DDoS高防为已接入防护的网站业务提供AI智能防护。AI智能防护基于阿里云的大数据能力,能够自学习网站业务流量基线,结合算法分析攻击异常,并自动下发精确访问控制规则,动态调整业务防护模型,帮助您及时发现并阻断恶意攻击,例如恶意Bot、HTTP Flood攻击。本文介绍了AI智能防护的使用方法。

前提条件

  • 已在DDoS高防网站配置中添加要防护的网站业务。更多信息,请参见添加网站
  • 已开启新版防护设置。

背景信息

网站业务接入DDoS高防后,您可以为网站开启AI智能防护,让智能分析引擎自学习网站业务流量基线,并结合精确访问控制规则实现自主防御恶意Web攻击。
AI智能防护支持预警和防护两种工作模式。
  • 预警:检测发现恶意请求时,仅记录攻击预警日志,不会阻断任何访问请求,帮助您了解AI智能防护的效果。

    使用预警模式时,您可以结合全量日志,查询与AI智能防护有关的攻击预警记录,确认其攻击防护能力。更多信息,请参见查看攻击预警日志

  • 防护:检测发现恶意请求时,直接下发能够阻断恶意请求的精确访问控制规则,拦截恶意请求。
    说明 AI智能防护通过精确访问控制规则触发防护动作,要使防护生效,您必须开启精确访问控制。更多信息,请参见设置精确访问控制规则

    一般情况下,建议您先使用预警模式,并通过全量日志报表观察攻击日志记录;在完全确认AI智能防护的效果后,再开启防护模式,使AI智能防护真实生效。

开启AI智能防护时,您也可以根据网站性能和防护需求,选择应用不同的防护等级。AI智能防护提供宽松、正常和严格三种防护等级。
防护等级 防护效果 适用场景
宽松 仅拦截已知的特定恶意攻击,不会对正常请求造成误拦截。 适合于比较大型的网站且自身处理性能比较强劲的用户,适用于大促等特定场景。
正常(推荐) 一般情况下,不对请求进行任何处置。当检测到流量对网站造成威胁时,对恶意攻击进行智能防御,对网站的正常业务影响极低。 适合请求量平稳且服务器处理性能在处理正常流量的基础上尚有冗余。
严格 对恶意攻击进行严格的智能防御,可能存在部分误拦截的现象。 适合网站性能较差或防护效果不佳的情况。

操作步骤

  1. 在左侧导航栏,单击防护设置 > 通用防护策略
  2. 通用防护策略页面,单击网站业务DDoS防护页签,并从左侧域名列表中选择要设置的域名。
  3. 定位到AI智能防护功能区域,单击修改设置ai智能防护
  4. AI智能防护对话框中,选择智能防护的模式等级,并开启状态开关。
    • 模式预警防护
    • 等级宽松正常严格ai智能防护
    成功开启AI智能防护。开启AI智能防护后,当检测到恶意攻击行为时,DDoS高防自动生成精确访问控制防护规则。您可以在精确访问控制模块中查看具体防护规则。

查看AI智能防护规则

  1. 在左侧导航栏,单击防护设置 > 通用防护策略
  2. 通用防护策略页面,单击网站业务DDoS防护页签,并从左侧域名列表中选择要设置的域名。
  3. 定位到精确访问控制配置区域,单击设置精确访问控制,设置
  4. 精确访问控制页面,查看名称以smartcc_ 开头的规则。
    AI智能防护自动生成的精确访问控制规则的名称均以“smartcc_” 开头。与自定义的精确访问控制规则不同,AI智能防护规则具有以下特性:
    • 规则动作可能是预警。在预警模式下,AI智能防护自动生成的精准防护规则的动作均是预警(只记录攻击日志,不进行拦截)。
    • 具有时效性。AI智能防护下发的规则存在有效期,超过有效期,防护规则自动失效并清除。
    • 不支持手动删除。如果您关闭AI智能防护,则所有AI智能防护规则立即清空。
    防护规则

查看攻击预警日志

网站业务开启AI智能防护后,当DDoS高防检测到恶意攻击行为且命中AI智能防护的防护规则时,DDoS高防的全量日志功能将记录相应的攻击日志。您可以在全量日志中查询与AI智能防护的防护规则关联的攻击预警日志,了解AI智能防护的防护效果。

前提条件
  • 在执行查询操作前,请确认您已为网站域名开启全量日志功能。更多信息,请参见全量日志
  • 已为网站域名开启AI智能防护,且使用预警模式。

查询语句

登录云盾DDoS高防(新BGP)控制台,在统计 > 全量日志页面,选择域名并输入以下查询语句,查看与AI智能防护相关的攻击预警日志:
说明 请将test.aliyundemo.com替换为您的网站域名。
matched_host:"test.aliyundemo.com" and cc_action:alarm
攻击预警日志