2020 恶意机器流量报告

报告来源：Imperva_BadBot_Report（译）

原文参考：

https://www.imperva.com/resources/resource-library/reports/2020-bad-bot-report/

恶意机器流量一直潜伏在真实的用户流量中，伺机抢占网络资源，赚取暴利。恶意流量从早期阶段的票贩子至今有了很大的发展。如今，在像 ticketbots.net 这样的网站上，可以购买一系列定制软件来抢购全球任何平台上任何活动的门票。当然，抢购限量版运动鞋，也同样有这些恶意程序的身影。

恶意机器流量的下一个发展阶段已经开始了。恶意流量正试图改善自己的形象，让自己看起来合法。新的恶意程序运营商正在建立专业的业务，他们从其他网站上获取专有数据、打包数据，并向任何愿意购买的公司提供有竞争力的数据馈送——所有这些都被巧妙的包装成了“智能商业”服务。

BAAS（Bad Bots as a Service）

这种“恶意软件即服务”的品牌重塑在许多方面都有所体现。首先，黑产已经拥有专业外观的网站，提供被称为定价情报、金融替代数据或竞争洞察的商业情报服务。通常，这些企业提供专注于特定行业的数据产品。第二，在行业中购买无用数据的压力越来越大。没有企业希望在市场上失败，因为竞争对手可以获得可供购买的数据。最后，有越来越多的职位招聘广告在寻找像网络数据专家或数据处理专家这样的职位。在这种环境下，很难看到恶意流量问题的消失。

会员制度让恶意机器更有利可图

随着会员制度不断的完善和普及，撞库攻击就变得越来越有利可图。每个用户的账户内都有一些可以兑换或者转移的数字货币或者积分、礼物。来自数据泄露的账户密码与会员制度的增长相结合，为恶意撞库提供了便利，并且撞库攻击很难避免。

利用非营利组织进行欺诈

黑产还会利用非营利组织进行欺诈。他们盗取信用卡之后会向非营利组织进行小额的捐赠，如果使用该信用卡捐赠成功，黑产会知道信用卡是有效的，于是可以用在其他地方实施进一步的欺诈。

恶意机器流量增加基础成本

任何遭遇了恶意流量的网站都面临很多令人头疼的问题要处理。不仅要面对竞争对手带来的定价压力，还要保障网站的正常运行。

社交媒体中刷投票流量泛滥

在美国，选举投票受到恶意流量的干预。在中国，明星的打榜也是假流量泛滥。

恶意流量数据研究

恶意机器程序未经许可从网站上爬取数据（例如定价、库存水平等）以获得竞争优势。也会被黑产利用从事如欺诈、盗窃等违法犯罪活动，比如撞库就是恶意机器程序的一个突出应用。

“好”与“坏”机器程序区别

“好”机器程序例如搜索引擎遵守网络规定，帮助企业找到潜在客户。“坏”机器程序违反网络规定，找漏洞，钻空子赚取暴利。

2019年网络流量分析

2019年恶意机器流量占比24.1%，相较于去年的增加了18.1%，又创新高；好的机器流量相较于去年下降25.1%，总流量占比13.1%；人类流量较去年增加1.1%，总占比62.8%。

恶意机器流量在2019年创下新高，几乎占了全网流量的四分之一。

不同等级恶意流量分布

恶意流量的类型分类可以根据机器程序的复杂程度来进行划分：

包括简单的容易被发现的恶意请求；中等以及更加复杂的恶意请求往往会变换不同的网络环境，甚至伪造鼠标轨迹、点击等用户交互行为来躲避检测，他们都能归类为高级持续型自动机（APBs），类比传统应用安全的 APT（高级持续性威胁）。

连续三年，按照复杂程度的恶意流量分布非常一致，最容易检测到的简单恶意请求占比为26.3%；中等占比53.6%；复杂专业的恶意请求占比20.1%。APBs占比73.7%，略高于上一年，因为秒拨IP技术的发展，使得很多简单的IP黑名单完全无效。

行业恶意流量分布

一些恶意流量问题遍布每个行业，另一些则是行业独有的问题。比如只要有登录入口的网站都可能遭遇撞库攻击，而价格爬取则主要集中在电商行业。

金融行业的恶意流量请求占比最高，达到了47.7%，金融企业往往会遭遇大规模的撞库攻击。教育类占比45.7%，主要是爬取一些论文以及访问用户账户。市场交易类占比39.8%，恶意程序爬取价格和内容，攻击登录账户。政务类网站占比37.5%，恶意程序爬取商业登记记录、企业信息等。

而航空公司的恶意流量问题更加复杂，2019年有30.5%的恶意流量占比。航空公司的价格不仅会被竞争对手爬取，还会被旅游生态中的第三方利用。一些未经授权的在线旅行社、竞争对手以及价格聚合商使用较为专业的机器程序来爬取票的价格。这扭曲了账面价值比率，增加了GDS交易成本，还可能导致网站的响应速度变慢。另外航空公司也会面临撞库的问题，因为恶意程序试图登录用户账户，盗取里程余额。

票务是受恶意流量困扰最久的行业，占比达到了25.8%，包括欺诈程序、席位库存检测器以及撞库程序。

不同行业不同类型恶意流量分布

按照行业比较不同类型的恶意流量分布又可以得到不同的观察结果。其中市场、房地产、IT与服务、票务、非营利组织以及航空的高级恶意流量占比较高。

不同网站恶意流量分布

根据Alexa排名将网站分为四类：

恶意流量跟网站的大小也有一定的关系，网站越小恶意流量占比越高（25.6%）。而大型网站则会更好一些，恶意流量占比为19.5%。

恶意流量的来源

2019年，70% 的恶意机器流量来自于中心化的服务提供商（云服务商），相较于 2018 年的数据（73.6%），略微有所下降。家用网络的比例则连续三年增长，从22.7%增加到27.8%。而来自移动网络的流量则从3.6%降到了2.3%。

来源于亚马逊的恶意流量从2018年的18%降至11.6%，但他仍然高居榜首。DataWeb Global Group 从第七位上升到了第二位；来自OVH（法国云服务商）的恶意流量占比提升到了3.7%，排行第三。

从国家方面来看，美国仍然高居榜首，占比45.9%，但是相较于2018年的53.4%有所下降；荷兰排名第二，恶意流量占比为8.0%，相较于去年的5.7%有所提高；加拿大以6.3% 的比例排行第三；中国第四。