CN115603961A - 一种防止恶意刷取验证码的方法、装置及应用 - Google Patents

一种防止恶意刷取验证码的方法、装置及应用 Download PDF

Info

Publication number
CN115603961A
CN115603961A CN202211196848.7A CN202211196848A CN115603961A CN 115603961 A CN115603961 A CN 115603961A CN 202211196848 A CN202211196848 A CN 202211196848A CN 115603961 A CN115603961 A CN 115603961A
Authority
CN
China
Prior art keywords
mobile phone
request
behavior
phone number
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211196848.7A
Other languages
English (en)
Inventor
王珏
王敬年
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Liangyihui Network Technology Co ltd
Original Assignee
Suzhou Liangyihui Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Liangyihui Network Technology Co ltd filed Critical Suzhou Liangyihui Network Technology Co ltd
Priority to CN202211196848.7A priority Critical patent/CN115603961A/zh
Publication of CN115603961A publication Critical patent/CN115603961A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种防止恶意刷取验证码的方法,应用在服务端,包括接收用户发起的验证码获取请求,解析并获取所述用户的IP地址、设备号与手机号;根据IP地址当日请求行为及历史行为数据、设备号当日请求行为及历史行为数据与手机号当日请求行为及历史行为数据生成带等级的IP地址行为标签、带等级的设备号行为标签与带等级的手机号行为标签;不同等级的行为标签设置有不同上限的当日请求阈值,比较当日请求阈值与预设阈值,判断是否进入下一项校验,或者直接下发验证码。本发明根据标签的等级对验证码获取请求采取不同的校验方式,丰富了校验方式,提升了校验安全性,且能有效地限制手机验证码的刷取。

Description

一种防止恶意刷取验证码的方法、装置及应用
技术领域
本发明涉及互联网应用技术领域,尤其是指一种防止恶意刷取验证码的方法、装置及应用。
背景技术
随着移动通讯与互联网技术的不断发展与进步,移动应用越来越多,很多移动应用也被人们熟知并广泛使用。同时,手机号作为每个人的一个标识,大部分移动应用系统会绑定用户手机号并把手机号作为用户名。如此,验证手机号的真实性就成为了不可或缺的一个步骤,而且通过发送短信验证码验证手机号真实性已成为当今主流趋势。而发送短信验证码验证手机号随着被广泛熟知,一些问题也随之而来,比如,恶意刷取短信验证码,尤其是注册、登录界面,所有用户可以无需权限刷取短信验证码,若无限制刷取,不仅消耗使用资源,还会影响其他用户的正常使用,影响正常用户对系统使用时的用户体验。
现有技术一般通过前端按钮失效,60s后才可重新发送来避免验证码被短时间内刷新重复发送;但在恶意用户通过抓包获取到暴露的请求接口跳过web端对点击频率的限制直接访问接口,会产生大量堆积请求,由于在发送获取验证码请求到验证码下发的这一段时间内验证码发放平台做了大量数据查询和校验,这对服务器造成了大量流量的消耗,同时对服务器的处理能力产生压力,一旦超出服务器的处理能力整个短信下发系统就会陷入瘫痪,从而影响用户登录和注册,会使整个平台陷入宕机状态,带来不必要的损失。或者对输入手机号码和验证信息时的输入间隔验证进行识别,来区别是否是自动化工具;但仅仅靠时间鉴别是否为恶意刷取,防护等级较低,校验单一且安全性不足。
发明内容
为此,本发明所要解决的技术问题在于克服现有技术中验证码防刷方法校验单一,安全性低的问题。
为解决上述技术问题,本发明提供了一种防止恶意刷取验证码的方法,包括:
接收用户发起的验证码获取请求,解析并获取所述用户的IP地址、设备号与手机号;
校验所述IP地址,根据所述IP地址的当日请求行为及历史行为数据,生成带等级的IP地址行为标签;根据所述带等级的IP地址行为标签的等级,获取相对应的IP地址当日请求阈值;若IP地址当日请求阈值不大于第一预设阈值,则进行真人操作校验;若IP地址当日请求阈值不小于第二预设阈值,则进行手机号校验;若IP地址当日请求阈值大于第一预设阈值,小于第二预设阈值,则进行设备号校验;
校验所述设备号,根据设备号当日请求行为及历史行为数据,生成带等级的设备号行为标签;根据所述带等级的设备号行为标签,获取对应的设备号当日请求阈值;若设备号当日请求阈值不大于第三预设阈值,则进行真人操作校验;反之,则进行手机号校验;
校验所述手机号,获取手机号当日请求行为及历史行为数据,生成带等级的手机号行为标签;根据所述带等级的手机号行为标签,获取对应的手机号当日请求阈值;若手机号当日请求阈值不大于第四预设阈值,则进行真人操作校验;若手机号当日请求阈值不小于第五预设阈值,则为所述用户下发验证码;若手机号当日请求阈值大于第四预设阈值,小于第五预设阈值,校验所述手机号相邻两次请求的时间差;
其中,所述第一预设阈值大于所述第三预设阈值,所述第三预设阈值大于所述第四预设阈值。
在本发明的一个实施例中,所述校验所述手机号相邻两次请求的时间差包括:
若所述时间差不大于预设时间阈值,则返回请求频发提示语;
若所述时间差大于预设时间阈值,则下发验证码。
在本发明的一个实施例中,所述真人操作校验包括滑动拼图校验与图中点选校验。
在本发明的一个实施例中,所述真人操作校验后包括:
若所述真人操作校验通过,则为所述用户下发验证码;
若所述真人操作校验未通过,则驳回所述验证码获取请求,并为所述用户添加行为标签。
在本发明的一个实施例中,所述IP地址当日请求行为、所述设备号当日请求行为与所述手机号当日请求行为包括所述IP地址、所述设备号与所述手机号的当日每分钟请求次数、当日每小时请求次数与当日总请求次数。
在本发明的一个实施例中,所述IP地址历史行为数据、所述设备号历史行为数据与所述手机号历史行为数据包括所述IP地址、所述设备号与所述手机号在APP端、Web端与小程序端的浏览、点击、评论、消费与互动的行为数据。
在本发明的一个实施例中,所述带等级的IP地址行为标签、所述带等级的设备号行为标签与所述带等级的手机号行为标签均设置有多个等级,不同的等级设置有不同的当日请求阈值。
在本发明的一个实施例中,所述IP地址当日请求阈值、所述设备号当日请求阈值与所述手机号当日请求阈值均包括每分钟最大请求次数、每小时最大请求次数与单日最大请求次数。
本发明还提供了一种防止恶意刷取验证码的装置,包括:
用户信息获取模块,用于解析并获取发起验证码获取请求的用户的IP地址、设备号与手机号;
信息校验模块,用于生成带等级的IP地址行为标签、带等级的设备号行为标签与带等级的手机号行为标签,并进行校验,输出校验结果;
真人操作校验模块,用于对所述带等级的IP地址行为标签、所述带等级的设备号行为标签与所述带等级的手机号行为标签进行真人操作校验,输出校验结果;
响应模块,用于对所述校验结果做出响应,驳回验证码获取请求或者调用验证码程序下发验证码。
本发明还提供了一种如上述所述的防止恶意刷取验证码的方法在用户注册登录验证领域的应用。
本发明的上述技术方案相比现有技术具有以下优点:
本发明所述的防止恶意刷取验证码的方法,通过生成发起获取验证码请求的用户的带等级的IP地址行为标签、带等级的设备号行为标签与带等级的手机号行为标签,根据标签等级获取相对应的当日请求阈值;比较当日请求阈值与预设阈值,判断是否进入下一项校验,或者直接下发验证码。当带等级的IP地址行为标签、带等级的设备号行为标签与带等级的手机号行为标签的标签等级超过对应的预设阈值上限时,直接进行真人操作校验;根据标签等级对验证码获取请求采取不同的校验方式,丰富了校验方式,提升了校验安全性,且能有效地限制手机验证码的刷取。
附图说明
为了使本发明的内容更容易被清楚的理解,下面根据本发明的具体实施例并结合附图,对本发明作进一步详细的说明,其中
图1是本发明实施例的防止恶意刷取验证码的方法的流程示意图;
图2是本发明实施例所提供的IP地址校验流程示意图;
图3是本发明实施例所提供的设备号校验流程示意图;
图4是本发明实施例所提供的手机号校验流程示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
参照图1所示,本发明的防止恶意刷取验证码的方法包括:
S1:接收用户发起的验证码获取请求,解析并获取所述用户的IP地址、设备号与手机号;
S2:参照图2所示,校验IP地址,根据所述IP地址的当日请求行为及历史行为数据,生成带等级的IP地址行为标签;根据所述带等级的IP地址行为标签的等级,获取相对应的IP地址当日请求阈值;若IP地址当日请求阈值不大于第一预设阈值,则进行真人操作校验;若IP地址当日请求阈值不小于第二预设阈值,则进行手机号校验;若IP地址当日请求阈值大于第一预设阈值,小于第二预设阈值,则进行设备号校验;
S3:参照图3所示,校验设备号,根据设备号当日请求行为及历史行为数据,生成带等级的设备号行为标签;根据所述带等级的设备号行为标签,获取对应的设备号当日请求阈值;若设备号当日请求阈值不大于第三预设阈值,则进行真人操作校验;反之,则进行手机号校验;
S4:参照图4所示,校验手机号,获取手机号当日请求行为及历史行为数据,生成带等级的手机号行为标签;根据所述带等级的手机号行为标签,获取对应的手机号当日请求阈值;若手机号当日请求阈值不大于第四预设阈值,则进行真人操作校验;若手机号当日请求阈值不小于第五预设阈值,则为所述用户下发验证码;若手机号当日请求阈值大于第四预设阈值,小于第五预设阈值,校验所述手机号相邻两次请求的时间差;
其中,所述第一预设阈值大于所述第三预设阈值,所述第三预设阈值大于所述第四预设阈值;校验所述手机号相邻两次请求的时间差,若所述时间差不大于预设时间阈值,则返回请求频发提示语;若所述时间差大于预设时间阈值,则下发验证码。
具体地,所述IP地址当日请求行为、所述设备号当日请求行为与所述手机号当日请求行为包括所述IP地址、所述设备号与所述手机号的当日每分钟请求次数、当日每小时请求次数与当日总请求次数;所述IP地址历史行为数据、所述设备号历史行为数据与所述手机号历史行为数据包括所述IP地址、所述设备号与所述手机号在APP端、Web端与小程序端的浏览、点击、评论、消费与互动的行为数据;所述带等级的IP地址行为标签、所述带等级的设备号行为标签与所述带等级的手机号行为标签均设置有多个等级,不同的等级设置有不同的当日请求阈值;所述IP地址当日请求阈值、所述设备号当日请求阈值与所述手机号当日请求阈值均包括每分钟最大请求次数、每小时最大请求次数与单日最大请求次数;真人操作校验的方法包括滑动拼图校验与图中点选校验;若真人操作校验通过,则调用验证码下发程序,为所述用户发送验证码;若真人操作校验未通过,则驳回所述验证码获取请求,并为所述用户添加标签。
具体地,在风控指标紧缩的情况下,就可以根据带等级的IP地址行为标签、带等级的设备高行为标签与带等级的手机号行为标签的等级程度选择将属于严重等级的用户的验证码获取请求直接驳回,从而减轻服务器处理压力,保证短信平台的正常运行,保障忠实用户和有效用户的正常使用,从而降低误伤率,减少不必要的损失。
在本实施例中,根据带等级的IP地址行为标签、带等级的设备号行为标签与带等级的手机号行为标签的标签等级,获取相对应的权重,根据标签权重获取相应的当日请求阈值;当日请求阈值的具体划分标准,如表1所示:
表1标签等级及其相对应的当日请求阈值
Figure BDA0003869614510000061
Figure BDA0003869614510000071
本发明实施例还提供了一种防止恶意刷取验证码的装置,包括用户信息获取模块,用于解析并获取发起验证码获取请求的用户的IP地址、设备号与手机号;信息校验模块,用于生成带等级的IP地址行为标签、带等级的设备号行为标签与带等级的手机号行为标签,并进行校验,输出校验结果;真人操作校验模块,用于对所述带等级的IP地址行为标签、所述带等级的设备号行为标签与所述带等级的手机号行为标签进行真人操作校验,输出校验结果;响应模块,用于对所述校验结果做出响应,驳回验证码获取请求或者调用验证码程序下发验证码。
显然,上述实施例仅仅是为清楚地说明所作的举例,并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (10)

1.一种防止恶意刷取验证码的方法,其特征在于,应用在服务端,包括:
接收用户发起的验证码获取请求,解析并获取所述用户的IP地址、设备号与手机号;
校验所述IP地址,根据所述IP地址的当日请求行为及历史行为数据,生成带等级的IP地址行为标签;根据所述带等级的IP地址行为标签的等级,获取相对应的IP地址当日请求阈值;若IP地址当日请求阈值不大于第一预设阈值,则进行真人操作校验;若IP地址当日请求阈值不小于第二预设阈值,则进行手机号校验;若IP地址当日请求阈值大于第一预设阈值,小于第二预设阈值,则进行设备号校验;
校验所述设备号,根据设备号当日请求行为及历史行为数据,生成带等级的设备号行为标签;根据所述带等级的设备号行为标签,获取对应的设备号当日请求阈值;若设备号当日请求阈值不大于第三预设阈值,则进行真人操作校验;反之,则进行手机号校验;
校验所述手机号,获取手机号当日请求行为及历史行为数据,生成带等级的手机号行为标签;根据所述带等级的手机号行为标签,获取对应的手机号当日请求阈值;若手机号当日请求阈值不大于第四预设阈值,则进行真人操作校验;若手机号当日请求阈值不小于第五预设阈值,则为所述用户下发验证码;若手机号当日请求阈值大于第四预设阈值,小于第五预设阈值,校验所述手机号相邻两次请求的时间差;
其中,所述第一预设阈值大于所述第三预设阈值,所述第三预设阈值大于所述第四预设阈值。
2.根据权利要求1所述的防止恶意刷取验证码的方法,其特征在于,所述校验所述手机号相邻两次请求的时间差包括:
若所述时间差不大于预设时间阈值,则返回请求频发提示语;
若所述时间差大于预设时间阈值,则下发验证码。
3.根据权利要求1所述的防止恶意刷取验证码的方法,其特征在于,所述真人操作校验包括滑动拼图校验与图中点选校验。
4.根据权利要求1所述的防止恶意刷取验证码的方法,其特征在于,所述真人操作校验后包括:
若所述真人操作校验通过,则为所述用户下发验证码;
若所述真人操作校验未通过,则驳回所述验证码获取请求,并为所述用户添加行为标签。
5.根据权利要求1所述的防止恶意刷取验证码的方法,其特征在于,所述IP地址当日请求行为、所述设备号当日请求行为与所述手机号当日请求行为包括所述IP地址、所述设备号与所述手机号的当日每分钟请求次数、当日每小时请求次数与当日总请求次数。
6.根据权利要求1所述的防止恶意刷取验证码的方法,其特征在于,所述IP地址历史行为数据、所述设备号历史行为数据与所述手机号历史行为数据包括所述IP地址、所述设备号与所述手机号在APP端、Web端与小程序端的浏览、点击、评论、消费与互动的行为数据。
7.根据权利要求1所述的防止恶意刷取验证码的方法,其特征在于,所述带等级的IP地址行为标签、所述带等级的设备号行为标签与所述带等级的手机号行为标签均设置有多个等级,不同的等级设置有不同的当日请求阈值。
8.根据权利要求1所述的防止恶意刷取验证码的方法,其特征在于,所述IP地址当日请求阈值、所述设备号当日请求阈值与所述手机号当日请求阈值均包括每分钟最大请求次数、每小时最大请求次数与单日最大请求次数。
9.一种防止恶意刷取验证码的装置,其特征在于,包括:
用户信息获取模块,用于解析并获取发起验证码获取请求的用户的IP地址、设备号与手机号;
信息校验模块,用于生成带等级的IP地址行为标签、带等级的设备号行为标签与带等级的手机号行为标签,并进行校验,输出校验结果;
真人操作校验模块,用于对所述带等级的IP地址行为标签、所述带等级的设备号行为标签与所述带等级的手机号行为标签进行真人操作校验,输出校验结果;
响应模块,用于对所述校验结果做出响应,驳回验证码获取请求或者调用验证码程序下发验证码。
10.一种如权利要求1至8任一项所述的防止恶意刷取验证码的方法在用户注册登录验证领域的应用。
CN202211196848.7A 2022-09-28 2022-09-28 一种防止恶意刷取验证码的方法、装置及应用 Pending CN115603961A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211196848.7A CN115603961A (zh) 2022-09-28 2022-09-28 一种防止恶意刷取验证码的方法、装置及应用

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211196848.7A CN115603961A (zh) 2022-09-28 2022-09-28 一种防止恶意刷取验证码的方法、装置及应用

Publications (1)

Publication Number Publication Date
CN115603961A true CN115603961A (zh) 2023-01-13

Family

ID=84845683

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211196848.7A Pending CN115603961A (zh) 2022-09-28 2022-09-28 一种防止恶意刷取验证码的方法、装置及应用

Country Status (1)

Country Link
CN (1) CN115603961A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117651277A (zh) * 2024-01-30 2024-03-05 北京国舜科技股份有限公司 一种基于安全组件的短信炸弹防护方法和装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117651277A (zh) * 2024-01-30 2024-03-05 北京国舜科技股份有限公司 一种基于安全组件的短信炸弹防护方法和装置
CN117651277B (zh) * 2024-01-30 2024-05-03 北京国舜科技股份有限公司 一种基于安全组件的短信炸弹防护方法和装置

Similar Documents

Publication Publication Date Title
CN110442712B (zh) 风险的确定方法、装置、服务器和文本审理系统
CN107480483B (zh) 一种账号检测的方法及装置
CN104348810B (zh) 被盗帐号的检测方法、装置及系统
CN105049421A (zh) 基于用户使用行为特征的认证方法、服务器、终端及系统
CN104239758A (zh) 一种人机识别方法及相应的人机识别系统
CN103905379A (zh) 一种标识互联网用户的方法,及装置
CN106549902A (zh) 一种可疑用户的识别方法及设备
CN107277036A (zh) 基于多站点数据的登录验证方法、验证设备及存储介质
CN109698809A (zh) 一种账号异常登录的识别方法及装置
KR101762615B1 (ko) 사용자의 이용패턴 분석을 활용한 본인 인증 시스템 및 사용자 단말
CN115603961A (zh) 一种防止恶意刷取验证码的方法、装置及应用
CN104182683A (zh) 一种联机事务的监控方法、装置及系统
CN109902459A (zh) Web页面的人机识别验证方法、系统、设备和存储介质
CN109727027A (zh) 账户识别方法、装置、设备及存储介质
CN106878275A (zh) 身份验证方法及装置和服务器
CN108234454A (zh) 一种身份认证方法、服务器及客户端设备
CN109446807A (zh) 用于识别拦截恶意机器人的方法、装置以及电子设备
CN104778389A (zh) 一种数值转移方法、终端、服务器及系统
CN107294981A (zh) 一种认证的方法和设备
CN112365267A (zh) 一种基于操作行为的反爬虫方法及装置
US9723017B1 (en) Method, apparatus and computer program product for detecting risky communications
CN114666164B (zh) 一种计算机网络用户身份登录验证系统及方法
CN104104660A (zh) 获取用户数据的方法及系统
CN114257451B (zh) 验证界面更换方法、装置、存储介质及计算机设备
CN115760390A (zh) 业务数据处理方法、装置和网点终端设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination