CN110415025A - 一种验证方法及装置 - Google Patents

一种验证方法及装置 Download PDF

Info

Publication number
CN110415025A
CN110415025A CN201910631997.3A CN201910631997A CN110415025A CN 110415025 A CN110415025 A CN 110415025A CN 201910631997 A CN201910631997 A CN 201910631997A CN 110415025 A CN110415025 A CN 110415025A
Authority
CN
China
Prior art keywords
data
interaction parameter
unverified
user mutual
mutual behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201910631997.3A
Other languages
English (en)
Inventor
王帅
郭锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Wave Intelligent Technology Co Ltd
Original Assignee
Suzhou Wave Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Wave Intelligent Technology Co Ltd filed Critical Suzhou Wave Intelligent Technology Co Ltd
Priority to CN201910631997.3A priority Critical patent/CN110415025A/zh
Publication of CN110415025A publication Critical patent/CN110415025A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0207Discounts or incentives, e.g. coupons or rebates
    • G06Q30/0225Avoiding frauds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Game Theory and Decision Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

本申请提供一种验证方法及装置,所述方法包括:当检测到和浏览器端之间的用户交互行为时,根据用户交互请求获取用户交互行为数据,根据所述用户交互行为数据获取交互参数;所述交互参数包括以下任一种或任意组合:环境数据、行为数据、操作轨迹数据;对所述交互参数进行验证,并在日志数据中查询所述交互参数;如果所述交互参数未通过验证,或在所述日志数据中能查询到与所述交互参数匹配的记录的条数大于或等于相同数据阈值,则确定所述用户交互行为数据为机器数据。上述技术方案可以有效提高人机识别准确度,增加破解的难度,有效提升了活动Web页面的安全性。

Description

一种验证方法及装置
技术领域
本发明涉及计算机领域,尤其涉及验证方法及装置。
背景技术
对于营销类活动的Web(World Wide Web,全球广域网)页面,领券、领红包、抽奖等活动等很常见。此类活动对于普通用户来说,大多数时候就是“拼手气”,而对于非正常用户来说可以通过直接刷活动API(Application Programming Interface,应用程序编程接口)的作弊方式来提升“手气”,这样对普通用户很不公平。主办方想发放给用户的满减券、红包、大部分被黄牛用自动脚本刷走,很多真正想参加活动的用户却无法享受优惠。如何判断用户到底是人还是机器,网络请求是否为真实用户发起等,这些都是主办方要担心的问题。现有的验证方法通常只做简单的人机识别,容易被破解。
发明内容
本申请所要解决的技术是提供一种验证方法及装置,可以有效提高人机识别准确度,增加破解的难度。
为了解决上述技术问题,本申请提供了一种验证方法,所述方法包括:
当检测到和浏览器端之间的用户交互行为时,根据用户交互请求获取用户交互行为数据,根据所述用户交互行为数据获取交互参数;所述交互参数包括以下任一种或任意组合:环境数据、行为数据、操作轨迹数据;
对所述交互参数进行验证,并在日志数据中查询所述交互参数;
如果所述交互参数未通过验证,或在所述日志数据中能查询到与所述交互参数匹配的记录的条数大于或等于相同数据阈值,则确定所述用户交互行为数据为机器数据。
可选地,当所述交互参数包括操作轨迹数据时,所述对交互参数进行验证包括以下任一项或任意组合:
根据所述操作轨迹数据获取操作移动速度,判断所述操作移动速度是否为匀速;如果所述操作移动速度为匀速,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取操作移动轨迹,判断所述操作移动轨迹是否存在抖动;如果所述操作移动轨迹不存在抖动,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹距离,如果所述移动轨迹距离小于移动距离阈值,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹操作时长,如果所述移动轨迹操作时长小于时长阈值,则所述操作轨迹数据未通过验证。
可选地,所述环境数据包括:互联网络协议地址IP、媒体访问控制地址MAC和系统识别码SID;
当所述交互参数包括环境数据时,所述对交互参数进行验证包括以下任一项或任意组合:
对所述IP的合法性进行验证,如果所述IP不合法,则所述环境数据未通过验证;
对所述MAC的合法性进行验证,如果所述MAC不合法,则所述环境数据未通过验证;
对所述SID的合法性进行验证,如果所述SID不合法,则所述环境数据未通过验证;
当所述交互参数包括行为数据时,所述对交互参数进行验证包括以下任一项或任意组合:
判断所述用户交互行为是否触发菜单事件,如果所述用户交互行为没有触发菜单事件,则所述行为数据未通过验证;如果所述用户交互行为触发菜单事件,则判断菜单事件的第一操作时长是否小于操作时长阈值,如果菜单事件的操作时长小于操作时长阈值,则所述行为数据未通过验证;
判断所述用户交互行为是否触发按钮事件,如果所述用户交互行为没有触发按钮事件,则所述行为数据未通过验证;如果所述用户交互行为触发按钮事件,则判断按钮事件的第二操作时长是否小于操作时长阈值,如果按钮事件的操作时长小于操作时长阈值,则所述行为数据未通过验证。
可选地,所述日志数据包括多条日志记录;其中,一条日志记录由一次交互行为的交互参数生成。
可选地,所述用户交互请求携带有存储在浏览器端会话控制Session中的身份认证令牌token信息;所述对所述交互参数进行验证,并在日志数据中查询所述交互参数之前,所述方法还包括:
对所述token信息的时效性以及合法性进行验证;如果所述token信息的时效性或合法性未通过验证,则拒绝所述用户交互请求;如果所述token信息的时效性和合法性均通过验证,则对所述交互参数进行验证,并在日志数据中查询所述交互参数。
本申请还提供一种验证装置,所述装置包括:存储器和处理器;所述存储器,用于保存用于验证的程序;
所述处理器,用于读取执行所述用于验证的程序,执行如下操作:
当检测到和浏览器端之间的用户交互行为时,根据用户交互请求获取用户交互行为数据,根据所述用户交互行为数据获取交互参数;所述交互参数包括以下任一种或任意组合:环境数据、行为数据、操作轨迹数据;
对所述交互参数进行验证,并在日志数据中查询所述交互参数;
如果所述交互参数未通过验证,或在所述日志数据中能查询到与所述交互参数匹配的记录的条数大于或等于相同数据阈值,则确定所述用户交互行为数据为机器数据。
可选地,当所述交互参数包括操作轨迹数据时,所述对交互参数进行验证包括以下任一项或任意组合:
根据所述操作轨迹数据获取操作移动速度,判断所述操作移动速度是否为匀速;如果所述操作移动速度为匀速,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取操作移动轨迹,判断所述操作移动轨迹是否存在抖动;如果所述操作移动轨迹不存在抖动,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹距离,如果所述移动轨迹距离小于移动距离阈值,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹操作时长,如果所述移动轨迹操作时长小于时长阈值,则所述操作轨迹数据未通过验证。
可选地,所述环境数据包括:互联网络协议地址IP、媒体访问控制地址MAC和系统识别码SID;
当所述交互参数包括环境数据时,所述对交互参数进行验证包括以下任一项或任意组合:
对所述IP的合法性进行验证,如果所述IP不合法,则所述环境数据未通过验证;
对所述MAC的合法性进行验证,如果所述MAC不合法,则所述环境数据未通过验证;
对所述SID的合法性进行验证,如果所述SID不合法,则所述环境数据未通过验证;
当所述交互参数包括行为数据时,所述对交互参数进行验证包括以下任一项或任意组合:
判断所述用户交互行为是否触发菜单事件,如果所述用户交互行为没有触发菜单事件,则所述行为数据未通过验证;如果所述用户交互行为触发菜单事件,则判断菜单事件的第一操作时长是否小于操作时长阈值,如果菜单事件的操作时长小于操作时长阈值,则所述行为数据未通过验证;
判断所述用户交互行为是否触发按钮事件,如果所述用户交互行为没有触发按钮事件,则所述行为数据未通过验证;如果所述用户交互行为触发按钮事件,则判断按钮事件的第二操作时长是否小于操作时长阈值,如果按钮事件的操作时长小于操作时长阈值,则所述行为数据未通过验证。
可选地,所述日志数据包括多条日志记录;其中,一条日志记录由一次交互行为的交互参数生成。
可选地,所述用户交互请求携带有存储在浏览器端会话控制Session中的身份认证令牌token信息;
所述处理器,用于读取执行所述用于验证的程序,还执行如下操作:
所述对所述交互参数进行验证,并在日志数据中查询所述交互参数之前,对所述token信息的时效性以及合法性进行验证;如果所述token信息的时效性或合法性未通过验证,则拒绝所述用户交互请求;如果所述token信息的时效性和合法性均通过验证,则对所述交互参数进行验证,并在日志数据中查询所述交互参数。
本申请包括:当检测到和浏览器端之间的用户交互行为时,根据用户交互请求获取用户交互行为数据,根据所述用户交互行为数据获取交互参数;所述交互参数包括以下任一种或任意组合:环境数据、行为数据、操作轨迹数据;对所述交互参数进行验证,并在日志数据中查询所述交互参数;如果所述交互参数未通过验证,或在所述日志数据中能查询到与所述交互参数匹配的记录的条数大于或等于相同数据阈值,则确定所述用户交互行为数据为机器数据。上述技术方案可以有效提高人机识别准确度,增加破解的难度,有效提升了活动Web页面的安全性。
附图说明
附图用来提供对本申请技术方案的理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
图1是本发明实施例一的验证方法的流程示意图;
图2是本发明实施例一的验证装置的结构示意图;
图3是本发明示例一的验证方法的示意图。
具体实施方式
本申请描述了多个实施例,但是该描述是示例性的,而不是限制性的,并且对于本领域的普通技术人员来说显而易见的是,在本申请所描述的实施例包含的范围内可以有更多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合,并在具体实施方式中进行了讨论,但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情况以外,任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结合使用,或可以替代任何其它实施例中的任何其他特征或元件。
本申请包括并设想了与本领域普通技术人员已知的特征和元件的组合。本申请已经公开的实施例、特征和元件也可以与任何常规特征或元件组合,以形成由权利要求限定的独特的发明方案。任何实施例的任何特征或元件也可以与来自其它发明方案的特征或元件组合,以形成另一个由权利要求限定的独特的发明方案。因此,应当理解,在本申请中示出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此,除了根据所附权利要求及其等同替换所做的限制以外,实施例不受其它限制。此外,可以在所附权利要求的保护范围内进行各种修改和改变。
此外,在描述具有代表性的实施例时,说明书可能已经将方法和/或过程呈现为特定的步骤序列。然而,在该方法或过程不依赖于本文所述步骤的特定顺序的程度上,该方法或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的,其它的步骤顺序也是可能的。因此,说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此外,针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤,本领域技术人员可以容易地理解,这些顺序可以变化,并且仍然保持在本申请实施例的精神和范围内。
实施例一
如图1所示,本实施例提供一种验证方法,所述方法包括:
步骤S101、当检测到和浏览器端之间的用户交互行为时,根据用户交互请求获取用户交互行为数据,根据所述用户交互行为数据获取交互参数;所述交互参数包括以下任一种或任意组合:环境数据、行为数据、操作轨迹数据;
步骤S102、对所述交互参数进行验证,并在日志数据中查询所述交互参数;
步骤S103、如果所述交互参数未通过验证,或在所述日志数据中能查询到与所述交互参数匹配的记录的条数大于或等于相同数据阈值,则确定所述用户交互行为数据为机器数据。
可选地,当所述交互参数包括操作轨迹数据时,所述对交互参数进行验证可以包括以下任一项或任意组合:
根据所述操作轨迹数据获取操作移动速度,判断所述操作移动速度是否为匀速;如果所述操作移动速度为匀速,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取操作移动轨迹,判断所述操作移动轨迹是否存在抖动;如果所述操作移动轨迹不存在抖动,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹距离,如果所述移动轨迹距离小于移动距离阈值,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹操作时长,如果所述移动轨迹操作时长小于时长阈值,则所述操作轨迹数据未通过验证。
可选地,所述环境数据可以包括:互联网络协议地址IP、媒体访问控制地址MAC和系统识别码SID;
当所述交互参数包括环境数据时,所述对交互参数进行验证可以包括以下任一项或任意组合:
对所述IP的合法性进行验证,如果所述IP不合法,则所述环境数据未通过验证;
对所述MAC的合法性进行验证,如果所述MAC不合法,则所述环境数据未通过验证;
对所述SID的合法性进行验证,如果所述SID不合法,则所述环境数据未通过验证;
当所述交互参数包括行为数据时,所述对交互参数进行验证包括以下任一项或任意组合:
判断所述用户交互行为是否触发菜单事件,如果所述用户交互行为没有触发菜单事件,则所述行为数据未通过验证;如果所述用户交互行为触发菜单事件,则判断菜单事件的第一操作时长是否小于操作时长阈值,如果菜单事件的操作时长小于操作时长阈值,则所述行为数据未通过验证;
判断所述用户交互行为是否触发按钮事件,如果所述用户交互行为没有触发按钮事件,则所述行为数据未通过验证;如果所述用户交互行为触发按钮事件,则判断按钮事件的第二操作时长是否小于操作时长阈值,如果按钮事件的操作时长小于操作时长阈值,则所述行为数据未通过验证。
可选地,所述日志数据可以包括多条日志记录;其中,一条日志记录由一次交互行为的交互参数生成。
可选地,所述用户交互请求携带有存储在浏览器端会话控制Session中的身份认证令牌token信息;所述对所述交互参数进行验证,并在日志数据中查询所述交互参数之前,所述方法还包括:
对所述token信息的时效性以及合法性进行验证;如果所述token信息的时效性或合法性未通过验证,则拒绝所述用户交互请求;如果所述token信息的时效性和合法性均通过验证,则对所述交互参数进行验证,并在日志数据中查询所述交互参数。
上述技术方案可以有效提高人机识别准确度,增加破解的难度,有效提升了活动Web页面的安全性。
如图2所示,本实施例还提供一种验证装置,所述装置包括:存储器10和处理器11;
所述存储器10,用于保存用于验证的程序;
所述处理器11,用于读取执行所述用于验证的程序,执行如下操作:
当检测到和浏览器端之间的用户交互行为时,根据用户交互请求获取用户交互行为数据,根据所述用户交互行为数据获取交互参数;所述交互参数包括以下任一种或任意组合:环境数据、行为数据、操作轨迹数据;
对所述交互参数进行验证,并在日志数据中查询所述交互参数;
如果所述交互参数未通过验证,或在所述日志数据中能查询到与所述交互参数匹配的记录的条数大于或等于相同数据阈值,则确定所述用户交互行为数据为机器数据。
可选地,当所述交互参数包括操作轨迹数据时,所述对交互参数进行验证可以包括以下任一项或任意组合:
根据所述操作轨迹数据获取操作移动速度,判断所述操作移动速度是否为匀速;如果所述操作移动速度为匀速,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取操作移动轨迹,判断所述操作移动轨迹是否存在抖动;如果所述操作移动轨迹不存在抖动,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹距离,如果所述移动轨迹距离小于移动距离阈值,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹操作时长,如果所述移动轨迹操作时长小于时长阈值,则所述操作轨迹数据未通过验证。
可选地,所述环境数据可以包括:互联网络协议地址IP、媒体访问控制地址MAC和系统识别码SID;
当所述交互参数包括环境数据时,所述对交互参数进行验证包括以下任一项或任意组合:
对所述IP的合法性进行验证,如果所述IP不合法,则所述环境数据未通过验证;
对所述MAC的合法性进行验证,如果所述MAC不合法,则所述环境数据未通过验证;
对所述SID的合法性进行验证,如果所述SID不合法,则所述环境数据未通过验证;
当所述交互参数包括行为数据时,所述对交互参数进行验证包括以下任一项或任意组合:
判断所述用户交互行为是否触发菜单事件,如果所述用户交互行为没有触发菜单事件,则所述行为数据未通过验证;如果所述用户交互行为触发菜单事件,则判断菜单事件的第一操作时长是否小于操作时长阈值,如果菜单事件的操作时长小于操作时长阈值,则所述行为数据未通过验证;
判断所述用户交互行为是否触发按钮事件,如果所述用户交互行为没有触发按钮事件,则所述行为数据未通过验证;如果所述用户交互行为触发按钮事件,则判断按钮事件的第二操作时长是否小于操作时长阈值,如果按钮事件的操作时长小于操作时长阈值,则所述行为数据未通过验证。
可选地,所述日志数据可以包括多条日志记录;其中,一条日志记录由一次交互行为的交互参数生成。
可选地,所述用户交互请求携带有存储在浏览器端会话控制Session中的身份认证令牌token信息;
所述处理器,用于读取执行所述用于验证的程序,还执行如下操作:
所述对所述交互参数进行验证,并在日志数据中查询所述交互参数之前,对所述token信息的时效性以及合法性进行验证;如果所述token信息的时效性或合法性未通过验证,则拒绝所述用户交互请求;如果所述token信息的时效性和合法性均通过验证,则对所述交互参数进行验证,并在日志数据中查询所述交互参数。
上述技术方案可以有效提高人机识别准确度,增加破解的难度,有效提升了活动Web页面的安全性。
示例一
本申请可以包括以下两种场景:
场景一、先对token信息的时效性和合法性进行验证,如果token信息的时效性和合法性均通过验证,则继续对用户交互行为数据进行验证;如果token信息的时效性或合法性未通过验证,则直接拒绝用户交互请求,无需对用户交互行为数据进行验证。
场景二、不对token信息的时效性和合法性进行验证,直接对用户交互行为数据进行验证。
如图3所示,下面以场景一为例进一步说明本申请的验证方法。
本申请中的交互参数包括以下任一种或任意组合:环境数据、行为数据、操作轨迹数据,可以预先设定获取哪些交互参数。若设定获取的交互参数包括操作轨迹数据和环境数据,则对交换参数的验证就包括操作轨迹数据的验证和环境数据的验证,并且只有当操作轨迹数据验证和环境数据验证均通过时,才确定交互验证通过。
下面以交互参数包括环境数据、行为数据和操作轨迹数据为例说明本申请的验证方法。所述方法包括:
步骤一、当检测到和浏览器端之间的用户交互行为时,对身份认证令牌token信息的时效性以及合法性进行验证;如果token信息的时效性或合法性未通过验证,则拒绝所述用户交互请求;如果所述token信息的时效性和合法性均通过验证,则步骤二;
本示例中,用户交互请求可以携带有存储在浏览器端会话控制Session中的token信息,token信息可以放在用户交互请求的头文件header中。
本示例中的token可以由基础权限服务端生成,基础权限服务端可以将生成的唯一的token保存在基础权限服务端的session里,并设置token的有效时间。基础权限服务端将生成token后向浏览器端返回token,浏览器端可以将接收的token保存在浏览器端的session里。
本示例中,对token信息的时效性或合法性可以由风控服务端完成验证。风控服务端可以包括token验证拦截器、黑白名单拦截器、证书合法验证器、人机识别验证器。
当一个用户交互请求发送到风控服务端时,token验证器拦截这个用户交互请求,并调用基础权限服务器提供的token校验接口验证所述用户交互请求携带的token信息的合法性和时效性。
步骤二、根据用户交互请求获取用户交互行为数据,根据所述用户交互行为数据获取交互参数;所述交互参数包括环境数据、行为数据和操作轨迹数据;
通常情况下,正常用户参与活动的步骤是用户进入活动页面后会有短暂的停留,然后点击按钮参与活动。这里所说的参与活动,最终都会在活动页面发起一个接口的请求;如果是非正常用户,可以直接跳过以上的实际动作而去直接请求参与活动的接口。也就是说,非正常用户通常会跳过以下动作中的一种或者多种:登录系统、短暂停留、点击菜单进入活动页面、查询要投票的链接、鼠标轨迹移动、点击投票。上述动作可以分为必要动作和可选动作,可以根据具体场景设置必要动作和可选动作。涉及可选动作的数据可以作为参数传递给风控服务端,但是风控服务端对这类数据不进行校验。
当检测到和浏览器端之间的用户交互行为时,对该用户交互行为对应的环境数据、行为数据,操作轨迹数据进行收集,在用户请求参与活动的接口时,将这些数据提交至风控服务端,验证该用户交互数据是否为机器数据。
本示例中,可以使用https的签名接口进行用户交互行为数据的传输。
本示例中,浏览器端可以用于收集和上报用户交互行为数据,用户交互行为数据可以通过基础权限服务端校验后发送给风控服务端,风控服务端可以判断用户交互行为数据是否符合正常的用户行为逻辑,如果不符合正常的用户行为逻辑则判断该用户交互数据是机器数据,提示错误并拒绝用户交互请求。
本示例中,用户交互行为数据发送给风控服务端的过程中,Web API接口不能被中途拦截和篡改、通信协议可以使用https。此外,可以设定WebAPI接口携带的用户交互行为数据可以进行加密处理。此外,对于用户交互过程中的Web端代码,Html和Javascript代码除了进行压缩外还必须进行混淆处理。
本示例的风控服务端可以包括token验证拦截器、黑白名单拦截器、证书合法验证器、人机识别验证器。
本示例中,当加密后的用户交互行为数据发送至风控服务端后,人机识别验证器可以对该用户交互行为数据进行解密,然后判断解密后的数据是否为机器数据。步骤三、对环境数据、行为数据和操作轨迹数据进行验证;
1、本示例中,环境数据可以包括:互联网络协议地址IP、媒体访问控制地址MAC和系统识别码SID;
本示例中,对环境数据进行验证可以包括以下任一项或任意组合:
对所述IP的合法性进行验证,如果所述IP不合法,则所述环境数据未通过验证;
对所述MAC的合法性进行验证,如果所述MAC不合法,则所述环境数据未通过验证;
对所述SID的合法性进行验证,如果所述SID不合法,则所述环境数据未通过验证。
本示例中,对环境数据进行验证可以包括以下任一项或任意组合:对所述IP、MAC和SID的合法性进行验证,也就是说,可以设定仅对IP、MAC和SID中其中任一项的合法性进行验证,也可以设定对IP、MAC和SID任意两项的合法性进行验证,或者设定对IP、MAC和SID三者的合法性都进行验证。
如果设定对IP、MAC和SID中的任意两项的合法性进行验证,则设定的两项验证项均通过验证时,才确定环境验证通过;若设定的两项验证项中任一项验证不通过,则确定环境验证失败。例如,如果设定对IP和SID的合法性进行验证时,则当IP的合法性通过验证并且SID的合法性也通过验证,才确定环境数据验证通过。
同样,如果设定对IP、MAC和SID三项的合法性都进行验证时,需要IP、MAC和SID三项的合法性验证均通过才确定环境数据验证通过,如果任一项验证不通过,则确定环境验证失败。
2、本示例中,对行为数据进行验证可以包括以下任一项或任意组合:
判断所述用户交互行为是否触发菜单事件,如果所述用户交互行为没有触发菜单事件,则所述行为数据未通过验证;如果所述用户交互行为触发菜单事件,则判断菜单事件的第一操作时长是否小于操作时长阈值,如果菜单事件的操作时长小于操作时长阈值,则所述行为数据未通过验证;
判断所述用户交互行为是否触发按钮事件,如果所述用户交互行为没有触发按钮事件,则所述行为数据未通过验证;如果所述用户交互行为触发按钮事件,则判断按钮事件的第二操作时长是否小于操作时长阈值,如果按钮事件的操作时长小于操作时长阈值,则所述行为数据未通过验证;
本示例中,第一操作时长可以是以触发第一预定菜单的时间为起始点,以触发第二预定菜单的时间为结束点的时长。
本示例中,第二操作时长可以是以触发第一预定按钮的时间为起始点,以触发第二预定按钮的时间为结束点的时长。
3、本示例中,对操作轨迹数据进行验证可以包括以下任一项或任意组合:
a、根据所述操作轨迹数据获取操作移动速度,判断所述操作移动速度是否为匀速;如果所述操作移动速度为匀速,则所述操作轨迹数据未通过验证;
b、根据所述操作轨迹数据获取操作移动轨迹,判断所述操作移动轨迹是否存在抖动;如果所述操作移动轨迹不存在抖动,则所述操作轨迹数据未通过验证;
c、根据所述操作轨迹数据获取移动轨迹距离,如果所述移动轨迹距离小于移动距离阈值,则所述操作轨迹数据未通过验证;
d、根据所述操作轨迹数据获取移动轨迹操作时长,如果所述移动轨迹操作时长小于时长阈值,则所述操作轨迹数据未通过验证。
本示例中,可以设定对上述a、b、c和d四项内容中其中一项或者任意组合项进行验证,对于设定的是验证项组合,则当验证项组合中每一项验证均通过才确定操作轨迹数据通过验证。例如,可以设定对a、b、c和d四项进行验证,则当a、b、c和d四项均通过验证时才确定操作轨迹数据验证通过。也可以设定对a、b和d三项进行验证,则当a、b和d三项均通过验证时才确定操作轨迹数据验证通过。
步骤四、在日志数据中查询所述交互参数;
日志数据可以包括多条日志记录;其中,一条日志记录由一次交互行为的交互参数生成。
本示例中,本次用户交互行为的日志记录就是由本次交互行为的环境数据、行为数据和操作轨迹数据生成。然后在历史日志数据中查询是否有与将本次用户交互行为的日志记录匹配的数据,如果在日志数据中能查询到与所述交互参数匹配的记录的条数大于或等于相同数据阈值,则可以认为该用户交互行为数据为机器数据。
步骤三、如果所述交互参数未通过验证,或在所述日志数据中能查询到与所述交互参数匹配的记录的条数大于或等于相同数据阈值,则确定所述用户交互行为数据为机器数据。
本示例中,如果token验证失败,或者用户交互行为数据判断为机器数据时,则拒绝用户交互请求。当拒绝用户交互请求时,可以根据验证失败对应的具体内容提示相应类型的错误信息,例如可以包括证书错误、权限错误或操作异常等。证书错误可以包括没有使用https证书或证书不对等;权限错误可以包括用户密码错误、token合法性错误或token过期错误等;操作异常可以包括用户交互行为数据为机器数据等。
当提示错误信息的次数超过预订出错阈值时,则在预定限时时长范围内限制同一用户的操作行。当所有的验证通过后,业务服务端才开始处理实际的活动业务逻辑,处理完活动业务逻辑,最终返回用户参与活动的结果。
对于场景而,由于不进行token信息的时效性验证和合法性验证,因此,场景二的验证方法包括步骤二至步骤四。
上述技术方案可以有效提高人机识别准确度,增加破解的难度,有效提升了活动Web页面的安全性。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且包括任何信息递送介质。

Claims (10)

1.一种验证方法,其特征在于,所述方法包括:
当检测到和浏览器端之间的用户交互行为时,根据用户交互请求获取用户交互行为数据,根据所述用户交互行为数据获取交互参数;所述交互参数包括以下任一种或任意组合:环境数据、行为数据、操作轨迹数据;
对所述交互参数进行验证,并在日志数据中查询所述交互参数;
如果所述交互参数未通过验证,或在所述日志数据中能查询到与所述交互参数匹配的记录的条数大于或等于相同数据阈值,则确定所述用户交互行为数据为机器数据。
2.如权利要求1所述的验证方法,其特征在于,当所述交互参数包括操作轨迹数据时,所述对交互参数进行验证包括以下任一项或任意组合:
根据所述操作轨迹数据获取操作移动速度,判断所述操作移动速度是否为匀速;如果所述操作移动速度为匀速,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取操作移动轨迹,判断所述操作移动轨迹是否存在抖动;如果所述操作移动轨迹不存在抖动,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹距离,如果所述移动轨迹距离小于移动距离阈值,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹操作时长,如果所述移动轨迹操作时长小于时长阈值,则所述操作轨迹数据未通过验证。
3.如权利要求1所述的验证方法,其特征在于:
所述环境数据包括:互联网络协议地址IP、媒体访问控制地址MAC和系统识别码SID;
当所述交互参数包括环境数据时,所述对交互参数进行验证包括以下任一项或任意组合:
对所述IP的合法性进行验证,如果所述IP不合法,则所述环境数据未通过验证;
对所述MAC的合法性进行验证,如果所述MAC不合法,则所述环境数据未通过验证;
对所述SID的合法性进行验证,如果所述SID不合法,则所述环境数据未通过验证;
当所述交互参数包括行为数据时,所述对交互参数进行验证包括以下任一项或任意组合:
判断所述用户交互行为是否触发菜单事件,如果所述用户交互行为没有触发菜单事件,则所述行为数据未通过验证;如果所述用户交互行为触发菜单事件,则判断菜单事件的第一操作时长是否小于操作时长阈值,如果菜单事件的操作时长小于操作时长阈值,则所述行为数据未通过验证;
判断所述用户交互行为是否触发按钮事件,如果所述用户交互行为没有触发按钮事件,则所述行为数据未通过验证;如果所述用户交互行为触发按钮事件,则判断按钮事件的第二操作时长是否小于操作时长阈值,如果按钮事件的操作时长小于操作时长阈值,则所述行为数据未通过验证。
4.如权利要求1所述的验证方法,其特征在于:
所述日志数据包括多条日志记录;其中,一条日志记录由一次交互行为的交互参数生成。
5.如权利要求1至4任一所述的控制方法,其特征在于:
所述用户交互请求携带有存储在浏览器端会话控制Session中的身份认证令牌token信息;所述对所述交互参数进行验证,并在日志数据中查询所述交互参数之前,所述方法还包括:
对所述token信息的时效性以及合法性进行验证;如果所述token信息的时效性或合法性未通过验证,则拒绝所述用户交互请求;如果所述token信息的时效性和合法性均通过验证,则对所述交互参数进行验证,并在日志数据中查询所述交互参数。
6.一种验证装置,所述装置包括:存储器和处理器;其特征在于:
所述存储器,用于保存用于验证的程序;
所述处理器,用于读取执行所述用于验证的程序,执行如下操作:
当检测到和浏览器端之间的用户交互行为时,根据用户交互请求获取用户交互行为数据,根据所述用户交互行为数据获取交互参数;所述交互参数包括以下任一种或任意组合:环境数据、行为数据、操作轨迹数据;
对所述交互参数进行验证,并在日志数据中查询所述交互参数;
如果所述交互参数未通过验证,或在所述日志数据中能查询到与所述交互参数匹配的记录的条数大于或等于相同数据阈值,则确定所述用户交互行为数据为机器数据。
7.如权利要求6所述的验证装置,其特征在于,当所述交互参数包括操作轨迹数据时,所述对交互参数进行验证包括以下任一项或任意组合:
根据所述操作轨迹数据获取操作移动速度,判断所述操作移动速度是否为匀速;如果所述操作移动速度为匀速,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取操作移动轨迹,判断所述操作移动轨迹是否存在抖动;如果所述操作移动轨迹不存在抖动,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹距离,如果所述移动轨迹距离小于移动距离阈值,则所述操作轨迹数据未通过验证;
根据所述操作轨迹数据获取移动轨迹操作时长,如果所述移动轨迹操作时长小于时长阈值,则所述操作轨迹数据未通过验证。
8.如权利要求6所述的验证装置,其特征在于:
所述环境数据包括:互联网络协议地址IP、媒体访问控制地址MAC和系统识别码SID;
当所述交互参数包括环境数据时,所述对交互参数进行验证包括以下任一项或任意组合:
对所述IP的合法性进行验证,如果所述IP不合法,则所述环境数据未通过验证;
对所述MAC的合法性进行验证,如果所述MAC不合法,则所述环境数据未通过验证;
对所述SID的合法性进行验证,如果所述SID不合法,则所述环境数据未通过验证;
当所述交互参数包括行为数据时,所述对交互参数进行验证包括以下任一项或任意组合:
判断所述用户交互行为是否触发菜单事件,如果所述用户交互行为没有触发菜单事件,则所述行为数据未通过验证;如果所述用户交互行为触发菜单事件,则判断菜单事件的第一操作时长是否小于操作时长阈值,如果菜单事件的操作时长小于操作时长阈值,则所述行为数据未通过验证;
判断所述用户交互行为是否触发按钮事件,如果所述用户交互行为没有触发按钮事件,则所述行为数据未通过验证;如果所述用户交互行为触发按钮事件,则判断按钮事件的第二操作时长是否小于操作时长阈值,如果按钮事件的操作时长小于操作时长阈值,则所述行为数据未通过验证。
9.如权利要求6所述的验证装置,其特征在于:
所述日志数据包括多条日志记录;其中,一条日志记录由一次交互行为的交互参数生成。
10.如权利要求6至9任一所述的验证装置,其特征在于:
所述用户交互请求携带有存储在浏览器端会话控制Session中的身份认证令牌token信息;
所述处理器,用于读取执行所述用于验证的程序,还执行如下操作:
所述对所述交互参数进行验证,并在日志数据中查询所述交互参数之前,对所述token信息的时效性以及合法性进行验证;如果所述token信息的时效性或合法性未通过验证,则拒绝所述用户交互请求;如果所述token信息的时效性和合法性均通过验证,则对所述交互参数进行验证,并在日志数据中查询所述交互参数。
CN201910631997.3A 2019-07-12 2019-07-12 一种验证方法及装置 Withdrawn CN110415025A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910631997.3A CN110415025A (zh) 2019-07-12 2019-07-12 一种验证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910631997.3A CN110415025A (zh) 2019-07-12 2019-07-12 一种验证方法及装置

Publications (1)

Publication Number Publication Date
CN110415025A true CN110415025A (zh) 2019-11-05

Family

ID=68361333

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910631997.3A Withdrawn CN110415025A (zh) 2019-07-12 2019-07-12 一种验证方法及装置

Country Status (1)

Country Link
CN (1) CN110415025A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111385313A (zh) * 2020-05-28 2020-07-07 支付宝(杭州)信息技术有限公司 一种对象请求合法性验证的方法和系统
CN111737721A (zh) * 2020-08-13 2020-10-02 支付宝(杭州)信息技术有限公司 终端设备id的生成方法及装置、电子设备
CN115473679A (zh) * 2022-08-10 2022-12-13 广西电网有限责任公司电力科学研究院 一种基于在线交互式web动态防御的人机识别系统及方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111385313A (zh) * 2020-05-28 2020-07-07 支付宝(杭州)信息技术有限公司 一种对象请求合法性验证的方法和系统
CN111737721A (zh) * 2020-08-13 2020-10-02 支付宝(杭州)信息技术有限公司 终端设备id的生成方法及装置、电子设备
CN115473679A (zh) * 2022-08-10 2022-12-13 广西电网有限责任公司电力科学研究院 一种基于在线交互式web动态防御的人机识别系统及方法

Similar Documents

Publication Publication Date Title
CN105871838B (zh) 一种第三方账号的登录控制方法及用户中心平台
CN106797371B (zh) 用于用户认证的方法和系统
US9842204B2 (en) Systems and methods for assessing security risk
CN104735066B (zh) 一种面向网页应用的单点登录方法、装置和系统
Miller et al. What’s clicking what? techniques and innovations of today’s clickbots
CN110415025A (zh) 一种验证方法及装置
CN104065616B (zh) 单点登录方法和系统
US20130006784A1 (en) Personal authentication
CN102624677A (zh) 一种网络用户行为监控方法及服务器
CN102739638B (zh) 通过对有价值资产的要求建立特权
CN109698809A (zh) 一种账号异常登录的识别方法及装置
CN110061984A (zh) 车载系统的账号切换方法、车载系统及车辆
CN104734849A (zh) 对第三方应用进行鉴权的方法及系统
CN108848113A (zh) 客户端设备登录控制方法、装置、存储介质及服务器
CN106529269A (zh) 一种安全验证方法及系统
CA2906944C (en) Systems and methods for assessing security risk
CN106453206A (zh) 一种身份验证方法和装置
US20210105277A1 (en) Systems and methods for preventing a fraudulent registration
CN105245489A (zh) 验证方法和装置
CN110069909A (zh) 一种免密登录第三方系统的方法及装置
CN102833247A (zh) 一种用户登陆系统中的反扫号方法及其装置
CN109407947A (zh) 界面交互及其验证方法、登录请求生成及验证方法和装置
CN110309473A (zh) 融合身份标识和投票行为监控的防刷票方法及装置
CN108769749A (zh) 一种确定盗刷数据的方法、客户端及服务器
CN112717417A (zh) 一种人机识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20191105