經由不可解captcha進行阻擋的製作方法

2023-10-09 06:12:54 2

經由不可解captcha進行阻擋的製作方法
【專利摘要】本發明的各實施方式總體上涉及經由不可解CAPTCHA進行阻擋。具體地，安全設備可以從攻擊者設備接收針對伺服器設備的請求。安全設備可以將該請求標識為與惡意活動相關聯。該惡意活動包括指向伺服器設備的一個或多個不期望的任務。安全設備可以基於將該請求標識為與惡意活動相關聯生成不可解質詢響應測試。該不可解質詢響應測試可以使用至少一個構建技術生成，並且可以被配置為嘗試阻擋攻擊者設備而不使得該攻擊者設備意識到該攻擊者設備正被阻擋。安全設備可以向攻擊者設備提供不可解質詢響應測試，並且可以從攻擊者設備接收與不可解質詢響應測試相關聯的解決方案。無論解決方案是否實際上正確，安全設備可以通知攻擊者設備該解決方案不正確。
【專利說明】經由不可解CAPTCHA進行阻擋

【技術領域】
[0001] 本發明的各實施方式總體上涉及計算機網絡，並且更具體地涉及經由不可解 CAPTCHA進行阻擋。

【背景技術】
[0002] 全自動區分計算機和人類的公眾圖靈測試（"CAPTCHA"）是可以用於確定設備（例 如，計算機設備）正由用戶（例如，人）還是設備（例如，正由計算設備執行的自動處理） 進行操作的一類質詢響應測試。CAPTCHA圖像可以要求用戶正確轉錄該CAPTCHA圖像中包 括的扭曲字符（例如，字母）（例如，設備可能無法標識扭曲的字符）。


【發明內容】

[0003] 根據某些可能的實現方式，一種安全設備可以包括一個或多個處理器用於：從攻 擊者設備接收針對伺服器設備的請求；將所述請求標識為與惡意活動相關聯，其中所述惡 意活動可以包括指向所述伺服器設備的一個或多個不期望的任務；基於將所述請求標識為 與所述惡意活動相關聯生成不可解質詢響應測試，其中所述不可解質詢響應測試可以使用 至少一個構建技術生成，以及其中所述不可解質詢響應測試可以被配置為嘗試阻擋所述攻 擊者設備而不使得所述攻擊者設備意識到所述攻擊者設備正被阻擋；向所述攻擊者設備提 供所述不可解質詢響應測試；從所述攻擊者設備接收與所述不可解質詢響應測試相關聯的 解決方案；以及無論所述解決方案是否實際上正確，通知所述攻擊者設備所述解決方案不 正確。
[0004] 根據某些可能的實現方式，一種計算機可讀介質可以存儲一個或多個指令，當由 一個或多個處理器執行時使得所述一個或多個處理器用於：從攻擊者設備接收針對由服務 器設備存儲的信息的請求；確定所述請求指示惡意活動，其中所述惡意活動可以與指向所 述伺服器設備的不期望任務的執行相關聯；基於確定所述請求指示所述惡意活動使用一個 或多個構建技術來構建不可解全自動區分計算機和人類的公眾圖靈測試（CAPTCHA)，其中 所述不可解CAPTCHA可以被設計用於阻擋所述攻擊者設備向所述伺服器設備發送所述請 求而不通知所述攻擊者設備所述攻擊者設備正被阻擋；向所述攻擊者設備發送所述不可解 CAPTCHA;從所述攻擊者設備接收與所述不可解CAPTCHA相關聯的提議解決方案；以及無論 所述提議解決方案是否實際上正確，通知所述攻擊者設備所述提議解決方案不正確。
[0005] 根據某些可能的實現方式，一種方法可以包括：由安全設備接收用於提供與服務 器設備相關聯的信息的請求；由所述安全設備將所述請求標識為與指向所述伺服器設備的 不期望任務相關聯；由所述安全設備使用一組構建技術來生成不可解質詢響應測試，其中 所述不可解質詢響應測試可以通過不指示所述安全設備正在阻擋所述攻擊者設備向所述 伺服器設備發送所述請求的方式生成；由所述安全設備提供所述不可解質詢響應測試；由 所述安全設備接收與所述不可解質詢響應測試相關聯的答案，其中所述答案可以由所述攻 擊者設備提供；以及無論所述答案是否實際上正確，由所述安全設備通知所述攻擊者設備 所述答案不正確。

【專利附圖】

【附圖說明】
[0006] 圖1是這裡所述示例實現方式的概述的示圖；
[0007] 圖2是其中可以實現這裡所述系統和/或方法的示例環境的示圖；
[0008] 圖3是圖2的一個或多個設備的示例組件的示圖；
[0009] 圖4是用於使用不可解質詢響應測試來阻擋攻擊者設備的示例過程的流程圖；以 及
[0010] 圖5A至圖ro是與圖4中所示的示例過程有關的示例實現方式的示圖。

【具體實施方式】
[0011] 以下示例實現方式的詳細描述涉及附圖。不同附圖中的相同參考標號可以標識相 同或相似的元素。
[0012] 安全設備（例如，與保護伺服器設備相關聯）可能期望阻擋可能嘗試從事與應用 (例如，由伺服器設備託管的web應用）相關聯的惡意活動（例如，爬取、刮取、釣魚等）的攻 擊者設備（例如，與攻擊者相關聯）。然而，安全設備可能期望以如下方式阻擋攻擊者設備， 通過此方式攻擊者設備（例如，攻擊者）沒有意識到該攻擊者設備正被阻擋（例如，由於當 攻擊者設備意識到阻擋時，該攻擊者設備可能嘗試旁路該阻擋）。一種用於執行此類型阻擋 的方法是向攻擊者設備呈現一個或多個不可解質詢響應測試（例如，不可解CAPTCHA)，這 可以使得攻擊者設備認為訪問伺服器設備充分發揮了功能（例如，即使攻擊者設備正被安 全設備阻擋）。這裡所述實現方式可以允許安全設備通過以如下方式向攻擊者設備提供一 個或多個不可解質詢響應測試來阻擋攻擊者設備（例如，從事惡意活動），通過此方式攻擊 者設備沒有意識到該攻擊者設備正被阻擋。
[0013] 圖1是這裡所述示例實現方式100的概述的示圖。為了示例實現100,假設攻擊者 設備（例如，與攻擊者相關聯）正嘗試通過發送指向伺服器設備的惡意請求來從事與該服 務器設備相關聯的惡意活動。此外，假設安全設備被置於保護伺服器設備免受攻擊者設備 提供的惡意請求。
[0014] 如圖1所示，攻擊者設備可以發送針對伺服器設備的惡意請求。如圖所示，安全設 備可以接收該請求，並且可以將該請求標識為與惡意活動相關聯。如圖所示，安全設備可以 生成（例如，使用由安全設備存儲的、與一個或多個構建技術相關聯的信息）第一不可解質 詢響應測試，並且可以向攻擊者設備提供該第一不可解質詢響應測試。
[0015] 如圖進一步所示，攻擊者可能沒有意識到安全設備正在阻擋攻擊者設備向伺服器 設備發送惡意請求，並且可能嘗試向該第一不可解質詢響應測試提供解決方案。如圖所示， 攻擊者設備（例如，攻擊者）可以向安全設備發送與該第一不可解質詢響應測試相關聯的 解決方案。
[0016] 如圖所示，安全設備可以接收該解決方案，並且可以生成第二不可解質詢響應測 試。如圖進一步所示，安全設備可以向攻擊者設備發送指示對第一不可解質詢響應測試的 解決方案（例如，由攻擊者設備提供）不正確（例如，安全設備可以通知攻擊者設備該解決 方案不正確即使並不存在正確的解決方案）的通知。如圖所示，安全設備還可以向攻擊者 設備發送第二不可解質詢響應測試。
[0017] 安全設備可以通過生成附加不可解質詢響應測試並且向用戶設備提供該不可解 質詢響應測試來阻擋攻擊者設備向伺服器設備發送請求。通過此方式，安全設備可以通 過以如下方式生成不可解質詢響應測試（例如，待提供給攻擊者設備）來阻擋攻擊者設備 (例如，從事惡意活動），通過此方式攻擊者設備沒有意識到該攻擊者設備正被阻擋。
[0018] 圖2是其中可以實現這裡所述系統和/或方法的示例環境200的示圖。如圖2所 示，環境200可以包括攻擊者設備210、網絡220、服務設備230和安全設備240。
[0019] 攻擊者設備210可以包括能夠經由網絡（例如，網絡220)與其他設備（例如，月艮 務器設備230)通信和/或能夠接收由另一設備（例如，伺服器設備230)提供的信息的一 個或多個設備。例如，攻擊者設備210可以包括計算設備，諸如膝上型計算機、平板計算機、 手持計算機、臺式計算機、行動電話（例如，智慧型電話、無線電電話等）、個人數字助理或相 似設備。在某些實現方式中，攻擊者設備210能夠生成並發送（例如，向伺服器設備230) 請求（例如，與伺服器設備230託管的應用相關聯的請求）。
[0020] 網絡220可以包括一個或多個有線和/或無線網絡。例如，網絡220可以包括無 線區域網（WLAN)、區域網（LAN)、廣域網（WAN)、城域網（MAN)、電話網絡（例如，公共交換電 話網絡（PSTN))、蜂窩網絡、公共陸地行動網路（PLMN)、自組織網絡、內聯網、網際網路、基於 光纖的網絡或者這些或其他類型網絡的組合。在某些實現方式中，網絡220可以允許設備 (諸如，攻擊者設備210、伺服器設備230和/或安全設備240)之間的通信。
[0021] 伺服器設備230可以包括能夠接收、提供、生成、存儲和/或處理經由網絡（例如， 網絡220)和/或另一設備（例如，安全設備240)接收和/或提供的信息的一個或多個設 備。例如，伺服器設備230可以包括計算設備，諸如伺服器（例如，應用伺服器、內容伺服器、 主機伺服器、web伺服器等）。在某些實現方式中，伺服器設備230可以由安全設備240保 護（例如，免於惡意活動）。
[0022] 安全設備240可以包括能夠接收、提供、生成、存儲和/或處理經由網絡（例如，網 絡220)和/或另一設備（例如，伺服器設備230、攻擊者設備210等）接收和/或提供的 信息的一個或多個設備。例如，安全設備240可以包括計算設備，諸如伺服器。在某些實現 方式中，安全設備240可以從攻擊者設備210 (例如，經由網絡220)接收信息和/或向服務 器設備230提供信息。附加地或備選地，安全設備240可以包括能夠處理和/或轉移攻擊 者設備210與伺服器設備230之間通信（例如，請求、響應等）的一個或多個設備。例如， 安全設備240可以包括網絡設備，諸如反向代理、伺服器（例如，代理伺服器）、流量轉移設 備、防火牆、路由器、負載均衡器等。
[0023] 在某些實現方式中，安全設備240能夠標識與請求（例如，接收自攻擊者設備210 並指向伺服器設備230)相關聯的惡意活動。附加地或備選地，安全設備240能夠生成不可 解質詢響應測試（例如，不可解CAPTCHA)。附加地或備選地，安全設備240能夠保護伺服器 設備230免受與攻擊者設備210相關聯的惡意活動。
[0024] 安全設備240可以用於與單個伺服器設備230或一組伺服器設備230 (例如，數據 中心）連接。通信可以路由通過安全設備240以達到一個或多個伺服器設備230。例如，安 全設備240可以位於網絡內作為網關以提供包括一個或多個伺服器設備230的私有網絡。
[0025] 圖2中所示設備和網絡的數目出於解釋的目的提供。實踐中，可以存在與圖2中 所示附加的設備和/或網絡、更少的設備和/或網絡、不同的設備和/或網絡、或者不同布 置的設備和/或網絡。此外，圖2中所示兩個或更多設備可以在單個設備中實現，或者圖2 中所示單個設備可以被實現為多個分散設備。附加地，環境200的一個或多個設備可以執 行被描述為正由環境200的另一個或多個設備執行的一個或多個功能。環境200的設備可 以經由有線連接、無線連接或有線連接和無線連接的組合互連。
[0026] 圖3是設備300的示例組件的示圖。設備300可以對應於攻擊者設備210、伺服器 設備230和/或安全設備240。附加地或備選地，攻擊者設備210、伺服器設備230和/或 安全設備240中的每個設備可以包括一個或多個設備300和/或設備300的一個或多個組 件。如圖3中所示，設備300可以包括總線310、處理器320、存儲器330、輸入組件340、輸 出組件350和通信接口 360。
[0027] 總線310可以包括允許在設備300的組件之間通信的路徑。處理器320可以包括 處理器、微處理器和/或用於解譯和/或執行指令的任意處理組件（例如，現場可編程門陣 列（"FPGA"）、專用集成電路（"ASIC"）等）。在某些實現方式中，處理器320可以包括一 個或多個處理器核。存儲器330可以包括隨機訪問存儲器（"RAM")、只讀存儲器（"ROM"） 和/或存儲供處理器320使用的信息和/或指令的任意類型的動態或靜態存儲設備（例如， 快閃記憶體、磁存儲器、光存儲器等）。
[0028]輸入組件340可以包括允許用戶向設備300輸入信息的任意組件（例如，鍵盤、小 鍵盤、滑鼠、按鈕、開關等）。輸出組件350可以包括從設備300輸出信息的任意組件（例 如，顯示器、揚聲器、一個或多個放光二極體（"LED"）等）。
[0029]通信接口 360可以包括任意收發器等組件，諸如收發器和/或分離的接收器和發 射器，該任意收發器等組件使得設備300能夠諸如經由有線連接、無線連接或有線連接和 無線連接的組合與其他設備和/或系統通信。例如，通信接口 360可以包括用於經由網絡 與另一設備和/或系統通信的組件。附加地或備選地，通信接口 360可以包括具有輸入端 口和輸出埠、輸入系統和輸出系統的邏輯組件，以及/或者促進向另一設備和/或從另一 設備的數據傳輸的其他輸入和輸出組件，諸如乙太網接口、光學接口、同軸電纜接口、紅外 接口、射頻（"RF"）接口、通用串行總線（"USB"）接口等。
[0030] 設備300可以執行這裡所述的各種操作。設備300可以響應於處理器320執行計 算機可讀介質（諸如，存儲器330)中包括的軟體指令來執行這些操作。計算機可讀介質可 以被定義為非瞬態存儲器設備。存儲器設備可以包括單個物理存儲設備中的存儲器空間或 者跨多個物理存儲設備散布的存儲器空間。
[0031] 軟體指令可以經由通信接口 360從另一設備或從另一計算機可讀介質讀取至存 儲器330。當執行時，存儲器330中存儲的軟體指令可以使得處理器320執行這裡所述的一 個或多個處理。附加地或備選地，硬體電路可以替代或結合軟體指令使用來執行這裡所述 的一個或多個處理。因此，這裡所述的實現方式不限於硬體電路和軟體的任意特定組合。
[0032] 圖3中所示組件的數目出於解釋的目的提供。實踐中，設備300可以包括與圖3 中所示附加的組件、更少的組件、不同的組件、或者不同布置的組件。
[0033] 圖4是用於使用不可解質詢響應測試來阻擋攻擊者設備的示例過程400的流程 圖。在某些實現方式中，圖4的一個或多個處理塊可以由安全設備240執行。在某些實現 方式中，圖4的一個或多個處理塊由與安全設備240分離或包括安全設備240的另一設備 或一組設備（諸如，伺服器設備230)執行。
[0034]如圖4所示，過程400可以包括從攻擊者設備接收與伺服器設備相關聯的請求 (塊410)。例如，安全設備240可以從攻擊者設備210接收與伺服器設備230相關聯的請 求。在某些實現方式中，當攻擊者設備210經由網絡220發送請求時，安全設備240可以從 攻擊者設備210接收該請求。在某些實現方式中，安全設備240可以在伺服器設備230接 收該請求之前接收該請求（例如，安全設備240可以位於網絡220內攻擊者設備210與服 務器設備230之間）。
[0035] 請求可以包括從攻擊者設備210向伺服器設備230 (例如，經由安全設備240和/ 或網絡220)發送的、標識攻擊者設備210期望從伺服器設備230接收的資源（例如，超文 本標記語言（"HTML"）文件、圖像文件、視頻文件、音頻文件、與用戶帳戶相關聯的信息等） 的消息。
[0036] 在某些實現方式中，請求可以包括標識攻擊者設備210的信息（例如，標識客戶端 設備210的字符串、與攻擊者設備210相關聯的網絡地址、與攻擊者設備210相關聯的埠 號等）。附加地或備選地，請求可以包括標識伺服器設備230的信息（例如，標識伺服器設 備230的字符串、與伺服器設備230相關聯的網絡地址、與伺服器設備230相關聯的埠 號、與由伺服器設備230託管的網站相關聯的URL等）。附加地或備選地，請求可以包括標 識由攻擊者設備210請求的資源的信息，諸如統一資源標識符（"URI"）。
[0037] 在某些實現方式中，安全設備240可以基於請求中包括的信息接收該請求。例如， 安全設備240可以基於請求中包括的、與伺服器設備230相關聯的網絡地址接收請求（例 如，當安全設備240被置於接收指向伺服器設備230的請求時）。作為另一示例，安全設備 240可以基於與請求中包括的網站相關聯的信息（例如，URL)來接收請求（例如，當安全設 備240被配置為接收與網站相關聯的請求時）。
[0038] 如圖4中進一步所示，過程400可以包括將請求標識為與惡意活動相關聯（塊 420)。例如，安全設備240可以將從攻擊者設備210接收的請求標識為與惡意活動相關聯。 在某些實現方式中，當安全設備240從攻擊者設備210接收請求時，安全設備240可以將該 請求標識為與惡意活動相關聯（例如，在安全設備240接收請求之後）。
[0039] 在某些實現方式中，安全設備240可以基於請求中包括的信息將該請求標識為與 惡意活動相關聯。例如，安全設備240可以基於標識攻擊者設備210的信息（例如，網絡地 址）將該請求標識為與惡意活動相關聯（例如，當已知攻擊者設備210過去從事過惡意活 動時）。附加地或備選地，安全設備240可以基於關於從攻擊者設備210接收的一個或多個 其他請求的活動將請求標識為與惡意活動相關聯。例如，安全設備240可以從攻擊者設備 210接收大量請求（例如，與網站上若干連結相關聯的大量請求、與特定用戶帳戶相關聯的 大量請求），其可以指示不期望的腳本化活動（例如，爬取、刮取、對用戶帳戶的未授權訪問 等）。
[0040] 作為另一示例，安全設備240可以基於接收滿足閾值數量的請求的大量請求來將 請求標識為與惡意活動相關聯（例如，當所接收的大量請求超過閾值數量的請求時，安全 設備240可以將請求標識為與惡意活動相關聯等）。作為另一示例，安全設備240可以基於 在特定閾值時間量內接收大量請求來將請求標識為與惡意活動相關聯（例如，當大量請求 在閾值時間量內接收時，安全設備240可以將請求標識為與惡意活動相關聯等）。
[0041] 在某些實現方式中，安全設備240可以基於接收具有已知攻擊籤名的請求來將請 求標識為與惡意活動相關聯（例如，安全設備240可以存儲標識已知攻擊籤名的信息，並且 可以基於請求的內容來識別該攻擊籤名）。在某些實現方式中，安全設備240可以基於與一 個或多個先前請求相關聯的信息（例如，由安全設備240和/或伺服器設備230存儲的、指 示請求可能與惡意活動相關聯的伺服器日誌）來將請求標識為與惡意活動相關聯。
[0042] 在某些實現方式中，安全設備240可以基於由安全設備240確定的、請求與惡意活 動相關聯的概率來將請求標識為與惡意活動相關聯。例如，安全設備240可以確定（例如， 基於與請求相關聯的信息、基於與攻擊者設備210相關聯的信息、基於與從攻擊者設備210 接收的另一請求相關聯的信息）與請求相關聯的得分，並且該得分可以反映該請求與惡意 活動相關聯的概率。在此示例中，如果得分滿足閾值，則安全設備240可以將請求標識為與 惡意活動相關聯。相反地，如果得分不滿足閾值，則安全設備240可以不將請求標識為與惡 意活動相關聯。
[0043] 在某些實現方式中，安全設備240可以基於將請求標識為與惡意活動相關聯來存 儲信息，諸如標識攻擊者設備210的信息（例如，網絡地址等）、與請求相關聯用於將請求標 識為與惡意活動相關聯的信息（例如，請求被接收的日期、請求被接收的時間等）等等。在 某些實現方式中，當安全設備240將請求標識為與惡意活動相關聯時，安全設備240可以不 向伺服器設備230轉發請求（例如，安全設備240將停止向伺服器設備230發送請求）。
[0044] 如圖4中進一步所示，過程400可以包括基於將請求標識為與惡意活動相關聯來 生成不可解質詢響應測試（塊430)。例如，安全設備240可以基於將從攻擊者設備210接 收的請求標識為與惡意活動相關聯來生成不可解質詢響應測試（例如，不可解CAPTCHA)。 在某些實現方式中，當安全設備240將請求標識為與惡意活動相關聯時，安全設備240可以 生成不可解質詢響應測試。附加地或備選地，當安全設備240從另一設備（例如，伺服器設 備230)接收指示安全設備240可以生成不可解質詢響應測試的信息時，安全設備240可以 生成不可解質詢響應測試。
[0045] 質詢響應測試可以包括一類認證，其中一方（例如，安全設備240)呈現問題（例 如，"質詢"）而另一方（例如，攻擊者設備210)被要求提供待認證的有效解決方案（例如， "響應"）。不可解質詢響應測試可以包括不具有正確解決方案的質詢響應測試和/或其中 攻擊者設備210可能不能夠提供正確解決方案的質詢響應測試（例如，當正確解決方案包 括不能使用標準鍵盤鍵入的字符等）。在某些實現方式中，安全設備240可以通過不可解 CAPTCHA的形式生成不可解質詢響應測試。在某些實現方式中，安全設備240可以使用一個 或多個構建技術生成不可解CAPTCHA，該構建技術設計用於阻擋攻擊者設備210向伺服器 設備230發送請求而不使得攻擊者設備210和/或攻擊者設備210的用戶（例如，攻擊者） 意識到攻擊者設備210正被阻擋（例如，被安全設備240)向伺服器設備230發送請求。
[0046] 構建技術可以包括一種方式，其中不可解CAPTCHA由安全設備240生成。例如，安 全設備240可以通過在CAPTCHA中包括攻擊者設備210可能無法輸入（例如，使用標準英 文鍵盤）的字符來構建不可解CAPTCHA，諸如分數（例如，1/2U/4等），符號（例如，?、◎ 等）、與外國（例如，非英語）語言相關聯的字符（例如，3、S等）、不存在的字符（例如， 字符的鏡像）等。
[0047] 作為一個附加示例，安全設備240可以通過扭曲（例如，通過歪曲，通過模糊等） 不可解CAPTCHA中包括的字符來構建該不可解CAPTCHA，使得攻擊者設備210 (例如，攻擊 者）可能無法標識該字符（例如，字符可能被扭曲以至於使得該字符不可標識）。
[0048] 作為一個附加示例，安全設備240可以通過要求攻擊者設備210提供對複雜問題 (例如，複雜數學方程、複雜難題）的解決方案來構建不可解CAPTCHA。
[0049] 作為另一附加示例，安全設備240可以通過在CAPTCHA中包括與另一字符相似的 字符（例如，大寫字母"0"和數字"0"、小寫字母"1"和數字"1"等）來構建不可解CAPTCHA。 在此示例中，攻擊者設備210和/或攻擊者可能無法確定不可解CAPTCHA中顯示的是哪個 相似字符。
[0050] 作為另一示例，安全設備240可以通過要求攻擊者設備210在不合理的時間量內 提供解決方案（例如，通過使得CAPTCHA被顯示1秒並要求攻擊者設備210提交解決方案 而不能再次查看該CAPTCHA)來構建不可解CAPTCHA。
[0051] 作為另一示例，安全設備240可以通過在不可解CAPTCHA中包括第一數量的字符 (例如，10個字符），但是僅允許攻擊者設備210提交包含可能小於第一數量的字符的第二 數量的字符（例如，8個字符）的解決方案來構建不可解CAPTCHA。備選地，安全設備240 可以通過在不可解CAPTCHA中包括第一數量的字符（例如，6個字符），但是要求攻擊者設 備210提交包含可能大於第一數量的字符的第二數量的字符（例如，10個字符）的解決方 案來構建不可解CAPTCHA。
[0052] 作為另一示例，安全設備240可以通過引介信息（例如，程序代碼等）使得與不可 解CAPTCHA相關聯的用戶接口不可用（例如，用戶接口中包括的輸入欄位可能不允許攻擊 者設備210輸入解決方案等）來構建不可用CAPTCHA。
[0053] 作為另一示例，安全設備240可以通過使得攻擊者設備210顯示指示CAPTCHA不 能被生成的信息（例如，使得攻擊者設備210認為CAPTCHA生成器對於其他用戶不可操作） 來構建不可用CAPTCHA。
[0054] 在某些實現方式中，安全設備240可以通過另一方式（例如，列出的構建技術不是 所有可能構建技術的窮舉）生成不可解CAPTCHA。在某些實現方式中，安全設備240可以存 儲與一個或多個構建技術相關聯的信息（例如，安全設備240可以存儲可能構建技術的數 據結構）。
[0055] 在某些實現方式中，安全設備240可以使用一個或多個構建技術來生成不可解 CAPTCHA。附加地或備選地，安全設備240可以隨機選擇用於生成不可解CAPTCHA的一個或 多個構建技術（例如，不止一個構建技術可以用於生成不可解CAPTCHA)。在某些實現方式 中，安全設備240可以基於與攻擊者設備210相關聯的信息來選擇一個或多個構建技術。例 如，安全設備240可以存儲指示攻擊者設備210先前從事過惡意活動的信息，並且安全設備 240可以對應地選擇一個或多個構建技術（例如，以創建更複雜的不可解CAPTCHA等）。
[0056] 如圖4中進一步所示，過程400可以包括向攻擊者設備提供不可解質詢響應（塊 440)。例如，安全設備240可以向攻擊者設備210提供不可解質詢響應測試。在某些實現 方式中，當安全設備240生成不可解質詢響應測試時，安全設備240可以向攻擊者設備210 提供不可解質詢響應測試。附加地或備選地，當安全設備240從另一設備（例如，伺服器設 備230)接收指示安全設備240可以提供不可解質詢響應測試的信息時，安全設備240可以 向攻擊者設備210提供該不可解質詢響應測試。在某些實現方式中，安全設備240可以經 由網絡220向攻擊者設備210提供不可解質詢響應測試。
[0057] 如圖4中進一步所示，過程400可以包括從攻擊者設備接收對不可解質詢響應測 試的解決方案（塊450)。例如，安全設備240可以從攻擊者設備210接收對不可解質詢響 應測試的解決方案。在某些實現方式中，當攻擊者設備210發送解決方案時，安全設備240 可以接收該解決方案。在某些實現方式中，安全設備240可以經由網絡220接收該解決方 案。
[0058] 如圖4中進一步所示，過程400可以包括通知攻擊者設備該解決方案不正確（塊 460)。例如，安全設備240可以通知攻擊者設備210對不可解質詢響應測試的解決方案（例 如，由攻擊者設備210提供）不正確。在某些實現方式中，當安全設備240從攻擊者設備210 接收解決方案時，安全設備240可以通知攻擊者設備210該解決方案不正確。附加地或備 選地，當安全設備240從另一設備（例如，伺服器設備230)接收指示安全設備240可以通 知攻擊者設備210的信息時，安全設備240可以通知攻擊者設備210該解決方案不正確。
[0059] 在某些實現方式中，即使解決方案可能正確時，安全設備240也可以通知攻擊者 設備210該解決方案不正確。附加地或備選地，安全設備240可以通知攻擊者設備210解 決方案不正確而不需要確定該解決方案是否正確。換言之，安全設備240可以總是通知攻 擊者設備210解決方案不正確。
[0060] 在某些實現方式中，安全設備240可以通知攻擊者設備210解決方案不正確，並且 可以允許攻擊者設備210向不可解質詢響應測試提供另一解決方案（例如，攻擊者設備210 可以再次嘗試解決該不可解質詢響應測試）。備選地，安全設備240可以通知攻擊者設備 210解決方案不正確，並且可以通過上文所述方式生成可以向攻擊者設備210提供的另一 不可解質詢響應測試。
[0061] 通過此方式，安全設備240可以通過生成並提供設計用於使得攻擊者設備210沒 有意識到該攻擊者設備210正被安全設備240阻擋的一個或多個不可解質詢響應測試來繼 續阻擋攻擊者設備210向伺服器設備230發送請求。
[0062] 雖然圖4示出了過程400的示例塊，但在某些實現方式中，過程400可以包括與圖 4中所繪附加的塊、不同的組件、更少的塊、或者不同布置的塊。附加地或備選地，過程400 的一個或多個塊可以並行執行。
[0063] 圖5A至圖?是與圖4中所示的示例過程400有關的示例實現方式500的示圖。 針對不例實現方式500,假設與攻擊者設備（例如，AD1)相關聯的攻擊者正嘗試接收與另一 用戶jsmith(例如，不是攻擊者的用戶）的Facepage用戶帳戶相關聯（例如，與Facepage 伺服器託管的Fac印age應用相關聯）的信息。此外，假設Fac印age安全設備被置於保護 Facepage伺服器免受與Facepage應用相關聯的惡意請求。
[0064] 如圖5A中所示，AD1 (例如，攻擊者）可以通過使用用戶名（例如，jsmith)和密 碼（例如，密碼1、密碼2、密碼3、密碼4、密碼5)嘗試登錄jsmith用戶帳戶來重複嘗試接 收與該用戶帳戶相關聯的信息。如圖進一步所示，Facepage伺服器可以通知Facepage安 全設備每次失敗的AD1登錄嘗試。如圖進一步所示，Facepage安全設備可以確定（例如， 基於從Fac印age伺服器接收的與每個失敗登錄嘗試相關聯的信息）AD1已經嘗試登錄用戶 帳戶五次，並且在每次登錄嘗試期間已經提交了不正確的密碼。如圖進一步所示，Facepage 安全設備可以確定AD1正在從事惡意活動（例如，Facepage安全設備可以確定五次失敗的 登錄嘗試指示惡意活動）。
[0065] 如圖5A中進一步所示，AD1可以嘗試第六次（例如，使用密碼6)登錄用戶帳戶， 並且Facepage安全設備可以防止向Facepage伺服器發送該第六次登錄嘗試。如圖所示，Facepage安全設備可以確定（例如，基於將AD1標識為從事惡意活動）Facepage安全設備 可以生成不可解CAPTCHA嘗試阻擋AD1向Fac印age伺服器提交任意附加請求。
[0066] 如圖5B中所示，Fac印age安全設備可以選擇兩個構建技術用於生成不可解CAPTCHA。針對圖5B，假設Fac印age安全設備選擇與在CAPTCHA中包括與另一字符相似的字 符相關聯的構建技術，並且選擇與在CAPTCHA中包括AD1可能無法輸入（例如，使用鍵盤） 的字符相關聯的構建技術。如圖所示，Fac印age安全設備可以生成不可解CAPTCHA以包括 包含小寫字母"a"、小寫字母"X"、大寫字母"I"、符號" ?"、小寫字母"1"、大寫字母"D"和 分數符號"1/2"（例如，AD1和/或攻擊者可能無法標識大寫字母"I"與小寫字母"1"之間 的區別，AD1和/或攻擊者可能無法使用標準鍵盤錄入"?"符號和/或分數符號"1/2"）。 如圖進一步所示，攻擊者可以輸入（例如，經由AD1)與不可解CAPTCHA相關聯的包括字符 串"axIclDl/2"的解決方案。
[0067] 如圖5C中所示，AD1可以向Facepage安全設備提供解決方案，並且該Facepage安 全設備可以向AD1發送指示由AD1提供的解決方案不正確的通知。如圖進一步所示，通知可 以提示攻擊者嘗試解決另一CAPTCHA(例如，攻擊者並沒有意識到AD1正被阻擋向Fac印age 安全設備發送第六次登錄請求）。攻擊者可以通過點擊與該通知相關聯的用戶接口上的 "0K"按鈕來指示該攻擊者期望嘗試另一CAPTCHA。
[0068] 如圖中所示，Facepage安全設備可以生成另一不可解CAPTCHA。針對圖印，假 設Fac印age安全設備選擇與顯示指示CAPTCHA無法生成的錯誤（例如，在生成CAPTCHA時 Facepage安全設備遇到問題）相關聯的構建技術。如圖所示，Facepage安全設備可以通過 如下方式生成不可解CAPTCHA，通過此方式可以使得AD1顯示錯誤消息（例如，"錯誤！無法 顯示圖像。請稍後再次嘗試。")，並且可以向AD1提供不可解CAPTCHA。如圖所示，與AD1相 關聯的攻擊者可能認為CAPTCHA生成器不可操作（例如，攻擊者可能沒有意識到Fac印age 安全設備正在阻擋AD1)，並且攻擊者可能停止嘗試登錄用戶帳戶（例如，或者攻擊者可能 嘗試再次登錄用戶帳戶並且可能從Fac印age安全設備接收另一不可解CAPTCHA)。
[0069] 如上文所述，圖5A至圖?僅作為示例提供。其他示例也是可能的並且可以不同 於針對圖5A至圖ro所述的示例。
[0070]這裡描述的實現方式可以允許安全設備通過以如下方式向攻擊者設備提供一個 或多個不可解質詢響應測試來阻擋攻擊者設備（例如，從事惡意活動），通過此方式攻擊者 設備沒有意識到該攻擊者設備正被阻擋。
[0071] 雖然上述公開內容提供了圖示和描述，但是並不旨在成為詳盡性的或者將實現限 定於所公開的精確形式。根據以上公開內容的修改和變化是可能的，或者可以從對實現的 實踐中獲得這些修改和變化。
[0072] 如這裡所使用的，術語組件應當廣義解釋為硬體、固件，或者硬體與軟體的組合。
[0073]某些實現方式在本文結合閾值進行描述。如這裡用於描述值與閾值的關係的術語 "大於"（或相似術語）可以與術語"大於或等於"（或相似術語）互換使用。類似地，如這 裡用於描述值與閾值的關係的術語"小於"（或相似術語）可以與術語"小於或等於"（或相 似術語）互換使用。如這裡所使用的，"滿足"閾值（例如相似術語）可以與"大於閾值"、 "大於或等於閾值"、"小於閾值"、"小於或等於閾值"或其他相似術語互換使用。
[0074] 某些用戶接口已經在此進行了描述。在某些實現方式中，用戶接口可以由用戶或 設備可定製。附加地或備選地，用戶接口可以被預配置為標準配置、基於其上顯示用戶接口 的設備類型的特定配置、或者基於與其上顯示用戶接口的設備相關聯的容量和/或規格的 配置集。
[0075] 應當明白，本文所描述的系統和/或方法能夠以附圖所圖示的實現的許多不同形 式的軟體、固件和硬體來實現。用於實現這些系統和/或方法的實際軟體代碼或專用控制 硬體並不限於這些實現方式。因此，所述系統和/或方法的操作和行為是在未參考具體軟 件代碼的情況下來描述的--應當理解，可以基於本文的描述而設計軟體和控制硬體來實 現所述系統和/或方法。
[0076] 雖然在權利要求中陳述了並且/或者在說明書中公開了特徵的特定組合，但是這 些組合併不旨在限制可能的實現的公開。事實上，這些特徵中的許多特徵能夠以非具體地 在權利要求中陳述和/或在說明書中公開的方式相結合。雖然下列每個從屬權利要求可以 直接從屬於僅一個權利要求，但可能的實現的公開包括與整套權利要求中的每個其他權利 要求相結合的每個從屬權利要求。
[0077] 本文所使用的任何元件、動作，或指令均不應解釋為是關鍵的或必需的，除非有明 確描述如此。另外，本文所使用的量詞"一個"和"一種"旨在包括一個或多個項，並且可以 與"一個或多個"互換地使用。此外，本文所使用的術語"一組"旨在包括一個或多個項，並 且可以與"一個或多個"互換地使用。在意指僅一項的情況下，使用了術語"一個"或相似 的詞語。此外，除非另有明確規定，否則短語"基於"旨在表示"至少部分基於"。
【權利要求】
1. 一種用於阻擋攻擊者設備的安全設備，所述安全設備包括： 一個或多個處理器，被配置為： 從所述攻擊者設備接收針對伺服器設備的請求； 將所述請求標識為與惡意活動相關聯， 所述惡意活動包括指向所述伺服器設備的一個或多個不期望的任務； 基於將所述請求標識為與所述惡意活動相關聯生成不可解質詢響應測試， 所述不可解質詢響應測試使用至少一個構建技術生成，以及 所述不可解質詢響應測試被配置為嘗試阻擋所述攻擊者設備而不使得所述攻擊者設 備意識到所述攻擊者設備正被阻擋； 向所述攻擊者設備提供所述不可解質詢響應測試； 從所述攻擊者設備接收與所述不可解質詢響應測試相關聯的解決方案；以及 無論所述解決方案是否實際上正確，通知所述攻擊者設備所述解決方案不正確。
2. 根據權利要求1所述的安全設備，其中所述一個或多個處理器被進一步配置為： 從多個構建技術中隨機選擇構建技術；以及 其中在生成所述不可解質詢響應測試時，所述一個或多個處理器被配置為： 使用所述隨機選定的構建技術生成所述不可解質詢響應測試。
3. 根據權利要求1所述的安全設備，其中在生成所述不可解質詢響應測試時，所述一 個或多個處理器進一步被配置為： 使用設計用於向所述攻擊者設備指示已經出現與生成可解質詢響應測試相關聯的錯 誤的至少一個構建技術來生成所述不可解質詢響應測試。
4. 根據權利要求1所述的安全設備，其中在生成所述不可解質詢響應測試時，所述一 個或多個處理器進一步被配置為： 使用設計用於向所述攻擊者設備指示所述不可解質詢響應測試是可解質詢響應測試 的至少一個構建技術來生成所述不可解質詢響應測試。
5. 根據權利要求1所述的安全設備，其中在通知所述攻擊者設備所述解決方案不正確 時，所述一個或多個處理器進一步被配置為： 從所述攻擊者設備接收對所述不可解質詢響應測試的另一解決方案；以及 無論所述另一解決方案是否實際上正確，通知所述攻擊者設備所述另一解決方案不正 確。
6. 根據權利要求1所述的安全設備，其中在通知所述攻擊者設備所述解決方案不正確 時，所述一個或多個處理器進一步被配置為： 通知所述攻擊者設備所述解決方案不正確，而不需要確定所述解決方案中包括的字符 串是否為與所述不可解質詢響應測試相關聯的正確解決方案。
7. 根據權利要求1所述的安全設備，其中所述不可解質詢響應測試是第一不可解質詢 響應測試，並且所述解決方案是第一解決方案， 其中所述第一不可解質詢響應測試使用第一構建技術生成；以及 其中所述一個或多個處理器進一步被配置為： 在通知所述攻擊者設備所述第一解決方案不正確之後，使用第二構建技術生成第二不 可解質詢響應測試， 所述第二構建技術不同於所述第一構建技術；向所述攻擊者設備提供所述第二不可解 質詢響應測試；接收與所述第二不可解質詢響應測試相關聯的第二解決方案；以及 無論所述第二解決方案是否實際上正確，通知所述攻擊者設備所述第二解決方案不正 確。
8. -種用於阻擋攻擊者設備的系統，所述系統包括： 用於從所述攻擊者設備接收針對由伺服器設備存儲的信息的請求的裝置； 用於確定所述請求指示惡意活動的裝置， 所述惡意活動與指向所述伺服器設備的不期望任務的執行相關聯； 用於基於確定所述請求指示所述惡意活動而使用一個或多個構建技術來構建不可解 全自動區分計算機和人類的公眾圖靈測試（CAPTCHA)的裝置， 所述不可解CAPTCHA被設計用於阻擋所述攻擊者設備向所述伺服器設備發送所述請 求而不通知所述攻擊者設備所述攻擊者設備正被阻擋； 用於向所述攻擊者設備發送所述不可解CAPTCHA的裝置； 用於從所述攻擊者設備接收與所述不可解CAPTCHA相關聯的提議解決方案的裝置；以 及 用於無論所述提議解決方案是否實際上正確，通知所述攻擊者設備所述提議解決方案 不正確的裝置。
9. 根據權利要求8所述的系統，進一步包括： 用於從多個構建技術中隨機選擇構建技術的裝置；以及 其中用於構建所述不可解CAPTCHA的裝置包括： 用於使用所述隨機選定的構建技術構建所述不可解CAPTCHA的裝置。
10. 根據權利要求8所述的系統，其中用於構建所述不可解CAPTCHA的裝置包括： 用於使用設計用於向所述攻擊者設備指示出現與構建可解CAPTCHA相關聯的錯誤的 一個或多個構建技術來構建所述不可解CAPTCHA的裝置。
11. 根據權利要求8所述的系統，其中用於構建所述不可解CAPTCHA的裝置包括： 用於使用設計用於向所述攻擊者設備指示所述不可解CAPTCHA是可解CAPTCHA的一個 或多個構建技術來構建所述不可解CAPTCHA的裝置。
12. 根據權利要求8所述的系統，進一步包括： 用於從所述攻擊者設備接收對所述不可解CAPTCHA的另一提議解決方案的裝置；以及 用於無論所述另一提議解決方案是否實際上正確，通知所述攻擊者設備所述另一提議 解決方案不正確的裝置。
13. 根據權利要求8所述的系統，其中所述用於通知所述攻擊者設備所述提議解決方 案不正確的裝置包括： 用於通知所述攻擊者設備所述提議解決方案不正確，而不需要確定所述提議解決方案 中包括的字符串是否為與所述不可解CAPTCHA相關聯的正確解決方案的裝置。
14. 根據權利要求8所述的系統，其中所述不可解CAPTCHA是第一不可解CAPTCHA，並 且所述提議解決方案是第一提議解決方案， 其中所述第一不可解CAPTCHA使用第一構建技術構建；以及 其中所述系統進一步包括： 用於在通知所述攻擊者設備所述第一提議解決方案不正確之後，使用第二構建技術構 建第二不可解CAPTCHA的裝置， 所述第二構建技術不同於所述第一構建技術； 用於向所述攻擊者設備發送所述第二不可解CAPTCHA的裝置； 用於接收與所述第二不可解CAPTCHA相關聯的第二提議解決方案的裝置；以及 用於無論所述第二提議解決方案是否實際上正確，通知所述攻擊者設備所述第二提議 解決方案不正確的裝置。
15. -種用於阻擋攻擊者設備的方法，所述方法包括： 由安全設備接收用於提供與伺服器設備相關聯的信息的請求； 由所述安全設備將所述請求標識為與指向所述伺服器設備的不期望任務相關聯； 由所述安全設備使用一組構建技術來生成不可解質詢響應測試， 所述不可解質詢響應測試通過不指示所述安全設備正在阻擋所述攻擊者設備向所述 伺服器設備發送所述請求的方式生成；由所述安全設備提供所述不可解質詢響應測試；由 所述安全設備接收與所述不可解質詢響應測試相關聯的答案， 所述答案由所述攻擊者設備提供；以及無論所述答案是否實際上正確，由所述安全設 備通知所述攻擊者設備所述答案不正確。
16. 根據權利要求15所述的方法，進一步包括： 從多個構建技術中隨機選擇一組構建技術；以及 其中生成所述不可解質詢響應測試進一步包括： 使用所述一組隨機選定的構建技術生成所述不可解質詢響應測試。
17. 根據權利要求15所述的方法，其中生成所述不可解質詢響應測試進一步包括： 使用設計用於向所述攻擊者設備指示已經出現與生成可解質詢響應測試相關聯的錯 誤的至少一個構建技術來生成所述不可解質詢響應測試。
18. 根據權利要求15所述的方法，其中生成所述不可解質詢響應測試進一步包括： 使用設計用於向所述攻擊者設備指示所述不可解質詢響應測試是可解質詢響應測試 的至少一個構建技術來生成所述不可解質詢響應測試。
19. 根據權利要求15所述的方法，其中通知所述攻擊者設備所述答案不正確進一步包 括： 通知所述攻擊者設備所述答案不正確，而不需要確定所述答案中包括的字符串是否為 所述不可解質詢響應測試的正確答案。
20. 根據權利要求15所述的方法，其中所述不可解質詢響應測試是第一不可解質詢響 應測試，並且所述答案是第一答案： 其中所述第一不可解質詢響應測試使用第一組構建技術生成；以及 其中所述方法進一步包括： 在通知所述攻擊者設備所述第一解決方案不正確之後，使用第二組構建技術生成第二 不可解質詢響應測試， 所述第二組構建技術不同於所述第一組構建技術； 向所述攻擊者設備提供所述第二不可解質詢響應測試； 接收與所述第二不可解質詢響應測試相關聯的第二答案；以及 無論所述第二答案是否實際上正確，通知所述攻擊者設備所述第二答案不正確。
【文檔編號】G06F21/55GK104519044SQ201410514445
【公開日】2015年4月15日 申請日期:2014年9月29日 優先權日:2013年9月30日
【發明者】K·亞當斯 申請人:瞻博網絡公司