该工具能够对Web日志进行安全分析,可快速从Web日志中发现可疑的恶意攻击行为,并自动识别攻击者IP所在物理位置,最后生成可读性好的安全分析报告,便于安全人员分析攻击者的入侵过程。
特色功能:
1.支持检测多种流行的攻击类型,并自动识别攻击者IP所在物理位置
2.支持自定义攻击特征库,如添加攻击类型和攻击特征
3.生成人性化的分析报告,便于分析攻击者的入侵过程
支持日志类型:
IIS W3C、Apache/Tomcat/Nginx默认日志格式
支持检测攻击类型:
默认可检测SQL注入/XSS攻击/IIS写权限漏洞利用/Struts远程命令执行漏洞等多种攻击类型,实际情况取决于攻击特征库中的特征。
特征库说明:
默认的特征库(AttackRules.ini)中定义了一部分常见的攻击特征,采用正则表达式匹配;在实际使用过程中,用户可根据自己的实际需求修改或添加攻击特征。
环境说明:
本软件使用C#语言,利用VS 2008开发,正常运行需要.net framework 3.5及以上环境。
使用方法:
打开程序,选择要分析的Web日志文件及相应的日志类型,点击“分析”按钮即可。在分析完成后,会自动生成一份安全分析报告。
相关文件说明:
Web日志安全分析工具 v2.0.exe:主程序
AttackRules.ini:攻击特征库,其中定义了一部分常见的攻击特征,可在此文件中自定义攻击类型与攻击特征。
NewTemplet.tpl:分析报告生成模板。
qqwry.dat:纯真IP数据库,作用是当检测到攻击日志时,自动识别攻击者IP所在物理位置。
软件界面:
图1
安全分析报告:
图2
说明:如果您在使用过程中发现问题或对Web日志安全分析有好的想法或建议,欢迎联系我,相互交流。谢谢!
关注我们 分享每日精选文章
不容错过
- 专注“钓鱼人防”:安全新星企业PhishMe浅析kuma2017-04-19
- 获取乘客和车主的个人信息?这记Uber逻辑漏洞“组合拳”值得一看ArthurKiller2016-06-28
- 【企业研究报告】FreeBuf Insight:网络安全创新企业Top 10解读之root9BFreeBuf研究院2016-11-30
- 检测一下你的专业指数:2015年十大测试工具你认识几个?FireFrank2015-12-29
Copyright © 2013 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0daybank
已有 25 条评论
收藏了。好东西
挺好的,我也收藏了,
说实话比较扯,不好用
@lulu 请问下不好用在哪里?能否反馈下?
被360收购的日志宝呢?有区别吗
@jazz 日志宝目测是hadoop集群来跑日志,这个应该是单机版的,处理量有限.
@thanks 呵呵,日志宝是平台化的东西,功能比我这个要强大的多。我这个只是小工具,还有很多不完善的地方。
@jazz 日志宝生成的安全分析报告侧重于展现网站整体的安全状态,对应急响应过程中分析攻击者的入侵过程并不是太友好。
楼主,一直提示IIS文件格式不支持是啥情况?
@黑客 目前IIS日志只支持W3C默认格式,不支持自定义的日志格式
非标准格式悲剧了~~什么时候能支持自定义格式啊。
可尝试一下.
这非常科学。
测试下来怎么样?
取证时候不错的工具
如果是开源就好了
免费吗? 不错
其实可以用OSSEC来分析实施或历史日志,强烈推荐,这里有一个例子:
http://dcid.me/blog/2010/01/using-ossec-for-the-forensic-analysis-of-log-files/
为啥导入log日志格式文件进去 说不支持此格式?
提供源码吗,不提供源码不敢用
先收藏。。。。。。。。
源码
分析不准确
连接失效了,能不能再分享下啊
这个IIS日志W3C默认格式 是log的后缀 怎么不支持呢