2016年，約有1.85億新網(wǎng)民上網(wǎng)，其中絕大多數(shù)來(lái)自印度等國(guó)家，這代表著市場(chǎng)的巨大增長(zhǎng)。然而，不止上網(wǎng)人口在繼續(xù)增長(zhǎng)，聊天機(jī)器人的數(shù)量也在增加。

“聊天機(jī)器人”這個(gè)詞匯涵蓋了各種各樣的自動(dòng)化程序：雖然有些可被作為搜索引擎的源數(shù)據(jù)，幫助人們用最合適的網(wǎng)站來(lái)匹配他們的查詢，但其他機(jī)器人卻沒(méi)有那么有用。在過(guò)去的一年里，惡意聊天機(jī)器人占了所有網(wǎng)站流量的19.9%，比2015年同期增長(zhǎng)了6.98%。

惡意聊天機(jī)器人與應(yīng)用程序的交互方式與合法用戶的方式相同，這使得它們更難被防范。然而，結(jié)果可能造成傷害：舉例來(lái)說(shuō)，惡意聊天機(jī)器人可以在未經(jīng)許可的情況下從網(wǎng)站獲取數(shù)據(jù)，而另其他聊天機(jī)器人也可能從事諸如廣告欺詐和賬戶盜竊等犯罪活動(dòng)。

聊天機(jī)器人可以在網(wǎng)站和API上進(jìn)行高速濫用、誤用以及發(fā)動(dòng)攻擊。它們能讓攻擊者、令人討厭的競(jìng)爭(zhēng)對(duì)手和欺詐者進(jìn)行大量的惡意活動(dòng)，包括網(wǎng)絡(luò)抓取、競(jìng)爭(zhēng)性數(shù)據(jù)挖掘、個(gè)人和財(cái)務(wù)數(shù)據(jù)收集、強(qiáng)制登錄和中間人攻擊、數(shù)字廣告欺詐、垃圾郵件以及交易欺詐等等。

“惡意聊天機(jī)器人”問(wèn)題已經(jīng)變得如此猖獗，以至于它已經(jīng)獲得美國(guó)聯(lián)邦立法機(jī)構(gòu)的關(guān)注。為了預(yù)防非法購(gòu)票程序，美國(guó)國(guó)會(huì)通過(guò)了更好的在線售票法案。與之相似，英國(guó)和加拿大政府也在考慮出臺(tái)新的法律，以阻止聊天機(jī)器人自動(dòng)購(gòu)買機(jī)票。盡管立法是一種受歡迎的威懾，但很難通過(guò)立法來(lái)反對(duì)那些你無(wú)法識(shí)別的聊天機(jī)器人。

惡意聊天機(jī)器人正受到關(guān)注，但它們想要生存下去。數(shù)據(jù)說(shuō)明了什么？通過(guò)我們的網(wǎng)絡(luò)，我們研究了聊天機(jī)器人的發(fā)展趨勢(shì)，包括數(shù)以千萬(wàn)計(jì)的惡意聊天機(jī)器人請(qǐng)求，在數(shù)千個(gè)域名中匿名化。

作為這個(gè)項(xiàng)目的一部分，我們關(guān)注的是應(yīng)用程序?qū)拥膼阂饬奶鞕C(jī)器人活動(dòng)，因?yàn)檫@些攻擊與通常占據(jù)新聞?lì)^條的簡(jiǎn)單分布式拒絕服務(wù)攻擊不同。以下是我們的一些最重要的發(fā)現(xiàn)：

1.更大的網(wǎng)站？更大的目標(biāo)

惡意聊天機(jī)器人不睡覺(jué)，它們幾乎無(wú)處不在。不過(guò)，盡管惡意聊天機(jī)器人在所有網(wǎng)站上都很活躍，但在更大的網(wǎng)站上卻于2016年遭遇嚴(yán)重打擊。在大型網(wǎng)站網(wǎng)絡(luò)流量中，惡意聊天機(jī)器人占21.83%，自去年以來(lái)增長(zhǎng)了36.43%。

在搜索引擎搜索結(jié)果中，大型網(wǎng)站的排名通常會(huì)更高，因?yàn)槿藗兒苌倩仡^查看最初的搜索結(jié)果。較小的網(wǎng)站沒(méi)有達(dá)到同樣的SEO流量提升水平，所以大型和中型網(wǎng)站對(duì)于惡意聊天機(jī)器人來(lái)說(shuō)是更誘人的目標(biāo)。

2.惡意聊天機(jī)器人撒謊

為了避免被發(fā)現(xiàn)，惡意聊天機(jī)器人肯定要撒謊。它們通過(guò)將用戶代理報(bào)告作為網(wǎng)頁(yè)瀏覽器或移動(dòng)設(shè)備來(lái)做到這一點(diǎn)。2016年，大多數(shù)惡意聊天機(jī)器人都聲稱自己是最受歡迎的瀏覽器：Chrome、Safari、IE以及火狐。其中Chrome是最熱門(mén)的。

與此同時(shí)，移動(dòng)瀏覽器上的“惡意聊天機(jī)器人”也比去年同期增長(zhǎng)了42.78%。這是移動(dòng)版Safari首次進(jìn)入自報(bào)告用戶代理列表前五位置，超過(guò)網(wǎng)絡(luò)版Safari17%。

3.如果你建立了它，聊天機(jī)器人就會(huì)出現(xiàn)

當(dāng)提及網(wǎng)站吸引力方面，惡意聊天機(jī)器人有特定類型。惡意聊天機(jī)器人尋找的網(wǎng)站主要有以下四個(gè)主要特征：專有內(nèi)容或定價(jià)信息、登錄區(qū)、網(wǎng)絡(luò)形式、支付處理程序。2016年，97%的專有內(nèi)容網(wǎng)站遭到不受歡迎的抓取，96%有登錄頁(yè)面的網(wǎng)站被惡意聊天機(jī)器人攻擊，90%網(wǎng)站被惡意聊天機(jī)器人繞過(guò)登錄頁(yè)面攻擊，而31%的網(wǎng)站則被垃圾郵件聊天機(jī)器人攻擊。

4.數(shù)據(jù)中心武器化

2016年，數(shù)據(jù)中心成為“惡意聊天機(jī)器人”的首選武器，60.1%的惡意聊天機(jī)器人攻擊來(lái)自云端。亞馬遜AWS連續(xù)第三年成為最熱門(mén)的互聯(lián)網(wǎng)服務(wù)提供商，在所有惡意聊天機(jī)器人流量中占16.37%，但卻是下個(gè)ISP的四倍。但是，為什么要使用中央數(shù)據(jù)中心而不是傳統(tǒng)的“僵尸”電腦，后者是僵尸網(wǎng)絡(luò)的一部分，也是更典型的DDOS攻擊方式?

這里的答案是，用開(kāi)源軟件開(kāi)發(fā)惡意聊天機(jī)器人，或者使用云計(jì)算服務(wù)的全球分布式網(wǎng)絡(luò)發(fā)布它們，從來(lái)都不是一件容易的事情。這些數(shù)據(jù)中心可以更快、更有效地提升聊天機(jī)器人對(duì)應(yīng)用層的攻擊，而像屏蔽IP地址這樣的方法在聊天機(jī)器人的部署中已經(jīng)變得非常簡(jiǎn)單和重要。這種集中的方法在涉及欺詐和賬戶盜竊活動(dòng)時(shí)更容易管理。

5.程序過(guò)時(shí)了？老版本也無(wú)法幸免

人類并不是唯一一個(gè)在軟件更新上落后的主體;事實(shí)證明，惡意聊天機(jī)器人也存在同樣的問(wèn)題。1/10的惡意聊天機(jī)器人正使用2013年之前發(fā)布的瀏覽器版本，有些甚至還在使用1999年發(fā)布的瀏覽器版本。

但為什么瀏覽器過(guò)時(shí)依然會(huì)產(chǎn)生惡意聊天機(jī)器人？也許其中有些惡意聊天機(jī)器人是多年前編寫(xiě)的，只是至今仍在工作中。有些程序可能會(huì)把目標(biāo)鎖定在只接受特定瀏覽器版本的特定系統(tǒng)上。還有一些可能是失控的程序，它們?cè)诨ヂ?lián)網(wǎng)上不停地循環(huán)，還造成了附帶損害。

6.高級(jí)持久性機(jī)器人的持續(xù)崛起

在2016年，75%的惡意機(jī)器人都是高級(jí)持久性機(jī)器人(APB)。如今高級(jí)持久性機(jī)器人更復(fù)雜，因?yàn)樗鼈兛梢约虞dJavaScript、保存cookie并加載外部資源，這使得它們?cè)诠糁懈行Аｎ愃频?，聊天機(jī)器人可以執(zhí)行模糊處理技術(shù)，以隨機(jī)化與活動(dòng)相關(guān)的IP地址、標(biāo)題和用戶代理。這有助于他們躲在日?；顒?dòng)的噪音中。

APB可以實(shí)施高度累進(jìn)的攻擊，比如基于賬戶的濫用和交易欺詐，這些攻擊需要多個(gè)步驟，并深入到網(wǎng)絡(luò)應(yīng)用程序中。如果你使用的是一個(gè)網(wǎng)絡(luò)應(yīng)用防火墻(WAF)，并且正在過(guò)濾掉已知的暴力用戶代理和IP地址，這是一個(gè)好的開(kāi)始。

然而，惡意聊天機(jī)器人會(huì)通過(guò)IP系統(tǒng)，并通過(guò)用戶代理進(jìn)行循環(huán)，以避開(kāi)這些WAF過(guò)濾器。你需要一種方法來(lái)區(qū)分人類和那些使用無(wú)頭瀏覽器、瀏覽器自動(dòng)化工具以及惡意軟件的惡意聊天機(jī)器人。

7.美國(guó)是聊天機(jī)器人超級(jí)大國(guó)嗎？

美國(guó)連續(xù)第三年榮登“惡意聊天機(jī)器人”排行榜榜首。事實(shí)上，美國(guó)的“惡意聊天機(jī)器人”總數(shù)(55.4%)比所有其他國(guó)家加起來(lái)之和還要多。荷蘭創(chuàng)造了11.4%的惡意聊天機(jī)器人流量，是下一個(gè)與美國(guó)最接近的國(guó)家，而中國(guó)則是首次出現(xiàn)在“惡意聊天機(jī)器人”榜單上。

韓國(guó)的增幅最大，比2015年上升了14個(gè)百分點(diǎn)。但是，超過(guò)半數(shù)的網(wǎng)絡(luò)犯罪真的來(lái)自美國(guó)公民嗎?垃圾郵件發(fā)送者可能來(lái)自美國(guó)的一個(gè)數(shù)據(jù)中心，但負(fù)責(zé)它的人可能在世界的任何地方。

有了像亞馬遜AWS這樣的虛擬私人數(shù)據(jù)中心，網(wǎng)絡(luò)黑客們可以利用美國(guó)的互聯(lián)網(wǎng)服務(wù)提供商來(lái)實(shí)施他們的攻擊，就好像他們起源于美國(guó)那樣，這可以避免基于位置的攔截技術(shù)。

我們能做些什么呢？

盡管這些惡意聊天機(jī)器人試圖隱藏自己的活動(dòng)，但其許多攻擊結(jié)果可被注意到。通常情況下，這些結(jié)果可能無(wú)法用傳統(tǒng)的監(jiān)控工具來(lái)解釋。例如，當(dāng)流量突然出現(xiàn)高峰現(xiàn)象時(shí)，你可以看到大量惡意聊天機(jī)器人流量，但相應(yīng)的銷售流量卻沒(méi)有增加。

另一個(gè)例子可能是你的網(wǎng)站的搜索排名因?yàn)閮?nèi)容盜竊和數(shù)據(jù)被擦除而急劇下降。同樣，你可能會(huì)看到，由于錯(cuò)誤的分析，廣告支出被誤導(dǎo)了。其他惡意聊天機(jī)器人活動(dòng)的指示還包括，你的公司看到大量失敗的登錄嘗試，以及客戶對(duì)賬戶鎖定的抱怨增加。惡意聊天機(jī)器人會(huì)在論壇和客戶評(píng)論區(qū)留下虛假的帖子、惡意的反向鏈接和競(jìng)爭(zhēng)對(duì)手的廣告。

為了過(guò)濾掉這些惡意聊天機(jī)器人，花點(diǎn)時(shí)間去了解一下你網(wǎng)站上最吸引人的地方，看看它們是否都能妥善地防護(hù)這些惡意聊天機(jī)器人，這是值得的。阻止壞人的方法之一是通過(guò)阻止你的公司不做外國(guó)用戶的生意來(lái)保護(hù)你的網(wǎng)站。

同樣，值得關(guān)注的是你的客戶的用戶資料，有個(gè)很好的理由可以說(shuō)明：為何瀏覽器已經(jīng)發(fā)布數(shù)年時(shí)間，而且經(jīng)過(guò)多次更新，為什么用戶依然會(huì)使用它數(shù)年時(shí)間？如果沒(méi)有，制定限制瀏覽器版本年齡的“白名單”政策，將惡意聊天機(jī)器人限制在10%左右。

另外，如果所有的自動(dòng)化程序都應(yīng)該屬于你的網(wǎng)站，即使是那些不是搜索引擎爬蟲(chóng)或預(yù)先批準(zhǔn)的工具。考慮設(shè)置過(guò)濾器來(lái)屏蔽所有其他聊天機(jī)器人——這可以阻止多達(dá)25%的惡意聊天機(jī)器人。

處理聊天機(jī)器人的最佳方式是實(shí)時(shí)監(jiān)控和響應(yīng)你所有的網(wǎng)絡(luò)和移動(dòng)通信，這樣你就能看到下一個(gè)惡意聊天機(jī)器人的攻擊，并阻止它進(jìn)入攻擊軌道。這種方法依賴于使用更多的智能和自動(dòng)化來(lái)發(fā)現(xiàn)惡意聊天機(jī)器人的活動(dòng)，而不是依賴于人類對(duì)分析日志的監(jiān)控，通過(guò)更好地利用數(shù)據(jù)和機(jī)器學(xué)習(xí)，可以更好地維護(hù)安全。

更多資訊請(qǐng)關(guān)注機(jī)器視覺(jué)頻道