从恶意流量看2018互联网安全趋势

一、恶意流量概述
1. 恶意流量是什么？
要定义「恶意流量」，先来看「流量」是什么。说到「流量」，仅在网络领域就存在许多不同的概念：
· 手机流量：每个月给运营商付费获得若干 G 上网流量。
· 网站流量：网站访问量，用来描述一个网站的用户数和页面访问次数。
· 网络流量：通过特定网络节点的数据包和网络请求数量。
在安全领域，研究的主要是网络流量中属于恶意的部分，其中包括网络攻击、业务攻击、恶意爬虫等。恶意流量绝大部分都来自自动化程序，通常通过未经许可的方式侵入、干扰、抓取他方业务或数据。
2. 为什么研究恶意流量
腾讯云作为国内最大最专业的云厂商之一，如何从海量的网络流量中对恶意流量进行识别，保护客户利益的同时为业界输出优质数据，一直是我们努力的目标。
3. 恶意流量的研究方法
为了捕获真实的恶意流量，云鼎实验室在全球多个节点部署了蜜罐网络集群，每天捕获数亿次的各类攻击请求。
获取海量真实恶意流量后，再通过对流量的研究和分析，反哺腾讯云对恶意流量的识别和防护能力。
二、恶意流量现状
1. 恶意流量占比
根据国外公司 Distil Networks 发布的报告[1]，2017年机器流量占全网流量的42.20%，其中恶意机器流量占21.80%。
这里「机器」指的是互联网上的爬虫、自动程序或者是模拟器。部分机器流量来自于搜索引擎爬虫、RSS 订阅服务等，属于正常机器流量。另外一部分由自动化攻击、僵尸网络、恶意爬虫等产生，属于恶意机器流量。本文所描述的恶意流量几乎都是自动化的机器流量。
2. 恶意流量在做什么
从云鼎实验室捕获到的恶意流量数据来看，大致可以分为四个大类，每个大类又可以分为若干个小类，详细划分如下：

1）网络攻击
· 端口扫描 
扫描服务器常用的端口和指定的端口是否开放，并进一步进行服务器软件指纹探测。
· 登录破解 
主要指对服务器 SSH 服务（Linxu）或远程桌面服务（Windows）使用弱口令进行破解。
本系列报告有一篇专门讲述，详见《SSH 暴力破解趋势：从云平台向物联网设备迁移》[2] 。
· 漏洞利用
利用已知或未知漏洞及利用工具（EXP）试图获得服务器权限。
· DDoS 攻击 
主要指源自僵尸网络或反射攻击的分布式拒绝服务攻击。
本系列报告有一篇专门讲述，详见《2018上半年互联网 DDoS 攻击趋势分析》[3] 。
· CC 攻击 
目的和 DDoS 攻击类似，通过大量访问对方网站中对系统性能消耗较大的页面（如需要进行较复杂的数据库查询），造成数据库或系统卡死，导致对方无法对外提供服务。
2）帐号攻击
· 恶意注册
在网站（社交类网站居多）注册大量小号，并持续养号，用于后续谋取利益，尤其是在下面描述的「流量欺诈」领域。
· 帐号扫描
探测某帐号（包括用户名、邮箱、手机号等）是否在某网站注册过，通常是作为「恶意注册」和「撞库攻击」的前置步骤。
· 撞库攻击
使用 A 网站泄漏的帐号密码信息在 B 网站尝试登录，如果成功登录，则撞库攻击成功。由于近年来许多网站发生帐号密码泄漏事件，导致撞库攻击变得非常流行。
· 资产窃取
当撞库攻击成功后，盗取帐号内资产，例如虚拟币、游戏帐号、装备等。
3）流量欺诈
· 刷榜
在 AppStore（iOS）和其他 Android 软件市场通过技巧，进行刷下载量、刷评价、刷排行、刷点击、刷关键词等操作。
· 刷粉
主要是在公众号、社交类网站、贴吧等刷粉丝、刷关注等，俗称僵尸粉。
· 刷热度
在公众号、短视频、直播、视频播放等领域刷观看次数、阅读量、访问量、点赞量等等。
· 刷单
在电商类平台刷成单量、商品评论等，达到影响商品排序等目的。
· 刷广告
在广告圈，总流传着这样一句话：“我知道我的广告费有一半是被浪费的，但我不知道究竟是哪一半。”这个定律在互联网广告界亦是如此，乃至更甚。
4）恶意爬虫
和遵循 Robots 协议的正规搜索引擎或 RSS 订阅爬虫不同，恶意爬虫通过分析并构造参数对公开或非公开接口进行大量数据爬取或提交，获取对方本不愿意被大量获取的数据，并造成对方服务器性能损耗。爬虫工程师和反爬虫工程师的交锋，是互联网上的一大战场。