知彼知己,百战不殆

导航

对抗恶意机器人/自动化行为的新思路与方案

 

   登录博客园时,看到的界面是左边这样的,验证码错了一次之后就变得更加扭曲了。

  以前博客园不会在第一次访问页面的时候弹出验证码来,这样的体验很不好。

  验证码作为防机器人的标准套件,已经在无数场合被证实有效。

  当然简单易识别的验证码,OCR就可以搞定,然后机器人该来的来。

  复杂一点的验证码,歪歪曲曲的连正常用户都看不清,效果并不好。

  后来出现的滑动验证码、点击图片的验证码,用户体验和安全性都得到了巨大的提升。

  随着图像识别精准率的大幅提高,12306曾经遇到过图库被遍历,再调用百度接口识别图片,饶过验证码的问题。

  即便安全领域做到顶尖水平的Google CAPTCHA就在不久前也被人破解过,有哪家敢说做得比Google还好呢?

  我只是不喜欢图形验证码,太麻烦了。然而对绝大多数团队来说,如果不用验证码是防不住机器人的。

 

国外研究Bot行为的公司Distil做得相当不错,还有一家公司叫ShapseSecurity可谓防机器人新技术的业界先驱。他们并没有使用一些很复杂的操作来做这件事情,而是深入到防机器人的场景和原理,从更底层的技术上Anti Bad Bot。

国内更普遍看到的是阿里云、同盾这样的从风控着手的解决方案,比如老外这家叫shieldsquare的公司我觉得思路也差不多,都需要基于海量大数据、云平台、信誉库或者嵌入到应用代码中。并不是说这些做法不好,但如果考虑这样一种场合:Bot使用的IP是多源分布的(10W级别)、请求的频率接近正常人甚至更低、没有任何攻击特征,除非是帐号关联了IP等信息限制异地操作,纯风控层面的解决方案并不理想。从业务层面来看,如果不在黑名单中且行为特征(频率、数据包)无明显异常,那么通过机器人进行批量注册/登录(云打码、短信猫池)、灌水刷评论、领取奖励这些行为,现有风控机制(设备指纹等)最起码是无法实时阻断的。最终你也许可以限制或冻结交易,但大量的虚假信息(比如信用卡申请场景)仍需人工处理,而这样的操作成本是高昂的(信用卡申请需要调用公安系统接口验证个人信息是否属实)。

现在介绍另一种思路和方案,它由国内安全创新公司瑞数信息率先实现(目前唯一)。技术原理上来说,它仍会用到诸如阿里云使用的设备指纹、用户行为信息采集、以及IP信誉库这样的方案,但这只是其中一个环节。在不谈威胁感知、动态智能这样的概念(瑞数也有)时,这个方案防机器人的步骤有四个:

1. 动态封装,对网页底层代码做持续变幻,隐藏页面中的表单信息、链接信息等,隐藏攻击入口。这个步骤可以直接干掉56%的Bot(详见Disktil报告)。

2. 动态取证,获取包括客户端指纹、用户行为记录等等信息,判断发起请求的是人还是机器,兼容市面上99%(保守估计)的浏览器。

3. 动态混淆,使用一次性的加密算法对用户发出的请求内容进行保护,有效阻止中间人攻击,伪造请求、恶意代码注入、窃听或窜改等行为。

4. 动态令牌,通过对当前页面内的合法请求地址授予一次性令牌,可保障攻击者无法绕过业务逻辑发出非法请求,可有效防御越权、重放、Web Shell、应用层DDoS等。

 

 

 

 

 

 

 

 

 

 

再说一下部署:

1. 置于应用服务器前作为反向代理,支持所有主流应用服务器。

2. 不用改服务器哪怕一行代码、一个配置,客户端无须装插件、控件。

3. 不基于特征识别和规则,%0误阻断,至于是否可能被绕过,我也不能说100%没有漏网之鱼。

4. 防护原理不依赖于海量大数据(如果有当然很好),用户数据不会被传到自己不可控的云端(都在本地)。

5. 如果是移动APP,Native代码需要集成SDK,HTML页面可直接防御。

 

如果要问我说这功能靠不靠谱、性能行不行,我只能说没经过测试你敢让产品上线么?

另外如果要问我,算法被逆向了怎么办,核心代码又不在客户端,Billion数量级别实时变幻的算法你去逆啊!

关于实现的技术难度,Idea也许很值钱,但在把它实现之前任何人都可以说这是自己的专利,其他公司做到了吗?

利益相关:碰巧领了公司老板好几个微信红包

欢迎交流^_^

 

posted on 2016-09-25 08:47  r00tgrok  阅读(2506)  评论(3编辑  收藏  举报