星冕——守护这⽚片星空
主讲⼈人——PKAV何鹏程(蘑菇)
各类型企业⾯面临的安全⻛风险
安全防护企业类型 建站架构及⻛风险
中⼩小型企业
外包
⾃自寻CMS
本地⼩小众CMS ⽆无数漏洞
版本更新缓慢 潜在漏洞
⼤大多数⽆无防护,⼩小部分采⽤用开
源的防护软件(如安全狗)
⼤大型企业
外包(⾮非
IT⾏行业)
⾃自主建设 安全意识差异化⼤大 潜在漏洞
商⽤用CMS 研究者众多,潜在⻛风险
业务群业
务链 ⼦子站众多架构庞⼤大 ⽆无孔不⼊入
⽆无防护
代码层过滤
⾃自建或采购各类WAF
如何在不改变系统原有架构的前提下统⼀一规避⻛风险?
PKAV团队⾃自研的集⺴⽹网站监控、防护与态势感知为⼀一体的系统——星冕
平台功能 功能说明
⺴⽹网站访问加速
对接⼊入设备的⺴⽹网站实现反向代理,反向代理能够帮助⽤用户智能选路并通过静态缓存实现访问加速的功能,与此同时,
反向代理能够帮助⽤用户拦截各类攻击请求。
⺴⽹网站⽇日志审计
记录和分析⺴⽹网站的威胁情报⽇日志,以⼩小时为单位对权限范围内的管辖⺴⽹网站进⾏行多维度的⽇日志分析,通过点击⽇日志还可
以查看所有⺴⽹网站的安全状态详情,并通过链接定位到安全细节。
全站流量分析
提供实时以及⾮非实时的流量分析统计,⽤用户可以根据⾃自⼰己的需求查看⺴⽹网站的流量负荷并从中提取和发现出异常流量和
攻击⾏行为。
多维攻击检测
提供三种维度的攻击检测和积分机制,包括WAF积分、场景积分和固化URL积分三类,⽤用户可以通过该模块来查看⺴⽹网
站的安全状态,同时该模块也会智能地拦截⾮非法⽤用户的访问请求。
访问⾏行为还原
当⽤用户选择了指定时间段的指定IP后,可以将该时间段的IP访问⾏行为进⾏行多维度的还原以识别这段时间的⽤用户访问。
特别是当确定了攻击者后可以通过该模块来完成⼊入侵⾏行为的还原,并且具有良好的展⽰示效果。
⺴⽹网站篡改检测
通过⼤大数据的⼿手段来识别⺴⽹网站是否遭到了恶意篡改,包括进⾏行⺴⽹网站的源码相似度、图⽚片相似度、词云相似度等多维的
数学检测,从⽽而判断⺴⽹网站⺫⽬目前的安全状况。
⺴⽹网站后⻔门检测
通过整站后⻔门检查,检测⺴⽹网站是否被植⼊入后⻔门。
反向落地追踪
提供JS回执功能,对于可疑IP选择性的开启JS回执功能,该模块可以配合指纹系统定位攻击者的虚拟⾝身份信息。
⿊黑⽩白名单添加
提供⿊黑⽩白名单添加的接⼝口,包括IP⿊黑名单、IP⽩白名单以及URL⽩白名单三类,管理员可以⾃自⾏行调节该接⼝口来对特殊⻚页⾯面
和特殊IP进⾏行管理。
攻击拦截⽅方式
传统的攻击拦截模式 基于静态WAF规则
星冕的攻击拦截模式
专业团队维护的动态规则
基于⾏行为的场景规则
固化URL规则
威胁情报⽇日志记录
威胁得分与评级
基于规则的访问详情
固化URL监测信息
场景监测信息
⾏行为还原⽅方式
传统的⾏行为还原⽅方式 ⽇日志分析
星冕的⾏行为还原⽅方式
可视化的访问记录显⽰示
可视化的访问时段还原
基于算法的扫描⾏行为识别
定向的⾏行为还原接⼝口
⾃自定义的⾏行为还原接⼝口
⺴⽹网⻚页篡改检测
传统的⺴⽹网⻚页篡改检测 源码检测
星冕的⺴⽹网⻚页篡改检测
源码检测
链接检测
分词检测
图像检测
反向落地追踪
传统的落地追踪模式 落地到IP以及该IP的地理位置
缺点
只有IP地址,⽆无法定位到更为相信的信息
⼀一旦⽤用户挂上VPN则⽆无法定位到准确信息
只能定位到公⺴⽹网地址,内⺴⽹网的⽤用户⽆无法区分
星冕的落地追踪模式 指纹识别
回传隐藏JS 配合指纹系统
获取访客的唯⼀一⺴⽹网络标识,以及该标识所对应
的⺴⽹网络⾝身份(包括ID、⽤用户名、昵称等)
获
取
详
尽
的
虚
拟
⾝身
份
⽆无
视
任
何
VPN
⽆无
视
任
何
⺴⽹网
络
环
境
性
能
稳
定
可
做
⻓长
期
监
控
指纹系统总体技术架构->纯粹依靠漏洞,很难被模仿和被超越
我
们
能
获
取
到
的
⺴⽹网
站
指
纹
除此之外⽤用户也可以⾃自定义返回JS信息(例如⽤用作推⼲⼴广)
详细监测信息
传统的监测信息记录 数据库->表格的单⼀一展⽰示
星冕的监测信息记录
图、⽂文、表相结合
完善的报告⽣生成体系
⾃自定义的攻击预警提⽰示
直观的实时监控信息
除此之外
流量分析
威胁信息管理
后⻔门检测
⿊黑⽩白名单添加
域名及⽤用户管理 操作⽇日志管理
细节决定成败
品质铸就辉煌
