腾讯安全BOT管理白皮书发布会原创

恶意的第三后端行为。限量版球鞋、高端白酒、演唱会门票限量秒杀，为什么你总是抢不到？实际上，和你拼手速的很多根本不是真人，而是恶意boot机器人。所谓boot及入boot机器人的简称是一种自动化程序，用来薅羊毛的恶意BOT，说白了就是把抢购这个动作通过毫秒级别的计算机程序完成，操作速度是人的成百上千倍，当你还在点开链接时，商品早就被恶意boot一扫而空。那么恶意boot的抢购原理是什么呢？抢购一样商品通常需要三个步骤，一、等待活动开始，二、完成商品的选择，提交订单，三、选择支付方式并完成支付。而恶意boot有两种抢购方式，第一种，模拟真人抢购，通过系统接口操控机器模拟正常人打开APP并跳转至相关购买页面，提交订单并支付。这种方式。

有完整的购买流程，更加拟人真实，可以躲避平台的监控。第二种API监控及抢购，通过逆向破解，直接找到平台的下单API接口，跳过首页商品详情加载等流程直接进行支付，实现快速下单等操作。这两种方式都可以通过程序复制和大量部署来实现规模化。所以恶意抢购boot不仅抢的比你快，还抢的比你多。实际上，Boot自动化程序已经成为互联网上最流行的应用，可以用来简化电子商务流程，包括预订机票、酒店、发送各种提示信息等等。但是网络上还隐藏着大量恶意的BOT。数据显示，目前boot流量占比已经达到63%，已经超过了人的访问流量，而恶意BOT的流量占比更是达到了27%。除了抢购BOT侵害消费者利益外，另外还有大量的BOT程序被用来实施网络钓鱼和诈骗。或者。

的攻击外部应用API和原生应用，总之，恶意boot正在成为企业的新一代杀手。面对日益猖獗的恶意BOT，企业如何高效应对？腾讯安全有三大建议，第一，客户端风险识别，真人真机检测，防止来自模拟器协议模拟访问浏览器风险识别，检测当前浏览器是否为真实浏览器，当前访问浏览器是否被控制。第二，加强情报检测，增加对秒拨代理的监控，从IP助战访问时就针对分析判定风险级别，在访问员上对抗恶意的Bo。第三，后端行为分析，行为异常监控从基于IP处置升级成基于身份处置。腾讯安全新一代袜为企业构建客户端风险识别、安全情报监测、大数据访问行为分析三道安全防线，将平台的Bo威胁程度进行。

智能打分，快速自动识别响应boot流量及其变体，实现分级、分段、分动作处置，精准拦截风险访问，让企业业务平稳且安全的运行。尊敬的线上嘉宾大家下午好，欢迎来到腾讯安全boot流量管秘白皮书发布会的直播间，揭秘BOT流量管理指导，我是今天的主持人腾讯安全品牌营销经理陈娟娟。在网络安全威胁日益复杂和多元的背景下，流量攻击频发，给企业系统和业务安全带来直接的危害和经济损失。如何辨别新型BOT攻击类型，如何进行有效的BOT防御，成为企业备受关注的问题。今天，腾讯安全首次发布腾讯安全boot管理白皮书，揭秘boot流量新型攻击及防护建议，希望能助力企业降本增效，提升业务安全。

首先给大家隆重介绍我们今天线上的三位分享的重量级嘉宾，他们分别是中国信息通。华集团信息安全总监张维、腾讯安全高产经理马子。非常感谢三的临。

在三位大咖演讲开始之前，我要提醒大家，在演讲中间，我们为大家准备了丰富的礼品，我们将在踊跃发言的用户中选出40位幸运观众，大家快来积极发言吧，我身后的背景板上有我们群的二维码，欢迎大家扫码进群，群内呢填写产品试用的链接，也有企鹅公仔额外的礼品赠送哦。好了，首先有请我们的开场嘉宾中国信息通信研究所云计算与大数据研究所开源和软全部副孔松为介绍。用全新趋。嗯，大家好。呃，大家好，我是中国信息通信研究院的洪宗，非常高兴来到腾讯安全播管理答题出的发布会啊，那么今天主要是跟大家简单的分享一下在预算时代应用安全面临的一些新的要求，新的趋势。

呃，今天我的分享呢，主要分为三部分，呃一是在整个应用软件服务蓬勃发展的今天，我们去分析一下应用面临的一些新的安全要求和一些痛点，呃二呢，是我们探索在应用研发的阶段，如何通过前置安全理念去保证整个研发流程的安全，呃三呢，是在按运营阶段我们去探索呃云外如何去更好的保护应用安全，呃，去分析一下云外在未来的一些发展的呃趋势和方向。嗯，那么这两年的话，其实这些年随着整个嗯互联网和移动互联网的发展，其实应用软件和服务已经成为了大家生活中必备的一个组成，不管是呃外部应用还是一些移动应用以及一些API，呃在大家生活中扮演着越来越重要的角色。那么从宏观上来说，我们可以看到我国整个软件和信息技术服务产业都呈现一个持续发展的态势，收入的话也是一年比一年增长率都在提高，那么在过去的一年整体的收入在同期相比来说都达到了10%以上，而同时随着云预算的蓬勃发发展，软件及服务，也就是saaras也是成为了未来软件应用的一个发展的趋势啊。那么在我国来说，各类的SaaS服务都不断的呃，涌现和衍生来满足企业或者是个人用户的一些需求，呃，就包括像这种CRMDRP，以及供应链管理呃，会议社交等等，尤其是在疫情。

期间呃大as也成为了大家越来越多的选择啊，影响着大家日常的一些生活和办公，呃那么在整个软件应用和服务蓬勃发展的背后呢，其实是有多种因素去呃推动支持着他的，一方面我们从政策驱动来看的话，呃在十四五期间，整个软件和信息技术服务业仍然把行业应用软件保持快速增长作为主要的一个发展目标啊，那么同时呢，也鼓励做这种协同的公关应用软件啊，包括重点行业的一些龙头企业和软件企业能够相互的去呃联合合作推动相应的软件应用的一些发展，就包括呃像面向重点行业需要去探索一些金融的呃核心业务系统啊，智慧交通，智慧能源等等相应的这些应用的发展，同时也去鼓励呃，软件应用和基础设施相应的融合，呃，如基站大数据中心等等啊，那么第二的话呢，其实是一些新的技术或者是一些新的模式支撑。

软件应用不断的呃去升级优化，包括像近些年比较呃深度应用的这种容器微服带loss技术，能够赋能整个应用研发运营的全流程，提升呃应用的这种开发的迭代速度，以及呃运营的质量啊。同时开源呢，作为这种开放协作的一种模式啊，也成为企业构建应用的一个重要的选择，让他们去调查，全球99%的企业都在呃应用开源软件，所以开源也成为了大家的一个呃，就是日常生活中必备的一个组成要素呃，所以在整个人生和开源的推动之下，研发运营的模式也从最早的这种客户式开发项目直接开发。

更向引进啊，所以整个软件应用它的整个发展趋势也呈现了一定的变化啊，包括一是整个迭代速度加快，从用户侧的感知来说，也可以看到呃这些各类的应用，它的一些功能优化的速度是非常快的啊。第二是整个微服务的一个深度发展，也让应用从原来的这种单体架构向分布式架构转变，所以整个应用之间的这种呃各类服务的API的交互也不断的增加，成为了呃企业的一个重要的资产啊。第三的话呢，就是软件，呃开源软件在整个应用中占了越来越重要的地位啊，那么整个组成导致整个应用软件的组成也变得复杂，呃引入了多多种软件，或者是软件之间也有非常复杂的这种依赖关系啊，所以都导致我们的应用，不管是它的开发还是它的未来的一些管理都变得更加复杂。

嗯，那么在整个呃面向应用的这样的一个发展态势之后，其实我们可以看到呃，相应的一些安全的情况或者是需求也在发生着变化，呃一个是从数量上来说，呃，像这种传统的比较典型的网络抗改网冒页面，比如后门等等这些典型的安全事件也是仍然在频发，整个二一年我国境内发生的这三类事件多达20万起，而在类型上来说，我们也可以看到一些呃新的一些攻击手段或者是趋势不断在发展啊，包括呃据统计2021年整个电子商务网站遭受的这种多种攻击啊，达到了57%啊，所以越来越多的攻击手段都呈现着构同的这样的一个发展趋势啊，尤其是API成为了重要的资产，针对API去探索它的一些，呃，就是获取一些敏感信息，或者利用API去执行一些呃，薅羊毛等等这种操作也成为了未来的一个呃，重要的要重要的趋势啊。那么同时的话，在。

在整个软件的构建过程中，开源软件作为它的一个重要组成，同时在原生化的这种开发的模式下呢，容器镜像也是呃应用快，应用快速开发，快速部署的这样的一个基础，呃所以在这样的一个供应链的情况下，供应链安全事件呃也不断的在频发，像这些年这两年比较重，就是比较让大家知道的logg啊，太阳风事件等等，也都引起了大家对应用软件的这种供应链安全的一个重视。啊，所以面临着呃这些应用安全的一些变化和一些呃新的需求呢，各个国家其实也都在统筹去探索啊，如何去实现应用的研发运营全流程的安全啊，那么美国的话，其实在早些年也就已经提出了需要去开展这种软件质量保证项目啊，在研发阶段去提出需要做这种安全的设计和开发的技术以及供训链，而在运营阶段的话呢，呃更多的是强调有这种呃内设防护探索响应的这样的一个呃多重的完全防御的能力，而在美国来说的话，也是积极的推进这种呃深层次连代码的审查机制啊，而在越野阶段也强调希望能够通过这种主动防御的机制去避免一些威胁事件的发生。呃印度来说的话呢，同样也是强调了连代码的安全审查。在研发的阶段，在整个战略中就已经提出了需要做这种安全。

测试的左移，而在运营阶段也是希望能够有这种安全威胁的早期预警，相应的这种机制啊，所以在整个其实啊，不管是政策要求，合规的一些监管，以及自身的一些安全驱动下呢，呃，企业都需要面向应用去建立这种完善的研发运营安全体系，呃，与传统的这种安全机制相比，其实呃之前可能更聚焦在这种验证集团发布阶段和运营阶段的安全机制，而整个现在的这种平台业务安全，其实强调我们需要做安全统一，从需求阶段一直到整个下线阶段，建立这种流程的安全机制。呃，所以在整个体系过程中，其实分为两大部分啊，一呢是需要有相应的这种安全的管理机制。

啊，包括有相应的研发育安全的这种相应组织架构，有呃比较完善的这种制度流程，能够有相应的配置安全培训，还有对这种开源或者是第三方软件应用的进行管理啊，那么同时在整个管理机制之下呢，其实需要有一定的这种技术或者是呃工具手段来去支撑它发挥呃相应的作用，那么可能其实我们整体来说可以分为两大阶段，第一阶段其实就聚焦于在研发层面啊，包括s sa test等等这些近几年啊比较受到大家关注的这种工具都能够支撑在研发阶段的一些代码以及安全或者是一些安全测试，呃，那么在运营阶段的话呢，聚焦在其实主要两大呃工具，一个是RA，一个是RA，那么这个就是目前我们认为其实在整个应用安全过程中需要去构建的一个完整的体系，呃，那么在所以在研发阶段来说的话，主要是贯穿着一个理念，就是前置安全啊，从。

需求阶段开始，所有的流程上都需要去综合考虑一些安全机制啊，所以首先在整个流程上来说，一其实是需要在要求阶段能够建立整个研发安全的一个基本的基限，呃，这样的话，有了一个完整的机械之后，在后续所有的关键环节的一些安全审查上都已经都有的标准可依啊。对于安全机械来说的话，我们认为主要因为三部分，一是需要有相应的交通物管理的安全机械，包括我能够去制定相应的一些质量文献啊，能够对开源和第三方组件有相应的这种统一的管理的一些要求啊，同时对整个应用的一些变更也有明确的要求。嗯，第二部分的话是面向人的，也就是在整个应用的呃，开发、测试、运维、运营整个过程中涉及到的人员需要对它有一个完善的这种权限管理的要求，那么保证人员能够依据权限去开展相应的一些行为操作啊，所以也要对整个行为操作去进行一定的记录。

啊，那么最后的话也能够基于整个操作进行相应的这种安全审计。那么第三的话呢，主要是面向呃应用的这种，它所依赖的环境相应有一定的安全执行要求，呃主要是针对这种开发环境，测试环境，发布环境，市场环境等等，我们能够去，呃包括有这种环境管理啊件扫描等等一些机制的要求。

啊，那么在明确了整个的一个安全机线要求之后呢，我们在整个需求分析和设计阶段，也需要充分的去明确一定的安全要求，在需求阶段来说的话，其实安全的需求主要是包括两大部分，一呢是去做这种安全的合规需求，也就是呃整个应用在开发或者是例之后，他需要去满足哪些呃法律法规或者是一些行业监管的要求，第二呢是呃应用的这种安全功能的需求，这个主要是结合到应用它自身承载的业务的一些特性，呃来去制定相应的一些要求。啊那么在明确了需求阶段的要求之后，在整个设计间的话，其实呃分为四，主要是包括四大部分，一个是就是这种质量的安全要求，第二是呃需要去开展这种收工，经面分析，第三也是根据自己的这种安全目标，能去有这样相应的一些建模，呃，最后的话也是需要有一个维护这样的一个安全需求设计的知识库。

嗯，在整个设计阶段完之后的话呢，其实就进入到了研发的阶段，在研发的阶段的话，我们强调需要去关注代码级的安全，这个可能也是跟一些传统的安全呃有一定的区别的，就是不仅仅是聚焦在应用自身的一些呃安全的漏洞或者是安全的功能，一定要是深入到代码层面去看代码是不是有一些安全的，呃问题在嗯，所以其实主要是分了三大呃块吧，第一是在编码的时候，需要我们有这种统一的安全编码的工具，需要有这种统一的版本控制，能够对代码进行代码及层面的这种安全扫描，第二是对这种第三方组件去进行管理，包括呃不管是这种开源软件还是一些其他的第三方组件，呃，在引入或者是呃使用的时候，一定要明确相应的机制，什么情况下，呃我应该在什么满足什么条件能够去引用相应的这种呃开源软件或者是应用，那么在什么条件。

下，呃，可能需要去禁用了，嗯，第三的话呢，就是整个的一个变更管理，对于这种变更操作需要有统一的管理，统一的审计，还有相应的这种权限的审批。呃，研发阶段之后的话呢，就是进入到了整个的验证阶段，那么验证阶段的话，其实聚焦在就是各类的这种安全测试，也包括呃，我需要做这种代码的一些安全审查，一些组件的安全测试，一些配置的审计，然后漏洞的扫描，渗透测试等等，其实呃，就是包括传统的像其实做渗透呀，或者是扫其实会比较多，那么这里面更多的强调的是需要去做代码及安全审查，以及第三方组件的相应的一些依赖关系的扫描，以及他们的一些安全测试。嗯，那么在整个验证阶段最后的话呢，其实呃需要开展发布阶段之前的最后一次的这样的一个安全检查，包括在发布管理方面有相应的一些安全的流程，呃有相应的一些发布权限的管理，以及明确整个的这种安全检查的节点。呃在安全性审查来说的话，其实也是在最终即将发布之前再进行一次相应是否有病毒这样的一个导描，以及对整个应用软件它的完整性进行一定的校验和检查，呃同时呢，需要有相应的时间响应机制来保证，呃应用发布的过程中，以及发布之后，呃是不是可能出现一些安全事件，那么需要有明确的责任人，以及有他的一些响应的流程上的要求。

啊，那么在上述整个流程完之后，其实就是已经完成了从应用的这种需求，一直到最终的呃发布的整个流程，在这个过程中其实需要有相应的一些安全工具来去呃支撑上述的一些能力要求，包括主要是四大方面，一是这种静态业安全程序，这个主要是在研发阶段去呃发挥相应和作用，嗯，它呢其实不需要运行程序本身，主要是去对呃程序语言它方面的一些呃结构呀，语法等等去检查，来去看静态的这种程序，它是不是有一些编码上的问题啊。第二的话呢，就是动态应用程序安全测试，这个主要应用的阶段包括研发的和验和验证两个阶段，呃，这个就需要应用程序去动态运行了，这样的话能够去模拟一些黑客攻击行为，对应用进行相应的一些攻击测试，来就看看他是不是有这样的弹性韧性，能够去抵挡这应的测试。

呃，第三的话呢，就是软件组成分析，呃，这个主要是面向这种开源和第三方软件，也是应用在研发阶段和验证阶段，能够去识别我整个应用软件中包括哪些开源和第三方组件，同时这些开源第三方组件又可能依赖哪些开源和第三方组件，所以进而去，呃，梳理整个的这样的一个依赖关系，去做相应的一些漏洞的安全管理啊，最后的一个就是交互式应用成加全测试啊，主要也是应用在这种研发阶段和验证阶段，能够去基于程序的一些交互的行为来去判断其中是不是有一定的安全漏洞，呃，那么上述的话呢，其实就是聚焦，聚焦更聚焦在应用的这种研发的阶段，呃，如何去算这管控，那么在应用的运营阶段来说的话呢，我们主要目前呃用的最关键的手就是手段可能还是外呃，所以整个呃这一节我们其实更多的是分享云外在呃未来以及当前如何去保证运动的安全。呃其实整个。

外来说的话，在整个呃安全的领域是一个发展比较成熟，生态也比较呃健全的这样的一个安全工具，呃最早来说的话呢，其实可能更多的是这种硬件的形式，呃串行不署在外B服务器的前端，呃所以在性能上来说表现会比较好，但是整个成本会比较高啊，那么慢慢的随着整个不管是应用软件的发展，还是一些安全需求的变化，呃硬件的挖子呢，逐渐向软件挖回去，呃就是进行一个变化，呃整个软件挖的话，跟硬件相比，其实它的部署成本会更容易一些，呃学习的成本也比较低，而同时随着云计算整个深入的发展之后呢，嗯，Buff也呈现着这样的一个云化的态势，呃，包括它这一这方，一方面是技能继承这种硬件B和软件B的这种核心功能，呃，同时的话呢，它自身在部署形态以及一些性能上也进行了一定的优化，呃，包括可能利用云的这种。

资源的具备这种弹性、高可用和扩展的能力，而同时云外部的话，我们也越来越强调它需要去进行这种连生化的发展啊，尤其是在公有云场景中，能够跟CDNF应用这些云的网络基础设施原生的去集成，来给这种外部应用提供一个更好的防护的体验。呃，那么在云外部的话，其实主要就是呃，一方面是继承了传统的外部相应的一些这种核心的呃能力，我们认为可能主要包括了六部分，那么基于这六部分能力，其实能够给应用在运营过程中提供一些定的基本防护啊，包括基础的外部防护，也就是像提提出的这些主流的一些呃应用漏洞，我能够对针对它进行一定的呃入侵的抵抗啊。第二是能够对这种CCV攻击进行防护，对一一定的这种高频访问进行相应的管控。

啊，第三的话呢，就是需要对呃应用的这种爬虫进行一定防护，能够去呃识别相应的是会议的爬虫还是善意的爬虫啊。第四的话也是一个这几年比较重要的一个点就是漏洞的虚拟补丁啊，这个主要是因为其实现在一些呃就是呃短时间内的这种漏洞爆发出来的之后，影响非常大，那么企业可能针对于呃应用的代码层面后端，其实它可能修复的时间并不是那么及时啊，所以就需要通过这种漏洞虚拟补径来做一个呃更加及时的对这种漏洞的一个呃响应啊。第第五的话呢，主要是聚焦在这种敏感信息的防泄漏啊，既包括就是尤其是对于一些API之间的这种角步更加频繁，很多API可能存在着一些健全上的缺失啊，所以需要能够对，尤其是对这种敏感个人信息啊，是不是受到了一些统一的访问请求，然后是不是有一些敏感词啊等等需要去。

做一定的这种检验检测，呃最后一个的话呢，主要是网页防范改，这个也是因为在呃其实尤其是一些重大的时间节点，呃应用会面临着对于外部黑客恶意篡改的这样的一个问题，呃所以需要外能够对整个网页进行相应的定的缓存，那么在整个发现这个呃被攻击之后，或者是被跳台之后，能够去呃展示缓存之前的页面，嗯这个是一些基本的能力，那么在整个呃基本能力之外的话呢，其实我们认为人也需要有一些呃特性来够来去发挥现在的一些充分的这种呃保护的作用，包括呃其实用户的这种自定义的需求会比较高，所以一定要去支持这种自定义的一些规则。呃第二的话呢，是自动响应，其实包括呃，前面刚刚也介绍，不管是一些政策还是等等，都是有提到一些渠道去做的这种主动的响应，去做一些及时的自动的。

呃，处置这样的话来提升整个的安全事件的一个响应效率，第三的话呢，能够是有一种这种可视化的展示，让用户能够更加的直观的去了解应用目前的一些安全情况。那最后两个的话，其实都是呃云的一个非常基本的特性，就是我们整个外部能够根据呃用户的需求去做一些性能的防护的弹性，呃同时自身也是需要高可用能尽量能够保持保证这种呃防护能力的不间断啊，那么在整个基本的这些防护能力之上的话呢，其实我们可以看到用户他的应用呃这些人员存在的变化，而整个的一个呃安全的需求或者是一些工艺的态势也都在变化，呃这挖能力其实也是在不断的去扩展和升级的，呃主要是包括两点，一个呢，就是做这需要去做这种API的防护，呃主要是随着原生应用，其实近些年API的数量呃保持着这种快速爆炸式的增长的趋势，呃，成为了企业比较重要的这种新技术的资产，所以如何对这种API去做防护是非常关键的啊，那么一个是能够去自动啊有效的识别企业就是这种增长的这种。

啊，API第二个是能够去呃做有效的这种威胁检测，就包括API是不是存在相应的一些漏洞，呃API是不是被一些外部的恶意的人员做滥用了，尤其是对构来说，第三是会不会有一些就是一该健全等能导致的这种敏感信息的泄露啊，所以需要法正需要针对API能够发生发现相应的这些问题，呃第三的话呢，就是针对整个发现的相应的一些问题做一些呃及时的告警，以及自动化的这种响应啊，那么第二个比较关键的也是跟今天的这个白皮书非常相关的，一个就是做做防护，呃，这个主要是呃，其实我们也知道，一个是呃流量角度来说，Bo所占的比例越来越多，第二个是Bo的相应的这种攻击手段其实也在不断的发展，一个是像最早的话，可能主要是做一些通过简单的脚本进行嗯额的攻击，那么慢慢的呃，有了相应的一些GS。

的执行音频渲染的能力，而目前来说的话，我们相应的沟通攻击越来越呈现于这种呃，就是模拟人的行为越来越智能化的一个趋势，能够去跟呃浏览器做更复杂的这样的交互啊，所以在整个这个攻击的态势之下的话呢，云挖它呃如何去更有效的识别vote也是一个非常难的呃痛点啊，包括其实在整个播过程中，一个是呃需要去有效的识别vote是恶意的还是善意的啊，尤其是对于呃，像这些排名啊，流量监控，所有引擎这些善意的流量来说，其实应该是合合理的放行，而对于一些薅羊毛，装户刷刷票等等这些恶意的部分，一定呃是要去阻拦的，所以怎么通过这种呃，就是更加呃有效智能化的手段去识别BOO是嗯，未来就是以及当前吧的一个比较关键的重点，而同时的话，其实我们可以看到整个BOO它的一些行为都是跟应用所。

承载这个业务强相关的，所以呃，大图的话，其实也慢慢的更加的不仅仅是聚焦在这种应用层面，更多的也需要去考虑啊，我的这个应用承载的是什么业务，这个业务的行为是否合理合法啊，所以一定是要未来跟整个业务安全相去融合的。

嗯，那么呃在呃在那么同时的话呢，其实我们看到这两年呃rap也是一个大家比较提及的点，用来去做这种应用的安全防护，嗯可能有些人在想是不是外同是做这种云ma的一个替代，但我们觉得其实两者更多的是呃一个协同，共同促进应用安全的一个机制，呃主要考虑到其实对于部署模式上来说，两者具有非常大的区别，外部更多的是做这种外部接入，所以整个应用程序的计算资源其实是无占用的，而RA的话，其实更多的需要在应用中做这种插桩，构建在应用程序的内部，嗯，所以两个它的这种部署模式以及呃实现的原理其实有比较大的差异啊，所以其实两个能够实现的一些防护性能也是一个互补的关系，包括像对于私的攻击，爬虫会议漏洞这些呃比较有明显的攻击特征的流量，以及一些呃攻击，在呃攻击之出会有一些比较大的一些。

异常流量来说的话，其实都可以需要，都可以通过这种外去呃就是解决掉，而从R的话，其实更多的它固定在应用程序内部，主要是用来去能够解决一些连位的漏洞事件啊，同时的话呢，两个部署的位置导致他们对一些流量的视角其实也呃有一定的差异，所以对于B来说，更多的它能够去做这种全量攻击流量的一个洞察，而RA的话，更多的可以去聚焦在这种东西向流量的安全。那么以上的话呢，其实是我们认为的在目前来说，企业做这种应用的研发，预约安全整个流程阶段需要去构建的一些能力啊，那么新通院的话，作为一个相方机构，其实一直也在探索呃，这种业务安全相关的一些工作啊，包括我们去成立了供应链的一些实验室，然后一些业务安全推荐计划，呃凝聚了行业里的一些不管是供链侧还是用户侧的一些呃企业资源啊，希望能够通过这样的一个生态联盟开展应用安全相关的工作，包括我们日常会做这种标准的制定，测试评估的任务，以及就是对外发布相应的一些研究报告，那么目前来说的话，我们在整个应用安全的呃领域已经开展了一些，呃，就是对一些重点领域开展的相关的工作，包括呃研发，运营，安全的一些成熟度，相应的一些工具的工作，以及呃供应链的，还有呃人件物料清单等等。那么在运营阶段的话，目前也是聚焦在像呃外和API跟治理业务。

风控深用测试等等这些重点领域都开展了一定探索，那么未来的话呢，我们肯定也会呃积续聚焦在应用安全的一些新的趋势，新技术，新理念上啊，不断的去开展相应的工作，去促进行业的呃发展，那么我今天可能简单就是主要就是简单的做一个抛砖引喻的介绍啊，然后后面的话呢，可能有各位专家能够详细的去介绍工作相关的一些内容啊，那我今天的介绍就到这，谢谢大家。

非常感谢孔松老师的分享，相信通过孔松老师的介绍，我们也了解到了应用安全的迫切需求，以及外部应用防火墙在应用安全管理上的积极作用。而互联网的新型攻击、爬虫漏洞、CC恶意攻击等都急需我们安全防护系统进一步升级，那面对新型的boot攻击，我们又应该如何进行有效的安全应对呢？接下来有请腾讯安全W高级产品经理马子阳为我们重磅发布腾讯安全boot管理白皮书，揭秘boot流量管理指导，有请。诶好，谢谢主持人，也谢谢孔松老师的发言，呃，下面就由我来为大家来介绍一下腾讯安全报管理排名书的一些发布的一些情况，然后在这个环节里面主要是有两个大的一个方向，第一个呢是报白皮书的一个解读，另外一个就是说我们是如何打造一个比较好的一个治理的一套系统。

以及我们是如何去做到一个治理的一个最佳实践的。那么首先来说，我们来到第一个部分，BOT白皮书的一个解读。呃，首先来看一下，我们从整体的一个流量态势进行一个查看，我们会发现一个特别明显的一个点，就是在线网的流量中，然后其实BOT的流量占比呢，是逐年的不断进行上升的，然后我们可以看到说在最近20202022年的上半年度的时候，平均每个月的BOT攻击的一些流量基本上就达到了百一百一十一次。每个月了，然后呃，还有几个比较有意思的一些事情啊，就是说呃，我们发现就是现在我们在统计的整体的一个网络攻击流量里面，BOT攻击和CC攻击这两种攻击流量占据整体网络攻击流量已经超过了80%了，这就意味着说当前的一个攻击者想要去攻击咱们业务平台系统的里面这些地方的话，它其实不仅仅是只着用，只着用于传统的那种叫做呃外部应用漏洞了，更多的来说，像是说它会着重于对咱们的一些业务的API接口，对咱们业务的一些逻辑漏洞，或者说像是一些呃敏感的一些API接口，会对他们进行一个针对性的攻击。

这种漏洞已经从传统的这种安全漏洞，已经逐渐往业务漏洞安全呃逻辑漏洞这一块进行延伸了。然后第四，第三个数字是一个比较有意思的，就是说我们在BOT与CC的一个流量攻击，虽然说我们看到了一个它的整体网络流量空间80%，但是我们去做了一个比较模糊的一个统计，它其实在报CT的一个攻击流量，它占。

整个互联网流量的总体大概有63%，其中极度恶意的攻击占百分，在整体网络流量的一个27%左右。然后我们也与去年的一个数字相做了一个对比，在和去年的一个对比的一个过程中，我们发现了攻击流量，它整体的一个涨幅是大概5%。那么我们在这一年的一个攻击，还有呃攻击的一个观察中里面，我们发现BOT攻击逐渐呈现四个四个化的一个态势，第一个是BOT攻击具有一个产业化的一个态势，很多一个BOT的产业服攻击服务呢，逐渐形成一种就说BOT ss ss service这种趋势，第二个呢是BOT攻击局限普及化，呃，BOT攻击的发起的这个人员不仅仅是局限于说普通的科产人员，有很多的一种普通的技术人员，也可能会发起一些类似于脚本攻击。然后第三点是bos攻击不再像是传统那种说他从某几个固定的IP，或者某几个特特殊的IP进行发起的，他们现在更多会隐匿在一些来自基站流量，还有就是还有住宅IP里面。

第四个点就是和咱们的一个网络应用相关了，网络攻击相关的，因为我们发现，呃，现在的一个Bo攻击里面，它其实有很多时候会带有一些攻击载荷，像是咱们现在比较常见那种勒索挖矿病毒啊，他们在进行横向移动或者是扩散的时候，他们都会。不好意思，有点咳嗽，都会使用到一些关于呃，BOT攻击的一些自动化技术，对一些网站进行批量化的扫描，就是分成四个test来去说，接下来我们继续往下面去说，But as成为一个新的一个产业的一个新趋势，它其实有主要是有三个方向来说的，第一个方向来说是就是报塔的攻击者，他的上下游的供应链，它是会不断持续丰富的。在常规的工具这里面，他们常用的喜欢用的一些来自于IDC啊，还有VPS这种传统的一种机器进行访问以外，还有近几年比较新兴起的一种，类似于说云函数啊，Service啊，CF啊，或者说一些售后服务计算，更有甚至说呃，像是把一些传统的一些机器设备，像是手机这种拟真的，有云真机这种计算技术。

都在不断兴起，然后攻击者可以通过快速去调度这些服务资源，使他们能够做到比较低成本的一个机器资源模拟，还有IP资源的模拟及使用。第二点呢，就是攻击者其实除了啊去购买IDC或者VPS这些机器以外，他们会也会使用一些相关的一些商业化的一个配置工具，对咱们的一些呃业务进行一个访问或者侵害，呃，因为除了自建的一个报一个资源以外，有些成上层有成熟的一些服务链，其实也不在少数，就比如说有很多一个BOT攻击者会采取使用商业化的一些模拟器，商业化的一些模拟沙盒，以些IP代理去快速去对抗一些boot的一个防护系统，就比如说有些是商业代理啊，或者是住宅秒不代理这种。

第三点是有部分BOT攻击者呢，做了一个比较呃取巧的事情，它不进直接的进行一个BOT攻击，而是通过一种低代码的技术，为有需要实现攻击的人提供自动化的一个IP切换，然后自动化的去帮他打码，自动化去帮他形成新的一个设备，从而去分担呃，他自己一个人对抗po的成本，实现service这种服务方式。然后我们这边从右边也可以看到说，现在Bo上下对抗的一个资源链大概有哪些，首先呢，呃，正常的一个攻击者，他会做一些技术准备，就比如说他会搭建一些成功的IP代理词，去模拟一些真机的情况，去做一些真机驱动啊，或者说是一些调用一些众包工具进行一个访问，第二个他们也需要去准备一些使用资源。

就比如说一些代理啊，秒播啊这种。还有同时除了这些IP资源以外，还有一些来自于说呃，相关的无痕浏览器啊，脚本工具啊，一些音模拟的工具啊和云真机，还有一些呃，在进行针对性的BOT工具的时候，需要用的一些比较敏感的资源。比如说像是。呃，业务账号啊，手机小号啊，一些身份证或者是邮箱或者一些银行卡信息。然后第二个点说，呃，第二个第二个技术的一个普及点，就是说BOT技术，它所组建的一个技术一个普及化，就是在。我们对去进行boot对抗的时候，我们会发现说它的BOT的一个流量访问，它其实现在变对比之前来说啊，隐匿程度更大了，我们对它一个识别难度会不断的加大。

原因其实是有以下六点的，第一个点是说它的一个技术门槛，其实现在不断这样低的，刚才在上面已经提到一点，就是说有部分的一个BOT的一个服务的提供商，会给用户提供一种低代码，一种呃方式去让他们去自制boot工具，而且有部分技术，因为随着一些呃新技术的不断发展了，有很多的一个技术人员也会去选择说，哎，我去自己搭建一个呃工具，就像是前段时间在一些呃代码托管平台上面。就出现一些啊，类似于说抢菜的工具这种的一个报工具，在呃代码平台上公开这样的情况。第二点，为什么说它识别呃访问更隐力，识别难度更加大呢？就是因为说它使用的人员不再仅仅局限比如说一些会场业务，就比如说我们在进行抢购的时候啊，会也会有看到说诶。

有朋友在不停的传播说这个呃，抢购的工具好用，我们是不是可以用呢？然后所以说是会有一个点，就是说T的一个使用工具的人员，其实不仅仅局限于黑的一个业务中。第三个点是说网络环境不断的进行混杂。因为咱们的一个BOT的攻击者发起网络请求位置更加偏向于说呃，从住宅IP或者基站研发起来了，而不再像是传统的一种说，我能仅仅只通过类似于说代理IP啊，或者是那种IDCIP进行一个快速的一个单单调，所以说我们现在会发现说哎，他的网络环境更加混杂了。第四点也刚才也提到，就是说我的一些报道工具会在社交媒体上去进行一个同步的一个转发发送，然后有一些正常的用户也会为了。更快更方便的去拿到这些数据源，他也会去把这些工具给进自己去进行使用。第五个观点就是说BOT的一些工具的一些基础资源调度起来更加便利了，就比如说一些来自于说云函数，云计算，或者说一种。

往更深层次一点的说啊，我通过一些软路由去进行一个拨号。第六个观点就是呃，BOT的一个，因为随着一些技术，随技术的发展，像是呃seen嘛，或者说像是近年来的head啊，或者说是再往前一步，像是说Chrome的一个develop那个。操啊CDP这个协议一样，就是我们在端上的识别能力，呃，识别被操控能力这一块是不断的加大，因为现在的技术会让呃，BOT攻击者的一些隐秘技术会做的更好，所以说我们现在会发现说这一块的一个识别难度会比之前会大很多。

然后刚刚说完一个地方说我们识别它的难度大，还有一个它的一个引力程度更甚，那么现在就来说一下啊，它的一些流量现状以及网络分布了，我们也对这些网络流量进行一个相关的一个呃分析，我们会发现说他其实。BOT流量占比里面，它其实是占整体网络流量的63%，其中恶意的BOT占比的流量占比是36%，极度恶意的BOT在咱们的一开始第一章的时候就已经说到了，极度A的流量是占27%。然后我们对这些BOT流量的一个IP归属地进行了一个分析，因为IP呢是一个网络接入的一个载体啊，并且它的IP资源是有限的，特别是像是在呃国内这种环境较多的地方，每个IP都是一个比较容易获取公共属性，因此呢它不容易。被伪造会场也会通过一些，呃。

会场会通过一些类似于VPN啊，代理啊，VPS啊，或者说一些adsl本播的方式去隐藏他们真实的访问IP，通过不停切换IP的出口，制造了一种说全国用户都在访问的一个假象。然后会议产用户通常会使用以下四种的一个IP类型对咱们的业务进行侵害，第一种是来自IP cidc和VPS的一个混播。就是我通过。通过远程在VPS还有IDC上假设一多多套的一个网络接口，然后通过软件实现说哎，我这个访问请求走的是哪个IDC？这个访问请求指的是哪个VPS？第二个点呢，是攻击者通过VPN和网络代理。进行一个访问，这个和idcvp有点不太一样，它是说它的一个服务载体，并不是说直接到IDC上，而是说通过利用一些商业的服务或者自建的IP代理词进行一个访问。

第三个呢，是一个比较现在来说比较比较常见的一种非产的一种攻击手段，他们是直接通过一些来自于物联网卡的一个基站。以及IB代理出进行一个访问的。然后攻击者通过物联网基站和P住宅代理出口去访问一些业务网站，然后通过攻击流量混杂在正常流量中，让正常的一个用户，正常的我们这个po管理人员在进行业务组织的时候，会不会那么容易去发现或者说去掉这个IP出口？第四个点就是会产经常使用的一个手段就是一个秒播，秒播的底层思路就是说利用加宽进行一个拨号上网，每次断网重连就会自动分配一个新的IP。然后呢，然后这个时候就会想承诺大线路资源的话，就可以利用说呃一些相关的一些技术，对IP进行一个伪造。那么接下来就到一点，就是说我们常见的一个BOT类型与手段的一个呃手段的一个分析了，然后BOT的话，其实按照他的一个目标的一个途径，其实具体来说是分为九类的一个目标，第一个目标是爬虫机器人，爬虫机器人通常来说就是我们常所谓的爬虫啊，它是对总站进行一个数据获取的，然后第二类型是抓取机器人，抓取机器人就是字面意思也是呃指数指数其一啊，就是说它是定向去抓取某些特定数据的。

然后第三个是垃圾邮件机器人，垃圾邮件机器人它的主要目标是说他对一些网站发送一些垃圾钓鱼邮件。然后第四个是说社交媒体机器人，社交媒体机器人在这个观点上说，这个点上，他就在我们现在是比较多的，就比如说它会自动的像是去注册一些账号，然后自动在咱们平台上面发送一些信息，然后呃在平台上面进行灌水，充当一些用户的一个跟随者，或者一些粉丝。

然后第五个是下载机器人，下载机器人是分几种，第一种是说呃，是专门去刷榜单的，就比如说在应用市场上下载啊这种。然后另外一种呢，是专门去做DOS的，影响咱们带宽的。第六个是狙击手机器人，狙击手机器人主要是说用在一个秒杀或者定点抢票的一个时间段上的一个机器人。第第七个攻击机器人主要是用来说，哎，我把一些攻击载荷的配漏放到BOT里面，通过BOT的手段对网站进行一个快速一个扫描攻击，然后这种话攻击机器人在新在来说是比较常见的，就比如说在前一段时间内，那个log for two那个漏洞爆发出来以后，然后我们就会发现说，诶，他其实从零漏洞爆发到武器化的时候，可能就大概两到三个小时，然后攻击者已经完成武器化，再进行大规模的一个扫描了。

然后第八个是账号接管机器人，账号接管机器人它主要是说啊，是针对定向的一些网站账号进行一个登录啊，或是爆破这种的，然后这种的话，其实最主要常见是在于说咱们的一些登录接口啊，或者是说在一个呃注册接口上进行一个呃攻击的。还有最后一个是一个扫描机器人，它对整个网站会进行一个扫描，它和爬虫机器人有点类似，但是也不太一样，它的主要目标是说去检测当前的网站的一个呃状态是什么，然后它里面有没有什么需要特别敏感的信息，它不会说像是还用机器人一样去把所有的一个数据给它获取下来。那么也说完这些机器人类型之后，其实这些机器人的诞生其实和过去数十年的一个变化，技术手段的一个变化是。不可分割的最初的一个时间段的技术，其实仅仅用于说一些相关的数据检索或者执行操作，它的本质上来说就是一些脚本工具。

这些脚本工具不接受使用cookie，或者说也是不能解析类似于我们现在浏览器的javascript。因此这一类的攻击呢，这一类的那个呃，BOT技术啊，它其实脚本特征是比较明显的，并且比较容易进行检测和对抗，但是随着实现的推移啊，T使用的技术以及目的啊，它会变得越来越复杂，就比如说原来我的目的只是说一些数据检索，或者是执行一些操作的。而现在呢，我会根据不同的一个类型去。不同的一个访问目的，然后分成了不同的类型，有部分的BOT呢，其实不仅仅是说可以接触说使用一些存储啊，或者使用一些cookie技术，它还可以说是通过一些模拟浏览器，女生浏览器，把一些类似于类似于浏览器里面特有的那种，实际是那种local storage这种能力也会集中到他们的里面，然后他们可以通过这些东西去解析网站下发的脚本啊，CSS渲染动画内容啊，以及相关的一些JS的一些事件。

通过加载这些动态渲染的些网站内容，他们可以去获得更多的一些业务数据，以及一些业务隐藏的一些API的一个接口，就比如说很多一个扫描器，扫描器啊，他们都会有一些动态解析说，哎，当前这个button有什么一些监听事件。然后从而去获取说，如果说点击button的话，它会选什么内容，然后会进行定向的一个数据获取，或者定向的一个动作执行。呃，尽管刚才说到说诶，它可以去进行解析啊，但是这种主动解析va的这种仿真浏览器这种类型的，仍然是可以被现有的一些技术进行快速的发信息对抗的，因为在正常的一个用户使用浏览器和仿真浏览器里面，它其实相关的一个解析内容和解析信息是不一样的，同时也包括说呃浏览器里面，它里面包含正常启动浏览器和仿织浏览器，在启动的时候以前内置参数不同，就比如说像是一些javascript引擎啊，Navigator啊，就是convas啊。

它的渲染内容都会有不一样，然后我们就可以说分析攻击者解析的一些交内容啊，或者是些些渲染内容，就可以知道说，诶他当前是不是来自一个仿生浏览器的一个访问。啊，同时还有部分的攻击者呢，他做出来的手段呢，其实不是仿真浏览器的一套，他是说我去解析当前的一个网站的一个。呃，页面内容去解析一下照片的内容，然后通过一些脚本工具拟真这个访问请求进行访问。然后接下来就说一下，呃，在之在现在的一个情况下，一些常规的一些报对抗手段了，首先第一个就是一开始比较。

出名的一个地方就是rob。不好意思，今天有点咳嗽啊，如T其实说白了是一个君子协议，它其实对反爬虫其实没有特别用，他遵守的一个更多是来就说啊，搜索引擎是怎么样去识别哪些能爬哪些不能爬的，但是如果说像是一些在BOT的一个攻击者里面，这个相当于是说，呃，基本上是没有这个约束力的。第二点呢，是IP层面，IP层面呢，其实是一个比较重要的一个信息来源了，因为它的地址来源其实是极难伪造的，所以这个也是成为了一个反扒的一个，而且NP bos一个重要的策略手段，通常封杀IP和封杀IP段是一个比较严厉的惩罚，基本上是最严厉了，然后但是有一点，因为国内的一些啊。网络的一个环境的原因，所以我们的一个SP大量使用的一些nat的一个技术，然后就会有一个情况，就是说我们很多用户会同时的去使用同一个IP对它进行一个访问，如果单独对某一个IP进行处置的话，是特别容易造成一个误伤的一个情况。

会影响正常用户去，呃。访问这个网站，然后就到了第三个部分，第三个部分是HTP的一个头部信息。然后这个部分也是最常用来做一个反扒的一个常规的一个手段，第一个点是说，因为我们可以知道说像是一种refer的这些字段，它其实是一个浏览器页面中，它在进行页面跳转时候，会默认的带进来的一个字段，我们就会通过监测这些字段说去了解说当前这个用户，当时这个访问者是从哪个页面上访问进来的。然后就可以说通过这信息去定位用户的访问位置，也可以去判断说，诶当前这个refer是不是是不是从我的默认的一个页面跳转进来的，如果不是的话，像是有一些的一些啊商务网站就是说他当发现jeer非业务域名访问进来的时候，他会主动弹起验证码。

第二个点是那个叉这个字字段，然后叉常是用来说是记录说客户端访问的一个IP的，如果说呃，客户端是经过一些代理服务器或者是负载服务器的话，他会被记录说诶超是从哪里来的，我们会从这个字段去判断说哎，它是不是一个代理的IP。当然了，代理IP的识别不仅仅是从这个地方去做的，也包括说一些我们可以从T上面，呃，微信上面去获取。第三个，呃，UCUC其实就是一个浏览器的一个用户代理，它包含了一系列特定字符串，然后去识别说它当前的一个防客户端究竟是什么类型的。然后是什么账号系统的，它的软件开发商是谁，他的版本号是谁。

然后呢，这些像是又设一种这种手段的话，其实在网络上一些呃，呃反扒的一些呃技术层面上来说，它的一些很多的一个伪造手段，就比如说有一些在P上有个库，是一个FA user agent这样的库，然后我们就可通过利用这些库进行一个说呃做一个伪造user agent这个字段，但是这个其实呃它并不是一个比较好的一个处置手段，有很多东西都可以解释出来说哎它当前这个访问请求是不是真实的来自于说这一类的UC。那么我们说完常规的就是在流量层面上面的一个N的一个对抗手段以后。我们就来说到客户端的一些anti对抗手段，客户端board对抗手段其实分为以下的一个八种。第一种是说。这些渲染有很少，就比如说呃，在常规的应用里面，就是在很早很早很早之前的话，其它其实每个页面访问要进行一次，就是说我把所有内容都会访问进来的，但是在新型的一个页面中，很多手机加载，加载一种叫做SAP，我说这种一些渲染的一种方式，然后是客户端通过异步请求往服务端去获取一些信息。

然后这时候呢，攻击者如果说啊，去进行解讯，进行访问这个网页主页的话，它是并不能去比较好的去发现它里面返回的什么内容的，这时候龚姐就是说去主动去加载这些接口信息，才能比较好的去识别到，哎，它当前是不是一个呃，比较好呃。识别到说，哎，他当前返回内容是什么，那这时候呢，也有部分的一个呃，报对抗的一个人员，就是说我把一些相关的一些传输信息也在里面混淆，当攻击者在直接访问到这些API接口的时候，他发现说它里面其实已经被加密了，这样的话呢，有效的。对传输数据进行加密，保护数据不被直接爬取，但是这一块呢，也有一些相关的问题，就比如说它实际上也是要通过展示显示到呃个人的页面上的。

呃，客户端的页面上的，因此呢，攻击者可以通过一些类似于OCR的一些手段去破解这一块，然后第二个呢是验证码，第二个验证码这个手段呢，其实是在应用层里面比较普遍的一个人机对抗技术，从最初最简单的一些数字验证码，图形验证码到户了一些，呃中文验证码，现在这些行为验证码或者是短信验证码，但是随着啊破解技术的发展，单凭仅仅单凭一些滑块验证码或者图形验证码，其实比较难去有效的。处理报问题滑块验证码的破解方案也越来越多，因此呢，我们也推出了一些类似于VTT验证码这种说对抗验证码的一些破解方案。第三个就是一个内容混淆与假数据。呃，有一些呃网站他采取一些字体混淆方案，就比如说他会另设一套字体的一个页面。

对它进行一个编码转换，然后呢，刚才也提到人说我们可以通过一些OCR的一些技术去把这个给一个呃进行一个呃对抗嘛，但是呢。但是呢，这里有另外一点，就是说呃，部分的一个anti的一个服务商会采取一种说我下一种假的数据去进行一个呃数据伪造。第四点呢，是说客户端的一个行为的一个分析，然后这个行为分析其实是主要分成两个方向，第一个方案是说用户的请求的一个访问行为是什么，第二个呢，是用户的一个操作轨迹行为，但是随着近年来的一些客户端的一些呃访问控制的一个加强这一些呃访问控制能力，就比如说用户操作行为轨迹这个能力，其实现在已经被逐渐的削弱了。第五个点相当于是说一些呃，浏览器特有的一些信息，就比如说是cook cook或者storage这个性能，特别是local storage是一个浏览器特有的，因此在对抗一些常规的脚本信卡中，这一块是有比较好的一些处置能力的。

第六点是那个navigator业内的指纹，业内指纹其实分为好几种，包括navigator指纹啊，指纹啊，然后我看到指纹啊，系统指纹啊这些，然后我们就通过这些指纹信息去快速的去了解当前客户端是否有相关的一些客户端特性。哎，稍等一下，不小心退出了。稍等一下。呃，指纹信息，就比如说像是一些教script引擎指纹里面，因为在之前的版本中，像是那个e string这个函数，它其实在不同的引擎里面，它的那个表现形式是不一样的，它的得出来的结果是不一样的，我们就可以知道说当前的一个客户端是不是有伪造这些引擎进行一个访问。

第七点呢，是一个SSL指纹信息，我们可以通过提取一些SSL握手中的一个相关特征，然后通过一些J3这种一些进行一个指纹识别。通常来说，我们可以通过J3这种S指纹去快速去识别当前的操作系统是什么，它是从哪个地方发起来的，然后通过这些指纹信息可以快速去识别出来当前的客户端访问请求是不是来自加工伪造的，第八个点是别的一个trick的一个点，就是一通过我去设置一个假陷阱。就是类似通过构造一个不可见的一个隐藏链接。然后或者是不会被主动触发的一个事件嵌入到当前的一个访问页面中，因为大多数的一个BOT的默认策略，它会默认的去解析所有的页面、链接以及事件。

因此我们就可以快速的发现此类的。那么还有一个近年来一个比较新起的一种方向方案吧，就是一个基于机器学习加AI的一个反爬的一个方案，它主要是分成三个大大的方方向，第一个方向是说我通过机器学习和AI的一个识别的一个方式去计算出来当前绘画的一些访问行为特征是什么，然后并根据相关特征中的一些相关信息进行处置，就比如说像是一些什么URL重复比啊，呃重复比啊，或者参数重复比这种。第二个点呢，是说去识别会话访问的一些意图信息，就是通过机器学习AI识别的方式去识别当前访问会话的一个意图是什么。并根据这些相关意图对它进行一个聚类，然后根据不同的聚类呢，进行一个呃相关的一个啊意图的一个划分，然后对它进行一个相关处置，就比如说呃，定向去某个topic的一个用户，就是说他是一个比较异常的用户，或者定向注册用户，就他是一个比较常用户这种。

第三个点呢，是一个比较中规中矩的一个处置手段嘛，就是一个规划异常指标的一个特征的一个手段，然后是通过大数据统计去分析出来说。有多少访问请求呢？是一个远超中位数，一个异常访问请求，然后通过这些指标呢，筛选出来这些异常行为流量，对它进行一个拦截，但是这个通过筛选出来超重的数据个其实是有好有坏，就比如说如果我们是内部业务调度的话，就很可能会说，哎，这个是超过中位数，但是也会发起误泡。最后一种呢，是一个极相当相对来说是一个极大成子的一种解决方案吧，就是基于规则情报加呃客户端风险识别加机学习加AI的一种反弹方案。

然后呃，它是从多个维度对咱们的一些报T流量进行一个清洗或者筛选，清洗和筛选，筛选及响应的，就比如说我们从规则情报里面，将一些来自于啊，异常的一些IP啊，或者异常的一些特征进行一个筛选过滤，然后我们通过一些客户端风险识别去校验，说他当前这个访问员当时的客户端是不是真人真机，或者说他是不是已经从我们可信终端发起的。之后呢，我们通过一些后台的一个机器学习以及AI的一个方案分析，分析出来说他当前这个呃访问用户他的行为是怎么样的，是不是有异常行为，这样的话，我们就快速知道说他当前这个呃访问请求是不是被滥用了，或者说我们这些客户端有没有在对我们的网站进行滥用，通过这一几层的一个NT方案的一个筛选过后，我们就能说啊把攻击流量，把混杂的业务流量啊，包含的一些分布式爬虫啊，A账号爆破啊，你这流量啊，高级包台这业务流量里面把它给。

过滤出来说，只剩下真正的业务流量。然后最后一个观点，就是白皮里面提到这的观点，就是一个给市长还有一个分析了，然后在这个里面呢，Bo市场预期在。这一块的话，其实呃白皮书里面也会提到说它当前的一个市场是虽然趋向于as service的一个方向的，并且呢，预计它的一个增速也是达到63%。第二观点是说呃包的趋势变化，也刚才提到那四化就是呃产业化、普及化、引力化，还有更加自动化。第三点是我们需要现在再提出来的一点，就是说因为现在随着一个BOT技术，以及网络安全空间态势一个日益严峻了，BOT被用来更多一些武器化的一个处置措施。并且恶意BOT一个流量，它将会发起更加隐秘，第四点是说人机对抗的难度也会逐渐加大，因为我们现在的一个Bo流量，相对来说是一个越来越隐秘了。

然后到第二个部分，For治理的最佳时间。Boot治理的话，刚才提到很多BOT流量，那么boot流量里面其实是需要多维度的治理的，因为刚才也从孔松老师那边一直也提到一点说，呃，我们现在不断的在进行安全左移，也不断的在进行一个叫做呃安全dev divorce的一个CS的一个治理吧，那么其实我们把一些相关的一些基础安全漏洞进行了修补完了之后，我们其实还需要好多地方进行一个二次的一个加固的，就比如说从我们最基础的一个安全维度说，保护一些基础设施。不被扫描器侵害，或者说不被脚本工，脚本工具对咱们的一些网站发起一些攻击，就比如说一些呃攻击，像是之前的to一样。第二点呢，是说一些从业务维度来做的保护，业务维度其实是说呃，保证业务的关键核心逻辑受获的侵害，呃，就比如说一些来自平台的服务稳定性啊，一些平台的一些相关的敏感API接口啊，它不被一个。

进行一个滥用调度。第三个维度。也是一个BOT的一个核心的维度，就是说它要保证咱们的业务数据的一个数据资产不被BOT侵害，防止因为越权啊，泄露啊，或者说一些呃，恶意的爬虫，对咱们的网站一些数数字资产。爬取造成的一些业务损失。所以是分成这三个维度，对他需要对它进行一个治理，那么在常规的情况下，刚才也提到了说，呃，常规的治理方案就有。很多种，但是呢，我们就基本上的一个整体的流程，可以看到下面这个地方，就比如说它会有个开始的流量是什么，然后有一个黑名单规则是否命中啊，然后命中一下是不是命中行为规则或者其他规则这种。

啊，通过这种方式来说呢，利用他是需要大量的一些行业经验，还有大数据分析的，就比如说啊，他需要一些规则在里面知道说哎，哪些是有问题的，哪些是没问题的，然后去通过一些的分析去分析出来说哎，他当前有什么规律啊，然后什么请求啊，然后我们通过这种呃报治理方案的话，它其实是需要大量的基础数据，就比如说有些是来自代理的IP啊，IDCIP啊，设备黑名单啊，还有一些异常设备行为的里面，并且呢，这些规则呢。呃，如果说我们去设置很多之后呢，会导致说A规则A和规则B之间是不是会有冲突啊，事后应该把任务来情况的时候归因给谁，我们其实是不清楚的，同时就是因为规则越多，其实引擎处理速度会越慢，就导致说，哎，常规的BOT这些手段，它其实是存在比较大的一个滞后性的。

那么我们需要实现这种多维度的一个治理的话，我们需要是建立一个多层次的一个体系化的一个。检测响应的一个防线，防线其实主要分为三道，第一道呢是一个来自于客户端的一个风险识别，客户端风险识别它主要的。意图就是说，我要确保当前访问的客户端都是我们所信任的客户端，它并不是脚本访问来的。并且他要确保说当前这些访问请求不会被伪造，确保是从真人珍惜发起来的。第二个是安全情报，安全情报其实是更多是一种是说化未知为已知的一种，呃，一种能力，它能识别出来说当前访问员的一些风险程度，它是不是IDC来的，或是不是从代理IP来的。并且我们要从这些安全情报中知道说哪些是有异常访问特征，就比如说是哪些是UA是伪造的，哪些UA是不合理的这种。

第三个观点是说我们需要构建一个智能分析的一个呃检测方向，智能检测分析检测方向其实主要是更多偏向于行为和绘画特征这一块的，它主要目标是说去识别说哪些异常访问行为。去识别说哪些是高级的一些持续的一些报，同时要去知道说，诶他当前这个恶意的报对咱们的恶意程度是怎么样的，然后我们的网站会有什么影响。第四个点，因为大数据分析他是比较慢的，比较慢的话可能包侵害已经完成实施了，这时候的话，我们就需要说，我们这三个模块都需要有一个比较好的一个实时响应能力。那么我们是怎么去构造这个防线呢？就从客户端风险感知这一块开始说起。客户端风险感知其实是有两个大的模块构成的，第一个模块是微情报模块。

威胁情报模块的话，其实是主要分为说知道说哎，他当前的IP标签属性是有哪些，或者说他当前这个。威胁情报，呃，当前这个UA代理中，他的那个有什么异常的一个标签在里面，第二个点是说我们要去知道说他当前这个客户端是不是真人真机，我们去判断真人信析的话，其实有好几个方向去做，第一个方向就是说我们可以对它进行一个动态验证，去验证说他当前这些呃计算的结果是不是从一个真人真机过来的。第二点是说做一个最简单的，但是需要用户操作最多的是一个人机挑战。第三个是环境风险这一块，就知道说他当前这个浏览器里面究竟是不是从一个呃模拟器发起的，或者说是从一个ID发起的。然后第二个构造第二防线，就是说我们构造一个安全情报防线。

像是刚才说到的危机情报，IP标签这一块是必不可少的。除了IP标签以外，我们还需要一些异常访问特征一些积累，就比如说boot浏览器有哪些，Boot的一些相关指纹有哪些，刚才说到了一些线下指纹里面的J3的内容有哪些，哪些是啊，Bo常用的啊，或者是异常的信息啊，者是说有哪些是BOT常用的一些us string，我们能把它注的一个聚类出来说，哎，就可以说当当前是不是Bo所侵害的一个访问行为或者访问特征。那么在威胁情报中的话，其实有一些是打造的话，我们进行打造的时候，其实是有些要领的，第二点是说我们要知道说这些恶意的访问员是什么，然后我们就会根据这些恶意访问员去呃自动集合出来这些数据，去帮助我们去减少一些呃提前到了的危险胁，然后在意识到时威胁到来的时候，我们可以快速去啊采取行动。

第二点呢，是要知道是说他当前这个IP活动里面，它究竟是有哪些标签，就比如说他这个IP之前是不是从网络攻击来的，恶意软件分发来的，网络调用来的。然后机器感染啊，木马蠕虫啊这些，并且我们要在BOT分析平台上面去知道说，诶他当前这个威胁标签是什么，第三个点是说我们要通过这些入账的一些IP进行一个分析，知道说他是从哪里来的，然后是不是代理。第四个点是说，呃，他能给我们提供一个实时性的保障。还有一些入账场景，一些用户行为的一个身份的分析。然后我们构筑的第三道防线，就是说构筑一个智能分析的一个防线，其实智能分析的个防线其实也是要需要用到微信情报的，因为为什么需要用到微信情报，其实就是说我要去知道说它当前这个访问员的一个风险程度是什么，同时如果说我们发现它是一些基于一些公共出口的，或者是基站IP的时候，我们可以对它进行一个相当的一个。

呃，减分或者加法的动作，然后让他不那么容易误报，然后我们其实从三个维度进行构造的，第一个是说危害情报，第二个是说统计分析，统计分析其实主要用来说去构造，一个说统计出来说哪些是远超异常指标特征的一个访问的一个用户，第三个是通过机器学习。学习的话，其实说白了就是我们将一些有的专家经验啊，然后一些一些相关的数据，并且它会形成一个自适应的个AI模型，去不断去拟合当前的业务系统。去分析出来说，诶，哪些是正常用户的一个访问行为，哪些异常用户的访问行为，然后异常用户分为多少类。并且我们这个机器学习模块，其实是有我们相关的一些攻防实验室进行一个相关的运营的。包括了呃，客人实验室，还有大数据安全实验室这一块。

然后我们通过这些，呃，智能分析的一个模块完成之后，我们就知道说，诶，它当前这个访问序列里面，它究竟是分成哪几类的一个访问用户，就比如说你有哪一部分是攻击者的一个聚类，哪一部分是好报的聚类，哪一个部分是呃，普通的一个user正常用户的一个聚类，就完成说哎，我知道说他是什么了，然后他在干什么，他的主要目的是什么，就能完成这一系列的一个达标了。然后打标完成之后，我们就可以对它进行一个呃进行处置，然后我们在打造这个智能分析防线的时候。其实是主要是有以下几点的，第一个点是说我们要把上下游的信息进行一个串联起来，就比如说像是威胁情报信息啊，然后客户端风险识别这信息。我们通过这两个信息就知道说，哎，它当前的一个风险程度是什么，这个风险程度是不是容许我们进行一个，呃宽松处理，或者是一个严格处置的一个信息，就是说快的去对这一部分的模块进行这一部分的BOT工BOT机器人进行打击，第二个第二点是说我们有一个智能分析的一个模块，然后去识别说他当前这个攻击者是不是有异常行为，我们就可以去及时的去阻断这种异常访问。

第三点是说我们需要一些相关的自定义特征啊，啊，我们需要一些绘画跟踪能力啊，因为刚才提到一点说在国内啊，很多一个IP其实是经过net进行一个呃分析的，然后呢，如果说不止，如果说直接去进行IP封锁的话，可能就会呃误伤用户，所以呢，我们就要从将呃身份识别能力从一个IP层级下降到身份层级，然后能自动化去跟踪这个身份的一个访问流，就知道说哪个用户是有恶意的，那用户是没有恶意的。然后第六个点是说我们需要去对这些访问员进行一个恶意的一个评估，然后为什么要做一个这样的一个处置动作，因为说BOT其实它并不是像应用攻击一样非黑即白的，它是说一个类似说有黑白灰这种分数过度的一个阶段的，那么在我们如何在面对这种灰的这个地带的时候，我们应该如何进行处置，我们就可以按照常规的做法是比较常规做法是我设立一个规则标准，设立一条制定规则，但是这制定规则它其实并不是万能，如果说公击者出现一些技术绕过，他就可能把这条规则给绕过去了。所以说我们需要说建立一套动态评估的一套分数系统，通过分数去智能的评估恶意威胁程度，自动化去识别这些恶意流量及其变体。并且。

去去动态执行这些相互处置能力。第七个点是说我们需要一个多维度的一个立体处置能力。那么我们在有这些能力之后，就可以对这些流量进行一个闭环了，我们闭环流程其实分为三个步骤，第一个是分析，第二步是分类，第三步到处置。我们报管理系统需要对这些流量进行一个分类识别，对针对性的流量进行一个管理处置系统。

呃，然后。然后第二点是说，我们的BOT会对当前流量进行分析，得出当前访问流量相关的一些基础信息啊，规划特征啊，行为特征啊，然后对它进行一个分类，然后去计算出来他当前的一个访问请求的一个恶意程度，得出一个零到100的分值，随后我们就会根据这些恶意程度分值对它进行一个定向的一个处置，就比如说呃，分数越高的我们它越危害，我们会对它进行一个拦截处理，分数比较低的，我们可以对它进行人机识别，进行一个相关的一个惩戒。那么我们是如何的对它进行一个分析呢？就比如说我们可以通过一些呃流量状态去去看一下它当前这个访问请求，它的流量究竟是什么情况，多少个是疑似的BOT，有多少个是恶意的BOT，我们这个可以快速去进行分析，第二点是说我们要知道说他当前这些异常的一个流量里面，他喜欢访问的路径是什么，快速去定位这些异常的一个访问路径。

第三点是说我们要去评估这种呃房源的一个恶意程度，知道它当前这个房源的一个评分是多少分，他命中的是哪些模块，它。的一些规划特征异常特征信息是有哪些，然后能不能像是专家AI一样说提供一个体检报告一样的一个输入标准，说比如说ul种类有哪些异常啊，平均有哪些异常这些。然后除了刚才说的那几点之外，其实我们还可以利用bos对业务系统进行一些暴露面分析，然后这里举一个例子，就比如说像是在这里面就可以通过BOT发现当前业务系统有几个URL，出现一些比较高品质的异常的一个访问。然后我们通过这些BOT流量分析里面提供这些top URL能力，就知道说它当前业务的一个API的流量分布究竟是多少，每个API里面它的BOT分布的一个得分是多少，这样的话，我们可以快速去发现出攻击者偏好的哪些URL，从而去分析出来异常一些物暴露露面，就比如说这些页面里面有没有一些啊用户存在异常请求啊，广告是不是被恶意投放刷量啊，广告接口有没有被异常获取啊，有有些相关信息有没有被异常泄露啊，攻击的是不是存在想要登录爆破这种能力，同时也可以发现说，哎，这个时候会不会一些异常流量进行一个涌入。

好的哦，我今天就到这里，谢谢大家。非常感谢马子阳老师的分享，大家可以呃扫描屏幕右方的这个二维码，获取白皮书的干货内容。那么精彩的演讲过后呢，我们第一轮的抽奖环节也要正式开始了，本轮呢，我们是为大家准备了20个腾讯虎年公仔，我们将告诉大家这次获取礼品的密钥，前20名在我们腾讯安全视频号上面互动的人员呢，将会得到我们这个礼品，好的，那么接下来请大家在我们腾讯安全视频号上面发布口令。

口令是基于数据驱动的动态闭环BOT管理。请大家将基于数据驱动的动态闭环管理发布在我们腾讯安全视频号的评论区。大家可以积极。好的，我看评论区上面已经有很多观众，然后呢，在循环的播放啦。那么我们恭喜前20名的同学，呃，大家呢，可以扫描啊，扫扫描我们右屏幕右方的这个二维码，进入我们这个交流群，待会儿呢，我们的群内的小助手会告诉大家领取奖品的方式。

那如果屏幕前方的你还没有入群呢，可以呃扫描我们的大屏幕，尽快的入群，后面我们的呃奖品也将会在微信群当中进行互动。欢迎大家回到我们的直播现场，那接下来呢，将由华柱集团信息安全总监张维瑶为我们分享集团攻击实践。嗨，不好意思，哎，大家下午好，呃，我是华硕集团的张伟阳，然后感谢诚信挂团队的邀请，然后下面由我来给大家分享一下我们在腾讯反使用这块的一些实实践体验。

啊，因为我后面还有个会啊，内部的会，所以我就快速过一下。啊，首先给大家看一下华富在外这块一个大致价格，那么华这块其实是个云的价格，呃，有一部分的应用其实是在腾讯上面，然后线下的话，其实有新老两个线下机房，然后线下的机房和腾讯上是裸打通的。那么老机房因为历史原因呢，是一个国外品牌的硬件，那么新机房在建设的时候吸老机房这个硬件，呃，性能有瓶颈，然后不能灵活扩容，我们在新机房是采购了一套国产的软件，那么腾讯云的呢，其实作为我们的个。腾讯云上应用的公网入口，以及新老机房的一个容灾的公网入口。

啊，包括一些防，其实也在讯这边。嗯，可以看到这个图相对比较简便，画的时间比较紧，所以比较，呃，当这个线下机房如果线路出现故障的时候，那我们其实有意做的机TM服务，它根据预先我们配置好的这个健康检查的策略，它会自动做这个公网问题切换。呃，现状的话其实有几块，一块是这个核心API异攻击，呃，其实不只是一些这个传统意义上爬虫关注的一些接口啊，包括一些这个风控里面的注册登录啊，活动类的一些接口啊。然后客客户数据防泄密这一块是这样，呃，腾讯这边后面API安全呃，会上线新的功能。

呃，站点在腾讯web上，它会在呃A安全这一块会帮你标识出来啊，哪些接口涉及到一些敏感的数据，比如手机号，身份证号这些，然后你可以针对性的去做一些这个测。可以防止比说你你这接口有越行的漏洞，但是这个配了对应的这个反播的策略，至少说可以一个呃兜底的策略吧，多端接入，呃，我们最早的时候，其实最早其实是PC加H，然后后来我发现我们在这个PC加H5做完策之后啊，可以看到对应的拦截量下去，但是啊比微信小程序啊，他们开始利用小程序这块的。因为因因为之前在没有做这个小程序的验证码，然后的话，呃，其实不太好做处置动作，因为反反Bo这块策略配置的话，你要么是做拦截动作啊，要么是做这个人识别，就是验证码这个动作，要么直接封禁，那小程序这块之前没办法去做这个封禁动作，因为策略上线之后，初期是不太确定，说是是有雾的，所以不太好做这一块。

然后酒店价格信息被这是前期我们接这个反主要的一个原因吧，因为这有一部分的爬虫，它这个。频率控制不是很好，呃，对其对我们的应用后端也造成了一些压力，然后华这边呢，本身也是有这个，呃，会员官方渠道下下单这个最最优价的这样一个。保障，所以呃，价格被查之后呢，呃，对应的一些渠道可能会去调整自己的价格，对于我们来说，这块价格的优势就会有问题。

然后我贴了几张图吧，可以看到这个图里面的拦截数据还是比较夸张的。后端的接口也会比较有压力吧，然后后端接口同时找到我这边，然后我们可能就。嗯。你看到这里其实有一个微信群啊，我们跟腾讯团队这边合作还是相对比较愉快的，一个是我认为是响应是比较快的，然后出问题的话，我不需要去走这种传统的流程，说是去去去，或者说。响义比较快，第二个是群里面的话，其实产品可能研发同事陆续都拉进来，也我华这边其实对接了不少乙方的工程师啊，就是呃，这种能够直接和研发以及产品能有这种工程渠道的还是嗯，不太多的。

呃，其实作为这种power user吧，我觉得很多时候是希望能够跟这些后端能同直接对话，呃，而且腾讯云，腾讯云安团队这一块啊。也是他提出了需求或者意见之后，他确实是能够排期能做出来，这块我觉得。感觉比较好吧。然后这边贴了一张报的分数的分布的。呃，我老版其实用的比较多啊，新版的话一个是我觉得呃，做了这个分值的区间，区间做拉大，然后做了这个。宽松、中等、严格，还自定义这四档的配置，其实相对于老版本，新版本对于新手的入门门槛其实有极大的降低的，像之前使用老版本的话，最多一个应该是配了50策。当时老版本个策略是到。

啊，所以老版本新版本相当于老版本的话，就是使用的门槛降低。呃，再一个就是说你可以看到这个这个图里面最大的一块就是很多是这个秒播或者广播的这个I，再说我为什么啊，不太建议这个中小型公司自己做这个反扒这一块，嗯，因为我觉得除了在策略反他的策略之外啊，情报其实是很重要的一块，如果没有情报的支持的话。那么呃，Bo在这个触发了策略的阈值之后，但我们其实之前也观察到过有这种，他可能触发了摸摸到这个规律之后啊，他触发阈值，可能我这个策略配置的是人机，人机识别，它就触发了验证码之后，他立马就换IP。

所以你如果没有情报这块支撑的话，你光凭策略其实很难去做这一块的对抗。然后也是抽了一块这个统计，嗯，可看这个。最高的请求，幼儿园重复性过高，其实这个很好理解，因为无论是华这边酒店还是这个价格的这个。呃，参数，嗯，其实它是有一定的规律，所以你如果是要去，比如一天要把所有的去一遍，所以一定会命中这个重复性过高，这。另外还有一个维度，就是。呃，爬起爬虫。它会随机抽一个一位。那么其实在这个后台日志里面看到这个下面。

只要它不是基站的IP，可能是一个非站的IP，那下面这个IP有大量的，这也是一个。再一个就是。嗯。无球浏览器爬虫这一块，这块就需要用前端GS的SDK去做进行对抗，这个也是，呃，因为新版本加加进来的吧，其实老版本之前是没有这一块。啊对，前端对抗这块，就是说如果你是脚本的一个发出，加入了前端对抗之块，然后前端的GSDSDK他会做这种啊driver的判断，执行DS这种判断，但这一块的话，大家在上线之前只需要去做个测试，我我最早最早功能刚出来的时候啊，就是在一个H5的页面，直接在生产上面加进去啊，结果导致页面有异常，所以这一块大家要注意一下。

啊，自己配置上线之前需要做一个测试啊，再就是登录之前也是配过一些策略，嗯，因为之前陈阳也提过啊，就是那IP的你做人机识别，如果配置下一步动作是人机识别，不过直接封禁，那可能整个IP下面的都会受影响，那你做这种登录态的话，可能只影响那一个。啊，然后大行为分析这一块，这一块其实这块做好了。呃，其实就可以看，就是后台命中的日志，然后去做一些策略的。调优或者是增加吧，嗯，初期如果选一个宽松策略，那可能很多会漏掉，然后可以看后台的日志去做一些针对性的策略配置，嗯，然后人机识别这一块其实属于你放过或者直接推进一个中间动作。当然如果你。

就是新上手或者自己配置一个新上线的策略，如果不是特别的一个把握的话，建议你可以先配置成人机识别，因为不管怎么样，你如果出现的话，呃，可能会比这种直接放镜的会好好很多。那我们这边直接对这个代理红包，像IDC这一块，其实更多的是采用直接封禁，因为这一块的量可能会比较大。第二个就是。呃，观察到的一个现象就是说有一些站点他会在凌晨它会有一个呃高峰，所以在策略的配置的时候，也可根据自己站点的实际情况，做一些针对性的策略啊。然后业务价值，我们华这边最多的时候在讯上是配了140多个域名，这块的话更多是一些核心的站点吧，但有些域名可能不是实际，就当前不是实际在跑，但是就是如果说呃，线下机房出现故障的时候会做智能的切换，所以我们预先就是做了做好了配置。

然后S行为管理的话，我记得当时我们历史的一个站点。最多一个站点应该是拦了100多万次。嗯，这个量其实还是蛮夸张的。这个量如果放过去呢，一一个，一个是对后端的这个接口会有冲击，会影响到这个正常用户访问啊，第二个就是说，呃，本身线下机房的这个资源其实是相对比较紧张的，他不可能可能做这无线的这种扩容，包括机器的这个成本也是一方面因素，第二个就是说啊，一些这个活动的，呃，如果说这种恶意的占比过高，或者说企求频次过高的话，对后端的风控系统它也是一个冲击，因为我们也是后端有一一套风控的系。

我们通过这个腾讯把这个恶意的流量先过滤一波，然后这个再去过这个风控，避免说这种流量红峰去冲击这个后端的风控。然后boot SDK的话，目前也是支持了这个小程序啊这一块，呃，以前可能是下PC站M站这些。嗯。我会分享大家这些，嗯，快速过了一遍。好，主持人，我这边结束了。好的，非常感谢张文瑶老师的精彩分享，同样呢，精彩的演讲过后，我们的抽奖环节将再次开启，本轮呢，我们是大家准备了20个加湿器，首先请大家扫描我们屏幕右方的二维码进入我们的微信交流群，那么呢，我们将告诉大家这次获取礼品的密钥，同样的也是前20名在我们微信群内分享密钥的同学将获得礼品。

所以大家没有入群的可以赶紧扫描屏幕右方的二维码，进入我们的交流群。好的，接下来请大家啊，听我的密钥口令。同样呢，这个密钥口令是要在我们的微信群中，然后来去做发布的，OK，我们接下来的密钥口令是。基于数据驱动的动态闭环管理。

请将基于数据驱动的动态闭环boot管理发布在我们的微信群中，我们将获取前20名的同学，然后呢，领取礼品。请大家赶紧发布基于数据驱动的动态闭环管理。好的，恭喜我们前20名的同学，那请大家联系我们微信群的小助手领取礼品。那我们今天的发布会呢，可以说是干货满满，但是呢，因为时间的关系，我们这次的发布会也只能先告一段落了，我相信呢，还有很多关注意犹未尽，那么呢，请大家持续的关注我们腾讯安全的动态，我们未来还会有更多的优秀的产品和解决方案与您见面，那这里呢，我们今天的直播就要跟大家说声再见了，我是主持人腾讯安全品牌经理陈娟娟，再次感谢所有观众的参与，谢谢大家，再见。