网站云监测系统白皮书-360企业安全.PDFVIP

360 网站云监测系统 ——产品白皮书 █ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有 版权均属360 企业安全集团所有，受到有关产权及版权法保护。任何个人、机构未经360 企业安全 集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。 目录 1 前言 4 2 为什么需要网站监控 4 2.1 攻与防的博弈 4 2.2 安全思路的转变 5 3 传统网站安全监控的弊端 5 3.1 单一的探测源头 5 3.2 钓鱼网站探测盲区 6 3.3 漏洞探测技术陈旧 6 3.4 违规资产难以发现 6 4 360 网站云监测系统介绍 7 4.1 产品概述 7 4.2 产品架构 7 4.3 产品原理 8 4.3.1 多引擎扫描技术 8 4.3.2 沙箱检测技术 8 4.3.3 特有搜索检测技术 9 4.3.4 最新漏洞舆情推送手段 9 4.3.5 可用性监控技术 10 4.3.6 DDoS 攻击检测技术 11 4.4 产品主要功能 11 4.4.1 安全趋势监控 11 4.4.2 有效跟踪通报处理进度 11 4.4.3 报表管理 12 4.4.4 资产管理 12 4.4.5 用户管理 13 5 产品优势 14 5.1 产品优势 14 5.1.1 立体多维，监控服务更周到 14 5.1.2 持续监测，反复跟踪无死角 14 5.1.3 威胁情报，助安全一臂之力 15 5.1.4 集中力量，造网站安全护甲 15 1 前言 近年来，我国互联网市场规模和用户数量高速增长，随着云计算技术迅速兴起、 信息化的普及，越来越多的企业走进 “互联网+”，大量的金融、游戏、电子商务、电 子政务等网站业务陆续上线。与此同时，我国的网站仍然存在较多的安全风险，Web 服务日益成为网络攻击的重点目标，DNS 攻击、暴力破解、零日漏洞利用、APT 攻击依 然让网站弱不禁风。数据泄露、网页篡改、网页挂马、钓鱼攻击、拒绝服务等安全事 件频繁出现。 据统计，2015 年全年，360 网站安全检测平台共扫描各类网站231.2 万 个，扫出存在漏洞的网站101.5 万个，占比为43.9%。被篡改的网站8.4 万个，平均 每天拦截漏洞攻击512.2 万次，扫描发现约4097 台服务器存在后门。面对频发的各类 WEB 安全事件，如何做到有效监测、快速响应、高效处置，已经成为各行各业必须面 对的问题。 2 为什么需要网站监控 2.1 攻与防的博弈 攻击与防御是信息安全的核心，现在的安全防御体系完全是建立在深度了解攻击 行为的基础上的。随着攻击手段的变化，防御体系也随之升级，知名安全研究员于旸 的演讲—— 《未知攻，焉知防》更是印证了这一观点，在Web 安全领域同样如此。 在 早期的Web 攻防阶段，黑客的主要攻击行为是利用网站的安全漏洞进行攻击。安全研 究员通过对漏洞的分析，可以确认在漏洞攻击时攻击报文中一定会含有的触发漏洞的 数据段，这就是漏洞的利用特征，通过对特征进行签名技术，将特征融入到WAF、 FW、IPS 等产品中，在攻击行为触发时，依靠网络设备的签名匹配进行检测和拦截， 签名检测技术对已知漏洞可以进行有效防御。 HTTP 是一个开放而且复杂的协议，漏洞攻击只是Web 攻击的一部分，随着 黑客对HTTP 研究的深入，发现了更多攻击种类：CSRF、盗链、Webshell、CC 攻击、 Cookie 盗用等等，这些攻击行为完全基于会话，没有明确的特征，传统的签名匹配技 术对这种攻击无能为力。研究员在分析了这些会话攻击后，通过在会话层中增加 token，报文重定向的方式进行定位与区分，这种会话识别技术主要应用在WAF 产品 上。 如今，Web 攻击方式呈现多样化，针对DNS 服务器的攻击、高压