全部产品
Search
文档中心

DDoS 防护:设置AI智能防护

更新时间:Feb 22, 2024

DDoS高防为已接入防护的网站业务默认开启AI智能防护功能,自学习业务流量基线,发现并阻断新型CC攻击。本文介绍了AI智能防护的使用方法。

什么是AI智能防护

面对多种多样的业务形态和频繁变化的攻击场景,DDoS高防在传统防护手段的基础上推陈出新,提供AI智能防护,基于阿里云的大数据能力,能够自学习网站业务流量基线,结合算法分析攻击异常,并自动下发精准访问控制规则,动态调整业务防护模型,帮助您及时发现并阻断恶意Web攻击,例如恶意Bot、HTTP Flood攻击。

支持的模式和等级

AI智能防护支持设置为以下模式和等级。网站业务接入DDoS高防后,默认开启AI智能防护策略(模式为防护,等级为正常)。

  • 模式

    1. 预警:检测发现恶意请求时,仅记录攻击预警日志,不会阻断任何访问请求,帮助您了解AI智能防护的效果。 使用预警模式时,您可以结合全量日志分析,查询与AI智能防护有关的攻击预警记录,确认其攻击防护能力。更多信息,请参见查看攻击预警日志

    2. 防护:检测发现恶意请求时,直接下发能够阻断恶意请求的精确访问控制规则,拦截恶意请求。

      说明

      一般情况下,建议您先使用预警模式,并通过全量日志分析报表观察攻击日志记录。在完全确认AI智能防护的效果后,再开启防护模式,使AI智能防护真实生效。

  • 等级

    防护等级

    防护效果

    应用场景

    宽松

    仅拦截已知的特定恶意攻击,不会对正常请求造成误拦截。

    适合于比较大型的网站且自身处理性能比较强劲的用户,适用于大促等特定场景。

    正常(推荐)

    一般情况下,不对请求进行任何处置。当检测到流量对网站造成威胁时,对恶意攻击进行智能防御,对网站的正常业务影响极低。

    适合请求量平稳且服务器处理性能在处理正常流量的基础上尚有冗余的场景。

    严格

    对恶意攻击进行严格的智能防御,可能存在部分误拦截的现象。

    适合网站性能较差或防护效果不佳的场景。

前提条件

已将网站业务接入DDoS高防。具体操作,请参见添加网站配置

调整AI智能防护的模式或等级

当业务存在特殊场景时,建议调整AI智能防护策略,以确保AI策略得到充分学习,防止误拦截。

场景:网站接入DDoS高防前,源站配置了常规限速策略或频繁出现大量客户端同时重连,业务正常情况下返回大量4XX或5XX状态码。

处理建议:

  1. 网站业务DDoS防护页签,单击AI智能防护模块下的设置

  2. AI智能防护对话框,将模式调整为预警

  3. 等待3天后,再将模式修改为防护

说明

如果业务网站即将进行大促或压测,源站返回大量4XX或5XX状态码。建议您使用定制场景策略,具体请参见定制场景策略

查看AI智能防护规则

开启AI智能防护后,DDoS高防在检测到恶意攻击行为时,会自动生成精准访问控制规则,规则的名称均以smartcc_开头且规则存在有效期。与自定义的精确访问控制规则不同,AI智能防护规则具有以下特性:

  • 规则动作可能是预警:在预警模式下,AI智能防护自动生成的精准防护规则的动作均是预警(只记录攻击日志,不进行拦截)。

  • 具有时效性:AI智能防护下发的规则存在有效期,超过有效期,防护规则自动失效并清除。

  • 不支持手动删除:您无法手动删除,但如果您关闭AI智能防护,则所有AI智能防护规则立即清空。

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择防护设置 > 通用防护策略

  4. 通用防护策略页面,单击网站业务DDoS防护页签,在左侧域名列表中选择目标域名。

  5. CC安全防护区域,单击设置,查看名称以smartcc_开头的规则。

查看攻击预警日志

网站业务开启AI智能防护后,当DDoS高防检测到恶意攻击行为且命中AI智能防护的防护规则时,DDoS高防的全量日志分析功能将记录相应的攻击日志。您可以在全量日志分析中查询与AI智能防护的防护规则关联的攻击预警日志,了解AI智能防护的防护效果。

重要

在执行查询操作前,请确认您已为网站域名开启全量日志分析功能。更多信息,请参见快速使用全量日志分析

登录DDoS高防控制台,在调查分析 > 全量日志分析页面,选择域名并输入以下查询语句,查看与AI智能防护相关的攻击预警日志。

说明

请将aliyundoc.com替换为您实际的网站域名。

matched_host:"aliyundoc.com" and cc_action:alarm