主动防御功能采用阿里云自研的机器学习算法自动学习域名的合法流量,从而为域名自动生成定制化的安全策略,防护未知攻击。

前提条件

背景信息

有别于传统的基于安全检测规则的防护模式,Web应用防火墙的主动防御功能通过无监督学习的方式针对域名的访问流量进行深度学习,根据机器学习算法模型为访问请求标记正常分值,从而定义该域名的正常访问流量基线并生成定制化的安全策略。通过将流量分层的方式,将主动防御能力与Web应用防火墙的其它安全检测体系有机结合,为域名提供全面的攻击防护。



操作步骤

  1. 登录云盾Web应用防火墙控制台
  2. 前往管理 > 网站配置页面,并在页面上方选择WAF所在地区(中国大陆、海外地区)。
  3. 选择要操作的域名,单击其操作列下的防护配置
  4. 定位到主动防御区域,打开主动防御功能开关。

    启用主动防御
    域名首次启用主动防御功能后,系统将自动使用机器学习算法模型对该域名的历史流量进行深度学习,并基于学习结果为该域名生成定制化的安全策略。
    说明 主动防御的机器学习算法模型的首次学习时长与域名的历史流量大小有关,通常需要大约一小时完成首次学习并生成安全策略。学习完成后,您将收到站内信、短信、邮件通知。
  5. 当主动防御的算法模型完成对域名的流量学习后,单击主动防御区域的前去配置可查看主动防御功能为该域名自动生成的安全规则。
    说明 默认情况下,主动防御功能采用预警模式。所有主动防御安全规则仅将命中规则的请求上报至安全报表,并不会进行拦截。建议您通过安全报表观察一段时间,确认主动防御的安全规则没有出现误拦截的情况后,再将其设置为防护模式。

    只有当主动防御功能的模式设置为防护时,被设置为防护模式的安全规则才会对业务流量产生影响。当主动防御功能的模式为预警时,即使部分安全规则的防护模式为防护,这些安全规则也不会对命中规则的请求进行拦截。


    查看安全规则
  6. 可选: 在安全规则列表中,单击操作栏中的编辑,修改主动防御功能自动生成的规则的防护模式。您也可以单击删除来删除指定安全规则。
    说明 为保证主动防御的防护效果,通常情况下建议您不要随意删除算法模型自动生成的安全规则。您可以先使用预警模式并通过WAF安全报表观察该规则的执行情况,完全确认规则效果后再将防护模式设置为防护使其真实生效。
    主动防御规则说明
    说明 目前,在编辑安全规则时,您只能修改主动防御规则的防护模式字段。
    字段 说明
    规则名称 主动防御规则的名称。
    模式 用于定义HTTP请求中的URL(不包含参数)。例如,对于/index.php?a=122,其模式表示为/index.php。系统自动生成的安全规则通常使用正则表达式来描述。
    方法 定义该URL支持的HTTP请求方法,支持选择多个方法。
    参数 定义该URL中的参数。例如,对于/index.php?a=122,其参数名称为a,参数值为122。系统自动生成的安全规则通常使用正则表达式来描述。
    防护模式 规则的防护生效模式,包括:
    • 防护:当域名配置的主动防御功能启用防护模式时,该规则将真实生效,对命中规则条件的业务流量产生影响。
    • 预警:命中该规则条件的请求将上报至安全报表,但不会被拦截。
    说明 建议您在规则学习完成后,先将其设置为预警模式观察一段时间,确认规则没有出现误拦截的情况后,再将其设置为防护模式使其真实生效。