产品展示

安全高级应用分析引擎(SAAE)

安全高级应用分析引擎(SAAE)介绍简介借助于八里科技SAAE(安全高级应用分析引擎)的使用, 不需要对应用识别、应用审计、入侵防护、病毒防护等知识有深入的了解。只需要直接把报文送入到SAAE中进行分析,就可以直接获取相应的结果。 SAAE支持以下几种工作模块:l  单进程模式l  多线程模式l  多进程模式(需要借助自定义的共享内存分配接口)。 SAAE本身以静态库

安全高级应用分析引擎(SAAE)介绍


简介

借助于八里科技SAAE(安全高级应用分析引擎)的使用, 不需要对应用识别、应用审计、入侵防护、病毒防护等知识有深入的了解。只需要直接把报文送入到SAAE中进行分析,就可以直接获取相应的结果。 SAAE支持以下几种工作模块:

l  单进程模式

l  多线程模式

l  多进程模式(需要借助自定义的共享内存分配接口)。


SAAE
本身以静态库/动态方式发布,只需要在程序中链接-lsaae,就可以做为进程的一个功能模块使用。使用SAAE的基本步骤如下:
1
、初始化SAAE
2
、收到数据报文之后,根据五元组创建saae会话。
3
、将报文的IP部分送到了saae分析。
4
、根据分析的返回值,查询相应的结果。

 

使用SAAE,需要提供的内容如下:

l  IP首部开始的报文。

l  基于五元组会话(SAAE在解析的时候,需要把一些数据记录在会话上,需要在会话上增加一个指针指向SAAE会话的指针,并且在会话结束的释放这个指针)。

网络安全|威胁情报|5G 测试|桌面虚拟化

SAAE功能

应用识别

支持20种分类,一千多种应用的识别:

l  即时通讯

l  P2P下载

l  在线视频

l  炒股软件

l  网络游戏

l  文件共享

l  搜索引擎

l  社交网络

l  数据库

l  在线购物

l  网络协议

l  电子邮件

l  远程控制

l  常用网站

l  代理翻墙

l  办公软件

l  在线更新

l  网络工具

l  电子商务

l  其他


应用审计

l  即时通讯,支持对聊天的工具的登录、注销、发收消息等行为进行审计。可以审计出聊天的工具的帐号。

l  搜索引擎,支持对搜索引擎搜索的内容进行审计。支持百度、GoogleBing40多种主流搜索引擎。

l  社交网络,支持对在线社区、BBS、微博等发表或者评论的内容进行审计。支持新浪微博、百度贴吧、天涯等近百种社区和论坛。

l  电子邮件,支持常用WebMailPOP3IMAPSMTP协议的审计。

支持QQ邮箱、网易邮箱、139邮箱、新浪邮箱等主流WebMail,和基于POP3IMAPSMTP的审计,支持审计邮件的标题、内容、附件等信息。

l  文件共享,支持对FTPHTTP、网盘传输的文件进行审计。

l  在线购物,支持对浏览的商品以及搜索的内容进行审计。

具体支持的应用请参考上面的SAAE应用列表附件。随着特征库的不断更新,支持的应用还在不断增加中。

Web审计

审计网站访问的URL、标题等内容。

编译参数

SAAE在编译的时候,信赖于以下几个参数:

-lxml2用于特征库的解析。

-lm用于数学运算。

多进程

l  需要使用CVMX_SHARED的机制来实现实现进程间的全局变量的共享。

l  在多进程条件下,需要使用共享内存的分配接口,通过这些接口分配的内存地址支持在所有进程间共享。

注意:

在多进程环境下,只需要初始化的进程调用初始化函数,其它的进程不需要做任何操作。

网络安全|威胁情报|5G 测试|桌面虚拟化

 

总体架构

SAATCP重组、协议解析、模式匹配、加密P2P识别、端口识别等模块组成。

1.         其中模式匹配和加密P2P特征识别处理前20个有TCP或者UDP负载的报文。

2.         如果前20个报文不能识别出应用,并且目的端口小于1024的情况下,会使用目的端口对应用进行识别。

3.         如果前两个步骤都没有结果的话,会在100个报文的时候,对会话进行加密P2P行为特征的匹配,如果再无结果,识别过程结束。

网络安全|威胁情报|5G 测试|桌面虚拟化

 

应用变量

我们把一些应用的共同属性抽象出来,叫应用变量,比如QQ、邮箱帐号、微博帐号,全部叫做audit_username。应用变量的类型全部是字符串型,并且全部是UTF-8编码。

audit_username

用户名、帐号(为了使用的方便,一旦我们识别出用户名之后,会记录在流上,之后每次都可以获取到)

audit_password

密码

audit_filename

文件名

audit_filecontent

邮件协议的文件内容

audit_title

标题,比如论坛发表的标题。

audit_content

内容,比如微博发现的内容、QQ空间发表的内容

audit_search_keyword

搜索关键字,比如Bing搜索的关键字。

audit_mail_sender

发件人,包括Webmail和标准邮件协议。

audit_mail_receiver

收件人,包括Webmail和标准邮件协议。

audit_mail_cc

抄送,包括Webmail和标准邮件协议。

audit_command

FTP、邮箱等协议的命令。

 

协议变量

协议变量是指一些协议解析出的数据,比如:

http_user_agenthttp_hostsmtp_user等。

协议变量的获取的接口和应用变量获取的接口是相同的。应用、应用行为、应用变量、高层协议、协议变量的关系如下图所示:


 网络安全|威胁情报|5G 测试|桌面虚拟化

特征库

特征库更新

SAAE的特征库每周更新,并支持不间断更新,在不需要重启进程的情况下直接进行更新。

 

特征库格式

应用特征库名称为app_rule.xml,是一个xml文件,方便第三方程序读取,其基本格式为:

Root表示根节点。

build_time表示特征库的生成时间。

build_user表示特征库生成的用户。

app_action节点表示应用行为。

category节点表示应用分类。

application节点表示一个应用。

rule节点表示一条规则。

audit节点表示一条审计规则。

 

<?xml version="1.0" encoding="utf-8"?>

<root>

  <build_time>16-02-19 05:03:17</build_time>

  <build_user>殷枭</build_user>

  <action>

    <app_action>

      <name_en>Comment</name_en>

      <name_cn>评论</name_cn>

</app_action>

……

  </action>

  <category>

    <category_id>1</category_id>

    <category_name_cn>即时通讯</category_name_cn>

    <category_name_en>instant-messaging</category_name_en>

    <action>

      <action_name>Login</action_name>

      <app_vars>audit_username</app_vars>

    </action>

    <application>

      <app_id>143</app_id>

      <app_name_cn>QQ</app_name_cn>

      <app_name_en>qq</app_name_en>

      <app_desc_cn>腾讯QQ(简称QQ)是腾讯公司开发的一款基于Internet的即时通信(IM)软件。用户可能利用它通过网络实现与朋友之间互发即时的短消息、传送文件、进行音频或视频交流、进行游戏等等.</app_desc_cn>

      <app_desc_en>QQ is a popular instant messenger at home, and users can use it to send instant short messages, transfer files, communicate through audios or videos, play games, etc.</app_desc_en>

      <app_risk>3</app_risk>

      <app_popular>5</app_popular>

      <app_refer>http://www.qq.com/</app_refer>

      <app_platform>Common</app_platform>

      <app_category>instant-messaging</app_category>

      <rule>

        <sig_id>0x1000036</sig_id>

        <sig_action>Login</sig_action>

        <sig_protocol>TCP</sig_protocol>

        <sig_version>1+</sig_version>

        <sig_encrypt>1</sig_encrypt>

        <sig_priority>9</sig_priority>

        <sig_type>pattern</sig_type>

        <sig_match>FF98D3FA8F468C652B4D513FF3B89641166BE24A0475C0DF652E61C0795BB530862324260DC9909DF2BD1BDDA3A74DF6E4CD129907DD5C478FA1ECA14A9656F3</sig_match>

        <audit>

          <audit_id>0x200000f</audit_id>

          <audit_name_cn>审计用户名</audit_name_cn>

          <audit_name_en>audit_username</audit_name_en>

          <audit_version>1</audit_version>

          <audit_encrypt>0</audit_encrypt>

          <audit_type>label</audit_type>

          <audit_encode>bu4</audit_encode>

          <audit_match>tcp_payload[2,1]=%02</audit_match>

          <audit_offset>7</audit_offset>

          <audit_length>4</audit_length>

        </audit>

      </rule>

 

支持的体系架构

目前支持的体系架构为X86_64MIPS OCTEON处理器。

 

内存占用

SAAE占用的内存由两部分组成:

l  一部分是初始化之后固定占用的内存。在开启应用识别+审计功能的基础上,大约占用内存为100M左右。

l  另外一部分是每条需要处理的会话占用的内存。对于非HTTP流量,每条会话大约256字节,对于HTTP的流量,会再分配256字节的内存。

 

联络八里科技以获得更多的威胁情报等信息。

北京八里科技有限公司

电话:010 5360 7998

Email: info@8milestec.com

www.8milestec.com