分析方法：

1.特征字符分析（Signature-based）：

    在日志中查找已知的漏洞特征，去发现黑客攻击行为， 是最简单的方法。

2.访问频率分析（Frequency analysis）

    在黑客攻击过程中，需要对系统进行各种特定的访问，这些访问与正常用户访问有很大差别， 每种攻击行为都有不同的特征。

    通过对大量用户访问数据的挖掘，可以发现这些异常访问行为。

1.漏洞扫描检测:

    黑客使用漏洞扫描器对 Web 应用进行扫描，可以用匹配 User-Agent 特征的方式进行检测。如果自定义扫描器的 User-Agent，这个方法的效果可能会不好。

    但可匹配扫描器扫描的行为，

    · 访问目标离散

    · 来源地址相对固定

    · 访问结果大多数失败

    根据这些特征对 Web 访问日志进行分析，即可提取出来可疑的扫描行为。

2.暴力破解检测:

    暴力破解密码的特征是

    · 相对固定的来源地址

    · 对登录URL短时间内高频率发起请求

    与漏洞扫描的区别主要是目标 URL 固定。

3.webshell 检测

    如果黑客发现系统漏洞，并且利用漏洞获得上传权限，会向系统 上传 webshell。

    webshell 是一种后门程序，此程序由脚本语言编写， 可以在 Web 服务器上运行，攻击者可以通过网页执行系统命令，读写 系统文件。

    从访问行为的角度看，webshell 通常

    · 只有攻击者访问

    · 来源地址相对固定

    · 访问时间相对集中

    · 无内嵌其他页面

    通过这些特 征即可提取出可疑文件，再通过人工确认的方式，检测出 webshell。

难点：

    1.日志中POST数据是不记录的，所以攻击者如果找到的漏洞点为POST请求，那么刚刚上面的注入请求就不会在日志中体现

    2.状态码虽然表示了响应状态，但是存在多种不可信情况，如服务器配置自定义状态码。

    如在我经验中，客户服务器配置网站应用所有页面状态码皆为200，用页面内容来决定响应,或者说服务器配置了302跳转，用302到一个内容为“不存在页面”（你可以尝试用curl访问http://www.baidu.com/test.php看看响应体）

    3.攻击者可能使用多个代理IP，假如我是一个恶意攻击者，为了避免日后攻击被溯源、IP被定位，会使用大量的代理IP从而增加分析的难度（淘宝上，一万代理IP才不到10块钱，就不说代理IP可以采集免费的了）

如果一个攻击者使用了大量不同的IP进行攻击，那么使用上面的方法可能就无法进行攻击行为溯源了

    4.无恶意webshell访问记录，刚才我们采用的方法是通过“webshell”这个文件名从日志中找到恶意行为，如果分析过程中我们没有找到这么一个恶意webshell访问，又该从何入手寻找攻击者的攻击路径呢？

    5.分析过程中我们还使用恶意行为关键字来对日志进行匹配，假设攻击者避开了我们的关键字进行攻击？比如使用了各种编码，16进制、Base64等等编码，再加上攻击者使用了代理IP使我们漏掉了分析中攻击者发起的比较重要的攻击请求

    6.APT攻击，攻击者分不同时间段进行攻击，导致时间上无法对应出整个攻击行为

    7.日志数据噪声（这词我也不知道用得对不对）上文提到过，攻击者可能会使用扫描器进行大量的扫描，此时日志中存在大量扫描行为，此类行为同样会被恶意行为关键字匹配出，但是此类请求我们无法得知是否成功扫描到漏洞，可能也无法得知这些请求是扫描器发出的，扫描器可使用代理IP、可进行分时策略、可伪造客户端特征、可伪造请求来源或伪造成爬虫。此时我们从匹配出的海量恶意请求中很难得出哪些请求攻击成功了

风险评估模型：

    在这些 Web 日志中提取出动态页面的动态交互参数，
    通过字符串截取或正则匹配的方式便能完成这样的需求。在获得了交互参数后，
    统计这些参数中含有某种类型攻击的关键词的数量，以及
    这些关键词占总提交参数的百分比，
    - 在Web日志中

原文链接：https://blog.csdn.net/qq_28921653/article/details/80560528

推荐关注：

原文始发于微信公众号（LemonSec）：日志分析方法