TWLogAIANでサイバー攻撃分析
今朝は5時から開発開始です。昨日の地震は驚きました。
昨日やりたいことを整理したので順番にやっていこうと思います。
まずは、
の本の内容です。風呂に入っている間にKindleで読んだので2日ぐらいで、だいたいわかりました。分析のためのソースコードやデータセットは
にありました。
この内容を私の開発しているTWLogAIANで試してみました。
ログの読み込みです。フォルダを指定して簡単に読み込みました。
それほど多くないので30秒ぐらいで完了しました。4万件弱です。
この本ではサイバー攻撃の手法ごとにキーワードを指定してログの行に含まれる数でスコアを計算しています。SQLインジェクションなら
keywords = [
"'", ''', '*', ';', '%20', '--',
'select', 'delete', 'create', 'drop', 'alter',
'insert', 'update', 'set', 'from', 'where',
'union', 'all', 'like',
'and', '&', 'or', '|',
'user', 'username', 'passwd', 'id', 'admin', 'information_schema'
]
のようなキーワードです。
試しにTWLogAIANで検索してみました。TWLogAIANは
という全文検索エンジンを使っているので、キーワードを羅列すれば検索できます。
v1.1.0では対応していない検索スコアを表示してみると、より多くキーワードを含むものが上位にきます。
おお、何となくいい感じで検索できます。気分が良くなってきたので、グラフ表示にも検索スコアを使えるようにしてみました。
SQLインジェクションの攻撃が発生した時刻が一目瞭然です。
3Dのグラフでも
のような感じです。
何となくホワイトハッカーの気分が味わえます。
キーワードを自分で入力する方法でもよいのですが、”SQLインジェクション”とか”コマンドインジェクション”とかを選択すれば入力されるような仕組みを考えようかと思いますが、今朝は早く出かけるので時間切れです。
今朝の開発は、
https://github.com/twsnmp/TWLogAIAN/commit/e15baebf6a35780f59c7076d097524673253a6f0
明日に続く
開発のための諸経費(機材、Appleの開発者、サーバー運用)に利用します。 ソフトウェアのマニュアルをnoteの記事で提供しています。 サポートによりnoteの運営にも貢献できるのでよろしくお願います。