CN103530546A - 一种基于用户鼠标行为的身份认证方法 - Google Patents

Abstract

本发明一种基于用户鼠标行为的身份认证方法，属于生物认证技术领域，本发明鼠标行为的产生是通过用户操作人机交互设备得到的，这种设备不同于现有技术所使用的复杂昂贵的硬件设备，仅采用计算机，因此具有低成本的优点；此外无论是在训练收集还是监控模式下，鼠标行为的获取是在用户日常操作中，不影响用户正常的使用，具有无干扰的特点；使用鼠标行为作为特征，相对于使用我们的生理特征更容易使人们接受，没有抗拒心理；基于鼠标行为特征的身份认证更适合于现在的操作环境，使用鼠标的机会远远大于其他的人机交互设备；同时由于鼠标的使用贯穿于整个操作的过程中，因此可以对用户的行为做持续性的认证。

Description

一种基于用户鼠标行为的身份认证方法

技术领域

本发明属于生物认证技术领域，具体涉及一种基于用户鼠标行为的身份认证方法。

背景技术

随着计算机和网络技术的发展，传统的身份认证方案已经不能满足当前网络环境中对于身份认证的安全性需求。传统的认证方案主要是指用户名密码机制和令牌持有物机制对访问者的身份进行认证，这两种传统的认证方案都存在很多安全问题。对于用户名密码方案来说，密码容易泄露，丢失，遭到破解，同时这种方案并不能确保用户身份的唯一性，即任何可以获得用户名密码的人都可以在网络上以该用户的身份进行登录，并访问其得到的资源。而令牌持有物方案中，持有物容易丢失，并且存在仿造的可能性。

现代的生物认证技术，有效的解决了上述问题。生物身份认证技术主要是通过可测量的生理或者行为等特征进行身份认证的一种技术。所有具备自然的可度量性、健壮性和可区分性的生理特征和行为特征都可以用来辨别个体或者对个体进行身份认证。这里所说的生物身份认证技术，既包括生理特征身份认证，如指纹认证、虹膜认证、掌纹认证、视网膜认证、DNA认证、脸型认证、人体气味识别等，也包括行为特征身份认证，如笔记识别、语音识别、步态识别、签字识别、击键识别等等。

对于基于物理特征的生物认证技术，这些方案实施起来过程相对较复杂，而且大多数都需要一些复杂、昂贵的硬件设备，比如指纹识别仪等，其硬件成本比较高。同时这些认证技术大部分都不能应用于在互联网环境下。

发明内容

针对现有技术的不足，本发明提出一种基于用户鼠标行为的身份认证方法，以达到降低成本、无干扰和操作简单的目的。

一种基于用户鼠标行为的身份认证方法，包括以下步骤：

步骤1、采集大量用户鼠标行为数据，包括鼠标左键单击行为、鼠标右键单击行为、鼠标左键双击行为、鼠标移动行为、鼠标左键拖拽行为、鼠标右键拖拽行为、鼠标移动加左键单击行为、鼠标移动加右键单击行为、鼠标移动加左键拖拽行为、鼠标移动加右键拖拽行为和鼠标移动加左键双击行为；

步骤2、对采集的大量用户鼠标行为数据进行行为特征提取，具体如下：

鼠标左键单击行为特征包括：点击时间和点击的移动距离，所述的点击时间是指鼠标按下和鼠标弹起之间的时间间隔，所述的点击的移动距离是指指鼠标按下和鼠标弹起之间的移动距离；

鼠标右键单击行为特征包括：点击时间和点击的移动距离；

鼠标左键双击行为特征包括：第一次点击时间、第一次点击的移动距离、双击间隔时间、双击间隔距离、第二次点击时间和第二次点击的移动距离；

鼠标移动行为特征包括：

屏幕横轴方向的鼠标移动速率的最大值、最小值、平均值、标准差和区间长度；

屏幕纵轴方向的鼠标移动速率的最大值、最小值、平均值、标准差和区间长度；

鼠标移动切向速率的最大值、最小值、平均值、标准差和区间长度；

鼠标移动切向加速度的最大值、最小值、平均值、标准差和区间长度；

鼠标移动切向加加速度的最大值、最小值、平均值、标准差和区间长度；

鼠标移动角速度的最大值、最小值、平均值、标准差和区间长度；

鼠标移动过程中所有的点横坐标的最大值、最小值、平均值、标准差和区间长度；

鼠标移动过程中所有的点纵坐标的最大值、最小值、平均值、标准差和区间长度；

鼠标移动角度的最大值、最小值、平均值、标准差和区间长度；

鼠标移动曲线曲率的最大值、最小值、平均值、标准差和区间长度；

鼠标移动曲线曲率变化率的最大值、最小值、平均值、标准差和区间长度；

鼠标移动时间、鼠标移动距离、曲线直线度、关键点、路径抖动、轨迹质量中心、散射系数、第三势差和第四势差；

鼠标左键拖拽行为特征包括：鼠标左键按下与弹起之间的鼠标移动行为特征；

鼠标右键拖拽行为特征包括：鼠标右键按下与弹起之间的鼠标移动行为特征；

鼠标移动加左键单击行为特征包括：鼠标开始移动至鼠标左键按下过程中的鼠标移动行为特征、点击前距离、点击前时间和鼠标左键单击行为特征，所述的点击前距离是指鼠标移动结束与鼠标左键按下之间的移动距离，所述的点击前时间是指鼠标移动结束与鼠标左键按下之间的时间间隔；

鼠标移动加右键单击行为特征包括：鼠标开始移动至鼠标右键按下过程中的鼠标移动行为特征、点击前距离、点击前时间和鼠标右键单击行为特征；

鼠标移动加左键拖拽行为特征包括：鼠标开始移动至鼠标左键按下过程中的鼠标移动行为特征、点击前距离、点击前时间和鼠标左键按下至鼠标左键弹起之间的鼠标移动行为特征；

鼠标移动加右键拖拽行为特征包括：鼠标开始移动至鼠标右键按下过程中的鼠标移动行为特征、点击前距离、点击前时间和鼠标右键按下至鼠标右键弹起之间的鼠标移动行为特征；

鼠标移动加左键双击行为特征包括：鼠标开始移动至鼠标左键按下过程中的鼠标移动行为特征、点击前距离、点击前时间和鼠标左键双击行为特征；

步骤3、将提取出的鼠标行为特征值在数据库中进行储存；

步骤4、采用随机森林算法，对数据库中的行为特征数据进行分类训练，形成分类器；

步骤4-1、对于所有鼠标行为特征中连续型的特征数据进行离散化处理，将每个鼠标行为特征在其区间范围内进行划分，形成若干个划分区间，将用户的鼠标行为特征数据映射到对应的划分区间内，根据区间标号对鼠标行为特征数据进行标记；

步骤4-2、在鼠标左键单击行为、鼠标右键单击行为、鼠标左键双击行为、鼠标移动加左键单击行为、鼠标移动加右键单击行为和鼠标移动加左键双击行为过程中，判断点击鼠标时，鼠标位置是否有变化，若是，则标记为一类，否则，标记为另一类；在鼠标移动加左键单击行为、鼠标移动加右键单击行为和鼠标移动加左键双击行为过程中，判断鼠标移动结束与鼠标点击动作之间，鼠标位置是否有变化，若是，则标记为一类，否则，标记为另一类；鼠标左键双击行为和鼠标移动加左键双击行为过程中，判断两次点击动作之间，鼠标位置是否有变化，，若是，则标记为一类，否则，标记为另一类；

步骤4-3、根据鼠标行为的个数确定分类器的个数，用户根据需求设置分类器内树的个数；

步骤4-4、构造每个鼠标行为分类器内树的模型，具体构建过程如下：

步骤4-4-1、根据所需构建的分类器所对应的行为特征，在该鼠标行为特征数据中有放回抽取数据；在其相应的鼠标行为中随机抽取若干类鼠标行为；

步骤4-4-2、选择划分后信息增益比最大的行为特征作为节点的分类属性，根据该分类属性对抽取的行为数据进行划分，形成若干个下一层新的节点；

步骤4-4-3、依次判断该层每个新的节点是否达到终止条件，即该节点是否已无属性类别或该节点内的行为特征数据均来自同一用户，若是，则对该节点进行标记形成叶子节点，并当该层所有节点均已标记时执行步骤4-4-4；否则返回执行步骤4-4-2对该节点继续进行分裂，并不能选择分裂出该节点的分类属性；

步骤4-4-4、返回上层，判断其是否为初始节点，若是，则完成该树的构建并执行步骤4-4-5；否则执行步骤4-4-3；

步骤4-4-5、执行步骤4-4-1至步骤4-4-4，直至每个分类器中所有树构建完成，即形成分类器；

步骤4-5、将所有分类器中的每个节点信息存入数据库中，包括分类器编号、决策树编号、节点编号、所选属性编号、属性取值范围、儿子节点偏移量和叶子节点编号；

步骤4-6、根据数据库中的现有数据，计算每个用户的每种类型行为数据所占该种行为数据类型总数的百分比作为先验概率，完成数据库中的行为特征数据的分类训练；

步骤5、采集被测用户鼠标行为，形成鼠标行为序列，对该用户鼠标行为进行特征提取并对连续型行为进行离散化处理，将该用户不同类型的鼠标行为数据放入相应的分类器，通过该分类器中所有的树对该行为数据所属用户进行判断，确定该行为数据所属不同用户的概率；

步骤6、结合先验概率以及分类器所检测的行为数据所属概率，计算该行为由不同用户完成的概率；

步骤7、计算被测用户完成检测到的全部鼠标行为的概率，判断其是否大于用户设定阈值，若是，则该用户是登陆时指定用户，计算机继续正常运行；否则，该用户不是登陆时制定用户，采取使用限制措施，包括拒绝其登录操作和锁屏。

步骤4-4-3所述的对该节点进行标记形成叶子节点具体为：根据该节点中用户鼠标行为数据的数目，选择数据最多的用户对该节点进行标记，形成叶子节点；若该节点内行为数据均来自同一用户，则直接根据该用户对节点进行标记，形成叶子节点。

步骤6所述的计算该行为由不同用户完成的概率，具体如下：

采用归一化方法对结合先验概率和分类器所检测的行为数据所属概率进行处理，公式如下：

$P^{\mathrm{norm}}\left(u_{i^{\′}}\right|a_{j^{\′}})=\frac{\frac{P^{\mathrm{pre}}\left(u_{i^{\′}}\right|a_{j^{\′}})}{P^{\mathrm{apr}}\left(u_{i^{\′}}\right|a_{j^{\′}})}}{{\mathrm{\Σ}}_{t=1}^N\frac{P^{\mathrm{pre}}\left(u_t\right|a_{j^{\′}})}{P^{\mathrm{apr}}\left(u_t\right|a_{j^{\′}})}}---\left(1\right)$

其中，P^norm(u_i'|a_j')为归一化处理后的用户u_i'发生鼠标行为a_j'的概率，norm表示归一结果，P^apr(u_i'|a_j')为先验概率，表示为用户u_i'发生鼠标行为a_j'的概率，apr表示先验，P^pre(u_i'|a_j')表示为该分类器认为该行为a_j'由用户u_i'完成的概率，pre表示预测，1≤i'≤N，N为用户个数，1≤j'≤M，M为鼠标行为个数；P^pre(u_t|a_j')表示为该分类器认为该行为a_j'由用户u_t完成的概率，pre表示预测，P^apr(u_t|a_j')表示为用户u_t发生鼠标行为a_j'的概率，apr表示先验，

表示遍历系统内所有合法用户求和；

对于行为a_j'由用户u_i'完成的概率P(u_i'|a_j')，公式如下：

$P\left(u_{i^{\′}}\right|a_{j^{\′}})=\frac{P^{\mathrm{norm}}\left(u_{i^{\′}}\right|a_{j^{\′}})}{{\mathrm{\Σ}}_{t=1}^N{P}^{\mathrm{norm}}\left(u_t\right|a_{j^{\′}})}---\left(2\right)$

其中，P^norm(u_t|a_t')表示为归一化处理后的用户u_t发生鼠标行为a_j'的概率，norm表示归一结。

步骤7所述的计算被测用户完成检测到的全部鼠标行为的概率，公式如下：

$P\left(u_{i^{\′}}\right|a_1,a_2,...a_M)=\frac{{\mathrm{\Σ}}_{j^{\′}=1}^{M}P\left(u_{i^{\′}}\right|a_{j^{\′}})}{{\mathrm{\Σ}}_{t=1}^N{\mathrm{\Σ}}_{j^{\′=1}}^{M}P\left(u_t\right|a_{j^{\′}})}---\left(3\right)$

其中，P(u_i'|a₁,a₂,...a_M)表示被测用户完成检测到的全部鼠标行为的概率，1≤i'≤N，N为用户个数，M为鼠标行为个数，

表示对每个用户完成这个移动鼠标序列的概率进行求和。

本发明优点：

本发明一种基于用户鼠标行为的身份认证方法，基于鼠标行为的身份认证技术具有生物特征的不可模仿、可区分等特点，此外具有如下特点：首先鼠标行为的产生是通过用户操作人机交互设备得到的，这种设备不同于基于生理特征进行身份认证所使用的复杂昂贵的硬件设备，它便宜，易得到，而且对于笔记本电脑来说，触控板已经集成到电脑内部。因此在行为的获取的方面具有低成本的优点。其次无论是在训练收集还是监控模式下，鼠标行为的获取是在用户日常操作活动中，不影响用户正常的使用活动，具有无干扰的特点。使用鼠标行为作为特征，相对于使用我们的生理特征更容易使人们接受，没有抗拒心理。最后基于鼠标行为特征的身份认证更适合于现在的操作环境，因为现在的互联网环境的操作都是基于浏览器方式的，使用鼠标的机会远远大于其他的人机交互设备。同时由于鼠标的使用贯穿于整个操作的过程中，因此可以对用户的行为做持续性的认证。

附图说明

图1为本发明一种实施例的基于鼠标行为的身份认证方案框架图；

图2为本发明一种实施例的训练模式业务流程图；

图3为本发明一种实施例的训练分类器过程示意图；

图4为本发明一种实施例的监控模式的业务流程图；

图5为本发明一种实施例的系统架构图；

图6为本发明一种实施例的基于用户鼠标行为的身份认证方法流程图；

图7为本发明一种实施例的系统性能参数FRR和FAR值随行为数量的变化趋势示意图，其中，图(a)表示的是系统性能参数FRR随行为数量的变化，图(b)表示的是系统性能参数FAR随行为数量的变化；

图8为本发明一种实施例的FRR与FAR相关变化示意图；

图9为本发明一种实施例的系统性能参数对比图。

具体实施方式

下面结合附图对本发明一种实施例做进一步说明。

基于鼠标行为的身份认证属于生物认证中的一种，符合基于生物特征认证的一般过程，如图1所示，基于鼠标行为的身份认证方案主要包括四个过程，鼠标行为预处理，鼠标行为特征值的提取，分类模型的构建，以及分类决策。

(1)鼠标行为预处理过程包括基本鼠标事件的采集和鼠标行为的组合，本作品为了有效的描述鼠标行为，将鼠标行为进行了层次化的划分。由直接可以获得的鼠标基本事件构成较低层次的鼠标行为，而高级鼠标行为由低级的鼠标行为按照一定的规则组合而成。

(2)鼠标特征值提取部分是对捕获到的不同鼠标类型行为提取其相应的特征值，这些特征值经过离散化处理后将用来进行分类模型的训练，或者作为分类决策模型的输入对用户身份进行认证。

(3)训练建模是使用采集到的不同用户的行为特征值来构建分类模型，该模型将对监控得到的一组鼠标特征值数据进行所属关系的分类预测。采用随机森林分类器进行分类预测。

(4)分类决策是指通过监控到鼠标特征值数据对用户身份进行认证的过程，该过程分为两个层次，分类层和决策层，分类层中随机森林模型对于对每一个输入的行为做出预测，决策层结合所有分类层的结果给出最后的判断。

本发明有两种工作模式，训练模式和监控模式，由用户在登录阶段指定，对于还未训练过的用户不能进入监控模式下进行操作；

（1）如图2所示，训练模式是指在一个用户刚刚进入系统，需要在分类模型内加入该用户的类别信息，或者用户由于一些原因需要对分类模型内其已有的分类信息进行更新，这两种情况都需要收集到足够的用户的鼠标特征数据，从而重新训练分类模型。在训练模式下，客户端收集用户鼠标的行为，并对其进行特征值计算，将特征值发送给服务器端。服务器存储客户端发来的用户的鼠标行为特征数据到行为数据库内，不进行其他操作。

如图3所示，对于服务器端来说，在特定的情况下，将使用行为数据库收集来的数据进行分类模型的训练。

（2）如图4所示，监控模式是指服务器端的分类器中已经建立了该用户的类别信息，即用户在训练阶段收集得到的鼠标特征值数据参与了分类器训练的过程。客户端可以利用其进行身份认证。在监控模式下，客户端监控用户的鼠标行为，定时进行鼠标行为特征值的计算，并将计算得到的特征值发送给服务器端，并等待服务器端返回的身份认证结果。服务器根据合法用户的用户ID以及从客户端发送过来的用户鼠标行为特征值做出分类决策，判断此鼠标特征值是否来源于跟服务器建立连接的合法用户，即是否是登录的合法用户在进行鼠标的操作。进行身份认证的时间间隔由用户在登录阶段指定。

如图5所示，本发明实施例中，采用的是C/S架构，即客户端和服务器结构。客户端功能描述：客户端安装在本地机器上，使用用户名和密码与服务器端建立连接，进行用户鼠标数据采集工作。在训练模式下，用户退出登录时，客户端将采集的数据发送给服务器端。在监控模式下，需要每隔一段时间将采集到的数据发送给服务器端，该时间间隔由用户在登录阶段进行指定。服务器是整个系统的核心区域，负责对整个流程及数据进行组织与管理，响应来自于不同用户的请求，同时与数据库进行数据交互，实现身份认证的功能。

一种基于用户鼠标行为的身份认证方法，方法流程图如图6所示，包括以下步骤：

步骤1、采集大量用户鼠标行为数据（鼠标行为类型），包括鼠标左键单击行为(LC)、鼠标右键单击行为(RC)、鼠标左键双击行为(DC)、鼠标移动行为(MM)、鼠标左键拖拽行为(LDD)、鼠标右键拖拽行为(RDD)、鼠标移动加左键单击行为(MM_LC)、鼠标移动加右键单击行为(MM_RC)、鼠标移动加左键拖拽行为(MM_LDD)、鼠标移动加右键拖拽行为(MM_RDD)和鼠标移动加左键双击行为(MM_DC)；

步骤2、对采集的大量用户鼠标行为数据进行特征提取，具体如下：

（1）鼠标左键单击行为特征包括：点击时间(CT)和点击的移动距离(TDC)，所述的点击时间是指鼠标左键按下和鼠标左键弹起之间的时间间隔，所述的点击的移动距离是指指鼠标左键按下和鼠标左键弹起之间的移动距离；

（2）鼠标右键单击行为特征包括：点击时间(CT)和点击的移动距离(TDC)；

（3）鼠标左键双击行为特征包括：第一次点击时间(FCT)，即在第一次单击行为中，鼠标左键按下与鼠标左键弹起的时间间隔；第一次点击的移动距离(FCD)，即在第一次单击行为中，鼠标左键按下与鼠标左键弹起间的移动距离；双击间隔时间(IT)，即在双击行为中两次鼠标左键单击行为中间的时间间隔；双击间隔距离(ID)，即在双击行为中两次鼠标左键单击行为中间鼠标移动的距离；第二次点击时间(SCT)，即在第二次单击行为中，鼠标左键按下与鼠标左键弹起的时间间隔；第二次点击的移动距离(SCD)，即在鼠标左键按下和鼠标左键弹起的过程中，鼠标移动的距离；

（4）鼠标移动行为特征包括：

屏幕横轴方向的鼠标移动速率的最大值、最小值、平均值、标准差和区间长度；屏幕纵轴方向的鼠标移动速率的最大值、最小值、平均值、标准差和区间长度；鼠标移动切向速率的最大值、最小值、平均值、标准差和区间长度；鼠标移动切向加速度的最大值、最小值、平均值、标准差和区间长度；鼠标移动切向加加速度的最大值、最小值、平均值、标准差和区间长度；鼠标移动角速度的最大值、最小值、平均值、标准差和区间长度；鼠标移动过程中所有的点横坐标的最大值、最小值、平均值、标准差和区间长度；鼠标移动过程中所有的点纵坐标的最大值、最小值、平均值、标准差和区间长度；鼠标移动角度的最大值、最小值、平均值、标准差和区间长度；鼠标移动曲线曲率的最大值、最小值、平均值、标准差和区间长度；鼠标移动曲线曲率变化率的最大值、最小值、平均值、标准差和区间长度；鼠标移动时间、鼠标移动距离、曲线直线度、关键点、路径抖动、轨迹质量中心、散射系数、第三势差和第四势差；

本发明实施例中，一次鼠标移动行为中包括三个向量：横坐标向量x，纵坐标向量y，以及捕获这些移动事件的时间向量t，共有n个点，这些向量公式化可以表示为：

x_i,i=1...n；在时间t_i处的横坐标，即第i个点处的横坐标；y_i,i=1...n；在时间t_i处的纵坐标，即第i个点处的纵坐标；t_i,i=1...n；捕获鼠标移动事件的时间点，即第i个点捕获的时间t_i；

δx_i=x_i+1-x_i   （4）

δy_i=y_i+1-y_i   （5）

δt_i=t_i+1-t_i   （6）

其中，δ为变化量，此时，1≤i≤n-1；

对原始的鼠标数据进行平滑插值抽样处理，得到两个新的鼠标向量，横坐标向量x'，纵坐标向量y'。

插值抽样后产生m个新的坐标点，x'_j表示在第j个点的横坐标,j=1...m；y'_j表示在第j个点的纵坐标,j=1...m；

δx'_j=x'_j+1-x'_j   （7）

δy'_j=y'_j+1-y'_j   （8）

此时，1≤j≤m-1；

鼠标移动行为特征计算方法如下：

1.鼠标移动时间t计算公式如下：

t=t_n-t₁   （9）

2.关于鼠标移动序列移动的距离，即从开始到第i个点的路径长度S_i计算公式如下：

$S_i=\underset{k=1}{\overset{i-1}{\mathrm{\Σ}}}\sqrt{{\mathrm{\δ}}^2{x}_k+{\mathrm{\δ}}^2{y}_k}---\left(10\right)$

S₁=0，其中，此时,2≤i≤n，k表示第k个点，此时，1≤k≤i-1；

3.曲线直线度S计算公式如下：

$S=\frac{\sqrt{{(x_1-x_n)}^2+{(y_1-y_n)}^2}}{s_n}---\left(11\right)$

其中，s_n为从开始到最后一个点的路径长度；x_n为最后一个点的横坐标；y_n为最后一个点的纵坐标；

4.轨道质量中心TCM计算公式如下：

$\mathrm{TCM}=\frac{1}{s_n}\underset{i=1}{\overset{n-1}{\mathrm{\Σ}}}{t}_{i+1}\sqrt{\mathrm{\δ}{x}_i^2+\mathrm{\δ}{y}_i^2}---\left(12\right)$

5.散射系数SC计算公式如下：

$\mathrm{SC}=\frac{1}{s_n}\underset{i=1}{\overset{n-1}{\mathrm{\Σ}}}{t}_{i+1}^2\sqrt{\mathrm{\δ}{x}_i^2+\mathrm{\δ}{y}_i^2}-\mathrm{TC}{M}^2---\left(13\right)$

6.第三势差M₃、第四势差M₄计算公式如下：

$M_{k^{\′}}=\frac{1}{s_n}\underset{i=1}{\overset{n-1}{\mathrm{\Σ}}}{t}_{i+1}^{k^{\′}}\sqrt{\mathrm{\δ}{x}_i^2+\mathrm{\δ}{y}_i^2},k^{\′}=\mathrm{3,4}---\left(14\right)$

7.v_x为相对于X轴的速率向量；

表示在第i个点的X轴方向的速率，计算公式如下：

${v_x}_i=\mathrm{\δ}{x}_i/\mathrm{\δ}{t}_i---\left(15\right)$

此时,1≤i≤n-1；

8.v_y为相对于Y轴的速率；

表示在第i个点的Y轴方向的速率，计算公式如下：

$v_{y_i}=\mathrm{\δ}{y}_i/\mathrm{\δ}{t}_i---\left(16\right)$

此时,1≤i≤n-1；

9.v_i为移动速率向量，计算公式如下：

$v_i=\sqrt{v_{x_i}^2+v_{y_i}^2}---\left(17\right)$

此时,1≤i≤n-1；

10.

为正切方向的加速度向量，

表示第i个点的正切方向加速度，计算公式如下：

${\stackrel{.}{v}}_i=\mathrm{\δ}{v}_i/\mathrm{\δ}{t}_i,\mathrm{\δ}{v}_i=v_{i+1}-v_i---\left(18\right)$

此时,1≤i≤n-2；

11.

为正切方向的加加速度向量，

表示第i个点的正切方向加加速度，计算公式如下：

${\stackrel{..}{v}}_i=\mathrm{\δ}{\stackrel{.}{v}}_i/\mathrm{\δ}{t}_i,\mathrm{\δ}{\stackrel{.}{v}}_i={\stackrel{.}{v}}_{i+1}-{\stackrel{.}{v}}_i---\left(19\right)$

此时,1≤i≤n-3；

12.路径抖动J计算公式如下：

J=S'/S_n  (20)

其中，S'为根据插值后向量计算从起始点开始曲线长度，

此时，

1≤k≤m-1；

13.w角速度向量，w_i表示第i点处角度的变化量，计算公式如下：

w_i=δθ_i/δt_i   （21）

$\mathrm{\δ}{\mathrm{\θ}}_i=\mathrm{\δ}\arctan *\left(\frac{\mathrm{\δ}{y}_i}{\mathrm{\δ}{x}_i}\right)=\arctan *\left(\frac{\mathrm{\δ}{y}_{i+1}}{\mathrm{\δ}{x}_{i+1}}\right)-\arctan *\left(\frac{\mathrm{\δ}{y}_i}{\mathrm{\δ}{x}_i}\right)---\left(22\right)$

其中，θ_i表示路径在第i个点与X轴的正切角度，此时，1≤i≤n-2；

14.θ'移动角度向量，即路径与X轴的正切角度，计算公式如下：

${\mathrm{\θ}}_j^{\′}=\arctan *\left(\frac{\mathrm{\δ}{y}_j^{\′}}{\mathrm{\δ}{x}_j^{\′}}\right)+{\mathrm{\Σ}}_{k=1}^j\mathrm{\δ}{\mathrm{\θ}}_k^{\′}---\left(23\right)$

其中，此时，1≤k≤j；

其中， $\mathrm{\δ}{\mathrm{\θ}}_k^{\′}=\mathrm{\δ}\arctan *\left(\frac{\mathrm{\δ}{y}_k^{\′}}{\mathrm{\δ}{x}_k^{\′}}\right)=\arctan *\left(\frac{\mathrm{\δ}{y}_{k+1}^{\′}}{\mathrm{\δ}{x}_{k+1}^{\′}}\right)-\arctan *\left(\frac{\mathrm{\δ}{y}_k^{\′}}{\mathrm{\δ}{x}_k^{\′}}\right),$ 此时，1≤k≤j,1≤j≤m-1；

15.c曲率，即相对于移动距离的角度改变，c_j在第j个点曲率，计算公式如下：

c_j=δθ'_j/δS'_j,δS'_j=S'_j+1-S'_j   （24）

此时,1≤j≤m-2；

16.Δc曲率变化率，Δc_j为第j个点的曲率变化率，计算公式如下：

Δc_j=δc_j/δS'_j   （25）

其中，δc_j=c_j+1-c_j此时，1≤j≤m-3；

17.关键点CP计算公式如下：

$\mathrm{CP}=\underset{k=1}{\overset{m-3}{\mathrm{\Σ}}}{Z}_k---\left(26\right)$

其中，

rad表示弧度pixel表示像素；

本发明实施例中，鼠标移动行为特征共有64个特征值，具体说明下如表1所示：

表1

其中，5个特征值包括该行为的最大值、最小值、平均值、标准差、区间长度。

（5）鼠标左键拖拽行为特征包括：鼠标左键按下与弹起之间的鼠标移动行为特征；

（6）鼠标右键拖拽行为特征包括：鼠标右键按下与弹起之间的鼠标移动行为特征；

（7）鼠标移动加左键单击行为特征包括：鼠标开始移动至鼠标左键按下过程中的鼠标移动行为特征、点击前距离(DC)和点击前时间(TC)，所述的点击前距离是指鼠标移动结束与鼠标左键按下之间的移动距离，所述的点击前时间是指鼠标移动结束与鼠标左键按下之间的时间间隔；

（8）鼠标移动加右键单击行为特征包括：鼠标开始移动至鼠标右键按下过程中的鼠标移动行为特征、点击前距离(DC)和点击前时间(TC)；

（9）鼠标移动加左键拖拽行为特征包括：鼠标开始移动至鼠标左键按下过程中的鼠标移动行为特征、点击前距离(DC)、点击前时间(TC)和鼠标左键按下至鼠标左键弹起之间的鼠标移动行为特征；

（10）鼠标移动加右键拖拽行为特征包括：鼠标开始移动至鼠标右键按下过程中的鼠标移动行为特征、点击前距离(DC)、点击前时间(TC)和鼠标右键按下至鼠标右键弹起之间的鼠标移动行为特征；

（11）鼠标移动加左键双击行为特征包括：鼠标开始移动至鼠标左键按下过程中的鼠标移动行为特征、点击前距离(DC)、点击前时间(TC)和鼠标左键双击行为特征；

本发明实施例中，具体每种类型的鼠标行为所需计算的鼠标特征值个数如表2所示：

表2

步骤3、将提取出的鼠标行为特征值在数据库中进行储存；

步骤4、采用随机森林算法，对数据库中的数据进行分类训练，形成分类器；

步骤4-1、对于所有鼠标行为特征类型中连续型的特征数据进行离散化处理，将每个鼠标行为特征在其区间范围内进行划分，形成若干个划分区间，将用户的鼠标行为特征数据映射到上述区间内，根据区间标号对鼠标行为特征数据进行标记；

步骤4-2、在鼠标左键单击行为、鼠标右键单击行为、鼠标左键双击行为、鼠标移动加左键单击行为、鼠标移动加右键单击行为和鼠标移动加左键双击行为过程中，判断点击鼠标时，鼠标位置是否有变化，若是，则标记为一类，否则，标记为另一类；在鼠标移动加左键单击行为、鼠标移动加右键单击行为和鼠标移动加左键双击行为过程中，判断鼠标移动结束与鼠标点击动作之间，鼠标位置是否有变化，若是，则标记为一类，否则，标记为另一类；鼠标左键双击行为和鼠标移动加左键双击行为过程中，判断两次点击动作之间，鼠标位置是否有变化，，若是，则标记为一类，否则，标记为另一类；

(1)距离离散化，在简单的双击或者单击行为中，一般情况下是没有鼠标位置的变化的，因此考虑这个特征值的时候只考虑鼠标位置是否发生了变化，而不考虑鼠标位置变化了多少。根据以下规则进行离散化处理，如果在单击或者双击行为中有位置的变化，则记为1，没有位置的变化则记为2。这条离散化规则应用在点击的移动距离(TDC)、双击第一次点击的移动距离(FCD)、双击中间间隔的移动具体(ID)、第二次点击的移动距离(SCD)、点击前距离(DC)这些特征值上。

(2)区间划分，对于其他的一些特征值，比如移动时间等，这些特征值属于连续型的，不能直接应用在分类模型的训练上，因此需要将这些特征值进行一定的划分。将数据分成若干个区间，落在同一个区间范围内数据使用区间标号进行标记，同一区间内的数据不再具有特征区分度。本发明实施例中，对于一个连续型的特征属性采用以最大信息增益为标准的划分方法，该方法包括两个部分，第一部分为计算待划分的区间，第二部分为求分割点集。区间的个数由用户自己指定。

第一个部分根据每个用户在该特征属性上的高斯分布(μ,σ²)，计算出用户特征数据的大体分布区间。最后计算所有合法用户区间的并集合，该区间为所求的待划分的区间。这种方法可以有效的减少数据内异常点对离散化数据的影响。

第二部分是在第一部分求得的区间基础上进行以最大信息增益为标准的区间划分，最后得到区间内的分割点的集合。采用的方法是对区间内所有的数据点进行升序排序，得到序列(x₁,x₂,x₃...x_n)，在此序列内取每两个相邻点的中点作为待选的划分点，从中选取可以使得划分后区间信息增益最大的点作为此次划分的点，然后选择划分后两部分中熵较大的那部分继续划分，直到满足设定的停止划分条件。设定的停止条件为达到设置的区间个数（该区间个数不能大于现有的合法用户个数）或者区间不可继续划分。

本发明实施例中，抽样得到的鼠标左键单击行为数据如下：

离散化处理：

对于点击间隔时间进行离散化处理，分成两段，假设经过计算得到的分割点是150，即小于等于150ms，是0号区间，大于150ms是1号区间。对点击间隔距离进行离散化处理，有距离是1，无距离是2。则上述数据变为：

步骤4-3、根据鼠标行为的个数确定分类器的个数，用户根据需求设置分类器内树的个数；

每种类型的鼠标行为对应一个随机森林分类器，随机森林是组合分类器，其内部包含多棵不完全决策树。决策树的个数由用户自己指定。

步骤4-4、构造每个鼠标行为分类器内树的模型；

对于每一棵决策树的构建，采用基于最大信息增益比的方法进行构建，初始时从行为数据库内抽取一定量的行为作为建树的初始数据，同时在该种行为类型内抽样一定的特征类型。在初始数据的基础上，在初始节点上根据最大信息增益比的规则选取一个特征属性作为分裂依据，根据该属性的分类规则分裂节点。在所形成的新的分裂节点上继续此过程，但是不能选择分裂出该节点的特征属性。直到在某个节点上数据都同属于一个用户，或者没有候选的属性时，该节点形成终止节点，使用用户数量占优势的用户标号标示该终止节点。从而形成到达该节点的分类规则，依赖此规则可以对用户的鼠标行为进行分类预测。

具体构建过程如下：

步骤4-4-1、根据所需构建的分类器类型（即分类器所对应的行为特征类型），在其相应的鼠标行为数据中有放回抽取数据；在其相应的鼠标行为特征类型中随机抽取若干行为特征类型；

步骤4-4-2、选择划分后信息增益比最大的行为特征类型作为节点的分类属性，根据该分类属性对抽取的行为数据进行划分，形成若干个下一层新的节点；

本发明实施例中，初始节点计算最大信息增益比，通过计算得知应选择点击时间做为分类属性，则初始节点分裂成两个节点。

步骤4-4-3、依次判断该层每个新的节点是否达到终止条件，即该节点是否已无属性类别或该节点内的行为特征数据均来自同一用户，若是，则对该节点进行标记形成叶子节点，并当该层所有节点均已标记时执行步骤4-4-4；否则返回执行步骤4-4-2对该节点继续进行分裂，并不能选择分裂出该节点的分类属性；

所述的对该节点进行标记形成叶子节点具体为：根据该节点中用户鼠标行为数据的数目，选择数据最多的用户对该节点进行标记，形成叶子节点；若该节点内行为数据均来自同一用户，则直接根据该用户对节点进行标记，形成叶子节点。

本发明实施例中，产生两个新的节点，第一个节点内包含用户1和用户2的数据，第二个节点内只包含用户3的数据。因此第二个节点可以标记为用户3。得到如下结果。

本发明实施例中，初始节点第一次分类，根据选择标准，选择时间间隔作为分类属性，产生两个新的节点。0情况为本实施例中时间间隔小于等于150ms的行为进入第一个节点，1情况为时间间隔大于150ms）的行为进入第二个节点；

第一个分裂节点（0）这其中数据的用例编号为(1,2,3,4,5,8)；

第二个分裂节点（1）这其中数据的用例编号为(6,7)，由于该节点内数据都属于用户3，因此对该节点进行标记，标记为3；

对第一个节点，继续分裂，此时可选的特征属性仅有点击间隔移动距离，因此选择该属性进行分裂。形成两个新的分裂节点。1情况为鼠标点击过程中有移动，2情况为鼠标过程中无移动。

新的第一个分裂节点（1）这其中数据的用例编号为(1,2,4,5,8)；

新的第二个分裂节点（2）这其中数据的用例编号为(3)，由于该节点内数据都属于用户2由于该节点内数据都属于用户2；

在上述形成的新的第一分裂节点内，继续分裂无可用特征属性，因此应用数量占有优势的用户1标记该终止节点。

步骤4-4-4、返回上层，判断其是否为初始节点，若是，则完成该树的构建并执行步骤4-4-5；否则执行步骤4-4-3；

步骤4-4-5、执行步骤4-4-1至步骤4-4-4直至每个分类器中所有树构建完成；

步骤4-5、将所有分类器中的每个节点信息存入数据库中，包括分类器ID、决策树ID、节点ID、所选属性ID、属性取值范围、儿子节点偏移量和叶子节点ID；

步骤4-6、根据数据库中的现有数据，计算每个用户的每种类型行为数据所占该种行为数据类型总数的百分比作为先验概率；

本发明实施例中，有N个合法用户，用户编号表示为u_i'，1≤i'≤N；

对于在监测阶段监控到的行为序列A,共有M个行为，每个行为用a_j',1≤j'≤M；

在训练阶段计算得到先验概率P^apr(u_i'|a_j')，表示为用户u_i'发生a_j'这种鼠标行为类型的可能性。对于在训练阶段收集到的a_j'类型的行为数据集T_j'，|T_j'|表示的是该数据集内的数据个数。T_i'j'表示在T_j'数据集内由用户u_i'完成的数据集合，里面的数据总个数表示为|T_i'j'|,则先验概率 $P^{\mathrm{apr}}\left(u_{i^{\′}}\right|a_{j^{\′}})=\frac{\left|T_{i^{\′}{j}^{\′}}\right|}{\left|T_{j^{\′}}\right|},$ apr表示先验。

步骤5、采集被测用户鼠标行为，形成鼠标行为序列，对该用户鼠标行为进行特征提取并进行离散化处理，将该用户不同类型的鼠标行为数据放入相应的分类器，通过该分类器中所有的树对该行为数据所属用户进行判断，确定该行为数据所属不同用户的概率；

对于一个随机森林分类器内假设拥有W棵决策树，对于一个行为a_j'，分类器中有w_k(0≤w_k≤W)棵树分类结果是用户u_i'，则

表示为该分类器认为该行为a_j'由用户u_i'完成的概率。pre表示预测。

步骤6、结合先验概率以及分类器所检测的行为数据所属概率，计算该行为由不同用户完成的概率；

所述的计算该行为由不同用户完成的概率，具体如下：

由于在行为收集阶段，对于每一种类型的行为数据的个数有很大的不同，即|T_i'j'|的值有很大的不同，因此由此数据集建立起来的分类器可能会给出一个带偏向的计算结果，因此为了解决这个问题，将对结果进行正态归一化的操作。

采用归一化方法对结合先验概率和分类器所检测的行为数据所属概率进行处理，公式如下：

$P^{\mathrm{norm}}\left(u_{i^{\′}}\right|a_{j^{\′}})=\frac{\frac{P^{\mathrm{pre}}\left(u_{i^{\′}}\right|a_{j^{\′}})}{P^{\mathrm{apr}}\left(u_{i^{\′}}\right|a_{j^{\′}})}}{{\mathrm{\Σ}}_{t=1}^N\frac{P^{\mathrm{pre}}\left(u_t\right|a_{j^{\′}})}{P^{\mathrm{apr}}\left(u_t\right|a_{j^{\′}})}}---\left(1\right)$

其中，P^norm(u_i'|a_j')为归一化处理后的用户u_i'发生鼠标行为a_j'的概率，norm表示归一结果，P^apr(u_i'|a_j')为先验概率，表示为用户u_i'发生鼠标行为a_j'的概率，apr表示先验，P^pre(u_i'|a_j')表示为该分类器认为该行为a_j'由用户u_i'完成的概率，pre表示预测，1≤i'≤N，N为用户个数，1≤j'≤M，M为鼠标行为个数；P^pre(u_t|a_j')表示为该分类器认为该行为a_j'由用户u_t完成的概率，pre表示预测，P^apr(u_t|a_j')表示为用户u_t发生鼠标行为a_j'的概率，apr表示先验，

表示遍历系统内所有合法用户求和；

对于行为a_j'由用户u_i'完成的概率P(u_i'|a_j')，公式如下：

$P\left(u_{i^{\′}}\right|a_{j^{\′}})=\frac{P^{\mathrm{norm}}\left(u_{i^{\′}}\right|a_{j^{\′}})}{{\mathrm{\Σ}}_{t=1}^N{P}^{\mathrm{norm}}\left(u_t\right|a_{j^{\′}})}---\left(2\right)$

其中，P^norm(u_t|a_t')表示为归一化处理后的用户u_t发生鼠标行为a_j'的概率，norm表示归一结。

步骤7、计算被测用户完成检测到的全部鼠标行为的概率，判断其是否大于用户设定阈值，若是，则该用户是登陆时指定用户，计算机继续正常运行；否则，该用户不是登陆时制定用户，采取使用限制措施，包括拒绝其登录操作和锁屏。

本发明实施例中，限制措施包括：

(1)当结合用户名用作用户登录系统的访问控制时，拒绝用户的登录操作。

(2)当用作商务交易时，实时监控用户的行为时，取消交易。

(3)当用作系统监控软件时，通过锁屏等一系列行为剥夺该用户对于系统的操作权限。

所述的计算被测用户完成整个检测到的鼠标行为序列的概率，公式如下：

$P\left(u_{i^{\′}}\right|a_1,a_2,...a_M)=\frac{{\mathrm{\Σ}}_{j^{\′=1}}^{M}P\left(u_{i^{\′}}\right|a_{j^{\′}})}{{\mathrm{\Σ}}_{t=1}^N{\mathrm{\Σ}}_{j^{\′}=1}^{M}P\left(u_t\right|a_{j^{\′}})}---\left(3\right)$

其中，P(u_i'|a₁,a₂,...a_M)表示被测用户完成整个检测到的鼠标行为序列的概率，1≤i'≤N，N为用户个数，M为鼠标行为个数，

表示对每个用户完成这个移动鼠标序列的概率进行求和。

当P(u_i'|a₁,a₂,...a_M)大于一定阈值λ的时候，我们则认为其来源于所声明的用户u_i'，λ值可以根据不同用户设定不同的值，此时可以用λ_i'来表示不同用户的阈值。

实际应用设置：

1.客户端用户进行登录，客户端登录阶段需要填写合法的用户名和密码，服务器IP地址，指定工作模式，如果选择监视模式，需要设置监控时间，默认监控时间3分钟。选择训练模式，不需要指定监控时间，点击登录后将登录信息发送给服务器端，服务器端返回登录验证结果。

对于服务器端验证过程，需要查询用户名和密码是否匹配，同时需要验证该用户的工作模式，对于一个还没有经过训练的用户，不可以选择监控模式，如果选择了监控模式则拒绝用户进行登录。

2.服务器端启动，服务器端启动需要输入服务器密码，该服务器密码是模式数据库密码，启动服务器后，可以接受客户端的请求，当接受到客户端请求并通过验证后将用户的登录信息显示在服务器面板上，包括客户端IP、客户ID以及客户所处模式，模式1表示正处在监控模式，模式0表示处在训练模式下。

3.客户端处于监控模式下，身份认证失败，返回客户端身份认证结果，客户端将退出登录。

4.服务器端在进行分类模型训练时，需要指定特征值离散化的程度，以及每个分类器里决策树的个数。

性能测试：

本发明实施例中，从不同的角度对分类模型的性能进行测试。

实验中所使用的数据均采集自参与者自己的电脑所安装的客户端，这些电脑显示屏分辨率均为1366×768，内存2GB，其他配置有所差异。

在三个实验中所使用的随机森林分类器，每个分类器中有10棵决策树，对于连续型属性设定离散程度为3，即划分为三个特征区间。

在本次实验中进行实验的鼠标特征值数据从行为数据库中随机抽样获得，抽样不同行为数据数量的比例依赖于数据库内已经收集到的不同行为类型的数量比例，以便模拟真实监控到的数据比例。在实验中，不用的用户选择不同的系统阈值来进行身份认证，系统阈值的设定由实验获得。

实验一:在实现的原型系统中，需要用户在监控模式下设定每次进行身份认证的时间间隔，认证的时间间隔会影响每次进行认证的输入鼠标数据量，在本次实验中将要研究用于用户身份认证的鼠标行为数据的数量对于分类决策模型性能的影响，对于合法用户采用不用数量的行为作为输入进行身份认证，研究系统性能参数FRR(系统错误拒绝率)和FAR(系统错误接收率)值随行为数量的变化趋势，实验结果如图7所示，其中，图(a)表示的是系统性能参数FRR随行为数量的变化，图(b)表示的是系统性能参数FAR随行为数量的变化。

从图7可以看出，随着抽样数据的增长，系统的FRR(错误拒绝率)呈现下降的趋势，在初始阶段，FRR下降趋势明显，当数据量达到一定的时候，FRR值会稳定在一个范围内。从图7中图(b)可以看出，随着抽样数据的增长，系统的FAR(错误接受率)同样呈现下降趋势。从实验结果表明对于一个用户来说，在用户身份认证阶段，一次认证过程中监控到的用户鼠标行为数据量会影响系统对于身份的认证结果。

实验二:研究系统的FRR(系统错误拒绝率)和FAR(系统错误接收率)的相关变化。在本次实验中选取行为数据量为70作为测试标准，对于合法用户采用不同阈值设定，研究FRR和FAR的相关变化，实验结果如图8所示。

从实验结果的图像中可以看到，FRR与FAR呈现反比例的关系，因此对于具有不同安全要求的系统来说，可以通过调整安全的阈值，使其更加符合系统要求，比如对于一个安全要求比较严格的系统来说，可以调整较大的阈值，此时系统的FAR较低，表明错误接受的概率较小。

实验三:对内部用户和外部用户进行身份欺骗时系统的性能参数进行对比，内部用户是指已经加入到系统内并通过模型训练的合法用户，外部用户是指未加入到系统内，即系统分类模型中不包含该用户特征信息。在本次实验中两类用户都对合法用户进行冒充，行为数量基准为70，两种类型的数据来源均来自实验参与者自己电脑所安装的客户端收集软件，实验结果如图9所示。

从实验结果可以看出，在对于同一个用户进行身份冒充时，在阈值可以接受的合理设定前提下，阈值设定比较严格，两者的错误接受率比较接近，阈值设定较低，两种类型的用户在错误接受率上存在差别。通过其他实验得出，在阈值超过合理范围内后，两者的错误接受率不再存在差异。

Claims (4)

1.一种基于用户鼠标行为的身份认证方法，其特征在于：包括以下步骤：

步骤1、采集大量用户鼠标行为数据，包括鼠标左键单击行为、鼠标右键单击行为、鼠标左键双击行为、鼠标移动行为、鼠标左键拖拽行为、鼠标右键拖拽行为、鼠标移动加左键单击行为、鼠标移动加右键单击行为、鼠标移动加左键拖拽行为、鼠标移动加右键拖拽行为和鼠标移动加左键双击行为；

步骤2、对采集的大量用户鼠标行为数据进行行为特征提取，具体如下：

鼠标左键单击行为特征包括：点击时间和点击的移动距离，所述的点击时间是指鼠标按下和鼠标弹起之间的时间间隔，所述的点击的移动距离是指指鼠标按下和鼠标弹起之间的移动距离；

鼠标右键单击行为特征包括：点击时间和点击的移动距离；

鼠标左键双击行为特征包括：第一次点击时间、第一次点击的移动距离、双击间隔时间、双击间隔距离、第二次点击时间和第二次点击的移动距离；

鼠标移动行为特征包括：

屏幕横轴方向的鼠标移动速率的最大值、最小值、平均值、标准差和区间长度；

屏幕纵轴方向的鼠标移动速率的最大值、最小值、平均值、标准差和区间长度；

鼠标移动切向速率的最大值、最小值、平均值、标准差和区间长度；

鼠标移动切向加速度的最大值、最小值、平均值、标准差和区间长度；

鼠标移动切向加加速度的最大值、最小值、平均值、标准差和区间长度；

鼠标移动角速度的最大值、最小值、平均值、标准差和区间长度；

鼠标移动过程中所有的点横坐标的最大值、最小值、平均值、标准差和区间长度；

鼠标移动过程中所有的点纵坐标的最大值、最小值、平均值、标准差和区间长度；

鼠标移动角度的最大值、最小值、平均值、标准差和区间长度；

鼠标移动曲线曲率的最大值、最小值、平均值、标准差和区间长度；

鼠标移动曲线曲率变化率的最大值、最小值、平均值、标准差和区间长度；

鼠标移动时间、鼠标移动距离、曲线直线度、关键点、路径抖动、轨迹质量中心、散射系数、第三势差和第四势差；

鼠标左键拖拽行为特征包括：鼠标左键按下与弹起之间的鼠标移动行为特征；

鼠标右键拖拽行为特征包括：鼠标右键按下与弹起之间的鼠标移动行为特征；

鼠标移动加左键单击行为特征包括：鼠标开始移动至鼠标左键按下过程中的鼠标移动行为特征、点击前距离、点击前时间和鼠标左键单击行为特征，所述的点击前距离是指鼠标移动结束与鼠标左键按下之间的移动距离，所述的点击前时间是指鼠标移动结束与鼠标左键按下之间的时间间隔；

鼠标移动加右键单击行为特征包括：鼠标开始移动至鼠标右键按下过程中的鼠标移动行为特征、点击前距离、点击前时间和鼠标右键单击行为特征；

鼠标移动加左键拖拽行为特征包括：鼠标开始移动至鼠标左键按下过程中的鼠标移动行为特征、点击前距离、点击前时间和鼠标左键按下至鼠标左键弹起之间的鼠标移动行为特征；

鼠标移动加右键拖拽行为特征包括：鼠标开始移动至鼠标右键按下过程中的鼠标移动行为特征、点击前距离、点击前时间和鼠标右键按下至鼠标右键弹起之间的鼠标移动行为特征；

鼠标移动加左键双击行为特征包括：鼠标开始移动至鼠标左键按下过程中的鼠标移动行为特征、点击前距离、点击前时间和鼠标左键双击行为特征；

步骤3、将提取出的鼠标行为特征值在数据库中进行储存；

步骤4、采用随机森林算法，对数据库中的行为特征数据进行分类训练，形成分类器；

步骤4-1、对于所有鼠标行为特征中连续型的特征数据进行离散化处理，将每个鼠标行为特征在其区间范围内进行划分，形成若干个划分区间，将用户的鼠标行为特征数据映射到对应的划分区间内，根据区间标号对鼠标行为特征数据进行标记；

步骤4-2、在鼠标左键单击行为、鼠标右键单击行为、鼠标左键双击行为、鼠标移动加左键单击行为、鼠标移动加右键单击行为和鼠标移动加左键双击行为过程中，判断点击鼠标时，鼠标位置是否有变化，若是，则标记为一类，否则，标记为另一类；在鼠标移动加左键单击行为、鼠标移动加右键单击行为和鼠标移动加左键双击行为过程中，判断鼠标移动结束与鼠标点击动作之间，鼠标位置是否有变化，若是，则标记为一类，否则，标记为另一类；鼠标左键双击行为和鼠标移动加左键双击行为过程中，判断两次点击动作之间，鼠标位置是否有变化，，若是，则标记为一类，否则，标记为另一类；

步骤4-3、根据鼠标行为的个数确定分类器的个数，用户根据需求设置分类器内树的个数；

步骤4-4、构造每个鼠标行为分类器内树的模型，具体构建过程如下：

步骤4-4-1、根据所需构建的分类器所对应的行为特征，在该鼠标行为特征数据中有放回抽取数据；在其相应的鼠标行为中随机抽取若干类鼠标行为；

步骤4-4-2、选择划分后信息增益比最大的行为特征作为节点的分类属性，根据该分类属性对抽取的行为数据进行划分，形成若干个下一层新的节点；

步骤4-4-3、依次判断该层每个新的节点是否达到终止条件，即该节点是否已无属性类别或该节点内的行为特征数据均来自同一用户，若是，则对该节点进行标记形成叶子节点，并当该层所有节点均已标记时执行步骤4-4-4；否则返回执行步骤4-4-2对该节点继续进行分裂，并不能选择分裂出该节点的分类属性；

步骤4-4-4、返回上层，判断其是否为初始节点，若是，则完成该树的构建并执行步骤4-4-5；否则执行步骤4-4-3；

步骤4-4-5、执行步骤4-4-1至步骤4-4-4，直至每个分类器中所有树构建完成，即形成分类器；

步骤4-5、将所有分类器中的每个节点信息存入数据库中，包括分类器编号、决策树编号、节点编号、所选属性编号、属性取值范围、儿子节点偏移量和叶子节点编号；

步骤4-6、根据数据库中的现有数据，计算每个用户的每种类型行为数据所占该种行为数据类型总数的百分比作为先验概率，完成数据库中的行为特征数据的分类训练；

步骤5、采集被测用户鼠标行为，形成鼠标行为序列，对该用户鼠标行为进行特征提取并对连续型行为进行离散化处理，将该用户不同类型的鼠标行为数据放入相应的分类器，通过该分类器中所有的树对该行为数据所属用户进行判断，确定该行为数据所属不同用户的概率；

步骤6、结合先验概率以及分类器所检测的行为数据所属概率，计算该行为由不同用户完成的概率；

步骤7、计算被测用户完成检测到的全部鼠标行为的概率，判断其是否大于用户设定阈值，若是，则该用户是登陆时指定用户，计算机继续正常运行；否则，该用户不是登陆时制定用户，采取使用限制措施，包括拒绝其登录操作和锁屏。

2.根据权利要求1所述的基于用户鼠标行为的身份认证方法，其特征在于：步骤4-4-3所述的对该节点进行标记形成叶子节点具体为：根据该节点中用户鼠标行为数据的数目，选择数据最多的用户对该节点进行标记，形成叶子节点；若该节点内行为数据均来自同一用户，则直接根据该用户对节点进行标记，形成叶子节点。

3.根据权利要求1所述的基于用户鼠标行为的身份认证方法，其特征在于：步骤6所述的计算该行为由不同用户完成的概率，具体如下：

采用归一化方法对结合先验概率和分类器所检测的行为数据所属概率进行处理，公式如下：

$P^{\mathrm{norm}}\left(u_{i^{\′}}\right|a_{j^{\′}})=\frac{\frac{P^{\mathrm{pre}}\left(u_{i^{\′}}\right|a_{j^{\′}})}{P^{\mathrm{apr}}(u_{i^{\′}}|a_{j^{\′}})}}{{\mathrm{\Σ}}_{t=1}^N\frac{P^{\mathrm{pre}}\left(u_t\right|a_{j^{\′}})}{P^{\mathrm{apr}}\left(u_t\right|a_{j^{\′}})}}---\left(1\right)$

其中，P^norm(u_i'|a_j')为归一化处理后的用户u_i'发生鼠标行为a_j'的概率，norm表示归一结果，P^apr(u_i'|a_j')为先验概率，表示为用户u_i'发生鼠标行为a_j'的概率，apr表示先验，P^pre(u_i'|a_j')表示为该分类器认为该行为a_j'由用户u_i'完成的概率，pre表示预测，1≤i'≤N，N为用户个数，1≤j'≤M，M为鼠标行为个数；P^pre(u_t|a_j')表示为该分类器认为该行为a_j'由用户u_t完成的概率，pre表示预测，P^apr(u_t|a_j')表示为用户u_t发生鼠标行为a_j'的概率，apr表示先验，表示遍历系统内所有合法用户求和；

对于行为a_j'由用户u_i'完成的概率P(u_i'|a_j')，公式如下：

$P\left(u_{i^{\′}}\right|a_{j^{\′}})=\frac{P^{\mathrm{norm}}\left(u_{i^{\′}}\right|a_{j^{\′}})}{{\mathrm{\Σ}}_{t=1}^N{P}^{\mathrm{norm}}\left(u_t\right|a_{j^{\′}})}---\left(2\right)$

其中，P^norm(u_t|a_t')表示为归一化处理后的用户u_t发生鼠标行为a_j'的概率，norm表示归一结。

4.根据权利要求1所述的基于用户鼠标行为的身份认证方法，其特征在于：步骤7所述的计算被测用户完成检测到的全部鼠标行为的概率，公式如下：

$P\left(u_{i^{\′}}\right|a_1,a_2,...a_M)=\frac{{\mathrm{\Σ}}_{j^{\′=1}}^{M}P\left(u_{i^{\′}}\right|a_{j^{\′}})}{{\mathrm{\Σ}}_{t=1}^N{\mathrm{\Σ}}_{j^{\′}=1}^{M}P\left(u_t\right|a_{j^{\′}})}---\left(3\right)$

其中，P(u_i'|a₁,a₂,...a_M)表示被测用户完成检测到的全部鼠标行为的概率，1≤i'≤N，N为用户个数，M为鼠标行为个数，

表示对每个用户完成这个移动鼠标序列的概率进行求和。

Images