Web名誉系统在实践中的应用
    IronPort Web名誉系统极大地增强了企业安全系统在处理每个基于URL的恶意软件时的功效和截获率。这项强大的技术目前已经应用在了IronPort的C系列邮件安全设备上。IronPort安全网关设备使用Web名誉技术能够及时阻止任何一个试图通过邮件和Web进入企业网络的恶性URL。

    垃圾邮件和基于URL的病毒: 传统垃圾邮件解决方案在评估一封邮件是否为垃圾邮件时会回答一些类似于“是什么”的基本问题，例如“这封邮件的内容的性质是什么？”。这种方式有天生的缺陷，困难在于垃圾邮件制造者已经找到了各种技巧来欺骗此类邮件过滤器，比如在邮件体中加入一块合法文本(称作贝叶斯克星)或者用数字替代字母(如L0ve)，结果造成第一代防垃圾邮件过滤器的功效急剧下降，因为几乎每封垃圾邮件都内嵌了一个指向广告站点或恶意站点的URL链接，并使用各种社会工程学技巧诱骗读者去点击。而Web名誉技术则添加了另一维垃圾邮件分析方式，它会问一些“哪里”的问题，比如“这个URL会把我带到哪里？”

    通过准确地鉴定邮件中URL的名誉，我们就可以对邮件是否为垃圾邮件的可能性进行更准确的分析。类似的，如果一份邮件包含有指向有病毒的站点的链接，Web名誉系统就会阻止这些邮件到达客户手中。传统的防病毒和附件过滤解决方案则缺少这些功能。

    间谍软件: 传统的防间谍软件解决方案使用的都是相对静态的黑名单和间谍软件特征码文件。间谍软件必须首先要进行解析后才能编写出相应的特征码，而这个过程常常需要数天的时间。IronPort Web名誉系统始终持续不断地反复评估给定的URL是否指向间谍软件，并能立即相应调整这些URL的分值，从而极大地缩短了响应时间差。另外，与其他传统的只能处理间谍软件的防间谍软件引擎不同，Web名誉系统还能保护用户远离各种钓鱼攻击站点和域嫁接攻击站点，当然也包括那些受到病毒感染的站点。

    为了最大化系统吞吐能力并最小化延迟，IronPort Web名誉系统也可以被用于决定应该采取哪种类型的扫描。一个很高的正名誉分值可能意味着可以不需要经过防间谍软件引擎的扫描。一个较低的正名誉分值可能意味着只需要经过一个防间谍软件引擎的扫描。一个较低的负名誉分值可能意味着需要经过多个防间谍软件引擎的扫描。而一个很糟糕的名誉分值则可能意味着根本无需任何扫描动作，直接进行封禁即可。IronPort所推荐的缺省设置就已经是一个具有足够智能的扫描策略，但系统管理员也完全可以根据自己或宽松或严格的防间谍软件策略对扫描引擎的各种阀值进行细调。

    钓鱼攻击/域嫁接攻击: 钓鱼站点的创建者也许可以完美地伪造一个站点，使其看起来与其他合法银行或电子商务站点一模一样，但是他们却无法伪造该站点的URL实际所处的位置。IronPort Web名誉系统拥有绝大多数URL的最新详细名誉分值，因此可以有效保护用户远离各种钓鱼攻击的侵害。

    混合式攻击: 最近出现的Windows元文件(WMF)漏洞突显了目前混合式攻击的广泛流行，以及IronPort Web名誉技术在有效封禁此类安全威胁的所有表现形式时的强大能力。2005年12月底，安全机构公布了一个WMF的漏洞，攻击者利用该漏洞可以在用户的系统上执行任意有害代码。用户一旦浏览了内嵌有恶意WMF文件(通常是一个图片)的站点就有可能受到感染，而整个感染的过程中并不需要用户自己去下载运行这些有害代码。最早的时候是一些间谍软件的制造着发现了这一漏洞，于是他们特意将一些很流行的合法站点的URL进行错误拼写，之后把受到WMF漏洞感染的文件放在这些URL所指向的站点上并诱骗用户进行访问。用户系统在无意间打开这些带有利用该漏洞的间谍软件的站点后将受到感染，随后开始向外发送大量内嵌有指向这些恶意站点的链接的垃圾邮件。这个过程不断地快速重复，以至于最后问题严重到微软不得不破例在一个预先定好的月度补丁升级日之前几天单独发布一个补丁来修复该WMF漏洞。

    传统的防间谍邮件解决方案根本无法及时识别此类新型间谍软件并及时提供特征码，同样，对于受感染主机发出的这类内嵌了指向利用WMF进行攻击的恶意站点的URL的邮件，传统防垃圾邮件和防病毒解决方案也无能为力。然而，IronPort的Web名誉技术却能够立即探测到这类新型URL的出现，并综合分析多方因素，例如使用了故意错误拼写的域名、急速增长的访问量以及带有可下载的代码等等，最终评出了一个合适的Web名誉分值。而且只有IronPort Web名誉技术才有能力在用户试图访问这类有害站点时及时进行阻止。最后，Web名誉技术的细粒度分值系统也让管理员可以配置各种不同的安全策略以满足企业的特定安全需求。

    总结
    垃圾邮件、病毒、钓鱼攻击和间谍软件等安全威胁的数量和狡猾程度一直在不断地提高。第一代的防病毒、防垃圾邮件和防间谍软件解决方案主要依靠的是对原始内容的分析，因此碰到那些能够将内容进行改头换面的高级安全威胁，第一代解决方案常常束手无策。IronPort Web名誉系统采用了一个更深入问题本质的方法，即对Web服务器的行为和特征进行全面的分析。IronPort Web名誉系统通过实时分析大量丰富而又深入的全球数据集来检测与安全威胁相关的URL的名誉，并根据分析结果为每个URL赋予一个从-10到+10之间的细粒度的名誉分值。Web名誉系统是IronPort的安全数据库的一个关键组成部分，它的存在使得IronPort安全网关产品可以有效封禁以电子邮件、Web数据流或其他任何形式出现的恶意软件和混合式安全威胁。