明御WEB应用监控审计系统白皮书.doc

明御WEB应用监控审计系统白皮书一、 基于WEB的企业关键应用面临的安全挑战随着互联网技术的迅猛发展，许多企业的关键业务活动越来越多地依赖于WEB应用，在企业向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗。然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击(如：针对WEB应用的SQL注入攻击、跨站脚本攻击、恶意文件包含等等)发生时，传统的网络防火墙、IDS/IPS等安全产品形同虚设。在如此众多因素的综合影响下，使得Web应用潜在的隐患越来越频繁的暴露在互联网之下。常见的Web攻击分为两类：一是利用Web服务器的 漏洞进行攻击，如CGI缓冲区溢出，目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击，如SQL注入，跨站脚本攻击等。据OWASP(开放式 WEB应用程序安全项目)2007年上半年发布的10大WEB应用脆弱性排名显示，“跨站脚本攻击、注入式攻击、不安全的远程文件包含”已经成为影响 WEB应用安全的首要问题。而在国内，据国家计算机网络应急技术处理协调中心的统计数据显示，2007年上半年中国的互联网安全状况仍不容乐观，各种网络安全事件与去年同期相比都有明显增加、被植入木马的主机数量大幅攀升。攻击者的目标明确、趋利化特点明显，针对不同网站所采用的攻击手段不同，对于政府类或安全管理相关网站，攻击者主要采用篡改网页、放置恶意代码等攻击形式，干扰正常业务的开展(如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意破坏政府或企业形象，严重的导致网站被迫停止服务。对于个人用户，攻击者更多的是通过用户身份窃取(如：利用间谍软件和木马程序等)手段，偷取用户游戏账号、银行账号、密码等，窃取用户的私有财产。为了解决信息安全领域的 深层次、应用及业务逻辑层面的安全问题，杭州安恒信息技术有限公司在深入研究入侵检测技术、结合其应用安全方面的深厚技术底蕴的基础上，成功推出了全球领 先的、面向企业WEB关键应用的深度监控、防御产品明御WEB应用监控审计系统(DAS-Monitor)，为您的WEB关键应用提供全方位的风险评 估、多层次的访问控制、高性能的实时监控和防御。该产品的推出弥补了传统的主流网络安全技术不能完成深度内容检查的不足，填补了网络信息安全产品线的基于 应用安全检测的空白。二、 产品概述DAS-Monitor是唯一可以同时向Web应用提供风险评估、实时监测、自动防护的解决方案。 杭州安恒信息技术有限公司利用其自主研发的专利级访问监控引擎技术和高速环境下的线速捕获技术，不但提高了设备的整体性能，同时使得合法行为的动态建模变 得轻而易举，业务模型及安全策略可以随着应用的改变而灵活更改，这样就保证了DAS-Monitor的应用保护是最新的和准确的。DAS-Monitor通过旁路模式灵活地部署到网络中，在无需更改现有网络的情况下几分钟内即可完成部署，与此同时DAS-Monitor的 高度集成、纯硬件解决方案，可提供高速环境下的线速捕获，不占用任何CPU 资源，不会对原有的应用性能产生任何影响，从而满足企业核心应用最苛刻的高可用性需求。三、 主要功能3.1 产品功能示意图如下图所示，DAS-MONITOR主要的功能模块包括“风险评估、动态建模、实时监控与防御、配置管理及综合查询”几个部分。从上图可以看出，通过风险评估可以帮助管理员制定更加切合实际应用环境的安全策略，以适应不断变化的应用环境，同时为监控引擎有效提醒未知攻击告警奠定基础。3.2 自动化的WEB应用风险评估DAS-MONITOR以风险为导向，通过对WEB应用的深度遍历，透过WEB应用，检测后台数据库类型，并完成数据库配置审计。同时，结合渗透测试技术，对发现的WEB应用漏洞实施模拟攻击，以检验漏洞的真实性、评估的正确性。根据风险评估的结果，既可以作为主动防御的手段，对现有的WEB应用采取适当的加固措施，又可以作为监控与防御安全策略制定的可靠依据。自动化风险评估过程的示意图如下：3.3 全能的WEB应用实时监控与审计DAS-Monitor的核心功能是为WEB应用筑起一道多层次的“监控审计堤”：其中：n 第一层：网络访问控制层，类似于网络防火墙的功能，但其主要特色是黑白名单由统计引擎动态维护。n 第二层：常见WEB攻击告警层：使用双引擎技术，不仅能够识别已经攻击行为，同时，也能对未知攻击提供告警。n 第三层：复杂攻击识别/应用层DOS识别层，技术领先的关联和异常统计分析引擎能够在复杂攻击和应用层DOS攻击出现时有效而精确地将其检测出来。防御常见WEB应用攻击行为：DAS-Monitor可保护自定义的 Web 应用程序代码，防止受到跨站脚本、SQL注入、恶意文件包含等各种WEB应用层攻击告警。智能自学习创建的安全模型除了包含传统的网络五元组以外，还有 URL、参数、方法、返回码等等，当用户与应用进行交互时，DAS-Monitor会自动根据预设置的访问控制策略进行第一道防护、继而通过对用户活动的 实时监控，进行特征检测及异常检测。任何尝试的攻击都会被检测到并实时告警。DAS-Monitor可自动、准确地针对以下常见的WEB应用层攻击技术及其变种进行告警：复杂攻击验证：DAS-Monitor提供两种安全模型：正向-白名单和反向-黑名单模型。首先对于明显的违规行为，通过这两种模型进行即时告警，其次，对于 不明显的攻击行为，进行特征检测与异常检测，同时使用独特的关联攻击验证技术，对复杂攻击进行特征与异常关联，将各个安全层面的多个违规行为关联在一起， 以鉴别该活动是攻击，还是合法用户活动中的正常变化。网络防火墙：DAS-Monitor集成了网络防火墙的功能，其访问控制策略支持传统的网络五元组为基础的黑白名单，内嵌的统计引擎可以对黑白名单实现动态更新。通过以黑白名单为基础的访问控制策略，可限制未授权用户访问WEB应用，防止不明入侵者的所有通信流程，使WEB应用免受危险协议、公共网络层攻击的威胁。抗应用层DOS攻击：应用层DoS/DDOS攻击是一种与高层服务相结合的攻击方法，目前常见的有HTTP Flooding型、主机资源耗尽型两种。与传统的基于低层的DoS/DDOS攻击相比，应用层DoS/DDOS具有更加显著的攻击效果，而且更加难以检测，主要原因是：n 从请求内容无法检测出攻击的异常性;n 现有的DOS/DDoS检测方案都 是针对工作于TCP(transmission control protocol)层及其以下层次的攻击方式而设计的,面对应用层的DOS/DDoS攻击,这些检测系统所看到的都是正常的IP分组、正常的TCP连接和 正常的流特征。因此,攻击请求可以顺利穿越低层的检测与防御体系直接到达Web服务器。DAS-Monitor内置了抗应用层DOS/DDos攻击的功能，提出了一种基于Web浏览行为的DOS/DDoS攻击检测方法。它通过 Web用户浏览行为模型来检测用户访问的正常性，推算WEB访问的偏离程度，并根据偏离程度对用户后续的HTTP请求进行限速控制、流量牵引，使正常用户 可以优先得到Web服务器的响应,同时抑制异常用户对Web服务器资源的消耗,采用多种抗应用层DOS/DDos技术可以轻易的区分出攻击请求和正常访问 请求，一旦发现攻击请求立即实施自动阻断操作，使DAS-Monitor本身以及后台的服务器能抵御大规模应用层DOS/DDOS攻击。3.4 事后的回放和追溯很多安全事件或者与之关联的事件在发生一段时间后才引发相应的人工处理, 这个时候, 作为独立审计的明御Web应用监控审计系统就发挥特别的作用. 因为所有的HTTP, FTP, telnet等事件都保存后台(包括相关的告警), 对相关的事件做定位查询, 缩小范围和追溯变得容易. 同时由于这是独立监控审计模式, 使得相关的证据更具有公证性。下图为ftp和telnet到该服务器的命令回放示意图:下图为HTTP详细事件查询结果示意图：告警详细内容：3.5 配置管理与综合查询DAS-Monitor提供WEB-base的管理页面，WEB应用安全管理员在不需要安装任何客户端软件的情况下，基于标准的浏览器即可完成对DAS-Monitor 的配置管理。配置管理主要包括“保护对象配置、智能自学习规则配置、安全策略配置”等。下图为安全策略配置示意图。同时，DAS-Monitor提供功能强大的综合查询功能，主要包括“实时告警显示、自定义告警查询及受攻击情况统计报表查询”等。下图为自定义告警查询操作示意图。下图为攻击来源、攻击时段统计示意图。四、 产品特点4.1 高性能的流量捕获和解析能力据经验分析应用层防御中有40%的工作要围绕HTTP开展，这就要求防御设备一方面要能够精于HTTP协议的解析，另一方面需要解决HTTP大流量访问的特点。如果不能很好的解决上述两个问题，则在应用层防御效果上势必大打折扣。WEB应用监控审计系统可以在高速环境下线速捕获，并且捕获过程中不占用任何CPU资源，将所有处理能力提供给应用程序。基于硬件加速的技术，保证了DAS-Monitor具备交换机一样的高吞吐量和低延时，能够满足WEB应用的低延时、大流量访问要求，保证了27层深度过滤时的线速性能。4.2 复杂的攻击验证DAS-Monitor提供两种安全模型：正向-白名单和反向-黑名单模型。首先对于明显的违规行为，通过这两种模型进行即时阻断，其次，对于 不明显的攻击行为，进行特征检测与异常检测，同时使用独特的关联攻击验证技术，对复杂攻击进行特征与异常关联，将各个安全层面的多个违规行为关联在一起， 以鉴别该活动是攻击，还是合法用户活动中的正常变化。4.3 灵活的安全策略 安全策略之组成：DAS-Monitor可以对上述安全模型中的任意元素进行组合，生成满足应用需求的安全策略。 预设置安全策略：根据安全经验、行业应用需求不同，预先设置诸多的安全策略，大大缩短了设备部署的时间。 专家模式自定义策略：除了动态建模、预设置安全策略外，安全管理员还可以利用系统提供的自定义策略配置功能，以手工方式配置满足企业特殊需求的安全策略。4.4 多类型的告警模式DAS-Monitor可自动、准确地针对以下常见的WEB应用层攻击技术及其变种进行告警：4.5 零风险部署DAS-Monitor提供旁路模式部署到网络中，因此，部署时不需要对现有的网络体系结构(包括：路由器、防火墙、应用层负载均衡设备、应用服务器等)进行调整。同时，依靠安恒自主研发的专有技术，检测过程中无需对应用程序进行修改，实现应用层的零风险部署。4.6 完备的自身安全DAS-Monitor全方位确保设备本身的高可用性，包括但不限于： 物理保护;关键部件采用冗余配置(如：冗余电源、内置硬盘RAID等)。 掉电保护：设备掉电(如电源被不慎碰掉)时，网络流量将会直接贯通。 系统故障保护：内置监测模块准实时地监测设备自身的健康状况。 不间断的管理保护：在进行策略配置情况下，能保持网络的连接和保护。 不丢包：基于硬件加速的接口卡，在高速环境下实现100%数据包捕获。 冗余部署：在具备冗余体系结构的环境中，支持Active-Active或Active-Standby部署配置。4.7 灵活的统计报表D