当您生病就医时,医生如何确诊您的病症呢?通常,医生会遵循一系列常规步骤,先问您哪儿不舒服,然后测量体温。基于这两项结果,医生可以大致了解您的病情。不过,单凭这些信息医生还不足以找出确切病因,他们还必须将这些信息与几十项其他数据(如血压等)关联起来进行分析,这样医生才能非常自信的确保诊断准确、对症下药。
同样,网络安全信誉系统也依赖于大量数据间的关联关系。多年来,从医生诊断疾病到数学家为金融工具评级等诸多领域都在借助这些系统评估状况、制定决策。
如今,随着越来越多的用户借助更多设备访问在线工具,同时与同事、朋友和陌生人在越来越多的在线平台上保持交流互动,信誉计算工具对网络安全越发重要。信誉为基于互联网的重要个人和专业业务的身份可靠性和完整性提供了令人安心的保证,这在物理环境下是无法实现的。
什么是信誉?
维基百科将信誉定义为“一个人、一群人或一个组织根据某一特定标准对一组实体的看法(技术上称为“社会评价”)。我们在本文中所讨论的信誉与电子实体有关,例如,文件、发件人和网站等。
首先,信誉是动态、暂时的。例如,以前合法的网站受到恶意软件感染后会被迅速清理。信誉必须与内容保持同步更新。其次,实体信誉很少出现“绝对好”或“绝对差”的情况,而是介于这两者间广阔的“灰色地带”。信誉与策略相结合有助于安全决策者制定明智决策。最后,可信度是计算信誉时一个重要的考量因素。可信度是指我们估算的置信区间或可靠性。分析时考虑的数据点和评价标准越多,计算出的信誉越准确。有利于提高信誉可靠性的四大因素是:数据量、数据寿命、数据可信度和广泛的数据关联性。
信誉计算以数以亿计的电子实体为基础,包括文件、网站、Web 域、邮件、DNS 服务器和网络连接。同时采用高度细化的评分系统,该系统是以各种实体行为、特性相关信息以及人们对类似实体表现的过往经验为基础的。
信誉不仅是安全系统的重要组成部分,而且是必要部分。当前的威胁攻击太迅速、太隐匿,以致无法依靠传统技术(例如基于签名的保护和黑名单等)进行拦截。如果威胁意在攻击更多计算机,那么它的传播速度要比编写和部署签名的速度快得多,而且黑名单解决方案无法像信誉评分那样发现细微差别。另一方面,我们看到攻击性强、有针对性威胁的目的不单单是迅速蔓延,而且要规避检测、降低影响,以实现隐蔽、目标更明确的攻击。为抵御这两种极端威胁(以及介于两者间的任何威胁),安全专业人士以及解决方案供应商都认识到,当前的威胁态势要求系统必须能够根据所采集的实体智能信息实时计算实体信誉,并基于信誉采取适当措施。
2009年末和2010年初,对 Google 和其他 20 多家企业发起攻击的极光行动(Operation Aurora)就是以特定人群为目标的有针对性威胁。攻击者使用复杂的规避技术潜入这些用户的机器,进而窃取公司宝贵的信息和知识产权。尽管诸如极光行动这样的威胁会竭力逃避检测并且隐匿颇深,但它们总会使用一些相关实体(例如,从临时有害IP地址发出旨在诱骗毫无戒心的用户打开受恶意软件感染的网站的电子邮件),这些实体的信誉会不断变化。
确保信誉计算具有高置信度的四大要素
除了作为可靠信誉系统的基础,对于以下列方式增强置信度,遥测数据同样十分有用:
