web安全日志分析設(shè)備

1、WebWeb日志安全分析設(shè)備日志安全分析設(shè)備產(chǎn)品介紹產(chǎn)品介紹CONTENTS02產(chǎn)品介紹Product目錄01產(chǎn)品背景Background 03典型應(yīng)用Applications 下一代安全威脅發(fā)展n自動(dòng)化攻擊信息獲取漏洞分析與利用遠(yuǎn)程控制擴(kuò)大戰(zhàn)果n多平臺(tái)支持社會(huì)工程OS、網(wǎng)絡(luò)工業(yè)系統(tǒng)更強(qiáng)的隱蔽性0Day繞過逃逸復(fù)用與加密更多的漏洞利用程序在地下交易市場(chǎng)流通，補(bǔ)丁更新速度永遠(yuǎn)落后于漏洞挖掘與利用。多數(shù)的安全防御措施集中部署在關(guān)鍵出入口位置，但攻擊卻可以繞過“馬奇諾防線”通過偽裝或修飾網(wǎng)絡(luò)攻擊，以躲避常規(guī)信息安全系統(tǒng)的檢測(cè)和阻止。復(fù)用80（HTTP）、53（DNS）等基本周知端口進(jìn)行數(shù)據(jù)傳輸，采用

2、加密方式以避免檢測(cè)。更強(qiáng)的針對(duì)性和持續(xù)性攻擊成本的計(jì)算：針對(duì)特定目標(biāo)的特定資產(chǎn)價(jià)值，以時(shí)間來(lái)?yè)Q取空間，“多面圍城，重點(diǎn)突破，全面攻擊”。例：某檢測(cè)單位在長(zhǎng)達(dá)半年的時(shí)間內(nèi)對(duì)中國(guó)移動(dòng)超過10W的IP地址進(jìn)行滲透。攻擊工具的集成與平臺(tái)化傳統(tǒng)手段的不足與不適應(yīng)，引發(fā)新的發(fā)展變革縱使千里之堤，亦可潰于蟻穴，安全防范手段的完善，是安全管理所不可或缺的基石。入侵檢測(cè)防護(hù)（IDP）“特征檢測(cè)”類安全產(chǎn)品的優(yōu)勢(shì)與先天不足優(yōu)勢(shì)：先天不足：對(duì)特征明顯的事件檢測(cè)非常準(zhǔn)確引擎+知識(shí)庫(kù)的模式易于部署和推廣特征提取屬于事后分析，落后于攻擊手段的演進(jìn)誤報(bào)問題難以解決現(xiàn)實(shí)情況對(duì)安全管理人員提出了更高的要求伴隨不斷增長(zhǎng)的網(wǎng)絡(luò)規(guī)模

3、，新增業(yè)務(wù)或業(yè)務(wù)變更，都對(duì)安全管理人員的要求更加嚴(yán)格，人工逐條梳理大量的安全事件，工作量巨大，且容易出現(xiàn)問題。NIDS InternetCONTENTS02產(chǎn)品介紹Product目錄01產(chǎn)品背景Background 03典型應(yīng)用Applications Web日志安全分析設(shè)備介紹nIIS、Tomcat、Apache等Web服務(wù)器會(huì)產(chǎn)生大量安全日志，但是因?yàn)樾畔⒘看?，人工審?jì)效率極低，且需要較強(qiáng)的專業(yè)技能。n傳統(tǒng)的基于規(guī)則庫(kù)特征匹配的應(yīng)用安全檢測(cè)系統(tǒng)，對(duì)于已經(jīng)漏報(bào)的攻擊行為無(wú)能無(wú)力；且告警事件比較孤立，關(guān)聯(lián)性不強(qiáng)；也不支持?jǐn)?shù)據(jù)深度挖掘。技術(shù)背景技術(shù)背景WebWeb日志的來(lái)源與安全分析技術(shù)日志的來(lái)

4、源與安全分析技術(shù)詳細(xì)的風(fēng)險(xiǎn)預(yù)測(cè)，直觀的行為分析詳細(xì)的風(fēng)險(xiǎn)預(yù)測(cè)，直觀的行為分析Web日志安全分析設(shè)備功能日志數(shù)據(jù)采集：支持日志遠(yuǎn)程下載或者手工導(dǎo)入；支持對(duì)Windows/Linux操作系統(tǒng)遠(yuǎn)程下載，下載支持SSH/TELENET和SAMBA協(xié)議；支持周期調(diào)度， 默認(rèn)12小時(shí)為調(diào)試周期；日志數(shù)據(jù)預(yù)處理：支持IIS、apache、tomcat、weblogic、Webspere等WEB服務(wù)器日志格式；能夠?qū)θ罩緝?nèi)容進(jìn)行去重、格式歸一和關(guān)鍵信息提?。蝗罩緝?nèi)容分析：支持23種大類的風(fēng)險(xiǎn)檢測(cè)規(guī)則，如：敏感目錄訪問 、XSS跨站攻擊 、遠(yuǎn)程文件包含等等；潛在危害分析-累計(jì)的發(fā)生次數(shù)或發(fā)生頻率；關(guān)聯(lián)事件分析-

5、通過多個(gè)指標(biāo)評(píng)估風(fēng)險(xiǎn)；黑白名單處理-降低系統(tǒng)漏報(bào)率 和誤報(bào)率； 支持網(wǎng)絡(luò)爬蟲識(shí)別，統(tǒng)計(jì)訪問最多URL，并對(duì)URL訪問進(jìn)行排名；分析評(píng)估：支持網(wǎng)站檢測(cè)報(bào)告導(dǎo)出和風(fēng)險(xiǎn)告警；中國(guó)地圖展現(xiàn)全域的風(fēng)險(xiǎn)態(tài)勢(shì)及網(wǎng)站風(fēng)險(xiǎn)評(píng)估；世界地圖展現(xiàn)攻擊來(lái)源最多的地域； 提供排名、風(fēng)險(xiǎn)評(píng)估和威脅類型的統(tǒng)計(jì)報(bào)表；提供豐富的日志信息查看、攻擊事件回放及風(fēng)險(xiǎn)描述指導(dǎo)；系統(tǒng)管理 統(tǒng)一站點(diǎn)監(jiān)測(cè) 支持檢測(cè)規(guī)則庫(kù)的更新 黑白名單的管理 支持用戶管理和日志記錄事件上報(bào) 支持S3平臺(tái)的數(shù)據(jù)上報(bào)；n 參考了OWASP和WASC等國(guó)際權(quán)威web安全組織發(fā)布的安全威脅分類，目前支持23類web攻擊類型分析與檢測(cè)n 高風(fēng)險(xiǎn)11類，中風(fēng)險(xiǎn)6類，低風(fēng)

6、險(xiǎn)6類Web日志安全分析設(shè)備分析模型WebWeb日志分析模型日志分析模型攻擊特征匹配n 研究基于攻擊特征進(jìn)行匹配的檢測(cè)技術(shù)n 在23類web攻擊類型中，18類攻擊類型可通過特征匹配的方式進(jìn)行檢測(cè)關(guān)聯(lián)統(tǒng)計(jì)分析n 研究基于關(guān)聯(lián)統(tǒng)計(jì)分析進(jìn)行檢測(cè)的技術(shù)n 在23類web攻擊類型中，5類攻擊類型可通過關(guān)聯(lián)統(tǒng)計(jì)分析的方式進(jìn)行檢測(cè)攻擊分類和分級(jí)8Web日志安全分析設(shè)備特點(diǎn)靈活的數(shù)據(jù)采集 Web日志安全分析工具利用操作系統(tǒng)自有的通信服務(wù)，完成日志數(shù)據(jù)的收集。以體現(xiàn)系統(tǒng)兼容性方面的優(yōu)勢(shì)。nSSH采集方式：專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。nSamba采集方式：SMB協(xié)議通常是被Windows系列用

7、來(lái)實(shí)現(xiàn)磁盤共享。nTelnet采集方式：Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。為應(yīng)對(duì)網(wǎng)絡(luò)為應(yīng)對(duì)網(wǎng)絡(luò)的的局限環(huán)境，運(yùn)用更為高效的離線上傳技術(shù)局限環(huán)境，運(yùn)用更為高效的離線上傳技術(shù)傳統(tǒng)上傳文件的表單已不能滿足現(xiàn)有功能的需求，主要體現(xiàn)在：1、不支持多個(gè)文件的上傳，2、無(wú)法顯示上傳進(jìn)度，、Flash上傳控件在傳輸性能上目前已沒有優(yōu)勢(shì)可言。使用技術(shù)不僅解決多文件、上傳進(jìn)度方面的問題，更為重要的是在多文件并發(fā)上傳時(shí)，文件傳輸速度比傳統(tǒng)上傳方式提高達(dá)60%。Web日志安全分析設(shè)備特點(diǎn)智能的行為識(shí)別由外向內(nèi)測(cè)試由內(nèi)向外測(cè)試模擬攻擊測(cè)試 真實(shí)攻擊測(cè)試 使

8、用一些操作系統(tǒng)內(nèi)部網(wǎng)絡(luò)命令，例如Netstat，以及 Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具來(lái)進(jìn)行完成檢測(cè)任務(wù)。 使用評(píng)估工具N-stealth、X-Scan和WebInject等工具來(lái)進(jìn)行檢測(cè)。檢測(cè)Web站點(diǎn)防范來(lái)自互聯(lián)網(wǎng)遠(yuǎn)程攻擊的能力檢驗(yàn)Web站點(diǎn)對(duì)來(lái)自內(nèi)部的攻擊防范能力 檢驗(yàn)特定風(fēng)險(xiǎn)的模擬評(píng)估檢驗(yàn)真實(shí)安防設(shè)備的風(fēng)險(xiǎn)防御能力傳統(tǒng)已知的安全評(píng)估方式，不能夠完全規(guī)避潛在風(fēng)險(xiǎn)和新的攻擊挑戰(zhàn)傳統(tǒng)已知的安全評(píng)估方式，不能夠完全規(guī)避潛在風(fēng)險(xiǎn)和新的攻擊挑戰(zhàn)常規(guī)網(wǎng)站風(fēng)險(xiǎn)評(píng)估手段基于日志行為分析，可以實(shí)現(xiàn)豐富的擴(kuò)展功能。例如回放指定IP發(fā)起的攻擊，攻擊失

9、敗或成功的歷史，便于系統(tǒng)安全分析員進(jìn)行追蹤及預(yù)測(cè)。 Web日志安全分析設(shè)備應(yīng)用模型詳細(xì)的攻擊展示，直觀的攻擊回放詳細(xì)的攻擊展示，直觀的攻擊回放WebWeb日志生成來(lái)源日志生成來(lái)源WebWeb日志安全分析模型日志安全分析模型系統(tǒng)演示CONTENTS02產(chǎn)品介紹Product目錄01產(chǎn)品背景Background 03典型應(yīng)用Applications Web日志安全分析設(shè)備市場(chǎng)應(yīng)用專注于Web服務(wù)器安全的檢測(cè)分析類安全產(chǎn)品 安全評(píng)估安全評(píng)估多角度評(píng)估信息安防設(shè)備潛在的防御盲點(diǎn)互聯(lián)網(wǎng)互聯(lián)網(wǎng)能夠全面的對(duì)多站點(diǎn)統(tǒng)一監(jiān)測(cè)，結(jié)合評(píng)估風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)不改變?cè)袠I(yè)務(wù)網(wǎng)絡(luò)，從側(cè)面分析業(yè)務(wù)系統(tǒng)潛在風(fēng)險(xiǎn)信息安全人員

10、信息安全人員協(xié)助信息安全人員分析網(wǎng)站的潛在風(fēng)險(xiǎn)金融領(lǐng)域金融領(lǐng)域潛在分析用戶操作行為，提前發(fā)現(xiàn)隱蔽的攻擊行為Web日志安全分析設(shè)備應(yīng)用案例 在多重安全防御的網(wǎng)絡(luò)中，從在多重安全防御的網(wǎng)絡(luò)中，從WebSphere訪問日志中提取某月的數(shù)據(jù)進(jìn)行分析：訪問日志中提取某月的數(shù)據(jù)進(jìn)行分析：某銀行網(wǎng)絡(luò)環(huán)境示意圖某銀行網(wǎng)絡(luò)環(huán)境示意圖攻擊場(chǎng)景：XSS跨站點(diǎn)腳本攻擊 2 - - 08/Aug/2012:23:18:43 +0800 GET /portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=/alert(1138945)

11、HTTP/1.1 200 服務(wù)器響應(yīng)結(jié)果：返回正常界面連續(xù)請(qǐng)求：拋出數(shù)據(jù)庫(kù)異常連續(xù)請(qǐng)求：拋出JSP標(biāo)簽異常從分析結(jié)果中提取攻擊成功的入侵行為，對(duì)其進(jìn)行驗(yàn)證。網(wǎng)銀信用卡電子支付其它綠盟防火墻東軟IDS攻擊者Web日志安全分析設(shè)備產(chǎn)品形態(tài)運(yùn)維型設(shè)備實(shí)物圖設(shè)備后面板設(shè)備前面板Web日志安全分析設(shè)備硬件配置外觀尺寸430 mm x 300 mm 顏色藍(lán)灰色工作條件溫控0 70 電源輸入AC 220V/50Hz ATX主機(jī)參數(shù)EW-1790HGA工控機(jī)主要參數(shù)CPU：CPU INTEL I7 2600(k)網(wǎng)絡(luò)：2個(gè)標(biāo)準(zhǔn) 10/100/1000Base-T(RJ45)自適應(yīng)以太網(wǎng)接口I/O接口：usb2

12、.0 1個(gè)RS232串口：2個(gè)內(nèi)存：DDR3 1333 8GB視頻：Intel GMA X4500 顯示核心硬盤：ST3500410AS 500GB 7200rpm 16M cacheDOM 2G/CF特殊功能“看門狗”：系統(tǒng)死機(jī)時(shí)可自動(dòng)啟動(dòng)低電壓適應(yīng)：130V 低電壓?jiǎn)?dòng)并穩(wěn)定運(yùn)行靜電防護(hù)：硬件電路設(shè)計(jì)防護(hù) 2000V 以上雷擊和靜電沖擊Web日志安全分析設(shè)備分析性能日志名稱 日志大小F2010筆記本 1790HGA工控機(jī) 短信點(diǎn)歌 15.7M 1分鐘 4分20秒 群呼群聊 1.33M 1分鐘 7分19秒 語(yǔ)音雜志 56.4M 4分鐘 4分18秒 彩信超市 404M 1分30秒 1分16秒 企業(yè)郵箱 834M 11分鐘 9分25秒 校訊通1.85G 27分鐘 15分3秒 移動(dòng)2G日志 2.16G 25分鐘 13分52秒 Web日志安全分析設(shè)備典型部署運(yùn)維型日志分析設(shè)備1、Web日志安全分析設(shè)備不對(duì)原有網(wǎng)絡(luò)拓