CN108494741B - 基于线上用户合成行为的身份盗用检测方法 - Google Patents
基于线上用户合成行为的身份盗用检测方法 Download PDFInfo
- Publication number
- CN108494741B CN108494741B CN201810177924.7A CN201810177924A CN108494741B CN 108494741 B CN108494741 B CN 108494741B CN 201810177924 A CN201810177924 A CN 201810177924A CN 108494741 B CN108494741 B CN 108494741B
- Authority
- CN
- China
- Prior art keywords
- behavior
- user
- synthetic
- role
- text
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Algebra (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一种基于合成行为建模的线上用户身份盗用检测方法,其特征在于,首先基于线上用户的合成行为投影关联性填充不充分的行为数据;然后基于合成行为形成机制特征,同时考虑合成行为的投影空间关联,设计线上用户合成行为的生成模型并推导出其中的关键参数;最后根据所得模型快速、准确地判断新行为是否正常,实现实时地身份盗用检测。本发明设计的基于线上用户合成行为的身份盗用检测方法,解决传统身份识别系统的弊病,为信息化时代安全问题的解决提供了新的思路和分析方法。本发明克服了现有技术的不足,用于实时地检测线上用户合成行为的异常指数,有效地检测出可能发生的线上身份盗用行为。
Description
技术领域
本发明涉及线上用户身份盗用检测方法。
背景技术
随着互联网的迅速发展,越来越多的事务可以在线处理,给人们生活带来了诸多便利。然而由此也引发了诸多潜在的风险。线上账户充当着网络世界中用户的身份凭证。线上身份盗用是一种典型的网络犯罪,事实上,被盗用的账户通常也是其他网络犯罪,如勒索,欺诈和垃圾邮件的源头。因此,线上身份盗窃检测对于保障用户在网络世界的安全至关重要。
传统的身份盗用检测方法通常是基于接入控制的,例如设置登录密码、物理令牌。但用户需要为管理诸多的密码、令牌而付出额外的精力。近年来,随着生物认证技术的发展,人们进入了免密时代。但是这些技术应用在实时的线上服务中时仍有一些缺陷:(1)这些检测是侵入式的检测,检测中需要用户进行额外的操作;(2)这些检测不具有持续性,一旦被攻破缺乏后续的矫正能力。
基于行为的身份盗用检测方法作为一种能够实现非侵入、持续式的线上身份认证的方法备受瞩目。基于线上用户合成行为的用户身份盗用检测方法为互联网信息安全问题提供了新的视角,利用网络中产生的海量信息,考虑用户行为在物理-网络-社交空间上的行为特点及之间的关联性,对每个用户在合成行为空间中建模。
线上用户合成行为建模面临的重要挑战是个人数据的不充分性问题。由于各种条件限制可获得的每个用户的行为记录往往不足以构造可信的模型,这极大地影响了模型的性能。
发明内容
本发明通过基于用户行为投影(用户在不同行为子空间中的行为)的互补效应来填补行为数据的不充分性,以此完备用户行为的建模。为此,本发明研究基于线上用户合成行为的身份盗用检测方法。对线上用户合成行为的一致进行检测,以此来判定该用户合成行为的合法性。
为此,给出的技术方案为:
一种基于行为建模的移动社交网络用户身份识伪方法,其特征在于,个性化、实时性、非侵入、持续性、兼容性。首先基于线上用户的合成行为投影关联性填充不充分的行为数据。然后基于合成行为形成机制特征,同时考虑合成行为的投影空间关联,设计线上用户合成行为的生成模型并推导出其中的关键参数(概率)。最后根据所得模型快速、准确地判断新行为是否正常,实现实时地身份盗用检测。
整个技术方案分为三个阶段:
第一阶段是合成行为数据预处理阶段,负责对历史数据进行筛选、填充;
第二阶段是合成行为模型建立阶段,负责根据阶段一所得行为数据建立合成行为生成模型,并估计其中的关键参数;
第三阶段是线上用户身份盗用检测阶段,负责按照阶段二所得模型判断线上用户身份是否被盗用。
第一阶段具体实施步骤:
第二阶段具体实施步骤:
步骤2-1,构建一个线上用户合成行为生成模型。每个用户的行为记录作为一个行为集,全部用户的行为记录构成了一个行为库。用户的每次行为遵循着这样的潜在影响机制:首先需要确定他所扮演的角色,再根据这个具体的角色确定他的位置与活动主题,最后根据活动主题产生他要发表的文本信息,这些共同构成了该用户的一次合成行为。具体生成机制如图2所示其中:灰色圆圈表示具体的行为(w表示文本中的单词,v表示行为发生的地点);z、c是隐变量, (z表示文本的主题,c表示用户在该行为中所属角色);α、β、γ、η是四个超参数(影响着模型的关键参数),取值为1.67,0.01,2.50,0.01;π、θ、φ是该模型的关键参数,分别表示用户的角色状态分布、角色的地点分布、角色的文本主题分布、主题的单词分布。A指向B的箭头表示A决定B(如,角色c到主题z的箭头表示主题z的取值分布是由角色c的取值决定的)。图中方框右下角的符号X 表示方框中的内容重复的次数(如单词w所在方框中的D表示这里D个单词w,结合主题z到单词w的箭头,就表示主题z决定了D个单词w)。方框右下的符号C,Z、 D、U、Bu分别表示角色的种数、主题的种数、一条信息中单词的数量、用户的数量、用户u的行为记录次数。
步骤2-2,根据线上用户的合成行为的历史记录,采用Gibbs采样的方法估计各个参数的值。对于一个合成行为(u,v,D),其中u代表用户,v代表签到地点, D代表发表的文本包含的词的集合,对应每个行为记录,有下述Gibbs采样公式:
该行为对应的用户角色状态c的分布近似满足:
该行为对应的文本主题z的分布近似满足:
其中表示该行为是在用户角色状态为c时完成的概率,表示该行为是在文本主题为z时完成的概率,nx表示数据集中状态为 X的样本数,上标表示去除掉当前样本的结果,α、β、γ、η是四个超参数,取值为1.67,0.01,2.50,0.01。
Gibbs采样流程如下:
1)随机初始化:对每条行为记录,随机的赋予一个角色状态c,一个文本主题z;
2)重新分配:按照上述Gibbs采样公式重新给每条记录赋予新的角色状态c 和文本主题z;
3)重复2)到收敛
4)统计此时每个用户的角色状态分布每个角色的地点分布与文本主题分布每个主题的词分布得到用户的合成行为特征。其中nu,c表示用户u处于角色c的次数,nc,v表示处于角色c的用户出现在地点v的次数,nc,z表示处于角色c的用户发表主题z的文本的次数,nz,w表示主题z的文本中单词w出现的次数。
第三阶段具体实施步骤:
步骤3-2,计算新的合成行为b′的异常指数Sb′,超过阈值T0的判定为异常行为,认为存在身份盗用的风险向用户发出警告,请求确认身份,否则判定为正常行为,直接放行,继续检测用户的后续行为。
得益于当前移动社交网络提供的丰富信息数据,我们可以获取到大量用户社交数据,包括位置、移动模式、社交关系、用户生成内容及购物记录等。我们设计了一个基于贝叶斯网络的概率图模型来描述用户的合成行为产生机制。
在这个模型中,我们认为每个用户的行为记录构成一个行为集,全部用户的行为记录构成了一个行为库。用户的每次行为遵循着这样的潜在影响机制:首先需要确定他所扮演的角色,再根据这个具体的角色确定他的位置与活动主题,最后根据活动主题产生他要发表的文本信息,这些共同构成了该用户的一次合成行为。
根据历史行为数据训练出上述机制中的关键参数(如:用户扮演不同角色的概率等)后,我们能够计算出每个行为的产生概率并由此设置检测阈值,得到检测的拦截率和打扰率以及查准率,并由此来评价系统性能。
本发明设计的基于线上用户合成行为的身份盗用检测方法,解决传统身份识别系统的弊病,为信息化时代安全问题的解决提供了新的思路和分析方法。本发明克服了现有技术的不足,用于实时地检测线上用户合成行为的异常指数,有效地检测出可能发生的线上身份盗用行为。
本发明经过实验证明,该方法在准确率和计算时间上都优于先前的研究。
附图说明
图1本发明基于线上用户合成行为的身份盗用检测方法系统结构图
图2本发明生成模型结构图
具体实施方式
基于线上用户合成行为的身份盗用检测方法系统结构图,如图1所示。整个方案分为三个阶段:
第一阶段是合成行为数据预处理阶段,负责对历史数据进行筛选、填充;
第二阶段是合成行为模型建立阶段,负责根据阶段一所得行为数据建立合成行为生成模型,并估计其中的关键参数;
第三阶段是线上用户身份盗用检测阶段,负责按照阶段二所得模型判断线上用户身份是否被盗用。
第一阶段具体实施步骤:
第二阶段具体实施步骤:
步骤2-1,构建一个线上用户合成行为生成模型。每个用户的行为记录作为一个行为集,全部用户的行为记录构成了一个行为库。用户的每次行为遵循着这样的潜在影响机制:首先需要确定他所扮演的角色,再根据这个具体的角色确定他的位置与活动主题,最后根据活动主题产生他要发表的文本信息,这些共同构成了该用户的一次合成行为。具体生成机制如图2所示其中:灰色圆圈表示具体的行为(w表示文本中的单词,v表示行为发生的地点);z、c是隐变量, (z表示文本的主题,c表示用户在该行为中所属角色);α、β、γ、η是四个超参数(影响着模型的关键参数),取值为1.67,0.01,2.50,0.01;π、θ、φ是该模型的关键参数,分别表示用户的角色状态分布、角色的地点分布、角色的文本主题分布、主题的单词分布。A指向B的箭头表示A决定B(如,角色c到主题z的箭头表示主题z的取值分布是由角色c的取值决定的)。图中方框右下角的符号X 表示方框中的内容重复的次数(如单词w所在方框中的D表示这里D个单词w,结合主题z到单词w的箭头,就表示主题z决定了D个单词w)。方框右下的符号C,Z、 D、U、Bu分别表示角色的种数、主题的种数、一条信息中单词的数量、用户的数量、用户u的行为记录次数。
步骤2-2,根据线上用户的合成行为的历史记录,采用Gibbs采样的方法估计各个参数的值。对于一个合成行为(u,v,D),其中u代表用户,v代表签到地点, D代表发表的文本包含的词的集合,对应每个行为记录,有下述Gibbs采样公式:
该行为对应的用户角色状态c的分布近似满足:
该行为对应的文本主题z的分布近似满足:
其中表示该行为是在用户角色状态为c时完成的概率,表示该行为是在文本主题为z时完成的概率,nX表示数据集中状态为 X的样本数,上标表示去除掉当前样本的结果,α、β、γ、η是四个超参数,取值为1.67,0.01,2.50,0.01。
Gibbs采样流程如下:
5)随机初始化:对每条行为记录,随机的赋予一个角色状态c,一个文本主题z;
6)重新分配:按照上述Gibbs采样公式重新给每条记录赋予新的角色状态c 和文本主题z;
7)重复2)到收敛
8)统计此时每个用户的角色状态分布每个角色的地点分布与文本主题分布每个主题的词分布得到用户的合成行为特征。其中nu,c表示用户u处于角色c的次数,nc,v表示处于角色c的用户出现在地点v的次数,nc,z表示处于角色c的用户发表主题z的文本的次数,nz,w表示主题z的文本中单词w出现的次数。
第三阶段具体实施步骤:
步骤3-2,计算新的合成行为b′的异常指数Sb′,超过阈值T0的判定为异常行为,认为存在身份盗用的风险向用户发出警告,请求确认身份,否则判定为正常行为,直接放行,继续检测用户的后续行为。
经过实验证明,该方法在准确率和反应时间上都优于先前的研究。
本项目的创新点
1.通过用户历史合成行为数据,建立用户合成行为模型。
2.利用多个维度间行为的关联性,得到了更精确的身份盗用检测方法。
3.区别以往的身份识伪方式,不依赖于硬件设备,根据用户自身的合成行为特征作为一种用户身份的标识,并具有很高的可信度。
批注:本发明中的有关术语以及对于先前的主要技术可参见如下资料。
[1]de Montjoye YA,Radaelli L,Singh VK,et al.Identity andprivacy.Unique in the shopping mall:on the reidentifiability of credit cardmetadata.[J].Science(New York,N.Y.),2015, 347(6221):536-539.
[2]Egele M,Stringhini G,Kruegel C,et al.Towards Detecting CompromisedAccounts on Social Networks[J].IEEE Transactions on Dependable&SecureComputing,2017, 14(4):447-460.
[3]Díaz-Santiago S,Rodriguez-Henriquez L M,Chakraborty D.Acryptographic study of tokenization systems[C]//International Conference onSecurity and Cryptography.IEEE, 2016:413-432.
[4]Ruiz-Blondet M V,Jin Z,Laszlo S.CEREBRE:A Novel Method for VeryHigh Accuracy Event-Related Potential Biometric Identification[J].IEEETransactions on Information Forensics &Security,2016,11(7):1618-1629.
[5]Cao Q,Yang X,Yu J,et al.Uncovering Large Groups of ActiveMalicious Accounts in Online Social Networks[J].2014:477-488.
[6]Lesaege C,Schnitzler F,Lambert A,et al.Time-Aware UserIdentification with Topic Models[C]//IEEE,International Conference on DataMining.IEEE,2017:997-1002.
[7]Li H,Ge Y,Zhu H,et al.Point-of-Interest Recommendations:LearningPotential Check-ins from Friends[C]//ACM SIGKDD International Conference onKnowledge Discovery and Data Mining.ACM,2016:975-984.
[8]Shen C,Zhang Y,Guan X,et al.Performance Analysis of Touch-Interaction Behavior for Active Smartphone Authentication[J].IEEETransactions on Information Forensics&Security, 2017,11(3):498-513.
Claims (2)
1.一种基于合成行为建模的线上用户身份盗用检测方法,其特征在于,首先基于线上用户的合成行为投影关联性填充不充分的行为数据;然后基于合成行为形成机制特征,同时考虑合成行为的投影空间关联,设计线上用户合成行为的生成模型并推导出其中的关键参数;最后根据所得模型快速、准确地判断新行为是否正常,实现实时地身份盗用检测;
分为三个阶段:
第一阶段是合成行为数据预处理阶段,负责对历史数据进行筛选、填充;
第二阶段是合成行为模型建立阶段,负责根据第一阶段所得行为数据建立合成行为生成模型,并估计其中的关键参数;
第三阶段是线上用户身份盗用检测阶段,负责按照第二阶段所得模型判断线上用户身份是否被盗用;
第一阶段具体实施步骤:
第二阶段具体实施步骤:
步骤2-1,构建一个线上用户合成行为生成模型;每个用户的行为记录作为一个行为集,全部用户的行为记录构成了一个行为库;用户的每次行为遵循机制:首先需要确定他所扮演的角色,再根据这个具体的角色确定他的位置与活动主题,最后根据活动主题产生他要发表的文本信息,这些共同构成了该用户的一次合成行为;
步骤2-2,根据线上用户的合成行为的历史记录,采用Gibbs采样的方法估计各个参数的值;对于一个合成行为(u,v,D),其中u代表用户,v代表签到地点,D代表发表的文本包含的词的集合,对应每个行为记录,有下述Gibbs采样公式:
该行为对应的用户角色状态c的分布近似满足:
该行为对应的文本主题z的分布近似满足:
其中表示该行为是在用户角色状态为c时完成的概率,表示该行为是在文本主题为z时完成的概率,nX表示数据集中状态为x的样本数,上标表示去除掉当前样本的结果,α、β、γ、η是四个超参数,取值为1.67,0.01,2.50,0.01;
第三阶段具体实施步骤:
步骤3-2,计算新的合成行为b′的异常指数Sb′,超过阈值T0的判定为异常行为,认为存在身份盗用的风险向用户发出警告,请求确认身份,否则判定为正常行为,直接放行,继续检测用户的后续行为;
w表示文本中的单词,v表示行为发生的地点;z、c是隐变量,z表示文本的主题,c表示用户在该行为中所属角色;
A指向B的箭头表示A决定B、C,Z、D、U、Bu分别表示角色的种数、主题的种数、一条信息中单词的数量、用户的数量、用户u的行为记录次数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810177924.7A CN108494741B (zh) | 2018-03-05 | 2018-03-05 | 基于线上用户合成行为的身份盗用检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810177924.7A CN108494741B (zh) | 2018-03-05 | 2018-03-05 | 基于线上用户合成行为的身份盗用检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108494741A CN108494741A (zh) | 2018-09-04 |
CN108494741B true CN108494741B (zh) | 2020-09-15 |
Family
ID=63341580
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810177924.7A Active CN108494741B (zh) | 2018-03-05 | 2018-03-05 | 基于线上用户合成行为的身份盗用检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108494741B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1383284A1 (en) * | 2002-07-17 | 2004-01-21 | Alcatel | Method, computer software products, client terminal, network element and network for efficient use of network resources by just-in-time modulation of quality of service based on service usage and user behavior |
CN105590231A (zh) * | 2014-10-24 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 用户数据处理方法和装置 |
CN107357889A (zh) * | 2017-07-11 | 2017-11-17 | 北京工业大学 | 一种基于内容或情感相似性的跨社交平台图片推荐算法 |
CN107402957A (zh) * | 2017-06-09 | 2017-11-28 | 全球能源互联网研究院 | 用户行为模式库的构建及用户行为异常检测方法、系统 |
CN107493299A (zh) * | 2017-09-20 | 2017-12-19 | 杭州安恒信息技术有限公司 | 一种基于三层架构的用户行为溯源方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130222228A1 (en) * | 2012-02-29 | 2013-08-29 | David Ryan Walker | Automatic projector behaviour changes based on projection distance |
-
2018
- 2018-03-05 CN CN201810177924.7A patent/CN108494741B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1383284A1 (en) * | 2002-07-17 | 2004-01-21 | Alcatel | Method, computer software products, client terminal, network element and network for efficient use of network resources by just-in-time modulation of quality of service based on service usage and user behavior |
CN105590231A (zh) * | 2014-10-24 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 用户数据处理方法和装置 |
CN107402957A (zh) * | 2017-06-09 | 2017-11-28 | 全球能源互联网研究院 | 用户行为模式库的构建及用户行为异常检测方法、系统 |
CN107357889A (zh) * | 2017-07-11 | 2017-11-17 | 北京工业大学 | 一种基于内容或情感相似性的跨社交平台图片推荐算法 |
CN107493299A (zh) * | 2017-09-20 | 2017-12-19 | 杭州安恒信息技术有限公司 | 一种基于三层架构的用户行为溯源方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108494741A (zh) | 2018-09-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Condry et al. | Using smart edge IoT devices for safer, rapid response with industry IoT control operations | |
US10764297B2 (en) | Anonymized persona identifier | |
Shuwandy et al. | Sensor-based mHealth authentication for real-time remote healthcare monitoring system: A multilayer systematic review | |
Traore et al. | Combining mouse and keystroke dynamics biometrics for risk-based authentication in web environments | |
US20200213349A1 (en) | Anti-replay systems and methods | |
CA3137338A1 (en) | Identity verification and management system | |
CN108780475A (zh) | 用于虚拟辅助的个性化推论认证 | |
US20190116051A1 (en) | System and method for effort-based user authentication | |
Singh et al. | Cloud-based patient health information exchange system using blockchain technology | |
Srivastava et al. | Digital Transformation of Healthcare: A blockchain study | |
Agroskin et al. | When suspicious minds go political: Distrusting and justifying the system at the same time | |
Pogrebna et al. | Navigating New Cyber Risks | |
EP4002173A1 (en) | Digital identity network alerts | |
Ali-Eldin et al. | A risk evaluation approach for authorization decisions in social pervasive applications | |
CN108494741B (zh) | 基于线上用户合成行为的身份盗用检测方法 | |
Ostern et al. | Pre-prototype testing: empirical insights on the expected usefulness of decentralized identity management systems | |
Kuru et al. | Blockchain-Based Decentralised Privacy-Preserving Machine Learning Authentication and Verification With Immersive Devices in the Urban Metaverse Ecosystem | |
Majumder et al. | Smart health and cybersecurity in the era of artificial intelligence | |
Subash et al. | Real-time behavioral biometric information security system for assessment fraud detection | |
Ponticello | Towards secure and usable authentication for voice-controlled smart home assistants | |
Rawat et al. | Conversational Artificial Intelligence | |
França et al. | An overview of blockchain and its applications in the modern digital age | |
CA3202486A1 (en) | Authenticated communications device to tie real-world and digital identities | |
Mallikarjuna et al. | An efficient vote casting system with Aadhar verification through blockchain | |
Tran | A Systematic Literature Review on Secure IoT Data Sharing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |