Разработка методов персонализации доступа к информационным ресурсам на основе технологи Captcha

ВВЕДЕНИЕ
В последнее время ни один более или менее популярный сайт не обходится без использования CAPTCHA. Широкое использование Интернет дало пользователям возможность активно использовать веб ресурсы, а администраторам - механизмы для своевременного изменения ресурсов, но вместе с этим такую возможность получили и спамеры. Ручное заполнение форм интернет-мошенникам экономически невыгодно, поэтому они используют программы-роботы и автоматизированные средства взлома сайтов на пути которых и становится специальный сервис CAPTCHA.
CAPTCHA - это аббревиатура от английских слов "Completely Automatic Public Turing Test to Tell Computers and Humans Apart" - полностью автоматический тест Тьюринга для различения компьютеров и людей. Иными словами, это задача, которую легко решает человек, но которую невозможно (или крайне трудно) научить решать компьютер [17].
Понятие Теста Тьюринга было введено Аланом М. Тьюринга (1912-1954 гг.) В его работе «игра имитации». Задача такого теста определить имеет компьютерная программа интеллект, или точнее ли она выдавать себя за человека. Критерий Тьюринга описан в виде игры «Имитация». Суть игры заключается в том, что берется один человек, одна женщина и программа. Последняя, в свою очередь, не имея информации о поле двух других участников, ставит им вопрос. Цель программы - определить пол людей. Несмотря на критику этой теории, она внесла большой вклад в развитие систем искусственного интеллекта и философии, а в наше время еще нашла применение в борьбе с автоматизированным программным обеспечением.
На сегодняшний момент CAPTCHA можно встретить практически везде: при регистрации, авторизации, отправке сообщений запросе какой-либо информации и так далее. Везде где может быть выгодной автоматизация, в том числе и нанесение ущерба владельцам Интернет сервисов или их клиентам.
Применяются CAPTCHA для того, чтобы предотвратить множественным автоматическим регистрациям и отправки сообщений программами-роботами. Т. е. задача CAPTCHA - защита от спама, флуда и захвата аккаунтов.
Принцип CAPTCHA основан на сложности автоматического распознавания искаженного и зашумленного текста.
Чаще всего CAPTCHA выглядит, как тем или иным образом которое зашумленное случайное число, слово или другая надпись, которую пользователю нужно прочитать и ввести прочитанный результат, хотя существуют и другие методы [1].
Существует множество мнений за и против этого сервиса по целому ряду причин, но сегодня серьезной альтернативы, как будет показано в работе, этому сервису нет. А это означает, что этот сервис является наиболее распространенной системой защиты сайта в сети Интернет и качество этого сервиса определяет степень защиты веб ресурса.
Проблема исследования - защита веб ресурса от несанкционированного доступа.
Объект исследования - система защиты от несанкционированного доступа к веб ресурса, в обход системы авторизации.
Цель исследования - анализ методик и алгоритмов модулей сайтов типа CAPTCHA и разработка оптимального модулю
Задачи исследования:
1. Провести обзорный анализ систем взлома сайтов.
2. Провести общий анализ систем защиты сайта и выделить сервис CAPTCHA в этой системе.
3. Рассмотреть возможные альтернативы сервиса CAPTCHA.
4. Провести детальный анализ сервиса CAPTCHA, сделать сравнительную таблицу.
5. Рассмотреть алгоритмы и методы разработки сервиса CAPTCHA.
6. Определить критерии оптимального выбора сервиса CAPTCHA, алгоритма и способа его разработки.
7. Разработать сервис в соответствии с оптимального алгоритма.
8. Подготовить раздел по технике безопасности.
Методы исследования: анализ, сравнение, синтез, моделирование, обобщение, практическая разработка.
Авторский вклад - анализ сервиса, разработка критериев оценки качества, разработка эффективных сервисов.
Научная новизна - проведен анализ сервисов CAPTCHA, разработана методика и критерии оценки сервисов CAPTCHA, разработаны рекомендации по оптимальному использованию сервисов, разработанный один оптимальных сервисов CAPTCHA для неспециализированных веб-ресурсов.
Практическая значимость - правильно подобранная система CAPTCHA позволяет обеспечить защиту веб ресурса.
Ключевые слова: сервис, веб-ресурс, алгоритм, тест Тьюринга, защита информации, CAPTCHA, разработка ПО.
Краткое описание работы
В первом разделе работы проводится анализ систем взлома веб ресурсов и общие понятия сервиса Captcha. В этом разделе проводится исследование типов и видов сервисов Captcha, организация работы с ними, определяются функции и возможности других видов защиты доступа к веб ресурсу.
Во втором разделе подробно исследуются существующие сервисы и вводится шкала определения степени их защиты по ряду характеристик.
Третий раздел посвящен разработке интеллектуальных Captcha для разного уровня интеллекта и для защиты то непрофессионального доступа к специализированным ресурсам. Рассматриваются разные способы разработки и общие подходы к организации интеллектуальных сервисов Captcha. В работе даются общие и частные рекомендации по разработке интеллектуальной защиты ресурса типа сервисов Captcha.
Работа содержит 69 страниц основного текста, список литературы из 22 источников, 4 приложения, 3 таблицы и 25 рисунков.

СОДЕРЖАНИЕ
ВВЕДЕНИЕ 4
1. АНАЛИЗ СИСТЕМ ЗАЩИТЫ ВЕБ РЕСУРСОВ 8
1.1. Анализ систем взлома веб ресурсов 8
1.2. Реферативный обзор сервиса CAPTCHA. 14
1.3. Использование CAPTCHA для защиты веб ресурсов 18
1.4. Альтернативы CAPTCHA 20
1.4.1. Автоматическое и ручное определение спама 20
1.4.2.Метод «Горшок меда» 21
1.4.3. Централизация базы пользователей 23
Вывод к первому разделу 25
2. СТРУКТУРА СЕРВИСА CAPTCHA, АЛГОРИТМЫ, РЕШЕНИЕ 27
2.1. Виды CAPTCHA. 28
2.1.1. Системы оптического распознавания. 28
2.1.2 . Текстовые системы (ответ на картинке) 29
2.1.3. Логические задачи 30
2.1.4. Определение изображений 31
2.1.5. Поворот изображений 33
2.1.6. Определение друзей 34
2.1.7. Интерактивные CAPTCHA 35
2.2. Автоматическая генерация CAPTCHA. Алгоритмы искажения изображений 36
2.2.1. Наложение на изображение шумов 38
2.2.2. Зашумления изображения случайными линиями 39
2.2.3. Зашумления изображения из-за наложения сетки 40
2.2.4. Наложение цветовых шумов 41
2.2.6. Трансформации символов CAPTCHA (смещение, вращение, масштабирование) 45
2.2.7. Использование волновых искажений MultiWave 46
2.2.8. Использование искажений закручивания MultiSwirl 48
2.3. Проблема систем CAPTCHA. 49
Вывод ко второму разделу 51
3. РАЗРАБОТКА ИНТЕЛЛЕКТУАЛЬНОГО CAPTCHA 55
3.1. Алгоритм CAPTCHA -проверка 56
3.2. Разработка эффективных сервисов CAPTCHA 57
3.2.1. Разработка арифметической CAPTCHA средствами JavaScript 57
3.2.2. Разработка сервиса CAPTCHA с использованием перестановок 58
3.3. Разработка интеллектуальных Captcha. 60
Выводы к третьему разделу 65
ЗАКЛЮЧЕНИЕ 66
ЛИТЕРАТУРА 69
ПРИЛОЖЕНИЯ 71
Приложение 1. Файл Captcha.html 71
Приложение 2. Captcha.html 73
Приложение 3. Простейший случай интеллектуальной Captcha 75
Приложение 4. Интеллектуальная Captcha с PHP 79

ЗАКЛЮЧЕНИЕ
Как показывает практика, любая CAPTCHA может быть взломана, вопрос лишь в том, оправдает результат затраченные усилия. Что на данный момент точно не реализуется, так это универсальная система распознавания, способна без какого-либо ручной настройки распознавать любые CAPTCHA. Для повышения качества сервиса CAPTCHA используют целый ряд различных методов. Во-первых, добавить искажения, меняют расположение цифр друг друга, что затруднит их разделение. Во-вторых, исключение вариантов, при которых шумовые линии практически не перекрывают надпись - это также затруднит определение положения всего надписи и уменьшит точность распознавания цифр нейросетью. В-третьих, можно увеличить количество цифр хотя бы до 6, что значительно уменьшит общую вероятность успешного распознавания. Эти рекомендации справедливы и для большинства других сайтов. Для тех сайтов, взлом CAPTCHA которых является экономически выгодным для спамеров, следует предусматривать дополнительные меры защиты, например, подтверждение регистрации через отправку кода по SMS (как это делает Google в некоторых случаях).
Технологии распознавания образов, текстов, звуков развиваются параллельно с увеличением вычислительной мощности компьютеров. Рано или поздно CAPTCHA перестанут быть препятствием для роботов, однако, проблема может быть решена с помощью упомянутого выше подтверждения через смс или надежных OpenID - провайдеров, осуществляющих проверку своих пользователей.
Ни одно из приведенных выше решений не соответствует требованиям, которые мы выделили в качестве обязательных для идеальной CAPTCHA. Каждый из вариантов создает неприемлемые помехи для большого сегмента пользователей. Мы и пришли к выводу, что пользователи отдают предпочтение классической текстовую CAPTCHA, и никакой альтернативы они не воспримут как-то лучшее. Несколько лишних секунд, требуемых от пользователя решения предложенной задачи, сводит все преимущества метода нет. Если метод слишком медленный, значит, он не стоит того.
Из всех доступных решений, текстовая CAPTCHA (вроде reCAPTCHA) выглядит привлекательный. Итак, мы пришли к тому, что всегда есть определенная проблема, которую решает CAPTCHA.
Формула эффективности CAPTCHA
При оценке CAPTCHA следует исходить из формулы (рис.4.2):

Рис.4.2. Формула эффективности сервиса CAPTCHA
То есть, при осложнении алгоритма генерации CAPTCHA, увеличиваются обе части соотношения, не приносит положительного результата.
Идеальная CAPTCHA - и которая отсекает всех ботов (100% невозможность разгадывание компьютером), и не требует действий со стороны пользователя.
Проанализированы системы защиты веб ресурсов, и выделены системы CAPTCHA. Проанализированы средства разработки, виды, возможные решения, разработанные критерии сравнения качества, формула оценки эффективности, рассмотрены алгоритмы, определены наиболее эффективные системы вообще, и в отдельных случаях и системах. Создано несколько сервисов, которые наиболее эффективны.
Заданием дипломной работы было исследование вопроса разработки интеллектуальной Captcha для защиты специализированных веб ресурсов от несанкционированного доступа людей с ограниченными знаниями в определенных областях. Для примера были использованы специальные задания по физике выполнение которых открывает доступ к веб-ресурсу. При исследовании вопроса был сделан вывод о том, что особенностью и основной сложностью разработки данного ресурса является сложность составления заданий. Процесс разработки самого сервиса является стандартным процессом разработки текстовой Captcha.
Созданы выводы.
В процессе выполнения работы были решены все задачи как теоретического, так и практического плана, достигнута цель исследования.

ЛИТЕРАТУРА
1. W3C - [Электронный ресурс]. Режим доступа: http: //www.w 3.org/TR/turingtest/
2. How Good are Humans at Solving CAPTCHAs? A Large Scale Evaluation - [Электронный ресурс]. Режим доступа: http://www.stanford.edu/~jurafsky/burszstein_2010_captcha.pdf
3. Death to Captchas - [Электронный ресурс]. Режим доступа: http://timkadlec.com/ 2011/01 / death - to - captchas /
4. Матановая капча на PHP - это просто! - [Электронный ресурс]. Режим доступа: http://habrahabr.ru/post/ 120646 /
5. reCAPTCA is a free anti - bot service that helps digitize books. - [Электронный ресурс]. Режим доступа: http://www.google.com/recaptcha
6. В поисках идеальной CAPTCHA - [Электронный ресурс]. Режим доступа: http://habrahabr.ru/post/ 120851 /
7. MicroSoft Research. Asirra. - [Электронный ресурс]. Режим доступа: -http: //research.microsoft.com/en-us/um/redmond/projects/asirra/
8. IndentiPIC. - [Электронный ресурс]. Режим доступа: http://identipic.com/
9. Alex Rice A Continued Commitment to Security - [Электронный ресурс]. Режим доступа: https://www.facebook.com/notes/facebook/a-continued-commitment-to-security/ 486790652130
10. They make apps - [Электронный ресурс]. Режим доступа: http://theymakeapps.com/users/add
11. Cross - Site Request Forgery - много шуму из-за чего [Электронный ресурс]. Режим доступа: / SecurityLab
12. CAPTCHA.RU - [Электронный ресурс]. Режим доступа: http://www.captcha.ru/
13. Оригинал статьи - [Электронный ресурс]. Режим доступа: In Search Of The Perfect CAPTCHA, David Bushell, 03/04/2011.
14. Проект «Щит». - [Электронный ресурс]. Режим доступа: https://projectshield.withgoogle.com/ru/
15. Камчесс Андрей. Оборот электронных денег в интернете / Андрей Камчесс- [Электронный ресурс]. Режим доступа: http://koshelyok.ru/d 8.html
16. Оборот "официальных" электронных денег в Украине превысил миллиард гривен - [Электронный ресурс]. Режим доступа: http://korrespondent.net/business/financial/ 1487854 - oborot - oficialnyh - elektronnyh - deneg - v - ukraine - prevysil - milliard - griven
17. Википедия. CAPTCHA. - [Электронный ресурс]. Режим доступа: http://uk.wikipedia.org/wiki/CAPTCHA
18. CAPTCHA Alternative? Try this Invisible Human Check for Web Form Validation - [Электронный ресурс]. Режим доступа: http://webdesignfromscratch.com/javascript/human-form-validation-check-trick/
19. Janrain - [Электронный ресурс]. Режим доступа: http://janrain.com/product/
20. The Web's Community of Communities - [Электронный ресурс]. Режим доступа: http://disqus.com/websites//
21. Анализ алгоритмов генерации CAPTCHA. Блог веб разработок. - [Электронный ресурс]. Режим доступа: http://intsystem.org/ 295 / analiz - captcha - algorithms /
22. Заруцкий Артем. Взлом CAPTCHA: теория и практика. Разбираемся, как ломают капчи / Артем Заруцкий -Хакер № 4/10 (135) - [Электронный ресурс]. Режим доступа: http://www.xakep.ru/magazine/xa/ 135/044 / 1.asp