CNET的高级制片人Dan Patterson采访了Patrick Sullivan, Akamai CTO，安全策略，关于如何检测和保护机器人。以下是经过编辑的采访实录。

丹·帕特森:这似乎是一个有趣的猫捉老鼠的游戏。机器人创造者或至少是机器人用户使用的一些规避策略是什么?如果我是一家企业公司，一个B2B，甚至是一个政治运动，我可能会使用哪些检测方法?

帕特里克·苏利文:捕捉那些不太复杂的机器人，那些不太有技巧的人，通常有一些很简单的方法。您可能会看到少数ip生成大量的请求——很容易发现这些请求。你可以很容易地把它们拍下来。我认为，多年来，验证码一直是辩护人的一种选择。

在这一点上，我认为这是一个机器学习在对抗方面的领域，如今计算机比人类更擅长解决验证码。你可以通过一个非常小的训练集，训练一台机器能够解决一个验证码谜题，他们会变得比人类更熟练。所以这是一种对终端用户造成高度摩擦的防御方式，对对手并不是很有效。

参见:安全意识和培训政策(TechRepublic高级版)

我们已经升级到观察，比如，如果有人说他们在一台运行Chrome浏览器的MacBook上，我们真的会询问并识别这个设备，他们能运行像JavaScript这样的东西吗?如果一个普通设备声称自己是谁，它能做的事情能做到吗?你可以在那里找到东西，但是机器人也会清理那里。我们已经看过TLS的签名了。

当人们对通信进行加密时，客户端和服务器之间有一个双向协商，客户端和服务器双方都接受这个密码。我们发现，你可以从中得到一些信号，来判断某物是机器人还是人类。然后，当你开始使用这个信号时，我们看到在人们使用的更安全的套件的随机化中出现了巨大的爆炸。

所以现在最有效的领域是机器学习。基于遥测技术，计算出鼠标的移动，手机的方向，是比较困难的。与机器人相比，对手需要做更多的工作才能在用户输入/输出方面创造类似于人类的综合体验。这就是目前的技术水平。

丹·帕特森:说到目前的技术水平，云技术怎么样?似乎如果我要购买一个bot工具包并部署它，我可能需要一个平台来部署它。我可以构建我自己的服务器结构，但是使用云计算可能要容易得多。

帕特里克·沙利文:当然。我们看到大量来自云的请求都是机器人，好机器人和坏机器人都是如此。如果你想想那些为网站运营商提供服务的公司，他们在云上构建他们的机器人，他们的自动化。因此，仅仅因为请求来自云，并不一定意味着它是恶意的，但它会增加您的怀疑。

实际上，我们发现的是这些机器人的一部分，你可能在你的探索中看到过，它们让你有能力插入代理服务器网络。实际情况是，你不是从你操作的机器人那里发送请求，你可以在大量代理服务器上租用时间，然后请求实际上会来自这些代理服务器。因此，当我们深入挖掘并找出这些代理服务器的来源时，往往是那些安全性很差的家庭物联网设备，它们已经受到了数以百万计的人的攻击。

人们通过租用这些设备上的时间来赚钱，这对攻击者很有帮助，因为这样可以降低单个设备的请求率。他们来自任何他们想去的地方，他们可以租用代理服务器在用户的本地地理位置，网站的本地用户，所以这是一种非常有效的规避。几乎所有的工具都能插入代理服务器列表。

丹·帕特森:与你交谈就像与过去交谈，并将它与未来联系起来。就在几年前，我们还在讨论如何利用云计算实现家庭物联网和消费者物联网的自动化攻击，而现在你们告诉我，你们的数据显示，这一现实已经成为现实。我想你说过网络钓鱼涉及到这些攻击，对吗?

帕特里克:有可能。因此，当你研究入侵行为时，如果你研究2018年发生的入侵行为的数据库里的数据，以及入侵行为的根本原因是什么，入侵行为的头号原因是泄露的证书。在有针对性的攻击中有很多方法可以实现，也许有人会给你发邮件，让你去一个看起来像你的电子邮件登录体验的传真的网站。你输入你的证书，有人会抓取这些，然后他们就有了你的证书，他们接收你的商务邮件，然后他们就离开了。这就是目标情况。

我们看到的更常见的情况，特别是在消费领域，是我们所说的凭证填充。就像你可以买一个工具来操作僵尸网络一样，你可以买一个代理服务器列表，你可以买一个之前泄露的凭证列表，用户名密码。这些bot操作人员将尝试在web上的不同站点上重用这些凭证。

在过去的不到一年半的时间里，我们看到，大约有550亿次这样的尝试，人们试图重复使用这些凭证来破坏一个账户。通常情况下,一个生态系统,所以一旦损害了账户,他们会去别人的手在生态系统中去实际实施的欺诈和诈骗将不同金融比零售比媒体比游戏,但是有一个非常清楚的路径美元在这些情况下,攻击者。