我正致力于网络日志的取证分析。我已经生成了DoS攻击数据集,并且我拥有了来自Anton Chuvakin博士的日志文件(未标记数据集)的攻击数据集。我需要查找访问日志,生成各种攻击的错误日志文件,如XSS,XSRF,SQLI等。我想知道哪个字段主要用于查找这些攻击,并让我知道哪个是合适的数据挖掘/机器学习技术在日志文件中发生的攻击。请建议我一些想法请帮助我。我正在努力寻找合适的算法以及是否有任何材料发送给我。
答案 0 :(得分:1)
你的问题很广泛。您需要指定要监控的攻击,因为它们会记录到从您提到的系统日志到Apache日志,应用程序服务器日志等的多个日志中。
一个好的开始方法是列出服务器正在运行的每个应用程序/服务,以及打开访问点(如FTP或SSH),然后监视每个日志。如果您能够模拟攻击,则在单独的环境中执行此操作,并查看系统如何记录这些事件。然后你可以在此基础上进行构建。
另一种选择是安装入侵检测系统(IDS)。应根据您的需要和受监控系统的大小来选择。谷歌“入侵检测系统”,并选择你需要的。
您可能感兴趣的链接:
Detecting Web Application attacks from log files
How to tell if a Linux server is under DDOS attack
Checking SSH logs to prevent bruteforcing