文档介绍:Web日志安全分析设备产品介绍CONTENTS02产品介绍Product目录01产品背景Background03典型应用Applications下一代安全威胁发展更强的隐蔽性0Day绕过逃逸复用与加密更多的漏洞利用程序在地下交易市场流通,补丁更新速度永远落后于漏洞挖掘与利用。多数的安全防御措施集中部署在关键出入口位置,但攻击却可以绕过“马奇诺防线”通过伪装或修饰网络攻击,以躲避常规信息安全系统的检测和阻止。复用80(HTTP)、53(DNS)等基本周知端口进行数据传输,采用加密方式以避免检测。更强的针对性和持续性攻击成本的计算:针对特定目标的特定资产价值,以时间来换取空间,“多面围城,重点突破,全面攻击”。例:某检测单位在长达半年的时间内对中国移动超过10W的IP地址进行渗透。攻击工具的集成与平台化传统手段的不足与不适应,引发新的发展变革纵使千里之堤,亦可溃于蚁穴,安全防范手段的完善,是安全管理所不可或缺的基石。入侵检测防护(IDP)“特征检测”类安全产品的优势与先天不足优势:先天不足:对特征明显的事件检测非常准确引擎+知识库的模式易于部署和推广特征提取属于事后分析,落后于攻击手段的演进误报问题难以解决现实情况对安全管理人员提出了更高的要求伴随不断增长的网络规模,新增业务或业务变更,都对安全管理人员的要求更加严格,人工逐条梳理大量的安全事件,工作量巨大,且容易出现问题。Web日志安全分析设备—介绍IIS、Tomcat、Apache等Web服务器会产生大量安全日志,但是因为信息量大,人工审计效率极低,且需要较强的专业技能。传统的基于规则库特征匹配的应用安全检测系统,对于已经漏报的攻击行为无能无力;且告警事件比较孤立,关联性不强;也不支持数据深度挖掘。技术背景Web日志的来源与安全分析技术详细的风险预测,直观的行为分析Web日志安全分析设备—功能日志数据采集: 支持日志远程下载或者手工导入; 支持对Windows/Linux操作系统远程下载,下载支持SSH/和SAMBA协议; 支持周期调度,默认12小时为调试周期;日志数据预处理: 支持IIS、apache、tomcat、weblogic、Webspere等WEB服务器日志格式; 能够对日志内容进行去重、格式归一和关键信息提取;日志内容分析: 支持23种大类的风险检测规则,如:敏感目录访问、XSS跨站攻击、远程文件包含等等; 潜在危害分析-累计的发生次数或发生频率; 关联事件分析-通过多个指标评估风险; 黑白名单处理-降低系统漏报率和误报率; 支持网络爬虫识别,统计访问最多URL,并对URL访问进行排名;分析评估: 支持网站检测报告导出和风险告警; 中国地图展现全域的风险态势及网站风险评估; 世界地图展现攻击来源最多的地域; 提供排名、风险评估和威胁类型的统计报表; 提供丰富的日志信息查看、攻击事件回放及风险描述指导;系统管理统一站点监测支持检测规则库的更新黑白名单的管理 支持用户管理和日志记录事件上报支持S3平台的数据上报;参考了OWASP和WASC等国际权威web安全组织发布的安全威胁分类,目前支持23类web攻击类型分析与检测高风险11类,中风险6类,低风险6类Web日志安全分析设备—分析模型Web日志分析模型攻击特征匹配研究基于攻击特征进行匹配的检测技术在23类web攻击类型中,18类攻击类型可通过特征匹配的方式进行检测关联统计分析研究基于关联统计分析进行检测的技术在23类web攻击类型中,5类攻击类型可通过关联统计分析的方式进行检测攻击分类和分级*Web日志安全分析设备特点—灵活的数据采集Web日志安全分析工具利用操作系统自有的通信服务,完成日志数据的收集。以体现系统兼容性方面的优势。SSH采集方式:专为远程登录会话和其他网络服务提供安全性的协议。Samba采集方式:SMB协议通常是被Windows系列用来实现磁盘共享。采集方式:协议是TCP/IP协议族中的一员,远程登陆服务的标准协议和主要方式。为应对网络的局限环境,运用更为高效的离线上传技术传统上传文件的表单已不能满足现有功能的需求,主要体现在:1、不支持多个文件的上传,2、无法显示上传进度,3、Flash上传控件在传输性能上目前已没有优势可言。使用HTML5技术不仅解决多文件、上传进度方面的问题,更为重要的是在多文件并发上传时,文件传输速度比传统上传方式提高达60%。Web日志安全分析设备特点—智能的行为识别由外向内测试由内向外测试模拟攻击测试真实攻击测试使用一些操作系统内部网络命令,stat,以及Nikto、X-scan、Nmap、ixWVSFreeEdition等工具来进行完成检测任务。使用评估工具N-stealth、X-Scan和WebInject等工具来进行检测。检测Web站点防范来自互联网远程攻击的能力检验