安全运营:Web入侵检测与漏洞感知系统

2019-07-01 20:38:34 2

WebIDS:Web入侵检测与漏洞感知系统


      “Web入侵检测与漏洞感知系统”是自主研发的下一代入侵检测系统(NIDS);是在对“Web应用攻击周期”和“Web漏洞攻防实践”的深度理解的基础上,基于“全流量镜像技术”及“大数据处理技术”研发的一套Web入侵检测及漏洞感知系统。系统能够深度挖掘网络中的各种Web漏洞扫描、漏洞触发、系统受控等攻击事件,并发出准确的预警。 


      该系统目前已被多个大型银行、十多个部委,及各大信息安全监管部门采用并发挥了重要作用,具备极高的口碑和信誉。 

技术特色 
 采用旁路监听模式部署,不影响现有企业网络
 基于Web全流量镜像技术,全程记录半年到一年的所有Web流量数据
 基于大数据处理技术,双向分析即时数据及历史数据,检测各种碎片化、持续性的攻击手段,提高系统的检出率和准确度
 准确的攻击行为判定技术: 依据“Web应用攻击周期”的各个流程,精确判定各类攻击的影响范围,误报率极低
 具备PVS被动式漏洞感知功能,在黑客利用漏洞攻击时,同步感知各种漏洞

用户收益 
 实时感知网络中的各种漏洞扫描、漏洞发现事件,规避监管压力
 自动化管理,节省安全运维成本
 解决现有网络IDS对 Web攻击无法感知的问题
 及时发现并处理各种漏洞扫描、漏洞触发、系统受控事件 
 与企业现有的网络层IDS产品互补,全面保障网络安全 

技术优势 
 具备被动式漏洞识别引擎(PVS):可同步识别数十种Web漏洞 
系统内置了Web漏洞指纹库,可以通过分析Web的双向数据包,有效识别数十种Web漏洞,实现被动式漏洞扫描(PVS)的效果。当发现黑客发现Web漏洞时,WebIDS往往也能根据数据包的特征发出漏洞预警。
 可准确发现三类Web攻击事件,照实际影响范围报警,报警真实有效 
系统遵循 “Web应用攻击周期”的各个过程,以实际的攻击影响为报警基准,可准确划分“漏洞扫描”、“漏洞利用”、“系统受控”三类攻击行为,因此比传统的IDS更为有效。
 提供完整的Web访问日志及审计功能 
支持存储超过200亿条url历史数据,可以查看各网站的流量趋势、网站访问量、攻击报警趋势,为安全态势分析提供数据参考,并轻松满足数据审计和攻击取证的需求。 
 提供更细粒度的HTTP规则定制功能 
可针对URL、POST数据包、HTTP头、返回报文等数据类型分别制定检测规则,比传统的网络层IDS更具针对性,能够有效提高检测率。
 使用“增量备份”技术,实现高密度存储、攻击回放及数据回溯测试功能 
WebIDS网站入侵检测系统的“增量备份技术”使用了差异去重及压缩算法,可动态生成网站的镜像数据。用户发现攻击行为时,不但可以进行攻击回放,还可以利用自定义检测策略对历史数据重新检测及筛选,从而帮助安全监管部门回溯攻击过程,为制定有效的安全防御措施提供数据支持。 

Web应用攻击周期 
“Web应用攻击周期”一般分为四个部分,分别为:
1. 漏洞扫描:利用漏洞扫描器或常见的手工漏洞检测方法,对Web服务器的各个页面进行漏洞扫描。 
2. 漏洞触发:利用“第二步”发现的漏洞尝试网站攻击,如窃取敏感数据。
3. 获取系统控制权限:获取网站或数据库的控制权限,如植入木马、进行拖库操作。
整个过程如下表所示:







WebIDS检测机理 
      系统针对 “Web应用攻击周期”的各个流程,设置了3种检测策略。通过深度分析Web应用层中的双向数据包,能发现绝大部分的Web攻击事件:




系统架构图