安恒玄武盾技術(shù)白皮書(shū)網(wǎng)絡(luò)行為審計(jì)資料

1、1 .安全背景隨著越來(lái)越多的用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至云平臺(tái)中，而目前眾多云平臺(tái)企業(yè)關(guān)注的更多是基礎(chǔ)實(shí)施的完善和業(yè)務(wù)的開(kāi)展，對(duì)于安全層面的關(guān)注較少，對(duì)于云端安全形勢(shì)非常嚴(yán)峻，而目前基本都采用傳統(tǒng)的硬件 WAFFB署,一方面部署比較廢時(shí)廢力，而且用戶需要重復(fù)投資安全設(shè)備，另一方面用戶需要自己管理和運(yùn)營(yíng)安全產(chǎn)品，對(duì)于缺乏安全專(zhuān)業(yè)知識(shí)的用戶帶來(lái)困擾。從傳統(tǒng)的安全市場(chǎng)總體規(guī)模分析，目前的安全市場(chǎng)只是冰山一角，在互聯(lián)網(wǎng)、大數(shù)據(jù)、 云計(jì)算的大趨勢(shì)下，我們會(huì)接觸到很多新的領(lǐng)域，相信我們的玄武盾能給安全市場(chǎng)帶來(lái)新的開(kāi)始。2 .產(chǎn)品介紹2.1 工作原理玄武盾基于大數(shù)據(jù)和云防護(hù)平臺(tái)，采用零部署的云計(jì)算解決方案，用

2、戶無(wú)需在本地部署任何安全設(shè)備，只需將DNS央射至玄武盾CNAMEU名地址或NS方式, 即可完成WE鼠全防護(hù)、DDOSJ護(hù)。2.2 產(chǎn)品功能2.2.1 網(wǎng)站防護(hù)玄武盾提供了目前業(yè)界覆蓋范圍最廣、 防護(hù)能力最強(qiáng)的安全防護(hù)，對(duì)We網(wǎng) 站或應(yīng)用進(jìn)行嚴(yán)格的保護(hù)。安全策略來(lái)自于 Snort、CWEOWASP織，以及安恒 安全研究院對(duì)國(guó)內(nèi)典型應(yīng)用的深入研究成果，覆蓋范圍如下：HTTPft、議規(guī)范性檢查檢查提交的報(bào)文是否符合 HTTP協(xié)議框架，如異常的請(qǐng)求方法、不同 字段的合規(guī)性、特殊字符、重點(diǎn)字段的缺失、HTT叨法控制、超長(zhǎng)報(bào)文造成的溢出攻擊以及對(duì)高危文件的訪問(wèn)等，黑客在使用非瀏覽器工具調(diào)試時(shí)可迅速攔截。文

3、件B超對(duì)用戶上傳的文件后綴名和文件內(nèi)容進(jìn)行全方面檢查，杜絕 Webshell的上傳和訪問(wèn)。注入攻擊防護(hù)對(duì)用戶提交的URL參數(shù)、Cookie等字段進(jìn)行檢查，采用SQL語(yǔ)義解 析技術(shù)防止風(fēng)險(xiǎn)系數(shù)極高的SQL注入攻擊，采用字符偏移技術(shù)對(duì)代碼、命令、文件、LDAP、 SSI 等注入攻擊的檢測(cè)，有效地防護(hù)了對(duì)操作系統(tǒng)和應(yīng)用的注入攻擊。 跨站腳本攻擊防護(hù) 采用字符差分技術(shù)對(duì)用戶提交的腳本進(jìn)行檢查，防止不合法跨站腳 本。 網(wǎng)頁(yè)木馬防護(hù) 對(duì)頁(yè)面內(nèi)容進(jìn)行逐行掃描，檢查是否存在網(wǎng)頁(yè)木馬，防止客戶端被感 染。 信息泄漏防護(hù) 對(duì)服務(wù)器響應(yīng)狀態(tài)碼、服務(wù)器錯(cuò)誤信息、數(shù)據(jù)庫(kù)錯(cuò)誤信息、源代碼信 息泄露進(jìn)行過(guò)濾，防止服務(wù)器信息

4、被黑客利用進(jìn)行有效攻擊。 掃描器防護(hù) 對(duì)常見(jiàn)的wvs、 appscan、 nessus 等掃描器指紋進(jìn)行有效識(shí)別進(jìn)行防護(hù)。第三方組件漏洞防護(hù)對(duì)WEEK務(wù)器容器、應(yīng)用中間件、CM繇統(tǒng)等漏洞進(jìn)行有效防護(hù)。 CSRF夸站請(qǐng)求偽造防護(hù)通過(guò)Referer算法和token算法有效對(duì)CSRFC擊進(jìn)行防護(hù)。防盜鏈通過(guò) Referer 和 Cookie 算法有效防止非法外鏈，和對(duì)用戶資源內(nèi)容 的盜鏈。2.2.2 內(nèi)容加速內(nèi)置 Webcache及 Webrar模塊，Webcache奠塊對(duì)靜態(tài)頁(yè)面進(jìn)行高速緩存， 提升WEEK務(wù)器連接可用性，Webrar模塊對(duì)頁(yè)面內(nèi)容進(jìn)行文件壓縮，提升服務(wù) 器帶寬使用率。2.2.3

5、防 DDOS、 CC 攻擊擁有專(zhuān)利級(jí)防 DDOS/CCT法，有效防護(hù)實(shí)現(xiàn)對(duì)Syn-flood、upd-flood、tcp-flood 、應(yīng)用層CC DDOSC擊，一方面解決了用戶網(wǎng)站被DDO數(shù)擊時(shí)的可 用性問(wèn)題，另一方面對(duì)玄武盾本身也加強(qiáng)了防護(hù)，這樣可持續(xù)保證用戶的網(wǎng)站穩(wěn)定運(yùn)行。2.2.4 用戶獨(dú)立數(shù)據(jù)報(bào)表每個(gè)用戶擁有自身網(wǎng)站的數(shù)據(jù)和報(bào)表，用戶可查看訪問(wèn)流量報(bào)表、安全防護(hù) 報(bào)表，安全防護(hù)報(bào)表包含攻擊次數(shù)態(tài)勢(shì)分析、攻擊者區(qū)域態(tài)勢(shì)分析、攻擊者 IP 統(tǒng)計(jì)、被攻擊頁(yè)面統(tǒng)計(jì)、被攻擊域名統(tǒng)計(jì)、攻擊事件統(tǒng)計(jì)、攻擊威脅等級(jí)統(tǒng)計(jì)等。 2.3用戶接入流程用戶納入玄武盾防護(hù)的流程如下：1.1.1. 名登記用戶聯(lián)系

6、當(dāng)?shù)劁N(xiāo)售告知需要防護(hù)的域名信息，并提供環(huán)境調(diào)研表，安恒安全 工程師將域名進(jìn)行登記入庫(kù)；1.1.2. 配置防護(hù)安恒安全工程師將用戶域名添加至防護(hù)列表，添加域名、回源 IP、策略等信 息；1.1.3. DNS 映射安恒工程師配置完成后會(huì)通知用戶進(jìn)行接入，用戶可登陸到DNSt理系統(tǒng)，將網(wǎng)站域名解析指向到玄武盾的別名地址 ，下面以DNSPOD例: 1、 添力口 CNAM配錄：哲停 啟用 刪除主機(jī)記錄記錄類(lèi)型生雷奘型記錄制極型 m乂優(yōu)魁h m.at作門(mén) dbspnwaf cnWWWMX取消問(wèn)商提供的IP地址，選悻【美型AJ.要指向一個(gè)域名.國(guó)厚【美里CNAMEJCNAMECNAME定域宅的IPV4地址1

7、如：B-E-6,fl),如果幸將域名指向一印1a址,就重要添加由3錄. 將域名指向另f 場(chǎng)名.再由另T：器提供I口地址,就更要添加CNAMEiaM.2、停止用A記錄:WWWBtU1.1.4. 驗(yàn)證網(wǎng)站1、 驗(yàn)證網(wǎng)站是否能正常訪問(wèn)；2、 驗(yàn)證網(wǎng)站是否能被玄武盾正常防護(hù)。1.1.5. 索要帳號(hào)用戶向當(dāng)?shù)劁N(xiāo)售索要玄武盾帳號(hào)，可隨時(shí)查看被防護(hù)站點(diǎn)可查看訪問(wèn)流量報(bào) 表、安全防護(hù)報(bào)表，安全防護(hù)報(bào)表包含攻擊次數(shù)態(tài)勢(shì)分析、攻擊者區(qū)域態(tài)勢(shì)分析、 攻擊者IP統(tǒng)計(jì)、被攻擊頁(yè)面統(tǒng)計(jì)、被攻擊域名統(tǒng)計(jì)、攻擊事件統(tǒng)計(jì)、攻擊威脅 等級(jí)統(tǒng)計(jì)等報(bào)表；1.1.6. 可視化安全防護(hù)可實(shí)時(shí)查看可視化態(tài)勢(shì)感知，實(shí)時(shí)了解安全防護(hù)狀態(tài)加冠亞

8、蟠肝威兒阿站皿HIT訪同量/HHSe-JJt 攻擊量59m次勒瞰毗布*¥惻呵 * t tft , 的田再 5 q 亍m.g 弧 >li.>211el 的i 山5rximT.lg* T, *Z,31*3 口， fLIT*二HJ-31-h.弓聞LM1NM Sir 國(guó)*UJ! 91-l24MLi£4L 1'faLAISUMSfl'ffid 工 flfezBLI 端1t!ftHI九&L再.門(mén)口駕京1& Jl;»11%勘1刖M之中SWfttiW40 000廢青*L內(nèi)擊方式f WJKiXJt一多直aa名交體一,胃:臺(tái)臺(tái)文停一 .K曰

9、n名文布一 .,間I者文小夕中中中印中aoaaDQQOfflME身楂麗Ihr曲1捋卬師哥工<x州口»2D 0001DDQ訪問(wèn)演幽中三次觸23.5323-ft 真狎 COS OOK HJ確 Q011 DO U 0017 C02CneZldL®3 .玄武盾優(yōu)勢(shì)3.1. 企業(yè)級(jí)安全解決方案安恒具備多年企業(yè)級(jí)安全解決方案，玄武盾核心防護(hù)引擎來(lái)源于安恒 WEEK 用防火墻產(chǎn)品，高效穩(wěn)定，誤判率和漏報(bào)率業(yè)內(nèi)最低，產(chǎn)品成熟度高， 8年產(chǎn)品 研發(fā)歷程，歷經(jīng)數(shù)十萬(wàn)網(wǎng)站的考驗(yàn)。產(chǎn)品功能完善，可滿足不同行業(yè)用戶的安全需求；安全研究院定期輸送安全成果到玄武盾，增強(qiáng)防護(hù)能力；部署簡(jiǎn)便快捷，用戶

10、端無(wú)需部署任何安全設(shè)備即可完成云防護(hù)、 云加速； 用戶可對(duì)自身業(yè)務(wù)進(jìn)行自定義防護(hù)和例外策略，杜絕一套策略用于所有 網(wǎng)站，避免誤報(bào)和漏報(bào)；用戶使用成本低廉，可按需購(gòu)買(mǎi)。3.2. 風(fēng)暴中心整體解決方案風(fēng)暴中心以安恒信息長(zhǎng)達(dá)8年在信息安全領(lǐng)域的經(jīng)驗(yàn)積累為核心，借力成熟 的大數(shù)據(jù)及云計(jì)算技術(shù)構(gòu)建了基于大數(shù)據(jù)的安全搜索引擎，從而為實(shí)現(xiàn)全國(guó)基至 全球互聯(lián)網(wǎng)絡(luò)在線業(yè)務(wù)系統(tǒng)的安全基礎(chǔ)數(shù)據(jù)采集、 大范圍風(fēng)險(xiǎn)評(píng)估、威脅情報(bào)分 析、重大安全事件監(jiān)測(cè)等提供了有力的技術(shù)支撐和管理決策參考玄武盾依托于風(fēng)暴中心的實(shí)時(shí)監(jiān)測(cè)和大數(shù)據(jù)分析技術(shù)，云監(jiān)測(cè)模塊在發(fā)現(xiàn)問(wèn)題可快速與玄武盾進(jìn)行聯(lián)動(dòng)響應(yīng)，可將漏洞結(jié)果生成虛擬補(bǔ)丁方式下發(fā)到玄武

11、盾進(jìn)行防護(hù)，通過(guò)大數(shù)據(jù)分析技術(shù)對(duì)海量日志進(jìn)行分析挖掘，有效發(fā)現(xiàn)0day 攻擊，并同步到玄武盾生成防護(hù)策略。3.3. 特點(diǎn)3.3.1. DNS 聚焦DNSK務(wù)器支持多線路、多節(jié)點(diǎn)，可滿足用戶對(duì) DNS勺彈性需求，DNSM析 速度快，可完成快速切換，DNSK務(wù)器安全性高，可有效防護(hù)大流量 DNSt擊。3.3.2. 集群玄武盾中所有模塊均采用集群方式承載，從最前端的DNS服務(wù)器到DDOS&護(hù)、LR WAFB護(hù)、LOG等模塊均采用集群方式部署，無(wú)論哪個(gè)模塊出現(xiàn)問(wèn)題， 整體不會(huì)受影響。3.3.3. 大數(shù)據(jù)分析玄武盾可結(jié)合遠(yuǎn)程安全風(fēng)險(xiǎn)檢測(cè)、安全事件監(jiān)測(cè)、網(wǎng)站日志分析、流量分析、告警日志分析等多維度

12、數(shù)據(jù)，進(jìn)行綜合運(yùn)營(yíng)，及時(shí)發(fā)現(xiàn)有針對(duì)性的攻擊行為和未被攔截到的攻擊，同時(shí)互聯(lián)網(wǎng)上任何新型攻擊都會(huì)被玄武盾第一時(shí)間感知，避免系統(tǒng)被入侵產(chǎn)生惡劣影響。風(fēng)暴中心采用基于Hadoop的大數(shù)據(jù)集群計(jì)算架構(gòu)，依據(jù)監(jiān)測(cè)分析的規(guī)模增大，可進(jìn)行平滑的彈性擴(kuò)容，可按需插入硬件設(shè)備，實(shí)現(xiàn)即插即用，方便地?cái)U(kuò)大計(jì)算集群。風(fēng)暴中心的彈性計(jì)算架構(gòu)，可應(yīng)用于國(guó)家級(jí)的網(wǎng)絡(luò)空間安全分析，也適用于地區(qū)性的轄區(qū)安全監(jiān)控，能夠支撐海量數(shù)據(jù)存儲(chǔ)分析，目前已經(jīng)累計(jì)采集了過(guò)億個(gè)域名，超過(guò)百萬(wàn)個(gè)設(shè)備IP,其中有25萬(wàn)個(gè)政府網(wǎng)站，數(shù)據(jù)量達(dá)到了幾 百 TB。3.3.4. 保姆式安全體驗(yàn)用戶無(wú)需自行維護(hù)安全設(shè)備，玄武盾安全工程師將7X24小時(shí)待命，用

13、戶無(wú)需專(zhuān)業(yè)知識(shí)分析日志、不需要再為調(diào)整復(fù)雜的安全規(guī)則而煩惱，用戶在碰到任何問(wèn)題時(shí)只需一個(gè)電話就可以，剩下的交給玄武盾。4 .市場(chǎng)分析玄武盾產(chǎn)品具備部署快速、運(yùn)維簡(jiǎn)單、云計(jì)算集群、按需付費(fèi)等特點(diǎn)，適用于整體行業(yè)用戶和帶有區(qū)域性質(zhì)的政府用戶。4.1. 行業(yè)用戶群體某教育信息中心下屬500個(gè)學(xué)校網(wǎng)站，每個(gè)學(xué)校網(wǎng)站有的托管到IDC機(jī)房, 有的是自建機(jī)房維護(hù)，網(wǎng)站安全性參差不齊， 無(wú)法統(tǒng)一管理，一旦發(fā)生安全問(wèn)題 造成的影響非常大，然而通過(guò)部署傳統(tǒng)硬件 WAF單決安全問(wèn)題，需要為每個(gè)學(xué)校 網(wǎng)站前端部署硬件 WAF會(huì)存在實(shí)施成本高、實(shí)施難度大、無(wú)法統(tǒng)一運(yùn)維等問(wèn)題。采用玄武盾解決方案，用戶只需統(tǒng)一將所有學(xué)校網(wǎng)

14、站統(tǒng)一納入到玄武盾中，用戶就可享受云防護(hù)、云加速、DDOS&護(hù)等，同時(shí)用戶精力只需放在自身的業(yè) 務(wù)上，無(wú)需為安全運(yùn)維操心，玄武盾專(zhuān)業(yè)的安全人員將會(huì)全程負(fù)責(zé)。4.2. 區(qū)域用戶群體2014年，我國(guó)境內(nèi)政府網(wǎng)站被篡改數(shù)量為 1763個(gè)，雖然近幾年被篡改次數(shù) 有所下降，但安全情況仍刻不容緩，下圖是 2014年我國(guó)境內(nèi)被篡改的政府網(wǎng)站 數(shù)量和其占被篡改網(wǎng)站總數(shù)比例按月度統(tǒng)計(jì)。圄5-4 201 4年我國(guó)境內(nèi)被篡改的政府網(wǎng)站數(shù)量和所占比例月度統(tǒng)計(jì) （來(lái)源工 CNICERT/CC ）目前某市政府下屬多個(gè)部門(mén)，每個(gè)部門(mén)都有自已的門(mén)戶網(wǎng)站，而門(mén)戶網(wǎng)站安 全性參差不齊，有的部署了 WAF有的則未做任何安全

15、防護(hù)，對(duì)所有網(wǎng)站都通過(guò) 部署硬件WA胡護(hù)，會(huì)存在實(shí)施成本高、實(shí)施難度大、無(wú)法統(tǒng)一運(yùn)維等問(wèn)題。采用玄武盾+風(fēng)暴中心一體化解決方案，納入玄武盾前通過(guò)遠(yuǎn)程安全評(píng)估對(duì) 網(wǎng)站進(jìn)行統(tǒng)一健康體檢，通過(guò)玄武盾進(jìn)行定制化防護(hù)策略，納入玄武盾后實(shí)時(shí)進(jìn) 行監(jiān)測(cè)，一旦發(fā)現(xiàn)安全問(wèn)題通過(guò)玄武盾快速完成防護(hù)。4.3. 云政務(wù)網(wǎng)隨著越來(lái)越多的政府用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至私有云中，而目前眾多云 平臺(tái)企業(yè)關(guān)注的更多是基礎(chǔ)實(shí)施的完善和業(yè)務(wù)的開(kāi)展，對(duì)于安全層面的關(guān)注較少， 即使有提供安全產(chǎn)品的云服務(wù)商，很多政府用戶為滿足等保等要求仍然會(huì)選擇第三方安全提供商解決，因此這部分用戶群體十分龐大，玄武盾可以以服務(wù)方式進(jìn)行提供。5 .競(jìng)爭(zhēng)分

16、析5.1. 傳統(tǒng)安全廠商傳統(tǒng)安全廠商基本以硬件 WA助主要解決方案，也有部分廠商推出了虛擬化解決方案，但面對(duì)大量網(wǎng)站仍存在部署困難、運(yùn)維困難、成本高昂等問(wèn)題，而且在沒(méi)有風(fēng)暴中心的大數(shù)據(jù)分析和運(yùn)營(yíng)安全價(jià)值難以體現(xiàn)。5.1.1. 部署困難大行業(yè)用戶網(wǎng)站群眾多，而且分布在不同的地址位置，采用硬件WAF單決方案需要將硬件盒子部署到用戶端，不僅實(shí)施困難，而且成本高昂。玄武盾無(wú)需在用戶端部署任何安全設(shè)備，用戶可以以服務(wù)方式按需購(gòu)買(mǎi)不同的防護(hù)模塊，成本上可以有效控制。5.1.2. 難以防護(hù)DDOS 攻擊大部分傳統(tǒng)硬件 WAFT具備DDO數(shù)擊防護(hù)，即使具備DDO數(shù)擊防護(hù)，也難 以防護(hù)大流量DDOSC擊和應(yīng)用層

17、CCt擊；玄武盾具備大流量DDOS青洗攻擊引擎,可防護(hù)百G以上的DDO數(shù)擊流量和 應(yīng)用層CCfc擊。5.1.3. 用戶數(shù)據(jù)無(wú)法隔離傳統(tǒng)硬件WA所有用戶數(shù)據(jù)都存放在一起，數(shù)據(jù)報(bào)表未做分離，缺乏安全性和機(jī)密性。玄武盾數(shù)據(jù)基于用戶視圖，所有用戶的數(shù)據(jù)、日志、報(bào)表都會(huì)進(jìn)行隔離，用戶登陸到管理平臺(tái)上只能查看自己相關(guān)的數(shù)據(jù)報(bào)表，保護(hù)了不同用戶的隱私。5.1.4. 缺乏事前檢測(cè)、事中實(shí)時(shí)監(jiān)測(cè)、事后大數(shù)據(jù)分析傳統(tǒng)硬件WAFffl戶的日志數(shù)據(jù)都在本地存放，大多數(shù)處于無(wú)人管理、無(wú)人分析的狀態(tài)，這樣會(huì)導(dǎo)致安全設(shè)備長(zhǎng)期封閉，會(huì)導(dǎo)致防護(hù)滯后造成安全事件的發(fā)生，同時(shí)玄武盾可結(jié)合遠(yuǎn)程安全風(fēng)險(xiǎn)檢測(cè)、安全事件監(jiān)測(cè)、網(wǎng)站日志分析、流量分析、告警日志分析等多維度數(shù)據(jù)，進(jìn)行綜合運(yùn)營(yíng)，及時(shí)發(fā)現(xiàn)有針對(duì)性的攻擊行為和未被攔截到的攻擊，同時(shí)互聯(lián)網(wǎng)上任何新型攻擊都會(huì)被玄武盾第一時(shí)間感知，避免 系統(tǒng)被入侵產(chǎn)生惡劣影響。5.2. 互聯(lián)網(wǎng)安全廠商近幾年互聯(lián)網(wǎng)安全廠商也開(kāi)始以云加速和云防護(hù)的概念推出云防護(hù)產(chǎn)品，但 主要以個(gè)人用戶群體為主，缺乏企業(yè)級(jí)用戶的運(yùn)營(yíng)經(jīng)驗(yàn)和技術(shù)沉淀，對(duì)企業(yè)用戶 的需求把握不準(zhǔn)，難以滿足用戶安全需求， 另外也缺乏像風(fēng)暴中心對(duì)預(yù)警、 監(jiān)測(cè) 和大數(shù)據(jù)分析的平臺(tái)。6 .銷(xiāo)售模式6.1. 服務(wù)模式用戶以服務(wù)模式購(gòu)買(mǎi)玄武盾服務(wù)，可選擇域名個(gè)數(shù)和防護(hù)模塊，安全運(yùn)維只 需交給玄武盾專(zhuān)業(yè)安全人員。模