户模型进行匹配,并根据匹配结果判断登 录用户的待估击键行为是否合法;若不合法,则生成警报并使登录用户重新登录,若合法, 则允许登录用户登录,同时存储待估击键行为并更新用户模型。
[0051] 在用户登陆网络账号后,监控器会实时地跟踪用户的击键行为,并记录下用户的 击键行为时间序列。在用户模型的训练阶段,采集用户账号使用阶段的所有击键行为,并在 用户账号登出后将数据发送。
[005引用户的击键行为时间序列如表1所示,表1为用户击键行为日志表。其中down表 示键被按下,UP表示键弹起,Time表示键按下或弹起时的时间戳。
[0053]
[0054]
[00巧]表1
[0056] 在特征提取时,首先会处理上传的击键行为日志,提取出用户击键的时间间 隔向量。在用户模型的训练阶段,需要迭代时间间隔向量的特征值Interval=<Ii, I2,......Ip1>,W挖掘出反映用户击键特征的临界间隔时间a,并根据运一特征进一步挖 掘出用户的极相邻字符序列。
[0057] 所W,如图2所示,步骤S1还包括步骤:
[005引 S11、采集合法击键行为,并生成合法时间间隔向量;
[0059] S12、遍历合法时间间隔向量,并判断合法时间间隔向量的两个相邻字符序列 的时间间隔是否小于预设临界时间间隔;遍历时间间隔特征向量Interval=<Ii,I2,......1。1>中的值,
[0060] 若是,则两个相邻字符置于同一个极相邻字符;
[0061] 若否,则W两个相邻字符中后一个字符为首字符,生成一个新的极相邻字符;
[0062] S13、计算字符数量为2和3的极相邻字符所占的比重,并设置比重最大时的预设 临界时间间隔为合法临界时间间隔;
[0063] S14、通过合法临界时间间隔重新生成合法极相邻字符序列,并记录合法极相邻字 符序列的持续时间。
[0064] 提取出的极相邻字符序列入表2所示,表2为极相邻字符序列时间特征集表。
[0065]
[0066] 表 2
[0067] 优选地,构建合法用户击键特征的用户模型时,还包括了步骤:提取合法极相邻字 符序列的时间特征集,并构建合法极相邻字符序列服从的分布模型。
[0068] 优选地,如图3所示,步骤S3还包括步骤:
[0069] S31、采集待估击键行为;
[0070] S32、生成待估击键行为的待估时间间隔向量;
[0071] S33、结合合法临界间隔时间与待估时间间隔向量生成待估极相邻字符序列。
[0072] 对于一个用户,假定其输入极相邻字符序列的持续时间服从于一个正态分布的过 程。提取模块挖掘出的极相邻字符序列时间特征集,构建每个极相邻字符序列服从的正态 分布模型。对于极相邻字符序列S的时间特征集合<SI,S2,S3, ...,Sk-I,Sk>,利用最
大似然估计的方法计算期望和方差。其中, 由合法用户的训 口 练数据挖掘得到的极相邻字符序列及其服从的正态分布模型构成了用户模型的主要部分, 临界时间间隔运一用户击键特征也是用户模型的一部分。
[0073] 通过将待估击键行为数据与用户模型进行匹配,给出待估击键行为数据的评分, 根据决策算法给出认证结果。当认证结果显示该击键行为数据属于合法用户时,该模块将 此次待估数据挖掘出的极相邻字符序列的时间特征集存入缓冲区,待特征数量达到设定值 时,便对模型库中对应的极相邻字符序列的模型进行更新。
[0074] 进一步地,步骤S2还包括步骤:
[0075] 获取待估击键时间序列,并将待估击键时间序列存入预设大小的缓冲区,当缓冲 区满时,发送缓冲区中的所有估击键时间序列。在用户身份的持续认证阶段,数据采集模块 会设定一个固定大小的字符序列缓冲区,当缓冲区满时,采集模块便将缓冲区中的数据提 交给特征提取模块,W便进行身份认证,案例中缓冲区的窗口值大小为30个字符。
[0076] 优选地,高斯概率密度函数是一种相似度评价的函数,在用户认证中,用于评价待 估的极相邻字符序列与用户模型中的极相邻字符序列的相似度。步骤S4中待估极相邻字 符序列与用户模型通过高斯模型进行匹配,匹配根据的评分公式为:
[007引其中,ts,表示待估极相邻字符序列,而iis和OS分别为高斯模型中高斯分布的期 望和标准差;
[0079] 入图4所示,判断登录用户的待估击键行为是否合法的步骤还包括:
[0080] 计算单个待估极相邻字符序列的评分,再去除低于预设值的评分后将评分汇总, 比较汇总后的评分是否大于阔值;若是,则允许登录,同时存储待估击键行为并更新用户模 型;若否,则发出警告并重新登录。
[0081] 如图5所示,本发明还提供了一种基于击键行为的身份认证系统,包括数据采集 模块、特征提取模块、模型训练模块、持续认证模块和模型库;
[0082] 数据采集模块用于采集合法用户合法击键行为时的合法击键时间序列和登录用 户击键时的待估击键行为生成的的待估击键时间序列,并将合法击键时间序列和待估击键 时间序列发送至特征提取模块;
[0083] 特征提取模块用于根据合法击键时间序列和待估击键时间序列分别对应生成合 法极相邻字符序列和待估极相邻字符;
[0084] 模型训练模块用于根据合法击键行为和合法击键时间序列构建合法用户击键特 征的用户模型;
[0085] 持续认证模块用于将待估相邻字符序列与用户模型进行匹配,并根据匹配结果判 断登录用户的待估击键行为是否合法,在待估击键行为不合法时生成警报并使登录用户重 新登录;在待估击键行为合法时允许登录用户登录,同时存储待估击键行为,并反馈给模型 训练模块更新用户模型。
[0086] 模型库用于存储合法用户击键特征的用户模型。
[0087] 优选地,数据采集模块还用于在采集合法击键行为,并生成合法时间间隔向量;
[0088] 特征提取模块还用于遍历合法时间间隔向量,并根据合法时间间隔向量的两个相 邻字符序列的时间间隔与预设临界时间间隔的大小生成极相邻字符;计算字符数量为2和 3的极相邻字符所占的比重,并设置比重最大时的预设临界时间间隔为合法临界时间间隔; 通过合法临界时间间隔重新生成合法极相邻字符序列,并记录合法极相邻字符序列的持续 时间;
[0089] 特征提取模块还用于提取合法极相邻字符序列的时间特征集,并构建合法极相邻 字符序列服从的分布模型。
[0090] 优选地,特征提取模块还用于生成待估击键行为的待估时间间隔向量;并结合合 法临界间隔时间与待估时间间隔向量生成待估极相邻字符序列。
[0091] 优选地,特征提取模块还用于获取待估击键时间序列,并将待估击键时间序列存 入预设大小的缓冲区,当缓冲区满时,发送缓冲区中的所有估击键时间序列。
[0092] 用户击键行为认证方法主要由数据采集模块、特征提取模块、模型训练模块和持 续认证模块构成。数据采集模块负责采集用户击键时的击键时间序列;特征提取模块负责 挖掘用户的极相邻字符序列;模型训练模块根据合法用户训练数据的时间特征构建用户击 键特征的高斯模型;持续认证模块根据用户键入的一段字符序列进行决策评分,W判断用 户身份的合法性,同时它存储合法用户的最近一段时间的击键行为特征,当特征数量满足 一定条件时,便用新的特征来构建模型,并对模型库中对应的序列模型进行更新。
[0093] 数据采集模块:在用户登陆网络账号后,监控器会实时地跟踪用户的击键行为,并 记录下用户的击键行为时间序列。在用户模型的训练阶段,数据采集模块会采集用户账号 使用阶段的所有击键行为,并在用户账号登出后将数据发送给特征提取模块。而在用户身 份的持续认证阶段,数据采集模块会设定一个固定大小的字符序列缓冲区,当缓冲区满时, 采集模块便将缓冲区中的数据提交给特征提取模块,W便进行身份认证,案例中缓冲区的 窗口值大小为30个字符。
[0094] 特征提取模块:该模块首先会处理采集模块上传的击键行为日志,提取出用户击 键的时间间隔向量。在用户模型的训练阶段,特征提取模块需要迭代时间间隔向量的特征 值Interval=<Ii,12,......I。i>,W挖掘出反映用户击键特征的临界间隔时间a,并 根据运一特征进一步挖掘出用户的极相邻字符序列。
[0095] 模型训练模块: