雷池PM-姚锡龙
发布于 IP属地大阪府

拒绝一刀切!长亭BOT管理启动三层流量检测杀手锏

一年一度的盛大购物节来袭~
今年是否能顺利、平稳地完成业务KPI?
我们一起拭目以待... ...






据调查数据显示,互联网流量中有约52%来自于机器人。
面对这些机器人,目前常见做法是「拦截自动化执行工具」,让机器人无法工作,从根源上封禁BOT,对善意、恶意的BOT一刀切全部拦截,以保障业务安全。

But,但是
“拦截自动化执行工具”不是YYDS!
在上述的52%机器人中
只有30%恶意流量
剩下70%的流量需要被执行
其中不乏关键业务
防护过度伤不起

三层流量验证 业务为王
长亭BOT管理使用三层流量验证思路,精细化筛选过滤流量,在不放过任何一个恶意BOT的同时,也绝不错拦任何一个善意BOT,确保业务安全运转。

第一层
环境、行为信息双分析,不再秒封IP
随着自动化对抗技术的升级,自动化工具发起的IP往往隐藏在真实的用户IP中,如果简单粗暴直接封禁IP,不可避免会造成“误伤”,使得传统基于IP情报的封禁效果大打折扣。
换种思路,虽然IP易变换,但客户端物理环境却难以复制。长亭BOT管理通过自定义采集客户端的环境信息,如:浏览器版本等,综合生成客户端唯一指纹,并根据指纹对访问者进行验证,有效发现不停变换IP的高级恶意BOT。
与此同时,长亭BOT管理通过行为建模,如:设置鼠标点击平均间隔、鼠标点击事件次数等,形成行为基线,并实时监控基线异常情况。这些数据还可支持与客户网站真实用户行为相关联,而后联动机器学习快速添加新的基线行为模型,如:时长、鼠标移动、导航路径等,最终通过基线模型给出客观的BOT威胁值,识别出真实流量。

当然,恶意BOT也会在不断地嗅探漏洞点时,通过循环IP、加载JavaScript、接受cookie、移动鼠标以及改变页面停留时间等,隐藏行为来逃过检测。针对这种情况,长亭BOT管理能够在客户端页面中注入蜜罐来发现仿真恶意机器人。
在这一层验证中,通过指纹环境和行为基线双重分析,有恶意倾向的高威胁值BOT会被第一时间识别出来,但在没有触发恶意行为发生的情况下,它仍然有可能是善意流量,为防止误伤,可疑BOT并不会被马上拦截,较低威胁值的可疑BOT流量会进入下一环节被再次检测。

第二层
POW方案,耗尽恶意BOT资源

大量隐藏得比较深的BOT,在早期并不会立即做出攻击动作,而是持续地嗅探和学习网站特征,为后续的实际攻击做准备。针对这种“蓄谋已久”的BOT,在第一层流量检测时,长亭BOT管理并不会马上拦截,而是将其分值定在60-90分之间,通过杀手锏——POW机制,让其“自曝自弃”。
POW(Proof of Work)是工作量证明的简称,最早应用在区块链领域当中,其核心策略是通过对一个复杂难题的求解,来保证区块链交易打包出块的公平性。
长亭POW策略是,在请求方请求之前出一道题,请求方必须花费一定的时间计算出结果,然后交给服务器,服务器判断请求方是否计算过题目,来决定接受/拒绝请求。
这利用的是攻击方和防守方之间的不对称对抗。攻击方必须自己选择问题和寻找答案,防守方本身也不知道正确答案,在一个正确答案被找到之后,防守方只负责验证答案的合法性。
在整个过程中,有恶意倾向的BOT会面临POW挑战,根据每一道计算题后给出的威胁分值高低,来决定后续POW运算难度:若发现可疑BOT的威胁分逐步降低,POW难度也会随之降低,减少频次;反之,若威胁分值较高,POW运算则会一直高频发起并且提升难度。

正常用户由于BOT威胁分很低,不会触发长亭POW机制,其次因为当今浏览器普遍多线程,就算偶有“误伤”,正常用户停留页面时间对于一次POW运算来说是足够的,当返回正确计算值之后,BOT威胁分会不断衰减,用户使用体验不会受到影响。
但对于恶意BOT而言,同时发送大量的垃圾请求,意味着同时要计算大量的题目,且随着BOT威胁分的递增,长亭BOT管理发出的题目计算复杂度随之提升,攻击者的计算资源和时间就会被大量消耗,从而被迫放弃攻击。

第三层
语义分析引擎再出击,精准拦截恶意攻击
长亭BOT管理将语义分析引擎设置为威胁值在60分以下的可疑机器人检测点,通过对每一条可疑流量的智能分析和检测,精准判断出可疑机器人的行为是否构成攻击特征,深入分析识别出其潜藏的攻击行为,并作出实时拦截。
在这一步,带有实际攻击行为的恶意BOT都会进入语义分析引擎被拦截,不再“存活”。

基于雷池(SafeLine)的WAAP解决方案
灵活解决应用风险
长亭BOT管理与WAF、API安全相结合打造出WAAP整体解决方案,完整覆盖流量风险管控链条。雷池(SafeLine)下一代Web应用防火墙在自身领先能力基础上,通过BOT前置模块,进一步采集APP、H5、小程序、浏览器等环境信息,生成设备指纹,强化用户唯一标识,有效应对撞库、爬虫等欺诈威胁;再通过API防护实现对API,尤其是影子API的发现保护,全面提升敏感数据检测能力,有效补充未知威胁发现和数据泄露检测力度。
在丰富的实战经验中,雷池(SafeLine)扛住过400亿+的请求流量,最高峰值达到220万QPS,检测耗时低于2ms,刷新了超大流量防护能力的上限,同时在0故障率下100%拦截攻击。长亭BOT管理正是诞生于这样的WAF底座之上,能够精准、平稳、智能地检测每一条流量,保证业务发展稳定又安全。

长亭动态
浏览 (388)
点赞 (7)
收藏
打赏
评论