一种基于用户软件行为模式的身份认证装置和方法

摘要

本发明涉及一种基于用户软件行为模式的身份认证装置和方法。本发明的装置包括软件信息数据监控捕捉模块、数据预处理模块、关联规则挖掘模块和身份验证模块；本发明的方法包括以下步骤：(1)采集软件使用信息；(2)分类并去除无关软件信息以及进程合并；(3)进行基于关联规则数据挖掘获得软件之间的规则；(4)把用户的软件使用行为与步骤(3)得到的用户使用软件之间的规则进行匹配验证用户身份。与现有技术相比，本发明为保证用户的账户安全提供了一种新的手段；使用监控器实时记录并显示用户使用软件的信息；通过提取用户频繁进程，结合用户软件使用规则共同验证当前用户身份，提升用户身份识别的精确度。

说明书

技术领域

本发明涉及信息安全领域，尤其是涉及一种基于用户软件行为模式的身份认 证装置和方法。

背景技术

随着Internet的发展，电子商务(E—Commerce)在大众生活中扮演着越来越 重要的作用，也越来越成为国际贸易中重要的经营模式。与此同时，电子交易过程 中的安全性问题也愈显重要，如何构建一个安全、便捷的电子商务应用环境，对信 息提供足够的保护，可以说是电子商务最核心和关键的问题。在电子商务安全体系 中，即基本加密技术、安全认证手段以及安全协议三方面中，安全认证中对用户账 号密码的真实性认证尤为重要，账号密码的使用者是否为其合法的拥有者正是本设 计课题所要确定的内容，基于此来保证电子商务、交易的安全性，为本课题的研究 方向。

针对电子交易现有的安全问题，目前对于网络钓鱼的防治,最有效最普及的方 法还是黑白名单，其对于预防用户遭受钓鱼攻击起到了一定的防范作用，但这治标 不治本。用户身份认证系统因为区分不同的用户或用户群，根据他们使用电脑的习 惯进行认证，对于判断该账号的使用者身份是否合法，是否获得了合法的授权的准 确度都相当高。现阶段的用户身份认证技术主要应用于电子商务安全性分析上。其 认证技术通常可分为理论方法包括电子交易协议的建模和验证，鼠标键盘行为认证， 基于电脑硬件信息的认证，基于网页浏览习惯的认证以及本课题研究的基于软件使 用习惯的认证等。

现阶段基于用户软件行为的刻画还处于初级阶段，基本只是应用于软件推荐或 者其他个性推荐系统，并且只是收集到用户所常用的软件种类，类似本设计对于用 户所使用软件之间的关联规律的刻画并且应用于软件方面的可信计算的还没有，但 这方面的研究却是对用户身份认证的实现有着一定意义的，随着个人电脑的普及以 及服务软件的多样化，由于每个个体性格，年龄，家庭环境，教育背景，从事行业， 社会地位等情况的不同，选择安装的软件各不相同，而使用软件的时间，方式也大 相径庭，因此通过不同个体使用软件的差异性，软件使用模式的建模是对用户身份 认证的一个很好的切入点。

本课题所提出的用户行为指的是用户在使用电脑的软件时，打开一个软件的同 时，有多大几率打开另一个软件，即使用软件之间的相互关联情况，为一个用户行 为。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于用户软 件行为模式的身份认证装置和方法。

本发明的目的可以通过以下技术方案来实现：

一种基于用户软件行为模式的身份认证装置，其特征在于，包括软件信息数据 监控捕捉模块、数据预处理模块、关联规则挖掘模块和身份验证模块；

所述软件信息数据监控捕捉模块，用于采集用户的软件使用信息，并以关联规 则的输入格式存入数据库中；

所述的数据预处理模块，用于对软件信息数据监控捕捉模块采集到的数据进行 分类，去除无关软件使用信息以及进程合并，并将数据存入数据库中；

所述的关联规则挖掘模块，用于对数据库中的软件信息数据进行基于关联规则 的数据挖掘获得用户使用软件之间的规则；

所述的身份验证模块，用于把用户的软件使用行为与关联规则挖掘模块挖掘得 到的用户使用软件之间的规则进行匹配，验证用户身份。

所述的软件信息数据监控捕捉模块的采集信息包括自动采集和手动采集；所述 的软件使用信息包括当前系统时间和进程名称。

所述的软件信息数据监控捕捉模块还包括进程列表单元，用于显示每一次软件 使用信息的采集结果。

所述的数据预处理模块的数据分类具体为把进程分类为系统进程和用户进程；

所示的无关软件包括本装置运行所需的软件；

所述的进程合并具体为：将同一软件的多个进程合并为一条软件使用信息。

所述的基于关联规则的数据挖掘所使用的算法为Apriori挖掘算法。

所述的装置还包括频繁进程抽取模块，用于遍历数据库中每条记录并统计每一 个进程的出现频率，当频率大于设定的阈值时，则认为该进程是频繁进程，反之则 不是频繁进程；

所述的身份验证模块把用户的软件使用行为与关联规则挖掘模块挖掘得到的 用户使用软件之间的规则进行匹配的同时，还结合检测该用户当前使用的软件中所 含有频繁进程的数量，以验证用户身份。

一种基于用户软件行为模式的身份认证方法，其特征在于，包括以下步骤：

(1)采集用户软件使用信息；

(2)对采集到的数据进行分类，去除无关软件使用信息以及进程合并；

(3)对软件信息数据进行基于关联规则的数据挖掘获得用户使用软件之间的 规则；

(4)把用户的软件使用行为与步骤(3)得到的用户使用软件之间的规则进行匹 配，验证用户身份。

所述步骤(2)中的对采集到的数据进行分类具体为把进程分类为系统进程和用 户进程；所示的无关软件包括本装置运行所需的软件；所述的进程合并具体为：将 同一软件的多个进程合并为一条软件使用信息。

所述步骤(3)中的基于关联规则的数据挖掘所使用的算法为Apriori挖掘算法。

所述步骤(4)之前还包括频繁进程信息抽取步骤，具体为：

遍历数据库中每条记录并统计每一个进程的出现频率，当频率大于设定的阈值 时，则认为该进程是频繁进程，反之则不是频繁进程；

所述的步骤(4)中把用户的软件使用行为与步骤(3)得到的用户使用软件之间的 规则进行匹配的同时，还结合检测该用户当前使用的软件中所含有频繁进程的数量， 以验证用户身份。

与现有技术相比，本发明具有以下优点：

1.通过研究用户使用软件之间的关联规律并应用于身份认证，为保证用户的 账户安全提供了一种新的手段；

2.使用监控器实时记录并显示用户使用软件的信息。

3.通过提取用户频繁进程，结合用户软件使用规则共同验证当前用户身份， 提升用户身份识别的精确度。

附图说明

图1为本发明的装置各模块结构图；

图2为本发明的数据监控捕捉模块流程图；

图3为本发明的数据预处理模块流程图；

图4为Apriori关联规则挖掘算法流程图；

图5为本发明的频繁进程抽取流程图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

如图1所示，基于个人电脑的用户软件行为模型挖掘系统由软件信息数据监 控捕捉模块，数据预处理模块，关联规则挖掘模块，频繁进程抽取模块这四个功能 模块组成。

根据软件信息数据捕捉模块设计一个在PC机上运行的软件/进程信息监控器， 定时或手动(可选)采集PC端上使用软件的时间、应用程序的名称、应用程序的 其他信息等特征，将采集到的数据生成日志并以关联规则的输入格式存入数据库中。 通过预处理模块对采集到的数据进行预处理，并将各项数据存入数据库中。对此时 数据库中的有效软件信息通过关联规则挖掘模块进行数据挖掘，得出用户使用的软 件之间相互关联的规律，并对数据库中每一项进行比对抽取出频繁的进程或服务， 生成用户使用软件的其他特性，比如频繁系统进程与用户进程，作为行为模型的另 一项数据参考，当用户使用软件规律类似时，可以以这一项，即用户所经常使用的 软件种类信息作为判断标准，这一部分是为了使用户认证机制更完善而设置的。

数据监控捕捉模块101：该部分的总体设计思路如下：系统运行时即开始记录 用户的进程使用情况，选择随机记录的模式可以在设定的时间段内随机记录下用户 当前所打开的所有进程的信息，即为捕捉到一条完整的记录，每一个进程的信息占 用一个数据项，所有进程的信息包括当前系统时间，再一起记录到日志和数据库中 作为一条记录，用户也可以选择手动记录下某一时刻的进程使用情况。在数据捕捉 模块监控器的界面上可以看到每一次进程记录刷新的所有信息。数据捕捉模块流程 图如图2所示。

数据预处理模块102：首先对数据库中的进程数据块进行分类，区分出系统进 程与用户进程作为筛选与处理的考虑要素之一，因为系统进程通常为开机即运行， 并一直运行的进程，运行的时间和运行的种类对于不同用户来说区分不大，即在系 统进程方面对关联规则进行挖掘对用户行为模式的构造影响不大，所以我们只考虑 用户进程方面的信息。另外还应该排除掉一些不必要的进程，比如本建模系统所占 的进程实际上是作为监控软件存在，而不属于用户的习惯之一，而这些数据实际上 并不是我们所需要的，因此有必要将这些数据过滤删除，留下其他有用信息。一种 软件的存在其实可以同时有几个进程在运行，而我们研究的是某一软件，对于它所 占有的几个进程并不做区分而是将它们看作统一软件处理，所以对这些进程再做合 并处理，一般通过关键字检索就可以合并。数据预处理模块流程图如图3所示。

关联规则挖掘模块103与频繁进程抽取模块104：在我们通过预处理模块对原 始数据库的进程信息进行筛选、合并、分类之后，数据库已经转换为描述用户使用 的软件情况信息的数据库，每条记录即表示某一时刻所有用户软件的打开情况，数 据库中的一条记录作为一次事务，每一个不同的应用程序名作为项。选择关联规则 挖掘的算法是经典的Apriori算法，通过该关联规则挖掘出用户所使用软件之间的 规则，关联规则挖掘流程图如图4所示。具体来说，首先，通过单趟扫描数据库中 的软件使用信息计算出各个1项集的支持度，得到频繁1项集，即支持度大于一定 阈值的集合。然后，继续采用递推的方式来挖掘频繁k-项集(k>1)，具体做法是： 在挖掘出候选频繁k-项集(Ck)之后，根据最小支持度来筛选，得到频繁k-项集。 基于第1步挖掘到的频繁项集，继续挖掘出全部的频繁关联规则。置信度大于给定 最小置信度的关联规则称为频繁关联规则。

另外，对于数据库与日志中的数据进行分析，可以先从中抽取出每一条事务 项中重复度极高的进程，此类进程多是系统进程，每次开机启动时就会自动在后台 运行，直到关机才会结束，即从用户使用电脑到结束都一直存在的进程，如果将这 类进程考虑到用户行为中，会影响建模的精准度，所以单独抽出。

这两类信息作为用户使用软件的行为习惯信息共同构成用户软件行为模式， 即用户软件行为模式的主体由一条条软件使用行为规则(关联规则)的形式构成并 展示，附加信息由用户频繁使用的进程来显示。

频繁进程抽取流程图如图5所示，即遍历数据库中每条记录并统计每一个进 程的出现频率，当频率大于设定的阈值时，则认为该进程是频繁进程，反之则不是 频繁进程。

身份验证模块105：基于上述得到的用户软件行为模式，可进行用户身份认证 分数计算，用户身份认证分数可分为两部分，

第一部分为：验证开始后，本装置每隔一定时间T进行一次系统快照以获取 用户当前所打开的软件，并将其与之前挖掘出来的关联规则相匹配，找出所有能匹 配上的软件使用规则，并累计每条使用规则被匹配成立的次数；在经过设定次数的 系统快照(即经过{系统快照次数*T}的时间)以后，将累计得到的所有匹配成立的 使用规则次数乘以该规则的权重(即该关联规则的置信度)做加权和，作为第一部分 的得分，公式如下：

Score1＝N₁*W₁+N₂*W₂+···+N_m*W_m；

其中，N_i为某条软件使用规则在规定时间内被匹配上的次数，W_i为该软件使 用规则的权重,1≤i≤m,m为匹配上的规则的条数；

第二部分为：按照频繁进程进行匹配，匹配成功部分占全部的比率作为这一 部分的参考，公式如下：

Score2＝P/A；

其中P为匹配成功的频繁进程个数，A为所有频繁进程个数。

在获得两部分的用户得分后，将两部分的数字标准化(关于标准化的说明： 第一部分：将Score1与假设每一次均匹配成功(N_m均取总次数)对应的Score相 除，再乘以满分100，进行百分制的标准化，重赋值Score1；第二部分，将Score2 (本身为分数)乘以100，也进行百分制的标准化，重赋值Score2。保证经过加权 和后的分数为上限100，下限0的整数)再对这两部分做加权和，为用户软件行为 认证的最终打分，公式如下

Score＝Score1*X+Score2*(1-X)；

其中，Score1为第一部分得分，Score2为第二部分得分，X的取值为大于0.5 且小于1.0(即分数应以第一部分为主)，具体取值可按经验或实际情况确定。

将用户综合得分Score与设定的阈值分数进行比较，超过则认证成功，反之， 则认为该用户身份可疑，警告其需要进一步身份认证。

本专利中首先设计了一个PC上运行的数据采集监控器，将用户使用软件时的 时间和相关信息记录下来。然后进行数据预处理，再利用关联规则算法对软件信息 数据进行构造和分析，挖掘出用户使用软件之间的规律和其他相关信息来构建用户 身份认证模型。