单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,Web,日志安全分析设备,产品介绍,Web日志安全分析设备产品介绍,CONT,ENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,CONTENTS02产品介绍Product目录01产品背景B,下一代安全威胁发展,自动化攻击,信息获取,漏洞分析与利用,远程控制,扩大战果,多平台支持,社会工程,OS,、网络,工业系统,更强的,隐蔽性,0Day,绕过,逃逸,复用与加密,更多的漏洞利用程序在地下交易市场流通，补丁更新速度永远落后于漏洞挖掘与利用。,多数的安全防御措施集中部署在关键出入口位置，但攻击却可以绕过“马奇诺防线”,通过伪装或修饰网络攻击，以躲避常规信息安全系统的检测和阻止。,复用,80,（,HTTP,）、,53,（,DNS,）等基本周知端口进行数据传输，采用加密方式以避免检测。,更强的,针对性,和,持续性,攻击成本的计算：针对特定目标的特定资产价值，以时间来换取空间，“多面围城，重点突破，全面攻击”。例：某检测单位在长达半年的时间内对中国移动超过,10W,的,IP,地址进行渗透。,攻击工具的集成与,平台化,下一代安全威胁发展自动化攻击更强的隐蔽性0Day绕过逃逸复用,传统手段的不足与不适应，引发新的发展变革,纵使千里之堤，亦可溃于蚁穴，安全防范手段的完善，是安全管理所不可或缺的基石。,入侵检测防护（,IDP,）“,特征检测,”类安全产品的优势与先天不足,优势：,先天不足：,对特征明显的事件检测非常准确,引擎,+,知识库的模式易于部署和推广,特征提取属于事后分析，落后于攻击手段的演进,误报问题难以解决,现实情况对安全管理人员提出了更高的要求,伴随不断增长的网络规模，新增业务或业务变更，都对安全管理人员的要求更加严格，人工逐条梳理大量的安全事件，工作量巨大，且容易出现问题。,NIDS,Internet,传统手段的不足与不适应，引发新的发展变革纵使千里之堤，亦可溃,CONT,ENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,CONTENTS02产品介绍Product目录01产品背景B,Web,日志安全分析设备,介绍,IIS,、,Tomcat,、,Apache,等,Web,服务器会产生大量安全日志，但是因为信息量大，人工审计效率极低，且需要较强的专业技能。,传统的基于规则库特征匹配的应用安全检测系统，对于已经漏报的攻击行为无能无力；且告警事件比较孤立，关联性不强；也不支持数据深度挖掘。,技术背景,Web,日志的来源与安全分析技术,详细的风险预测，直观的行为分析,Web日志安全分析设备介绍IIS、Tomcat、Apach,Web,日志安全分析设备,功能,日志数据采集：,支持日志远程,下载或者手工导入；,支持对,Windows,/,Linux,操作系统远程下载，下载支持,SSH/TELENET和SAMBA协议,；,支持周期调度，默认,12,小时为调试周期；,日志数据预处理：,支持IIS、apache、tomcat、weic、Webspere等WEB服务器日志格式,；,能够对日志内容进行去重,、,格,式归一和关键信息提取；,日志内容分析：,支持,23,种大类的风险检测规则，如：敏感目录访问,、,XSS,跨站攻击,、,远程文件包含等等；,潜在危害分析,-,累计的发生次数或发生频率；,关联事件分析,-,通过多个指标评估风险；,黑白名单处理,-,降低系统漏报率 和误报率；,支持,网络,爬虫识别,，统计访问最多,URL,，并对,URL,访问进行排名；,分析评估：,支持网站检测报告导出和风险告警；,中国地图展现全域的风险态势及网站风险评估；,世界地图展现攻击,来源最多的,地域；,提供排名、风险评估和威胁类型的统计报表；,提供丰富的日志信息查看,、,攻击,事件回放及风险描述指导,；,系统管理,统一站点监测,支持检测规则库的更新,黑白名单的管理,支持用户管理和日志记录,事件上报,支持,S3,平台的数据上报；,Web日志安全分析设备功能日志数据采集：,参考了,OWASP,和,WASC,等国际权威,web,安全组织发布的安全威胁分类，目前支持,23,类,web,攻击类型,分析与检测,高风险,11,类，中风险,6,类，低风险,6,类,Web,日志安全分析设备,分析模型,Web,日志分析模型,攻击特征匹配,研究基于,攻击特征,进行匹配的检测技术,在,23,类,web,攻击类型中，,18,类,攻击类型可通过特征匹配的方式进行检测,关联统计分析,研究基于,关联统计分析,进行检测的技术,在,23,类,web,攻击类型中，,5,类,攻击类型可通过关联统计分析的方式进行检测,攻击分类和分级,8,参考了OWASP和WASC等国际权威web安全组织发布的安全,Web,日志安全分析设备特点,灵活的数据采集,Web,日志安全分析工具利用操作系统自有的通信服务，完成日志数据的收集。以体现系统兼容性方面的优势。,SSH,采集方式：专为远程登录会话和其他网络服务提供安全性的协议。,Samba,采集方式：,SMB协议通常是被,W,indows系列用来实现磁盘共享。,Telnet,采集方式：,Telnet,协议是,TCP/IP,协议族中的一员，是,Internet,远程登陆服务的标准协议和主要方式。,为应对网络,的,局限环境，运用更为高效的离线上传技术,传统上传文件的表单已不能满足现有功能的需求，主要体现在：,1,、不支持多个文件的上传，,2,、无法显示上传进度，、,Flash,上传控件在传输性能上目前已没有优势可言。,使用技术不仅解决多文件、上传进度方面的问题，更为重要的是在多文件并发上传时，文件传输速度比传统上传方式提高达,60%,。,Web日志安全分析设备特点灵活的数据采集 Web,Web,日志安全分析设备特点,智能的行为识别,由外向内测试,由内向外测试,模拟攻击测试,真实攻击测试,使用一些操作系统内部网络命令，例如,Netstat,，以及,Nikto,、,X-scan,、,Nmap,、,Acunetix WVS Free Edition,等工具来进行完成检测任务。,使用评估工具,N-stealth,、,X-Scan,和,WebInject,等工具来进行检测。,检测,Web,站点防范来自互联网远程攻击的能力,检验,Web,站点对来自内部的攻击防范能力,检验特定风险的模拟评估,检验真实安防设备的风险防御能力,传统已知的安全评估方式，不能够完全规避潜在风险和新的攻击挑战,常规网站风险评估手段,基于日志行为分析，可以实现丰富的扩展功能。例如回放指定,IP,发起的攻击，攻击失败或成功的历史，便于系统安全分析员进行追踪及预测。,Web日志安全分析设备特点智能的行为识别由外向内测试由内向,Web,日志安全分析设备,应用模型,详细的攻击展示，直观的攻击回放,Web,日志生成来源,Web,日志安全分析模型,系统演示,Web日志安全分析设备应用模型详细的攻击展示，直观的攻击回,CONT,ENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,CONTENTS02产品介绍Product目录01产品背景B,Web,日志安全分析设备,市场应用,专注于,Web,服务器安全的检测分析类安全产品,安全评估,多角度评估信息安防设备潜在的防御盲点,互联网,能够全面的对多站点统一监测，结合评估风险,业务系统,不改变原有业务网络，从侧面分析业务系统潜在风险,信息安全人员,协助信息安全人员分析网站的潜在风险,金融领域,潜在分析用户操作行为，提前发现隐蔽的攻击行为,Web日志安全分析设备市场应用专注于Web服务器安全的检测,Web,日志安全分析设备,应用案例,在多重安全防御的网络中，从,WebSphere,访问日志中提取某月的数据进行分析：,某银行网络环境示意图,攻击场景：,XSS,跨站点脚本攻击,111.172.24.42-08/Aug/2019:23:18:43+0800 GET/portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=/alert(1138945)HTTP/1.1 200,服务器响应结果：,返回正常界面,连续请求：抛出数据库异常,连续请求：抛出,JSP,标签异常,从分析结果中提取攻击成功的入侵行为，对其进行验证。,网银,信用卡,电子支付,其它,绿盟防火墙,东软,IDS,攻击者,Web日志安全分析设备应用案例 在多重安全防御的网络中，从,Web,日志安全分析设备,产品形态,运维型设备实物图,设备后面板,设备前面板,Web日志安全分析设备产品形态运维型设备实物图设备后面板设,Web,日志安全分析设备,硬件配置,外观,尺寸,430 mm x 300 mm,颜色,蓝灰色,工作条件,温控,0 70 ,电源输入,AC 220V/50Hz ATX,主机参数,EW-1790HGA,工控机,主要参数,CPU,：,CPU INTEL I7 2600(k),网络：,2,个标准,10/100/1000Base-T(RJ45),自适应以太网接口,I/O,接口：,usb2.0 1,个,RS232,串口：,2,个,内存：,DDR3 1333 8GB,视频：,Intel GMA X4500,显示核心,硬盘：,ST3500410AS 500GB 7200rpm 16M cache,DOM 2G/CF,特殊功能,“看门狗”：,系统死机时可自动启动,低电压适应：,130V,低电压启动并稳定运行,静电防护：,硬件电路设计防护,2000V,以上雷击和静电冲击,Web日志安全分析设备硬件配置外观尺寸430 mm x 3,Web,日志安全分析设备,分析性能,日志名称,日志大小,F2019,笔记本,1790HGA,工控机,短信点歌,15.7M,1,分钟,4,分,20,秒,群呼群聊,1.33M,1,分钟,7,分,19,秒,语音杂志,56.4M,4,分钟,4,分,18,秒,彩信超市,404M,1,分,30,秒,1,分,16,秒,企业邮箱,834M,11,分钟,9,分,25,秒,校讯通,1.85G,27,分钟,15,分,3,秒,移动,2G,日志,2.16G,25,分钟,13,分,52,秒,Web日志安全分析设备分析性能日志名称 日志大小F2019,Web,日志安全分析设备,典型部署,运维型日志分析设备,1,、,Web,日志安全分析设备不对原有网络拓扑进行改动，将设备部署在管理网络中，通过,http,协议访问设备管理连接地址，运用,SSH,、,Samba,、,Telnet,等协议下载远程,Web,服务器中的日志文件进行集中分析。,2,、为了解决网络隔离的因素，日志分析系统支持离线批量导入的方式，将日志数据上传至日志分析设备中进行集成分析。从而，解决多业务网段服务器统筹分析的问题，也为把握整体的业务安全风险提供有力保障。,Web日志安全分析设备典型部署运维型日志分析设备1、Web,汇报完毕，谢谢！,Thank You!,汇报完毕，谢谢！Thank You!,