殿上欢,欢乐颂,小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

淺談基于設(shè)備指紋的網(wǎng)絡(luò)安全機(jī)器防御系統(tǒng)

1.序言

自2010年起，整個(gè)互聯(lián)網(wǎng)進(jìn)入到了全新的時(shí)代，尤其是隨著移動(dòng)互聯(lián)網(wǎng)快速發(fā)展，在給用戶帶來(lái)了隨時(shí)隨地享受金融服務(wù)便利的同時(shí)，也給一些不法分子有了可乘之機(jī)，隨著“黑灰產(chǎn)”產(chǎn)業(yè)鏈的發(fā)展和成熟，網(wǎng)絡(luò)黑灰產(chǎn)已不再局限于半公開化的純攻擊模式，而是悄然轉(zhuǎn)化為斂財(cái)工具和商業(yè)競(jìng)爭(zhēng)的不良手段，利用網(wǎng)絡(luò)機(jī)器人（網(wǎng)絡(luò)程序或者自動(dòng)化工具）進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)爬取，成為了比較普遍的手段。更有甚者，利用網(wǎng)絡(luò)機(jī)器人進(jìn)行撞庫(kù)、刷單、惡意注冊(cè)等行為也逐步盛行。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名注冊(cè)、虛擬空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、巴里坤哈薩克網(wǎng)站維護(hù)、網(wǎng)站推廣。

圖1

2.互聯(lián)網(wǎng)應(yīng)用的攻與防

2.1 互聯(lián)網(wǎng)應(yīng)用安全防御

隨著業(yè)務(wù)規(guī)模迅猛發(fā)展，同時(shí)也伴隨著金融與科技的深度融合，使得銀行各類互聯(lián)網(wǎng)應(yīng)用也持續(xù)增長(zhǎng)。在提升效率、為客戶帶來(lái)便利的同時(shí)，也不斷考驗(yàn)銀行的安全防御體系。從傳統(tǒng)的安全領(lǐng)域到業(yè)務(wù)層安全防范也在不斷更迭演進(jìn)。

傳統(tǒng)安全防御：從抗DDoS、網(wǎng)絡(luò)防火墻、IDS （入侵檢測(cè)系統(tǒng)）、全流量檢測(cè)到WAF（應(yīng)用防火墻），傳統(tǒng)安全體系提供了基于網(wǎng)絡(luò)協(xié)議棧的全方位防護(hù)。
業(yè)務(wù)層安全防御：一些業(yè)務(wù)密集型的場(chǎng)景，例如對(duì)支付欺詐的甄別、貸款平臺(tái)對(duì)申請(qǐng)欺詐的甄別，業(yè)務(wù)方需要建立完善的業(yè)務(wù)層防御體系。

隨著安全防御手段的不斷更迭，新的問(wèn)題也不斷涌現(xiàn)。而面對(duì)新問(wèn)題的出現(xiàn)，傳統(tǒng)的防御體系顯得應(yīng)對(duì)不足。

網(wǎng)絡(luò)機(jī)器人的行為并非傳統(tǒng)安全體系的防御對(duì)象。網(wǎng)絡(luò)機(jī)器人的訪問(wèn)行為，在傳統(tǒng)安全體系的視角下和正常人的訪問(wèn)無(wú)異，無(wú)法進(jìn)行有效應(yīng)對(duì)。
旨在解決業(yè)務(wù)安全的業(yè)務(wù)層安全防御也無(wú)法透視網(wǎng)絡(luò)機(jī)器人的行為特征。業(yè)務(wù)層安全防御面向業(yè)務(wù)層用戶行為，不能從網(wǎng)絡(luò)層捕捉到網(wǎng)絡(luò)機(jī)器人的完整訪問(wèn)脈絡(luò)，無(wú)法有效應(yīng)對(duì)網(wǎng)絡(luò)機(jī)器人的暴力訪問(wèn)。

2.2 網(wǎng)絡(luò)機(jī)器人（Bots）現(xiàn)狀與影響

網(wǎng)絡(luò)機(jī)器人，是一種按照一定的規(guī)則，自動(dòng)地抓取網(wǎng)絡(luò)信息的程序或者腳本。隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)機(jī)器人也越來(lái)越普遍。50%的網(wǎng)絡(luò)流量來(lái)自網(wǎng)絡(luò)機(jī)器人，遍布各類網(wǎng)站，如票務(wù)類、電商類、招聘類、金融類、政府類、社交類等。

網(wǎng)絡(luò)機(jī)器人帶來(lái)種種負(fù)面影響：網(wǎng)絡(luò)機(jī)器人，是一種按照一定的規(guī)則，自動(dòng)地抓取網(wǎng)絡(luò)信息的程序或者腳本。隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)機(jī)器人也越來(lái)越普遍。50%的網(wǎng)絡(luò)流量來(lái)自網(wǎng)絡(luò)機(jī)器人，遍布各類網(wǎng)站，如票務(wù)類、電商類、招聘類、金融類、政府類、社交類等。網(wǎng)絡(luò)機(jī)器人帶來(lái)種種負(fù)面影響：

圖2

虛耗網(wǎng)絡(luò)資源，無(wú)效益轉(zhuǎn)化；
暴力流量，降低系統(tǒng)穩(wěn)定性；
影響正?？蛻粼L問(wèn)，增加運(yùn)營(yíng)成本；
未經(jīng)授權(quán)，二次利用網(wǎng)站數(shù)據(jù)，影響數(shù)據(jù)發(fā)布權(quán)威性；
爬取產(chǎn)品信息、價(jià)格信息，不正當(dāng)競(jìng)爭(zhēng)；
混淆用戶生態(tài)，影響營(yíng)銷分析。

2.3 網(wǎng)絡(luò)機(jī)網(wǎng)絡(luò)機(jī)器人（Bots）應(yīng)對(duì)與防范

應(yīng)對(duì)網(wǎng)絡(luò)機(jī)器人，必須了解網(wǎng)絡(luò)機(jī)器人。根據(jù)網(wǎng)絡(luò)機(jī)器人的原理，可以分為普通網(wǎng)絡(luò)機(jī)器人和智能網(wǎng)絡(luò)機(jī)器人。普通網(wǎng)絡(luò)機(jī)器人通過(guò)模擬網(wǎng)絡(luò)請(qǐng)求直接獲取網(wǎng)頁(yè)資源，智能網(wǎng)絡(luò)機(jī)器人通過(guò)瀏覽器方式獲取網(wǎng)站資源。智能網(wǎng)絡(luò)機(jī)器人更加類似正常人的訪問(wèn)行為，識(shí)別防范難度更高。

圖3

受到網(wǎng)絡(luò)機(jī)器人侵害的網(wǎng)站也試圖采取應(yīng)對(duì)措施，卻往往達(dá)不到預(yù)期效果。

依托于傳統(tǒng)安全體系，基于防火墻攔截，無(wú)法奏效。

這種應(yīng)對(duì)方式需要持續(xù)投入人力分析日志，應(yīng)對(duì)速度不足；

規(guī)則簡(jiǎn)單，容易被繞開；

簡(jiǎn)單粗暴的IP攔截誤傷嚴(yán)重。

業(yè)務(wù)層關(guān)鍵節(jié)點(diǎn)嵌入驗(yàn)證碼，無(wú)法奏效。

業(yè)務(wù)層缺乏網(wǎng)絡(luò)機(jī)器人訪問(wèn)的全量信息，不足以解決問(wèn)題；

業(yè)務(wù)層解決網(wǎng)絡(luò)機(jī)器人問(wèn)題成本高，與業(yè)務(wù)層耦合性強(qiáng)，難維護(hù)；

對(duì)用戶無(wú)差異的驗(yàn)證碼，用戶體驗(yàn)差。

圖4

應(yīng)對(duì)網(wǎng)絡(luò)機(jī)器人的暴力訪問(wèn)，一套行之有效的解決方案，必須能夠同時(shí)兼顧多方面。

基于網(wǎng)絡(luò)全流量，大數(shù)據(jù)量，長(zhǎng)周期行為分析做決策；
對(duì)業(yè)務(wù)系統(tǒng)低影響，與業(yè)務(wù)層松耦合；
對(duì)網(wǎng)絡(luò)機(jī)器人的行為能即時(shí)識(shí)別、即時(shí)控制；動(dòng)態(tài)防范、持續(xù)有效。

3.構(gòu)建基于設(shè)備指紋的網(wǎng)絡(luò)安全防御系統(tǒng)

從成本、效率和收益的平衡點(diǎn)出發(fā)，結(jié)合設(shè)備指紋、人機(jī)識(shí)別和機(jī)器學(xué)習(xí)等技術(shù)構(gòu)建機(jī)器防御系統(tǒng)，計(jì)算各類行為指標(biāo)；實(shí)時(shí)決策引擎將行為指標(biāo)與反Bots模型匹配，得出決策結(jié)果，與訪問(wèn)者信息和設(shè)備指紋一并存入緩存；業(yè)務(wù)鏈路中的管控組件（如WAF或其他風(fēng)控組件）讀取緩存信息，以決定放行或攔截。

圖5

3.1 機(jī)器防御系統(tǒng)工作流

訪問(wèn)者發(fā)起對(duì)銀行官網(wǎng)站的訪問(wèn)。
機(jī)器防御流量鏡像組件將網(wǎng)絡(luò)請(qǐng)求復(fù)制一份送給流立方（流式大數(shù)據(jù)平臺(tái)）計(jì)算各類行為指標(biāo)。
實(shí)時(shí)決策引擎將行為指標(biāo)與反爬蟲模型匹配，得出決策結(jié)果并存入緩存。
可以通過(guò)串聯(lián)在主訪問(wèn)鏈路上的管控組件（如WAF或其他風(fēng)控組件），根據(jù)訪問(wèn)者的信息和設(shè)備指紋從緩存中讀取決策結(jié)果，來(lái)決定是放行還是采用何種攔截措施。

3.2設(shè)備指紋技術(shù)

設(shè)備指紋是網(wǎng)絡(luò)自動(dòng)化攻擊防御方案中非常重要的技術(shù)。無(wú)論是普通網(wǎng)絡(luò)機(jī)器人或智能網(wǎng)絡(luò)機(jī)器人，都必須依托于相關(guān)設(shè)備運(yùn)行。

設(shè)備指紋技術(shù)，可采集設(shè)備（如PC或移動(dòng)設(shè)備）的諸多屬性，按照一定的算法生成該設(shè)備唯一的“指紋”。通過(guò)識(shí)別唯一的設(shè)備，結(jié)合一定的行為分析規(guī)則，來(lái)識(shí)別網(wǎng)絡(luò)機(jī)器人。

圖6

設(shè)備指紋采集方式主要有以下三種：

主動(dòng)采集技術(shù)可保證高精準(zhǔn)性，但防篡改能力較弱，穩(wěn)定性較差；
被動(dòng)采集技術(shù)通過(guò)較強(qiáng)的防篡改能力，可保證高穩(wěn)定性，但準(zhǔn)確性較差。
主、被動(dòng)采集技術(shù)相結(jié)合，通過(guò)采集瀏覽器、設(shè)備、網(wǎng)絡(luò)協(xié)議、程序等四重維度的采集要素，通過(guò)大數(shù)據(jù)運(yùn)維不斷優(yōu)化各采集要素的置信度區(qū)間，并基于條件概率、聯(lián)合概率、置信度傳播等數(shù)學(xué)理論，將計(jì)算得出的最終置信度與信任臨界值匹配，確保極高精準(zhǔn)性的同時(shí)，顯著提升穩(wěn)定性。

3.2.1 精準(zhǔn)性

使用JS腳本、移動(dòng)端SDK、小程序組件，通過(guò)主動(dòng)采集要素與OSI網(wǎng)絡(luò)協(xié)議全棧被動(dòng)采集要素相結(jié)合，能夠準(zhǔn)確識(shí)別設(shè)備；通過(guò)多重要素采集，結(jié)合條件概率、聯(lián)合概率以及置信度算法，能夠唯一辨識(shí)設(shè)備。在滿足大多數(shù)場(chǎng)景下，能夠?yàn)槊颗_(tái)移動(dòng)設(shè)備生成唯一的設(shè)備指紋；能夠?yàn)槊恳环NPC瀏覽器內(nèi)核生成同一設(shè)備指紋；能夠保證同一指紋能穩(wěn)定對(duì)應(yīng)同一臺(tái)設(shè)備。

3.2.2 穩(wěn)定性

設(shè)備指紋穩(wěn)定性指同一設(shè)備唯一識(shí)別，不會(huì)隨著空間、時(shí)間變化而改變，指紋識(shí)別采用多維度，多數(shù)據(jù)的比較，通過(guò)多要素置信度綜合決策算法，有效的減少了因?yàn)椴糠志S度篡改或獲取異常對(duì)設(shè)備指紋精度的影響，可靠保證設(shè)備指紋在刷機(jī)、升級(jí)、甚至通過(guò)黑產(chǎn)軟件修改后，設(shè)備指紋保持不變。

3.2.3 安全性

設(shè)備指紋網(wǎng)絡(luò)傳輸使用外碼加密，加密算法動(dòng)態(tài)變更，過(guò)期時(shí)間靈活可配，有效保障設(shè)備指紋安全性。

設(shè)備指紋服務(wù)在前后端全方位提供了安全性的保護(hù)。

SDK端：包括IOS/Android/Web/Wap

SDK代碼防護(hù)代碼

動(dòng)態(tài)混淆：動(dòng)態(tài)語(yǔ)義級(jí)混淆、符號(hào)混淆相結(jié)合

靜態(tài)庫(kù)集成

采集要素報(bào)文加密，確保設(shè)備要素安全傳輸

Get請(qǐng)求參數(shù)加密

Post請(qǐng)求體加密

接口調(diào)用的驗(yàn)簽算法動(dòng)態(tài)更新，報(bào)文防篡改

設(shè)備指紋服務(wù)端：

內(nèi)/外碼相結(jié)合，外碼用于互聯(lián)網(wǎng)傳輸，內(nèi)碼用于業(yè)務(wù)系統(tǒng)使用及可信服務(wù)傳輸

外碼具有動(dòng)態(tài)的過(guò)期時(shí)間，有效防止重發(fā)、盜用

支持安全傳輸層協(xié)議

設(shè)備指紋服務(wù)具有動(dòng)態(tài)反欺詐功能和內(nèi)置簡(jiǎn)單規(guī)則

圖7

作為設(shè)備指紋兩個(gè)重要的衡量標(biāo)準(zhǔn)，準(zhǔn)確性和穩(wěn)定性是兩個(gè)極致的標(biāo)準(zhǔn)。精準(zhǔn)性和穩(wěn)定性是衡量設(shè)備指紋生成技術(shù)先進(jìn)性的核心標(biāo)準(zhǔn)，其中準(zhǔn)確性更是設(shè)備指紋技術(shù)產(chǎn)品的使用前提。在真實(shí)業(yè)務(wù)場(chǎng)景中，往往采用在準(zhǔn)確性優(yōu)先為基礎(chǔ)的情況下，以能夠最大穩(wěn)定識(shí)別設(shè)備作為最優(yōu)選擇。

3.3 人機(jī)識(shí)別技術(shù)

人機(jī)識(shí)別通過(guò)點(diǎn)擊行為分析判處，識(shí)別出程序或者自動(dòng)化工具點(diǎn)擊行為，是應(yīng)對(duì)智能網(wǎng)絡(luò)機(jī)器人的重要技術(shù)。

3.4 機(jī)器學(xué)習(xí)

基于時(shí)間窗口移動(dòng)的動(dòng)態(tài)數(shù)據(jù)快速處理技術(shù)，它可支持計(jì)數(shù)、求和、平均、最大、最小、方差、標(biāo)準(zhǔn)差、K階中心矩、遞增/遞減、最大連續(xù)遞增/遞減、唯一性判別、采集、過(guò)濾等多種分布式實(shí)時(shí)計(jì)算模型。

圖8

3.5 規(guī)則平臺(tái)

網(wǎng)絡(luò)自動(dòng)化攻擊防御的全部策略均可以通過(guò)規(guī)則平臺(tái)實(shí)現(xiàn)。利用規(guī)則平臺(tái)，可制定的規(guī)則類型包括：設(shè)備信息類規(guī)則、代理IP類規(guī)則、行為異常類規(guī)則、黑白名單規(guī)則及UA識(shí)別規(guī)則等。

圖9

4.總結(jié)

通過(guò)在網(wǎng)站頁(yè)面或移動(dòng)端APP中集成設(shè)備指紋腳本，收集物理設(shè)備和終端環(huán)境的多重信息，快速生成設(shè)備唯一識(shí)別碼，并對(duì)于常見黑產(chǎn)所使用的改機(jī)框架、改機(jī)軟件、偽裝軟件，以及虛擬機(jī)、模擬器、代理偵測(cè)等都能做到有針對(duì)性的識(shí)別，構(gòu)建客戶身份和所使用設(shè)備對(duì)應(yīng)關(guān)系，判斷交易可信度，實(shí)現(xiàn)互聯(lián)網(wǎng)風(fēng)險(xiǎn)防范自動(dòng)化，從而準(zhǔn)確的定位風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)，降低可能的損失。

為解決不同業(yè)務(wù)場(chǎng)景下網(wǎng)絡(luò)機(jī)器人未授權(quán)訪問(wèn)和信息爬取等問(wèn)題，采用高效流式大數(shù)據(jù)處理引擎，實(shí)時(shí)處理海量業(yè)務(wù)請(qǐng)求，結(jié)合不同業(yè)務(wù)場(chǎng)景特點(diǎn)，定制不同業(yè)務(wù)異常行為檢測(cè)規(guī)則，并輔以設(shè)備指紋技術(shù)、代理偵測(cè)技術(shù)、人機(jī)識(shí)別技術(shù)，實(shí)現(xiàn)多層次多維度的網(wǎng)絡(luò)機(jī)器人識(shí)別與防范。為各業(yè)務(wù)部門提供支撐與服務(wù)，實(shí)時(shí)無(wú)感知地進(jìn)行機(jī)器訪問(wèn)行為識(shí)別與攔截，對(duì)于保護(hù)我行業(yè)務(wù)與用戶的敏感信息不泄露、維護(hù)銀行商業(yè)利益與信譽(yù)、提升用戶服務(wù)質(zhì)量和滿意度等方面，具有重大的意義。

名稱欄目：淺談基于設(shè)備指紋的網(wǎng)絡(luò)安全機(jī)器防御系統(tǒng)
本文路徑：http://m.fisionsoft.com.cn/article/dhcegcd.html