日志服务依托全球白帽子共享安全资产库,提供安全检测函数,您只需要将日志中任意的IP、域名或者URL传给安全检测函数,即可检测是否安全。

应用场景

  1. 对服务运维有较强需求的企业和机构如互联网、游戏、资讯等,其IT和安全运维人员可借此及时筛选可疑访问、攻击以及侵入的行为,并支持进一步深入分析和采取一定措施进行防御。
  2. 对内部资产保护有较强需求的企业和机构如银行、证券、电商等,其IT、安全运维人员可以借此即时发现内部访问危险网站、下载木马等行为,并即时采取行动。

功能特点

  • 可靠:依托全球共享的白帽子安全资产库,并及时更新。
  • 快速:检测百万IP、域名或URL仅需几秒钟。
  • 简单:无缝支持任意网络日志,调用3个SQL函数security_check_ip、security_check_domain、security_check_url即可获得结果。
  • 灵活:既可以交互式查询,也可以构建报表视图。还可以建立报警并采取进一步行动。

函数列表

函数名 含义 样例
security_check_ip 检查IP是否安全,其中:
  • 返回1:命中,表示不安全
  • 返回0:未命中
select security_check_ip(real_client_ip)
security_check_domain 检查Domain是否安全,其中:
  • 返回1:命中,表示不安全
  • 返回0:未命中
select security_check_domain(site)
security_check_url 检查URL是否安全,其中:
  • 返回1:命中,表示不安全
  • 返回0:未命中
select security_check_domain(concat(host, url)

示例

  • 检查外部可疑访问行为并生成报表

    某电商收集了其运营的Ngnix服务器的日志,对其访问的客户端中想要扫描是否存在不安全的客户IP。可以将Ngnix的日志中的ClientIP字段传给security_check_ip函数,并筛选出其返回值为1的IP进行展现,并展示其所在国家、网络运营商等。

    对应查询分析语句为:

    * | select ClientIP, ip_to_country(ClientIP) as country, ip_to_provider(ClientIP) as provider, count(1) as PV where security_check_ip(ClientIP) = 1 group by ClientIP order by PV desc


    设置为地图视图展示:

  • 检查内部可疑访问行为并报警
    例如,某证券运营商收集了其内部设备通过网关代理访问外网的网络流量的日志,需要检查是否有人访问了有问题的网站,可以执行如下查询:
    * | select client_ip, count(1) as PV where security_check_ip(remote_addr) = 1 or security_check_site(site) = 1 or security_check_url(concat(site, url)) = 1 group by client_ip order by PV desc
    您也可以将此语句另存为快速查询,并建立安全报警,当有客户端频繁访问危险网站时触发报警,配置每5分钟检查一次是否有人过去1小时内频繁(超过5次)访问危险网站。配置如下: