CN113660238B - 人机识别方法、装置、系统、设备及可读存储介质 - Google Patents
人机识别方法、装置、系统、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113660238B CN113660238B CN202110913116.4A CN202110913116A CN113660238B CN 113660238 B CN113660238 B CN 113660238B CN 202110913116 A CN202110913116 A CN 202110913116A CN 113660238 B CN113660238 B CN 113660238B
- Authority
- CN
- China
- Prior art keywords
- terminal
- identified
- machine
- man
- living body
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明公开了一种人机识别方法、装置、系统、设备及可读存储介质,涉及网络安全技术领域,该方法包括:在待识别终端进行SDK埋点,基于SDK埋点采集终端环境信息;通过业务交易系统的网络入口采集访问日志;基于终端环境信息和访问日志,判断待识别终端是否为风险机器设备;若是,则使待识别终端启动活体识别验证,接收待识别终端启动活体识别验证后上送的活体识别图像,对活体识别图像进行验证,若验证不通过,则拒绝所述待识别终端。本发明采用基于环境和流量的分析方法,不打扰用户,体验好;结合多种信息进行综合判断,可靠性高;使用活体识别进行人机识别,安全性高体验好。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及人机识别方法、装置、系统、设备及可读存储介质。
背景技术
本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
当前在互联网环境下的APP黑产场景中,会遇到通过使用群控设备(分为线控及云控。可以用一台电脑控制上百部手机,实现上百部手机同时同步操作)、爬虫(网络爬虫,webcrawler,也叫网页蜘蛛,网络机器人,是一种用来自动浏览万维网的程序或者脚本)、模拟器、脚本等自动化程序的方式进行刷接口爆破、薅羊毛,窃取用户信息等行为,现有技术中通常使用图形验证码和滑动验证码来识别这些行为并进行阻断,因为验证码需要人工操作识别,一定程度上能够解决机器访问的问题,但是图形验证需要增加用户额外操作,会影响用户体验,且目前黑产链已有对图形验证码和滑动验证码破解的技术方案,这种技术方案已经不再安全。
发明内容
本发明实施例提供一种人机识别方法,用以解决识别窃取用户信息等行为需人工操作识别验证码,增加用户额外操作,影响用户体验的技术问题,该方法包括:
在待识别终端进行SDK埋点,基于SDK埋点采集终端环境信息;
通过业务交易系统的网络入口采集访问日志;
基于终端环境信息和访问日志,判断待识别终端是否为风险机器设备;
若是,则使待识别终端启动活体识别验证,接收待识别终端启动活体识别验证后上送的活体识别图像,对活体识别图像进行验证,若验证不通过,则拒绝所述待识别终端。
在一个实施例中,基于SDK埋点采集终端环境信息,包括:
基于SDK埋点获取待识别终端的cookie,所述cookie中存储终端环境信息,所述终端环境信息通过混淆保护的sdk加密处理并计算有摘要。
在一个实施例中,所述终端环境信息包括是否是root或恶意框架或越狱或模拟器的设备;
基于终端环境信息判断待识别终端是否为风险机器设备,包括:
若是root或恶意框架或越狱或模拟器的设备,则判断待识别终端为风险机器设备。
在一个实施例中,所述终端环境信息包括用户滑屏、点击的事件的坐标和时间;
基于终端环境信息判断待识别终端是否为风险机器设备,包括:
基于用户滑屏、点击的事件的坐标和时间进行聚类,若聚类后判断为孤点,则判断待识别终端为风险机器设备。
在一个实施例中,基于访问日志,判断待识别终端是否为风险机器设备,包括:
基于访问日志中的cookie,从cookie中提取待识别终端的信息摘要,若是提取不成功或提取成功但无法在终端环境信息中找到对应的待识别终端的信息,则判断待识别终端为风险机器设备。
在一个实施例中,基于访问日志,判断待识别终端是否为风险机器设备,包括:
基于访问日志中的cookie,从cookie中获取设备指纹或IP的频率,若频率超过预设的访问频率,则判断待识别终端为风险机器设备。
在一个实施例中,基于访问日志,判断待识别终端是否为风险机器设备,包括:
基于访问日志中的cookie,从cookie中获取设备指纹;
基于预设的网站资源的常用访问序列,将设备指纹和常用访问序列进行匹配,若无法匹配成功,则判断待识别终端为风险机器设备。
在一个实施例中,基于访问日志,判断待识别终端是否为风险机器设备,包括:
若访问日志中的useragent信息、refer信息或cookie信息异常,则判断待识别终端为风险机器设备。
在一个实施例中,基于访问日志,判断待识别终端是否为风险机器设备,包括:
若访问日志中的useragent信息、refer信息或cookie信息缺失,则判断待识别终端为风险机器设备。
本发明实施例还提供一种人机识别装置,用以解决识别窃取用户信息等行为需人工操作识别验证码,增加用户额外操作,影响用户体验的技术问题,该装置包括:
终端环境信息采集模块,用于在待识别终端进行SDK埋点,基于SDK埋点采集终端环境信息;
访问日志采集模块,用于通过业务交易系统的网络入口采集访问日志;
风险机器设备识别判断模块,用于基于终端环境信息和访问日志,判断待识别终端是否为风险机器设备;
活体识别验证模块,用于若是,则使待识别终端启动活体识别验证,接收待识别终端启动活体识别验证后上送的活体识别图像,对活体识别图像进行验证,若验证不通过,则拒绝所述待识别终端。
在一个实施例中,终端环境信息采集模块具体用于:
基于SDK埋点获取待识别终端的cookie,所述cookie中存储终端环境信息,所述终端环境信息通过混淆保护的sdk加密处理并计算有摘要。
在一个实施例中,所述终端环境信息包括是否是root或恶意框架或越狱或模拟器的设备;
风险机器设备识别判断模块具体用于:
若是root或恶意框架或越狱或模拟器的设备,则判断待识别终端为风险机器设备。
在一个实施例中,所述终端环境信息包括用户滑屏、点击的事件的坐标和时间;
风险机器设备识别判断模块具体用于:
基于用户滑屏、点击的事件的坐标和时间进行聚类,若聚类后判断为孤点,则判断待识别终端为风险机器设备。
在一个实施例中,风险机器设备识别判断模块具体用于:
基于访问日志中的cookie,从cookie中提取待识别终端的信息摘要,若是提取不成功或提取成功但无法在终端环境信息中找到对应的待识别终端的信息,则判断待识别终端为风险机器设备。
在一个实施例中,风险机器设备识别判断模块具体用于:
基于访问日志中的cookie,从cookie中获取设备指纹或IP的频率,若频率超过预设的访问频率,则判断待识别终端为风险机器设备。
在一个实施例中,风险机器设备识别判断模块具体用于:
基于访问日志中的cookie,从cookie中获取设备指纹;
基于预设的网站资源的常用访问序列,将设备指纹和常用访问序列进行匹配,若无法匹配成功,则判断待识别终端为风险机器设备。
在一个实施例中,风险机器设备识别判断模块具体用于:
若访问日志中的useragent信息、refer信息或cookie信息异常,则判断待识别终端为风险机器设备。
在一个实施例中,风险机器设备识别判断模块具体用于:
若访问日志中的useragent信息、refer信息或cookie信息缺失,则判断待识别终端为风险机器设备。
本发明还提出一种人机识别系统,用以解决识别窃取用户信息等行为需人工操作识别验证码,增加用户额外操作,影响用户体验的技术问题,该系统包括:人机识别装置、待识别终端和业务交易系统。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述人机识别方法。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述所述人机识别方法的步骤。
本发明实施例中,与现有技术中识别窃取用户信息等行为需人工操作识别验证码,增加用户额外操作,影响用户体验的技术方案相比,通过在待识别终端进行SDK埋点,基于SDK埋点采集终端环境信息;通过业务交易系统的网络入口采集访问日志;基于终端环境信息和访问日志,判断待识别终端是否为风险机器设备;若是,则使待识别终端启动活体识别验证,接收待识别终端启动活体识别验证后上送的活体识别图像,对活体识别图像进行验证,若验证不通过,则拒绝所述待识别终端。本发明采用基于环境和流量的分析方法,不打扰用户,体验好;结合多种信息进行综合判断,可靠性高;使用活体识别进行人机识别,安全性高体验好。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中人机识别方法流程图;
图2为本发明实施例中人机识别装置结构框图;
图3为本发明实施例中人机识别系统结构框图;
图4为本发明实施例中计算机设备400的系统构成的示意框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
图1为本发明实施例中人机识别方法流程图;如图1所示,该方法包括:
步骤101:在待识别终端(app)进行SDK埋点,基于SDK埋点采集终端环境信息;
步骤102:通过业务交易系统的网络入口采集访问日志;
步骤103:基于终端环境信息和访问日志,判断待识别终端是否为风险机器设备;
步骤104:若是,则使待识别终端启动活体识别验证,接收待识别终端启动活体识别验证后上送的活体识别图像,对活体识别图像进行验证,若验证不通过,则拒绝所述待识别终端。
具体的,本发明是基于现有技术中在互联网环境下的APP黑产场景中,会遇到通过使用群控设备、爬虫、模拟器、脚本等自动化程序的方式进行刷接口爆破、薅羊毛,窃取用户信息等行为而提出的。
黑产全称黑色产业,是利用非法手段获利的行业。随着网络的发展,网络黑产巨大的利益诱惑,越来越被社会关注。
网络黑产:指以互联网为媒介,以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会政治稳定带来潜在威胁(重大安全隐患)的非法行为。
黑产一:暗扣话费
此类黑产以稀缺的服务提供商为上游,开发人员根据不同的服务提供商资源开发相应的软件,并将这些软件植入到伪装成游戏、交友等的应用中,实现暗扣话费。
黑产二:广告流量变现
某些内置于各类应用中的恶意广告联盟,通过恶意推送广告进行流量变现。
黑产三:手机应用分发
软件推广难,部分厂商便找到相对便宜的渠道:通过手机应用分发黑产,用类似病毒的手法在用户手机上安装软件。
例如,有用户经常会发现手机里莫名其妙多出一些应用,这就是黑产人员通过手机恶意软件后台下载推广的应用,是手机黑产的变现途径。
黑产四:木马刷量
木马刷量黑产主要通过作弊手段骗取开发者推广费。
它有三种模式:通过模拟器模拟出大量手机设备伪装真实用户刷量;用“手机做任务轻松赚钱”等噱头吸引用户入驻平台后,欺骗用户使用某个App实现刷量;木马技术自动刷量。
目前主流的是利用木马刷量。木马开发者通过合作的方式,将木马植入到一些用户刚需应用中,再通过云端控制系统下发任务到用户设备中,自动执行刷量操作。
黑产五:勒索病毒
勒索病毒攻击者会通过弱口令漏洞入侵企业网站,再以此为跳板渗透到内网,然后利用局域网漏洞攻击工具,将勒索病毒分发到内网关键服务器,将企业核心业务及备份服务器数据加密。
黑产六:控制肉鸡挖矿
黑产七:DDoS攻击
DDoS攻击,即分布式拒绝服务攻击。这是利用网络上已被攻陷的电脑(“肉鸡”)向目标电脑发动密集的“接受服务”请求,借以把目标电脑的网络资源及系统资源耗尽的一种攻击方式。
黑产人员通常将“肉鸡”联合起来,进行带有利益性的网站刷流量、邮件群发、瘫痪竞争对手等活动。因为攻击效果立竿见影、利益巨大,利用DDoS进行勒索、攻击竞争对手的情况越来越多,产业链分工越来越细。
具体的,埋入点是指数据收集领域(特别是用户行为数据收集领域)的术语,是指对特定用户行为和事件进行捕获、处理和发送的相关技术及其实施过程。例如,用户的icon点击次数、观看视频的时间等。埋入点的技术本质是先监听软件应用运行中的事件,发生需要关注的事件时进行判断和捕获。
全埋点:访问终端只需引入SDK进行全局配置即可完成全埋点操作。SDK可以自动收集App启动、退出、浏览页面、控制点击等用户行为。并全部报告,无需开发商添加额外代码。
代码埋入点:在需要收集信息的各个事件函数中,嵌入定制事件报告代码,结合重要的业务事件(例如购买、支付、课程播放等),可以根据业务要求定义收集业务和行为数据。
埋入业务设计,首先要根据业务分析明确收集的目标行为,进一步明确应该埋在哪里。在此过程中,建议使用活动模型来描述用户的各种行为。活动模型包括活动和用户两个核心实体。
根据4W1H模型,用户的行为可以清楚地说明整个行为。要点是谁,什么时候,什么地方,什么方法,做什么。通过这两个实体的结合,可以清楚地说明用户的行为。
SDK埋入点收集行为数据源终端包括iOS、安卓、网络、H5、微信等。不同终端SDK采用对应平台和主流语言的SDK,埋入点收集的数据通过JSON数据以HTTPPOST方式提交给服务方API。
服务方API由数据访问系统构成,用Nginx接收API发送的数据,写在日志文件上。使用Nginx实现高可靠性和高可扩展性。
Nginx印刷文件的日志,Flume的Source模块实时读取Nginx日志,Channel模块进行数据处理,最终通过Sink模块向Kafka公开处理结果。
Kafka是一个广泛使用的分布式新闻队列,作为数据访问和数据处理两个过程之间的缓冲,也作为最近数据的备份。通过对外提供访问API,数据中心可以直接从Kafka引出数据,进入数仓构建指标。
在本发明实施例中,从APP采集的终端环境信息可以包括:是否是root/恶意框架/越狱/模拟器的设备,手机型号、设备信息、wifi接入点、地理位置、用户滑屏、点击的事件的坐标和时间。
其中,是否是root/恶意框架/越狱/模拟器的设备是由待识别终端(app)自己采集分析得出的结论:是或否。
其中,root的具体判断方法参考:判断/usr/bin/su/bin/su文件是否存在,运行su判断是否成功;
越狱判断方法:判断文件目录中是否存在frida字眼的文件;
模拟器:获取系统的机型信息、蓝牙及无线网卡地址是否为无效;
其中,对于手机型号、设备信息、wifi接入点、地理位置,就是通过判断这些信息是否能正常获取,并且获取后的信息是有效的信息串。
在本发明实施例中,当所述终端环境信息包括是否是root或恶意框架或越狱或模拟器的设备时;
步骤103基于终端环境信息判断待识别终端是否为风险机器设备,包括:
若是root或恶意框架或越狱或模拟器的设备,则判断待识别终端为风险机器设备。
所述终端环境信息还包括型号、设备信息、wifi接入点、地理位置、用户滑屏、点击的事件的坐标和时间。
在本发明实施例中,基于终端环境信息判断待识别终端是否为风险机器设备,包括:
若是root或恶意框架或越狱或模拟器的设备,则判断待识别终端为风险机器设备,予以拒绝。
在本发明实施例中,步骤101基于SDK埋点采集终端环境信息,包括:
基于SDK埋点获取待识别终端的cookie,所述cookie中存储终端环境信息,所述终端环境信息通过混淆保护的sdk加密处理并计算有摘要。
具体的,采集终端环境信息的链路和普通的业务交易链路是分开的两个链路。两个链路的数据(一个是cookie,另外一个是直接发送存储到人机识别装置)可以做匹配,如果无法匹配说明是机器发起的业务交易攻击。
Cookie指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据。Cookie基于Internet的各种服务系统应运而生,是由Web服务器保存在用户浏览器上的小文本文件,它可以包含有关用户的信息,是用户获取、交流、传递信息的主要场所之一,无论何时用户链接到服务器,Web站点都可以访问Cookie信息。
Cookie在计算机中是个存储在浏览器目录中的文本文件,当浏览器运行时,存储在RAM中发挥作用(此种Cookies称作Session Cookies),一旦用户从该网站或服务器退出,Cookie可存储在用户本地的硬盘上(此种Cookies称作Persistent Cookies)。
通常情况下,当用户结束浏览器会话时,系统将终止所有的Cookie。当Web服务器创建了Cookies后,只要在其有效期内,当用户访问同一个Web服务器时,浏览器首先要检查本地的Cookies,并将其原样发送给Web服务器。这种状态信息称作“Persistent ClientState HTTP Cookie”,简称为Cookies。
在本发明实施例中,步骤103基于终端环境信息判断待识别终端是否为风险机器设备,包括:
基于用户滑屏、点击的事件的坐标和时间进行聚类,若聚类后判断为孤点,则判断待识别终端为风险机器设备。
在本发明实施例中,访问日志为待识别终端访问业务交易系统的日志,针对业务交易系统的网络入口采集访问日志。
获取访问日志中的useragent、ip、时间(访问的时间戳)、cookie,refer等信息。
具体的,user Agent:指用户代理,是代表用户行为的软件所提供的一个标识自己身份的标识符,包含了用户正在使用的设备以及软件的一些信息(例如操作系统及版本、CPU类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等)。
用户代理需要通过服务器的确认之后,才能够获取服务器资源。网站可以通过用户代理字符串来确定应该向用户提供哪个版本的服务。用户代理最直接的应用就是浏览器啦。
在本发明实施例中,步骤103基于访问日志,判断待识别终端是否为风险机器设备,包括:
基于访问日志中的cookie,从cookie中提取待识别终端的信息摘要,若是提取不成功或提取成功但无法在终端环境信息中(即在人机识别装置)找到对应的待识别终端的信息,则判断待识别终端为风险机器设备,拒绝。
在本发明实施例中,步骤103基于访问日志,判断待识别终端是否为风险机器设备,包括:
基于访问日志中的cookie,从cookie中获取设备指纹或IP的频率,若频率超过预设的访问频率,则判断待识别终端为风险机器设备。
具体的,设备指纹(Device Fingerprinting)是指可以用于唯一标识出该设备的设备特征或者独特的设备标识。
设备指纹包括一些固有的、较难篡改的、唯一的设备标识。比如设备的硬件ID,像手机在生产过程中都会被赋予一个唯一的IMEI(International Mobile EquipmentIdentity)编号,用于唯一标识该台设备。像电脑的网卡,在生产过程中会被赋予唯一的MAC地址。这些设备唯一的标识符可以将其视为设备指纹。
同时,设备的特征集合可以用来当做设备指纹。将设备的名称、型号、形状、颜色、功能等各个特征结合起来用于作为设备的标识。
在本发明实施例中,步骤103基于访问日志,判断待识别终端是否为风险机器设备,包括:
基于访问日志中的cookie,从cookie中获取设备指纹;
基于预设的网站资源的常用访问序列,将设备指纹和常用访问序列进行匹配,若无法匹配成功,则判断待识别终端为风险机器设备。
具体的,预设的网站资源的常用访问序列:比如一般人访问一个网页,是先获取一个html,然后解析了网页,获取若干jsp、png,然后再获取html,然后再发起一个网间ajax交易这样。但是机器人因为不需要解析页面,会直接跳转到交易的部分,比如不断发起ajax交易,但是没有获取jsp、png的访问记录。这个就是异常的访问序列。
在本发明实施例中,基于访问日志,判断待识别终端是否为风险机器设备,包括:
若访问日志中的useragent信息、refer信息或cookie信息异常,则判断待识别终端为风险机器设备。
在本发明实施例中,步骤103基于访问日志,判断待识别终端是否为风险机器设备,包括:
若访问日志中的useragent信息、refer信息或cookie信息缺失,则判断待识别终端为风险机器设备。
在本发明实施例中,步骤104:
对于识别为机器的访问,识别为机器只是一个初步判断,有误判的可能。所以如果判定为机器,就在终端发起活体识别,如果能通过,也说明这个是个真人而不是机器。
启动人脸活体识别验证,未能通过活体检测的阻断访问。
活体识别分为两个步骤,第一个是在终端侧获得活体识别,通过后进行拍照,然后送到后端,后端对图片进行二次的高精度活体识别及质量检测,对不合规的终端辨识为机器予以拒绝或者允许重试。
具体的,活体检测指的是采用面部关键特征定位和面部跟踪等技术,验证用户是不是真实人体,那什么叫人脸识别?人脸识别指的是根据人的面部特征信息进行身份核查的一种生物识别技术,简而言之,通过人脸识别可以辨别出你是你。
一般情况下,在安全系数需求高的应用场景,不太适合单独采用人脸识别对用户进行验证,会结合活体检测api接口一同采用,这主要是由于人脸识别有验证漏洞,并不能有效的区别相片、视频、硅胶面具、仿真模型等欺骗行为,另外模仿成本低非常容易出现很多用户冒充别人信息、篡改虚假信息入驻的行为,导致最后没能有效的抵制诈骗行为。
而采用活体检测后,能避免人脸识别的自身缺陷,有效的识别照片、视频、面具、仿真模型等欺骗行为,进而避免诈骗行为的产生。
活体检测可以包括有动作活体检测--实时反馈眼睛、嘴巴、头部姿态等状态,通过给用户设定完成相关动作,判断是否为活体。支持指定生效的动作及顺序。
本发明实施例中还提供了一种人机识别装置,如下面的实施例所述。由于该装置解决问题的原理与人机识别方法相似,因此该装置的实施可以参见人机识别方法的实施,重复之处不再赘述。
图2为本发明实施例中人机识别装置结构框图;如图2所示,该装置包括:
终端环境信息采集模块02,用于在待识别终端进行SDK埋点,基于SDK埋点采集终端环境信息;
访问日志采集模块04,用于通过业务交易系统的网络入口采集访问日志;
风险机器设备识别判断模块06,用于基于终端环境信息和访问日志,判断待识别终端是否为风险机器设备;
活体识别验证模块08,用于若是,则使待识别终端启动活体识别验证,接收待识别终端启动活体识别验证后上送的活体识别图像,对活体识别图像进行验证,若验证不通过,则拒绝所述待识别终端。
在本发明实施例中,终端环境信息采集模块02具体用于:
基于SDK埋点获取待识别终端的cookie,所述cookie中存储终端环境信息,所述终端环境信息通过混淆保护的sdk加密处理并计算有摘要。
在本发明实施例中,所述终端环境信息包括是否是root或恶意框架或越狱或模拟器的设备;
风险机器设备识别判断模块06具体用于:
若是root或恶意框架或越狱或模拟器的设备,则判断待识别终端为风险机器设备。
在本发明实施例中,所述终端环境信息包括用户滑屏、点击的事件的坐标和时间;
风险机器设备识别判断模块06具体用于:
基于用户滑屏、点击的事件的坐标和时间进行聚类,若聚类后判断为孤点,则判断待识别终端为风险机器设备。
在本发明实施例中,风险机器设备识别判断模块06具体用于:
基于访问日志中的cookie,从cookie中提取待识别终端的信息摘要,若是提取不成功或提取成功但无法在终端环境信息中找到对应的待识别终端的信息,则判断待识别终端为风险机器设备。
在本发明实施例中,风险机器设备识别判断模块06具体用于:
基于访问日志中的cookie,从cookie中获取设备指纹或IP的频率,若频率超过预设的访问频率,则判断待识别终端为风险机器设备。
在本发明实施例中,风险机器设备识别判断模块06具体用于:
基于访问日志中的cookie,从cookie中获取设备指纹;
基于预设的网站资源的常用访问序列,将设备指纹和常用访问序列进行匹配,若无法匹配成功,则判断待识别终端为风险机器设备。
在本发明实施例中,风险机器设备识别判断模块06具体用于:
若访问日志中的useragent信息、refer信息或cookie信息异常,则判断待识别终端为风险机器设备。
在本发明实施例中,风险机器设备识别判断模块06具体用于:
若访问日志中的useragent信息、refer信息或cookie信息缺失,则判断待识别终端为风险机器设备。
本发明还提出一种人机识别系统,包括人机识别装置、待识别终端和业务交易系统,如图3所示。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述人机识别方法。
本发明实施例提供的计算机设备可以是台式计算机、平板电脑及移动终端等,本实施例不限于此。在本实施例中,该计算机设备可以参照人机识别方法的实施及人机识别装置,其内容被合并于此,重复之处不再赘述。
图4为本发明实施例的计算机设备400的系统构成的示意框图。如图4所示,该计算机设备400可以包括中央处理器100和存储器140;存储器140耦合到中央处理器100。值得注意的是,该图是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
如图4所示,该计算机设备400还可以包括:通信模块110、输入单元120、音频处理单元130、显示器160、电源170。值得注意的是,计算机设备400也并不是必须要包括图4中所示的所有部件;此外,计算机设备400还可以包括图4中没有示出的部件,可以参考现有技术。
如图4所示,中央处理器100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器100接收输入并控制计算机设备400的各个部件的操作。
其中,存储器140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序,以实现信息存储或处理等。
输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向计算机设备400提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142,该应用/功能存储部142用于存储应用程序和功能程序或用于通过中央处理器100执行计算机设备400的操作的流程。
存储器140还可以包括数据存储部143,该数据存储部143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由计算机设备使用的数据。存储器140的驱动程序存储部144可以包括计算机设备的用于通信功能和/或用于执行计算机设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块110即为经由天线111发送和接收信号的发送机/接收机110。通信模块(发送机/接收机)110耦合到中央处理器100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一计算机设备中,可以设置有多个通信模块110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)110还经由音频处理器130耦合到扬声器131和麦克风132,以经由扬声器131提供音频输出,并接收来自麦克风132的音频输入,从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器130还耦合到中央处理器100,从而使得可以通过麦克风132能够在本机上录音,且使得可以通过扬声器131来播放本机上存储的声音。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述所述人机识别方法的步骤。
本发明实施例中,与现有技术中识别窃取用户信息等行为需人工操作识别验证码,增加用户额外操作,影响用户体验的技术方案相比,通过在待识别终端进行SDK埋点,基于SDK埋点采集终端环境信息;通过业务交易系统的网络入口采集访问日志;基于终端环境信息和访问日志,判断待识别终端是否为风险机器设备;若是,则使待识别终端启动活体识别验证,接收待识别终端启动活体识别验证后上送的活体识别图像,对活体识别图像进行验证,若验证不通过,则拒绝所述待识别终端。本发明采用基于环境和流量的分析方法,不打扰用户,体验好;结合多种信息进行综合判断,可靠性高;使用活体识别进行人机识别,安全性高体验好。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种人机识别方法,其特征在于,包括:
在待识别终端进行SDK埋点,基于SDK埋点采集终端环境信息;
通过业务交易系统的网络入口采集访问日志;
基于终端环境信息和访问日志,判断待识别终端是否为风险机器设备;
若是,则使待识别终端启动活体识别验证,接收待识别终端启动活体识别验证后上送的活体识别图像,对活体识别图像进行验证,若验证不通过,则拒绝所述待识别终端;
基于访问日志,判断待识别终端是否为风险机器设备,包括:
基于访问日志中的cookie,从cookie中获取设备指纹;
基于预设的网站资源的常用访问序列,将设备指纹和常用访问序列进行匹配,若无法匹配成功,则判断待识别终端为风险机器设备。
2.如权利要求1所述的人机识别方法,其特征在于,基于SDK埋点采集终端环境信息,包括:
基于SDK埋点获取待识别终端的cookie,所述cookie中存储终端环境信息,所述终端环境信息通过混淆保护的sdk加密处理并计算有摘要。
3.如权利要求1所述的人机识别方法,其特征在于,所述终端环境信息包括是否是root或恶意框架或越狱或模拟器的设备;
基于终端环境信息判断待识别终端是否为风险机器设备,包括:
若是root或恶意框架或越狱或模拟器的设备,则判断待识别终端为风险机器设备。
4.如权利要求1所述的人机识别方法,其特征在于,所述终端环境信息包括用户滑屏、点击的事件的坐标和时间;
基于终端环境信息判断待识别终端是否为风险机器设备,包括:
基于用户滑屏、点击的事件的坐标和时间进行聚类,若聚类后判断为孤点,则判断待识别终端为风险机器设备。
5.如权利要求1所述的人机识别方法,其特征在于,基于访问日志,判断待识别终端是否为风险机器设备,包括:
基于访问日志中的cookie,从cookie中提取待识别终端的信息摘要,若是提取不成功或提取成功但无法在终端环境信息中找到对应的待识别终端的信息,则判断待识别终端为风险机器设备。
6.如权利要求1所述的人机识别方法,其特征在于,基于访问日志,判断待识别终端是否为风险机器设备,包括:
基于访问日志中的cookie,从cookie中获取设备指纹或IP的频率,若频率超过预设的访问频率,则判断待识别终端为风险机器设备。
7.如权利要求1所述的人机识别方法,其特征在于,基于访问日志,判断待识别终端是否为风险机器设备,包括:
若访问日志中的useragent信息、refer信息或cookie信息异常,则判断待识别终端为风险机器设备。
8.如权利要求1所述的人机识别方法,其特征在于,基于访问日志,判断待识别终端是否为风险机器设备,包括:
若访问日志中的useragent信息、refer信息或cookie信息缺失,则判断待识别终端为风险机器设备。
9.一种人机识别装置,其特征在于,包括:
终端环境信息采集模块,用于在待识别终端进行SDK埋点,基于SDK埋点采集终端环境信息;
访问日志采集模块,用于通过业务交易系统的网络入口采集访问日志;
风险机器设备识别判断模块,用于基于终端环境信息和访问日志,判断待识别终端是否为风险机器设备;
活体识别验证模块,用于若是,则使待识别终端启动活体识别验证,接收待识别终端启动活体识别验证后上送的活体识别图像,对活体识别图像进行验证,若验证不通过,则拒绝所述待识别终端;
风险机器设备识别判断模块具体用于:基于访问日志中的cookie,从cookie中获取设备指纹;基于预设的网站资源的常用访问序列,将设备指纹和常用访问序列进行匹配,若无法匹配成功,则判断待识别终端为风险机器设备。
10.一种人机识别系统,其特征在于,包括权利要求9所述的人机识别装置、待识别终端和业务交易系统。
11.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8任一所述人机识别方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至8任一所述人机识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110913116.4A CN113660238B (zh) | 2021-08-10 | 2021-08-10 | 人机识别方法、装置、系统、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110913116.4A CN113660238B (zh) | 2021-08-10 | 2021-08-10 | 人机识别方法、装置、系统、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113660238A CN113660238A (zh) | 2021-11-16 |
| CN113660238B true CN113660238B (zh) | 2023-05-16 |
Family
ID=78479312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110913116.4A Active CN113660238B (zh) | 2021-08-10 | 2021-08-10 | 人机识别方法、装置、系统、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113660238B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102393849A (zh) * | 2011-07-18 | 2012-03-28 | 电子科技大学 | 一种Web日志数据的预处理方法 |
| WO2019021048A1 (en) * | 2017-07-24 | 2019-01-31 | Yogesh Chunilal Rathod | EPHEMER CONTENT SHARING AND USER CONNECTION BASED ON SINGLE LINK SHARING FROM 3R PART APPLICATIONS AND STORING AND ASSOCIATING A SINGLE CODE OR IDENTITY OF A USER SHARING A LINK WITH A USER ACCESSING A LINK |
| CN111343030A (zh) * | 2020-03-31 | 2020-06-26 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
| CN111400357A (zh) * | 2020-02-21 | 2020-07-10 | 中国建设银行股份有限公司 | 一种识别异常登录的方法和装置 |
| CN112818314A (zh) * | 2021-02-24 | 2021-05-18 | 建信金融科技有限责任公司 | 一种设备检测方法、装置、设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11025456B2 (en) * | 2018-01-12 | 2021-06-01 | Apple Inc. | Time domain resource allocation for mobile communication |
| US20190311114A1 (en) * | 2018-04-09 | 2019-10-10 | Zhongan Information Technology Service Co., Ltd. | Man-machine identification method and device for captcha |
| CN109194671B (zh) * | 2018-09-19 | 2021-07-13 | 网宿科技股份有限公司 | 一种异常访问行为的识别方法及服务器 |
| CN109977651A (zh) * | 2019-03-14 | 2019-07-05 | 广州多益网络股份有限公司 | 基于滑动轨迹的人机识别方法、装置及电子设备 |
| CN110321431B (zh) * | 2019-05-31 | 2023-11-14 | 平安科技(深圳)有限公司 | 信息分析方法、装置、计算机设备及存储介质 |
| CN111209601A (zh) * | 2020-01-06 | 2020-05-29 | 南京安璟信息科技有限公司 | 一种用于反欺诈的人机识别系统 |
| CN113205343A (zh) * | 2021-06-07 | 2021-08-03 | 中国银行股份有限公司 | 基于生物识别的诈骗消息识别及防护的方法、设备及系统 |
-
2021
- 2021-08-10 CN CN202110913116.4A patent/CN113660238B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102393849A (zh) * | 2011-07-18 | 2012-03-28 | 电子科技大学 | 一种Web日志数据的预处理方法 |
| WO2019021048A1 (en) * | 2017-07-24 | 2019-01-31 | Yogesh Chunilal Rathod | EPHEMER CONTENT SHARING AND USER CONNECTION BASED ON SINGLE LINK SHARING FROM 3R PART APPLICATIONS AND STORING AND ASSOCIATING A SINGLE CODE OR IDENTITY OF A USER SHARING A LINK WITH A USER ACCESSING A LINK |
| CN111400357A (zh) * | 2020-02-21 | 2020-07-10 | 中国建设银行股份有限公司 | 一种识别异常登录的方法和装置 |
| CN111343030A (zh) * | 2020-03-31 | 2020-06-26 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
| CN112818314A (zh) * | 2021-02-24 | 2021-05-18 | 建信金融科技有限责任公司 | 一种设备检测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113660238A (zh) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11158207B1 (en) | Context-aware cybersecurity training systems, apparatuses, and methods | |
| Liu et al. | Maddroid: Characterizing and detecting devious ad contents for android apps | |
| CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
| CN106845236A (zh) | 一种针对iOS平台的应用程序多维度隐私泄露检测方法及系统 | |
| CN111435507A (zh) | 广告反作弊方法、装置、电子设备及可读存储介质 | |
| CN109684799A (zh) | 账户登录方法、登录装置、账户登录设备及存储介质 | |
| CN109639719B (zh) | 一种基于临时标识符的身份验证方法和装置 | |
| CN104021467A (zh) | 保护移动终端支付安全的方法和装置以及移动终端 | |
| CN103532927A (zh) | 一种基于移动终端的金融云安全服务平台和数据保护方法 | |
| CN105516133A (zh) | 用户身份的验证方法、服务器及客户端 | |
| CN104836781A (zh) | 区分访问用户身份的方法及装置 | |
| CN106789855A (zh) | 用户登录验证的方法及装置 | |
| WO2018045977A1 (zh) | 共享资源显示方法,装置及存储介质 | |
| CN107948199B (zh) | 一种对终端共享接入进行快速检测的方法及装置 | |
| CN110933103A (zh) | 反爬虫方法、装置、设备和介质 | |
| CN104184709A (zh) | 验证方法、装置、服务器、业务数据中心和系统 | |
| CN104852916A (zh) | 一种基于社会工程学的网页验证码识别方法及系统 | |
| CN108174360A (zh) | 一种短信发送方法及装置、短信验证方法及装置 | |
| CN111245838A (zh) | 一种反爬虫保护关键信息的方法 | |
| CN104080058A (zh) | 信息处理方法及装置 | |
| CN103488947A (zh) | 即时通信客户端盗号木马程序的识别方法及装置 | |
| CN106130739A (zh) | 应用程序登录处理方法及装置 | |
| CN106713362A (zh) | 一种对wifi接入上网实现安全审查的方法 | |
| CN112307464A (zh) | 诈骗识别方法、装置及电子设备 | |
| CN111953668A (zh) | 网络安全信息处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |