1、web安全日志分析设备-PPT文档资料CONTENTS02产品介绍Product目录01产品背景Background 03典型应用Applications 下一代安全威胁发展n自动化攻击信息获取漏洞分析与利用远程控制扩大战果n多平台支持社会工程OS、网络工业系统更强的隐蔽性0Day绕过逃逸复用与加密更多的漏洞利用程序在地下交易市场流通,补丁更新速度永远落后于漏洞挖掘与利用。多数的安全防御措施集中部署在关键出入口位置,但攻击却可以绕过“马奇诺防线”通过伪装或修饰网络攻击,以躲避常规信息安全系统的检测和阻止。复用80(HTTP)、53(DNS)等基本周知端口进行数据传输,采用加密方式以避免检测。更
2、强的针对性和持续性攻击成本的计算:针对特定目标的特定资产价值,以时间来换取空间,“多面围城,重点突破,全面攻击”。例:某检测单位在长达半年的时间内对中国移动超过10W的IP地址进行渗透。攻击工具的集成与平台化传统手段的不足与不适应,引发新的发展变革纵使千里之堤,亦可溃于蚁穴,安全防范手段的完善,是安全管理所不可或缺的基石。入侵检测防护(IDP)“特征检测”类安全产品的优势与先天不足优势:先天不足:对特征明显的事件检测非常准确引擎+知识库的模式易于部署和推广特征提取属于事后分析,落后于攻击手段的演进误报问题难以解决现实情况对安全管理人员提出了更高的要求伴随不断增长的网络规模,新增业务或业务变更,
3、都对安全管理人员的要求更加严格,人工逐条梳理大量的安全事件,工作量巨大,且容易出现问题。NIDS InternetCONTENTS02产品介绍Product目录01产品背景Background 03典型应用Applications Web日志安全分析设备介绍nIIS、Tomcat、Apache等Web服务器会产生大量安全日志,但是因为信息量大,人工审计效率极低,且需要较强的专业技能。n传统的基于规则库特征匹配的应用安全检测系统,对于已经漏报的攻击行为无能无力;且告警事件比较孤立,关联性不强;也不支持数据深度挖掘。技术背景技术背景WebWeb日志的来源与安全分析技术日志的来源与安全分析技术详细的
4、风险预测,直观的行为分析详细的风险预测,直观的行为分析Web日志安全分析设备功能日志数据采集:支持日志远程下载或者手工导入;支持对Windows/Linux操作系统远程下载,下载支持SSH/TELENET和SAMBA协议;支持周期调度,默认12小时为调试周期;日志数据预处理:支持IIS、apache、tomcat、weic、Webspere等WEB服务器日志格式;能够对日志内容进行去重、格式归一和关键信息提取;日志内容分析:支持23种大类的风险检测规则,如:敏感目录访问、XSS跨站攻击、远程文件包含等等;潜在危害分析-累计的发生次数或发生频率;关联事件分析-通过多个指标评估风险;黑白名单处理-
5、降低系统漏报率 和误报率;支持网络爬虫识别,统计访问最多URL,并对URL访问进行排名;分析评估:支持网站检测报告导出和风险告警;中国地图展现全域的风险态势及网站风险评估;世界地图展现攻击来源最多的地域;提供排名、风险评估和威胁类型的统计报表;提供丰富的日志信息查看、攻击事件回放及风险描述指导;系统管理 统一站点监测 支持检测规则库的更新 黑白名单的管理 支持用户管理和日志记录事件上报 支持S3平台的数据上报;n 参考了OWASP和WASC等国际权威web安全组织发布的安全威胁分类,目前支持23类web攻击类型分析与检测n 高风险11类,中风险6类,低风险6类Web日志安全分析设备分析模型We
6、bWeb日志分析模型日志分析模型攻击特征匹配n 研究基于攻击特征进行匹配的检测技术n 在23类web攻击类型中,18类攻击类型可通过特征匹配的方式进行检测关联统计分析n 研究基于关联统计分析进行检测的技术n 在23类web攻击类型中,5类攻击类型可通过关联统计分析的方式进行检测攻击分类和分级8Web日志安全分析设备特点灵活的数据采集 Web日志安全分析工具利用操作系统自有的通信服务,完成日志数据的收集。以体现系统兼容性方面的优势。nSSH采集方式:专为远程登录会话和其他网络服务提供安全性的协议。nSamba采集方式:SMB协议通常是被Windows系列用来实现磁盘共享。nTelnet采集方式:
7、Telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。为应对网络为应对网络的的局限环境,运用更为高效的离线上传技术局限环境,运用更为高效的离线上传技术传统上传文件的表单已不能满足现有功能的需求,主要体现在:1、不支持多个文件的上传,2、无法显示上传进度,、Flash上传控件在传输性能上目前已没有优势可言。使用技术不仅解决多文件、上传进度方面的问题,更为重要的是在多文件并发上传时,文件传输速度比传统上传方式提高达60%。Web日志安全分析设备特点智能的行为识别由外向内测试由内向外测试模拟攻击测试 真实攻击测试 使用一些操作系统内部网络命令,例如Nets
8、tat,以及 Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具来进行完成检测任务。使用评估工具N-stealth、X-Scan和WebInject等工具来进行检测。检测Web站点防范来自互联网远程攻击的能力检验Web站点对来自内部的攻击防范能力 检验特定风险的模拟评估检验真实安防设备的风险防御能力传统已知的安全评估方式,不能够完全规避潜在风险和新的攻击挑战传统已知的安全评估方式,不能够完全规避潜在风险和新的攻击挑战常规网站风险评估手段基于日志行为分析,可以实现丰富的扩展功能。例如回放指定IP发起的攻击,攻击失败或成功的历史,便于系统安全分析员进行追踪
9、及预测。Web日志安全分析设备应用模型详细的攻击展示,直观的攻击回放详细的攻击展示,直观的攻击回放WebWeb日志生成来源日志生成来源WebWeb日志安全分析模型日志安全分析模型系统演示CONTENTS02产品介绍Product目录01产品背景Background 03典型应用Applications Web日志安全分析设备市场应用专注于Web服务器安全的检测分析类安全产品 安全评估安全评估多角度评估信息安防设备潜在的防御盲点互联网互联网能够全面的对多站点统一监测,结合评估风险业务系统业务系统不改变原有业务网络,从侧面分析业务系统潜在风险信息安全人员信息安全人员协助信息安全人员分析网站的潜在风
10、险金融领域金融领域潜在分析用户操作行为,提前发现隐蔽的攻击行为Web日志安全分析设备应用案例 在多重安全防御的网络中,从在多重安全防御的网络中,从WebSphere访问日志中提取某月的数据进行分析:访问日志中提取某月的数据进行分析:某银行网络环境示意图某银行网络环境示意图攻击场景:XSS跨站点脚本攻击 111.172.24.42-08/Aug/2019:23:18:43+0800 GET/portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=/alert(1138945)HTTP/1.1 200 服务器响应结果:返回正常界面连续
11、请求:抛出数据库异常连续请求:抛出JSP标签异常从分析结果中提取攻击成功的入侵行为,对其进行验证。网银信用卡电子支付其它绿盟防火墙东软IDS攻击者Web日志安全分析设备产品形态运维型设备实物图设备后面板设备前面板Web日志安全分析设备硬件配置外观尺寸430 mm x 300 mm 颜色蓝灰色工作条件温控0 70 电源输入AC 220V/50Hz ATX主机参数EW-1790HGA工控机主要参数CPU:CPU INTEL I7 2600(k)网络:2个标准 10/100/1000Base-T(RJ45)自适应以太网接口I/O接口:usb2.0 1个RS232串口:2个内存:DDR3 1333 8
12、GB视频:Intel GMA X4500 显示核心硬盘:ST3500410AS 500GB 7200rpm 16M cacheDOM 2G/CF特殊功能“看门狗”:系统死机时可自动启动低电压适应:130V 低电压启动并稳定运行静电防护:硬件电路设计防护 2000V 以上雷击和静电冲击Web日志安全分析设备分析性能日志名称 日志大小F2019笔记本 1790HGA工控机 短信点歌 15.7M 15.7M 1分钟 4分20秒 群呼群聊 1.33M 1.33M 1分钟 7分19秒 语音杂志 56.4M 56.4M 4分钟 4分18秒 彩信超市 404M 404M 1分30秒 1分16秒 企业邮箱 8
13、34M 834M 11分钟 9分25秒 校讯通1.85G 1.85G 27分钟 15分3秒 移动2G日志 2.16G 2.16G 25分钟 13分52秒 Web日志安全分析设备典型部署运维型日志分析设备1、Web日志安全分析设备不对原有网络拓扑进行改动,将设备部署在管理网络中,通过http协议访问设备管理连接地址,运用SSH、Samba、Telnet等协议下载远程Web服务器中的日志文件进行集中分析。2、为了解决网络隔离的因素,日志分析系统支持离线批量导入的方式,将日志数据上传至日志分析设备中进行集成分析。从而,解决多业务网段服务器统筹分析的问题,也为把握整体的业务安全风险提供有力保障。汇报完毕,谢谢!Thank You!
