基于分层行为特征的网络用户身份识别

### 基于分层行为特征的网络用户身份识别 #### 1. 现有身份识别方法的局限性 在网络环境中，传统的身份识别机制在登录时发挥了重要作用。人们通常会添加验证码（短信、字母、图形）进行二次识别，还可以通过持有物（如身份证、令牌）来进行身份识别。然而，持有物存在丢失或伪造的风险，而基于生物特征（如指纹）的身份识别虽然解决了这些问题，但需要额外的设备。 更为关键的是，在用户解锁计算机后，常常会因各种原因（如去洗手间、喝水等）短时间或长时间离开计算机，且不关闭电脑。在此期间，非法用户可以绕过登录时的身份识别，直接在计算机上进行操作，如窃取信息或进行恶意攻击。这意味着用户登录网络时提供的身份证书此时已失效，而非法用户的身份也未得到有效识别。 随着互联网的快速发展，用户面临的网络环境变得更加复杂。用户的在线操作可能在网页环境或移动终端上进行，且如今的用户倾向于使用多种设备。因此，基于用户行为特征的身份识别在复杂网络环境中具有更好的应用前景。 #### 2. 基于网络用户行为的身份识别研究现状 目前，大多数研究人员利用网络用户的鼠标和键盘行为数据来识别用户。例如，Bailey和Okolica等人通过整合网络用户的键盘、鼠标和用户界面（GUI）的数据，构建了一个用户行为生物识别系统，测试31个以上用户的结果显示，误识率（False Acceptance Rate，FAR）为2.10%，拒识率（False Rejection Rate，FRR）为2.24% 。生物识别系统可以从用户行为的三个维度识别用户，以实现高精度识别。 然而，生物识别系统需要更多的用户行为数据，这意味着系统需要较长时间来进行用户身份识别。如果黑客在突破系统访问控制机制后不能在短时间内被识别，将给用户带来巨大损失。而通过短期用户行为来识别用户是比较困难的。 一些研究从网络用户在键盘上输入文本字符串的打字模式来考虑用户认证。基于人类行为生物特征的按键动力学的身份识别不需要其他设备，但需要考虑键盘设备类型和文本字符串长度的影响。随着智能设备的升级，移动设备和触摸屏设备大量使用，软键盘的触摸文本输入带来了新的研究挑战。不过，对一些用户触摸屏操作行为的测试结果显示，其身份验证准确率可达99%，这表明该研究是一种可靠的用户认证方法。 此外，一些研究人员从网络用户的鼠标行为进行了鼠标动力学研究，显示了静态认证的可行性。随后，研究人员设计实验并收集用户鼠标行为数据，基于基本鼠标动作（包括时间、坐标点、点击等）提取鼠标特征，如方向、速度等，用于用户识别。Hu T和Niu W提出了一种可以完全保留所有基本鼠标操作并使用深度学习进行用户认证的方法，他们将鼠标动态行为映射到图片中，并通过CNN网络训练图像数据集，创建分类模型以实现用户身份认证。但这些方法目前都需要更多的用户行为数据或更长的时间，无法快速识别用户。 #### 3. 现有研究中使用的分类器 在基于用户行为建模的现有研究中，使用了不同的分类器，一些研究人员还比较了两种分类器的效果。 - 之前的研究提出了基于鼠标手势动力学的静态认证，并基于神经网络（ANN）分类器分析用户的鼠标手势，最终结果显示误识率为5.26%，拒识率为4.59%，测试时间为26.9秒。与现有的鼠标动力学方法相比，该方法在验证样本和准确性方面得到了优化。 - Shen C、Cai Z、Liu X等人使用最近邻（Nearest Neighbor，NN）和支持向量机（Support Vector Machine，SVM）对功率变换后的鼠标移动轨迹的动态过程进行建模，结果表明提取的鼠标交互行为特征在这两种分类器中都起到了很好的作用。 - Penny Chong通过深度学习架构对鼠标移动序列进行分类，简化了特征提取过程，并且该架构优于其他机器学习方法。 虽然各种机器学习算法存在差异，但它们都能在不同的应用环境中实现对个体差异的高度区分。 #### 4. 网络用户分层行为特征研究 在人机交互过程中，人类行为是连续的。人们根据自己的行为意图打开计算机开关按钮，然后通过鼠标、键盘等输入设备在网络环境中进行操作，如网页访问、鼠标移动、点击、浏览等一系列行为。网络用户的行为是用户在网络环境中完成自身目标和需求所产生的行为效果，受用户的心理和生理属性影响。 网络用户的行为特征可以分为两个层次： - **交互行为特征（Level I）**：反映用户的心理和使用习惯。具体包括： - **用户登录账户的时间点**：每个用户根据自己的日程安排、工作目标等因素登录账户，因此登录时间点各不相同。例如，对4个用户的分析显示，0:00 - 7:00的登录频率几乎为0，主要集中在8 - 11点、15 - 17点和19