ml-scan-web-log
웹 로그에서 악성 접근을 탐지합니다. src_ip, status, method, path, query, user_agent 필드를 입력해야 합니다.
ml-scan-web-log [features=FEATURES]
- features=FEATURES
- 모든 피처를 출력하려면 t를 지정합니다.
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| verdict | 문자열 | 판정 | attack 또는 benign |
| tags | 문자열 | 태그 | HTTP 요청의 특징. 예: #not_found, #static |
| is_not_found | 32비트 정수 | 페이지 없음 여부 | 리소스가 존재하지 않으면 1, 그 외에는 0. HTTP 상태 코드 404인 경우에 해당됨. |
| is_error | 32비트 정수 | 페이지 오류 여부 | 서버가 오류를 반환한 경우 1, 그 외에는 0. HTTP 상태 코드 500인 경우에 해당됨. |
| is_cloud_asn | 32비트 정수 | 클라우드 대역 여부 | src_ip 주소가 클라우드 서비스 대역에 속한 경우 1, 그 외에는 0. |
| is_hosting_asn | 32비트 정수 | 호스팅 대역 여부 | src_ip 주소가 호스팅 서비스 대역에 속한 경우 1, 그 외에는 0. |
| is_asm_asn | 32비트 정수 | 공격표면관리 대역 여부 | src_ip 주소가 공격표면관리 서비스 대역에 속한 경우 1, 그 외에는 0. |
| is_broadband_asn | 32비트 정수 | 브로드밴드 대역 여부 | src_ip 주소가 브로드밴드 서비스 대역에 속한 경우 1, 그 외에는 0 |
| is_service_asn | 32비트 정수 | 웹 서비스 대역 여부 | src_ip 주소가 웹 서비스 대역에 속한 경우 1, 그 외에는 0 |
| is_good_asn | 32비트 정수 | 정상 평판 대역 여부 | src_ip 주소가 브로드밴드, 웹 서비스, 공격표면관리 등 정상 IP 대역에 속한 경우 1, 그 외에는 0 |
| is_bad_asn | 32비트 정수 | 악성 평판 대역 여부 | src_ip 주소가 클라우드, 호스팅 등 악성 IP 대역에 속한 경우 1, 그 외에는 0 |
| is_static | 32비트 정수 | 정적 리소스 여부 | 경로가 정적 리소스인 경우 1, 그 외에는 0. 예를 들면 이미지, 스타일시트, 자바스크립트 등 |
| is_scanning | 32비트 정수 | 스캐닝 여부 | 경로가 알려진 스캐닝 패턴에 해당되는 경우 1, 그 외에는 0 |
| is_exploit | 32비트 정수 | 익스플로잇 여부 | 경로가 알려진 익스플로잇 패턴에 해당되는 경우 1, 그 외에는 0 |
| is_index | 32비트 정수 | 인덱스 여부 | 경로가 최상위 페이지인 경우 1, 그 외에는 0 |
| is_hidden_file | 32비트 정수 | 숨김 파일 여부 | 경로가 /.으로 시작하는 경우 1, 그 외에는 0 |
| is_traversal | 32비트 정수 | 디렉터리 순회 여부 | 경로가 ../ 패턴을 포함한 경우 1, 그 외에는 0 |
| is_php | 32비트 정수 | PHP 여부 | 경로가 PHP 확장자를 포함한 경우 1, 그 외에는 0 |
| chrome_ver | 32비트 정수 | Chrome 브라우저 버전 | user_agent 값에서 추출한 Chrome 버전 |
| edge_ver | 32비트 정수 | Edge 브라우저 버전 | user_agent 값에서 추출한 Edge 버전 |
| safari_ver | 32비트 정수 | Safari 브라우저 버전 | user_agent 값에서 추출한 Safari 버전 |
| is_browser | 32비트 정수 | 브라우저 여부 | user_agent 값이 상용 웹 브라우저에 해당되는 경우 1, 그 외에는 0. 예를 들면 Chrome, MSEdge, Safari, Firefox, Opera. |
| is_asm | 32비트 정수 | 공격표면관리 에이전트 여부 | user_agent 값이 알려진 공격표면관리 에이전트에 해당되는 경우 1, 그 외에는 0 |
| is_seo | 32비트 정수 | 검색엔진최적화 에이전트 여부 | user_agent 값이 알려진 검색엔진최적화 크롤러에 해당되는 경우 1, 그 외에는 0 |
| is_go | 32비트 정수 | Go 에이전트 여부 | user_agent 값이 Go 언어로 개발된 프로그램에 해당되는 경우 1, 그 외에는 0 |
| is_java | 32비트 정수 | Java 에이전트 여부 | user_agent 값이 Java 언어로 개발된 프로그램에 해당되는 경우 1, 그 외에는 0 |
| is_python | 32비트 정수 | Python 에이전트 여부 | user_agent 값이 Python 언어로 개발된 프로그램에 해당되는 경우 1, 그 외에는 0 |
| is_custom_bot | 32비트 정수 | 프로그램 여부 | user_agent 값이 프로그래밍된 봇에 해당되는 경우 1, 그 외에는 0 |
| is_shell | 32비트 정수 | 명령줄 브라우저 여부 | user_agent 값이 셸 명령어에 해당되는 경우 1, 그 외에는 0. 예를 들면 curl, wget 등 |
| is_social | 32비트 정수 | SNS 에이전트 여부 | user_agent 값이 SNS 크롤러에 해당되는 경우 1, 그 외에는 0. 예를 들면 페이스북, 트위터 크롤러 등 |
| is_search_engine | 32비트 정수 | 검색엔진 여부 | user_agent 값이 검색엔진 크롤러에 해당되는 경우 1, 그 외에는 0. 예를 들면 구글, 빙, 네이버 등 |
| is_scanner | 32비트 정수 | 스캐너 여부 | user_agent 값이 알려진 스캐너인 경우 1, 그 외에는 0. 예를 들면 zgrab, masscan 등 |
| is_vpn_client | 32비트 정수 | VPN 클라이언트 여부 | user_agent 값이 알려진 VPN 클라이언트인 경우 1, 그 외에는 0 |
| is_unknown | 32비트 정수 | 미식별 에이전트 여부 | user_agent 값이 상용 브라우저나 봇 중 어느 것으로도 식별되지 않는 경우 1, 그 외에는 0 |
| is_good_agent | 32비트 정수 | 정상 에이전트 여부 | user_agent 값이 검색엔진, SNS, 검색엔진최적화, VPN 클라이언트 등 정상 에이전트인 경우 1, 그 외에는 0 |
| is_good_req | 32비트 정수 | 정상 요청 여부 | 정상 요청인 경우 1, 그 외에는 0. 예를 들어 이미지, 자바스크립트 등 정적 리소스에 대한 GET 요청은 정상으로 분류됨. |
| is_bad_req | 32비트 정수 | 악성 요청 여부 | 악성 요청인 경우 1, 그 외에는 0, 예를 들어 숨김 파일 요청은 악성으로 분류됨. |
| is_special_query | 32비트 정수 | 특수문자 쿼리 여부 | 쿼리스트링에 특수문자가 포함된 경우 1, 그 외에는 0 |