《AI安全运维》课件——6.4-日志分析与异常监控.pptxVIP

日志分析与异常监控AI安全运维课程6.4节

真实案例被无视的敲门声事件回顾某网站管理员账号被盗，数据库被清空。事后查日志发现：案发前3天，系统每天记录了10,000次密码输入错误的日志——黑客在疯狂猜密码，系统如实记录了一切。致命失误无人查看日志。日志存得再好，不去分析报警，系统依然形同虚设。黑客入侵通常不是一瞬间的事，他会反复试探——只要程序能自动分析这些试探，就能在案发前将其拉黑。

学习路径本节课的抓贼三步曲认清坏人长相常见攻击的日志特征：暴力破解、SQL注入、越权访问选择抓捕战术自动化分析的两种思路：关键字匹配vs统计分析制造捕鼠夹简单入侵检测系统（IDS）的Python设计逻辑课程逻辑：第一步知道黑客在日志里长什么样，第二步学怎么用代码找到他，第三步把代码写成一个自动运行的脚本。

黑客画像1暴力破解(BruteForce)攻击方式用程序字典，每秒钟试几百次密码，直到猜中。行为比喻：拿一万把假钥匙，疯狂捅你家大门。Linuxauth.log中的长相关键词：Failedpassword特征：同一个IP，在极短时间内密集出现日志示例03:01:10sshd:Failedpasswordforrootfrom192.168.1.503:01:11sshd:Failedpasswordforrootfrom192.168.