CN116112273B - 反欺诈人机识别方法及系统 - Google Patents

反欺诈人机识别方法及系统 Download PDF

Info

Publication number
CN116112273B
CN116112273B CN202310123169.5A CN202310123169A CN116112273B CN 116112273 B CN116112273 B CN 116112273B CN 202310123169 A CN202310123169 A CN 202310123169A CN 116112273 B CN116112273 B CN 116112273B
Authority
CN
China
Prior art keywords
verification
user
man
request
browser
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310123169.5A
Other languages
English (en)
Other versions
CN116112273A (zh
Inventor
倪钦伟
朱炜炜
吴云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Yunli Information Technology Co ltd
Original Assignee
Shanghai Yunli Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Yunli Information Technology Co ltd filed Critical Shanghai Yunli Information Technology Co ltd
Priority to CN202310123169.5A priority Critical patent/CN116112273B/zh
Publication of CN116112273A publication Critical patent/CN116112273A/zh
Application granted granted Critical
Publication of CN116112273B publication Critical patent/CN116112273B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种反欺诈人机识别方法及系统,方法包括:对浏览器发送的用户请求进行基于WAF的无感验证;其中,无感验证包括:浏览器发送用户请求到WAF;WAF接收到请求后返回一段JavaScript代码到客户端;如果客户端为正常的用户使用浏览器进行访问,则会触发这段JavaScript代码再次发送请求到WAF;WAF再次接受到该请求后即完成了JavaScript认证;否则则验证失败,服务将中断与客户端的数据传输;对用户的安全等级进行划分;若用户的安全等级为中,则采用验证码方案进行再次验证;若用户的安全等级为低,则采用工作量证明PoW方案进行再次验证;如用户通过了以上验证,在前端采集用户行为,并对用户行为进行机器识别,得到人机识别结果。本发明既确保了安全又对用户体验无损伤。

Description

反欺诈人机识别方法及系统
技术领域
本发明涉及业务安全反欺诈技术领域,特别是涉及反欺诈人机识别方法及系统。
背景技术
随着计算机技术的发展,越来越多的数据业务处理通过智能终端和互联网完成,例如手机银行和各种网上支付平台。然而,互联网技术的发展在给用户带来便利的同时,也成为了一些不法分子进行欺诈的温床。这些人每年会给社会带来数以亿万的损失,对人民的身命安全和个人财产都造成了巨大威胁。面对部分分子层出不穷的诈骗手段,反欺诈技术无疑成为了安全领域的一个重要课题。
目前应用最广的人机识别系统实质上是一种验证码系统,基于验证码或者增加点击“我不是机器人”的验证进行人机识别,通常需要人工输入难以识别的字符或者点击指定的图像区域。同时有些人机识别系统中也会结合访问的IP地址进行检测识别,如将同一个IP来源的高频访问识别为可能的机器行为,从而在访问过程中加入验证码进行验证的过程。
然而,基于验证码的人机识别方法将会降低用户体验,降低用户参加活动的积极性,往往会使得用户在等待验证的过程中放弃等待。一个更加理想的方案是在用户无感知的情况下做人机识别验证,这样既确保了安全又对用户体验无损伤。现有的技术仅仅通过后端分析出结果,往往结果不准确且不可解释。例如同一IP来源的高频访问,有可能是黑产的机器行为,也有可能是大内网的正常用户请求。此外,一些用于分析的数据很容易被黑产伪造,例如IP,UA,设备指纹等。例如黑产可以通过代理IP使得每次访问的IP都不同,从而绕过IP高频访问账户即为黑产账户。
发明内容
有鉴于此,本发明提供了一种反欺诈人机识别方法及系统,按照用户的安全等级进行不同类型的验证,既确保了安全又对用户体验无损伤。
为实现上述目的,本发明提供了以下技术方案:
本发明提供了一种反欺诈人机识别方法,所述方法包括:
对浏览器发送的用户请求进行基于Web应用防护系统的无感验证;其中,所述无感验证包括:浏览器发送用户请求到Web应用防护系统;Web应用防护系统接收到所述请求后返回一段JavaScript代码到客户端;如果客户端为正常的用户使用浏览器进行访问,则会触发这段JavaScript代码再次发送请求到Web应用防护系统;Web应用防护系统再次接受到该请求后即完成了JavaScript认证;否则则验证失败,服务将中断与客户端的数据传输;
对用户的安全等级进行划分;若用户的安全等级为中,则采用验证码方案进行再次验证;若用户的安全等级为低,则采用工作量证明PoW方案进行再次验证;
如用户通过了以上验证,在前端采集用户行为,并采用基于机器识别的人机识别模型对所述用户行为进行人机识别,得到人机识别结果。
本发明还提供了一种反欺诈人机识别系统,所述系统包括:
基于Web应用防护系统的挑战模块,用于对浏览器发送的用户请求进行基于Web应用防护系统的无感验证,并对用户的安全等级进行划分,若用户的安全等级为中,则采用验证码方案进行再次验证;若用户的安全等级为低,则采用工作量证明PoW方案进行再次验证;所述无感验证包括:浏览器发送用户请求到Web应用防护系统;Web应用防护系统接收到所述请求后返回一段JavaScript代码到客户端;如果客户端为正常的用户使用浏览器进行访问,则会触发这段JavaScript代码再次发送请求到Web应用防护系统;Web应用防护系统再次接受到该请求后即完成了JavaScript认证;否则则验证失败,服务将中断与客户端的数据传输;
环境信息采集模块,用于在前端搜集环境信息,基于所述环境信息判断用户行为是否在模拟器或者Selenium上运行;
用户行为信息采集模块,用于在前端采集用户行为;
机器识别模块,用于基于所述环境信息的识别结果和采集的用户行为采用基于Transformer的人机识别模型进行人机识别,得到人机识别结果。
本发明的优点和积极效果:
本发明中,先进行了基于Web应用防护系统的无感验证,然后针对安全等级为中的用户,采用传统验证码进行再次验证,针对安全等级为低的用户,采用PoW进行再次验证,既确保了安全又对用户体验无损伤,增强了反爬虫服务的效果。之后还对前端采集的用户行为数据进行了机器识别,提高了人机识别成功率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做以简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中人机识别验证整体流程图;
图2为本发明实施例中PoW验证流程图;
图3为本发明实施例中基于Transformer的人机识别模型的整体架构图;
图4为本发明实施例中一种反欺诈人机识别方法的应用示例流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例中提供了一种反欺诈人机识别方法,该方法包括以下步骤:
S1、对浏览器发送的用户请求进行基于Web应用防护系统(Web ApplicationFirewall,WAF)的无感验证;
其中,无感验证包括以下具体步骤:
S11、浏览器发送用户请求到WAF;
S12、WAF接收到所述请求后返回一段JavaScript代码到客户端;
S13、如果客户端为正常的用户使用浏览器进行访问,则会触发这段JavaScript代码再次发送请求到WAF;
S14、WAF再次接受到该请求后即完成了JavaScript认证;否则则验证失败,服务将中断与客户端的数据传输。
S2、对用户的安全等级进行划分;
在接收到用户的请求时,会先对用户的安全等级进行划分,用户的安全等级可以根据WAF维护人员配置的模型策略动态判断,例如:如访问IP来自黑名单,则判断为高风险用户,用户安全评分为低;同一IP访问用户过多,则判断为高风险用户,用户安全评分为低;同一用户10分钟内访问次数超过阈值则为中风险用户,用户安全评分为中;请求地址是历史不常用地址,则为低风险用户,用户安全评分为高;如不满足上述4点,则判断为安全用户,用户安全评分为高。
如图1所示,如果是高安全评分的用户,则以上述无感验证方案的结果作为该用户请求的验证结果。
如果用户的安全评分为中等,则在常规验证码中随机选取一个发送给用户。如用户完成了相应挑战,则进入下一步人机识别认证。
鉴于PoW能有效阻隔高频交互及其具有的独特优越性,如果用户的安全评分为低,也就是危险,则采用Proof of Work(PoW)的方式进行验证。在计算机系统中,PoW中的验证者为服务器,工作者为请求方,但请求方极有可能是破坏业务安全的黑灰产,他们利用计算机在短时间内发送大量垃圾请求,导致企业业务受损。考虑到这种情况的发生,本发明中引入PoW工作量证明,在请求方发出请求时给对方出题,请求方需付出一定时间和资金成本给出结果交给验证方验证。与一般PoW不同的是,本发明中在进行PoW验证前会先利用WAF对客户端浏览器进行无感知挑战验证,利用WAF服务先阻隔一部分爬虫攻击,以提升PoW模块整体的工作效率和性能,整体流程如图2所示。
S3、若用户的安全等级为中,则采用验证码方案进行再次验证;
其中,验证码方案,包括:
S31、在多种验证码中随机选取一个发送给客户端;
其中,验证码可以是:滑动拼图、文字点选、图标点选、推理拼图、短信上行验证、语序点选、空间推理或语音验证等多种类型,各种验证码都在本发明的保护范围内,此处不做具体限定。
S32、接收客户端用户对验证码的挑战数据,基于该挑战数据确定是否验证通过。
S4、若用户的安全等级为低,则采用工作量证明PoW方案进行再次验证;
其中,工作量证明PoW方案,包括:
S41、浏览器向反爬虫服务发送资源请求,校验服务收到请求后配置PoW参数返回验证到浏览器;
S42、浏览器收到验证后计算校验签名串并且判断是否符合验证中的要求,若不符合则重新计算,符合则将签名串返回给校验服务;
S43、校验服务将收到的签名串进行校验,将校验结果返回给浏览器。
S5、如用户通过了以上验证,在前端采集用户行为,并采用基于机器识别的人机识别模型对所述用户行为进行人机识别,得到人机识别结果。
其中,机器识别可以采用基于Transformer的人机识别模型。利用Transformer对用户行为进行建模,判断输入的用户行为属于真正的用户账号还是机器人账号。首先将上一步采集到的用户行为数据进行编码为可学习的Embedding,在编码中加入一个[Class]编码来表示最终需要学习的分类结果,再加入利用正弦函数编码初始化的位置信息。然后将获得的Embedding输入到基于多头注意力的Transformer模块中。模型采用在线训练方式,使得用户行为信息可以快速被模型捕捉并反馈至下一阶段模型得更新中。多头注意力中使用不同的线性层对相同的输入Embedding进行变换从而增加特征的多样性。基于多头注意力的Transformer模块最后将多个注意力头的输出进行拼接得到最终的特征。经过多层的Transformer后输出的结果中[CLASS]位置对应的特征再输入到一个线性层和Sigmoid层来输出最终的分类结果,即表示输入的用户行为属于真实的用户还是机器人账号。模型的整体训练使用交叉熵损失函数。
其中,用户行为包括鼠标、键盘和触摸屏的行为,采用Transformer进行建模,给规则赋权重,最终给出风险值。鼠标、键盘和触摸屏的行为包括用户的鼠标,键盘,触摸屏的坐标,以及移动事件,移动事件包括事件名称和事件说明,具体如下表1所示。
表1
行为采集 事件名称 事件说明
mousemove 鼠标移动 记录xy坐标
mousedown 鼠标按下 记录次数
mouseup 鼠标松开 记录次数
click 单击 记录次数
dblclick 双击 记录次数
scroll 滚动 记录次数
mousewheel 鼠标滚动 记录次数
keypress 摁键,并且产生一个字符时发生 记录次数
keyup 键盘松开 记录次数
keydown 键盘按下 记录次数
touchstart 触摸起始 记录xy坐标
touchend 触摸结束 记录xy坐标
touchmove 触摸移动 记录xy坐标
staytime 停留时间 页面停留时间
优选地,在第一次收集用户信息时,对用户端进行工作量证明PoW验证。
根据表2中的三个行为规则来判定一个账号是否是机器人账号。
表2
其中,基于Transformer的人机识别模型的整体架构如图3所示。采用该模型进行人机识别,具体包括以下步骤:
S71、将上一步采集到的用户行为数据进行编码为可学习的Embedding,在编码中加入一个类别编码来表示最终需要学习的分类结果,再加入利用正弦函数编码初始化的位置信息;
S72、将获得的Embedding输入到基于多头注意力的Transformer模块中;多头注意力中使用不同的线性层对相同的输入Embedding进行变换从而增加特征的多样性;
基于多头注意力的Transformer模块中的注意力如式1所示:
其中Q,K和V分别通过不同的线性层对同一输入Embedding获得,dk表示输入Embedding的维度。
S73、基于多头注意力的Transformer模块最后将多个注意力头的输出进行拼接得到最终的特征;
多个注意力头的输出拼接如式2所示:
MultiHead(Q,K,V)=Concat(head1,...,headh)WO
S74、经过多层的transformer后输出的结果中类别位置对应的特征再输入到一个线性层和Sigmoid层来输出最终的分类结果,即表示输入的用户行为属于真实的用户还是机器人账号。
基于Transformer的人机识别模型采用在线训练方式,使得用户行为信息可以快速被模型捕捉并反馈至下一阶段模型得更新中。整体训练使用交叉熵损失函数。
模型采用实时在线训练,实时在线训练,节省资源并且反馈快,这对于人机验证系统非常重要。用户需要行为信息可以被模型快速捕捉并反馈至下一次的预测效果中。整体的训练过程是线上服务器记录实时特征,根据最新样本进行在线训练更新模型参数,最后线上模型得到更新。
在另一实施例中,在将输入编码加入位置信息时也可以替换为可以学习的位置编码,进一步提高模型对位置的学习能力,缺点是增加了需要学习的参数量。
机器识别还可以采用双向的LSTM模型,其中同样对输入进行编码然后输入到LSTM模型中,不同的是由于LSTM本身即包含了位置信息因此不需要再加入位置编码。输入编码经过多个LSTM层之后输出进行分类的特征,然后使用Sigmoid结合交叉熵损失函数进行训练。
在另一实施例中,S5之前还包括:
S6、在前端搜集环境信息,基于该环境信息判断用户行为是否在模拟器或者Selenium上运行。
相应地,在执行S5的机器识别时,将环境信息的识别结果也作为机器识别的一个输入变量,最终以机器识别结果为准。
其中,环境信息包括:Selenium操作浏览器分析,脚本工具分析,模拟器分析,以及Debug工具分析。根据从PC的浏览器或者手机App采集的环境信息,判断用户行为是否在模拟器或者Selenium上运行的。判断用户是否在模拟器上运行的标准如表3所示,如果满足表3中条件之一,则判断用户行为是在模拟器上运行的。
表3
上述实施例中的反欺诈人机识别方法具有以下优点:
(1)结合了前端、后端的分析结果,大大提高了人机识别成功率。
(2)通过采集前端数据以确保其完整性和一致性,分析的数据不易伪造,从而弥补现有人机识别分析的不足。
(3)利用了PoW验证提高了整体系统的安全性,通过PoW进行请求筛选,节约系统资源。
(4)结合了PoW验证,传统验证码与客户端无感挑战验证手段,增强了反爬虫服务的效果。
对应于上述实施例中的反欺诈人机识别方法,本发明实施例中还提供了一种反欺诈人机识别系统,该人机识别系统包括:基于WAF的挑战模块、环境信息采集模块、用户行为采集模块和机器识别模块,首先进行了基于Web应用防护系统的挑战,然后采用了前端采集器,在前端搜集环境、用户行为、HTTP请求信息等,并在服务端建模分析打分,识别机器。其中:
基于WAF的挑战模块,用于对浏览器发送的用户请求进行基于Web应用防护系统的无感验证,并对用户的安全等级进行划分,若用户的安全等级为中,则采用验证码方案进行再次验证;若用户的安全等级为低,则采用工作量证明PoW方案进行再次验证。
具体实施中,该挑战模块包括无感验证子模块、PoW验证子模块和验证码验证子模块。
其中,无感验证子模块的工作过程包括:浏览器发送用户请求到Web应用防护系统;Web应用防护系统接收到所述请求后返回一段JavaScript代码到客户端;如果客户端为正常的用户使用浏览器进行访问,则会触发这段JavaScript代码再次发送请求到Web应用防护系统;Web应用防护系统再次接受到该请求后即完成了JavaScript认证;否则则验证失败,服务将中断与客户端的数据传输。
验证码验证子模块的工作过程包括:在多种验证码中随机选取一个发送给客户端;其中,验证码可以是:滑动拼图、文字点选、图标点选、推理拼图、短信上行验证、语序点选、空间推理或语音验证等多种类型;接收客户端用户对验证码的挑战数据,基于该挑战数据确定是否验证通过。
PoW验证子模块的工作过程包括:浏览器向反爬虫服务发送资源请求,校验服务收到请求后配置PoW参数返回验证到浏览器;浏览器收到验证后计算校验签名串并且判断是否符合验证中的要求,若不符合则重新计算,符合则将签名串返回给校验服务;校验服务将收到的签名串进行校验,将校验结果返回给浏览器。
环境信息采集模块,用于在前端搜集环境信息,基于所述环境信息判断用户行为是否在模拟器或者Selenium上运行;
其中,环境信息包括:Selenium操作浏览器分析,脚本工具分析,模拟器分析,以及Debug工具分析;该环境信息采集模块会根据从PC的浏览器或者手机App采集的环境信息,判断用户行为是否在模拟器或者Selenium上运行的。
用户行为信息采集模块,用于在前端采集用户行为;
其中,用户行为包括鼠标、键盘和触摸屏的行为,采用transformer进行建模,给规则赋权重,最终给出风险值。
此外,该系统在第一次收集用户信息的时候会下发PoW给用户端,用户端需要花费一定的时间成本来完成PoW并返回给系统。
机器识别模块,用于基于环境信息的识别结果和采集的用户行为采用基于Transformer的人机识别模型进行人机识别,得到人机识别结果。
本发明实施例中的机器识别模块,利用Transformer对用户行为进行建模,判断输入的用户行为属于真正的用户账号还是机器人账号。首先将上一步采集到的用户行为数据进行编码为可学习的Embedding,在编码中加入一个[Class]编码来表示最终需要学习的分类结果,再加入利用正弦函数编码初始化的位置信息。然后将获得的Embedding输入到基于多头注意力的Transformer模块中。模型采用在线训练方式,使得用户行为信息可以快速被模型捕捉并反馈至下一阶段模型得更新中。多头注意力中使用不同的线性层对相同的输入Embedding进行变换从而增加特征的多样性。基于多头注意力的Transformer模块最后将多个注意力头的输出进行拼接得到最终的特征。经过多层的Transformer后输出的结果中[CLASS]位置对应的特征再输入到一个线性层和Sigmoid层来输出最终的分类结果,即表示输入的用户行为属于真实的用户还是机器人账号。
对于本发明实施例的反欺诈人机识别系统而言,由于其与上面实施例中的反欺诈人机识别方法相对应,所以描述的比较简单,相关相似之处请参见上面实施例中反欺诈人机识别方法部分的说明即可,此处不再详述。
为了便于理解,下面以访问价格网页为例对本发明中的反欺诈人机识别方法进行详细说明。
如图4所示,当访问价格网页时:
步骤一:反爬虫服务将启用无感知验证,并对用户进行安全评分。
步骤二:若用户安全评分高,则通过该部分验证;如为中危用户则在常规验证码中随机选取一个发送给用户再次进行验证;如果为高危用户,则启用PoW验证。
步骤三:如用户通过了以上验证,则进入下一步人机验证流程;否则服务器终止与客户浏览器之间的交互。
步骤四:价格页面从人机识别服务器获得loader.js。
步骤五:loader.js负责加载搜集器collect.js。
步骤六:浏览器初始化搜集器,并从人机识别服务器获得token。
步骤七:搜集器采集数据并加密,再带上人机识别服务器token,传输到人机识别服务器端,人机识别服务器根据采集数据计算出风险值,并判断是否是机器行为。人机识别服务器返回结果到反爬虫服务器。反爬虫服务器根据结果,如果是人,则返回价格信息。如果是机器人,做验证码校验或者直接拒绝。
在本发明所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (8)

1.一种反欺诈人机识别方法,其特征在于,所述方法包括:
对浏览器发送的用户请求进行基于Web应用防护系统的无感验证;其中,所述无感验证包括:浏览器发送用户请求到Web应用防护系统;Web应用防护系统接收到所述请求后返回一段JavaScript代码到客户端;如果客户端为正常的用户使用浏览器进行访问,则会触发这段JavaScript代码再次发送请求到Web应用防护系统;Web应用防护系统再次接受到该请求后即完成了JavaScript认证;否则则验证失败,服务将中断与客户端的数据传输;
对用户的安全等级进行划分;若用户的安全等级为中,则采用验证码方案进行再次验证;若用户的安全等级为低,则采用工作量证明PoW方案进行再次验证;若用户的安全等级为高,则以上述无感验证方案的结果作为该用户请求的验证结果;
如用户通过了以上验证,在前端采集用户行为,并采用基于机器识别的人机识别模型对所述用户行为进行人机识别,得到人机识别结果;
所述基于机器识别的人机识别模型为基于Transformer的人机识别模型;
采用基于Transformer的人机识别模型进行人机识别,包括:
将上一步采集到的用户行为数据进行编码为可学习的Embedding,在编码中加入一个类别编码来表示最终需要学习的分类结果,再加入利用正弦函数编码初始化的位置信息;
将获得的Embedding输入到基于多头注意力的Transformer模块中;多头注意力中使用不同的线性层对相同的输入Embedding进行变换从而增加特征的多样性;
基于多头注意力的Transformer模块最后将多个注意力头的输出进行拼接得到最终的特征;
经过多层的Transformer后输出的结果中类别位置对应的特征再输入到一个线性层和Sigmoid层来输出最终的分类结果,即表示输入的用户行为属于真实的用户还是机器人账号。
2.根据权利要求1所述的一种反欺诈人机识别方法,其特征在于,所述验证码方案,包括:
在多种验证码中随机选取一个发送给客户端;
接收客户端用户对验证码的挑战数据,基于所述挑战数据确定是否验证通过。
3.根据权利要求2所述的一种反欺诈人机识别方法,其特征在于,所述验证码包括:滑动拼图、文字点选、图标点选、推理拼图、短信上行验证、语序点选、空间推理或语音验证。
4.根据权利要求1所述的一种反欺诈人机识别方法,其特征在于,所述工作量证明PoW方案,包括:
浏览器向反爬虫服务发送资源请求,校验服务收到请求后配置PoW参数返回验证到浏览器;
浏览器收到验证后计算校验签名串并且判断是否符合验证中的要求,若不符合则重新计算,符合则将签名串返回给校验服务;
校验服务将收到的签名串进行校验,将校验结果返回给浏览器。
5.根据权利要求1所述的一种反欺诈人机识别方法,其特征在于,采用基于机器识别的人机识别模型对所述用户行为进行人机识别之前,还包括:
在前端搜集环境信息,基于所述环境信息判断用户行为是否在模拟器或者Selenium上运行;并将基于所述环境信息的识别结果作为所述人机识别模型的输入参数。
6.根据权利要求1所述的一种反欺诈人机识别方法,其特征在于,在第一次收集用户信息时,对用户端进行工作量证明PoW验证。
7.根据权利要求1所述的一种反欺诈人机识别方法,其特征在于,基于Transformer的人机识别模型采用在线训练方式。
8.一种反欺诈人机识别系统,其特征在于,所述系统包括:
基于Web应用防护系统的挑战模块,用于对浏览器发送的用户请求进行基于Web应用防护系统的无感验证,并对用户的安全等级进行划分,若用户的安全等级为中,则采用验证码方案进行再次验证;若用户的安全等级为低,则采用工作量证明PoW方案进行再次验证;若用户的安全等级为高,则以上述无感验证方案的结果作为该用户请求的验证结果;所述无感验证包括:浏览器发送用户请求到Web应用防护系统;Web应用防护系统接收到所述请求后返回一段JavaScript代码到客户端;如果客户端为正常的用户使用浏览器进行访问,则会触发这段JavaScript代码再次发送请求到Web应用防护系统;Web应用防护系统再次接受到该请求后即完成了JavaScript认证;否则则验证失败,服务将中断与客户端的数据传输;
环境信息采集模块,用于在前端搜集环境信息,基于所述环境信息判断用户行为是否在模拟器或者Selenium上运行;
用户行为信息采集模块,用于在前端采集用户行为;
机器识别模块,用于基于所述环境信息的识别结果和采集的用户行为采用基于Transformer的人机识别模型进行人机识别,得到人机识别结果;所述基于机器识别的人机识别模型为基于Transformer的人机识别模型;
采用基于Transformer的人机识别模型进行人机识别,包括:
将上一步采集到的用户行为数据进行编码为可学习的Embedding,在编码中加入一个类别编码来表示最终需要学习的分类结果,再加入利用正弦函数编码初始化的位置信息;
将获得的Embedding输入到基于多头注意力的Transformer模块中;多头注意力中使用不同的线性层对相同的输入Embedding进行变换从而增加特征的多样性;
基于多头注意力的Transformer模块最后将多个注意力头的输出进行拼接得到最终的特征;
经过多层的Transformer后输出的结果中类别位置对应的特征再输入到一个线性层和Sigmoid层来输出最终的分类结果,即表示输入的用户行为属于真实的用户还是机器人账号。
CN202310123169.5A 2023-02-16 2023-02-16 反欺诈人机识别方法及系统 Active CN116112273B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310123169.5A CN116112273B (zh) 2023-02-16 2023-02-16 反欺诈人机识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310123169.5A CN116112273B (zh) 2023-02-16 2023-02-16 反欺诈人机识别方法及系统

Publications (2)

Publication Number Publication Date
CN116112273A CN116112273A (zh) 2023-05-12
CN116112273B true CN116112273B (zh) 2023-10-20

Family

ID=86263632

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310123169.5A Active CN116112273B (zh) 2023-02-16 2023-02-16 反欺诈人机识别方法及系统

Country Status (1)

Country Link
CN (1) CN116112273B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017056121A1 (en) * 2015-09-28 2017-04-06 Minded Security S.R.L. Method for the identification and prevention of client-side web attacks
CN107153786A (zh) * 2017-05-26 2017-09-12 北京奇点数聚科技有限公司 一种人机识别方法、系统及终端设备、可读存储介质
CN110147659A (zh) * 2019-05-15 2019-08-20 四川长虹电器股份有限公司 基于机器学习的无感验证方法
CN111209601A (zh) * 2020-01-06 2020-05-29 南京安璟信息科技有限公司 一种用于反欺诈的人机识别系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017056121A1 (en) * 2015-09-28 2017-04-06 Minded Security S.R.L. Method for the identification and prevention of client-side web attacks
CN107153786A (zh) * 2017-05-26 2017-09-12 北京奇点数聚科技有限公司 一种人机识别方法、系统及终端设备、可读存储介质
CN110147659A (zh) * 2019-05-15 2019-08-20 四川长虹电器股份有限公司 基于机器学习的无感验证方法
CN111209601A (zh) * 2020-01-06 2020-05-29 南京安璟信息科技有限公司 一种用于反欺诈的人机识别系统

Also Published As

Publication number Publication date
CN116112273A (zh) 2023-05-12

Similar Documents

Publication Publication Date Title
CN110417721B (zh) 安全风险评估方法、装置、设备及计算机可读存储介质
US9300672B2 (en) Managing user access to query results
CN110781308B (zh) 一种基于大数据构建知识图谱的反欺诈系统
EP2329447A1 (en) Evaluating loan access using online business transaction data
CN101459537A (zh) 基于多层次多角度分析的网络安全态势感知系统及方法
CN110598982B (zh) 基于智能交互的主动风控方法和系统
CN109858919A (zh) 异常账号的确定方法及装置、在线下单方法及装置
CN110363407A (zh) 基于用户行为轨迹的欺诈风险评估方法及装置
CN114912510B (zh) 一种线上调研样本质量评估系统
CN111582757B (zh) 欺诈风险的分析方法、装置、设备及计算机可读存储介质
CN111209601A (zh) 一种用于反欺诈的人机识别系统
CN111611519A (zh) 一种个人异常行为检测方法及装置
CN116827656A (zh) 网络信息安全防护系统及其方法
CN111784360B (zh) 一种基于网络链接回溯的反欺诈预测方法及系统
CN116112273B (zh) 反欺诈人机识别方法及系统
US20100042446A1 (en) Systems and methods for providing core property review
CN108282468A (zh) 一种应用层DDoS攻击检测方法及装置
CN116862659A (zh) 面审题组的生成方法、装置、设备及介质
CN117131401A (zh) 对象识别方法、装置、电子设备和存储介质
CN113657808B (zh) 一种人员评定方法、装置、设备及存储介质
CN112967062B (zh) 基于谨慎度的用户身份识别方法
RU2745362C1 (ru) Система и способ формирования индивидуального содержимого для пользователя сервиса
CN113627551A (zh) 基于多模型的证件分类方法、装置、设备和存储介质
Hale et al. Apriori Prediction of Phishing Victimization Based on Structural Content Factors
CN113434838B (zh) 一种基于js交互行为的人机验证检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant