logdata-anomaly-miner:一款安全日志解析与异常检测工具

关于logdata-anomaly-miner

logdata-anomaly-miner是一款安全日志解析与异常检测工具,该工具旨在以有限的资源和尽可能低的权限运行分析,以使其适合生产服务器使用。

为了确保 logdata-anomaly-miner的正常运行,推荐安装了python >= 3.6的Linux 系统。更具体地说,支持的系统包括 Debian Buster、Debian Bullseye、Debian Bookworm、Ubuntu 20.04、Ubuntu 22.04、Fedora(docker image fedora:latest)和 RedHat(docker image redhat/ubi9)。

工具架构

工具要求

scipy==1.10.0

pylibacl==0.5.4

kafka_python==2.0.2

pytz==2020.4

urllib3==1.26.19

numpy==1.22.0

Cerberus==1.3.2

psutil==5.7.3

kafka==1.3.5

pyzmq==20.0.0

python_dateutil==2.8.1

PyYAML==5.4

statsmodels==0.12.2

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

源码安装

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/ait-aecid/logdata-anomaly-miner.git

然后切换到项目目录中,使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:

cd logdata-anomaly-minerpip install -r requirements.txt

Debian安装

在官方 Debian/Ubuntu 存储库中,有适用于 logdata-anomaly-miner 的 Debian 软件包:

apt-get update && apt-get install logdata-anomaly-miner

Wget安装

以下命令将安装最新的稳定版本:

cd $HOMEwget https://raw.githubusercontent.com/ait-aecid/logdata-anomaly-miner/main/scripts/aminer_install.shchmod +x aminer_install.sh./aminer_install.sh

工具配置

现在让我们将 Apache 解析器模型添加到 aminer-config:

alice@ubuntu2004:~$ sudo ln -s /etc/aminer/conf-available/generic/ApacheAccessModel.py /etc/aminer/conf-enabled/alice@ubuntu2004:~$

在以前版本的 aminer 中,我们必须用 python 编写配置文件。在当前版本中,我们可以使用以 yaml 编写的配置。现在创建并编辑文件 /etc/aminer/config.yml:

LearnMode: TrueLogResourceList:- 'file:///var/log/apache2/access.log'Parser:- id: 'START'start: Truetype: ApacheAccessModelname: 'apache'Input:timestamp_paths: "/accesslog/time"Analysis:- type: "NewMatchPathValueDetector"paths: ["/accesslog/status"]output_logline: TrueEventHandlers:- id: "stpe"type: "StreamPrinterEventHandler"

如果我们现在启动 aminer,它将读取 access.log 并了解所有解析器路径。我们将在启动 aminer 之前使用“-C”参数清除持久性。(请注意,您可以使用 CTRL+c 终止 aminer)

alice@ubuntu2004:~$ sudo cat /var/log/apache2/access.log

127.0.0.1 - - [17/May/2021:11:25:14 +0000] "GET / HTTP/1.1" 200 11229 "-" "Wget/1.20.3 (linux-gnu)"

alice@ubuntu2004:~$ sudo aminer -C --config /etc/aminer/config.yml

2021-05-17 12:12:36 New path(es) detected

NewMatchPathDetector: "DefaultNewMatchPathDetector" (1 lines)

/accesslog: 127.0.0.1 - - [17/May/2021:11:25:14 +0000] "GET / HTTP/1.1" 200 11229 "-" "Wget/1.20.3 (linux-gnu)"

/accesslog/host: 127.0.0.1

/accesslog/sp0:

/accesslog/ident: -

/accesslog/sp1:

/accesslog/user: -

/accesslog/sp2:

/accesslog/time: 1621250714

/accesslog/sp3: ] "

/accesslog/fm/request: GET / HTTP/1.1

/accesslog/fm/request/method: 0

/accesslog/fm/request/sp5:

/accesslog/fm/request/request: /

/accesslog/fm/request/sp6:

/accesslog/fm/request/version: HTTP/1.1

/accesslog/sp6: "

/accesslog/status: 200

/accesslog/sp7:

/accesslog/size: 11229

/accesslog/combined:  "-" "Wget/1.20.3 (linux-gnu)"

/accesslog/combined/combined:  "-" "Wget/1.20.3 (linux-gnu)"

/accesslog/combined/combined/sp9:  "

/accesslog/combined/combined/referer: -

/accesslog/combined/combined/sp10: " "

/accesslog/combined/combined/user_agent: Wget/1.20.3 (linux-gnu)

/accesslog/combined/combined/sp11: "

['/accesslog', '/accesslog/host', '/accesslog/sp0', '/accesslog/ident', '/accesslog/sp1', '/accesslog/user', '/accesslog/sp2', '/accesslog/time', '/accesslog/sp3', '/accesslog/fm/request', '/accesslog/sp6', '/accesslog/status', '/accesslog/sp7', '/accesslog/size', '/accesslog/combined', '/accesslog/combined/combined', '/accesslog/combined/combined/sp9', '/accesslog/combined/combined/referer', '/accesslog/combined/combined/sp10', '/accesslog/combined/combined/user_agent', '/accesslog/combined/combined/sp11', '/accesslog/fm/request/method', '/accesslog/fm/request/sp5', '/accesslog/fm/request/request', '/accesslog/fm/request/sp6', '/accesslog/fm/request/version']

127.0.0.1 - - [17/May/2021:11:25:14 +0000] "GET / HTTP/1.1" 200 11229 "-" "Wget/1.20.3 (linux-gnu)"

2021-05-17 12:12:36 New value(s) detected

NewMatchPathValueDetector: "NewMatchPathValueDetector2" (1 lines)

{'/accesslog/status': 200}

127.0.0.1 - - [17/May/2021:11:25:14 +0000] "GET / HTTP/1.1" 200 11229 "-" "Wget/1.20.3 (linux-gnu)"

工具运行演示

演示视频:【点我观看】

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

logdata-anomaly-miner:【GitHub传送门】

参考资料

AMiner: A Modular Log Data Analysis Pipeline for Anomaly-based Intrusion Detection | Digital Threats: Research and Practice

SciTePress - Publication Details

AECID-PG: A Tree-Based Log Parser Generator To Enable Log Analysis | IEEE Conference Publication | IEEE Xplore

https://securitylab.no/cyberhunt2019/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/58145.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Vue】word / excel / ppt / pdf / 视频(mp4,mov) 预览

【Vue】word / excel / ppt / pdf / 视频(mp4,mov) 预览

文件预览 Vue3一. word二. excel三. ppt四. pdf4.1 vue-pdf-embed4.2 iframe 五. 视频六&#xff1a;扩展——kkFileView Vue3 一. word 安装&#xff1a;npm install docx-preview父页面 <template><div><DocPreviewv-if"filePath.includes(docx)"…
阅读更多...
react 总结+复习+应用加深

react 总结+复习+应用加深

文章目录 一、React生命周期1. 挂载阶段&#xff08;Mounting&#xff09;补充2. 更新阶段&#xff08;Updating&#xff09;补充 static getDerivedStateFromProps 更新阶段应用补充 getSnapshotBeforeUpdate3. 卸载阶段&#xff08;Unmounting&#xff09; 二、React组件间的…
阅读更多...
基于.NET 8.0,C#中Microsoft.Office.Interop.Excel来操作office365的excel

基于.NET 8.0,C#中Microsoft.Office.Interop.Excel来操作office365的excel

开发环境&#xff1a; Visual Studio 2022 office365 项目模板&#xff1a;WPF应用程序 框架&#xff1a;.NET 8.0 依赖&#xff1a;Microsoft.Office.Interop.Excel 注意&#xff1a; 1.使用Microsoft.Office.Interop.Excel库时&#xff0c;服务器或电脑里面必须安装得…
阅读更多...
NLP--一起学习Word Vector【实践】

NLP--一起学习Word Vector【实践】

纸上得来终觉浅&#xff0c;绝知此事要躬行。 《冬夜读书示子聿》 值此1024的程序员节&#xff0c;我们一起学习 Word Vector。 本章一起学习文本向量化&#xff0c;掌握文本向量的相关概念&#xff0c;了解各个文本向量&#xff0c;实现文本向量的算法 我开启了一个NLP共学坊…
阅读更多...
Pytest 插件的种类

Pytest 插件的种类

引言 Pytest是一个功能强大且扩展性强的测试框架&#xff0c;支持丰富的插件体系。通过插件&#xff0c;Pytest的功能可以得到极大扩展&#xff0c;满足各种测试需求。本文将介绍几类常用的Pytest插件&#xff0c;并简要说明其功能和使用场景。 Pytest 插件的分类 报告和输出…
阅读更多...
代码+编译环境一并保存Git仓库,Jenkins使用docker编译

代码+编译环境一并保存Git仓库,Jenkins使用docker编译

大家好&#xff0c;欢迎来到停止重构的频道。 上期介绍了Jenkins的基本用法&#xff0c;本期补充介绍Jenkins使用docker进行软件编译。 如果对docker不太熟悉&#xff0c;可以先翻看往期《docker详解》。 我们按这样的顺序展开讨论&#xff1a; 1、为什么使用docker编译软件…
阅读更多...
网址访问小工具(模拟浏览器)

网址访问小工具(模拟浏览器)

网址访问小工具&#xff08;模拟浏览器&#xff09; 文章说明核心代码运行截图源码下载 文章说明 本篇文章主要是我写的一个小demo&#xff0c;感觉效果还蛮不错的&#xff0c;作为一个记录新想法的实现思路&#xff1b;介绍了模拟浏览器页面的一些页面实现的小细节。 采用vue3…
阅读更多...
文理学院数据库应用技术实验报告0

文理学院数据库应用技术实验报告0

文理学院数据库应用技术实验报告0 实验内容 打开cmd,利用MySQL命令连接MySQL服务器。 mysql -u root -p查看当前MySQL服务实例使用的字符集(character)。 SHOW VARIABLES LIKE character_set_server;查看当前MySQL服务实例支持的字符序(collation)。 SHOW VARIABLES LIKE c…
阅读更多...
ReactOS系统中平衡二叉树按从左到右的顺序找到下一个结点

ReactOS系统中平衡二叉树按从左到右的顺序找到下一个结点

ReactOS系统中平衡二叉树按从左到右的顺序找到下一个结点MmIterateNextNode()按从左到右的顺序找到下一个结点 文章目录 ReactOS系统中平衡二叉树按从左到右的顺序找到下一个结点MmIterateNextNode()按从左到右的顺序找到下一个结点MmIterateNextNode() MmIterateNextNode() /*…
阅读更多...
解锁知识潜力:十款企业培训知识库全面解析

解锁知识潜力:十款企业培训知识库全面解析

在当今这个快速变化的时代&#xff0c;企业要想保持竞争力&#xff0c;就必须不断提升员工的技能和知识水平。知识库作为企业培训的重要工具&#xff0c;不仅能够帮助员工快速获取所需信息&#xff0c;还能促进知识的共享和创新。 1. HelpLook AI知识库 亮点功能&#xff1a;…
阅读更多...
React第十一章(useReducer)

React第十一章(useReducer)

useReducer useReducer是React提供的一个高级Hook,没有它我们也可以正常开发&#xff0c;但是useReducer可以使我们的代码具有更好的可读性&#xff0c;可维护性。 useReducer 跟 useState 一样的都是帮我们管理组件的状态的&#xff0c;但是呢与useState不同的是 useReducer…
阅读更多...
python基础综合案例(数据可视化-动态柱状图)

python基础综合案例(数据可视化-动态柱状图)

1.基础柱状图的构建 打开浏览器&#xff0c;你会发现这是一个动态图&#xff0c;会随着时间变化而变化 具体效果大家可以看我主页有个动态柱状图视频 本质上来说&#xff0c;是和我们构建一个折线统计图差不多的&#xff0c;只是把对象换了一下 如果我们需要反转x和y轴&#…
阅读更多...
从SQL到NoSQL:数据库类型及应用场景

从SQL到NoSQL:数据库类型及应用场景

在当今数据驱动的时代&#xff0c;数据库技术已经成为了支撑各类应用的核心。在讨论数据库类型时&#xff0c;SQL数据库与NoSQL数据库无疑是最常被提及的两种主流选择。 一、SQL数据库&#xff08;关系型数据库&#xff09; SQL数据库&#xff0c;通常也被称为关系型数据库&am…
阅读更多...
YOLOv8实战野生动物识别

YOLOv8实战野生动物识别

本文采用YOLOv8作为核心算法框架&#xff0c;结合PyQt5构建用户界面&#xff0c;使用Python3进行开发。YOLOv8以其高效的实时检测能力&#xff0c;在多个目标检测任务中展现出卓越性能。本研究针对野生动物数据集进行训练和优化&#xff0c;该数据集包含丰富的野生动物图像样本…
阅读更多...
【动手学强化学习】part6-策略梯度算法

【动手学强化学习】part6-策略梯度算法

阐述、总结【动手学强化学习】章节内容的学习情况&#xff0c;复现并理解代码。 文章目录 一、算法背景1.1 算法目标1.2 存在问题1.3 解决方法 二、REINFORCE算法2.1 必要说明softmax()函数交叉熵策略更新思想 2.2 伪代码算法流程简述 2.3 算法代码2.4 运行结果2.5 算法流程说明…
阅读更多...
LSTM(Long Short-Term Memory,长短期记忆网络)在高端局效果如何

LSTM(Long Short-Term Memory,长短期记忆网络)在高端局效果如何

lstm 杂乱数据分析 LSTM&#xff08;Long Short-Term Memory&#xff0c;长短期记忆网络&#xff09;在高端局&#xff0c;即复杂的机器学习和深度学习应用中&#xff0c;展现出了其独特的优势和广泛的应用价值。以下是对LSTM在高端局中的详细解析&#xff1a; 一、LSTM的优势…
阅读更多...
大语言模型驱动的跨域属性级情感分析——论文阅读笔记

大语言模型驱动的跨域属性级情感分析——论文阅读笔记

前言 论文PDF下载地址&#xff1a;7156 最近想搜一下基于大语言模型的情感分析论文&#xff0c;搜到了这篇在今年发表的论文&#xff0c;于是简单阅读之后在这里记一下笔记。 如图1所示&#xff0c;在餐厅领域中的"快"是上菜快&#xff0c;属于正面情感&#xff0c;但…
阅读更多...
jfif图片怎么改成jpg?几种非常简单的jfif转jpg方法

jfif图片怎么改成jpg?几种非常简单的jfif转jpg方法

jfif图片怎么改成jpg&#xff1f;随着图像技术的日新月异&#xff0c;用户在图像的编辑、处理与分享过程中&#xff0c;常常需要根据实际需求&#xff0c;灵活转换图像格式&#xff0c;以适应多样化的应用场景。正是这一需求&#xff0c;催生了将jfif格式向jpg格式转换的广泛实…
阅读更多...
一些剪视频需要下载视频、chatTTS文字转语音的相关代码

一些剪视频需要下载视频、chatTTS文字转语音的相关代码

可以在YouTube下载视频&#xff0c;下载字幕&#xff0c;以及需要文字转音频的一些代码&#xff0c;自己写的&#xff0c;目前也是能实现一点小需求~ 是需要下载FFmpeg、yt-dlp.exe、chrome_cookies插件&#xff0c;需要下载的自行search&#xff0c;不再赘述 人机验证 需要…
阅读更多...
电能表预付费系统-标准传输规范(STS)(22)

电能表预付费系统-标准传输规范(STS)(22)

6.5.2.3 DecoderKey classification 6.5.2.3.1 Classification of decoder keys STS DecoderKeys are classified according to the KT values given in Table 32 and inherit their type from that of the VendingKey, from which they are derived. STS decoderkey根据表32…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023