全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 智能硬件
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 更多
Web 应用防火墙

风险预警报表

更新时间:2018-07-06 15:18:54

WAF提供安全报表,供您查看和了解WAF的所有防护动作。安全报表分为攻击防护和风险预警两个模块,攻击防护集中展示Web应用攻击、CC攻击的防护记录和访问控制事件;风险预警记录并汇总发生在您的网络资产上的常见攻击特征,对您的业务进行风险预警和提示。

说明:对于按量付费的WAF实例,您必须在功能与规格中勾选提供业务分析报表,才能使用该功能。具体操作,请参考功能与规格配置

提供业务分析报表

本文介绍了风险预警报表的使用方法。关于攻击防护报表的使用方法,请参考攻击防护

查看风险预警报表

WAF根据一些常见攻击的特征对您的业务进行风险预警和提示,支持查看的攻击特征记录包括:黑客攻击、Wordpress、疑似攻击、robots脚本、爬虫访问、和短信滥刷。

参照以下步骤,查看风险预警报表:

  1. 登录云盾Web应用防火墙控制台

  2. 前往统计>安全报表

  3. 风险预警子页下,选择要查看的风险请求类型,查看其记录内容。各类风险请求记录的具体描述,参见下文说明。

黑客攻击

风险预警提供基于阿里云大数据分析和攻击溯源能力的黑客画像功能。该功能对在您的网站进行过踩点、扫描、攻击等恶意行为的黑客进行标识和记录,标记出的黑客都是现实中具有真实身份的个人或组织。当您收到这类告警信息时,意味着您的站点已经被某个“记录在案”的黑客盯上了。

黑客攻击

图中的圆点代表黑客在相应日期的活动情况,单击一个圆点可以看到详细的攻击记录。其中:

  • 不同行代表不同的黑客个体,单击黑客信息可以看到这个黑客的特征信息。
  • 颜色越深表示攻击行为的危害性越大。
  • 圆点越大表示当日攻击次数越多。

防护建议

告警中显示的攻击均已被WAF拦截,您无需担心。建议您保持对服务器非Web业务的安全关注,因为黑客可能会综合采用各种手段渗透您的站点(如SSH、数据库端口等)。

WordPress攻击

风险预警参照防御WordPress反射中描述的攻击特征进行检测。如果此类预警数量巨大,极有可能是您的服务器近期遭到了这样的CC攻击。

防护建议

参考上述文档中的防护建议,配置精准防护规则进行防护。

疑似攻击

WAF基于大数据分析的异常检测算法模型筛选出可疑的访问请求,其中可能包含异常的参数名称、类型、顺序、特殊符号、语句等,供您结合业务特征做进一步的分析和防护。

风险预警对异常的部分标红提醒。例如,下图中的请求包含了两个重复的参数,并且没有用常规的”&”来连接。

疑似攻击

防护建议

此处的告警只是异常请求,可能是特殊业务的正常请求,也可能是变种的攻击,请结合自身业务特点进行分析。

Robots脚本

WAF支持检测一些常见的机器脚本工具特征(比如python2.2、httpclient)。如果您近期没有用测试工具提交大量请求,该告警数字可能意味着您的站点受到了一些机器脚本工具的恶意请求或探测,也可能包含一些用以进行流量压测或者CC攻击的工具。

防护建议

可使用日志分析排查是否有CC攻击,并结合精准访问控制CC安全防护攻击紧急模式封禁地区等防护算法拦截恶意攻击。

爬虫访问

WAF支持检测爬虫请求(包含合法的爬虫,如百度蜘蛛等)。如果该报警数字很大,同时服务器有请求量异常增大,CPU升高等现象,则可能是遇到了伪装成爬虫的CC攻击或恶意爬虫的爬取。

防护建议

可结合日志和服务器性能分析排查是否有CC攻击或恶意爬虫请求。请参考 拦截恶意爬虫的说明。WAF不会拦截合法的爬虫(如百度爬虫等)请求。

短信滥刷

WAF支持检测对短信注册、短信验证等接口的请求。如果该告警数字数量巨大,则很可能有人在恶意滥刷您的短信接口(可造成高额的短信开销费用)。

短信滥刷

防护建议

单击查看详情了解具体的请求。您可以结合请求最多的源IP和接口去分析是否是正常的业务调用。如果不是,建议使用数据风控自定义CC防护功能,对被刷接口进行防护。

查看性情

本文导读目录