TWLogAIANでサイバー攻撃分析

今朝は５時から開発開始です。昨日の地震は驚きました。
昨日やりたいことを整理したので順番にやっていこうと思います。
まずは、

ログ分析ことはじめ: セキュリティのためのApacheログ分析

の本の内容です。風呂に入っている間にKindleで読んだので２日ぐらいで、だいたいわかりました。分析のためのソースコードやデータセットは

GitHub - wagaken/first-step-for-log-analysis

にありました。
この内容を私の開発しているTWLogAIANで試してみました。
ログの読み込みです。フォルダを指定して簡単に読み込みました。

ハーニーポットのアクセスログの読み込み

それほど多くないので３０秒ぐらいで完了しました。４万件弱です。
この本ではサイバー攻撃の手法ごとにキーワードを指定してログの行に含まれる数でスコアを計算しています。SQLインジェクションなら

keywords = [
        "'", '&#039', '*', ';', '%20', '--',
        'select', 'delete', 'create', 'drop', 'alter',
        'insert', 'update', 'set', 'from', 'where',
        'union', 'all', 'like', 
        'and', '&', 'or', '|',
        'user', 'username', 'passwd', 'id', 'admin', 'information_schema'
     ]

のようなキーワードです。
試しにTWLogAIANで検索してみました。TWLogAIANは

Bluge

という全文検索エンジンを使っているので、キーワードを羅列すれば検索できます。

SQLインジェクションを探せ

v1.1.0では対応していない検索スコアを表示してみると、より多くキーワードを含むものが上位にきます。
おお、何となくいい感じで検索できます。気分が良くなってきたので、グラフ表示にも検索スコアを使えるようにしてみました。

検索スコアをグラフ表示

SQLインジェクションの攻撃が発生した時刻が一目瞭然です。
３Dのグラフでも

検索スコアの３Dグラフ

のような感じです。
何となくホワイトハッカーの気分が味わえます。
キーワードを自分で入力する方法でもよいのですが、”SQLインジェクション”とか”コマンドインジェクション”とかを選択すれば入力されるような仕組みを考えようかと思いますが、今朝は早く出かけるので時間切れです。
今朝の開発は、

タイムオンリーのログビューにスコアを復活、検索後のビューを維持 · twsnmp/TWLogAIAN@f2388f8

https://github.com/twsnmp/TWLogAIAN/commit/e15baebf6a35780f59c7076d097524673253a6f0

グラフ表示の項目に検索スコアを追加 · twsnmp/TWLogAIAN@e15baeb

明日に続く