waf日志分析报告.doc

《waf日志分析报告.doc》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、衡固WEB应用安全网关日志分析报告10月1日-10月31日XXXXX科技发展有限公司2012年11月一、WAF部署方式WAF的部署方式有3种：串接，并接和双机热备。串接主要部署在快速部署的系统中，工作于透明模式，具有bypass的功能；并接主要针对不能中断的系统；双机热备则具有更高的安全性和可靠性，当一台waf出现故障，另一台会自动开启防护功能。一、资源占用情况统计和分析图2-1waf的CPU和内存使用率从上图中可以看出，10月1日到10月31日，waf的CPU应用率平均14.34%，内存使用的平均利用率为20.73%，总体资源耗费不大，但在不断的流量监控的过程中CPU的使用会出

2、现较高的峰值。一、网站的访问请求、应用流量和响应时间统计图3-1访问请求统计图3-2应用流量统计图3-3响应时间统计网站的平均总访问量为1119000个，平均总应用流量为106154KBytes，网站的平均响应时间为11毫秒。一、WEB服务受攻击与WAF网站防护对比分析图4-1攻击防护图4-2攻击源统计从以上的攻击防护与攻击源的图可以看出，绝大多数防护的是网络爬虫，而网络爬虫的作用是使网站在各大搜索引擎中更容易被找到，因此正常的网络爬虫没有危害，若某些IP大量使用一种爬虫而造成网站的访问很缓慢的情况，则需要阻断这些IP的访问使得网站访问正常。另外，waf防护的攻击还有SQL注入，

3、所谓的SQL注入，就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。攻击者通过SQL注入可获取管理员权限，进而操作后台数据，篡改网页内容。一、历史同期的比较4.1攻击类型较上月分析，CC攻击、目录遍历、远程文件包含攻击在10月份均没有出现，而且SQL注入攻击也较上月的52次降到38次。4.2访问流量下图为10月份用户访问请求的流量图。访问流量的对比将在下个月的分析报告中体现4.3攻击源地址攻击的IP地址对应的地区绝大多数来自北京，和上月相同。造成这种情况形成的原因可能是由于使用扫描器对网站进行扫描，使用不同的攻击代码对网站访问时，waf都会记录攻击信息，生成攻击防护日志。一

4、、跟其他单位waf的比较人口信息中心商委教委质监局攻击类型与次数SQL注入38次SQL注入814次跨站脚本3次目录遍历8次命令注入1次SQL注入38次跨站脚本15次目录遍历43次远程文件包含24次SQL注入25次平均访问请求（个）1119792平均应用流量（KBytes）10615466299攻击次数最多来源210.30.103.45辽宁大连220.181.89.168北京电信220.181.158.216北京电信二、改进措施1）开启DDOS防护，防止DDOS攻击2）关闭爬虫防护，减少防护日志，提高waf性能3）开启网站的漏洞扫描，避免由于网站漏洞带来的威胁。三、定性分析从上面的

5、分析中可以看出，WAF有效的检测并阻断各类攻击，避免SQL注入漏洞的检测和攻击，解决了SQL注入带来的危害，通过报表统计可以看到攻击的来源，能够更有效的追溯攻击来源，使得网站的安全得到保障。