转载

《近匠》极验验证：基于“行为沙盒”主动框架的安全验证

CSDN移动将持续为您优选移动开发的精华内容，共同探讨移动开发的技术热点话题，涵盖移动应用、开发工具、移动游戏及引擎、智能硬件、物联网等方方面面。如果您想投稿、参与内容翻译工作，或寻求近匠报道，请发送邮件至tangxy#csdn.net（请把#改成@）。

没抢过火车票，你并不能意识到自己见识少！年关将至，12306又迎来了购票高峰，而近期其登录验证系统也成为了网上热门的恶搞素材，网友直呼：“购票验证码简直要把人逼疯了！”

网友恶搞12306登录验证

这次网络吐槽恶搞行为，让人们将视线聚焦到了网站的登录验证系统。什么样的验证系统能够让用户既安全又便捷的完成验证行为，是站长们最为关注的问题之一。当然，在此基础上如果能够增加趣味性，也是能够让网友更容易接受的形式。本期《近匠》CSDN采访到了极验验证的联合创始人张振宇，我们看看他们带了什么样不同的验证方案。

《近匠》极验验证：基于“行为沙盒”主动框架的安全验证

张振宇极验验证联合创始人

张振宇于2012年从武汉大学硕士毕业，初期在华为工作半年时间，随后就开始做极验验证这个项目，经历三年多的发展，目前整个团队规模为45个人，主要分为技术、产品和市场三个部门。据张振宇介绍，极验验证是一个技术驱动型的公司，公司大部分人员都是技术工程师，约占整个团队的70%。极验验证团队中有很多来自一线互联网公司的大牛，也有武汉这边顶级高校包括武大、华科的很多有天赋的毕业生。

学生时代理想：革传统验证码的命，占据人机交互的端口

张振宇眼中，极验验证正在做的事情是革传统验证码的命，占据人机交互的端口。在校期间，张振宇就开始尝试做网站，当他在和其他站长进行交流时发现，站长们对验证码问题都非常苦恼，很多论坛被经常被一些广告占领，很多用户数据库经常被一些垃圾注册信息填满，刚好张振宇的硕士研究领域就是计算机视觉和机器学习相关的东西，于是他就此进行了深入的研究。验证码技术是一个拥有15年历史的技术，由卡耐基梅隆大学的教授提出，它的核心理念就是基于人可以识别图像，但计算机不能识别。这在当时是很棒的理念，也确实解决了一些实际性的问题。但是经过十多年的发展，OCR技术已经非常成熟，而且用深度学习这种机器学习模型的出现，使得图像识别的准确率大大提高。张振宇意识到传统验证码已经不能适用于现在的互联网环境，可以说既不安全，用户体验也十分糟糕。而验证安全又是每个网站必须具备的功能，张振宇于是心里萌发了以技术创新打造更安全、用户体验更好的验证码的种子，直至今日让极验验证切入到验证安全领域。

开发者眼中验证安全的痛点

开发者在选用验证安全的产品服务时，核心的需求就是安全性和用户体验。比如游戏类网站的痛点是防刷号，很多游戏站放号不到一分钟就被刷没了，并不是被用户抢走了，而是被刷号软件刷走了；而一些论坛和购物类型的网站相对来说给用户一个更好的浏览体验，但有些用户想发一条评论，想购买一件产品，在眼花缭乱的字符验证码上甚至要花上几分钟，非常麻烦，甚至直接导致原本有意向的用户流失。

《近匠》极验验证：基于“行为沙盒”主动框架的安全验证

总的来说，开发者都会在网站的登录注册、发帖留言、下载投票等模块部署验证服务，但是由于传统验证码安全性不高，很容易被自动识别，导致还是会出现很多垃圾注册、垃圾留言发帖、恶意下载等，给网站造成很大的伤害。另外，由于传统验证码提高安全性的方式，就是使得图片中的字符更加扭曲变形，会导致用户难以识别，很多用户在碰到这样的验证码时会选择放弃，从而降低网站的用户注册数活跃度等。如何在保证验证安全的基础上，同时又有极致的用户体验，使得网站主解决了网站安全和用户体验不可兼得的痛点，是开发者最为关注的。

三年磨一剑

创业三年来，极验验证一直通过SaaS服务模式来对外提供服务，开发者在接入验证时加入一行代码就可以使用，后续的升级维护和数据统计由极验验证负责，开发者只需在后台网站通过鼠标进行管理和设置。张振宇表示：“回看过往案例，如游戏类网站在上线极验验证服务后刷号率至少降低了95%，而论坛购物类的网站用户在验证界面停留时间缩短了至少20秒，目前人均验证时间仅为1.82秒，我们的产品极大提高了用户的体验。所以，极验验证给网站主带来的是安全性和用户体验的双重提升。”这样的成绩是可以让张振宇感到满意的，同时张振宇也提出了过程中遇到的一些挑战，以及极验验证自身一直在提倡的新形势验证技术。

《近匠》极验验证：基于“行为沙盒”主动框架的安全验证

滑块验证实现

1、流量快速增长带来的挑战

作为提供验证安全的SaaS服务，张振宇认为极验在发展过程中主要的问题还是流量快速增长给技术团队带来的挑战。12年底产品刚刚上线迭代的时候，由于流量较小，只用一台云服务器主机就可以支撑。到了13年年底的时候，极验验证接入了一个游戏网站，该网站当时正在举办一个游戏评选的活动，请求量一下从几万上升到几百万，虽然提前做好准备进行了横向扩展，但是还是导致高峰时间响应会延迟，并且在发送日志的时候会造成丢失。于是极验验证开始对后台服务架构重构，将服务进行分层，同时加入缓存机制、优化数据库等，单机并发量提高10倍。之后在极验验证的发展过程中，基本是每隔半年都会进行大的升级，不断尝试业界成熟的框架和模式，如果不能满足要求，就自己开发。截止目前，极验验证每天数亿的请求量，只使用了不到10台的服务器。另外，由于客户的增多，使用场景和移动终端也越来越复杂，导致每次升级的时候会遇到一些兼容性问题，所以极验验证在后期也不断完善自己的运维发布机制，加入自动化和人工测试机制，保证每次升级都非常稳定。

2、“行为式验证”技术

张振宇提出，极验验证是全球首家行为式验证技术服务提供商，致力于为各大网站、应用、企业提供验证安全2.0全套解决方案。其核心技术是“行为式验证安全”，构建在多门学科的理论基础之上，具有多重复合且相互异维的高强度防御体系。

行为式验证技术的核心思想是利用用户的“行为特征”来做验证安全判别。整个验证框架采用高效的“行为沙盒”主动框架, 这个框架会引导用户在“行为沙盒”内产生特定的行为数据，利用“多重复合行为判别”算法从特指、视觉、思考等多重行为信息中辨识出生物个体的特征，从而准确快速的提供验证结果。

《近匠》极验验证：基于“行为沙盒”主动框架的安全验证

行为式验证技术特征原理示意图

通俗地讲，行为式验证技术就是通过采集用户在完成验证过程中的行为数据来判断它到底是人还是机器，它与传统图片验证码有本质的不同。传统图片验证码是基于图像识别，它最终用来判断验证是否通过的信息只是识别任务是否完成的状态，只有一个维度的信息，是一种能力判断模式，而行为式验证则是基于用户的行为信息来判断，也就是就算你正确完成了这个任务，但是完成过程中的行为不符合人类特征，那依然会判定你是机器，是行为判别模式。行为验证的核心技术是需要大量理论积累的，经过四年多的理论研究和不断创新，在采集的超过100亿份行为样本的基础上，极验验证提取出了超过200个有效区分人和机器的行为特征，并以这些特征为基础，构建了由多个机器学习模型共同组成的行为验证判别系统。

憧憬未来

“三年前，极验验证从验证码的痛点切入到验证安全领域，引领了验证安全2.0的技术变革。截止今日，已经有6万多家网站使用我们提供的验证安全服务，并且还在迅速增长。”张振宇兴奋的说道。每个网站都需要验证，这是刚需，而且随着互联网的继续发展，需要保护的资源越来越多，很多目前没有部署验证码的场景都会使用验证。

随着互联网安全事件的增多，网络安全已经越来越受到人们的重视，验证安全作为其中的一个环节，由于技术长期长期没有更新，亟待突破。极验验证通过行为式验证进行了大胆创新，相信未来验证安全的技术还会有更大的创新，特别是随着机器学习和深度学习，以及硬件设备上的创新，有形的验证会逐步被“无形”的验证取代，而且会将依靠背后大数据技术机器学习技术做出最终的决策。另外，随着验证安全技术创新的加速，互联网一些现在没有使用验证的地方也将使用这些“无形”的验证，从而会使验证安全更加深入。

两到三年内，我们会把验证安全做到极致，提供最安全的验证服务，更好的用户体验，不再让可爱的程序员因为恶意程序骚扰而费神，不再让终端用户因为面临眼花缭乱的验证码而关闭页面。

——张振宇极验验证

【活动预告】 2015年11月18日，由CSDN主办的 “ 2015开发工具及服务年度大奖评选 ” 活动正式启动。近两年，开发工具及服务不断涌现，从云服务、即时通讯、安全到统计监测、人工智能、物联网平台等。CSDN将通过公开征集，并结合平台内用户数据采集分析，评选出CSDN 2015开发工具及服务年度大奖。 赶快为你的开发工具与服务报名参与评选吧。更多详情，请关注评选活动官网。

《近匠》极验验证：基于“行为沙盒”主动框架的安全验证《近匠》奇点机智创始人邬霄云：用DeepShare打通App间的信息孤岛】《近匠》第114期：奇点机智的DeepShare是一个Deferred Deep Linking服务，比单纯的Deep Linking（深度链接）更加有效。它能帮助开发者和运营者更好地传播产品内原生内容，实现更快的用户增长，并监测流量渠道。

《近匠》极验验证：基于“行为沙盒”主动框架的安全验证《近匠》睿悦Nibiru曹峻玮：专注交互SDK，建立现实与虚拟桥梁】《近匠》第113期：现在资本市场对虚拟现实比较认可，这会极大的推动虚拟现实产业的发展，现在国内是除了北美之外，对于虚拟现实最为狂热的区域。那么虚拟现实行业应用是否会首先兴起，带动个人消费品？