CnOps 社区
首页开源项目实践文章视频课程常见问答开发者工具
导航菜单
首页开源项目实践文章视频课程常见问答开发者工具

CnOps 社区

愿景

CnOps 社区是一个以"智能运维与可观测"为核心的开放、包容、分享的技术社区,旨在聚集运维专家、开发者和爱好者,共同探讨、学习和分享可观测最佳实践与最新技术,与众多技术社区合作互动,共同探讨交叉领域的技术挑战,推动可观测领域的创新与进步。

内容社区

  • 实践文章
  • 视频课程
  • 开源项目
  • 常见问答
  • 开发者工具

友情链接

  • Prometheus
  • Grafana Lab
  • OpenTelemetry
  • LoongCollector

关注我们

阿里云云原生公众号阿里云云原生
阿里云可观测公众号阿里云可观测

Copyright © 2026 CnOps 社区. All rights reserved.

首页问答如何使用SLS对访问日志进行异常检测和攻击来源定位?

如何使用SLS对访问日志进行异常检测和攻击来源定位?

#SLS#指标监控#日志

CNOps | 2026-04-14

通过 SLS 将访问日志转换为指标并利用机器学习函数进行异常检测的流程如下:

步骤一:日志转指标
使用 SLS 管道语言 SPL 中的 stats 和 make-series 算子对访问日志数据进行时间聚合,生成每分钟的访问量指标序列,包含时间戳和请求计数等维度。

步骤二:异常点检测
应用机器学习函数 series_decompose_anomalies 对近似连续的指标序列进行分析,自动识别异常点(如流量突增、异常波动等)。

步骤三:关联分析
根据检测到的异常时间点,回溯分析对应时段的访问日志,获取相关 IP 地址。

步骤四:来源定位
通过 SQL 函数(如 ip_to_country 等)解析请求来源的地理坐标,确定访问或攻击来源地。

这种方法可以从海量日志中自动发现异常模式,如突发流量激增、非典型地理位置来源的请求、短时间内多地区大规模涌入等 DDoS 攻击典型特征。