AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

账号安全

更新时间:
复制为 MD 格式
产品详情
我的收藏

账号安全模块通过智能算法实时计算风险分数,精准识别并阻断撞库、暴力破解及批量机器注册等恶意行为。该功能支持从HTTP请求的Query、Body、HeaderCookie中提取多维度身份凭证,构建统一的用户画像。无需手动配置复杂规则,自动防护账号注册与登录两大核心场景,保障平台账号安全与业务合规。

功能优势

  • 智能打分机制:系统内置规则,基于设备、网络、账号等多维数据实时计算风险分数,量化威胁请求,为安全决策提供数据支持。

  • 防机器行为特征

    • 交互异常识别:检测毫秒级输入及高频复制粘贴,阻断自动化脚本。

    • 指纹伪造对抗:识别UA与环境参数不一致的伪造流量。

    • 资源滥用防护:拦截同一设备/IP关联海量账号的洪泛请求。

  • 防画像偏离登录

    • 环境震荡检测:阻断频繁切换IP、UA或地理位置的代理池攻击。

    • 基线偏离分析:基于用户历史画像,识别非常用设备、网络环境及与群体行为背离的异常登录。

  • 防批量恶意注册:智能识别机器注册、虚假邮箱及云网络特征,阻断恶意账号创建,保障平台用户质量。

申请公测

账号安全功能公测进行中,请按下列步骤申请。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择防护配置 > 账号安全,然后单击申请免费公测

  3. 填写并提交申请表,后续将由工作人员与您联系。

为资产开启账号安全防护

重要

  • 配置前提:执行以下操作前,请确保已存在防护对象(已将Web业务接入WAF),若尚未将业务接入,请参见接入概述

  • 接入建议:账号安全功能依赖Bot管理模块。建议在使用账号安全功能前为防护对象配置Bot管理,否则将降低检测能力。

步骤一:新建API资产

若需为资产启用账号安全防护,请按以下步骤新建资产,以配置身份凭证提取规则。

  1. 进入控制台登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地。在左侧导航栏,选择防护配置 > 账号安全,在API资产管理页签,单击新建资产。在新建资产页面,完成以下配置。

  2. 接口基础信息设置

    • API名称:设置一个便于识别的名称。

    • 域名URL路径:用户进行账号注册或登录时的完整访问地址,例如,访问地址为 https://example.com/login,则应按以下方式填写:

      • 域名example.com

      • URL路径/login

      说明

      若单个防护对象下包含多个待配置接口,请针对每个接口分别执行新建资产操作。

    • HTTP请求方法:支持POSTGETPUT

  3. 接口用途设置:支持账号注册账号登录两类场景,对于账号注册场景,当前仅支持单步骤注册场景。

    账号注册

    账号注册场景下,需设置用户手机号用户名邮箱字段的提取位置,WAF支持从Query String ParameterCookie NameBody ParameterHeader字段进行信息提取。

    勾选可用于登录后,WAF将把对应字段(如邮箱、手机号、用户名)作为用户身份标识,自动关联同一用户的不同登录凭证。例如,用户使用邮箱、手机号或用户名登录时,系统可识别为同一用户,避免误判为多个独立账户。

    账号登录

    账号登录场景下,需设置用户账号字段的提取位置,WAF支持从Query String ParameterCookie NameBody ParameterHeader字段进行信息提取。

  4. 请求成功与失败条件:在成功判断条件失败判断条件区域,配置用于识别用户注册或登录请求结果的规则。系统支持基于响应状态码响应Body进行判断。

    单击新增条件可添加多个条件,系统采用“与”逻辑判定,即所有条件均满足时,才能判定为请求成功或失败。

  5. 关联防护对象:选择已接入WAF的防护对象。

步骤二:为资产配置防护策略

完成API资产新增后,请按照以下步骤配置防护策略。

  1. 进入控制台:在左侧导航栏,选择防护配置 > 账号安全,在防护策略配置页签,单击新建模板。在新建模板页面,完成以下配置。

  2. 模板基础信息设置:填写便于识别的模板名称模板介绍

  3. 风险等级策略配置

    • 匹配条件区域,设置防护策略要匹配的请求特征,支持添加5个条件,存在多个条件时,采用“与”逻辑判定。

    • 风险分数阈值设置区域,定义各风险等级的分数区间及关联的规则动作,具体规则动作释义如下。

      配置项

      说明

      JS验证

      WAF向客户端返回一段JavaScript验证代码,标准浏览器将自动执行该代码。若客户端正常执行完成,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求,否则拦截请求。

      拦截

      拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。

      观察

      不拦截命中规则的请求,仅通过日志记录请求命中的情况。在试运行规则时,可以先通过观察模式分析WAF日志,以确认未产生误拦截,再将其调整为其他规则动作。

      滑块

      WAF向客户端返回滑动验证页面。若客户端成功完成滑动验证,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求,否则拦截请求。

      严格滑块

      WAF向客户端返回滑动验证页面。若客户端成功完成滑动验证,则放行该请求;否则拦截请求。在此模式下,客户端每次命中该规则的请求均需进行滑动验证。

      回源标记

      表示客户可以自定义Header名称及内容(规则类型、规则ID、账号、风险分数),WAF不会直接处理,而是会通过新增Header的方式将命中信息返回给源站,客户可以与后端风控系统结合做业务侧处理。

      说明

      规则动作拦截滑块严格滑块时,WAF默认返回系统统一的响应页面。也可以通过自定义响应功能,配置命中规则后的个性化响应页面。

  4. 生效范围设置:在防护资产区域,从步骤一已创建的资产中选择目标,作为防护策略的应用对象。

后续步骤

防护策略配置完成后,可在安全报表中查询命中该策略的请求。

日常运维

配置API资产

  • 查看API资产列表:在API资产管理页签,展示所有已创建的资产,支持按防护对象、API资产、API名称进行搜索。

  • 编辑资产:定位至目标资产,单击其操作列的编辑,可修改接口用途请求成功与失败条件

  • 删除资产:定位至目标资产,单击其操作列的删除。删除后,该资产将不再受账号安全模块保护。

配置防护策略

  • 查看策略列表:防护策略配置页签,展示所有已创建的防护策略,支持按资产、防护规则ID、模板名称进行搜索。

  • 编辑策略:定位至目标防护策略,单击其操作列的编辑以修改策略配置;单击其模板开关列的按钮,启用或禁用策略。

  • 克隆策略:定位至目标防护策略,单击其操作列的复制,可创建一份相同的策略副本。

  • 删除策略:定位至目标防护策略,单击其操作列的删除,策略删除后,关联资产将不再受账号安全模块防护。

上一篇:Web应用防火墙APP防护SDK合规使用说明下一篇:应用防护