安恒玄武盾技术白皮书-网络行为审计资料

.安全背景随着越来越多的用户将传统的业务系统迁移至云平台中，而目前众多云平台企业关注的更多是基础实施的完善和业务的开展，对于安全层面的关注较少，对于云端安全形势非常严峻，而目前基本都采用传统的硬件WAF部署，一方面部署比较废时废力，而且用户需要重复投资安全设备，另一方面用户需要自己管理和运营安全产品，对于缺乏安全专业知识的用户带来困扰。从传统的安全市场总体规模分析，目前的安全市场只是冰山一角，在互联网、大数据、云计算的大趋势下，我们会接触到很多新的领域，相信我们的玄武盾能给安全市场带来新的开始。.产品介绍工作原理玄武盾基于大数据和云防护平台，采用零部署的云计算解决方案，用户无需在本地部署任何安全设备，只需将DNS映射至玄武盾CNAME别名地址或NS方式，即可完成WEB安全防护、DDOS防护。产品功能网站防护玄武盾提供了目前业界覆盖范围最广、防护能力最强的安全防护，对Web网站或应用进行严格的保护。安全策略来自于Snort、CWE、OWASP组织，以及安恒安全研究院对国内典型应用的深入研究成果，覆盖范围如下：HTTP协议规范性检查检查提交的报文是否符合HTTP协议框架，如异常的请求方法、不同字段的合规性、特殊字符、重点字段的缺失、HTTP方法控制、超长报文造成的溢出攻击以及对高危文件的访问等，黑客在使用非浏览器工具调试时可迅速拦截。文件B超对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell的上传和访问。注入攻击防护对用户提交的URL、参数、Cookie等字段进行检查，采用SQL语义解析技术防止风险系数极高的SQL注入攻击，采用字符偏移技术对代码、:恒二"\一—:’ 安恒玄武盾技术白皮书 【文档密级：内部使用】命令、文件、LDAP、SSI等注入攻击的检测，有效地防护了对操作系统和应用的注入攻击。跨站脚本攻击防护采用字符差分技术对用户提交的脚本进行检查，防止不合法跨站脚rI本。网页木马防护对页面内容进行逐行扫描，检查是否存在网页木马，防止客户端被感染。信息泄漏防护对服务器响应状态码、服务器错误信息、数据库错误信息、源代码信息泄露进行过滤，防止服务器信息被黑客利用进行有效攻击。6■扫描器防护 」工耕对常见的wvs、appscan、nessus等扫描器指纹进行有效识别进行防护。第三方组件漏洞防护对WEB服务器容器、应用中间件、CMS系统等漏洞进行有效防护。CSRF跨站请求伪造防护通过Referer算法和token算法有效对CSRF攻击进行防护。防盗链通过Referer和Cookie算法有效防止非法外链，和对用户资源内容的盗链。容加速内置Webcache及Webrar模块，Webcache模块对静态页面进行高速缓存，提升WEB服务器连接可用性，Webrar模块对页面内容进行文件压缩，提升服务器带宽使用率。N二防DDOS、CC攻击—'拥有专利级防DDOS/CC算法，有效防护实现对Syn-flood、upd-flood、tcp-flood、应用层CC等DDOS攻击，一方面解决了用户网站被DDOS攻击时的可用性问题，另一方面对玄武盾本身也加强了防护，这样可持续保证用户的网站稳定运行。第2第2页共8页杭州总部电话州安恒信息技术有限公司

安恒玄武盾技术白皮书 【文档密级：内部使用】户独立数据报表每个用户拥有自身网站的数据和报表，用户可查看访问流量报表、安全防护报表，安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等。2.3用户接入流程B用户纳入玄武盾防护的流程如下： -二•一名登记用户联系当地销售告知需要防护的域名信息，并提供环境调研表，安恒安全工程师将域名进行登记入库；配置防护安恒安全工程师将用户域名添加至防护列表，添加域名、回源IP、策略等信息；DNS映射㈱安恒工程师配置完成后会通知用户进行接入，用户可登陆到DNS管理系统，将网站域名解析指向到玄武盾的别名地址，下面以DNSPOD为例：1、添加CNAME记录：添加记录暂停启用删除!：速查找记录添加记录暂停启用删除!：速查找记录主机记录 记录类型 线踣类型 记录值 权重 MX优先级TTL操作口 WWWCNA…*默认t - 600 取消。阿口提示麴10间商提供的IP地址,选择「类型AJ,要^向一个域名「选择「类型CNAMEJAA记录CNAME||用来指定域名的IPM地址（如：S.8.8.8）,如果需要将域名指向一个I硼址，就需要添加用己录.CNAME|MX各域名指向另T*域名,再由另f域名提供ip地址,就需要添加CNAMEB录。2、停止用A记录:□WWW A 默认 - - 600删除：|皆停|喧品验证网站验证网站是否能正常访问；B2、 验证网站是否能被玄武盾正常防护。・5.索要帐号用户向当地销售索要玄武盾帐号，可随时查看被防护站点可查看访问流量报表、安全防护报表，安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等报表；领先的应用安全及数据库安全整体解决方案提供商 第3页共8页杭州安恒信息技术有限公司 杭州总部电话/p>

安恒玄武盾技术白皮书 【文档密级：内部使用】.6.可视化安全防护可实时查看可视化态势感知，实时了解安全防护状态。3 ,总网 43.90%■广西 22.94%・ F-T 10.94%■ 曲江 6.62%56240婀I246so.ooc21420,000北空1E8142130120■北京北卓山市北京浙江四川■J3 ,总网 43.90%■广西 22.94%・ F-T 10.94%■ 曲江 6.62%56240婀I246so.ooc21420,000北空1E8142130120■北京北卓山市北京浙江四川■J注国00:02 00:05 00:08 00:11 00114 00:17 00:20,浙江浙江e.局域阚■广东,广西■浙兀o局恼网■山东喇姑起脚访同源IV排行新而刚行段工网站叫好布访问量；TH5a次攻击量59m次OOODOOOOm山东♦北京♦3.79%2.16H时间iu：yr：je3&IP1NL4^.10.4“区域罡ML ■攻击URL攻击方式・费里3斓名义什…瓯物中香港♦2.11H10:37:3806北炭1■多重后绘名文件…中江苏♦1.11%10:37:38114.2L5,125.99北京■■多电后缀名文件…中四|| ♦L11、10:37:36115.29.12B.84北京■■冬雨后绘名文件…中河南♦L04H10：37：3810:37:36HS.29.138.21242.96.31北京■北京・■多于后以名文件…,多再后缀名文件…中中10,00(]3.玄武盾优势企业级安全解决方案安恒具备多年企业级安全解决方案，玄武盾核心防护引擎来源于安恒WEB应用防火墙产品，高效稳定，误判率和漏报率业内最低，产品成熟度高，8年产品研发历程，历经数十万网站的考验。 咨产品功能完善，可满足不同行业用户的安全需求；安全研究院定期输送安全成果到玄武盾，增强防护能力；部署简便快捷，用户端无需部署任何安全设备即可完成云防护、云加速;用户可对自身业务进行自定义防护和例外策略，杜绝一套策略用于所有一尺网站，避免误报和漏报； .♦•用户使用成本低廉，可按需购买。口.,.党风暴中心整体解决方案 二一中、风暴中心以安恒信息长达8年在信息安全领域的经验积累为核心，借力成熟的大数据及云计算技术构建了基于大数据的安全搜索引擎，从而为实现全国基至全球互联网络在线业务系统的安全基础数据采集、大范围风险评估、威胁情报分析、重大安全事件监测等提供了有力的技术支撑和管理决策参考。领先的应用安全及数据库安全整体解决方案提供商 第4页共8页杭州安恒信息技术有限公司 杭州总部电话恒二"\一—:’ 安恒玄武盾技术白皮书 【文档密级：内部使用】玄武盾依托于风暴中心的实时监测和大数据分析技术，云监测模块在发现问题可快速与玄武盾进行联动响应，可将漏洞结果生成虚拟补丁方式下发到玄武盾进行防护，通过大数据分析技术对海量日志进行分析挖掘，有效发现0day攻击，并同步到玄武盾生成防护策略。特点fcp3.3.1DNS聚焦— 舒一DNS服务器支持多线路、多节点，可满足用户对DNS的弹性需求，DNS解析速度快，可完成快速切换，DNS服务器安全性高，可有效防护大流量DNS攻击。3.3.2集群玄武盾中所有模块均采用集群方式承载，从最前端的DNS服务器到DDOS防护、LB、WAF防护、LOG等模块均采用集群方式部署，无论哪个模块出现问题，整体不会受影响。63.3.3大数据分析 Ir合玄武盾可结合远程安全风险检测、安全事件监测、网站日志分析、流量分析、告警日志分析等多维度数据，进行综合运营，及时发现有针对性的攻击行为和未被拦截到的攻击，同时互联网上任何新型攻击都会被玄武盾第一时间感知，避免系统被入侵产生恶劣影响。风暴中心采用基于Hadoop的大数据集群计算架构，依据监测分析的规模增大，可进行平滑的弹性扩容，可按需插入硬件设备，实现即插即用，方便地扩大计算集群。风暴中心的弹性计算架构，可应用于国家级的网络空间安全分析，也适用于地区性的辖区安全监控，能够支撑海量数据存储分析，目前已经累计采集了过亿个域名，超过百万个设备IP，其中有25万个政府网站，数据量达到了几百TB。3.3.4保姆式安全体验用户无需自行维护安全设备，玄武盾安全工程师将7X24小时待命，用户无需专业知识分析日志、不需要再为调整复杂的安全规则而烦恼，用户在碰到任何问题时只需一个电话就可以，剩下的交给玄武盾。.市场分析玄武盾产品具备部署快速、运维简单、云计算集群、按需付费等特点，适用于整体行业用户和带有区域性质的政府用户。第5第5页共8页杭州总部电话州安恒信息技术有限公司

DBAPP^CWr/fy，恒…二” 安恒玄武盾技术白皮书 【文档密级：内部使用】行业用户群体某教育信息中心下属500个学校网站，每个学校网站有的托管到IDC机房，有的是自建机房维护，网站安全性参差不齐，无法统一管理，一旦发生安全问题造成的影响非常大，然而通过部署传统硬件WAF解决安全问题，需要为每个学校网站前端部署硬件WAF，会存在实施成本高、实施难度大、无法统一运维等问题。Jv采用玄武盾解决方案，用户只需统一将所有学校网站统一纳入到玄武盾中，用户就可享受云防护、云加速、DDOS防护等，同时用户精力只需放在自身的业务上，无需为安全运维操心，玄武盾专业的安全人员将会全程负责。区域用户群体2014年，我国境内政府网站被篡改数量为1763个，虽然近几年被篡改次数有所下降，但安全情况仍刻不容缓，下图是2014年我国境内被篡改的政府网站数量和其占被篡改网站总数比例按月度统计。图5-图5-42014年我国境内被篡改的政府网站数量和所占比例月度统计（来源：CNCERT/CC）目前某市政府下属多个部门，每个部门都有自已的门户网站，而门户网站安全性参差不齐，有的部署了WAF，有的则未做任何安全防护，对所有网站都通过部署硬件WAF防护，会存在实施成本高、实施难度大、无法统一运维等问题。采用玄武盾+风暴中心一体化解决方案，纳入玄武盾前通过远程安全评估对网站进行统一健康体检，通过玄武盾进行定制化防护策略，纳入玄武盾后实时进行监测，一旦发现安全问题通过玄武盾快速完成防护。云政务网随着越来越多的政府用户将传统的业务系统迁移至私有云中，而目前众多云第6第6页共8页杭州总部电话州安恒信息技术有限公司:恒二"\一—:’ 安恒玄武盾技术白皮书 【文档密级：内部使用】平台企业关注的更多是基础实施的完善和业务的开展，对于安全层面的关注较少，即使有提供安全产品的云服务商，很多政府用户为满足等保等要求仍然会选择第三方安全提供商解决，因此这部分用户群体十分庞大，玄武盾可以以服务方式进行提供。.竞争分析传统安全厂商传统安全厂商基本以硬件WAF为主要解决方案，也有部分厂商推出了虚拟化解决方案，但面对大量网站仍存在部署困难、运维困难、成本高昂等问题，而且在没有风暴中心的大数据分析和运营安全价值难以体现。部署困难大行业用户网站群众多，而且分布在不同的地址位置，采用硬件WAF解决方案需要将硬件盒子部署到用户端，不仅实施困难，而且成本高昂。玄武盾无需在用户端部署任何安全设备，用户可以以服务方式按需购买不同的防护模块，成本上可以有效控制。难以防护DDOS攻击大部分传统硬件WAF不具备DDOS攻击防护，即使具备DDOS攻击防护，也难以防护大流量DDOS攻击和应用层CC攻击；玄武盾具备大流量DDOS清洗攻击引擎，可防护百G以上的DDOS攻击流量和应用层CC攻击。用户数据无法隔离传统硬件WAF所有用户数据都存放在一起，数据报表未做分离，缺乏安全性和机密性。玄武盾数据基于用户视图，所有用户的数据、日志、报表都会进行隔离，用户登陆到管理平台上只能查看自己相关的数据报表，保护了不同用户的隐私。缺乏事前检测、事中实时监测、事后大数据分析.传统硬件WAF用户的日志数据都在本地存放，大多数处于无人管理、无人分析的状态，这样会导致安全设备长期封闭，会导致防护滞后造成安全事件的发生，同时玄武盾可结合远程安全风险检测、安全事件监测、网站日志分析、流量分析、告警日志分析等多维度数据，进行综合运营，及时发现有针对性的攻击行为和未第7第7页共8页杭州总部电话：+86-0571-