@深巷
2年前 提问
1个回答
日志分析方法有哪些?
房乐
2年前
日志分析方法有以下五种:
特征字符分析
在日志中查找已知的漏洞特征,去发现黑客攻击行为, 是最简单的方法。
访问频率分析
在黑客攻击过程中,需要对系统进行各种特定的访问,这些访问与正常用户访问有很大差别, 每种攻击行为都有不同的特征。通过对大量用户访问数据的挖掘,可以发现这些异常访问行为。
漏洞扫描检测
黑客使用漏洞扫描器对 Web 应用进行扫描,可以用匹配 User-Agent 特征的方式进行检测。如果自定义扫描器的 User-Agent,这个方法的效果可能会不好。但可匹配扫描器扫描的行为,访问目标离散、来源地址相对固定、访问结果大多数失败。根据这些特征对 Web 访问日志进行分析,即可提取出来可疑的扫描行为。
暴力破解检测
暴力破解密码的特征是: 相对固定的来源地址、对登录URL短时间内高频率发起请求、与漏洞扫描的区别主要是目标 URL 固定。
webshell 检测
如果黑客发现系统漏洞,并且利用漏洞获得上传权限,会向系统 上传 webshell。webshell 是一种后门程序,此程序由脚本语言编写, 可以在 Web 服务器上运行,攻击者可以通过网页执行系统命令,读写 系统文件。
从访问行为的角度看,webshell 通常只有攻击者访问、来源地址相对固定、访问时间相对集中、无内嵌其他页面,通过这些特征即可提取出可疑文件,再通过人工确认的方式,检测出 webshell。