微软人工交互检测（HIP)技术

导读：

视觉和声音的人工交互检测（HIP）技术可以用来帮助一些在线服务区分人工操作和脚本自动操作，以避免设计上的缺陷以及恶意的自动创建账号。微软开发了一款非常坚固的人工交互检测系统，并且在过去的几年当中已经广泛的运用于微软自己的Hotmail和Passport服务当中。

概 述
在线界面通常用来为客户提供一个便利的方式来实现订购产品（如订票），访问个人账户信息，创建新电子邮件账号，或者访问其他服务。这些系统不仅为供应商和客户提供了便利，同时还可以有效的减少总体成本。
不幸的是，这样的系统同时也存在漏洞，黑客可以对个人数据以及其他保密数据进行访问，干扰服务，散播蠕虫或者垃圾邮件。如同下面的场景中所举的例子那样，这些攻击一般都是通过使用自动化的脚本或机器人来实现的，因此我们需要人工交互检测（HIP）来防御这样的攻击。

优 势
1.久经考验的解决方案：早在2004年就被部署在微软Hotmail服务器上，用于阻止自动创建账号的恶意行为
2.减少网络流量以及减少维护服务器中恶意账户的成本
3.在牢不可破的同时，允许绝大多数用户在第一次尝试的时候进行登录
4.简单的应用程序，提供视觉和音频格式（可以帮助视觉有障碍的用户）
5.简易化的部署，只需要很少的维护费用，可以自定义防御等级,极易升级

核心用途
1. 在线服务------防止自动创建账户
2. HIP可以用来防御恶意创建成千上万个电子邮件账户的脚本。如果没有这一层保护，这些邮件账户将有可能被用来散播蠕虫和垃圾邮件。这些垃圾信息不仅对供应商不利，同时也会消耗公司的资源，并且很有可能影响到公司的信誉。
3. 同时，这些脚本还可以用来启动拒绝服务式攻击，对一些在线服务造成影响，比如售票系统。在这种场景下，一个恶意的脚本可以伪装成合法的购票请求，并且打开上百个会话，从而占用系统资源，导致真正的购票者不能够正常进行购票操作。HIP可以通过阻止恶意账户创建的方法来有效的预防这种攻击。
4. HIP可以用来防御那些通过密码穷举的方式试图访问系统的自动化脚本。　　

本文转自 http://www.ittc.com.cn/about/microsoft1.html