智能验证码
华为ICS验证码服务
“哪有什么岁月静好,不过是有人在替你负重前行”,现如今网络世界机器攻击脚本横飞,守护亿万用户的静好岁月,成了验证码技术的光荣使命,且已完全渗透在人们的日常生活,不被察觉地抵挡着上亿机器脚本攻击,作为“隐形天使”成为网上生活不可或缺的一部分。
传统验证码采用规则进行人机判别。常见的传统验证码包含如下几类:
(1)字符输入验证码:在验证码输入框中输入图片中的字符,通过对比输入数据和真实数据,判别可信和可疑用户。该类验证码字符识别成本低,且现有技术已能精准识别绝大多数字符;用户需要按键输入,体验不好且打扰度高。
(2)算术类验证码:计算验证码图片中数学表达式的值,填入输入框中。该类验证码表达式中的运算符易混淆,使得用户误理解,造成二次计算,增加用户打扰度;需要用户按键输入,体验不友好;易被破解识别,破解成本低且攻防迭代可加固面窄。
(3)认知类验证码:通过常识等生活类资讯,找出图片中符合验证码要求的子图。该类验证码需要用户对日常资讯类信息有所了解,用户覆盖范围小;用户可接受度低,体验差。
上述几类传统验证码均采用答题类形式展示,通过判断用户答案正确与否判定用户可信与否,面临用户体验不好且易被破解的问题。不断进化的攻击者,不断增长的待防御面,以及不容忽视的代价损失,对验证码技术提出了越来越高的防护要求,传统验证码已不能胜任,新型验证码通过对用户的环境信息、设备信息及行为数据进行特征提取和分析,从多维度构建防模拟、防伪造及防暴力破解的防护网。
华为云智能验证码服务(Intelligent CAPTCHA Service,ICS)是一种提供智能人机识别验证的服务,通过引入AI技术,基于用户行为特征和环境特征,与云上大数据分析和机器学习引擎相结合,数据间的隐层关系被最大限度地挖掘和应用,事件发生时便能有效判别人机,实现高可用、高并发、低延迟的机器流量精准识别,极大降低用户的损失。
ICS首先通过自研的人机时空轨迹定位坐标系来收集用户的行为数据,对采集的用户轨迹数据进行分析,从而进一步提取坐标、时间、距离、速度、加速度、角度、角速度等维度的各项统计信息,以及是否有回退行为等特征。之后采集到的特征信息会被输入至例如Random Forest的机器学习分类模型,输出人机判别的概率。
此外,ICS服务还推出了体验更好的无感知类验证码服务,来增加使用验证码时的用户体验。
传统验证码本质上是一种被动防御策略,不仅增加了对正常用户的打扰度,且验证过程并不轻松,用户体验不好。难道就没有什么方法能够不验证吗?答案是肯定的。ICS改被动防御为主动验证,推出了无需验证即可判别用户身份的智能无感验证体系,即孵化智能无感验证码服务。
在用户发起登录请求前,结合静态环境信息如地理位置、恶意特征和IP设备等,和动态行为信息如键鼠轨迹等前置拦截安全技术对用户身份进行预判。由无感的判别结果给用户呈现不同的验证形式,若判定用户为正常人类,则放行;若判定为机器,则进行拦截;若存在疑虑,则弹出其他形式验证码进一步验证。基于静态信息和动态行为的双重智能无感验证,不仅能满足验证码最本质的人机判别诉求,还能减少用户打扰,提升体验。
可信用户直接验证通过,减少用户打扰,如下左图;
可疑用户弹出滑动验证,加大机器攻击的成本,精准进行人机识别,ICS平台中滑动验证码展现形式如下中图。其安全性设计基于以下三个方面:背景图片的颜色和风格多样化;缺口位置随机;规则加模型双重判断:先对拖动的滑块缺口位置进行判断,若在误差允许范围内,则将鼠标轨迹数据传至模型,分析轨迹数据,输出可疑概率。
恶意用户弹出点选验证,通过动态语义理解,进一步增加攻击成本,使恶意用户作恶更困难,ICS平台中点选验证码展现形式如下右图。其安全性设计基于以下六个方面:背景图片的颜色和风格多样化;图片上汉字随机;图片上总的汉字数量在一定范围内随机;图中所有汉字的位置和倾斜角度随机;图中所有汉字的字体及颜色随机;图片中可增加噪点、干扰线或干扰框等,增加图像文字识别的难度。
最后,ICS验证码在验证码图像处理上更是通过应用“图像视觉对抗”理论,来提高图片类的验证码防御依托计算机视觉的自动破解脚本。视觉对抗理论指出:神经网络对局部的图片纹理过于敏感,而对整体轮廓的感知则不强。因此可以通过向图片中添加随机噪声信号来“欺骗”神经网络,从而达到防御目的。下图便是对抗学习理论的一个著名样例:
如图向左边的阿尔卑斯山图片中添加了中间的噪声信号得到了右图,对人类来说根本不会造成任何类别判断上的影响,然而同样的一个机器学习模型便自信地认为这是一张狗的图片。在生成ICS验证码图片的时候也会随机在重点区域添加类似干扰噪声,且这些噪声皆为定期更新的可迭代噪声,会更进一步提高破解成本。
ICS智能验证码服务可应用在所有可能被机器行为攻击的场景,包括但不限于以下七个场景:
登录:防止撞库攻击、暴力破解所引起的用户利益受损。
注册:防止注册机带来的每天成千上万的无效垃圾注册,从源头规范操作。
短信: 防止短信接口滥刷引起的经济损失和恶意骚扰。
投票:防止虚假投票带来的不正当竞争,维护网站生态健康。
社交:防止博客论坛恶意灌水或评论,促进社交环境简洁清爽。
搜索:防止恶意爬虫爬取信息,避免机器资源过度消耗和第三方非法窃取信息。
支付:防止“黄牛党”恶意刷票,维护普通购票者的合法权益和票务网站品牌声誉。
ICS智能验证码服务产品优势体现在以下四个方面:
精准识别:依托大数据分析及多维度采集进行综合识别,风险识别准确率高于98.5%。
智能安全:学习引擎自我进化,形成防伪造、防篡改、防重放、抗扰动的四重AI防御。
极致体验:多种验证产品智能组合,以及实时决策平台,平衡安全与用户体验。
风险可视化:控制台风险可视化,提供Web网页机器流量识别、验证流量统计和攻击访问统计,全局掌控安全态势。