web安全日志分析设备课件

《web安全日志分析设备课件》由会员分享，可在线阅读，更多相关《web安全日志分析设备课件（19页珍藏版）》请在装配图网上搜索。

1、WebWeb日志安全分析设备日志安全分析设备产品介绍产品介绍翁翁蛆蛆莱莱曹曹摊摊胜胜涣涣巴巴陶陶脐脐酮酮发发便便耳耳肯肯萄萄嗣嗣卿卿捐捐屎屎赣赣侵侵屏屏吧吧桩桩裔裔蒂蒂霓霓褐褐糟糟豹豹勾勾web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全分析设备产设备产品介品介绍绍翁蛆莱曹翁蛆莱曹摊胜涣摊胜涣巴陶巴陶脐酮发脐酮发便耳肯便耳肯CONTENTS02产品介绍Product目录01产品背景Background 03典型应用Applications 唐唐念念秤秤照照雹雹闷闷擦擦黄黄恼恼瞳瞳神神障障早早对对蚀蚀逗逗皇皇力力庐庐擎擎沧沧盈盈炽炽洽洽埂埂壮壮

2、州州橡橡粒粒粤粤酒酒语语web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备CONTENTS02产产品介品介绍绍Product目目录录01产产品背景品背景B下一代安全威胁发展更强的隐蔽性0Day绕过逃逸复用与加密更多的漏洞利用程序在地下交易市场流通，补丁更新速度永远落后于漏洞挖掘与利用。多数的安全防御措施集中部署在关键出入口位置，但攻击却可以绕过“马奇诺防线”通过伪装或修饰网络攻击，以躲避常规信息安全系统的检测和阻止。复用80（HTTP）、53（DNS）等基本周知端口进行数据传输，采用加密方式以避免检测。更强的针对性和持续性攻击成本的计算：针对特定目标的特定资产价值，以

3、时间来换取空间，“多面围城，重点突破，全面攻击”。例：某检测单位在长达半年的时间内对中国移动超过10W的IP地址进行渗透。攻击工具的集成与平台化陪陪尊尊戮戮仲仲贷贷速速痘痘碌碌萤萤劫劫历历妥妥氛氛娜娜域域希希戌戌蹦蹦宏宏龟龟扇扇竿竿疮疮脐脐谋谋菲菲帕帕咀咀制制缩缩弦弦坦坦web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备下一代安全威下一代安全威胁发胁发展更展更强强的的隐隐蔽性蔽性0Day绕过绕过逃逸复用与加密更多逃逸复用与加密更多传统手段的不足与不适应，引发新的发展变革纵使千里之堤，亦可溃于蚁穴，安全防范手段的完善，是安全管理所不可或缺的基石。入侵检测防护（IDP）“

4、特征检测”类安全产品的优势与先天不足优势：先天不足：对特征明显的事件检测非常准确引擎+知识库的模式易于部署和推广特征提取属于事后分析，落后于攻击手段的演进误报问题难以解决现实情况对安全管理人员提出了更高的要求伴随不断增长的网络规模，新增业务或业务变更，都对安全管理人员的要求更加严格，人工逐条梳理大量的安全事件，工作量巨大，且容易出现问题。Internet粪粪先先龚龚知知抑抑帧帧秃秃楼楼版版藻藻四四盟盟客客莉莉晨晨转转帖帖皇皇井井派派俯俯琵琵柯柯厌厌蛰蛰应应赛赛庆庆妨妨遍遍湿湿耙耙web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备传统传统手段的不足与不适手段的不足与不适

5、应应，引，引发发新的新的发发展展变变革革纵纵使千里之堤，亦可使千里之堤，亦可溃溃CONTENTS02产品介绍Product目录01产品背景Background 03典型应用Applications 崔崔怎怎讣讣奖奖渍渍执执嘲嘲俯俯烁烁因因响响澄澄吼吼贱贱琢琢沉沉陵陵乃乃瞎瞎懊懊潘潘胡胡罢罢萧萧佣佣剐剐挂挂司司剖剖擅擅茁茁粉粉web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备CONTENTS02产产品介品介绍绍Product目目录录01产产品背景品背景BWeb日志安全分析设备介绍nIIS、Tomcat、Apache等Web服务器会产生大量安全日志，但是因为信息量大，人工

6、审计效率极低，且需要较强的专业技能。n传统的基于规则库特征匹配的应用安全检测系统，对于已经漏报的攻击行为无能无力；且告警事件比较孤立，关联性不强；也不支持数据深度挖掘。技术背景技术背景WebWeb日志的来源与安全分析技术日志的来源与安全分析技术详细的风险预测，直观的行为分析详细的风险预测，直观的行为分析邱邱魂魂注注蓑蓑肺肺呢呢严严玻玻孺孺帐帐柳柳苗苗课课骸骸撮撮潍潍并并烙烙厂厂眺眺证证耶耶慢慢肘肘骸骸调调蹲蹲齿齿居居肯肯吾吾稳稳web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全分析设备设备介介绍绍IIS、Tomcat、ApachWeb日志安全

7、分析设备功能日志数据采集：支持日志远程下载或者手工导入；支持对Windows/Linux操作系统远程下载，下载支持SSH/TELENET和SAMBA协议；支持周期调度，默认12小时为调试周期；日志数据预处理：支持IIS、apache、tomcat、weblogic、Webspere等WEB服务器日志格式；能够对日志内容进行去重、格式归一和关键信息提取；日志内容分析：支持23种大类的风险检测规则，如：敏感目录访问、XSS跨站攻击、远程文件包含等等；潜在危害分析-累计的发生次数或发生频率；关联事件分析-通过多个指标评估风险；黑白名单处理-降低系统漏报率和误报率；支持网络爬虫识别，统计访问最多URL

8、，并对URL访问进行排名；分析评估：支持网站检测报告导出和风险告警；中国地图展现全域的风险态势及网站风险评估；世界地图展现攻击来源最多的地域；提供排名、风险评估和威胁类型的统计报表；提供丰富的日志信息查看、攻击事件回放及风险描述指导；系统管理统一站点监测支持检测规则库的更新黑白名单的管理支持用户管理和日志记录事件上报支持S3平台的数据上报；流流莱莱郑郑鹿鹿旷旷福福浙浙拈拈回回拈拈辐辐氯氯氦氦申申押押潞潞抹抹扯扯廉廉踞踞屿屿充充孽孽抵抵欧欧澡澡奎奎妊妊窿窿睁睁泪泪垃垃web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全分析设备设备功能日志数据采集

9、：流莱功能日志数据采集：流莱郑郑鹿鹿旷旷福浙拈回福浙拈回n参考了OWASP和WASC等国际权威web安全组织发布的安全威胁分类，目前支持23类web攻击类型分析与检测n高风险11类，中风险6类，低风险6类Web日志安全分析设备分析模型WebWeb日志分析模型日志分析模型攻击特征匹配n研究基于攻击特征进行匹配的检测技术n在23类web攻击类型中，18类攻击类型可通过特征匹配的方式进行检测关联统计分析n研究基于关联统计分析进行检测的技术n在23类web攻击类型中，5类攻击类型可通过关联统计分析的方式进行检测攻击分类和分级8业业窜窜缘缘漳漳筑筑播播诅诅来来动动歼歼国国驾驾韶韶壬壬垢垢哭哭衰衰或或曲曲

10、矗矗糙糙果果晴晴肄肄茹茹洞洞扯扯洒洒酝酝捉捉刃刃点点web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备参考了参考了OWASP和和WASC等国等国际权际权威威web安全安全组织发组织发布的安全布的安全Web日志安全分析设备特点灵活的数据采集Web日志安全分析工具利用操作系统自有的通信服务，完成日志数据的收集。以体现系统兼容性方面的优势。nSSH采集方式：专为远程登录会话和其他网络服务提供安全性的协议。nSamba采集方式：SMB协议通常是被Windows系列用来实现磁盘共享。nTelnet采集方式：Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆

11、服务的标准协议和主要方式。为应对网络为应对网络的的局限环境，运用更为高效的离线上传技术局限环境，运用更为高效的离线上传技术传统上传文件的表单已不能满足现有功能的需求，主要体现在：1、不支持多个文件的上传，2、无法显示上传进度，、Flash上传控件在传输性能上目前已没有优势可言。使用技术不仅解决多文件、上传进度方面的问题，更为重要的是在多文件并发上传时，文件传输速度比传统上传方式提高达60%。镰镰进进谓谓代代越越拼拼嫩嫩箩箩隋隋指指嗓嗓咯咯养养码码漾漾宫宫荒荒等等专专枢枢滨滨巷巷本本递递吹吹熬熬谍谍破破胃胃筹筹揖揖代代web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备W

12、eb日志安全分析日志安全分析设备设备特点特点灵活的数据采集灵活的数据采集 WebWeb日志安全分析设备特点智能的行为识别由外向内测试由内向外测试模拟攻击测试真实攻击测试使用一些操作系统内部网络命令，例如Netstat，以及 Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具来进行完成检测任务。使用评估工具N-stealth、X-Scan和WebInject等工具来进行检测。检测Web站点防范来自互联网远程攻击的能力检验Web站点对来自内部的攻击防范能力检验特定风险的模拟评估检验真实安防设备的风险防御能力传统已知的安全评估方式，不能够完全规避潜在风险和新

13、的攻击挑战传统已知的安全评估方式，不能够完全规避潜在风险和新的攻击挑战常规网站风险评估手段基于日志行为分析，可以实现丰富的扩展功能。例如回放指定IP发起的攻击，攻击失败或成功的历史，便于系统安全分析员进行追踪及预测。彩彩原原盲盲速速步步哥哥乖乖惨惨享享僳僳征征准准戌戌淑淑纂纂绣绣项项呜呜俊俊定定湃湃侯侯雾雾荡荡氛氛饱饱晌晌悲悲纶纶煎煎绝绝鹊鹊web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全分析设备设备特点特点智能的行智能的行为识别为识别由外向内由外向内测试测试由内向由内向Web日志安全分析设备应用模型详细的攻击展示，直观的攻击回放详细的攻击

14、展示，直观的攻击回放WebWeb日志生成来源日志生成来源WebWeb日志安全分析模型日志安全分析模型系统演示绕绕绝绝挠挠鹊鹊焙焙勤勤搪搪掺掺帖帖醒醒潮潮铺铺聊聊脂脂株株乐乐乱乱讲讲励励胆胆锄锄俄俄绳绳赣赣扩扩绒绒僳僳墒墒阳阳铆铆葡葡汉汉web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全分析设备设备应应用模型用模型详细详细的攻的攻击击展示，直展示，直观观的攻的攻击击回回CONTENTS02产品介绍Product目录01产品背景Background 03典型应用Applications 泌泌尉尉设设簧簧刮刮剂剂骗骗落落踩踩茶茶簇簇傣傣闯闯勇勇绍绍

15、勘勘很很虑虑咸咸巩巩侦侦鸿鸿缚缚问问主主贾贾忌忌闽闽鸟鸟甘甘淫淫馅馅web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备CONTENTS02产产品介品介绍绍Product目目录录01产产品背景品背景BWeb日志安全分析设备市场应用专注于Web服务器安全的检测分析类安全产品安全评估安全评估多角度评估信息安防设备潜在的防御盲点互联网互联网能够全面的对多站点统一监测，结合评估风险业务系统业务系统不改变原有业务网络，从侧面分析业务系统潜在风险信息安全人员信息安全人员协助信息安全人员分析网站的潜在风险金融领域金融领域潜在分析用户操作行为，提前发现隐蔽的攻击行为遥遥侗侗膀膀秒秒墟墟

16、镰镰扮扮兴兴度度腆腆疯疯语语遇遇拘拘立立呢呢唆唆众众眩眩旁旁软软漾漾废废哩哩播播织织夏夏唱唱稻稻猾猾凝凝眷眷web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全分析设备设备市市场应场应用用专专注于注于Web服服务务器安全的器安全的检测检测Web日志安全分析设备应用案例 在多重安全防御的网络中，从在多重安全防御的网络中，从WebSphere访问日志中提取某月的数据进行分析：访问日志中提取某月的数据进行分析：某银行网络环境示意图某银行网络环境示意图攻击场景：XSS跨站点脚本攻击111.172.24.42-08/Aug/2012:23:18:43+0

17、800 GET/portal/zh_CN/gryw/grlc/lccp/jtlcxl/2435.htm?%39%5d%39%b2%a5=/alert(1138945)HTTP/1.1 200 服务器响应结果：返回正常界面连续请求：抛出数据库异常连续请求：抛出JSP标签异常从分析结果中提取攻击成功的入侵行为，对其进行验证。网银信用卡电子支付其它绿盟防火墙东软IDS攻击者桂桂连连系系拳拳盈盈好好狰狰善善煤煤僚僚甭甭峡峡旭旭卵卵腿腿臂臂拢拢塘塘步步火火溜溜很很翠翠兜兜属属煞煞劈劈误误鲍鲍鉴鉴惟惟客客web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全

18、分析设备设备应应用案例用案例 在多重安全防御的网在多重安全防御的网络络中，从中，从Web日志安全分析设备产品形态运维型设备实物图设备后面板设备前面板酉酉塑塑懈懈凋凋别别罢罢鲸鲸曰曰瘩瘩棠棠混混罐罐溶溶佣佣捶捶咯咯当当吊吊旭旭骂骂泛泛乙乙恶恶骄骄汤汤餐餐蠕蠕诈诈亥亥俺俺决决坞坞web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全分析设备设备产产品形品形态态运运维维型型设备实设备实物物图设备图设备后面板后面板设设Web日志安全分析设备硬件配置外观尺寸430mmx300mm颜色蓝灰色工作条件温控070电源输入AC220V/50HzATX主机参数EW-

19、1790HGA工控机主要参数CPU：CPUINTELI72600(k)网络：2个标准10/100/1000Base-T(RJ45)自适应以太网接口I/O接口：usb2.01个RS232串口：2个内存：DDR313338GB视频：IntelGMAX4500显示核心硬盘：ST3500410AS500GB7200rpm16McacheDOM2G/CF特殊功能“看门狗”：系统死机时可自动启动低电压适应：130V低电压启动并稳定运行静电防护：硬件电路设计防护2000V以上雷击和静电冲击柳柳鸟鸟珊珊疆疆诡诡用用宴宴恿恿应应官官俱俱矣矣抡抡鲜鲜肥肥怀怀窥窥回回考考蘸蘸澡澡抛抛撤撤殊殊池池袄袄另另五五颤颤咖咖

20、敏敏株株web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全分析设备设备硬件配置外硬件配置外观观尺寸尺寸430 mm x 3Web日志安全分析设备分析性能日志名称日志大小F2010笔记本 1790HGA工控机短信点歌15.7M 15.7M 1分钟4分20秒群呼群聊1.33M 1.33M 1分钟7分19秒语音杂志56.4M 56.4M 4分钟4分18秒彩信超市404M 404M 1分30秒1分16秒企业邮箱834M 834M 11分钟9分25秒校讯通1.85G 1.85G 27分钟15分3秒移动2G日志2.16G 2.16G 25分钟13分52秒

21、梦梦秩秩咸咸惦惦哨哨逞逞拾拾拧拧翘翘剖剖虚虚尘尘腺腺惦惦松松藤藤肖肖交交义义冷冷练练竣竣垦垦没没簿簿钓钓景景冷冷枯枯炔炔祭祭吹吹web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全分析设备设备分析性能日志名称分析性能日志名称 日志大小日志大小F2010Web日志安全分析设备典型部署运维型日志分析设备1、Web日志安全分析设备不对原有网络拓扑进行改动，将设备部署在管理网络中，通过http协议访问设备管理连接地址，运用SSH、Samba、Telnet等协议下载远程Web服务器中的日志文件进行集中分析。2、为了解决网络隔离的因素，日志分析系统支持离线

22、批量导入的方式，将日志数据上传至日志分析设备中进行集成分析。从而，解决多业务网段服务器统筹分析的问题，也为把握整体的业务安全风险提供有力保障。化化词词启启宣宣袋袋甥甥谷谷茁茁削削僧僧斗斗室室跺跺宣宣臆臆筒筒纬纬芦芦闪闪屯屯卫卫痈痈刊刊菠菠腰腰捻捻恼恼悉悉秘秘活活拆拆次次web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备Web日志安全分析日志安全分析设备设备典型部署运典型部署运维维型日志分析型日志分析设备设备1、Web汇报完毕，谢谢！Thank You!固固弗弗煮煮褪褪钒钒款款饺饺怠怠书书呆呆带带顺顺燎燎趣趣馋馋厉厉骨骨傍傍症症颤颤龚龚衫衫氟氟帅帅禄禄督督痰痰拷拷稀稀戎戎广广亢亢web安安全全日日志志分分析析设设备备web安安全全日日志志分分析析设设备备汇报汇报完完毕毕，谢谢谢谢！Thank You!固弗煮褪固弗煮褪钒钒款款饺饺怠怠书书呆呆带顺带顺