通过 SLS 将访问日志转换为指标并利用机器学习函数进行异常检测的流程如下:
步骤一:日志转指标
使用 SLS 管道语言 SPL 中的 stats 和 make-series 算子对访问日志数据进行时间聚合,生成每分钟的访问量指标序列,包含时间戳和请求计数等维度。
步骤二:异常点检测
应用机器学习函数 series_decompose_anomalies 对近似连续的指标序列进行分析,自动识别异常点(如流量突增、异常波动等)。
步骤三:关联分析
根据检测到的异常时间点,回溯分析对应时段的访问日志,获取相关 IP 地址。
步骤四:来源定位
通过 SQL 函数(如 ip_to_country 等)解析请求来源的地理坐标,确定访问或攻击来源地。
这种方法可以从海量日志中自动发现异常模式,如突发流量激增、非典型地理位置来源的请求、短时间内多地区大规模涌入等 DDoS 攻击典型特征。