安恒玄武盾技術白皮書網(wǎng)絡行為審計資料

1、1 .安全背景隨著越來越多的用戶將傳統(tǒng)的業(yè)務系統(tǒng)遷移至云平臺中，而目前眾多云平臺企業(yè)關注的更多是基礎實施的完善和業(yè)務的開展，對于安全層面的關注較少，對于云端安全形勢非常嚴峻，而目前基本都采用傳統(tǒng)的硬件 WAFFB署,一方面部署比較廢時廢力，而且用戶需要重復投資安全設備，另一方面用戶需要自己管理和運營安全產(chǎn)品，對于缺乏安全專業(yè)知識的用戶帶來困擾。從傳統(tǒng)的安全市場總體規(guī)模分析，目前的安全市場只是冰山一角，在互聯(lián)網(wǎng)、大數(shù)據(jù)、 云計算的大趨勢下，我們會接觸到很多新的領域，相信我們的玄武盾能給安全市場帶來新的開始。2 .產(chǎn)品介紹2.1 工作原理玄武盾基于大數(shù)據(jù)和云防護平臺，采用零部署的云計算解決方案，用

2、戶無需在本地部署任何安全設備，只需將DNS央射至玄武盾CNAMEU名地址或NS方式, 即可完成WE鼠全防護、DDOSJ護。2.2 產(chǎn)品功能2.2.1 網(wǎng)站防護玄武盾提供了目前業(yè)界覆蓋范圍最廣、 防護能力最強的安全防護，對We網(wǎng) 站或應用進行嚴格的保護。安全策略來自于 Snort、CWEOWASP織，以及安恒 安全研究院對國內(nèi)典型應用的深入研究成果，覆蓋范圍如下：HTTPft、議規(guī)范性檢查檢查提交的報文是否符合 HTTP協(xié)議框架，如異常的請求方法、不同 字段的合規(guī)性、特殊字符、重點字段的缺失、HTT叨法控制、超長報文造成的溢出攻擊以及對高危文件的訪問等，黑客在使用非瀏覽器工具調(diào)試時可迅速攔截。文

3、件B超對用戶上傳的文件后綴名和文件內(nèi)容進行全方面檢查，杜絕 Webshell的上傳和訪問。注入攻擊防護對用戶提交的URL參數(shù)、Cookie等字段進行檢查，采用SQL語義解 析技術防止風險系數(shù)極高的SQL注入攻擊，采用字符偏移技術對代碼、命令、文件、LDAP、 SSI 等注入攻擊的檢測，有效地防護了對操作系統(tǒng)和應用的注入攻擊。 跨站腳本攻擊防護 采用字符差分技術對用戶提交的腳本進行檢查，防止不合法跨站腳 本。 網(wǎng)頁木馬防護 對頁面內(nèi)容進行逐行掃描，檢查是否存在網(wǎng)頁木馬，防止客戶端被感 染。 信息泄漏防護 對服務器響應狀態(tài)碼、服務器錯誤信息、數(shù)據(jù)庫錯誤信息、源代碼信 息泄露進行過濾，防止服務器信息

4、被黑客利用進行有效攻擊。 掃描器防護 對常見的wvs、 appscan、 nessus 等掃描器指紋進行有效識別進行防護。第三方組件漏洞防護對WEEK務器容器、應用中間件、CM繇統(tǒng)等漏洞進行有效防護。 CSRF夸站請求偽造防護通過Referer算法和token算法有效對CSRFC擊進行防護。防盜鏈通過 Referer 和 Cookie 算法有效防止非法外鏈，和對用戶資源內(nèi)容 的盜鏈。2.2.2 內(nèi)容加速內(nèi)置 Webcache及 Webrar模塊，Webcache奠塊對靜態(tài)頁面進行高速緩存， 提升WEEK務器連接可用性，Webrar模塊對頁面內(nèi)容進行文件壓縮，提升服務 器帶寬使用率。2.2.3

5、防 DDOS、 CC 攻擊擁有專利級防 DDOS/CCT法，有效防護實現(xiàn)對Syn-flood、upd-flood、tcp-flood 、應用層CC DDOSC擊，一方面解決了用戶網(wǎng)站被DDO數(shù)擊時的可 用性問題，另一方面對玄武盾本身也加強了防護，這樣可持續(xù)保證用戶的網(wǎng)站穩(wěn)定運行。2.2.4 用戶獨立數(shù)據(jù)報表每個用戶擁有自身網(wǎng)站的數(shù)據(jù)和報表，用戶可查看訪問流量報表、安全防護 報表，安全防護報表包含攻擊次數(shù)態(tài)勢分析、攻擊者區(qū)域態(tài)勢分析、攻擊者 IP 統(tǒng)計、被攻擊頁面統(tǒng)計、被攻擊域名統(tǒng)計、攻擊事件統(tǒng)計、攻擊威脅等級統(tǒng)計等。 2.3用戶接入流程用戶納入玄武盾防護的流程如下：1.1.1. 名登記用戶聯(lián)系

6、當?shù)劁N售告知需要防護的域名信息，并提供環(huán)境調(diào)研表，安恒安全 工程師將域名進行登記入庫；1.1.2. 配置防護安恒安全工程師將用戶域名添加至防護列表，添加域名、回源 IP、策略等信 息；1.1.3. DNS 映射安恒工程師配置完成后會通知用戶進行接入，用戶可登陸到DNSt理系統(tǒng)，將網(wǎng)站域名解析指向到玄武盾的別名地址 ，下面以DNSPOD例: 1、 添力口 CNAM配錄：哲停 啟用 刪除主機記錄記錄類型生雷奘型記錄制極型 m乂優(yōu)魁h m.at作門 dbspnwaf cnWWWMX取消問商提供的IP地址，選悻【美型AJ.要指向一個域名.國厚【美里CNAMEJCNAMECNAME定域宅的IPV4地址1

7、如：B-E-6,fl),如果幸將域名指向一印1a址,就重要添加由3錄. 將域名指向另f 場名.再由另T：器提供I口地址,就更要添加CNAMEiaM.2、停止用A記錄:WWWBtU1.1.4. 驗證網(wǎng)站1、 驗證網(wǎng)站是否能正常訪問；2、 驗證網(wǎng)站是否能被玄武盾正常防護。1.1.5. 索要帳號用戶向當?shù)劁N售索要玄武盾帳號，可隨時查看被防護站點可查看訪問流量報 表、安全防護報表，安全防護報表包含攻擊次數(shù)態(tài)勢分析、攻擊者區(qū)域態(tài)勢分析、 攻擊者IP統(tǒng)計、被攻擊頁面統(tǒng)計、被攻擊域名統(tǒng)計、攻擊事件統(tǒng)計、攻擊威脅 等級統(tǒng)計等報表；1.1.6. 可視化安全防護可實時查看可視化態(tài)勢感知，實時了解安全防護狀態(tài)加冠亞

8、蟠肝威兒阿站皿HIT訪同量/HHSe-JJt 攻擊量59m次勒瞰毗布*¥惻呵 * t tft , 的田再 5 q 亍m.g 弧 >li.>211el 的i 山5rximT.lg* T, *Z,31*3 口， fLIT*二HJ-31-h.弓聞LM1NM Sir 國*UJ! 91-l24MLi£4L 1'faLAISUMSfl'ffid 工 flfezBLI 端1t!ftHI九&L再.門口駕京1& Jl;»11%勘1刖M之中SWfttiW40 000廢青*L內(nèi)擊方式f WJKiXJt一多直aa名交體一,胃:臺臺文停一 .K曰

9、n名文布一 .,間I者文小夕中中中印中aoaaDQQOfflME身楂麗Ihr曲1捋卬師哥工<x州口»2D 0001DDQ訪問演幽中三次觸23.5323-ft 真狎 COS OOK HJ確 Q011 DO U 0017 C02CneZldL®3 .玄武盾優(yōu)勢3.1. 企業(yè)級安全解決方案安恒具備多年企業(yè)級安全解決方案，玄武盾核心防護引擎來源于安恒 WEEK 用防火墻產(chǎn)品，高效穩(wěn)定，誤判率和漏報率業(yè)內(nèi)最低，產(chǎn)品成熟度高， 8年產(chǎn)品 研發(fā)歷程，歷經(jīng)數(shù)十萬網(wǎng)站的考驗。產(chǎn)品功能完善，可滿足不同行業(yè)用戶的安全需求；安全研究院定期輸送安全成果到玄武盾，增強防護能力；部署簡便快捷，用戶

10、端無需部署任何安全設備即可完成云防護、 云加速； 用戶可對自身業(yè)務進行自定義防護和例外策略，杜絕一套策略用于所有 網(wǎng)站，避免誤報和漏報；用戶使用成本低廉，可按需購買。3.2. 風暴中心整體解決方案風暴中心以安恒信息長達8年在信息安全領域的經(jīng)驗積累為核心，借力成熟 的大數(shù)據(jù)及云計算技術構(gòu)建了基于大數(shù)據(jù)的安全搜索引擎，從而為實現(xiàn)全國基至 全球互聯(lián)網(wǎng)絡在線業(yè)務系統(tǒng)的安全基礎數(shù)據(jù)采集、 大范圍風險評估、威脅情報分 析、重大安全事件監(jiān)測等提供了有力的技術支撐和管理決策參考玄武盾依托于風暴中心的實時監(jiān)測和大數(shù)據(jù)分析技術，云監(jiān)測模塊在發(fā)現(xiàn)問題可快速與玄武盾進行聯(lián)動響應，可將漏洞結(jié)果生成虛擬補丁方式下發(fā)到玄武

11、盾進行防護，通過大數(shù)據(jù)分析技術對海量日志進行分析挖掘，有效發(fā)現(xiàn)0day 攻擊，并同步到玄武盾生成防護策略。3.3. 特點3.3.1. DNS 聚焦DNSK務器支持多線路、多節(jié)點，可滿足用戶對 DNS勺彈性需求，DNSM析 速度快，可完成快速切換，DNSK務器安全性高，可有效防護大流量 DNSt擊。3.3.2. 集群玄武盾中所有模塊均采用集群方式承載，從最前端的DNS服務器到DDOS&護、LR WAFB護、LOG等模塊均采用集群方式部署，無論哪個模塊出現(xiàn)問題， 整體不會受影響。3.3.3. 大數(shù)據(jù)分析玄武盾可結(jié)合遠程安全風險檢測、安全事件監(jiān)測、網(wǎng)站日志分析、流量分析、告警日志分析等多維度

12、數(shù)據(jù)，進行綜合運營，及時發(fā)現(xiàn)有針對性的攻擊行為和未被攔截到的攻擊，同時互聯(lián)網(wǎng)上任何新型攻擊都會被玄武盾第一時間感知，避免系統(tǒng)被入侵產(chǎn)生惡劣影響。風暴中心采用基于Hadoop的大數(shù)據(jù)集群計算架構(gòu)，依據(jù)監(jiān)測分析的規(guī)模增大，可進行平滑的彈性擴容，可按需插入硬件設備，實現(xiàn)即插即用，方便地擴大計算集群。風暴中心的彈性計算架構(gòu)，可應用于國家級的網(wǎng)絡空間安全分析，也適用于地區(qū)性的轄區(qū)安全監(jiān)控，能夠支撐海量數(shù)據(jù)存儲分析，目前已經(jīng)累計采集了過億個域名，超過百萬個設備IP,其中有25萬個政府網(wǎng)站，數(shù)據(jù)量達到了幾 百 TB。3.3.4. 保姆式安全體驗用戶無需自行維護安全設備，玄武盾安全工程師將7X24小時待命，用

13、戶無需專業(yè)知識分析日志、不需要再為調(diào)整復雜的安全規(guī)則而煩惱，用戶在碰到任何問題時只需一個電話就可以，剩下的交給玄武盾。4 .市場分析玄武盾產(chǎn)品具備部署快速、運維簡單、云計算集群、按需付費等特點，適用于整體行業(yè)用戶和帶有區(qū)域性質(zhì)的政府用戶。4.1. 行業(yè)用戶群體某教育信息中心下屬500個學校網(wǎng)站，每個學校網(wǎng)站有的托管到IDC機房, 有的是自建機房維護，網(wǎng)站安全性參差不齊， 無法統(tǒng)一管理，一旦發(fā)生安全問題 造成的影響非常大，然而通過部署傳統(tǒng)硬件 WAF單決安全問題，需要為每個學校 網(wǎng)站前端部署硬件 WAF會存在實施成本高、實施難度大、無法統(tǒng)一運維等問題。采用玄武盾解決方案，用戶只需統(tǒng)一將所有學校網(wǎng)

14、站統(tǒng)一納入到玄武盾中，用戶就可享受云防護、云加速、DDOS&護等，同時用戶精力只需放在自身的業(yè) 務上，無需為安全運維操心，玄武盾專業(yè)的安全人員將會全程負責。4.2. 區(qū)域用戶群體2014年，我國境內(nèi)政府網(wǎng)站被篡改數(shù)量為 1763個，雖然近幾年被篡改次數(shù) 有所下降，但安全情況仍刻不容緩，下圖是 2014年我國境內(nèi)被篡改的政府網(wǎng)站 數(shù)量和其占被篡改網(wǎng)站總數(shù)比例按月度統(tǒng)計。圄5-4 201 4年我國境內(nèi)被篡改的政府網(wǎng)站數(shù)量和所占比例月度統(tǒng)計 （來源工 CNICERT/CC ）目前某市政府下屬多個部門，每個部門都有自已的門戶網(wǎng)站，而門戶網(wǎng)站安 全性參差不齊，有的部署了 WAF有的則未做任何安全

15、防護，對所有網(wǎng)站都通過 部署硬件WA胡護，會存在實施成本高、實施難度大、無法統(tǒng)一運維等問題。采用玄武盾+風暴中心一體化解決方案，納入玄武盾前通過遠程安全評估對 網(wǎng)站進行統(tǒng)一健康體檢，通過玄武盾進行定制化防護策略，納入玄武盾后實時進 行監(jiān)測，一旦發(fā)現(xiàn)安全問題通過玄武盾快速完成防護。4.3. 云政務網(wǎng)隨著越來越多的政府用戶將傳統(tǒng)的業(yè)務系統(tǒng)遷移至私有云中，而目前眾多云 平臺企業(yè)關注的更多是基礎實施的完善和業(yè)務的開展，對于安全層面的關注較少， 即使有提供安全產(chǎn)品的云服務商，很多政府用戶為滿足等保等要求仍然會選擇第三方安全提供商解決，因此這部分用戶群體十分龐大，玄武盾可以以服務方式進行提供。5 .競爭分

16、析5.1. 傳統(tǒng)安全廠商傳統(tǒng)安全廠商基本以硬件 WA助主要解決方案，也有部分廠商推出了虛擬化解決方案，但面對大量網(wǎng)站仍存在部署困難、運維困難、成本高昂等問題，而且在沒有風暴中心的大數(shù)據(jù)分析和運營安全價值難以體現(xiàn)。5.1.1. 部署困難大行業(yè)用戶網(wǎng)站群眾多，而且分布在不同的地址位置，采用硬件WAF單決方案需要將硬件盒子部署到用戶端，不僅實施困難，而且成本高昂。玄武盾無需在用戶端部署任何安全設備，用戶可以以服務方式按需購買不同的防護模塊，成本上可以有效控制。5.1.2. 難以防護DDOS 攻擊大部分傳統(tǒng)硬件 WAFT具備DDO數(shù)擊防護，即使具備DDO數(shù)擊防護，也難 以防護大流量DDOSC擊和應用層

17、CCt擊；玄武盾具備大流量DDOS青洗攻擊引擎,可防護百G以上的DDO數(shù)擊流量和 應用層CCfc擊。5.1.3. 用戶數(shù)據(jù)無法隔離傳統(tǒng)硬件WA所有用戶數(shù)據(jù)都存放在一起，數(shù)據(jù)報表未做分離，缺乏安全性和機密性。玄武盾數(shù)據(jù)基于用戶視圖，所有用戶的數(shù)據(jù)、日志、報表都會進行隔離，用戶登陸到管理平臺上只能查看自己相關的數(shù)據(jù)報表，保護了不同用戶的隱私。5.1.4. 缺乏事前檢測、事中實時監(jiān)測、事后大數(shù)據(jù)分析傳統(tǒng)硬件WAFffl戶的日志數(shù)據(jù)都在本地存放，大多數(shù)處于無人管理、無人分析的狀態(tài)，這樣會導致安全設備長期封閉，會導致防護滯后造成安全事件的發(fā)生，同時玄武盾可結(jié)合遠程安全風險檢測、安全事件監(jiān)測、網(wǎng)站日志分析、流量分析、告警日志分析等多維度數(shù)據(jù)，進行綜合運營，及時發(fā)現(xiàn)有針對性的攻擊行為和未被攔截到的攻擊，同時互聯(lián)網(wǎng)上任何新型攻擊都會被玄武盾第一時間感知，避免 系統(tǒng)被入侵產(chǎn)生惡劣影響。5.2. 互聯(lián)網(wǎng)安全廠商近幾年互聯(lián)網(wǎng)安全廠商也開始以云加速和云防護的概念推出云防護產(chǎn)品，但 主要以個人用戶群體為主，缺乏企業(yè)級用戶的運營經(jīng)驗和技術沉淀，對企業(yè)用戶 的需求把握不準，難以滿足用戶安全需求， 另外也缺乏像風暴中心對預警、 監(jiān)測 和大數(shù)據(jù)分析的平臺。6 .銷售模式6.1. 服務模式用戶以服務模式購買玄武盾服務，可選擇域名個數(shù)和防護模塊，安全運維只 需交給玄武盾專業(yè)安全人員。模