护网本身是为了保障企业的网络信息安全，真正起到防护作用的是网络安全设备厂商和安全软件厂商。但是这些安全设备和防护系统并不是足够完备的，设备、系统、数据库往往是孤立的，且企业网络架构复杂，服务的系统众多，使用人员繁杂。

护网过程离不开日志分析平台，但对日志进行实时留存以供取证只是日志平台的最基础功能。现在，安全关联分析已经成为日志平台的一个重要技术趋势。赛迪顾问2019年发布的《中国日志审计产品市场研究报告》就指出，安全关联分析逐渐成为日志审计的关键技术。

日志易平台的一大技术优势就是提供了完备的搜索处理语言SPL（Search Processing Language），支持150多个函数，可实现复杂关联运算，串联多环节日志数据，对不同系统业务的日志进行关联性分析，以达到精确告警的目的。

今天就让我们来聊一聊日志关联分析功能，分享一下日志易如何在采集安全类设备运行所产生的日志后，通过安全事件的关联分析解决企业的两大核心难题，即发现攻击事件和防御正在进行的攻击。

发现攻击事件的整体逻辑：

在企业部署日志易平台后，由平台统一采集和管理日志数据。通过分析各个安全设备上日志的记录如时间、源地址、源端口、目的地址、目的端口、事件类型、URL 地址、Web shell 事件等，平台将从 WAF/IDS 获取事件源IP并且使用该IP在应用日志上查询是否在上传页面 POST 过数据，再检查同一时间是否有主机 Web shell 告警事件发生。如果有告警事件发生，则会被确认为入侵事件，日志易平台将立即告警安全人员进行处理，避免产生严重后果。

或许有的小伙伴无法完全理解理论描述，下面让我们通过两个场景实例来了解一下上述功能吧。

某金融机构部署日志易平台后，其安全分析的场景如下：

1.应用系统遭受 CC 攻击

该金融机构的应用系统本在正常运行，但某一时间点，日志易从WAF 或者 DDoS 防御系统采集到的日志中分析出了CC攻击并立即发出告警，很多业务人员也反馈系统访问速度变慢。运维人员查看运维监控的检测结果，发现连接数变多且消耗的系统资源也变多了，进而确认应用系统遭受到CC攻击并及时采取应对手段。

2.黑客发现并利用应用服务器 SQLi 漏洞进行拖库

该金融机构的业务网站上原本存在 SQLi 漏洞，安全人员事前并不清楚此漏洞。黑客发现并利用应用服务器 的SQLi 漏洞进行拖库，其在攻击时会触发 IDS/WAF 日志事件。数据库审计系统检测到应用发出 WAF SQLi 告警执行的查询语句，其中涉及WAF/IDS 告警日志与数据库审计系统日志。日志易平台采集到此类日志并在分析后发出告警，辅助确认为SQLi 注入攻击，帮助安全和运维人员快速解决攻击事件。

本文仅例举其中一个特定的威胁分析场景，实际上日志易SPL语言功能强大且运用灵活，更多的分析场景有待挖掘，如果您有关于SPL的使用心得或疑问，欢迎留言或咨询我们。