本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
应用程序层威胁检测逻辑
Amazon Shield Advanced 为受保护的 Amazon CloudFront 分配和应用程序负载均衡器提供 Web 应用程序层检测。使用 Shield Advanced 保护这些资源类型时,可以将 Amazon WAF Web ACL 与保护关联起来,以启用 Web 应用程序层检测。Shield Advanced 使用关联的 Web ACL 的请求数据,并为您的应用程序构建流量基准。Web 应用程序层检测依赖于 Shield Advanced 和 Amazon WAF。要详细了解应用层保护,包括将 Amazon WAF Web ACL 与 Shield Advanced 受保护的资源相关联,请参阅Amazon Shield Advanced 应用层(第 7 层)保护。
对于 Web 应用程序层检测,Shield Advanced 会监控应用程序流量,并将其与历史基线进行比较,以查找异常情况。这种监控涵盖了总流量和流量构成。在 DDoS 攻击期间,我们预计流量的数量和组成都会发生变化,而 Shield Advanced 需要这两者都出现统计意义上的显著偏差才能宣布事件发生。
Shield Advanced 根据历史时间窗口进行测量。这种方法可以减少因流量的合理变化或符合预期模式的流量变化(如每天同一时间的促销活动)而产生的误报。
注意
让 Shield Advanced 有时间建立代表正常、合法流量模式的基准,从而避免在 Shield Advanced 保护中出现误报。当你将 Web ACL 与受保护的资源关联时,Shield Advanced 开始收集其基准信息。在任何可能导致网络流量异常模式的计划事件发生前至少 24 小时将 Web ACL 与您的受保护资源关联。Shield Advanced Web 应用程序层检测在观察到 30 天正常流量时最为准确。
Shield Advanced 检测事件所花费的时间受其观察到的流量变化程度的影响。对于较小的流量变化,Shield Advanced 会进行较长时间的流量观测,以确定事件的发生。对于较大的流量变化,Shield Advanced 可以更快地检测和报告事件。
Web ACL 中基于速率的规则,无论是您添加的还是由 Shield Advanced 自动应用层缓解功能添加的,都可以在攻击达到可检测级别之前对其进行缓解。有关自动应用层 DDoS 缓解的更多信息,请参阅Shield Advanced 应用程序层 DDoS 自动缓解。
注意
您可以设计您的应用程序,使其能够根据流量或负载的增加进行扩展,从而帮助确保它不会受到较小的请求泛滥的影响。使用 Shield Advanced,您的受保护资源将受到成本保护。这有助于防止因 DDoS 攻击而导致云账单意外增加。要了解有关 Shield Advanced 成本保护的更多信息,请参阅 申请积分 Amazon Shield Advanced。