CN103944722A - 一种互联网环境下用户可信行为的识别方法 - Google Patents

Abstract

本发明涉及一种互联网环境下用户可信行为的识别方法，其包括以下步骤：1）建立用户行为可信识别集；2）根据建立的用户行为可信识别集，对登录系统的用户进行身份认证，若身份认证成功，则允许用户进入系统；若身份认证不成功，则禁止用户进入系统；3）对于身份认证成功的用户继续进行行为前可信识别，若识别成功，则用户行为前可信识别成功，允许用户访问系统，若可信识别失败，则进入步骤4）；4）在用户访问系统的过程中对用户的行为进行动态可信识别；5）用户结束对系统访问后，服务器端更新用户的行为可信识别集及用户的信任等级，即行为后的数据更新。本发明可以广泛应用于对安全性要求较高的互联网应用领域中。

Description

一种互联网环境下用户可信行为的识别方法

技术领域

本发明涉及网络安全领域，特别是关于一种互联网环境下用户可信行为的识别方法。

背景技术

在计算机网络的应用中，用户身份的可鉴别性是一个基本的安全特征，也是整个信息安全的基础，特别是在云计算、电子商务等与安全有关的重大网络应用中。目前在身份认证系统中通常采用数字证书、数字签名等加密算法，这些身份认证技术比较成熟，但是在云计算等新的网络环境下，身份认证技术则存在一定的局限性和缺陷，主要表现在：1、身份的误判：用户的用户名和密码被盗，非法用户使用合法用户名密码在异地登录；用户采用手机上网，当手机丢失时，用户名和密码设置为默认登录状态；用户在不常用的电脑上误操作使得用户名和密码被设置为默认登录状态；这些状态都可以导致用户身份认证的误判。2、合法身份的恶意用户对服务系统的破坏：例如在使用高校电子图书资源时，一些学生常常使用网络工具大批量下载购买的电子资源或私设代理服务器谋取非法所得等；离开公司未解除授权的人员、对公司不满意的人员和商业竞争者等；用户的疏忽大意、缺乏专业知识等对系统的破坏。

现有技术针对用户行为进行识别的方法也有很多，例如基于鼠标动力学的行为识别方法，基于击键动力学的行为识别方法以及基于3D图形的用户行为识别方法；其中，基于鼠标动力学的行为识别方法在数据采集方面需要采集的数据有鼠标动作、屏幕坐标、系统时间等，这些数据适合在局域网中设置专门的鼠标采集数据设备和软件才能进行比较细致的信息采集；基于击键动力学的行为识别方法需要在客户端安装追踪软件对用户对键盘的击键力度、击键时间等内容进行采集，这种方法比较适合在某个具体部门的局域网进行实施；基于3D图形的用户行为识别方法是在给定的3D迷宫中，从用户的操作中收集用户的行为来对用户进行识别，该方法有相对较高的错误接受率（False Acceptance Rate），适合与其他的行为识别方法结合使用。由于以上这些方法存在较大使用局限性、判别依据单一和错误接受率高等原因，使得这些方法不适合在广域网的环境中使用。

发明内容

针对上述问题，本发明的目的是提供一种互联网环境下用户可信行为的识别方法，其可以将用户身份和用户行为相结合，对用户的真实身份和操作行为进行可信识别的方法，能够有效的提高系统及网络的安全性。

为实现上述目的，本发明采取以下技术方案：一种互联网环境下用户可信行为的识别方法，其包括以下步骤：1）建立用户行为可信识别集，其中，行为可信识别集包括行为状态可信识别集、行为内容可信识别集、行为习惯可信识别集、行为安全可信识别集和行为契约可信识别集；2）根据步骤1）建立的用户行为可信识别集，对登录系统的用户进行身份认证，若身份认证成功，则允许用户进入系统，在用户访问系统的过程中继续进行动态可信行为的识别；若身份认证不成功，则禁止用户进入系统；3）对于身份认证成功的用户继续进行行为前可信识别，即访问系统前，对身份认证成功的用户针对行为状态可信识别集中的内容进行可信识别，若识别成功，则用户行为前可信识别成功，允许用户访问系统，若可信识别失败，则进入步骤4）进行用户身份再认证，确定用户的真实身份是否被仿冒；4）在用户访问系统的过程中对用户的行为进行动态可信识别，即：行为中的动态可信识别，行为中的动态可信识别针对行为可信识别集中除了行为状态可信识别集之外的四个可信识别集进行可信识别；5）用户结束对系统访问后，服务器端更新用户的行为可信识别集及用户的信任等级，即行为后的数据更新。

步骤2）对登录系统的用户进行身份认证时采用用户名口令和USB Key的双因子认证方式，具体过程如下：2.1）用户端将相应的用户名和口令以消息摘要的方式发送给服务器；2.2）服务器核对用户名和口令是否有效，如果有效，进入步骤2.3）进行操作；如果无效返回鉴别失败的信息；用户口令是否有效是指用户端发送的用户名和口令是否与服务器数据库中的信息是否匹配；2.3）服务器向客户端发送随机字串A；2.4）用户端使用USB Key来识别信息并反馈信息给服务器，具体过程为：用户端计算随机字串A的摘要，并加密返回给服务器，服务器采用用户端的公钥解密得MD1，服务器采用相同方法计算随机字串A的消息摘要得MD2；2.5）服务器验证反馈信息是否正确，如果正确则认为用户身份认证成功；如果不正确则认为用户不合法，向用户反馈错误信息并禁止用户进入系统。

所述步骤4）行为中的动态可信识别针对行为可信识别集中除了行为状态可信识别集之外的四个可信识别集进行可信识别，其具体过程为：4.1）充分行为可信识别，即：充分行为可信识别是基于行为安全可信识别集和行为契约可信识别集的识别，一旦这两者有一个识别失败，则充分行为可信识别失败，服务提供商终止用户的访问并反馈错误信息，如果两者可信识别成功，则用户继续进行必要行为可信识别；4.2）必要行为可信识别，即：如果用户基于行为内容可信识别集和基于行为习惯可信识别集的识别都成功，则用户必要行为可信识别成功，允许用户继续访问系统，如果可信识别失败，则同时需要进行步骤4.3）用户身份的再认证和步骤4.4）博弈风险决策分析；4.3）用户身份的再认证，即：必要行为可信识别失败后，需要进行身份再认证来进一步确认该行为的身份是否可信，若在步骤3的行为前可信识别中已经进行过身份再认证则省略此步直接进入步骤4.4），身份再认证时采用手机验证、邮箱验证和指纹验证中的一种；4.4）博弈风险决策分析，即：对于基于必要行为可信识别集识别失败的用户进行博弈分析，结合博弈理论分析用户的决策概率，根据用户的决策率计算服务提供者的收益，当收益大于零时就接受用户访问，否则就拒绝用户的继续访问，博弈决策具体过程如下：

计算服务提供者的支付矩阵：

$S=\left[\begin{array}{cc}-{\mathrm{ServerLoss}}_{\mathrm{acc}}^{\mathrm{dec}}{\mathrm{\α}}_1& {\mathrm{ServerIncome}}_{\mathrm{acc}}^{u\_\mathrm{dec}}{\mathrm{\α}}_2\\ 0& -{\mathrm{ServerLoss}}_{u\_\mathrm{acc}}^{u\_\mathrm{dcc}}{\mathrm{\α}}_3\end{array}\right]$

式中，α_i∈[0,1](i＝1,2,3)是博弈分析的参数因子，表示用户欺骗，服务提供者接受时服务提供者遭受的损失，表示用户不欺骗，服务提供者接受时服务提供者所获得的收益，表示用户不欺骗，服务提供者不接受时服务提供者遭受的损失，当用户欺骗服务提供者不接受时，服务提供者的收益和损失均为0；假设服务提供者以x的概率接受访问，以1-x的概率拒绝访问，即服务提供者的混合策略为P₁＝(x,1-x)；假设用户以y的概率选择欺骗，以1-y的概率选择不欺骗，即用户的混合策略为P₂＝(y,1-y)，那么服务提供者的预期支付函数为：E(P₁,P₂)＝P₁SP₂ ^T；根据预期支付函数求出用户的混合纳什均衡策略(y^*,1-y^*)，根据用户的混合纳什均衡策略及服务提供者的支付矩阵，则服务提供者获得的利益为：

$\mathrm{ServerIncome}=-y^{*}{\mathrm{ServerLoss}}_{\mathrm{acc}}^{\mathrm{dec}}{\mathrm{\α}}_1+(1-y^{*}){\mathrm{ServerIncome}}_{\mathrm{acc}}^{u\_\mathrm{dec}}{\mathrm{\α}}_2$

如果ServerIncome大于零，则说明服务提供者的收益大于零，那么就接受访问，否则拒绝访问。

步骤4.3）中当用户身份的再认证采用手机验证时，其具体验证过程为：首先服务器向用户手机发送6位动态密码，而后服务器检测在规定的时间内是否收到用户反馈的动态密码，若没有收到反馈密码，则反馈信息错误，禁止用户访问系统，若服务器在规定时间内收到用户反馈的密码，则进行密码匹配，若密码匹配成功，即密码正确，则反馈身份再认证成功信息，若密码匹配失败，则反馈错误信息，禁止用户访问系统。

本发明由于采取以上技术方案，其具有以下优点：1、本发明将身份认证和行为识别相结合，能够有效的弥补身份认证的缺陷，提高正常用户财产及系统的安全。2、本发明身份再认证使用的条件与身份认证时不同，可以有效地提高因为第一次身份识别出问题而带来的安全性问题。3、本发明采用动态行为监测与可信识别策略，特别针对不确定的危险用户采用博弈论进行可信决策，通过找到混合纳什均衡进行科学决策。4、本发明采用适合用户随机行为的随机Petri网模型对机制的性能和安全性进行量化分析和改进，对降低系统的漏检率起到显著的控制作用。本发明可以广泛应用于对安全性要求较高的互联网应用领域中。

附图说明

图1是本发明的方法总体流程示意图；

图2是本发明的双因子身份认证示意图；

图3是本发明身份再认证流程示意图；

图4是本发明身份认证随机Petri网模型示意图；

图5是本发明行为前可信识别的随机Petri网模型示意图；

图6是本发明行为中可信识别的随机Petri网模型示意图；

图7是本发明身份再认证的随机Petri网模型示意图；

图8是本发明行为后数据更新的随机Petri网模型示意图；

图9是本发明总体随机Petri网模型示意图；

图10是本发明行为中可信识别等价时延变化示意图；

图11是本发明行为可信识别漏报率折线示意图。

具体实施方式

下面结合附图和实施例对本发明进行详细的描述。

如图1所示，本发明的互联网环境下用户可信行为的识别方法包括以下步骤：

1、建立用户行为可信识别集，其中，行为可信识别集包括行为状态可信识别集、行为内容可信识别集、行为习惯可信识别集、行为安全可信识别集和行为契约可信识别集。

用户行为可信识别过程中需要将获得的行为证据与用户的行为可信识别集进行核对处理，用户行为可信识别成功的概率大小取决于行为可信识别集的划分、定义和与行为相关的集合的覆盖率，因此建立行为可信识别集是行为可信识别过程中的重要内容。用户行为可信识别集包括行为状态可信识别集、行为内容可信识别集、行为习惯可信识别集、行为安全可信识别集和行为契约可信识别集。

行为状态可信识别集中的内容为用户访问系统的状态行为，例如用户使用的操作系统版本、上网时间、地点、IP地址、MAC地址等；行为内容可信识别集中的内容为用户访问系统的内容行为，例如用户在电子资源中访问的专业方向，或者在电子购物中的购物内容趋向等；行为习惯可信识别集中的内容为用户访问系统的习惯性行为，例如用户使用资源时的操作习惯、操作序列、操作流程、释放资源的操作及用户浏览时间等；行为安全可信识别集中的内容为用户访问系统的安全行为，通常根据现有的入侵检测规则集制定此可信识别集；行为契约可信识别集中的内容为服务提供方和用户在提供服务之前签订的契约，例如规定服务的内容、时间、禁止的行为和收费标准等。其中，行为可信识别集中的行为安全可信识别集和行为契约可信识别集是要求在可信识别过程中必须通过的可信识别集，因此合称为充分行为可信识别集；行为状态可信识别集、行为内容可信识别集和行为习惯可信识别集在可信识别的过程中可以不被通过，但是未通过的用户必须进行再可信识别，因此这三个可信识别集被合称为必要行为可信识别集。

对于新注册的用户由于没有历史行为记录，因此必要行为可信识别集是空集，随着用户的交往次数增多，必要行为可信识别集的内容也逐渐丰富，这时就可以对用户进行必要行为可信识别了。

2、根据步骤1建立的用户行为可信识别集，对登录系统的用户进行身份认证，若身份认证成功，则允许用户进入系统，在用户访问系统的过程中继续进行动态可信行为的识别；若身份认证不成功，则禁止用户进入系统。

身份认证可以采用双因子或多因子认证方式提高认证强度，双因子或多因子认证方法有很多，比如采用所知道的和所拥有的，或者采用所知道的和所具有的特征等。如图2所示，本发明以用户名口令和USB Key的双因子认证方式为具体实施例对登陆系统用户的身份认证过程进行详细说明，具体过程如下：

2.1）用户端将相应的用户名和口令以消息摘要的方式发送给服务器。

2.2）服务器核对用户名和口令是否有效，如果有效，进入步骤2.3）进行操作；如果无效返回鉴别失败的信息；用户口令是否有效是指用户端发送的用户名和口令是否与服务器数据库中的信息是否匹配。

2.3）服务器向客户端发送随机字串A。

2.4）用户端使用USB Key来识别信息并反馈信息给服务器，具体过程为：用户端计算随机字串A的摘要，并加密返回给服务器，服务器采用用户端的公钥解密得MD1，服务器采用相同方法计算随机字串A的消息摘要得MD2；

2.5）服务器验证反馈信息是否正确（即验证MD1与MD2是否相等，如果相等则认为反馈信息正确，如果不相等则认为反馈信息不正确），如果正确则认为用户身份认证成功；如果不正确则认为用户不合法，向用户反馈错误信息并禁止用户进入系统。

3、对于身份认证成功的用户继续进行行为前可信识别，即访问系统前，对身份认证成功的用户针对行为状态可信识别集中的内容进行可信识别，若识别成功，则用户行为前可信识别成功，允许用户访问系统，若可信识别失败，则进入步骤4进行用户身份再认证，确定用户的真实身份是否被仿冒。

服务器端在进行身份识别的同时，收集用户的相关信息，例如用户的IP地址、MAC地址、系统版本、上网时间及地点等，即行为状态可信识别集中的相关信息。对于身份认证成功的用户继续进行行为前可信识别，即针对行为状态可信识别集中的内容进行可信识别，若识别成功，则用户行为前可信识别成功，允许用户访问系统，若可信识别失败，则进入步骤4的用户身份再认证，确定用户的真实身份是否被仿冒。

4、在用户访问系统的过程中对用户的行为进行动态可信识别，防止用户在操作中进行违法操作或者异常操作，即：行为中的动态可信识别，行为中的动态可信识别主要是针对行为可信识别集中除了行为状态可信识别集之外的四个可信识别集进行可信识别，具体识别过程为：

4.1）充分行为可信识别。

充分行为可信识别是基于充分行为可信识别集的识别，即基于行为安全可信识别集和行为契约可信识别集的识别，一旦这两者有一个识别失败，则充分行为可信识别失败，服务提供商终止用户的访问并反馈错误信息，如果两者可信识别成功，则用户继续进行必要行为可信识别。

4.2）必要行为可信识别。

必要行为可信识别是基于必要行为可信识别集的识别(简称必要行为可信识别)，访问系统前已根据行为状态可信识别集进行识别，因此此处只针对行为内容可信识别集和行为习惯可信识别集进行识别，如果用户基于行为内容可信识别集和基于行为习惯可信识别集的识别都成功，则用户必要行为可信识别成功，允许用户继续访问系统，如果可信识别失败，则同时需要进行步骤4.3）用户身份的再认证和步骤4.4）博弈风险决策分析。

4.3）用户身份的再认证。

必要行为可信识别失败后，需要进行身份再认证来进一步确认该行为的身份是否可信，若在步骤3的行为前可信识别中已经进行过身份再认证则省略此步直接进入步骤4.4）。身份再认证是指由于行为状态识别出现异常，需要对用户的身份进行再次认证，因此认证的内容要与身份认证的原内容不同，否则就达不到再认证的目的。身份认证的方法有很多，在身份再认证时可以采用手机验证、邮箱验证、指纹验证等方法。

如图3所示，以手机验证为具体实施例进行详细说明，首先服务器向用户手机发送6位动态密码，而后服务器检测在规定的时间内是否收到用户反馈的动态密码，若没有收到反馈密码，则反馈信息错误，禁止用户访问系统，若服务器在规定时间内收到用户反馈的密码，则进行密码匹配，若密码匹配成功，即密码正确，则反馈身份再认证成功信息，若密码匹配失败，则反馈错误信息，禁止用户访问系统。

4.4）博弈风险决策分析，即：对于基于必要行为可信识别集识别失败的用户进行博弈分析，结合博弈理论分析用户的决策概率，根据用户的决策率计算服务提供者的收益，当收益大于零时就接受用户访问，否则就拒绝用户的继续访问，博弈决策具体过程如下：

计算服务提供者的支付矩阵：

$S=\left[\begin{array}{cc}-{\mathrm{ServerLoss}}_{\mathrm{acc}}^{\mathrm{dec}}{\mathrm{\α}}_1& {\mathrm{ServerIncome}}_{\mathrm{acc}}^{u\_\mathrm{dec}}{\mathrm{\α}}_2\\ 0& -{\mathrm{ServerLoss}}_{u\_\mathrm{acc}}^{u\_\mathrm{dcc}}{\mathrm{\α}}_3\end{array}\right]$

式中，α_i∈[0,1](i＝1,2,3)是博弈分析的参数因子，主要取决于对安全要求的强度，可以根据决策者的要求进行调整；表示用户欺骗，服务提供者接受时服务提供者遭受的损失；表示用户不欺骗，服务提供者接受时服务提供者所获得的收益；表示用户不欺骗，服务提供者不接受时服务提供者遭受的损失；当用户欺骗服务提供者不接受时，服务提供者的收益和损失均为0。

假设服务提供者以x的概率接受访问，以1-x的概率拒绝访问，即服务提供者的混合策略为P₁＝(x,1-x)；假设用户以y的概率选择欺骗，以1-y的概率选择不欺骗，即用户的混合策略为P₂＝(y,1-y)，那么服务提供者的预期支付函数为：E(P₁,P₂)＝P₁SP₂ ^T。

根据预期支付函数求出用户的混合纳什均衡策略(y^*,1-y^*)，并根据用户的混合纳什均衡策略及服务提供者的支付矩阵，则服务提供者获得的利益为：

$\mathrm{ServerIncome}=-y^{*}{\mathrm{ServerLoss}}_{\mathrm{acc}}^{\mathrm{dec}}{\mathrm{\α}}_1+(1-y^{*}){\mathrm{ServerIncome}}_{\mathrm{acc}}^{u\_\mathrm{dec}}{\mathrm{\α}}_2---\left(1\right)$

如果ServerIncome大于零，则说明服务提供者的收益大于零，那么就接受访问，否则拒绝访问。

5、用户结束对系统访问后，服务器端更新用户的行为可信识别集及用户的信任等级，即行为后的数据更新。更新可信识别集和用户的行为信任等级是为下次行为可信识别和访问的博弈分析做准备。

下面对本发明的用户可信行为的识别方法性能及安全性进行详细分析：

一、建立随机Petri网模型对本发明识别方法的性能进行分析

在互联网的使用中增加行为可信识别环节虽然提高了可信识别的安全性，但是也带了性能上的消耗，因此本发明分析用户可信识别的性能问题，建立随机Petri网模型对系统的性能进行分析。

图4～9为识别过程中所建立的随机Petri网模型图，在随机Petri网模型中，P代表状态、T代表时间变迁、t代表瞬时变迁，假设各时间变迁的延时为相互独立的随机变量，且变迁分别服从参数为λ₀,λ₁,λ₂…λ_n的指数分布函数。图4为身份认证的随机Petri网模型图，图4中各时间变迁的具体含义如表1所示：

表1

根据随机Petri网性能等价公式对图4的随机Petri网模型进行平均等价时延分析，其中，T8、T9为选择结构的时间变迁，其等价时延为T3、T5、T6为串联结构的时间变迁，其等价时延为T4与T356（T356为T3、T5、T6的等价变迁的简称，下同）为并联结构，其等价时延为T3456、T7、T89（T89为T8、T9）为串联结构，其等价时延为（其中为的简写，即连续序号的变迁的等价时延，下同），T2与T3-9（T3-9为连续变迁T3、T4、T5、T6、T7、T8、T9的等价变迁的简称，下同）为选择结构，等价时延为T0、T1、T2-9为串联结构，其等价时延为带入整理得身份认证的平均等价时延为：

如图5所示为行为前可信识别的随机Petri网模型图，图中各时间变迁的含义如表2所示：

表2

根据随机Petri网性能等价公式对图5的随机Petri网模型进行平均等价时延分析，其中，T3、T4为选择结构，其等价时延为T1、T34为串联结构，其等价时延为T134、T2为选择结构，其等价时延为T0、T1-4为串联结构，其等价时延为带入整理得行为前可信识别的平均等价时延为：

图6为行为中可信识别的随机Petri网模型图，图中各时间变迁的含义如表3所示：

表3

根据随机Petri网性能等价公式对图6的随机Petri网模型进行平均等价时延分析，其中，T7、T8为选择结构，其等价时延为T5、T78为串联结构，其等价时延为T578、T9为选择结构，其等价时延为T6、T5789为串联结构，其等价时延为从图6中可以看出，T6与T578串联结构要比T578与T69选择结构的时延大，因此选用较大者作为这五个变迁的平均等价时延，T3、T5-9为串联结构，其等价时延为T4、T356789为选择结构，其等价时延为T578、T9为选择结构，其等价时延为T1、T3-9为串联结构，其等价时延为T2、T13456789为选择结构，其等价时延为T1-9、T0为串联结构，其等价时延为带入整理得行为中可信识别的平均等价时延为：

图7为身份再认证随机Petri网模型图，图中各时间变迁的含义如表4所示：

表4

根据随机Petri网性能等价公式对图7的随机Petri网模型进行平均等价时延分析，其中，T5、T6为选择结构，其等价时延为T2、T4、T56为串联结构，其等价时延为T3、T2456为选择结构，其等价时延为T0、T1、T2-6为串联结构，其等价时延为带入整理得身份再认证的平均等价时延为：

图8为行为后数据更新阶段的随机Petri网模型图，图中各时间变迁的含义如表5所示：

表5

根据随机Petri网性能等价公式对图8的随机Petri网模型进行平均等价时延分析，其中，T0、T1为并联结构，其平均等价时延为：

图9为该发明的总体随机Petri网模型图，图中各时间变迁的含义如表6所示：

表6

由该机制的总体流程知该机制的总体平均等价时延为身份认证、行为前可信识别、行为中可信识别、行为后可信识别的平均等价时延之和，其中行为中可信识别为循环执行，因此总体平均等价时延的计算公式为：

式中，k为行为中可信识别执行的次数。

下面结合具体实例对本发明的性能和安全效果进行分析：

在公式（2）中，设 $\frac{1}{{\mathrm{\λ}}_0}=\frac{1}{{\mathrm{\λ}}_2}=\frac{1}{{\mathrm{\λ}}_7}=\frac{1}{{\mathrm{\λ}}_9}=0.1,\frac{1}{{\mathrm{\λ}}_1}=0.5,\frac{1}{{\mathrm{\λ}}_3}=0.2,\frac{1}{{\mathrm{\λ}}_4}=0.5,\frac{1}{{\mathrm{\λ}}_5}=1,$ $\frac{1}{{\mathrm{\λ}}_6}=0.5,\frac{1}{{\mathrm{\λ}}_8}=0.2,$ 带入公式（2）计算身份认证平均等价时延约为2.02。

在公式（3）中，设 $\frac{1}{{\mathrm{\λ}}_0}=1,\frac{1}{{\mathrm{\λ}}_2}=\frac{1}{{\mathrm{\λ}}_3}=\frac{1}{{\mathrm{\λ}}_4}=0.1,{\∂}_3=0.5,{\∂}_1=0.5,\frac{1}{{\mathrm{\λ}}_1}$ 由公式（2）计算得1.6，带入公式（3）计算行为前可信识别的平均等价时延为1.9。

在公式（4）中，设 $\frac{1}{{\mathrm{\λ}}_0}=2,\frac{1}{{\mathrm{\λ}}_1}=1,\frac{1}{{\mathrm{\λ}}_2}=\frac{1}{{\mathrm{\λ}}_4}=\frac{1}{{\mathrm{\λ}}_7}=\frac{1}{{\mathrm{\λ}}_8}=\frac{1}{{\mathrm{\λ}}_9}=0.1,\frac{1}{{\mathrm{\λ}}_3}=0.2,\frac{1}{{\mathrm{\λ}}_5}=2,$ 其中由公式（2）计算得1.6，带入公式（4）计算行为中可信识别平均等价时延为3.66。

在公式（5）中，设 $\frac{1}{{\mathrm{\λ}}_0}=0.5,\frac{1}{{\mathrm{\λ}}_1}=0.5,\frac{1}{{\mathrm{\λ}}_2}=0.5,\frac{1}{{\mathrm{\λ}}_3}=\frac{1}{{\mathrm{\λ}}_5}=\frac{1}{{\mathrm{\λ}}_6}=0.1,\frac{1}{{\mathrm{\λ}}_4}=0.5,$ ${\∂}_3=$ ${\∂}_5=0.5,$ 带入公式（5）计算身份再识别平均等价时延为1.6。

二、提高用户行为可信识别的性能是研究行为可信识别的主要内容之一，前面论述了如何量化评估综合的性能，下面进一步分析如何提高本发明识别方法的性能。

1、提高关键可信识别环节的性能

由公式（7）可知，在整个综合可信识别中，若k值越大，则行为中可信识别的等价时延对总体等价时延的影响最大，因此重点要降低行为中可信识别的时延。在公式（3）中，1/λ₀为充分行为可信识别的等价时延，即行为契约和行为安全并行执行的等价时延，1/λ₁为必要行为可信识别的等价时延，即行为内容和行为习惯并行执行的等价时延。若分别单独增加行为中可信识别模型中行为安全可信识别、行为契约可信识别、行为习惯可信识别、行为内容可信识别、风险博弈分析的可信识别速率为原来的10倍时，由公式计算和随机Petri网模型的量化分析得：行为中的平均等价时延分别降低了24.3%、13.7%、7%、7%和8.7%。若分别增加充分行为可信识别、必要行为可信识别、风险博弈分析的可信识别速率为原来的10倍，则行为中的平均等价时延分别降低了51.7%、17.6%和8.7%，由计算结果可知串行链路上的可信识别时延对整个机制的性能影响较大，同时由计算结果还可以得知，增加充分行为可信识别或必要行为可信识别的可信识别速率比增加单个可信识别集的可信识别速率对性能的提高影响要大。

充分行为可信识别、必要行为可信识别和博弈风险分析的可信识别速率分别增加5倍、10倍至100倍时，行为中可信识别的等价时延的变化情况如图10所示。从图10中可以看到充分行为可信识别的速率变化对行为中等价时延的影响最大，必要行为可信识别的影响次之，博弈风险分析的影响最小，因此要想降低行为中等价时延主要是降低充分行为可信识别的时延。

2、根据用户的信任程度减少监控力度

监控的力度n与性能有很大关系，监控力度与下列三个因素有关，一是当前新获得的用户的信任值T^new和以往总的信任值T^old，这些信任值越低监控力度越大，因为越不信任的用户需要监控力度越大；二是根据性能需求设置的监控频率f，监测频率越大对性能的影响越大；三是实际安全的需求和应用背景，用调控因子α_p来表示。

为了提高性能，在行为中的可信识别中，采取下面公式二者的较小者来计算n的值：

三、安全效果的量化分析

在理想状态下，希望所有的不可信的用户都能够被检测出来，但是现实情况总是会由于某些原因导致不可信用户被漏报。漏报是指用户虽然发生不可信行为，但是仍然通过了系统的验证，即用户被判定为可信用户。

下面针对仅采用身份认证和采用身份认证及行为可信识别相结合两种方式的漏报率进行比较，进而说明本发明的安全性。若用户被检测出是不可信的用户，则可以通过表7所列的阶段被检测出来的。

表7

其中，变迁T7是由于行为状态可信识别失败，进行身份再认证而触发的变迁，T14是由于必要行为可信识别失败，需要再进一步检查用户身份，进行身份再认证而触发的变迁。

若用户行为出现漏报，说明用户通过了充分行为可信识别和必要行为可信识别，或者通过了博弈风险分析的决策，流动到位置P14或者位置P20，触发了时间变迁T9或者时间变迁T12，即流动到P14或P20的用户行为为漏报的用户行为，用表示用户行为的漏报数，则：

$\stackrel{\‾}{N_f}=\mathrm{Pe}\{M\left(P14\right)=1\}+\mathrm{Pe}\{M\left(P20\right)=1\}---\left(8\right)$

式中，Pe{M(Pi)＝1}表示位置Pi含有1个token的稳定概率，在图9中，由于位置P0只有1个标记，所以Pe{M(Pi)＝1}等于位置Pi所含有的平均标记数。

根据表7，流动到位置P3、P11、P10、P21和P22的用户行为为被检测出来的不可信行为，用表示被检测出的不可信行为数，则：

$\stackrel{\‾}{N_{\mathrm{uf}}}=\mathrm{Pe}\{M\left(P3\right)=1\}+\mathrm{Pe}\{M\left(P11\right)=1\}+\mathrm{Pe}\{M\left(P10\right)=1\}+\mathrm{Pe}\{M\left(P12\right)=1\}+\mathrm{Pe}\{M\left(P22\right)=1\}---\left(9\right)$

用户行为的漏报数与被检测出来的不可信行为数之和为不可信行为总数即：

用户行为的漏报数与不可信行为总数的比值就是该机制的漏报率，因此可得行为可信识别的漏报率Pe_f为：

现设身份认证、行为状态可信识别、身份再认证、充分行为可信识别、必要行为可信识别和博弈风险决策分析的漏报率分别为Pe1、Pe2、Pe3、Pe4、Pe5、Pe6。

由图9可知，若身份认证出现漏报，则执行到瞬时变迁t0，即执行t0的概率为Pe_t0=Pe1，那么执行瞬时变迁t1的概率为Pe_t1=1-Pe_t0＝1-Pe1。同理，行为状态可信识别、身份再认证、充分行为可信识别、必要行为可信识别和博弈风险决策分析出现漏报，则相应的瞬时变迁的执行概率分别为Pe_t2=Pe2、Pe_t3=1-Pe2、Pe_t6=Pe3、Pe_t7=1-Pe3、Pe_t14=Pe3、Pe_t15=1-Pe3、Pe_t4=Pe4、Pe_t5=1-Pe4、Pe_t8=Pe5、Pe_t9=1-Pe5、Pe_t12=Pe6、Pe_t13=1-Pe6。将相应的执行概率带入到图9中（对应变迁中），借助随机Petri网软件工具包SPNP的分析，得到相应位置的平均token数，则可以求出该行为可信识别的漏报率。

下面结合具体实施例对本发明的安全效果的量化分析进行详细分析：

假设Pe1=0.002、Pe2=0.05、Pe3=0.002、Pe4=0.005、Pe5=0.01、Pe6=0.1，则代入到图9中得到的相应位置的平均token数如表8所示。

表8

将相应位置的平均token数带入公式（11），得到此机制的漏报率为3.094×10^-8，与仅采用身份认证的方式时的漏报率0.002相比，此机制的漏报率降低了99.999%，因此，采用身份认证和行为可信识别相结合的方式可以将系统的漏报率大大减少，增加了系统的安全性。

将身份再认证、行为状态可信识别、充分行为可信识别、必要行为可信识别、博弈风险分析的漏报率分别从较小值（0.001）变化到较大值（0.999），则系统的行为可信识别的漏报率变化如图11所示。通过图11可以看出，当各行为可信识别子集的漏报率略微增大时，行为可信识别的漏检率显著增加，因此，本文中的各行为可信识别子集对降低系统的漏检率起到显著的控制作用，同时，由图11可知，充分行为可信识别的漏报率对整体的漏报率影响较大，因此，在机制中，要重点控制充分行为可信识别的漏报率。

上述各实施例仅用于说明本发明，其中实施方法的各个步骤等都是可以有所变化的，凡是在本发明技术方案的基础上进行的等同变换和改进，均不应排除在本发明的保护范围之外。

Claims (4)

1.一种互联网环境下用户可信行为的识别方法，其包括以下步骤：

1）建立用户行为可信识别集，其中，行为可信识别集包括行为状态可信识别集、行为内容可信识别集、行为习惯可信识别集、行为安全可信识别集和行为契约可信识别集；

2）根据步骤1）建立的用户行为可信识别集，对登录系统的用户进行身份认证，若身份认证成功，则允许用户进入系统，在用户访问系统的过程中继续进行动态可信行为的识别；若身份认证不成功，则禁止用户进入系统；

3）对于身份认证成功的用户继续进行行为前可信识别，即访问系统前，对身份认证成功的用户针对行为状态可信识别集中的内容进行可信识别，若识别成功，则用户行为前可信识别成功，允许用户访问系统，若可信识别失败，则进入步骤4）进行用户身份再认证，确定用户的真实身份是否被仿冒；

4）在用户访问系统的过程中对用户的行为进行动态可信识别，即：行为中的动态可信识别，行为中的动态可信识别针对行为可信识别集中除了行为状态可信识别集之外的四个可信识别集进行可信识别；

5）用户结束对系统访问后，服务器端更新用户的行为可信识别集及用户的信任等级，即行为后的数据更新。

2.如权利要求1所述的一种互联网环境下用户可信行为的识别方法，其特征在于：步骤2）对登录系统的用户进行身份认证时采用用户名口令和USB Key的双因子认证方式，具体过程如下：

2.1）用户端将相应的用户名和口令以消息摘要的方式发送给服务器；

2.2）服务器核对用户名和口令是否有效，如果有效，进入步骤2.3）进行操作；如果无效返回鉴别失败的信息；用户口令是否有效是指用户端发送的用户名和口令是否与服务器数据库中的信息是否匹配；

2.3）服务器向客户端发送随机字串A；

2.4）用户端使用USB Key来识别信息并反馈信息给服务器，具体过程为：用户端计算随机字串A的摘要，并加密返回给服务器，服务器采用用户端的公钥解密得MD1，服务器采用相同方法计算随机字串A的消息摘要得MD2；

2.5）服务器验证反馈信息是否正确，如果正确则认为用户身份认证成功；如果不正确则认为用户不合法，向用户反馈错误信息并禁止用户进入系统。

3.如权利要求1或2所述的一种互联网环境下用户可信行为的识别方法，其特征在于：所述步骤4）行为中的动态可信识别针对行为可信识别集中除了行为状态可信识别集之外的四个可信识别集进行可信识别，其具体过程为：

4.1）充分行为可信识别，即：充分行为可信识别是基于行为安全可信识别集和行为契约可信识别集的识别，一旦这两者有一个识别失败，则充分行为可信识别失败，服务提供商终止用户的访问并反馈错误信息，如果两者可信识别成功，则用户继续进行必要行为可信识别；

4.2）必要行为可信识别，即：如果用户基于行为内容可信识别集和基于行为习惯可信识别集的识别都成功，则用户必要行为可信识别成功，允许用户继续访问系统，如果可信识别失败，则同时需要进行步骤4.3）用户身份的再认证和步骤4.4）博弈风险决策分析；

4.3）用户身份的再认证，即：必要行为可信识别失败后，需要进行身份再认证来进一步确认该行为的身份是否可信，若在步骤3的行为前可信识别中已经进行过身份再认证则省略此步直接进入步骤4.4），身份再认证时采用手机验证、邮箱验证和指纹验证中的一种；

4.4）博弈风险决策分析，即：对于基于必要行为可信识别集识别失败的用户进行博弈分析，结合博弈理论分析用户的决策概率，根据用户的决策率计算服务提供者的收益，当收益大于零时就接受用户访问，否则就拒绝用户的继续访问，博弈决策具体过程如下：

计算服务提供者的支付矩阵：

$S=\left[\begin{array}{cc}-{\mathrm{ServerLoss}}_{\mathrm{acc}}^{\mathrm{dec}}{\mathrm{\α}}_1& {\mathrm{ServerIncome}}_{\mathrm{acc}}^{u\_\mathrm{dec}}{\mathrm{\α}}_2\\ 0& -{\mathrm{ServerLoss}}_{u\_\mathrm{acc}}^{u\_\mathrm{dcc}}{\mathrm{\α}}_3\end{array}\right]$

式中，α_i∈[0,1](i＝1,2,3)是博弈分析的参数因子，表示用户欺骗，服务提供者接受时服务提供者遭受的损失，表示用户不欺骗，服务提供者接受时服务提供者所获得的收益，表示用户不欺骗，服务提供者不接受时服务提供者遭受的损失，当用户欺骗服务提供者不接受时，服务提供者的收益和损失均为0；

假设服务提供者以x的概率接受访问，以1-x的概率拒绝访问，即服务提供者的混合策略为P₁＝(x,1-x)；假设用户以y的概率选择欺骗，以1-y的概率选择不欺骗，即用户的混合策略为P₂＝(y,1-y)，那么服务提供者的预期支付函数为：E(P₁,P₂)＝P₁SP₂ ^T；

根据预期支付函数求出用户的混合纳什均衡策略(y^*,1-y^*)，根据用户的混合纳什均衡策略及服务提供者的支付矩阵，则服务提供者获得的利益为：

$\mathrm{ServerIncome}=-y^{*}{\mathrm{ServerLoss}}_{\mathrm{acc}}^{\mathrm{dec}}{\mathrm{\α}}_1+(1-y^{*}){\mathrm{ServerIncome}}_{\mathrm{acc}}^{u\_\mathrm{dec}}{\mathrm{\α}}_2$

如果ServerIncome大于零，则说明服务提供者的收益大于零，那么就接受访问，否则拒绝访问。

4.如权利要求3所述的一种互联网环境下用户可信行为的识别方法，其特征在于：步骤4.3）中当用户身份的再认证采用手机验证时，其具体验证过程为：首先服务器向用户手机发送6位动态密码，而后服务器检测在规定的时间内是否收到用户反馈的动态密码，若没有收到反馈密码，则反馈信息错误，禁止用户访问系统，若服务器在规定时间内收到用户反馈的密码，则进行密码匹配，若密码匹配成功，即密码正确，则反馈身份再认证成功信息，若密码匹配失败，则反馈错误信息，禁止用户访问系统。