日志服务查询分析支持IP、域名、URL安全识别

日志服务查询分析支持IP、域名、URL安全识别

概述

日志服务依托全球白帽子共享安全资产库,提供安全检测函数,用户只需要将日志中任意的IP、域名或者URL传给安全检测函数,即可检测是否安全。

发布时间

2018年7月

支持域

目前所有日志服务域均支持

适用客户

  1. 对服务运维有较强需求的企业和机构如互联网、游戏、资讯等,其IT、安全运维人员可借此以及时筛选可疑访问、攻击以及侵入的行为,并支持进一步深入分析和采取一定措施进行防御。
  2. 对内部资产保护有较强需求的企业和机构如银行、证券、电商等,其IT、安全运维人员可以借此即时发现内部访问危险网站、下载木马等行为,并即时采取行动。

主要特点

  • 可靠:依托全球共享的白帽子安全资产库,并及时更新。
  • 快速:检测百万IP、域名或URL仅需几秒钟。
  • 简单:无缝支持任意网络日志,调用3个SQL函数security_check_ip、security_check_domain、security_check_url即可获得结果。
  • 灵活:既可以交互式查询,也可以构建报表视图。并可以建立报警并采取进一步行动。

函数列表

函数名 含义 样例
security_check_ip 检查IP是否安全,返回1(命中,表示不安全)或者0(未命中) select security_check_ip(real_client_ip)
security_check_domain 检查Domain是否安全,返回1(命中,表示不安全)或者0(未命中) select security_check_domain(site)
security_check_url 检查URL是否安全,返回1(命中,表示不安全)或者0(未命中) select security_check_domain(concat(host, url)

场景

场景1:检查外部可疑访问行为并生成报表

某电商收集了其运营的Ngnix服务器的日志,对其访问的客户端中想要扫描是否存在不安全的客户IP,可以实现如下查询分析语句:

* | select ClientIP, ip_to_country(ClientIP) as country, ip_to_provider(ClientIP) as provider, count(1) as PV where security_check_ip(ClientIP) = 1 group by ClientIP order by PV desc

返回如下:
日志服务查询分析支持IP、域名、URL安全识别

这里将Ngnix的日志中的ClientIP字段传给了security_check_ip函数,并筛选出其返回值为1的IP进行展现,并展示其所在国家、网络运营商等。

还可以进一步进行选择地图视图,进行可视化如下:
日志服务查询分析支持IP、域名、URL安全识别

场景2:检查内部可疑访问行为并报警

例如,某证券运营商收集了其内部设备通过网关代理访问外网的网络流量的日志,想要检查是否有人有意无意的访问了有问题的网站,可以执行如下查询:

* | select client_ip, count(1) as PV where security_check_ip(remote_addr) = 1 or security_check_site(site) = 1 or security_check_url(concat(site, url)) = 1 group by client_ip order by PV desc

这里还可以进一步建立安全报警,当有客户端频繁访问危险网站的时候,就触发报警,配置如下。
首先将SQL另存为为快速查询。然后再点击另存为告警,配置如下:

日志服务查询分析支持IP、域名、URL安全识别

这里配置每5分钟检查一次是否有人过去1小时内频繁(超过5次)访问危险网站,具体参数也可以根据实际情况和需要做一些调整。

进一步参考

  • 扫码加入官方钉钉群 (11775223):
    日志服务查询分析支持IP、域名、URL安全识别
上一篇:Script:检查数据库当前是否有备份操作在执行中


下一篇:Java基础知识回顾-9