电影《黑客帝国》通过讲述主角——一名网络黑客与名叫“母体”的计算机人工智能系统之间的“真实”较量，为我们呈现了一场精彩的、跨世纪的“人机对决”大战。

这部1999年就上映的电影，在当时无疑是一次跨世纪的想象。然而，数字时代的今天，我们已然发现这样的想象正在一步步走向现实。

我们离“黑客帝国”的距离还远吗？

1.“人机大战”正在现实上演

回到当下，我们发现，其实“人机大战”早已在现实生活中不断上演。与电影《黑客帝国》不同的是，现实中的“人机大战”往往都是“人人大战”，是有人在背后操控机器或工具发起攻击或防护，也就是我们熟知的攻防对抗。

随着AI技术的不断完善，不法分子借助机器/工具，发起大规模、快速、自动化攻击越来越频繁。根据Distil Networks发布的报告显示，机器流量约占全网流量的40%，其中恶意机器流量约占20%。

因此，企业/组织作为防守方，如何快速、有效识别人机并进行管控，是应对许多网络安全攻击的有效手段之一。而事实上，据权威调查数据显示，在网络安全攻击中，80%都是源于身份攻击。

基于此，派拉软件身份安全管理平台再添新能力，在用户注册、登录、登录短信发送、密码找回等身份安全场景中，注入人机识别能力，有效加强企业/组织身份威胁检测与防护。

2.机器人如何发起攻击？

以遭遇攻击最多的用户登录场景为例，通常这里的攻击需要借助自制的自动化工具，也可以理解为机器人。那机器人怎么攻击呢？

我们都知道，用户登录需要的关键信息是账号与密码。不法分子要获取这些账号与对应密码的方式有很多种。其中，人机通常是最常用，也是最便捷的一种方式。

成熟的攻击者往往会借助人机有效的在登录各场景中发起各种攻击，如验证码爆破，账号、密码爆破，滑块验证爆破等等。

而在所有的人机攻击中，验证码的爆破识别属于第一步。为什么这么说呢？因为很多传统产品往往会通过对认证登录监测页面强制增加二次认证来降低第一步的人机攻击。

也就是说在你进入系统登录界面之前，就开启一次验证。这种一刀切的方法，的确可以降低人机攻击的行为，但也会造成很大的误杀。

为了解决这种一刀切带来的问题，派拉软件很早提出了多因素身份认证平台，通过设置各种潜在的威胁场景策略，只有当用户触发威胁策略时，才开启加强验证保护。比如，在你密码多次错误后，自动开启加强验证，如滑块、短信验证等。

但这里其实也存在很多问题。比如，不法分子通过机器人不断的进行恶意登录发短信，你想想要是你领导不停的收到验证短信，是不是会抓狂？

所以，从一开始就识别出人机，并在整个登录场景中持续人机监测才是真正有效解决问题的关键。

为此，派拉软件身份安全再增新能力。

3.智能人机识别是制胜关键

当有人开始访问企业应用系统时，系统通过内置派拉软件UEBA能力，自动采集有关用户的行为指标，比如：UA、分辨率、操作系统，点击坐标、鼠标滑动速度、加速度、离散度等15个指标，并对采集到的数据进行统计分析，绘制出当前用户设备的行为路径分析模型。

我们都知道，大多数情况下，机器只能按照预设的指令执行攻击行为，不能处理预设以外的交互信息。UEBA系统通过对人机在应用系统的登录、注册流程中不同操作行为的研究分析，提出以统计模型为核心的人机行为检测方法。

当采集到的行为数据符合正常用户设备、行为时，系统自动放行用户正常进入下一步操作，也就是系统正常账号密码登录界面。但若出现异常，则启动进一步验证或直接阻截。

整个人机行为检测与识别会贯穿整个用户登录过程中，即从用户通过设备点击系统应用链接那一刻，到进入登录界面，再到输入账号密码、忘记密码等，以及最后的登录成功。

其中的每一个操作、行为都会自动无感化的进行人机监测识别与分析，从而加强全流程的用户登录场景下的安全防护。

杀手锏1：动静结合的分析模型
当然，这样每一步都要进行无感化的人机检测，肯定要保证系统的准确性。

为此，派拉软件通过对人机攻击场景的深度研究发现，在传统利用统计算法进行模型训练的基础上，对UEBA模型设计方面加入了两部分优化：

一方面，UEBA在模型训练阶段加入模型调优步骤，通过配置超参的方式，来动态调整统计阈值，以此平衡因极端值造成的统计模型偏差；

另一方面，根据模型训练结果结合安全经验，提供静态的安全阈值。安全阈值在检测中作为基线阈值来辅助动态统计阈值完成人机行为识别。

通过这种动静结合的方式，不仅有效提升模型训练阶段的准确度，同时还能提升模型检测效率。

杀手锏2：网关代理，应用0改造
保证了人机检测的准确率，在系统部署层面，派拉软件也提出了更加简便、低成本、无缝对接的轻量改造交付方案。

我们都知道在人机行为识别场景中，二次验证是必不可少的环节。人机模型对当前实体（设备、用户以及来源IP等）进行异常识别，一旦发现当前实体（设备、用户以及来源IP等）存在人机攻击行为，系统就会调用二次验证，对当前实体进行增强认证。

传统方案中，二次验证部分需要被检测的应用来配合实现。这就涉及到人机检测模型与被监测应用的对接改造。所以，在人机识别方案中，不仅要考虑到企业的安全检测需求，同时还需要考虑能否在复杂的应用场景中完成轻量交付。

派拉软件UEBA人机方案在设计中，充分考虑到应用服务的差异性，提出网关组件方案，由网关承载被监测应用与人机模型的交互，以此解决因应用老旧或改造工作量大导致人机模型方案无法落地使用问题，让企业实现真正的无缝对接、轻量部署。

当然，这样的身份安全防护能力与人机识别能力还可以用于恶意注册、批量注册等系列场景中。实际上，派拉软件身份安全检测与防护能力已经覆盖了账号注册、用户登录、单点认证、应用访问，也就是用户应用系统访问的全过程。

而派拉软件也在持续基于2000+客户身份安全建设与服务实战经验，贴合客户实际业务安全需求，针对性的不断完善不同业务应用场景下身份安全检测AI大模型，通过持续的学习，不断优化。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课