分析请求流量

当攻击成功绕过现有防御时，请求流量模块为您提供回溯分析所需的关键数据。该模块完整记录所有 HTTP 请求的实时与历史视图，包括未被当前安全策略检测到的请求，帮助您准确识别异常访问模式、深入分析可疑流量来源与行为，并以此为依据创建新的防护策略。

进入请求流量页面：

1. 登录CDNetworks控制台，在已开通产品下，找到正在使用的安全产品并点击进入。
2. 前往安全标签下，安全运营>安全分析>请求流量。

攻击分析思路

步骤一：选定分析对象

1. 定位分析目标

当您需要快速了解哪个网站域名正在遭受攻击时，可以通过以下任一方式立即定位：

• 查看实时告警：建议配置并关注推送的安全告警通知，其中会直接指明受攻击的域名。可前往 安全运营>告警管理 页面，根据自身业务特点，选择开启系统定义告警规则，或配置自定义告警规则。
• 查看网站安全态势：通过前往 安全运营>网站安全态势 页面，关注攻击目标Top域名排行，快速识别攻击焦点。

2. 添加受攻击域名

安全分析功能聚焦于单个域名的深度分析。因此，进入页面后，请您首先选择需要分析的域名。选择完成后，页面将默认展示此域名过去24小时的流量情况。

步骤二：分析流量与威胁

1. 通过统计趋势查看流量整体情况

页面中的统计趋势部分展示请求流量的整体趋势。您可根据此视图，了解流量的分布与流向，判断是否有异常访问情况，以及当前的防护情况。

• 流量处理与流向分析：默认情况下，该图表展示以下三种流量的处理结果以及变化趋势。

• 查看不同维度的流量趋势：该图表支持选择不同统计维度，并展示所选维度下流量排名前五的具体数值及其随时间的变化趋势，帮助您快速掌握关键维度的流量分布与波动情况。可选维度包括请求特征：如主机、客户端IP、国家/地区等；以及请求的防护状态：安全处理动作以及安全策略类型。

2. 通过统计Top分析攻击特征

通常情况下，正常请求分布较为均匀，而攻击流量则往往呈现出可识别的异常模式。其典型特征例如：对特定端点（如登录页面、API接口）在短时间内发起高频请求；攻击流量来源高度集中；请求中包含恶意字符等。

页面中的统计Top部分提供各维度的Top排名，通过展示请求中出现频率最高的字段，帮助您快速定位异常。

3. 通过过滤器调整分析范围

在分析过程中，您可以通过以下两种方式，灵活调整仪表板中统计数据的分析范围，以聚焦于特定流量：

• 手动添加筛选条件：

1. 选定您要重点分析的时间范围
2. 点击过滤器图标，在输入框中，您可以手动添加字段、运算符与条件值，以自定义筛选或排除特定的数据维度。例如，要按客户端IP过滤日志，请选择客户端IP，选择等于运算符，然后输入IP地址。

• 通过图表图例快速筛选：当您将鼠标悬停于图表的数据图例上时，则会出现 筛选与排除 按钮。点击对应按钮，即可立即根据该图例所代表的字段值进行快速筛选或排除操作。

提示：同一个查询字段的多个值之间的关系为“或”，多个查询字段之间的关系为“且”。例如，添加查询条件：客户端IP等于127.0.0.1和状态码等于403;404，将查询满足客户端IP地址为127.0.0.1且状态码为403或404的数据。

步骤三：验证分析结果

1. 查看样本日志

在完成宏观趋势分析后，您可通过页面中的样本日志部分，查看每条请求的详细字段信息，进一步核查具体内容，从而判断并确认该请求是否属于异常。

日志抽样技术

为平衡数据规模与查询性能，安全分析通过引入日志抽样技术来处理庞大数据，以此保障页面的快速响应，同时确保统计结果的准确性。在查看样本日志时，如果在查询范围内请求量过大，则展示的日志为抽样后的结果，您可以通过调整过滤器，精细化筛选条件，来显示更完整的事件。安全分析主要采用以下日志抽样技术：

• 数据入库，动态采样：在日志流入时，系统会根据当前周期内域名的请求量大小，自动调整采样率。当前系统设置的采样率为100%，10%，1%。

• 数据查询，智能路由：当您执行查询时，系统会基于查询时间范围、筛选条件及历史数据分布，自动选择匹配的采样数据率表格进行读取。