10倍差价引发黑产疯狂囤舱

:::

新冠疫情给国际航运行情带来的巨大波动，让海运业陷入了网络黑灰产的狂欢。

2020年第三季度开始，运力下降导致集装箱空箱供应出现全球性短缺，而我国由于疫情防控得力，率先复工复产，制造业订单回流，使出口航运更加“一舱难求”，运价暴涨。

从中国运往美国西海岸的集装箱货柜单价，曾在几个月时间内从2千美元疯涨到了2万美元。

如此巨大的差价，引得黄牛党通过自动化工具，在运价更新之前以较低的价格抢占大量舱位，囤积居奇，再高价倒卖，赚取暴利。这种行为被称为“恶意占舱”。

随着国际航运变局的加剧，航运业饱受恶意占舱带来的连锁反应困扰。

以某船运公司为例：

一方面是线上订舱平台访问量飙升，日均需处理访问请求2000万+。黄牛等黑灰产团伙通过自动化工具进行垃圾注册、高频查询、恶意订舱，产生了大量的机器人（Bot）流量，对网站带宽和服务器支出和数据安全维护成本造成了极大的消耗。

另一方面，恶意占舱也严重干扰了正常市场秩序。有实际出货需求的商户无法顺利订舱；与实际不符的预订量也使船公司承受了亏舱风险。

打击恶意占舱的关键，就是如何准确识别、阻断恶意Bot流量，提高攻击成本，同时不影响正常用户访问和SEO。

然而随着技术的发展，自动化工具模仿正常用户访问行为的能力不断升级，破解反爬策略的智能化程度也越来越高。因此，识别Bot流量，核心在于数据分析能力：

能否深入网站业务，总结用户访问规律，从细小的区别中发现异常，找出Bot特征，并作出相应处理，提高攻击者持续对抗的成本，消耗攻击者资源。

网宿安全为构建的Bot防控体系，从Bot识别、管理、阻断，到持续性的监控与运营调优，形成一套完整的闭环。针对从简单到高级的Bot，网宿安全结合多维人机识别手段与专家团队多年积累的攻防经验，循序渐进提升对抗手段。

第1层 基于情报信息的初步过滤

共享全网Bot情报库，覆盖100余类协同防御情报类型，先行对访问订舱平台的全球流量进行过滤，对命中情报信息特征的善意和恶意Bot进行初步识别和处置。

第2层 基于行为、生物特征的校验

通过一段时间的观察，对过于高频、目标过于单一的访问行为、不符合正常浏览逻辑的遍历行为等异常行为，和不具备正常浏览必然携带的UA信息、Cookie特征、JS特征、登录信息、referrer信息、运行环境特征等生物特征的异常流量进行精细化识别和处置。

在此阶段，网宿还通过对每个来访的客户端打上唯一的设备指纹，进行后续跟踪，以进一步发现更高级的Bot。

这两个环节，对大部分的垃圾注册、撞库、遍历查询流量已经起到了显著的压制作用。

第3层 深入业务流特征的AI建模分析

对于高度伪装的拟人化Bot，AI模型基于设备指纹追踪数据进行机器学习，建立动态更新的业务流分析模型。

当识别到某客户端的访问流程不符合AI模型预测的业务流正常访问基线，主动进行阻断。

受制于攻击成本，伪装得再好的Bot也必然会采取比真人更高效的访问行为，而这些微的差异，就能够被AI分析模型动态捕捉。AI模型预测的逻辑也更难被破解，压制了攻防对抗进一步升级。

第4层 持续监控，Bot威胁可视化

对抗恶意Bot攻击，是一个持续的过程。网宿安全团队在服务过程中建立了完善的监控体系，实时关注重点业务受攻击情况、攻击防护率、漏杀率和各类异常，通过线上智能运营体系结合安全专家决策，实时调整防护策略，合拢Bot识别、管理、阻断、持续监测调优的闭环。

在网宿Bot闭环防控体系的加持下，该船公司的订舱平台日均阻断Bot攻击300万次；货物追踪、航线查询、订舱等核心业务接口，识别的Bot占比高达65%。对Bot流量的有效压制，使网站回源量回归到稳定的正常范围，大幅节省带宽与服务器成本，日常业务风险也得到有效收敛。

同时，在网宿技术架构下，所有访问流量经由网宿边缘安全加速节点识别过滤后，正常流量通过网宿全球加速网络加速返回源站，在阻断安全威胁的同时，还保障了全球各地商户、货代的极致访问体验。