当前位置: 首页 > article >正文

不止于解题:用玄机靶场案例,打造你的自动化安全日志监控脚本

article 2026/3/29 1:29:24
不止于解题用玄机靶场案例打造自动化安全日志监控脚本在网络安全领域日志分析往往是防御的第一道防线。当我们在玄机靶场中完成SSH爆破日志分析的解题后是否想过将这些手动操作转化为自动化工具本文将带你从单次解题跃升到持续防御构建一个能够实时监控auth.log、自动识别异常并采取行动的Python脚本。1. 日志监控的核心原理日志文件是系统活动的忠实记录者尤其是/var/log/auth.logDebian系或/var/log/secureRHEL系它们详细记录了所有认证相关事件。要实现自动化监控我们需要理解几个关键概念实时监控机制不同于一次性读取整个文件我们需要持续跟踪文件新增内容。Linux系统中的tail -f命令正是这种行为的代表它会在文件增长时输出新增内容。事件识别模式SSH爆破通常会在日志中留下特定模式例如Failed password for root from 192.168.1.100 port 22 ssh2 Accepted password for root from 192.168.1.100 port 22 ssh2异常行为定义单次失败登录可能是输入错误但同一IP的多次失败尝试就值得警惕。我们需要设定合理的阈值来判断异常。2. 基础监控脚本构建让我们从最简单的Python实现开始逐步构建功能。首先创建一个能实时读取日志文件的基础框架import time import re def follow_log(file): 模拟tail -f功能持续读取新增日志 with open(file, r) as f: f.seek(0, 2) # 移动到文件末尾 while True: line f.readline() if not line: time.sleep(0.1) # 短暂休眠避免CPU占用过高 continue yield line # 使用示例 for line in follow_log(/var/log/auth.log): print(line, end)这个基础版本已经能持续输出新增日志接下来我们需要添加日志解析功能def parse_ssh_log(line): 解析SSH相关日志条目 patterns { failed: re.compile(rFailed password for (?:invalid user )?(\w) from (\d\.\d\.\d\.\d)), success: re.compile(rAccepted password for (\w) from (\d\.\d\.\d\.\d)), invalid_user: re.compile(rFailed password for invalid user (\w) from (\d\.\d\.\d\.\d)) } for event_type, pattern in patterns.items(): match pattern.search(line) if match: return { event: event_type, user: match.group(1), ip: match.group(2), timestamp: time.strftime(%Y-%m-%d %H:%M:%S) } return None3. 异常检测与响应机制单纯的日志读取和解析还不够我们需要建立一套检测和响应机制。以下是关键组件的实现3.1 IP行为追踪我们需要一个数据结构来记录每个IP的行为模式from collections import defaultdict class IPTracker: def __init__(self, threshold5): self.attempts defaultdict(int) self.threshold threshold self.malicious_ips set() def record_attempt(self, ip): self.attempts[ip] 1 if self.attempts[ip] self.threshold and ip not in self.malicious_ips: self.malicious_ips.add(ip) return True # 表示新发现的恶意IP return False def record_success(self, ip): if ip in self.malicious_ips: return True # 表示成功登录的IP之前被标记为恶意 return False3.2 自动防御措施检测到威胁后我们可以采取多种防御措施。以下是使用iptables自动封锁IP的示例import subprocess def block_ip(ip): 使用iptables封锁指定IP try: subprocess.run([iptables, -A, INPUT, -s, ip, -j, DROP], checkTrue) subprocess.run([iptables-save], checkTrue) return True except subprocess.CalledProcessError: return False注意直接操作iptables需要root权限生产环境中建议通过sudo或专门的权限管理机制运行。4. 系统整合与可视化将各个组件整合成一个完整的监控系统并添加可视化功能import json from datetime import datetime class SSHAnalyzer: def __init__(self, log_file, threshold5): self.log_file log_file self.ip_tracker IPTracker(threshold) self.stats { total_attempts: 0, failed_attempts: 0, success_logins: 0, blocked_ips: [] } def run(self): print(f开始监控 {self.log_file}...) for line in follow_log(self.log_file): event parse_ssh_log(line) if not event: continue self.stats[total_attempts] 1 if event[event] success: self.stats[success_logins] 1 if self.ip_tracker.record_success(event[ip]): self.alert(f成功登录但之前有可疑行为: {event[ip]}) elif event[event] in (failed, invalid_user): self.stats[failed_attempts] 1 if self.ip_tracker.record_attempt(event[ip]): if block_ip(event[ip]): self.stats[blocked_ips].append({ ip: event[ip], timestamp: datetime.now().isoformat() }) self.alert(f已封锁IP: {event[ip]}) # 每小时输出一次统计信息 if datetime.now().minute 0 and datetime.now().second 0: self.report_stats() def alert(self, message): 发送警报的简单实现 print(f[ALERT] {datetime.now()}: {message}) def report_stats(self): 输出统计报告 print(\n 安全统计报告 ) print(f时间: {datetime.now()}) print(f总尝试次数: {self.stats[total_attempts]}) print(f失败尝试: {self.stats[failed_attempts]}) print(f成功登录: {self.stats[success_logins]}) print(f已封锁IP数: {len(self.stats[blocked_ips])}) print(\n)5. 进阶功能与优化基础功能实现后我们可以考虑以下增强功能5.1 多维度威胁检测除了简单的失败次数统计更智能的检测应该考虑时间窗口内的频率短时间内多次失败比长时间分散的失败更可疑用户名尝试多样性尝试多个不同用户名比反复尝试同一用户名更可疑地理位置异常来自不同国家/地区的快速切换登录尝试class EnhancedIPTracker(IPTracker): def __init__(self, time_window300, attempt_threshold5): super().__init__(attempt_threshold) self.time_window time_window # 5分钟 self.attempt_records defaultdict(list) def record_attempt(self, ip, timestamp): now time.time() # 记录本次尝试 self.attempt_records[ip].append(now) # 移除时间窗口外的记录 self.attempt_records[ip] [t for t in self.attempt_records[ip] if now - t self.time_window] if len(self.attempt_records[ip]) self.threshold and ip not in self.malicious_ips: self.malicious_ips.add(ip) return True return False5.2 与现有安全工具集成与其重新发明轮子不如与现有安全工具集成Fail2ban集成通过fail2ban的socket或API报告可疑IPSIEM系统集成将事件发送到SIEM系统如Splunk或ELK通知渠道扩展支持邮件、Slack、Telegram等多种通知方式def notify_slack(message, webhook_url): 发送通知到Slack import requests payload {text: message} try: requests.post(webhook_url, jsonpayload) except requests.RequestException as e: print(fSlack通知失败: {e})5.3 性能优化考虑对于高流量系统我们需要考虑性能优化使用inotify替代轮询Linux的inotify机制比定期检查文件更高效异步处理使用asyncio或线程池处理耗时的操作日志轮转处理正确处理日志文件的轮转和压缩import pyinotify class LogEventHandler(pyinotify.ProcessEvent): def my_init(self, callbackNone): self.callback callback def process_IN_MODIFY(self, event): if event.pathname self.wm.get_watch(event.wd)[path]: with open(event.pathname, r) as f: f.seek(self.last_pos) lines f.readlines() self.last_pos f.tell() if self.callback and lines: self.callback(lines) def monitor_with_inotify(log_file, callback): wm pyinotify.WatchManager() handler LogEventHandler(callbackcallback) notifier pyinotify.Notifier(wm, handler) wm.add_watch(log_file, pyinotify.IN_MODIFY) handler.last_pos 0 notifier.loop()6. 部署与持续改进完成开发后我们需要考虑如何将脚本部署为系统服务6.1 系统服务化创建systemd服务单元文件/etc/systemd/system/ssh_monitor.service:[Unit] DescriptionSSH Security Monitor Afternetwork.target [Service] ExecStart/usr/bin/python3 /opt/ssh_monitor/monitor.py Restartalways Userroot Grouproot EnvironmentPYTHONUNBUFFERED1 [Install] WantedBymulti-user.target然后启用并启动服务sudo systemctl daemon-reload sudo systemctl enable ssh_monitor sudo systemctl start ssh_monitor6.2 日志记录与审计脚本自身的运行也需要记录日志建议使用Python的logging模块import logging from logging.handlers import RotatingFileHandler def setup_logging(): logger logging.getLogger(ssh_monitor) logger.setLevel(logging.INFO) # 文件日志最大10MB保留5个备份 file_handler RotatingFileHandler( /var/log/ssh_monitor.log, maxBytes10*1024*1024, backupCount5 ) file_handler.setFormatter(logging.Formatter( %(asctime)s - %(levelname)s - %(message)s )) logger.addHandler(file_handler) # 控制台日志 console_handler logging.StreamHandler() console_handler.setFormatter(logging.Formatter( %(asctime)s - %(levelname)s - %(message)s )) logger.addHandler(console_handler) return logger6.3 持续改进方向在实际使用中可以根据需求不断改进系统机器学习检测使用简单模型识别更复杂的攻击模式分布式监控在多台服务器上部署并集中报告自动化取证发现攻击时自动收集相关证据白名单管理避免误封合法管理IPclass IPWhitelist: def __init__(self, whitelist_file): self.whitelist set() self.whitelist_file whitelist_file self.load_whitelist() def load_whitelist(self): try: with open(self.whitelist_file, r) as f: for line in f: line line.strip() if line and not line.startswith(#): self.whitelist.add(line) except FileNotFoundError: pass def is_whitelisted(self, ip): return ip in self.whitelist在实际部署中我发现最实用的功能不是自动封锁IP而是实时可视化展示攻击尝试的地图。使用GeoIP库将IP转换为地理位置再用简单的Web界面展示能直观了解攻击来源。另一个经验是阈值设置要足够灵活针对不同服务如SSH、Web管理界面设置不同的敏感度。

相关文章:

不止于解题:用玄机靶场案例,打造你的自动化安全日志监控脚本

不止于解题:用玄机靶场案例打造自动化安全日志监控脚本 在网络安全领域,日志分析往往是防御的第一道防线。当我们在玄机靶场中完成SSH爆破日志分析的解题后,是否想过将这些手动操作转化为自动化工具?本文将带你从单次解题跃升到持…...

编程日记 2026/3/29 1:29:24

MusePublic离线素材库:内置1000+优质Prompt模板一键调用

MusePublic离线素材库:内置1000优质Prompt模板一键调用 1. 项目简介:你的专属艺术人像创作引擎 想象一下,你是一位时尚摄影师或数字艺术家,脑海中有一个绝妙的画面:一位身着复古长裙的模特,在黄昏的巴黎街…...

编程日记 2026/3/29 1:29:24

零基础入门:收藏必备!从Agent概念到实战构建,小白也能掌握AI新趋势

本文系统梳理了AI Agent的核心概念、原理及构建模式,通过对比ReAct和Plan-and-Execute等主流模式,阐述了Agent如何从被动对话转向主动行动。文章详细介绍了构建Agent的思路和关键组件,如主程序、行为说明书和工具集,适合对AI Agen…...

编程日记 2026/3/29 1:29:24

百川2-13B-4bits商业授权指南:OpenClaw项目合规使用须知

百川2-13B-4bits商业授权指南:OpenClaw项目合规使用须知 1. 为什么需要关注商业授权 去年我在开发一个OpenClaw自动化写作助手时,差点踩到一个大坑。当时我兴奋地接入了百川2-13B模型,准备用它来生成初稿内容。直到有朋友提醒,我…...

编程日记 2026/3/29 1:29:24

【限时技术白皮书首发】:《边缘Python量化工具实战手册》V2.1——涵盖TVM 0.14 + MLIR + 自定义OP全流程

第一章:边缘Python量化工具概览与V2.1核心升级边缘Python量化工具是一套面向嵌入式AI场景的轻量级模型压缩与部署框架,专为资源受限设备(如RISC-V MCU、Cortex-M7、ESP32-S3等)设计,支持从PyTorch/TensorFlow模型无缝转…...

编程日记 2026/3/29 1:27:24

OpenClaw技能组合:GLM-4.7-Flash多技能协同工作的配置技巧

OpenClaw技能组合:GLM-4.7-Flash多技能协同工作的配置技巧 1. 为什么需要多技能协同? 去年冬天,我接手了一个内容运营的兼职项目。每天需要从十几个来源收集资料,整理成Markdown笔记,再根据主题生成不同风格的公众号…...

编程日记 2026/3/29 1:27:24

CMIP6数据降尺度实战:用Python从零构建区域气候模型(附完整代码)

CMIP6数据降尺度实战:用Python从零构建区域气候模型 当全球气候模型(GCM)的分辨率无法满足区域研究需求时,降尺度技术成为连接全球与局部气候信息的桥梁。本文将带您从CMIP6数据获取开始,逐步实现统计降尺度和动力降尺…...

编程日记 2026/3/29 1:27:24

RT-Thread定时器管理与系统时钟节拍解析

RT-Thread定时器管理深度解析1. 系统时钟节拍机制1.1 时钟节拍基础概念实时操作系统(RTOS)的核心功能之一是对时间相关事件的管理,包括线程延时、时间片轮转调度以及定时器超时等。这些功能都依赖于系统时钟节拍(OS Tick)这一基本时间单位。时钟节拍本质上是特定频率…...

编程日记 2026/3/29 1:27:24

OpenClaw+GLM-4.7-Flash:个人财务助手实践

OpenClawGLM-4.7-Flash:个人财务助手实践 1. 为什么需要本地化财务助手 去年整理年度账单时,我对着十几个Excel表格和银行导出的PDF文件发呆——这些数据分散在不同平台,格式混乱,分类标准不统一。更让我犹豫的是,有…...

编程日记 2026/3/29 1:27:24

5步掌握戴森球计划工厂蓝图:从新手到自动化大师的实战指南

5步掌握戴森球计划工厂蓝图:从新手到自动化大师的实战指南 【免费下载链接】FactoryBluePrints 游戏戴森球计划的**工厂**蓝图仓库 项目地址: https://gitcode.com/GitHub_Trending/fa/FactoryBluePrints 戴森球计划工厂蓝图是构建高效星际生产体系的关键工具…...

编程日记 2026/3/29 1:25:23

语音增强与跨平台部署:DeepFilterNet全场景技术指南

语音增强与跨平台部署:DeepFilterNet全场景技术指南 【免费下载链接】DeepFilterNet Noise supression using deep filtering 项目地址: https://gitcode.com/GitHub_Trending/de/DeepFilterNet 在远程会议中被背景噪音淹没?多语言语音通信时因音…...

编程日记 2026/3/29 1:25:23

告别重复造轮子:用快马AI一键生成极客日报的高效数据管道代码

告别重复造轮子:用快马AI一键生成极客日报的高效数据管道代码 作为一个技术资讯类应用的开发者,我深知数据管道的搭建有多耗时。从内容抓取到清洗处理,再到分类归档,每个环节都需要大量重复性编码。最近尝试了InsCode(快马)平台的…...

编程日记 2026/3/29 1:25:23

AI 模型部署中的内存瓶颈

AI模型部署中的内存瓶颈:挑战与优化 随着AI技术的快速发展,大型神经网络模型(如GPT、ResNet等)在各类应用中大放异彩。模型部署过程中面临的内存瓶颈问题却成为制约其广泛应用的关键因素。无论是边缘设备还是云端服务器&#xff…...

编程日记 2026/3/29 1:25:23

STM32嵌入式系统分层架构与设备驱动实现

嵌入式系统中应用层与硬件层的分层管理实现1. 项目概述在嵌入式系统开发中,传统的开发方式往往将硬件操作直接嵌入到应用层代码中,导致代码耦合度高、可维护性差。本文介绍一种基于STM32平台的硬件抽象层实现方案,通过设备驱动模型实现应用层…...

编程日记 2026/3/29 1:25:23

告别手动输入!SQLPlus非交互模式执行SQL脚本的3种高效方法(附实例)

告别手动输入!SQLPlus非交互模式执行SQL脚本的3种高效方法(附实例) 在数据库管理和开发工作中,频繁执行SQL脚本是家常便饭。想象一下这样的场景:每天凌晨需要生成报表、定期执行数据清洗任务、或者批量更新生产环境数据…...

编程日记 2026/3/29 1:23:23

GHelper:华硕笔记本高效性能优化完整指南

GHelper:华硕笔记本高效性能优化完整指南 【免费下载链接】g-helper Lightweight Armoury Crate alternative for Asus laptops. Control tool for ROG Zephyrus G14, G15, G16, M16, Flow X13, Flow X16, TUF, Strix, Scar and other models 项目地址: https://g…...

编程日记 2026/3/29 1:23:23

从‘米勒平台’到‘零电压开关’:深入浅出聊聊MOS管栅极驱动的那些门道与进阶玩法

从‘米勒平台’到‘零电压开关’:深入浅出聊聊MOS管栅极驱动的那些门道与进阶玩法 在功率电子领域,MOS管的开关过程就像一场精密的芭蕾舞表演,而栅极驱动则是那位看不见的编舞师。当您第一次在示波器上观察到那个神秘的"米勒平台"时…...

编程日记 2026/3/29 1:23:23

DanKoe 视频笔记:数字时代财富创造指南:思想是新石油

在本节课中,我们将探讨在数字时代创造财富的新范式。我们将分析传统投资和房地产的局限性,并揭示“思想”如何成为这个时代最宝贵的、可无限开采的资源。通过理解并构建“数字房地产”,任何人都可以踏上一条全新的致富之路。 概述&#xff1…...

编程日记 2026/3/29 1:23:23

储能变流器双模式切换避坑指南:VF控制与PQ控制实战解析

储能变流器双模式切换实战手册:从原理到避坑全解析 引言:为什么双模式切换是储能系统的技术高地? 去年参与某大型光储项目时,我们团队在系统验收前72小时遭遇了令人窒息的场景——每当微网从并网切换到孤岛模式时,关键…...

编程日记 2026/3/29 1:23:23

iCalendar文件逆向解析:用Python拆解别人发你的会议邀请(附Outlook兼容性测试)

iCalendar文件逆向解析实战:Python拆解会议邀请的完整指南 收到会议邀请时,那个小小的.ics文件里藏着多少秘密?作为技术人员,我们常常需要从第三方日历文件中提取关键信息、分析重复规则,甚至修复跨时区协作中的时间错…...

编程日记 2026/3/29 1:21:23

FPGA开发避坑指南:Vivado 2023.1下MIG IP核(AXI4接口)配置DDR3的完整流程与常见错误排查

FPGA开发实战:Vivado 2023.1中MIG IP核配置DDR3的深度解析与高效排错 在FPGA开发领域,DDR3内存控制器的实现一直是工程师面临的技术挑战之一。Xilinx Vivado工具链中的Memory Interface Generator(MIG)IP核为这一难题提供了优雅的…...

编程日记 2026/3/29 1:21:23

LM2675 DC/DC降压芯片内部电路解析与应用

1. DC/DC降压芯片LM2675内部电路深度解析1.1 芯片架构概述LM2675是一款典型的非同步模式BUCK架构DC/DC降压芯片,其核心功能是通过内部PWM控制器驱动外部功率MOS管,配合外部二极管实现高效电压转换。芯片内部集成了完整的控制环路,通过FB引脚检…...

编程日记 2026/3/29 1:21:23

RTX3090也能跑!Qwen2.5-Omni本地部署避坑指南(含vLLM配置)

RTX3090也能跑!Qwen2.5-Omni本地部署避坑指南(含vLLM配置) 当消费级显卡遇上多模态大模型,总会碰撞出令人惊喜的火花。Qwen2.5-Omni作为当前最热门的开源多模态模型之一,其7B版本在RTX3090这类24GB显存的显卡上完全具备…...

编程日记 2026/3/29 1:21:23

HarmonyOS文件流操作指南:用ArkTS实现高效大文件传输与哈希校验

HarmonyOS文件流操作实战:ArkTS实现大文件传输与完整性校验 在移动应用开发中,文件操作是基础但至关重要的功能。当应用需要处理大型媒体文件、数据库备份或批量数据交换时,传统的文件IO方式往往力不从心。HarmonyOS提供的流式文件操作接口&a…...

编程日记 2026/3/29 1:21:23

Linux内存管理:malloc与free实现原理详解

Linux内存管理:malloc和free的实现原理深度解析1. 动态内存分配基础1.1 malloc和free函数原型void* malloc(size_t size); void free(void* ptr);malloc函数分配指定字节数的内存空间,返回指向该空间的void指针。由于返回的是通用指针,使用时…...

编程日记 2026/3/29 1:19:22

小米AX3000路由器SSH解锁实战全解析

小米AX3000路由器SSH解锁实战全解析 【免费下载链接】unlock-redmi-ax3000 Scripts for getting Redmi AX3000 (aka. AX6) SSH access. 项目地址: https://gitcode.com/gh_mirrors/un/unlock-redmi-ax3000 一、风险预警:解锁前的关键认知 识别解锁风险场景 …...

编程日记 2026/3/29 1:19:22

Phi-4-reasoning-vision-15B快速部署:CSDN镜像一键拉取+7860端口验证

Phi-4-reasoning-vision-15B快速部署:CSDN镜像一键拉取7860端口验证 1. 模型概述 Phi-4-reasoning-vision-15B是微软最新发布的视觉多模态推理模型,专为复杂视觉理解任务设计。这个模型不仅能看懂图片内容,还能进行深度推理分析&#xff0c…...

编程日记 2026/3/29 1:19:22

SMART-AM40玩转轻量桌面:Armbian下xfce4从安装到远程控制的完整指南

SMART-AM40轻量化桌面革命:Armbian系统下xfce4环境全流程部署与远程控制实战 在单板计算机领域,SMART-AM40凭借其Rockchip处理器和出色的能效比,正成为轻量化桌面解决方案的新宠。本文将带您完成从Armbian系统基础配置到xfce4桌面环境部署&am…...

编程日记 2026/3/29 1:19:22

NotaGen优化升级:如何将生成的乐谱导入MuseScore进行精修

NotaGen优化升级:如何将生成的乐谱导入MuseScore进行精修 1. 引言 在AI音乐创作领域,NotaGen作为基于LLM范式的符号化音乐生成模型,已经展现出强大的创作能力。然而,AI生成的乐谱往往需要经过专业音乐人的进一步调整和优化&…...

编程日记 2026/3/29 1:19:21

《QGIS快速入门与应用基础》245:单个元素选择与拖拽

作者:翰墨之道,毕业于国际知名大学空间信息与计算机专业,获硕士学位,现任国内时空智能领域资深专家、CSDN知名技术博主。多年来深耕地理信息与时空智能核心技术研发,精通 QGIS、GrassGIS、OSG、OsgEarth、UE、Cesium、OpenLayers、Leaflet、MapBox 等主流工具与框架,兼具…...

编程日记 2026/3/29 1:17:21