ESA账号安全功能使用 AI 和机器学习技术检测账号接管攻击(ATO),可以有效防御撞库攻击、暴力破解、网络钓鱼和恶意软件窃取。
什么是ATO攻击
账户接管(Account Takeover,简称 ATO) 是一种严重的身份欺诈攻击。攻击者通过非法手段获取合法用户的登录凭据(如用户名和密码),从而完全控制用户的在线账户。
ESA的账号安全功能使用 AI 和机器学习技术检测异常登录行为,可以有效防御以下攻击:
撞库攻击:使用从其他网站泄露的用户名密码组合尝试登录
暴力破解:通过大量尝试不同密码组合来破解账户
网络钓鱼:诱导用户泄露登录凭据
恶意软件窃取:通过恶意软件窃取用户的登录信息
该功能仅企业版支持。如需使用,请联系您的商务经理加购开通。
工作原理
ESA账号安全功能通过以下方式检测和防御 ATO 攻击:
检测维度
ESA会监控和分析以下指标:
检测指标 | 说明 |
登录失败率 | 监控特定来源的登录失败次数和比例 |
登录尝试频率 | 检测异常高频的登录尝试行为 |
设备指纹变化 | 识别同一账户从不同设备或地理位置的登录 |
行为异常 | 基于 AI 模型识别偏离正常模式的登录行为 |
风险评分机制
系统会对每个登录/注册请求计算风险分数(0~100):
低风险:默认0~30分,正常流量,默认通过。
中风险:默认31~60分,可疑流量,建议采取观察或挑战(JS挑战或滑块挑战)措施。
中高风险:默认61~80分,可疑流量,建议采取挑战(JS挑战或滑块挑战)措施。
高风险:默认81~100分,高危流量,建议采取拦截措施。
ESA会根据您站点的正常流量模式动态调整检测阈值,减少误报。
配置账号安全
前提条件
已开通 ESA企业版
已添加并接入站点到 ESA
步骤 1:添加登录端点
管理用于登录的 API 接口,系统将根据配置自动提取账号信息并进行风险评估,用于账号安全防护。
在ESA控制台选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在账号安全页面的账号 API页签,单击添加按钮配置账号登录API端点信息后单击确定:
请求方法:支持GET、POST、PUT、PATCH、HEAD和DELETE
主机记录:选择登录功能对应的主机记录,如
login.example.com路径:填写登录功能对应的路径,如
/login-in其他匹配字段:可选择添加逻辑为且的匹配条件,如
标头 my-header 等于 test账号提取位置:填写用于提取账号相关信息的位置,如
Body参数 $.username登录成功判断条件:填写判断登录成功的条件,如
状态码 等于 200登录失败判断条件:填写判断登录失败的条件,如
状态码 等于多值之一 403 413 423
步骤 2:创建防护规则
为账号 API 设置不同的防护策略,可对不同风险等级的请求实施拦截或挑战等动作。
在账号安全页面的防护规则页签,单击新增规则按钮。
配置需要防护的账号API以及防护动作后单击确定:
规则名称:填写自定义规则名称,如
登录保护-高风险阻断账号 API:选择需要配置防护规则的步骤 1 添加的API
执行操作:
防护策略:选择需要应用的防护策略,可自定义添加策略
防护动作:配置不同风险等级的防护动作,包括:中风险防护动作、中高风险防护动作、高风险防护动作
处置动作选项:
动作 | 说明 | 适用场景 |
观察 | 仅记录日志,不阻断请求 | 初期观察测试阶段 |
JS挑战 | ESA向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则ESA在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。 | 中等风险,允许人工验证 |
滑块挑战 | ESA向客户端返回滑动验证页面。如果客户端成功执行滑动验证,则ESA在 30 分钟(默认)内放行该客户端的所有请求,否则拦截请求。 | 推荐用于中等风险 |
拦截 | 直接拒绝请求 | 高风险流量 |
步骤 3:精细化调整(可选)
如果需要对风险评分策略进行更精细的控制,可以配置防护策略:
在账号安全页面的防护策略页签,单击新增策略按钮。
配置自定义的风险等级区间后单击确定:
策略名称:填写自定义策略名称,如
严格防护策略定义不同风险等级分数:4个等级(低风险、中风险、中高风险和高风险)精细化管控风险。配置保存后立即生效,支持动态调整。
首次使用建议保持默认设置
观察 1-2 周后,根据实际业务情况调整
避免设置过于严格的阈值,可能影响正常用户