用户身份检测方法和系统的制作方法
【技术领域】
[0001]本发明涉及网络信息系统安全技术领域,尤其涉及一种用户身份检测方法和系统。
【背景技术】
[0002]目前,网络空间用户身份确认依赖于传统的认证机制,通常是用户口令、U盘、安全问答或者用户指纹等,而且传统用户身份确认是一次性,采用非持续性对用户进行确认,从而导致用户身份存在假冒安全威胁。安全管理者对用户身份的真实性感知缺乏主动性、时效性、过程性,管理者只能被动响应安全事件,无法确保用户身份安全管理达到可预知威胁控制。
[0003]针对上述问题,已有一些研究文献使用基于信息熵的检测、基于文本挖掘的检测、基于高频度命令检测、基于用户文件系统浏览行为检测,但是因为IT系统的用户身份多样性和攻击复杂性,上述方法只能对特定用户假冒威胁进行检测,用户在网络信息系统的身份安全性不高,容易发生身份盗用,用户身份安全存在风险。
【发明内容】
[0004]本发明提供一种用户身份检测方法和系统,能够保障用户在网络信息系统的身份安全性,防止身份盗用,降低用户身份安全风险。
[0005]第一方面,本发明提供一种用户身份检测方法,包括:
[0006]获取用户行为特征数据,所述用户行为特征数据包括多个用户行为特征值;
[0007]对所述用户行为特征数据中的每个用户行为特征值进行分析,生成所述用户行为特征数据对应的用户行为字符串序列;
[0008]对所述用户行为字符串序列进行检测,判定用户身份的真实性。
[0009]第二方面,本发明提供一种用户身份检测系统,包括:
[0010]获取模块,用于获取用户行为特征数据,所述用户行为特征数据包括多个用户行为特征值;
[0011]生成模块,用于对所述用户行为特征数据中的每个用户行为特征值进行分析,生成所述用户行为特征数据对应的用户行为字符串序列;
[0012]检测模块,用于对所述用户行为字符串序列进行检测,判定用户身份的真实性。
[0013]本发明提供的用户身份检测方法和系统,获取用户行为特征数据,对所述用户行为特征数据中的每个用户行为特征值进行分析,生成所述用户行为特征数据对应的用户行为字符串序列,对所述用户行为字符串序列进行检测,判定用户身份的真实性。与现有技术相比,本发明通过获取用户行为特征数据,建立用户行为真实性模型,将用户身份检测转换成字符串序列随机性验证问题,提高了用户身份检测的通用性和弹性,安全管理人员可以根据防范安全程度设置安全参数,从而发现用户身份假冒威胁,能够保障用户在网络信息系统的身份安全性,防止身份盗用,降低用户身份安全风险。
【附图说明】
[0014]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0015]图1为本发明实施例提供的用户身份检测方法的流程图;
[0016]图2为本发明实施例提供的用户身份检测系统的结构示意图。
【具体实施方式】
[0017]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0018]本发明实施例提供一种用户身份检测方法,如图1所示,所述方法包括:
[0019]S11、获取用户行为特征数据,所述用户行为特征数据包括多个用户行为特征值。
[0020]具体地,可以从网络信息系统中获取用户行为特征数据,所述用户行为特征数据可以包括:用户键盘输入行为数据,如按键的时间长短、不同按键之间的时间停顿等;用户鼠标移动行为,如鼠标点击次数、鼠标停顿次数和停顿时间、移动速度、鼠标轨迹子运动个数等;用户访问网络信息系统资源的行为数据,包括访问物理空间地址、访问虚拟空间地址、访问时间、访问资源对象、访问类型等,例如,用户访问的IP地址、用户读写文件、用户访问的网络地址URL。
[0021]S12、对所述用户行为特征数据中的每个用户行为特征值进行分析,生成所述用户行为特征数据对应的用户行为字符串序列。
[0022]具体地,对于连续性用户行为特征数据,比较各用户行为特征值与用户行为特征的标准值的偏差,若偏差在标准范围内,则对应的字符为1,若偏差不在标准范围内,则对应的字符为0 ;
[0023]将各用户行为特征值对应的字符组合起来,得到所述用户行为特征数据对应的用户行为字符串序列。
[0024]对于离散性用户行为特征数据,检测各用户行为特征值是否为用户行为特征的正常值,若用户行为特征值为正常值,则对应的字符为1,若用户行为特征值不为正常值,则对应的字符为0 ;
[0025]将各用户行为特征值对应的字符组合起来,得到所述用户行为特征数据对应的用户行为字符串序列。
[0026]其中,所述用户行为特征的标准值和用户行为特征的正常值均由用户预先设定。
[0027]例如,设定用户上班时间打开文件secret, txt为正常,用户远程访问文件secret, txt为异常。假定用户非上班时间远程访问secret, txt,则用户行为描述字符串序列是01。
[0028]S13、对所述用户行为字符串序列进行检测,判定用户身份的真实性。
[0029]具体地,所述对所述用户行为字符串序列进行检测,判定用户身份的真实性按照以下步骤进行:
[0030]检测所述用户行为字符串序列是否为随机字符串序列;
[0031]若所述用户行为字符串序列为随机字符串序列,则判定用户身份为假冒用户,否则检测所述用户行为字符串序列中出现1的比例;
[0032]其中,随机性验证可以采取码元频数检验法、游程检测法、扑克检测检验等进行。
[0033]若所述用户行为字符串序列中出现1的比例超过预定阈值,则判定用户的身份为合法用户,否则判定用户的身份为假冒用户。
[0034]其中,所述预定阈值由用户预先设定。
[0035]本发明实施例提供的用户身份检测方法,获取用户行为特征数据,对所述用户行为特征数据中的每个用户行为特征值进行分析,生成所述用户行为特征数据对应的用户行为字符串序列,对所述用户行为字符串序列进行检测,判定用户身份的真实性。与现有技术相比,本发明通过获取用户行为特征数据,建立用户行为真实性模型,将用户身份检测转换成字符串序列随机性验证问题,提高了用户身份检测的通用性和弹性,安全管理人员可以根据防范安全程度设置安全参数,从而发现用户身份假冒威胁,能够保障用户在网络信息系统的身份安全性,防止身份盗用,降低用户身份安全风险。
[0036]本发明实施例还提供一种用户身份检测系统,如图2所示,所述系统包括:
[0037]获取模块11,用于获取用户行为特征数据,所述用户行为特征数据包括多个用户行为特征值;
[0038]具体地,可以从网络信息系统中获取用户行为特征数据,所述用户行为特征数据可以包括:用户键盘输入行为数据,如按键的时间长短、不同按键之间的时间停顿等;用户鼠标移动行为,如鼠标点击次数、鼠标停顿次数和停顿时间、移动速度、鼠标轨迹子运动个数等;用户