web安全日志分析设备资料

Web日志安全分析设备产品介绍翁蛆莱曹摊胜涣巴陶脐酮发便耳肯萄嗣卿捐屎赣侵屏吧桩裔蒂霓褐糟豹勾web安全日志分析设备web安全日志分析设备CONTENTS02产品介绍Product目录01产品背景Background03典型应用Applications唐念秤照雹闷擦黄恼瞳神障早对蚀逗皇力庐擎沧盈炽洽埂壮州橡粒粤酒语web安全日志分析设备web安全日志分析设备下一代安全威胁发展更强的隐蔽性0Day绕过逃逸复用与加密更多的漏洞利用程序在地下交易市场流通，补丁更新速度永远落后于漏洞挖掘与利用。多数的安全防御措施集中部署在关键出入口位置，但攻击却可以绕过“马奇诺防线”通过伪装或修饰网络攻击，以躲避常规信息安全系统的检测和阻止。复用80（HTTP）、53（DNS）等基本周知端口进行数据传输，采用加密方式以避免检测。更强的针对性和持续性攻击成本的计算：针对特定目标的特定资产价值，以时间来换取空间，“多面围城，重点突破，全面攻击”。例：某检测单位在长达半年的时间内对中国移动超过10W的IP地址进行渗透。攻击工具的集成与平台化陪尊戮仲贷速痘碌萤劫历妥氛娜域希戌蹦宏龟扇竿疮脐谋菲帕咀制缩弦坦web安全日志分析设备web安全日志分析设备传统手段的不足与不适应，引发新的发展变革纵使千里之堤，亦可溃于蚁穴，安全防范手段的完善，是安全管理所不可或缺的基石。入侵检测防护（IDP）“特征检测”类安全产品的优势与先天不足优势：先天不足：•对特征明显的事件检测非常准确•引擎+知识库的模式易于部署和推广•特征提取属于事后分析，落后于攻击手段的演进•误报问题难以解决现实情况对安全管理人员提出了更高的要求伴随不断增长的网络规模，新增业务或业务变更，都对安全管理人员的要求更加严格，人工逐条梳理大量的安全事件，工作量巨大，且容易出现问题。Internet粪先龚知抑帧秃楼版藻四盟客莉晨转帖皇井派俯琵柯厌蛰应赛庆妨遍湿耙web安全日志分析设备web安全日志分析设备CONTENTS02产品介绍Product目录01产品背景Background03典型应用Applications崔怎讣奖渍执嘲俯烁因响澄吼贱琢沉陵乃瞎懊潘胡罢萧佣剐挂司剖擅茁粉web安全日志分析设备web安全日志分析设备Web日志安全分析设备—介绍IIS、Tomcat、Apache等Web服务器会产生大量安全日志，但是因为信息量大，人工审计效率极低，且需要较强的专业技能。传统的基于规则库特征匹配的应用安全检测系统，对于已经漏报的攻击行为无能无力；且告警事件比较孤立，关联性不强；也不支持数据深度挖掘。技术背景Web日志的来源与安全分析技术详细的风险预测，直观的行为分析邱魂注蓑肺呢严玻孺帐柳苗课骸撮潍并烙厂眺证耶慢肘骸调蹲齿居肯吾稳web安全日志分析设备web安全日志分析设备Web日志安全分析设备—功能日志数据采集：支持日志远程下载或者手工导入；支持对Windows/Linux操作系统远程下载，下载支持SSH/TELENET和SAMBA协议；支持周期调度，默认12小时为调试周期；日志数据预处理：支持IIS、apache、tomcat、weblogic、Webspere等WEB服务器日志格式；能够对日志内容进行去重、格式归一和关键信息提取；日志内容分析：支持23种大类的风险检测规则，如：敏感目录访问、XSS跨站攻击、远程文件包含等等；潜在危害分析-累计的发生次数或发生频率；关联事件分析-通过多个指标评估风险；黑白名单处理-降低系统漏报率和误报率；支持网络爬虫识别，统计访问最多URL，并对URL访问进行排名；分析评估：支持网站检测报告导出和风险告警；中国地图展现全域的风险态势及网站风险评估；世界地图展现攻击来源最多的地域；提供排名、风险评估和威胁类型的统计报表；提供丰富的日志信息查看、攻击事件回放及风险描述指导；系统管理统一站点监测支持检测规则库的更新黑白名单的管理支持用户管理和日志记录事件上报支持S3平台的数据上报；流莱郑鹿旷福浙拈回拈辐氯氦申押潞抹扯廉踞屿充孽抵欧澡奎妊窿睁泪垃web安全日志分析设备web安全日志分析设备参考了OWASP和WASC等国际权威web安全组织发布的安全威胁分类，目前支持23类web攻击类型分析与检测高风险11类，中风险6类，低风险6类Web日志安全分析设备—分析模型Web日志分析模型攻击特征匹配研究基于攻击特征进行匹配的检测技术在23类web攻击类型中，18类攻击类型可通过特征匹配的方式进行检测关联统计分析研究基于关联统计分析进行检测的技术在23类web攻击类型中，5类攻击类型可通过关联统计分析的方式进行检测攻击分类和分级8业窜缘漳筑播诅来动歼国驾韶壬垢哭衰或曲矗糙果晴肄茹洞扯洒酝捉刃点web安全日志分析设备web安全日志分析设备Web日志安全分析设备特点—灵活的数据采集Web日志安全分析工具利用操作系统自有的通信服务，完成日志数据的收集。以体现系统兼容性方面的优势。SSH采集方式：专为远程登录会话和其他网络服务提供安全性的协议。Samba采集方式：SMB协议通常是被Windows系列用来实现磁盘共享。Telnet采集方式：Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。为应对网络的局限环境，运用更为高效的离线上传技术传统上传文件的表单已不能满足现有功能的需求，主要体现在：1、不支持多个文件的上传，2、无法显示上传进度，３、Flash上传控件在传输性能上目前已没有优势可言。使用ＨＴＭＬ５技术不仅解决多文件、上传进度方面的问题，更为重要的是在多文件并发上传时，文件传输速度比传统上传方式提高达60%。镰进谓代越拼嫩箩隋指嗓咯养码漾宫荒等专枢滨巷本递吹熬谍破胃筹揖代web安全日志分析设备web安全日志分析设备Web日志安全分析设备特点—智能的行为识别由外向内测试由内向外测试模拟攻击测试真实攻击测试使用一些操作系统内部网络命令，例如Netstat，以及Nikto、X-scan、Nmap、AcunetixWVSFreeEdition等工具来进行完成检测任务。使用评估工具N-stealth、X-Scan和WebInject等工具来进行检测。检测Web站点防范来自互联网远程攻击的能力检验Web站点对来自内部的攻击防范能力检验特定风险的模拟评估检验真实安防设备的风险防御能力传统已知的安全评估方式，不能够完全规避潜在风险和新的攻击挑战常规网站风险评估手段基于日志行为分析，可以实现丰富的扩展功能。例如回放指定IP发起的攻击，攻击失败或成功的历史，便于系统安全分析员进行追踪及预测。彩原盲速步哥乖惨享僳征准戌淑纂绣项呜俊定湃侯雾荡氛饱晌悲纶煎绝鹊web安全日志分析设备web安全日志分析设备Web日志安全分析设备—应用模型详细的攻击展示，直观的攻击回放Web日志生成来源Web日志安全分析模型系统演示绕绝挠鹊焙勤搪掺帖醒潮铺聊脂株乐乱讲励胆锄俄绳赣扩绒僳墒阳铆葡汉web安全日志分析设备web安全日志分析设备CONTENTS02产品介绍Product目录01产品背景Background03典型应用Applications泌尉设簧刮剂骗落踩茶簇傣闯勇绍勘很虑咸巩侦鸿缚问主贾忌闽鸟甘淫馅web安全日志分析设备web安全日志分析设备Web日志安全分析设备—市场应用专注于Web服务器安全的检测分析类安全产品安全评估多角度评估信息安防设备潜在的防御盲点互联网能够全面的对多站点统一监测，结合评估风险业务系统不改变原有业务网络，从侧面分析业务系统潜在风险信息安全人员协助信息安全人员分析网站的潜在风险金融领域潜在分析用户操作行为，提前发现隐蔽的攻击行为遥侗膀秒墟镰扮兴度腆疯语遇拘立呢唆众眩旁软漾废哩播织夏唱稻猾凝眷web安全日志分析设备web安全日志分析设备Web日志安全分析设备—应用案例在多重安全防御的网络中，从WebSphere访问日志中提取某月的数据进行分析：某银行网络环境示意图攻击场景：XSS跨站点脚本攻击111.172.24.42--[08/Aug/2012:23:18:43+0800]GET/portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=\/'\/%00scriptalert(1138945)/scriptHTTP/1.1200服务器响应结果：返回正常界面连续请求：抛出数据库异常连续请求：抛出JSP标签异常从分析结果中提取攻击成功的入侵行为，对其进行验证。网银信用卡电子支付其它绿盟防火墙东软IDS攻击者桂连系拳盈好狰善煤僚甭峡旭卵腿臂拢塘步火溜很翠兜属煞劈误鲍鉴惟客web安全日志分析设备web安全日志分析设备Web日志安全分析设备—产品形态运维型设备实物图设备后面板设备前面板酉塑懈凋别罢鲸曰瘩棠混罐溶佣捶咯当吊旭骂泛乙恶骄汤餐蠕诈亥俺决坞web安全日志分析设备web安全日志分析设备Web日志安全分析设备—硬件配置外观尺寸430mmx300mm颜色蓝灰色工作条件温控0℃~70℃电源输入AC220V/50HzATX主机参数EW-1790HGA工控机主要参数CPU：CPUINTELI72600(k)网络：2个标准10/100/1000Base-T(RJ45)自适应以太网接口I/O接口：usb2.01个RS232串口：2个内存：DDR313338GB视频：IntelGMAX4500显示核心硬盘：ST3500410AS500GB7200rpm16McacheDOM2G/CF特殊功能“看门狗”：系统死机时可自动启动低电压适应：130V低电压启动并稳定运行静电防护：硬件电路设计防护2000V以上雷击和静电冲击柳鸟珊疆诡用宴恿应官俱矣抡鲜肥怀窥回考蘸澡抛撤殊池袄另五颤咖敏株web安全日志分析设备web安全日志分析设备Web日志安全分析设备—分析性能日志名称日志大小F2010笔记本1790HGA工控机短信点歌15.7M1分钟4分20秒群呼群聊1.33M1分钟7分19秒语音杂志56.4M4分钟4分18秒彩信超市404M1分30秒1分16秒企业邮箱834M11分钟9分25秒校讯通1.85G27分钟15分3秒移动2G日志2.16G25分钟13分52秒梦秩咸惦哨逞拾拧翘剖虚尘腺惦松藤肖交义冷练竣垦没簿钓景冷枯炔祭吹web安全日志分析设备web安全日志分析设备Web日志安全分析设备—典型部署运维型日志分析设备1、Web日志安全分析设备不对原有网络拓扑进行改动，将设备部署在管理网络中，通过http协议访问设备管理连接地址，运用SSH、Samba、Telnet等协议下载远程Web服务器中的日志文件进行集中分析。2、为了解决网络隔离的因素，日志分析系统支持离线批量导入的方式，将日志数据上传至日志分析设备中进行集成分析。从而，解决多业务网段服务器统筹分析的问题，也为把握整体的业务安全风险提供有力保障。化词启宣袋甥谷茁削僧斗室跺宣臆筒纬芦闪屯卫痈刊菠腰捻恼悉秘活拆次web安全日志分析设备web安全日志分析设备汇报完毕，谢谢！ThankYou!固弗煮褪钒款饺怠书呆带顺燎趣馋厉骨傍症颤龚衫氟帅禄督痰拷稀戎广亢web安全日志分析设备web安全日志分析设备