客户端画像分析
概述
恶意 Bot 通常会通过代理池、僵尸设备网络(botnet)或者特定设备发起请求。EdgeOne 的客户端画像分析通过使用腾讯近二十年的网络安全经验和大数据情报积累,实时判定 IP 状态,采取打分机制、量化风险值、精准识别来自恶意动态 IP 的访问,准确识别高危客户端,每 24 小时更新最新威胁情报并提供不同 IP 地址的威胁置信度报告,按照不同类型攻击的客户端提供5种 风险分类 和 置信度,您可以通过自定义每个威胁置信度的防护策略,来帮助您管控多种类别(网络攻击源、被利用的网络代理设备、漏洞扫描工具、破解登录客户端等)高危客户端访问,减少业务风险,有效拦截这类恶意行为。
示例场景
您在 Web 安全分析模块内,观察到
api.example.com
站点下,登录接口 /api/login
有高频访问,且在短时间内有大量失败访问请求,但是由于访问 IP 较多,主要来自宽带运营商网络,单个 IP 请求仅为 1-2 次。从访问特征判断,疑似使用秒拨 IP 进行暴力破解登录尝试。为加固安全策略,建议拦截较高置信度的网络代理客户端,并对中等置信度客户端设置为观察。操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,单击域名级防护策略 Tab,在域名级防护策略中,单击目标域名进入目标域名防护策略配置界面,例如:
shop.example.com
。3. 定位到 Bot 管理卡片,单击客户端画像分析下方的编辑,进入配置页面。
4. 客户端画像分为网络攻击、网络代理、扫描器、账号接管攻击、恶意 BOT,您可以针对不同类型的客户端,自定义根据客户端画像置信度来选择相对应的处置方式。以当前场景为例,秒拨 IP 属于典型的网络代理类型客户端,在观察到站点收到较高的分散 IP 高频访问时,您可以拦截较高置信度的网络代理客户端,并对中等置信度客户端设置为观察。
5. 单击确定,完成配置。
相关参考
风险分类
客户端画像分析基于实时的威胁情报库,能够有效识别具有以下5类恶意行为历史的客户端:
网络攻击:近期有攻击行为(如:DDoS,高频恶意请求、站点攻击等)的客户端。例如:Mirai 僵尸网络发起的攻击可以归入此类别。
网络代理:近期开放可疑代理端口,并且被用作网络代理的客户端,包括秒拨 IP 的代理池和用于发起恶意请求的 IoT 代理网络。
扫描器:近期有攻击已知漏洞的扫描器行为的客户端。例如:针对 Web 应用程序的漏洞扫描工具。
账号接管攻击:近期有恶意破解登录,发起账号接管攻击的客户端。例如:撞库等暴力破解用户登录凭据的攻击者。
恶意 Bot:近期有恶意爬虫、刷量和暴力破解行为的客户端。例如:采集网站内容的非法爬虫。
置信度
对于各个类别的客户端画像规则,每个置信度对应了一个客户端地址列表,置信度反应了该列表内的客户端地址近期进行该类别恶意行为的频率和一致性:
较高置信度:该客户端地址近期稳定、高频率进行该类别的恶意行为。建议对此类客户端进行拦截。
中等置信度:该客户端地址近期有过显著频率进行该类别的恶意行为。建议对此类客户端配置为 JavaScript 挑战或观察。
一般置信度:该客户端地址近期有过稳定进行该类别的恶意行为记录。建议对此类客户端配置为观察,后续可根据分析结果调整为 JavaScript 挑战或托管挑战。