《web安全日志分析设备.ppt》由会员分享,可在线阅读,更多相关《web安全日志分析设备.ppt(19页珍藏版)》请在三一办公上搜索。
1、Web日志安全分析设备,产品介绍,CONTENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,下一代安全威胁发展,自动化攻击信息获取漏洞分析与利用远程控制扩大战果多平台支持社会工程OS、网络工业系统,更强的隐蔽性,0Day,绕过,逃逸,复用与加密,更多的漏洞利用程序在地下交易市场流通,补丁更新速度永远落后于漏洞挖掘与利用。,多数的安全防御措施集中部署在关键出入口位置,但攻击却可以绕过“马奇诺防线”,通过伪装或修饰网络攻击,以躲避常规信息安全系统的检测和阻止。,复用80(HTTP)、53(DNS)等基本周知端口进行数据传
2、输,采用加密方式以避免检测。,更强的针对性和持续性,攻击成本的计算:针对特定目标的特定资产价值,以时间来换取空间,“多面围城,重点突破,全面攻击”。例:某检测单位在长达半年的时间内对中国移动超过10W的IP地址进行渗透。,攻击工具的集成与平台化,传统手段的不足与不适应,引发新的发展变革,纵使千里之堤,亦可溃于蚁穴,安全防范手段的完善,是安全管理所不可或缺的基石。,入侵检测防护(IDP)“特征检测”类安全产品的优势与先天不足,优势:,先天不足:,对特征明显的事件检测非常准确引擎+知识库的模式易于部署和推广,特征提取属于事后分析,落后于攻击手段的演进误报问题难以解决,现实情况对安全管理人员提出了更
3、高的要求,伴随不断增长的网络规模,新增业务或业务变更,都对安全管理人员的要求更加严格,人工逐条梳理大量的安全事件,工作量巨大,且容易出现问题。,CONTENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,Web日志安全分析设备介绍,技术背景,Web日志的来源与安全分析技术,详细的风险预测,直观的行为分析,Web日志安全分析设备功能,日志数据采集:支持日志远程下载或者手工导入;支持对Windows/Linux操作系统远程下载,下载支持SSH/TELENET和SAMBA协议;支持周期调度,默认12小时为调试周期;日志数据预
4、处理:支持IIS、apache、tomcat、weblogic、Webspere等WEB服务器日志格式;能够对日志内容进行去重、格式归一和关键信息提取;日志内容分析:支持23种大类的风险检测规则,如:敏感目录访问、XSS跨站攻击、远程文件包含等等;潜在危害分析-累计的发生次数或发生频率;关联事件分析-通过多个指标评估风险;黑白名单处理-降低系统漏报率 和误报率;支持网络爬虫识别,统计访问最多URL,并对URL访问进行排名;分析评估:支持网站检测报告导出和风险告警;中国地图展现全域的风险态势及网站风险评估;世界地图展现攻击来源最多的地域;提供排名、风险评估和威胁类型的统计报表;提供丰富的日志信息
5、查看、攻击事件回放及风险描述指导;系统管理 统一站点监测 支持检测规则库的更新 黑白名单的管理 支持用户管理和日志记录事件上报 支持S3平台的数据上报;,参考了OWASP和WASC等国际权威web安全组织发布的安全威胁分类,目前支持23类web攻击类型分析与检测高风险11类,中风险6类,低风险6类,Web日志安全分析设备分析模型,Web日志分析模型,攻击特征匹配,研究基于攻击特征进行匹配的检测技术在23类web攻击类型中,18类攻击类型可通过特征匹配的方式进行检测,关联统计分析,研究基于关联统计分析进行检测的技术在23类web攻击类型中,5类攻击类型可通过关联统计分析的方式进行检测,攻击分类和
6、分级,8,Web日志安全分析设备特点灵活的数据采集,Web日志安全分析工具利用操作系统自有的通信服务,完成日志数据的收集。以体现系统兼容性方面的优势。SSH采集方式:专为远程登录会话和其他网络服务提供安全性的协议。Samba采集方式:SMB协议通常是被Windows系列用来实现磁盘共享。Telnet采集方式:Telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。,为应对网络的局限环境,运用更为高效的离线上传技术,传统上传文件的表单已不能满足现有功能的需求,主要体现在:1、不支持多个文件的上传,2、无法显示上传进度,、Flash上传控件在传输性能上目前
7、已没有优势可言。,使用技术不仅解决多文件、上传进度方面的问题,更为重要的是在多文件并发上传时,文件传输速度比传统上传方式提高达60%。,Web日志安全分析设备特点智能的行为识别,由外向内测试,由内向外测试,模拟攻击测试,真实攻击测试,使用一些操作系统内部网络命令,例如Netstat,以及 Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具来进行完成检测任务。,使用评估工具N-stealth、X-Scan和WebInject等工具来进行检测。,检测Web站点防范来自互联网远程攻击的能力检验Web站点对来自内部的攻击防范能力 检验特定风险的模拟评估检验真实
8、安防设备的风险防御能力,传统已知的安全评估方式,不能够完全规避潜在风险和新的攻击挑战,常规网站风险评估手段,基于日志行为分析,可以实现丰富的扩展功能。例如回放指定IP发起的攻击,攻击失败或成功的历史,便于系统安全分析员进行追踪及预测。,Web日志安全分析设备应用模型,详细的攻击展示,直观的攻击回放,Web日志生成来源,Web日志安全分析模型,系统演示,CONTENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,Web日志安全分析设备市场应用,Web日志安全分析设备应用案例,在多重安全防御的网络中,从WebSphere访
9、问日志中提取某月的数据进行分析:,某银行网络环境示意图,攻击场景:XSS跨站点脚本攻击 111.172.24.42-08/Aug/2012:23:18:43+0800 GET/portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=/alert(1138945)HTTP/1.1 200,服务器响应结果:,返回正常界面,连续请求:抛出数据库异常,连续请求:抛出JSP标签异常,从分析结果中提取攻击成功的入侵行为,对其进行验证。,绿盟防火墙,东软IDS,攻击者,Web日志安全分析设备产品形态,运维型设备实物图,设备后面板,设备前面板,Web日志安全分析设备硬件配置,Web日志安全分析设备分析性能,Web日志安全分析设备典型部署,运维型日志分析设备,1、Web日志安全分析设备不对原有网络拓扑进行改动,将设备部署在管理网络中,通过http协议访问设备管理连接地址,运用SSH、Samba、Telnet等协议下载远程Web服务器中的日志文件进行集中分析。2、为了解决网络隔离的因素,日志分析系统支持离线批量导入的方式,将日志数据上传至日志分析设备中进行集成分析。从而,解决多业务网段服务器统筹分析的问题,也为把握整体的业务安全风险提供有力保障。,汇报完毕,谢谢!,Thank You!,
