信誉技术在安全领域中的应用

信誉技术在安全领域中的应用安全研究院 李鸿培摘要:本文主要针对安全信誉的基本概念、安全信誉度的评估管理，以及在安全领域中的应用模式进行了探讨。对利用安全信誉技术改善安全产品的防护能力，以及监测性能具有

信誉技术在安全领域中的应用

安全研究院 李鸿培

摘要:本文主要针对安全信誉的基本概念、安全信誉度的评估管理，以及在安全领域中的应用模式进行了探讨。对利用安全信誉技术改善安全产品的防护能力，以及监测性能具有一定的指导意义。 关键字:信誉技术 安全信誉 信誉度 信誉库

一、前言

“暗处”，而且出于巨大的非法经济利益的驱动，一些利益集团也涉及其中，恶意攻击者已成为有组织的群体，恶意的攻击手段得到了快速的发展。面对这种情况，对于互联网用户及安全厂商来说，大量存在的未知攻击已造成了严重的攻守信息不对称问题，也对传统的安全检测与防护方案提出了新的挑战。 在以前，应对攻击的方式是被动的，往往是通过跟踪攻击者的技术手段来应对。这里我们以信息资源管理者的身份，转而关注用户所要使用和访问的信息资源和服务，考虑如何来保证这些信息资源和服务的完整性和可信赖程度。对此我们这里引入了“安全信誉”的概念，通过评估网站服务器、邮件服务器、URL 等网络中关键的信息，以及服务的安全可信程度—“安全信誉”，来尽可能的降低互联网客户利用互联网资源

时所面临的风险。这种方式由于是针对防守方所能管控资源的内容及行为的可信度建模，就不会存在以往被动追踪和信息不对称的问题，而且用户访问控制的模型也比较简单——要保证自己的安全，就去访问可信任的资源！

在现实生活中，类似的信誉体系已经广泛存在并被应用，例如公司品牌形象、人际口碑、信用卡使用记录等等。在计算机科学领域中，类似的思路也被广泛使用于诸如Amazon, eBay，阿里巴巴等电子商务系统，P2P 信息网络和垃圾邮件检测等多个领域。而安全信誉的概念和技术，在近几年也被反病毒、反恶意软件、反钓鱼、恶意网站监视和告警等很多安全领域所关注。Cisco 、McAfee 、趋势科技等厂商在他们的相关产品中也声称采用了安全信誉技术，绿盟科技

随

着互联网与人们日常生活结合的越来越紧密，互联网已不仅仅是以前那个

只提供资源共享的平台，各种的商业服务、电子交易，以及各种支撑社会运营的重要数据信息，都成为互联网内容的一部分，并成为人类社会活动在网络虚拟世界延伸的平台。又因网络虚拟世界对匿名身份的支持，现实社会中的各种不良行为，在虚拟世界中更为泛滥，诸如虚假信息、欺诈行为、垃圾邮件、钓鱼网站、恶意代码网站等等。对于互联网的一般客户来说，在期望享用互联网便利服务的同时，却又无法判断所访问信息和服务的真实性，以及是否会给自己带来危害，也许在不经意间自己的系统就被对方侵入，要么偷窃需要的重要信息，要么被接管成为“肉鸡”，成为攻击别人的跳板。由于互联网中的恶意攻击者处于

9

在安全信誉方面也开展了不少的研究工作。

目前在信息安全领域最常用的信誉评估体系有如下两种：

1、邮件信誉评估体系

主要针对电子邮件建立的邮件评估体系，重点评估是否为垃圾邮件。评估要素通常包括：邮件发送频度、重复次数、群发数量、邮件发送/接收质量、邮件路径以及邮件发送方法等。由于全球每天有几十亿封邮件发送，这对于邮件信誉评估体系来说，在精确度及处理能力方面提出了很大挑战。

2、Web 信誉评估体系

重点针对目前Web 应用，尤其是URL 地址进行评估的Web 信誉评估体系，评估要素通常包括域名存活时间、DNS 稳定性、域名历史记录，以及域名相似关联性等。

在信誉评估体系中重点强调对象的可信度，如果认可对象的可信度，则该对象许可并允许其在网络中传播，如果可信度不足，将开展更进一步的分析。

本文在他人研究的基础上，将主要就安全信誉的定义界定、安全信誉的评定、管理及其在信息安全领域的应用模式进行探讨。

二、基本概念

1、信誉

信誉(Reputation)通俗的讲是口碑或声誉，这是来源于经济学的一个概念，其定义信誉是以信用为基础的抽象价值和社会声誉 。信用在经济活动中是指社会成员之间为了某种经济交易和价值转移的需要，建立在相互信任、诚实守信基础上的，以偿还为条件的一种承诺 。而信誉则是区域性的社会群体长期以来对主体的信用表现及其信用抽象价值的评价 ，体现的是信用的一般意思——守信 。也就是说，信誉是指依附在人之间、单位之间和商品交易之间，形成的一种相互信任的生产关系和社会关系 。 维基百科将信誉定义为“一个人、一群人或一个组织根据某一特定标准对一组实体的看法”。2、安全信誉 这里安全信誉是对互联网上资源和服务相关实体（主、客体）安全可信性的评估与看法。显然，经济学上信誉，评估的是社会上人的信用，考虑的是其信用承诺的可信性及承诺不兑现的风险。而我们这里的安全信誉，这主要是面对网络虚拟世界中的主、客体，判定的则是主体（服务）行为的安全可信性及相关客体（信息资源）内容的真实性问题，考虑的是保障用户在访问网络资源和享受服务时，如何降低受到危害的风险。3、信誉度与信誉库 由上面的定义可知，信誉是区域群体对某实体的行为表现或其被关注属性可信性的动态评估，也就是口碑或声誉的概念。显然，信誉评定过程不是非此即彼的二选一硬判决，而是依据对实体状况的综合评估，赋予该实体一个信誉评估值，这个信誉评估值能够反映实体某一方面信誉好坏的程度。本文把这个实体信誉评估值定义为该实体某一被关注属性的信誉度。 就现实来说，一个主体的信誉评估值不可能仅是0（黑）或（1白），更多的是介入0-1之间（中间地带）；当然，信誉度的取值区间也可

10

以自选确定。后面可以看到，信誉度的概念将为安全信誉在网络安全领域的应用奠定基础。

在信誉度概念的基础上，我们可以把信誉库定义为网络实体（主、客体）及其信誉度的集合。网络安全设备上的黑、白名单就是信誉库的一个特例——非此即彼。 信誉度的评估以及应用都将涉及到安全信息智能处理的内容，而且信誉及应用具有如下典型的特点：

信誉的评估是主体相关的

谈信誉必然是针对某个环境下的某个主体而言，这里的实体可以是“人”也可以是“物”；而在网络虚拟世界中则指各种可以产生行为、操作的进程、代理、服务等主体或服务器、网页等客体等。 信誉的评估是历史相关的

信誉是建立在历史数据上的综合评估，信誉可作为网络服务及内容可信性判断的经验性依据，判断的结果可反馈调整该服务相关的信誉度。这是一个动态调整的过程。 信誉具有区域有效性和动态可变性（时效性）

信誉的结果取决于参与群体的综合评估，也会因评估环境和参评群体的不同以及时间的变化而动态变化；这是应为不同的任务或环境下, 即使对同一个主体，其信誉评估相关的参数与标准也可能不同：比如建立基于IP 的信誉，用于防垃圾邮件系统或不良网站内容分析的信誉评估参数应该就有很大的差异。

三、安全信誉的评定与管理

在网络安全领域，安全信誉是对网络中指定主体行为及内容不具有危害性的可信程度的综合评估，这是建立在历史数据上的动态评估概念。我们应用信誉技术时，必须考虑信誉库的区域有效性和时效性，并注意信誉库的及时更新。

据TCAF 理论，可信性是信息安全的一个属性，而信誉则可以视为一段时间内可信性评估结果的综合评价，并可作为下一步可信性评估的经验性依据，同样每次可信性评估的结果可反馈调整信誉度。1、安全信誉的评估流程 1.1确定评估参数

首先确定任务及工作环境，并在确定相

关主体群的基础上确定安全信誉相关的评估参数。

1.2信誉评估信息采集数

建立分布式的数据采集系统，实现信誉评估信息的多源性采集，评估信息可能来源于： 投票表决/举报机制；

监管机制（行为异常监测、内容真实性评估、合规性评估）；

系统安全完整性检查（环境的可信性）； 入侵检测系统、恶意代码检测系统； 主动搜索 内容分析结果（不良信息网站判定）；1.3信誉综合评估

安全信誉综合评估系统，将对采集到的信息结合历史数据进行智能化的分析、处理（安全智能），构建安全信誉库 。2、安全信誉库的生成与更新

安全信誉综合评估系统将持续分析挖掘评估相关主体的信誉度，构建安全信誉库并随评估系统的工作持续更新 。当然，为了保证信誉库在使用过程中的稳定性和可用性，可以采用定期发布信誉库的方式。2.1信誉库的管理——运维问题 1. 技术评估策略的公平性保证

11

投票机制、多数原则 ；

评估信息的多源化及信息内容的可信性的综合评估。

关于信息内容的可信性，可以对考虑信息源信誉问题，采用多级信誉保障机制，并采用针对多源信息处理的智能信息决策处理技术来实现综合评估。而且在综合评估时，来源不同的信誉评估值的权重也是不同的。比如，对一个网站是否是不良网站进行评估时，技术先进的评估团队给出的结果的可信性会更高一些，在考虑该网站的信誉度时，技术先进的评估团队的评估结果的影响就会大些。

2. 由权威的中立第三方来维护或发布，以保证信誉库的可信性

图1、安全信誉库的管理及相关应用体系

与公正性

但问题是这个第三方是否具有信誉库的技术维护能力？从公司运营的角度来看，就需要考虑维护信誉库是否能够给公司带来收益的问题？这时候关注点又将放在信誉库应用的有效性上了。也许可以把信誉库采用病毒库类似的运作模式，来提升公司产品的核心竞争力。

2.2

信誉库生成、维护、应用的生命周期示意图

图1主要描述了安全信誉库的生成、管理，以及其在网络安全产品及安全服务工作的应用。安全信誉库生成的关键，在于安全信誉综合评估系统，该系统基于网络中实体行为和内容可信性评估，分辨网络中的不良信誉者。在具体应用时，可以结合网络安全设备，调整安全防御策略，对这些不良信誉者的访问进行阻断，也可以通过安全咨询服务，对系统的安全性进行改善，提高系统的安全信誉度。 由于互联网上的信息与服务是为了共享，而不是为了被隔离，因此在发现不安全的问题之后，阻断只是临时的保护措施，改善系统的安全状态才是关键，所以通过安全服务和安全策略调整，提升整个系统的安全性才是安全建设的最终方案。四、基于信誉的安全应用 由上面图1中可知，我们在建立安全信誉库之后，基于安全信誉的应用主要集中在两个方面：其一是安全信誉技术在安全产品中的应用，其二是安全信誉在安全服务领域的应用。下面我们进行分别论述。1、安全信誉技术在安全产品中的应用 基于IP/URL信誉库构建信誉过滤器，实现网络安全设备对不良信誉实体的联接阻断或过滤，可有效提升阻断的精确度，降低误阻断率及对业务连续性的影响，典型应用包括： 阻断来自外部访问的应用 网关类产品——IPS 、防火墙、UTM 等 ； 流量管控设备——抗拒绝服务攻击系统。 阻断对外访问的应用

12

Web 安全—不良站点（挂马、钓鱼、不良信息内容等）访问阻断或限制访问等

提高不良信息过滤的有效性方面的应用 垃圾邮件网关、内容过滤网关

对来自不良站点的信息或垃圾邮件服务器的邮件进行过滤处理1.1信誉库与安全产品的协作方式

安全产品可以根据需要，采用多种方式利用安全信誉库，改善其安全保护能力，典型的应用方式包括：

1. 在安全产品上，开发基于信誉的功能模块-信誉过滤器（Reputation Filter）

对于小型企业来说，也许直接在边界网关上添加信誉过滤器的方式会比较有效，但这需要定期访问信誉库，生成并更新信誉过滤器的规则，保持过滤规则与信誉信息的同步。而且信誉过滤器属于安全产品的个性化应用特性，需要为安全设备开发不同的信誉过滤器，不断增加安全设备的定制功能，尤其在安全设备缺乏统一管理的环境中，这必然会增加系统的配置管理与维护工作量。

此外，在对边界安全网关性能要求较高的环境中，规则升级、综合分析也可能会影响安全系统的稳定性和处理性能。这是因为产生的静态阻断规则需要直接分发到设备上，有些主体的信誉可能变化非常快（比如ADS 系统在遭到拒绝服务攻击时，对一些网站的临时阻断操作），如果将这些形成的规则即时分发到网络设备上，可能会给配置管理带来很大的困难。

2. 构建区域性的、基于信誉库的决策服务器

这种方式可以在中等规模的企业网络环境中，类似于构建域内的信誉决策服务器，信誉库信息分发到该信誉决策服务器上： 如果信誉信息可以处理成静态的阻断安全策略，那么可直接分发到域内相关的安全设备上，比如IPS 、UTM 、垃圾邮件网关（黑白名单性质的确定规则） ；

而多数主体的信誉信息可能做为进一步综合决策的依据，这时就需要在该决策服务器上进行处理，并为安全产品提供调用服务的接口，即在该服务器上实现决策服务，安全产品根据决策结果执行相应的阻断操作。

相比于第一种方式 ，这种方式具有一定的优点： 基于信誉的决策评估可以更准确

已有安全产品不需要做太大的改动与升级，不占用安全设备的计算资源，对边界网关类产品的性能影响较小 可以推出新的产品 --- 基于信誉的决策服务器 3. 构建第三方安全信誉服务中心

这种方式适用于公众互联网上的电子商务活动，以及个人保证其所访问网站是可信的，进而预防人们对不良信息站点（内容）访问，预防对网页挂马、恶意代码、钓鱼等欺诈网站的访问，阻断垃圾邮件，避免对其系统和网上交易产生危害。

这种方式可以利用安全信誉服务中心发布的信誉库信息，开发支持安全信誉决策的个人防火墙或相关的信誉过滤器插件，从而提高桌面安全防护能力。当然，如果信誉库过大，也可以调用安全信誉服务中心提供的服务，必要时可以考虑构建SaaS 服务模式。显然，

13

这种权威的第三方服务，可以为没有技术能力的个人提供共性问题支持，而且也保证信誉库信息的权威可信性及公证性。

2、安全信誉在安全服务领域的应用

安全信誉在安全服务领域的应用，主要是考虑基于信誉库的安全评估及改善服务，将通过安全服务改善信誉不佳的信息系统安全状况，服务完成后将激活安全信誉综合评估系统对其进行再评估，以提升其安全信誉。基于这个服务理念，我们可以通过分析安全信誉库的内容，挖掘并定位潜在安全服务用户群体、用户安全需求及风险的分析与定位 ，并据此为用户提供基于系统安全信誉的改善服务：

1. 服务模式

针对有安全运维实力的客户，提供咨询服务，包括风险分析及应对措施报告 针对服务外包给公司的客户，提供具体的信誉度改善服务

2. 服务对象

管控范围内的系统 ；

安全服务签约客户的系统 。

服务对象之外的信誉度差的系统，将依据安全系统的阻断策略进行阻断处理。

五、结束语

综上所述，安全信誉技术将会有效增强当前的网络安全检测和防护技术。利用信誉过滤器、安全信誉评估策略服务等机制，实现基于信誉评估的阻断规则，可以有效的改善现有安全产品对网络中的不良资源，或服务攻击的检测和防护能力，并可以通过基于信誉库的安全评估及改善服务，提升用户信息系统的整体安全状态，保护自己资源和信息的安全。为生成安全信誉库，需要展开智能信息分析与评估决策方面的研究，以及研究网络主体行为监管技术、内容真实性判断技术、恶意代码检测技术、各种异常检测技术、系统完整性技术等多种网络实体可信性评估技术。这些工作对促进网络安全监测及安全智能在网络安全领域的应用，以及提升用户的信息安全防护能力，具有重要的意义。参考文献 1. 卢小海，一种基于信誉的威胁分析方法，技术报告，2010. 2. 李鸿培，关于信誉在安全领域的应用思考，技术报告，2010. 3.Cisco IronPort Web Reputation Filters，http://www.doc88.com/p-79629396725.html. 4.Taylor B. Sender Reputation in a Large Webmail Service. Collaboration, Electronic messaging [D]. Anti-Abuse and Spam Conference, Mountain View, California, 2006 5. 胡波等，基于集对分析的P2P 网络安全中的信誉度改进算法，电子学报，Vol.35,No.2,pp244-247. 6.Mobile Reputation Security prototype from Symantec: A closer look, http://searchsecurity.techtarget.in/news/1387236/Mobile-Reputation-Security-prototype-from-Symantec-A-closer-look. 7.Dmitri Alperovitch, Paul Judge, and Sven Krasser,Taxono-my of Email Reputation Systems, https://www.trustedsource.org/download/research.../tram2007_taxonomy.pdf.

14