Web日志安全分析实践教学文档

1. Web日志分析概述

Web日志分析是网络安全防护中的重要环节，通过对服务器日志的监控和分析，可以及时发现网络攻击行为、提高防御效率并发现潜在安全威胁。

1.1 日志分析的重要性

1. 提供攻击行为证据：攻击者在攻击Web系统时会在日志中留下痕迹

   • 异常请求参数
   • 400/404响应状态码（大量404错误可能是攻击者在尝试访问不存在的敏感资源）

2. 提高防守效率：

   • 快速定位和识别攻击行为
   • 及时采取防御措施（如限制恶意IP、增强服务器防护）
   • 识别SQL注入攻击（异常的SQL查询语句、大量重复查询、敏感数据查询）

3. 发现潜在安全威胁：

   • 发现隐蔽漏洞（越权漏洞、敏感信息泄露、未授权访问）
   • 案例：某攻防演练中发现通过供应链漏洞访问的微服务攻击

2. 日志分析方法

2.1 日志收集配置

在业务系统服务器中配置日志记录器，将日志记录到指定位置。

2.2 常见解析方法

1. 正则表达式解析：使用正则匹配提取关键字段
2. 日志解析工具：使用专用工具（如Logstash、Splunk等）解析日志

2.3 日志字段解析示例

示例日志：

*.18/Dec/2023:08:19:16 +0800] "GET /news/newsShow.do?page=1&newsTitle= HTTP/1.1" 200 http:9999/news/newsShow.do?age=2&newsTitle= Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0 0.016 17487

字段含义：

1. 访问者来源IP
2. 访问时间
3. HTTP请求方法（GET/POST等）
4. 请求地址（含参数）
5. HTTP响应状态码
6. Referer信息
7. User-Agent（浏览器标识）
8. 请求处理时间
9. 响应大小

3. 攻击特征识别

3.1 常见攻击日志特征

1. 扫描探测：

   • 大量404状态码
   • 短时间内对多个不存在的路径请求
   • 对敏感路径的尝试访问（如/admin, /backup等）

2. SQL注入：

   • URL中包含SQL关键词（SELECT, UNION, INSERT等）
   • 异常长的查询参数
   • 包含单引号、双引号等特殊字符的参数

3. XSS攻击：

   • 参数中包含