《web日志分析》PPT课件.ppt

Web日志安全分析设备 产品介绍 CONTENTS 02 产品介绍 Product 目录 01 产品背景 Background 03 典型应用 Applications 下一代安全威胁发展 自动化攻击信息获取漏洞分析与利用远程控制扩大战果多平台支持社会工程OS 网络工业系统 更强的隐蔽性 0Day 绕过 逃逸 复用与加密 更多的漏洞利用程序在地下交易市场流通 补丁更新速度永远落后于漏洞挖掘与利用 多数的安全防御措施集中部署在关键出入口位置 但攻击却可以绕过 马奇诺防线 通过伪装或修饰网络攻击 以躲避常规信息安全系统的检测和阻止 复用80 HTTP 53 DNS 等基本周知端口进行数据传输 采用加密方式以避免检测 更强的针对性和持续性 攻击成本的计算 针对特定目标的特定资产价值 以时间来换取空间 多面围城 重点突破 全面攻击 例 某检测单位在长达半年的时间内对中国移动超过10W的IP地址进行渗透 攻击工具的集成与平台化 传统手段的不足与不适应 引发新的发展变革 纵使千里之堤 亦可溃于蚁穴 安全防范手段的完善 是安全管理所不可或缺的基石 入侵检测防护 IDP 特征检测 类安全产品的优势与先天不足 优势 先天不足 对特征明显的事件检测非常准确引擎 知识库的模式易于部署和推广 特征提取属于事后分析 落后于攻击手段的演进误报问题难以解决 现实情况对安全管理人员提出了更高的要求 伴随不断增长的网络规模 新增业务或业务变更 都对安全管理人员的要求更加严格 人工逐条梳理大量的安全事件 工作量巨大 且容易出现问题 CONTENTS 02 产品介绍 Product 目录 01 产品背景 Background 03 典型应用 Applications Web日志安全分析设备 介绍 技术背景 Web日志的来源与安全分析技术 详细的风险预测 直观的行为分析 Web日志安全分析设备 功能 日志数据采集 支持日志远程下载或者手工导入 支持对Windows Linux操作系统远程下载 下载支持SSH TELENET和SAMBA协议 支持周期调度 默认12小时为调试周期 日志数据预处理 支持IIS apache tomcat weblogic Webspere等WEB服务器日志格式 能够对日志内容进行去重 格式归一和关键信息提取 日志内容分析 支持23种大类的风险检测规则 如 敏感目录访问 XSS跨站攻击 远程文件包含等等 潜在危害分析 累计的发生次数或发生频率 关联事件分析 通过多个指标评估风险 黑白名单处理 降低系统漏报率和误报率 支持网络爬虫识别 统计访问最多URL 并对URL访问进行排名 分析评估 支持网站检测报告导出和风险告警 中国地图展现全域的风险态势及网站风险评估 世界地图展现攻击来源最多的地域 提供排名 风险评估和威胁类型的统计报表 提供丰富的日志信息查看 攻击事件回放及风险描述指导 系统管理统一站点监测支持检测规则库的更新黑白名单的管理支持用户管理和日志记录事件上报支持S3平台的数据上报 参考了OWASP和WASC等国际权威web安全组织发布的安全威胁分类 目前支持23类web攻击类型分析与检测高风险11类 中风险6类 低风险6类 Web日志安全分析设备 分析模型 Web日志分析模型 攻击特征匹配 研究基于攻击特征进行匹配的检测技术在23类web攻击类型中 18类攻击类型可通过特征匹配的方式进行检测 关联统计分析 研究基于关联统计分析进行检测的技术在23类web攻击类型中 5类攻击类型可通过关联统计分析的方式进行检测 攻击分类和分级 8 Web日志安全分析设备特点 灵活的数据采集 Web日志安全分析工具利用操作系统自有的通信服务 完成日志数据的收集 以体现系统兼容性方面的优势 SSH采集方式 专为远程登录会话和其他网络服务提供安全性的协议 Samba采集方式 SMB协议通常是被Windows系列用来实现磁盘共享 Telnet采集方式 Telnet协议是TCP IP协议族中的一员 是Internet远程登陆服务的标准协议和主要方式 为应对网络的局限环境 运用更为高效的离线上传技术 传统上传文件的表单已不能满足现有功能的需求 主要体现在 1 不支持多个文件的上传 2 无法显示上传进度 Flash上传控件在传输性能上目前已没有优势可言 使用 技术不仅解决多文件 上传进度方面的问题 更为重要的是在多文件并发上传时 文件传输速度比传统上传方式提高达60 Web日志安全分析设备特点 智能的行为识别 由外向内测试 由内向外测试 模拟攻击测试 真实攻击测试 使用一些操作系统内部网络命令 例如Netstat 以及Nikto X scan Nmap AcunetixWVSFreeEdition等工具来进行完成检测任务 使用评估工具N stealth X Scan和WebInject等工具来进行检测 检测Web站点防范来自互联网远程攻击的能力检验Web站点对来自内部的攻击防范能力检验特定风险的模拟评估检验真实安防设备的风险防御能力 传统已知的安全评估方式 不能够完全规避潜在风险和新的攻击挑战 常规网站风险评估手段 基于日志行为分析 可以实现丰富的扩展功能 例如回放指定IP发起的攻击 攻击失败或成功的历史 便于系统安全分析员进行追踪及预测 Web日志安全分析设备 应用模型 详细的攻击展示 直观的攻击回放 Web日志生成来源 Web日志安全分析模型 系统演示 CONTENTS 02 产品介绍 Product 目录 01 产品背景 Background 03 典型应用 Applications Web日志安全分析设备 市场应用 Web日志安全分析设备 应用案例 在多重安全防御的网络中 从WebSphere访问日志中提取某月的数据进行分析 某银行网络环境示意图 攻击场景 XSS跨站点脚本攻击111 172 24 42 08 Aug 2012 23 18 43 0800 GET portal zh CN gryw grlc lccp jtlcxl 2435 htm 39 5d 39 b2 a5 alert 1138945 HTTP 1 1 200 服务器响应结果 返回正常界面 连续请求 抛出数据库异常 连续请求 抛出JSP标签异常 从分析结果中提取攻击成功的入侵行为 对其进行验证 绿盟防火墙 东软IDS 攻击者 Web日志安全分析设备 产品形态 运维型设备实物图 设备后面板 设备前面板 Web日志安全分析设备 硬件配置 Web日志安全分析设备 分析性能 Web日志安全分析设备 典型部署 运维型日志分析设备 1 Web日志安全分析设备不对原有网络拓扑进行改动 将设备部署在管理网络中 通过http协议访问设备管理连接地址 运用SSH Samba Telnet等协议下载远程Web服务器中的日志文件进行集中分析 2 为了解决网络隔离的因素 日志分析系统支持离线批量导入的方式 将日志数据上传至日志分析设备中进行集成分析 从而 解决多业务网段服务器统筹分析的问题 也为把握整体的业务安全风险提供有力保障 汇报完毕 谢谢 ThankYou