常见问题

1.Bot管理策略可防范哪些类型的爬虫程序？
Bot管理支持通过AI Bots、公开 Bots、绝对 Bots、疑似 Bots等通用策略进行初始化防护，也支持通过Web 风险检测、业务流检测等场景化策略进行增强防护，以及支持通过自定义Bots策略进行精细化防护。

可重点防范以下类型的爬虫/异常流量：

• AI 大模型爬虫：对站点内容进行批量抓取，用于训练/检索增强等用途的自动化采集行为。
• 常见数据采集型爬虫：基于脚本或爬虫框架对页面/接口进行高频抓取、遍历采集、批量下载等。
• 伪装与对抗型爬虫：通过伪造 User-Agent/请求头、模拟浏览器行为、使用代理池与IP轮换等方式规避检测的高级爬虫。

2.如果发现误拦截，如何处理？
误拦截是指正常用户被安全规则误判为恶意Bots并触发拦截行为的现象。建议按以下步骤处理：

• 优先保障业务可用性：通过自定义Bots/自定义规则/白名单等策略，将已知合法访问纳入信任范围，例如固定IP、合规User-Agent/请求特征等。
• 定位触发原因：结合日志/命中记录，确认触发的策略类型及命中条件。
• 反馈并优化：将误拦截样本与时间段、URL、客户端特征等信息反馈给技术工程师，我们将尽快进行策略与模型优化，降低后续误伤概率。

3.如果发现漏防护，如何处理？
漏防护是指恶意 Bots 未被有效识别，正常放行回源站的情况。建议按以下步骤处理：

• 优先进行临时处置（缓解风险）：若恶意流量已对业务造成影响，可先基于现有能力启用，如自定义策略拦截/限速或对关键接口提高策略强度或启用更严格的处置动作。
• 反馈并固化策略：将样本与分析结论反馈给技术工程师，我们将尽快将稳定攻击模式纳入到自动化策略中。

4.为什么使用Web风险检测前建议经过兼容性测试？
Web风险检测主要依赖在 Web/H5 页面嵌入JavaScript代码以验证浏览器环境与行为一致性，因此建议开启前进行兼容性测试，主要原因包括：

• 非 HTML 场景无法执行 JS：例如纯 API、部分下载/跳转场景或特定渲染环境，可能导致校验无法完成而触发异常处置。
• 浏览器/内核差异影响覆盖：不同浏览器版本、低版本浏览器或定制 WebView 可能存在 JS 能力差异，导致误判或体验问题。

注意： 兼容性测试有助于减少因终端环境差异带来的误拦截风险。

5.为什么不支持APP SDK，针对APP端如何实现有效防护？

• 为什么不支持？

1. 集成复杂：需要业务方嵌入 SDK 并进行端上联调，这增加了开发成本并且可能产生兼容性问题。
2. 应用发布需要时间：移动应用发布需要应用商店的批准（尤其是iOS），因此紧急的安全更新无法迅速推出。
3. 隐私与合规风险：SDK可能涉及权限与数据采集范围声明，增加合规审查成本。

• 如何有效防护？

1. 绝对Bots、疑似Bots策略：基于启发式规则和机器学习模型综合识别自动化工具与异常黑产行为，并加以处置。
2. 业务流检测策略：基于业务流程与请求频率，对移动端异常访问行为进行检测与处置。
3. 场景化定制策略：当通用策略无法覆盖时，可结合具体业务场景与攻击模式制定针对性防护方案。

如需进一步协助，请联系技术支持团队。