同樣，惡意注冊(cè)用戶的數(shù)量也相似。每天在同一IP下成功注冊(cè)的次數(shù)非常多。該IP被惡意注冊(cè)的可能性非常高。當(dāng)然，還需要進(jìn)一步的分析，例如IP是否是建筑物中的出口IP，用戶在注冊(cè)后確定了什么。

從以上分析可以看出，有很多推斷，從日志中可以看到許多操作內(nèi)容，例如瀏覽產(chǎn)品的排名，用戶訪問時(shí)間，用戶來源等。

2.安全行為分析

下面我們還從該日志中分析安全行為：



這也是一個(gè)登錄日志。與上述登錄日志的唯一區(qū)別是服務(wù)器返回值。一是302，一是200。有什么區(qū)別？ 302表示服務(wù)器已跳至該頁面，而200仍正常返回該頁面。由此可以理解，這是登錄失敗的記錄。很好，使用此記錄，您可以發(fā)現(xiàn)很多安全行為。

惡意密碼猜測可以理解為大量用戶在一段時(shí)間內(nèi)未登錄，并且返回了大量登錄失敗記錄。通過此定義，您可以在日志中找到規(guī)則。我們放大到5分鐘。當(dāng)同一IP在5分鐘內(nèi)發(fā)生20多次登錄失敗時(shí)，基本上可以得出結(jié)論，正在執(zhí)行密碼猜測。

同樣，cc攻擊更容易理解。相同的IP在短時(shí)間內(nèi)訪問并生成大量請(qǐng)求，基本上可以將其視為cc攻擊。也可以從日志中分析其他webshell，sql注入等，但是它不太準(zhǔn)確，因?yàn)槿罩疽昧薵et請(qǐng)求的參數(shù)，并且post參數(shù)沒有正常記錄。

從上面的分析中，我們可以看到日志中還有很多有價(jià)值的東西，但是我們只是沒有找到它。

如何分析日志？

收集日志

在常規(guī)日志分析中，首先收集日志，然后對(duì)日志進(jìn)行格式化和分析，然后過濾或合并，然后對(duì)日志進(jìn)行警報(bào)分析，最后將其存儲(chǔ)在倉庫中。

該集合主要支持各種協(xié)議，例如syslog，sftp等。

格式分析是關(guān)鍵，畢竟每個(gè)日志的格式都不同。

分析日志

日志分析中有關(guān)鍵字分析，統(tǒng)計(jì)分析和關(guān)聯(lián)分析。

關(guān)鍵字分析是分析日志中的關(guān)鍵字。

統(tǒng)計(jì)分析是基于一定時(shí)間段的。

關(guān)聯(lián)分析用于在大量審計(jì)信息中查找異構(gòu)事件信息與異構(gòu)事件信息之間的關(guān)系。

關(guān)聯(lián)分析方法（針對(duì)存在關(guān)系信息的上下文開發(fā)合理的審計(jì)策略，通過組合多個(gè)異構(gòu)事件來確定操作行為的性質(zhì)，發(fā)現(xiàn)隱藏的關(guān)聯(lián)，并找出可能的違規(guī)行為。）

日志本身毫無價(jià)值。僅在分析和使用日志時(shí)才有價(jià)值。該日志包含許多有用的信息，不僅包括操作和維護(hù)級(jí)別，還包括業(yè)務(wù)級(jí)別和安全級(jí)別。在許多情況下，除了日志監(jiān)視之外，還需要一個(gè)統(tǒng)一的警報(bào)平臺(tái)來進(jìn)行操作和維護(hù)。但是，許多故障警報(bào)需要基于日志自動(dòng)分析的結(jié)論。因此，日志非常重要。

所以平時(shí)想要我們的網(wǎng)絡(luò)進(jìn)行更好的管理，對(duì)日志進(jìn)行分析處理是非常有必要的。全網(wǎng)數(shù)據(jù)為大家提供專業(yè)的深圳服務(wù)器租用，深圳服務(wù)器托管，深圳主機(jī)租用，云主機(jī)租用等國內(nèi)外服務(wù)器資源，詳情可咨詢客服了解。