资源描述
单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,Web,日志安全分析设备,产品介绍,Web日志安全分析设备产品介绍,CONT,ENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,CONTENTS02产品介绍Product目录01产品背景B,下一代安全威胁发展,自动化攻击,信息获取,漏洞分析与利用,远程控制,扩大战果,多平台支持,社会工程,OS,、网络,工业系统,更强的,隐蔽性,0Day,绕过,逃逸,复用与加密,更多的漏洞利用程序在地下交易市场流通,补丁更新速度永远落后于漏洞挖掘与利用。,多数的安全防御措施集中部署在关键出入口位置,但攻击却可以绕过“马奇诺防线”,通过伪装或修饰网络攻击,以躲避常规信息安全系统的检测和阻止。,复用,80,(,HTTP,)、,53,(,DNS,)等基本周知端口进行数据传输,采用加密方式以避免检测。,更强的,针对性,和,持续性,攻击成本的计算:针对特定目标的特定资产价值,以时间来换取空间,“多面围城,重点突破,全面攻击”。例:某检测单位在长达半年的时间内对中国移动超过,10W,的,IP,地址进行渗透。,攻击工具的集成与,平台化,下一代安全威胁发展自动化攻击更强的隐蔽性0Day绕过逃逸复用,传统手段的不足与不适应,引发新的发展变革,纵使千里之堤,亦可溃于蚁穴,安全防范手段的完善,是安全管理所不可或缺的基石。,入侵检测防护(,IDP,)“,特征检测,”类安全产品的优势与先天不足,优势:,先天不足:,对特征明显的事件检测非常准确,引擎,+,知识库的模式易于部署和推广,特征提取属于事后分析,落后于攻击手段的演进,误报问题难以解决,现实情况对安全管理人员提出了更高的要求,伴随不断增长的网络规模,新增业务或业务变更,都对安全管理人员的要求更加严格,人工逐条梳理大量的安全事件,工作量巨大,且容易出现问题。,NIDS,Internet,传统手段的不足与不适应,引发新的发展变革纵使千里之堤,亦可溃,CONT,ENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,CONTENTS02产品介绍Product目录01产品背景B,Web,日志安全分析设备,介绍,IIS,、,Tomcat,、,Apache,等,Web,服务器会产生大量安全日志,但是因为信息量大,人工审计效率极低,且需要较强的专业技能。,传统的基于规则库特征匹配的应用安全检测系统,对于已经漏报的攻击行为无能无力;且告警事件比较孤立,关联性不强;也不支持数据深度挖掘。,技术背景,Web,日志的来源与安全分析技术,详细的风险预测,直观的行为分析,Web日志安全分析设备介绍IIS、Tomcat、Apach,Web,日志安全分析设备,功能,日志数据采集:,支持日志远程,下载或者手工导入;,支持对,Windows,/,Linux,操作系统远程下载,下载支持,SSH/TELENET和SAMBA协议,;,支持周期调度,默认,12,小时为调试周期;,日志数据预处理:,支持IIS、apache、tomcat、weic、Webspere等WEB服务器日志格式,;,能够对日志内容进行去重,、,格,式归一和关键信息提取;,日志内容分析:,支持,23,种大类的风险检测规则,如:敏感目录访问,、,XSS,跨站攻击,、,远程文件包含等等;,潜在危害分析,-,累计的发生次数或发生频率;,关联事件分析,-,通过多个指标评估风险;,黑白名单处理,-,降低系统漏报率 和误报率;,支持,网络,爬虫识别,,统计访问最多,URL,,并对,URL,访问进行排名;,分析评估:,支持网站检测报告导出和风险告警;,中国地图展现全域的风险态势及网站风险评估;,世界地图展现攻击,来源最多的,地域;,提供排名、风险评估和威胁类型的统计报表;,提供丰富的日志信息查看,、,攻击,事件回放及风险描述指导,;,系统管理,统一站点监测,支持检测规则库的更新,黑白名单的管理,支持用户管理和日志记录,事件上报,支持,S3,平台的数据上报;,Web日志安全分析设备功能日志数据采集:,参考了,OWASP,和,WASC,等国际权威,web,安全组织发布的安全威胁分类,目前支持,23,类,web,攻击类型,分析与检测,高风险,11,类,中风险,6,类,低风险,6,类,Web,日志安全分析设备,分析模型,Web,日志分析模型,攻击特征匹配,研究基于,攻击特征,进行匹配的检测技术,在,23,类,web,攻击类型中,,18,类,攻击类型可通过特征匹配的方式进行检测,关联统计分析,研究基于,关联统计分析,进行检测的技术,在,23,类,web,攻击类型中,,5,类,攻击类型可通过关联统计分析的方式进行检测,攻击分类和分级,8,参考了OWASP和WASC等国际权威web安全组织发布的安全,Web,日志安全分析设备特点,灵活的数据采集,Web,日志安全分析工具利用操作系统自有的通信服务,完成日志数据的收集。以体现系统兼容性方面的优势。,SSH,采集方式:专为远程登录会话和其他网络服务提供安全性的协议。,Samba,采集方式:,SMB协议通常是被,W,indows系列用来实现磁盘共享。,Telnet,采集方式:,Telnet,协议是,TCP/IP,协议族中的一员,是,Internet,远程登陆服务的标准协议和主要方式。,为应对网络,的,局限环境,运用更为高效的离线上传技术,传统上传文件的表单已不能满足现有功能的需求,主要体现在:,1,、不支持多个文件的上传,,2,、无法显示上传进度,、,Flash,上传控件在传输性能上目前已没有优势可言。,使用技术不仅解决多文件、上传进度方面的问题,更为重要的是在多文件并发上传时,文件传输速度比传统上传方式提高达,60%,。,Web日志安全分析设备特点灵活的数据采集 Web,Web,日志安全分析设备特点,智能的行为识别,由外向内测试,由内向外测试,模拟攻击测试,真实攻击测试,使用一些操作系统内部网络命令,例如,Netstat,,以及,Nikto,、,X-scan,、,Nmap,、,Acunetix WVS Free Edition,等工具来进行完成检测任务。,使用评估工具,N-stealth,、,X-Scan,和,WebInject,等工具来进行检测。,检测,Web,站点防范来自互联网远程攻击的能力,检验,Web,站点对来自内部的攻击防范能力,检验特定风险的模拟评估,检验真实安防设备的风险防御能力,传统已知的安全评估方式,不能够完全规避潜在风险和新的攻击挑战,常规网站风险评估手段,基于日志行为分析,可以实现丰富的扩展功能。例如回放指定,IP,发起的攻击,攻击失败或成功的历史,便于系统安全分析员进行追踪及预测。,Web日志安全分析设备特点智能的行为识别由外向内测试由内向,Web,日志安全分析设备,应用模型,详细的攻击展示,直观的攻击回放,Web,日志生成来源,Web,日志安全分析模型,系统演示,Web日志安全分析设备应用模型详细的攻击展示,直观的攻击回,CONT,ENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,CONTENTS02产品介绍Product目录01产品背景B,Web,日志安全分析设备,市场应用,专注于,Web,服务器安全的检测分析类安全产品,安全评估,多角度评估信息安防设备潜在的防御盲点,互联网,能够全面的对多站点统一监测,结合评估风险,业务系统,不改变原有业务网络,从侧面分析业务系统潜在风险,信息安全人员,协助信息安全人员分析网站的潜在风险,金融领域,潜在分析用户操作行为,提前发现隐蔽的攻击行为,Web日志安全分析设备市场应用专注于Web服务器安全的检测,Web,日志安全分析设备,应用案例,在多重安全防御的网络中,从,WebSphere,访问日志中提取某月的数据进行分析:,某银行网络环境示意图,攻击场景:,XSS,跨站点脚本攻击,111.172.24.42-08/Aug/2019:23:18:43+0800 GET/portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=/alert(1138945)HTTP/1.1 200,服务器响应结果:,返回正常界面,连续请求:抛出数据库异常,连续请求:抛出,JSP,标签异常,从分析结果中提取攻击成功的入侵行为,对其进行验证。,网银,信用卡,电子支付,其它,绿盟防火墙,东软,IDS,攻击者,Web日志安全分析设备应用案例 在多重安全防御的网络中,从,Web,日志安全分析设备,产品形态,运维型设备实物图,设备后面板,设备前面板,Web日志安全分析设备产品形态运维型设备实物图设备后面板设,Web,日志安全分析设备,硬件配置,外观,尺寸,430 mm x 300 mm,颜色,蓝灰色,工作条件,温控,0 70 ,电源输入,AC 220V/50Hz ATX,主机参数,EW-1790HGA,工控机,主要参数,CPU,:,CPU INTEL I7 2600(k),网络:,2,个标准,10/100/1000Base-T(RJ45),自适应以太网接口,I/O,接口:,usb2.0 1,个,RS232,串口:,2,个,内存:,DDR3 1333 8GB,视频:,Intel GMA X4500,显示核心,硬盘:,ST3500410AS 500GB 7200rpm 16M cache,DOM 2G/CF,特殊功能,“看门狗”:,系统死机时可自动启动,低电压适应:,130V,低电压启动并稳定运行,静电防护:,硬件电路设计防护,2000V,以上雷击和静电冲击,Web日志安全分析设备硬件配置外观尺寸430 mm x 3,Web,日志安全分析设备,分析性能,日志名称,日志大小,F2019,笔记本,1790HGA,工控机,短信点歌,15.7M,1,分钟,4,分,20,秒,群呼群聊,1.33M,1,分钟,7,分,19,秒,语音杂志,56.4M,4,分钟,4,分,18,秒,彩信超市,404M,1,分,30,秒,1,分,16,秒,企业邮箱,834M,11,分钟,9,分,25,秒,校讯通,1.85G,27,分钟,15,分,3,秒,移动,2G,日志,2.16G,25,分钟,13,分,52,秒,Web日志安全分析设备分析性能日志名称 日志大小F2019,Web,日志安全分析设备,典型部署,运维型日志分析设备,1,、,Web,日志安全分析设备不对原有网络拓扑进行改动,将设备部署在管理网络中,通过,http,协议访问设备管理连接地址,运用,SSH,、,Samba,、,Telnet,等协议下载远程,Web,服务器中的日志文件进行集中分析。,2,、为了解决网络隔离的因素,日志分析系统支持离线批量导入的方式,将日志数据上传至日志分析设备中进行集成分析。从而,解决多业务网段服务器统筹分析的问题,也为把握整体的业务安全风险提供有力保障。,Web日志安全分析设备典型部署运维型日志分析设备1、Web,汇报完毕,谢谢!,Thank You!,汇报完毕,谢谢!Thank You!,
展开阅读全文