数据风控帮助您防御网站关键业务(如注册、登录、活动、论坛)中可能发生的欺诈行为。
前提条件
已将网站接入WAF进行防护。具体操作请参见业务接入WAF配置。
背景信息
数据风控基于阿里云的大数据能力,通过业内领先的风险决策引擎,结合人机识别技术,防止各类场景的关键业务欺诈行为。您只需将业务接入WAF即可使用数据风控功能,轻松获取风控能力,且无需在服务器或客户端进行任何改造。
对于按量付费的WAF实例,您必须在功能与规格中启用数据风控,才能使用该功能。具体操作请参见功能与规格配置。
- 垃圾注册
- 短信验证码滥刷
- 撞库、暴力破解
- 恶意抢购、秒杀、薅羊毛、抢红包
- 机器人抢票、刷票、恶意投票
- 垃圾消息

关于接入数据风控的应用场景示例和实际效果,请参见应用示例。
兼容性说明
数据风控仅适用于网页、H5环境。在某些情况下,可能存在页面中插入的用于安全防护的JS插件与原页面不兼容的问题,导致数据风控的滑块验证功能出现异常。目前,常见的存在不兼容问题的页面包括:
- 访问者可以直接通过URL地址访问的静态页面,包括:各种通过HTML直接展示数据的详情页/分享页、网站首页、文档页等,页面跳转方式为直接修改location.href和使用window.open、a标签的页面
- 业务代码重写页面的请求发送方法或自定义请求提交,包括:重写表单提交、重写XHR、自定义ajax提交等情况
- 业务代码中存在hook相关请求提交的情况
建议您在接入数据风控功能初期,选用预警模式并结合WAF全量日志服务进行兼容性和效果测试。更多信息,请参见WAF实时日志分析服务。
如果您发现存在不兼容的情况,您可以使用人机验证服务配合WAF一起实现防护。更多信息,请参见人机验证服务。
原生App业务防护请使用爬虫风险管理提供的SDK解决方案。更多信息,请参见App增强防护SDK方案。
操作步骤
启用数据风控后,您还可以使用WAF的全量日志功能查看防护结果。关于日志示例,请参见查看防护结果。
数据风控应用示例
阿里云用户小白在互联网上搭建网站业务,网站域名是www.abc.com
,普通用户可以通过www.abc.com/register.html
注册成为网站会员。
近来,小白发现存在黑客通过一些恶意脚步频繁提交注册请求,并注册大量垃圾账户来参与网站的抽奖活动。所提交的请求与正常用户请求相似度很高,且请求频率不高,传统的CC攻击防护功能难以分辨出这些恶意请求。
于是,小白将网站业务接入WAF并为www.abc.com
域名开启数据风控功能。小白当前最关心的注册业务的请求URL是www.abc.com/register.html
,因此将该URL设置为防护请求URL。
- 数据风控通过在所有页面中插入的JS插件,观察并分析每一个访问
www.abc.com
网站域名(包括首页及其子路径)的用户的各种行为,判断是否存在异常。同时,结合阿里云的大数据信誉库判断访问源IP是否存在风险。 - 当用户向
www.abc.com/register.html
地址提交注册请求时,WAF将基于该用户自开始访问该网站,到提交注册请求间的所有行为和征信特征来判断用户是否可疑。例如,如果用户没有任何前置操作直接提交注册请求,则可基本判断该请求为可疑请求。- 当数据风控判断该请求为可疑请求,或者该访问源IP曾有不良记录,将通过滑块验证的方式验证用户身份。只有通过验证的用户,才能继续进行注册。
- 如果通过滑块验证方式可疑(例如,使用脚本模仿真人滑动过程等),数据风控将继续通过其它方式再次进行验证,直到验证通过且通过方式可信。
- 如果无法通过验证,数据风控将阻断该请求。
- 如果基于之前的行为,数据风控判断该请求来自正常用户,则该用户在注册过程中将无任何感知。
- 当数据风控判断该请求为可疑请求,或者该访问源IP曾有不良记录,将通过滑块验证的方式验证用户身份。只有通过验证的用户,才能继续进行注册。
整个过程中,由于数据风控是针对整个网站域名(www.abc.com
)开启的,数据风控需要对该域名下的所有页面插入JS插件来判断用户行为是否可信。而真正的防护和验证,仅针对www.abc.com/register.html
注册接口URL生效,只有在提交注册请求时数据风控才会对请求进行干涉。
查看防护结果
您可以使用WAF的全量日志查询功能来排查数据风控的监控和拦截情况。更多信息,请参见全量日志查询。
- 通过数据风控验证的日志情况。
正常用户经过数据风控验证的访问请求URL将包含一个以ua开头的参数,请求会被WAF转发回源站,源站服务器正常响应该请求。
- 被数据风控拦截的日志情况。
如果直接请求业务接口URL,一般不会包含以ua开头的参数(或带有伪造的ua参数),这类请求将被WAF拦截,且请求日志中无源站响应信息。

在文档使用中是否遇到以下问题
更多建议
匿名提交