一、产品简介
网站安全监测平台是一套软硬件产品,采用远程监测技术对Web应用提供7*24小时实时安全监测。通过对网站的不间断监测服务从而提升网站的安全防护能力和网站服务质量,并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制。
二、核心技术
2.1 漏洞扫描
监测平台集成了漏洞扫描功能,该功能继承了网站弱点扫描器的所有优点,可以实现快速、准确的定位出网站存在的问题,并且具有丰富的可配置接口便于配置个性化的扫描要求。监测平台中的漏洞扫描功能主要优点如下:
2.1.1 智能、快速的深度漏洞扫描
采用强大的过滤模块,过滤掉重复或者不必要的网页链接,提高运行效率。单引擎单位时间的发包速率的可控化,可以有效防止扫描数据量过大影响网站正常运行的问题。扫描数据实时存储,扫描过程中实时存储扫描数据和结果,不管是由于程序自身引擎中断、进程人为关闭,还是机器断电引起扫描中断,扫描数据都不会丢失,可以进行断点续描。扫描引擎与扫描界面分离,一个正在运行的主程序可以同时管理多个引擎。每个引擎可支持多个任务的真正并发扫描,有效提高系统深度扫描速率。
2.1.2 全面、准确的应用弱点检测
支持OWASP TOP 10等主流安全漏洞(A1-注入攻击、A2-跨站脚本(XSS)、A3-失效的认证和会话管理:、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7-限制URL访问失败、A8-尚未认证的重定向和转发、A9-不安全的密码储藏、A10-传输层保护不足):SQL注入、XSS跨站脚本、伪造跨站点请求(CSRF)、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI-JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、链接注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、第三方软件、其他各类CGI漏洞支持国际目前主流WEB应用类型:全面支持WEB 2.0,支持各类JavaScript脚本解析 ;全面支持FLASH解析;支持WAP类及WMLScript脚本类应用系统;支持基于HTTPS应用系统的检测,能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银、证券交易等基于HTTPS协议的WEB应用进行自动安全评估;支持所有类型的动态页面;支持HTTP 1.0和1.1标准的WEB应用系统 。支持几乎所有主流数据库的配置审计:Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。支持基于各类身份认证方式的WEB应用的安全检测:支持基于支持包括Basic、Digest、NTLM在内的身份认证方式。支持HTTP和SOCKS代理,并支持各种代理的身份认证方式。
2.1.3 灵活、丰富可自定义的漏洞扫描模式
为扫描任务提供非常丰富的扫描选项,如爬行、检测、过滤、网络环境等,用户可根据目标扫描网站的特点以及所在的网络环境,对扫描过程进行定制:
• 扫描模式:提供简单扫描(单个域名)和批量扫描(多个域名)。
• 扫描范围:提供当前URL、当前子域名、整个域、任何URL四种扫描范围的选择。
• 扫描深度:根据需要可设置扫描的深度,支持无限扫描深度。
• 扫描线程:根据实际的网络连接情况和测试目标的承受能力可设置扫描线程。
• 扫描例外:支持路径例外、文件例外两种设置。
• 语法区分:可在扫描过程中设定是否区分目录、文件等名称的大小写语法。
• 强制检测:支持对单独的可能存在问题的URL进行强制检测和渗透测试。
2.2 网马木马
安全监测平台的网页木马检测算法主要由网页恶意代码分析技术和网页行为分析技术组成。由于网页木马特征库如google以及stopbadware使用的就是网页木马特征库,具有较强的时效性和较高的误报率和漏报率,因此在本中心中未使用该技术。通过上述两种主要的算法使网页木马检测功能实现了误报率低、漏报率底、能发现部分未知网页木马的效果。从测试情况来看可实现对传统杀毒厂商提供的木马样本99%以上的识别率。
2.2.1 网页恶意代码分析技术
本技术是通过对网页中的恶意脚本的链接进行分析,基于链接分析的网页木马检测技术,利用网页中的链接,追查出网页木马传播的病毒、木马程序所在位置,从而解决网络中有害程序的准确定位。为安全部门清除有害程序,追查病毒、木马传播人员提供线索,为上网用户提供安全的网络环境。
本技术中主要使用了特征码检测和Shellcode探测分析相结合的检测方法。可以识别出利用CVE-2010-0806, CVE-2009-1136, CVE-2010-3962等漏洞的网页木马;以及JS.Agent.NBM, JS.Kryptik.R,JS.Kryptik.I等加密变种。通过Shellcode探测分析技术,可以对抗灵活多变的网页木马“免杀”机制,并具备对利用0-day漏洞的未知网页木马的检测能力;而且通过此技术,可以检测出网页木马内部的恶意链接,精确定位出网页木马宿主站点的网络位置。与网页木马特征库技术相比,通过Shellcode探测分析技术,我们具备未知网马的检测能力,并且可以溯源定位网马内部的恶意链接。由于网页木马的触发条件多样、严格,所以与使用动态检测技术的网马检测产品相比,我们的漏报率更低,并且检测效率更高。
2.2.2 网页行为分析技术
恶意代码分析技术能实现高效的网页木马检测,但由于核心技术在于对网页木马特征提取和对shellcode的认知程度的深入。因此为了进一步提高网页木马的识别率,我们采用了网页行为分析技术作为辅助检测技术,即安全沙箱分析技术。本技术主要使用于网页恶意代码检测之后发现一些可疑代码片段、无法正常理解的编码内容、网页中嵌入的flash、activex等无法分析代码组件的网页木马分析。针对上述的内容网页木马检测引擎通过构建试验样本,然后利用各种软件工具结合适当方法采集其代码行为和运行行为的特征,以进程监视技术为核心,结合内核模式下的API函数调用拦截技术通过拦截浏览器激活网页木马所必需的API函数实现检测,并通过拦截报警方式解决可能存在的误报问题,从而实现基于网页行为分析的网页木马检测。
2.3 篡改监测
2.3.1 篡改监测原理
网页篡改监测采用html标签域比对技术实现监测,监测引擎对网站进行初始化采样建立篡改监测基准,并对基准内容进行泛格式化处理,解析出html的相关标签作为后续比对的基准。
篡改监测技术的基础是网页变更监测,因此如果将所有的网页变更都认为是篡改将导致大量的误判,为了解决这个问题网站安全监测平台使用了四个级别的监测策略:低度变更、中度变更、高度变更、确认篡改。管理员可自行定义篡改策略,如网页的title标签如果检测到变更将视为确认篡改,或通过定义监测到某特定的关键字即视为确认篡改。
2.3.2 篡改监测的主要功能
表2-1篡改监测的主要功能
2.4 关键字监测
采用中文关键词以及语义分析技术对网站进行敏感关键字监测,实现精确的敏感字识别,确保网站内容符合互联网相关规定,避免出现敏感信息以及被监管部门封杀。
监测平台可以灵活的识别网站中存在的敏感关键字,如“轮功”、“法****+轮####”等均可以良好的识别出来,有效的解决了关键字中夹杂符号而无法识别的问题。
本中心还使用了主辅关键字技术,使关键的告警控制在更有为效的范围之内,如“轮功”为告警主关键字,但与“打击”、“抵制”等辅关键字在一起时则不会触发告警行为。更为合理的关键字监测降低人工二次确认的庞大工作量。
2.5 可用性监测
网站安全监测平台提供三个级别的网站可用性监测功能,分别从域名可用性、网站服务可用性再深入到网站程序可用性的监测。较为全面的实现了网站可用性的监测功能。
2.5.1 域名解析可用性
任何一个解析的域名均有对应的权威DNS服务器为其提供域名解析服务,如果提供权威DNS信息的域名服务器出现故障或解析出错误的信息,将导致用户无法访问到真实的网站,例如百度网站被黑就是类似的原因导致的。
监测平台通过监测权威服务器的可用性、以及权威服务器解析IP地址是否与监测平台记录的历史基准一致来判断域名是存否发生安全问题,检测到故障时会在第一时间向网站管理员提出整改建议。
2.5.2 网站服务可用性
网站正常工作时会自动监听指定的TCP端口,通常是TCP 80端口,且通过HTTP协议访问时能获得一个200的响应状态码,则说明网站已经正常服务。当网站采用独立的服务器,网站内容为静态内容时使用该技术检测已经可以很好的跟踪网站的可用性了,但如果网站存在虚拟主机或复杂的应用程序时则仍不能确认网站是否正常工作。
2.5.3 网站程序可用性
网站程序可用性主要用于解决虚拟主机环境、复杂应用程序等环境的可用性识别。该功能类似于网上银行系统的预留信息确信技术,采用该技术时监测引擎间隔一段时间就会向监测网站发起HTTP请求,并核对响应页面内容是否有预留的文本或数据,若能匹配才认为网站能正常访问。
三、典型应用
浙江省经信委部署了网站安全监测平台实现对浙江全省范围内的政府网站安全监测功能。
在杭州部署网站安全监测平台,依据性能需求建设监测集群从而实现高性能大容量安全监测功能。
实现对全省政府网站的安全监测,通过监测平台输入需要配置监测平台相应的功能,如添加监测域名清单、配置监测策略、配置安全事件告警邮箱及手机号即可实现对全省范围网站安全监测、安全事件自动通告、安全势态自动跟踪的功能。
业务咨询:159-9855-7370