Web日志安全審計系統

隨著Web應用程序承載了越來越多的業務,致使75%以上的攻擊都瞄準了網站(Web)。這些攻擊既可導致機構遭受聲譽和經濟損失,也可造成惡劣的社會影響。管理者們正在采取措施確保網站安全,但他們面對以下挑戰:傳統安全設備(防火墻、IDS)在阻止Web應用攻擊時,誤報漏報率過高;有限的安全管理人員,在海量日志數據中難以發現真正的安全隱患;很多擁有重要網站的機構,面臨監管部門的"合規檢查"壓力。最終,管理者面對一個無法繞過的問題:采取了眾多的安全防護手段,也不能保證Web服務器的100%安全。

基于以上現實,安鼎推出專業的Web日志安全審計系統,全面審計服務器安全狀態。

產品概述

系統采用多種方式,采集Web服務器訪問日志進行安全性分析。支持多種日志格式,從海量日志中識別和提取各種安全事件,并進行關聯挖掘,對分析結果進行匯總和報表展示。內置日志分析管理平臺提供分析任務調度、安全事件回放、服務器安全態勢感知、安全事件自定義等多種功能。系統可為第三方系統提供接口,將分析結果按格式要求采用加密傳輸的方式進行上報,可靈活部署于網絡中而不改變現有網絡部署。

體系架構

系統整體采用B/S架構,并采用MVC模式將存儲、邏輯與展示相區分。為保證數據傳輸的安全,基礎支撐層提供加密傳輸需要的SSL /TLS、Socket。

由于面對的是海量日志文本數據,系統采用MongoDB數據庫作為存儲容器。分析處理層內置規則庫和處理引擎,將采集的日志、安全規則等以JSON形式存儲入MongoDB。

自主開發的輕量級Web服務器用于接收從應用展現層傳遞的GET/POST請求,并從MongoDB獲取數據,采取JSON作為數據交換格式。

應用部署

系統不對原有網絡拓撲進行改動,提供精細管理方案和基于對象的策略管理,通過SSH、Samba、Syslog、Ftp等協議進行日志文件的上傳下載。日志分析系統服務器部署在機房與交換機鏈接,采用SSH方式登陸至Web服務器,將日志文件批量下載至日志分析系統服務器進行集中分析。

功能特點

日志文件采集

通過設置遠程服務器采集相關參數,或者利用手工導入的離線模式,將Apache、IIS、Tomcat等Web服務器日志進行收集,依據定義的日志預處理規則對日志文件進行整理。

日志預處理

預處理日志文件格式及字符編碼,通過數據預處理規則對日志文件進行格式轉換,提取有用的日志記錄,形成統一格式數據內容提供給日志分析引擎。

日志分析

以攻擊特征庫為基礎,以多級特征匹配算法為核心的分析引擎,對日志數據內容進行深層次挖掘和分析。

事件告警

通過設置安全評估閥值提醒, 以頁面標題閃爍、圖標標識和聲音提醒等方式,及時反饋Web服務器的安全狀態。

統計報表

通過動態豐富的趨勢分析報表,可及時了解網站服務器的安全性、脆弱性以及服務響應質量等各項指標。并具備按日、周、半月、月的周期進行量化分析。

報告導出

用戶可自定義報告的數據內容,生成詳細的分析報告,支持以PDF文件格式的導出。

產品特色

科學的風險評估

系統采用站點綜合風險指數(SCRI)來評估站點安全態勢。此算法的核心是對網站的風險建立數據模型,將風險加以量化,從而,計算整個地域的安全態勢。

智能的行為識別

通過對常見攻擊的分析,系統預定義多種網絡攻擊行為?;諶罩拘形治?,可以實現豐富的擴展功能。例如回放指定IP發起的攻擊,攻擊失敗或成功的歷史,便于系統安全分析員進行追蹤及預測。

高效的安全應用

為增強數據吞吐效率和加強自身安全,系統使用基于LibEvent定制化的輕量級Web服務器,回避了掃描工具對Web服務器的fingerprint攻擊威脅,增加了Web服務器自身的安全性。請求數據封裝成JSON,充分利用客戶端硬件資源和Ajax、Javascript來實現動態網頁效果,降低服務器處理壓力。

及時的規則更新

安鼎擁有專門的安全研究機構,能夠及時跟蹤、發現互聯網上新出現的Web應用攻擊類型,并將研究成果轉化,應用于攻擊規則庫和分析算法的更新,幫助客戶應對最新的安全風險。