八里科技四合一安全高级应用分析引擎(SAAE)
安全高级应用分析引擎(SAAE)介绍简介借助于八里科技SAAE(安全高级应用分析引擎)的使用, 不需要对应用识别、应用审计、入侵防护、病毒防护等知识有深入的了解。只需要直接把报文送入到SAAE中进行分析,就可以直接获取相应的结果。 SAAE支持以下几种工作模块:l 单进程模式l 多线程模式l 多进程模式(需要借助自定义的共享内存分配接口)。 SAAE本身以静态库
- :
安全高级应用分析引擎(SAAE)介绍简介借助于八里科技SAAE(安全高级应用分析引擎)的使用, 不需要对应用识别、应用审计、入侵防护、病毒防护等知识有深入的了解。只需要直接把报文送入到SAAE中进行分析,就可以直接获取相应的结果。 SAAE支持以下几种工作模块:l 单进程模式l 多线程模式l 多进程模式(需要借助自定义的共享内存分配接口)。 SAAE本身以静态库
安全高级应用分析引擎(SAAE)介绍
借助于八里科技SAAE(安全高级应用分析引擎)的使用, 不需要对应用识别、应用审计、入侵防护、病毒防护等知识有深入的了解。只需要直接把报文送入到SAAE中进行分析,就可以直接获取相应的结果。 SAAE支持以下几种工作模块:
l 单进程模式
l 多线程模式
l 多进程模式(需要借助自定义的共享内存分配接口)。
SAAE本身以静态库/动态方式发布,只需要在程序中链接-lsaae,就可以做为进程的一个功能模块使用。使用SAAE的基本步骤如下:
1、初始化SAAE。
2、收到数据报文之后,根据五元组创建saae会话。
3、将报文的IP部分送到了saae分析。
4、根据分析的返回值,查询相应的结果。
使用SAAE,需要提供的内容如下:
l 从IP首部开始的报文。
l 基于五元组会话(SAAE在解析的时候,需要把一些数据记录在会话上,需要在会话上增加一个指针指向SAAE会话的指针,并且在会话结束的释放这个指针)。
支持20种分类,一千多种应用的识别:
l 即时通讯
l P2P下载
l 在线视频
l 炒股软件
l 网络游戏
l 文件共享
l 搜索引擎
l 社交网络
l 数据库
l 在线购物
l 网络协议
l 电子邮件
l 远程控制
l 常用网站
l 代理翻墙
l 办公软件
l 在线更新
l 网络工具
l 电子商务
l 其他
应用审计
l 即时通讯,支持对聊天的工具的登录、注销、发收消息等行为进行审计。可以审计出聊天的工具的帐号。
l 搜索引擎,支持对搜索引擎搜索的内容进行审计。支持百度、Google、Bing等40多种主流搜索引擎。
l 社交网络,支持对在线社区、BBS、微博等发表或者评论的内容进行审计。支持新浪微博、百度贴吧、天涯等近百种社区和论坛。
l 电子邮件,支持常用WebMail和POP3、IMAP、SMTP协议的审计。
支持QQ邮箱、网易邮箱、139邮箱、新浪邮箱等主流WebMail,和基于POP3、IMAP、SMTP的审计,支持审计邮件的标题、内容、附件等信息。
l 文件共享,支持对FTP、HTTP、网盘传输的文件进行审计。
l 在线购物,支持对浏览的商品以及搜索的内容进行审计。
具体支持的应用请参考上面的SAAE应用列表附件。随着特征库的不断更新,支持的应用还在不断增加中。
审计网站访问的URL、标题等内容。
SAAE在编译的时候,信赖于以下几个参数:
-lxml2用于特征库的解析。
-lm用于数学运算。
l 需要使用CVMX_SHARED的机制来实现实现进程间的全局变量的共享。
l 在多进程条件下,需要使用共享内存的分配接口,通过这些接口分配的内存地址支持在所有进程间共享。
注意:
在多进程环境下,只需要初始化的进程调用初始化函数,其它的进程不需要做任何操作。
SAA由TCP重组、协议解析、模式匹配、加密P2P识别、端口识别等模块组成。
1. 其中模式匹配和加密P2P特征识别处理前20个有TCP或者UDP负载的报文。
2. 如果前20个报文不能识别出应用,并且目的端口小于1024的情况下,会使用目的端口对应用进行识别。
3. 如果前两个步骤都没有结果的话,会在100个报文的时候,对会话进行加密P2P行为特征的匹配,如果再无结果,识别过程结束。
我们把一些应用的共同属性抽象出来,叫应用变量,比如QQ、邮箱帐号、微博帐号,全部叫做audit_username。应用变量的类型全部是字符串型,并且全部是UTF-8编码。
audit_username | 用户名、帐号(为了使用的方便,一旦我们识别出用户名之后,会记录在流上,之后每次都可以获取到) |
audit_password | 密码 |
audit_filename | 文件名 |
audit_filecontent | 邮件协议的文件内容 |
audit_title | 标题,比如论坛发表的标题。 |
audit_content | 内容,比如微博发现的内容、QQ空间发表的内容 |
audit_search_keyword | 搜索关键字,比如Bing搜索的关键字。 |
audit_mail_sender | 发件人,包括Webmail和标准邮件协议。 |
audit_mail_receiver | 收件人,包括Webmail和标准邮件协议。 |
audit_mail_cc | 抄送,包括Webmail和标准邮件协议。 |
audit_command | FTP、邮箱等协议的命令。 |
协议变量是指一些协议解析出的数据,比如:
http_user_agent、http_host、smtp_user等。
协议变量的获取的接口和应用变量获取的接口是相同的。应用、应用行为、应用变量、高层协议、协议变量的关系如下图所示:
SAAE的特征库每周更新,并支持不间断更新,在不需要重启进程的情况下直接进行更新。
应用特征库名称为app_rule.xml,是一个xml文件,方便第三方程序读取,其基本格式为:
Root表示根节点。
build_time表示特征库的生成时间。
build_user表示特征库生成的用户。
app_action节点表示应用行为。
category节点表示应用分类。
application节点表示一个应用。
rule节点表示一条规则。
audit节点表示一条审计规则。
……
目前支持的体系架构为X86_64和MIPS OCTEON处理器。
内存占用
SAAE占用的内存由两部分组成:
l 一部分是初始化之后固定占用的内存。在开启应用识别+审计功能的基础上,大约占用内存为100M左右。
l 另外一部分是每条需要处理的会话占用的内存。对于非HTTP流量,每条会话大约256字节,对于HTTP的流量,会再分配256字节的内存。
联络八里科技以获得更多的威胁情报等信息。
北京八里科技有限公司
电话:010 5360 7998
Email: info@8milestec.com