說到人機(jī)識別， 大家首先聯(lián)想到的 可能是人工智能。

但是，今天我們要聊的 不是人工智能， 也不是機(jī)器學(xué)習(xí)，而是人機(jī)識別在應(yīng)用安全中的應(yīng)用（有點(diǎn)繞）

首先我們說說啥是人機(jī)識別……

What is 人機(jī)識別？

黑客，在大多數(shù)人心中是一種神秘的存在。你們想象中的他們可能是這樣的：

（敲什么不重要，重要的是背景很黑，看起來就很厲害……）

或者是這樣的：

（編劇對CTF和電子競技游戲的關(guān)系可能有某種誤解……）

看得人心潮澎湃，有沒有？

心想我要有這技術(shù)就好了，是不是？

但真實(shí)的情況并不是這樣。

現(xiàn)實(shí)中的黑客在攻擊前一般需要先收集目標(biāo)信息并對目標(biāo)進(jìn)行系統(tǒng)分析；而收集信息和發(fā)起攻擊都離不開機(jī)器或工具。

根據(jù)Distil Networks發(fā)布的報告顯示，機(jī)器流量約占全網(wǎng)流量的40%，其中惡意機(jī)器流量約占20%。

既然黑客攻擊離不開工具，那么我們就有識別工具的必要性。

多選題：人機(jī)識別就是用來識別：

A. 真實(shí)客戶端(比如瀏覽器)還是機(jī)器(比如工具)

B. 是一類進(jìn)行問答式身份驗(yàn)證的安全措施

C. 區(qū)別發(fā)起請求的是真實(shí)用戶還是不懷好意的攻擊者

答案：ABC

Why we need 人機(jī)識別？

在網(wǎng)絡(luò)安全領(lǐng)域中，爬蟲、掃描、暴力破解、DDoS等多種攻擊行為，都是通過工具發(fā)起的。

操縱者預(yù)設(shè)指令，由工具去自動執(zhí)行任務(wù)。

在進(jìn)行全局分析時，我們可以認(rèn)為這些操作都是惡意的且應(yīng)被阻斷的；然而單獨(dú)來看，每一個操作又是合理正常且沒有任何攻擊特征的。但是，沒有攻擊特征不代表無法識別。

這些針對業(yè)務(wù)發(fā)起的定制攻擊，絕大多數(shù)來自于自動化工具，或者說機(jī)器人。

如何區(qū)分一個請求的發(fā)起者是人還是機(jī)器？這就是人機(jī)識別的重要意義。

How to 人機(jī)識別？

對于機(jī)器發(fā)起的請求，除了直接攔截之外，還可以返回機(jī)器不理解的信息，讓機(jī)器無法進(jìn)行下一步，從而達(dá)到防御的目的。

我們不妨先對比下機(jī)器的特點(diǎn)，大多數(shù)情況下，機(jī)器只能按照預(yù)設(shè)的指定執(zhí)行，不能處理預(yù)設(shè)以外的交互信息。

比如小區(qū)管理，正常情況下業(yè)主刷卡就能進(jìn)；但如果小偷撿到卡了也可以進(jìn)入小區(qū)。

但如果某一天，保安要求說出房號姓名電話號碼時，只憑卡就進(jìn)不去了。

再比如某一天，物業(yè)對每個業(yè)主都設(shè)置了某種標(biāo)記，如果不知道這個標(biāo)記，當(dāng)然也不能進(jìn)入。

基于以上說到的這些特點(diǎn)，接下來我們聊聊識別機(jī)器的方法有哪些。

方法一：驗(yàn)證碼

最常見也最傳統(tǒng)的方法就是圖形化驗(yàn)證碼識別

早期的時候，這個方法確實(shí)很有效。一般的工具不理解，也不會主動輸入驗(yàn)證碼進(jìn)行校驗(yàn)；

雖然它仍然是目前被普遍使用的驗(yàn)證方法但隨著打碼平臺的出現(xiàn)，這種簡單的驗(yàn)證碼識別其適用的范圍變得越來越小。

另一種是創(chuàng)新的交互優(yōu)化型驗(yàn)證碼，它充分利用了人機(jī)之間知識的差異性通過人類可以解答而機(jī)器難以解答的問題進(jìn)行人機(jī)判斷。

比如12306的驗(yàn)證碼

近年來還出現(xiàn)了無知識型驗(yàn)證碼，其最大的特點(diǎn)是不再基于知識進(jìn)行人機(jī)判斷，而是基于人類固有的生物特征以及操作的環(huán)境信息進(jìn)行綜合判斷。

例如Google的新版ReCaptcha

方法二：動態(tài)令牌

除了驗(yàn)證碼識別，動態(tài)令牌也可以應(yīng)用于人機(jī)識別。動態(tài)令牌可用于身份驗(yàn)證，有的工具在收到令牌后不會再帶著令牌訪問從而被識別出來；

同時令牌可有效防止請求重放等非法操作；請求會根據(jù)上一個操作，動態(tài)生成每個請求唯一的令牌；

一旦令牌為空、重復(fù)使用或者被篡改就會被視為無效請求而被攔截。

方法三：混淆、封裝（加密）、動態(tài)驗(yàn)證

Web應(yīng)用存在較多敏感信息，如頁面內(nèi)容、JS源代碼、后續(xù)鏈接、表單信息等。

它們構(gòu)成了一個應(yīng)用的運(yùn)行邏輯。只要能夠判斷這種邏輯，應(yīng)用行為就是可以預(yù)測的，這也是爬蟲、掃描器等工具運(yùn)作的基本原理。

對應(yīng)用頁面的源代碼進(jìn)行混淆或加密，工具并不能正常解析混淆后的內(nèi)容，很大程度上能使工具失去作用。

對于具備JS解析能力的機(jī)器行為，還可以采用動態(tài)驗(yàn)證的方式來識別。

動態(tài)驗(yàn)證會校驗(yàn)JS的實(shí)際運(yùn)行環(huán)境，獲取設(shè)備指紋，采集客戶端行為，例如是否有鍵盤鼠標(biāo)操作以及在頁面停留時間等。

通過多維度數(shù)據(jù)分析，區(qū)分操作的是人還是機(jī)器。

這一步本身不是用于識別工具行為，卻可以有效防御借助工具進(jìn)行的中間人攻擊等行為。

方法四：風(fēng)險控制

-檢測到您本次操作存在風(fēng)險，操作被拒絕

當(dāng)我們的業(yè)務(wù)越來越大，并且面向的用戶越來越復(fù)雜的時候，上面我們提到的這些簡單的規(guī)則很難應(yīng)付業(yè)務(wù)或用戶的復(fù)雜多變。

這時候就需要通過數(shù)據(jù)分析的方式，來動態(tài)的、實(shí)時的調(diào)整我們的規(guī)則和處理方式，以及提供風(fēng)險分析、預(yù)測等功能。這時候我們可能需要有一個獨(dú)立的風(fēng)控服務(wù)。

做過支付業(yè)務(wù)的小伙伴可能會接觸的比較多，支付風(fēng)控十分繁雜，防控規(guī)則策略可達(dá)上千條，甚至上萬條。

那我們看到上面有看到，針對不同的模板的場景來確定風(fēng)險等級，然后來做不同的操作，這塊其實(shí)就涉及到風(fēng)控相關(guān)了。只是比較初級，比如風(fēng)險等級如何確定？每個風(fēng)險等級需要做什么樣的事情？如何進(jìn)行動態(tài)的配置等等。

舉個栗子：

• 我們可以收集用戶的行為軌跡（注冊時間、登錄次數(shù)、頁面訪問情況等）來分析一個用戶，確定用戶的風(fēng)險等級，再決定他可以執(zhí)行那些操作。
• 根據(jù)模板的歷史趨勢，來自動判斷相應(yīng)短信模板的合理范圍，如果達(dá)到上限，則認(rèn)為存在風(fēng)險操作，可以做對應(yīng)的處理。
• 配置相應(yīng)的規(guī)則，如果某個設(shè)備在單位時間內(nèi)重復(fù)N次發(fā)送請求操作，并都無反饋結(jié)果，則認(rèn)為存在風(fēng)險。
• 等等

這樣的風(fēng)控還適用于發(fā)送短信驗(yàn)證的風(fēng)險識別，包括注冊、登錄、支付操作等等。畢竟發(fā)送短信驗(yàn)證碼是需要一定費(fèi)用的，這和產(chǎn)品利益直接掛鉤，一個好的風(fēng)控系統(tǒng)十分必要。當(dāng)然，這也不是一蹴而就的，需要長時間的積累和建設(shè)。

比如上面說到的用戶行為軌跡和模板趨勢，都需要有全面的埋點(diǎn)和數(shù)據(jù)平臺作為支撐。還有如果業(yè)務(wù)要求比較高，還需要開發(fā)適合自己業(yè)務(wù)的規(guī)則引擎。但是當(dāng)風(fēng)控系統(tǒng)建設(shè)起來之后，效果也是明顯的！

當(dāng)然，風(fēng)控服務(wù)并非無可參考，國內(nèi)就有公司一直致力于支付風(fēng)控服務(wù)研究，對于風(fēng)控業(yè)務(wù)頗為熟悉。再經(jīng)過長時間試驗(yàn)，推出了短信風(fēng)控服務(wù)——短信風(fēng)控防火墻。

總結(jié)一下

以上幾種方法都有其使用的場景，但也有自身的局限性。我們可以根據(jù)業(yè)務(wù)情況以及風(fēng)險程度來選擇使用，已達(dá)到更好的識別和防護(hù)效果。

安全無大小，防護(hù)需謹(jǐn)慎。

>> 相關(guān)閱讀

《風(fēng)控防火墻使用教程》