将机器人与人类访客区分开来获取统计信息？

Question

我希望推出自己的简单网络统计脚本。

据我所知，路上唯一的主要障碍是将人类访客与机器人区分开来。我想要一个不需要定期维护的解决方案（即我不想使用与机器人相关的用户代理更新文本文件）。

有没有像 Akismet 那样处理垃圾邮件的开放服务？ 或者有没有专门用于识别蜘蛛和机器人并提供频繁更新的 PHP 项目？

澄清一下：我不想阻止机器人。 我不需要 100% 无懈可击的结果。我只是 想从我的统计数据中排除尽可能多的数据。在 知道解析 user-Agent 是一个 选项，但保持模式 解析是很多工作。我的 问题是有没有 这样做的项目或服务 已经。

赏金：我想我会将此作为该主题的参考问题。最好/最原始/技术上最可行的贡献将获得赏金。

Answer 1

编辑（10 年后）： 正如 Lukas 在评论框中所说，今天几乎所有的爬虫都支持 javascript，所以我删除了说明如果该网站是基于 JS 的大多数机器人将是自动剥离。

您可以关注机器人列表并将其用户代理添加到过滤列表中。

Take a look at this bot list.

这个user-agent list也不错。只需去掉所有的 B，就可以了。

编辑：eSniff 完成了惊人的工作，the above list here“以一种更容易查询和解析的形式。robotstxt.org/db/all.txt 每个新机器人由机器人 ID：XXX 定义。您应该能够每周下载一次并将其解析为您的脚本可以使用的内容”，就像您在他的评论中看到的那样。

希望对你有帮助！

Answer 2

现在我们拥有各种无头浏览器。 Chrome、Firefox 或其他将执行您网站上的任何 JS 的工具。所以任何基于 JS 的检测都行不通。

我认为最有信心的方法是在现场跟踪行为。如果我要编写一个机器人并想绕过检查，我会用无头 chrome 模拟滚动、鼠标移动、悬停、浏览器历史记录等事件。为了将其提升到一个新的水平，即使 headless chrome 在请求中添加了一些关于“headless”模式的提示，我也可以 fork chrome repo，进行更改并构建我自己的二进制文件，而不会留下任何痕迹。

如果访问者没有采取任何行动，我认为这可能是最接近真实检测的答案：

https://developers.google.com/recaptcha/docs/invisible

我不确定这背后的技术，但我相信 Google 做得很好，通过使用他们的 ML 算法分析数十亿个请求来检测行为是人类还是机器人。

虽然这是一个额外的 HTTP 请求，但它不会检测到快速反弹的访问者，因此请记住这一点。

Answer 3

我将以下内容用于我的统计/计数器应用程序：

<?php
    function is_bot($user_agent) {
        return preg_match('/(abot|dbot|ebot|hbot|kbot|lbot|mbot|nbot|obot|pbot|rbot|sbot|tbot|vbot|ybot|zbot|bot\.|bot\/|_bot|\.bot|\/bot|\-bot|\:bot|\(bot|crawl|slurp|spider|seek|accoona|acoon|adressendeutschland|ah\-ha\.com|ahoy|altavista|ananzi|anthill|appie|arachnophilia|arale|araneo|aranha|architext|aretha|arks|asterias|atlocal|atn|atomz|augurfind|backrub|bannana_bot|baypup|bdfetch|big brother|biglotron|bjaaland|blackwidow|blaiz|blog|blo\.|bloodhound|boitho|booch|bradley|butterfly|calif|cassandra|ccubee|cfetch|charlotte|churl|cienciaficcion|cmc|collective|comagent|combine|computingsite|csci|curl|cusco|daumoa|deepindex|delorie|depspid|deweb|die blinde kuh|digger|ditto|dmoz|docomo|download express|dtaagent|dwcp|ebiness|ebingbong|e\-collector|ejupiter|emacs\-w3 search engine|esther|evliya celebi|ezresult|falcon|felix ide|ferret|fetchrover|fido|findlinks|fireball|fish search|fouineur|funnelweb|gazz|gcreep|genieknows|getterroboplus|geturl|glx|goforit|golem|grabber|grapnel|gralon|griffon|gromit|grub|gulliver|hamahakki|harvest|havindex|helix|heritrix|hku www octopus|homerweb|htdig|html index|html_analyzer|htmlgobble|hubater|hyper\-decontextualizer|ia_archiver|ibm_planetwide|ichiro|iconsurf|iltrovatore|image\.kapsi\.net|imagelock|incywincy|indexer|infobee|informant|ingrid|inktomisearch\.com|inspector web|intelliagent|internet shinchakubin|ip3000|iron33|israeli\-search|ivia|jack|jakarta|javabee|jetbot|jumpstation|katipo|kdd\-explorer|kilroy|knowledge|kototoi|kretrieve|labelgrabber|lachesis|larbin|legs|libwww|linkalarm|link validator|linkscan|lockon|lwp|lycos|magpie|mantraagent|mapoftheinternet|marvin\/|mattie|mediafox|mediapartners|mercator|merzscope|microsoft url control|minirank|miva|mj12|mnogosearch|moget|monster|moose|motor|multitext|muncher|muscatferret|mwd\.search|myweb|najdi|nameprotect|nationaldirectory|nazilla|ncsa beta|nec\-meshexplorer|nederland\.zoek|netcarta webmap engine|netmechanic|netresearchserver|netscoop|newscan\-online|nhse|nokia6682\/|nomad|noyona|nutch|nzexplorer|objectssearch|occam|omni|open text|openfind|openintelligencedata|orb search|osis\-project|pack rat|pageboy|pagebull|page_verifier|panscient|parasite|partnersite|patric|pear\.|pegasus|peregrinator|pgp key agent|phantom|phpdig|picosearch|piltdownman|pimptrain|pinpoint|pioneer|piranha|plumtreewebaccessor|pogodak|poirot|pompos|poppelsdorf|poppi|popular iconoclast|psycheclone|publisher|python|rambler|raven search|roach|road runner|roadhouse|robbie|robofox|robozilla|rules|salty|sbider|scooter|scoutjet|scrubby|search\.|searchprocess|semanticdiscovery|senrigan|sg\-scout|shai\'hulud|shark|shopwiki|sidewinder|sift|silk|simmany|site searcher|site valet|sitetech\-rover|skymob\.com|sleek|smartwit|sna\-|snappy|snooper|sohu|speedfind|sphere|sphider|spinner|spyder|steeler\/|suke|suntek|supersnooper|surfnomore|sven|sygol|szukacz|tach black widow|tarantula|templeton|\/teoma|t\-h\-u\-n\-d\-e\-r\-s\-t\-o\-n\-e|theophrastus|titan|titin|tkwww|toutatis|t\-rex|tutorgig|twiceler|twisted|ucsd|udmsearch|url check|updated|vagabondo|valkyrie|verticrawl|victoria|vision\-search|volcano|voyager\/|voyager\-hc|w3c_validator|w3m2|w3mir|walker|wallpaper|wanderer|wauuu|wavefire|web core|web hopper|web wombat|webbandit|webcatcher|webcopy|webfoot|weblayers|weblinker|weblog monitor|webmirror|webmonkey|webquest|webreaper|websitepulse|websnarf|webstolperer|webvac|webwalk|webwatch|webwombat|webzinger|wget|whizbang|whowhere|wild ferret|worldlight|wwwc|wwwster|xenu|xget|xift|xirq|yandex|yanga|yeti|yodao|zao\/|zippp|zyborg|\.\.\.\.)/i', $user_agent);
    }

    //example usage
    if (! is_bot($_SERVER["HTTP_USER_AGENT"])) echo "it's a human hit!";
?>

我删除了指向原始代码源的链接，因为它现在重定向到食品应用程序。

Answer 4

检查用户代理会提醒您注意诚实的机器人，而不是垃圾邮件发送者。

要判断哪些请求是由不诚实的机器人发出的，最好的办法 (based on this guy's interesting study) 是捕获 Javascript 焦点事件。

如果触发焦点事件，则几乎可以肯定该页面是由人类加载的。

• 编辑：确实，关闭 Javascript 的人不会显示为人类，而是 that's not a large percentage of web users。
• Edit2：当前机器人也可以执行 Javascript，至少 Google can。

Answer 5

考虑一个伪装成 CSS 背景图像的 PHP 统计脚本（给出正确的响应头 - 至少是内容类型和缓存控制 - 但写出一个空图像）。

有些机器人会解析 JS，但肯定没有人会加载 CSS 图像。与 JS 一样，一个缺陷是您将排除基于文本的浏览器，但这还不到万维网人口的 1%。此外，禁用 CSS 的客户端肯定少于禁用 JS 的客户端（手机！）。

为了让更高级的机器人（Google、Yahoo 等）将来可能会抓取它们的（非例外）情况更加可靠，禁止robots.txt 中的 CSS 图像路径（更好的机器人会无论如何都要尊重）。

Answer 6

人类和机器人会做类似的事情，但机器人会做人类不会做的事情。让我们尝试识别这些东西。在我们查看行为之前，让我们接受 RayQuang's 评论是有用的。如果访问者有一个机器人的用户代理字符串，它可能是一个机器人。我无法想象任何使用“Google Crawler”（或类似的东西）作为 UA 的人，除非他们正在努力破坏某些东西。我知道您不想手动更新列表，但自动拉取该列表应该很好，即使它在接下来的 10 年内保持陈旧，也会有所帮助。

有些人已经提到了 Javascript 和图像加载，但谷歌会同时做这两件事。我们必须假设现在有几个机器人可以做到这两点，所以这些不再是人类指标。然而，机器人仍然会做的是遵循“隐形”链接。以一种非常隐秘的方式链接到一个页面，我作为用户看不到。如果这被跟踪，我们就有了一个机器人。

机器人会经常（但并非总是）尊重 robots.txt。用户不关心 robots.txt，我们可以假设任何检索 robots.txt 的人都是机器人。不过，我们可以更进一步，将一个虚拟 CSS 页面链接到 robots.txt 排除的页面。如果我们的普通 CSS 已加载但我们的虚拟 CSS 没有加载，那么它肯定是一个机器人。您必须按 IP 构建（可能是内存中的）负载表并执行不包含在匹配中，但这应该是一个非常可靠的说明。

所以，要使用所有这些：通过 ip 地址维护一个机器人数据库表，可能有时间戳限制。添加任何跟随你的隐形链接的东西，添加任何加载“真实”CSS但忽略robots.txt CSS的东西。也可以添加所有 robots.txt 下载器。在最后一步过滤用户代理字符串，并考虑使用它来进行快速统计分析，看看这些方法在识别我们知道是机器人的事物方面的效果如何。

Answer 7

您可以排除来自同时请求robots.txt 的用户代理的所有请求。所有表现良好的机器人都会提出这样的请求，但不良机器人会逃脱检测。

您也会遇到误报问题 - 作为人类，我在浏览器中阅读a robots.txt 的频率并不高，但我当然可以。为避免这些错误地显示为机器人，您可以将一些常见的浏览器用户代理列入白名单，并认为它们始终是人类。但这只会变成为浏览器维护一个用户代理列表，而不是为机器人维护一个。

因此，这种 did-they-request-robots.txt 方法当然不会提供 100% 无懈可击的结果，但它可能会提供一些启发式方法来输入完整的解决方案。

Answer 8

我目前使用 AWstats 和 Webalizer 来监控我的 Apasce2 日志文件，到目前为止，他们在这方面做得很好。如果您愿意，可以查看他们的源代码，因为它是一个开源项目。

您可以通过http://awstats.sourceforge.net 获取源代码，或者查看常见问题解答http://awstats.sourceforge.net/docs/awstats_faq.html

希望对您有所帮助， 瑞光

Answer 9

先决条件 - 已设置引荐来源网址

apache 级别：

LogFormat "%U %{Referer}i %{%Y-%m-%d %H:%M:%S}t" human_log
RewriteRule ^/human/(.*)   /b.gif [L]
SetEnv human_session 0

# using referrer
SetEnvIf Referer "^http://yoursite.com/" human_log_session=1

SetEnvIf Request_URI "^/human/(.*).gif$" human_dolog=1
SetEnvIf human_log_session 0 !human_dolog
CustomLog logs/human-access_log human_log env=human_dolog

在网页中，嵌入/human/$hashkey_of_current_url.gif。
如果是机器人，则不太可能设置引荐来源（这是一个灰色区域）。
如果直接使用浏览器地址栏点击，则不包含。

在每一天结束时，/human-access_log 应该包含所有实际上是人工页面查看的引荐来源。

为了安全起见，来自 apache 日志的引用者的哈希值应该与图像名称相符

Answer 10

使用 javascript 记录鼠标移动和滚动。您可以从记录的数据中判断它是人类还是机器人。除非机器人真的非常复杂并且模仿人类鼠标的移动。

Answer 11

我很惊讶没有人建议实施Turing test。只需在另一端与人类建立一个聊天框。

程序化解决方案行不通：看看PARRY Encounters the DOCTOR 时会发生什么

这两个“角色”都是 70 年代在人工智能研究过程中编写的“聊天”机器人：看看他们能在多长时间内愚弄一个真实的人，让他们认为他们也是一个人。 PARRY 角色被建模为偏执型精神分裂症患者，而 THE DOCTOR 则被建模为刻板的心理治疗师。

这里是some more background

Answer 12

=?对不起，误会了。您可以尝试我在我的站点上设置的另一个选项：创建一个具有硬/奇怪名称​​的非链接网页，并记录对该页面的访问。此页面的大多数访问者（如果不是全部）都是机器人，这样您就可以动态创建机器人列表。

原始答案如下（获得负面评价！）

告诉机器人的唯一可靠方法 来自人类的是 [CAPTCHAS][1]。你可以 如果适合您，请使用 [reCAPTCHA][2]。

[1]： http://en.wikipedia.org/wiki/Captcha
[2]：http://recaptcha.net/

Answer 13

我们不是试图维护一个长得不可思议的蜘蛛用户代理列表，而是寻找暗示人类行为的东西。这些原则是我们将 Session Count 分成两个数字：单页会话数和多页会话数。我们删除一个会话 cookie，并使用它来确定多页会话。我们还删除了一个持久的“机器 ID”cookie；返回用户（找到机器 ID cookie）被视为多页会话，即使他们只查看该会话中的一个页面。您可能具有暗示“人类”访问者的其他特征 - 例如，推荐人是谷歌（尽管我相信 MS Search 机器人伪装成一个标准的 UserAgent，用一个现实的关键字来检查网站是否显示不同的内容 [给他们的机器人]，而且这种行为看起来很像人类！）

当然，这不是绝对可靠的，特别是如果您有很多人到达并“点击关闭”，那么这对您来说并不是一个好的统计数据，或者如果您的 cookie 关闭的人占主导地位（在在我们的案例中，如果没有启用会话 cookie，他们将无法使用我们的 [购物车] 网站）。

从我们的一位客户那里获取数据，我们发现每天的单次会话计数无处不在 - 每天都有不同的数量级；但是，如果我们每天从多页面会话中减去 1,000，那么我们将得到一个该死的接近线性的比率，即每个下达的订单 4 个多页面会话/每个篮子两个会话。我真的不知道每天另外 1,000 个多页会话是什么！

Answer 14

在您跟踪的页面中放置一个 1x1 的 gif。如果已加载，则它可能是浏览器。如果它没有加载，它可能是一个脚本。

Answer 15

最简单的方法是检查他们的用户代理中是否包含“bot”或“spider”。Most do。