獨家解讀 | 2018 惡意機器流量報告

本文轉載自查看原文 2018-06-28 09:39 805 惡意流量

Distil Networks 對 2017 年網絡數千個域名，上千億次的訪問進行分析，發布了一份《2018 惡意機器流量報告》（2018 Bad Bot Report），防水牆團隊對報告進行了翻譯和解讀，以下為報告的主要內容：

1 什么是惡意機器流量

報告指出，2017年間，42.2%的互聯網流量來自於“機器人”（Bots），而非真實用戶。事實上，“機器人”指的是互聯網上的爬蟲、自動機或者是模擬器。部分“機器人”流量來自於搜索引擎爬蟲、自動更新的RSS訂閱服務器等，他們是良性的，屬於正常機器流量（Good Bots）。

另外一部分由惡意爬蟲、自動機、模擬器等產生，偽造真實用戶發起的請求，屬於惡意機器流量（Bad Bots）。這些流量通過在應用層攻擊網站、App或是API，以達到獲利的目的，同時也會對企業造成經濟上的巨大損失。惡意流量具有三大特點：

1、無論是網站、移動App，還是簡單的API，互聯網所有的產品都面臨着經常性的惡意機器流量轟炸攻擊。

2、肆虐的惡意機器流量每時每刻都在對企業造成經濟損失，和其他黑產攻擊相比，機器流量的攻擊是持續的，不像數據泄漏等偶然性安全事件。

3、惡意機器流量往往有明確的攻擊目標，了解黑產攻擊的目標才能解決安全問題。

2 利益驅動惡意流量逐年上升至21.8%

安全對抗促使攻擊手段進化

報告稱，2017年全球互聯網有42.2%的互聯網流量並非由真實用戶發出。

圖1. 2017年互聯網流量分布

惡意機器流量占據所有流量的21.8%，同比增長9.5%；正常機器流量占據所有流量的20.4%，同比增長8.8%。自 2015 年以來，惡意機器訪問占比逐年升高。

圖2. 互聯網流量分布變化趨勢

惡意機器請求會通過使用模擬器、偽造瀏覽器環境、變換不同 ISP 下的 IP 地址等方式，來躲避安全人員的檢測。Distil Networks 根據網絡環境、使用工具、是否模擬人類交互等特征，將請求分為幾類：

簡單的惡意請求（26%）很容易被發現，不會造成太大威脅。

中等（21.2%）和專業（52.8）的惡意請求往往會變換不同的網絡環境，甚至偽造鼠標軌跡、點擊等用戶交互事件來躲避檢測。他們都能歸類為高級持續型自動機（APBs），類比傳統應用安全的 APT（高級持續性威脅）。

圖3. 惡意機器請求類型占比

3 針對電商、醫療、航司行業的

惡意流量攻擊專業化明顯

每個行業都會面臨惡意機器流量威脅，這些威脅既有通用的，也有一些是行業獨有的。例如：帳號場景平均每月會面臨兩到三次自動化撞庫攻擊、電商網站面臨競爭對手爬取價格惡意競價，航空公司面臨黃牛囤積特價席位等。

報告指出，惡意流量最多的行業依次是：在線博彩、航司、金融、醫療、票務。其中電商、醫療、航司行業的惡意機器流量專業化程度最高，有超過1/5的惡意機器請求達到專業水准。這也符合防水牆觀察到的情況——電商、航司場景的爬蟲、自動機對抗非常激烈，黑產攻擊也更為專業化。

圖4. 各行業面臨的機器請求威脅

4 大公司面臨的惡意機器流量威脅更為嚴峻

相較於小型和微型公司，大型公司面臨的惡意機器流量比例更高。一方面因為攻擊大型公司的收益更高，黑產往往更加青睞於大型公司；另一方面，搜索引擎爬蟲的爬取機制不會因公司大小而產生較大差別，所以小公司會收到幾乎等量的正常機器請求，小公司的體量較小，會有較大的占比。

圖5. 各類型公司惡意/正常機器請求比例

圖中區分不同類型公司的分類標准

大型網站：Alexa前10000

中型網站：Alexa 10000-50000

小型網站：Alexa 50000-150000

微型網站：Alexa 150000+

5 雲服務高速發展推動黑產上雲使攻擊更低成本、更規模化

2017年，82.7% 的惡意機器流量來自於中心化的服務提供商（雲服務商），相較於 2016 年的數據（60.1%），增長超過三分之一。家用網絡的比例大大降低，從 2016 年的 30.5% 腰斬至 14.8%。

圖6. 惡意機器流量網絡環境分布

從服務提供商比例來看，亞馬遜雲服務 AWS 首次跌下第一，占 10.62% 跌至第二。拿下第一接力棒的是法國雲服務商 OVH Hosting，從 2016 年的 3.94% 暴漲至 2017 年的 11.56%，同比增長率高達 194%，足足翻了 3 倍。更史無前例的是，阿里雲擠進前三，貢獻了 5.64% 的惡意機器流量。