帮助与文档

热搜关键词:远程连接挂载域名解析发票找回密码

Web日志安全分析浅谈

更新时间:2019-3-21 11:48:35

随着Web技术不断发展,Web被应用得越来越广泛,所谓有价值的地方就有江湖,网站被恶意黑客攻击的频率和网站的价值一般成正比趋势,即使网站价值相对较小,也会面对“脚本小子”的恶意测试攻击或者躺枪于各种大范围漏洞扫描器,正如安全行业的一句话:“世界上只有两种人,一种是知道自己被黑了的,另外一种是被黑了还不知道的”。

Web日志安全分析浅谈

此时对网站的日志分析就显得特别重要,作为网站管理运维等人员如不能实时的了解服务器的安全状况,则必定会成为“被黑了还不知道的”那一类人,从而造成损失,当然还有一个场景是已经因为黑客攻击造成经济损失,此时我们也会进行日志分析等各种应急措施尽量挽回损失,简而言之日志分析最直接明显的两个目的,一为网站安全自检查,了解服务器上正在发生的安全事件,二为应急事件中的分析取证。

可能大家会觉得原来日志分析这么简单,不过熟悉Web安全的人可能会知道,关于日志的安全分析如果真有如此简单那就太轻松了。其实实际情况中的日志分析,需要分析人员有大量的安全经验,即使是刚才上节中简单的日志分析,可能存在各种多变的情况导致提高我们分析溯源的难度。

对于日志的安全分析,可能会有如下几个问题,不知道各位可否想过。

1.日志中POST数据是不记录的,所以攻击者如果找到的漏洞点为POST请求,那么刚刚上面的注入请求就不会在日志中体现;

2.状态码虽然表示了响应状态,但是存在多种不可信情况,如服务器配置自定义状态码。

3.攻击者可能使用多个代理IP,假如是一个恶意攻击者,为了避免日后攻击被溯源、IP被定位,会使用大量的代理IP从而增加分析的难度。

如果一个攻击者使用了大量不同的IP进行攻击,那么使用上面的方法可能就无法进行攻击行为溯源了。

4.无恶意webshell访问记录,刚才我们采用的方法是通过“webshell”这个文件名从日志中找到恶意行为,如果分析过程中我们没有找到这么一个恶意webshell访问,又该从何入手寻找攻击者的攻击路径呢?

5.分析过程中我们还使用恶意行为关键字来对日志进行匹配,假设攻击者避开了我们的关键字进行攻击?比如使用了各种编码,16进制、Base64等等编码,再加上攻击者使用了代理IP使我们漏掉了分析中攻击者发起的比较重要的攻击请求。

6.APT攻击,攻击者分不同时间段进行攻击,导致时间上无法对应出整个攻击行为。

7.日志数据噪声(这词我也不知道用得对不对)上文提到过,攻击者可能会使用扫描器进行大量的扫描,此时日志中存在大量扫描行为,此类行为同样会被恶意行为关键字匹配出,但是此类请求我们无法得知是否成功扫描到漏洞,可能也无法得知这些请求是扫描器发出的,扫描器可使用代理IP、可进行分时策略、可伪造客户端特征、可伪造请求来源或伪造成爬虫。此时我们从匹配出的海量恶意请求中很难得出哪些请求攻击成功了。

关于安全方面所做的统计列表,如下:

1.威胁时序图

2.疑似威胁分析

3.疑似威胁漏报分析

4.威胁访问流量

5.威胁流量占比

6.境外威胁来源国家(地区)统计

7.境内威胁来源城市统计

8.威胁严重度

9.威胁响应分析

10.恶意IP

11.恶意URL分析

12.威胁类型分析

13.威胁类型分布

14.威胁分类计数

15.威胁来源热力图

16.威胁总数

17.威胁日志占比

检查服务器上的安全事件,甚至不用懂得太多的安全知识也能帮助企业更有效率的发现、解决安全问题。

以上就是关于Web日志安全分析浅谈的内容,希望能帮到您!

服务器租用/服务器托管最具实力IDC提供商!十年品牌保障 – 唯一网络!

转载请注明:唯一网络https://www.wy.cn/

立即注册享受唯一的服务 立即注册
服务热线:0769-23015555