搶票失敗、小程序崩潰、平臺(tái)遭惡意灌水……這些我們?nèi)粘６伎赡苡龅竭^(guò)的問(wèn)題的背后很有可能是BOT攻擊在興風(fēng)作浪。對(duì)于企業(yè)用戶來(lái)說(shuō)，據(jù)相關(guān)調(diào)研顯示，近八成企業(yè)都曾因BOT攻擊而受到經(jīng)濟(jì)損失，而面對(duì)越來(lái)越復(fù)雜的BOT攻擊，大多數(shù)企業(yè)表示“很無(wú)奈”而選擇“躺平”。

認(rèn)識(shí)BOT攻擊

說(shuō)起B(yǎng)OT攻擊，首先要了解BOT流量。BOT是指網(wǎng)絡(luò)機(jī)器人，而B(niǎo)OT流量就是自動(dòng)化執(zhí)行的網(wǎng)絡(luò)流量，而這當(dāng)中又分為正常BOT行為和惡意BOT攻擊，例如搜索引擎用的爬蟲(chóng)是正常的，而刷單和爬隱私數(shù)據(jù)所用的自動(dòng)化工具就是惡意的。那么，什么是BOT攻擊呢？簡(jiǎn)單來(lái)說(shuō)，BOT攻擊就是利用機(jī)器人程序（BOT）模擬人類(lèi)用戶行為，對(duì)目標(biāo)網(wǎng)站進(jìn)行惡意攻擊，從而達(dá)到竊取數(shù)據(jù)、破壞系統(tǒng)等目的。

網(wǎng)絡(luò)當(dāng)中BOT流量的占比越來(lái)越高，BOT攻擊就成為了占用接口資源、服務(wù)資源從而導(dǎo)致業(yè)務(wù)異常和數(shù)據(jù)損失的一大元兇。安全專(zhuān)家提出了各種技術(shù)方案來(lái)應(yīng)對(duì)BOT攻擊，但BOT攻擊也演變得越來(lái)越復(fù)雜、越來(lái)越隱蔽，更加難以發(fā)現(xiàn)和防御。

據(jù)《BOT管理白皮書(shū)》統(tǒng)計(jì)數(shù)據(jù)顯示，2022年上半年BOT流量約占整體互聯(lián)網(wǎng)流量的60%，平均每月達(dá)到110億+；在而其中具備惡意攻擊性的BOT流量占比則高達(dá)46%，惡意BOT流量的危害亟須重視。

BOT攻擊的類(lèi)型

①出“新手村”的BOT：普通的自動(dòng)化腳本，能執(zhí)行掃描和爬蟲(chóng)

②在“打怪練級(jí)”的BOT：能模擬一些真實(shí)的工具，但擬人程度有限

③混“競(jìng)技場(chǎng)”的BOT：能模擬一些真實(shí)的行為，能通過(guò)部分驗(yàn)證

拿家喻戶曉的小明來(lái)舉個(gè)栗子。小明經(jīng)營(yíng)了一家網(wǎng)店，最近火了。他發(fā)現(xiàn)自己的商品信息和價(jià)格經(jīng)常出現(xiàn)在一家第三方網(wǎng)站上被分析，這是碰到了新手村的“機(jī)器”；被針對(duì)以后，評(píng)論區(qū)總是有不同的ID刷著同樣內(nèi)容的差評(píng)，這是碰到了打怪期的“機(jī)器人”；小明為了轉(zhuǎn)變頹勢(shì)，別出心裁地搞了促銷(xiāo)活動(dòng)，結(jié)果當(dāng)天很多人擠進(jìn)來(lái)下單，可下單了又不買(mǎi)，網(wǎng)站還給卡死了，這是碰到了競(jìng)技場(chǎng)的“人形機(jī)器”。

BOT攻擊如何防護(hù)

BOT流量需要多維度治理：從數(shù)據(jù)維度來(lái)看，需保護(hù)核心資產(chǎn)數(shù)據(jù)信息不受BOT侵害；從業(yè)務(wù)維度來(lái)看，需防護(hù)BOT對(duì)平臺(tái)業(yè)務(wù)穩(wěn)定性造成影響；從安全維度來(lái)看，需保護(hù)基礎(chǔ)設(shè)置不受掃描器侵害。依托客戶端風(fēng)險(xiǎn)識(shí)別、安全情報(bào)、智能分析，可幫助構(gòu)筑多層次體系化檢測(cè)響應(yīng)防線。

同時(shí)，白皮書(shū)梳理了包括爬蟲(chóng)機(jī)器人、抓取機(jī)器人、垃圾郵件機(jī)器人、社交媒體機(jī)器人等9種BOT常見(jiàn)類(lèi)型，以及BOT主要對(duì)抗手段和對(duì)抗方案。譬如，基于規(guī)則情報(bào)+客戶端風(fēng)險(xiǎn)識(shí)別+機(jī)器學(xué)習(xí)+AI的Anti-BOT方案，通過(guò)規(guī)則情報(bào)將存在異常的IP（代理、掃描器、威脅情報(bào)）、BOT訪問(wèn)特征進(jìn)行快速過(guò)濾，隨后通過(guò)客戶端風(fēng)險(xiǎn)識(shí)別中的檢測(cè)是否真人真機(jī)、最后通過(guò)后端的機(jī)器學(xué)習(xí)+AI方案分析得出異常的訪問(wèn)行為，并進(jìn)行處置。

為什么說(shuō)WAF防火墻成為應(yīng)用安全防護(hù)的最關(guān)鍵手段之一

面對(duì)云上網(wǎng)絡(luò)攻擊的不斷演進(jìn)及BOT流量的激增，WAF安全解決方案的探索和創(chuàng)新已成為全球安全廠商新的發(fā)力賽道。與此同時(shí)，伴隨著容器化、微服務(wù)和開(kāi)發(fā)運(yùn)維（DevOps）等技術(shù)的成熟，WAF產(chǎn)品正向云原生WAF演進(jìn)，并能更好地適配云計(jì)算環(huán)境對(duì)網(wǎng)絡(luò)安全更細(xì)粒度、更敏捷、更彈性的要求。

當(dāng)前應(yīng)用安全態(tài)勢(shì)嚴(yán)峻、安全能力亟待升級(jí)，從數(shù)量上來(lái)看，安全事件頻發(fā)，僅2021年我國(guó)境內(nèi)網(wǎng)站篡改、仿冒、植入后門(mén)三類(lèi)安全事件就高達(dá)20萬(wàn)起，且云上應(yīng)用是主要目標(biāo)；從類(lèi)型上來(lái)看，攻擊手段呈新趨勢(shì)，2021年電子商務(wù)網(wǎng)站遭受的所有攻擊中就有57%由BOT發(fā)起。

而WAF防火墻作為實(shí)現(xiàn)應(yīng)用安全防護(hù)最關(guān)鍵的手段之一，不斷適應(yīng)安全需求變化，繼承硬件WAF、軟件WAF核心功能的云WAF，依托基礎(chǔ)Web防護(hù)、CC惡意攻擊防護(hù)、爬蟲(chóng)防護(hù)、漏洞虛擬補(bǔ)丁、敏感信息防泄漏、網(wǎng)頁(yè)防篡改六大核心能力可快速形成應(yīng)對(duì)新型漏洞的安全策略并全網(wǎng)更新，鑒于BOT的攻擊手段在不斷發(fā)展，未來(lái)需在BOT防護(hù)上不斷進(jìn)階，進(jìn)而護(hù)航運(yùn)營(yíng)安全。

除此之外，防范不同級(jí)別的BOT所需要的手段也不同：簡(jiǎn)單的腳本可能加個(gè)驗(yàn)證機(jī)制或做個(gè)限速就能控制；能模擬真實(shí)瀏覽器的工具則需要借助一些人機(jī)識(shí)別的手段；而已經(jīng)修煉出“人形”的高級(jí)BOT則需要借助威脅情報(bào)等畫(huà)像分析手段來(lái)進(jìn)行綜合的防范。

傳統(tǒng)的安全防護(hù)技術(shù)能夠識(shí)別具備明顯特征的攻擊請(qǐng)求，但對(duì)于隱藏很深的BOT攻擊往往束手無(wú)策，其主要原因在于難以識(shí)別和分辨異常的行為，不易進(jìn)行檢測(cè)并且容易造成誤報(bào)。

快快網(wǎng)絡(luò)（威脅檢測(cè)與分析）依賴云端強(qiáng)大的基礎(chǔ)數(shù)據(jù)收集系統(tǒng) ，結(jié)合自主研發(fā)的多款、累計(jì)數(shù)十種提取方法的核心情報(bào)提取系統(tǒng) ，快速且自動(dòng)化的生產(chǎn)高覆蓋度、高準(zhǔn)確度、上下文豐富的情報(bào)數(shù)據(jù)。為各種不同類(lèi)型的業(yè)務(wù)提供獨(dú)特的價(jià)值?？梢詫?duì)BOT攻擊進(jìn)行遞進(jìn)式的有效防護(hù)。

 1.威脅發(fā)現(xiàn)和失陷檢測(cè)

精準(zhǔn)發(fā)現(xiàn)內(nèi)網(wǎng)的被控主機(jī)，包括挖礦、勒索、后門(mén)、APT等，并提供佐證失陷的樣本取證信息、處置建議等，促進(jìn)企業(yè)快速響應(yīng)處置風(fēng)險(xiǎn)

 2.SOC/SIEM等系統(tǒng)威脅檢測(cè)能力增強(qiáng)

將日志中的域名/IP提取出來(lái)通過(guò)分析，發(fā)現(xiàn)可疑時(shí)間，并結(jié)合人工分析通過(guò)內(nèi)部工單系統(tǒng)進(jìn)行日常運(yùn)營(yíng)，增強(qiáng)威脅發(fā)現(xiàn)和檢測(cè)能力

 3.外放訪問(wèn)IP的風(fēng)險(xiǎn)識(shí)別

精準(zhǔn)發(fā)現(xiàn)相關(guān)IP是否屬于掃描、撞庫(kù)、漏洞利用、僵尸網(wǎng)絡(luò)等風(fēng)險(xiǎn)，同時(shí)進(jìn)一步提供該IP的基礎(chǔ)信息，如代理、網(wǎng)關(guān)出口、CDN、移動(dòng)基站等

 4.企業(yè)資產(chǎn)發(fā)現(xiàn)

通過(guò)高級(jí)查詢，快速發(fā)現(xiàn)企業(yè)的域名、子域名、IP等資產(chǎn)的信息變動(dòng)情況，管控資產(chǎn)暴露產(chǎn)生的數(shù)據(jù)泄露、服務(wù)暴露等相關(guān)風(fēng)險(xiǎn)

 5.關(guān)聯(lián)拓線及溯源追蹤

對(duì)內(nèi)外部安全事件中的域名/IP/Hash進(jìn)行關(guān)聯(lián)分析，通過(guò)域名的PassiveDNS以及Whois等數(shù)據(jù)，發(fā)現(xiàn)背后攻擊者的姓名、郵箱、手機(jī)號(hào)碼等真實(shí)或者虛擬身份

隨著業(yè)務(wù)形態(tài)升級(jí)和網(wǎng)絡(luò)應(yīng)用環(huán)境越來(lái)越復(fù)雜，企業(yè)需要應(yīng)對(duì)的BOT攻擊也將更加多樣化和復(fù)雜化，從而令企業(yè)面臨更大的安全風(fēng)險(xiǎn)與挑戰(zhàn)。為了有效封堵薅羊毛、信息爬取等互聯(lián)網(wǎng)中存在的大量惡意BOT攻擊，德迅云圖（威脅檢測(cè)與分析）持續(xù)升級(jí)人機(jī)識(shí)別算法，并結(jié)合安全情報(bào)建立精準(zhǔn)畫(huà)像，有效封堵惡意BOT攻擊，幫助用戶構(gòu)建積極主動(dòng)的安全防御體系，進(jìn)一步提升Web應(yīng)用防護(hù)水平。