为了及时发现和阻止针对网站的各类安全攻击,本发明专利技术以网站的安全管理员在实际安全运维中最依赖的两项工作为基础,发明专利技术了基于日志分析和防火墙安全矩阵的网站安全监控报警系统。其中日志监控的创新是通过对Apache/Tomcat/IIS的访问/错误日志及其他环境日志进行关键字/正则表达式过滤来自动发现已知和未知攻击,同时通过网站业务代码中的日志定制及时发现黑客攻击在早期引起的业务处理错误。另一创新是通过定义防火墙安全矩阵,然后采用直接或间接的网络连通性检测技术来验证矩阵的有效性,一旦发现安全矩阵被破坏则触发报警。该系统提供给管理员简单而有效的定制方式,可持续地增强对任何攻击或可疑行为的侦测能力。
【技术实现步骤摘要】
本专利技术的
是信息安全领域的网站安全防护和监控报警系统。
技术介绍
随着互联网应用的高速发展,各种Web网站以几何级数的速度高速增长,但层出不穷的黑客攻击对Web网站的可用性和安全性造成了巨大的威胁。目前主流的安全防护包括多种类的系统:入侵检测系统,Web应用防火墙,远程安全扫描等。但上述几类安全产品尚不足以保证网站的安全,原因如下:入侵检测系统:依赖的机制是对网络报文的检查,因其不了解用户网站应用的业务逻辑,只能对已知的典型的漏洞利用方式、攻击特征进行匹配式的检查,而不能检测新类型的或是对特定目标的攻击,实际有效率就很低。有一些厂商会研发启发式规则,但限于在网络层来观察流量/报文,一来对正常业务性能影响较大,二来未知的正常/非正常访问方式非常之多,从而导致误判率太高。Web应用防火墙(WAF):主要针对OWASP组织发布的十大Web典型攻击方式来进行http报文解析和检查,发现并阻止攻击。WAF有其特定价值,但它的机制也是基于对已知的攻击方式进行匹配,因此很难对不断涌现的新漏洞/新攻击方式作有效的发现。远程安全扫描:由于扫描的检测基础是只能检查远程访问/调用返回的结果,与已知结果作匹配,因此有很大的局限性,主要用于发现网站组件的安全漏洞,并不能及时地发现攻击和可疑行为。对于网站安全来说,最重要的是及时发现并阻止攻击和可疑行为,而上述几种防护系统因为缺乏对客户业务系统的了解,也未提供足够强大的对未知和特定攻击的检测方法,因此尚不能达到理想的安全效果。本专利技术以网站的安全管理员在实际安全运维中最依赖的两项工作为基础,专利技术了基于日志监控和防火墙安全矩阵监控的一套监控报警系统。该系统提供给管理员简单而有效的定制方式,可持续地增强对任何攻击或可疑行为的侦测能力,通过在实际运维工作中的有效性验证,效果显著,能弥补现有的其他网站安全防护系统的不足。本专利技术基础之一的日志监控,是很多安全管理员已经使用的一种监控手段,把各种日志文件存档到一起,分类、按关键字作检查,发现可疑的问题就报警。但是管理员一般将日志监控用于系统/服务的可用性监控,而不是安全监控,而不用于安全监控,就没有积累黑客攻击的日志特征。即使有对访问日志作安全监控,主要都是防DDOS和防流量攻击,而从未有针对网站内容的异常访问的检测,比如漏洞利用的访问,SQL注入等。也正因为没有把日志监控作为一种安全防护的解决方案,也就从没有人提出过对网站应用的日志进行定制化要求,比如J2EE后台任何异常都要写日志,对请求参数作特殊字符过滤并记录可疑事件,对用户的未授权访问错误必须记日志等。有了这种网站业务代码中的日志定制,再与全面的日志监控和其他子系统共同构成一个解决方案,就是本专利技术的首要创新点。本专利技术基础之二的防火墙安全矩阵监控,是此前从未有人提出的概念。作为网站安全防护的基础,最基本的防火墙只要配置全面,就能把除SQL注入、跨站攻击等Web端口(80/443端口)攻击之外的其他安全威胁都挡在外面。而大多数被攻陷的网站,都是黑客获得外层的主机/服务器权限后,远程登陆/自动下载来实施进一步的内容篡改和破坏,这一过程就必然会破坏原先系统定义的安全矩阵。本专利技术首创的第二个子系统就是采用直接或间接的网络连通性检测技术,来验证某些IP区域及端口范围彼此之间的连通性要求,如果在安全矩阵中是要求阻断的,一旦发现其变成连通状态,就说明某个点已被黑客攻破。
技术实现思路
本专利技术建立了一套基于日志分析和防火墙安全矩阵的Web网站安全监控报警系统,它包括两个子系统:基于日志分析的安全监控子系统和防火墙安全矩阵监控子系统。基于日志分析的安全监控子系统是对网站所有相关环境的日志监控,它应包括但不限于对以下几方面的日志进行监控:Apache/Tomcat/IIS的访问日志/错误日志/安全日志:通过访问日志,可发现请求地址和参数中包含已知攻击的尝试,比如GET/config.php?relative_script_path=http://xxxxxxx,或是SQL注入的尝试:/print.php?what=article&id=’;通过错误日志,同样可发现对一些不存在的文件/目录的可疑访问,比如client denied by server configuration,File does not exist,Invalid URI in request等;通过安全日志监控,比如Apache的mod_security记录的可疑问题,还可进行定制的二次过滤以发现确定的攻击行为。通过对所有已知的Web攻击所对应的日志中的错误信息作分析积累,即可构造一系列由关键字/正则表达式组成的检测规则,基于这个规则集即可对各类攻击进行实时的监控和侦测。网站应用日志中的错误/可疑事件:通常对网站的攻击或渗透会起始于对某些URL和参数的组合进行渗透性的访问尝试,因此在初期都会导致后台的业务逻辑发生错误。这里是本专利技术的一个创新点,系统将指导用户在网站的业务逻辑代码中针对以下三类错误打印出对应的日志:1)任何非正常使用情况下的错误处理,都需要打印日志以包括出错的原因,导致的请求/参数,类/方法/代码行等,比如J2EE的代码就需要对非预期的Exception都打印日志。这里的非正常使用并不包括普通用户可能的非法输入,或是其客户端环境原因导致的出错。2)对所有http请求作参数过滤,包含不应出现的特殊字符的要记日志,包含不在合法参数值集合中的请求要记日志,比如某个参数是传入手机号作查询,则不应出现任何字符。3)对某个用户ID/Session访问了他无权访问的某个后台接口/Action时要记日志,以发现某个用户试图寻找系统漏洞的可疑行为。除了给出指导外,系统还可以对用户上传的代码作静态扫描,以给出明确的需要添加安全审计日志的代码位置。当上述步骤完成并部署到生产环境之后,本专利技术系统将提供给管理员一个对安全日志进行配置的管理界面,可通过关键字/正则表达式对系统要监控的事件进行定义,并采用多种策略进行事件的关联和报警条件定制,比如对指定时间段内某个客户端IP的可疑事件作加权累计,达到阀值后启动短信/邮件/Web等多种方式报警。安全设备报警日志:如果该网站已经部署了例如防火墙/入侵检测/Web应用防火墙等设备,则可以通过配置将它们的安全日志或SNMP消息收集到本系统的日志收集服务器上,同样地进行日志监控。这样一方面方便了管理员集中管理日志监控,同时还可以配置分析引擎对前述日志中发现的可疑事件与此处安全设备的报警进行关联,增加报本文档来自技高网...
【技术保护点】
一种基于日志分析和防火墙安全矩阵的Web网站安全监控报警系统包含:基于日志分析的安全监控子系统:基于对网站相关环境的所有日志的监控与关联分析,来及时发现对网站的网络攻击和可疑的非法访问行为,并采取报警和防护措施;防火墙安全矩阵监控子系统:通过对防火墙安全矩阵的监控来发现在网络层违反安全策略的非法访问,并采取报警和防护措施。
【技术特征摘要】
1.一种基于日志分析和防火墙安全矩阵的Web网站安全监控报警系统包含:
基于日志分析的安全监控子系统:基于对网站相关环境的所有日志的监控与关联分析,来及时发现对
网站的网络攻击和可疑的非法访问行为,并采取报警和防护措施;
防火墙安全矩阵监控子系统:通过对防火墙安全矩阵的监控来发现在网络层违反安全策略的非法访问,
并采取报警和防护措施。
2.权利要求1中,对日志文件的监控方法指的是持续地,实时地或定时地对文件新增的内容进行检查,
如果与预先配置的一个由若干个关键字或正则表达式或加权计算公式组成的表达式集合中的某一项或多
项匹配,则认为检测到一个可疑事件。
3.权利要求1中,对日志文件的监控和关联分析指的是在监控子系统发现可疑事件后,按照预先配置的
策略和规则将该可疑事件与其他日志监控报告的可疑事件进行关联和基于加权表达式的计算,如果结果超
过策略或规则中定义的阀值则判定为一次攻击事件或非法访问行为。
4.权利要求1中,基于对网站相关环境的所有日志的监控包含但不限于对以下方面内容的监控:
Apache/Tomcat/IIS的访问日志/错误日志/安全日志;
网站应用日志中的错误/可疑事件;
安全设备报警日志;
防火墙安全矩阵监控日志;
网站所有主机的登录/用户操作日志/系统实时状态日志;
非网站合法进程发起的数据库连接日志。
5.权利要求4中,对Apache/Tomcat/IIS的访问日志/错误日志/安全日志的监控方法指的是通过对所有
已知的Web攻击所对应的日志中的错误信息作分析积累,进而构造一系列由关键字/正则表达式组成的检
测规则,基于这个规则集即可对各类攻击进行实时的监控和侦测。
6.权利要求4中,对网站应用日志中的错误/可疑事件的监控方法指的是指导用户在网站的业务逻辑代码
中针对以下三类错误打印出对应的日志:1)任何非正常使用情况下的错误处理;2)对所有http请求作
参数过滤,包含不应出现的特殊字符或包含不在合法参数值集合中的请求要记日志;3)对某个用户
ID/Session试图访问它无权访问的某个后台接口或Action时要记日志...
【专利技术属性】
技术研发人员:朱烨,袁晓东,
申请(专利权)人:朱烨,袁晓东,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。