极验验证谈安全验证面临的挑战及行为式验证分析
大小:0.5 MB 人气: 2017-10-13 需要积分:1
标签:极验验证(1464)
三年磨一剑创业三年来,极验验证一直通过SaaS服务模式来对外提供服务,开发者在接入验证时加入一行代码就可以使用,后续的升级维护和数据统计由极验验证负责,开发者只需在后台网站通过鼠标进行管理和设置。张振宇表示:“回看过往案例,如游戏类网站在上线极验验证服务后刷号率至少降低了95%,而论坛购物类的网站用户在验证界面停留时间缩短了至少20秒,目前人均验证时间仅为1.82秒,我们的产品极大提高了用户的体验。所以,极验验证给网站主带来的是安全性和用户体验的双重提升。”这样的成绩是可以让张振宇感到满意的,同时张振宇也提出了过程中遇到的一些挑战,以及极验验证自身一直在提倡的新形势验证技术。
滑块验证实现
1、流量快速增长带来的挑战
作为提供验证安全的SaaS服务,张振宇认为极验在发展过程中主要的问题还是流量快速增长给技术团队带来的挑战。12年底产品刚刚上线迭代的时候,由于流量较小,只用一台云服务器主机就可以支撑。到了13年年底的时候,极验验证接入了一个游戏网站,该网站当时正在举办一个游戏评选的活动,请求量一下从几万上升到几百万,虽然提前做好准备进行了横向扩展,但是还是导致高峰时间响应会延迟,并且在发送日志的时候会造成丢失。于是极验验证开始对后台服务架构重构,将服务进行分层,同时加入缓存机制、优化数据库等,单机并发量提高10倍。之后在极验验证的发展过程中,基本是每隔半年都会进行大的升级,不断尝试业界成熟的框架和模式,如果不能满足要求,就自己开发。截止目前,极验验证每天数亿的请求量,只使用了不到10台的服务器。另外,由于客户的增多,使用场景和移动终端也越来越复杂,导致每次升级的时候会遇到一些兼容性问题,所以极验验证在后期也不断完善自己的运维发布机制,加入自动化和人工测试机制,保证每次升级都非常稳定。
2、“行为式验证”技术
张振宇提出,极验验证是全球首家行为式验证技术服务提供商,致力于为各大网站、应用、企业提供验证安全2.0全套解决方案。其核心技术是“行为式验证安全”,构建在多门学科的理论基础之上,具有多重复合且相互异维的高强度防御体系。
行为式验证技术的核心思想是利用用户的“行为特征”来做验证安全判别。整个验证框架采用高效的“行为沙盒”主动框架, 这个框架会引导用户在“行为沙盒”内产生特定的行为数据,利用“多重复合行为判别”算法从特指、视觉、思考等多重行为信息中辨识出生物个体的特征, 从而准确快速的提供验证结果。
行为式验证技术特征原理示意图
通俗地讲,行为式验证技术就是通过采集用户在完成验证过程中的行为数据来判断它到底是人还是机器,它与传统图片验证码有本质的不同。传统图片验证码是基于图像识别,它最终用来判断验证是否通过的信息只是识别任务是否完成的状态,只有一个维度的信息,是一种能力判断模式,而行为式验证则是基于用户的行为信息来判断,也就是就算你正确完成了这个任务,但是完成过程中的行为不符合人类特征,那依然会判定你是机器,是行为判别模式。行为验证的核心技术是需要大量理论积累的,经过四年多的理论研究和不断创新,在采集的超过100亿份行为样本的基础上,极验验证提取出了超过200个有效区分人和机器的行为特征,并以这些特征为基础,构建了由多个机器学习模型共同组成的行为验证判别系统。
憧憬未来
“三年前,极验验证从验证码的痛点切入到验证安全领域,引领了验证安全2.0的技术变革。截止今日,已经有6万多家网站使用我们提供的验证安全服务,并且还在迅速增长。”张振宇兴奋的说道。每个网站都需要验证,这是刚需,而且随着互联网的继续发展,需要保护的资源越来越多,很多目前没有部署验证码的场景都会使用验证。
随着互联网安全事件的增多,网络安全已经越来越受到人们的重视,验证安全作为其中的一个环节,由于技术长期长期没有更新,亟待突破。极验验证通过行为式验证进行了大胆创新,相信未来验证安全的技术还会有更大的创新,特别是随着机器学习和深度学习,以及硬件设备上的创新,有形的验证会逐步被“无形”的验证取代,而且会将依靠背后大数据技术机器学习技术做出最终的决策。另外,随着验证安全技术创新的加速,互联网一些现在没有使用验证的地方也将使用这些“无形”的验证,从而会使验证安全更加深入。
两到三年内,我们会把验证安全做到极致,提供最安全的验证服务,更好的用户体验,不再让可爱的程序员因为恶意程序骚扰而费神,不再让终端用户因为面临眼花缭乱的验证码而关闭页面。
非常好我支持^.^
(0) 0%
不好我反对
(0) 0%