产品动态
安全公告
产品公告
客户端画像分析
概述
恶意 Bot 通常会通过代理池、僵尸设备网络(botnet)或者特定设备发起请求。EdgeOne 的客户端画像分析基于腾讯近二十年的网络安全经验和大数据情报积累,实时判定请求源 IP 地址威胁状态,采取打分机制、量化风险值、精准识别来自恶意动态 IP 的访问,准确识别高危客户端,每 24 小时更新最新威胁情报并提供不同 IP 地址的威胁置信度报告,按照不同类型攻击的客户端提供5种 风险分类 和 置信度,支持根据各威胁置信度自定义配置防护策略,有效管控多种类别(网络攻击源、被利用的网络代理设备、漏洞扫描工具、破解登录客户端等)高危客户端访问,减少业务风险,拦截恶意行为。
说明:
EdgeOne 的 Bot 情报库会持续更新,收录近期在腾讯自营业务上出现过多次、持续多天攻击行为的 IP 地址。
示例场景
您在 Web 安全分析模块内,观察到
api.example.com 站点下,登录接口 /api/login 有高频访问,且在短时间内有大量失败访问请求,但是由于访问 IP 较多,主要来自宽带运营商网络,单个 IP 请求仅为 1-2 次。从访问特征判断,疑似使用秒拨 IP 进行暴力破解登录尝试。为加固安全策略,建议拦截较高置信度的网络代理客户端,并对中等置信度客户端设置为观察。操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,单击域名级防护策略 Tab,在域名级防护策略中,单击目标域名进入目标域名防护策略配置界面,例如:
shop.example.com。3. 定位到 Bot 管理卡片,单击客户端画像分析下方的编辑,进入配置页面。
4. 客户端画像分为网络攻击、网络代理、扫描器、账号接管攻击、恶意 BOT,您可以针对不同类型的客户端,自定义根据客户端画像置信度来选择相对应的处置方式。以当前场景为例,秒拨 IP 属于典型的网络代理类型客户端,在观察到站点收到较高的分散 IP 高频访问时,您可以拦截较高置信度的网络代理客户端,并对中等置信度客户端设置为观察。
5. 单击确定,完成配置。
查看命中客户端画像分析的流量
要查看命中智能客户端过滤规则的流量:
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击Web 安全分析。
2. 单击添加筛选,选择 Bot 管理 - 客户端画像分析,支持根据规则 ID、威胁分类和置信等级进行筛选。
3. 单击确定,应用筛选条件,在统计趋势和统计详情处观察防护效果。
功能限制及处理方案
Bot 客户端画像分析在某些特殊业务场景下,可能导致少量正常请求被误判:
IP 共用场景:在现实网络环境中,多个用户可能共用同一个公网 IP 地址(如公司内网、校园网等)。某些大型组织机构(如运营商、大型企业等)也可能将多个用户的请求通过一个或几个出口 IP 发出。当其中某些用户的请求被判定为恶意 Bot 时,可能会连带影响其他正常用户。对于这种情况,Web 类型业务可以考虑调整客户端画像分析处置方式为 JavaScript 挑战,如果业务对误判非常敏感,建议暂时调整处置方式为观察。
不同类型的业务对误判的容忍度不同。在配置 Bot 客户端画像分析的处置方式时,建议充分考虑业务的特点和需求,通过分析命中客户端画像分析的流量,结合防护例外规则和自定义 Bot 规则降低误判率,增强防护能力。
相关参考
风险分类
客户端画像分析基于实时的威胁情报库,能够有效识别具有以下5类恶意行为历史的客户端:
网络攻击:近期有攻击行为(如:DDoS,高频恶意请求、站点攻击等)的客户端。例如:Mirai 僵尸网络发起的攻击可以归入此类别。
网络代理:近期开放可疑代理端口,并且被用作网络代理的客户端,包括秒拨 IP 的代理池和用于发起恶意请求的 IoT 代理网络。
扫描器:近期有攻击已知漏洞的扫描器行为的客户端。例如:针对 Web 应用程序的漏洞扫描工具。
账号接管攻击:近期有恶意破解登录,发起账号接管攻击的客户端。例如:撞库等暴力破解用户登录凭据的攻击者。
恶意 Bot:近期有恶意爬虫、刷量和暴力破解行为的客户端。例如:采集网站内容的非法爬虫。
置信度
对于各个类别的客户端画像规则,每个置信度对应了一个客户端地址列表,置信度反应了该列表内的客户端地址近期进行该类别恶意行为的频率和一致性:
较高置信度:该客户端地址近期稳定、高频率进行该类别的恶意行为。建议对此类客户端进行拦截。
中等置信度:该客户端地址近期有过显著频率进行该类别的恶意行为。建议对此类客户端配置为 JavaScript 挑战或观察。
一般置信度:该客户端地址近期有过稳定进行该类别的恶意行为记录。建议对此类客户端配置为观察,后续可根据分析结果调整为 JavaScript 挑战或托管挑战。
文档反馈