验证码粘连分割算法

Ⅰ 如何利用python做简单的验证码识别

1摘要

验证码是目前互联网上非常常见也是非常重要的一个事物，充当着很多系统的防火墙功能，但是随时OCR技术的发展，验证码暴露出来的安全问题也越来越严峻。本文介绍了一套字符验证码识别的完整流程，对于验证码安全和OCR识别技术都有一定的借鉴意义。

然后经过了一年的时间，笔者又研究和get到了一种更强大的基于CNN卷积神经网络的直接端到端的验证识别技术（文章不是我的，然后我把源码整理了下，介绍和源码在这里面）：

基于python语言的tensorflow的‘端到端’的字符型验证码识别源码整理(github源码分享)

2关键词

关键词：安全,字符图片,验证码识别,OCR,Python,SVM,PIL

3免责声明

本文研究所用素材来自于某旧Web框架的网站完全对外公开的公共图片资源。

本文只做了该网站对外公开的公共图片资源进行了爬取，并未越权做任何多余操作。

本文在书写相关报告的时候已经隐去漏洞网站的身份信息。

本文作者已经通知网站相关人员此系统漏洞，并积极向新系统转移。

本报告的主要目的也仅是用于OCR交流学习和引起大家对验证安全的警觉。

4引言

关于验证码的非技术部分的介绍，可以参考以前写的一篇科普类的文章：

互联网安全防火墙（1）--网络验证码的科普

里面对验证码的种类，使用场景，作用，主要的识别技术等等进行了讲解，然而并没有涉及到任何技术内容。本章内容则作为它的技术补充来给出相应的识别的解决方案，让读者对验证码的功能及安全性问题有更深刻的认识。

5基本工具

要达到本文的目的，只需要简单的编程知识即可，因为现在的机器学习领域的蓬勃发展，已经有很多封装好的开源解决方案来进行机器学习。普通程序员已经不需要了解复杂的数学原理，即可以实现对这些工具的应用了。

主要开发环境：

• python3.5

• python SDK版本

• PIL

• 图片处理库

• libsvm

• 开源的svm机器学习库

关于环境的安装，不是本文的重点，故略去。

6基本流程

一般情况下，对于字符型验证码的识别流程如下：

• 准备原始图片素材

• 图片预处理

• 图片字符切割

• 图片尺寸归一化

• 图片字符标记

• 字符图片特征提取

• 生成特征和标记对应的训练数据集

• 训练特征标记数据生成识别模型

• 使用识别模型预测新的未知图片集

• 达到根据“图片”就能返回识别正确的字符集的目标

7素材准备

7.1素材选择

由于本文是以初级的学习研究目的为主，要求“有代表性，但又不会太难”，所以就直接在网上找个比较有代表性的简单的字符型验证码（感觉像在找漏洞一样）。

最后在一个比较旧的网站（估计是几十年前的网站框架）找到了这个验证码图片。

原始图：



• def get_feature(img): """


• 获取指定图片的特征值,


• 1. 按照每排的像素点,高度为10,则有10个维度,然后为6列,总共16个维度


• :param img_path:


• :return:一个维度为10（高度）的列表 """



• width, height = img.size



• pixel_cnt_list = []


• height = 10 for y in range(height):


• pix_cnt_x = 0 for x in range(width): if img.getpixel((x, y)) == 0: # 黑色点


• pix_cnt_x += 1



• pixel_cnt_list.append(pix_cnt_x) for x in range(width):


• pix_cnt_y = 0 for y in range(height): if img.getpixel((x, y)) == 0: # 黑色点


• pix_cnt_y += 1



• pixel_cnt_list.append(pix_cnt_y) return pixel_cnt_list



然后就将图片素材特征化，按照libSVM指定的格式生成一组带特征值和标记值的向量文

Ⅱ android识别验证码图片的原理与思路

假设已经把验证码图片保存到本地了
我说一下验证码识别的大致步骤吧
1，读取图片到bitmap
2，进行灰度操作
3，进行才二值操作
4，如果有干扰点 一般用滤波器或八邻域去干扰点
5，如果有干扰线 如果是简单的直线可以用扫描法，八后法等，复杂的应该根据特点调整算法
6，如果有干扰色块 也应该想法去除
7，如果有较大的倾斜 需要进行适当校正
8，此时得到的应该是比较干净的字符了，如果是非粘连的可以直接用投影法分割成单个字符
如果有粘连，需要根据图形特点从算法上做相应的处理，保证大致分割正确
9，分割成单个字符以后，如果字符比较正常 变形扭曲程序不大，可以直接用模式识别
如果变形扭曲较厉害，一般建议使用神经网络进行训练后再识别

如果是比较简单的验证码可以使用网上的一些组件，我常用的一个是OcrKingApi

不是太复杂的识别效果还可以，关键是免费的。使用文档可以看一下文库的链接

http://wenku..com/view/b5b6721555270722192ef7b3.html

Ⅲ 验证码 - 安全那些事！

首先，先介绍下验证码程序的提出者，路易斯·冯·安(Luis von Ahn)。2002年，路易斯和他的小伙伴在卡内基梅隆第一次提出了CAPTCHA(验证码)这样一个程序概念。该程序是指，向请求的发起方提出问题，能正确回答的即是人类，反之则为机器。这个程序基于这样一个重要假设：提出的问题要容易被人类解答，并且让机器无法解答。

在当时的条件下，识别扭曲的图形，对于机器来说还是一个很艰难的任务，而对于人来说，则相对可以接受。yahoo在当时第一个应用了图形化验证码这个产品，很快解决了yahoo邮箱上的垃圾邮件问题，因此图形类验证码开始了大发展时期。

图形化验证码在被证明有效后，在互联网上迅速得到了推广。国内外各大网站，在关键的业务点上都加入了这一类型的验证码。

首先，由于开发者水平的良莠不齐，导致验证码本身的实现存在问题，从而导致漏洞可以绕过，常见的有以下几种类型：

如将验证码答案输出到页面中、写在cookie里。打比方就是说，在发卷的时候，把答案写在了卷子背面。(老师再也不用担心我的成绩)

如验证码可以重复使用、不设超时。验证一次，永久使用。

如修改业务参数可导致不用校验验证码也可通过、甚至验证码就是摆设。结合到具体的业务点上有什么危害呢？

a. 验证码写在cookie中。此处可导致旅客信息泄露。

b. 验证码与图片存在对应关系，因此直接访问html即可得到答案。此处可导致撞库与暴力破解密码。

在开篇我们提到了一个重要的假设：

CAPTCHA提出的问题要容易被人类解答，并且让机器无法解答。

实际上，CAPTCHA所要处理的问题是：将普通人与恶意的用户（黑客、垃圾消息发送者）区分开来。那当时间点到达2016年时，黑客们与普通用户之间的差距已经很大了（想象下中国足球队对巴西足球队，而且此时留给中国队的时间已经不多了）。

因此，CAPTCHA在图片验证码这一应用点上已经无法满足这一假设了。在这段时间内，出现了很多的加强和识别图形验证码的方法（每一种方法的详细原理和解释，可以参见wooyun drops，在此不做详述）：

附上部分名词解释：

如上图所示，原始的图像使用了字体旋转、背景色混淆等手段，在专业的验证码工具面前，也就是几个命令拼接即可完成识别

如上图所示，是一个验证码识别软件自建字库的过程，通过回车确认验证码识别正确，如有错误，稍带修改继续。当保存了上千个正确识别的字库后，该程序便可达到一个可用的可用的准确率。（其实若不不做其他限制，此时准确率在30%以上时，即可造成很大的危害，毕竟对于攻击者来说，发3个包与发1个包的成本差别不大）

看到这里，客户们大概可以回答这个问题了：

为什么我用了验证码还是会被刷？

那普通验证码难道没用了吗？

那倒也不是，安全是一个博弈的过程。综合使用之前提到的验证码技术(特别是字体粘连等)，并且保持关注和变化，攻击者的识别率也比较低。当攻击的成本大于可获得的利益时，自然就没人来攻击了。（普通用户在此应强烈要求存在感）

此时，虽然两方大小上略有差距，但是总体战斗力还算是勉强打个平手，互相出招而已。只是随着战火的升级，个人轮番上阵后，验证码已经违背了他最初设计时的初衷：对普通用户的友好性逐渐消失。而普通用户的体验也就成了这场战争中的牺牲品，这也就造就了一批有一批被用户吐槽的无法辨认的验证码。

正当普通用户们不断吐槽的时候，程序员表示这个锅不想背但是也得背。因为业务总是要做的，而攻击者们也是要吃饭的，升级了验证码的成本，也就限制了风险的等级，于是就变成了这样一个模式╮(╯_╰)╭：

大家就在这种你方唱罢我登台的情况下看似和睦的度过了一段时间。

在日日夜夜的对抗中，攻击者想到了一个办法，可以一劳永逸的解决图片验证码的问题。在我对这些搞灰产的人们表示憧憬之前，先说点题外话。

2009年，google买下了CMU的一个项目:recaptcha。这个项目是CAPTCHA的进阶版本。它所基于的假设与CAPTCHA一致，但是它同时让用户识别两张图片，一张用于验证用户身份，而另一张用于帮助难以用机器识别的电子文档。

恩，如果读者有从事此类灰产相关工作的人，请注意recaptcha右下角的小字（ stop spam.read books 看看这情怀）。

而recaptcha的作者，当然又是:路易斯·冯·安。在recaptcha的基础上，路易斯进一步提出了一个概念:人类计算(Human Computation) 。

简单来说，他希望借由计算机和网络平台，发挥人类技能，去解决大规模、复杂的问题，具体到recaptcha项目来说，就是借助大家的力量去帮助数字化书籍。（该思想的具体应用还包括一个叫ESP GAME的游戏以及后面会提到的no recaptcha）

但是，在2004年（我能搜到这个新闻的最早时间），就有人已经完美的实现了这个概念:人工打码，并且起源地:中国（此处我应该感到自豪吗）。

所谓的人工打码就是，将验证码的请求转发给某平台，该平台会将这个信息发送给平台上的打码工，然后打码工人识别后，将答案反送回请求者。通过打码平台的api，攻击者可以写程序实现对目标的自动化操作，而验证码的部分只要交给打码平台就可以了。

打码平台在国内市场上的火爆，有几个原因:

[1].从2006年开始，国内互联网的迅猛发展，使得流量变现成为了可能。各种邮件营销、SEO、IM工具等都迫切的需要稳定的可以绕过图形验证码的方法。而近些年兴起的基于数据的诈骗、账号盗取等更进一步加剧了这个趋势。

[2].打码平台的爆发式发展也同时得益于中国经济蓬勃发展的原因之一：人口多并且人力成本低。网络上一种常见的网赚模式，就是打码工模式，一个只要会上网，能识别验证码的人就可以参与。PS:难道你没有看见过下面这些广告吗？大学生、大妈，无需学历，只要会上网、会打字，一天包赚XXXXX。当然其中除了打码平台，还有很多骗子。

以上验证码的价格在平台上都是明码标价，普通的字母验证码1条在1分钱左右，而知识问答类在6分钱左右，相较于利用这些灰产所会产生的利益，真是件美物廉，重点是还非常稳定。

同时我注意到国外的价格现在与国内的价格已经相差不大，现在美国的价钱约为$1.5/1000，美国的打码工已经向东南亚扩展。打码平台一出现，2.2中提到的加强验证码的方法都无用了。因为不管你怎么变化，验证码总需要是人类能够通过的。

打码平台的出现，虽然没有从理论上打破CAPTCHA的原则，但是也从事实上击破了防止程序自动提交的防御，因此我们需要新型的安全的验证方式。这些探索也带来了现在各种多样的验证码形式，这些我们将在下篇探讨。

最后用一个“富有情怀”的图片结束。

这张图不是来自改变世界的极客，也不是来自富有爱心的艺术家。它来自某知名打码平台的官网，是不是太有情怀了？（你们的确改变了我们的工作方式）

面对这样的情怀，我想我现在只能做一件事情。