¿Cómo detectar actividad anómala en el tráfico del servidor web?

Parece que lo que estás buscando es detectar intrusos, pero a nivel de aplicación web (capa 7). Esto generalmente se conoce como un servidor de seguridad de aplicaciones web (WAF).

(Tenga en cuenta las diferencias entre una red IDS / IPS y una WAF: enlace )

Los firewalls de aplicaciones web generalmente están diseñados para prevenir y detectar / alertar, aunque tienen la capacidad clave para analizar el tráfico web en busca de una actividad maliciosa sospechosa. Como regla general, parecen incluir capacidades de registro y alerta además de la prevención.

Algunas soluciones potenciales incluyen:

• Productos basados en la nube como Incapsula y Cloudflare
• Basado en host, como ModSecurity , IronBee y WebKnight
• Dispositivo / basado en red, como ASM de F5 , WAPPLES y Barracuda WAF

Una lista de WAF de OWASP: enlace

Estos son ejemplos de implementaciones populares en lugar de recomendaciones personales.

En realidad, no podemos predecir qué ataque podría recibir su servidor, por lo que es muy difícil implementar un sistema de seguridad perfecto.

Pero puedes evitarlo y necesitas actualizarlo una y otra vez. Las siguientes son posibles soluciones para monitorear el tráfico del servidor web,

1. Por lo general, un atacante solía enviar tamaños de piquetes muy pequeños (en bits) que el firewall no puede verificar y resistir, por lo que debe hacer que su firewall sea fuerte.
2. Uso del programa antivirus.
3. Uso de la herramienta analizador de paquetes para monitorear el tráfico (aquí se debe hacer el tipo de trabajo manual).

Y posiblemente esté listo este documento lo ayudará poco más

Debe saber cuál es el tráfico esperado y, además, debe tener una línea de base de rendimiento. Si ve que algo está fuera de los límites, entonces sabe que está ocurriendo algo y tiene que investigar más el problema, verificando el registro del servidor web, el registro del firewall, el registro de IDS, etc.