应急响应

[TODO] 主要从学习流量分析、告警开始

日志分析

Web日志分析

在对WEB日志进行安全分析时，一般可以按照两种思路展开，逐步深入，还原整个攻击过程。 第一种：确定入侵的时间范围，以此为线索，查找这个时间范围内可疑的日志，进一步排查，最终确定攻击者，还原攻击过程。 第二种：攻击者在入侵网站后，通常会留下后门维持权限，以方便再次访问，我们可以找到该文件，并以此为线索来展开分析。

• 分析技巧

• 统计爬虫

• 统计浏览器

• IP统计

• 统计网段

• 统计域名

• HTTP Status

• URL统计

• 文件流量统计

• URL访问统计

• 日志分析案例

• 定位攻击源

  • IP

  • 浏览器指纹

• 搜索相关日志记录

  • 聚类分析