专家谈：当前网络风险分析与应对策略(2)

作者: 赵毅 出处:51CTO.com　 (  ) 砖  (  ) 好  评论 ( ) 条 　进入论坛

更新时间：2007-04-19 20:15
关 键 词：风险分析  策略  徐学龙  趋势科技
阅读提示：2007年4月19日下午，由51CTO.COM网站主办的“51CTO技术沙龙—企业病毒管理讲座”在北京理工国际教育交流大厦召开。本次技术技术论坛吸引了近百名网络工程师、项目经理、网络管理员等技术人员的关注。 短短的3个多小时里，来自趋势科技三位专家从多方面对企业病毒管理和防范从进行了技术分析和实例讲解，并详细解答了与会技术人员提出的技术问题。

Web威胁防护方案
我们怎么样来看目前Web威胁防护起来如何才能更加有效。有一个Web信誉服务，就是我要对全球所有网站做动态性的，历史性的数据分析，给出每一个网站的信誉等级，然后帮助用户在访问Web网站的时候，能够自动地获得这种防护能力。
传统方案：静态的代码防护
传统的解决方案通常我们会部署网关防毒、群建邮件防毒、服务器防毒、客户端防毒，通常来讲这种防护都是基于代码级别的防护。一个新的威胁出来之后，厂商提供了防护的方案，包括蠕虫攻击、病毒代码，这个时候我具备了对新型威胁的防护能力。这时候，我们都是在一种事后的防护。我提供这个解决方案，以后再有这个问题的时候我就可以解决掉。但是对将要出现的新的威胁，常常是比较被动的。
需要革新性的安全方案
我们现在希望提供的是一种革新性的安全方案，重点是信誉检查。你的恶意程序还没有进入到我的网络的时候，你的信息内容还没到我的网络编辑的时候，我首先对你的信誉进行评估，我要看一看你的安全性到底如何，你是不是我值得信任的，可以被访问的对象。所以这样可以做到我还没有和你接触，我已经把你阻止掉了。所以这一块重要的内容就是信誉服务。我要对所有的网站邮件地址进行动态的分析。
在Web和邮件这块，趋势科技对我们的安全方案来讲是不同的，一个是Web的信誉服务，一个是邮件的信誉服务，这一块都是在我们的整个解决方案里最外层的防护防线。我们认为，我们要做防护，首先必须把这两道信誉检查做起来。
Web和Email防护构架
当然，这个信誉到底怎么样来评估，我们可以简单举个例子。假如一个用户要访问一个外界的URL邮件地址，这时候我们怎么样来判断？实际上我们针对他50多个属性来进行检查。我们举个例子，比如我们会看这个域名的历史存在时间有多长时间，假如我们发现一个站点为了传播恶意程序，通常来讲这个站点时间很短，可能是几个小时或者一天。大家注意，有时候比较大的恶意程序在传播的时候，我们会看到它会利用某个网站。假如你从报纸上看到这个恶意程序运用某个网站，那么你说赶快访问看看吧，这个时候肯定就没有了。它存在的时间很短，达到目的之后马上把这个去掉，然后找新的寄主，就是为了隐藏自己。所以通常来讲恶意程序的站点存在期非常短。
第二点，我们要看这个站点是在哪个DNS上注册的，或者它的IP稳定性怎么样。我们看到，一方面它的时间短，另一方面我们看到它的站点注册的DNS稳定性很差。大家可以通过这个DNS查询到，但是过了两天这个DNS就没有了，或者是变来变去，它会用很快时间变换IP。还有我们要看它的关联性，是不是以前发垃圾邮件，还有我会进行垃圾邮件滥用分析、特征对比和动态上下文分析。我会把整个URL进行分析，给出一个分值，来判断这个站点到底应不应该访问。它里面的内容先不管，我先看它能不能够访问。
这是我们的一个案例，就是一个约会的网站。这种约会网站上面有间谍程序，你在访问的时候嵌入你的网络做一些破坏。这一块，我们会看到我们去评价，最后的结果就是这个站点大拇指向下的，指的是这个站点不可信任。它处在我们黑名单的可能性很大，严重警告的可能性也很大，还有它的DNS的活动性也非常容易改变。所以整体来看，它的稳定性很差。另外底下显示它在一些恶意的DNS上出现过它的比例，超过50%。从它的IP地址来看，这个站点的位置是跑来跑去的，今天在这个地方，明天就跑到另外一个地方，在几个州之间互相流窜，就是为了隐藏自己。所以这样的一个站点，它对我们的用户来讲访问它的风险就非常大。
我们来举自己的例子，你会看到这是趋势的站点，我们看到显示出来的饼图都是安全性的。比如可识别的，我的稳定性很好，我的存在的时间很长，我的生命期存在了4333天，虽然曾经被一些恶意的DNS记录进去。就是因为我们会看到有些病毒，它会把安全厂商的站点进行屏蔽，指向它的恶意站点。假如你遇到病毒，想访问趋势科技，这个时候你访问不到，但是总体来讲，比例是非常小的。所以这样的一个站点就是一个可信任的站点。
Web信誉服务与URL过滤的不同
我们要对URL过滤做一个说明。实际Web信誉服务是一种对我们的目的地址，在访问数据获得之前进行评估的一种服务方式。URL过滤类似于通缉罪犯一样，它相当于我已经知道你是犯罪嫌疑人，这个时候我做对你的过滤。它知道以前已知的恶意源，不能识别潜在的恶意源。
实际上Web信誉服务是动态地、历史地分析站点。我们会跟踪所有站点从产生的那一刻一直到消失的那一刻，我们会跟踪每个站点的生命周期，我们会看到它们的IP、注册位置，看看它到底是什么样的情况。所以在我们已经生成的数据库里面，有已知的恶意源，还有一些是可疑的，还有可能是有潜在危害的。它可以把这些进行分类，用户对管理人员来讲可以在安全设计上选择不同的安全级别来对访问的目标进行评估。同时它是持续的进行更新。我在访问的时候，假如这个站点之前没有被趋势评估过，是一个新的站点，这个时候我们就会做新的评估。在趋势的安全子系统里面可以被方便的调用。

共3页: 上一页 [1] 2 [3] 下一页

【内容导航】

滚动新闻　术语词典　问题悬赏

我也说两句