DDoS高防为已接入防护的网站业务提供AI智能防护功能。AI智能防护基于阿里云的大数据能力,能够自学习网站业务流量基线,结合算法分析攻击异常,并自动下发精确访问控制规则,动态调整业务防护模型,帮助您及时发现并阻断恶意攻击,例如恶意Bot、HTTP Flood攻击。本文介绍了AI智能防护的使用方法。

前提条件

  • 已通过DDoS高防域名接入功能配置了要防护的网站业务。更多信息,请参见添加网站
  • 已开启新版防护设置。

背景信息

网站业务接入DDoS高防后,默认开启AI智能防护策略,让智能分析引擎自学习网站业务流量基线,并结合精确访问控制规则,实现自主防御恶意Web攻击。

设置策略

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择防护设置 > 通用防护策略
  4. 通用防护策略页面,单击网站业务DDoS防护页签,并从左侧域名列表中选择要设置的域名。
  5. 定位到AI智能防护配置区域,单击修改设置ai智能防护
  6. AI智能防护对话框,选择智能防护的模式等级,并开启状态开关。
    • 模式预警防护
      AI智能防护支持预警和防护两种工作模式。
      • 预警:检测发现恶意请求时,仅记录攻击预警日志,不会阻断任何访问请求,帮助您了解AI智能防护的效果。

        使用预警模式时,您可以结合全量日志分析,查询与AI智能防护有关的攻击预警记录,确认其攻击防护能力。更多信息,请参见查看攻击预警日志

      • 防护:检测发现恶意请求时,直接下发能够阻断恶意请求的精确访问控制规则,拦截恶意请求。
        说明 AI智能防护通过精确访问控制规则触发防护动作,要使防护生效,您必须开启精确访问控制。更多信息,请参见设置精准访问控制

        一般情况下,建议您先使用预警模式,并通过全量日志分析报表观察攻击日志记录。在完全确认AI智能防护的效果后,再开启防护模式,使AI智能防护真实生效。

    • 等级宽松正常严格ai智能防护
      开启AI智能防护时,您可以根据网站性能和防护需求,选择应用不同的防护等级。AI智能防护提供宽松、正常和严格三种防护等级。
      防护等级 防护效果 应用场景
      宽松 仅拦截已知的特定恶意攻击,不会对正常请求造成误拦截。 适合于比较大型的网站且自身处理性能比较强劲的用户,适用于大促等特定场景。
      正常(推荐) 一般情况下,不对请求进行任何处置。当检测到流量对网站造成威胁时,对恶意攻击进行智能防御,对网站的正常业务影响极低。 适合请求量平稳且服务器处理性能在处理正常流量的基础上尚有冗余的场景。
      严格 对恶意攻击进行严格的智能防御,可能存在部分误拦截的现象。 适合网站性能较差或防护效果不佳的场景。
    成功开启AI智能防护后,DDoS高防在检测到恶意攻击行为时,自动生成精确访问控制防护规则。您可以在精确访问控制模块中查看具体防护规则。

查看AI智能防护规则

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择防护设置 > 通用防护策略
  4. 通用防护策略页面,单击网站业务DDoS防护页签,并从左侧域名列表中选择要设置的域名。
  5. 定位到精确访问控制配置区域,单击设置精确访问控制,设置
  6. 精确访问控制页面,查看名称以smartcc_ 开头的规则。
    AI智能防护自动生成的精确访问控制规则的名称均以“smartcc_” 开头。与自定义的精确访问控制规则不同,AI智能防护规则具有以下特性:
    • 规则动作可能是预警。在预警模式下,AI智能防护自动生成的精准防护规则的动作均是预警(只记录攻击日志,不进行拦截)。
    • 具有时效性。AI智能防护下发的规则存在有效期,超过有效期,防护规则自动失效并清除。
    • 不支持手动删除。如果您关闭AI智能防护,则所有AI智能防护规则立即清空。

查看攻击预警日志

网站业务开启AI智能防护后,当DDoS高防检测到恶意攻击行为且命中AI智能防护的防护规则时,DDoS高防的全量日志分析功能将记录相应的攻击日志。您可以在全量日志分析中查询与AI智能防护的防护规则关联的攻击预警日志,了解AI智能防护的防护效果。

前提条件
  • 在执行查询操作前,请确认您已为网站域名开启全量日志分析功能。更多信息,请参见概述
  • 已为网站域名开启AI智能防护,且使用预警模式。

查询语句

登录DDoS高防控制台,前往调查分析 > 全量日志分析页面,选择域名并输入以下查询语句,查看与AI智能防护相关的攻击预警日志。
说明 请将test.aliyundemo.com替换为您的网站域名。 
matched_host:"test.aliyundemo.com" and cc_action:alarm

调整智能AI防护策略

当业务存在如下特殊场景时,建议调整AI智能防护策略,以确保AI策略得到充分学习,防止误拦截。

场景 优化方法
网站接入DDoS高防前,源站配置了常规限速策略或频繁出现大量客户端同时重连,业务正常情况下返回大量4xx或5xx状态码。
  1. 网站业务DDoS防护页签中,单击AI智能防护模块下的设置
  2. AI智能防护对话框中,将模式调整为预警
  3. 等待3天后,再将模式修改为防护
业务网站即将进行大促或压测,源站返回大量4xx或5xx状态码。
  1. 防护设置 > 定制场景策略页面,单击左上角创建场景策略
  2. 创建场景策略对话框中,配置策略名称和生效时间,单击确定后完成策略的创建。
  3. 在场景策略列表页面,定位到目标策略,并单击操作列的配置对象
  4. 重保面板中,选择需要防护的网站或IP,将其添加到重保场景策略的防护对象中。