日志服务支持实时采集阿里云DDoS高防IP的网站访问日志、CC攻击日志,并支持对采集到的日志数据进行实时检索与分析,并以仪表盘形式展示查询结果。

背景信息

互联网界的安全一直都不断的面临着挑战,以DDoS攻击为代表的网络威胁直接对网络安全产生严重的影响。

DDoS攻击正在朝着大规模、移动化、全球化的方向发展。据近年来的调查报告显示,DDoS攻击的频率呈现出增长的趋势。黑客攻击的隐蔽性强,能够控制大量的安全措施差的云服务商、IDC、甚至海量摄像头发起攻击,其攻击已经形成了成熟的黑色产业链,并且越来越有组织化。同时,攻击的方式向两极化发展,慢速攻击、混合攻击尤其是CC攻击占比不断增大,这给检测防御造成更大的难度。一方面,超过1Tbps的攻击峰值屡见不鲜、100G攻击次数成倍增长,另一方面,应用层攻击也在大幅度翻倍

根据卡巴斯基2018Q1的DDoS风险报告,中国依然是主要的DDoS攻击源和目标。 主要被攻击的行业是互联网、游戏、软件公司、金融等。超过80%DDoS攻击会混合HTTP攻击,而CC攻击尤其隐蔽,因此通过日志对访问和攻击行为进行即时分析研究、附加防护策略就显得尤其重要。

日志服务支持实时采集阿里云DDoS高防IP的网站访问日志、CC攻击日志,并支持对采集到的日志数据进行实时检索与分析,并以仪表盘形式展示查询结果。

功能优势

  • 配置简单:轻松配置即可采集实时高防日志。
  • 实时分析:依托日志服务,提供实时日志分析,并提供开箱即用的报表中心,对CC攻击状况以及客户访问细节了如指掌。
  • 实时告警:支持基于特定指标定制准实时的监测与告警,确保关键业务异常时可及时响应。
  • 生态体系:支持对接其他生态如流计算、云存储、可视化方案,进一步挖掘数据价值。
  • 免费额度:提供特定免费数据导入额度,以及免费3天的日志存储、查询与实时分析。并可自由扩展存储时间,以便合规管理、溯源、备案等。支持不限时长的存储,存储成本低至0.35元/GB/月。

限制与说明

  • 专属日志库不支持写入其他数据

    专属日志库用于存入DDoS高防IP的网站日志,因此不支持写入其他数据。其他查询、统计、报警、流式消费等功能没有限制。

  • 按量计费。没有为任何网站开启DDoS高防日志采集功能则不收费。

    DDoS高防日志功能按照日志服务的收费项进行计费,没有为任何网站开启DDoS高防日志采集功能则不收费。日志服务为按量计费模式,并提供一定的免费额度。详细计费说明请参考费用说明

应用场景

  • 排查网站访问异常

    配置日志服务采集DDoS高防日志后,您可以对采集到的日志进行实时查询与分析。使用SQL语句分析DDoS访问日志,可以对网站的访问异常进行快速排查和问题分析,并查看读写延时、运营商分布等信息。

    例如,通过以下语句查看DDoS访问日志:
    __topic__: ddos_access_log
    查询结果:
    图 1. DDoS访问日志


  • 追踪CC攻击者来源

    DDoS访问日志中记录了CC攻击者的分布及来源,通过对DDoS访问日志进行实时查询与分析,您可以对CC攻击者进行来源追踪、溯源攻击事件,为您的应对策略提供参考。

    例如,通过以下语句分析DDoS访问日志中记录的CC攻击者国家分布:
    __topic__: ddos_access_log and cc_blocks > 0| SELECT ip_to_country(if(real_client_ip='-', remote_addr, real_client_ip)) as country, count(1) as "攻击次数" group by country
    将分析结果用仪表盘表示:
    图 2. CC攻击者来源


  • 例如,通过以下语句查看访问PV:
    __topic__: ddos_access_log | select count(1) as PV
    将分析结果用仪表盘表示:
    图 3. 访问PV


  • 网站运营分析

    DDoS访问日志中实时记录网站访问数据,您可以对采集到的访问日志数据进行SQL查询分析,得到实时的访问情况,例如判断网站热门程度、访问来源及渠道、客户端分布等,并以此辅助网站运营分析。

    例如,查看来自各个网络云上的访问者流量分布:
    __topic__: ddos_access_log | select ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) as provider, round(sum(request_length)/1024.0/1024.0, 3) as mb_in group by provider having ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) <> '' order by mb_in desc limit 10
    将分析结果用仪表盘展示:
    图 4. 访问客户端分布