本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
应用层威胁的检测逻辑
Amazon Shield Advanced为受保护的 Amazon CloudFront 发行版和应用程序负载均衡器提供 Web 应用程序层检测。使用 Shield Advanced 保护这些资源类型时,可以将Amazon WAF Web ACL 与您的保护相关联,以启用 Web 应用程序层检测。Shield Advanced 消耗关联的 Web ACL 的请求数据,并为您的应用程序建立流量基线。Web 应用程序层检测依赖于 Shield Advanced 和之间的原生集成Amazon WAF。要了解有关应用层保护的更多信息,包括将Amazon WAF Web ACL 关联到 Shield Advanced 保护资源,请参阅Amazon Shield Advanced应用层(第 7 层)保护。
对于 Web 应用程序层检测,Shield Advanced 监控应用程序流量并将其与历史基线进行比较,寻找异常。这种监控涵盖总流量和交通构成。在 DDoS 攻击期间,我们预计流量的数量和构成都会发生变化,Shield Advanced 要求两者都存在统计学上的显著偏差才能声明事件。
Shield Advanced 根据历史时间窗执行测量。这种方法可以减少来自流量合法变化或与预期模式相匹配的流量变化(例如每天同时进行的销售)产生的误报通知。
注意
让 Shield Advanced 有时间建立代表正常、合法流量模式的基准,从而避免 Shield Advanced 保护中的误报。在任何可能导致 Web 流量异常模式的计划事件发生前至少 24 小时将 Web ACL 与您的受保护资源关联。Shield Advanced Web 应用程序层检测在观察 30 天的正常流量时最为准确。
Shield Advanced 检测事件所需的时间受其观察到的流量变化的影响。对于较小的流量变化,Shield Advanced 会更长时间地观察流量,以建立对事件正在发生的信心。对于更高的音量变化,Shield Advanced 可以更快地检测和报告事件。
注意
您可以构建应用程序,使其能够根据流量或负载的增加进行扩展,从而确保它不受较小请求泛洪的影响。使用 Shield Advanced,您的受保护资源将受到成本保护。这有助于保护您免受 DDoS 攻击可能导致的云账单意外增加。要了解有关 Shield Advanced 成本保护的更多信息,请参阅在申请服务抵扣金额Amazon Shield Advanced。