CN108494741B - 基于线上用户合成行为的身份盗用检测方法 - Google Patents

Abstract

一种基于合成行为建模的线上用户身份盗用检测方法，其特征在于，首先基于线上用户的合成行为投影关联性填充不充分的行为数据；然后基于合成行为形成机制特征，同时考虑合成行为的投影空间关联，设计线上用户合成行为的生成模型并推导出其中的关键参数；最后根据所得模型快速、准确地判断新行为是否正常，实现实时地身份盗用检测。本发明设计的基于线上用户合成行为的身份盗用检测方法，解决传统身份识别系统的弊病，为信息化时代安全问题的解决提供了新的思路和分析方法。本发明克服了现有技术的不足，用于实时地检测线上用户合成行为的异常指数，有效地检测出可能发生的线上身份盗用行为。

Description

基于线上用户合成行为的身份盗用检测方法

技术领域

本发明涉及线上用户身份盗用检测方法。

背景技术

随着互联网的迅速发展，越来越多的事务可以在线处理，给人们生活带来了诸多便利。然而由此也引发了诸多潜在的风险。线上账户充当着网络世界中用户的身份凭证。线上身份盗用是一种典型的网络犯罪，事实上，被盗用的账户通常也是其他网络犯罪，如勒索，欺诈和垃圾邮件的源头。因此，线上身份盗窃检测对于保障用户在网络世界的安全至关重要。

传统的身份盗用检测方法通常是基于接入控制的，例如设置登录密码、物理令牌。但用户需要为管理诸多的密码、令牌而付出额外的精力。近年来，随着生物认证技术的发展，人们进入了免密时代。但是这些技术应用在实时的线上服务中时仍有一些缺陷：(1)这些检测是侵入式的检测，检测中需要用户进行额外的操作；(2)这些检测不具有持续性，一旦被攻破缺乏后续的矫正能力。

基于行为的身份盗用检测方法作为一种能够实现非侵入、持续式的线上身份认证的方法备受瞩目。基于线上用户合成行为的用户身份盗用检测方法为互联网信息安全问题提供了新的视角，利用网络中产生的海量信息，考虑用户行为在物理-网络-社交空间上的行为特点及之间的关联性，对每个用户在合成行为空间中建模。

线上用户合成行为建模面临的重要挑战是个人数据的不充分性问题。由于各种条件限制可获得的每个用户的行为记录往往不足以构造可信的模型，这极大地影响了模型的性能。

发明内容

本发明通过基于用户行为投影(用户在不同行为子空间中的行为)的互补效应来填补行为数据的不充分性，以此完备用户行为的建模。为此，本发明研究基于线上用户合成行为的身份盗用检测方法。对线上用户合成行为的一致进行检测，以此来判定该用户合成行为的合法性。

为此，给出的技术方案为：

一种基于行为建模的移动社交网络用户身份识伪方法，其特征在于，个性化、实时性、非侵入、持续性、兼容性。首先基于线上用户的合成行为投影关联性填充不充分的行为数据。然后基于合成行为形成机制特征，同时考虑合成行为的投影空间关联，设计线上用户合成行为的生成模型并推导出其中的关键参数(概率)。最后根据所得模型快速、准确地判断新行为是否正常，实现实时地身份盗用检测。

整个技术方案分为三个阶段：

第一阶段是合成行为数据预处理阶段，负责对历史数据进行筛选、填充；

第二阶段是合成行为模型建立阶段，负责根据阶段一所得行为数据建立合成行为生成模型，并估计其中的关键参数；

第三阶段是线上用户身份盗用检测阶段，负责按照阶段二所得模型判断线上用户身份是否被盗用。

第一阶段具体实施步骤：

步骤1-1，根据用户的社交关系确定每个用户u的可能行为域

步骤1-2，根据张量分解的结果计算每个用户u进行其对应可能行为域

中各行为的概率，选择其中概率超过阈值P₀的最大的n个合成行为作为其候选行为添加到历史行为记录中。

第二阶段具体实施步骤：

步骤2-1，构建一个线上用户合成行为生成模型。每个用户的行为记录作为一个行为集，全部用户的行为记录构成了一个行为库。用户的每次行为遵循着这样的潜在影响机制：首先需要确定他所扮演的角色，再根据这个具体的角色确定他的位置与活动主题，最后根据活动主题产生他要发表的文本信息，这些共同构成了该用户的一次合成行为。具体生成机制如图2所示其中：灰色圆圈表示具体的行为(w表示文本中的单词，v表示行为发生的地点)；z、c是隐变量， (z表示文本的主题，c表示用户在该行为中所属角色)；α、β、γ、η是四个超参数(影响着模型的关键参数)，取值为1.67，0.01，2.50，0.01；π、

θ、φ是该模型的关键参数，分别表示用户的角色状态分布、角色的地点分布、角色的文本主题分布、主题的单词分布。A指向B的箭头表示A决定B(如，角色c到主题z的箭头表示主题z的取值分布是由角色c的取值决定的)。图中方框右下角的符号X 表示方框中的内容重复的次数(如单词w所在方框中的D表示这里D个单词w，结合主题z到单词w的箭头，就表示主题z决定了D个单词w)。方框右下的符号C，Z、 D、U、B_u分别表示角色的种数、主题的种数、一条信息中单词的数量、用户的数量、用户u的行为记录次数。

步骤2-2，根据线上用户的合成行为的历史记录，采用Gibbs采样的方法估计各个参数的值。对于一个合成行为(u,v,D)，其中u代表用户，v代表签到地点， D代表发表的文本包含的词的集合，对应每个行为记录，有下述Gibbs采样公式：

该行为对应的用户角色状态c的分布近似满足：

该行为对应的文本主题z的分布近似满足：

其中

表示该行为是在用户角色状态为c时完成的概率，

表示该行为是在文本主题为z时完成的概率，n_x表示数据集中状态为 X的样本数，上标

表示去除掉当前样本的结果，α、β、γ、η是四个超参数，取值为1.67，0.01，2.50，0.01。

Gibbs采样流程如下：

1)随机初始化：对每条行为记录，随机的赋予一个角色状态c，一个文本主题z；

2)重新分配：按照上述Gibbs采样公式重新给每条记录赋予新的角色状态c 和文本主题z；

3)重复2)到收敛

4)统计此时每个用户的角色状态分布

每个角色的地点分布

与文本主题分布

每个主题的词分布

得到用户的合成行为特征。其中n_u,c表示用户u处于角色c的次数，n_c,v表示处于角色c的用户出现在地点v的次数，n_c,z表示处于角色c的用户发表主题z的文本的次数，n_z,w表示主题z的文本中单词w出现的次数。

第三阶段具体实施步骤：

步骤3-1，根据第二阶段得到的生成模型，计算每个历史行为b＝(u,v,D)的异常指数

从而确定阈值T₀。

其中

步骤3-2，计算新的合成行为b′的异常指数S_b′，超过阈值T₀的判定为异常行为，认为存在身份盗用的风险向用户发出警告，请求确认身份，否则判定为正常行为，直接放行，继续检测用户的后续行为。

得益于当前移动社交网络提供的丰富信息数据，我们可以获取到大量用户社交数据，包括位置、移动模式、社交关系、用户生成内容及购物记录等。我们设计了一个基于贝叶斯网络的概率图模型来描述用户的合成行为产生机制。

在这个模型中，我们认为每个用户的行为记录构成一个行为集，全部用户的行为记录构成了一个行为库。用户的每次行为遵循着这样的潜在影响机制：首先需要确定他所扮演的角色，再根据这个具体的角色确定他的位置与活动主题，最后根据活动主题产生他要发表的文本信息，这些共同构成了该用户的一次合成行为。

根据历史行为数据训练出上述机制中的关键参数(如：用户扮演不同角色的概率等)后，我们能够计算出每个行为的产生概率并由此设置检测阈值，得到检测的拦截率和打扰率以及查准率，并由此来评价系统性能。

本发明设计的基于线上用户合成行为的身份盗用检测方法，解决传统身份识别系统的弊病，为信息化时代安全问题的解决提供了新的思路和分析方法。本发明克服了现有技术的不足，用于实时地检测线上用户合成行为的异常指数，有效地检测出可能发生的线上身份盗用行为。

本发明经过实验证明，该方法在准确率和计算时间上都优于先前的研究。

附图说明

图1本发明基于线上用户合成行为的身份盗用检测方法系统结构图

图2本发明生成模型结构图

具体实施方式

基于线上用户合成行为的身份盗用检测方法系统结构图，如图1所示。整个方案分为三个阶段：

第一阶段是合成行为数据预处理阶段，负责对历史数据进行筛选、填充；

第二阶段是合成行为模型建立阶段，负责根据阶段一所得行为数据建立合成行为生成模型，并估计其中的关键参数；

第三阶段是线上用户身份盗用检测阶段，负责按照阶段二所得模型判断线上用户身份是否被盗用。

第一阶段具体实施步骤：

步骤1-1，根据用户的社交关系确定每个用户u的可能行为域

步骤1-2，根据张量分解的结果计算每个用户u进行其对应可能行为域

中各行为的概率，选择其中概率超过阈值P₀的最大的n个合成行为作为其候选行为添加到历史行为记录中。

第二阶段具体实施步骤：

步骤2-1，构建一个线上用户合成行为生成模型。每个用户的行为记录作为一个行为集，全部用户的行为记录构成了一个行为库。用户的每次行为遵循着这样的潜在影响机制：首先需要确定他所扮演的角色，再根据这个具体的角色确定他的位置与活动主题，最后根据活动主题产生他要发表的文本信息，这些共同构成了该用户的一次合成行为。具体生成机制如图2所示其中：灰色圆圈表示具体的行为(w表示文本中的单词，v表示行为发生的地点)；z、c是隐变量， (z表示文本的主题，c表示用户在该行为中所属角色)；α、β、γ、η是四个超参数(影响着模型的关键参数)，取值为1.67，0.01，2.50，0.01；π、

θ、φ是该模型的关键参数，分别表示用户的角色状态分布、角色的地点分布、角色的文本主题分布、主题的单词分布。A指向B的箭头表示A决定B(如，角色c到主题z的箭头表示主题z的取值分布是由角色c的取值决定的)。图中方框右下角的符号X 表示方框中的内容重复的次数(如单词w所在方框中的D表示这里D个单词w，结合主题z到单词w的箭头，就表示主题z决定了D个单词w)。方框右下的符号C，Z、 D、U、B_u分别表示角色的种数、主题的种数、一条信息中单词的数量、用户的数量、用户u的行为记录次数。

步骤2-2，根据线上用户的合成行为的历史记录，采用Gibbs采样的方法估计各个参数的值。对于一个合成行为(u,v,D)，其中u代表用户，v代表签到地点， D代表发表的文本包含的词的集合，对应每个行为记录，有下述Gibbs采样公式：

该行为对应的用户角色状态c的分布近似满足：

该行为对应的文本主题z的分布近似满足：

其中

表示该行为是在用户角色状态为c时完成的概率，

表示该行为是在文本主题为z时完成的概率，n_X表示数据集中状态为 X的样本数，上标

表示去除掉当前样本的结果，α、β、γ、η是四个超参数，取值为1.67，0.01，2.50，0.01。

Gibbs采样流程如下：

5)随机初始化：对每条行为记录，随机的赋予一个角色状态c，一个文本主题z；

6)重新分配：按照上述Gibbs采样公式重新给每条记录赋予新的角色状态c 和文本主题z；

7)重复2)到收敛

8)统计此时每个用户的角色状态分布

每个角色的地点分布

与文本主题分布

每个主题的词分布

得到用户的合成行为特征。其中n_u,c表示用户u处于角色c的次数，n_c,v表示处于角色c的用户出现在地点v的次数，n_c,z表示处于角色c的用户发表主题z的文本的次数，n_z,w表示主题z的文本中单词w出现的次数。

第三阶段具体实施步骤：

步骤3-1，根据第二阶段得到的生成模型，计算每个历史行为b＝(u,v,D)的异常指数

从而确定阈值T₀。

其中

步骤3-2，计算新的合成行为b′的异常指数S_b′，超过阈值T₀的判定为异常行为，认为存在身份盗用的风险向用户发出警告，请求确认身份，否则判定为正常行为，直接放行，继续检测用户的后续行为。

经过实验证明，该方法在准确率和反应时间上都优于先前的研究。

本项目的创新点

1.通过用户历史合成行为数据，建立用户合成行为模型。

2.利用多个维度间行为的关联性，得到了更精确的身份盗用检测方法。

3.区别以往的身份识伪方式，不依赖于硬件设备，根据用户自身的合成行为特征作为一种用户身份的标识，并具有很高的可信度。

批注：本发明中的有关术语以及对于先前的主要技术可参见如下资料。

[1]de Montjoye YA,Radaelli L,Singh VK,et al.Identity andprivacy.Unique in the shopping mall:on the reidentifiability of credit cardmetadata.[J].Science(New York,N.Y.),2015, 347(6221):536-539.

[2]Egele M,Stringhini G,Kruegel C,et al.Towards Detecting CompromisedAccounts on Social Networks[J].IEEE Transactions on Dependable&SecureComputing,2017, 14(4):447-460.

[3]Díaz-Santiago S,Rodriguez-Henriquez L M,Chakraborty D.Acryptographic study of tokenization systems[C]//International Conference onSecurity and Cryptography.IEEE, 2016:413-432.

[4]Ruiz-Blondet M V,Jin Z,Laszlo S.CEREBRE:A Novel Method for VeryHigh Accuracy Event-Related Potential Biometric Identification[J].IEEETransactions on Information Forensics &Security,2016,11(7):1618-1629.

[5]Cao Q,Yang X,Yu J,et al.Uncovering Large Groups of ActiveMalicious Accounts in Online Social Networks[J].2014:477-488.

[6]Lesaege C,Schnitzler F,Lambert A,et al.Time-Aware UserIdentification with Topic Models[C]//IEEE,International Conference on DataMining.IEEE,2017:997-1002.

[7]Li H,Ge Y,Zhu H,et al.Point-of-Interest Recommendations:LearningPotential Check-ins from Friends[C]//ACM SIGKDD International Conference onKnowledge Discovery and Data Mining.ACM,2016:975-984.

[8]Shen C,Zhang Y,Guan X,et al.Performance Analysis of Touch-Interaction Behavior for Active Smartphone Authentication[J].IEEETransactions on Information Forensics&Security, 2017,11(3):498-513.

Claims (2)

1.一种基于合成行为建模的线上用户身份盗用检测方法，其特征在于，首先基于线上用户的合成行为投影关联性填充不充分的行为数据；然后基于合成行为形成机制特征，同时考虑合成行为的投影空间关联，设计线上用户合成行为的生成模型并推导出其中的关键参数；最后根据所得模型快速、准确地判断新行为是否正常，实现实时地身份盗用检测；

分为三个阶段：

第一阶段是合成行为数据预处理阶段，负责对历史数据进行筛选、填充；

第二阶段是合成行为模型建立阶段，负责根据第一阶段所得行为数据建立合成行为生成模型，并估计其中的关键参数；

第三阶段是线上用户身份盗用检测阶段，负责按照第二阶段所得模型判断线上用户身份是否被盗用；

第一阶段具体实施步骤：

步骤1-1，根据用户的社交关系确定每个用户u的可能行为域

步骤1-2，根据张量分解的结果计算每个用户u进行其对应可能行为域

中各行为的概率，选择其中概率超过阈值P₀的最大的n个合成行为作为其候选行为添加到历史行为记录中；

第二阶段具体实施步骤：

步骤2-1，构建一个线上用户合成行为生成模型；每个用户的行为记录作为一个行为集，全部用户的行为记录构成了一个行为库；用户的每次行为遵循机制：首先需要确定他所扮演的角色，再根据这个具体的角色确定他的位置与活动主题，最后根据活动主题产生他要发表的文本信息，这些共同构成了该用户的一次合成行为；

步骤2-2，根据线上用户的合成行为的历史记录，采用Gibbs采样的方法估计各个参数的值；对于一个合成行为(u，v，D)，其中u代表用户，v代表签到地点，D代表发表的文本包含的词的集合，对应每个行为记录，有下述Gibbs采样公式：

该行为对应的用户角色状态c的分布近似满足：

该行为对应的文本主题z的分布近似满足：

其中

表示该行为是在用户角色状态为c时完成的概率，

表示该行为是在文本主题为z时完成的概率，n_X表示数据集中状态为x的样本数，上标

表示去除掉当前样本的结果，α、β、γ、η是四个超参数，取值为1.67，0.01，2.50，0.01；

第三阶段具体实施步骤：

步骤3-1，根据第二阶段得到的生成模型，计算每个历史行为b＝(u，v，D)的异常指数

从而确定阈值T₀；

其中

步骤3-2，计算新的合成行为b′的异常指数S_b′，超过阈值T₀的判定为异常行为，认为存在身份盗用的风险向用户发出警告，请求确认身份，否则判定为正常行为，直接放行，继续检测用户的后续行为；

w表示文本中的单词，v表示行为发生的地点；z、c是隐变量，z表示文本的主题，c表示用户在该行为中所属角色；

；π、

θ、φ是该模型的关键参数，分别表示用户的角色状态分布、角色的地点分布、角色的文本主题分布、主题的单词分布；

A指向B的箭头表示A决定B、C，Z、D、U、B_u分别表示角色的种数、主题的种数、一条信息中单词的数量、用户的数量、用户u的行为记录次数。

2.如权利要求1所述的方法，其特征在于，Gibbs采样流程如下：

1)随机初始化：对每条行为记录，随机的赋予一个角色状态c，一个文本主题z；

2)重新分配：按照上述Gibbs采样公式重新给每条记录赋予新的角色状态c和文本主题z；

3)重复2)到收敛；

4)统计此时每个用户的角色状态分布

每个角色的地点分布

与文本主题分布

每个主题的词分布

得到用户的合成行为特征；其中n_u，c表示用户u处于角色c的次数，n_c，v表示处于角色c的用户出现在地点v的次数，n_c，z表示处于角色c的用户发表主题z的文本的次数，n_z，w表示主题z的文本中单词w出现的次数。

Images