關於使用無頭瀏覽器或行為模擬進行採集Loc的說明

查看 26|回复 1
作者:yezi1000   
   
今天看到某大佬發布的採集loc並且推送到telegram的方法
也有不少大佬對SCDN的模型進行魯棒性邊緣測試
在這裡我簡單介紹一下我們是如何識別bot行為和人類行為亦或者合法bot和非法bot的區分
正如3077所提到的那樣 secbit的scdn會將用戶請求時發生的
Raw Packet
TCP Session CTX
TLS Session CTX
HTTP Request CTX
記錄到我們的數據倉庫中用於深度學習並生成深度學習防禦模型
我們會通過學習得到
設備類型
OS資訊和癖好
Client資訊和癖好
TCP Session Flow生命週期內的
URI請求分布
Method類型分布
TCP Handshake Timing baseline
TLS Handshake Timing baseline
H2 Handshake Timing baseline
Rate baseline
Flow baseline
Retrans baseline
Multi-layer指紋

通過對這些數據學習產生的模型內會包含乾淨流量的行為模式和惡意流量的行為模式
針對HTTP Flood防禦有效率能夠高達99.9999%
同樣的對於採集行為來說 絕大部分採集器都是非常單一 存在固定的行為模式 在深度學習防禦模型面前非常容易被識別和阻止
所以有部分大佬提出採用無頭瀏覽器或模擬正常用戶訪問行為 的確目前的技術條件在對於這部分採集技術是無法快速有效的加以阻止亦或者成本過於高昂
如果在深度學習防禦模型視角進行防禦這類模擬正常用戶行進行採集為或者無頭瀏覽器的採集行為是比較困難 如果您的rate baseline沒有出現超出水位線較多的偏差的情況下 需要將ctx和time window拉長到一個更長更廣的維度和週期內 這對於深度學習的成本來說是非常不利的 通常在更長的ctx和time window下 哪怕採用無頭瀏覽器和模擬用戶訪問行為進行採集都可以被識別 因為事實上沒有用戶會在數小時內持續地訪問並且擁有相對固定的頻率和時間離散度
由於商業機密保護 更多細節和具體實現等資訊將不會對外披露
目前Secbit SCDN專為DDoS防禦 HTTP Flood防禦和駭客入侵防禦而推出的AI-driven cybersecurity solutions
我們歡迎遭受攻擊的用戶前來體驗卓越的DDoS和HTTP Flood防禦能力

大佬, 深度, 模型

qwe520   
繁体字认不全   没办法吹彩虹屁了
您需要登录后才可以回帖 登录 | 立即注册

返回顶部