2、日志分析与未知恶意攻击检测预防技术

日志分析与未知恶意攻击检测预防技术

日志分析技术

日志文件转换为 CSV 格式

日志文件通常难以阅读，为便于进一步处理，可将其转换为逗号分隔值（CSV）格式。使用 Linux 实用工具（如 “sed”、“awk”）和正则表达式进行转换。
- 操作步骤：
1. 使用 “awk” 分离日志文件的字段，并将输出写入单独的文件。
2. 使用 “sed” 移除不需要的特殊字符，并用逗号分隔不同列。

在日志文件中搜索特定关键字

有时需要在日志文件中搜索特定模式或关键字。使用 C 语言 “string.h” 头文件中的 “strstr()” 方法实现基本的模式匹配算法。该算法在搜索时间方面具有二次最坏情况时间复杂度。提供五种搜索关键字的选项：
- IP 地址
- 日期
- HTTP 方法
- 状态码
- 响应码或其他

阻止和解除阻止 IP 地址

这是日志分析工具的重要功能。使用 “firewall-cmd” 命令行工具来阻止和解除阻止 IP 地址。
- 操作步骤：
1. 程序创建 “block.txt” 文件，用于存储所有被阻止用户的 IP 地址。
2. 从用户获取要阻止或解除阻止的 IP 地址。
3. 阻止 IP 地址的命令：

firewall-cmd –permanent –add-rich-rule=rule family='ipv4' source address={input IP here} reject