[发明专利]一种基于社会工程学的网页验证码识别方法及系统

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及一种基于社会工程学的网页验证码识别方法及系统。

背景技术

社会工程学，是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行信息攻击的方法。社会工程学攻击建立在使人决断产生认知偏差的基础上。

验证码技术，全名为“全自动区分计算机和人类的图灵测试”(CAPTCHA,Completely Automated Public Turing test to tell Computers and Humans Apart)，是一种区分用户是计算机还是人的自动程序。可以防止破解密码、刷票、论坛灌水等行为。从本质上来说，一切以提出问题并要求给出答案来区分用户是计算机还是人的表现形式都是验证码技术的范畴，可称为广义验证码技术。

在WEB系统中，验证码主要用于防止用户非法注册和登录网页。通常在网站页面上显示一幅验证码图像，由用户肉眼识别其中的验证码，并将该验证码输入表单提交网站验证。验证码也可以以给出问题并要求答案的方式出现，而广泛使用的、用于网页验证的图片、动画与视频文件等仅是其部分表现形式。

验证码在工作时，将一些随机的字符或数字生成为一幅图片，并在图片中加入一些干扰性的图形，例如一些点或波浪线，以防止通过光学字符识别(OCR，Optical Character Recognition)自动识别验证码，另一方面，每次刷新页面都会随机生成新的验证码。这些特点使验证码可以保证WEB系统不被自动程序恶意的使用。这些手段的使用，都给自动程序(机器人)识别验证码造成了很大的技术难度。但对人类来说，这些验证码却可被轻易识别。

目前，为了防止恶意用户利用自动识别工具破解密码、自动注册、登录、灌水等，都采用了验证码技术。但是在网络安全领域，出于国家安全的考虑，一个新的防御技术的出现的同时必须为公安、国安等国家安全部门提供相应的应对技术和方法。目前现有的验证码识别技术大多是基于计算机图形学的思路，通过提取验证码图像并进行图像处理来完成验证码的识别工作。基于这种思路实现的验证码识别方法受到验证码中干扰图形的影响较大，无法保证验证码的识别率。

发明内容

本发明目的在于克服现有技术的不足，提供了一种基于社会工程学的网页验证码识别方法及系统，通过计算机网络技术结合社会工程学中欺骗和利用第三方来进行信息攻击的思想，实现网页验证码的高效、准确识别。

为达到上述目的，本发明采用以下技术方案：

一种基于社会工程学的网页验证码识别方法，包括以下步骤：

第一步、获取验证码文件；

第二步、将验证码发送至社会工程节点；

第三步、通过社会工程网站节点引诱第三方用户人工识别验证码；

第四步、根据人工识别的结果，在原始网页中填入验证码识别结果或构造登录数据包，完成验证码认证。

进一步地，第一步中获取验证码文件具体方法如下：

1.1使用捕获与登录客户端自动或手工方式确定和获取用户登录时输入的用户登录/注册信息以及网页生成的验证码的位置信息；

1.2捕获与登录客户端根据获取的验证码信息，保存验证码文件和用户登录/注册信息。

进一步地，使用捕获与登录客户端确定用户信息和验证码位置信息的步骤具体为：

捕获与登录客户端根据网页中的特征信息包括用户名、密码和验证码字段，自动匹配存在于HTML页面中的登录/注册项的位置、名称、缺省值以及验证码的出现位置和在缓存中的位置。

进一步地，使用手工方式确定用户信息和验证码位置信息的步骤具体为：

手工方式通过为网页浏览器添加插件的方式来实现；

用户人工判断页面中与用户登录或注册相关的网页组件的位置，在页面中划出用户名输入框、口令输入框和验证码输入框组件的位置；

浏览器插件根据用户划出的位置信息，找出以上组件对应的代码在整个页面的HTML代码中所处的位置，以及在缓存中的位置。

进一步地，第二步中将验证码发送至社会工程节点具体方法如下：

2.1根据社会工程学的思想，建立若干个不同类型的社会工程节点，该若干个社会工程节点在提供各种不同类型网络服务时，需要显示验证码并要求对验证码进行识别；

2.2建立一个路由服务器，将下载的验证码文件发送到该若干个社会工程节点，在发送过程中，路由服务器根据各个社会工程节点的负载情况，自动进行负载均衡，将验证码文件发送至轻负载的社会工程节点。