直播回顧 |【原引擎】演唱會門票被“秒光”,如何利用高科技防微杜漸?
摘要: 騰訊安全聯(lián)合安在新媒體舉辦了“【原引擎】場景實戰(zhàn)系列”直播活動,為觀眾們的“購票體驗”提出了實際可行的解決方案
疫情結(jié)束后,文娛產(chǎn)業(yè)迎來復(fù)蘇潮,線下演唱會的全面開啟讓人們可以再度享受現(xiàn)場音樂的魅力。然而,“搶票難”成為了消費者面臨的一個大問題,企業(yè)在營銷場景中面臨的挑戰(zhàn)也隨之而來。
如何提供良好的購票體驗?如何防止惡意褲羊毛行為?為此,4月13日晚,騰訊安全聯(lián)合安在新媒體舉辦了“【原引擎】場景實戰(zhàn)系列”直播活動,為觀眾們的“購票體驗”提出了實際可行的解決方案,幫助企業(yè)提供更加安全、穩(wěn)定、公平的購票服務(wù)。
此次直播特地邀請了騰訊安全營銷風(fēng)控資深專家王雷雷和騰訊云高級安全攻防工程師馬子揚兩位專業(yè)講師,為大家講解該如何在購票服務(wù)中打贏營銷風(fēng)控保衛(wèi)戰(zhàn),同時又該如何通過高科技有效防護新型BOT攻擊。
由于黃牛搶購門票的行為,導(dǎo)致門票的供求失衡,進而引發(fā)市場價格的不合理上漲,增加了公眾的票務(wù)成本。此外,黃牛通過搶票行為,破壞了正常的購票機制和秩序,導(dǎo)致普通用戶無法獲取門票,從而增加了票務(wù)的不公平性和不透明性。
可以看到,現(xiàn)實中城市售票網(wǎng)同時支持會員和非會員購票,非會員無需登錄即可購票。同時針對超熱賣活動,由于地區(qū)的特殊性沒有進行購票的實名認證,增加了抵御黃牛的難度。在此背景下,客戶和騰訊項目團隊需要利用技術(shù)防護措施來有效限制黃牛搶票,以保證大部分的正常用戶的正常購票。
當前的反黃牛安全防護架構(gòu)。無論是正常用戶還是黃牛,首先要經(jīng)過WAF集群,這是第一道防線,接下去會有一些BOT設(shè)置和區(qū)域的設(shè)置進行攔截。經(jīng)過WAF之后,在真正的業(yè)務(wù)系統(tǒng)里,大多數(shù)企業(yè)會用驗證碼區(qū)分人和機器人,同時業(yè)務(wù)側(cè)也會有一些基本的策略防護,比如登陸限制、人機識別、業(yè)務(wù)規(guī)則等。
然而當前的安全防護架構(gòu)看似防護手段挺多,但其實效果并不理想。比如,WAF的防護策略需要不斷進行優(yōu)化和更新,不斷學(xué)習(xí)和適應(yīng)新的攻擊方式和威脅模式,以提高防御效果和安全性。同時,需要根據(jù)實際情況和需求,采取多種技術(shù)手段和優(yōu)化策略,以達到更好的效果。
02.防護增強建議方案
對此,騰訊安全提出了防護增強建議方案。首先在結(jié)構(gòu)體系上依舊將WAF作為第一道防線,接下來部署圖靈盾系統(tǒng),利用其設(shè)備指紋和風(fēng)控能力抵御和緩解來自移動App端的BOT攻擊。
之后使用多種驗證模式,如文字點選,圖形點選,增加黃牛破解的難度,和圖靈盾配合使用,對圖靈盾標簽高風(fēng),險,中風(fēng)險和低風(fēng)險請求,分別彈不同難度類型的驗證碼。最后在業(yè)務(wù)層可部署風(fēng)控引擎,在支付環(huán)節(jié)對黃牛進行判斷、分析,配合業(yè)務(wù)端對黃牛進行最后的攔截。
從流程上來看,不一樣的地方在于,其一是多驗證模式;其二是設(shè)備指紋的能力;其三是業(yè)務(wù)防護策略,客戶可以自定義一些策略,比如禁止哪些非業(yè)務(wù)國家的IP訪問等;其四是支付風(fēng)控,根據(jù)用戶的卡號、信用卡號等一系列信息判斷對方是不是潛在的黃牛,從而再配置一些策略。
這樣從前端WAF到中間的設(shè)備判斷、業(yè)務(wù)判斷,再到最后的支付判斷,把整個的判斷鏈路加長,從而過濾掉絕大多數(shù)的黃牛黨,這是騰訊安全建議的比較完整的一個安全鏈路。
03.細節(jié)
在設(shè)備指紋方面,其可識別假人假機、假人真機和真人真機三類風(fēng)險;驗證碼方面,提供多種驗證方式,業(yè)務(wù)防護策略可根據(jù)自身場景需求,選擇合適的驗證碼類型接入。通過結(jié)合圖靈盾返回的請求風(fēng)險標簽,調(diào)用不同的驗證方式,在抵御黃牛搶票的同時保證用戶的溝通體驗。
在支付風(fēng)控方面,騰訊安全設(shè)置了RCE海外交易風(fēng)險識別,無監(jiān)督學(xué)習(xí)發(fā)現(xiàn)欺詐團伙實現(xiàn)事前風(fēng)險感知,其基于手機號、設(shè)備、IP建立時域關(guān)聯(lián)網(wǎng)絡(luò),利用社群發(fā)現(xiàn)、風(fēng)險傳播等無監(jiān)督算法發(fā)現(xiàn)黑產(chǎn)團伙,識別潛在新型欺詐威脅;其中,識別算法目前主要是基于時間因素結(jié)合IP跳變,卡畫像,聚集性分析和卡以及黑名單進行的風(fēng)險排查,具體到案例可以發(fā)現(xiàn)同一張信用卡/郵箱在短時間存在重復(fù)購買和IP的切換。
RCE海外交易風(fēng)險識別有兩處測試場景:對其中一場熱賣活動的歷史數(shù)據(jù)進行分析,訂單數(shù)量為1167,總共涉及票數(shù)2795張,經(jīng)RCE風(fēng)控引警分析識別出中高風(fēng)險訂單數(shù)220個占比18.85%,對應(yīng)票數(shù)936張占比33.48%,中風(fēng)險訂單數(shù)84個占比7.19%,對應(yīng)票數(shù)154張占5.50%。
對另一場熱賣活動的歷史數(shù)據(jù)進行分析。訂單數(shù)5597個,出售票數(shù)12254,目前可能存在中風(fēng)險交易個數(shù)683個,票數(shù)1362個,高風(fēng)險交易172個,票數(shù)377個;整體中風(fēng)險占比12.2%,高風(fēng)險占比3.1%。
結(jié)論: 測試結(jié)果與客戶追溯結(jié)果高度吻合,預(yù)計線上模型可以幫助客戶識別更多未發(fā)現(xiàn)黃牛,協(xié)助業(yè)務(wù)風(fēng)控策略進行攔截。
01.挑戰(zhàn)和相關(guān)技術(shù)
當下面對黃牛時會遇到全新的技術(shù)挑戰(zhàn)和安全風(fēng)險,其分為四類,首先是服務(wù)器資源消耗,由于黃牛機器人大量注冊賬戶并發(fā)起搶購請求,可能導(dǎo)致服務(wù)器資源過載,涌入大量的服務(wù)請求,導(dǎo)致服務(wù)器報錯,進而影響正常用戶的購票體驗;其次是網(wǎng)絡(luò)攻擊,為了搶購門票,黃牛可能采取網(wǎng)絡(luò)攻擊手段,如DDoS攻擊試圖使競爭對手的服務(wù)器耀瘓從而提高自己的搶購成功率。
還有數(shù)據(jù)泄露風(fēng)險,黃??赡芡ㄟ^非法手段獲取用戶數(shù)據(jù),包括用戶的個人信息購票記錄等,這可能導(dǎo)致用戶信息泄露,增加平臺的安全風(fēng)險;最后是平臺口碑影響,由于黃牛機器人大量注冊賬戶井發(fā)起搶購請求,可能導(dǎo)致服務(wù)器資源過載,進而影響正常用戶的購票需求,影響平臺售賣口碑。
黃牛常用的技術(shù)手段有:大量注冊賬戶,黃牛通過大量注冊賬戶,繞過單個用戶購票數(shù)量限制。這樣,即使每個賬戶只能購買有限數(shù)量的門票,黃牛依然可以搶購到大量門票。
另外,黃牛還擁有類似于VPN、IP 代理、IDC等資源,他們可以通過IP代理切換,實現(xiàn)業(yè)務(wù)資源的多次票據(jù)購買。
第三點,自動化填寫與提交,黃牛通過機器人可以自動填寫購票信息,包括購票者姓名、聯(lián)系方式、支付方式等,這使得黃牛在搶購過程中比普通用戶更具優(yōu)勢,比如本來填寫表單需要一分鐘,黃牛五秒就能填寫完,同時黃牛還可以利用網(wǎng)絡(luò)爬蟲技術(shù)監(jiān)控門票發(fā)售時間,并在第一時間搶購,這使得黃牛機器人在門票發(fā)售一開始就搶購到大量門票,而普通用戶則很難有機會購買。
第四,一些比較高端的攻擊者會嘗試驗證碼的識別、饒過和破解,比如在一些場景下可能會嘗使用驗證碼識別破解技術(shù)來繞過系統(tǒng)的安全防護措施,從而獲取更多的票務(wù)搶購商品等資源,從中牟利。黃牛在這過程中會用到一些類似于圖像識別、文字識別來提取這種信息,他們會通過一些OCR技術(shù)饒過驗證碼進行破解,比如最近很火的chatgpt,已經(jīng)有部分人嘗試用chatgpt找到驗證碼的漏洞。
黃牛和BOT具有相同的技術(shù)特征。黃牛、機器人BOT在訪問特征和真實用戶方面相似,比如他們訪問序列一樣,從登陸到搶購,他們這一系列的行為基本保持一致,并且由于黃牛在進行票物搶購時,它的訪問序列較為固定,因此在訪問特征較為固定的情況下,可以認為黃牛的行為和BOT是一樣的,他們都有相同的訪問特征和訪問行為。
這樣就會產(chǎn)生一些混淆的點,我們要怎么將黃牛真人和黃牛BOT區(qū)分開來?黃牛和BOT都有主要的一些獲利點,比如他們的共同目標是獲取數(shù)據(jù),模擬用戶行為對業(yè)務(wù)相關(guān)信息進行獲取,比如用戶業(yè)務(wù)數(shù)據(jù)(用戶關(guān)系、用戶信 )、業(yè)務(wù)支撐數(shù)據(jù)(音視、小說、醫(yī)文)、業(yè)務(wù)敏感數(shù)據(jù)( 越權(quán)客戶敏感信息、賬單、訂單地址 );第二是資源搶占,比如秒殺、搶購、活動名額、優(yōu)惠券等;第三它會影響一些投放效果,比如當前這個活動,可能會有100張門票進行投放,但這個時候黃牛大概把98張票給搶完了,因此到時就只有兩個人真正享受到了這次活動的福利,這就會影響到整體活動的投放效果。
02.BOT識別和對抗方案
在這種情況下,我們就需要一個比較好的方式去構(gòu)建多維度的識別和對抗方案。治理BOT和黃牛的關(guān)鍵在于識別和管控。識別:識別黃牛黨流量是重中之重,它決定了能檢出準確度與數(shù)量的多少;管控:支持多種管控動作,正確快速管理處置異常流量,不影響正常用戶。
對抗黃牛的技術(shù)手段分為四點。我們可以通過注冊保護來防護,第一點是通過前期的客戶端風(fēng)險識別,去分析客戶的設(shè)備信息,如果發(fā)現(xiàn)當前這個設(shè)備有多注冊或者重復(fù)注冊的情況,就判定這個可能是來自黃牛黨的注冊?;蛘咄ㄟ^行為特征發(fā)現(xiàn)是異常的注冊情況,或者從他的注冊郵箱特征里發(fā)現(xiàn)是小號、解碼平臺等,這就是在注冊層面的防護,可以從源頭上阻隔這一部分的訪問請求。
其次是通過IP威脅情報和限流防護。對使用類似于代理IP這樣的訪問,比如通過威脅情報去發(fā)現(xiàn)這個IP是不是來自于代理,或這個IP之前有沒有相關(guān)信息,平臺因此可以對這些IP進行封禁,從而限制黃牛機器人的強迫行為。
第三個是重中之重,就是通過特定的方式去對抗自動化的攻擊填寫。舉個例子,如果在當前的搶購頁面里去識別當前搶購的人,到底是人還是機器?對方有沒有采用一些類似于瀏覽器、模擬器或者腳本工具進行訪問?而騰訊客戶端風(fēng)險識別就具備這一能力,會嘗試去看當前的瀏覽器里是不是有被控制,如果被控制,可以接著識別出會不會存在問題,比如可以識別當前訪問是不是用腳本發(fā)起來的,或者說是不是通過什么方式進行訪問的。此外還有一些其他的訪問行為特征,比如頁面停留時間、平均訪問速度等,會和正常的用戶行為特征做比對,然后通過這些特征去識別當前訪問請求是不是自動化的請求。
驗證碼對抗:限速機制可以限制用戶在一定時間內(nèi)的請求次數(shù),降低黃牛機器人的搶購速度。驗證碼機制要求用戶在購票過程中輸入驗證碼,從而阻止自動化程序進行搶購這些方法可以提高黃牛機器人的操作難度,降低其拍購成功率。
通過這四個方向?qū)裹S牛主要分成三個層次,第一個層次是客戶端風(fēng)險識別,其包含五項內(nèi)容:1、客戶端風(fēng)險識別,識別當前客戶端是否腳本、selenium或headless。2、頁面反調(diào)試,識別當前客戶端是否開啟開發(fā)者模式。3、驗證碼機制,通過特定挑戰(zhàn)識別當前是否具備完成驗證碼的能力。4、客戶會話識別,識別在公共出口下的不同客戶端客戶端。5、威助情報,已知Bot類型和威助情報可被識別出來。
第二個層次是特征與數(shù)據(jù)統(tǒng)計,其包含五項內(nèi)容:1、異常訪問特征,識別非正常的 http 請求中的訪間特征。2、異常行為特征,識別非正常的 http 中的行為特征。3、訪問特征統(tǒng)計,統(tǒng)計當前 http訪問流中所有訪問特征。4、異常特征統(tǒng)計,識別處多個 http 訪問流中出現(xiàn)異常訪問特征。5、訪問水位統(tǒng)計,識別當前請求流中,對應(yīng)客戶端、IP是否超出正常訪問水位。因為黃牛是一個比較特殊的群體,它的訪問特征相對整體水位來說,要遠超正常用戶,所以如果有一個相關(guān)的水位統(tǒng)計,其實就可以比較好的識別出黃牛。
第三個層次是AI異常行為分析,其包含三部分內(nèi)容:1、賬號維度下的連續(xù)會話特征分析,識別當前賬號會話的訪問特征。2、AI異常行為檢測模型,通過AI 模型實現(xiàn)異常訪問行為發(fā)現(xiàn)。3、AI異常特征檢測模型,通過AI 模型實現(xiàn)異常訪問特征及水異常發(fā)現(xiàn)。
說完識別以后接下來是管控,比如通過常規(guī)的基礎(chǔ)規(guī)則,可以識別出大量的無效流量,像黑名單規(guī)則、行為規(guī)則,還有一些其他的規(guī)則。通過這些規(guī)則可以快速把一些異常流量摘出來,然后讓市場流量給放行出去了,這部分內(nèi)容按照之前BOT對抗的情況來看,其具備三個大的難點。第一是開發(fā)工作和業(yè)務(wù)是強耦合的;第二是需要部署的方案較重;第三是單純按著黑白規(guī)則去看,它的誤報可能有點多。
那么在這里就可以看出來了,當前的BOT治理,在識別上 需要這些經(jīng)驗,比如多維度的識別,包括但不限于客戶端風(fēng)險識別、行為分析,還有依賴專家經(jīng)驗去預(yù)設(shè)威脅分析模型。并且它需要AI的識別和分析,去了解當前流量的特征里,有多少是正常的,有多少是異常的。
還有就是需要實時更新的第一手情報信息,去發(fā)現(xiàn)當前哪些IP流量是有問題的,哪些又是代理的,這樣就能提前做好預(yù)判。
然后就可以快速做一些管控了。在管控方面需要具備:
1、SaaS化的交付模式:無需深度業(yè)務(wù)定制,開箱即用,快速落地上線。
2、深入淺出的判定機制: 深刻洞察人機特征,并簡化為最直觀的分數(shù)判定,優(yōu)化決策。
3、形成管理閉環(huán) : 分析--分類--管理。
4、不同場景精細化管控。
當下和黃牛、BOT的對抗強度特別大,他們的攻擊行為可能一天一個更新,用戶在發(fā)起規(guī)則變更后,可能不到六七個小時,黃牛就已經(jīng)能看清這些規(guī)則了,然后他們就會主動發(fā)起新一輪挑戰(zhàn)。在沒有專家經(jīng)驗的情況下,面對這些挑戰(zhàn)需要做一個“兩步走”的最佳實踐。
首先第一步是可以通過細分場景去做策略,比如登錄場景的去做登錄場景的事,然后就可以快速簡化配置;其次可以通過不同場景配置,比如登錄場景的業(yè)務(wù)就只開登錄場景,比如要如何去防護自動化的注冊?就可以通過在這里面把自動化注冊和工作場景開起來,這樣就能快速把登錄注冊的BOT提前攔截掉,這樣在不同的細分領(lǐng)域里去細分配置策略,可以達到精準攔截的效果。
第三點,針對不同黃牛、不同BOT需要不同的訪問規(guī)則,因此就需要配置多套動作模板,這樣針對不同黃牛、不同流量就可以執(zhí)行不同動作,也更加精細了。
在BOT與黃牛治理方面,其具備閉環(huán)的流程。首先是對BOT進行全量分析,然后對其中的模塊能力進行配置,分析完配置之后,可得出相關(guān)的BOT得分,最后根據(jù)得分進行分析,形成日志。
提問環(huán)節(jié)
提問一:在流量更多的場景中,事前需要做哪些部署才能在保障用戶訪問的同時精準攔截惡意流量?
王雷雷:首先需要對客戶端進行檢測,看是否存在被利用的漏洞;其二,在節(jié)日當天接入風(fēng)控能力,對于手機號、ID進行識別,做到實時攔截。
馬子揚:提前防控需要提前把流量進入到騰訊的模型里,因為流量模型的學(xué)習(xí)需要時間,提前接入業(yè)務(wù)流量可以盡可能快速地學(xué)習(xí),知道什么訪問行為是真實,什么是異常。
提問二:安全和應(yīng)用性本身存在一定的矛盾,多重驗證有時會影響用戶的使用體驗,要怎么平衡兩者的關(guān)系?
王雷雷:首先可以識別客戶的風(fēng)險等級,可以針對不同風(fēng)險等級的用戶采取不同的驗證測試。針對高風(fēng)險客戶可以直接采取比較強制的措施,針對那些可疑的人群,按照可疑度不同,或直接攔截,或給予不同的驗證模式。
馬子揚:騰訊WAF里有客戶端風(fēng)險識別模塊,其可直接識別出當前的訪問請求是否異常,騰訊通過前置的無感驗證,可以提前把一些異常訪問請求攔截,因此正常用戶在進行訪問請求時,難以遇到驗證碼多次彈出的情況。
如何提供良好的購票體驗?如何防止惡意褲羊毛行為?為此,4月13日晚,騰訊安全聯(lián)合安在新媒體舉辦了“【原引擎】場景實戰(zhàn)系列”直播活動,為觀眾們的“購票體驗”提出了實際可行的解決方案,幫助企業(yè)提供更加安全、穩(wěn)定、公平的購票服務(wù)。
此次直播特地邀請了騰訊安全營銷風(fēng)控資深專家王雷雷和騰訊云高級安全攻防工程師馬子揚兩位專業(yè)講師,為大家講解該如何在購票服務(wù)中打贏營銷風(fēng)控保衛(wèi)戰(zhàn),同時又該如何通過高科技有效防護新型BOT攻擊。
《天價演唱會門票秒罄,平臺如何打響營銷風(fēng)控保衛(wèi)戰(zhàn)?》
王雷雷 騰訊安全營銷風(fēng)控資深專家
01.背景王雷雷 騰訊安全營銷風(fēng)控資深專家
由于黃牛搶購門票的行為,導(dǎo)致門票的供求失衡,進而引發(fā)市場價格的不合理上漲,增加了公眾的票務(wù)成本。此外,黃牛通過搶票行為,破壞了正常的購票機制和秩序,導(dǎo)致普通用戶無法獲取門票,從而增加了票務(wù)的不公平性和不透明性。
可以看到,現(xiàn)實中城市售票網(wǎng)同時支持會員和非會員購票,非會員無需登錄即可購票。同時針對超熱賣活動,由于地區(qū)的特殊性沒有進行購票的實名認證,增加了抵御黃牛的難度。在此背景下,客戶和騰訊項目團隊需要利用技術(shù)防護措施來有效限制黃牛搶票,以保證大部分的正常用戶的正常購票。
當前的反黃牛安全防護架構(gòu)。無論是正常用戶還是黃牛,首先要經(jīng)過WAF集群,這是第一道防線,接下去會有一些BOT設(shè)置和區(qū)域的設(shè)置進行攔截。經(jīng)過WAF之后,在真正的業(yè)務(wù)系統(tǒng)里,大多數(shù)企業(yè)會用驗證碼區(qū)分人和機器人,同時業(yè)務(wù)側(cè)也會有一些基本的策略防護,比如登陸限制、人機識別、業(yè)務(wù)規(guī)則等。
然而當前的安全防護架構(gòu)看似防護手段挺多,但其實效果并不理想。比如,WAF的防護策略需要不斷進行優(yōu)化和更新,不斷學(xué)習(xí)和適應(yīng)新的攻擊方式和威脅模式,以提高防御效果和安全性。同時,需要根據(jù)實際情況和需求,采取多種技術(shù)手段和優(yōu)化策略,以達到更好的效果。
02.防護增強建議方案
對此,騰訊安全提出了防護增強建議方案。首先在結(jié)構(gòu)體系上依舊將WAF作為第一道防線,接下來部署圖靈盾系統(tǒng),利用其設(shè)備指紋和風(fēng)控能力抵御和緩解來自移動App端的BOT攻擊。
之后使用多種驗證模式,如文字點選,圖形點選,增加黃牛破解的難度,和圖靈盾配合使用,對圖靈盾標簽高風(fēng),險,中風(fēng)險和低風(fēng)險請求,分別彈不同難度類型的驗證碼。最后在業(yè)務(wù)層可部署風(fēng)控引擎,在支付環(huán)節(jié)對黃牛進行判斷、分析,配合業(yè)務(wù)端對黃牛進行最后的攔截。
從流程上來看,不一樣的地方在于,其一是多驗證模式;其二是設(shè)備指紋的能力;其三是業(yè)務(wù)防護策略,客戶可以自定義一些策略,比如禁止哪些非業(yè)務(wù)國家的IP訪問等;其四是支付風(fēng)控,根據(jù)用戶的卡號、信用卡號等一系列信息判斷對方是不是潛在的黃牛,從而再配置一些策略。
這樣從前端WAF到中間的設(shè)備判斷、業(yè)務(wù)判斷,再到最后的支付判斷,把整個的判斷鏈路加長,從而過濾掉絕大多數(shù)的黃牛黨,這是騰訊安全建議的比較完整的一個安全鏈路。
03.細節(jié)
在設(shè)備指紋方面,其可識別假人假機、假人真機和真人真機三類風(fēng)險;驗證碼方面,提供多種驗證方式,業(yè)務(wù)防護策略可根據(jù)自身場景需求,選擇合適的驗證碼類型接入。通過結(jié)合圖靈盾返回的請求風(fēng)險標簽,調(diào)用不同的驗證方式,在抵御黃牛搶票的同時保證用戶的溝通體驗。
在支付風(fēng)控方面,騰訊安全設(shè)置了RCE海外交易風(fēng)險識別,無監(jiān)督學(xué)習(xí)發(fā)現(xiàn)欺詐團伙實現(xiàn)事前風(fēng)險感知,其基于手機號、設(shè)備、IP建立時域關(guān)聯(lián)網(wǎng)絡(luò),利用社群發(fā)現(xiàn)、風(fēng)險傳播等無監(jiān)督算法發(fā)現(xiàn)黑產(chǎn)團伙,識別潛在新型欺詐威脅;其中,識別算法目前主要是基于時間因素結(jié)合IP跳變,卡畫像,聚集性分析和卡以及黑名單進行的風(fēng)險排查,具體到案例可以發(fā)現(xiàn)同一張信用卡/郵箱在短時間存在重復(fù)購買和IP的切換。
RCE海外交易風(fēng)險識別有兩處測試場景:對其中一場熱賣活動的歷史數(shù)據(jù)進行分析,訂單數(shù)量為1167,總共涉及票數(shù)2795張,經(jīng)RCE風(fēng)控引警分析識別出中高風(fēng)險訂單數(shù)220個占比18.85%,對應(yīng)票數(shù)936張占比33.48%,中風(fēng)險訂單數(shù)84個占比7.19%,對應(yīng)票數(shù)154張占5.50%。
對另一場熱賣活動的歷史數(shù)據(jù)進行分析。訂單數(shù)5597個,出售票數(shù)12254,目前可能存在中風(fēng)險交易個數(shù)683個,票數(shù)1362個,高風(fēng)險交易172個,票數(shù)377個;整體中風(fēng)險占比12.2%,高風(fēng)險占比3.1%。
結(jié)論: 測試結(jié)果與客戶追溯結(jié)果高度吻合,預(yù)計線上模型可以幫助客戶識別更多未發(fā)現(xiàn)黃牛,協(xié)助業(yè)務(wù)風(fēng)控策略進行攔截。
《如何通過高科技有效防護新型BOT攻擊》
馬子揚 騰訊云高級安全攻防工程師
馬子揚 騰訊云高級安全攻防工程師
01.挑戰(zhàn)和相關(guān)技術(shù)
當下面對黃牛時會遇到全新的技術(shù)挑戰(zhàn)和安全風(fēng)險,其分為四類,首先是服務(wù)器資源消耗,由于黃牛機器人大量注冊賬戶并發(fā)起搶購請求,可能導(dǎo)致服務(wù)器資源過載,涌入大量的服務(wù)請求,導(dǎo)致服務(wù)器報錯,進而影響正常用戶的購票體驗;其次是網(wǎng)絡(luò)攻擊,為了搶購門票,黃牛可能采取網(wǎng)絡(luò)攻擊手段,如DDoS攻擊試圖使競爭對手的服務(wù)器耀瘓從而提高自己的搶購成功率。
還有數(shù)據(jù)泄露風(fēng)險,黃??赡芡ㄟ^非法手段獲取用戶數(shù)據(jù),包括用戶的個人信息購票記錄等,這可能導(dǎo)致用戶信息泄露,增加平臺的安全風(fēng)險;最后是平臺口碑影響,由于黃牛機器人大量注冊賬戶井發(fā)起搶購請求,可能導(dǎo)致服務(wù)器資源過載,進而影響正常用戶的購票需求,影響平臺售賣口碑。
黃牛常用的技術(shù)手段有:大量注冊賬戶,黃牛通過大量注冊賬戶,繞過單個用戶購票數(shù)量限制。這樣,即使每個賬戶只能購買有限數(shù)量的門票,黃牛依然可以搶購到大量門票。
另外,黃牛還擁有類似于VPN、IP 代理、IDC等資源,他們可以通過IP代理切換,實現(xiàn)業(yè)務(wù)資源的多次票據(jù)購買。
第三點,自動化填寫與提交,黃牛通過機器人可以自動填寫購票信息,包括購票者姓名、聯(lián)系方式、支付方式等,這使得黃牛在搶購過程中比普通用戶更具優(yōu)勢,比如本來填寫表單需要一分鐘,黃牛五秒就能填寫完,同時黃牛還可以利用網(wǎng)絡(luò)爬蟲技術(shù)監(jiān)控門票發(fā)售時間,并在第一時間搶購,這使得黃牛機器人在門票發(fā)售一開始就搶購到大量門票,而普通用戶則很難有機會購買。
第四,一些比較高端的攻擊者會嘗試驗證碼的識別、饒過和破解,比如在一些場景下可能會嘗使用驗證碼識別破解技術(shù)來繞過系統(tǒng)的安全防護措施,從而獲取更多的票務(wù)搶購商品等資源,從中牟利。黃牛在這過程中會用到一些類似于圖像識別、文字識別來提取這種信息,他們會通過一些OCR技術(shù)饒過驗證碼進行破解,比如最近很火的chatgpt,已經(jīng)有部分人嘗試用chatgpt找到驗證碼的漏洞。
黃牛和BOT具有相同的技術(shù)特征。黃牛、機器人BOT在訪問特征和真實用戶方面相似,比如他們訪問序列一樣,從登陸到搶購,他們這一系列的行為基本保持一致,并且由于黃牛在進行票物搶購時,它的訪問序列較為固定,因此在訪問特征較為固定的情況下,可以認為黃牛的行為和BOT是一樣的,他們都有相同的訪問特征和訪問行為。
這樣就會產(chǎn)生一些混淆的點,我們要怎么將黃牛真人和黃牛BOT區(qū)分開來?黃牛和BOT都有主要的一些獲利點,比如他們的共同目標是獲取數(shù)據(jù),模擬用戶行為對業(yè)務(wù)相關(guān)信息進行獲取,比如用戶業(yè)務(wù)數(shù)據(jù)(用戶關(guān)系、用戶信 )、業(yè)務(wù)支撐數(shù)據(jù)(音視、小說、醫(yī)文)、業(yè)務(wù)敏感數(shù)據(jù)( 越權(quán)客戶敏感信息、賬單、訂單地址 );第二是資源搶占,比如秒殺、搶購、活動名額、優(yōu)惠券等;第三它會影響一些投放效果,比如當前這個活動,可能會有100張門票進行投放,但這個時候黃牛大概把98張票給搶完了,因此到時就只有兩個人真正享受到了這次活動的福利,這就會影響到整體活動的投放效果。
02.BOT識別和對抗方案
在這種情況下,我們就需要一個比較好的方式去構(gòu)建多維度的識別和對抗方案。治理BOT和黃牛的關(guān)鍵在于識別和管控。識別:識別黃牛黨流量是重中之重,它決定了能檢出準確度與數(shù)量的多少;管控:支持多種管控動作,正確快速管理處置異常流量,不影響正常用戶。
對抗黃牛的技術(shù)手段分為四點。我們可以通過注冊保護來防護,第一點是通過前期的客戶端風(fēng)險識別,去分析客戶的設(shè)備信息,如果發(fā)現(xiàn)當前這個設(shè)備有多注冊或者重復(fù)注冊的情況,就判定這個可能是來自黃牛黨的注冊?;蛘咄ㄟ^行為特征發(fā)現(xiàn)是異常的注冊情況,或者從他的注冊郵箱特征里發(fā)現(xiàn)是小號、解碼平臺等,這就是在注冊層面的防護,可以從源頭上阻隔這一部分的訪問請求。
其次是通過IP威脅情報和限流防護。對使用類似于代理IP這樣的訪問,比如通過威脅情報去發(fā)現(xiàn)這個IP是不是來自于代理,或這個IP之前有沒有相關(guān)信息,平臺因此可以對這些IP進行封禁,從而限制黃牛機器人的強迫行為。
第三個是重中之重,就是通過特定的方式去對抗自動化的攻擊填寫。舉個例子,如果在當前的搶購頁面里去識別當前搶購的人,到底是人還是機器?對方有沒有采用一些類似于瀏覽器、模擬器或者腳本工具進行訪問?而騰訊客戶端風(fēng)險識別就具備這一能力,會嘗試去看當前的瀏覽器里是不是有被控制,如果被控制,可以接著識別出會不會存在問題,比如可以識別當前訪問是不是用腳本發(fā)起來的,或者說是不是通過什么方式進行訪問的。此外還有一些其他的訪問行為特征,比如頁面停留時間、平均訪問速度等,會和正常的用戶行為特征做比對,然后通過這些特征去識別當前訪問請求是不是自動化的請求。
驗證碼對抗:限速機制可以限制用戶在一定時間內(nèi)的請求次數(shù),降低黃牛機器人的搶購速度。驗證碼機制要求用戶在購票過程中輸入驗證碼,從而阻止自動化程序進行搶購這些方法可以提高黃牛機器人的操作難度,降低其拍購成功率。
通過這四個方向?qū)裹S牛主要分成三個層次,第一個層次是客戶端風(fēng)險識別,其包含五項內(nèi)容:1、客戶端風(fēng)險識別,識別當前客戶端是否腳本、selenium或headless。2、頁面反調(diào)試,識別當前客戶端是否開啟開發(fā)者模式。3、驗證碼機制,通過特定挑戰(zhàn)識別當前是否具備完成驗證碼的能力。4、客戶會話識別,識別在公共出口下的不同客戶端客戶端。5、威助情報,已知Bot類型和威助情報可被識別出來。
第二個層次是特征與數(shù)據(jù)統(tǒng)計,其包含五項內(nèi)容:1、異常訪問特征,識別非正常的 http 請求中的訪間特征。2、異常行為特征,識別非正常的 http 中的行為特征。3、訪問特征統(tǒng)計,統(tǒng)計當前 http訪問流中所有訪問特征。4、異常特征統(tǒng)計,識別處多個 http 訪問流中出現(xiàn)異常訪問特征。5、訪問水位統(tǒng)計,識別當前請求流中,對應(yīng)客戶端、IP是否超出正常訪問水位。因為黃牛是一個比較特殊的群體,它的訪問特征相對整體水位來說,要遠超正常用戶,所以如果有一個相關(guān)的水位統(tǒng)計,其實就可以比較好的識別出黃牛。
第三個層次是AI異常行為分析,其包含三部分內(nèi)容:1、賬號維度下的連續(xù)會話特征分析,識別當前賬號會話的訪問特征。2、AI異常行為檢測模型,通過AI 模型實現(xiàn)異常訪問行為發(fā)現(xiàn)。3、AI異常特征檢測模型,通過AI 模型實現(xiàn)異常訪問特征及水異常發(fā)現(xiàn)。
說完識別以后接下來是管控,比如通過常規(guī)的基礎(chǔ)規(guī)則,可以識別出大量的無效流量,像黑名單規(guī)則、行為規(guī)則,還有一些其他的規(guī)則。通過這些規(guī)則可以快速把一些異常流量摘出來,然后讓市場流量給放行出去了,這部分內(nèi)容按照之前BOT對抗的情況來看,其具備三個大的難點。第一是開發(fā)工作和業(yè)務(wù)是強耦合的;第二是需要部署的方案較重;第三是單純按著黑白規(guī)則去看,它的誤報可能有點多。
那么在這里就可以看出來了,當前的BOT治理,在識別上 需要這些經(jīng)驗,比如多維度的識別,包括但不限于客戶端風(fēng)險識別、行為分析,還有依賴專家經(jīng)驗去預(yù)設(shè)威脅分析模型。并且它需要AI的識別和分析,去了解當前流量的特征里,有多少是正常的,有多少是異常的。
還有就是需要實時更新的第一手情報信息,去發(fā)現(xiàn)當前哪些IP流量是有問題的,哪些又是代理的,這樣就能提前做好預(yù)判。
然后就可以快速做一些管控了。在管控方面需要具備:
1、SaaS化的交付模式:無需深度業(yè)務(wù)定制,開箱即用,快速落地上線。
2、深入淺出的判定機制: 深刻洞察人機特征,并簡化為最直觀的分數(shù)判定,優(yōu)化決策。
3、形成管理閉環(huán) : 分析--分類--管理。
4、不同場景精細化管控。
當下和黃牛、BOT的對抗強度特別大,他們的攻擊行為可能一天一個更新,用戶在發(fā)起規(guī)則變更后,可能不到六七個小時,黃牛就已經(jīng)能看清這些規(guī)則了,然后他們就會主動發(fā)起新一輪挑戰(zhàn)。在沒有專家經(jīng)驗的情況下,面對這些挑戰(zhàn)需要做一個“兩步走”的最佳實踐。
首先第一步是可以通過細分場景去做策略,比如登錄場景的去做登錄場景的事,然后就可以快速簡化配置;其次可以通過不同場景配置,比如登錄場景的業(yè)務(wù)就只開登錄場景,比如要如何去防護自動化的注冊?就可以通過在這里面把自動化注冊和工作場景開起來,這樣就能快速把登錄注冊的BOT提前攔截掉,這樣在不同的細分領(lǐng)域里去細分配置策略,可以達到精準攔截的效果。
第三點,針對不同黃牛、不同BOT需要不同的訪問規(guī)則,因此就需要配置多套動作模板,這樣針對不同黃牛、不同流量就可以執(zhí)行不同動作,也更加精細了。
在BOT與黃牛治理方面,其具備閉環(huán)的流程。首先是對BOT進行全量分析,然后對其中的模塊能力進行配置,分析完配置之后,可得出相關(guān)的BOT得分,最后根據(jù)得分進行分析,形成日志。
提問環(huán)節(jié)
提問一:在流量更多的場景中,事前需要做哪些部署才能在保障用戶訪問的同時精準攔截惡意流量?
王雷雷:首先需要對客戶端進行檢測,看是否存在被利用的漏洞;其二,在節(jié)日當天接入風(fēng)控能力,對于手機號、ID進行識別,做到實時攔截。
馬子揚:提前防控需要提前把流量進入到騰訊的模型里,因為流量模型的學(xué)習(xí)需要時間,提前接入業(yè)務(wù)流量可以盡可能快速地學(xué)習(xí),知道什么訪問行為是真實,什么是異常。
提問二:安全和應(yīng)用性本身存在一定的矛盾,多重驗證有時會影響用戶的使用體驗,要怎么平衡兩者的關(guān)系?
王雷雷:首先可以識別客戶的風(fēng)險等級,可以針對不同風(fēng)險等級的用戶采取不同的驗證測試。針對高風(fēng)險客戶可以直接采取比較強制的措施,針對那些可疑的人群,按照可疑度不同,或直接攔截,或給予不同的驗證模式。
馬子揚:騰訊WAF里有客戶端風(fēng)險識別模塊,其可直接識別出當前的訪問請求是否異常,騰訊通過前置的無感驗證,可以提前把一些異常訪問請求攔截,因此正常用戶在進行訪問請求時,難以遇到驗證碼多次彈出的情況。
詳情請關(guān)注安在新媒體,一家信息安全領(lǐng)域媒體,以“做有內(nèi)涵的泛黑客媒體”為方向,線上通過自媒體,采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò),通過介紹他們的經(jīng)歷、感悟、對行業(yè)的看法等來剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò);致力于建立完整的信息發(fā)布矩陣,覆蓋微信、微博、知乎等主流自媒體渠道。
官網(wǎng):http://anzerclub.com/
市場部聯(lián)系(廠商):徐倩(微信:Madeline_Sue)
市場部聯(lián)系(甲方):Tina(微信:xuqingqing823125689 )及 Enco(微信:Anzer10)