《笑傲江湖》里有这样一句话,“有人的地方就有江湖”。想要独步武林,除了品行端正,还须修得盖世神功,否则又如何行侠仗义,救人于水火。

如果把网络安全比作一个江湖,现在正是这个江湖群雄逐鹿、英雄辈出的时代。各类安全产品针对不同的细分领域和应用场景,像极了这个武林里包罗万象的外功,用变化万千的“招式”来解决各种实际问题。而这些安全产品关联的后台数据,可以说代表了每个安全厂商的内力修为。

今天,我们就来聊一聊天空卫士后台数据“武功榜”。

北冥神功 | URL分类库

【业务特点】“海纳百川,有容乃大”

作为金庸武侠系列小说中的顶级内功,北冥神功最为博大精深之处就是可以吸收他人的内力并纳为己用,这种兼容所有的武功和天空卫士URL分类库的设计思路有着异曲同工之妙。

在架构设计上,技术团队采用了大数据的架构体系,在支持多数据源的基础上通过“分层存储+优先级”的方式保证了数据的灵活运用。在数据来源上,除了兼容吸收多个第三方数据源,天空卫士自研的动态分类模型更是通过机器学习的方法保证了对最新站点的快速分类。

随着“内力”的不断增加,现在天空卫士的URL分类库已经包含了超六千万条站点、过亿条URL分类信息,并且实力还在不断增强中。

【功能介绍】

URL分类查询包括了本地缓存查询和云端数据查询两个部分。

本地缓存会预置100万个site的数据,并且在部署后依据最近最频繁使用算法保持更新,经过一段时间的动态调整,本地缓存的数据将会根据企业员工的使用习惯自动调整到最优状态,确保大多数频繁访问的URL都能够在本地命中到,在减少查询延迟的同时满足了查询性能的最优化。

对于本地未能命中的数据查询,则会将请求继续发送到云端。云端和天空卫士数据后台保持同步,以保证获取到最新的URL分类信息。另外针对人工运运营的数据,技术团队确保2小时内会更新到本地缓存。

具体的示意图如下:

【使用手册】

小说中的北冥神功需要配合六脉神剑才能打通经脉,将内力转化为剑气,现实中的URL分类库也一样,需要配合合适的安全产品来发挥作用。在天空卫士的安全体系里面,URL分类库已经在ASEG和ASWG产品中完美集成,配合灵活的策略管控,用于保护邮件安全和Web安全。在安全产品中使用URL分类库的场景举例如下:

· 邮件安全网关,对包含恶意URL(例如钓鱼、恶意网站、间谍软件等)的邮件执行隔离操作;

· Web安全网关,允许用户访问带宽占用类的URL(例如流媒体、在线视频及下载等),同时设置带宽限速;

· 浏览器应用,阻止对高风险网站(例如未知站点等)访问。

易筋经 | 安全URL分类库

【业务特点】安全江湖的顶级秘籍

作为武林泰斗少林寺的无上心法,易筋经在金庸小说中的地位超然,其集大成者“扫地僧“更被誉为天龙第一人。如果非要用一个词来为易筋经打上标签,那就是---“专业“,来自武林正宗的武学秘籍,没有其他表述比专业更恰当了。

天空卫士安全URL库,源自安全厂商多年的深耕积累,并由天空卫士技术团队在此基础上不断修正更新和调整。另外,我们还对接了多家威胁情报公司的数据库,现在已经成为一个包含超过七千万条URL信息的安全宝典。这个宝典有两种使用模式;

· 精准模式:可使用包括木马程序、恶意网站、漏洞等在内的12个安全类别。安全类别详细划分了威胁类型;

· 通用模式:可使用黑、白、灰3个风险级别。风险级别作为双引擎的扫描结果,可信度更高,因此可通过黑名单直接锁定高风险网站。

【功能介绍】

为了提升查询效率,技术团队将安全URL和URL分类整合在一起。一次查询,便会得到安全URL和URL分类的结果。因此安全URL的查询流程和URL分类库保持一致,具体可参照上个章节的详细介绍。

【使用手册】

作为一门优秀的实用性“内功”,安全URL分类库的能力已经输出到ASEG和ASWG产品并发挥作用。如何灵活使用安全URL分类的例子如下:

· 邮件安全网关: 恶意邮件里往往会包含诱导用户去点击的恶意链接,包括木马、钓鱼等,而这些恶意链接基本上都会被我们的安全URL库收录,因此,ASEG可以对经过的邮件进行内容扫描,如果邮件中包含的链接在安全URL库中,基本上可以判定该邮件为恶意邮件并阻断;

· Web安全网关:因为用户上网的流量都会经过ASWG,利用安全URL库,ASWG可以轻松识别恶链的访问并阻断,防止用户电脑在上网的时候被钓鱼、植入木马等危险。

六脉神剑 | Cloud App分类库

【业务特点】精细化管理

在金庸先生的武侠江湖中,大理段氏拥有一门无敌的绝学——六脉神剑。招随意动,任意而发,发功时六条经脉中的劲道汇于指尖,指向哪里,打到哪里。

Cloud App分类库也是这样一门精细化的“内功”。随着云技术和虚拟化技术的普及,越来越多的业务系统迁移到了云上,资源规模化、集约化带来效率提升的同时,也让企业失去了对应用及数据的安全控制。前面提到的URL分类库,其覆盖面广,但颗粒度不够。所以针对云应用,我们推出了Cloud App分类库, 对其进行更精细化的管理,满足用户既要享受便捷的云端服务,又不能失去对自身数据控制权的需求。Cloud App分类库的特点如下:

· 提供基于云存储、社交、即时消息等17个云应用分类;

· 云应用信任级别评估,对云应用的7种类型属性、42个风险因素进行综合评分;

· 目前已支持4000多个云应用,后续随着运营的投入会不断增强和完善。

【使用手册】

Cloud App分类库已经以Restful API的方式提供,并且与ASWG产品集成。通过引入Cloud App分类库,管理员可以清楚的知道企业中究竟使用了哪些云应用, 并根据IT策略,对指定分类或者风险等级的云应用进行管控。使用Cloud App分类库的场景举例如下:

· 允许使用云存储应用,但对传输的文件进行内容检测,阻断包含企业敏感信息的文件被同步到云端;

· 禁止使用信任级别为‘较差’(信任得分低于4分)的云应用;

· 设置仅在非工作时间可使用新浪微博、腾讯视频等云应用。

斗转星移 | 指纹垃圾库

【业务特点】“以彼之道,还施彼身”

读过《天龙八部》的朋友对斗转星移神功应该都是印象深刻,作为一种借力打力的高深功夫,它的厉害之处在于够将对手打来的武功内力和招数的力道和方位进行随意转移,反伤于对手或第三方。

反垃圾邮件技术中垃圾指纹库的设计思路与此有相似之处:从内容层面入手,通过对邮件进行指纹特征匹配,从而实现快速准确的识别垃圾邮件。

【功能介绍】

每个版本的指纹垃圾库都需要经过样本采集和指纹提取两个过程才能生成,其样本包括以下两个来源:

· 基于分布式蜜罐的捕获系统的样本采集

· 已部署用户反馈的真实垃圾邮件

指纹提取目前采取工具和人工确认相结合的方式快速提取指纹,另外提取的指纹需要通过验证系统校验后才能发布到云端。

【使用手册】

现在指纹垃圾库已经集成到ASEG设备,每次新版本发布后,ASEG设备调度更新后可以立即使用最新的指纹库进行垃圾邮件的识别判定。