一种人机行为检测方法、系统、设备及介质与流程

1.本发明涉及人机行为检测的技术领域，具体而言，涉及一种人机行为检测方法、系统、设备及介质。


背景技术：

2.随着信息技术的不断发展，信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义，信息安全问题也日显突出。为防止信息系统或信息网络免受各种类型的威胁、干扰和破坏，例如注册僵尸账户、暴力破解以及网络爬虫等各种对网站进行自动化恶意攻击行为。全自动化计算机和人类的图灵测试技术，也被称为验证码技术，应运而生，其通过生成验证码的方式区分操作网页的用户是计算机还是人。然而，随着验证码技术的发展，验证码破解技术也在不断发展，攻击者可以采用各种图像处理、数据分析等技术对验证码进行破解，导致现有的验证码技术很难识别出操作网页的用户时计算机还是人，由此需要一种人机行为检测方法。


技术实现要素：

3.本发明的目的在于提供一种人机行为检测方法，其能够利用机器人与人类获取数据时的不同行为进行甄别，利用机器人获取数据过快等异常下载进行甄别，从而达到阻止机器人的目的。
4.本发明的实施例是这样实现的：
5.第一方面，本技术实施例提供一种人机行为检测方法，其包括预设人机验证模型；人机验证模型包括利用服务器日志查询用户进入的外部网页地址，若用户未由外部网址导入，直接跳转至登录界面，则判定为风险用户，在第一预设时间内进行实时跟踪；若发现用户在根据品类在第二预设时间内下载预设数量的信息，则判定用户为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录；在每日预设时段内对服务器日志进行检查；当用户进行账号登录时，通过查看登录日志监测登录情况；若用户的账号在登录日志中，在第四预设时间内登录失败的次数超过预设次数，将账号定为异常账号；获取异常账号的ip地址，设置ip地址禁止访问；若用户的账号在登录日志中，在四预设时间内登录失败的次数低于预设次数，且成功输入账号以及对应的账号密码；向用户界面弹出人机验证交互弹窗，并利用人机验证模型进行监测；当通过验证交互弹窗和人机验证模型的判定后，登录网页；反之则阻止登录网页。
6.在本发明的一些实施例中，人机验证模型还包括：若用户由外部网址导入，监测用户在内部初始网页上停留的时间，若停留时间低于人类正常反应的第三预设时间，则判定为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录。
7.在本发明的一些实施例中，向利用ip地址进行登录的账号，发送载有账号被盗的提示信息。
8.在本发明的一些实施例中，监测用户在内部初始网页上停留的时间的步骤包括：
9.当用户打开内部初始网页时，内置计时器开始计时，当用户点击内部初始网页上的链接后，内部初始网页在向链接对应的网页跳转时，同时向内置计时器发送信号，内置计时器停止计时，并计算停留时间。
10.在本发明的一些实施例中，在用户登录后，对鼠标进行跟踪，若检测鼠标登录后未移动至下载链接上方，但服务器内显示该ip地址的用户正在下载信息，则判定用户为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录。
11.在本发明的一些实施例中，若鼠标移动的位移不连续，则判定用户为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录。
12.在本发明的一些实施例中，人机验证交互弹窗包括多个含有文字信息的动态图片以及与任一动态图片对应的答案文字。
13.第二方面，本技术实施例提供一种人机行为检测系统，其包括模型建立模块，用于预设人机验证模型；人机验证模型包括利用服务器日志查询用户进入的外部网页地址，若用户未由外部网址导入，直接跳转至登录界面，则判定为风险用户，在第一预设时间内进行实时跟踪；若发现用户在根据品类在第二预设时间内下载预设数量的信息，则判定用户为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录；日常检测模块，用于在每日预设时段内对服务器日志进行检查；用户登录检测模块，用于当用户进行账号登录时，通过查看登录日志监测登录情况；第一判断模块，用于若用户的账号在登录日志中，在第四预设时间内登录失败的次数超过预设次数，将账号定为异常账号；获取异常账号的ip地址，设置ip地址禁止访问；第二判断模块；若用户的账号在登录日志中，在四预设时间内登录失败的次数低于预设次数，且成功输入账号以及对应的账号密码；向用户界面弹出人机验证交互弹窗，并利用人机验证模型进行监测；当通过验证交互弹窗和人机验证模型的判定后，登录网页；反之则阻止登录网页。
14.第三方面，本技术实施例提供一种电子设备，其包括至少一个处理器、至少一个存储器和数据总线；其中：处理器与存储器通过数据总线完成相互间的通信；存储器存储有可被处理器执行的程序指令，处理器调用程序指令以执行一种人机行为检测方法。
15.第四方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现一种人机行为检测方法。
16.相对于现有技术，本发明的实施例至少具有如下优点或有益效果：
17.对于现有技术中关于利用验证码的方式辨识人机，在现在深度学习的发展下，已经很难再阻止机器人进入，由此本设计为了避免这一问题，利用机器人与人类获取数据时的不同行为进行甄别，利用机器人获取数据过快等异常下载进行甄别，从而达到阻止机器人的目的。
附图说明
18.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
19.图1为本发明中一种人机行为检测方法的流程图；
20.图2为本发明中一种人机行为检测系统的结构示意图；
21.图3为本发明中一种电子设备的结构示意图。
22.图标：1、模型建立模块；2、日常检测模块；3、用户登录检测模块；4、第一判断模块；5、第二判断模块；6、处理器；7、存储器；8、数据总线。
具体实施方式
23.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
24.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
25.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
26.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
27.在本技术的描述中，需要说明的是，术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该申请产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本技术的限制。
28.在本技术的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本技术中的具体含义。
29.下面结合附图，对本技术的一些实施方式作详细说明。在不冲突的情况下，下述的各个实施例及实施例中的各个特征可以相互组合。
30.实施例1
31.请参阅图1，为本技术实施例提供的一种人机行为检测方法，对于现有技术中关于利用验证码的方式辨识人机，在现在深度学习的发展下，已经很难再阻止机器人进入，由此本设计为了避免这一问题，利用机器人与人类获取数据时的不同行为进行甄别，利用机器
人获取数据过快等异常下载进行甄别，从而达到阻止机器人的目的；其具体实施方式如下：
32.s101：预设人机验证模型；人机验证模型包括利用服务器日志查询用户进入的外部网页地址，若用户未由外部网址导入，直接跳转至登录界面，则判定为风险用户，在第一预设时间内进行实时跟踪；若发现用户在根据品类在第二预设时间内下载预设数量的信息，则判定用户为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录；
33.对机器人的异常情况的检测，主要是对于机器人来说，快速采集大量信息是其最为明显的问题，故而在设置人机验证模型的时候，对此类情况进行监测，其中机器人采集数据为了尽可能地简化操作流程会直接已登录页面进入网站，而对于普通人来说，基本采用保存网站首页点击登录页面，由此对机器人进行初级筛选，该筛选仅仅对用户进行标记，旨在避免将专业人士或进场登录网站的用户错认为机器人；而后再对用户实时跟踪的第一时间内(第一时间假设为10分钟)，当用户在十分钟内的任一时段，以一秒(第二预设时间)下载100个文件(预设数量)的速度时，其很明显非正常人力所能办到的，由此判定用户为机器人，并且为了避免机器人切换其他账号进行重新登录造成其他用户使用不便，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录；
34.s102：在每日预设时段内对服务器日志进行检查；
35.只要是访问网站的主机都会在服务器上留下记录，通过分析日志记录就能判断是否有网络机器人的痕迹。大部分网络机器人都会定期定时访问网站，如果在日志中看到同一个ip地址有规律的出现多次，很有可能就是网络机器人。接下来就可以通过查询ip地址、位置信息和主机名来了解该ip地址是否在黑名单中。
36.s103：当用户进行账号登录时，通过查看登录日志监测登录情况；
37.通过查看登录日志就能判断在短时间内是否受到撞库攻击。
38.s104：若用户的账号在登录日志中，在第四预设时间内登录失败的次数超过预设次数，将账号定为异常账号；获取异常账号的ip地址，设置ip地址禁止访问；
39.由于撞库攻击的方式，其登录所输入的密码账号多数情况下是不匹配的，由此设置十五分钟(第四预设时间)内，登录失败次数超过三十次(预设次数)，则获取异常账号的ip地址，设置ip地址禁止访问；对于第四预设时间和预设次数的具体数量设置，旨在将区别机器人恶意撞库攻击和普通用户忘记密码的情况，因为正常人在密码输错十次以上即会采用更换密码的方式重新登录，由此达到防止机器人恶意撞库的目的。
40.s105：若用户的账号在登录日志中，在四预设时间内登录失败的次数低于预设次数，且成功输入账号以及对应的账号密码；向用户界面弹出人机验证交互弹窗，并利用人机验证模型进行监测；当通过验证交互弹窗和人机验证模型的判定后，登录网页；反之则阻止登录网页。
41.而在成功登录后，为了避免机器人采用已注册的账户进行信息获取，向用户界面弹出人机验证交互弹窗，例如验证码等等，进行第二次筛选，并配合人机验证模型进行监测，从而达到避免机器人获取信息的目的。
42.在本发明的一些实施例中，人机验证模型还包括：若用户由外部网址导入，监测用户在内部初始网页上停留的时间，若停留时间低于人类正常反应的第三预设时间，则判定为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录。
43.在本发明的一些实施例中，对于从外部链接进入网站初始页面的用户，依然需要
对机器人进行监测，当用户从外部链接进入网站初始页面后，其在0.1秒(第三预设时间)内就直接跳转到登录页面，可以推断出其已超出正常人的反应时间，从而判断其为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录。
44.在本发明的一些实施例中，向利用ip地址进行登录的账号，发送载有账号被盗的提示信息。
45.在本发明的一些实施例中，对于机器人的撞库攻击，其也有可能存在三十次撞库内完成账号和密码获取等情况，为了避免这种情况出现，对本次登录的账号以邮箱、短信等形式发送警示信息，提醒用户更改密码。
46.在本发明的一些实施例中，监测用户在内部初始网页上停留的时间的步骤包括：当用户打开内部初始网页时，内置计时器开始计时，当用户点击内部初始网页上的链接后，内部初始网页在向链接对应的网页跳转时，同时向内置计时器发送信号，内置计时器停止计时，并计算停留时间。
47.在本发明的一些实施例中，在用户登录后，对鼠标进行跟踪，若检测鼠标登录后未移动至下载链接上方，但服务器内显示该ip地址的用户正在下载信息，则判定用户为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录。
48.在本发明的一些实施例中，对于机器人的识别还可以利用鼠标的轨迹进行监测，正常人对于鼠标下载链接或信息查看，基本采用鼠标进行点击，而机器人则是通过设置程序，并找到需要点击链接的代码，直接进行连接；故而其鼠标不需要移动，由此判断是否为机器人。
49.在本发明的一些实施例中，若鼠标移动的位移不连续，则判定用户为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录。
50.在本发明的一些实施例中，另外现在还存在模拟鼠标进行点击的机器人，为了避免这种高等级的机器人，利用鼠标移动位移的连续性，从而判断鼠标是认为移动至需要的连接上，还是直接跳转，从而判断出是否为机器人。
51.在本发明的一些实施例中，人机验证交互弹窗包括多个含有文字信息的动态图片以及与任一动态图片对应的答案文字。
52.在本发明的一些实施例中，同时由于现在ai深度学习技术的发展，图像识别技术越来越精密，故而普通验证码已经无法阻止机器人，由此本设计采用动态图片，利用变化的图片使得机器人需要捕捉的所有状态的图像才可能识别上面的信息，从而增加其识别难度，降低机器人通过的几率。
53.实施例2
54.请参阅图2，在本发明提供的一种人机行为检测系统，包括：
55.模型建立模块1，用于预设人机验证模型；人机验证模型包括利用服务器日志查询用户进入的外部网页地址，若用户未由外部网址导入，直接跳转至登录界面，则判定为风险用户，在第一预设时间内进行实时跟踪；若发现用户在根据品类在第二预设时间内下载预设数量的信息，则判定用户为机器人，对机器人的ip地址进行记录，并禁止ip地址的所有账号登录；日常检测模块2，用于在每日预设时段内对服务器日志进行检查；用户登录检测模块3，用于当用户进行账号登录时，通过查看登录日志监测登录情况；第一判断模块4，用于若用户的账号在登录日志中，在第四预设时间内登录失败的次数超过预设次数，将账号定
processor，np)等；还可以是数字信号处理器(digital signal processing，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
64.在本技术所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
65.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
66.功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
67.以上仅为本技术的优选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。
68.对于本领域技术人员而言，显然本技术不限于上述示范性实施例的细节，而且在不背离本技术的精神或基本特征的情况下，能够以其它的具体形式实现本技术。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本技术的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本技术内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。