分析攻击事件

攻击事件模块用于审查与评估防护效果、核查误报。该模块集中展示所有被安全防护策略（如DDoS防护、WAF等）识别并执行了操作的事件明细，包括被处理或标记的请求。通过分析这些已被识别为威胁的请求，您可以清晰评估现有防护策略的有效性，并及时进行策略调优。

进入请求流量页面：

1. 登录CDNetworks控制台，在已开通产品下，找到正在使用的安全产品并点击进入。
2. 前往安全标签下，安全运营>安全分析>攻击事件。

防护效果评估思路

步骤一：选定分析对象

在防护效果评估或误报分析的场景中，待分析的受影响域名较为明确，这使您能快速锁定目标，在模块内直接查看相关事件详情。

1. 添加待分析域名

安全分析功能聚焦于单个域名的深度分析。因此，进入页面后，请您首先选择需要审查的域名。选择完成后，页面将默认展示此域名过去24小时的流量情况。

步骤二：定位与分析

1. 通过统计趋势锁定分析范围

页面中的统计趋势部分展示攻击事件的整体趋势。您可根据此视图，了解整体安全攻击态势，评估全局防护效果；也可将该视图作为定位与排查问题的高效工具。

• 查看当前防护状态：首先，该图表默认展示该域名下命中安全策略类型的分布趋势，可直观判断当前主要由哪一类安全策略进行防护。同时，当切换至安全处理动作维度，可查看拦截，校验等安全处理动作的请求数波动，以识别异常发生时段。结合两者，将疑似异常时段和对应的策略类型加入过滤条件，可进一步锁定分析范围。

• 查看攻击事件不同维度趋势：该图表支持选择不同统计维度，并展示所选维度下攻击事件排名前五的具体数值及其随时间的变化趋势与分布情况。可选维度包括攻击请求特征：如主机、客户端IP、国家/地区等；以及攻击命中策略类型的详细规则：如DDoS防护规则名称、WAF规则类型等。

2. 通过统计Top识别攻击事件特征

页面中的统计Top部分通过展示触发安全策略的关键请求特征的排名，直观呈现攻击事件的集中分布。不仅能定位攻击来源（如高频客户端IP），更能深入揭示攻击手法与特征（如常用的恶意User Agent、常见的攻击路径或可疑的Referer），从而让您清晰了解“谁在攻击”、“如何攻击”以及“攻击哪里”。该功能提供的攻击特征维度如下：

• 攻击来源：客户端IP、国家/地区
• 攻击特征：User Agent、Referer、安全处理动作、安全策略类型、WAF规则名称、DDoS规则名称、自定义规则名称
• 攻击目标：主机、路径

3. 通过过滤器调整分析范围

在分析过程中，您可以通过以下两种方式，灵活调整仪表板中统计数据的分析范围，以聚焦于特定流量：

• 手动添加筛选条件：

1. 选定您要重点分析的时间范围
2. 点击过滤器图标，在输入框中，您可以手动添加字段、运算符与条件值，以自定义筛选或排除特定的数据维度。例如，要按客户端IP过滤日志，请选择客户端IP，选择等于运算符，然后输入IP地址。

• 通过图表图例快速筛选：当您将鼠标悬停于图表的数据图例上时，则会出现 筛选与排除 按钮。点击对应按钮，即可立即根据该图例所代表的字段值进行快速筛选或排除操作。

提示：同一个查询字段的多个值之间的关系为“或”，多个查询字段之间的关系为“且”。例如，添加查询条件：客户端IP等于127.0.0.1和状态码等于403;404，将查询满足客户端IP地址为127.0.0.1且状态码为403或404的数据

步骤三：验证分析结果

1. 查看样本日志

在完成攻击特征定位后，您可通过页面中的样本日志部分，查看每条攻击事件的详细字段信息，进一步核查具体内容，从而判断并确认是否为真实攻击。