【独家解读】2018 恶意机器流量报告

Distil Networks 对 2017 年网络数千个域名,上千亿次的访问进行分析,发布了一份《2018 恶意机器流量报告》(2018 Bad Bot Report),防水墙团队对报告进行了翻译和解读,以下为报告的主要内容:

1 什么是恶意机器流量

报告指出,2017年间,42.2%的互联网流量来自于“机器人”(Bots),而非真实用户。事实上,“机器人”指的是互联网上的爬虫、自动机或者是模拟器。部分“机器人”流量来自于搜索引擎爬虫、自动更新的RSS订阅服务器等,他们是良性的,属于正常机器流量(Good Bots)。

另外一部分由恶意爬虫、自动机、模拟器等产生,伪造真实用户发起的请求,属于恶意机器流量(Bad Bots)。这些流量通过在应用层攻击网站、App或是API,以达到获利的目的,同时也会对企业造成经济上的巨大损失。恶意流量具有三大特点:

1、 无论是网站、移动App,还是简单的API,互联网所有的产品都面临着经常性的恶意机器流量轰炸攻击。

2、 肆虐的恶意机器流量每时每刻都在对企业造成经济损失,和其他黑产攻击相比,机器流量的攻击是持续的,不像数据泄漏等偶然性安全事件。

3、 恶意机器流量往往有明确的攻击目标,了解黑产攻击的目标才能解决安全问题。

2 利益驱动恶意流量逐年上升至21.8%

安全对抗促使攻击手段进化

报告称,2017年全球互联网有42.2%的互联网流量并非由真实用户发出。

图1. 2017年互联网流量分布

恶意机器流量占据所有流量的21.8%,同比增长9.5%;正常机器流量占据所有流量的20.4%,同比增长8.8%。自 2015 年以来,恶意机器访问占比逐年升高

图2. 互联网流量分布变化趋势

恶意机器请求会通过使用模拟器、伪造浏览器环境、变换不同 ISP 下的 IP 地址等方式,来躲避安全人员的检测。Distil Networks 根据网络环境、使用工具、是否模拟人类交互等特征,将请求分为几类:

简单的恶意请求(26%)很容易被发现,不会造成太大威胁。

中等(21.2%)和专业(52.8)的恶意请求往往会变换不同的网络环境,甚至伪造鼠标轨迹、点击等用户交互事件来躲避检测。他们都能归类为高级持续型自动机(APBs),类比传统应用安全的 APT(高级持续性威胁)。

图3. 恶意机器请求类型占比

3 针对电商、医疗、航司行业的

恶意流量攻击专业化明显

每个行业都会面临恶意机器流量威胁,这些威胁既有通用的,也有一些是行业独有的。例如:帐号场景平均每月会面临两到三次自动化撞库攻击、电商网站面临竞争对手爬取价格恶意竞价,航空公司面临黄牛囤积特价席位等。

报告指出,恶意流量最多的行业依次是:在线博彩、航司、金融、医疗、票务。其中电商、医疗、航司行业的恶意机器流量专业化程度最高,有超过1/5的恶意机器请求达到专业水准。这也符合防水墙观察到的情况——电商、航司场景的爬虫、自动机对抗非常激烈,黑产攻击也更为专业化。

图4. 各行业面临的机器请求威胁

4 大公司面临的恶意机器流量威胁更为严峻

相较于小型和微型公司,大型公司面临的恶意机器流量比例更高。一方面因为攻击大型公司的收益更高,黑产往往更加青睐于大型公司;另一方面,搜索引擎爬虫的爬取机制不会因公司大小而产生较大差别,所以小公司会收到几乎等量的正常机器请求,小公司的体量较小,会有较大的占比。

图5. 各类型公司恶意/正常机器请求比例

图中区分不同类型公司的分类标准

大型网站:Alexa前10000

中型网站:Alexa 10000-50000

小型网站:Alexa 50000-150000

微型网站:Alexa 150000+

5 云服务高速发展推动黑产上云 使攻击更低成本、更规模化

2017年,82.7% 的恶意机器流量来自于中心化的服务提供商(云服务商),相较于 2016 年的数据(60.1%),增长超过三分之一。家用网络的比例大大降低,从 2016 年的 30.5% 腰斩至 14.8%。

图6. 恶意机器流量网络环境分布

从服务提供商比例来看,亚马逊云服务 AWS 首次跌下第一,占 10.62% 跌至第二。拿下第一接力棒的是法国云服务商 OVH Hosting,从 2016 年的 3.94% 暴涨至 2017 年的 11.56%,同比增长率高达 194%,足足翻了 3 倍。更史无前例的是,阿里云挤进前三,贡献了 5.64% 的恶意机器流量。

图7. 云服务商恶意流量来源排名

仅看移动端的情况,中国电信广东分公司、中国移动、中国电信浙江分公司挤进前 10。其中中国电信广东分公司更是力压美国第一大电信运营商 AT&T,夺得第一。高昂成本是限制移动恶意机器流量大规模应用的主要因素。

图8. 运营商恶意流量来源排名

6 中国恶意机器流量爆发性增长 已是全球第二

中国的恶意机器流量爆发性增长,流量规模从 2015 年的第 7 名上升到 2017 年的第 2 名,增长迅速。

图9. 国家/地区恶意机器流量规模排名

7 撞库攻击行为规模化、例行化 平均每月 2-3 次攻击

根据 Distil Network 的调查数据,每当有新网站被脱库,或发生泄漏事件后,撞库攻击发生的频率便会提升 3 倍。一般而言,一个网站每月平均会遭遇 2-3 次撞库攻击。

附: 原版英文报告地址

https://resources.distilnetworks.com/

面对日益严峻的恶意机器请求威胁,腾讯防水墙一直在努力提供更优质的技术解决方案,为广大客户的业务安全保驾护航。

想了解更前沿的安全资讯,请关注腾讯防水墙。

原文发布于微信公众号 - 腾讯防水墙(tencent_fsq)

原文发表时间:2018-06-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏小程序制作

站在风口猪都能飞起来 微信小程序代理这个风口你抓住了吗?

   愿意花时间看我这篇文章的人,大家都应该知道微信小程序,但是,除了微信小程序之后,你知道支付宝小程序?淘宝小程序?谷歌小程序?还有手机厂商推出的快应用吗?

5576
来自专栏镁客网

人工智能和自动化有区别吗? | 拔刺

自动化这个概念,是由福特汽车公司的机械工程师哈德在1946年的时候提出。理论上自动化是指机械设备系统或整个生产管理过程,在尽可能少用人的情况下,按照既定要求自动...

983
来自专栏腾讯研究院的专栏

牛津Rogier:分享链接的版权司法实践

11月22-23日,由腾讯互联网与社会研究院发起并联合北京大学法学院、斯坦福大学法学院、牛津大学法学院联合举办的第三届“2014北大-斯坦福-牛津:互联网法...

3506
来自专栏腾讯研究院的专栏

大数据对信息安全:“惹祸”同时有巨额价值

  如果担心被发现,最好不要去做这件事。”谷歌公司高管这样回答关于防止隐私泄露的询问。   在《第一财经日报》记者参加的2014年中国计算机大会(CNCC...

3707
来自专栏人工智能快报

对抗恶意软件,人工智能将发挥更大作用

国外知名信息技术网站eweek.com发表文章,称人工智能将在对抗恶意软件方面发挥更大作用。 人工智能正在对抗恶意软件中发挥更大的作用。但它不是万无一失的,因为...

36010
来自专栏安恒信息

扛起工具箱走出安全合规之路

习近平总书记指出:“没有网络安全,就没有国家安全”。网络与信息安全已经被定义为继海陆空天后的第五空间安全,对于国家安全的战略性意义,十二五规划纲要高度强调了网络...

3635
来自专栏FreeBuf

观点 | 浅谈信息安全建设与ISO27001体系的结合

公司安全部门成立的较晚(目前就我一个人负责),高层领导也对信息安全没有什么认识,甚至连安全策略和针对性的法律法规文件都没有,但是运营侧小伙伴却兴致勃勃的搞起了I...

1262
来自专栏人称T客

Gartner:2018年WIFI将成办公主流 2020年企业手机增长 2018企业自行编写移动代码

国际研究暨顾问机构 Gartner 表示,未来将会有愈来愈多人透过移动设备首次使用通讯与内容消费功能。新兴市场用户多半以智能手机当作唯一的移动设备,而在已开发国...

3327
来自专栏企鹅号快讯

2018年的5个网络安全趋势

我们必须认识到,尽管机器学习、深度学习、人工智能等新兴技术将成为未来网络防御的基石,但我们的对手一直不断地改进和创新。 反病毒软件厂商McAfee公司最新推出的...

32110
来自专栏喔家ArchiSelf

老码农看到的技术债务

关于技术债务的讨论时而蔓延时而消退,技术债务仿佛是个筐,什么东西都可以往里装,然而当我们企图倒光筐里东西的时候,却发现每人看到的东西都不一样,甚至有时候都数不清...

1833

扫码关注云+社区

领取腾讯云代金券