AI 助理
备案控制台
开发者社区 阿里云安全 文章 正文

阿里云WAF爬虫风险管理升级,定义高效业务安全

2021-02-02 927
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
推荐场景:
阿里云WAAP安全再获技术&市场双认可
云安全中心 免费版,不限时长
云安全基线管理CSPM免费试用,1000次1年
简介: 提升防护效果,提升使用体验。

————————

验证 “人是人”

数据爬取、秒杀、盗号、薅羊毛、刷票、灌水、垃圾注册、虚假投票、虚假点击、虚假下单……

相信你对各类验证码并不陌生,在访问网站或应用时,我们常要证明自己不是机器。

————————

为了更好帮助云上用户规避此类业务安全风险,1月27日,阿里云Web应用防火墙(WAF)爬虫风险管理功能升级,一方面通过算法升级提升防护效果,另一方面通过向导式操作指引降低运维负担,帮助用户快速打造适合自身业务特点的智能防爬系统。

阿里云WAF爬虫风险管理功能覆盖网页、H5、原生APP、API、公众号、小程序等全场景Web应用防护,支持公共云反向代理接入、ECS/SLB一键透明接入、混合云/多云部署、独享集群部署、CDN一键开启等多种接入方式。阿里云用户可在WAF控制台中选择对抗策略,识别并管控Bot流量。

核心能力升级,好用、易用的防爬工具

在阿里云安全团队的长期观察中,爬虫这类代替或模拟人类用户自动化、快速、大批量执行特定任务的自动化程序,背后有着明确的变现思路与产业链分工,已具备明显的趋利性与强对抗特征,开始走向专业化与产业化,防护难度日趋增高。

11.png

因此,在进行防控时识别维度的丰富性和处置方式的灵活性是核心能力。同时,由于防爬多数时候是个持续对抗的过程,在针对不同场景的防控方案上,专家经验非常重要。

面对长期实践中总结的用户痛点,阿里云爬虫风险管理做了智能算法和用户体验两个维度的针对性升级,将防爬功能做到真正好用、易用。

智能算法提升防护能力


机器学习和深度学习构建了阿里云通用、智能的AI安全防护模型体系。应用神经网络构造多模态特征表示,基于5大类9000+行为和环境指纹特征,对用户流量进行多维度刻画、分析,通过意图分析智能引擎区分正常流量和恶意流量,并且根据场景特征自动生成防护策略。

实时和离线双联路联合决策方案,通过持续学习和模型优化缓解防爬场景对抗问题。实时检测模型对线上流量进行实时刻画,离线模型进行“增量学习”,时刻保留模型重要特征,当对抗发生时能通过自动更新模型策略进行变异风险的自主对抗。

22.png

用户视角改进产品体验

  • 场景化防护,专注业务风险

根据下单、注册、登录、查票等场景定义防护目标,推荐防护策略;基于页面与接口展示防控效果,可视化呈现机器流量比例与拦截分析。

  • 向导式配置,快速Get最佳实践

分步进行场景定义、策略配置、防护效果验证,搭配灵活的自定义策略,轻松构建专家级防护。

  • 灰度验证机制,远离变更故障

策略正式发布前提供防护效果灰度验证,无需担心因策略配置不当、防护兼容性问题等原因导致的大规模误拦截。

实战场景验证,显著提升业务安全水平

阿里云WAF爬虫风险管理,帮助用户解决细粒度、丰富场景下的业务安全问题。

33.png

《The Forrester New WaveTM : Bot Management, Q1 2020》报告中,阿里云安全作为唯一中国厂商入选,防爬能力获得认可。

1. 大量、复杂的API数据接口处置

某航空公司以XHR数据接口提供航班查询服务,长期以来遭受黑灰产及各种旅行公司爬取。之前的安全管理,为了减少正常业务流量误伤采用宽松策略,存在大量漏防。

阿里云WAF的JS无感人机识别,在不产生任何客户投诉和业务影响的情况下,漏防流量较原本方案降低了99%。采集网页环境中的操作行为、设备硬件、指纹等特征,防爬策略判断请求是否来自于自动化工具,并实现XHR接口的浏览器校验、验证码等验证手段,过滤约70%的攻击流量,并对剩余30%的攻击流量使用Browser Driver识别,通过验证码方式的唤醒行为进行拦截。

2. 自动化算法模型

某招聘网站的候选人简历与岗位信息厂商被各种猎头机构与竞品爬取。面临对精心构造的低频、离散IP,单一规则防护易被绕过。

阿里云WAF对客户相关数据接口上的所有流量进行Bot属性打标,并根据不同访问特征进行UBA(User Behavior Analytics)建模。在部署完成后的十数次攻防对抗中,模型均能自动化监控并快速学习攻击流量特征,针对攻击流量唤起处置,无需客户与运营介入。

3.SDK接入APP环境

某交易网站以APP作为主要用户访问平台,低价商品常在上线瞬间被恶意秒杀。为了逃避检测机制,攻击者采用真机攻击,通过改机框架与ADB远控等方式,利用脚本操作手机进行恶意行为,识别难度大。

集成爬虫风险管理SDK后,阿里云WAF直接在流量层面针对各种异常的设备访问方式(如Root、Debugger、进程注入、改机Hook等)进行识别和拦截,多维度刻画过滤,恶意秒杀的情况被遏制。

**4. 非对抗解决方案
**

某金融网站信息常被第三方网站爬取,并在数据加工后提供售卖。由于客户本身的业务系统复杂,以及面向金融类敏感信息的高强度攻防对抗,直接拦截的方式并不是最优解。

阿里云WAF采用了异步处置回源打标的方式,在网关层标记异常流量,并对被打标的请求返回虚假数据,以此干扰了第三方网站的数据准确性,与客户的风控能力耦合,为业务安全赋能。

————————


好的爬虫风险管理工具应当好用、易用,且体现运维价值。

阿里云安全团队致力于打造一套尽可能灵活的工具,帮助用户跳过繁琐的实现细节,同时利用云上海量的数据和计算能力、弹性扩容能力以及威胁情报,实现最适合自身业务特点的防爬能力构建。

文章标签:
Web应用防火墙
机器学习/深度学习
人工智能
数据采集
数据处理
运维
云安全
网络安全
安全
API
算法
关键词:
Web应用防火墙升级
Web应用防火墙阿里云
阿里云Web应用防火墙
Web应用防火墙安全
爬虫升级
云安全专家
目录
相关文章
游客wfuknido2jlqw
|
云安全 负载均衡 网络协议
阿里云waf简介和如何配置​
阿里云WAF(Web应用程序防火墙)是一种高效、智能的云安全服务,旨在保护Web应用程序免受各种网络攻击的威胁。它可防止诸如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击,有效保障了Web应用程序的安全性与稳定性。 阿里云WAF在Web应用程序与互联网之间构建一道安全屏障,通过拦截和检测恶意流量,防止攻击者对您的Web应用程序进行攻击。它不仅覆盖了常见的网络攻击类型,还针对新兴的攻击手段进行了防护设计,确保您的Web应用程序在面对各种威胁时都能得到全方位的保护。
游客wfuknido2jlqw
1375 0
奔跑的数据
|
4月前
|
数据采集 Web App开发 JavaScript
爬虫技术升级:如何结合DrissionPage和Auth代理插件实现数据采集
本文介绍了在Python中使用DrissionPage库和Auth代理Chrome插件抓取163新闻网站数据的方法。针对许多爬虫框架不支持代理认证的问题,文章提出了通过代码生成包含认证信息的Chrome插件来配置代理。示例代码展示了如何创建插件并利用DrissionPage进行网页自动化,成功访问需要代理的网站并打印页面标题。该方法有效解决了代理认证难题,提高了爬虫的效率和安全性,适用于各种需要代理认证的网页数据采集。
奔跑的数据
208 0
爬虫技术升级:如何结合DrissionPage和Auth代理插件实现数据采集
做梦都在改BUG
|
2月前
|
安全 算法 数据安全/隐私保护
11K star!开源WAF的NO1,不花钱也能搞定安全
当我们的网站上线后首先会遇到什么,可能不一定是自己的客户,而是来自网络的攻击。 今天我们分享的开源项目,它是登顶GITHUB的开源WAF,让黑客不敢越雷池一步,并且还是国产的开源项目,它就是:雷池(SafeLine)
做梦都在改BUG
88 6
德迅云安全陈琦琦
|
2月前
|
SQL 运维 监控
安全设备篇——WAF
**Web应用防火墙(WAF)摘要** WAF是关键的网络安全工具,专注于Web应用防护,提供应用层保护,具备事前预防、事中响应和事后审计功能。它通过HTTP/HTTPS策略阻止恶意请求,防止SQL注入、XSS攻击等,并能防止会话劫持、DDoS攻击。WAF支持自定义规则、日志监控和与其他安全产品集成。其特点包括异常检测、输入验证、安全规则库、用户行为分析及多种部署模式如透明网桥、单机和旁路反向代理。与传统防火墙不同,WAF在应用层工作,提供更具体的安全防护。两者结合可增强整体网络安全性。
德迅云安全陈琦琦
182 0
安全设备篇——WAF
技术君
|
2月前
|
安全 API 开发者
带你读《阿里云产品五月刊》——十九、Web应用防火墙 新功能/规格
Web应用防火墙 新功能/规格
技术君
48 0
众所周知
|
4月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
众所周知
320 1
我是koten
|
弹性计算 缓存 运维
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
我是koten
196 0
弹性计算小冉
|
4月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
弹性计算小冉
537 2
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
sunrr
|
11月前
|
应用服务中间件
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
sunrr
179 2
云课程笔记
|
数据采集 安全 网络安全
01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析
01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析
云课程笔记
178 1

阿里云安全

热门文章

最新文章

  • 1
    python爬虫-抓取内涵吧内涵段子
  • 2
    Python爬虫之scrapy从入门到忘记
  • 3
    网络爬虫(2):存储
  • 4
    python使用百度进行爬虫简单学习例子
  • 5
    python爬虫学习小程序
  • 6
    百度网盘爬虫Python
  • 7
    【拉勾网职位需求信息爬虫】技能长尾关键词抓取——看看你是否满足企业技能需求(转)
  • 8
    Node.js 4493图片批量下载爬虫1.00
  • 9
    天罗地网——Python爬虫初初初探
  • 10
    关于使用HTTP代理IP爬虫采集的认知误区
  • 1
    如何保护应用?可快速部署的WAF服务器分享
    31
  • 2
    WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
    70
  • 3
    WAF攻防-权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参
    29
  • 4
    WAF攻防-信息收集&识别&被动探针&代理池&仿指纹&白名单
    38
  • 5
    Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
    65
  • 6
    WEB应用防火墙的作用,云服务器有这个功能吗
    44
  • 7
    【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
    320
  • 8
    与WAF的“相爱相杀”的RASP
    97
  • 9
    浅谈WAF产品如何来拦截攻击
    71
  • 10
    阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
    537

    • 相关课程

    更多
  • Python爬虫实战
  • Python网络爬虫实战
  • 大数据分析之企业级网站流量运营分析系统开发实战(第二阶段)
  • 大数据分析之企业级网站流量运营分析系统开发实战(第四阶段)
  • 业务全链路追踪最佳实践
  • 阿里云数据安全怎么管理数据资产和数据防护?

    • 相关电子书

    更多
  • 浅析WAF防御机制的非主流技术
  • Python第五讲——关于爬虫如何做js逆向的思路
  • 云盾-Web应用防火墙(WAF)用户接入手册

    • 相关实验场景

    更多
  • 在SAE控制台极速部署个人LLM效能工具
  • 基于生命周期管理的存储成本优化
  • 云原生场景自动化响应ECS系统事件
  • 配置流程编排实现根据天气情况播放歌曲
  • 基于DTS构建一站式实时数据服务
  • 基于OpenTelemetry构建全链路追踪与监控
    • 下一篇
    通义千问API入门教程