極驗驗證談安全驗證面臨的挑戰(zhàn)及行為式驗證分析

　三年磨一劍
　　創(chuàng)業(yè)三年來，極驗驗證一直通過SaaS服務(wù)模式來對外提供服務(wù)，開發(fā)者在接入驗證時加入一行代碼就可以使用，后續(xù)的升級維護和數(shù)據(jù)統(tǒng)計由極驗驗證負責，開發(fā)者只需在后臺網(wǎng)站通過鼠標進行管理和設(shè)置。張振宇表示：“回看過往案例，如游戲類網(wǎng)站在上線極驗驗證服務(wù)后刷號率至少降低了95%，而論壇購物類的網(wǎng)站用戶在驗證界面停留時間縮短了至少20秒，目前人均驗證時間僅為1.82秒，我們的產(chǎn)品極大提高了用戶的體驗。所以，極驗驗證給網(wǎng)站主帶來的是安全性和用戶體驗的雙重提升?！边@樣的成績是可以讓張振宇感到滿意的，同時張振宇也提出了過程中遇到的一些挑戰(zhàn)，以及極驗驗證自身一直在提倡的新形勢驗證技術(shù)。
　　
　　滑塊驗證實現(xiàn)
　　1、流量快速增長帶來的挑戰(zhàn)
　　作為提供驗證安全的SaaS服務(wù)，張振宇認為極驗在發(fā)展過程中主要的問題還是流量快速增長給技術(shù)團隊帶來的挑戰(zhàn)。12年底產(chǎn)品剛剛上線迭代的時候，由于流量較小，只用一臺云服務(wù)器主機就可以支撐。到了13年年底的時候，極驗驗證接入了一個游戲網(wǎng)站，該網(wǎng)站當時正在舉辦一個游戲評選的活動，請求量一下從幾萬上升到幾百萬，雖然提前做好準備進行了橫向擴展，但是還是導(dǎo)致高峰時間響應(yīng)會延遲，并且在發(fā)送日志的時候會造成丟失。于是極驗驗證開始對后臺服務(wù)架構(gòu)重構(gòu)，將服務(wù)進行分層，同時加入緩存機制、優(yōu)化數(shù)據(jù)庫等，單機并發(fā)量提高10倍。之后在極驗驗證的發(fā)展過程中，基本是每隔半年都會進行大的升級，不斷嘗試業(yè)界成熟的框架和模式，如果不能滿足要求，就自己開發(fā)。截止目前，極驗驗證每天數(shù)億的請求量，只使用了不到10臺的服務(wù)器。另外，由于客戶的增多，使用場景和移動終端也越來越復(fù)雜，導(dǎo)致每次升級的時候會遇到一些兼容性問題，所以極驗驗證在后期也不斷完善自己的運維發(fā)布機制，加入自動化和人工測試機制，保證每次升級都非常穩(wěn)定。
　　2、“行為式驗證”技術(shù)
　　張振宇提出，極驗驗證是全球首家行為式驗證技術(shù)服務(wù)提供商，致力于為各大網(wǎng)站、應(yīng)用、企業(yè)提供驗證安全2.0全套解決方案。其核心技術(shù)是“行為式驗證安全”，構(gòu)建在多門學(xué)科的理論基礎(chǔ)之上，具有多重復(fù)合且相互異維的高強度防御體系。
　　行為式驗證技術(shù)的核心思想是利用用戶的“行為特征”來做驗證安全判別。整個驗證框架采用高效的“行為沙盒”主動框架， 這個框架會引導(dǎo)用戶在“行為沙盒”內(nèi)產(chǎn)生特定的行為數(shù)據(jù)，利用“多重復(fù)合行為判別”算法從特指、視覺、思考等多重行為信息中辨識出生物個體的特征， 從而準確快速的提供驗證結(jié)果。
　　
　　行為式驗證技術(shù)特征原理示意圖
　　通俗地講，行為式驗證技術(shù)就是通過采集用戶在完成驗證過程中的行為數(shù)據(jù)來判斷它到底是人還是機器，它與傳統(tǒng)圖片驗證碼有本質(zhì)的不同。傳統(tǒng)圖片驗證碼是基于圖像識別，它最終用來判斷驗證是否通過的信息只是識別任務(wù)是否完成的狀態(tài)，只有一個維度的信息，是一種能力判斷模式，而行為式驗證則是基于用戶的行為信息來判斷，也就是就算你正確完成了這個任務(wù)，但是完成過程中的行為不符合人類特征，那依然會判定你是機器，是行為判別模式。行為驗證的核心技術(shù)是需要大量理論積累的，經(jīng)過四年多的理論研究和不斷創(chuàng)新，在采集的超過100億份行為樣本的基礎(chǔ)上，極驗驗證提取出了超過200個有效區(qū)分人和機器的行為特征，并以這些特征為基礎(chǔ)，構(gòu)建了由多個機器學(xué)習(xí)模型共同組成的行為驗證判別系統(tǒng)。
　　憧憬未來
　　“三年前，極驗驗證從驗證碼的痛點切入到驗證安全領(lǐng)域，引領(lǐng)了驗證安全2.0的技術(shù)變革。截止今日，已經(jīng)有6萬多家網(wǎng)站使用我們提供的驗證安全服務(wù)，并且還在迅速增長?！睆堈裼钆d奮的說道。每個網(wǎng)站都需要驗證，這是剛需，而且隨著互聯(lián)網(wǎng)的繼續(xù)發(fā)展，需要保護的資源越來越多，很多目前沒有部署驗證碼的場景都會使用驗證。
　　隨著互聯(lián)網(wǎng)安全事件的增多，網(wǎng)絡(luò)安全已經(jīng)越來越受到人們的重視，驗證安全作為其中的一個環(huán)節(jié)，由于技術(shù)長期長期沒有更新，亟待突破。極驗驗證通過行為式驗證進行了大膽創(chuàng)新，相信未來驗證安全的技術(shù)還會有更大的創(chuàng)新，特別是隨著機器學(xué)習(xí)和深度學(xué)習(xí)，以及硬件設(shè)備上的創(chuàng)新，有形的驗證會逐步被“無形”的驗證取代，而且會將依靠背后大數(shù)據(jù)技術(shù)機器學(xué)習(xí)技術(shù)做出最終的決策。另外，隨著驗證安全技術(shù)創(chuàng)新的加速，互聯(lián)網(wǎng)一些現(xiàn)在沒有使用驗證的地方也將使用這些“無形”的驗證，從而會使驗證安全更加深入。
　　兩到三年內(nèi)，我們會把驗證安全做到極致，提供最安全的驗證服務(wù)，更好的用戶體驗，不再讓可愛的程序員因為惡意程序騷擾而費神，不再讓終端用戶因為面臨眼花繚亂的驗證碼而關(guān)閉頁面。
?