[发明专利]基于日志分析和防火墙安全矩阵的网站安全监控报警系统

说明书

为了及时发现和阻止针对网站的各类安全攻击，本发明以网站的安全管理员在实际安全运维中最依赖的两项工作为基础，发明了基于日志分析和防火墙安全矩阵的网站安全监控报警系统。其中日志监控的创新是通过对Apache/Tomcat/IIS的访问/错误日志及其他环境日志进行关键字/正则表达式过滤来自动发现已知和未知攻击，同时通过网站业务代码中的日志定制及时发现黑客攻击在早期引起的业务处理错误。另一创新是通过定义防火墙安全矩阵，然后采用直接或间接的网络连通性检测技术来验证矩阵的有效性，一旦发现安全矩阵被破坏则触发报警。该系统提供给管理员简单而有效的定制方式，可持续地增强对任何攻击或可疑行为的侦测能力。

技术领域

本发明的技术领域是信息安全领域的网站安全防护和监控报警系统。

背景技术

随着互联网应用的高速发展，各种Web网站以几何级数的速度高速增长，但层出不穷的黑客攻击对Web网站的可用性和安全性造成了巨大的威胁。目前主流的安全防护包括多种类的系统：入侵检测系统，Web应用防火墙，远程安全扫描等。但上述几类安全产品尚不足以保证网站的安全，原因如下：

入侵检测系统：依赖的机制是对网络报文的检查，因其不了解用户网站应用的业务逻辑，只能对已知的典型的漏洞利用方式、攻击特征进行匹配式的检查，而不能检测新类型的或是对特定目标的攻击，实际有效率就很低。有一些厂商会研发启发式规则，但限于在网络层来观察流量/报文，一来对正常业务性能影响较大，二来未知的正常/非正常访问方式非常之多，从而导致误判率太高。

Web应用防火墙(WAF)：主要针对OWASP组织发布的十大Web典型攻击方式来进行http报文解析和检查，发现并阻止攻击。WAF有其特定价值，但它的机制也是基于对已知的攻击方式进行匹配，因此很难对不断涌现的新漏洞/新攻击方式作有效的发现。

远程安全扫描：由于扫描的检测基础是只能检查远程访问/调用返回的结果，与已知结果作匹配，因此有很大的局限性，主要用于发现网站组件的安全漏洞，并不能及时地发现攻击和可疑行为。

对于网站安全来说，最重要的是及时发现并阻止攻击和可疑行为，而上述几种防护系统因为缺乏对客户业务系统的了解，也未提供足够强大的对未知和特定攻击的检测方法，因此尚不能达到理想的安全效果。

本发明以网站的安全管理员在实际安全运维中最依赖的两项工作为基础，发明了基于日志监控和防火墙安全矩阵监控的一套监控报警系统。该系统提供给管理员简单而有效的定制方式，可持续地增强对任何攻击或可疑行为的侦测能力，通过在实际运维工作中的有效性验证，效果显著，能弥补现有的其他网站安全防护系统的不足。

本发明基础之一的日志监控，是很多安全管理员已经使用的一种监控手段，把各种日志文件存档到一起，分类、按关键字作检查，发现可疑的问题就报警。但是管理员一般将日志监控用于系统/服务的可用性监控，而不是安全监控，而不用于安全监控，就没有积累黑客攻击的日志特征。即使有对访问日志作安全监控，主要都是防DDOS和防流量攻击，而从未有针对网站内容的异常访问的检测，比如漏洞利用的访问，SQL注入等。也正因为没有把日志监控作为一种安全防护的解决方案，也就从没有人提出过对网站应用的日志进行定制化要求，比如J2EE后台任何异常都要写日志，对请求参数作特殊字符过滤并记录可疑事件，对用户的未授权访问错误必须记日志等。有了这种网站业务代码中的日志定制，再与全面的日志监控和其他子系统共同构成一个解决方案，就是本发明的首要创新点。

本发明基础之二的防火墙安全矩阵监控，是此前从未有人提出的概念。作为网站安全防护的基础，最基本的防火墙只要配置全面，就能把除SQL注入、跨站攻击等Web端口(80/443端口)攻击之外的其他安全威胁都挡在外面。而大多数被攻陷的网站，都是黑客获得外层的主机/服务器权限后，远程登陆/自动下载来实施进一步的内容篡改和破坏，这一过程就必然会破坏原先系统定义的安全矩阵。本发明首创的第二个子系统就是采用直接或间接的网络连通性检测技术，来验证某些IP区域及端口范围彼此之间的连通性要求，如果在安全矩阵中是要求阻断的，一旦发现其变成连通状态，就说明某个点已被黑客攻破。