信譽技術在安全領域中的應用安全研究院 李鴻培摘要:本文主要針對安全信譽的基本概念、安全信譽度的評估管理，以及在安全領域中的應用模式進行了探討。對利用安全信譽技術改善安全產品的防護能力，以及監(jiān)測性能具有

信譽技術在安全領域中的應用

安全研究院 李鴻培

摘要:本文主要針對安全信譽的基本概念、安全信譽度的評估管理，以及在安全領域中的應用模式進行了探討。對利用安全信譽技術改善安全產品的防護能力，以及監(jiān)測性能具有一定的指導意義。 關鍵字:信譽技術 安全信譽 信譽度 信譽庫

一、前言

“暗處”，而且出于巨大的非法經濟利益的驅動，一些利益集團也涉及其中，惡意攻擊者已成為有組織的群體，惡意的攻擊手段得到了快速的發(fā)展。面對這種情況，對于互聯網用戶及安全廠商來說，大量存在的未知攻擊已造成了嚴重的攻守信息不對稱問題，也對傳統的安全檢測與防護方案提出了新的挑戰(zhàn)。 在以前，應對攻擊的方式是被動的，往往是通過跟蹤攻擊者的技術手段來應對。這里我們以信息資源管理者的身份，轉而關注用戶所要使用和訪問的信息資源和服務，考慮如何來保證這些信息資源和服務的完整性和可信賴程度。對此我們這里引入了“安全信譽”的概念，通過評估網站服務器、郵件服務器、URL 等網絡中關鍵的信息，以及服務的安全可信程度—“安全信譽”，來盡可能的降低互聯網客戶利用互聯網資源

時所面臨的風險。這種方式由于是針對防守方所能管控資源的內容及行為的可信度建模，就不會存在以往被動追蹤和信息不對稱的問題，而且用戶訪問控制的模型也比較簡單——要保證自己的安全，就去訪問可信任的資源！

在現實生活中，類似的信譽體系已經廣泛存在并被應用，例如公司品牌形象、人際口碑、信用卡使用記錄等等。在計算機科學領域中，類似的思路也被廣泛使用于諸如Amazon, eBay，阿里巴巴等電子商務系統，P2P 信息網絡和垃圾郵件檢測等多個領域。而安全信譽的概念和技術，在近幾年也被反病毒、反惡意軟件、反釣魚、惡意網站監(jiān)視和告警等很多安全領域所關注。Cisco 、McAfee 、趨勢科技等廠商在他們的相關產品中也聲稱采用了安全信譽技術，綠盟科技

隨

著互聯網與人們日常生活結合的越來越緊密，互聯網已不僅僅是以前那個

只提供資源共享的平臺，各種的商業(yè)服務、電子交易，以及各種支撐社會運營的重要數據信息，都成為互聯網內容的一部分，并成為人類社會活動在網絡虛擬世界延伸的平臺。又因網絡虛擬世界對匿名身份的支持，現實社會中的各種不良行為，在虛擬世界中更為泛濫，諸如虛假信息、欺詐行為、垃圾郵件、釣魚網站、惡意代碼網站等等。對于互聯網的一般客戶來說，在期望享用互聯網便利服務的同時，卻又無法判斷所訪問信息和服務的真實性，以及是否會給自己帶來危害，也許在不經意間自己的系統就被對方侵入，要么偷竊需要的重要信息，要么被接管成為“肉雞”，成為攻擊別人的跳板。由于互聯網中的惡意攻擊者處于

9

在安全信譽方面也開展了不少的研究工作。

目前在信息安全領域最常用的信譽評估體系有如下兩種：

1、郵件信譽評估體系

主要針對電子郵件建立的郵件評估體系，重點評估是否為垃圾郵件。評估要素通常包括：郵件發(fā)送頻度、重復次數、群發(fā)數量、郵件發(fā)送/接收質量、郵件路徑以及郵件發(fā)送方法等。由于全球每天有幾十億封郵件發(fā)送，這對于郵件信譽評估體系來說，在精確度及處理能力方面提出了很大挑戰(zhàn)。

2、Web 信譽評估體系

重點針對目前Web 應用，尤其是URL 地址進行評估的Web 信譽評估體系，評估要素通常包括域名存活時間、DNS 穩(wěn)定性、域名歷史記錄，以及域名相似關聯性等。

在信譽評估體系中重點強調對象的可信度，如果認可對象的可信度，則該對象許可并允許其在網絡中傳播，如果可信度不足，將開展更進一步的分析。

本文在他人研究的基礎上，將主要就安全信譽的定義界定、安全信譽的評定、管理及其在信息安全領域的應用模式進行探討。

二、基本概念

1、信譽

信譽(Reputation)通俗的講是口碑或聲譽，這是來源于經濟學的一個概念，其定義信譽是以信用為基礎的抽象價值和社會聲譽 。信用在經濟活動中是指社會成員之間為了某種經濟交易和價值轉移的需要，建立在相互信任、誠實守信基礎上的，以償還為條件的一種承諾 。而信譽則是區(qū)域性的社會群體長期以來對主體的信用表現及其信用抽象價值的評價 ，體現的是信用的一般意思——守信 。也就是說，信譽是指依附在人之間、單位之間和商品交易之間，形成的一種相互信任的生產關系和社會關系 。 維基百科將信譽定義為“一個人、一群人或一個組織根據某一特定標準對一組實體的看法”。2、安全信譽 這里安全信譽是對互聯網上資源和服務相關實體（主、客體）安全可信性的評估與看法。顯然，經濟學上信譽，評估的是社會上人的信用，考慮的是其信用承諾的可信性及承諾不兌現的風險。而我們這里的安全信譽，這主要是面對網絡虛擬世界中的主、客體，判定的則是主體（服務）行為的安全可信性及相關客體（信息資源）內容的真實性問題，考慮的是保障用戶在訪問網絡資源和享受服務時，如何降低受到危害的風險。3、信譽度與信譽庫 由上面的定義可知，信譽是區(qū)域群體對某實體的行為表現或其被關注屬性可信性的動態(tài)評估，也就是口碑或聲譽的概念。顯然，信譽評定過程不是非此即彼的二選一硬判決，而是依據對實體狀況的綜合評估，賦予該實體一個信譽評估值，這個信譽評估值能夠反映實體某一方面信譽好壞的程度。本文把這個實體信譽評估值定義為該實體某一被關注屬性的信譽度。 就現實來說，一個主體的信譽評估值不可能僅是0（黑）或（1白），更多的是介入0-1之間（中間地帶）；當然，信譽度的取值區(qū)間也可

10

以自選確定。后面可以看到，信譽度的概念將為安全信譽在網絡安全領域的應用奠定基礎。

在信譽度概念的基礎上，我們可以把信譽庫定義為網絡實體（主、客體）及其信譽度的集合。網絡安全設備上的黑、白名單就是信譽庫的一個特例——非此即彼。 信譽度的評估以及應用都將涉及到安全信息智能處理的內容，而且信譽及應用具有如下典型的特點：

信譽的評估是主體相關的

談信譽必然是針對某個環(huán)境下的某個主體而言，這里的實體可以是“人”也可以是“物”；而在網絡虛擬世界中則指各種可以產生行為、操作的進程、代理、服務等主體或服務器、網頁等客體等。 信譽的評估是歷史相關的

信譽是建立在歷史數據上的綜合評估，信譽可作為網絡服務及內容可信性判斷的經驗性依據，判斷的結果可反饋調整該服務相關的信譽度。這是一個動態(tài)調整的過程。 信譽具有區(qū)域有效性和動態(tài)可變性（時效性）

信譽的結果取決于參與群體的綜合評估，也會因評估環(huán)境和參評群體的不同以及時間的變化而動態(tài)變化；這是應為不同的任務或環(huán)境下, 即使對同一個主體，其信譽評估相關的參數與標準也可能不同：比如建立基于IP 的信譽，用于防垃圾郵件系統或不良網站內容分析的信譽評估參數應該就有很大的差異。

三、安全信譽的評定與管理

在網絡安全領域，安全信譽是對網絡中指定主體行為及內容不具有危害性的可信程度的綜合評估，這是建立在歷史數據上的動態(tài)評估概念。我們應用信譽技術時，必須考慮信譽庫的區(qū)域有效性和時效性，并注意信譽庫的及時更新。

據TCAF 理論，可信性是信息安全的一個屬性，而信譽則可以視為一段時間內可信性評估結果的綜合評價，并可作為下一步可信性評估的經驗性依據，同樣每次可信性評估的結果可反饋調整信譽度。1、安全信譽的評估流程 1.1確定評估參數

首先確定任務及工作環(huán)境，并在確定相

關主體群的基礎上確定安全信譽相關的評估參數。

1.2信譽評估信息采集數

建立分布式的數據采集系統，實現信譽評估信息的多源性采集，評估信息可能來源于： 投票表決/舉報機制；

監(jiān)管機制（行為異常監(jiān)測、內容真實性評估、合規(guī)性評估）；

系統安全完整性檢查（環(huán)境的可信性）； 入侵檢測系統、惡意代碼檢測系統； 主動搜索 內容分析結果（不良信息網站判定）；1.3信譽綜合評估

安全信譽綜合評估系統，將對采集到的信息結合歷史數據進行智能化的分析、處理（安全智能），構建安全信譽庫 。2、安全信譽庫的生成與更新

安全信譽綜合評估系統將持續(xù)分析挖掘評估相關主體的信譽度，構建安全信譽庫并隨評估系統的工作持續(xù)更新 。當然，為了保證信譽庫在使用過程中的穩(wěn)定性和可用性，可以采用定期發(fā)布信譽庫的方式。2.1信譽庫的管理——運維問題 1. 技術評估策略的公平性保證

11

投票機制、多數原則 ；

評估信息的多源化及信息內容的可信性的綜合評估。

關于信息內容的可信性，可以對考慮信息源信譽問題，采用多級信譽保障機制，并采用針對多源信息處理的智能信息決策處理技術來實現綜合評估。而且在綜合評估時，來源不同的信譽評估值的權重也是不同的。比如，對一個網站是否是不良網站進行評估時，技術先進的評估團隊給出的結果的可信性會更高一些，在考慮該網站的信譽度時，技術先進的評估團隊的評估結果的影響就會大些。

2. 由權威的中立第三方來維護或發(fā)布，以保證信譽庫的可信性

圖1、安全信譽庫的管理及相關應用體系

與公正性

但問題是這個第三方是否具有信譽庫的技術維護能力？從公司運營的角度來看，就需要考慮維護信譽庫是否能夠給公司帶來收益的問題？這時候關注點又將放在信譽庫應用的有效性上了。也許可以把信譽庫采用病毒庫類似的運作模式，來提升公司產品的核心競爭力。

2.2

信譽庫生成、維護、應用的生命周期示意圖

圖1主要描述了安全信譽庫的生成、管理，以及其在網絡安全產品及安全服務工作的應用。安全信譽庫生成的關鍵，在于安全信譽綜合評估系統，該系統基于網絡中實體行為和內容可信性評估，分辨網絡中的不良信譽者。在具體應用時，可以結合網絡安全設備，調整安全防御策略，對這些不良信譽者的訪問進行阻斷，也可以通過安全咨詢服務，對系統的安全性進行改善，提高系統的安全信譽度。 由于互聯網上的信息與服務是為了共享，而不是為了被隔離，因此在發(fā)現不安全的問題之后，阻斷只是臨時的保護措施，改善系統的安全狀態(tài)才是關鍵，所以通過安全服務和安全策略調整，提升整個系統的安全性才是安全建設的最終方案。四、基于信譽的安全應用 由上面圖1中可知，我們在建立安全信譽庫之后，基于安全信譽的應用主要集中在兩個方面：其一是安全信譽技術在安全產品中的應用，其二是安全信譽在安全服務領域的應用。下面我們進行分別論述。1、安全信譽技術在安全產品中的應用 基于IP/URL信譽庫構建信譽過濾器，實現網絡安全設備對不良信譽實體的聯接阻斷或過濾，可有效提升阻斷的精確度，降低誤阻斷率及對業(yè)務連續(xù)性的影響，典型應用包括： 阻斷來自外部訪問的應用 網關類產品——IPS 、防火墻、UTM 等 ； 流量管控設備——抗拒絕服務攻擊系統。 阻斷對外訪問的應用

12

Web 安全—不良站點（掛馬、釣魚、不良信息內容等）訪問阻斷或限制訪問等

提高不良信息過濾的有效性方面的應用 垃圾郵件網關、內容過濾網關

對來自不良站點的信息或垃圾郵件服務器的郵件進行過濾處理1.1信譽庫與安全產品的協作方式

安全產品可以根據需要，采用多種方式利用安全信譽庫，改善其安全保護能力，典型的應用方式包括：

1. 在安全產品上，開發(fā)基于信譽的功能模塊-信譽過濾器（Reputation Filter）

對于小型企業(yè)來說，也許直接在邊界網關上添加信譽過濾器的方式會比較有效，但這需要定期訪問信譽庫，生成并更新信譽過濾器的規(guī)則，保持過濾規(guī)則與信譽信息的同步。而且信譽過濾器屬于安全產品的個性化應用特性，需要為安全設備開發(fā)不同的信譽過濾器，不斷增加安全設備的定制功能，尤其在安全設備缺乏統一管理的環(huán)境中，這必然會增加系統的配置管理與維護工作量。

此外，在對邊界安全網關性能要求較高的環(huán)境中，規(guī)則升級、綜合分析也可能會影響安全系統的穩(wěn)定性和處理性能。這是因為產生的靜態(tài)阻斷規(guī)則需要直接分發(fā)到設備上，有些主體的信譽可能變化非?？欤ū热鏏DS 系統在遭到拒絕服務攻擊時，對一些網站的臨時阻斷操作），如果將這些形成的規(guī)則即時分發(fā)到網絡設備上，可能會給配置管理帶來很大的困難。

2. 構建區(qū)域性的、基于信譽庫的決策服務器

這種方式可以在中等規(guī)模的企業(yè)網絡環(huán)境中，類似于構建域內的信譽決策服務器，信譽庫信息分發(fā)到該信譽決策服務器上： 如果信譽信息可以處理成靜態(tài)的阻斷安全策略，那么可直接分發(fā)到域內相關的安全設備上，比如IPS 、UTM 、垃圾郵件網關（黑白名單性質的確定規(guī)則） ；

而多數主體的信譽信息可能做為進一步綜合決策的依據，這時就需要在該決策服務器上進行處理，并為安全產品提供調用服務的接口，即在該服務器上實現決策服務，安全產品根據決策結果執(zhí)行相應的阻斷操作。

相比于第一種方式 ，這種方式具有一定的優(yōu)點： 基于信譽的決策評估可以更準確

已有安全產品不需要做太大的改動與升級，不占用安全設備的計算資源，對邊界網關類產品的性能影響較小 可以推出新的產品 --- 基于信譽的決策服務器 3. 構建第三方安全信譽服務中心

這種方式適用于公眾互聯網上的電子商務活動，以及個人保證其所訪問網站是可信的，進而預防人們對不良信息站點（內容）訪問，預防對網頁掛馬、惡意代碼、釣魚等欺詐網站的訪問，阻斷垃圾郵件，避免對其系統和網上交易產生危害。

這種方式可以利用安全信譽服務中心發(fā)布的信譽庫信息，開發(fā)支持安全信譽決策的個人防火墻或相關的信譽過濾器插件，從而提高桌面安全防護能力。當然，如果信譽庫過大，也可以調用安全信譽服務中心提供的服務，必要時可以考慮構建SaaS 服務模式。顯然，

13

這種權威的第三方服務，可以為沒有技術能力的個人提供共性問題支持，而且也保證信譽庫信息的權威可信性及公證性。

2、安全信譽在安全服務領域的應用

安全信譽在安全服務領域的應用，主要是考慮基于信譽庫的安全評估及改善服務，將通過安全服務改善信譽不佳的信息系統安全狀況，服務完成后將激活安全信譽綜合評估系統對其進行再評估，以提升其安全信譽?；谶@個服務理念，我們可以通過分析安全信譽庫的內容，挖掘并定位潛在安全服務用戶群體、用戶安全需求及風險的分析與定位 ，并據此為用戶提供基于系統安全信譽的改善服務：

1. 服務模式

針對有安全運維實力的客戶，提供咨詢服務，包括風險分析及應對措施報告 針對服務外包給公司的客戶，提供具體的信譽度改善服務

2. 服務對象

管控范圍內的系統 ；

安全服務簽約客戶的系統 。

服務對象之外的信譽度差的系統，將依據安全系統的阻斷策略進行阻斷處理。

五、結束語

綜上所述，安全信譽技術將會有效增強當前的網絡安全檢測和防護技術。利用信譽過濾器、安全信譽評估策略服務等機制，實現基于信譽評估的阻斷規(guī)則，可以有效的改善現有安全產品對網絡中的不良資源，或服務攻擊的檢測和防護能力，并可以通過基于信譽庫的安全評估及改善服務，提升用戶信息系統的整體安全狀態(tài)，保護自己資源和信息的安全。為生成安全信譽庫，需要展開智能信息分析與評估決策方面的研究，以及研究網絡主體行為監(jiān)管技術、內容真實性判斷技術、惡意代碼檢測技術、各種異常檢測技術、系統完整性技術等多種網絡實體可信性評估技術。這些工作對促進網絡安全監(jiān)測及安全智能在網絡安全領域的應用，以及提升用戶的信息安全防護能力，具有重要的意義。參考文獻 1. 盧小海，一種基于信譽的威脅分析方法，技術報告，2010. 2. 李鴻培，關于信譽在安全領域的應用思考，技術報告，2010. 3.Cisco IronPort Web Reputation Filters，http://www.doc88.com/p-79629396725.html. 4.Taylor B. Sender Reputation in a Large Webmail Service. Collaboration, Electronic messaging [D]. Anti-Abuse and Spam Conference, Mountain View, California, 2006 5. 胡波等，基于集對分析的P2P 網絡安全中的信譽度改進算法，電子學報，Vol.35,No.2,pp244-247. 6.Mobile Reputation Security prototype from Symantec: A closer look, http://searchsecurity.techtarget.in/news/1387236/Mobile-Reputation-Security-prototype-from-Symantec-A-closer-look. 7.Dmitri Alperovitch, Paul Judge, and Sven Krasser,Taxono-my of Email Reputation Systems, https://www.trustedsource.org/download/research.../tram2007_taxonomy.pdf.

14