[0001] 本发明涉及信息安全技术领域，具体为一种基于多行为特征选择的身份认证方法。

[0002] 计算机系统和计算机网络是一个虚拟的数字世界。在这个数字世界中，一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题。在真实世界中，一个人的身份主要通过三种方式判定，一是根据人所知道的信息来证明身份(what you know)，假设某些信息只有某个人知道，比如暗号等，通过询问这个信息就可以确认这个人的身份；二是根据人所拥有的东西来证明身份(what you have)，假设某一个东西只有某个人有，比如印章等，通过出示这个东西也可以确认真个人的身份；三是直接根据人独一无二的身体特征来证明你的身份(who you are)，比如指纹、面貌、DNA等。基于以上的认证方式，结合具体技术，人们发明了用户名/密码认证、IC卡认证、动态口令认证、USB Key认证、指纹认证、虹膜认证等方式。但是这些认证方式或多或少存在着一些问题，比如共享密钥容易泄漏、依赖特定硬件、只能进行一次验证，无法持续保护等等。但是我们最传统的身份鉴别就是基于口令的鉴别，也是最弱的一种鉴别方式,容易忘记,容易被木马截获。基于USBkey的鉴别，由于携带的问题只用在银行等少数的领域。基于指纹、虹膜的鉴别由于需要特殊的生理特征采集器，其鉴别的成本比较高，也只是用在少数领域。

[0003] 键盘、鼠标是计算机最常用的输出设备，IP地址、物理地址、设备信息等在一定程度上可以看做用户的基本行为与系统的联系，一个固定用户利用常用设备进行登录访问应用服务的行为总是遵循一定的习惯，由于习惯的不同会产生不同的行为特征，基于此可对用户的身份进行认证。与目前常用的身份认证技术相比，基于用户行为分析的身份认证具有以下优点：

[0004] (1)它是一个完全后台的程序，整个收集数据和验证的过程不需要用户自己进行任何操作，对用户十分友好。

[0005] (2)它不需要复杂的硬件支持，提高鉴别的性能。

[0006] (3)它将安全认证由一次性变为持续性的过程。密码一旦确认通过就被认为是合法用户，但是基于行为分析的安全认证则是一个长期持续的认证过程。

[0007] (4)它很难被窃取。除非入侵者能够非常完美的模仿主人的行为习惯，但是这个是几乎无法办到的。

[0008] 但是由于行为特征存在一定的波动性，一些行为特征存在冗余，致使分类器的性能差，使得基于所有行为特征的身份判定方法会产生误判，身份认证性能较差，容易将合法用户错判为非法用户。因此要成为一种实用的身份判定方法，必须解决合法用户身份错判的问题。本发明提出一种可以较为有效地解决这一问题的新方法。

[0009] 针对现有技术的不足，本发明提供了一种基于多行为特征选择的身份认证方法，它用于对计算机用户进行身份监控和身份认证,准确性高，有效降低了合法用户身份错判的问题。

[0010] 为实现以上目的，本发明通过以下技术方案予以实现：一种基于多行为特征选择的身份认证方法，包括如下步骤：

[0011] 步骤1)：新用户登录前需进行注册,在注册过程中记录下用户的击键行为、键盘行为、IP地址、物理地址及设备信息进行预处理并提取行为特征，生成行为特征模板，存入行为特征模板数据库中；

[0012] 步骤2)：用户登录时，采集行为数据，提取用户当前登录状态与步骤1)中相关行为特征，利用特征选择算法选出性能较好的行为特征与行为特征模板比较进行验证；

[0013] 步骤3)：用户验证通过后，对用户的行为进行监控，定时采集行为数据，对采集的行为数据进行提取获得当前行为特征，将当前行为特征与行为特征模板对比，若验证不通过，需要重新登录验证；若验证通过，记录下当前行为特征，作为步骤4)中行为特征模板更新的依据；

[0014] 步骤4)：对步骤3)中记录下的多组合法的行为特征通过相应分类算法训练出最好的行为特征模板，存入到行为特征模板数据库中，更新行为特征模板。

[0015] 2、根据权利要求1所述的基于多行为特征选择的身份认证方法，其特征在于：步骤2)的具体方案为：

[0016] 1)对采集的行为数据进行预处理操作；

[0017] 2)对记录的预处理操作后的行为数据进行特征提取得到行为的基本特征；

[0018] 3)根据提取的行为特征采用mRMR算法生成相应的行为特征模板；

[0019] 4)再利用SVM机器学习算法对用户的行为进行认证判断是否为合法用户。

[0020] 有益效果

[0021] 与现有技术相比，本发明具有如下优点：

[0022] 1.利用多种行为特征(击键、鼠标、设备信息、IP)进行身份认证，选择出较为合适的特征与子特征，解决基于全部行为特征判定身份时的合法用户身份误判的问题。

[0023] 2.该方法实现简单，利用行为特征识别的优点及适用的领域，提高容错性，降低不确定性，具有安全性高、不需要复杂的硬件设备和准确率高等优点，克服全部行为特征的冗余性，使其具有更广泛的安全性和适用性。

[0024] 图1为本发明的流程示意图。

[0025] 下面结合附图和实施例对本发明做进一步的说明。

[0026] 一种基于多行为特征选择的身份认证方法与技术流程如图1所示，整个过程包括三个部分子过程用户注册、用户认证、数据再训练。在用户注册阶段，用户根据系统设计的小游戏提示操作对键盘和鼠标进行操作，这个过程主要提取用户的键盘行为和鼠标行为，设备信息物理地址和IP地址通过一些软件获取，至于用户的一些习惯行为在注册阶段没有，是在之后的登录系统后持续一段时间得到。此收集数据的过程对用户是隐藏的。收集到行为数据后，对数据进行预处理，处理掉一些不合理的数据及一些不相关数据。对预处理后的行为数据进行特征提取，其中击键行为包括时间序列特征和压力特征两个子特征；鼠标行为包括移动、拖拽、点击三个子特征；设备信息包括设备语言、固件型号、CPU、屏幕大小等特征；通过提取的特征作为正例样本，使用老用户行为特征作为反例样本采用SVM算法进行学习训练得到将其分割开的超平面，以此作为行为特征模板存入到行为特征模板库中作为身份认证的依据。在用户认证过程，行为数据获取、数据预处理特征提取与注册过程想同，对提取的特征再用互信息量度量使用mRMR(最大相关最小冗余)算法得到优异的行为特征，再计算此行为特征到超平面的距离S，S为正代表为合法用户，S为负代表为非法用户。当为合法用户时，对登录的用户进行监控，每隔一定的时间对其进行隐形的认证，即此过程用户不知道，但如果这期间用户认证为非法用户会对用户进行重新验证。因为人的一些行为会随着时间的推移发生着一些改变，因此这期间认证成功的行为特征组会作为行为特征模板更新的数据进行再训练，得到新的行为特征模板。因为老用户使用了一段时间一些行为会比较固定，因此登录时间、注销时间和键入频率等都可以作为新的特征进行考虑。

[0027] 击键的行为特征包括时间序列特征和压力特征。压力特征包括按键的压力p和触点的大小size。设按键按下的状态为down，释放的状态为up，记录状态的时间戳。通过时间戳的差值可以得到4个时间序列特征的子特征，定义如下：

[0028] down-up：表示按下键与释放键之间的时间间隔；

[0029] up-down：表示一个键释放到下一个键按下的时间间隔；

[0030] down-down：表示一个键按下到下一个键按下的时间间隔；

[0031] up-up：表示一个键释放到下一个键释放的时间间隔；

[0032] 鼠标的行为特征包括移动方向，平均移动速度，鼠标点击到释放的时间间隔。设备信息包括设备语言、固件型号、CPU、屏幕大小特征。老用户的习惯行为特征包括登录时间、注销时间和键入频率。

[0033] 利用mRMR进行特征选择，设特征为x，则一个特征组为m{x1，x2，L，xn}，我们的目标是从这n个特征中找到特征子集S：

[0034] 给定两个随机变量x和y，他们的概率密度函数(对应于连续变量)为p(x)，p(y)，p(x，y)，则互信息为：

[0035]

[0036] 最大相关性：

[0037]

[0038] xi为第i个特征，c为类比变量，S为特征子集

[0039] 最小冗余度：

[0040]

[0041] 然后整合最大相关性和最小冗余度：

[0042] maxΦ(D,R),Φ＝D-R

[0043] 最终得到特征子集S即为性能较好的行为特征集，根据采用SVM算法得到的行为特征模板进行比对，计算此行为特征集到超平面的距离S，S为正代表为合法用户，S为负代表为非法用户。

[0044] 以上结合具体实施例对本发明进行了详细的说明，这些并非构成对发明的限制。在不脱离本发明原理的情况下，本领域的技术人员还可以作出许多变形和改进，这些也应属于本发明的保护范围。