內(nèi)容的可信性的綜合評估。

關(guān)于信息內(nèi)容的可信性，可以對考慮信息源信譽問題，采用多級信譽保障機制，并采用針對多源信息處理的智能信息決策處理技術(shù)來實現(xiàn)綜合評估。而且在綜合評估時，來源不同的信譽評估值的權(quán)重也是不同的。比如，對一個網(wǎng)站是否是不良網(wǎng)站進行評估時，技術(shù)先進的評估團隊給出的結(jié)果的可信性會更高一些，在考慮該網(wǎng)站的信譽度時，技術(shù)先進的評估團隊的評估結(jié)果的影響就會大些。

2. 由權(quán)威的中立第三方來維護或發(fā)布，以保證信譽庫的可信性

圖1、安全信譽庫的管理及相關(guān)應(yīng)用體系

與公正性

但問題是這個第三方是否具有信譽庫的技術(shù)維護能力？從公司運營的角度來看，就需要考慮維護信譽庫是否能夠給公司帶來收益的問題？這時候關(guān)注點又將放在信譽庫應(yīng)用的有效性上了。也許可以把信譽庫采用病毒庫類似的運作模式，來提升公司產(chǎn)品的核心競爭力。

2.2

信譽庫生成、維護、應(yīng)用的生命周期示意圖

圖1主要描述了安全信譽庫的生成、管理，以及其在網(wǎng)絡(luò)安全產(chǎn)品及安全服務(wù)工作的應(yīng)用。安全信譽庫生成的關(guān)鍵，在于安全信譽綜合評估系統(tǒng)，該系統(tǒng)基于網(wǎng)絡(luò)中實體行為和內(nèi)容可信性評估，分辨網(wǎng)絡(luò)中的不良信譽者。在具體應(yīng)用時，可以結(jié)合網(wǎng)絡(luò)安全設(shè)備，調(diào)整安全防御策略，對這些不良信譽者的訪問進行阻斷，也可以通過安全咨詢服務(wù)，對系統(tǒng)的安全性進行改善，提高系統(tǒng)的安全信譽度。 由于互聯(lián)網(wǎng)上的信息與服務(wù)是為了共享，而不是為了被隔離，因此在發(fā)現(xiàn)不安全的問題之后，阻斷只是臨時的保護措施，改善系統(tǒng)的安全狀態(tài)才是關(guān)鍵，所以通過安全服務(wù)和安全策略調(diào)整，提升整個系統(tǒng)的安全性才是安全建設(shè)的最終方案。四、基于信譽的安全應(yīng)用 由上面圖1中可知，我們在建立安全信譽庫之后，基于安全信譽的應(yīng)用主要集中在兩個方面：其一是安全信譽技術(shù)在安全產(chǎn)品中的應(yīng)用，其二是安全信譽在安全服務(wù)領(lǐng)域的應(yīng)用。下面我們進行分別論述。1、安全信譽技術(shù)在安全產(chǎn)品中的應(yīng)用 基于IP/URL信譽庫構(gòu)建信譽過濾器，實現(xiàn)網(wǎng)絡(luò)安全設(shè)備對不良信譽實體的聯(lián)接阻斷或過濾，可有效提升阻斷的精確度，降低誤阻斷率及對業(yè)務(wù)連續(xù)性的影響，典型應(yīng)用包括： 阻斷來自外部訪問的應(yīng)用 網(wǎng)關(guān)類產(chǎn)品——IPS 、防火墻、UTM 等 ； 流量管控設(shè)備——抗拒絕服務(wù)攻擊系統(tǒng)。 阻斷對外訪問的應(yīng)用

12

Web 安全—不良站點（掛馬、釣魚、不良信息內(nèi)容等）訪問阻斷或限制訪問等

提高不良信息過濾的有效性方面的應(yīng)用 垃圾郵件網(wǎng)關(guān)、內(nèi)容過濾網(wǎng)關(guān)

對來自不良站點的信息或垃圾郵件服務(wù)器的郵件進行過濾處理1.1信譽庫與安全產(chǎn)品的協(xié)作方式

安全產(chǎn)品可以根據(jù)需要，采用多種方式利用安全信譽庫，改善其安全保護能力，典型的應(yīng)用方式包括：

1. 在安全產(chǎn)品上，開發(fā)基于信譽的功能模塊-信譽過濾器（Reputation Filter）

對于小型企業(yè)來說，也許直接在邊界網(wǎng)關(guān)上添加信譽過濾器的方式會比較有效，但這需要定期訪問信譽庫，生成并更新信譽過濾器的規(guī)則，保持過濾規(guī)則與信譽信息的同步。而且信譽過濾器屬于安全產(chǎn)品的個性化應(yīng)用特性，需要為安全設(shè)備開發(fā)不同的信譽過濾器，不斷增加安全設(shè)備的定制功能，尤其在安全設(shè)備缺乏統(tǒng)一管理的環(huán)境中，這必然會增加系統(tǒng)的配置管理與維護工作量。

此外，在對邊界安全網(wǎng)關(guān)性能要求較高的環(huán)境中，規(guī)則升級、綜合分析也可能會影響安全系統(tǒng)的穩(wěn)定性和處理性能。這是因為產(chǎn)生的靜態(tài)阻斷規(guī)則需要直接分發(fā)到設(shè)備上，有些主體的信譽可能變化非?？欤ū热鏏DS 系統(tǒng)在遭到拒絕服務(wù)攻擊時，對一些網(wǎng)站的臨時阻斷操作），如果將這些形成的規(guī)則即時分發(fā)到網(wǎng)絡(luò)設(shè)備上，可能會給配置管理帶來很大的困難。

2. 構(gòu)建區(qū)域性的、基于信譽庫的決策服務(wù)器

這種方式可以在中等規(guī)模的企業(yè)網(wǎng)絡(luò)環(huán)境中，類似于構(gòu)建域內(nèi)的信譽決策服務(wù)器，信譽庫信息分發(fā)到該信譽決策服務(wù)器上： 如果信譽信息可以處理成靜態(tài)的阻斷安全策略，那么可直接分發(fā)到域內(nèi)相關(guān)的安全設(shè)備上，比如IPS 、UTM 、垃圾郵件網(wǎng)關(guān)（黑白名單性質(zhì)的確定規(guī)則） ；

而多數(shù)主體的信譽信息可能做為進一步綜合決策的依據(jù)，這時就需要在該決策服務(wù)器上進行處理，并為安全產(chǎn)品提供調(diào)用服務(wù)的接口，即在該服務(wù)器上實現(xiàn)決策服務(wù)，安全產(chǎn)品根據(jù)決策結(jié)果執(zhí)行相應(yīng)的阻斷操作。

相比于第一種方式 ，這種方式具有一定的優(yōu)點： 基于信譽的決策評估可以更準(zhǔn)確

已有安全產(chǎn)品不需要做太大的改動與升級，不占用安全設(shè)備的計算資源，對邊界網(wǎng)關(guān)類產(chǎn)品的性能影響較小 可以推出新的產(chǎn)品 --- 基于信譽的決策服務(wù)器 3. 構(gòu)建第三方安全信譽服務(wù)中心

這種方式適用于公眾互聯(lián)網(wǎng)上的電子商務(wù)活動，以及個人保證其所訪問網(wǎng)站是可信的，進而預(yù)防人們對不良信息站點（內(nèi)容）訪問，預(yù)防對網(wǎng)頁掛馬、惡意代碼、釣魚等欺詐網(wǎng)站的訪問，阻斷垃圾郵件，避免對其系統(tǒng)和網(wǎng)上交易產(chǎn)生危害。

這種方式可以利用安全信譽服務(wù)中心發(fā)布的信譽庫信息，開發(fā)支持安全信譽決策的個人防火墻或相關(guān)的信譽過濾器插件，從而提高桌面安全防護能力。當(dāng)然，如果信譽庫過大，也可以調(diào)用安全信譽服務(wù)中心提供的服務(wù)，必要時可以考慮構(gòu)建SaaS 服務(wù)模式。顯然，

13

這種權(quán)威的第三方服務(wù)，可以為沒有技術(shù)能力的個人提供共性問題支持，而且也保證信譽庫信息的權(quán)威可信性及公證性。

2、安全信譽在安全服務(wù)領(lǐng)域的應(yīng)用

安全信譽在安全服務(wù)領(lǐng)域的應(yīng)用，主要是考慮基于信譽庫的安全評估及改善服務(wù)，將通過安全服務(wù)改善信譽不佳的信息系統(tǒng)安全狀況，服務(wù)完成后將激活安全信譽綜合評估系統(tǒng)對其進行再評估，以提升其安全信譽?；谶@個服務(wù)理念，我們可以通過分析安全信譽庫的內(nèi)容，挖掘并定位潛在安全服務(wù)用戶群體、用戶安全需求及風(fēng)險的分析與定位 ，并據(jù)此為用戶提供基于系統(tǒng)安全信譽的改善服務(wù)：

1. 服務(wù)模式

針對有安全運維實力的客戶，提供咨詢服務(wù)，包括風(fēng)險分析及應(yīng)對措施報告 針對服務(wù)外包給公司的客戶，提供具體的信譽度改善服務(wù)

2. 服務(wù)對象

管控范圍內(nèi)的系統(tǒng) ；

安全服務(wù)簽約客戶的系統(tǒng) 。

服務(wù)對象之外的信譽度差的系統(tǒng)，將依據(jù)安全系統(tǒng)的阻斷策略進行阻斷處理。

五、結(jié)束語

綜上所述，安全信譽技術(shù)將會有效增強當(dāng)前的網(wǎng)絡(luò)安全檢測和防護技術(shù)。利用信譽過濾器、安全信譽評估策略服務(wù)等機制，實現(xiàn)基于信譽評估的阻斷規(guī)則，可以有效的改善現(xiàn)有安全產(chǎn)品對網(wǎng)絡(luò)中的不良資源，或服務(wù)攻擊的檢測和防護能力，并可以通過基于信譽庫的安全評估及改善服務(wù)，提升用戶信息系統(tǒng)的整體安全狀態(tài)，保護自己資源和信息的安全。為生成安全信譽庫，需要展開智能信息分析與評估決策方面的研究，以及研究網(wǎng)絡(luò)主體行為監(jiān)管技術(shù)、內(nèi)容真實性判斷技術(shù)、惡意代碼檢測技術(shù)、各種異常檢測技術(shù)、系統(tǒng)完整性技術(shù)等多種網(wǎng)絡(luò)實體可信性評估技術(shù)。這些工作對促進網(wǎng)絡(luò)安全監(jiān)測及安全智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，以及提升用戶的信息安全防護能力，具有重要的意義。參考文獻 1. 盧小海，一種基于信譽的威脅分析方法，技術(shù)報告，2010. 2. 李鴻培，關(guān)于信譽在安全領(lǐng)域的應(yīng)用思考，技術(shù)報告，2010. 3.Cisco IronPort Web Reputation Filters，http://www.doc88.com/p-79629396725.html. 4.Taylor B. Sender Reputation in a Large Webmail Service. Collaboration, Electronic messaging [D]. Anti-Abuse and Spam Conference, Mountain View, California, 2006 5. 胡波等，基于集對分析的P2P 網(wǎng)絡(luò)安全中的信譽度改進算法，電子學(xué)報，Vol.35,No.2,pp244-247. 6.Mobile Reputation Security prototype from Symantec: A closer look, http://searchsecurity.techtarget.in/news/1387236/Mobile-Reputation-Security-prototype-from-Symantec-A-closer-look. 7.Dmitri Alperovitch, Paul Judge, and Sven Krasser,Taxono-my of Email Reputation Systems, https://www.trustedsource.org/download/research.../tram2007_taxonomy.pdf.

14