華為ICS驗證碼服務(wù)

“哪有什么歲月靜好，不過是有人在替你負重前行”，現(xiàn)如今網(wǎng)絡(luò)世界機器攻擊腳本橫飛，守護億萬用戶的靜好歲月，成了驗證碼技術(shù)的光榮使命，且已完全滲透在人們的日常生活，不被察覺地抵擋著上億機器腳本攻擊，作為“隱形天使”成為網(wǎng)上生活不可或缺的一部分。

傳統(tǒng)驗證碼采用規(guī)則進行人機判別。常見的傳統(tǒng)驗證碼包含如下幾類：

（1）字符輸入驗證碼：在驗證碼輸入框中輸入圖片中的字符，通過對比輸入數(shù)據(jù)和真實數(shù)據(jù)，判別可信和可疑用戶。該類驗證碼字符識別成本低，且現(xiàn)有技術(shù)已能精準識別絕大多數(shù)字符；用戶需要按鍵輸入，體驗不好且打擾度高。

（2）算術(shù)類驗證碼：計算驗證碼圖片中數(shù)學(xué)表達式的值，填入輸入框中。該類驗證碼表達式中的運算符易混淆，使得用戶誤理解，造成二次計算，增加用戶打擾度；需要用戶按鍵輸入，體驗不友好；易被破解識別，破解成本低且攻防迭代可加固面窄。

（3）認知類驗證碼：通過常識等生活類資訊，找出圖片中符合驗證碼要求的子圖。該類驗證碼需要用戶對日常資訊類信息有所了解，用戶覆蓋范圍??；用戶可接受度低，體驗差。

上述幾類傳統(tǒng)驗證碼均采用答題類形式展示，通過判斷用戶答案正確與否判定用戶可信與否，面臨用戶體驗不好且易被破解的問題。不斷進化的攻擊者，不斷增長的待防御面，以及不容忽視的代價損失，對驗證碼技術(shù)提出了越來越高的防護要求，傳統(tǒng)驗證碼已不能勝任，新型驗證碼通過對用戶的環(huán)境信息、設(shè)備信息及行為數(shù)據(jù)進行特征提取和分析，從多維度構(gòu)建防模擬、防偽造及防暴力破解的防護網(wǎng)。

華為云智能驗證碼服務(wù)（Intelligent CAPTCHA Service，ICS）是一種提供智能人機識別驗證的服務(wù)，通過引入AI技術(shù)，基于用戶行為特征和環(huán)境特征，與云上大數(shù)據(jù)分析和機器學(xué)習(xí)引擎相結(jié)合，數(shù)據(jù)間的隱層關(guān)系被最大限度地挖掘和應(yīng)用，事件發(fā)生時便能有效判別人機，實現(xiàn)高可用、高并發(fā)、低延遲的機器流量精準識別，極大降低用戶的損失。

ICS首先通過自研的人機時空軌跡定位坐標(biāo)系來收集用戶的行為數(shù)據(jù)，對采集的用戶軌跡數(shù)據(jù)進行分析，從而進一步提取坐標(biāo)、時間、距離、速度、加速度、角度、角速度等維度的各項統(tǒng)計信息，以及是否有回退行為等特征。之后采集到的特征信息會被輸入至例如Random Forest的機器學(xué)習(xí)分類模型，輸出人機判別的概率。

此外，ICS服務(wù)還推出了體驗更好的無感知類驗證碼服務(wù)，來增加使用驗證碼時的用戶體驗。

傳統(tǒng)驗證碼本質(zhì)上是一種被動防御策略，不僅增加了對正常用戶的打擾度，且驗證過程并不輕松，用戶體驗不好。難道就沒有什么方法能夠不驗證嗎？答案是肯定的。ICS改被動防御為主動驗證，推出了無需驗證即可判別用戶身份的智能無感驗證體系，即孵化智能無感驗證碼服務(wù)。

在用戶發(fā)起登錄請求前，結(jié)合靜態(tài)環(huán)境信息如地理位置、惡意特征和IP設(shè)備等，和動態(tài)行為信息如鍵鼠軌跡等前置攔截安全技術(shù)對用戶身份進行預(yù)判。由無感的判別結(jié)果給用戶呈現(xiàn)不同的驗證形式，若判定用戶為正常人類，則放行；若判定為機器，則進行攔截；若存在疑慮，則彈出其他形式驗證碼進一步驗證。基于靜態(tài)信息和動態(tài)行為的雙重智能無感驗證，不僅能滿足驗證碼最本質(zhì)的人機判別訴求，還能減少用戶打擾，提升體驗。

可信用戶直接驗證通過，減少用戶打擾，如下左圖；

可疑用戶彈出滑動驗證，加大機器攻擊的成本，精準進行人機識別，ICS平臺中滑動驗證碼展現(xiàn)形式如下中圖。其安全性設(shè)計基于以下三個方面：背景圖片的顏色和風(fēng)格多樣化；缺口位置隨機；規(guī)則加模型雙重判斷：先對拖動的滑塊缺口位置進行判斷，若在誤差允許范圍內(nèi)，則將鼠標(biāo)軌跡數(shù)據(jù)傳至模型，分析軌跡數(shù)據(jù)，輸出可疑概率。

惡意用戶彈出點選驗證，通過動態(tài)語義理解，進一步增加攻擊成本，使惡意用戶作惡更困難，ICS平臺中點選驗證碼展現(xiàn)形式如下右圖。其安全性設(shè)計基于以下六個方面：背景圖片的顏色和風(fēng)格多樣化；圖片上漢字隨機；圖片上總的漢字數(shù)量在一定范圍內(nèi)隨機；圖中所有漢字的位置和傾斜角度隨機；圖中所有漢字的字體及顏色隨機；圖片中可增加噪點、干擾線或干擾框等，增加圖像文字識別的難度。

最后，ICS驗證碼在驗證碼圖像處理上更是通過應(yīng)用“圖像視覺對抗”理論，來提高圖片類的驗證碼防御依托計算機視覺的自動破解腳本。視覺對抗理論指出：神經(jīng)網(wǎng)絡(luò)對局部的圖片紋理過于敏感，而對整體輪廓的感知則不強。因此可以通過向圖片中添加隨機噪聲信號來“欺騙”神經(jīng)網(wǎng)絡(luò)，從而達到防御目的。下圖便是對抗學(xué)習(xí)理論的一個著名樣例：

如圖向左邊的阿爾卑斯山圖片中添加了中間的噪聲信號得到了右圖，對人類來說根本不會造成任何類別判斷上的影響，然而同樣的一個機器學(xué)習(xí)模型便自信地認為這是一張狗的圖片。在生成ICS驗證碼圖片的時候也會隨機在重點區(qū)域添加類似干擾噪聲，且這些噪聲皆為定期更新的可迭代噪聲，會更進一步提高破解成本。

ICS智能驗證碼服務(wù)可應(yīng)用在所有可能被機器行為攻擊的場景，包括但不限于以下七個場景：

1. 登錄：防止撞庫攻擊、暴力破解所引起的用戶利益受損。

2. 注冊：防止注冊機帶來的每天成千上萬的無效垃圾注冊，從源頭規(guī)范操作。

3. 短信： 防止短信接口濫刷引起的經(jīng)濟損失和惡意騷擾。

4. 投票：防止虛假投票帶來的不正當(dāng)競爭，維護網(wǎng)站生態(tài)健康。

5. 社交：防止博客論壇惡意灌水或評論，促進社交環(huán)境簡潔清爽。

6. 搜索：防止惡意爬蟲爬取信息，避免機器資源過度消耗和第三方非法竊取信息。

7. 支付：防止“黃牛黨”惡意刷票，維護普通購票者的合法權(quán)益和票務(wù)網(wǎng)站品牌聲譽。

 ICS智能驗證碼服務(wù)產(chǎn)品優(yōu)勢體現(xiàn)在以下四個方面：

1. 精準識別：依托大數(shù)據(jù)分析及多維度采集進行綜合識別，風(fēng)險識別準確率高于98.5%。

2. 智能安全：學(xué)習(xí)引擎自我進化，形成防偽造、防篡改、防重放、抗擾動的四重AI防御。

3. 極致體驗：多種驗證產(chǎn)品智能組合，以及實時決策平臺，平衡安全與用戶體驗。

4. 風(fēng)險可視化：控制臺風(fēng)險可視化，提供Web網(wǎng)頁機器流量識別、驗證流量統(tǒng)計和攻擊訪問統(tǒng)計，全局掌控安全態(tài)勢。