该工具能够对Web日志进行安全分析,可快速从Web日志中发现可疑的恶意***行为,并自动识别***者IP所在物理位置,最后生成可读性好的安全分析报告,便于安全人员分析***者的***过程。
特色功能:
1.支持检测多种流行的***类型,并自动识别***者IP所在物理位置 2.支持自定义***特征库,如添加***类型和***特征 3.生成人性化的分析报告,便于分析***者的***过程
支持日志类型:
IIS W3C、Apache/Tomcat/Nginx默认日志格式
支持检测***类型:
默认可检测SQL注入/XSS***/IIS写权限漏洞利用/Struts远程命令执行漏洞等多种***类型,实际情况取决于***特征库中的特征。
特征库说明:
默认的特征库(AttackRules.ini)中定义了一部分常见的***特征,采用正则表达式匹配;在实际使用过程中,用户可根据自己的实际需求修改或添加***特征。
环境说明:本软件使用C#语言,利用VS 2008开发,正常运行需要.net framework 3.5及以上环境。使用方法:打开程序,选择要分析的Web日志文件及相应的日志类型,点击“分析”按钮即可。在分析完成后,会自动生成一份安全分析报告。相关文件说明:
Web日志安全分析工具 v2.0.exe:主程序 AttackRules.ini:***特征库,其中定义了一部分常见的***特征,可在此文件中自定义***类型与***特征。 NewTemplet.tpl:分析报告生成模板。 qqwry.dat:纯真IP数据库,作用是当检测到***日志时,自动识别***者IP所在物理位置。软件界面: 安全分析报告:
转自:http://www.freebuf.com/tools/8982.html