基于網頁輸入行為特征的網絡用戶身份監(jiān)控方法
【技術領域】
[0001]本發(fā)明涉及網絡安全防護技術,特別涉及一種網絡用戶在網頁系統(tǒng)交互過程中的身份監(jiān)控方法。
【背景技術】
[0002]隨著互聯(lián)網金融,在線教育,電子商務等領域的迅速發(fā)展,各個網絡應用系統(tǒng)已經成為越來越多的人日常生活不可分割的一部分。然而,隨之而來的越來越多的網絡銀行賬戶被入侵,電子郵件信息被竊取等網絡系統(tǒng)被攻擊的事件促使網絡信息安全防護問題逐漸受到人們的重視。
[0003]現(xiàn)有的基于擁有物(如身份卡)、基于知識(如密碼)、基于傳統(tǒng)生物特征(如指紋和虹膜)的身份驗證方法均只在一些特定的時刻(如系統(tǒng)登錄時)對身份合法性進行驗證,難以在網頁交互過程中對用戶的身份合法性進行持續(xù)性的檢驗,且存在安全性不高(如密碼易泄漏和搞混)或者需要額外的硬件設別(如指紋和虹膜)等局限。然而,通過分析網頁交互時鼠標和鍵盤的輸入操作并以此為基礎實現(xiàn)對網絡用戶身份合法性的實時監(jiān)測能夠很好的彌補上述驗證方式的缺點,從而有效地保護網民的財產及隱私安全。基于網頁輸入行為的網絡用戶身份監(jiān)控方式具有其顯著的優(yōu)勢:1)在網頁交互場景下輸入操作頻繁,不同用戶因不同的生理特點、行為習慣或工作性質等因素,容易形成獨特且唯一的操作模式;2)用戶在網頁交互時產生的輸入操作行為無需攜帶和記憶,難以隱藏和偽造,且檢測依據從網頁輸入操作中獲得,不需要額外的硬件設備;3)在用戶與網頁系統(tǒng)交互的過程中完成數據捕獲和身份檢測,無需用戶額外的配合,可實現(xiàn)非侵犯性的身份主動監(jiān)控,具有更廣泛的安全性和適用性。
【發(fā)明內容】
[0004]本發(fā)明的目的是提供一種可持續(xù)地驗證網絡用戶身份的方法,特別是利用用戶在網頁系統(tǒng)交互過程中產生的鼠標輸入操作和擊鍵輸入操作特征來實時檢測操作者身份合法性的方法。
[0005]為達到以上目的,本發(fā)明是采取如下技術方案實現(xiàn)的:
[0006]一種基于網頁輸入行為特征的網絡用戶身份監(jiān)控方法,所述網頁輸入行為為用戶在網頁中的鼠標操作行為和擊鍵操作行為,其特征在于,包括網絡用戶身份識別模型構建和網絡用戶身份持續(xù)監(jiān)控兩大部分:
[0007]其中,網絡用戶身份識別模型構建包括下述步驟:
[0008](I)在合法用戶正常登入網頁系統(tǒng)進行交互操作的過程中,采集并記錄用戶在網頁界面上輸入的鼠標操作數據和擊鍵操作數據,形成用戶鼠標、擊鍵行為的原始數據集;
[0009](2)操作行為的劃分:針對鼠標操作,根據鼠標指針滑動起點和終點連線與正向水平夾角Θ對原始數據集中的鼠標操作進行歸類,其中,Θ從-22.5°開始,逆時針每45°順序劃分為I?VID類八種鼠標操作模式,形成I?VID類鼠標移動行為訓練數據集;針對擊鍵操作,以換行符“TAB”鍵和鼠標事件作為擊鍵操作的結束標志,劃分擊鍵操作為多個長度不等的字符序列;
[0010](3)操作行為特征向量的提取:針對不同鼠標操作模式,提取特征向量并計算特征向量模板,將特征向量模板與提取的鼠標操作特征向量進行相似性度量,得到各個鼠標操作的距離特征向量;形成每種鼠標操作模式下的訓練特征集合;針對擊鍵操作:①根據每個字符序列所含字符和字符先后關系,提取出對應按鍵的特征向量;②針對每個單鍵和組合鍵,計算擊鍵操作特征向量模板,其中,組合鍵為兩單鍵的先后鍵間關系;③將該特征向量模板與每個擊鍵操作的特征向量進行相似性度量,形成包含各單鍵和組合鍵特征的行為訓練特征集合;
[0011](4)將合法用戶的鍵鼠訓練特征集合標記為正類,采用單類分類器對每種鼠標操作模式和每個擊鍵操作構建合法用戶的身份模型,并得到各種鼠標操作模式和每個擊鍵操作對應的合法用戶的身份判定閾值;相應的,合法用戶身份模型包括至少八個身份子模型;
[0012]網絡用戶身份持續(xù)監(jiān)控包括下述步驟:
[0013](I)用戶登入網頁系統(tǒng)后,網頁以長度為N的觀測窗口開始捕獲用戶鼠標操作和擊鍵操作行為,所述觀測窗口為采集到的包含鼠標和擊鍵共N個操作的用戶網頁輸入操作數據塊;
[0014](2)針對鼠標操作,根據移動方向對其進行歸類,提取鼠標操作特征向量,與身份模型構建時獲得的對應操作模式的特征向量模板進行距離比較,得到鼠標操作的距離特征向量;針對擊鍵操作,根據其包含的各個鍵值和鍵間關系,提取擊鍵操作特征向量,同時從身份模型構建時獲得的包含各個單鍵和組合鍵的特征庫中提取、組合對應的特征向量模板,進行距離度量,得到擊鍵操作的距離特征向量;
[0015](3)針對網頁輸入操作數據塊中的每個鼠標操作和擊鍵操作,將得到的距離特征向量作為該操作對應的身份子模型的輸入,得到每個操作的檢測值,并將該檢測值與對應的身份子模型的判定閾值進行比較,判定每次操作的異常性;
[0016](4)對當前用戶身份合法性進行判定:若在N次行為操作中連續(xù)監(jiān)測到M次異常操作,則判定當前用戶為非法用戶;反之則判定當前用戶為合法用戶,其中,M小于等于N。
[0017]上述方法中,所述鼠標操作的數據格式為:{鼠標狀態(tài),鼠標位置,時間};其中,鼠標狀態(tài)指的是對鼠標鍵按下、鼠標鍵釋放、鼠標移動三種狀態(tài)的標記信息;所述擊鍵操作的數據格式,表示單個鍵值的單鍵數據格式為:{按鍵值,時間};表示鍵間關系的組合鍵數據格式為:{前一按鍵值,本次按鍵值,時間}。
[0018]所述操作行為劃分的具體步驟為:
[0019]對于鼠標操作而言,
[0020]I)提取一次鼠標移動操作的起點事件和終點事件的鼠標位置坐標,其中每個位置坐標的格式為{水平坐標X,垂直坐標Y};
[0021]2)計算移動操作起點和終點連線與水平方向的夾角Θ,當Θ在-22.5°?22.5°時為I類鼠標操作模式;當Θ在22.5°?67.5°時為II類鼠標操作模式;當Θ在67.5°?112.5°時為III類鼠標操作模式;當Θ在112.5°?157.5°時為IV類鼠標操作模式;當Θ在157.5°?180°或-180°?-157.5°時為V類鼠標操作模式;當Θ在-157.5°?-112.5°時為VI類鼠標操作模式;當Θ在-112.5°?-67.5°時為VE類鼠標操作模式;當Θ在-67.5°?-22.5°時為VID類鼠標操作模式;
[0022]對于擊鍵操作,
[0023]I)對于當前鍵入字符的操作,以“TAB”鍵和鼠標事件作為本次擊鍵操作的結束標志,實現(xiàn)對擊鍵操作的劃分,確定鍵入的字符串;
[0024]2)逐個提取字符串中每個鍵值和每個鍵間關系的行為特征,在網絡用戶身份識別模型構建中將其存入到包含所有鍵值、鍵間關系特征的單鍵、組合鍵行為訓練特征庫中;在網絡用戶身份持續(xù)監(jiān)控中將這些行為特征組成待測特征向量,并在訓練特征庫中搜索、匹配、組合成對應的訓練特征向量模板,其中,每個單鍵的特征是按鍵持續(xù)時間,每個組合鍵的特征是鍵間轉移時間。
[0025]所述鼠標操作的特征向量是指由鼠標在系統(tǒng)網頁中移動時產生的時空軌跡曲線所衍生出的一系列行為測量量,包括整體性特征和過程性特征,具體如下:
[0026]整體性特征包括:
[0027]鼠標移動起點的X坐標、Y坐標;
[0028]鼠標移動終點的X坐標、Y坐標;
[0029]鼠標移動的軌跡長度與位移的比值;
[0030]鼠標移動的持續(xù)時