前言：在業(yè)務(wù)場景中，企業(yè)的安全團(tuán)隊通常將驗證碼作為降低業(yè)務(wù)受損風(fēng)險的方法，以減少撞庫盜號、虛假注冊、刷量作弊、信息盜竊、薅羊毛等風(fēng)險事件發(fā)生的可能性。

今天將通過驗證碼在極驗十周年特別活動的實際應(yīng)用，探討驗證碼在業(yè)務(wù)風(fēng)控中的意義。

在十月份的極驗十周年活動中，我們模擬電商的營銷活動營造了業(yè)務(wù)場景遭受機(jī)器攻擊的真實事件。此次活動，機(jī)器人一共參與了118.39萬次抽卡，通過機(jī)器作弊累計領(lǐng)取了7811份愛奇藝月會員。若把這筆投入換算到大型的運(yùn)營活動，企業(yè)業(yè)務(wù)或會因此造成23.43萬的金額損失。

機(jī)器與人類用戶領(lǐng)獎情況

以10月27日在領(lǐng)取獎勵場景部署驗證碼為分界線，我們將整個活動分成第一階段和第二階段，在未配置驗證碼的第一階段機(jī)器人成功領(lǐng)走了6081份獎勵；不過在第二階段，驗證碼發(fā)揮了攔截異常賬戶的作用，成功識別了風(fēng)險賬號并執(zhí)行風(fēng)控策略。根據(jù)數(shù)據(jù)統(tǒng)計，本次活動通過驗證碼識別到的異常賬戶有3464個。那么，在這種業(yè)務(wù)場景下，驗證碼是如何識別出風(fēng)險賬號的？

此次活動使用的驗證碼為極驗行為式驗證碼，這種驗證碼基于生物行為特征利用人工智能深度學(xué)習(xí)對驗證過程中產(chǎn)生的行為數(shù)據(jù)進(jìn)行高維分析，發(fā)現(xiàn)真實人類用戶與機(jī)器行為模式與行為特征的差異，精準(zhǔn)地區(qū)分該場景下的人機(jī)。

01黑產(chǎn)破解思路解析與識別

極驗交互安全實驗室通過對破解平臺的跟蹤分析和相關(guān)安全產(chǎn)品的逆向研究發(fā)現(xiàn)，黑產(chǎn)破解驗證碼主要依靠模擬器破解和接口破解兩種方式。

模擬器破解：通過各種自動化測試工具，例如 Selenium 操作 chromium 內(nèi)核實現(xiàn)自動化的拖動、點(diǎn)擊等操作；

接口破解：利用接口程序破解正確的關(guān)鍵參數(shù)，從而對驗證碼進(jìn)行破解。由于接口破解需要對前端 JS 進(jìn)行逆向還原，同時需要完全理清參數(shù)生成的邏輯，相對模擬器破解的技術(shù)門檻與實現(xiàn)成本都更高。

模擬器破解和接口破解是進(jìn)行破解過程自動化的兩種技術(shù)路徑，但是無論使用哪一種，都還必須通過人工、窮舉圖片、AI識別等方式獲得驗證答案，然后生成盡可能真實的行為軌跡。軌跡的自動化生成方式包括：

函數(shù)生成：通過編寫函數(shù)，自動生成具有特定行為模式的軌跡數(shù)據(jù)，機(jī)器特征相對明顯。

軌跡重放：通過各種途徑，積累不同類型、長度的真實軌跡樣本，根據(jù)答案適配進(jìn)行軌跡數(shù)據(jù)的重復(fù)投遞。

基于這些，驗證碼可以通過以下三個模型進(jìn)行異常識別：

CNN 模型：全稱為卷積神經(jīng)網(wǎng)絡(luò)模型，從海量數(shù)據(jù)庫中自動學(xué)習(xí)機(jī)器軌跡特征，進(jìn)行人機(jī)軌跡實時區(qū)分，封禁異常風(fēng)險軌跡。

Cluster 模型：因函數(shù)生成的軌跡在特征空間上極易產(chǎn)生聚集模式，動態(tài)聚類模型通過這種行為模式的聚集自動化地發(fā)現(xiàn)新的變種機(jī)器數(shù)據(jù)。聚類模型通過將數(shù)據(jù)在高維特征空間中進(jìn)行低維映射，實時計算當(dāng)前一段時間內(nèi)的數(shù)據(jù)在低維空間上的概率分布，如果某個區(qū)域的概率高于閾值，則對于新的落到此區(qū)域的軌跡數(shù)據(jù)進(jìn)行封禁處理。

Hash模型：哈希模型將數(shù)據(jù)在高維特征空間中進(jìn)行哈希編碼，每條真實軌跡都有其對應(yīng)的唯一一條哈希編碼。當(dāng)黑產(chǎn)嘗試通過重放軌跡，或生成隨機(jī)軌跡庫破解驗證時，軌跡會產(chǎn)生哈希碰撞，從而暴露機(jī)器特征。

02實時動態(tài)對抗攔截機(jī)器

面對機(jī)器的入侵，驗證碼可以發(fā)揮實時防御作用，即機(jī)器需要在相應(yīng)場景回答出正確的答案才能進(jìn)行下一步操作，在本次活動中為通過驗證領(lǐng)取獎勵，這樣一來便可以實時攔截機(jī)器，減少網(wǎng)站、軟件或小程序內(nèi)的異常機(jī)器用戶，降低業(yè)務(wù)受損風(fēng)險。

除此以外，若出現(xiàn)黑產(chǎn)在攻擊過程中通過機(jī)器學(xué)習(xí)升級了入侵手段的情況，驗證碼也可以通過動態(tài)變化對此進(jìn)行科學(xué)有效地防御，如前端 JS 定期混淆變換、前端動態(tài)參數(shù)定期變化、全網(wǎng)風(fēng)險庫會定期更新、靈活變更參數(shù)加密算法等。不過在現(xiàn)有的驗證碼中，只有極驗行為驗4.0可以做到這一點(diǎn)。

行為驗4.0動態(tài)對抗防御機(jī)器攻擊

譬如，在驗證碼的防護(hù)下，該活動27日與28日的領(lǐng)獎數(shù)量與未配置驗證碼的26日相比都有明顯下降，但29日領(lǐng)獎數(shù)據(jù)略有上升，根據(jù)與黑產(chǎn)博弈長達(dá)十年的豐富經(jīng)驗，我們判斷黑產(chǎn)此時已通過機(jī)器學(xué)習(xí)升級了攻擊手段。

隨即，我們升級驗證模型策略，面對有風(fēng)險的請求，驗證AI大腦會自動強(qiáng)化對抗策略，如：動態(tài)切換驗證形式、自動更新視覺模型等。動態(tài)變化的驗證碼模型給黑產(chǎn)帶來極大的挑戰(zhàn)，增加了破解成本和時間，攔截能力提升，所以我們可以清楚地看到活動最后兩天的機(jī)器數(shù)再次呈下降趨勢。

03驗證碼在實際應(yīng)用中產(chǎn)生的意義

時至今日，黑產(chǎn)利用機(jī)器攻擊的手段更加多樣化，通過以上真實案例可以看出驗證碼在風(fēng)控中具有以下實際意義：

1）輔助企業(yè)做出風(fēng)險判別：驗證碼收集到的行為數(shù)據(jù)可有效豐富風(fēng)控系統(tǒng)的信息采集維度，為最終判別提供更多樣的視角和依據(jù)。比如，滑動拼圖驗證可以收集到用戶滑動軌跡，圖片識別驗證可以收集用戶鼠標(biāo)點(diǎn)擊事件。

2）提高黑產(chǎn)攻擊難度：驗證碼作為必備組件部署在登錄、找回密碼、下單、評論發(fā)帖等關(guān)鍵業(yè)務(wù)的入口處，可以有效防止撞庫、暴力猜解等攻擊，驗證碼的部署提高了黑產(chǎn)的攻擊難度。

3）處置惡意流量：除了以上的直接意義，當(dāng)前眾多互聯(lián)網(wǎng)企業(yè)已經(jīng)或正在致力于結(jié)合實際業(yè)務(wù)情況，構(gòu)建自己的風(fēng)控系統(tǒng)。在風(fēng)控系統(tǒng)判定結(jié)果的前提下，可以結(jié)合不同難度級別的驗證碼進(jìn)行處理，提升用戶體驗，降低誤判。