[发明专利]基于网页输入行为特征的网络用户身份监控方法

摘要

本发明公开了一种基于网页输入行为特征的网络用户身份监控方法，无扰地记录网络用户在进行网页交互时产生的鼠标移动和击键操作，基于输入属性进行操作切分，提取与网络交互模式相契合的输入行为特征，建立每种操作类型下的身份识别模型，基于观测窗口和阈值比较来实现网络用户身份的实时监控。本发明的优点在于：在网页交互场景下输入操作频繁，不同用户因不同的生理特点、行为习惯等因素，容易形成独特且唯一的操作模式；建立每种击键和鼠标操作的身份模型，能更好的体现用户的行为特性，提高身份监控的容错性；相比于传统的单次认证方法，网页输入操作贯穿用户网页交互的整个过程，可实现无干扰的实时身份跟踪与监控，具有更广泛的适用性。

主权项

一种基于网页输入行为特征的网络用户身份监控方法，其特征在于，包括网络用户身份识别模型构建和网络用户身份持续监控两大部分：其中，第一步，网络用户身份识别模型构建包括下述步骤：(1)在合法用户正常登入网页系统进行交互操作的过程中，采集并记录用户在网页界面上输入的鼠标操作数据和击键操作数据，形成用户鼠标、击键行为的原始数据集；(2)操作行为的划分：针对鼠标操作，根据鼠标指针滑动起点和终点连线与正向水平夹角θ对原始数据集中的鼠标操作进行归类，其中，θ从‑22.5°开始，逆时针每45°顺序划分为Ⅰ～Ⅷ类八种鼠标操作模式，形成Ⅰ～Ⅷ类鼠标移动行为训练数据集；针对击键操作，以换行符“TAB”键和鼠标事件作为击键操作的结束标志，划分击键操作为多个长度不等的字符序列；(3)操作行为特征向量的提取：针对不同鼠标操作模式，提取特征向量并计算特征向量模板，将特征向量模板与提取的鼠标操作特征向量进行相似性度量，得到各个鼠标操作的距离特征向量；形成每种鼠标操作模式下的训练特征集合；针对击键操作：①根据每个字符序列所含字符和字符先后关系，提取出对应按键的特征向量；②针对每个单键和组合键，计算击键操作特征向量模板，其中，所述组合键为两单键的先后键间关系；③将该特征向量模板与每个击键操作的特征向量进行相似性度量，形成包含各单键和组合键特征的行为训练特征集合；(4)将合法用户的键鼠训练特征集合标记为正类，采用单类分类器对每种鼠标操作模式和每个击键操作构建合法用户的身份模型，并得到各种鼠标操作模式和每个击键操作对应的合法用户的身份判定阈值；相应的，合法用户身份模型包括至少八个身份子模型；第二步，网络用户身份持续监控包括下述步骤：(1)用户登入网页系统后，网页以长度为N的观测窗口开始捕获用户鼠标操作和击键操作行为，所述观测窗口为采集到的包含鼠标和击键共N个操作的用户网页输入操作数据块；(2)针对鼠标操作，根据移动方向对其进行归类，提取鼠标操作特征向量，与身份模型构建时获得的对应操作模式的特征向量模板进行距离比较，得到鼠标操作的距离特征向量；针对击键操作，根据其包含的各个键值和键间关系，提取击键操作特征向量，同时从身份模型构建时获得的包含各个单键和组合键的特征库中提取、组合对应的特征向量模板，进行距离度量，得到击键操作的距离特征向量；(3)针对网页输入操作数据块中的每个鼠标操作和击键操作，将得到的距离特征向量作为该操作对应的身份子模型的输入，得到每个操作的检测值，并将该检测值与对应的身份子模型的判定阈值进行比较，判定每次操作的异常性；(4)对当前用户身份合法性进行判定：若在N次行为操作中连续监测到M次异常操作，则判定当前用户为非法用户；反之则判定当前用户为合法用户，其中，M小于等于N。