對(duì)傳統(tǒng)驗(yàn)證碼而言，便捷和安全長(zhǎng)期以來一直是魚與熊掌的關(guān)系。

這可從 12306 與黃牛多年的斗爭(zhēng)史中看出。

最先開始，買火車票只需要輸入簡(jiǎn)單數(shù)字或數(shù)字加字母即可，后來有了加減法算式，以宅宅的數(shù)學(xué)水平勉強(qiáng)可以應(yīng)付。

直到出現(xiàn)一閃一閃的動(dòng)態(tài)碼和變形字母，第一次體會(huì)到眼睛都快看瞎了，還是輸不對(duì)的抓狂情況↓↓↓

但這些與后來推出的圖片驗(yàn)證碼相比，還只是小兒科，一大波網(wǎng)友用自己的 PS 技能大開腦洞，以此吐槽12306 反人類的驗(yàn)證碼設(shè)計(jì)↓↓↓

▲網(wǎng)友戲稱不懂娛樂圈、不看動(dòng)作片的人，沒資格買票回家

越復(fù)雜的驗(yàn)證碼越能保障安全？

12306 拼命把驗(yàn)證碼弄復(fù)雜的原因，目的就是識(shí)別出背后同你一起搶票的機(jī)器。

作為區(qū)分計(jì)算機(jī)和人類的一種程序算法，驗(yàn)證碼可有效對(duì)抗機(jī)器的大批量自動(dòng)化訪問，這也催生了從事識(shí)別驗(yàn)證碼的各路黑產(chǎn)。

有關(guān)驗(yàn)證碼的黑色產(chǎn)業(yè)鏈，雷鋒網(wǎng)此前曾做過相關(guān)報(bào)道一秒分辨出楊臣剛、王大治和孫楠，這個(gè)黑產(chǎn)居然用AI 來"打碼"，其中提到的“撞庫”便是黑產(chǎn)慣用的伎倆。

在網(wǎng)絡(luò)黑產(chǎn)中，不法分子竊取網(wǎng)站數(shù)據(jù)庫后，需要確認(rèn)帳號(hào)對(duì)應(yīng)的密碼是否正確，將有價(jià)值的數(shù)據(jù)通過驗(yàn)證的方式篩選出來，這一過程叫“曬密”，即撞庫。

那這與驗(yàn)證碼有何關(guān)系？

“曬密”最核心的障礙就是互聯(lián)網(wǎng)公司設(shè)置的驗(yàn)證碼安全體系。每天面對(duì)數(shù)以億計(jì)的“曬密”需求，黑產(chǎn)分子不可能人工逐個(gè)識(shí)別，而是需要提高“曬密”效率，批量識(shí)別。

如果闖過了驗(yàn)證碼這關(guān)，黑產(chǎn)就可以使用海量的賬號(hào)密碼去“薅羊毛”、進(jìn)行垃圾注冊(cè)、搶票等。

在巨大的利益面前，“打碼平臺(tái)”這一專業(yè)服務(wù)便應(yīng)運(yùn)而生，下圖就是機(jī)器識(shí)別數(shù)字字母驗(yàn)證碼的過程。

為了提高黑客的攻擊成本，我們的驗(yàn)證碼變得越來越復(fù)雜，便捷和安全在很長(zhǎng)時(shí)間中，只能二選一。

但是，近年來隨著人工智能在圖像識(shí)別領(lǐng)域的飛速發(fā)展，當(dāng)機(jī)器 PK 肉眼時(shí)，還真不一定誰占上風(fēng)。

在雷鋒網(wǎng)對(duì)“快啊答題”的報(bào)道中就提到：

其打碼平臺(tái)基于主流 AI 深度學(xué)習(xí) Caffe 框架，使用 vgg16 卷積核神經(jīng)網(wǎng)絡(luò)模型，可以直接輸入原始圖像（避免了對(duì)圖像的復(fù)雜前期預(yù)處理），并能通過深度的機(jī)器學(xué)習(xí)來獲得較高的驗(yàn)證碼識(shí)別率。

當(dāng)機(jī)器可以理解圖像的含義時(shí)，傳統(tǒng)的驗(yàn)證碼就不再安全了。

揭秘行為式驗(yàn)證碼背后的故事

那有沒有一種方法可以同時(shí)兼顧安全和用戶體驗(yàn)？

一家名為極驗(yàn)的公司，正嘗試通過深度學(xué)習(xí)，構(gòu)建生物行為特征模型來解決上述問題。

創(chuàng)始人張振宇曾用電影中的一個(gè)例子來講他們正在做的事情：

在阿湯哥主演的《碟中諜5》中，有個(gè)劇情是他們要進(jìn)入安全機(jī)構(gòu)拿檔案，最開始有指紋識(shí)別，后來是人臉識(shí)別，但是最終極的安全措施是通過你的步伐來識(shí)別進(jìn)行認(rèn)證，這就是行為式驗(yàn)證。

張振宇所提到的驗(yàn)證方式之一，就是我們所見到的滑動(dòng)模塊驗(yàn)證，過程有些像拼圖。

其實(shí)這種滑動(dòng)模塊驗(yàn)證很多人早已體驗(yàn)過，相比傳統(tǒng)的驗(yàn)證碼要識(shí)別字母、數(shù)字或者點(diǎn)選文字圖像等方式，這種方式的便捷性是可以直接感受到的，那這種方式是如何來保障安全性的？ 

張振宇向雷鋒網(wǎng)解釋，滑動(dòng)模塊時(shí)，可以根據(jù)鼠標(biāo)或是觸摸的時(shí)間、加速度、上下浮動(dòng)的頻率等維度來進(jìn)行分析，然后通過深度學(xué)習(xí)的方式去建模，找出其中更多維度之間的關(guān)聯(lián)。

這就是極驗(yàn)行為式驗(yàn)證服務(wù)的核心技術(shù)原理，據(jù)雷鋒網(wǎng)了解，今年行為式驗(yàn)證進(jìn)行了一次升級(jí)，由滑動(dòng)模塊驗(yàn)證升級(jí)為點(diǎn)選認(rèn)證。

簡(jiǎn)單來說，這款名為“Test-button”驗(yàn)證產(chǎn)品，不需要經(jīng)過滑動(dòng)模塊的動(dòng)作也可以完成識(shí)別，絕大部份正常用戶直接點(diǎn)擊登錄、注冊(cè)等按鈕后直接就能完成操作。

這是如何實(shí)現(xiàn)的？

張振宇解釋，這是把原來在滑動(dòng)驗(yàn)證中才開始識(shí)別的過程提前了，網(wǎng)站主將 Test-button 隱藏部署到登陸、注冊(cè)等按鈕中，當(dāng)你點(diǎn)擊這些按鈕時(shí)，就能同步就會(huì)完成驗(yàn)證過程。

在和許多客戶深入交流的過程中發(fā)現(xiàn)，不論是批量垃圾注冊(cè)還是撞庫登錄，薅羊毛還是刷帖刷票等，他們其實(shí)真正需要解決的是系統(tǒng)性的業(yè)務(wù)安全問題，驗(yàn)證碼是幫助客戶解決問題的一個(gè)重要工具，但不是全部。

基于這個(gè)訴求，張振宇和團(tuán)隊(duì)結(jié)合之前在生物特征與交互安全上的積累，希望做出針對(duì)不同企業(yè)的整套安全解決方案。

如果說之前的產(chǎn)品只是針對(duì)驗(yàn)證碼而言，那之后他們希望將基于生物行為的安全模型帶到對(duì)整個(gè)網(wǎng)絡(luò)行為的識(shí)別中。

以生物行為特征構(gòu)建多尺度安全模型

在最近的2017先知?jiǎng)?chuàng)新大會(huì)上，張振宇分享了背后的技術(shù)原理。

在底層生物特征層中，主要專注于非常細(xì)微的鼠標(biāo)行為或者觸摸行為，由此來判斷產(chǎn)生的數(shù)據(jù)符不符合生物特征模式。在這個(gè)過程中，會(huì)用到CNN（卷積神經(jīng)網(wǎng)絡(luò)）對(duì)鼠標(biāo)軌跡或觸摸進(jìn)行人機(jī)判別；會(huì)從群體維度大規(guī)模樣本進(jìn)行群體分布或者聚類分析，找出異常群體等。這部分技術(shù)是極驗(yàn)之前積累最深厚的。

在動(dòng)作交互層中，則不再關(guān)注鼠標(biāo)序列等非常細(xì)微的特征，開始和業(yè)務(wù)有了進(jìn)一步的接觸。其中主要有兩種模型，分別是動(dòng)作模型和交互模型。動(dòng)作模型就是關(guān)注用戶跨頁面的點(diǎn)擊喜好、停頓、速度等行為，交互模型就是關(guān)注結(jié)構(gòu)布局、頁面內(nèi)容、甚至目標(biāo)用戶群體等，這個(gè)也和生物特征建模密切關(guān)聯(lián)。

在演講現(xiàn)場(chǎng)，張振宇用下面這張布滿格子的圖，來解釋動(dòng)作交互層的一個(gè)實(shí)踐案例。

▲格子化的位置預(yù)測(cè)

可以把上圖看成是一個(gè)普通的網(wǎng)頁，被分為很多的格子，圖中深色的部分，代表這樣的格子間的轉(zhuǎn)移概率非常大，即我們的鼠標(biāo)或是觸屏的活動(dòng)在這些部位很集中。

這個(gè)實(shí)驗(yàn)印證了之前他們的想法，即在不同頁面結(jié)構(gòu)，不同的內(nèi)容上會(huì)形成生物特征序列的不同模式。利用 RNN（循環(huán)神經(jīng)網(wǎng)絡(luò)）對(duì)這些格子序列進(jìn)行訓(xùn)練模型，還可以做進(jìn)一步的預(yù)測(cè)和分析。

在第三層場(chǎng)景模型中，就會(huì)和企業(yè)業(yè)務(wù)有更緊密的結(jié)合。比如像航空等票務(wù)網(wǎng)站，會(huì)有具體的選座行為，正常人在這樣的場(chǎng)景下，有相應(yīng)的目的和習(xí)慣。比如我們進(jìn)入攜程訂機(jī)票和去斗魚看直播，會(huì)有不同的行為特征，可以以此做分析推測(cè)。

我們認(rèn)為所有交互動(dòng)作，在最宏觀的層面，都是代表了業(yè)務(wù)意圖的習(xí)慣。

在第四層意圖模型中，張振宇更強(qiáng)調(diào)通過大規(guī)模圖計(jì)算來做關(guān)聯(lián)分析，發(fā)現(xiàn)異常的聚集，通過建立數(shù)據(jù)之間的關(guān)聯(lián)，可以發(fā)現(xiàn)一些傳統(tǒng)的方法做不到的異常。

這四個(gè)模型不是單純累加起來，比如生物特征層的分析，其訓(xùn)練得到的特征可以輸入到上一層，去幫助上層建模，同樣在上層分析出的結(jié)果，可以指導(dǎo)下層學(xué)習(xí)的目標(biāo)，這樣才能有反饋形成閉環(huán)，從而把億萬級(jí)的生物行為特征數(shù)據(jù)所蘊(yùn)含的‘安全’信息釋放出來。

那通過生物特征識(shí)別，真的能保證安全性嗎？

盯著極驗(yàn)的黑客可不少，在知乎中就有“極驗(yàn)驗(yàn)證可以被破解嗎”這一話題，雷鋒網(wǎng)編輯看到，早在 3 年之前，就有黑客針對(duì)當(dāng)時(shí)的產(chǎn)品漏洞，在 github上將破解程序開源，并指出當(dāng)時(shí)極驗(yàn)的前端加密有缺陷。

針對(duì) 3 年前的這個(gè)破解，張振宇說當(dāng)時(shí)他們也立馬采取了升級(jí)模型和前端加密等措施，幾年來團(tuán)隊(duì)也一直在關(guān)注這個(gè)話題的更新。

如今極驗(yàn)的客戶數(shù)量已經(jīng)超過20萬家，遭遇各路黑客的攻擊并不少見。

目前的體系是非常嚴(yán)密的依靠AI算法進(jìn)行防御的體系，會(huì)以天甚至是小時(shí)來更新迭代。

他坦言，安全永遠(yuǎn)是攻防對(duì)抗升級(jí)的過程，只有知道如何攻擊，安全模型才會(huì)更加可靠。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。