WOT讲师吴登辉:Web防火墙大数据安全分析实践

原创
安全
大数据分析可以通过基于异常发现的检测机制,相对于传统基于静态规则,能够发现更多隐藏的持续的攻击。因此,越来越多的企业在采用大数据安全分析技术应用于安全防护,百度亦不例外。【WOT2015"互联网+"时代大数据技术峰会】51CTO特邀讲师百度高级安全工程师吴登辉,带大家感知未知Web攻击,分享Web防火墙大数据安全分析实践。

大数据分析可以通过基于异常发现的检测机制,相对于传统基于静态规则,能够发现更多隐藏的持续的攻击。因此,越来越多的企业在采用大数据安全分析技术应用于安全防护,百度亦不例外。【WOT2015"互联网+"时代大数据技术峰会】51CTO特邀讲师百度高级安全工程师吴登辉,带大家感知未知Web攻击,分享Web防火墙大数据安全分析实践。

WOT讲师吴登辉:Web防火墙大数据安全分析实践

百度高级安全工程师 吴登辉

吴登辉:百度高级安全工程师。历经安全运维,安全测试,安全开发。对企业安全体系建设,以及安全大数据分析具有较为深入的了解。曾就职于华为,负责二进制方面的漏洞挖掘工作。入职百度后,曾负责web安全测试、移动app安全评估以及一些安全规范安全体系的建立等,也参与了百度安全中心的建立。目前,主要负责web日志的安全分析。

随着互联网技术的迅猛发展,互联网对政治、经济、社会和文化的影响愈加深远,围绕着信息获取、利用和控制的国际竞争日趋激烈,网络与信息安全面临的形势日益严峻。而且,服务和业务逐渐扩展到Web平台上,Web安全威胁接踵而至。攻击者可以利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。

作为具有丰富实战经验的Web安全专家,吴登辉表示:“对互联网企业而言,目前针对Web安全最关注两点:一是,Web系统的可用性;二是,用户数据的保密性。这就涉及到目前影响最大的几种攻击方式,包括DDOS和数据库注入以及撞库。同时,新型漏洞从爆发到大规模利用的时间也越来越短。”

为了防范web安全威胁,很多企业选择部署Web防火墙。有使用硬件盒子式的,也有使用基于云的Web防火墙。吴登辉建议,在部署时一定要注意防火墙规则的维护。针对硬件盒子形式的防火墙,企业需要专门有相应的运维人员。而当前基于云的Web防火墙例如百度云加速,安全宝等,云厂商则会帮企业进行统一的维护,并进行漏洞响应,从而大大降低企业的成本。

Web防火墙大数据安全分析实践

作为一名Web安全防护人员,你是否想要知道攻击是什么时候发生的?网站是怎么被攻击的?攻击者又是谁?网站是否安装了木马?你是否想要在攻击者动手前摁住他?在网络边界早已模糊的今天,在大数据的时代,大数据安全分析可以帮助你从更广阔的视野里寻找更深层次的原因,找出潜在的可循规律,感知Web攻击。

吴登辉表示,大数据安全分析是为了弥补现有漏洞发现手段的不足,及时检测攻击并实施攻击阻断,所用的基于数据关联与分析的方法。为了弥补传统的安全防御体系的不足,包括主动扫描能力无法完整覆盖业务,阻断攻击时WAF/IPS误伤业务,新型攻击出现,攻击检测的策略无法及时更新的问题……而不是为了炒作制作个公鸡(攻击)图。在Web防火墙大数据安全分析的实践中,需要从数据采集、数据分析、基础架构,以及数据分析实践四个方面出发。

数据采集:采集一切数据放到集群上,以及只采集系统已有的数据放到集群上,这两种做法都有问题。那么究竟该如何采集安全数据?对于有针对性的数据采集,需要开发特定的采集探针,数据将更有效并会事半功倍。例如:可以按照攻击树和Cyber Kill Chain来采集数据,构建攻击场景。

数据分析:在进行数据分析时,工作人员需要通过机器学习发现异常,通过进行人工标定和分析来产生规则情报,最终把规则情报反馈给分析系统,产出更多的信息。

系统架构:系统架构需要实现交互式搜索,情报易集成可动态配置,支持机器学习模型训练以及支持实时模型调用。

数据分析实践:为了发现绕过Web防火墙的攻击行为,并提取攻击情报,包括扫描器payload恶意攻击IP等。需要从HTTP请求的各个角度,PATH, QUERY, UA, SESSION等多个维度进行分析。并采用基于统计、机器学习,对PATH,QUERY,SESSION等建立模型的分析方法。包括:参数分布,请求频率,SESSION请求宽度,404比例等。

据吴登辉透露,目前百度针对安全宝和云加速的用户,已经开发出这样的一套大数据分析系统-- “谛听”。它会根据网站的访问训练出网站的正常的访问模型,从而发现未知的攻击。目前该系统已经成功的帮安全管理人员发现了很多绕过防火墙的高级攻击。同时,它也会从攻击中提取出情报信息,包括恶意IP地址,新型的攻击payload等。

如果想要更加深入的了解,那你只能来WOT了……

在11月28-29日由51CTO主办位于深圳的【WOT2015“互联网+”时代大数据技术峰会】中,吴登辉将通过对百度Web防火墙(云加速/安全宝)的海量日志包括访问日志和拦截日志进行多角度分析,感知未知Web攻击,并为其他安全产品提供情报支持。

 

51CTO主办的高端技术峰会【WOT2015“互联网+”时代大数据技术峰会】将于11月28日-29日在深圳盛大揭幕,42位业内重量级嘉宾汇聚,重磅解析大数据技术的点睛应用。福利大放送,主办方将邀请更多讲师来到“WOT讲师专访间”,深度解析技术干货。

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2016-05-05 17:05:03

2010-09-17 15:25:31

2009-12-25 12:21:56

2011-03-25 11:18:51

2022-09-20 16:38:08

数据安全数据泄露安全

2010-07-12 14:15:56

2010-07-20 20:45:54

2010-10-25 12:07:51

2010-05-24 17:49:56

2010-09-14 10:46:59

2010-09-14 10:07:40

2011-03-15 10:32:05

2013-07-04 10:16:24

2011-05-10 09:17:01

2011-02-17 18:30:25

2011-02-15 18:38:49

2010-07-07 20:06:53

2010-07-12 11:33:52

2021-06-25 18:35:30

Web应用防火墙

2010-07-12 11:41:55

点赞
收藏

51CTO技术栈公众号