web安全日志分析設(shè)備

Web日志安全分析設(shè)備產(chǎn)品介紹CONTENTS02產(chǎn)品介紹Product目錄01產(chǎn)品背景Background03典型應(yīng)用Applications下一代安全威脅發(fā)展自動(dòng)化攻擊信息獲取漏洞分析與利用遠(yuǎn)程控制擴(kuò)大戰(zhàn)果多平臺(tái)支持社會(huì)工程OS、網(wǎng)絡(luò)工業(yè)系統(tǒng)更強(qiáng)的隱蔽性0Day繞過逃逸復(fù)用與加密更多的漏洞利用程序在地下交易市場(chǎng)流通，補(bǔ)丁更新速度永遠(yuǎn)落后于漏洞挖掘與利用。多數(shù)的安全防御措施集中部署在關(guān)鍵出入口位置，但攻擊卻可以繞過“馬奇諾防線”通過偽裝或修飾網(wǎng)絡(luò)攻擊，以躲避常規(guī)信息安全系統(tǒng)的檢測(cè)和阻止。復(fù)用80（HTTP）、53（DNS）等基本周知端口進(jìn)行數(shù)據(jù)傳輸，采用加密方式以避免檢測(cè)。更強(qiáng)的針對(duì)性和持續(xù)性攻擊成本的計(jì)算：針對(duì)特定目標(biāo)的特定資產(chǎn)價(jià)值，以時(shí)間來換取空間，“多面圍城，重點(diǎn)突破，全面攻擊”。例：某檢測(cè)單位在長達(dá)半年的時(shí)間內(nèi)對(duì)中國移動(dòng)超過10W的IP地址進(jìn)行滲透。攻擊工具的集成與平臺(tái)化傳統(tǒng)手段的不足與不適應(yīng)，引發(fā)新的發(fā)展變革縱使千里之堤，亦可潰于蟻穴，安全防范手段的完善，是安全管理所不可或缺的基石。入侵檢測(cè)防護(hù)（IDP）“特征檢測(cè)”類安全產(chǎn)品的優(yōu)勢(shì)與先天不足優(yōu)勢(shì)：先天不足：對(duì)特征明顯的事件檢測(cè)非常準(zhǔn)確引擎+知識(shí)庫的模式易于部署和推廣特征提取屬于事后分析，落后于攻擊手段的演進(jìn)誤報(bào)問題難以解決現(xiàn)實(shí)情況對(duì)安全管理人員提出了更高的要求伴隨不斷增長的網(wǎng)絡(luò)規(guī)模，新增業(yè)務(wù)或業(yè)務(wù)變更，都對(duì)安全管理人員的要求更加嚴(yán)格，人工逐條梳理大量的安全事件，工作量巨大，且容易出現(xiàn)問題。NIDSInternetCONTENTS02產(chǎn)品介紹Product目錄01產(chǎn)品背景Background03典型應(yīng)用ApplicationsWeb日志安全分析設(shè)備—介紹IIS、Tomcat、Apache等Web服務(wù)器會(huì)產(chǎn)生大量安全日志，但是因?yàn)樾畔⒘看?，人工審?jì)效率極低，且需要較強(qiáng)的專業(yè)技能。傳統(tǒng)的基于規(guī)則庫特征匹配的應(yīng)用安全檢測(cè)系統(tǒng)，對(duì)于已經(jīng)漏報(bào)的攻擊行為無能無力；且告警事件比較孤立，關(guān)聯(lián)性不強(qiáng)；也不支持?jǐn)?shù)據(jù)深度挖掘。技術(shù)背景Web日志的來源與安全分析技術(shù)詳細(xì)的風(fēng)險(xiǎn)預(yù)測(cè)，直觀的行為分析Web日志安全分析設(shè)備特點(diǎn)—靈活的數(shù)據(jù)采集Web日志安全分析工具利用操作系統(tǒng)自有的通信服務(wù)，完成日志數(shù)據(jù)的收集。以體現(xiàn)系統(tǒng)兼容性方面的優(yōu)勢(shì)。SSH采集方式：專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。Samba采集方式：SMB協(xié)議通常是被Windows系列用來實(shí)現(xiàn)磁盤共享。Telnet采集方式：Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。為應(yīng)對(duì)網(wǎng)絡(luò)的局限環(huán)境，運(yùn)用更為高效的離線上傳技術(shù)傳統(tǒng)上傳文件的表單已不能滿足現(xiàn)有功能的需求，主要體現(xiàn)在：1、不支持多個(gè)文件的上傳，2、無法顯示上傳進(jìn)度，３、Flash上傳控件在傳輸性能上目前已沒有優(yōu)勢(shì)可言。使用ＨＴＭＬ５技術(shù)不僅解決多文件、上傳進(jìn)度方面的問題，更為重要的是在多文件并發(fā)上傳時(shí)，文件傳輸速度比傳統(tǒng)上傳方式提高達(dá)60%。Web日志安全分析設(shè)備特點(diǎn)—智能的行為識(shí)別由外向內(nèi)測(cè)試由內(nèi)向外測(cè)試模擬攻擊測(cè)試真實(shí)攻擊測(cè)試使用一些操作系統(tǒng)內(nèi)部網(wǎng)絡(luò)命令，例如Netstat，以及Nikto、X-scan、Nmap、AcunetixWVSFreeEdition等工具來進(jìn)行完成檢測(cè)任務(wù)。使用評(píng)估工具N-stealth、X-Scan和WebInject等工具來進(jìn)行檢測(cè)。檢測(cè)Web站點(diǎn)防范來自互聯(lián)網(wǎng)遠(yuǎn)程攻擊的能力檢驗(yàn)Web站點(diǎn)對(duì)來自內(nèi)部的攻擊防范能力

檢驗(yàn)特定風(fēng)險(xiǎn)的模擬評(píng)估檢驗(yàn)真實(shí)安防設(shè)備的風(fēng)險(xiǎn)防御能力傳統(tǒng)已知的安全評(píng)估方式，不能夠完全規(guī)避潛在風(fēng)險(xiǎn)和新的攻擊挑戰(zhàn)常規(guī)網(wǎng)站風(fēng)險(xiǎn)評(píng)估手段基于日志行為分析，可以實(shí)現(xiàn)豐富的擴(kuò)展功能。例如回放指定IP發(fā)起的攻擊，攻擊失敗或成功的歷史，便于系統(tǒng)安全分析員進(jìn)行追蹤及預(yù)測(cè)。

Web日志安全分析設(shè)備—應(yīng)用模型詳細(xì)的攻擊展示，直觀的攻擊回放Web日志生成來源Web日志安全分析模型系統(tǒng)演示CONTENTS02產(chǎn)品介紹Product目錄01產(chǎn)品背景Background03典型應(yīng)用ApplicationsWeb日志安全分析設(shè)備—市場(chǎng)應(yīng)用專注于Web服務(wù)器安全的檢測(cè)分析類安全產(chǎn)品

安全評(píng)估多角度評(píng)估信息安防設(shè)備潛在的防御盲點(diǎn)互聯(lián)網(wǎng)能夠全面的對(duì)多站點(diǎn)統(tǒng)一監(jiān)測(cè)，結(jié)合評(píng)估風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)不改變?cè)袠I(yè)務(wù)網(wǎng)絡(luò)，從側(cè)面分析業(yè)務(wù)系統(tǒng)潛在風(fēng)險(xiǎn)信息安全人員協(xié)助信息安全人員分析網(wǎng)站的潛在風(fēng)險(xiǎn)金融領(lǐng)域潛在分析用戶操作行為，提前發(fā)現(xiàn)隱蔽的攻擊行為Web日志安全分析設(shè)備—應(yīng)用案例在多重安全防御的網(wǎng)絡(luò)中，從WebSphere訪問日志中提取某月的數(shù)據(jù)進(jìn)行分析：某銀行網(wǎng)絡(luò)環(huán)境示意圖攻擊場(chǎng)景：XSS跨站點(diǎn)腳本攻擊2--[08/Aug/2012:23:18:43+0800]"GET/portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=\"/>'\"/><%00script>alert(1138945)</script>HTTP/1.1"200服務(wù)器響應(yīng)結(jié)果：返回正常界面連續(xù)請(qǐng)求：拋出數(shù)據(jù)庫異常連續(xù)請(qǐng)求：拋出JSP標(biāo)簽異常從分析結(jié)果中提取攻擊成功的入侵行為，對(duì)其進(jìn)行驗(yàn)證。網(wǎng)銀信用卡電子支付其它綠盟防火墻東軟IDS攻擊者Web日志安全分析設(shè)備—產(chǎn)品形態(tài)運(yùn)維型設(shè)備實(shí)物圖設(shè)備后面板設(shè)備前面板Web日志安全分析設(shè)備—硬件配置外觀尺寸430mmx300mm顏色藍(lán)灰色工作條件溫控0℃~70℃電源輸入AC220V/50HzATX主機(jī)參數(shù)EW-1790HGA工控機(jī)主要參數(shù)CPU：CPUINTELI72600(k)網(wǎng)絡(luò)：2個(gè)標(biāo)準(zhǔn)10/100/1000Base-T(RJ45)自適應(yīng)以太網(wǎng)接口I/O接口：usb2.01個(gè)RS232串口：2個(gè)內(nèi)存：DDR313338GB視頻：IntelGMAX4500顯示核心硬盤：ST3500410AS500GB7200rpm16McacheDOM2G/CF特殊功能“看門狗”：系統(tǒng)死機(jī)時(shí)可自動(dòng)啟動(dòng)低電壓適應(yīng)：130V低電壓?jiǎn)?dòng)并穩(wěn)定運(yùn)行靜電防護(hù)：硬件電路設(shè)計(jì)防護(hù)2000V以上雷擊和靜電沖擊Web日志安全分析設(shè)備—分析性能日志名稱

日志大小F2010筆記本

1790HGA工控機(jī)短信點(diǎn)歌15.7M1分鐘4分20秒群呼群聊1.33M1分鐘7分19秒語音雜志56.4M4分鐘4分18秒彩信超市404M1分30秒1分16秒企業(yè)郵箱834M11分鐘9分25秒校訊通1.85G27分鐘15分3秒移動(dòng)2G日志2.16G25分鐘13分52秒Web日志安全分析設(shè)備—典型部署運(yùn)維型日志分析設(shè)備1、Web日志安全分析設(shè)備不對(duì)原有網(wǎng)絡(luò)拓?fù)溥M(jìn)行改動(dòng)，將設(shè)備部署在管理網(wǎng)絡(luò)中，通過http協(xié)議訪問設(shè)備管理連接地址，運(yùn)