刷票、恶意注册……如何防止恶意Bot流量的威胁？

  电影票、演唱会门票、火车票、优惠券…在这个人人都离不开互联网的时代，抢票已经成了家常便饭，在这个在线购票场景中，人类处于劣势，很难抢先Bot一步购得门票。当门票售罄后，黄牛便可以在晚些时候以更高的价格出售他们借助Bot抢到的门票。

  除了恶意刷票外，这些Bot会模仿人类行为达到各种目的，以非法方式增加收入。这些攻击会向企业的应用或网站发送超出其处理能力的请求，进而导致您的应用或网站难以（或中止）与真正的客户进行互动，久而久之造成客户流失，影响企业声誉。

Bot自动化流量的威胁

  受全球疫情的影响，线上业务迎来爆发式的增长。随着企业逐渐将应用程序转移至云端，黑客也纷纷借助Bot自动化流量大幅增加其攻击的波及面和有效性。从恶意爬虫、虚假用户注册到业务交易欺诈，无处不在的Bot攻击考验着每个行业的业务安全水准。

  BOT是Robot（机器人）的简称，一般指无形的虚拟机器人，也可以看作是自动完成某项任务的智能软件，BOT流量，即自动化程序流量。

  根据今年6月瑞数信息发布的《2021 Bots自动化威胁报告》显示，2020年，Bots访问占比为57.62%。由此可以看出，在网络中BOT流量的比例已经超过“人的请求流量”。

  本质上Bot是一个具有自动化的优势，被操作者用来执行高度重复任务的一个工具。决定Bot好坏的其实不是Bot自身，而是Bot的意图。

  互联网上暴露的所有可以获取的信息、数据，都可能成为Bot的目标。对一个网站而言，可能有主页、产品列表、登录的页面、购物车、付款手续等部分，每一部分都可能会被攻击者盯上，通过对某一部分独立的入侵，就能达到目的。

  2020年国内Bots攻击十分严峻，攻击者的工具、手段、效率都有了进一步发展。特别是在疫情背景之下，行业的Bots态势也随之发生变化，尤其是医疗（51.24%）、政府（52.11%）、互联网（55.41%）、出版（52.37%）四大行业成为恶意Bots时常出没的领域。

  随着新一代高级网络攻击技术变得更加隐蔽、狡猾和复杂，对传统安全方案更是建立起“降维打击”的优势，很多人认为部署WAF就不用担心Bot活动，然而Bot基于业务场景里的逻辑漏洞而不是Web漏洞，Bot模拟人的行为，传统安全手段几乎无法有效对抗。

腾讯云Bot行为管理平台

  互联网站点的流量一部分由人类正常访问行为产生，而高达30%-60%的流量则是由Bot网络机器人程序编写者赋予它的任务所产生。这些程序流量并非全部恶意，也有友好型Bot程序，如搜索引擎的爬虫、广告程序、第三方合作伙伴程序、Robots协议友好程序等。

  所以说对于爬虫Bot程序管理，更多情况是，安全运维需要花费大量时间去区分爬虫Bot程序流量与正常人类的访问流量，再进一步区分友好的爬虫Bot程序流量与恶意的爬虫Bot程序流量。

  因此，解决爬虫Bot程序问题的关键在于精准的流量检测技术，这也是爬虫Bot程序管理的核心挑战所在。

  近日，国际权威研究机构Forrester发布了最新的《Now Tech: Bot Management, Q4 2021》报告，对Bot管理技术及其产品应用做了权威性解读，并且从技术水准、市场份额等多个维度对全球31家Bot管理服务商调研。

  在本次Forrester全球格局研究之中，腾讯安全位列全球“Midesize”中型市场区间。腾讯云WAF的Bot行为管理在解决凭证填充、网络侦察、DDoS攻击、网络数据获取这类对抗安全攻击，以及在保护移动应用程序、API方面具有很强的功能性。

  基于AI+规则库及Bot管理的腾讯云WAF，还可协助企业规避恶意Bot行为带来的站点用户数据泄露、内容侵权、竞争比价、库存查取、黑产SEO、商业策略外泄等业务风险问题。

  腾讯云Web应用防火墙推出的WAF-BOT行为管理功能，提供多种手段对BOT行为进行对抗处理。

  BOT行为管理基于12个已知公开的BOT大类，超过1000+的BOT子类，不同阶段采用不同的处置策略进行爬虫和防刷对抗；同时针对Web端、移动端、API采取不同处理策略，有效区分友好BOT及恶意BOT，实现恶意BOT防护。

  腾讯先通过AI检测引擎识别出爬虫Bot程序流量行为，对机器人程序行为进行分类并以图表化模式呈现，再根据实际业务需求采取针对性的管理策略，从而实现对爬虫Bot程序及业务运营带来的风险问题的管控。

一、动态识别。识别Bot流量并对Bot流量进行分类；

二、风险评估。结合安全情报，发现当前流量的风险等级，并且能够量化相关展示效果；

三、响应处置。具备非常灵活的处置措施，快速打击Bot侵害，拦截Bot流量。可使用大量精细化管理方案，处置特定类型Bot；

四、威胁建模。根据Bot特性进行威胁建模，并且保证建模持续可迭代、可升级。能够自动发现Bot的策略调整，并进行自动打击。

  除了针对恶意BOT提供的解决方案之外，腾讯云WAF基于腾讯安全超过20年的安全能力积累，还在CC攻击防护、0day 漏洞虚拟补丁等方面有不错的防护效果，分钟级获取腾讯 Web 业务防护能力，为组织网站及 Web 业务安全运营保驾护航。

  云巴巴一直秉持最严谨的态度，选取品质最高的科技产品。我们与国内外知名科技厂商深度合作，包括腾讯、阿里、华为、眼神科技等等，并获得部分厂商金牌代理权限。面向各行各业B端客户，提供全面的科技服务，助力企业数字化轻松转型。