微软开发的人工交互检测(HIP)技术能有效防止自动化脚本创建大量账户,阻止恶意行为。该技术已成功应用于Hotmail等服务,显著降低垃圾邮件传播风险及服务器维护成本。
导读:
视觉和声音的人工交互检测(HIP)技术可以用来帮助一些在线服务区分人工操作和脚本自动操作,以避免设计上的缺陷以及恶意的自动创建账号。微软开发了一款非常坚固的人工交互检测系统,并且在过去的几年当中已经广泛的运用于微软自己的Hotmail和Passport服务当中。
概 述
在线界面通常用来为客户提供一个便利的方式来实现订购产品(如订票),访问个人账户信息,创建新电子邮件账号,或者访问其他服务。这些系统不仅为供应商和客户提供了便利,同时还可以有效的减少总体成本。
不幸的是,这样的系统同时也存在漏洞,黑客可以对个人数据以及其他保密数据进行访问,干扰服务,散播蠕虫或者垃圾邮件。如同下面的场景中所举的例子那样,这些攻击一般都是通过使用自动化的脚本或机器人来实现的,因此我们需要人工交互检测(HIP)来防御这样的攻击。
优 势
1.久经考验的解决方案:早在2004年就被部署在微软Hotmail服务器上,用于阻止自动创建账号的恶意行为
2.减少网络流量以及减少维护服务器中恶意账户的成本
3.在牢不可破的同时,允许绝大多数用户在第一次尝试的时候进行登录
4.简单的应用程序,提供视觉和音频格式(可以帮助视觉有障碍的用户)
5.简易化的部署,只需要很少的维护费用,可以自定义防御等级,极易升级
核心用途
1. 在线服务------防止自动创建账户
2. HIP可以用来防御恶意创建成千上万个电子邮件账户的脚本。如果没有这一层保护,这些邮件账户将有可能被用来散播蠕虫和垃圾邮件。这些垃圾信息不仅对供应商不利,同时也会消耗公司的资源,并且很有可能影响到公司的信誉。
3. 同时,这些脚本还可以用来启动拒绝服务式攻击,对一些在线服务造成影响,比如售票系统。在这种场景下,一个恶意的脚本可以伪装成合法的购票请求,并且打开上百个会话,从而占用系统资源,导致真正的购票者不能够正常进行购票操作。HIP可以通过阻止恶意账户创建的方法来有效的预防这种攻击。
4. HIP可以用来防御那些通过密码穷举的方式试图访问系统的自动化脚本。
本文转自
http://www.ittc.com.cn/about/microsoft1.html
扫一扫
11
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
