在前面一篇文章“【Splunk】几个web日志分析app介绍”中介绍了两个WEB日志分析的app,其中trafficray将WEB访问日志进行可视化输出,可以用来进行IP活动模式分析、检测恶意行为、查看带宽消耗趋势、协助发现针对网站的攻击行为。以下从主要从IP访问趋势类型图分析,看看与正常访问用户的区别在哪。
示例一:
从图中可以看出,这几个IP的访问趋势类型图相似,在全天均有大量的访问,并且带宽消耗远超其它IP。该IP的具体情况,在文章“【Splunk】prelert机器学习app简单介绍及案例”中有详细介绍。
示例二:
可以看到该IP访问趋势类型为全天平均分布,访问路径均为/phpstatus,ua为curl,为运维人员通过脚本监控网站运行状态。
示例三:
可以看出几个IP的访问趋势类型图相似,选择其中一个IP查看详细信息,ua为NuSOAP,uri只有3个。该访问为基于NuSOAP方式的PHP webservice调用,用来和百度知道交互的。
示例四:
两个IP的访问趋势类型图相似,点击分布相同,页面访问分布相同,从ua知道这是运维使用监控宝产生的访问。
示例五:
这几个IP的访问趋势类型图相似,点击分布相似,页面访问分布相似,从访问的uri知道应该是用来抓取页面信息的。
如上所述,非正常访问用户的访问趋势类型有比较显著的特点:
时间分布:对于监控、爬虫、抓取页面等行为,访问在全天几乎全部分布;
IP活动类型图:有明显的规律,比如访问在时间段上均匀分布,或者访问趋势在时间段上呈有规律的分布;
其它信息:如访问uri分布规律、页面点击分布规律、分布式扫描\监控等存在多个IP相同的访问趋势类型等;