00:02
尊敬的线上嘉宾大家晚上好,欢迎来到原引擎云原生安全实战加速舱第二期的直播间,解密云原生安全如何应对新型boss攻击。我是今天的主持人,腾讯安全品牌营销经理陈娟娟。BOO流量呢,是指我们在互联网上对外部网站应用API接口,通过工具、脚本、程序或模拟等非人工手动操作访问的自动化程序流量,一般呢也被称为机器人流量,而恶意的boot流量呢,通过代理或者秒拨IP、手机群控等手段呢来爬取信息数据,抢刷接口、薅羊毛、外挂作弊等恶意攻击的行为,为业务呢带来的信息泄露、资金损失等风险,损害了网站和用户的利益。那腾讯安全团队发布的报告来显示,2022年上半年平均每月的BOT流量占整体流量的63%,恶意BOT流量呢占整体流量的27%,恶意BOT流量增长迅呃迅猛,然后多端混攻击目标呢,也从业务资源型的BOT逐步的切换到。
01:21
了针对业务类型的,API型的多端流量混杂,对的有非常较大的这样的一个要求。那本期呢,我们会以一个新型的BOT攻击的一个实际案例作为切入点,来邀请我们的腾讯安全的资深的专家带来应对新型BOT攻击解决方案和实操演练,学习了如何应对新型的BOT攻击。首先给大家隆重的去介绍我们今天线上分享的两位重量级的嘉宾,他们分别是腾讯安全高级产品经理赵思雨,腾讯全高级产品经理马子阳。非常感谢两位嘉宾的。
02:08
在两位大咖呢演讲开始之前提醒大家,在我们演演讲的中间呢,我们有为大家准备了丰富的礼品,我们呢将在踊跃参与互动的这个用户当中选出60位的幸运观众,欢迎大家呢能够积极参与的互动,我身后的这个背景上有我们此次活动的微信群的二维码,欢迎大家扫码进群参与我们之后的互动的环节。好的,首先我们来有请腾讯安全高级产品经理赵思为我们介绍流量管理应用场景和解决方案,有请。嗯,大家好,我是腾讯安全的赵思雨,非常荣幸今天能在线上和大家一块来分享我的一些解决方案,应用场景,那今天我要介绍的呢,就是呃,流量管理的这种场景和解决方案啊好,那我这里呢,也其实先抛砖引玉给大家从啊技术架构的层面先去做一个初步的沟通,那后面呢,我们还有专家会针对一些呃特定的一些场景,以及我们的实战的案例啊,包括最佳实践来给大家进行深入的介绍。
03:28
那我今天的这个汇报的内容呢,会从以下的几个方面来给大家啊,做一个汇报,首先是我们的趋势和防护,然后包括我们的几个方案,以及在不同场景下我们如何进行这样的一个呃最佳实践,包括我们有哪些客户案例。那么说到Bo的目前的现状,其实我觉得呃,各位在网络安全流量网络安全的这个呃,各种事件频发大家是非常清楚的,那仅去年呢,我们在统计整体的这个互联网流量啊的一些模型特征的时候,其实就已经给大家呃充分展示了,那目前所面临这复杂攻击事件,那在逐步的攀升啊,像我们今年检测到的200多起的这种复杂攻击事件里面,其实你能看到大量的啊,比如类似BOT啊,类似于号啊,恶意注册啊,包括一些高级的手段那去啊对付我们传统的一些检测的方式,而且呢,我们在BOT流量里面呢,也能看到,那么上半年我们发布了BOT管理的白皮书啊,其实里面披露了相关的一些啊流量数据。
04:36
那整个boot流量在当今已经占到整体互联网流量的60%。这个数据听起来已经非常惊人了,但是其中在呃BOT流量里面啊,在整体的互联网的这个流量里面,恶意的这种BOT流量其实已经占到了46%,甚至更高,那其实已经呃超过了人的这个访问的流量。同时呢,像Bo和CC啊这类的网络攻击基本上已经成为了主流,它占到了整体网络攻击的80%啊,这是我们在呃整体流量上的一个变化,但其实从攻击趋势上,我们还看到了更多的呃不可控的因素啊,首先从第一个趋势上,我们发现这类的啊攻击服务也逐渐的产业化,那形成了一个上下游配合非常密切的一个产业链,那近几年我们知道有很多新兴的这种技术,比说像云函数,比如像server啊,包括云真机,那这样我们的攻击者呃在实施他的这个恶意攻击的时候。
05:35
原来他需要单独的去购买,比如说像VC或者IDC上啊的一些资源,去搭一个环境,但现在他其实可以用以上我们说的这种用极其低的成本。诶来去购买相应的资源,同时呢,比如说我们原有的一些呃,这个代理服务商,微P服务商啊,包括沙河的这些服务商,那他也会提供一些商业化的一些配套工具啊,那些低代码的方式啊,来为这些呃攻击者来提供一些比如自动化IP转换的一些工具,或者说自动化的一些沙盒等等这一类的对抗技术啊,所以上下游的配合是非常密切的,里面有充分的这个产业链。
06:12
啊,举一个生活上的一个常见的例子,那像有一些呃这个黄牛党啊,可能通过呃微信的方式加到你了,他不仅卖给你,他从黄牛这里倒卖的一些商品,还会呃以这种分销的方式去发展下线啊,还会在微信上告诉你,诶,我这儿有一些这种抢票或者是啊刷单或者等等方式的一些工具,还能提供售后维护支持。所以可见我们从。这个目前的这个趋势上来看,这个产业链蕴含着丰富的这个利益链条。那也使得我们面临的攻击形式呢更加严峻,第二个呢,就是这些工具已经相当的普遍化,大众化,之前我们的印象中啊,如果说呃,我们拦截的这些攻击者可能大概率都是一些别有用心的黑客啊,至少他是一个技术高超的一个技术人员。
07:03
啊。但其实随着我们这种制式化的工具越发简化,它在很多的比如说giar这样的公开代码平台啊,包括这个,呃,Telegram的这些群里,包括一些社交平台,已经开始非常广泛的传播了,有非常多我们日常的这些正常用户,他其实也会接触到这类的工具,而在无意识的情况下,会对我们企业的业务进行访问和攻击。那这是它的更加普遍化和大众化,所以在未来我们也能可见的预测到啊,那这样的BOT攻击的流量,尤其是恶意的这种BOT流量会越来越多啊,你和我这样的普通人可能随时都会接触到一些工具啊,被包装成比如说抢票的软件,比如说内部的一些优惠等等啊,让你去通过他的一个程序来发起一些这种访问和请求,那这些你可能都会成为这一类黑茶的一个帮凶。那第三呢,就是我们在攻击方式上发现他已经逐步武器化,自动化,而且成规模化,那这些攻击者呢,他其实能够利用这类的我们说的这种恶意BOT来实行大规模的这种网络上的扫描啊,就是在漏洞爆发的初期,原来我们为什么在这个漏洞防护中啊,发现如此困难,就是在于你的响应时间非常短。
08:19
那么比如说我们以这个呃呃,去年爆发的这个的这个漏洞为例,其实他的攻击者在漏洞发布之后的几个小时就可以实现大规模的这种啊,全网的这种扫描,那它所用的方式其实无外乎就是啊,一些这种自动化的脚本,或者说高级的一些攻击工具啊,那这类工具的普遍化和武器化啊,也使得这种大规模的这种网络攻击是实现可能的,那没有任何的企业是能在这类的攻击中去独善其身。而且呢,这种自动化其实还体现在很多方面,比如说呃,很多的这个攻击者,他会用一些自动化的一些模糊测试的这种手段,然后去这个对你的这种敏感接口的一些字段呢,进行全方位的这种获取啊,来窃取一些这种企业资产的一些信息,所以我们看到我们在面对这种BOT的时候,那么我们面对的是不同层级,那有大规模的简单的这种脚本类的Bo,也有非常深入的拟人化的,或者说对于你也有针对性攻击的这一类的Bo分。
09:20
其实本质上,本质上来说啊,Boot就是一个自动化的工具,那这个自动化工具如果我们做一个类比的话,就有点像我们啊,比如说我们在以以战争这种场景上,那其实呃,BOT就是我们在武器中,我们所发射的那个导弹啊,枪里面所射出的那个子弹,其实真正对你产生伤害的,或者说真正达到它的攻击目的的,一定都是这个攻击工具,这也是为什么他会被大范围广泛呃的这个使用的这样一个原因。啊,另外呢,就是呃,我们在谈到网络的这种攻防,或者说我们在谈到如何去呃加固我们的这个呃外部安全的时候,往往我们重点在考虑啊,如何去搭建一个比如说纵深的一个防护体系啊,如何去呃完整的去落地一套网络安全方案,这就像我们在这个讨论战争的时候,我如何去干掉对方的航母啊,我如何去解决啊对面的这个一整个集团军。
10:15
呃,但其实我们很多时候会忽略掉一点,真正对你产生威胁的是航母上起飞的飞机,飞机翅膀上挂载的那个炸弹啊,对你有,呃,真正产生作用的是它其中比如说射出来的这个导弹啊。那如果你在这个战争中,你能在中途去拦截掉航母,起飞上飞机,去打掉它射出来的这个导弹,其实在这场战争中,你是成功的保卫了你的阵地的,你是打赢了的啊,我们不一定非要继沉它的航母啊,只要能确保航母上的这个飞机能够被我们打下来就可以了。所以boot也是一样,这是它的自动工具,我只要能在黑客实时攻击的这个过程中,能够打断它的施法,阻止脚本的自动化运行,其实我就实现了打断它攻击的这样一个流量,这也是为什么我们在boot这里。
11:02
啊,去投入或者去加固我们这里,呃,这个提升我们这里的这个安全能力是非常有必要的一个事情,那从第二个角度讲,Boot它所在的这个影响其实非常大的啊。呃,我们常规大家可能一提到boat会呃不自觉的联想到就是爬虫啊,这个这类的,这个比较常见的这种啊boat,但其实不止呃任何的我们说自动化的这种,呃,这个工具或者脚本,它其实都是我们在,只要它是恶意的,都是我们去攻击的对象,它所影响的范围也非常广,比如说我们在这个进行漏洞的防护的过程中啊,比如说在网站安全的这个过程中,那么嗯,呃,因为我们常见的,我们最头疼这个零内漏洞为例,其实零内漏洞呃。你本质上它也是呃,这个这个攻击工具的,呃,一种这种自动化的一些实施。那你其实没有办法前期的通过一些规则能够匹配到,或者说通过一些其他手段能够快速的识别这个漏洞,但是只要它是自动化的工具的脚本的执行,我能打断它执行这个过程,其实从某种意义上我已经实现了对零动漏洞的一个防御啊,那我能够识别到哪些自动化脚本是非人的这个操作,哪些访问呃是存在他这种机器的行为,那我对这样的这个呃工具脚本进行拦截,其实我一定程度上能够解决或者延缓零类漏洞对我的影响。
12:29
对吧,这是一个例子,还有呢,很多啊,这里我列了,比如说在这个除了网站安全之外,像我们的数据泄露这个层面啊,防塔防内鬼啊,能能够防止,比如说那个我们从从这个合法账号,或者说内部的这个呃,人员利用合法账号进行。这个对敏感业务的这种啊,访问和攻击的这样一个心理啊,以及包括在这个我们现在越来越重视的这个数据安全啊,随以数据安全法的一个落地,那对于这个账号安全,包括啊脱库啊,以及这种爆破的这种行为,那其实都会利用到这种自动化脚本执行,还有就是在我们呃这个交易的过程中,比如说我们针对于这个呃,这个呃大行啊,或者说证券类的这种金融类的企业,那么其中的这些虚假交易啊,包括篡改的这些行为,那其实我们都可以从vote这个角度来进一步的提升我们在这里的这种防范能力啊,那电商这个环节呢,比如说这个这个薅羊毛啊,或者说这个黄牛党啊,那这些也会通过啊,这样的一种交易欺诈的行为啊,来去实现它的一个。
13:31
恶意攻击的一个目的啊,这里就呃例子就非常多了啊,我们近近几年不断爆发这样的一个事件,比如说在促销活动中,那么我们那个有些这个商家为了呃呃,为了这个这个这个双11的这个大促,我也看到了很多预告啊,可能直接放出了几百台的这个iPhone进行这个赠送,抽奖赠送,但其实。这几百台啊,被秒掉的可能。90台甚至更多,其实都被BOT机器人去秒掉啊,去被这个黄牛党去拿掉了,然后转手到其他地方以高价再卖出去,真正他没有汇集到他的粉丝,那对于公司来说,你的营销费用是被这个影响到了,同时也影响到你公司的声誉,那并没有用户真正想象到这个实惠。
14:16
那还有比如说我们在这个前一任啊,这个11前前后,那么我们的出游需求激增啊,那这个时候也爆出一些这个航空公司,那么由于它的这种呃,航司的这种航班信息被大量这种爬虫爬取,那么导致消费者呃和航空公司其实双向都造成了一定损失,因为你航空公司大家知道是这种动态的这个定价算法来去这个去定价的,你频繁的利用爬虫去进行搜索的一些行为,其实会导致这个航司的这个票价大幅的一种波动失真啊,那这个也是去大量消耗我们这个呃,这个公司费用,包括有一些投放的一些广告,那由于这种呃呃大量的这种访问啊,虚假的这种访问导致了广告点击巨多,那么使得公司承担了非常多的这种广告费,这种现象非常啊存这个广泛,也就是说boot对于我们企业安全的这个影响,它不只存在于我去单纯做一个防卡。
15:12
而在企业的各个方面,数据安全啊,你的网站安全啊等等都会起到相应的作用。那么传统我们遇到的一些。防爆的一些手段呢,其实呃,呃常规的,比如说我们会看到有些,比如说在这个传统的设备上集成的,那么一些防爆的一些手段,还有一些呢,更多的通过比如说像人工的,呃,一定程度上的这个产品化,一定程度上人工交互来结合的这种方式,但这些方式呢,呃,第一呢,给企业还是带来了比较多的一些不确定性啊,比如说呃,人工的经验,以及你规则防护的一些准确性,那是否有一些黑非黑即白的一些判定。啊,带来这样的一个问题,第二个呢,就是呃,呃由于它的基于规则的一些判定,或者说缺乏比如说人工智能,比如说其他的一些,呃这个像情报这类的数据的一些参与,会导致企业的误报会相对来说比较多,那第二个我们看到的就是在呃很多客户,呃这个和腾讯这边这个在咨询安全这个解决方案建议之前,那也用过相应的一些这种常规的手段。
16:15
那么他们的智能分析的在里面的承担的角色相对来说比较少,更多的比如说依靠人的经验,或者说依靠传统的一些规则。那这样会导致。呃,Bo防护的效果在不同的这个时期有比较大的一个波动啊,第三呢,就是和和客户的业务的有耦合度过于高,那么会在前期,比如说在开发过程中去,呃提升呃用户业务的一些工作量,或者做一些的一些买点工作,导致我们客户业务随着后面的这些迭代和发展,那这类的这个开发工作。比较大那啊,以及其他的一些私有化的一些这种解决方案,使得客户的落地方案呢,会这个不断的加重,那防护能力呢,也随着这个呃,设备的不断升级,那整体成本也会变高。
17:00
所以我们看到了这系列的这个防空手段所存在的一些问题啊,以及我们现在在呃,应对新型的这种BOT啊,那不断变化的一个趋势,那么到底什么样是我们解决BOT问题的这个核心逻辑。啊,其实在呃这里呢,我帮啊各位梳理了三个方向啊,第一个就是识别,第二个是管这个防控,第三是管控,那从这个方面去入手,我们来看什么样的boot是值得我们企业去选择的,以及什么样的boot能够去应对我们后面不断变化的这种挑战。那第一呢,从识别这个角度讲。呃,其实最关键的我们就是在呃boot的这个识别的一个准确性,我既要识别啊善意的友好的boot,比如说我们的这种搜索引擎,或者说订阅的一些机器人的这些啊,这个友好啊,允许他访问,因为我们要提升网站的一个曝光,曝光度啊,那么第二呢,我们能够第一时间的呃这个区分啊人机,然后进行这个不断的这个机器自主学习,能够适应于企业自身的这个流量特征,然后来进行啊充分的一个判定,所以在这里呢,实的实的这个方面,我认为有两点是必要的。
18:13
第一呢,就是。那么它首先需要有一定的这个,呃呃,在前端啊,能够第一时间去识别到这个识别的过程啊,我们不需要去想象成它的流量已经进来了,已经过来了,我再去根据他的行为,再去根据他的这个,呃,或者说在中间过程中再去判定,然后再去设计这个拦截策略等等,那这个时候可能已经晚了,你的数据可能已经泄密了,或者你的这个某些这个必要的接口已经被发现了。那在识别的前期,比如说第一手有第一手的情报,你有第一手的这个信息,那么你可以快速的定位它是否是一个恶意IP,之前是否是有黑历史啊,那这样呢,就可以快速的去帮我们啊,在他没有访问之前。啊,能够识别到啊,是否是恶意啊,第一时间进行拦截,第二个呢,就是要有一个前端对抗的一个过程啊,这个我们在后面去详细给大家介绍,那第二点呢,就是如果在他的流量啊,这个不断访问的这个过程中,我们在识别这一点上是需要不断的根据客户的流量进行啊变化的。
19:18
一呢是应对变化的这个新型的这个类型,第二呢,也是要精准的去判断啊,避免误报。那这里呢,有两点我认为是非常重要,第一呢,我们需要有这个人工智能的一个自学习的一个过程啊,主要学习的就是客户的这个业务流量,第二呢是对于AI本身的这个能力来说,我们需要有更多的专业这个专家的经验啊,或者说在训练AI模型的时候,需要需要有更多更强大的人工经验的一个加持。那么呃,这个第二点呢,就是在我们这个防护的阶段,那在防护阶段我们通过服务客户也发现很多客户最关注的点呢,不是说你能不能拦得住啊,其实大部分客户或者大部分的解决方案,如果我准确的识别到了我到第二阶段拦的层面,不会存在太大的一个问题啊,不会说这类的,呃,我拦截不到。
20:12
那蓝的最大的痛点是什么呢?就是我如何能快速的建立防线,在我对于我目前的这个业务啊里面,BOT的这个异常流量占比多少,以及我的业务有哪些啊,这个这个流量特征是,呃,用来区分人机还不是特别清楚的情况下,我能不能快速落地,能不能快速的建立防线,我现在就已经被攻击了,我能感受到,但是我还不知道怎么样去配这个策略,你能不能快速的先帮我啊进行一个啊,通过你们的这种方式进行区分,然后能够给我配置一个阶梯状的一个策略,哪些我要拦截,哪些我要做一个这个人机识别的判定,哪些我可以直接放过,哎,快速落地,这是客户的第一大需求。第二大需求呢,就是不同行业,其实它面临的这个T类型以及boot的这个场景是千差万别的,比如说我们说电商啊,我们说这个短视频,或者我们在说其他的,呃,这类的客户的时候,他的不同行业场景是不一样的,那基于不同的场景。
21:13
我们肯定不能用同一种方式,同一个模板进行套用啊,那很多的之前呢,我们,呃,前面提到的一些常规的book为什么失效,就是在于他依赖人的经验,而这个人的经验他很可能具备一定的行业属性,或者说他之前的一些这个呃,这个工作的一些局限,那如果能够把不同人,不同专家在不同的这种经验固下来,形成一个化置。那这样可以快速的帮客户解决他在不同行业场景下的一些识别的一些问题,比如说针对电商行业,我用哪些方式啊,比如说一些这个,呃,其他的行业有没有一些更精细化的一些配置。然后那么防护的问题解决了,接下来啊,这个的这个对抗呢,其实是一个长期的一个过程,我们要时刻的去随的A也在不断护,以及目前这护也需要在不断的提升。
22:17
那我前面帮你快速落地的防线,但毕竟是一个初步的防线,后面需要不断的精准化运营,所以这就涉及到第三方面,如果能要持续的解决boot问题的话,管理是不可或缺的,那怎么样来提升管理呢?或者说管理它现在最缺的是什么呢?首先第一个我认为是直观分析。这样一个能力,呃客户看到了大量的告警,以及大量的这个呃数据,那么从海量的日志里,如何能第一时间的直观的看到我哪些这个呃业务啊遭受的攻击?是最明显的,他遭受哪一类的攻击啊,这些攻击来自于哪里啊,另外呢,就是我现在的流量里面有多少是友好的boat,有多少是存疑的,有多少是恶意的啊,我需要非常直观,在这个直观的过程中如何能够帮我。
23:06
的下一步决策做判定,这是最关键的,我要的不是丰富的数据,我要的数据给我带来的决策的辅助啊,所以这是管理的第一层,第二层呢,就是精细化管理之后,我必然要对数据进行深挖下钻,我才能够进一步的来提升反馈,比如说对一些误报啊,所有的东西这个都会有误报,这是不可能100%去避免的。那么一旦有误报,我如何通过下段进行不断反馈,我要反馈给你的AI,我要反馈给你的呃,这个这个呃反馈给我自己的这个运营团队,我的策略如何进行调优,所以数据一定能够下段实现一个闭环,这个闭环就是不断的去这个进行正反馈的进行迭代,来实现我管理的这种可持续性,而且同时要保证它的简单。所以这个三个方面我认为是贯穿在我们去。呃,搭建整个BOT防线的一个,呃,重要的一个核心逻辑啊,那这里给大家大家再详细的去阐述一下。
24:05
那么腾讯的呃,在这个系统性的去防御这个BOT流量,从这三个方面我们是怎么做的呢?第10啊,这个识别呢,是所有我们啊,我们谈到后面后面这个boot整体防护的一个基础。所以在识别这个方面,应对于基础类的这个BOT和包这个高级类的啊,这种拟真型的这种BOT,那么我们采取的措施,或者说我们整体的这种方案肯定是要进行充分的组合的。做到能够做到从它的这个访问啊,到后端全链路的这样一个分析,那腾讯这里呢,首先是有基础的这个庞大的一个信数据,这里包含了我们呃,通过多年的积累,已经知道一些恶意的一些类型的一些积累,包括呃客户端的一些指数据,包括IDC的些IP数据,以及恶意爬虫的一些特征。
25:01
那第二个呢,在这种基础训里面还包含了我们直接这个对接的腾讯的威胁情报,这个威胁情报也承载了腾讯啊近20年的这个呃,整体数据的一个积累,每天也会不断的进行这个实时的更新,来确保我们能够获取第一手的一个情报,尤其是借助于腾讯的这个安全大脑和它的这个呃,腾讯云上面的这个分析平台。啊,那情报的这个更新迭代的速度,也为我们这个基础得到了充分的,那比如说对于一些基础的一些啊脚本或者恶意的IP,我就可以非常快速进行识别和封堵,那第二呢,就是对于客户端进行这个对抗啊,那这个呃,包含了比如说我们对于前端的这些环境啊,那你前端的一些啊,用户的一些是否可信的一些行为,那么进行相应的这种识别。那么到到后端,我会对于他的一些基础绘画特征,包括他访问行为的一些异常特征啊,进行一些判定和分析,我会有一个基础的一个呃,机械水位啊来去呃。
26:05
这个汇总它的一些啊数据特征,然后进行判定,在基础水位之上进行,比如说场景化的或者说行为,或者说在这个基础数据上的一些特征分析,再结合我们AI的引擎和呃建立的这种这个异常行为的一些模型来进行综合判定。来应对更加高级的一些威胁,那第二呢,在防的这个层面,那有了以上的这个识别的这个技术基础,在防层面呢,我们还需还需要进一步的把这个呃防护和这个这个防护的这个执行去进一步落地,那在房子层面,我们还会联动腾讯的蓝军,比如像我们的这个重重宝的一些团队,包括我们这个科恩实验室等等来,呃,通过他们比如说在这个攻防演练或者说重保期间挖掘到的一些这个成果,呃,以及日常他们在进行漏洞的talk过程中发现的一些问题啊,以及包括那个第一时间的这种零费的这些漏洞来实现这种以攻防。
27:08
不断的补位我们在这个AI引擎的这些能力,以及我们在这个呃算法和这个模型上啊,去进行进一步的一个迭代啊去反馈,然后呢,再结合我们呃前面说到的,比如说AI引擎,比如说我们在这个基础数据客户端对抗等等这给出的一个模型判定啊,我们把呃整个防护的一个过程中。嗯,提供给用户的是一个非常简单的零到100的一个直接的一个分数。那这个分数就可以作为客户去搭建初次防线,以及它作为整体这个动作配置的一个依据了。就把原本比较复杂的呃处理日志分析,包括这个动作设置,自定义策略,以及这个参数头部的一些这种呃策略,这个特征策略,水位的一些设置这类复杂的东西简化为一个呃,几乎等同于小学数学的这样一个操作。
28:06
那第二呢,就是我们前面提到的在各种呃呃这个。呃,比较典型化的一些场景下,比如说我们在电商的这种抢购啊,或者说这种航司,或者是下单所做的这个过程中啊,以及我们在一些这个恶意评论,恶意注册这些典型场景中啊,包括恶意登录啊,刷单啊这类的这种场景中,我们会给客户提供一些推荐化的一些处置方案,这个在后面我们也会有一个场景化的一些内容啊,在这个呃,嗯,稍稍后的这个。几天我们在也也会给大家带来一个新的一个发布啊,那这样的一些处置方案呢,其实就可以解决呃,客户90%以上的一个配置问题啊,因为大部分的客户呢,其实在精细化管理,那是后面的事情,首要他在防护解决的是呃,如何去适配我的这个典型问题,如何去建立初次防线,以及这个基准的一个防护准则啊,然后在这个基础之上,我后面通过管理的这个闭环,然后来不断进行策略调用。
29:10
那么第三,在管理这个层面,我们就可以做到对于它的这种流量分析的标签特征进行逐级下钻,最后实现分析分级。和这个管理这样一个全流程的一个闭环。啊,那这里就是我们整体系统化进行boot防护,流量管的三个重要的一个思路,那后面我再呃具体的来介绍一下啊,其中几个主要的一个关键点,第一个呢,在识别这里我们还有。一个非常关键点就是在客户端的这种风险的感知和识别啊,那这里我们用到哪些技术呢?其实呃,大家可能有些会听到过,就是前端对抗,那前端对抗这个过程啊,我们就是呃,说白了就是做这种图灵测试,做人机的这个挑战啊,去判断我前面访问过来的到底是用户的正常浏览器,还是一些自动化的一些啊脚本爬虫,那这类我们用了哪些技术呢?比如说第一个。
30:09
动态令牌啊,动态令牌呢,就是根据客户的这个访问访问页面,我们给他息一个一次性的这种令牌,那你没有这种令牌啊,没有这个令牌,你是没有办法访问到我任何的这个呃页面,或者说我的这个URL的,那很简单,在这个URL里面我们插入这个一次性的一个令牌啊,只有只在一定时间内进行有效啊,那这样的话,他拿着这个令牌诶,我就可以去这个,比如说像一些这种CC攻击啊,那这类我就可以通过这种动态令牌的方式给他进行避免包括这些重放的一些攻击。我就判断是否合法,比如说我这里呃呃是否那个呃需要进行拦截,那有了这个令牌,我就可以判断这个令牌,比如说是否合法,那确认这个令牌,那么有这个是由这个呃is,那针对我当前的这个URL进行下的,第二呢,就是我可以判断我一次性的令牌嘛,你这个令牌是否使用过,我来验证,如果使用过的话,那我就可以判定你是这个重放攻击。
31:07
然后还有一些更加这个呃,高强度的一些令牌来抵御比如说这个越权的攻击啊,或者说你这个网站的一些后门啊,来去解决这个问题,那第二个呢,就是还有一些动态验证的一个技术啊,我就不一一列举了,就是简单介绍一两个,那比如说这个动态验证的过程中,我会检测什么呢?就会检测呃,比如说用户端的这个真实环境啊,用户端的真实环境,那么呃,你你告诉我说你是一个手机端访问进来啊,你是一个微信的一个客户端,那我就需要对于你的运行环境进行验证,你是否属于真实的这个客户端来访问啊,你的UA的这个信息,包括你的这个。呃呃,八块等等这些参数啊,进行组合来看是否你的这个访问是真实的啊,然后呢,还有就是这个,呃,黑客他可能通过这个浏览器,然后我去调取那个前台的一些代码,进行页面的一些调试,那我这里还会通过页面条的这种方式来去,呃封禁这种能力。
32:06
那这是在客户端上我们去做的啊,然后第二呢,就是除了我通过这种呃对抗的方式,我来进行啊,人机的一些验证,去判断它的一些访问的一些异常特征之外,那还有呢,作为它的一个。这个补充和这个呃能力的一个迭代,我还会提供更加强大的这个威胁情报,其实威胁情报这个能力啊,我这里可以稍微多给大家介绍一下,腾讯的威胁情报呢,呃,其实积累了非常大的一个数据,其实腾讯本身它自己是一个巨大的一个数据池啊,那这个数据池对于任何一家这个网络公司来说是比较大的一个宝藏,那同时在安全公安全的这个层面来讲,那任何一个公司都没有足够的这个用户数据能够帮助,呃,这个。这个安全公司来做到啊,更好的去做这个,比如说情,包括这个A些等能力,我们的情报的平台呢,每天会处理近三万亿条的这个信息啊,这个是非常海量的,相比一些这个可能自己做情报的安全公司,他可能只有每天可能几十亿条,几亿条了不起。
33:18
所以这是本质上的一个差异啊,这其是我们能第一时间去获得啊一个IP,比如说他他的一些行为啊,他一些黑历史,包括整体的一个能力啊,然后第二呢,就是在这个过程中,它会沉淀出来这个I你的域名啊,然后包括这个ul,呃,恶意的一些终端,它的这个。啊,MD5的值等等啊这类的一些情报,那这情报也能够帮助我们的这个boatt来提升一些这个识别率和准确率啊,体现在比如说我对于一些呃浏览器,如果我的这个呃,因为前面对抗的话,我们前面提到的它肯定是要下这个G来进行执行的啊,或者说我去收呃收集它的这个客户端指纹,我去进行这个判定的,那有一些的这个特殊的客户端可能无法行G,或者我下发失啊,我的判断不准,那这样也会带来一些误判,所以威胁情报的能力,在BOT里面也能够极大的提升它的一个准确性,那它可以给通过他这种海量的这种情报的标签和这种实时更新的一个能力啊。
34:24
帮助。每一个访问过来这个IP啊,直接告诉我们的这个后台啊,你是还是这个正常用户,还是薅羊,还是这个,比如说注入类的这种攻击,或者或者说你是这个代理,那我们就直接可以判定,这个就不需要后面我们再去呃这个呃,通过AI再通过这个啊识别或者说行为的一些特征,我们再去判定啊,那这个就非常快速。那第二呢,就是。那么在一些呃,比如说这个呃重保的一些场景下啊,或者说我们在这个应对攻防的这个情况下,那Bo防护也是其中重要的一个环节啊,而这个攻防场景下,对方这个也一定会用到相应的一些这个呃呃攻击的一些IP啊,那这里比如说他从这个呃VS啊,从IDC访问进来的,或者说他通过VPN或者代理那这类的IP访问进来的,这大概真实到站,那所以报的报包我就可以快速的。
35:37
把这类的IP啊,带有这类的IP的标签的全部进行封堵,那也能快速帮我们实现这个战斗力。那第三呢,就是到达我们这个后端之后,那如何从啊这个基础到高级,我能识别到不同boatt的它的一些特征,因为BOO它的类型很多,有简单的,那前面我们可能通过呃情报,可能通过这个前端对抗就已经识别到了,可能后面多一些简单的分析就识别到,那复杂的怎么办呢?所以这里我们引入了这样一个智能分析的一个系统啊,去多维度的实时的进行运算,来去把进行分类。
36:16
那这里我们会采集哪些呢?比如说我协议的一些头部特征,我的这种请求的特征啊,然后还有他这个访问的一些行为的一些特征,比如他访问的时间,请求的一些量等等,那从这些特征里面,我再去提炼它的一些值啊,做一些基础性的分析,你的大小值,均值,然后做一些高级的分析,比如说你有没有随机的这个程度,有没有持续的一些异常啊,然后再做场景化的分析,就是你有没有爆破的行为啊,刷口的行为啊,然后还有这个呃,撞库了等等这类的一些行为,最后得到一个综合的得分啊,最后得到一个综合得分在这里,那这个得分其实也包含了我们前面比如说情报这个打分,然后包括了这个大数据的这个得分,以及AI对于这个呃呃,访问过来的这个识别的一这样一个得分。
37:08
啊,所以在智能分析之后,那我们就可以得到一个这个BOT得分,这个得分就可以从零到100给他判定,那么越接近100,他就越成有成为这种恶意Bo的这个可能性,好,那么。通过这个呃,基础的高级的场景和综合的一些分析,那我们就可以把抽象化的这种复杂的分析结果,由原来这种复杂日志变为一个小学数学,那么能够帮助我们快速去建立一个对于BOT的一个呃直观的一些判定机制,那好,你看到的这个分数,那我就可以设置一条测这个自动化的一个动作配置啊,对于零到20分的,我采取放通的策略,对于30到50分的啊,我认为它是友好报,对于50到80分的,我谈人机识别,或者做这个啊监控,那么对于80分到100分的我进行拦截。
38:01
快速的网络防线就这样搭建成了,那么在之后通过报得分,我们可以整体的打通用户的使用流,形成一个流量管理的一个闭环。那通过全流量的这种能力配置和基于这个得分的一个下钻,我们把友好报呀,然后疑似的报,比如说这个可信任的这个流量进行分级啊,后面针对这些,呃,每一级别的得分,因为他动态的得分,那这些得分我再去进行呃,基于可视化的这种,呃,这个日志,包括图表的一些分析。来进行精细化的调优,那么这样就实现了我们前面分析啊,中间过程分类,后面再进行精细化管理的一套完整的运营闭环。好,那么我们会呃讲完了我们在这里的一些解决方案的一些思路,那么有哪些场景化的一些BOO呢?其实我们大概率会遇到三种场景,第一种就是比较常见的,也是我们现在流量遇到最大的就是这种流量密集型的Bo,那它的特点就是我的QPS的这种突发是非常超预期的,你会看到你的流量波形有一个峰值的一个突增,然后另外呢,对于一般它以这种CC攻击,高频的这个CC攻击为主要的一个特,那么我们会看到去问的这个URL的这个离散非常大或者非常。
39:30
啊,这两种都可能,比如他针对你某一个这个URL进行这种集中攻击的,也可能是这种撒网式。那第二种呢,就是拟这类的这种,那可能集中在一些特定的A,比如说你的电商付这个环节啊等等,或者说单这个环节啊,然后另外呢,就是整体流量是相对来说是混杂的,呃,你的这个呃,同一流量你可能包含多个啊这种恶意流量。嗯,还有就是它基本上是会模拟用户的正常的这个防问行为的,那第三种情况就是呃,会更复杂一些,其实这这个场景里面,BOT它起到的是一个工具化的一个作用,在我们的重保或者攻防演练的这个过程中,那么它会通过这种,呃呃,比如说它通过BOT来实现自动化的扫描,来实现你的API的绕过,或者做做它的一个代播,来这个变换该变换它那个攻击者的IP啊,或者说来通过BOT来探你的这个入口令啊,挖掘你的这个网络暴露面,这些都是他可能的一些场景。
40:34
那么针对它的这个解决方案上,那么我们前面总结了它的一些流量特征,比如说这种,呃,流量密集型的啊,以及型的可能相对UR比较均匀,密集型的那就比较集中。常规的,如果我们通过这种C方案能呃,顺带的封禁掉这个IP啊,这个一段一段时间啊,然后同时给他。
41:03
这个标记下来,那么在这个过程中我们会发现,第一你前面在它的这个频率上来之前,你其实已经漏掉了大量的攻击,第二个呢,对于这种多频的这个C攻击,其实没有办法有效的进行拦截的啊,然后呢,同时呢,在这个对一些代访问的时候,你并不知道的这个IP属性,你就没法提前进行护,那么在引入之后呢。对于这种流量密集型的和这种偏拟的这类的呃攻击,那么其实我们前面通过这个前面讲解大概经大概经这个应该已经啊比较确定了,就是前端对抗,我来发现你的这个客户端啊,就相当于给你做这个人机挑战啊,做这个图形测试,然后第二呢,借助于威胁情报,进一步的来补充我对于这个IP的判定的问题,那AI评估和智能统计,在这个过程中会对你的异常行为进行这个呃,访问的这个啊评分啊和发现,然后呢,借助于他前面所。
42:05
得分的这样一个综合。那么我们在动作设置里,基于不同得分进行相应的这些处置,当然我们也可以自定义化的啊,在这个策略上去调整一些这个比如频率啊,或者说呃,各个特征值的一些细节啊,然后呢,再进行相应的这个封堵动作啊,所以看到这样的解决方案相对来说从前到后比较完整,我们也能够充分的去信任这样一套分数体系,能够执行相应的这个动作,然后在应对于这种攻防演练,那么我们就需要把基础安全的实力和我们的这个业务安全的实力相结合,那这就不止说到我们今天主要讲的Bo能力的,那前面可能我们需要对于前面的这个,呃,Wa的一些基础安全的一些,比如说开启wa的AI引擎,语识别的一些引擎,然后来,呃,应对这个我们技术安全和做这个虚拟补丁,然后在这个。
43:07
我们今天讲到的这些内容。包括我们在这个,嗯,我们还有和腾讯的这个天域啊,流量风控进行联动的一些能力,我们来去识别,比如说你是否是可信的这个终端账号,那这里就需要联动我的情这个借助于前端对的一个识别的能力,然后在API务数据上,那么我们录注册的这些用户,我再进行相应的这种防护手段,那最后呢,通过BOO的的这个流量管理,我再进行整体的这种安全运营来降低啊这个上面的一些影响。那实际上我们测试下来。啊,结合我们前面这个给呃广大用户去服务的这个效果,其实的拦截率是非常高的,我这里简单贴了一些用户,他接上之后的一些防护效果都是今年的可以看到是非常明显的,就是客户遭受攻击之后,那么一旦开启,我们对于异常的这种拦截率啊是极高的,然后能够快速的把恶意BOT啊,我们看底下这个图,就红色的这部分是恶意BOT,恶意BOT的这个或者一次BOT的占比,极速的把它这个压下来,那确保是这个用户的一些访问。
44:30
好的,那时间关系啊,就是我在用户案例这里啊,简单给大家介绍几个我们一些典型的一些案例。那当然这个后面也欢迎我们的用户通过实际的这个用啊和体验来进一步的了解我们产品的一些能力啊,比如说在电商啊,或者说这个智慧零售的这个场景下,我们呃是我们这个应用最为广泛的一些这个客户场景啊,那像我们在乐福这里帮助用户去做了它这个整体的Bo的防护,尤其是在网站的接口反扒这方面的一些需求。
45:05
那在唯品会上呢,我们也借助于外呃去保障了,唯品会在这种呃重大节日期间,比如说秒杀这个抢购的这个阶段,能够对于活动安全有足够的这个防护能力。还有像这个呃,比如说在这些出海的一些业务里面啊,我们对于这个客户也能够提供啊,就是我们国际站的这个,呃,Wa也能够提供相应的这个BOT管理的这个能力啊,那一些出海的一些用户啊,或者是这个呃,有同时跨国的这个业务的,那其实可以也利用这个T的这个防护能力来进一步的提升啊,我们整体的这个防护效果。呃,我们还有其他海量的用户,那后面呃,有机会的话,那么通过我们的这个试用和各位也能够进一步的体验到Bo在这里面的一个强大的防护的一个效果。
46:04
好,那今天我给大家介绍内容呢,就到这里,也非常感谢大家的观看。那这里我就把画面交给主持人。好的,非常感谢赵思雨老师的分享,那精彩的演讲之后呢,我们第一轮的这个抽奖环节也要正式的开始了,本轮呢,我们大家准备了30个腾讯公仔,请大家呢扫描屏幕上的二维码进群,我们将告诉呃大家这次获取礼品的这个密钥,前30名在我们微信群内参与互动的人员呢,将获得礼品。好的,接下来请大家在我们啊,请大家扫描屏幕的这个二维码,然后进去。那么接下来请大家在我们的微信群内发口原全实战加速操,请将原安全实加速舱发到我们的微信。
47:15
啊,我看到群内,然后呢,大家都有陆续的在发送啊,请大家将原引擎云原生安全实战加仓发到我们的微信群。那恭喜前30名的同学啊,我们这边的小助理呢,群内的小助理,然后呢,会跟大家联系来领取礼品,屏幕前的你呢,如果还没有入,可以马上扫描我们大屏幕的二维码,后面呢将会有更多的精彩的礼品等着你。OK,那欢迎大家回到我们的直播现场啊,接下来呢,将由我们腾讯安全的高级产品经理马子瑶为我们分享保护实战中的最佳实践演示,有请。
48:06
哎,好的,谢谢主持人,谢谢思雨。稍等一下。呃,我是来自腾讯安全的马子阳,现在。可以看到我屏幕吗?好像看不到。好,谢谢,呃主持人,谢谢思雨,然后我是来自腾讯安全的马强,今天我要为大家分享的是来报管理的一些最佳实践,然后我们这次的话,因为时间问题,我们按照两部分来说,第一部分来说是一个BOT的一个解析案例,第二个呢是一个BOT的一个对抗原理,以及日常防护的一个最佳实践,那么先来第一个我们日常碰到的一些报案例的一些解析吧,就其实大家可能在日常的一个生活中,在业务上线的时候,其实会很害怕一件事情,就是呢,我们每到发版的时候呢,然后心就心情就会很慌,然后呢,最害怕在发版的过程中会遭受到一些夺命连环的一些告警啊,就比如说我发版发到一半,哎,活动页刚一上线,然后忽然收到了一些告警,就比如说像是在左边这里的这一个,说我当前的一个CPU利用率已经满了,那怎么办呢?然后其实也不知道说怎么办,可能这时候可能网站被攻击,然后就比如说我看到一些云监控。
49:30
发过来告警说,哎,他当前云监康的值其实已经特别高了,就比如说他当前那个CP的一个利用率已经超过了80%,甚至99了以上,这时候我们作为一个安全运营人员,通常会去那个网站后台去看一看他当前的这个网站究竟是什么样的,就比如说我们可以在呃house c里面去看到说当前这台机器它的一些相关负载是什么,就比如说我们可以看到这个house里它的一个CP利其实经到了100%了,并且我们看到说它的一个TCP的一个连接数啊,它其实在不断的在一个上升的过程中,那么我们在这个时候其实可以发现了一些问题,就比如说攻击者正在尝试通过利用一些呃C段,我们所谓的C对我们的服务造成一个呃影响,那这块的影响呢,其实是这样子的,它其实不仅仅是说一个单纯的C击C击面。
50:30
看也是和刚才我们思域老师说的一样,这个也是一个BOT攻击的一种类型来的,那么我们可以怎么样的去做呢?我们可以通过接入,然后使用BOT管理,快速的将这一类攻击进行收敛。就举个例子啊,这边举个例子,就是说当我们发现了这一个BOT类型攻击的时候,我们发现我们CPU满了,TCP连接数呢,在不断的被上升的情况下,我们可以放,这个时候我们可以打开我们的一个的一个控制台,然后把对应的一个域名给们的一个。
51:04
呃接入到咱们的一个呃wa的域名中,然后把对应的业务的回源地址呢给填写上去,这个时候呢,我们已经完成了一个很大的一个步骤,就是说在上去生成一个来自于轻量应用,来自于呃来用来防护这个网站的一个域名配置了,在接下来的时候呢,我们可以对它进行一个呃接入域名的一个修改,用于快速的去达到一个防护的效果。然后我们再进行一个接入域名修改,呃完成之后我们其实发现说,诶这时候在这里面wa已经分配了一个c name给到我们这边了,我们就可以说通过一些网站的域名解析的域名解析工具,就比如说像dnport这种去解析对应呃域名里面把那个c name给填写上去,然后我们把这个c name填写上去,完成之后,因为要输入相应的一些呃验证码这一块的话,我们可以呃等待验证码输入完,输入完成之后,其实呢,我们就可以发现说,这个时候如果说等待全球的一个DNS解析,解析完成之后,我们其实就可以完成一次对这个网站的一个基础性的一个防护了。
52:19
那么我们是怎么样可以确定一个防护的呢?这个时候我们就可以在我们的浏览器里面去输入一些内容,去检测说啊,它当前是不是一个被防护的一个状态,举个例子啊,就比如说啊,我去输入一个类似于说最常见的命令二一这种。L1这种的一个方式。然后我们看到说当前这个页面其实已经是一个能够成功防护的面来的了,然后呢,这个时候呢,我们看到这种情况说刚才的我们的CPU已经跑跑满了嘛,这时候呢,我们其实可以做一个快速一个这个动作,就可以快速的帮我们去抵御这次一个流量攻击,第一步打开那个BOT管理,第二个开启前端对抗,然后输入这个防护的域名链接。
53:20
然后第三步就是可以了,这其实已经可以开始完整的进行防护了,等待我们的后台业务,然后稍微的链接恢复正常一点以后,我们就可以正常去问,点开通过发现说我们的一个业务的官网其实已经恢复正常了,这时候我们再去后台的一个连接数据看,其实看到有几个比较明显的特点,就比如说我们在开启之后呢,我的内网的一个TCP的相关的TCP连接数啊,其实是在不断的一个下降过程中,它不会有一个像是之前一样说,它不断的在往上去,不断的去新增。然后呢,我们也可以看到一点,就是说啊,对应的一个云监控的一个告警啊,这一块其实也是快速的去恢复过来了。
54:06
那么其实除了刚才这一点以外,呃,我们其实还有几个问题啊,就比如说我们其实在很多情况下会遇到一个问题,就是说我们在网站应用的时候,有很多时候用到一些短信资源包啊,然后有些客户会搜索到那个一些啊客户信息啊,骚扰,就比如说谁谁谁,我的客户被收到一些短信轰炸了,这个时候我们就会有一个疑惑的问题,就是说客户的信息是怎么被拿到的,我的数据是怎么被滥用的,这边举个例子啊,就比如说我们在使用一些短信包的时候,我们很可能如果说有攻击者去薅我们短信资源包的时候,就可以看到,说我就眨一眨眼的功夫,就是一个是在呃,四十十一秒的时候,我看了我当前的一个短信资源包,还有1万条的,然后我眨一眨眼,我可能就去喝了一杯水。呃,40多秒过去了,我的短信资源包诶只剩下50多5000多条了,这时候其实是一种比较异常的消耗来的,那这个时候的话,就比如说像这种他会收到一种告警啊,说哎,你当前的一个短信资源已经不够了,那这个时候怎么办呢?其实我们也可以用同样的解决方案解决思路去做,就比如说诶我们可以打开我们wa的boot里面的1BOT流量管理里面,看到说诶发现说诶攻击者是真的有会在对我们的一个呃API的一个短信发送接口。
55:30
进行一个攻击的,就比如说。就比如说我们可以看到说在这里下面这个URL这个地方。UNL这个地方AUNL这个地方里面可以看到说呃。他的一个。URL这个地方可以看到说它是一个很明确的一个的一个发送这样的一个情况。那么其实我们也可以和刚才一样去做一个相关的步骤,我们把前能对抗打开,然后把啊我们的动作设置给配置上,然后配置一些我们默认推荐配置的一些,比如说严格模式啊者说比较极端一点的,像是我们自定义配置的一些模式,把一些风险项把它控制开来,那这个时候就能做到一个比较好的一个效果了,然后我们就看到说一个比较明显的一点,就是说它虽然说呃有一前面有一定的一个损耗嘛,但是其实我们在开启一个boot管理的一个功能以后,其实我们看到说它第二个。
56:31
消耗的一个套餐包里面,它其实已经做到一个比较好的一个止损的一个情况,然后呢,并且呢,同时。并且同时呢,我们会看到在下面的这个流量处置趋势里面,我们也看到说,诶在后面的一个访问流量里面,其实已经没有更多的一种呃攻击透到咱们的业务后端,这样的话就能成功的去帮我们去把那些呃短信资源消耗包这种消耗的过快,这种过过于滥用这种API呢,把它给制止了。
57:04
那么就到第三个点,就是说我们可能会有很多时候在,特别像是在今天啊,这种大促的一个阶段里面,会有很多这种抢购的一种外挂机器人呢,或者说我们在做一些游戏的时候,会碰到一些外挂猖獗情况,并且呢,这些外挂的访问量呢,可能会特别大,会导致一些业务响应慢啊,服务不可用这样的情况,那么这种情况下呢,呃,我们就可以也是可以通过BOT去做的,就比如说我们可以通过BOT的一个流量分析里面去做一个处置判断,通过它里面的一些相关的一个分数波段去描绘出来,说它当前这个工,呃,这个商户里面有多少个攻击者在对咱们进行攻击,并且针对这些不同分数段的一个攻击者,然后进行针对性的一个处置措施。当然了,为什么一直在提到分数段这件事情,这刚才就和我们的思语老师说的一样,我们的Bo会将很多复杂的一些手段了,降,降解为一种很低级的一种。
58:05
学的一个方式,就比如说我们把一对的复杂的一个攻击手段,然后把它给数字化,如果说我们在后期判断出,诶,看到这个分数等于多少分的时候,我们直接拦截,直接封堵这个分数就可以了,就能避免很多说像是老的那种BOT规配置规则一样,说我要配置A,配置B,配置C才能完成,这样是比较好的。那这时候我们也看到说他的一些通过他的一个分析出来,分析出来说他当前的受敏感的一些URL是有哪些,他是有哪些威胁情报开始对我们进行访问,它的一个U准有哪些,有哪些是高级威胁情报过来的,就比如说哪些从IDC过来的,哪些是从网络攻击过来的,哪些是从代理过来的,都可以比较清晰的看得到。并且同时呢,我们可以通过Bo的一个,当然了,就是有一些Bo的话,他可能会用一些绕过的手段了,这时候虽然说有些数,但是可能会有一些误伤的情况,那这个时候我们就可以用一些精准定向的一些方式去帮这一部分误伤的人,或者说绕过的人啊,Bo机器人把它给定向的进行封堵了,就比如说像是在这边举了两个例子,第一个是不合规的访问是空的,另外一种就说它是个。
59:22
那么我们从上面这三个案例里面,其实就可以看到一个几个特点了,就是说我们报行为管理呢,它其实啊,不仅仅是说能去做到,呃,单纯去清洗流量,他更多的能去帮助客户的流量去伪存真,助力客户业务是去更做一些,更成长,更稳更真实的一个增长的。那么接下来我就来说一下BOT治理流量,它是用哪三板斧来去做的,这里就涉及到了说,哎,我们BOT的一个原理是BOT对抗T流量管理的原理是什么?它治理的方案是什么?那么其实我们在逐步的过程中,呃,看到的过程中,其实我们会发现一个点,就是BOT对抗现在是在不断的升级的一个过程中的,呃,从简单的一个Python脚本啊,像是现在很多那种网课都说哦,Python脚本九块九学抢什么什么什么的,到更进一步的像是翻啊,Head啊,然后这种的,它可以接受一点简单的一些javascript的一个本解析,然后更往进一步的,类似于说模拟器啊,云真啊这种方式,然后更多的像哎,在顶尖点,像是智人真机这种,我们看到说BOT对抗的这些功能点啊,或者说他们其中的一些技术手段,他们其实在不断的去进行更新迭代的。
60:42
那么他们在客户端上,他们其实也做了很多不同的一些,呃。不同的一些特点吧,就比如说像是一些C探针,像是一些K,像是一些加密通道这些,然后呢,这里面呢,还有一些内容,类似说情报上面的,就比如说像是IP情报标签啊,IP代理情报啊,或者说像是一些账号内容里面。
61:07
账号里面的一些内容,就比如说一些啊业务风控里面的一些账号邮箱啊,手机号啊这些东西,还是说一些设备指纹,设备指纹的话,其实在对抗那种呃,高端场景会比较多,比如说在我们的一个抢购这种环节上,对抗起来会比较多的。那么呃,这里面呢,除了刚才说的那两点以外,其实还在流量层协议上面,其实还有很多东西是可以去做的,就比如说一些设备,比如UT面U1S,但是的1T指纹就是一个nux,然后比如说像是这种的一个指纹,它固定是某种开发请求工具发起来的,还有一些开发,呃语言呢,还有流量工具,一些指纹也会包含在里面。
62:00
同时呢,在HTP的一个头部协议里面呢,它会有一些呃,浏览器单独的特征,像是一些头部特征里面,像是里面是CHROME76版本以后默认都会带的,然后还有就是一些类似于说特征啊,就比如说啊,然后这种特征以及群控经常会用到的一些版本的一些群控软件,当然了还有一个比较有意思的事情,就是说我们其实会对一些浏览器的一个头部字段的一个排序,其实也是会有一定的一个要求的。然后这里面的话,其实还有一个。地方就是我们在进行反扒的时候啊,其实呃,其实的话,这里面其实还有一个点,就是说我们其实反扒的时候,不仅仅是说针对单单一维度的呃,一个视角去看说诶他当前这个反扒是不是一个单特征东西,很多时候我们的这个antibox这个能力,它其实不仅仅是局限于说呃单维度特征,其实我们现在是为什么会说啊,引入一个多维度的一个方式,就比如说从啊情报到客户端风险检测,再到后面这个行为分析,还有这个AI模型,大数据这一块共同去引用,就是因为说啊如果说我们要去判别是机器人或者是真人的话,它其实的维度相对来说是比较复杂的,然后我们这边行为这边其实可有很多东西去看,就比如说他的一些访问轨迹是什么呀,就比如说呃,在某些客户端的一个对抗中会收集一些啊,来自于说呃。
63:40
鼠标滑动或键盘的一些行为轨迹去判断说呃,用户是机器人还是人啊,如果只是说通过一些后台分析的一些数据中去解析它当前的这个访问日志,并且解析它的一些呃行为的访问记录,就比如说这个用户是先访问了配置一,还是先访问配二而再访问配三的,如果说正常的用户呢,他是先访问配一到配二。
64:06
然后不会访问配置三的,而异常的用户呢,他会直接访问配置三,这种就可以通过一些啊,机器学习的一些行为,呃,机器学习一些动作,用来去分析这一个行为的分析,然后去识别说他当前的一个访问行为是不是不。然后大概现在大概说完BOT之后,就来说一下wa了,Wa呢是一个连接云上下,并且构筑应用安全防线的一个最重要的一道防线了,然后呢,其实可以无处不在,它其实有很多种的一种表现形式啊,就比如说它是可以直接放在CB上的,就比如说刚才演示我们在一开始那个视频里面演示的是说我们是怎么通过直接接入到里面来,但其实我们的接入方式其实还有很多,像是说呃一些呃来自于说CB的,我们可以如果说咱们是一个七层的一个负载均衡的一个C,就可以通过直接绑定监听器的方式快速去接入到咱们的一个W里面,然后快速实现说W的一个防护以及boot流量清洗。
65:15
并且呢,我们的一个BOT的一个对抗手段呢,技术,其实它不仅仅是说刚才也说到一点,就是说我们不仅仅是说单纯的依靠某几个维度的一些单一的一个数据啊,我们是通过多个维度去做的,就比如说有些是基础信数据,有的是呃客户端对抗这一块,还有另外一些是以后端流量分析,从前到后,就比如说我们会把一些已知类型的的一些基础信息数据把它给累积起来,就比如说有些是类似于说呃Google啊是这种的说一些定点一些网络这样的一个内容,并且呢,还有很类似一些IC的一些IP数据啊,威胁情报的一个IP数据啊,这边IP入账情报的话,我们使用了腾讯安全的一个威胁情报入账,这块的准确性是特别高的,特别是在检测一些威胁的攻击来源的情况下,会特别好,并且呢,我们累积了很多的一种已知的恶意爬虫的一些特征啊,然后这一块的话,其实相对来说。
66:15
就是有很多时候我们就可以通过这一批基础的一些信用数据,化未知为已知,快速的去把一些呃恶意的风险项提前排除,就比如说用了BOT之后,其实有很多呃多元低频的那种群控式的呃BOT爬虫其实很快就可能检测出来,他他他可能没做恶,我们就已经识别出来说哎,他是个about,然后给他下发一个人机识别这种挑战了,然后第二个模块呢,是一个客户端的一个风险识别,这里边显示是一个客户端对抗,然后客户端对抗这一块呢,其实主要是说呃。主要是说它当前的这一个里面的一个环境监测是什么,然后有没有一些页面访谈设计技术,有没有页面混淆技术,有没有中态验证技术啊,动态令牌技术这些,然后第三个呢,就是一个,呃,后端的一个流量分析技术,这边的话相对来说就是一个相对说比较复杂的一个行为分析啊,它其实里面包含好几个地方,就比如说它从一些绘画特征统计分析里面去看。
67:18
去知道说诶,他当前这个访问员这个访问会话,他究竟访问的都是个URL,访问都是个cookie啊,然后我们会把这些东西一一的去明确明细出来,并且呢,我们会通过一些特征行为分析啊,就比如说刚才提到的说我通过不同的page URL啊去进行一个分析,然后呢,并且呢,同时呢。我们会对一些异常特征水位里面的一个信息进行显示,就比如说有哪些特征呢?是一个超水位的一个访问的,有哪些特征呢?是一个呃正常水位这个访问的,并且我们会刚才我们的思域老师提到了,我们其实联合了科恩实验室,还有大数据实验室那边去做了一些专门定制的一些专家AI模型在里面,就比如说在面对检测多元地平分布式的时候,我们其实用到一些相关的AI技术去做一个连续性的一个探测,或者并且一个模型的一个建立,然后呢,去帮助我们的快速去分析出来说诶他当前这个流量是不是啊,是不是那个多元地屏的报啊,去解决这一页内难题,并且呢,有现在其实我们现在在一个动态的环境下,大家其实移动办公也越来越多了,并且大家的一个网络设备越来越复杂了,这个时候那我们其实很容易会碰到一个问题,如果说在。
68:36
原始的BOT的基础上,单一的是去封堵这一个IP下面的所有流量,其实特别不好的会导致说很多的一个业务会被中断,那这个时候我们就需要说一个账号维度体系的一个引入了,这里面其实就相当于说我们要去把一些账号体系的一个连连续性的会话分析这一个能力应用到上面,这里面的东西去确保说,哎,我不会去误封禁,误拦截这种异常的,呃,正常的流量不是异常流量去不。
69:07
去封禁异常流量,封禁正常流量啊。然后呢,我们通过上面这些治理之后呢,其实就可以做到一个报流量治理的闭环了,就比如说呃,我们可以通过整个闭环流程,其实是分为三步啊,就是相当于是他们是一个螺旋式前进的,首先第一步呢,我们要把这些东西给分析出来,分析出来之后呢,我们会对这些网络流量,BOT流量进行一个分类,去分类出来说诶,他当前是有好还是有坏啊,第三步是处置,然后我们这样子通过这种连续不断的一个呃闭环分析。处置分类这样的一个功能点呢,我们就可以完成一个boot流量这的一个闭环了,就比如说我们其实分析其实是有很多个模块的,就比如说有实时的,有离线的,我们就可以通过这个离线分析出来的些内容,去将当前这个访网络的一个访问请求的一个恶意程度给量化,并且呢,我们可以通过一个危信情报啊,智能统计啊,还有AI评估啊,进行一个打分,然后就和刚才我们四域老师说过的一样,我们会将这种呃有问题的一种报流量呢,会到零到100分去进行打分,并且分数越高,它的恶意程度会越大,然我们可以通过快速去通过这个零到100分这个评分进行快速处置,第二个呢,是一个。
70:26
分类,就比如说我们可以去区分,通过分数去区分开来,哪些是友好,哪些是恶意,哪些是一个有问题的BOT,并且呢可以支持场景化的一个配置,第三个呢是一个处置,处置的话就相当于是有多种动作可以去说啊,是拦截呢,还是重定向,还是去做一些人机识别这种挑战,并且呢,我们可以呃去定义一个更加细度的一个会话访问请求,然后这样的话就可以说避免说出口IP,导致说误拦截这个IP下面所有用户这样的情况,并且呢,我们会支持一个多多种策略去适应说不同业务和不同客户端的一个策略。
71:06
然后这一块的话,其实的话分类的话,其实分成几种啊,第一个分类呢,是说一个用户制定的标签分类,就是一个比较简单化的分类,然后呢,接下来我们也会就是啊在很快的版本,大家可以看到说我们其实已经帮大家去建立了一套说呃,可以防护的一些场景一个。配置啊,就比如说我们快速去访问这种来自登录场景下的秒杀场景下,或者是专门的一个爬文案,爬数据内容的一个对应的一个场景化,第三个呢,是基于一个意图识别的这样的一个分类了。还有就是处置,处置的话呢,其实是可以有多种的,就比如说它可以支持一个呃拦截支持验证码这种多种处置动作,但是呢,它其实不仅仅是包括说拦截验证码,它其实有很多的扩展呢,就比如说他要支持来自于多种组织动作,哪个路径做什么,多少分数做什么,都是需要支持的,并且呢,如果像在像是现在在这种说啊,我们用很多service这种业务里面的话,那其实的话还是需要说支持,说他不同路径,不同业务去做不同的组织策略。
72:15
这样的一个功能在里面,所以说我们处置也是需要一定的多样化的。好的,我的分享就到这里了,然后大家可以我扫左边这个二维码进群,然后呢,也可以扫一下右边这个二维码,然后领取一些相关的一些试用。哎,好的,我的分享到这里了,谢谢主持人。好的,非常感谢子阳老师的非常详细的一个介绍,那欢迎大家来回到我们的直播现场,在我们直播的过程当中呢,有很多同学都在积极的互动,以及包含提问,那我们选取了一些有共性以及有代表性的这样的一些问题来邀请两位专家进行解答,那第一个问题我们啊,第一个问题是这样的哈,他是说啊,有利用人工智能来防护变种的这个boat嘛,那这个问题呢,我们先来有请思雨老师来为我们解答。
73:20
嗯,好的,谢谢主持人,呃,这个问题我觉得提的很好啊。啊,当然从面上回答有啊,这个就结束了,开个玩笑就是呃,我们来,我来,我来深度想一下,就是呃,这位朋友问到的这个问题,他其实是想知道人工智能在这里面是吧,起了多大的作用。能不能帮助BOT去应对于比较多变的啊,这个不断迭代的这种BOT,我理解它是这样一个问题啊。并不是单纯的问我们有没有人工智能,那肯定是有的。首先为什么?呃要有这个人工智能,因为我们要做的是全链的检测,要做全层次BOT的防护,所以在这里面应对这种高级的防护以及BOT的变种,人工智能是必要的一个选择。那第二点呢,就是我们来拆解一下人工智能在这里面起到的作用。
74:16
第一啊,其实我们从字面上知道第一个人工,那其实人工智能这里面有很大一部分的能力,其实是人的经验的固化。是吧,我把专家和历年来处置这种恶意boat以及恶意boat的各种特征,这些能力和经验,我把它产品化。呃,策略化,代码化,给它固化下来,形成我相应的这种产品,这是其中人工的部分,智能的部分呢,在于我借助于AI的算法进行根据客户流量的不断习和不断迭代,这好比呃,我举一个稍微形象一点的例子,大家可能好理解,就是我们。啊,培养一个孩子去这个考清华北大啊,那么。
75:03
你想你不是说这个孩子他具备一个自主学习的能力,他就一定能考上,他要干嘛呢?他要好学校,找好老师,用好方法。啊,最终它才有比较大的这种可能性,那么所以在人工智能这个层面,如果大家去选择BOT的话,你在考量人工智能的话,那什么样的是更值得去你嗯,更值得你去选择呢?第一呢,这个人工智能就就好比我刚才列举的这个学生,那他建了好学校,这个好学校能够给他提供足够的学习资源。啊,那腾讯这样就是这样一个好学校,就是它有足够的用户数据和历史的这种业务数据,以及每天不断的在进行海量访问的这些,这个腾讯云上的这些弊端的客户,啊,所以它有足够大的这些样本和数据来给这个人工智能进行这个算法和训练模型的一些学习,那第二呢,就是你找老师,你要有足够强大的这种。
76:00
团队来帮助这个人工智能进行他的呃算法,包括他的模型的建立这些,那腾讯拥有的这些好老师,就是我们第一自身安全团队这些精,这个团队本身的这些搭建,汇聚了业内的比较顶尖的这些安全专家,那他们服务的对象,呃,就是腾讯的这些,呃客户都是像比如说四大行,比如说我们985的高校,比如说我们政府的部委级的客户,所以他面对的对手其实也是。呃,在在这个攻击者这个范围内,相对来说比较高级的攻击,或者说能力比较强的这种攻击,而且我们在历年的这种,呃。这个这个中保的这个这个成绩上都是非常亮眼的,所以我们有这样一群专业的团队啊,这是我们有的这个好老师,那第三呢,就是用到好方法,也就是我们本身在算法的能力调上,那么作为一个互联网公司,作为我们AI,在这个不仅是安全,甚至整个腾讯,包括腾讯云外已经充分利用了这样一个公司,其实在这个算法的能力上啊,大家是可以充分的去信任的啊,我们现在在用的腾讯的各种各样的一些软件,你可以看到这方面的一些能力,所以在这个层面下,那如果同样是具备人工智能的防的这种解决方案,我相信。
77:17
一起摆在大家面前的话,那你一定要选择这个从好学校,好老师和用了好方法学习的这个这个这个学生,那会更好的帮你达成你最终冲击这个清北的这个效果啊这样一个例子,希望能够啊这位那个朋友的提问。好的,谢谢思雨老师非常详细的一个解答啊,那我这边有看到第二个问题是啊,如何预先感知BOT的攻击,并对其呢采取防范的措施,那这个问题我们来有请子阳老师来为我们解答。
78:02
好的,谢谢主持人,呃,这个问题的话其实特别有意思,就其实相当来说,我们是如何去把他们的一个一些,我们如何去画位知为已知,去抵御这个位置的一个攻击流量在里面,那这个时候呢,其实是有一些方式可以做到的,就比如说我们通过刚才的一个,哎,我们刚才就和思雨老师说一样,说我们有一些比较丰富,特别丰富的一些对抗BOT的经验,那这个时候呢,我们就可以把这种对抗BOT的经验复用到说这种anti BOT的这种场景里面,然后因为有这个anti BOT的经验的话,我们就可以在这个BOT流量过来的时候,我们就可知道说诶快速的马上去检测到说诶这个流量就是一个BOT流量,那这样的时候,我们就可以快速对它进行一个检测。处置,然后我们就可以说诶。能做到一个位知为已知,然后去预先感知到说当前这个有BOT攻击,然后呢,我们就可以在BOT攻击对我们对我们的业务。
79:12
产生影响之前,我们就会对他进行一个处置了,相上来说是一个比较好的一个手段,就是一个类似于说我通常一个经验的一个学习,并且呢,加上一些AI的一个识别行为,识别出来说这是一个攻击,就可以比较好的去抵御这种说未发生的这种攻击。好的,谢谢子阳老师啊,我这边呢,有第三个问题是说啊,如何来去设纵深防御的这样的一个架构啊,这一块的话呢,我们请老师来看一下。嗯。嗯,好的,那个我是这样理解这个问题的哈。
80:01
呃,可能这个,呃,这位用户他提的这个纵深防御架构呢,呃是包含了,就是我们如何来解决。这个Bo的相关的问题啊,因为呃,我们今天呢,是单纯从Bo的这个方面去,呃,就是这个模块的一个能力来去聊如何去啊,当然我理解他的担忧,就是说呃,可能这个不是一个头痛医头,脚痛医脚的一个一个问题,那么我们需要代呃或者叠加多个纵深防,然后能够确保我们用户防御的万无一失,这个肯定是没问题的,因为。我们现在的这个,呃,我我前面在这个介绍上以后里里面已经提到了,就是其实Bo它的影响范围绝不是说只是防爬啊,只是防刷这样一个阶段,它在你的数据安全,在你的网络安全层面,其实都会产生相应的影响,那么我们的防护其实应该也是更全面的,我理解他想要的纵深防御也是在这个层面去解决问题,那其实腾讯的我们还是从腾讯wap的这个角度来讲,我们能够给客户提供的这个动防御,或者说叫整体解决方案吧,我觉得更合适一点,那么就是第一呢,我从。
81:20
基础安全上,其实map能够借助于它AI加语义的这种双引擎的呃规则,然后来帮助客户在基础安全上,比如说一些SQ注入啊等等我们这些常见的啊的这种十大啊这个啊。问题来来进行初步的一个安全能力的一个搭建,第二呢,AI引擎来帮他进行智能的这种呃防护能力的一些识别,然后第三呢,就是他在基础安全层面还会有一些呃,他需要去搭建的一些呃基础能力,这是也是wap能够提供给他的,比如说防问控制,基于地域的一些封禁呢啊等等啊这类的有比较有特征的这种访问能力,我可以去封禁啊,某个地区或者说国外的一些啊来源的这些I,然后呢,再借助于呃其他的,比如说我们再深入一点,通过智能CC的一些去拦截一些高频CC的一些啊,超高频的这类的一些攻击啊,然后通过IP封禁的方式对他进行一些惩,那这是我们在前面安全去他搭建的一套御体系,然后再进一步按他说的进一步纵深的话。那么我们对于。
82:31
所有的这些执行工具啊,那脚本,那这些我们可以借助于防爆的模块,就像我们刚才说的,呃,我们呃通过子阳老师介绍的这个最佳实践,我们来搭建这样一套呃,非常简单的基于这种呃这个评分体系的一套BOT的防护防线。然后除此之外呢,其实我们今天没有来得及介绍的,还有还有就是我们API的一些能力,因为现在我们可以看到就是API的流量,呃,API的这个这个访问啊,这个已经已经占到了应该是80%左右啊,就是API接口的这个访问,所以呃,那随着我们现在API的这个资产也在不断的一些爆发,这里也是客户安全问题的一个重灾区啊,但今天没有时间去详细介绍,那其实腾讯的wa这里的能力都是具有的,那除了防之外,那重要的这个API接口,我们是可以提供这样的模块来帮助客户进行API这个资产的一些梳理,然后场景的一些呃识别,比如说它有一些敏感的一些信息啊,然后包括呃,API资产的一些变化呀,以及包括API接口的一些,呃,一些调用的一些异常的一些方式,这些帮客户去识别到,再加上。
83:44
啊,然后我们去联动腾讯的威胁情报和腾讯的天域的这个,呃,流量风控啊,来帮助业务安全层面和这个精准识别的这些层面进行进一步的联动,这样就是,呃,我理解其实我们就是一个在web层面自己就做到了一个纵深的这样一个体系,或者说我们叫一个整体的一个解决方案,嗯。
84:08
好的,谢谢思雨老师啊,我们这边呢,在直播间有看到这样的一个问题,是有问啊,公司的电商直播业务流量在企业本地的IDC的机房,那么请问腾讯安全的防护是如何把流量接入并进行防护的呢?啊这个问题呢,我们来请子阳老师来我们解答一下。好的,谢谢主持人啊,这个问题其实问的特别特别特别好,就是我们外呢,其实是一个连接云上云下的一款啊,构筑应用安全防线的一个一个,呃,安全防护内容。嗯,软件嘛,然后其实我们是一种SAS化的一种服务来的,这个时候呢,我们可以通过一些方式去快速的去帮他做一些流量引,就比如说我们通过使用ss wa的一个形式,将DNS的流量解析解析到wa上面,然后wa原到咱们的一个IDC机房里面,这样的话就呢是比较好的去要说去清洗这一部分的一个boot流量,那这一块的话,其实在这一块的一个配置上呢,啊,其实是有一些呃方式,其可以去做到更好的去做到一些啊流量清洗的,并且呢,如果说呃这个呃ID方如果说后面上的话,还可以快速的通过接入我们的一个C,然后大概就是一个不需要造一个网络架构的形式,就可以快速去接入这种wa,哎,快速去接入并且清洗这种boot流量了,这个问题接下来我们可以稍后大家哎,我们一起来看一下,然后。
85:52
我私下交流一下。好的,谢谢子阳老师,那也请啊,我们这也也看我们今天然后呢,已经回复的这些啊,同学们呢,然后也可以加入到我们的这个微信群当中,然后呢,可以跟我们两位专家,然后呢来去做更多的这样的一个交流和互动。
86:17
OK,那我们今天的这个互动的这个环节呢,就到这了,那接下来呢,我们将啊开启我们再次的这个抽奖环节啊,本轮呢,我们是为大家准备了30个怪企鹅的这个头,首先呢,还是请大家扫描我们屏幕二维码,然后进群,我们将告诉大家这一次获取礼品的这个密钥,呃,前30名呢,在我们微信群内分享密钥的同学将获得礼品。好的,那接下来呢,请大家听我的密钥口令啊,我这边的密钥口令是基于数据驱动的动态闭环BOT管理。
87:02
请大家将基于数据驱动的动态闭环管理发布在我们的微信群中。好,我再重复一遍,我们的口令是基于数据驱动的动态闭环管理。那恭喜我们前十名的同学,这一块呢,我们的微信的小助理将会联系大家,然后呢获再领取礼品。啊,那我们今天的BOT防护场景的这个实战课可以说是干货满满,但因为时间的这个关系呢,我们这次的直播只能先告一段落了,那我相信呢,还会有很多的这个观众意犹未尽,那么请大家持续的关注我们腾讯安全的动态,我们引擎云原生安全实战加速舱将会有更多的系列的实战课与您来分享,那我们今天的直播就跟大家说再见了,我是主持人陈娟娟,再次感谢所有观众的参与,谢谢大家,再见。
我来说两句