Progetto Milano/Pacini: Processo di individuazione delle richieste malevole e la segnalazione degli indirizzi IP all'interno di un file di log

[xAle00]

Uno script Python che, all'interno di un file di log, individui le richieste malevole effettuate da un indirizzo IP specifico. Le richieste sono raggruppate per un intervallo di tempo di 5 minuti e viene effettuata una verifica per determinare la presenza di attività malevole. Durante le scansioni successive, gli indirizzi IP malevoli identificati nella scansione precedenti vengono mantenuti in memoria.

[lucaderi]

Altri commenti

• si analizzano log HTTP in formato standard/Apache
• 5 minuti sono configurabili
• nella realta' il tool deve lavorare a streaming ovvero restare in attesa di nuovi dati facendo 'tail' sul file di log in corso di analisi
• Le richieste sono analizzate su una sliding window di 2 x 5 minuti
• I problema rilevare includono: scansioni (no navigazione), SQL Injection, accesso a URL sospette (es quelle che iniziano con un .), tentativi di login da parte di client non localizzati in Italia, fallimenti multipli consecutivi per lo stesso client in un breve arco temporale.