基于网页输入行为特征的网络用户身份监控方法

基于网页输入行为特征的网络用户身份监控方法
【技术领域】
[0001]本发明涉及网络安全防护技术，特别涉及一种网络用户在网页系统交互过程中的身份监控方法。
【背景技术】
[0002]随着互联网金融，在线教育，电子商务等领域的迅速发展，各个网络应用系统已经成为越来越多的人日常生活不可分割的一部分。然而，随之而来的越来越多的网络银行账户被入侵，电子邮件信息被窃取等网络系统被攻击的事件促使网络信息安全防护问题逐渐受到人们的重视。
[0003]现有的基于拥有物(如身份卡)、基于知识(如密码)、基于传统生物特征(如指纹和虹膜)的身份验证方法均只在一些特定的时刻(如系统登录时)对身份合法性进行验证，难以在网页交互过程中对用户的身份合法性进行持续性的检验，且存在安全性不高(如密码易泄漏和搞混)或者需要额外的硬件设别(如指纹和虹膜)等局限。然而，通过分析网页交互时鼠标和键盘的输入操作并以此为基础实现对网络用户身份合法性的实时监测能够很好的弥补上述验证方式的缺点，从而有效地保护网民的财产及隐私安全。基于网页输入行为的网络用户身份监控方式具有其显著的优势:1)在网页交互场景下输入操作频繁，不同用户因不同的生理特点、行为习惯或工作性质等因素，容易形成独特且唯一的操作模式；2)用户在网页交互时产生的输入操作行为无需携带和记忆，难以隐藏和伪造，且检测依据从网页输入操作中获得，不需要额外的硬件设备；3)在用户与网页系统交互的过程中完成数据捕获和身份检测，无需用户额外的配合，可实现非侵犯性的身份主动监控，具有更广泛的安全性和适用性。

【发明内容】

[0004]本发明的目的是提供一种可持续地验证网络用户身份的方法，特别是利用用户在网页系统交互过程中产生的鼠标输入操作和击键输入操作特征来实时检测操作者身份合法性的方法。
[0005]为达到以上目的，本发明是采取如下技术方案实现的:
[0006]一种基于网页输入行为特征的网络用户身份监控方法，所述网页输入行为为用户在网页中的鼠标操作行为和击键操作行为，其特征在于，包括网络用户身份识别模型构建和网络用户身份持续监控两大部分:
[0007]其中，网络用户身份识别模型构建包括下述步骤:
[0008](I)在合法用户正常登入网页系统进行交互操作的过程中，采集并记录用户在网页界面上输入的鼠标操作数据和击键操作数据，形成用户鼠标、击键行为的原始数据集；
[0009](2)操作行为的划分:针对鼠标操作，根据鼠标指针滑动起点和终点连线与正向水平夹角Θ对原始数据集中的鼠标操作进行归类，其中，Θ从-22.5°开始，逆时针每45°顺序划分为I?VID类八种鼠标操作模式，形成I?VID类鼠标移动行为训练数据集；针对击键操作，以换行符“TAB”键和鼠标事件作为击键操作的结束标志，划分击键操作为多个长度不等的字符序列；
[0010](3)操作行为特征向量的提取:针对不同鼠标操作模式，提取特征向量并计算特征向量模板，将特征向量模板与提取的鼠标操作特征向量进行相似性度量，得到各个鼠标操作的距离特征向量；形成每种鼠标操作模式下的训练特征集合；针对击键操作:①根据每个字符序列所含字符和字符先后关系，提取出对应按键的特征向量；②针对每个单键和组合键，计算击键操作特征向量模板，其中，组合键为两单键的先后键间关系；③将该特征向量模板与每个击键操作的特征向量进行相似性度量，形成包含各单键和组合键特征的行为训练特征集合；
[0011](4)将合法用户的键鼠训练特征集合标记为正类，采用单类分类器对每种鼠标操作模式和每个击键操作构建合法用户的身份模型，并得到各种鼠标操作模式和每个击键操作对应的合法用户的身份判定阈值；相应的，合法用户身份模型包括至少八个身份子模型；
[0012]网络用户身份持续监控包括下述步骤:
[0013](I)用户登入网页系统后，网页以长度为N的观测窗口开始捕获用户鼠标操作和击键操作行为，所述观测窗口为采集到的包含鼠标和击键共N个操作的用户网页输入操作数据块；
[0014](2)针对鼠标操作，根据移动方向对其进行归类，提取鼠标操作特征向量，与身份模型构建时获得的对应操作模式的特征向量模板进行距离比较，得到鼠标操作的距离特征向量；针对击键操作，根据其包含的各个键值和键间关系，提取击键操作特征向量，同时从身份模型构建时获得的包含各个单键和组合键的特征库中提取、组合对应的特征向量模板，进行距离度量，得到击键操作的距离特征向量；
[0015](3)针对网页输入操作数据块中的每个鼠标操作和击键操作，将得到的距离特征向量作为该操作对应的身份子模型的输入，得到每个操作的检测值，并将该检测值与对应的身份子模型的判定阈值进行比较，判定每次操作的异常性；
[0016](4)对当前用户身份合法性进行判定:若在N次行为操作中连续监测到M次异常操作，则判定当前用户为非法用户；反之则判定当前用户为合法用户，其中，M小于等于N。
[0017]上述方法中，所述鼠标操作的数据格式为:{鼠标状态，鼠标位置，时间};其中，鼠标状态指的是对鼠标键按下、鼠标键释放、鼠标移动三种状态的标记信息；所述击键操作的数据格式，表示单个键值的单键数据格式为:{按键值，时间};表示键间关系的组合键数据格式为:{前一按键值，本次按键值，时间}。
[0018]所述操作行为划分的具体步骤为:
[0019]对于鼠标操作而言，
[0020]I)提取一次鼠标移动操作的起点事件和终点事件的鼠标位置坐标，其中每个位置坐标的格式为{水平坐标X，垂直坐标Y}；
[0021]2)计算移动操作起点和终点连线与水平方向的夹角Θ，当Θ在-22.5°?22.5°时为I类鼠标操作模式；当Θ在22.5°?67.5°时为II类鼠标操作模式；当Θ在67.5°?112.5°时为III类鼠标操作模式；当Θ在112.5°?157.5°时为IV类鼠标操作模式；当Θ在157.5°?180°或-180°?-157.5°时为V类鼠标操作模式；当Θ在-157.5°?-112.5°时为VI类鼠标操作模式；当Θ在-112.5°?-67.5°时为VE类鼠标操作模式；当Θ在-67.5°?-22.5°时为VID类鼠标操作模式；
[0022]对于击键操作，
[0023]I)对于当前键入字符的操作，以“TAB”键和鼠标事件作为本次击键操作的结束标志，实现对击键操作的划分，确定键入的字符串；
[0024]2)逐个提取字符串中每个键值和每个键间关系的行为特征，在网络用户身份识别模型构建中将其存入到包含所有键值、键间关系特征的单键、组合键行为训练特征库中；在网络用户身份持续监控中将这些行为特征组成待测特征向量，并在训练特征库中搜索、匹配、组合成对应的训练特征向量模板，其中，每个单键的特征是按键持续时间，每个组合键的特征是键间转移时间。
[0025]所述鼠标操作的特征向量是指由鼠标在系统网页中移动时产生的时空轨迹曲线所衍生出的一系列行为测量量，包括整体性特征和过程性特征，具体如下:
[0026]整体性特征包括:
[0027]鼠标移动起点的X坐标、Y坐标；
[0028]鼠标移动终点的X坐标、Y坐标；
[0029]鼠标移动的轨迹长度与位移的比值；
[0030]鼠标移动的持续时