明御®Web业务安全审计系统

明御web业务安全审计系统是一台软硬一体化设备,使用网络报文协议分析技术,将用户和WEB服务器的交互报文都捕获,然后对这些报文进行具体分析,从而了解客户的访问行为,也了解后台WEB服务器,应用服务器,数据库服务器的一些情况,形成不同纬度的分析报表。
返回列表
1.WEB风险分析
进入2016年,大数据时代越来越多的影响着机构的内部IT运维和风险控制,作为WEB业务系统自然成为了机构信息安全最重要的关注部分。 在很多部署了防火墙、WEB应用防火墙的机构仍出现一些业务层面的安全问题。

  

• 2012年5月,某航空订票网站遭受了商业爬虫攻击,防护类设备无能为力,只能依赖于人力分析并封堵。

  

• 2012年6月,职业社交网站LinkedIn被曝其iOS应用程序会在用户不知情的情况下收集信息并上传数据到公司的服务器,该事件导致该网站的650万用户账户密码被泄露。

  

• 2013年4月,某汽车摇号网站被恶意抢注靓号。

  

• 2014年5月,某工商信用公示系统被黑客恶意抓取企业登记信息。

2.工作原理与部署架构
2.1.旁路镜像部署模式

明御web业务安全审计系统(以下简称WAS)是一台软硬一体化设备,使用网络报文协议分析技术,将用户和WEB服务器的交互报文都捕获,然后对这些报文进行具体分析,从而了解客户的访问行为,也了解后台WEB服务器,应用服务器,数据库服务器的一些情况,形成不同纬度的分析报表。




旁路镜像部署模式


2.2.Agent部署模式

随着云计算的普及,越来越多的用户选择在云网络中部署应用,但在云网络中很难实现流量镜像,因此WAS推出了Agent部署方式,通过在WEB服务器上部署Agent,将流量发送给WAS进行分析,所展示的功能和报表同旁路镜像部署模式一样,Agent部署方式也可以对远端流量进行分析。


 Agent部署模式

2.3.分布式部署模式

在许多情况下,用户的WEB服务器分布并不集中,很有可能部署在2个或更多个不同的区域(机房或物理交换机),因此单台WAS很有可能无法接收到所有的镜像流量。在WEB服务器数量较多的数据中心环境下,用户可以采用分布式部署的解决方案,如下图所示:


分布式部署模式


在不同的物理区域分别部署WAS并配置为探测器,接收所审计的数据库的访问流量;同时部署一台WAS并配置为管理中心,管理员登录到管理中心对网络中的所有探测器进行配置。
 

3.特色与优势
3.1.web访问行为记录与还原

明御web业务安全审计系统可以完整记录web业务系统的访问过程,其通过对HTTP协议的解析还原,可以真实还原出请求动作和返回页面。


图一:请求头、请求参数等还原



图二:登陆超时的返回页面还原


图二:登陆超时的返回页面还原


3.2.自动翻译功能

WAS可将专业的URL地址转换成通俗易懂的文字,大提升了分析的易读性与效率。

3.3.用户名分析

大部分安全设备追溯还原时只能识别到客户端地址,对于操作的用户名无法定位,WAS通过用户名识别引擎将SessionID与用户名参数进行关联识别出应用用户名,从而大提升追溯的准确性,并且可以对用户名进行分析统计,在IP的维度上提供更深入的用户分析报表。



3.4.网站关键指标分析

可提供web业务系统的关键业务指标(KPI)的分析能力,包括并发会话数、在线用户数、访问流量、页面加载时间、错误页面数等指标。并提供客户自定义KPI指标的功能,然后根据今日指标和KPI指标进行比对,分析出指标的差异。如下表:



针对每个关键KPI指标可以形成对比趋势曲线图,如下:



如图可以看出,通过对今日、上周同时段、历史最高值、KPI指标四个关键值进行比较分析,可以看出今日会话数的水平状况。

在线用户数、并发连接数、总流量、平均页面加载时间、错误页面数等都可以形成类似的趋势分析图表。

3.5.敏感信息保护能力


(1)、识别信息未模糊化:通过分析web访问流量,识别web服务器输出的身份证号码、手机号码、姓名等信息未通过模糊处理;
(2)、识别拖库行为:服务器输出大量身份证号码、手机号码、用户名、邮箱地址、密码等信息;
(3)、识别服务器、源代码错误信息:服务器目录遍历信息、错误信息,源代码泄露。




3.6.应用层安全攻击分析能力

明御web业务安全审计系统的核心功能是为WEB应用筑起一道多层次的安全攻击审计分析系统。


其中:

第一层:针对常见WEB攻击告警层:使用双引擎技术,不仅能够识别已有攻击行为,同时,也能对未知攻击、ODAY攻击进行分析告警。

第二层:复杂攻击识别/应用层DOS识别层,技术领先的关联和异常统计分析引擎能够在复杂攻击和应用层DOS攻击出现时有效而精确地将其检测出来。

防御常见WEB应用攻击行为:明御web业务安全审计系统可保护自定义的 Web 应用程序代码,防止受到跨站脚本、SQL注入、恶意文件包含等各种WEB应用层攻击告警。智能自学习创建的安全模型除了包含传统的网络五元组以外,还有URL、参数、方法、返回码等等,当用户与应用进行交互时,DAS-Monitor会自动根据预设置的访问控制策略进行第一道防护、继而通过对用户活动的实时监控,进行特征检测及异常检测。任何尝试的攻击都会被检测到并实时告警。

明御Web业务安全审计系统可自动、准确地针对以下常见的WEB应用层攻击技术及其变种进行告警:



复杂攻击验证:

明御web业务安全审计系统提供两种安全模型:正向-白名单和反向-黑名单模型。首先对于明显的违规行为,通过这两种模型进行即时告警,其次,对于不明显的攻击行为,进行特征检测与异常检测,同时使用独特的关联攻击验证技术,对复杂攻击进行特征与异常关联,将各个安全层面的多个违规行为关联在一起,以鉴别该活动是攻击,还是合法用户活动中的正常变化。

3.7.攻击链分析

WAS可以关联IP或session将整个攻击过程可视化,协助攻击追溯与还原。



3.8.强大的报表分析能力

明御web业务安全审计系统提供了比较完善的报表系统,这些报表基本涵盖了通用网站分析的信息,而且明御web业务安全审计系统本身是建立在数据库上的,可以保存长时间的历史用户交互数据,查看报表前,用户只需要简单选择日期期间就可以获得想统计的时间段报表,报表可以很简单的保存为PDF,Excel等格式。

3.9.零风险的部署模式

用户往往担心部署了审计平台的情况下对现有业务和数据库造成的潜在影响。WAS采用旁路镜像、分光、分流等方式进行部署,可在不改变现有的网络体系结构的情况下快速上线,即使在所有可用性保障均失效的情况下,设备出现宕机也不会影响业务系统和数据库的运行,避免了串联入网或客户端方式监测对数据库系统造成的干扰和性能损耗。

3.10.业务流程分析

WAS对关键业务流程进行学习建模,对用户的访问数据进行多次采样,生成业务逻辑基线,如图为某订票网站订票业务逻辑视图,图中标红的业务可能存在安全问题,通过制定业务流程规则对违反流程的访问进行告警。



4.典型案例

相关案例

CASES

杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |