验证码,即全自动区分计算机和人类的图灵测试,是很多网站为保障其安全所部署的一种用于验证用户合法性的安全防御机制。文本验证码和图像验证码是目前应用较为广泛的验证码类型,但是针对这些验证码的许多研究表明它们有较高的风险被恶意攻击。动态认知游戏验证码作为一种和用户有着更多交互的验证码,要求用户完成一系列具有游戏性质的认知任务,能够改善用户体验。基于行为验证的滑动验证码是具有代表性的一类动态认知游戏验证码,一般要求用户拖动滑块到指定位置或者按照指定轨迹移动鼠标,验证时不仅要判断拖动结果是否正确,还要对滑动过程的行为进行分析验证。虽然越来越多的网站开始部署这类验证码作为保护机制,但其鲁棒性到底如何,能否在任意场景中准确区分合法人类用户和恶意攻击还是未知的。本文从验证码的破解和新型验证码的设计两个方向出发,对基于行为验证的滑动验证码的鲁棒性进行了深入的研究和探讨,希望能为网站检验其部署的验证码是否安全提供理论依据,同时帮助验证码设计者提出更鲁棒的验证码机制。本文的工作主要包括以下两个部分:(1)提出了一种简单、高效的方法来攻击5种被广泛应用的基于行为验证的滑动验证码,这5种验证码分别是淘宝验证码、Geetest验证码、网易易盾验证码、腾讯验证码和VAPTCHA。攻击过程具体分为两步,首先是利用目标检测网络Faster R-CNN检测缺口位置或目标轨迹,然后根据人类拖动鼠标的行为特性进行模拟,主要是采用基于加速度公式的移动模式和本文提出的基于log函数的移动模式,并控制鼠标移动完成验证。最终都能以87.8%到100%不等的攻击成功率进行破解,分析其安全性表明目前大多数基于行为验证的滑动验证码并不如我们想象的那么安全。然后进一步讨论能否利用深度学习技术提高验证码区分人和计算机行为的能力来进一步提高验证码的鲁棒性。本文将验证过程的行为数据表示为时间位移的折线图之后用卷积神经网络进行二分类,可以达到98.06%的分类准确率。为了证明其有效性还和其他两种方法进行了对比,分别是性能较好的时间序列分类算法和传统的机器学习分类算法K近邻。(2)此外,本文还提出了一种新型的基于动画手势的滑动验证码,简称手势验证码。该验证码通过摄像头将用户在真实世界的操作和屏幕上的内容进行了映射,用户只需要通过移动手来完成指定轨迹的滑动任务,所以本文也设计了一个手部检测网络来对手进行实时检测。其可用性分析表明该手势验证码具有较高的人类通过率和较短的响应时间;安全性分析表明该手势验证码较难被非法用户恶意攻击成功,具有良好的安全性。