本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
应用层威胁的检测逻辑
Amazon Shield Advanced为受保护的 Amazon 提供 Web 应用程序层检测 CloudFront 分配和 Application Load Balancers。当您使用 Shield Advanced 保护这些资源类型时,可以将Amazon WAF具有保护功能的 Web ACL,以启用 Web 应用程序层检测。Shield Advanced 会消耗关联 Web ACL 的请求数据,并为应用程序构建流量基线。Web 应用程序层检测依赖于 Shield Advanced 和之间的本机集成Amazon WAF. 要了解有关应用层保护的详细信息,包括将Amazon WAFWeb ACL 到 Shield 高级受保护的资源,请参阅Amazon Shield Advanced应用层(第 7 层)保护.
对于 Web 应用程序层检测,Shield Advanced 监控应用程序流量,并将其与寻找异常的历史基线进行比较。此监控涵盖了总量和流量组成。在 DDoS 攻击期间,我们预计流量和组成都会发生变化,而 Shield Advanced 要求两者都有统计显著的偏差才能宣布事件。
Shield Advanced 会根据历史时间窗执行测量。这种方法可减少因流量的合法变化或与预期模式相匹配的流量变化(例如每天同时提供的销售)而产生的错误肯定通知。
允许 Shield Advanced 建立代表正常、合法交通模式的基线,从而避免在您的 Shield Advanced 保护中出现误报。在任何可能导致 Web 流量异常模式的计划事件之前至少 24 小时将 Web ACL 与受保护的资源关联起来。在观察到 30 天的正常流量时,Shield Advanced Web 应用程序层检测最为准确。
Shield Advanced 检测事件所需的时间受到它观察到的流量变化的影响。为了降低交易量变化,Shield Advanced 会更长时间地观察流量,以建立对事件正在发生的信心。对于更高音量的变化,Shield Advanced 可以更快地检测并报告事件。
您可以设计应用程序,以便根据流量或负载升高而进行扩展,以确保它不受较小的请求泛洪的影响。使用 Shield Advanced,您受保护的资源将受到成本保护。这有助于保护您免受由于 DDoS 攻击而可能导致的云账单意外增加的影响。要详细了解 Shield Advanced 成本保护,请参阅在申请服务抵扣金额Amazon Shield Advanced.