Web安全數據檢測要這樣做

態勢感知——數據感知引擎

當前大部分網絡攻擊是針對Web應用的，僅依靠傳統的防火墻與終端安全軟件已無法保護用戶免遭應用層的威脅，加之現在企業的IT環境已逐步遷至云和Web端，更使得Web應用脆弱不堪。

態勢感知之所以被喚起正是基于此原因，而態勢感知下的數據感知引擎能夠對Web應用數據進行安全監測、通報預警和追蹤溯源。

盛邦安全CEO權小文表示，這需要將人的網絡空間和現實空間的行為做一一對應，目的是便于追溯網絡空間中的違法行為。如果能將網絡中的行為基于IP地址轉化為基于人的行為畫像，便可對網絡中的違法行為進行快速處置和調查。因此數據感知引擎就顯示出傳統安全設備無法比擬的優勢。

數據需要更加精細化

感知引擎每天收集大量的數據，數據來源于日志收集、分光數據、僵木蠕數據、安全情報、SOC和漏洞監測。如何將這些數據有效利用起來，數據感知引擎就是將這些數據基于IP地址轉化為人員的畫像，從而做到快速響應和追蹤溯源。

數據感知引擎包括了數據分光引擎和主動監控引擎。其中數據分光引擎整合了僵木蠕引擎與DDoS檢測引擎（僵木蠕引擎中即已包含了對Web的深度檢測），數據分光引擎將僵木蠕引擎與DDoS檢測引擎規整起來，按照1:1的比例抽樣逐包檢測，保證了高精度；主動監控引擎即為現在盛邦安全建立的監測預警平臺，就是將Web漏洞、系統數據庫及木馬、暗鏈、釣魚等整合在一起建立的引擎。數據感知引擎將原來離散的檢測方式規整化，降低了成本和資源消耗的同時，做到了對數據的精細化管理。

DDoS檢測解決誤報

在DDoS檢測時最令人頭疼的莫過于噪音問題，而這些問題直接影響了檢測的精確度。傳統的DDoS檢測是針對IP在總體上設定某個固定閾值，當超過該閾值時系統將會認定為DDoS攻擊并報警。但很多時候有些正常訪問往往超過了該閾值，而該策略無法區分并報警，從而導致誤報。因此如何解決DDoS檢測過程中的誤報率是傳統DDoS檢測的難題。

盛邦安全采用的策略是對檢測流量中所有的IP地址，進行自動發現和跟蹤，并形成動態畫像。由于形成的是針對每個IP地址的動態基線而非傳統上的靜態整體閾值，當超過該動態基線時則將被判斷為DDoS攻擊行為，誤報問題能夠得到大幅改善。