獨家解讀 | 2018 惡意機器流量報告

時間 2019-11-25

標籤獨家解讀惡意機器流量報告简体版

原文原文鏈接

本文由騰訊防水牆發表在騰訊雲+社區瀏覽器

Distil Networks 對 2017 年網絡數千個域名，上千億次的訪問進行分析，發佈了一份《2018 惡意機器流量報告》（2018 Bad Bot Report），防水牆團隊對報告進行了翻譯和解讀，如下爲報告的主要內容：安全

1 什麼是惡意機器流量

報告指出，2017年間，42.2%的互聯網流量來自於「機器人」（Bots），而非真實用戶。事實上，「機器人」指的是互聯網上的爬蟲、自動機或者是模擬器。部分「機器人」流量來自於搜索引擎爬蟲、自動更新的RSS訂閱服務器等，他們是良性的，屬於正常機器流量（Good Bots）。服務器

另一部分由惡意爬蟲、自動機、模擬器等產生，僞造真實用戶發起的請求，屬於惡意機器流量（Bad Bots）。這些流量經過在應用層攻擊網站、App或是API，以達到獲利的目的，同時也會對企業形成經濟上的巨大損失。惡意流量具備三大特色：微信

一、不管是網站、移動App，仍是簡單的API，互聯網全部的產品都面臨着常常性的惡意機器流量轟炸攻擊。網絡

二、肆虐的惡意機器流量每時每刻都在對企業形成經濟損失，和其餘黑產攻擊相比，機器流量的攻擊是持續的，不像數據泄漏等偶然性安全事件。工具

三、惡意機器流量每每有明確的攻擊目標，瞭解黑產攻擊的目標才能解決安全問題。網站

2 利益驅動惡意流量逐年上升至21.8%

安全對抗促使攻擊手段進化ui

報告稱，2017年全球互聯網有42.2%的互聯網流量並不是由真實用戶發出。搜索引擎

圖1. 2017年互聯網流量分佈阿里雲

惡意機器流量佔據全部流量的21.8%，同比增加9.5%；正常機器流量佔據全部流量的20.4%，同比增加8.8%。自 2015 年以來，惡意機器訪問佔比逐年升高。

圖2. 互聯網流量分佈變化趨勢

惡意機器請求會經過使用模擬器、僞造瀏覽器環境、變換不一樣 ISP 下的 IP 地址等方式，來躲避安全人員的檢測。Distil Networks 根據網絡環境、使用工具、是否模擬人類交互等特徵，將請求分爲幾類：

**簡單的惡意請求（26%）**很容易被發現，不會形成太大威脅。

中等（21.2%）和專業（52.8）的惡意請求每每會變換不一樣的網絡環境，甚至僞造鼠標軌跡、點擊等用戶交互事件來躲避檢測。他們都能歸類爲高級持續型自動機（APBs），類比傳統應用安全的 APT（高級持續性威脅）。

圖3. 惡意機器請求類型佔比

3 針對電商、醫療、航司行業的

惡意流量攻擊專業化明顯

每一個行業都會面臨惡意機器流量威脅，這些威脅既有通用的，也有一些是行業獨有的。例如：賬號場景平均每個月會面臨兩到三次自動化撞庫攻擊、電商網站面臨競爭對手爬取價格惡意競價，航空公司面臨黃牛囤積特價席位等。

報告指出，惡意流量最多的行業依次是：在線博彩、航司、金融、醫療、票務。其中電商、醫療、航司行業的惡意機器流量專業化程度最高，有超過1/5的惡意機器請求達到專業水準。這也符合防水牆觀察到的狀況——電商、航司場景的爬蟲、自動機對抗很是激烈，黑產攻擊也更爲專業化。

圖4. 各行業面臨的機器請求威脅

4 大公司面臨的惡意機器流量威脅更爲嚴峻

相較於小型和微型公司，大型公司面臨的惡意機器流量比例更高。一方面由於攻擊大型公司的收益更高，黑產每每更加青睞於大型公司；另外一方面，搜索引擎爬蟲的爬取機制不會因公司大小而產生較大差異，因此小公司會收到幾乎等量的正常機器請求，小公司的體量較小，會有較大的佔比。

圖5. 各種型公司惡意/正常機器請求比例

圖中區分不一樣類型公司的分類標準

大型網站：Alexa前10000

中型網站：Alexa 10000-50000

小型網站：Alexa 50000-150000

微型網站：Alexa 150000+

5 雲服務高速發展推進黑產上雲使攻擊更低成本、更規模化

2017年，82.7% 的惡意機器流量來自於中心化的服務提供商（雲服務商），相較於 2016 年的數據（60.1%），增加超過三分之一。家用網絡的比例大大下降，從 2016 年的 30.5% 腰斬至 14.8%。

圖6. 惡意機器流量網絡環境分佈

從服務提供商比例來看，亞馬遜雲服務 AWS 首次跌下第一，佔 10.62% 跌至第二。拿下第一接力棒的是法國雲服務商 OVH Hosting，從 2016 年的 3.94% 暴漲至 2017 年的 11.56%，同比增加率高達 194%，足足翻了 3 倍。更前所未有的是，阿里雲擠進前三，貢獻了 5.64% 的惡意機器流量。