Come rilevare attività anomale nel traffico del server web?

Sembra che quello che stai cercando di fare sia il rilevamento delle intrusioni, ma a livello di applicazione Web (livello 7). Questo è solitamente definito come un Application Firewall (WAF).

(Nota le differenze tra un IDS / IPS di rete e un WAF: link )

I firewall di applicazioni Web sono generalmente progettati per prevenire e rilevare / avvisare, sebbene abbiano la capacità chiave di analizzare il traffico Web per sospette attività dannose. Come regola generale, sembrano includere funzionalità di registrazione e avviso oltre alla prevenzione.

Alcune soluzioni potenziali includono:

• prodotti basati su cloud come Incapsula e Cloudflare
• basato su host come ModSecurity , IronBee e WebKnight
• Apparecchio / basato sulla rete come F5 ASM , WAPPLES e Barracuda WAF

Un elenco di WAF da OWASP: link

Questi sono esempi di implementazioni popolari piuttosto che raccomandazioni personali.

In realtà non possiamo prevedere quale attacco il tuo server potrebbe ottenere in tal modo è molto difficile implementare un sistema di sicurezza perfetto.

Ma puoi evitarlo e devi aggiornarlo ancora e ancora. Le seguenti sono le possibili soluzioni per monitorare il traffico del web server,

1. Solitamente l'autore di un attacco usava inviare picchetti di dimensioni molto piccole (in bit) che il firewall non può controllare e resistere, quindi dovresti rendere strong il tuo firewall.
2. Uso del programma antivirus.
3. Utilizzo dello strumento analizzatore di pacchetti per monitorare il traffico (tipo di lavoro manuale necessario da eseguire qui)

E possibilmente pronto questo documento ti aiuterà poco più

Dovresti sapere qual è il traffico previsto e inoltre dovresti avere una previsione di rendimento. Se vedi qualcosa fuori dai limiti, allora sai che sta succedendo qualcosa e devi cercare ulteriormente il problema, controllando il registro del server web, il registro del firewall, il registro IDS, ecc.