从日志文件中查找攻击的最佳算法是什么

Question

我正在对网络日志进行取证分析。我已经生成了DoS攻击数据集，并且日志文件的攻击数据集(未标记的数据集)取自Anton Chuvakin博士。我需要查找访问日志，错误日志文件，生成各种攻击，如XSS，XSRF，SQLI等。我想知道哪个字段主要用于发现这些攻击，并让我知道哪些是适合的数据挖掘/机器学习技术，以攻击发生在日志文件中。请给我一些建议，请帮帮我。我正在努力寻找合适的算法，如果有任何材料pl发送给我。

Answer 1

你的问题很宽泛。您需要指定您正在监视哪些攻击，因为它们会记录到多个日志中，从您提到的系统日志到Apache日志、应用程序服务器日志等。

一个不错的开始方法是列出您的服务器正在运行的每个应用程序/服务，以及FTP或SSH等开放访问点，然后监视每个日志。如果您能够模拟攻击，则在单独的环境中进行模拟，并查看系统如何记录这些事件。然后，您可以在此基础上进行构建。

另一种选择是安装入侵检测系统(IDS)。这应该根据您的需要和被监控系统的大小来选择。谷歌“入侵检测系统”，并选择您需要的。

您可能感兴趣的链接：

Detecting Web Application attacks from log files

How to tell if a Linux server is under DDOS attack

Checking SSH logs to prevent bruteforcing

Detecting attacks from Apache log files

Detection of XSS and SQLinjection attacks