此翻译由机器生成,正在等待审核。 切换到英语
控制台

威胁类别

六类威胁。每一类都经过调校,以捕获自动化、欺诈和滥用——而不会无端挑战真实客户。

检测不是单一的检查。现实世界中的欺诈混合了自动化、基础设施和行为。我们将每一个类别映射到你的团队实际做出的那类决策——拦截、挑战、放行、观察。

这些类别大致从”喧闹”(明显的恶意自动化)到”安静”(细微的行为信号)排序。它们是同一个校准风险评分的独立输入——一个会话可能被一个、几个或没有任何类别标记。

01. 自动化与机器人

无头浏览器、自动化框架,以及脚本化滥用——包括那些专门为规避检测而设计的”隐身”变体。快车道和慢车道都会被捕获。

我们查看什么

  • 不可见的无头浏览器,以及那一系列试图隐藏它们的隐身补丁。
  • 自动化框架留下的指纹,即便在被要求掩盖踪迹之后仍然残留。
  • 会话正由一个远程控制工具驱动而非真人操作的迹象。
  • 暗示某个脚本在冒充真实浏览器的内部矛盾。

结果

在自动化流量到达登录、注册或结账之前就识别出它。

调校

这里的默认权重很重——能够熬过我们检测的自动化流量,是整个模型中最可靠的恶意意图信号。如果你有合法的自动化用例,例如运行时间监控或定时报表,请按密钥将其加入白名单,而不要全局放松权重。

02. 指纹篡改

浏览器对自身进行谎报的会话。被伪造的绘图测试、被操纵的浏览器行为、运行着激进对抗措施的反指纹工具。

我们查看什么

  • 绘图测试结果与会话声称使用的浏览器和操作系统不符。
  • 与设备其他报告信息相矛盾的显卡签名。
  • 浏览器的声称身份与其实际渲染内容不符。
  • 激进反指纹工具留下的残留痕迹。

结果

识别出蓄意的规避企图,同时不拦截诚实的隐私选择。

调校

我们把撒谎保护区分开来。使用隐私浏览器的用户拥有一致、已声明的画像——这会产生隐私浏览器信号(见 04),而非篡改信号。篡改意味着会话声称自己是一回事,而所有其他方面都显示它是另一回事。

03. 基础设施滥用

来自数据中心、匿名代理、过时网络行为以及已知不良地址段的流量。我们标记这些模式,同时不拦截恰好使用企业 VPN 的真实用户。

我们查看什么

  • 来自主流云服务商的流量——批发式欺诈的通道。
  • 来自威胁情报源的已知不良地址段,包括出售给欺诈团伙的住宅代理。
  • 暗示代理链的过时或降级网络行为。
  • 时区、语言和位置信号相互矛盾——这是代理在重写表层而没有重写底层会话状态的标志。

结果

识别批发式欺诈信号——同时不在远程办公者身上误判。

调校

数据中心 IP 并非自动恶意。企业 VPN、使用云端工作区的员工、藏身于托管中继后的记者——所有这些都可能显示为”基础设施已标记”,但并不恶意。我们将其视为弱信号,只有在与其他类别结合时才会升级。

04. 隐私浏览器处理

已识别的隐私浏览器,以校准的宽容度对待。注重隐私的用户依旧受欢迎;藏身于隐私浏览器之后的机器人则不然。

我们查看什么

  • 已知的主流隐私浏览器的形态。
  • 一致而非被篡改的指纹——真正的隐私浏览器会产生一个我们能够识别的稳定画像。
  • 结合硬件(05)和行为(06)信号,以区分注重隐私的真实用户与藏身于同一浏览器之后的机器人。

结果

欢迎合法的隐私用户,同时仍能捕获藏身其中的行为者。

调校

这是误报防范中最重要的类别之一。默认策略对于已识别的隐私浏览器是放行。网络和基础设施评分仍然适用,但我们会抑制那些本会在隐私浏览器刻意统一的画像上误判的”低细节”信号。

05. 硬件检查

设备级检查可捕获模拟器、虚拟机和重放攻击。那些能击败纯浏览器检测的机器人,会在硬件检查上失败。

我们查看什么

  • 揭示软件渲染的显卡签名——通常意味着虚拟机或模拟器,而非真实设备。
  • 与设备所声称硬件不符的显卡能力。
  • 揭示真实音频路径与模拟音频路径的音频签名。
  • 真实机器具有、但全新的一次性容器往往没有的日常设备特征。

结果

验证设备确实是它所声称的样子——而不仅仅是运行在其上的浏览器。

调校

硬件是我们最强的信号,也是最难大规模伪造的。欺诈团伙可以廉价租用住宅代理;他们无法廉价租用数百万台真实设备。我们相应地为硬件不匹配赋予权重。

06. 行为异常

鼠标、键盘、滚动以及验证后的时序模式。真实用户的形态——与自动化用户的形态——在毫秒级别上截然不同。

我们查看什么

  • 鼠标移动:人类有抖动、微校正,以及自然的速度限制。脚本往往画出笔直、完美光滑的线条。
  • 打字节奏:真实打字有变化;程序化输入往往落在一个可疑的紧密时间窗口内。
  • 滚动:真实滚动会自然减速;程序化滚动往往不会。
  • 验证后的时序:人类会停顿;脚本会立即继续。

结果

捕获那些在纸面上看起来像人类、却不像人类那样行为的会话。

调校

行为信号是模型中最安静的。它们是”通过了其他所有类别的会话”与”感觉仍然不对劲的会话”之间的差别。我们将它们用于升级其他方面正常的会话,而非作为主要的拦截信号——仅凭行为信号做出判断,会惩罚有运动障碍、使用辅助技术,或者只是交互习惯不寻常的用户。

各类别如何组合

每个类别都会产生一个校准的风险评分和置信度——而非判定。你的团队掌控最终策略。我们只确保输入是诚实的。

流程很简单:浏览器采集画像,六个类别各自参与评估,这些加权输入组合成一个单一的校准风险等级,然后你的代码决定采取什么行动——拦截、挑战,还是放行。

置信度指标反映了会话实际为我们提供了多少可分析的内容。在页面上只停留了几秒的会话,比有整整一分钟互动的会话给了我们更少的信息,无论其风险等级如何。

延伸阅读