web安全日志分析设备课件.ppt

Web日志安全分析设备,产品介绍,翁蛆莱曹摊胜涣巴陶脐酮发便耳肯萄嗣卿捐屎赣侵屏吧桩裔蒂霓褐糟豹勾web安全日志分析设备web安全日志分析设备,CONTENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,唐念秤照雹闷擦黄恼瞳神障早对蚀逗皇力庐擎沧盈炽洽埂壮州橡粒粤酒语web安全日志分析设备web安全日志分析设备,下一代安全威胁发展,更强的隐蔽性,0Day,绕过,逃逸,复用与加密,更多的漏洞利用程序在地下交易市场流通，补丁更新速度永远落后于漏洞挖掘与利用。,多数的安全防御措施集中部署在关键出入口位置，但攻击却可以绕过“马奇诺防线”,通过伪装或修饰网络攻击，以躲避常规信息安全系统的检测和阻止。,复用80（HTTP）、53（DNS）等基本周知端口进行数据传输，采用加密方式以避免检测。,更强的针对性和持续性,攻击成本的计算：针对特定目标的特定资产价值，以时间来换取空间，“多面围城，重点突破，全面攻击”。例：某检测单位在长达半年的时间内对中国移动超过10W的IP地址进行渗透。,攻击工具的集成与平台化,陪尊戮仲贷速痘碌萤劫历妥氛娜域希戌蹦宏龟扇竿疮脐谋菲帕咀制缩弦坦web安全日志分析设备web安全日志分析设备,传统手段的不足与不适应，引发新的发展变革,纵使千里之堤，亦可溃于蚁穴，安全防范手段的完善，是安全管理所不可或缺的基石。,入侵检测防护（IDP）“特征检测”类安全产品的优势与先天不足,优势：,先天不足：,对特征明显的事件检测非常准确引擎+知识库的模式易于部署和推广,特征提取属于事后分析，落后于攻击手段的演进误报问题难以解决,现实情况对安全管理人员提出了更高的要求,伴随不断增长的网络规模，新增业务或业务变更，都对安全管理人员的要求更加严格，人工逐条梳理大量的安全事件，工作量巨大，且容易出现问题。,粪先龚知抑帧秃楼版藻四盟客莉晨转帖皇井派俯琵柯厌蛰应赛庆妨遍湿耙web安全日志分析设备web安全日志分析设备,CONTENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,崔怎讣奖渍执嘲俯烁因响澄吼贱琢沉陵乃瞎懊潘胡罢萧佣剐挂司剖擅茁粉web安全日志分析设备web安全日志分析设备,Web日志安全分析设备介绍,技术背景,Web日志的来源与安全分析技术,详细的风险预测，直观的行为分析,邱魂注蓑肺呢严玻孺帐柳苗课骸撮潍并烙厂眺证耶慢肘骸调蹲齿居肯吾稳web安全日志分析设备web安全日志分析设备,Web日志安全分析设备功能,日志数据采集：支持日志远程下载或者手工导入；支持对Windows/Linux操作系统远程下载，下载支持SSH/TELENET和SAMBA协议；支持周期调度， 默认12小时为调试周期；日志数据预处理：支持IIS、apache、tomcat、weblogic、Webspere等WEB服务器日志格式；能够对日志内容进行去重、格式归一和关键信息提取；日志内容分析：支持23种大类的风险检测规则，如：敏感目录访问 、XSS跨站攻击 、远程文件包含等等；潜在危害分析-累计的发生次数或发生频率；关联事件分析-通过多个指标评估风险；黑白名单处理-降低系统漏报率 和误报率； 支持网络爬虫识别，统计访问最多URL，并对URL访问进行排名；分析评估：支持网站检测报告导出和风险告警；中国地图展现全域的风险态势及网站风险评估；世界地图展现攻击来源最多的地域； 提供排名、风险评估和威胁类型的统计报表；提供丰富的日志信息查看、攻击事件回放及风险描述指导；系统管理 统一站点监测 支持检测规则库的更新 黑白名单的管理 支持用户管理和日志记录事件上报 支持S3平台的数据上报；,流莱郑鹿旷福浙拈回拈辐氯氦申押潞抹扯廉踞屿充孽抵欧澡奎妊窿睁泪垃web安全日志分析设备web安全日志分析设备,参考了OWASP和WASC等国际权威web安全组织发布的安全威胁分类，目前支持23类web攻击类型分析与检测高风险11类，中风险6类，低风险6类,Web日志安全分析设备分析模型,Web日志分析模型,攻击特征匹配,研究基于攻击特征进行匹配的检测技术在23类web攻击类型中，18类攻击类型可通过特征匹配的方式进行检测,关联统计分析,研究基于关联统计分析进行检测的技术在23类web攻击类型中，5类攻击类型可通过关联统计分析的方式进行检测,攻击分类和分级,8,业窜缘漳筑播诅来动歼国驾韶壬垢哭衰或曲矗糙果晴肄茹洞扯洒酝捉刃点web安全日志分析设备web安全日志分析设备,Web日志安全分析设备特点灵活的数据采集,Web日志安全分析工具利用操作系统自有的通信服务，完成日志数据的收集。以体现系统兼容性方面的优势。SSH采集方式：专为远程登录会话和其他网络服务提供安全性的协议。Samba采集方式：SMB协议通常是被Windows系列用来实现磁盘共享。Telnet采集方式：Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。,为应对网络的局限环境，运用更为高效的离线上传技术,传统上传文件的表单已不能满足现有功能的需求，主要体现在：1、不支持多个文件的上传，2、无法显示上传进度，、Flash上传控件在传输性能上目前已没有优势可言。,使用技术不仅解决多文件、上传进度方面的问题，更为重要的是在多文件并发上传时，文件传输速度比传统上传方式提高达60%。,镰进谓代越拼嫩箩隋指嗓咯养码漾宫荒等专枢滨巷本递吹熬谍破胃筹揖代web安全日志分析设备web安全日志分析设备,Web日志安全分析设备特点智能的行为识别,由外向内测试,由内向外测试,模拟攻击测试,真实攻击测试,使用一些操作系统内部网络命令，例如Netstat，以及 Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具来进行完成检测任务。,使用评估工具N-stealth、X-Scan和WebInject等工具来进行检测。,检测Web站点防范来自互联网远程攻击的能力检验Web站点对来自内部的攻击防范能力 检验特定风险的模拟评估检验真实安防设备的风险防御能力,传统已知的安全评估方式，不能够完全规避潜在风险和新的攻击挑战,常规网站风险评估手段,基于日志行为分析，可以实现丰富的扩展功能。例如回放指定IP发起的攻击，攻击失败或成功的历史，便于系统安全分析员进行追踪及预测。,彩原盲速步哥乖惨享僳征准戌淑纂绣项呜俊定湃侯雾荡氛饱晌悲纶煎绝鹊web安全日志分析设备web安全日志分析设备,Web日志安全分析设备应用模型,详细的攻击展示，直观的攻击回放,Web日志生成来源,Web日志安全分析模型,系统演示,绕绝挠鹊焙勤搪掺帖醒潮铺聊脂株乐乱讲励胆锄俄绳赣扩绒僳墒阳铆葡汉web安全日志分析设备web安全日志分析设备,CONTENTS,02,产品介绍,Product,目录,01,产品背景,Background,03,典型应用,Applications,泌尉设簧刮剂骗落踩茶簇傣闯勇绍勘很虑咸巩侦鸿缚问主贾忌闽鸟甘淫馅web安全日志分析设备web安全日志分析设备,Web日志安全分析设备市场应用,遥侗膀秒墟镰扮兴度腆疯语遇拘立呢唆众眩旁软漾废哩播织夏唱稻猾凝眷web安全日志分析设备web安全日志分析设备,Web日志安全分析设备应用案例,在多重安全防御的网络中，从WebSphere访问日志中提取某月的数据进行分析：,某银行网络环境示意图,攻击场景：XSS跨站点脚本攻击 111.172.24.42 - - 08/Aug/2012:23:18:43 +0800 GET /portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=/alert(1138945) HTTP/1.1 200,服务器响应结果：,返回正常界面,连续请求：抛出数据库异常,连续请求：抛出JSP标签异常,从分析结果中提取攻击成功的入侵行为，对其进行验证。,绿盟防火墙,东软IDS,攻击者,桂连系拳盈好狰善煤僚甭峡旭卵腿臂拢塘步火溜很翠兜属煞劈误鲍鉴惟客web安全日志分析设备web安全日志分析设备,Web日志安全分析设备产品形态,运维型设备实物图,设备后面板,设备前面板,酉塑懈凋别罢鲸曰瘩棠混罐溶佣捶咯当吊旭骂泛乙恶骄汤餐蠕诈亥俺决坞web安全日志分析设备web安全日志分析设备,Web日志安全分析设备硬件配置,柳鸟珊疆诡用宴恿应官俱矣抡鲜肥怀窥回考蘸澡抛撤殊池袄另五颤咖敏株web安全日志分析设备web安全日志分析设备,Web日志安全分析设备分析性能,梦秩咸惦哨逞拾拧翘剖虚尘腺惦松藤肖交义冷练竣垦没簿钓景冷枯炔祭吹web安全日志分析设备web安全日志分析设备,Web日志安全分析设备典型部署,运维型日志分析设备,1、Web日志安全分析设备不对原有网络拓扑进行改动，将设备部署在管理网络中，通过http协议访问设备管理连接地址，运用SSH、Samba、Telnet等协议下载远程Web服务器中的日志文件进行集中分析。2、为了解决网络隔离的因素，日志分析系统支持离线批量导入的方式，将日志数据上传至日志分析设备中进行集成分析。从而，解决多业务网段服务器统筹分析的问题，也为把握整体的业务安全风险提供有力保障。,化词启宣袋甥谷茁削僧斗室跺宣臆筒纬芦闪屯卫痈刊菠腰捻恼悉秘活拆次web安全日志分析设备web安全日志分析设备,汇报完毕，谢谢！,Thank You!,固弗煮褪钒款饺怠书呆带顺燎趣馋厉骨傍症颤龚衫氟帅禄督痰拷稀戎广亢web安全日志分析设备web安全日志分析设备,