[发明专利]一种基于行为图谱的用户身份持续认证方法及系统

说明书

本发明公开了一种基于行为图谱的用户身份持续认证方法及系统，通过对用户历史访问习惯进行刻画形成用户访问行为图谱，通过当前访问行为与历史访问行为的比对，得到用户偏离历史访问习惯的异常行为，采用基于行为的异常检测方式，无需提前设置策略，便能够检测出异常行为，充分考虑了用户个体的特点和习惯；基于源IP对于目的站点各个URL对应模块的访问时间间隔，生成用户访问时间序列图谱，通过当前访问时间间隔与历史访问时间间隔的比对，得到用户偏离历史访问习惯的异常行为，进而触发身份验证失败，进行访问异常告警；由于用户行为图谱是动态变化的，时间越长对用户行为的刻画就越精确，通过本发明的方法能够保证身份验证的准确性。

技术领域

本发明涉及身份认证技术领域，并且更具体地，涉及一种基于行为图谱的用户身份持续认证方法及系统。

背景技术

用户身份认证是指计算机以及计算机网络系统中确认操作者身份的过程，是一个基本的安全机制。传统的用户身份认证一般是用户名和密码认证，最新的研究成果支持用户通过指纹、面部识别、虹膜等生物特征做认证。这些认证都属于瞬间的“快照式”认证，所谓“快照式”认证是指通过一个时间点的用户输入(包括生物特征输入)来验证用户的身份是否合法。但是，在一定的条件下，这些基于固定的口令或“快照式”生物特征的认证方式都有被绕过或者伪造的可能性。

现有技术一为了解决固定登录口令或者“快照式”生物特征的认证方式被绕过或者伪造的问题，需要在用户访问站点的整个过程中，对用户的行为特征进行持续监控，并与历史访问行为特征进行比对，当发现存在违背历史行为特征的访问行为时，立即予以告警。目前对于用户访问站点的行为进行监控并检测是否存在异常的方式主要有以下几种：1.在审计类系统内建立相应的策略，当用户请求满足策略的URL时(如域名命中，或者URL命中)，则将命中策略的URL请求视为异常URL请求，进行阻断或告警。现有技术一的缺点是需要有相关的安全领域专家提前预设安全策略，而如果用户访问的站点不在预设的策略范围内或者访问的是站点新增加的功能页面，则无法进行阻断告警。

现有技术二基于站点爬虫，主动爬取站点页面内容，建立URL与页面内部URL的关系图，即认为通常的URL访问路径是从该URL跳转到该URL对应页面内所包含的链接，而将不符合此逻辑的URL访问路径作为异常路径。现有技术二的缺点为认为站点结构上存在可跳转关系都是正常的，即按照网站既定结构作为检测规则，因此也是一种预设策略的检测方式；另外也没有考虑不同用户间身份和使用习惯的差异。

发明内容

本发明提出一种基于行为图谱的用户身份持续认证方法及系统，以解决如何精准地对用户身份持续进行认证的问题。

为了解决上述问题，根据本发明的一个方面，提供了一种基于行为图谱的用户身份持续认证方法，所述方法包括：

从第一HTTP日志集中获取预设时间段内每个源IP访问同一站点的第二HTTP日志集，并进行URL提取，分别获取每个源IP访问每个站点的第一URL访问序列；

对于每个第一URL访问序列，将每个URL作为一个节点，将一个URL到另一个URL的跳转关系作为向边，确定每个源IP相对于每个站点的访问行为图谱；

根据每个源IP相对于每个站点的各URL对应模块的访问时间间隔，确定每个源IP相对于每个站点的访问时间序列图谱；

分别根据每个源IP相对于每个站点的访问行为图谱和访问时间序列图谱进行序列化处理，确定每个源IP相对于每个站点的访问行为图谱基线文件，并建立每个访问行为图谱基线文件对应的唯一索引标识；其中，所述唯一索引标识包括：源IP加目的IP加目的端口；

确定目的站点，基于预设的时间窗口从实时的目标站点对应的日志队列中读取HTTP日志，获取第三HTTP日志集，从读取的HTTP日志中进行URL提取，分别获取所述第三HTTP日志中的每个目标源IP访问该目标站点的第二URL访问序列；