说到人机识别,
大家首先联想到的
可能是人工智能。
但是,今天我们要聊的
不是人工智能,
也不是机器学习
而是人机识别
在应用安全中的应用(有点绕)
首先我们说说啥是人机识别……
![图片[1]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611737933_60112b4d57b70491eb988.png){kind=small}
黑客,在大多数人心中
是一种神秘的存在。
你们想象中的他们
可能是这样的:
![图片[2]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738431_60112d3f3daf2e9c42535.gif)
(敲什么不重要,重要的是背景很黑,看起来就很厉害……)
或者是这样的:
![图片[3]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738581_60112dd51e752e2f04c38.gif)
(编剧对CTF和电子竞技游戏的关系可能有某种误解……)
看得人心潮澎湃,有没有?
心想我要有这技术就好了,是不是?
但真实的情况并不是这样。
![图片[4]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738643_60112e1312fdc83d2d46f.png)
根据Distil Networks发布的报告显示,
机器流量约占全网流量的40%,
其中恶意机器流量约占20%。
既然黑客攻击离不开工具,
那么我们就有识别工具的必要性。
![图片[5]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738672_60112e30e764edbe4d092.png){kind=small}
A. 真实客户端(比如浏览器)还是机器(比如工具)
B. 是一类进行问答式身份验证的安全措施
C. 区别发起请求的是真实用户还是不怀好意的攻击者
答案:ABC
![图片[6]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738695_60112e47612ccc99c460d.jpg)
![图片[7]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738723_60112e63660b14ca5a43b.png){kind=small}
在网络安全领域中,
爬虫、扫描、暴力破解、
DDoS等多种攻击行为,
都是通过工具发起的。
操纵者预设指令,
由工具去自动执行任务。
![图片[8]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738752_60112e80cc072b9fb701c.png)
这些针对业务发起的定制攻击,
绝大多数来自于自动化工具,
或者说机器人。
如何区分一个请求的发起者
是人还是机器?
这就是人机识别的重要意义。
![图片[9]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738780_60112e9cd1052abd7c419.png){kind=small}
对于机器发起的请求,
除了直接拦截之外,
还可以返回机器不理解的信息,
让机器无法进行下一步,
从而达到防御的目的。
我们不妨先对比下机器的特点
大多数情况下,
机器只能按照预设的指定执行,
不能处理预设以外的交互信息。
比如小区管理,正常情况下业主刷卡就能进;
但如果小偷捡到卡了也可以进入小区。
![图片[10]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738809_60112eb94d84aa80718da.jpg)
但如果某一天
保安要求说出房号姓名电话号码时,
只凭卡就进不去了。
再比如某一天
物业对每个业主都设置了某种标记,
如果不知道这个标记,
当然也不能进入。
![图片[11]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738829_60112ecd9e1eda7b05c85.jpg)
基于以上说到的这些特点,
接下来我们聊聊
识别机器的方法有哪些。
![图片[12]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738855_60112ee70af80d18d589c.png){kind=small}
最常见也最传统的方法
就是图形化验证码识别
![图片[13]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738874_60112efa4d560ffecf74c.png)
早期的时候,
这个方法确实很有效。
一般的工具不理解,
也不会主动输入验证码进行校验;
虽然它仍然是目前被普遍使用的验证方法
但随着打码平台的出现,
这种简单的验证码识别
其适用的范围变得越来越小。
另一种是创新的交互优化型验证码,
它充分利用了人机之间
知识的差异性
通过人类可以解答
而机器难以解答的问题
进行人机判断。
比如12306的验证码
![图片[14]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738897_60112f110d551128de9d9.jpg)
小编:柯南,救我!
近年来还出现了无感/无知识型验证码,
其最大的特点是
不再基于知识进行人机判断,
而是基于人类固有的生物特征
以及操作的环境信息进行综合判断。
这种方式无需人类思考,
不会打断用户操作,
提供更好的用户体验。
例如Google的新版ReCaptcha
![图片[15]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738933_60112f35f013a109f86e0.png)
![图片[16]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738952_60112f48e0cb751127da5.png){kind=small}
除了验证码识别,
动态令牌也可以应用于人机识别。
动态令牌可用于身份验证,
有的工具在收到令牌后
不会再带着令牌访问
从而被识别出来;
同时令牌可有效防止
请求重放等非法操作;
请求会根据上一个操作,
动态生成每个请求唯一的令牌;
一旦令牌为空、重复使用或者被篡改
就会被视为无效请求而被拦截。
![图片[17]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738982_60112f669eacedcb93f30.jpg)
![图片[18]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611738999_60112f77e6d18afae2258.png){kind=small}
Web应用存在较多敏感信息,
如页面内容、JS源代码、后续链接、表单信息等。
它们构成了一个应用的运行逻辑。
只要能够判断这种逻辑,
应用行为就是可以预测的,
这也是爬虫、扫描器等工具运作的基本原理。
![图片[19]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611739016_60112f8807068e8087a02.jpg)
对应用页面的源代码进行混淆或加密,
工具并不能正常解析混淆后的内容,
很大程度上能使工具失去作用。
![图片[20]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611739031_60112f9766d272aacc178.jpg)
![图片[21]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611739057_60112fb14608ae9c0d9c8.png)
动态验证会校验JS的实际运行环境,
获取设备指纹,采集客户端行为,
例如是否有键盘鼠标操作
以及在页面停留时间等。
通过多维度数据分析,
区分操作的是人还是机器。
![图片[22]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611739077_60112fc5a67b80b2fd364.jpg)
![图片[23]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611739101_60112fdd5b562cd2e1f9d.png)
![图片[24]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611739118_60112fee98411f5713977.png){kind=small}
条件允许的话,
还可以专人负责风险控制。
从多维度的数据层面
(如过往操作记录、设备指纹等)
为特定“用户”的操作
提供信誉评分和判断其是否合法。
不过这个方法可操作性有限。
首先,不是每家单位都有能力
做好海量的大数据分析;
其次,用户行为识别
需要有很强的前端技术能力,
而这种能力又会以数据的形式
转化为大数据的分析能力。
![图片[25]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611739154_60113012858235456ae7b.png){kind=small}
![图片[26]-安全小课堂丨人机识别与应用安全有什么关系? – 作者:WebRAY-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210127/1611739163_6011301b8c440a4dd6985.png)
比如把验证码和动态令牌结合使用,
从简单到高级的Burp、
爬虫、扫描器等机器行为
都能被有效识别。
当验证码或令牌校验未通过时,
机器必当重复获取和校验,
我们可以基于此,
对攻击者进行拦截。
变被动为主动,实现先发制人。
好了,以上就是今天安全小科普的全部内容
欢迎大家在后台给小编留言
期待看到你们的观点和感兴趣的话题
或许下期分享的就是你想看的知识点
朋友们,下期见~
来源:freebuf.com 2021-01-27 17:21:51 by: WebRAY
请登录后发表评论
注册