日志分析方法有以下五種:
特征字符分析
在日志中查找已知的漏洞特征,去發現黑客攻擊行為, 是最簡單的方法。
訪問頻率分析
在黑客攻擊過程中,需要對系統進行各種特定的訪問,這些訪問與正常用戶訪問有很大差別, 每種攻擊行為都有不同的特征。通過對大量用戶訪問數據的挖掘,可以發現這些異常訪問行為。
漏洞掃描檢測
黑客使用漏洞掃描器對 Web 應用進行掃描,可以用匹配 User-Agent 特征的方式進行檢測。如果自定義掃描器的 User-Agent,這個方法的效果可能會不好。但可匹配掃描器掃描的行為,訪問目標離散、來源地址相對固定、訪問結果大多數失敗。根據這些特征對 Web 訪問日志進行分析,即可提取出來可疑的掃描行為。
暴力破解檢測
暴力破解密碼的特征是: 相對固定的來源地址、對登錄URL短時間內高頻率發起請求、與漏洞掃描的區別主要是目標 URL 固定。
webshell 檢測
如果黑客發現系統漏洞,并且利用漏洞獲得上傳權限,會向系統 上傳 webshell。webshell 是一種后門程序,此程序由腳本語言編寫, 可以在 Web 服務器上運行,攻擊者可以通過網頁執行系統命令,讀寫 系統文件。
從訪問行為的角度看,webshell 通常只有攻擊者訪問、來源地址相對固定、訪問時間相對集中、無內嵌其他頁面,通過這些特征即可提取出可疑文件,再通過人工確認的方式,檢測出 webshell。
回答所涉及的環境:聯想天逸510S、Windows 10。
日志分析方法有以下五種:
特征字符分析
在日志中查找已知的漏洞特征,去發現黑客攻擊行為, 是最簡單的方法。
訪問頻率分析
在黑客攻擊過程中,需要對系統進行各種特定的訪問,這些訪問與正常用戶訪問有很大差別, 每種攻擊行為都有不同的特征。通過對大量用戶訪問數據的挖掘,可以發現這些異常訪問行為。
漏洞掃描檢測
黑客使用漏洞掃描器對 Web 應用進行掃描,可以用匹配 User-Agent 特征的方式進行檢測。如果自定義掃描器的 User-Agent,這個方法的效果可能會不好。但可匹配掃描器掃描的行為,訪問目標離散、來源地址相對固定、訪問結果大多數失敗。根據這些特征對 Web 訪問日志進行分析,即可提取出來可疑的掃描行為。
暴力破解檢測
暴力破解密碼的特征是: 相對固定的來源地址、對登錄URL短時間內高頻率發起請求、與漏洞掃描的區別主要是目標 URL 固定。
webshell 檢測
如果黑客發現系統漏洞,并且利用漏洞獲得上傳權限,會向系統 上傳 webshell。webshell 是一種后門程序,此程序由腳本語言編寫, 可以在 Web 服務器上運行,攻擊者可以通過網頁執行系統命令,讀寫 系統文件。
從訪問行為的角度看,webshell 通常只有攻擊者訪問、來源地址相對固定、訪問時間相對集中、無內嵌其他頁面,通過這些特征即可提取出可疑文件,再通過人工確認的方式,檢測出 webshell。
回答所涉及的環境:聯想天逸510S、Windows 10。