安恒玄武盾技術(shù)白皮書-網(wǎng)絡(luò)行為審計

1、1 .安全背景隨著越來越多的用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至云平臺中，而目前眾多云平臺企業(yè)關(guān)注的更多是基礎(chǔ)實(shí)施的完善和業(yè)務(wù)的開展，對于安全層面的關(guān)注較少，對于云端安全形勢非常嚴(yán)峻，而目前基本都采用傳統(tǒng)的硬件WA陪B署,一方面部署比較廢時廢力，而且用戶需要重復(fù)投資安全設(shè)備，另一方面用戶需要自己管理和運(yùn)營安全產(chǎn)品，對于缺乏安全專業(yè)知識的用戶帶來困擾。從傳統(tǒng)的安全市場總體規(guī)模分析，目前的安全市場只是冰山一角，在互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算的大趨勢下，我們會接觸到很多新的領(lǐng)域，相信我們的玄武盾能給安全市場帶來新的開始。2 .產(chǎn)品介紹2.1 工作原理玄武盾基于大數(shù)據(jù)和云防護(hù)平臺，采用零部署的云計算解決方案，用戶無需

2、在本地部署任何安全設(shè)備，只需將DNS央射至玄武盾CNAMEU名地址或NS方式,即可完成WE鼠全防護(hù)、DDOS&護(hù)。2.2 產(chǎn)品功能2.2.1 網(wǎng)站防護(hù)玄武盾提供了目前業(yè)界覆蓋范圍最廣、防護(hù)能力最強(qiáng)的安全防護(hù)，對We網(wǎng)站或應(yīng)用進(jìn)行嚴(yán)格的保護(hù)。安全策略來自于Snort、CWEOWASP織，以及安恒安全研究院對國內(nèi)典型應(yīng)用的深入研究成果，覆蓋范圍如下：HTTPft、議規(guī)范性檢查檢查提交的報文是否符合HTTP協(xié)議框架，如異常的請求方法、不同字段的合規(guī)性、特殊字符、重點(diǎn)字段的缺失、HTT叨法控制、超長報文造成的溢出攻擊以及對高危文件的訪問等，黑客在使用非瀏覽器工具調(diào)試時可迅速攔截。文件B超對用戶上傳的文

3、件后綴名和文件內(nèi)容進(jìn)行全方面檢查，杜絕Webshell的上傳和訪問。注入攻擊防護(hù)對用戶提交的URL參數(shù)、Cookie等字段進(jìn)行檢查，采用SQL語義解析技術(shù)防止風(fēng)險系數(shù)極高的SQL注入攻擊，采用字符偏移技術(shù)對代碼、命令、文件、LDARSSI等注入攻擊的檢測，有效地防護(hù)了對操作系統(tǒng)和應(yīng)用的注入攻擊?？缯灸_本攻擊防護(hù)采用字符差分技術(shù)對用戶提交的腳本進(jìn)行檢查，防止不合法跨站腳本。網(wǎng)頁木馬防護(hù)對頁面內(nèi)容進(jìn)行逐行掃描，檢查是否存在網(wǎng)頁木馬，防止客戶端被感染。信息泄漏防護(hù)對服務(wù)器響應(yīng)狀態(tài)碼、服務(wù)器錯誤信息、數(shù)據(jù)庫錯誤信息、源代碼信息泄露進(jìn)行過濾，防止服務(wù)器信息被黑客利用進(jìn)行有效攻擊。掃描器防護(hù)對常見的wvs

4、、appscan、nessus等掃描器指紋進(jìn)行有效識別進(jìn)行防護(hù)。第三方組件漏洞防護(hù)對WEEK務(wù)器容器、應(yīng)用中間件、CM繇統(tǒng)等漏洞進(jìn)行有效防護(hù)。CSRF夸站請求偽造防護(hù)通過Referer算法和token算法有效對CSRFc擊進(jìn)行防護(hù)。防盜鏈通過Referer和Cookie算法有效防止非法外鏈，和對用戶資源內(nèi)容的盜鏈。2.2.2 內(nèi)容加速內(nèi)置Webcache及Webrar模塊，Webcachet奠塊對靜態(tài)頁面進(jìn)行高速緩存，提升WEEK務(wù)器連接可用性，Webrar模塊對頁面內(nèi)容進(jìn)行文件壓縮，提升服務(wù)器帶寬使用率。2.2.3 防DDOS、CC攻擊擁有專利級防DDOS/CO法，有效防護(hù)實(shí)現(xiàn)對Syn-fl

5、ood、upd-flood、tcp-flood、應(yīng)用層CCDDOSfc擊，一方面解決了用戶網(wǎng)站被DDO數(shù)擊時的可用性問題，另一方面對玄武盾本身也加強(qiáng)了防護(hù)，這樣可持續(xù)保證用戶的網(wǎng)站穩(wěn)定運(yùn)行。2.2.4 用戶獨(dú)立數(shù)據(jù)報表每個用戶擁有自身網(wǎng)站的數(shù)據(jù)和報表，用戶可查看訪問流量報表、安全防護(hù)報表，安全防護(hù)報表包含攻擊次數(shù)態(tài)勢分析、攻擊者區(qū)域態(tài)勢分析、攻擊者IP統(tǒng)計、被攻擊頁面統(tǒng)計、被攻擊域名統(tǒng)計、攻擊事件統(tǒng)計、攻擊威脅等級統(tǒng)計等。2.3用戶接入流程用戶納入玄武盾防護(hù)的流程如下：1.1.1. 名登記用戶聯(lián)系當(dāng)?shù)劁N售告知需要防護(hù)的域名信息，并提供環(huán)境調(diào)研表，安恒安全工程師將域名進(jìn)行登記入庫；1.1.2.

6、配置防護(hù)安恒安全工程師將用戶域名添加至防護(hù)列表，添加域名、回源IP、策略等信息；1.1.3. DNS映射安恒工程師配置完成后會通知用戶進(jìn)行接入，用戶可登陸到DNSt理系統(tǒng)，將網(wǎng)站域名解析指向到玄武盾的別名地址，下面以DNSPOD例:1、添力口CNAM配錄：哲停啟用刪除主機(jī)記錄記志建生樂奘型記錄精極型M)(優(yōu)制HTTL0(作取消wwwCNA阿DJ是示惠.問府提供的IP地址，逛釋【美里A1.要指向一個域名，選擇I美型CNAMEJJAMEMXCNAME定域?qū)m的IPMfe址1如：B-B.S.fl),如果奈將域名指向fIPlft址,就幸要添加用3錄.將域名指向另f域名.再由另T域名提供甲地址,就更要添加

7、CNWEia錄.2、停止用A記錄:WWW1.1.4. 驗(yàn)證網(wǎng)站1、 驗(yàn)證網(wǎng)站是否能正常訪問；2、 驗(yàn)證網(wǎng)站是否能被玄武盾正常防護(hù)。1.1.5. 索要帳號用戶向當(dāng)?shù)劁N售索要玄武盾帳號，可隨時查看被防護(hù)站點(diǎn)可查看訪問流量報表、安全防護(hù)報表，安全防護(hù)報表包含攻擊次數(shù)態(tài)勢分析、攻擊者區(qū)域態(tài)勢分析、攻擊者IP統(tǒng)計、被攻擊頁面統(tǒng)計、被攻擊域名統(tǒng)計、攻擊事件統(tǒng)計、攻擊威脅等級統(tǒng)計等報表;DBAPPXrfjn安恒信息1.1.6. 可視化安全防護(hù)可實(shí)時查看可視化態(tài)勢感知，實(shí)時了解安全防護(hù)狀態(tài)。用電嗎,曲站躺明布ri4酬蠅行ilir5m22.94*10.944ximHMSir悅城工MJ!tfHmL上L.qjLL3

8、m無a,ElfL工2lairiiJB北京L】ThHI丸團(tuán).Er0t耳京J-31*11&.XS.K二E卓JliV.SP.33R.SI31你H強(qiáng)強(qiáng)擊雷L始內(nèi)t券串言臺文存一.史呂蝌名女作一N國臺名登F-更廢墳a苦鼠帶一冬手曲者文*一1r中中中印中00000000IITh*耐網(wǎng)站皿陣行訪林麗6呻恥L#W的片療贈哂口呻!的目冏地-中言投地4D00CJ300X12D00QIDCOO巾I_23.M2寫跖踐器0200國001100.14Wt70030；HT.jHJA；ismihh3 .玄武盾優(yōu)勢3.1. 企業(yè)級安全解決方案安包具備多年企業(yè)級安全解決方案，玄武盾核心防護(hù)引擎來源于安恒WEEK用防火墻產(chǎn)品，高效

9、穩(wěn)定，誤判率和漏報率業(yè)內(nèi)最低，產(chǎn)品成熟度高，8年產(chǎn)品研發(fā)歷程，歷經(jīng)數(shù)十萬網(wǎng)站的考驗(yàn)。產(chǎn)品功能完善，可滿足不同行業(yè)用戶的安全需求；安全研究院定期輸送安全成果到玄武盾，增強(qiáng)防護(hù)能力；部署簡便快捷，用戶端無需部署任何安全設(shè)備即可完成云防護(hù)、云加速；用戶可對自身業(yè)務(wù)進(jìn)行自定義防護(hù)和例外策略，杜絕一套策略用于所有網(wǎng)站，避免誤報和漏報；用戶使用成本低廉，可按需購買。3.2. 風(fēng)暴中心整體解決方案風(fēng)暴中心以安恒信息長達(dá)8年在信息安全領(lǐng)域的經(jīng)驗(yàn)積累為核心，借力成熟的大數(shù)據(jù)及云計算技術(shù)構(gòu)建了基于大數(shù)據(jù)的安全搜索引擎，從而為實(shí)現(xiàn)全國基至全球互聯(lián)網(wǎng)絡(luò)在線業(yè)務(wù)系統(tǒng)的安全基礎(chǔ)數(shù)據(jù)采集、大范圍風(fēng)險評估、威脅情報分析、重大

10、安全事件監(jiān)測等提供了有力的技術(shù)支撐和管理決策參考。玄武盾依托于風(fēng)暴中心的實(shí)時監(jiān)測和大數(shù)據(jù)分析技術(shù)，云監(jiān)測模塊在發(fā)現(xiàn)問題可快速與玄武盾進(jìn)行聯(lián)動響應(yīng)，可將漏洞結(jié)果生成虛擬補(bǔ)丁方式下發(fā)到玄武盾進(jìn)行防護(hù)，通過大數(shù)據(jù)分析技術(shù)對海量日志進(jìn)行分析挖掘，有效發(fā)現(xiàn)0day攻擊，并同步到玄武盾生成防護(hù)策略。3.3. 特點(diǎn)3.3.1. DNS聚焦DNSK務(wù)器支持多線路、多節(jié)點(diǎn)，可滿足用戶對DNS勺彈性需求，DN9W析速度快，可完成快速切換，DNSK務(wù)器安全性高，可有效防護(hù)大流量DNSt擊。3.3.2. 集群玄武盾中所有模塊均采用集群方式承載，從最前端的DNS服務(wù)器到DDO新護(hù)、LBWAFB護(hù)、LOG等模塊均采用集群

11、方式部署，無論哪個模塊出現(xiàn)問題，整體不會受影響。3.3.3. 大數(shù)據(jù)分析玄武盾可結(jié)合遠(yuǎn)程安全風(fēng)險檢測、安全事件監(jiān)測、網(wǎng)站日志分析、流量分析、告警日志分析等多維度數(shù)據(jù)，進(jìn)行綜合運(yùn)營，及時發(fā)現(xiàn)有針對性的攻擊行為和未被攔截到的攻擊，同時互聯(lián)網(wǎng)上任何新型攻擊都會被玄武盾第一時間感知，避免系統(tǒng)被入侵產(chǎn)生惡劣影響。風(fēng)暴中心采用基于Hadoop的大數(shù)據(jù)集群計算架構(gòu)，依據(jù)監(jiān)測分析的規(guī)模增大，可進(jìn)行平滑的彈性擴(kuò)容，可按需插入硬件設(shè)備，實(shí)現(xiàn)即插即用，方便地擴(kuò)大計算集群。風(fēng)暴中心的彈性計算架構(gòu)，可應(yīng)用于國家級的網(wǎng)絡(luò)空間安全分析，也適用于地區(qū)性的轄區(qū)安全監(jiān)控，能夠支撐海量數(shù)據(jù)存儲分析，目前已經(jīng)累計采集了過億個域名，超

12、過百萬個設(shè)備IP,其中有25萬個政府網(wǎng)站，數(shù)據(jù)量達(dá)到了幾百TR3.3.4. 保姆式安全體驗(yàn)用戶無需自行維護(hù)安全設(shè)備，玄武盾安全工程師將7X24小時待命，用戶無需專業(yè)知識分析日志、不需要再為調(diào)整復(fù)雜的安全規(guī)則而煩惱，用戶在碰到任何問題時只需一個電話就可以，剩下的交給玄武盾。4 .市場分析玄武盾產(chǎn)品具備部署快速、運(yùn)維簡單、云計算集群、按需付費(fèi)等特點(diǎn)，適用于整體行業(yè)用戶和帶有區(qū)域性質(zhì)的政府用戶。4.1. 行業(yè)用戶群體某教育信息中心下屬500個學(xué)校網(wǎng)站，每個學(xué)校網(wǎng)站有的托管到IDC機(jī)房,有的是自建機(jī)房維護(hù)，網(wǎng)站安全性參差不齊，無法統(tǒng)一管理，一旦發(fā)生安全問題造成的影響非常大，然而通過部署傳統(tǒng)硬件WAF單

13、決安全問題，需要為每個學(xué)校網(wǎng)站前端部署硬件WAF會存在實(shí)施成本高、實(shí)施難度大、無法統(tǒng)一運(yùn)維等問題。采用玄武盾解決方案，用戶只需統(tǒng)一將所有學(xué)校網(wǎng)站統(tǒng)一納入到玄武盾中，用戶就可享受云防護(hù)、云加速、DDOS&護(hù)等，同時用戶精力只需放在自身的業(yè)務(wù)上，無需為安全運(yùn)維操心，玄武盾專業(yè)的安全人員將會全程負(fù)責(zé)。4.2. 區(qū)域用戶群體2014年，我國境內(nèi)政府網(wǎng)站被篡改數(shù)量為1763個，雖然近幾年被篡改次數(shù)有所下降，但安全情況仍刻不容緩，下圖是2014年我國境內(nèi)被篡改的政府網(wǎng)站數(shù)量和其占被篡改網(wǎng)站總數(shù)比例按月度統(tǒng)計。圄5-42014年我國境內(nèi)被簍改的政府網(wǎng)站歌星和所占比例月度統(tǒng)計（來源,CNJCERT/CC）目前

14、某市政府下屬多個部門，每個部門都有自已的門戶網(wǎng)站，而門戶網(wǎng)站安全性參差不齊，有的部署了WAF有的則未做任何安全防護(hù)，對所有網(wǎng)站都通過部署硬件WA胡護(hù)，會存在實(shí)施成本高、實(shí)施難度大、無法統(tǒng)一運(yùn)維等問題。采用玄武盾+風(fēng)暴中心一體化解決方案，納入玄武盾前通過遠(yuǎn)程安全評估對網(wǎng)站進(jìn)行統(tǒng)一健康體檢，通過玄武盾進(jìn)行定制化防護(hù)策略，納入玄武盾后實(shí)時進(jìn)行監(jiān)測，一旦發(fā)現(xiàn)安全問題通過玄武盾快速完成防護(hù)。4.3. 云政務(wù)網(wǎng)隨著越來越多的政府用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至私有云中，而目前眾多云平臺企業(yè)關(guān)注的更多是基礎(chǔ)實(shí)施的完善和業(yè)務(wù)的開展，對于安全層面的關(guān)注較少，即使有提供安全產(chǎn)品的云服務(wù)商，很多政府用戶為滿足等保等要求仍

15、然會選擇第三方安全提供商解決，因此這部分用戶群體十分龐大，玄武盾可以以服務(wù)方式進(jìn)行提供。5 .競爭分析5.1. 傳統(tǒng)安全廠商傳統(tǒng)安全廠商基本以硬件WA助主要解決方案，也有部分廠商推出了虛擬化解決方案，但面對大量網(wǎng)站仍存在部署困難、運(yùn)維困難、成本高昂等問題，而且在沒有風(fēng)暴中心的大數(shù)據(jù)分析和運(yùn)營安全價值難以體現(xiàn)。5.1.1. 部署困難大行業(yè)用戶網(wǎng)站群眾多，而且分布在不同的地址位置，采用硬件WAF單決方案需要將硬件盒子部署到用戶端，不僅實(shí)施困難，而且成本高昂。玄武盾無需在用戶端部署任何安全設(shè)備，用戶可以以服務(wù)方式按需購買不同的防護(hù)模塊，成本上可以有效控制。5.1.2. 難以防護(hù)DDOS攻擊大部分傳統(tǒng)

16、硬件WAFT具備DDO數(shù)擊防護(hù)，即使具備DDO數(shù)擊防護(hù)，也難以防護(hù)大流量DDO散擊和應(yīng)用層CCt擊；玄武盾具備大流量DDOS青洗攻擊引擎,可防護(hù)百G以上的DDO族擊流量和應(yīng)用層CCfc擊。5.1.3. 用戶數(shù)據(jù)無法隔離傳統(tǒng)硬件WA所有用戶數(shù)據(jù)都存放在一起，數(shù)據(jù)報表未做分離，缺乏安全性和機(jī)密性。玄武盾數(shù)據(jù)基于用戶視圖，所有用戶的數(shù)據(jù)、日志、報表都會進(jìn)行隔離，用戶登陸到管理平臺上只能查看自己相關(guān)的數(shù)據(jù)報表，保護(hù)了不同用戶的隱私。5.1.4. 缺乏事前檢測、事中實(shí)時監(jiān)測、事后大數(shù)據(jù)分析傳統(tǒng)硬件WAFffl戶的日志數(shù)據(jù)都在本地存放，大多數(shù)處于無人管理、無人分析的狀態(tài)，這樣會導(dǎo)致安全設(shè)備長期封閉，會導(dǎo)致

17、防護(hù)滯后造成安全事件的發(fā)生，同時玄武盾可結(jié)合遠(yuǎn)程安全風(fēng)險檢測、安全事件監(jiān)測、網(wǎng)站日志分析、流量分析、告警日志分析等多維度數(shù)據(jù)，進(jìn)行綜合運(yùn)營，及時發(fā)現(xiàn)有針對性的攻擊行為和未安恒值思陞歲被攔截到的攻擊，同時互聯(lián)網(wǎng)上任何新型攻擊都會被玄武盾第一時間感知，避免系統(tǒng)被入侵產(chǎn)生惡劣影響。5.2. 互聯(lián)網(wǎng)安全廠商近幾年互聯(lián)網(wǎng)安全廠商也開始以云加速和云防護(hù)的概念推出云防護(hù)產(chǎn)品，但主要以個人用戶群體為主，缺乏企業(yè)級用戶的運(yùn)營經(jīng)驗(yàn)和技術(shù)沉淀，對企業(yè)用戶的需求把握不準(zhǔn)，難以滿足用戶安全需求，另外也缺乏像風(fēng)暴中心對預(yù)警、監(jiān)測和大數(shù)據(jù)分析的平臺。6 .銷售模式6.1. 服務(wù)模式用戶以服務(wù)模式購買玄武盾服務(wù)，可選擇域名個數(shù)和防護(hù)模塊，安全運(yùn)維只需交給玄武盾專業(yè)安全人員。模塊功能/規(guī)格可