X轴是时间,Y轴是访问的url的抽象标识
UCloud 使用双重异常检测机制,提高异常识别的准确性。接下来就是识别 bot 是正常的还是恶意的。对于bot行为的细分,涉及到一些领域知识的结合。例如爬虫的行为和 cc 的行为有明显的区别,这属于分类器的问题,这里就不全部介绍了。对于爬虫行为,UCloud 使用的 IP 情报中心识别出正常的 bot 。客户可以对识别结果进行标记,bot 的检测不存在绝对的正确,例如很多客户使用的网站的监控工具,识别出来,可能会被分类为监控,但是如果客户自己的配置不正确,监控请求量非常高,可能会被标记为异常结果。
随着机器技术在图像识别方面的成功应用,这类接口的bot自动完成也成为可能。分类器还可以智能的识别出注册,登录,验证码,手机短信等等这类敏感接口的异常访问,及时告知客户此类安全风险。
3.ip威胁情报技术
基于多年的运营积累,UCloud 拥有大量的 IP 情报信息,例如上面提到的 bot 白名单,同时也有恶意 IP 情报。拥有业界活跃的搜索引擎的 IP 名单,客户不用担心会将搜索引擎 IP 标记为恶意 bot 。 同时也和业界共享有 IP 情报信息,以提供更加准确有效的结果。
四.结束语
本文综合介绍了在保障网站平台正常运行时,企业的运营和技术人员通常会采用的一些恶意 bot 流量防御方案,以及 UCloud 安全中心产品 UEWAF 在网络bot检测上的研究与探索。UEWAF模型的实际检测效果突出,使用多种检测技术相结合的方式,前期需依据网站的访问量情况进行一段时间的学习,之后自动更新学习。能帮助客户以更加高效的方式解决bot攻击问题,提高客户网站的商业价值。
发表评论