【开放下载】: 反黑工具箱之五---DetectAttack
2022-8-23 16:34:20 Author: MicroPest(查看原文) 阅读量:12 收藏

    这也是我系列反黑工具箱中的一款工具:可疑攻击行为日志检测工具,主要是从海量日志中利用Waf规则检测出可疑攻击行为,从而缩短排查时间、缩小排查范围,成为我们的有力武器。目前,工具支持的日志主要有:“IIS、Apache/Nginx、Tomcat/Weblogic”等几种主流日志。

    程序完成于2018年,版本升级到2.6,现在没有进行更新了,主要的核心部分waf检测规则无更新,也没有对更多的日志进行检测了。工具的效果还行,后期还是要手工来干预的,排查出真正的攻击行为。现放出来,希望能给你的工作带来一些帮助。

界面如下:

布局比较简单,上下两栏式。上栏是功能区,下栏为展示区;上栏左边为导入的日志或日志目录(批量)以及日志类型,中部为检测时的参数“去除不相干的图片、swf、css等装饰性文件”、选择检测“成功200 或 除成功200以外的所有”;右边为“检测规则,分为了:紧凑型和宽泛型”,宽泛型检测得更多,将更多的可能性包含了进来,有大量时间时可采用这种方式,当然事后的筛选工作量将会大得多。

使用很简单,直接导入日志就行,

在下方的显示区,显示有命中数量,这个命中后还需人工干预确认下是否有可疑攻击行为,存在着误伤。

除单个检测外,还可以整个目录的批量日志检测:

检测的结果可以导入到展示区中,可以写入xls文件中,当然在当前目录下也会生成1.log这个可疑日志集合文件。

下载地址:

链接:https://pan.baidu.com/s/1pqoIWKTWDRtECbQBh1aGpQ

提取码:u8k5

    如果您想深入开发,做成商业软件,请联系我,出售源代码。


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NDcxMDQzNA==&mid=2247487329&idx=1&sn=582b03225bdc182d3eca444bd201bbcf&chksm=a682d9ac91f550ba0ba2fc00520941091a5ba3eae5543d23fd508cfbcfd4b39e1a16541f1df3#rd
如有侵权请联系:admin#unsafe.sh