Web安全数据检测要这样做

态势感知——数据感知引擎

当前大部分网络攻击是针对Web应用的，仅依靠传统的防火墙与终端安全软件已无法保护用户免遭应用层的威胁，加之现在企业的IT环境已逐步迁至云和Web端，更使得Web应用脆弱不堪。

态势感知之所以被唤起正是基于此原因，而态势感知下的数据感知引擎能够对Web应用数据进行安全监测、通报预警和追踪溯源。

盛邦安全CEO权小文表示，这需要将人的网络空间和现实空间的行为做一一对应，目的是便于追溯网络空间中的违法行为。如果能将网络中的行为基于IP地址转化为基于人的行为画像，便可对网络中的违法行为进行快速处置和调查。因此数据感知引擎就显示出传统安全设备无法比拟的优势。

数据需要更加精细化

感知引擎每天收集大量的数据，数据来源于日志收集、分光数据、僵木蠕数据、安全情报、SOC和漏洞监测。如何将这些数据有效利用起来，数据感知引擎就是将这些数据基于IP地址转化为人员的画像，从而做到快速响应和追踪溯源。

数据感知引擎包括了数据分光引擎和主动监控引擎。其中数据分光引擎整合了僵木蠕引擎与DDoS检测引擎（僵木蠕引擎中即已包含了对Web的深度检测），数据分光引擎将僵木蠕引擎与DDoS检测引擎规整起来，按照1:1的比例抽样逐包检测，保证了高精度；主动监控引擎即为现在盛邦安全建立的监测预警平台，就是将Web漏洞、系统数据库及木马、暗链、钓鱼等整合在一起建立的引擎。数据感知引擎将原来离散的检测方式规整化，降低了成本和资源消耗的同时，做到了对数据的精细化管理。

DDoS检测解决误报

在DDoS检测时最令人头疼的莫过于噪音问题，而这些问题直接影响了检测的精确度。传统的DDoS检测是针对IP在总体上设定某个固定阈值，当超过该阈值时系统将会认定为DDoS攻击并报警。但很多时候有些正常访问往往超过了该阈值，而该策略无法区分并报警，从而导致误报。因此如何解决DDoS检测过程中的误报率是传统DDoS检测的难题。

盛邦安全采用的策略是对检测流量中所有的IP地址，进行自动发现和跟踪，并形成动态画像。由于形成的是针对每个IP地址的动态基线而非传统上的静态整体阈值，当超过该动态基线时则将被判断为DDoS攻击行为，误报问题能够得到大幅改善。