網站電商防駭侵 AI揪惡意爬蟲

數位化應用服務已是現代企業與顧客互動的橋樑,為了防範惡意攻擊前端程式,多數網站常見部署網頁應用防火牆來保護,以免攻擊者嘗試開採程式碼漏洞。隨著線上服務推出的行銷活動趨向多元,如何分辨正常用戶、惡意爬蟲、詐欺者的行為,已成為數位應用服務確保顧客應用體驗、避免消費流程漏洞遭用於詐欺的關鍵能力。

F5台灣區資深技術顧問陳廣融指出,線上服務接下來必須強化的重點,在於排除惡意機器人程式,確保只有合法用戶才得以存取應用服務,以免詐欺組織、爬蟲工具佔用過多資源,影響顧客的消費及使用體驗。

以全球最大的電子商務網站亞馬遜為例,每天有幾十億的會員登入,詐欺者會利用自動化攻擊工具來嘗試破解會員帳密。對於爬蟲抓取網頁,則須依據產業特性來判定為惡意或善意,尤其是電子商務網站,多數不排斥讓比價網站等第三方應用服務抓取網頁資料。問題是如何判斷善意或惡意?陳廣融指出,可藉由F5旗下的Shape Security來保障線上服務的流程,防範詐欺、暴力破解帳密等攻擊活動。

陳廣融說明,Shape Security是F5於2020年收購取得的技術,原始設計理念在於建構通用的防禦框架,從識別到緩解非預期的機器人流量,進一步分析判斷詐欺者或正常用戶,最終目的是提高用戶體驗、確保企業營運服務收入。

Shape防護機制是針對常見被攻克的環節,也就是新增帳戶與登入頁面,整體框架中涵蓋Shape Enterprise Defense精準地掌握機器人動向、基於Shape AI Fraud Engine(SAFE)即時識別詐欺、Shape Recognize減少對實際顧客造成的不方便。SAFE採用的是閉環式(Closed-loop)機器學習方法,可隨著蒐集取得的資料改進模型,持續優化演算產生的洞察力,達到即時偵測並阻斷詐欺。Shape Recognize用以遏制攻擊者嘗試登入的行為,經過精準辨識過濾排除惡意,可降低正常用戶需透過複雜多因素身分驗證的不方便。

Shape Enterprise Defense負責詐欺攻擊的檢測、監控、緩解,藉由解析用戶端瀏覽器與App產生的資料,可即時偵測判斷詐欺行為。當用戶端發起存取連線請求時,會在網路封包中埋入獨特的識別碼,先遞送到Shape Appliance經過機器學習演算模型解析判斷,合法流量再導向目的地應用服務。較特別的是,Shape設立資安監控中心可持續判讀Shape Appliance分析結果產生的風險指數,並且即時撰寫指令派送執行緩解詐欺攻擊,才可達到精準地回應各式手法的威脅。

Shape設立資安監控中心可持續判讀Shape Appliance分析結果產生的風險指數,並且即時撰寫指令派送執行緩解詐欺攻擊,
精準地回應各式手法的威脅。

針對機器人檢測方法,可在網頁程式中埋入Shape JavaScript,或是在開發App階段採用Mobile SDK,排除安全憑證、個資(PII)、網頁內容、地理位置等隱私相關資訊,蒐集取得的網路封包、裝置環境、使用者操作行為,三種指標資料綜合解析判斷。