應用程式層威脅的偵測邏輯

AWS Shield Advanced 為受保護的 Amazon CloudFront 分發和應用程式負載平衡器提供 Web 應用程式層偵測。當您使用 Shield Advanced 保護這些資源類型時，您可以將 AWS WAF Web ACL 與您的保護建立關聯，以啟用 Web 應用程式層偵測。Shield Advanced 會耗用關聯網頁 ACL 的要求資料，並為您的應用程式建立流量基準。Web 應用程式層偵測仰賴 Shield 牌進階和 AWS WAF. 若要深入瞭解應用程式層保護，包括將 AWS WAF Web ACL 與 Shield Advanced 受保護的資源建立關聯，請參閱。AWS Shield Advanced 應用程式層 (第 7 層) 保護

對於 Web 應用程式層偵測，Shield Advanced 會監控應用程式流量，並將其與尋找異常的歷史基準進行比較。這項監測涵蓋總體積和流量組成。在 DDoS 攻擊期間，我們預計流量和組成都會發生變化，而 Shield Advanced 需要在統計上顯著偏差來宣告事件。

「Shield 牌進階」會針對歷史時間範圍執行測量。這種方法可以減少因流量合法變化或符合預期模式的流量變化而產生的誤報通知，例如每天同一時間提供的銷售。

注意

給予 Shield Advanced 時間來建立代表正常、合法流量模式的基準，以避免 Shield 進階保護中的誤判。當您將 Web ACL 與受保護的資源建立關聯時，Shield Advanced 會開始收集其基準線的資訊。在任何可能導致 Web 流量異常模式的計劃事件之前至少 24 小時，將 Web ACL 與受保護的資源建立關聯。Shield 高級 Web 應用程序層檢測是最準確的，當它已經觀察到 30 天的正常流量。

Shield Advanced 偵測事件所花費的時間會受到它在流量中觀察到的變化程度的影響。對於較低的數量變化，Shield Advanced 會更長時間觀察流量，以建立事件發生的信心。對於更高的音量變化，Shield Advanced 可以更快地檢測並報告事件。

Web ACL 中的速率型規則 (無論是由您或由 Shield Advanced 自動應用程式層緩和功能新增) 都可以在攻擊達到可偵測等級之前緩解攻擊。如需有關自動應用程式層 DDoS 緩解的詳細資訊，請參閱Shield 先進的自動應用層 DDoS 緩解。

注意

您可以架構應用程式以回應提升的流量或負載，以確保應用程式不受較小的要求洪水影響。使用 Shield 進階版，您受保護的資源將受到成本保護。這有助於保護您免受 DDoS 攻擊可能發生的雲端帳單意外增加。若要深入瞭解 Shield 進階成本保護，請參閱申請信用 AWS Shield Advanced。