业务流检测

功能简介

在对抗高级Bot（机器程序）的过程中，传统的“访问频率限制”往往会失效，因为高级Bot为了降低成本和隐藏自身，常常会采用低频、分布式的攻击手法。
业务流检测是基于“业务逻辑”打造的主动防御功能。它的核心原理是“正常用户必然遵循一定的行为轨迹”。通过分析客户端在一定时间窗口内的访问次数与资源分布特征（如：是否孤立访问某API，动静态资源请求比例是否畸形等），精准识别并拦截绕过前端页面、直接通过脚本调用核心接口的异常Bot行为。

典型场景

业务流检测主要覆盖以下两大核心场景：

场景一：动静态资源访问特征校验（Web场景）

• 正常行为：真实用户通过浏览器访问网页时，浏览器会自动加载大量的静态资源（.js, .css, 图片等）以及少量动态接口。因此，访问资源的类型是广泛分布的，GET/POST请求也有合理的比例。
• Bot行为：Bot大多不需要渲染完整页面，通常只请求动态接口，静态资源请求占比极低，甚至全部都是POST请求。
• 检测机制：系统支持检测统计周期内的总请求量、GET/POST请求量以及不同资源请求占比。当发现某客户端的动态请求占比畸高，或GET/POST比例严重失调时，判定为Bot并予以处置。

场景二：API接口关联校验（API场景）

• 正常行为：真实用户操作业务（如订票）时，会触发一系列关联接口。在一段时间内，既会有查询接口的请求，也会有下单接口的请求。
• Bot行为：为了追求效率最大化，Bot通常写死脚本，孤立地、直接地调用核心下单接口。
• 检测机制：系统分析统计周期内客户端的总请求数或其他关联URL的请求数。如果发现某客户端高频请求了“下单API”，但“查询API”的请求量为0，则判定为孤立的非法调用并予以处置。

操作步骤

1. 登录控制台并进入已订阅的安全产品页面。
2. 前往防护配置>安全策略页面。
3. 定位到要配置安全策略的域名，点击 ，进入安全策略编辑页面。
4. 选择Bot管理页签，如果Bot管理已关闭，请先开启。
5. 在业务流检测下配置检测规则。
6. 规则配置后，点击底部<部署>按钮，下发配置（等待1-3分钟生效）。

配置示例

为了帮助您快速上手，我们以一个真实的“防刷单/防抢票”场景为例。

1. 业务诉求

网站管理员希望保护核心订票接口 /booking.do（此接口被黑灰产盯上，经常被脚本直接批量调用）。
安全防线设计：真实访客在访问 /booking.do前，必然会访问前置的验证码获取接口 /get_verification 。如果在 300秒内，某个IP直接调用了订票接口，却没有调用过验证码接口，视为非法脚本并予以拦截。

2. 控制台配置方法

在业务流检测下创建新规则，参数如下：

• 规则名称：订票场景-核心API孤立访问拦截
• 防护目标：路径（Path）匹配 /booking.do
• 应用场景：API场景
• 触发条件：
  在 [300] 秒之内，基于 [客户端IP] 的访问行为 [同时满足] 以下条件：
  1：自定义URL请求次数 完整匹配 /get_verification 小于1
  2：自定义URL请求次数 完整匹配 /booking.do 大于等于1
• 处理动作：找到上述创建的规则，将处理动作设置为拦截。

当这两个条件同时命中时，说明访客行为表现为**“直接越过前端页面，孤立调用核心接口”**。系统将直接阻断该请求。

注意：如果您担心直接拦截会造成误杀，建议在处理动作中优先选择监控（仅记录日志），确认规则运行符合预期后，再切换为拦截。