安恒互联网WEB防御审计系统产品介绍

安恒信息

背景需求

随着网络技术的发展和网络普及率的快速提高，WEB应用服务己经渗透到人们日常生活的方方面面，中国互联网络信息中心发布的《第29次中国互联网络发展状况统计报告》显示，截至2011年12月底，中国网民规模达到5.13亿，全年新增网民5580万；互联网普及率较上年底提升4个百分点，达到38.3%。中国手机网民规模达到3.56亿，同比增长17.5%，与前几年相比，中国的整体网民规模增长进入平台期。互联网应用已经与我们的核心业务系统密不可分。如今的电子政务、电子商务、网上银业、网上营业厅等均以WEB为载体，WEB也由原来的网站浏览的代名词转变为诸如网上报名、网上交易、网上报税等多种业务应用系统。因此，越来越多的用户关注应用层的安全问题，WEB安全技术水平的需求也在与病毒、黑客等的较量中不断提高。

近年来，我国信息安全产业在政府引导、企业参与和用户认可的良性循环中稳步成长，产品类型日益多样，硬件系统、防护体系全面推进。安恒互联网WEB防御审计系统产品充分考虑业务对性能高要求以及IPv6的兼容性要求，对大型数据中心、企业和城域网的上网行为审计、互联网WEB应用访问审计的需求能够定制不同的安全防御和审计方法。


主要功能

（1）WEB审计及特征检测

WEB是整个业务系统的核心，提供了众多的应用。目前数据泄漏很大一部分是由于WEB存在安全漏洞，被黑客利用并入侵，然后提取重要的数据。所以对WEB进行全方位审计与漏洞实时检测是第一项重要任务。系统提供完善的WEB特征库，系统对访问行为的实时检测；对利用WEB漏洞库进行访问的行为进行及时的告警，并且支持特征库升级。
（2）数据采集

数据采集是本系统的基础功能，WEB的数据来源按照来源不同可以分成应用系统的数据访问和WEB管理员的操作。按照操作方式不同又分为远程操作和本地操作两种。考虑到监测的全面性，采集的数据内容主要包括：客户端信息（包括客户端IP地址、MAC地址、端口号等）、服务器信息（包括服务器IP地址、MAC地址等）、操作行为（执行的URL请求、URL请求的返回结果内容、URL请求执行成功与失败、URL请求执行时长、操作时间等）。
（3）协议解析

WEB及相关的类型有HTTP、FTP、TELNET、SMTP、POP3等众多类型。将各种来源的协议解析结果以标准化格式进行展示，以帮助用户简单直观的了解整个WEB业务系统的运行状况。解析的结果也要能够准确无误，要能够识别请求中的各个域等关键信息。
（4）数据分析

数据分析是系统的核心功能模块，是监测价值的体现。通过对预先收集的数据进行标准化，并根据预置的信息筛选策略实现行为和资源的字段匹配或对关键字识别，从所有人为操作信息中提取出需要进行监测分析的信息，将这些信息打上预警标记。在数据分析的条件中根据关键行为和关键资源进行精确匹配或模糊匹配，支持与、或、等于、不等于等逻辑运算。在数据抽取的过程中，可以对需要归并的数据进行归并处理。
（5）监测结果展示

监测结果展示是整个平台监测效果的最终展示，甚至会影响到整个平台价值的问题。所以系统支持SYSLOG、短信、邮件、屏幕、SNMP等多种告警方式，让管理人员能够第一时间了解到违规的信息。违规的内容包括用户名、IP地址、违规操作原因、内容，以及对违规操作行为的安全建议等。
（6）多维统计报表

系统提供多维度的统计报表，从整体及用户视角提供高价值的数据统计报表，为用户业务分析提供有效的分析手段。


产品部署

产品支持旁路镜像采集、本地操作行为采集；实现将各种来源的网络流量解析结果以标准化格式进行展示，以帮助用户简单直观的了解整个WEB业务系统的运行情况；


产品优势
（1）超量网络数据的高效处理及T级查询能力

利用本公司产品专利技术，在新的硬件平台基础上，内嵌芯片级的最新高速处理代码，支持万兆级别网络环境，在T级别的数据存储基础上，通过输入关键字，实现秒级别的快速数据查询，对用户行为追查提供高效手段。
（2）支持多重粒度的动态分布式存储

运用分布式理论，将数据粒度放大到业务数据这一层面，并采用模板抽象算法，无损压缩业务数据，将业务数据块智能动态存储在不同节点上。
（3）支持多级灵活部署的全方位网络审计模式

灵活的部署模式，即可针对正向的上网行为进行精确审计；又可面向外部核心业务系统的访问进行访问审计。
（4）基于多维数据的用户行为高效智能分析模型

通过用户行为涉及的源IP、目的IP、时间、行为内容等多维度数据，自动创建行为模型，然后通过关键字分析、统计分析、关联分析，形成用户业务行为模型，智能识别异常用户业务行为。