ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全工具 → GeoLogonalyzer 恶意登录检测系统
GeoLogonalyzer 恶意登录检测系统

GeoLogonalyzer 恶意登录检测系统

评分:
下载地址
  • 软件介绍
  • 软件截图
  • 同类推荐
  • 相关文章

软件Tags: [db:tag]

GeoLogonalyzer是一个实用程序,用于在远程访问日志的源IP地址上执行位置和元数据查找。此分析可根据所需行程的速度,距离,主机名称更改,ASN更改,VPN客户端更改等来识别异常情况。

GeoLogonalyzer 恶意登录检测系统

GeoLogonalyzer提取并处理登录特征的变化以减少分析需求。例如,如果用户从1.1.1.1登录500次,然后从2.2.2.2登录1次,则GeoLogonalyzer将创建一行输出,显示与更改相关的信息,例如:

  • 检测到异常
  • 确定数据中心主机信息
  • 地点信息
  • ASN信息
  • 时间和距离度量

Windows可执行文件

对于Windows用户,我们建议运行编译的可执行文件,因为GeoLogonalyzer需要python依赖项的数量:

  1. https://github.com/fireeye/GeoLogonalyzer/releases

请注意,提供的Windows可执行文件不允许您添加自定义日志解析或更改下面描述的以下常量。

Python

如果您需要使用python源代码(例如修改配置,添加自定义日志解析或在* nix / OSX上运行),则需要安装以下依赖项:

  1. netaddr
  2. python-geoip
  3. win_inet_pton
  4. geopy
  5. geoip2

环境依赖

  1. pip install -r requirements.txt

执行语法

  1. GeoLogonalyzer --csv input.csv --output.csv

自动异常检测

GeoLogonalyzer将尝试自动标记以下异常:

  1. DISTANCE
  2. 该标志表示两个比较源IP地址之间的距离超过了配置的FAR_DISTANCE常量。这是默认500
  3. FAST
  4. 此标志指示在两次比较的认证之间的时间内,在两个比较的源IP地址之间传输所需的速度超过了配置的IMPOSSIBLE_MPH常量。这是默认的500 MPH
  5. DCH
  6. 此标志表示比较的IP地址之一已注册到数据中心托管提供商。
  7. ASN
  8. 该标志表示两个比较源IP地址的ASN不相同。过滤掉没有此标志的源IP地址更改_可能会削减来自附近位置的合法登录以进行审查。
  9. CLIENT
  10. 如果VPN客户端信息由GeoLogonalyzer处理,则此标志指示两个比较认证之间VPN客户端名称的更改。这可以帮助识别未经批准的VPN客户端软件的使用。
  11. HOSTNAME
  12. 如果主机名信息由GeoLogonalyzer处理,则此标志指示两个比较认证之间主机名的更改。这可以帮助识别连接到远程访问解决方案的未经批准的系统的使用。

(翻译的不标准凑活看吧,能懂就行)

GeoLogonalyzer可用于在文本文件上提供元数据查找,该文件列出每行一个IP地址。示例ip-input.txt文件

  1. 1.3.5.7
  2. 10.39.4.5
  3. 127.9.4.5
  4. 34.78.32.14
  5. 192.4.4.3
  6. asdffasdf
  7. 2.4.5.0

执行语法:

  1. GeoLogonalyzer --ip_only ip-input.txt --output ip-output.csv

示例ip-output.csv:

  1. ip,location,country,subdivisions,dch_company,asn_number,asn_name
  2. 1.3.5.7,"(23.1167, 113.25)",CN,GD, , ,
  3. 10.39.4.5,"(0, 0)",PRIVATE,PRIVATE,,,
  4. 127.9.4.5,"(0, 0)",RESERVED,RESERVED,,,
  5. 34.78.32.14,"(29.9668, -95.3454)",US,TX, , ,
  6. 192.4.4.3,"(40.6761, -74.573)",US,NJ, ,54735,"TT Government Solutions, Inc."
  7. asdffasdf,"(0, 0)",INVALID,INVALID,,,
  8. 2.4.5.0,"(43.6109, 3.8772)",FR,"OCC, 34", ,3215,Orange
展开内容

软件截图

下载地址

  • PC版

推荐文章

用户评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网