LogAnalyzer
LogAnalyzer est un logiciel de visualisation, d'exploration et d'analyse de log d'accès à des serveurs HTTP (Apache) pour la détection d'intrusions. Ce logiciel a développé dans le cadre du projet SéSur.
Auteur : Guyet Thomas ( thomas_dot_guyet_at_irisa.fr) Année : 2008 Laboratoire : INRIA/IRISA (Equipe DREAM) |
LogAnalyzer est un logiciel d'analyse de logs de connexions à un serveur HTTP qui permet de détecter des intrusions de manière adaptative. Ce logiciel permet également la visualisation et l'exploration des logs (filtrage, analyse de la structure du serveur ou des transactions). Le logiciel contient également des outils qui permettent de recueillir des statistiques sur les logs et de faire de l'insertion artificielle d'intrusions dans des logs (utiles pour l'évaluation de méthodes de détection d'intrusion).
Le but d'un système adaptatif de diagnostic est de surveiller et diagnostiquer un système tout en s'adaptant à son évolution. Ceci passe par l'adaptation des diagnostiqueurs qui précisent ou enrichissent leur propre modèle pour suivre au mieux le système au fil du temps. Pour détecter les besoins d'adaptation, nous proposons un cadre de diagnostic multi-sources s'inspirant de la fusion d'information. Des connaissances fournies par le concepteur sur des relations attendues entre les diagnostiqueurs mono-source forment un méta-modèle du diagnostic. La compatibilité des résultats du diagnostic avec le méta-modèle est vérifiée en ligne. Lorsqu'une de ces relations n'est pas vérifiée, les diagnostiqueurs concernés sont modifiés.
LogAnalyzer a été implémenté en C++ à l'aide des bibliothèques d'interfaces de Qt4. Il permet de charger des logs Apache au format Combined.