黃泊

摘要：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，信息安全問題也不容小覷，大量的羊毛黨依靠網(wǎng)絡(luò)信息安全漏洞竊取商家勞動成果，為電商帶來經(jīng)濟(jì)上的損失，基于此，本文研究了驗(yàn)證碼的識別與攻防。

關(guān)鍵詞：驗(yàn)證碼;電商網(wǎng)站;羊毛黨

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2020）02-0195-02

0 引言

近年來，電商網(wǎng)絡(luò)安全問題屢見不鮮，前段時(shí)間沸沸揚(yáng)揚(yáng)的果小云事件給各大電商們上了生動的一課，保護(hù)電商們的合法利益勢在必行。每年的11月11日，儼然成為了大眾的購物狂歡節(jié)，制定如此多的營銷活動，很有可能由于忙中出亂而導(dǎo)致的信息紕漏，這無疑給了羊毛黨可趁之際。因此，加強(qiáng)驗(yàn)證碼識別與攻防工作，為電商合法利益筑起最后一道屏障。

1 驗(yàn)證碼特征分析

1.1 驗(yàn)證碼的特征

（1）驗(yàn)證碼由計(jì)算機(jī)系統(tǒng)生成。（2）驗(yàn)證碼的識別難度在普通人的認(rèn)知范圍之內(nèi)。計(jì)算機(jī)系統(tǒng)所生成驗(yàn)證碼難度識別范圍應(yīng)是常人直接理解的，而且要求人能夠快速識別信息并解決它。如果計(jì)算機(jī)給予一個(gè)專業(yè)性較強(qiáng)的學(xué)術(shù)型問題讓作為驗(yàn)證碼讓辨認(rèn)者識別，即使是合法訪問該網(wǎng)站也無法獲得進(jìn)入權(quán)限，那么驗(yàn)證碼也就失去了其存在的實(shí)用價(jià)值。（3）計(jì)算機(jī)很難自動識別驗(yàn)證碼。計(jì)算機(jī)無法推斷出驗(yàn)證碼驗(yàn)證公式，即使是最簡單低級的驗(yàn)證碼。驗(yàn)證碼和驗(yàn)證信息集合范圍必須足夠大，這樣計(jì)算機(jī)就無法通過幾率事件識別驗(yàn)證碼;驗(yàn)證碼算法是公開的，以此其算法應(yīng)該具備單向陷門函數(shù)特征，避免出現(xiàn)計(jì)算機(jī)識別驗(yàn)證方式。

1.2 驗(yàn)證碼的形式化定義

當(dāng)前而言，學(xué)術(shù)界對于驗(yàn)證碼定義、分類及理解并未形成統(tǒng)一的認(rèn)知，不同學(xué)者對于同種類型驗(yàn)證碼的定義和描述也各不相同。從驗(yàn)證碼特征來看，最貼切的定義為由計(jì)算機(jī)內(nèi)部系統(tǒng)生成，防止計(jì)算機(jī)惡意入侵而人能夠輕松識別的一種驗(yàn)證方式。

驗(yàn)證碼的通用表達(dá)方式為（i，c，f）。其中i代表著驗(yàn)證碼的集合范圍;c代表驗(yàn)證碼驗(yàn)證方式集合;f表示i到c的一對映射。為了降低計(jì)算機(jī)驗(yàn)證識別的幾率，在人能夠識別認(rèn)知范圍之內(nèi)，可適當(dāng)擴(kuò)大驗(yàn)證碼的集合范圍，這樣一來就避免計(jì)算機(jī)猜測識別認(rèn)證的出現(xiàn)。假設(shè)i中存在n個(gè)元素，而被計(jì)算機(jī)隨機(jī)猜中的概率則為1/n，那么在合理范圍內(nèi)無限擴(kuò)大i，計(jì)算機(jī)破解幾率也會相應(yīng)降低;c中的元素需要簡單的判斷力才能識別出來，計(jì)算機(jī)缺乏感性思想因而無法輕易識別;f是陷門函數(shù)，存在目的在于為了避免計(jì)算機(jī)根據(jù)c中元素猜測出i中的元素。

2 驗(yàn)證碼分類及其攻防對策研究

2.1 信息類型分類及其攻防對策

（1）正文驗(yàn)證碼是計(jì)算機(jī)系統(tǒng)自主生成的一串圖文，需要辨別者甄別圖文中特定的文字。該驗(yàn)證碼的攻擊關(guān)鍵在于將圖文中的字符與背景分離，并利用OCR技術(shù)或ASR技術(shù)，達(dá)到破解驗(yàn)證碼的目的。想要提高正文驗(yàn)證碼識別難度，可利用各種扭曲變形圖案增強(qiáng)文字背景辨別難度，從而提高此類驗(yàn)證碼安全性。（2）圖像驗(yàn)證碼是計(jì)算機(jī)從內(nèi)部系統(tǒng)中隨機(jī)選擇的一副圖像作為驗(yàn)證手段，辨別者需從圖像中甄別特定圖像信息，該驗(yàn)證答案并不統(tǒng)一，只適用于特定的驗(yàn)證中。由于該驗(yàn)證方式答案較為集中，僅有為數(shù)不多的答案供辨別著參考，容易受到猜測攻擊。想要提高此類驗(yàn)證方式識別難度，讓辨別者點(diǎn)擊圖像中包含的特定對象，減少猜測手段的使用。（3）圖形驗(yàn)證碼是計(jì)算機(jī)從內(nèi)部系統(tǒng)中隨機(jī)選擇的一副圖片作為驗(yàn)證手段，辨別者只需要甄選與組圖相關(guān)內(nèi)容即可完成驗(yàn)證。這種驗(yàn)證手段的缺陷在于忽視了相似性對比的考量。想要提高此類驗(yàn)證方式的辨別難度，可為辨別者提供一組多種類型的圖形，并讓辨別者從中篩選出特定類型的圖片。圖形驗(yàn)證碼對計(jì)算機(jī)圖形庫的儲存量有一定要求，以確保將圖形選擇重復(fù)率降至最低。（4）視頻驗(yàn)證碼是計(jì)算機(jī)從內(nèi)部系統(tǒng)中選擇一段視頻作為驗(yàn)證手段，辨別者只有回答出與視頻相關(guān)內(nèi)容才能夠完成驗(yàn)證。這種驗(yàn)證方式目前并不常見，通過播放一段視頻，要求辨別者回答視頻中的所發(fā)生的的事件、或視頻中人物之間的關(guān)系等。（5）音頻驗(yàn)證碼是計(jì)算機(jī)中從內(nèi)部系統(tǒng)中選擇一段音頻作為驗(yàn)證手段，辨別者通過重復(fù)音頻中特定的語句完成驗(yàn)證，ASR技術(shù)對此類驗(yàn)證方式存在很大的威脅。想要提高此類驗(yàn)證方式識別難度，可用語言相關(guān)信息作為驗(yàn)證手段，如講述一道簡單的數(shù)學(xué)題，讓辨別者輸入正確答案[2]。

2.2 識別方式分類及其攻防對策

以識別方式為分類依據(jù)，驗(yàn)證碼可分為顯性驗(yàn)證碼與隱性驗(yàn)證碼兩類。顯性驗(yàn)證碼又名直接驗(yàn)證碼，可以讓辨別者直接從圖形文字中提取關(guān)鍵信息。隱性驗(yàn)證碼是需要辨別者根據(jù)所提供的圖形文字甄選特定信息，例如有些驗(yàn)證碼為計(jì)算機(jī)系統(tǒng)中的生成圖形，辨別者需要將圖形旋轉(zhuǎn)至正確方向。從當(dāng)前已有的驗(yàn)證方式看，音頻驗(yàn)證安全性最高。

3 驗(yàn)證碼通用攻擊及其對策研究

3.1 驗(yàn)證碼的通用攻擊

除了各類技術(shù)攻擊，人為攻擊驗(yàn)證碼也十分普遍，常見的有代理人及走私攻擊。代理人攻擊是指攻擊者借助某用戶訪問該網(wǎng)站的請求完成自己攻擊目的，利用網(wǎng)站用戶破解驗(yàn)證碼，使用戶在無意中幫助攻擊者完成識別。走私攻擊是指攻擊者在其控制僵尸網(wǎng)絡(luò)的僵尸中注入相關(guān)的惡意代碼插件，當(dāng)僵尸用戶瀏覽網(wǎng)頁或申請某種服務(wù)的過程中，攻擊者在認(rèn)為合理的用戶操作前攔截其網(wǎng)絡(luò)交互，然后發(fā)給僵尸用戶一個(gè)攻擊者需要解決的驗(yàn)證碼，使用戶以為是正常服務(wù)網(wǎng)站的驗(yàn)證碼，并幫助攻擊者完成驗(yàn)證。這兩類驗(yàn)證碼攻擊方式都屬于借助他人之手完成驗(yàn)證需求，但依靠計(jì)算機(jī)系統(tǒng)很難解決這類人為攻擊手段?？梢?，當(dāng)前驗(yàn)證碼面臨的攻擊是來自多方面的，因此驗(yàn)證碼的完善與改進(jìn)還有很長的路要求。

3.2 動態(tài)驗(yàn)證碼對策

動態(tài)驗(yàn)證碼需要計(jì)算機(jī)系統(tǒng)與辨別者雙方間的信息互動，很大程度上避免了機(jī)器代輸驗(yàn)證碼狀況，有較強(qiáng)的的抵御分類攻擊的能力。能否有效抵御代理人及走私攻擊，應(yīng)確保交互驗(yàn)證的程序不會被轉(zhuǎn)發(fā)至第三方。因此在用戶進(jìn)入某個(gè)網(wǎng)站時(shí)，網(wǎng)站服務(wù)器首先應(yīng)獲取該計(jì)算機(jī)用戶的IP地址等相關(guān)信息，確保驗(yàn)證信息不會傳達(dá)至陌生IP地址。這樣一來，即使第三方IP地址收到驗(yàn)證信息也會因?yàn)镮P地址不符而無法通過驗(yàn)證。

3.3 隱性驗(yàn)證碼對策

在設(shè)置隱性驗(yàn)證碼時(shí)，盡量要求辨別者通過音頻或圖像表面現(xiàn)場傳達(dá)深層次的含義，避免出現(xiàn)過于直觀的暗示或解讀。語言內(nèi)涵豐富，情感復(fù)雜，是智能人工系統(tǒng)無法觸及的領(lǐng)域，因此將語義規(guī)則作為驗(yàn)證手段，能夠有效抵御計(jì)算機(jī)技術(shù)的攻擊，另外，Cookie機(jī)制的應(yīng)用也不失為一種有效的防御手段。

4 結(jié)語

總之，對于電商而言，驗(yàn)證碼的識別與攻防難度直接關(guān)乎到他們的切身利益。網(wǎng)絡(luò)購物的特點(diǎn)是發(fā)展速度快、時(shí)間短，目前并未有完善法律措施維護(hù)電商們的利益，羊毛黨的無孔不入使電商蒙受巨大的經(jīng)濟(jì)損失，因此，提高驗(yàn)證碼識別難度，針對相應(yīng)的攻擊手段完善技術(shù)缺陷是十分有必要的。

參考文獻(xiàn)

[1] 張會奇.驗(yàn)證碼識別的FCM改進(jìn)算法研究[J].福建電腦，2019（10）：31-33.

[2] 湯戰(zhàn)勇，田超雄，葉貴鑫，等.一種基于條件生成式對抗網(wǎng)絡(luò)的文本類驗(yàn)證碼識別方法[J/OL].計(jì)算機(jī)學(xué)報(bào)，2019：1-18[2020-02-03].

Identification Attack and Defense of? Verification Code

——Take the E-commerce Website to Prevent the Wool Party as an Example

HUANG Bo

（Heyuan Open University， Heyuan? Guangdong? 517000）

Abstract：With the development of network technology， the problem of information security should not be underestimated， a large number of wool parties rely on the loopholes of network information security to steal the labor achievements of businesses and bring economic losses to e-commerce， based on this， this paper studies the identification， attack and defense of verification code.

Key words：verification code; e-commerce website; wool party