用戶身份檢測方法和系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡信息系統(tǒng)安全技術領域,尤其涉及一種用戶身份檢測方法和系統(tǒng)。
【背景技術】
[0002]目前,網(wǎng)絡空間用戶身份確認依賴于傳統(tǒng)的認證機制,通常是用戶口令、U盤、安全問答或者用戶指紋等,而且傳統(tǒng)用戶身份確認是一次性,采用非持續(xù)性對用戶進行確認,從而導致用戶身份存在假冒安全威脅。安全管理者對用戶身份的真實性感知缺乏主動性、時效性、過程性,管理者只能被動響應安全事件,無法確保用戶身份安全管理達到可預知威脅控制。
[0003]針對上述問題,已有一些研究文獻使用基于信息熵的檢測、基于文本挖掘的檢測、基于高頻度命令檢測、基于用戶文件系統(tǒng)瀏覽行為檢測,但是因為IT系統(tǒng)的用戶身份多樣性和攻擊復雜性,上述方法只能對特定用戶假冒威脅進行檢測,用戶在網(wǎng)絡信息系統(tǒng)的身份安全性不高,容易發(fā)生身份盜用,用戶身份安全存在風險。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提供一種用戶身份檢測方法和系統(tǒng),能夠保障用戶在網(wǎng)絡信息系統(tǒng)的身份安全性,防止身份盜用,降低用戶身份安全風險。
[0005]第一方面,本發(fā)明提供一種用戶身份檢測方法,包括:
[0006]獲取用戶行為特征數(shù)據(jù),所述用戶行為特征數(shù)據(jù)包括多個用戶行為特征值;
[0007]對所述用戶行為特征數(shù)據(jù)中的每個用戶行為特征值進行分析,生成所述用戶行為特征數(shù)據(jù)對應的用戶行為字符串序列;
[0008]對所述用戶行為字符串序列進行檢測,判定用戶身份的真實性。
[0009]第二方面,本發(fā)明提供一種用戶身份檢測系統(tǒng),包括:
[0010]獲取模塊,用于獲取用戶行為特征數(shù)據(jù),所述用戶行為特征數(shù)據(jù)包括多個用戶行為特征值;
[0011]生成模塊,用于對所述用戶行為特征數(shù)據(jù)中的每個用戶行為特征值進行分析,生成所述用戶行為特征數(shù)據(jù)對應的用戶行為字符串序列;
[0012]檢測模塊,用于對所述用戶行為字符串序列進行檢測,判定用戶身份的真實性。
[0013]本發(fā)明提供的用戶身份檢測方法和系統(tǒng),獲取用戶行為特征數(shù)據(jù),對所述用戶行為特征數(shù)據(jù)中的每個用戶行為特征值進行分析,生成所述用戶行為特征數(shù)據(jù)對應的用戶行為字符串序列,對所述用戶行為字符串序列進行檢測,判定用戶身份的真實性。與現(xiàn)有技術相比,本發(fā)明通過獲取用戶行為特征數(shù)據(jù),建立用戶行為真實性模型,將用戶身份檢測轉(zhuǎn)換成字符串序列隨機性驗證問題,提高了用戶身份檢測的通用性和彈性,安全管理人員可以根據(jù)防范安全程度設置安全參數(shù),從而發(fā)現(xiàn)用戶身份假冒威脅,能夠保障用戶在網(wǎng)絡信息系統(tǒng)的身份安全性,防止身份盜用,降低用戶身份安全風險。
【附圖說明】
[0014]為了更清楚地說明本發(fā)明實施例中的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其它的附圖。
[0015]圖1為本發(fā)明實施例提供的用戶身份檢測方法的流程圖;
[0016]圖2為本發(fā)明實施例提供的用戶身份檢測系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實施方式】
[0017]下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例,都屬于本發(fā)明保護的范圍。
[0018]本發(fā)明實施例提供一種用戶身份檢測方法,如圖1所示,所述方法包括:
[0019]S11、獲取用戶行為特征數(shù)據(jù),所述用戶行為特征數(shù)據(jù)包括多個用戶行為特征值。
[0020]具體地,可以從網(wǎng)絡信息系統(tǒng)中獲取用戶行為特征數(shù)據(jù),所述用戶行為特征數(shù)據(jù)可以包括:用戶鍵盤輸入行為數(shù)據(jù),如按鍵的時間長短、不同按鍵之間的時間停頓等;用戶鼠標移動行為,如鼠標點擊次數(shù)、鼠標停頓次數(shù)和停頓時間、移動速度、鼠標軌跡子運動個數(shù)等;用戶訪問網(wǎng)絡信息系統(tǒng)資源的行為數(shù)據(jù),包括訪問物理空間地址、訪問虛擬空間地址、訪問時間、訪問資源對象、訪問類型等,例如,用戶訪問的IP地址、用戶讀寫文件、用戶訪問的網(wǎng)絡地址URL。
[0021]S12、對所述用戶行為特征數(shù)據(jù)中的每個用戶行為特征值進行分析,生成所述用戶行為特征數(shù)據(jù)對應的用戶行為字符串序列。
[0022]具體地,對于連續(xù)性用戶行為特征數(shù)據(jù),比較各用戶行為特征值與用戶行為特征的標準值的偏差,若偏差在標準范圍內(nèi),則對應的字符為1,若偏差不在標準范圍內(nèi),則對應的字符為0 ;
[0023]將各用戶行為特征值對應的字符組合起來,得到所述用戶行為特征數(shù)據(jù)對應的用戶行為字符串序列。
[0024]對于離散性用戶行為特征數(shù)據(jù),檢測各用戶行為特征值是否為用戶行為特征的正常值,若用戶行為特征值為正常值,則對應的字符為1,若用戶行為特征值不為正常值,則對應的字符為0 ;
[0025]將各用戶行為特征值對應的字符組合起來,得到所述用戶行為特征數(shù)據(jù)對應的用戶行為字符串序列。
[0026]其中,所述用戶行為特征的標準值和用戶行為特征的正常值均由用戶預先設定。
[0027]例如,設定用戶上班時間打開文件secret, txt為正常,用戶遠程訪問文件secret, txt為異常。假定用戶非上班時間遠程訪問secret, txt,則用戶行為描述字符串序列是01。
[0028]S13、對所述用戶行為字符串序列進行檢測,判定用戶身份的真實性。
[0029]具體地,所述對所述用戶行為字符串序列進行檢測,判定用戶身份的真實性按照以下步驟進行:
[0030]檢測所述用戶行為字符串序列是否為隨機字符串序列;
[0031]若所述用戶行為字符串序列為隨機字符串序列,則判定用戶身份為假冒用戶,否則檢測所述用戶行為字符串序列中出現(xiàn)1的比例;
[0032]其中,隨機性驗證可以采取碼元頻數(shù)檢驗法、游程檢測法、撲克檢測檢驗等進行。
[0033]若所述用戶行為字符串序列中出現(xiàn)1的比例超過預定閾值,則判定用戶的身份為合法用戶,否則判定用戶的身份為假冒用戶。
[0034]其中,所述預定閾值由用戶預先設定。
[0035]本發(fā)明實施例提供的用戶身份檢測方法,獲取用戶行為特征數(shù)據(jù),對所述用戶行為特征數(shù)據(jù)中的每個用戶行為特征值進行分析,生成所述用戶行為特征數(shù)據(jù)對應的用戶行為字符串序列,對所述用戶行為字符串序列進行檢測,判定用戶身份的真實性。與現(xiàn)有技術相比,本發(fā)明通過獲取用戶行為特征數(shù)據(jù),建立用戶行為真實性模型,將用戶身份檢測轉(zhuǎn)換成字符串序列隨機性驗證問題,提高了用戶身份檢測的通用性和彈性,安全管理人員可以根據(jù)防范安全程度設置安全參數(shù),從而發(fā)現(xiàn)用戶身份假冒威脅,能夠保障用戶在網(wǎng)絡信息系統(tǒng)的身份安全性,防止身份盜用,降低用戶身份安全風險。
[0036]本發(fā)明實施例還提供一種用戶身份檢測系統(tǒng),如圖2所示,所述系統(tǒng)包括:
[0037]獲取模塊11,用于獲取用戶行為特征數(shù)據(jù),所述用戶行為特征數(shù)據(jù)包括多個用戶行為特征值;
[0038]具體地,可以從網(wǎng)絡信息系統(tǒng)中獲取用戶行為特征數(shù)據(jù),所述用戶行為特征數(shù)據(jù)可以包括:用戶鍵盤輸入行為數(shù)據(jù),如按鍵的時間長短、不同按鍵之間的時間停頓等;用戶鼠標移動行為,如鼠標點擊次數(shù)、鼠標停頓次數(shù)和停頓時間、移動速度、鼠標軌跡子運動個數(shù)等;用戶