《web日志分析》PPT课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
日志内容分析: 支持23种大类的风险检测规则,如:敏感目录访问 、XSS跨站攻击 、远程文件包含等等; 潜在危害分析-累计的发生次数或发生频率; 关联事件分析-通过多个指标评估风险; 黑白名单处理-降低系统漏报率 和误报率; 支持网络爬虫识别,统计访问最多URL,并对URL访问进行排名;
分析评估: 支持网站检测报告导出和风险告警; 中国地图展现全域的风险态势及网站风险评估; 世界地图展现攻击来源最多的地域; 提供排名、风险评估和威胁类型的统计报表; 提供丰富的日志信息查看、攻击事件回放及风险描述指导;
Web日志安全分析设备
产品介绍
01产品背景 Background
CONTENTS 023产品介绍 Product 目录
典型应用
Applications
下一代安全威胁发展
更强的隐蔽性
0Day
更多的漏洞利用程 序在地下交易市场 流通,补丁更新速 度永远落后于漏洞 挖掘与利用。
绕过
多数的安全防御措 施集中部署在关键 出入口位置,但攻 击却可以绕过“马 奇诺防线”
传统已知的安全评估方式,不能够完全规避潜在风险测和。 新的攻击挑战
Web日志安全分析设备—应用模型
Web日志安全分析模型
Web日志生成来源
详细的攻击展示,直观的攻击回放
系统演示
01产品背景 Background
CONTENTS 023产品介绍 Product 目录
典型应用
Applications
文件传输速度比传统上传方式提高达60%。
Web日志安全分析设备特点—智能的行为识别
常规网站风险评估手段
由外工具联N网-s远te程alt攻h、击
的能力
X-Scan和WebInject等工具
来进行检测。
由内向外测试
检验Web站点对使来用自一内些部操作的系攻统击内防部范网能络
硬件电路设计防护 2000V 以上雷击和静电冲击
Web日志安全分析设备—分析性能
日志名称
短信点歌 群呼群聊 语音杂志 彩信超市 企业邮箱
校讯通 移动2G日志
日志大小
15.7M 1.33M 56.4M 404M 834M
1.85G 2.16G
F2010笔记本
1分钟 1分钟 4分钟 1分30秒 11分钟
例如回放指定ip发起的攻击攻击失败或成功的历史便于系统安全分析员进行追踪及预web日志安全分析设备应用模型详细的攻击展示直观的攻击回放web日志生成来源web日志安全分析模型系统演示contents02产品介绍product目录01产品背景background03典型应用applicationsweb日志安全分析设备市场应用专注于web服务器安全的检测分析类安全产品安全评估多角度评估信息安防设备潜在的防御盲点互联网能够全面的对多站点统一监测结合评估风险业务系统不改变原有业务网络从侧面分析业务系统潜在风险信息安全人员协助信息安全人员分析网站的潜在风险金融领域潜在分析用户操作行为提前发现隐蔽的攻击行为web日志安全分析设备应用案例在多重安全防御的网络中从websphere访问日志中提取某月的数据进行分析
其它
在多重安全防御的网络中,从WebSphere访问日志中提取某月的数据进行分析:
服务器响应结果:
从分析结果中提 取攻击成功的入 侵行为,对其进 行验证。
返回正常界面
连续请求:抛出数据库异常
连续请求:抛出JSP标签异常
Web日志安全分析设备—产品形态
运维型设备实物图
设备前面板
设备后面板
Web日志安全分析设备—硬件配置
• 误报问题难以解决
现实情况对安全管理人员提出了更高的要求
NI
伴随不断增长的网络规模,新增业务或业务变更,都对
DS
安全管理人员的要求更加严格,人工逐条梳理大量的安
Internet
全事件,工作量巨大,且容易出现问题。
纵使千里之堤,亦可溃于蚁穴,安全防范手段的完善,是安全管理所不可或缺的基石。
01产品背景 Background
汇报完毕,谢谢!
Thank You!
系统管理 统一站点监测 支持检测规则库的更新 黑白名单的管理 支持用户管理和日志记录
事件上报 支持S3平台的数据上报;
Web日志安全分析设备—分析模型
Web日志分析模型
攻击特征匹配
研究基于攻击特征进行匹配的检测 技术
在23类web攻击类型中,18类攻 击类型可通过特征匹配的方式进行 检测
攻击分类和分级
Web日志的来源与安全分析技术
详细的风险预测,直观的行为分析
Web日志安全分析设备—功能
日志数据采集: 支持日志远程下载或者手工导入; 支持对Windows/Linux操作系统远程下载,下载支持SSH/TELENET和SAMBA协议; 支持周期调度, 默认12小时为调试周期;
日志数据预处理: 支持IIS、apache、tomcat、weblogic、Webspere等WEB服务器日志格式; 能够对日志内容进行去重、格式归一和关键信息提取;
Web日志安全分析设备—市场应用
安全评估
多角度评估信息安防 设备潜在的防御盲点
互联网
能够全面的对多站点 统一监测,结合评估 风险
专注于Web服 务器安全的检 测分析类安全
产品
金融领域
潜在分析用户操作行 为,提前发现隐蔽的 攻击行为
业务系统
不改变原有业务网络, 从侧面分析业务系统 潜在风险
信息安全人员
逃逸
通过伪装或修饰网 络攻击,以躲避常 规信息安全系统的 检测和阻止。
复用与加密
复用80(HTTP)、 53(DNS)等基本 周知端口进行数据 传输,采用加密方 式以避免检测。
更强的针对性和持续性
攻击成本的计算:针对特定目标的特定资产价值,以时间来换取空间,“多面围城,重点突破, 全面攻击”。例:某检测单位在长达半年的时间内对中国移动超过10W的IP地址进行渗透。
usb2.0 1个 RS232串口:2个
DDR3 1333 8GB
视频:
Intel GMA X4500 显示核心
硬盘:
ST3500410AS 500GB 7200rpm 16M cache DOM 2G/CF
“看门狗”:
系统死机时可自动启动
特殊功能
低电压适应:
130V 低电压启动并稳定运行
静电防护:
攻击工具的集成与平台化
自动化攻击
✓信息获取 ✓漏洞分析与利用 ✓远程控制 ✓扩大战果
传统手段的不足与不适应,引发新的发展变革
入侵检测防护(IDP)“特征检测”类安全产 品的优势与先天不足
优势:
• 对特征明显的事件 检测非常准确
• 引擎+知识库的模 式易于部署和推广
先天不足:
• 特征提取属于事后 分析,落后于攻击 手段的演进
模拟攻击测试 真实攻击测试
力检验特定风基现放险于 丰 指的日 富 定命NA等模I志 的cikP令工u拟t行 扩发on,具、e评为 展起t例来iXx估分 功的-进如Wsc析 能攻行NVaeSn完, 。击t、sF成t可 例,raNet检me,以 如攻aE测以p实 回击d任、及itio务n。 检验真实安失统防败 安设或 全备成 分的功 析风的 员险历 进防史 行御, 追能便 踪力于 及系 预
外观 工作条件
主机参数
尺寸
430 mm x 300 mm
颜色
蓝灰色
温控
0 ℃ ~ 70 ℃
电源输入
AC 220V/50Hz ATX
EW-1790HGA工控机
CPU:
CPU INTEL I7 2600(k)
网络:
2个标准 10/100/1000Base-T(RJ45)自适应以太网接 口
主要参数
I/O接口: 内存:
参考了OWASP和WASC等国际权威web安全组 织发布的安全威胁分类,目前支持23类web攻 击类型分析与检测
高风险11类,中风险6类,低风险6类
关联统计分析
研究基于关联统计分析进行检测的 技术
在23类web攻击类型中,5类攻击 类型可通过关联统计分析的方式进 行检测
8
Web日志安全分析设备特点—灵活的数据采集
为应对网络的局限环境,运用更为高效的离中线的上一员传,技是I术nternet远程登陆服务的标准协
议和主要方式。
传统上传文件的表单已不能满
足现有功能的需求,主要体现
在:1、不支持多个文件的上 传,2、无法显示上传进度,
3、Flash上传控件在传输性 能上目前已没有优势可言。
使用HTML5技术不仅解决多文件、上传进度 方面的问题,更为重要的是在多文件并发上传时,
27分钟 25分钟
1790HGA工控机
4分20秒 7分19秒 4分18秒 1分16秒 9分25秒
15分3秒 13分52秒
Web日志安全分析设备—典型部署
运维型日志分析设备
1、Web日志安全分析设备不对原有网络拓扑进行改动,将设备部署在管理网络中,通过 http协议访问设备管理连接地址,运用SSH、Samba、Telnet等协议下载远程Web服务器中 的日志文件进行集中分析。 2、为了解决网络隔离的因素,日志分析系统支持离线批量导入的方式,将日志数据上传至日 志分析设备中进行集成分析。从而,解决多业务网段服务器统筹分析的问题,也为把握整体的 业务安全风险提供有力保障。
CONTENTS 023产品介绍 Product 目录
典型应用
Applications
Web日志安全分析设备—介绍
技术背景
IIS、Tomcat、Apache等Web服务器会产生大量安全日志,但是因为信息量大, 人工审计效率极低,且需要较强的专业技能。
传统的基于规则库特征匹配的应用安全检测系统,对于已经漏报的攻击行为无能无 力;且告警事件比较孤立,关联性不强;也不支持数据深度挖掘。
Web日志安全分析工具利用操作系统自有的通 信服务,完成日志数据的收集。以体现系统兼 容性方面的优势。
SSH采集方式:专为远程登录会话和其他网络 服务提供安全性的协议。
Samba采集方式:SMB协议通常是被 Windows系列用来实现磁盘共享。
Telnet采集方式:Telnet协议是TCP/IP协议族
协助信息安全人员分 析网站的潜在风险
Web日志安全分析设备—应用案例
某银行网络环境示意图
攻击者
绿盟防火墙
东软IDS
攻击场景:XSS跨站点脚本攻击
111.172.24.42 - - [08/Aug/2012:23:18:43 +0800] "GET
/portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=\"/>'\"/><%00s网cri银pt>alert(1138945信)<用/scr卡ipt> HTTP/1电.1"子20支0 付
分析评估: 支持网站检测报告导出和风险告警; 中国地图展现全域的风险态势及网站风险评估; 世界地图展现攻击来源最多的地域; 提供排名、风险评估和威胁类型的统计报表; 提供丰富的日志信息查看、攻击事件回放及风险描述指导;
Web日志安全分析设备
产品介绍
01产品背景 Background
CONTENTS 023产品介绍 Product 目录
典型应用
Applications
下一代安全威胁发展
更强的隐蔽性
0Day
更多的漏洞利用程 序在地下交易市场 流通,补丁更新速 度永远落后于漏洞 挖掘与利用。
绕过
多数的安全防御措 施集中部署在关键 出入口位置,但攻 击却可以绕过“马 奇诺防线”
传统已知的安全评估方式,不能够完全规避潜在风险测和。 新的攻击挑战
Web日志安全分析设备—应用模型
Web日志安全分析模型
Web日志生成来源
详细的攻击展示,直观的攻击回放
系统演示
01产品背景 Background
CONTENTS 023产品介绍 Product 目录
典型应用
Applications
文件传输速度比传统上传方式提高达60%。
Web日志安全分析设备特点—智能的行为识别
常规网站风险评估手段
由外工具联N网-s远te程alt攻h、击
的能力
X-Scan和WebInject等工具
来进行检测。
由内向外测试
检验Web站点对使来用自一内些部操作的系攻统击内防部范网能络
硬件电路设计防护 2000V 以上雷击和静电冲击
Web日志安全分析设备—分析性能
日志名称
短信点歌 群呼群聊 语音杂志 彩信超市 企业邮箱
校讯通 移动2G日志
日志大小
15.7M 1.33M 56.4M 404M 834M
1.85G 2.16G
F2010笔记本
1分钟 1分钟 4分钟 1分30秒 11分钟
例如回放指定ip发起的攻击攻击失败或成功的历史便于系统安全分析员进行追踪及预web日志安全分析设备应用模型详细的攻击展示直观的攻击回放web日志生成来源web日志安全分析模型系统演示contents02产品介绍product目录01产品背景background03典型应用applicationsweb日志安全分析设备市场应用专注于web服务器安全的检测分析类安全产品安全评估多角度评估信息安防设备潜在的防御盲点互联网能够全面的对多站点统一监测结合评估风险业务系统不改变原有业务网络从侧面分析业务系统潜在风险信息安全人员协助信息安全人员分析网站的潜在风险金融领域潜在分析用户操作行为提前发现隐蔽的攻击行为web日志安全分析设备应用案例在多重安全防御的网络中从websphere访问日志中提取某月的数据进行分析
其它
在多重安全防御的网络中,从WebSphere访问日志中提取某月的数据进行分析:
服务器响应结果:
从分析结果中提 取攻击成功的入 侵行为,对其进 行验证。
返回正常界面
连续请求:抛出数据库异常
连续请求:抛出JSP标签异常
Web日志安全分析设备—产品形态
运维型设备实物图
设备前面板
设备后面板
Web日志安全分析设备—硬件配置
• 误报问题难以解决
现实情况对安全管理人员提出了更高的要求
NI
伴随不断增长的网络规模,新增业务或业务变更,都对
DS
安全管理人员的要求更加严格,人工逐条梳理大量的安
Internet
全事件,工作量巨大,且容易出现问题。
纵使千里之堤,亦可溃于蚁穴,安全防范手段的完善,是安全管理所不可或缺的基石。
01产品背景 Background
汇报完毕,谢谢!
Thank You!
系统管理 统一站点监测 支持检测规则库的更新 黑白名单的管理 支持用户管理和日志记录
事件上报 支持S3平台的数据上报;
Web日志安全分析设备—分析模型
Web日志分析模型
攻击特征匹配
研究基于攻击特征进行匹配的检测 技术
在23类web攻击类型中,18类攻 击类型可通过特征匹配的方式进行 检测
攻击分类和分级
Web日志的来源与安全分析技术
详细的风险预测,直观的行为分析
Web日志安全分析设备—功能
日志数据采集: 支持日志远程下载或者手工导入; 支持对Windows/Linux操作系统远程下载,下载支持SSH/TELENET和SAMBA协议; 支持周期调度, 默认12小时为调试周期;
日志数据预处理: 支持IIS、apache、tomcat、weblogic、Webspere等WEB服务器日志格式; 能够对日志内容进行去重、格式归一和关键信息提取;
Web日志安全分析设备—市场应用
安全评估
多角度评估信息安防 设备潜在的防御盲点
互联网
能够全面的对多站点 统一监测,结合评估 风险
专注于Web服 务器安全的检 测分析类安全
产品
金融领域
潜在分析用户操作行 为,提前发现隐蔽的 攻击行为
业务系统
不改变原有业务网络, 从侧面分析业务系统 潜在风险
信息安全人员
逃逸
通过伪装或修饰网 络攻击,以躲避常 规信息安全系统的 检测和阻止。
复用与加密
复用80(HTTP)、 53(DNS)等基本 周知端口进行数据 传输,采用加密方 式以避免检测。
更强的针对性和持续性
攻击成本的计算:针对特定目标的特定资产价值,以时间来换取空间,“多面围城,重点突破, 全面攻击”。例:某检测单位在长达半年的时间内对中国移动超过10W的IP地址进行渗透。
usb2.0 1个 RS232串口:2个
DDR3 1333 8GB
视频:
Intel GMA X4500 显示核心
硬盘:
ST3500410AS 500GB 7200rpm 16M cache DOM 2G/CF
“看门狗”:
系统死机时可自动启动
特殊功能
低电压适应:
130V 低电压启动并稳定运行
静电防护:
攻击工具的集成与平台化
自动化攻击
✓信息获取 ✓漏洞分析与利用 ✓远程控制 ✓扩大战果
传统手段的不足与不适应,引发新的发展变革
入侵检测防护(IDP)“特征检测”类安全产 品的优势与先天不足
优势:
• 对特征明显的事件 检测非常准确
• 引擎+知识库的模 式易于部署和推广
先天不足:
• 特征提取属于事后 分析,落后于攻击 手段的演进
模拟攻击测试 真实攻击测试
力检验特定风基现放险于 丰 指的日 富 定命NA等模I志 的cikP令工u拟t行 扩发on,具、e评为 展起t例来iXx估分 功的-进如Wsc析 能攻行NVaeSn完, 。击t、sF成t可 例,raNet检me,以 如攻aE测以p实 回击d任、及itio务n。 检验真实安失统防败 安设或 全备成 分的功 析风的 员险历 进防史 行御, 追能便 踪力于 及系 预
外观 工作条件
主机参数
尺寸
430 mm x 300 mm
颜色
蓝灰色
温控
0 ℃ ~ 70 ℃
电源输入
AC 220V/50Hz ATX
EW-1790HGA工控机
CPU:
CPU INTEL I7 2600(k)
网络:
2个标准 10/100/1000Base-T(RJ45)自适应以太网接 口
主要参数
I/O接口: 内存:
参考了OWASP和WASC等国际权威web安全组 织发布的安全威胁分类,目前支持23类web攻 击类型分析与检测
高风险11类,中风险6类,低风险6类
关联统计分析
研究基于关联统计分析进行检测的 技术
在23类web攻击类型中,5类攻击 类型可通过关联统计分析的方式进 行检测
8
Web日志安全分析设备特点—灵活的数据采集
为应对网络的局限环境,运用更为高效的离中线的上一员传,技是I术nternet远程登陆服务的标准协
议和主要方式。
传统上传文件的表单已不能满
足现有功能的需求,主要体现
在:1、不支持多个文件的上 传,2、无法显示上传进度,
3、Flash上传控件在传输性 能上目前已没有优势可言。
使用HTML5技术不仅解决多文件、上传进度 方面的问题,更为重要的是在多文件并发上传时,
27分钟 25分钟
1790HGA工控机
4分20秒 7分19秒 4分18秒 1分16秒 9分25秒
15分3秒 13分52秒
Web日志安全分析设备—典型部署
运维型日志分析设备
1、Web日志安全分析设备不对原有网络拓扑进行改动,将设备部署在管理网络中,通过 http协议访问设备管理连接地址,运用SSH、Samba、Telnet等协议下载远程Web服务器中 的日志文件进行集中分析。 2、为了解决网络隔离的因素,日志分析系统支持离线批量导入的方式,将日志数据上传至日 志分析设备中进行集成分析。从而,解决多业务网段服务器统筹分析的问题,也为把握整体的 业务安全风险提供有力保障。
CONTENTS 023产品介绍 Product 目录
典型应用
Applications
Web日志安全分析设备—介绍
技术背景
IIS、Tomcat、Apache等Web服务器会产生大量安全日志,但是因为信息量大, 人工审计效率极低,且需要较强的专业技能。
传统的基于规则库特征匹配的应用安全检测系统,对于已经漏报的攻击行为无能无 力;且告警事件比较孤立,关联性不强;也不支持数据深度挖掘。
Web日志安全分析工具利用操作系统自有的通 信服务,完成日志数据的收集。以体现系统兼 容性方面的优势。
SSH采集方式:专为远程登录会话和其他网络 服务提供安全性的协议。
Samba采集方式:SMB协议通常是被 Windows系列用来实现磁盘共享。
Telnet采集方式:Telnet协议是TCP/IP协议族
协助信息安全人员分 析网站的潜在风险
Web日志安全分析设备—应用案例
某银行网络环境示意图
攻击者
绿盟防火墙
东软IDS
攻击场景:XSS跨站点脚本攻击
111.172.24.42 - - [08/Aug/2012:23:18:43 +0800] "GET
/portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=\"/>'\"/><%00s网cri银pt>alert(1138945信)<用/scr卡ipt> HTTP/1电.1"子20支0 付