Abordando a Evasão de Bots no Tráfego Online
Estratégias pra detectar e combater bots evasivos online.
― 9 min ler
Índice
- O Problema dos Bots Evasivos
- Metodologia
- Descobertas Sobre Taxas de Evasão
- A Importância da Análise de Inconsistência
- Inconsistências Espaciais
- Inconsistências Temporais
- Uma Abordagem Baseada em Dados pra Detecção
- Aplicações Práticas das Regras de Inconsistência
- O Papel dos Atributos do Navegador
- Mimicagem Comportamental e Técnicas de Evasão
- O Desafio das Redes Proxy
- Direções Futuras na Detecção de Bots
- Conclusão
- Fonte original
- Ligações de referência
Conforme os bots vão se tornando mais comuns na internet, os métodos pra detectar eles também melhoraram. Uma técnica que tá ganhando força é a Impressão digital do navegador. Essa técnica coleta várias informações sobre o navegador de um usuário pra criar uma "impressão digital" única. Mas, muitos bots tão aprendendo a mudar suas impressões digitais pra evitar serem detectados. Esse artigo explora como esses bots alteram suas impressões digitais, os desafios que isso traz e sugere maneiras de melhorar os métodos de detecção.
O Problema dos Bots Evasivos
À medida que o uso de bots cresce, a complexidade das técnicas usadas pra evitar a detecção também aumenta. Esses bots evasivos mudam suas impressões digitais modificando Atributos específicos do navegador. Essa mudança ajuda eles a se misturarem com usuários reais. Por isso, é essencial saber quão eficazes são essas alterações e quais atributos costumam ser manipulados.
O aumento dos bots é impressionante. Em 2023, cerca de 47,5% do tráfego online era atribuído a bots, sendo que a maioria tava envolvida em atividades maliciosas. Fraudes usam esses bots pra cometer vários crimes online, resultando em grandes perdas financeiras pra várias indústrias. É crucial que as empresas detectem e bloqueiem esses bots pra proteger seus interesses.
Metodologia
Na nossa investigação, montamos um "site isca" que se disfarça de um site legítimo. Nosso objetivo era atrair tráfego de bots. Colaboramos com vários serviços que alegam oferecer tráfego "realista e indetectável". Analisando os pedidos desses bots, conseguimos coletar dados sobre como eles manipulam suas impressões digitais.
Coletamos mais de meio milhão de pedidos de cerca de 20 fontes diferentes, acompanhando suas taxas de Evasão contra dois serviços comerciais de detecção de bots. As taxas de evasão que encontramos foram notáveis. Muitos bots escaparam da detecção ao alterar vários atributos de impressão digital.
Descobertas Sobre Taxas de Evasão
Nosso site isca recebeu vários pedidos, e uma porcentagem alarmante conseguiu evadir a detecção. Por exemplo, um sistema de detecção pegou cerca de 55% dos pedidos, enquanto o outro pegou cerca de 47%. Isso indicou que um número significativo de bots conseguiu se disfarçar como usuários normais.
Nossa análise mostrou que bots evasivos comumente alteravam atributos específicos da impressão digital. Isso incluía mudar strings de user-agent, modificar resoluções de tela e simular comportamentos de navegação parecidos com os humanos. A presença de Inconsistências nos atributos do navegador era um claro indicativo de manipulação.
A Importância da Análise de Inconsistência
Durante nossa pesquisa, descobrimos que inconsistências nos atributos da impressão digital poderiam servir como indicadores valiosos pra detectar bots evasivos. Analisando os pedidos, notamos que navegadores genuínos raramente exibiam tais inconsistências. Portanto, reconhecer padrões de manipulação se torna essencial pra melhorar as taxas de detecção.
Dividimos as inconsistências em duas categorias: espaciais e temporais. Inconsistências espaciais ocorrem quando diferentes atributos em um único pedido entram em conflito. Em contraste, inconsistências temporais surgem quando o mesmo dispositivo envia vários pedidos ao longo do tempo com atributos conflitantes.
Inconsistências Espaciais
Inconsistências espaciais podem ser identificadas examinando pares de atributos de impressão digital. Por exemplo, se um bot afirma estar usando um iPhone enquanto também reporta uma resolução de tela impossível, isso levanta suspeitas. Tais inconsistências podem ajudar a identificar bots que se passam por usuários reais.
Descobrimos que muitos dos pedidos originados de serviços que anunciavam tráfego realista estavam cheios de inconsistências espaciais. Por exemplo, a mesma string de user-agent estava associada a várias resoluções de tela que não correspondem a iPhones reais. Esse padrão indicava que esses bots estavam manipulando seus atributos de navegador pra parecer legítimos.
Inconsistências Temporais
Inconsistências temporais muitas vezes mostram que bots estão tentando criar a ilusão de estar usando vários dispositivos. Por exemplo, se um único dispositivo envia múltiplos pedidos com especificações de hardware variadas ao longo do tempo, essa discrepância sugere manipulação. Usuários genuínos normalmente não mudam as características de seus dispositivos de um pedido pro outro.
Nosso estudo revelou que muitos pedidos faltavam consistência em atributos como memória do dispositivo e núcleos de CPU. Ao analisar pedidos do mesmo usuário, frequentemente encontramos diferentes valores que não podiam ser razoavelmente associados a um único dispositivo.
Uma Abordagem Baseada em Dados pra Detecção
Pra melhorar a detecção de bots evasivos, sugerimos uma abordagem semi-automática que foca na identificação dessas inconsistências. Usando análises espaciais e temporais, podemos desenvolver regras que detectam quando um dispositivo provavelmente está manipulando sua impressão digital.
Essas regras aproveitam os insights ganhos a partir da análise de pedidos capturados anteriormente. Elas podem ser aplicadas a novos pedidos que chegam, aumentando as chances de identificar e bloquear corretamente bots evasivos.
Aplicações Práticas das Regras de Inconsistência
As regras geradas pelo nosso método podem ser usadas diretamente por serviços existentes de detecção de bots. Ao implementar essas regras, as empresas podem efetivamente reduzir as taxas de evasão dos bots que tentam explorar fraquezas nos sistemas de detecção. Por exemplo, nossa avaliação mostrou que aplicar essas regras de inconsistência poderia melhorar significativamente as taxas de detecção dos dois sistemas que usamos.
Além disso, o processo de capturar atributos adicionais pode aumentar a eficácia da detecção de bots. Quanto mais pontos de dados tivermos, melhores serão nossas chances de identificar inconsistências que indiquem manipulação.
O Papel dos Atributos do Navegador
Atributos do navegador desempenham um papel crítico na impressão digital e detecção de bots. Esses atributos incluem informações como a versão do navegador, sistema operacional, plugins instalados e até especificações de hardware como memória e núcleos de CPU.
Bots costumam tentar imitar configurações comuns pra escapar da detecção. Por exemplo, eles podem optar por se apresentar como se estivessem usando um navegador web popular como Chrome ou Firefox, que é frequentemente encontrado nos dispositivos de usuários reais. Ao visar atributos de navegador comumente aceitos, eles aumentam suas chances de serem aceitos como usuários genuínos.
Mimicagem Comportamental e Técnicas de Evasão
Bots evasivos usam várias técnicas além de apenas alterar atributos do navegador. Uma estratégia significativa é a mimicagem comportamental, onde bots simulam comportamentos parecidos com humanos, como movimentos do mouse e padrões de scroll, pra se misturar de forma mais convincente.
Essa mimicagem complica a tarefa de detectar bots, porque eles podem parecer exatamente como um usuário humano navegando em um site. Modelos de machine learning desenvolvidos pra detecção precisam lidar com essas técnicas sofisticadas, tornando cada vez mais desafiador distinguir entre usuários reais e bots.
O Desafio das Redes Proxy
Outra técnica comum que bots usam pra evitar detecção é o uso de redes proxy. Ao rotearem seu tráfego através de vários endereços IP, os bots podem mascarar suas origens e escapar de mecanismos de detecção baseados em IP. Isso dificulta esforços de sistemas de detecção que dependem de listas negras de IP pra filtrar o tráfego de bots.
Nossa análise indicou que um número substancial de pedidos veio de serviços de proxy conhecidos, complicando os esforços pra identificá-los e bloqueá-los. A dificuldade tá no fato de que muitos usuários genuínos também podem usar serviços de proxy, levando a potenciais falsos positivos.
Direções Futuras na Detecção de Bots
Pra melhorar os sistemas de detecção de bots, é vital ficar à frente das táticas empregadas por bots evasivos. Uma maneira de fazer isso é garantir que os sistemas de detecção possam se adaptar rapidamente a novas técnicas de evasão.
Incorporar modelos de machine learning mais sofisticados, capazes de aprender com novos dados e evoluir com padrões em mudança, é crucial. Além disso, explorar atributos não modificáveis, como características físicas do dispositivo, pode oferecer uma solução mais robusta pra distinguir entre bots e usuários reais.
Ainda há uma necessidade urgente de equilibrar a detecção eficaz de bots com a privacidade dos usuários. À medida que as técnicas de detecção se tornam mais invasivas, também precisamos considerar as implicações de tecnologias que melhoram a privacidade e que podem, inadvertidamente, sinalizar comportamentos normais de usuários como suspeitos.
Conclusão
A batalha contra bots evasivos é um desafio contínuo que requer adaptação e inovação constantes nas técnicas de detecção. À medida que os bots se tornam mais sofisticados e usam uma variedade de métodos pra evitar detecção, a importância de identificar inconsistências em suas impressões digitais de navegador não pode ser subestimada.
Focando em inconsistências espaciais e temporais, podemos desenvolver estratégias eficazes pra aprimorar os sistemas de detecção de bots. Isso, combinado com melhorias contínuas em machine learning e análise de dados, ajudará a criar um ambiente online mais seguro, garantindo que usuários genuínos não sejam afetados negativamente.
Através de pesquisa e colaboração contínuas, podemos continuar um passo à frente nesse cenário em constante evolução de fraudes e enganos online.
Título: FP-Inconsistent: Detecting Evasive Bots using Browser Fingerprint Inconsistencies
Resumo: As browser fingerprinting is increasingly being used for bot detection, bots have started altering their fingerprints for evasion. We conduct the first large-scale evaluation of evasive bots to investigate whether and how altering fingerprints helps bots evade detection. To systematically investigate evasive bots, we deploy a honey site incorporating two anti-bot services (DataDome and BotD) and solicit bot traffic from 20 different bot services that purport to sell "realistic and undetectable traffic". Across half a million requests from 20 different bot services on our honey site, we find an average evasion rate of 52.93% against DataDome and 44.56% evasion rate against BotD. Our comparison of fingerprint attributes from bot services that evade each anti-bot service individually as well as bot services that evade both shows that bot services indeed alter different browser fingerprint attributes for evasion. Further, our analysis reveals the presence of inconsistent fingerprint attributes in evasive bots. Given evasive bots seem to have difficulty in ensuring consistency in their fingerprint attributes, we propose a data-driven approach to discover rules to detect such inconsistencies across space (two attributes in a given browser fingerprint) and time (a single attribute at two different points in time). These rules, which can be readily deployed by anti-bot services, reduce the evasion rate of evasive bots against DataDome and BotD by 48.11% and 44.95% respectively.
Autores: Hari Venugopalan, Shaoor Munir, Shuaib Ahmed, Tangbaihe Wang, Samuel T. King, Zubair Shafiq
Última atualização: 2024-06-11 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2406.07647
Fonte PDF: https://arxiv.org/pdf/2406.07647
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.