[发明专利]一种基于行为图谱的用户身份持续认证方法及系统

权利要求书

1.一种基于行为图谱的用户身份持续认证方法，其特征在于，所述方法包括：

从第一HTTP日志集中获取预设时间段内每个源IP访问同一站点的第二HTTP日志集，并进行URL提取，分别获取每个源IP访问每个站点的第一URL访问序列；

对于每个第一URL访问序列，将每个URL作为一个节点，将一个URL到另一个URL的跳转关系作为向边，确定每个源IP相对于每个站点的访问行为图谱；

根据每个源IP相对于每个站点的各URL对应模块的访问时间间隔，确定每个源IP相对于每个站点的访问时间序列图谱；

分别根据每个源IP相对于每个站点的访问行为图谱和访问时间序列图谱进行序列化处理，确定每个源IP相对于每个站点的访问行为图谱基线文件，并建立每个访问行为图谱基线文件对应的唯一索引标识；其中，所述唯一索引标识包括：源IP加目的IP加目的端口；

确定目的站点，基于预设的时间窗口从实时的目标站点对应的日志队列中读取HTTP日志，获取第三HTTP日志集，从读取的HTTP日志中进行URL提取，分别获取所述第三HTTP日志中的每个目标源IP访问该目标站点的第二URL访问序列；

根据所述第二URL访问序列获取一个唯一索引标识，根据获取的唯一索引标识获取每个目标源IP相对于该目标站点的行为图谱基线文件，并进行反序列化处理，以获取每个目标源IP相对于该目标站点的访问行为图谱和访问时间序列图谱，并根据每个目标源IP相对于该目标站点的访问行为图谱和访问时间序列图谱对每个目标源IP访问该目标站点的第二URL访问序列进行图谱检测，完成对用户身份的持续认证。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

从服务器中存储的HTTP日志中提取访问时间、源IP、来源URL、访问URL和目的IP，并选取目的IP位于受保护站点列表的第一HTTP日志集，并根据目的IP和目的端口确定每个受保护站点的唯一标志。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

对URL访问序列进行去噪，包括：

去除URL的参数部分，得到经过去除参数的URL；

对经过去除参数的URL的后缀进行判断，如果后缀属于js、css、png、jpg、gif和/或jpeg，则认为是页面的静态资源请求，对其进行过滤，以获取所有动态请求的URL访问序列。

4.根据权利要求1所述的方法，其特征在于，所述根据每个目标源IP相对于该目标站点的访问行为图谱和访问时间序列图谱对每个目标源IP访问该目标站点的第二URL访问序列进行图谱检测，完成对用户身份的持续认证，包括：

对于每个目标源IP访问该目标站点的第二URL访问序列，根据第二URL访问序列中的URL的先后访问关系从元素为N的URL集合中提取出N-1个子序列，将每一个子序列与访问行为图谱进行比对，如果子序列中含有访问行为图谱中不含有的节点，或者子序列对应的行为图谱中不存在边，则判定为该用户的此次访问行为异于历史访问行为，触发身份验证失败，进行访问异常告警；

对于目标源IP访问URL的时间间隔，与访问时间序列图谱进行比对，如果两个URL之间的访问时间间隔与访问时间序列图谱的时间间隔的差值大于等于预设时间差阈值，则判定该用户的此次访问行为异于历史访问行为，触发身份验证失败，进行访问异常告警。

5.根据权利要求1所述的系统，其特征在于，所述分别根据每个源IP相对于每个站点的访问行为图谱和访问时间序列图谱进行序列化处理，确定每个源IP相对于每个站点的访问行为图谱基线文件，包括：

根据每个源IP相对于每个站点的访问行为图谱和访问时间序列图谱使用Spark的分布式算子并行的生成每个源IP对应的访问站点序列行为图谱，并将每个源IP对应的访问站点序列行为图谱序列化为二进制对象，获取每个源IP相对于每个站点的访问行为图谱基线文件并存储在分布式文件系统HDFS上。