CN113420276B - 基于验证码的风险确定方法、装置、电子设备和存储介质 - Google Patents
基于验证码的风险确定方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113420276B CN113420276B CN202110957735.3A CN202110957735A CN113420276B CN 113420276 B CN113420276 B CN 113420276B CN 202110957735 A CN202110957735 A CN 202110957735A CN 113420276 B CN113420276 B CN 113420276B
- Authority
- CN
- China
- Prior art keywords
- verification code
- client
- verified
- verification
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Social Psychology (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于验证码的风险确定方法、装置、电子设备和存储介质,涉及风险评估的技术领域,包括向待验证客户端发送第一验证码;接收待验证客户端的第一返回数据,并基于第一返回数据判断待验证客户端是否具备风险,其中,第一返回数据包括基于第一验证码的验证结果和操作数据,以及待验证客户端的终端硬件信息和终端环境信息;若具备风险,则向待验证客户端发送第二验证码,其中,第二验证码比第一验证码更复杂;接收针对第二验证码的第二返回数据,并基于第二返回数据确定待验证客户端的风险结果,广泛适用于各种业务场景,且在保证风险评估的准确性基础上,提高用户体验。
Description
技术领域
本发明涉及风险评估技术领域,尤其是涉及一种基于验证码的风险确定方法、装置、电子设备和存储介质。
背景技术
人机验证码是互联网常用一种技术,主要用来区别人和机器。其中,验证码的类型多样,包括普通的文字识别,图片信息识别,滑块拼图,文字点击等。随着攻防对抗不断升级,验证码也一直在升级迭代。在很多攻防激烈的场景中,比如爬虫对抗、抢票等场景,为了能防止机器参与,不得不使用较为复杂的验证码,但同时大大降低了用户体验,反而带来业务上的损失。
发明内容
本发明的目的在于提供一种基于验证码的风险确定方法、装置、电子设备和存储介质,广泛适用于各种业务场景,且在保证风险评估的准确性基础上,提高用户体验。
第一方面,本发明实施例提供了一种基于验证码的风险确定方法,应用于验证码服务平台,所述方法包括:
向待验证客户端发送第一验证码;
接收所述待验证客户端的第一返回数据,并基于所述第一返回数据判断所述待验证客户端是否具备风险,其中,所述第一返回数据包括基于第一验证码的验证结果和操作数据,以及所述待验证客户端的终端硬件信息和终端环境信息;
若具备风险,则向所述待验证客户端发送第二验证码,其中,所述第二验证码比所述第一验证码更复杂;
接收针对所述第二验证码的第二返回数据,并基于所述第二返回数据确定所述待验证客户端的风险结果。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述方法还包括:
若不具备风险,则返回安全凭证给所述待验证客户端,以使所述待验证客户端依据所述安全凭证发送业务请求。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,基于所述第一返回数据判断所述待验证客户端是否具备风险的步骤,包括:
判断基于所述第一验证码的验证结果是否正确且所述操作数据、终端硬件信息或终端环境信息中是否存在风险行为;
若存在风险行为或所述验证结果错误,则确定所述待验证客户端具备风险。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,判断基于所述第一验证码的验证结果是否正确且所述操作数据、终端硬件信息或终端环境信息中是否存在风险行为的步骤,包括:
判断基于所述第一验证码的验证结果是否正确;
或者,
判断所述操作数据中操作轨迹是否异常、点击速率是否异常以及光标移动位置是否异常,其中,所述操作数据包括光标移动位置、触点位置、操作轨迹和点击速率;
或者,
判断终端设备指纹是否异常,其中,所述终端设备指纹基于终端硬件信息获得,所述终端硬件信息包括终端设备信息,设备环境标识和硬件信息;
或者,
判断终端环境信息中是否存在异常的自动化插件、自动化运行脚本、调试工具、模拟器以及非法获取权限;
或者,
判断是否存在访问频次异常、IP切换异常、IP访问频次异常。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,基于所述第二返回数据确定所述待验证客户端的风险结果的步骤,包括:
若基于所述第二验证码返回的验证结果正确,则确定所述待验证客户端无风险,并返回安全凭证给所述待验证客户端,其中,所述第二返回数据包括基于第二验证码的验证结果和操作数据;
若基于所述第二验证码返回的验证结果错误,则确定所述待验证客户端有风险,并返回风险结果给所述待验证客户端。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,基于所述第二返回数据确定所述待验证客户端的风险结果的步骤,还包括:
若基于所述第二验证码返回的验证结果错误,则向所述待验证客户端发送第三验证码,其中,所述第三验证码比所述第二验证码更复杂。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,在向待验证客户端发送第一验证码的步骤之前,包括:
接收所述待验证客户端发送的验证请求。
第二方面,本发明实施例还提供一种基于验证码的风险确定装置,应用于验证码服务平台,所述装置包括:
第一发送模块,用于向待验证客户端发送第一验证码;
判断模块,用于接收所述待验证客户端的第一返回数据,并基于所述第一返回数据判断所述待验证客户端是否具备风险,其中,所述第一返回数据包括基于第一验证码的验证结果和操作数据,以及所述待验证客户端的终端硬件信息和终端环境信息;
第二发送模块,用于在具备风险的情况下,向所述待验证客户端发送第二验证码,其中,所述第二验证码比所述第一验证码更复杂;
验证模块,用于接收针对所述第二验证码的第二返回数据,并基于所述第二返回数据确定所述待验证客户端的风险结果。
第三方面,实施例提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述前述实施方式任一项所述的方法的步骤。
第四方面,实施例提供一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现前述实施方式任一项所述的方法的步骤。
本发明实施例带来了一种基于验证码的风险确定方法、装置、电子设备和存储介质,通过首次发送简单验证码,并采集第一次验证过程中产生的第一返回数据,进行分析和判断,决定是否给待验证客户端叠加弹出第二次较为复杂的验证码,若该待验证客户端第一次验证过程中存在风险,则基于第二次验证码的返回数据,确定该待验证客户端的风险情况,在保证用户体验的基础上,即无需向无风险客户发送较为复杂的验证码,实现较为精确的客户端风险评估效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于验证码的风险确定方法流程图;
图2为本发明实施例提供的一种验证码示意图;
图3为本发明实施例提供的一种基于验证码的风险确定装置的功能模块示意图;
图4为本发明实施例提供的电子设备的硬件架构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着人工智能、图片识别技术、自动化脚本等技术的迭代,机器识别验证码目前并不是很困难。而且目前计算机设备和人的交互方式并没有太大改变,在当前的交互方式下,一种对人来说很容易的验证码,大概率对机器也会很容易。所以这里就出现了一个难题,即人机验证码很难满足安全性和用户体验都兼顾的要求。
经发明人研究发现,目前一些常见的方案是在验证码弹出前,先采集客户端的一些数据,进行一次风险判断,然后根据判断结果决定是否弹出验证码。这种方案有较多限制性,一是从技术角度来说,客户端在相应登录操作前,通过采集数据做一次预判断,这种情况下能采集到的数据有限,缺少用户操作或者行为,无法准确判断是否存在风险。此外爬虫甚至还可以通过模拟绕过前期的预检测。二是通过前期采集一些用户的操作数据,比如在登录,注册等页面,采集用户的输入,鼠标移动情况等,来辅助判断是否是人为操作,这种情况的限制也很多,对于验证码来说并不是通用的解决办法。示例性地,在简单的页面浏览场景中,如新闻查看,用户进入页面后,并不需要任何的操作,在这种情况下,预采集用户操作的方案不一定可行。
综上,目前常用的方案是前期采集用户的一些业务行为来进行判断,减少验证码弹出次数。但是这样该验证码验证环节就必须和业务行为绑定,不能适用于普遍的业务场景。如在一些防爬虫的场景里,并不需要用户登录,注册,甚至点击和鼠标移动等的用户操作行为都不需要,此时,上述预判断的方案可行性不高。
基于此,本发明实施例提供的一种基于验证码的风险确定方法、装置、电子设备和存储介质,广泛适用于各种业务场景,且在保证风险评估的准确性基础上,提高用户体验。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于验证码的风险确定方法进行详细介绍。
图1为本发明实施例提供的一种基于验证码的风险确定方法流程图。该方法应用于验证码服务平台,参照图1,该方法包括以下步骤:
步骤S102,向待验证客户端发送第一验证码。
需要说明的是,验证码服务平台会向所有待验证的客户端首次都会弹出第一验证码,该第一验证码为较为简单的验证码,比如简单的文字输入,或者说滑块拼图等,如图2所示的一种简单的识别图中数字,再输入的验证码。其中该验证客户端可包括浏览器、手机客户端等等,即在该客户端与业务平台进行信息交互之前,需要通过验证码服务平台对该客户端的风险情况进行评估。
步骤S104,接收待验证客户端的第一返回数据,并基于第一返回数据判断待验证客户端是否具备风险,其中,第一返回数据包括基于第一验证码的验证结果和操作数据,以及待验证客户端的终端硬件信息和终端环境信息;
可以理解的是,该第一验证码可以是多种类型,同时伴随文字输入、拼图、简单点击等用户操作进行交互,实现验证码验证。
步骤S106,若具备风险,则向待验证客户端发送第二验证码,其中,第二验证码比第一验证码更复杂。
示例性地,该第二验证码的复杂程度比第一验证码更高,即用户识别第二验证码的难度也会更高。
步骤S108,接收针对第二验证码的第二返回数据,并基于第二返回数据确定待验证客户端的风险结果。
在实际应用的优选实施例中,通过首次发送简单验证码,并采集第一次验证过程中产生的第一返回数据,进行分析和判断,决定是否给待验证客户端叠加弹出第二次较为复杂的验证码,若该待验证客户端第一次验证过程中存在风险,则基于第二次验证码的返回数据,确定该待验证客户端的风险情况,在保证用户体验的基础上,即无需向无风险客户发送较为复杂的验证码,实现较为精确的客户端风险评估效果。
需要说明的是,本发明实施例的验证码服务平台,具备提供多种等级验证码的功能,可提供简单程度、高难度和较高难度的验证码。其中,简单程度的验证码包括滑块验证以及从图片中识别出相应字符如图2所示,高难度验证码包括从图片中识别出相应颜色的目标字符,较高难度验证码包括拖动图片完成正确拼图。
在一些实施例中,为了保证低风险用户的体验,还可免除对此类低风险用户发送较为复杂的第二验证码,该方法还包括:
步骤1.1),若不具备风险,则返回安全凭证给待验证客户端,以使待验证客户端依据安全凭证发送业务请求。
其中,若针对第一验证码返回的第一返回数据经检验,满足要求,确定该待验证客户端不具备风险,则将安全凭证返回给待验证客户端,以便待验证客户端向业务平台发送业务请求时携带该安全凭证,以便业务平台接受业务请求。
在一些实施例中,步骤S104中基于第一返回数据判断待验证客户端是否具备风险,还可通过以下步骤实现,具体包括:
步骤2.1),判断基于第一验证码的验证结果是否正确且操作数据、终端硬件信息或终端环境信息中是否存在风险行为。
步骤2.2),若存在风险行为或验证结果错误,则确定待验证客户端具备风险。
步骤2.3),若不存在风险行为且验证结果正确,则确定待验证客户端不具备风险。
本发明实施例在第一验证码弹出前,并没有对客户端的风险情况进行预判断,而是通过首次弹出的第一验证码,即弹出的较为简单的验证码的验证情况初步评估客户端风险。且在该验证码验证情况的基础上,还包括客户端采集数据,在首次验证码的基础上,通过采集用户操作首次验证码的轨迹,点击数据,屏幕触摸,鼠标移动,设备环境信息,是否有自动化框架等信息,结合后台系统进行风险识别。
在一些实施例中,上述步骤2.1)还包括以下步骤:
步骤2.1.1),判断基于第一验证码的验证结果是否正确;
或者,
步骤2.1.2),判断操作数据中操作轨迹是否异常、点击速率是否异常以及光标移动位置是否异常,其中,操作数据包括光标移动位置、触点位置、操作轨迹和点击速率;
或者,
步骤2.1.3),判断终端设备指纹是否异常,其中,终端设备指纹基于终端硬件信息获得,终端硬件信息包括终端设备信息,设备环境标识和硬件信息;
或者,
步骤2.1.4),判断终端环境信息中是否存在异常的自动化插件、自动化运行脚本、调试工具、模拟器以及非法获取权限;
或者,
步骤2.1.5),判断是否存在访问频次异常、IP切换异常、IP访问频次异常。
示例性地,用户在完成第一验证码验证的过程中,必然会产生操作数据,比如鼠标移动,屏幕触摸,操作轨迹,速率等;这是采集的一部分数据。第二部分,通过设备指纹技术,在客户端采集设备信息,设备环境标识,硬件信息等;这部分数据在验证码后台会计算出设备指纹。第三部分,对终端的环境进行识别,比如浏览器是否安装自动化插件,是否有调试,使用代理,是否有自动化脚本运行的情况,如果是手机app,可以采集是否有越狱,root,模拟器,调试工具,代码注入,群控等情况。将这些采集的数据统一传入验证码后台进行判断。
作为一种可选的实施例,验证码服务平台收到客户端发来的数据后,调用风险识别系统,风险识别系统根据预设置的安全策略进行识别和计算。比如策略里会判断是否有设备风险,用户的操作轨迹是否正常,屏幕触摸点击等情况。可通过将上述步骤2.1.1)-2.1.5)各个判断条件进行聚合计算,可以算出一些关联指标,比如设备近期访问频次,设备是否频繁切换ip,ip的访问频次;通过风险库判断ip是否代理等。如果触发一些风险,那么可以认为本次验证是可疑或者高危的,这时候可以给第一验证码返回判断结果,让验证码服务平台弹出更难的第二验证码给到客户端。如果判断出本次验证没有风险,那么本次验证就通过。
在一些实施例中,其中,步骤S108中基于第二返回数据确定待验证客户端的风险结果的步骤,包括:
步骤3.1),若基于第二验证码返回的验证结果正确,则确定待验证客户端无风险,并返回安全凭证给待验证客户端,其中,第二返回数据包括基于第二验证码的验证结果和操作数据。
步骤3.2),若基于第二验证码返回的验证结果错误,则确定待验证客户端有风险,并返回风险结果给待验证客户端。
步骤3.3),若基于第二验证码返回的验证结果错误,则向待验证客户端发送第三验证码,其中,第三验证码比第二验证码更复杂。
其中,如果用户操作完成第二次验证码验证,继续提交相同的操作给到后台判断,这时候后台可以通过策略控制,比如针对每个待验证用户最多只验证两次,第二次验证码基本验证结果正确就可通过(比如点击位置正确)。也可以配置多一次判断,如有风险继续弹更难的第三验证码给到客户端,在此基础上,验证码可以弹出N次,N>=2,难度可以逐渐递增,直至认为用户完成的难度足以证明这是一个正常人类用户在操作才结束。
在一些实施例中,在步骤S102之前,还包括:
步骤4.1),接收待验证客户端发送的验证请求,以便验证码服务平台在接收到验证请求后向该待验证客户端发送第一验证码。
本发明实施例避免直接给用户发送很难的验证码影响体验,针对每个客户端首次都弹出较简单的第一验证码,在首次第一验证码的基础上,验证采集的数据,通过策略或者模型进行风险识别,只给认为有风险的弹出较难的第二验证码,相比在验证码弹出前就进行一次数据采集和判断的做法,本发明实施例的适用场景更多,基本对于所有场景都可以适用。
如图3所示,本发明实施例提供一种基于验证码的风险确定装置,应用于验证码服务平台,所述装置包括:
第一发送模块,用于向待验证客户端发送第一验证码;
判断模块,用于接收所述待验证客户端的第一返回数据,并基于所述第一返回数据判断所述待验证客户端是否具备风险,其中,所述第一返回数据包括基于第一验证码的验证结果和操作数据,以及所述待验证客户端的终端硬件信息和终端环境信息;
第二发送模块,用于在具备风险的情况下,向所述待验证客户端发送第二验证码,其中,所述第二验证码比所述第一验证码更复杂;
验证模块,用于接收针对所述第二验证码的第二返回数据,并基于所述第二返回数据确定所述待验证客户端的风险结果。
在一些实施例中,判断模块还具体用于判断基于第一验证码的验证结果是否正确;
或者,
判断操作数据中操作轨迹是否异常、点击速率是否异常以及光标移动位置是否异常,其中,操作数据包括光标移动位置、触点位置、操作轨迹和点击速率;
或者,
判断终端设备指纹是否异常,其中,终端设备指纹基于终端硬件信息获得,终端硬件信息包括终端设备信息,设备环境标识和硬件信息;
或者,
判断终端环境信息中是否存在异常的自动化插件、自动化运行脚本、调试工具、模拟器以及非法获取权限;
或者,
判断是否存在访问频次异常、IP切换异常、IP访问频次异常。
在一些实施例中,验证模块还具体用于若基于第二验证码返回的验证结果正确,则确定待验证客户端无风险,并返回安全凭证给待验证客户端,其中,第二返回数据包括基于第二验证码的验证结果和操作数据;若基于第二验证码返回的验证结果错误,则确定待验证客户端有风险,并返回风险结果给待验证客户端。
在一些实施例中,验证模块还具体用于若基于第二验证码返回的验证结果错误,则向待验证客户端发送第三验证码,其中,第三验证码比第二验证码更复杂。
在一些实施例中,在向待验证客户端发送第一验证码的步骤之前,还包括接收模块,用于接收待验证客户端发送的验证请求。
本发明实施例提供的用于实现一种电子设备,本实施例中,所述电子设备可以是,但不限于,个人电脑(Personal Computer,PC)、笔记本电脑、监控设备、服务器等具备分析及处理能力的计算机设备。
作为一种示范性实施例,可参见图4,电子设备110,包括通信接口111、处理器112、存储器113以及总线114,处理器112、通信接口111和存储器113通过总线114连接;上述存储器113用于存储支持处理器112执行上述图像锐化方法的计算机程序,上述处理器112被配置为用于执行该存储器113中存储的程序。
本文中提到的机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
非易失性介质可以是非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、任何类型的存储盘(如光盘、dvd等),或者类似的非易失性存储介质,或者它们的组合。
可以理解的是,本实施例中的各功能模块的具体操作方法可参照上述方法实施例中相应步骤的详细描述,在此不再重复赘述。
本发明实施例所提供计算机可读存储介质,所述可读存储介质中存储有计算机程序,所述计算机程序代码被执行时可实现上述任一实施例所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。
Claims (8)
1.一种基于验证码的风险确定方法,其特征在于,应用于验证码服务平台,所述方法包括:
向待验证客户端发送第一验证码,其中,在所述第一验证码弹出前,无需对所述待验证客户端的风险情况进行预判断,所述第一验证码为简单验证码,包括简单文字输入和滑动拼图;
接收所述待验证客户端的第一返回数据,并基于所述第一返回数据判断所述待验证客户端是否具备风险,其中,所述第一返回数据包括基于第一验证码的验证结果和操作数据,以及所述待验证客户端的终端硬件信息和终端环境信息;
若具备风险,则向所述待验证客户端发送第二验证码,其中,所述第二验证码比所述第一验证码更复杂;
接收针对所述第二验证码的第二返回数据,并基于所述第二返回数据确定所述待验证客户端的风险结果;
基于所述第一返回数据判断所述待验证客户端是否具备风险的步骤,包括:
判断基于所述第一验证码的验证结果是否正确且所述操作数据、终端硬件信息或终端环境信息中是否存在风险行为;
若存在风险行为或所述验证结果错误,则确定所述待验证客户端具备风险;
基于所述第二返回数据确定所述待验证客户端的风险结果的步骤,还包括:
若基于所述第二验证码返回的验证结果错误,则向所述待验证客户端发送第三验证码,其中,所述第三验证码比所述第二验证码更复杂;
所述方法还包括:
调用风险识别系统中预设设置的安全策略识别所述操作数据、终端硬件信息或终端环境信息中是否存在风险行为,并依据每个判断条件进行聚合计算。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若不具备风险,则返回安全凭证给所述待验证客户端,以使所述待验证客户端依据所述安全凭证发送业务请求。
3.根据权利要求1所述的方法,其特征在于,判断基于所述第一验证码的验证结果是否正确且所述操作数据、终端硬件信息或终端环境信息中是否存在风险行为的步骤,包括:
判断基于所述第一验证码的验证结果是否正确;
或者,
判断所述操作数据中操作轨迹是否异常、点击速率是否异常以及光标移动位置是否异常,其中,所述操作数据包括光标移动位置、触点位置、操作轨迹和点击速率;
或者,
判断终端设备指纹是否异常,其中,所述终端设备指纹基于终端硬件信息获得,所述终端硬件信息包括终端设备信息,设备环境标识和硬件信息;
或者,
判断终端环境信息中是否存在异常的自动化插件、自动化运行脚本、调试工具、模拟器以及非法获取权限;
或者,
判断是否存在访问频次异常、IP切换异常、IP访问频次异常。
4.根据权利要求1所述的方法,其特征在于,基于所述第二返回数据确定所述待验证客户端的风险结果的步骤,包括:
若基于所述第二验证码返回的验证结果正确,则确定所述待验证客户端无风险,并返回安全凭证给所述待验证客户端,其中,所述第二返回数据包括基于第二验证码的验证结果和操作数据;
若基于所述第二验证码返回的验证结果错误,则确定所述待验证客户端有风险,并返回风险结果给所述待验证客户端。
5.根据权利要求1所述的方法,其特征在于,在向待验证客户端发送第一验证码的步骤之前,包括:
接收所述待验证客户端发送的验证请求。
6.一种基于验证码的风险确定装置,其特征在于,应用于验证码服务平台,所述装置包括:
第一发送模块,用于向待验证客户端发送第一验证码,其中,在所述第一验证码弹出前,无需对所述待验证客户端的风险情况进行预判断,所述第一验证码为简单验证码,包括简单文字输入和滑动拼图;
判断模块,用于接收所述待验证客户端的第一返回数据,并基于所述第一返回数据判断所述待验证客户端是否具备风险,其中,所述第一返回数据包括基于第一验证码的验证结果和操作数据,以及所述待验证客户端的终端硬件信息和终端环境信息;
第二发送模块,用于在具备风险的情况下,向所述待验证客户端发送第二验证码,其中,所述第二验证码比所述第一验证码更复杂;
验证模块,用于接收针对所述第二验证码的第二返回数据,并基于所述第二返回数据确定所述待验证客户端的风险结果;
所述判断模块还用于判断基于所述第一验证码的验证结果是否正确且所述操作数据、终端硬件信息或终端环境信息中是否存在风险行为;若存在风险行为或所述验证结果错误,则确定所述待验证客户端具备风险;
所述验证模块还用于若基于所述第二验证码返回的验证结果错误,则向所述待验证客户端发送第三验证码,其中,所述第三验证码比所述第二验证码更复杂;
所述判断模块还用于调用风险识别系统中预设设置的安全策略识别所述操作数据、终端硬件信息或终端环境信息中是否存在风险行为,并依据每个判断条件进行聚合计算。
7.一种电子设备,其特征在于,包括存储器、处理器及存储在所述存储器上并且能够在所述处理器上运行的程序,所述处理器执行所述程序时实现如权利要求1至5中任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,所述计算机程序被执行时实现权利要求1-5中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110957735.3A CN113420276B (zh) | 2021-08-20 | 2021-08-20 | 基于验证码的风险确定方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110957735.3A CN113420276B (zh) | 2021-08-20 | 2021-08-20 | 基于验证码的风险确定方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113420276A CN113420276A (zh) | 2021-09-21 |
| CN113420276B true CN113420276B (zh) | 2021-11-12 |
Family
ID=77719128
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110957735.3A Active CN113420276B (zh) | 2021-08-20 | 2021-08-20 | 基于验证码的风险确定方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113420276B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111200591A (zh) * | 2019-12-20 | 2020-05-26 | 浙江大搜车软件技术有限公司 | 多重人机验证方法、装置、设备和存储介质 |
| CN112187702A (zh) * | 2019-07-02 | 2021-01-05 | 北京京东尚科信息技术有限公司 | 一种对客户端进行验证的方法和装置 |
| CN112883359A (zh) * | 2021-03-12 | 2021-06-01 | 河北亚迎科技有限公司 | 一种动态验证方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9015810B2 (en) * | 2012-08-23 | 2015-04-21 | Tata Consultancy Services Limited | System and method for authenticating manual interaction in a computing environment |
| CN104243155B (zh) * | 2013-06-18 | 2019-01-22 | 腾讯科技(深圳)有限公司 | 安全验证的方法及装置 |
| CN105933266B (zh) * | 2015-08-20 | 2019-07-12 | 中国银联股份有限公司 | 一种验证方法及服务器 |
| CN108491714A (zh) * | 2018-04-09 | 2018-09-04 | 众安信息技术服务有限公司 | 验证码的人机识别方法 |
-
2021
- 2021-08-20 CN CN202110957735.3A patent/CN113420276B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112187702A (zh) * | 2019-07-02 | 2021-01-05 | 北京京东尚科信息技术有限公司 | 一种对客户端进行验证的方法和装置 |
| CN111200591A (zh) * | 2019-12-20 | 2020-05-26 | 浙江大搜车软件技术有限公司 | 多重人机验证方法、装置、设备和存储介质 |
| CN112883359A (zh) * | 2021-03-12 | 2021-06-01 | 河北亚迎科技有限公司 | 一种动态验证方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113420276A (zh) | 2021-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Joshi et al. | Information security risks management framework–A step towards mitigating security risks in university network | |
| CN109327439B (zh) | 业务请求数据的风险识别方法、装置、存储介质及设备 | |
| CN111401416B (zh) | 异常网站的识别方法、装置和异常对抗行为的识别方法 | |
| EP3113064A1 (en) | System and method for determining modified web pages | |
| Khan et al. | Detecting malicious URLs using binary classification through ada boost algorithm. | |
| JP2012527691A (ja) | アプリケーションレベルセキュリティのためのシステムおよび方法 | |
| CN106656944B (zh) | 手持移动设备滑动验证的方法及装置 | |
| US8136029B2 (en) | Method and system for characterising a web site by sampling | |
| US20190373002A1 (en) | Method and system for detecting credential stealing attacks | |
| CN108881126B (zh) | 验证验证码的方法、装置、系统、存储介质和计算机终端 | |
| US10764311B2 (en) | Unsupervised classification of web traffic users | |
| CN109413047B (zh) | 行为模拟的判定方法、系统、服务器及存储介质 | |
| CN107948199B (zh) | 一种对终端共享接入进行快速检测的方法及装置 | |
| CN109600336A (zh) | 存储设备、验证码应用方法和装置 | |
| Vidalis et al. | Assessing identity theft in the Internet of Things | |
| CN112187702A (zh) | 一种对客户端进行验证的方法和装置 | |
| CN113496033A (zh) | 访问行为识别方法和装置及存储介质 | |
| CN110688319B (zh) | 应用保活能力测试方法及相关装置 | |
| CN109995751B (zh) | 上网设备标记方法、装置及存储介质、计算机设备 | |
| CN109688099B (zh) | 服务器端撞库识别方法、装置、设备及可读存储介质 | |
| CN109413004B (zh) | 验证方法、装置及设备 | |
| CN113420276B (zh) | 基于验证码的风险确定方法、装置、电子设备和存储介质 | |
| CN106209748A (zh) | 互联网接口的防护方法及装置 | |
| CN109600361A (zh) | 基于哈希算法的验证码防攻击方法及装置 | |
| CN110177096A (zh) | 客户端认证方法、装置、介质和计算设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |