(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111338382.5 (22)申请日 2021.11.12 (71)申请人 东方财富信息股份有限公司 地址 200030 上海市徐汇区宛平南路8 8号 金座28F (72)发明人 许圣　 (74)专利代理 机构 上海申汇 专利代理有限公司 31001 代理人 翁若莹　徐颖 (51)Int.Cl. G06F 21/36(2013.01) G06N 20/00(2019.01) (54)发明名称 基于机器学习和交互式人机区分验证生成 方法 (57)摘要 本发明涉及一种基于机器学习和交互式人 机区分验证生成方法， 对客户端使用时候指定不 同的scope参数来实现不同场景差异化的分析和 计算， 使得应用场景对用户操作触发策略分析； 策略分析针对应用场景对请求来源、 请求用户账 户风险等级、 历史风控数据、 用户验证行为数据 多维度数据进行综合分析评判和加权打分， 获取 用户操作安全等级评分； 根据用户操作安全等级 评分来匹配 返馈验证码级别， 同时采用机器学习 模型区分人类和机器， 根据不同验证码级别和区 分结果生 成不同难度的验证形式。 充分利用用户 的“行为特征 ”， 采用“行为沙盒 ”交互方式动态验 证， 结合交互产生的行为数据智能切换验证方式 和验证难度， 高效拦截机器行为， 构建业务安全 的第一道防线。 权利要求书1页 说明书5页 附图3页 CN 114117390 A 2022.03.01 CN 114117390 A 1.一种基于机器学习和 交互式人机区分验证生成方法， 其特征在于， 具体包括如下步 骤： 1)应用场景设定： 通过客户端软件， 对客户端使用时候指定不同的scope参数来实现不 同场景差异 化的分析和计算， 使 得应用场景对用户操作触发策略分析， 2)策略分析： 针对应 用场景对请求来源、 请求用户账户风险等级、 历史风控数据、 用户验证行为数据多维度数据 进行综合分析评判和 加权打分， 获取用户操作安全等级评分； 3)根据用户操作安全等级评分来匹配返馈验证码级别， 同时采用机器学习模型区分人 类和机器， 根据不同验证码级别和区分结果 生成不同难度的验证形式。 2.根据权利要求1所述基于机器和交互式人机区分验证生成方法， 其特征在于， 所述请 求来源数据包括请求来源对应的IP地址访问频率， 请求来源对应的IP关联的所有定位数据 对应的风控数据等级， IP地址是否来源于高风险的区域， 请求来源所用浏览器的指纹是否 可疑， 用户的代理是否是爬虫。 3.根据权利要求1所述基于机器和交互式人机区分验证生成方法， 其特征在于， 所述请 求用户账户风险等级数据包括用户是否弱密码， 是否曾经使用过可疑手机号/羊毛党手机 号， 是否发生过活动欺诈风险记录， 是否使用过 可疑设备维度。 4.根据权利要求1所述基于机器和交互式人机区分验证生成方法， 其特征在于， 所述历 史风控数据包括用户设备风险等级、 用户账号 风险评分、 用户业 务异常记录 。 5.根据权利要求1所述基于机器和交互式人机区分验证生成方法， 其特征在于， 所述用 户验证行为数据分析： 验证刷新次数， 单位时间验证视频 频率,用户鼠标手势的轨 迹数据。 6.根据权利要求1所述基于机器和交互式人机区分验证生成方法， 其特征在于， 所述步 骤3)根据不同验证码级别生成不同难度的验证形式， 验证形式包括鼠标一点或者手势一 滑、 滑动拼图、 字母组合、 汉字点选中的一种或多种。 7.根据权利要求1所述基于机器和交互式人机区分验证生成方法， 其特征在于， 所述验 证形式难度为： 汉字点选>字母组合>滑动拼图>鼠标一 点或者手势一滑。 8.根据权利要求6或7所述基于机器和 交互式人机区分验证生成方法， 其特征在于， 所 述步骤3)根据验证码级别随机生 成的验证形式 自己送用户所视端， 同时验证形式通过混淆 加密后送到打码平台的识别接口。 9.根据权利要求1所述基于机器和交互式人机区分验证生成方法， 其特征在于， 所述步 骤3)采用机器学习 方法区分人类和机器实现方法如下:在交互验证的过程中， 搜集用户操 作的轨迹数据， 轨迹数据为鼠标滑动位置变化的序列， 序列由鼠标坐标点和对应的时间点 构成， 从收集的轨迹数据提取如下特征： 起点的位置、 起点的速度、 起点的加速度、 轨迹点上 各自方向上速度和加速度， 通过用户操作的轨迹数据训练、 验证和预测获得XGBoost机器学 习模型， 采用XGBoost机器学习模型对机器行为进行预测从而辅助判断用户操作是否是机 器行为。 10.根据权利要求1或9所述基于机器和交互式人机区分验证生成方法， 其特征在于， 所 述当前用户操作被机器学习模型判断为机器操作， 验证形式难度直接提升 到最高级别。权　利　要　求　书 1/1 页 2 CN 114117390 A 2基于机器学习和交互式人机区分验证生成方 法 技术领域 [0001]本发明涉及 一种信息识别技术， 特别涉及 一种基于机器学习和交互式人机区分验 证生成方法。 背景技术 [0002]随着公司互联 网和金融业务的快速发展， 公司的业务系统面临着越来越多的外部 安全威胁， 每天都有数以百万计的暴力撞库请求和大量的股吧机器刷帖评论行为。 业务部 门的各种市场营销活动还面临着海量的羊毛党的批量注册和参与， 严重影响了正常用户的 权益和体验。 技术部门在面对日益复杂和严峻的安全挑战， 急需构建一种能够有效区分人 机又不牺牲正常用户体验的智能化验证系统， 同时这个系统要满足金融行业安全性合规性 的监管要求。 [0003]近年来机器学习和图像识别快速发展， 简单的文字图片验证已被完全破解， 不再 安全； 复杂的文字图片验证的方式可以增加机器程序的识别难度， 但是严重破坏了用户体 验； 传统的文字图片验证方式， 没有区分好人和坏人， 对正常用户干扰很大； 传统的文字图 片验证方式， 没有对威胁程度不同而提供差异化的验证难度。 [0004]现有的技术方案普遍采用静态图片验证码的形式， 通过问题 ‑答案的检测模型来 判断人或则机器， 这是一种传统的网络安全检测工具， 破解率高： 以静态图片验证码为主， 不能随着安全威胁程度智能应对， 随着 图像识别技术的提高和大数据人工智能的广泛应 用， 基本上完全被破解， 被破解的概率超过90％； 牺牲用户体验： 现有技术在对抗验证码机 器识别和暴力破解的安全性要求和提高用户体验的业务要求存在两难局面； 不够 “智能”： 无法针对不同威胁等级的用户提供差异 化的验证方式和验证难度， 无法有效对抗外部黑产 平台的人工打码服 务。 发明内容 [0005]针对人机区分， 提高信息安全性的问题， 提出了一种基于机器学习和交互式人机 区分验证生成方法， 充分利用用户的 “行为特征 ”， 采用“行为沙盒 ”交互方式动态验证， 结合 交互产生的行为数据智能切换验证方式和验证难度， 高效拦截机器行为， 构建业务安全的 第一道防线， 后端通过基于 决策树模型的XGBoost机器学习模型， 结合实时业务风控数据， 快速区分人机 。 [0006]本发明的技术方案为： 一种基于机器学习和交互式人机区分验证生成方法， 具体 包括如下步骤： [0007]1)应用场景设定： 通过客户端软件， 对客户端使用时候指定不同的scope参数来实 现不同场景差异化的分析和计算， 使得应用场景对用户操作触发策略分析， [0008]2)策略分析： 针对应用场景对请求来源、 请求用户账户风险等级、 历史风控数据、 用户验证行为数据多维度数据进行综合分析评判和加权打分， 获取用户操作安全等级评 分；说　明　书 1/5 页 3 CN 114117390 A 3