WEB访问日志自动化分析浅谈

最新推荐文章于 2024-01-30 21:13:25 发布
最新推荐文章于 2024-01-30 21:13:25 发布
阅读量2k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enweitech/article/details/79241374
版权

1.概况

最近经常需要分析WEB访问日志,从中发现非法请求,然后做相应安全检查,为了方便,所以写了一个日志分析平台,支持提交iis,apapche,tomcat,ngnix等日志格式,代码使用python语言。

另外,文章中所有的截图、日志都是使用工具扫描自己搭建的环境产生的日志,不涉及到任何用户。

2.架构

3.分析 3.1导入数据

这里并没有使用splunk之类的平台,而是根据日志的格式进行数据分割,然后存储到MongoDB中,比如apache的格式类似于

%h %l %u %t \"%r\" %>s %b

web访问日志的格式,类似于

1.1.1.1 - - [28/Oct/2017:01:58:11 +0800] "POST /admin/ HTTP/1.1" 200 14657

这里需要注意的是,如果直接使用split按照空格分割的话,会存在一些问题,比如日志中的时间([28/Oct/2017:01:58:11 +0800])中间也是存在空格的,可以用DictReader定义quotechar读取数据。

下图是我定义的日志格式,包含了常用的参数

常规的WEB访问日志是没有POST日志的,所以能分析的内容都是基于GET参数、请求路径等,但是有些WAF日志是记录了所有的请求内容,可以用来丰富。

下面分别介绍下可以使用的功能

3.2数据查询

数据查询是最基础的功能,可以根据时间,ip等查询,这样就可以定义某个IP所有的行为,或者夜间某个时间点的访问日志

3.2正则匹配

正则匹配可能是WAF经常使用的规则,分析WEB访问日志时,也经常会用到,例如可执行脚本在上传目录下(例如/images/cmd.aspx),那么这个文件就很有可能是webshell,常规的还有attachments|images|css|uploadfiles等,还有一些解析漏洞的格式都可以用来匹配。

针对敏感文件/目录的扫描则是判断文件的后缀、路径等,例如rar,bak,swp等

对于SQL注入、XSS等漏洞则是针对参数进行匹配,但是如果规则不够研究,可能会存在多个误报问题。

3.3机器学习

上面讲到,如果用正则匹配,那么会存在很多误报问题,所以我只定义了一部分严格的规则,保证匹配出来的一定是攻击的日志。对于其他的行为,则采用了机器学习模型机进行分类。

使用机器学习分类的重点和难点在于日志的收集和特征的选择;俗话说的好,正常总是基本相似,异常却各有各的异常,所以这里面的重点又到了异常日志的收集。

我从两个方面找了异常日志:

1.使用扫描器的模块扫描网站,比如使用SQLMAP扫描注入页面,那么WEB日志大多数都是SQL注入;或者使用WVS的XSS模块扫描页面,那日志里就有很多XSS的日志。

2.从GITHUB上搜索了很多个常用的poc和exp,然后进行分类。

这里我用脚本将访问日志的路径都删除,只保留了参数的值,正常日志如下图:

sql注入和xss的日志如下:

当然还有很多其他类型的日志,大家可以收集一下

使用TfidfVectorizer进行文本特征提取

TfidfVectorizer(ngram_range=(2,2))

然后用随机森林算法进行训练,准确率、召回率、F1参数

由于是第一个版本,所有还没有做过多的特征筛选和算法选择,后期慢慢改善算法。

3.4威胁情报

针对威胁情报,在日志分析中,主要用来分析IP,如果某个IP在一段时间内发生过情报,比如出现“远控服务器”,那么这个IP就应该被列为威胁IP,它的所有访问日志都应该被重点关注。所以把访问日志中所有的IP进行匹配一次,查看是否有恶意访问的信息

3.5统计分析

统计分析中主要是对IP和页面进行统计分析,比如一般的黑客访问都是用国外的代理IP访问,所以将国外的IP筛选出来,定位分析是否存在安全风险。

另外,针对webshell的访问,比较明显的特征是:由于webshell是孤岛存在,所以基本会被很少的IP访问,那么我们将某个页面被多少个IP访问过统计出来,数量少的可以着重分析。

4.总结

1.本文只是将WEB日志分析中常用的检查方法用python实现出来,但是仍然有很多不足,并且还有一些功能还没实现。

2.由于没有POST数据,所以分析存在很多局限性。

3.可以用机器学习的其他模型来尝试解决该问题。

4.欢迎大家指正,或者提供一些自己平时用到的分析方法,感谢感谢。

【监控和自动化的指标】

还在用命令行查问题吗?云监控提供30余种服务器监控指标,等你来用!


资源使用率(CPU/MEM/DiskIO)、流量和带宽、各种日志(系统、访问和应用)、web服务软件(中间件)、URL应用本身的Page/list、进程、数据库慢查询和缓存命中率(CDN)、应用API请求、消息队列、容器和调度、系统负载状况、虚拟化、
文件系统(文件篡改/innode)以及网络(延迟和抖动等)和安全(信息安全、网络安全ddos和数据安全等)。+历史记录

天府云创
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈工业自动化解决方案
01-20
PPB-MES制造执行系统的设计思路构建基于Pocket PC 的信息网络平台。Pocket PC(简称PPC)是基于微软的Windows Mobile操作系统的一种PDA|掌上电脑。Pocket PC是一种手持设备,可帮助您存储并检索电子邮件、联系人和约会信息,播放多媒体文件,玩赏电子游戏,借助MSN Messenger交换文本消息,浏览Web内容……您将能够与台式机实现信息交换和同步。   工业自动化是机器设备或生产过程在不需要人工直接干预的情况下,按预期的目标实现测量、操纵等信息处理和过程控制的统称。自动化技术就是探索和研究实现自动化过程的方法和技术。它是涉及机械、微电子、计算机等技术
Web服务器日志统计分析完全解决方案
09-30
请注意本文已刊载在《开放系统世界》2003年第二期,该文章版权属于该杂志所有,请勿随意转载,转载请保留该声明摘要:对于所有的ICP来说,除了保证网站稳定正常运行以外,一个重要的问题就是网站访问量的统计和分析报表,这对于了解和监控网站的运行状态,对提高各个网站的服务能力和服务水平是必不可少的。通过对Web服务器的日志文件进行分析和统计,能够有效掌握系统运行情况以及网站内容的受访问情况、加强对整个网站及其内容的维护与管理。本文对Web服务器日志分析的原理和技术进行讨论。
Web服务器日志分析
Kali与编程
01-30 1001
Web服务器日志Web应用程序管理和维护的重要工具,记录了所有用户请求和响应的信息,可以通过分析日志文件了解用户的访问情况、性能瓶颈、行为习惯、兴趣爱好等信息,从而可以进行流量控制、访问限制、优化改善、安全评估等工作。通过分析日志文件,可以了解Web应用程序的访问情况,如用户访问的时间、访问频率、IP地址等信息,从而可以进行流量控制和访问限制,提高Web服务器的性能和稳定性。Web服务器日志可以记录用户的登录和操作信息,帮助管理员追踪用户的登录行为和操作记录,加强Web应用程序的安全保护和用户隐私保护。
浅谈Web网站架构演变过程
02-02
我们以javaweb为例,来搭建一个简单的电商系统,看看这个系统可以如何一步步演变。该系统具备的功能:用户模块:用户注册和管理商品模块:商品展示和管理交易模块:创建交易和管理网站的初期,我们经常会在单机上跑我们所有的程序和软件。此时我们使用一个容器,如tomcat、jetty、jboos,然后直接使用JSP/servlet技术,或者使用一些开源的框架如maven+spring+struct+hibernate、maven+spring+springmvc+mybatis;最后再选择一个数据库管理系统来存储数据,如mysql、sqlserver、oracle,然后通过JDBC进行数据库的连接和操
web流量分析、windows日志分析
2201_75327657的博客
08-09 178
Windows日志特指Windows操作系统中各种各样的日志文件。安全日志:记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx系统日志:记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。
goaccess 日志分析工具
程序员爱好社区
05-28 1401
goaccess 日志分析工具
简单的Web日志分析
weixin_43988774的博客
04-14 5058
Web日志分析 以apache为例 访问日志记录过程 apache日志大致分为两类:访问日志和错误日志 访问日志记录的过程: 客户端向web服务器发送请求,请求中包含客户端的IP、浏览器类型(User-Agent)、请示的URL等信息 web服务器向客户端返回请示的页面 web服务器同时将访问信息和状态信息记录到日志文件中 Apache的访问日志目录在其配置文件中已经定义好了,CentOS中apache的配置文件位置为/etc/httpd/conf/httpd.
分享一个应急响应web日志:access.log文件分析小工具
yy
03-08 2960
有时做应急响应的时候,需要提取web日志如access.log日志文件来分析系统遭受攻击的具体原因,由于开源的工具并不是很好用,所以自己用Python写了一个简单的日志分析工具
日志分析篇---Web日志分析
永不垂头的博客
01-29 6765
日志分析篇—Web日志分析 文章目录日志分析篇---Web日志分析一、 web日志二、日志分析技巧三、日志分析案例1、定位攻击源2、搜索相关日志记录3、对找到的访问日志进行解读,攻击者大致的访问路径如下:四、日志统计分析技巧五、我的公众号 一、 web日志 Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可 以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。 我们来看一条Apache的访问日志: 127.0.0.1
analog:一款基于机器学习Web日志统计分析与异常检测命令行工具
05-01
一款基于机器学习Web日志统计分析与异常检测命令行工具 · · analog 是一款命令行下的Web日志审计工具,旨在帮助使用者能够在终端上快速得进行Web日志审计和排查,包含了日志审计、统计的终端图形化和机器学习识别恶意请求的功能。 完整项目文档: 特征提取、模型选取、参数优化等相关问题讨论: 目录 恶意请求分析 Installation Configuration Prepare For Abnormal Detection About TODO Reference Presentation 访问量统计 analog> show statistics requests current day 日志审查 analog> show log of current month IP、请求等统计 analog> show statistic
运维利器:WEB日志分析场景介绍
xnxqwzy的博客
08-09 361
一般可以按照两种思路展开,逐步深入,还原整个攻击过程。第一种:确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。第二种:攻击者在入侵网站后,通常会留下后门权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析。曾经有人问过运维的人员的大神,该如何分析日志?大神回答了三个字:“用命令”。因为站在脚本操作经验丰富的人角度来看,的确用命令足矣,可是对于一般的人员来说用Linux的shell命令还是稍显复杂。还是需要借助一些工具来提高效率。
WEB访问日志分析与入侵检测可视化系统源码(课程设计).zip
08-21
WEB访问日志分析与入侵检测可视化系统源码(课程设计).zip 1、该资源内项目代码都是经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、...
WEB访问日志分析与入侵检测可视化系统源码(高分课设).zip
04-08
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为...WEB访问日志分析与入侵检测可视化系统源码(高分课设).zip
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
基于 Spring Cloud 组件构建的分布式服务架构
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:246】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 用户信息管理,图书信息管理,图书类型管理,图书留言管理,论坛信息管理等
写一个日志类记录web自动化日志
02-14
下面是一个示例的 Python 日志类,用于记录 Web 自动化日志: ``` import logging class WebAutomationLogger: def __init__(self, logger_name): self.logger = logging.getLogger(logger_name) self.logger.setLevel(logging.DEBUG) file_handler = logging.FileHandler('web_automation.log') formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s') file_handler.setFormatter(formatter) self.logger.addHandler(file_handler) def info(self, message): self.logger.info(message) def error(self, message): self.logger.error(message) def debug(self, message): self.logger.debug(message) ``` 使用方法: ``` logger = WebAutomationLogger(__name__) logger.info("Started web automation") logger.error("An error occurred during automation") logger.debug("Debug information") ``` 该日志类使用 Python logging 模块实现,能够方便地记录日志到文件(web_automation.log)并输出日志级别、时间、日志来源等信息。可以根据需要进行更改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值