봇예방

Bot prevention

봇방지는 웹서비스가 자동화된 프로세스에 의한 접근을 막기 위해 사용하는 방법을 말한다.

봇의 종류

연구에 따르면, 인터넷 상의 트래픽의 절반 이상이 봇 활동이며, 그 중 절반 이상은 더 '나쁜 [1]봇'으로 분류된다.

봇은 온라인에서 다양한 용도로 사용된다.일부 봇은 를 들어 항공사의 항공 가격과 목적지에 대한 정보를 수집하는 등 웹 스크래핑 목적으로 수동적으로 사용된다.스니커 봇과 같은 다른 봇은 봇 운영자가 고수요 명품들을 획득하도록 돕는다; 때때로 이것들은 흔히 '스칼핑'[2][3][4]이라고 알려진 더 높은 가격으로 2차 시장에서 재판매된다.

탐지 기술 및 회피

고객이 인간 사용자인지 봇인지 식별하기 위해 다양한 지문과 행동 기법이 사용된다.결국, 봇은 탐지를 피하기 위해 다양한 기술을 사용하고 서버에 사람처럼 나타난다.[2]

브라우저 지문 인식 기술은 안티봇 보호 시스템에서 가장 일반적인 구성 요소다.데이터는 대개 클라이언트측 자바스크립트를 통해 수집되며, 분석을 위해 안티봇 서비스로 전송된다.수집된 데이터에는 JavaScript APIs의 결과(주어진 API가 구현되었는지 확인하고 정상 브라우저에서 예상되는 결과를 반환하는지 확인), 복잡한 WebGL 장면 렌더링, 캔버스 API 사용 등이 포함된다.[1][5]TLS 지문 인식 기술은 SSL 핸드셰이크 중 지원되는 암호 그룹을 분석하여 클라이언트를 분류한다.[6]이러한 지문은 알려진 브라우저 스택의 지문이 포함된 화이트리스트/블랙리스트를 만드는 데 사용될 수 있다.[7]2017년 Salesforce open은 자사의 TLS 지문 인식 라이브러리(JA3)를 소싱했다.[8]아카마이는 2018년 8월과 9월 사이에 탐지를 회피하기 위해 네트워크를 통해 TLS 변조가 크게 증가하는 것을 알아차렸다.[9][7]

행동 기반 기법도 지문 채취 기법보다 흔하지는 않지만 활용되며, 봇이 인간 방문자에게 다르게 행동한다는 생각에 의존한다.일반적인 행동 접근방식은 고객의 마우스 움직임을 분석하고 그것들이 인간의 전형적인 행동인지 판단하는 것이다.[1][10]

CAPTCHA와 같은 더 전통적인 기법도 종종 채택되지만, 그것들은 일반적으로 비효과적인 것으로 여겨지며 동시에 인간 방문자들에게는 방해가 된다.[11]

자바스크립트를 사용하면 (cURL을 통해) 기본 요청에 의존하는 일부 봇이 탐지 스크립트를 로드하지 않아 진행되지 못하므로 이를 방지할 수 있다.[1]많은 기법을 우회하는 일반적인 방법은 헤드가 없는 브라우저를 사용하여 실제 웹 브라우저를 시뮬레이션하고 클라이언트측 JavaScript 탐지 스크립트를 실행하는 것이다.[2][1]사용되는 다양한 헤드리스 브라우저가 있다; 일부는 사용자 정의(: 팬텀)이다.JS)이지만, 구글 크롬과 같은 일반적인 브라우저를 헤드리스 모드로 드라이버로 운용하는 것도 가능하다.셀레늄은 헤드가 없는 브라우저를 쉽게 제어할 수 있는 공통 웹 자동화 프레임워크다.[5][1]안티봇 탐지 시스템은 이러한 헤드가 없는 브라우저에 특정한 방법의 구현이나 일반 웹 브라우저에서 구현될 API의 적절한 구현의 결여를 확인하려고 시도한다.[1]

이러한 자바스크립트 파일의 소스 코드는 검출의 작동 방식을 역설계하기 어렵게 하기 위해 일반적으로 난독화된다.[5]일반적인 기법은 다음과 같다.[12]

안티봇 보호 서비스는 클라우드플레어[13], 아카마이 등 다양한 인터넷 기업이 제공하고 있다.[14][15]

미국에서는 2016년 상거래에서 봇의 일부 사용을 방지하기 위해 Better Online 티켓 판매법(일반적으로 BOTS Act)이 통과되었다.[16]그로부터 1년 뒤 영국은 2017년 디지털경제법에서도 비슷한 규정을 통과시켰다.[17][18]이 조치들의 실효성은 논쟁의 여지가 있다.[19]

참조

  1. ^ a b c d e f g Amin Azad, Babak; Starov, Oleksii; Laperdrix, Pierre; Nikiforakis, Nick (2020). Maurice, Clémentine; Bilge, Leyla; Stringhini, Gianluca; Neves, Nuno (eds.). "Web Runner 2049: Evaluating Third-Party Anti-bot Services". Detection of Intrusions and Malware, and Vulnerability Assessment. Lecture Notes in Computer Science. Cham: Springer International Publishing. 12223: 135–159. doi:10.1007/978-3-030-52683-2_7. ISBN 978-3-030-52683-2. PMC 7338186.
  2. ^ a b c Chiapponi, Elisa; Dacier, Marc; Todisco, Massimiliano; Catakoglu, Onur; Thonnard, Olivier (2021). "Botnet Sizes: When Maths Meet Myths". Service-Oriented Computing – ICSOC 2020 Workshops. Lecture Notes in Computer Science. 12632: 596–611. doi:10.1007/978-3-030-76352-7_52. ISBN 978-3-030-76351-0. S2CID 232203240.
  3. ^ Marks, Tod. "Why Ticket Prices Are Going Through the Roof". Consumer Reports.
  4. ^ "Bad Bot Report 2021" (PDF). Imperva. Retrieved 23 August 2021.
  5. ^ a b c Jonker, Hugo; Krumnow, Benjamin; Vlot, Gabry (2019). Sako, Kazue; Schneider, Steve; Ryan, Peter Y. A. (eds.). "Fingerprint Surface-Based Detection of Web Bot Detectors". Computer Security – ESORICS 2019. Lecture Notes in Computer Science. Cham: Springer International Publishing. 11736: 586–605. doi:10.1007/978-3-030-29962-0_28. ISBN 978-3-030-29962-0. S2CID 202579603.
  6. ^ "Qualys SSL Labs - Projects / HTTP Client Fingerprinting Using SSL Handshake Analysis". www.ssllabs.com.
  7. ^ a b "Bots increasingly tampering with TLS to outfox filters". The Daily Swig Cybersecurity news and views. 17 May 2019.
  8. ^ Althouse, John (5 February 2019). "Open Sourcing JA3". Medium.
  9. ^ "Bots Tampering with TLS to Avoid Detection - Akamai Security Intelligence and Threat Research Blog". blogs.akamai.com.
  10. ^ Wei, Ang; Zhao, Yuxuan; Cai, Zhongmin (2019). "A Deep Learning Approach to Web Bot Detection Using Mouse Behavioral Biometrics". Biometric Recognition. Lecture Notes in Computer Science. 11818: 388–395. doi:10.1007/978-3-030-31456-9_43. ISBN 978-3-030-31455-2. S2CID 203847308.
  11. ^ Chu, Zi; Gianvecchio, Steven; Wang, Haining (2018). "Bot or Human? A Behavior-Based Online Bot Detection System". From Database to Cyber Security. Lecture Notes in Computer Science. 11170: 432–449. doi:10.1007/978-3-030-04834-1_21. ISBN 978-3-030-04833-4.
  12. ^ "JavaScript Obfuscator Tool". obfuscator.io.
  13. ^ "Cloudflare Bot Management". Cloudflare.
  14. ^ "Bot Manager". Akamai Technologies. Retrieved 23 August 2021.
  15. ^ "Akamai Bot Manager". Akamai Technologies.
  16. ^ Sisario, Ben (9 December 2016). "Congress Moves to Curb Ticket Scalping, Banning Bots Used Online". The New York Times.
  17. ^ Keepfer, DLA Piper-Francis (10 January 2018). "UK Government criminalises the use of ticket tout bots". Lexology.
  18. ^ "New law will ban use of bots to bulk buy tickets". Which? News. 23 April 2018.
  19. ^ Elefant, Sammi (2018). "Beyond the Bots: Ticked-Off Over Ticket Prices or The Eternal Scamnation". UCLA Entertainment Law Review. 25 (1). doi:10.5070/LR8251039716. ISSN 1073-2896.