日志服务查询分析支持IP、域名、URL安全识别-阿里云开发者社区

开发者社区> 阿里云存储服务> 正文

日志服务查询分析支持IP、域名、URL安全识别

简介: 日志服务依托全球白帽子共享安全资产库,提供安全检测函数,用户只需要将日志中任意的IP、域名或者URL传给安全检测函数,即可检测是否安全。

概述

日志服务依托全球白帽子共享安全资产库,提供安全检测函数,用户只需要将日志中任意的IP、域名或者URL传给安全检测函数,即可检测是否安全。

发布时间

2018年7月

支持域

目前所有日志服务域均支持

适用客户

  1. 对服务运维有较强需求的企业和机构如互联网、游戏、资讯等,其IT、安全运维人员可借此以及时筛选可疑访问、攻击以及侵入的行为,并支持进一步深入分析和采取一定措施进行防御。
  2. 对内部资产保护有较强需求的企业和机构如银行、证券、电商等,其IT、安全运维人员可以借此即时发现内部访问危险网站、下载木马等行为,并即时采取行动。

主要特点

  • 可靠:依托全球共享的白帽子安全资产库,并及时更新。
  • 快速:检测百万IP、域名或URL仅需几秒钟。
  • 简单:无缝支持任意网络日志,调用3个SQL函数security_check_ip、security_check_domain、security_check_url即可获得结果。
  • 灵活:既可以交互式查询,也可以构建报表视图。并可以建立报警并采取进一步行动。

函数列表

函数名 含义 样例
security_check_ip 检查IP是否安全,返回1(命中,表示不安全)或者0(未命中) select security_check_ip(real_client_ip)
security_check_domain 检查Domain是否安全,返回1(命中,表示不安全)或者0(未命中) select security_check_domain(site)
security_check_url 检查URL是否安全,返回1(命中,表示不安全)或者0(未命中) select security_check_domain(concat(host, url)

场景

场景1:检查外部可疑访问行为并生成报表

某电商收集了其运营的Ngnix服务器的日志,对其访问的客户端中想要扫描是否存在不安全的客户IP,可以实现如下查询分析语句:

* | select ClientIP, ip_to_country(ClientIP) as country, ip_to_provider(ClientIP) as provider, count(1) as PV where security_check_ip(ClientIP) = 1 group by ClientIP order by PV desc

返回如下:
1

这里将Ngnix的日志中的ClientIP字段传给了security_check_ip函数,并筛选出其返回值为1的IP进行展现,并展示其所在国家、网络运营商等。

还可以进一步进行选择地图视图,进行可视化如下:
2

场景2:检查内部可疑访问行为并报警

例如,某证券运营商收集了其内部设备通过网关代理访问外网的网络流量的日志,想要检查是否有人有意无意的访问了有问题的网站,可以执行如下查询:

* | select client_ip, count(1) as PV where security_check_ip(remote_addr) = 1 or security_check_site(site) = 1 or security_check_url(concat(site, url)) = 1 group by client_ip order by PV desc

这里还可以进一步建立安全报警,当有客户端频繁访问危险网站的时候,就触发报警,配置如下。
首先将SQL另存为为快速查询。然后再点击另存为告警,配置如下:

3

这里配置每5分钟检查一次是否有人过去1小时内频繁(超过5次)访问危险网站,具体参数也可以根据实际情况和需要做一些调整。

进一步参考

  • 扫码加入官方钉钉群 (11775223):
    image

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

阿里云存储基于飞天盘古2.0分布式存储系统,产品多种多样,充分满足用户数据存储和迁移上云需求。

官方博客
链接