95行代码破解极验?可能还不够

2018-05-11 274940人围观 ,发现 12 个不明物体 WEB安全

作为全国市场占有率第一的交互安全服务商,有关方面针对极验旗下“行为验证”产品的研究工作从未停止。类似《95行代码破解极验滑动验证码测试(附源码)》的文章,每年都会出现在各大平台网站上,对此极验官方一直保持着高度关注。 

未标题-1.jpg 

一直以来,极验坚持的理念是:醉心技术,以不变之变以应万变。通过不断地钻研技术,升级产品,每日迭代更新,全网联动联防。在攻防过程中,始终将对手甩在身后,我们团队始终坚守着,因为我们相信行动才是最好的回应。

所以,在我们看来,大家围绕着“行为验证”安全产品而展开的相关技术细节讨论,是对我们最大的推动,极验“行为验证”的成功离不开大家的建言献策。

同时,我们又发现,围绕“行为验证”的讨论开始逐渐偏离大家的初衷。

一部分人逐渐忽视对于客观事实的把握,而走向另外一个极端。甚至,可能被某些动机并不单纯的人所利用。这样直接导致很多企业以及用户,因不了解相应产品或技术关键,很容易造成理解偏差,甚至是恶意误导。

因此,针对此事,极验特做以下声明:

针对《95行代码破解极验滑动验证码测试(附源码)》一文所涉及内容,极验团队非常重视,并在第一时间安排行为验证团队进行跟踪研究与反复求证。最终事实证明与文章所述内容存在较大出入,所涉及言论存在不实。极验官方现已将相关材料递交网站平台负责人,目前文章内容已被网站处理。

经过反复核查求证,文章所述与事实不符,详情可查看视频 

具体结论如下:

通过按键精灵拖动的几次全部模型封禁,这足以说明极验“行为验证”对机器自动化是有很好的防御作用的

最后手工拖动了一次,自然人的行为直接通过,证明极验“行为验证”对正常用户操作友好而且不会误封

此程序运行效率并不高,每执行一次周期大概要好几秒。而且根据极验“行为验证”的后续的一些动态策略,即使万一前几次能成功,当自动化次数上一定量后,由聚类等机器学习策略组成的模型会生效,也会立刻实现封禁效果。

同时,正好利用这次机会,顺便给大家介绍一下支持“行为验证”安全产品背后的“黑科技”,好让大家明白这是个看似简单的安全产品,背后强大的技术支撑:

“行为验证”本质上是一个人工智能产品

geetest-人工智能决策 下午2.49.23.gif

人工智能决策演示效果

我们还会从多个维度对用户的交互行为进行采集,一部分数据进行特征工程,通过哈希随机森林进行处理判别,另外一部分数据通过卷积神经网络进行训练并输出差别结果。

“行为验证”是一个动态升级的系统

极验作为全国起步最早,目前市场占有率第一的验证安全服务商,平均每天产生的交互数据高达二十亿次。6年来,极验积累了海量数据存量,并且,每天又有大量新增数据产生。

同时,极验拥有全自动化的数据处理集群和先进的建模团队,用高效的工程能力和前沿的技术能力,不断地和黑产作抗争,每天不断更新打磨我们的产品,为政府、企业以及广大用户安全保驾护航。

“行为验证”具有强大的静态和动态分辨能力

正如前面所述,海量的数据+先进的数据处理集群+人工智能,通过有监督的机器学习方法,对于静态的单次的模拟行为,极验有很强的人机区分能力。对于一些新出现的攻击模式,极验团队通过无监督的在线聚类模型,能够快速的发现怀疑聚集区,从而尽早发现预警,并进行精确打击,动态模型可以实现完全实时在线运行和监控及决策。

极验独创的逻辑严密的“三防体系”

对于目前主流的攻击行为,极验具备“防模拟,防伪造,防暴力”的能力。这些能力在后端全部由AI进行智能感知和决策。

防模拟

在前面已经介绍了,我们的动态和静态模型对于模拟的轨迹具备很强的区分能力和动态学习防御能力。

geetest-防模拟.gif

极验“三防体系”之防模拟演示效果

防伪造

只要是伪造了客户端环境的行为,在此能力下也将无处遁形。极验在海量验证数据下,对各种平台的行为数据进行了深度特征挖掘。

通过这些特征我们可以对客户端环境进行比较良好的区分,对于伪造环境的情况,在此能力下也将暴露无遗。

geetest-防伪造.gif

极验“三防体系”之防伪造演示效果

image005.png

image007.png

防暴力

对于一些极端的黑产组织,在多次尝试无效之后,会进行类似DDos的攻击。对此,我们也有应对策略,极验首次在验证安全产品中引入工作量证明。对于暴力攻击的客户,我们会强制要求提交CPU密集计算的题目,强制消耗硬件资源,有效避免了暴力攻击。

geetest-防暴力.gif

极验“三防体系”之暴力造演示效果

精巧设计的蜜罐功能

极验在客户端数据采集部分引入了众多参数,而且进行了强大的混淆。。这些看似无意义甚至无关的参数,实际上是有着密切的关联。如果黑产组织不修改这些参数,那么这些就成为我们定位追踪的依据,但是如果黑产组织在尝试修改这些参数的时候,就会落入我们设置的蜜罐陷阱,直接捕获。

image011.png

通过上面的那些介绍,相信大家已经对极验的产品有了一定的了解了。其实安全这个行业,就是不断攻防的过程,作为安全从业人员,时刻都在枕戈待旦,沙场点兵。

我们全体极验人也在不断地努力钻研,自我挑战。只为打造更加智能、更加安全以及更加友好的产品,所以才有了上述这些完整的逻辑体系和技术体系。

最后,极验团队也有些题外话跟大家说:

首先,我们非常欢迎大家就交互安全技术展开交流,并筹办AI在交互安全行业的相关分享交流活动,最近一场将在5月17日,我们也将在斗鱼以及微信上进行同步直播报道,有兴趣大家可以参与进来。

同时,我们都知道,安全是一个不断攻防迭代升级的过程。所以,极验团队感谢大家一直以来的关注,大家宝贵的意见会帮助极验不断改进迭代,不断完善产品,欢迎大家积众人之力一起为净化互联网环境做贡献。

极验有最先进的验证破解和反破解技术,但是我们不乱传,不滥用。因为我们不忘守护安全的使命,时刻以强大的技术团队为大家的安全保驾护航。

而利用技术手段,窃取利益的黑产组织是我们共同的对手,试图扰乱网络公平与正义的不法分子,极验将会坚决与他们抗争到底。

对于技术爱好者,极验希望能够和大家成为朋友,我们热烈欢迎大家多和我们共同交流,共同成长,一起为安全公正的网络环境出策出力!

最后欢迎大家批评交流。

* 本文作者GEETEST极验,转载注明来自FreeBuf.COM

发表评论

已有 12 条评论

取消
Loading...
css.php