WO2017067103A1

WO2017067103A1 - 基于击键行为的身份认证方法和***

Info

Publication number: WO2017067103A1
Application number: PCT/CN2016/070988
Authority: WO
Inventors: 蒋昌俊; 闫春钢; 陈闳中; 丁志军; 宋小双
Original assignee: 同济大学
Priority date: 2015-10-22
Filing date: 2016-01-15
Publication date: 2017-04-27
Also published as: CN105429937A; CN105429937B

Abstract

一种基于击键行为的身份认证方法，包括以下步骤：S1、根据合法用户训练时的合法击键行为构建合法用户击键特征的用户模型；S2、采集登录用户击键时的待估击键行为生成待估击键时间序列；S3、根据所述待估击键时间序列生成待估极相邻字符序列；S4、将所述待估极相邻字符序列与所述用户模型进行匹配，并根据匹配结果判断登录用户的所述待估击键行为是否合法；若不合法，则生成警报并使登录用户重新登录，若合法，则允许登录用户登录，同时存储所述待估击键行为并更新所述用户模型。仅提取了用户少量的有代表性的击键特征，在保证认证准确率的同时，提高了持续认证的响应能力；实时监控用户的击键行为，为用户提供持续性的账户安全保障。

Description

基于击键行为的身份认证方法和***

技术领域

本发明涉及互联网领域，特别是涉及一种基于击键行为的身份认证方法和***。

背景技术

随着互联网的迅速发展，用户对互联网中帐号的安全性的要求也随之提高。目前最常见的方法是基于用户名和密码相结合的文本匹配身份认证。这种方法虽简单易行，然而一旦密码泄露，这种身份认证方法就会失效。由于每个人的行为都有其生物特征，而用户的击键行为与用户的年龄、性别、和对计算机键盘的熟悉程度等都有联系，不同用户的击键行为模式是难以被他人模仿和盗用的。而且基于击键行为的认证方法并不需要额外的硬件支持，成本较低，且***能够在后台记录用户的击键行为，因此基于用户击键行为的认证方法具有良好的可行性。但基于传统的击键行为的认证方法，无法实时地对用户身份进行合法性的确认。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种基于击键行为的身份认证方法和***，用于解决现有技术中采集过多、成本较高，且无法实时地对用户身份进行合法性的确认的问题。

为实现上述目的及其他相关目的，本发明提供1、一种基于击键行为的身份认证方法，包括以下步骤：

S1、根据合法用户训练时的合法击键行为构建合法用户击键特征的用户模型；

S2、采集登录用户击键时的待估击键行为生成待估击键时间序列；

S3、根据所述待估击键时间序列生成待估极相邻字符序列；

S4、将所述待估极相邻字符序列与所述用户模型进行匹配，并根据匹配结果判断登录用户的所述待估击键行为是否合法；若不合法，则生成警报并使登录用户重新登录，若合法，则允许登录用户登录，同时存储所述待估击键行为并更新所述用户模型。

优选的，所述步骤S1还包括步骤：

S11、采集合法击键行为，并生成合法时间间隔向量；

S12、遍历所述合法时间间隔向量，并判断所述合法时间间隔向量的两个相邻字符序列的时间间隔是否小于预设临界时间间隔；

若是，则所述两个相邻字符置于同一个极相邻字符；

若否，则以所述两个相邻字符中后一个字符为首字符，生成一个新的所述极相邻字符；

S13、计算字符数量为2和3的所述极相邻字符所占的比重，并设置比重最大时的所述预设临界时间间隔为合法临界时间间隔；

S14、通过所述合法临界时间间隔重新生成合法极相邻字符序列，并记录所述合法极相邻字符序列的持续时间。

优选的，所述步骤S1还包括步骤：

提取所述合法极相邻字符序列的时间特征集，并构建所述合法极相邻字符序列服从的分布模型。

优选的，所述步骤S3还包括步骤：

S31、采集所述待估击键行为；

S32、生成所述待估击键行为的待估时间间隔向量；

S33、结合所述合法临界间隔时间与所述待估时间间隔向量生成所述待估极相邻字符序列。

优选的，所述步骤S2还包括步骤：

获取所述待估击键时间序列，并将所述待估击键时间序列存入预设大小的缓冲区，当所述缓冲区满时，发送所述缓冲区中的所有所述估击键时间序列。

优选的，所述步骤S4中所述待估极相邻字符序列与所述用户模型通过高斯模型进行匹配，所述匹配根据的评分公式为：

其中，tS’表示待估极相邻字符序列，而μS和σS分别为所述高斯模型中高斯分布的期望和标准差；

所述判断登录用户的所述待估击键行为是否合法的步骤还包括：

计算单个待估极相邻字符序列的评分，再去除低于预设值的所述评分后将所述评分汇总，比较汇总后的所述评分是否大于阈值；若是，则允许登录，同时存储所述待估击键行为并更新所述用户模型；若否，则发出警告并重新登录。

本发明还提供了一种基于击键行为的身份认证***，包括数据采集模块、特征提取模块、模型训练模块、持续认证模块和模型库；

所述数据采集模块用于采集合法用户合法击键行为时的合法击键时间序列和登录用户击键时的待估击键行为生成的的待估击键时间序列，并将所述合法击键时间序列和待估击键时间序列发送至所述特征提取模块；

所述特征提取模块用于根据所述合法击键时间序列和待估击键时间序列分别对应生成合法极相邻字符序列和待估极相邻字符；

所述模型训练模块用于根据所述合法击键行为和合法击键时间序列构建合法用户击键特征的用户模型；

所述持续认证模块用于将所述待估相邻字符序列与所述用户模型进行匹配，并根据匹配结果判断登录用户的所述待估击键行为是否合法，在待估击键行为不合法时生成警报并使登录用户重新登录；在待估击键行为合法时允许登录用户登录，同时存储所述待估击键行为，并反馈给所述模型训练模块更新所述用户模型；

所述模型库用于存储合法用户击键特征的用户模型。

优选的，所述数据采集模块还用于在采集合法击键行为，并生成合法时间间隔向量；

所述特征提取模块还用于遍历所述合法时间间隔向量，并根据所述合法时间间隔向量的两个相邻字符序列的时间间隔与预设临界时间间隔的大小生成极相邻字符；计算字符数量为2和3的所述极相邻字符所占的比重，并设置比重最大时的所述预设临界时间间隔为合法临界时间间隔；通过所述合法临界时间间隔重新生成合法极相邻字符序列，并记录所述合法极相邻字符序列的持续时间；

所述特征提取模块还用于提取所述合法极相邻字符序列的时间特征集，并构建所述合法极相邻字符序列服从的分布模型。

优选的，所述特征提取模块还用于生成所述待估击键行为的待估时间间隔向量；并结合所述合法临界间隔时间与所述待估时间间隔向量生成所述待估极相邻字符序列。

优选的，所述特征提取模块还用于获取所述待估击键时间序列，并将所述待估击键时间序列存入预设大小的缓冲区，当所述缓冲区满时，发送所述缓冲区中的所有所述估击键时间序列。

如上所述，本发明的自适应调制方法，具有以下有益效果：

本发明仅提取了用户少量的有代表性的击键特征，去除了大量冗余的击键特征序列，在保证认证准确率的同时，提高了持续认证的响应能力；在用户登陆网络账户时，实时监控用户的击键行为，为合法用户提供持续性的账户安全保障。

附图说明

图1显示为本发明基于击键行为的身份认证方法的流程方框图；

图2显示为图1中构建合法用户击键特征的用户模型的流程方框图；

图3显示为图1中生成待估极相邻字符序列的流程方框图；

图4显示为图1中认证过程的流程方框图；

图5显示为本发明基于击键行为的身份认证***的逻辑方框图；

图6显示为本发明的认证结果的曲线图。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。

请参阅图1至图4。需要说明的是，本实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

如图1所示，本发明提供了一种基于击键行为的身份认证方法，包括以下步骤：S1、根据合法用户训练时的合法击键行为构建合法用户击键特征的用户模型；S2、采集登录用户击键时的待估击键行为生成待估击键时间序列；S3、根据待估击键时间序列生成待估极相邻字符序列；S4、将待估极相邻字符序列与用户模型进行匹配，并根据匹配结果判断登录用户的待估击键行为是否合法；若不合法，则生成警报并使登录用户重新登录，若合法，则允许登录用户登录，同时存储待估击键行为并更新用户模型。

在用户登陆网络账号后，监控器会实时地跟踪用户的击键行为，并记录下用户的击键行为时间序列。在用户模型的训练阶段，采集用户账号使用阶段的所有击键行为，并在用户账号登出后将数据发送。

用户的击键行为时间序列如表1所示，表1为用户击键行为日志表。其中down表示键被按下，up表示键弹起，Time表示键按下或弹起时的时间戳。

down	up	Time(ms)
h		0
e		138
	h	240
	e	335

l

524

表1

在特征提取时，首先会处理上传的击键行为日志，提取出用户击键的时间间隔向量。在用户模型的训练阶段，需要迭代时间间隔向量的特征值Interval＝<I₁,I₂,......I_p-1>，以挖掘出反映用户击键特征的临界间隔时间ɑ，并根据这一特征进一步挖掘出用户的极相邻字符序列。

所以，如图2所示，步骤S1还包括步骤：

S11、采集合法击键行为，并生成合法时间间隔向量；

S12、遍历合法时间间隔向量，并判断合法时间间隔向量的两个相邻字符序列的时间间隔是否小于预设临界时间间隔；遍历时间间隔特征向量Interval＝<I₁,I₂,......I_p-1>中的值，

若是，则两个相邻字符置于同一个极相邻字符；

若否，则以两个相邻字符中后一个字符为首字符，生成一个新的极相邻字符；

S13、计算字符数量为2和3的极相邻字符所占的比重，并设置比重最大时的预设临界时间间隔为合法临界时间间隔；

S14、通过合法临界时间间隔重新生成合法极相邻字符序列，并记录合法极相邻字符序列的持续时间。

提取出的极相邻字符序列入表2所示，表2为极相邻字符序列时间特征集表。

极相邻字符序列	持续时间/ms
app	<749,758,693,725>
cm	<270,280,260,250,240>

表2

优选地，构建合法用户击键特征的用户模型时，还包括了步骤：提取合法极相邻字符序列的时间特征集，并构建合法极相邻字符序列服从的分布模型。

优选地，如图3所示，步骤S3还包括步骤：

S31、采集待估击键行为；

S32、生成待估击键行为的待估时间间隔向量；

S33、结合合法临界间隔时间与待估时间间隔向量生成待估极相邻字符序列。

对于一个用户，假定其输入极相邻字符序列的持续时间服从于一个正态分布的过程。提取模块挖掘出的极相邻字符序列时间特征集，构建每个极相邻字符序列服从的正态分布模型。对于极相邻字符序列S的时间特征集合<S1,S2,S3,…,Sk-1,Sk>，利用最大似然估计的方法计算期望和方差。其中，

由合法用户的训练数据挖掘得到的极相邻字符序列及其服从的正态分布模型构成了用户模型的主要部分，临界时间间隔这一用户击键特征也是用户模型的一部分。

通过将待估击键行为数据与用户模型进行匹配，给出待估击键行为数据的评分，根据决策算法给出认证结果。当认证结果显示该击键行为数据属于合法用户时，该模块将此次待估数据挖掘出的极相邻字符序列的时间特征集存入缓冲区，待特征数量达到设定值时，便对模型库中对应的极相邻字符序列的模型进行更新。

进一步地，步骤S2还包括步骤：

获取待估击键时间序列，并将待估击键时间序列存入预设大小的缓冲区，当缓冲区满时，发送缓冲区中的所有估击键时间序列。在用户身份的持续认证阶段，数据采集模块会设定一个固定大小的字符序列缓冲区，当缓冲区满时，采集模块便将缓冲区中的数据提交给特征提取模块，以便进行身份认证，案例中缓冲区的窗口值大小为30个字符。

优选地，高斯概率密度函数是一种相似度评价的函数，在用户认证中，用于评价待估的极相邻字符序列与用户模型中的极相邻字符序列的相似度。步骤S4中待估极相邻字符序列与用户模型通过高斯模型进行匹配，匹配根据的评分公式为：

其中，t_S’表示待估极相邻字符序列，而μ_S和σ_S分别为高斯模型中高斯分布的期望和标准差；

入图4所示，判断登录用户的待估击键行为是否合法的步骤还包括：

计算单个待估极相邻字符序列的评分，再去除低于预设值的评分后将评分汇总，比较汇总后的评分是否大于阈值；若是，则允许登录，同时存储待估击键行为并更新用户模型；若否，则发出警告并重新登录。

如图5所示，本发明还提供了一种基于击键行为的身份认证***，包括数据采集模块、特征提取模块、模型训练模块、持续认证模块和模型库；

数据采集模块用于采集合法用户合法击键行为时的合法击键时间序列和登录用户击键时的待估击键行为生成的的待估击键时间序列，并将合法击键时间序列和待估击键时间序列发送至特征提取模块；

特征提取模块用于根据合法击键时间序列和待估击键时间序列分别对应生成合法极相邻字符序列和待估极相邻字符；

模型训练模块用于根据合法击键行为和合法击键时间序列构建合法用户击键特征的用户模型；

持续认证模块用于将待估相邻字符序列与用户模型进行匹配，并根据匹配结果判断登录用户的待估击键行为是否合法，在待估击键行为不合法时生成警报并使登录用户重新登录；在待估击键行为合法时允许登录用户登录，同时存储待估击键行为，并反馈给模型训练模块更新用户模型。

模型库用于存储合法用户击键特征的用户模型。

优选地，数据采集模块还用于在采集合法击键行为，并生成合法时间间隔向量；

特征提取模块还用于遍历合法时间间隔向量，并根据合法时间间隔向量的两个相邻字符序列的时间间隔与预设临界时间间隔的大小生成极相邻字符；计算字符数量为2和3的极相邻字符所占的比重，并设置比重最大时的预设临界时间间隔为合法临界时间间隔；通过合法临界时间间隔重新生成合法极相邻字符序列，并记录合法极相邻字符序列的持续时间；

特征提取模块还用于提取合法极相邻字符序列的时间特征集，并构建合法极相邻字符序列服从的分布模型。

优选地，特征提取模块还用于生成待估击键行为的待估时间间隔向量；并结合合法临界间隔时间与待估时间间隔向量生成待估极相邻字符序列。

优选地，特征提取模块还用于获取待估击键时间序列，并将待估击键时间序列存入预设大小的缓冲区，当缓冲区满时，发送缓冲区中的所有估击键时间序列。

用户击键行为认证方法主要由数据采集模块、特征提取模块、模型训练模块和持续认证模块构成。数据采集模块负责采集用户击键时的击键时间序列；特征提取模块负责挖掘用户的极相邻字符序列；模型训练模块根据合法用户训练数据的时间特征构建用户击键特征的高斯模型；持续认证模块根据用户键入的一段字符序列进行决策评分，以判断用户身份的合法性，同时它存储合法用户的最近一段时间的击键行为特征，当特征数量满足一定条件时，便用新的特征来构建模型，并对模型库中对应的序列模型进行更新。

数据采集模块：在用户登陆网络账号后，监控器会实时地跟踪用户的击键行为，并记录下用户的击键行为时间序列。在用户模型的训练阶段，数据采集模块会采集用户账号使用阶段的所有击键行为，并在用户账号登出后将数据发送给特征提取模块。而在用户身份的持续认证阶段，数据采集模块会设定一个固定大小的字符序列缓冲区，当缓冲区满时，采集模块便将缓冲区中的数据提交给特征提取模块，以便进行身份认证，案例中缓冲区的窗口值大小为30个字符。

特征提取模块：该模块首先会处理采集模块上传的击键行为日志，提取出用户击键的时间间隔向量。在用户模型的训练阶段，特征提取模块需要迭代时间间隔向量的特征值Interval＝<I₁,I₂,......I_p-1>，以挖掘出反映用户击键特征的临界间隔时间ɑ，并根据这一特征进一步挖掘出用户的极相邻字符序列。

模型训练模块：对于一个用户，假定其输入极相邻字符序列的持续时间服从于一个正态分布的过程。该模块利用特征提取模块挖掘出的极相邻字符序列时间特征集，构建每个极相邻字符序列服从的正态分布模型。对于极相邻字符序列S的时间特征集合<S1,S2,S3,…,Sk-1,Sk>，利用最大似然估计的方法计算期望和方差。

其中，

持续认证模块：该模块通过将待估击键行为数据与用户模型进行匹配，给出待估击键行为数据的评分，根据决策算法给出认证结果。当认证结果显示该击键行为数据属于合法用户时，该模块将此次待估数据挖掘出的极相邻字符序列的时间特征集存入缓冲区，待特征数量达到设定值时，便对模型库中对应的极相邻字符序列的模型进行更新。

高斯概率密度函数是一种相似度评价的函数，在用户认证中，用于评价待估的极相邻字符序列与用户模型中的极相邻字符序列的相似度。根据高斯概率密度函数给出评分公式:

其中tS’表示待估击键行为数据中根据用户的临界时间间隔ɑ，挖掘出的极相邻字符序列，而μS，σS分别为用户模型中对应的序列的高斯分布的期望和标准差。

如图6所示，在本发明的一实施例中，使用本发明基于击键行为的身份认证方法和***的认证结果的ROC曲线表明了本发明的认证方法和***在误报率达5.3％的情况下，检测率高达90％以上，能够有效的对用户身份的合法性进行判别，保障用户账号的安全。

综上，本发明，仅提取了用户少量的有代表性的击键特征，去除了大量冗余的击键特征序列，在保证认证准确率的同时，提高了持续认证的响应能力；在用户登陆网络账户时，实时监控用户的击键行为，为合法用户提供持续性的账户安全保障。

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。

Claims

一种基于击键行为的身份认证方法，其特征在于，包括以下步骤：

S1、根据合法用户训练时的合法击键行为构建合法用户击键特征的用户模型；

S2、采集登录用户击键时的待估击键行为生成待估击键时间序列；

S3、根据所述待估击键时间序列生成待估极相邻字符序列；

S4、将所述待估极相邻字符序列与所述用户模型进行匹配，并根据匹配结果判断登录用户的所述待估击键行为是否合法；若不合法，则生成警报并使登录用户重新登录，若合法，则允许登录用户登录，同时存储所述待估击键行为并更新所述用户模型。
根据权利要求1所述的基于击键行为的身份认证方法，其特征在于，所述步骤S1还包括步骤：

S11、采集合法击键行为，并生成合法时间间隔向量；

S12、遍历所述合法时间间隔向量，并判断所述合法时间间隔向量的两个相邻字符序列的时间间隔是否小于预设临界时间间隔；

若是，则所述两个相邻字符置于同一个极相邻字符；

若否，则以所述两个相邻字符中后一个字符为首字符，生成一个新的所述极相邻字符；

S13、计算字符数量为2和3的所述极相邻字符所占的比重，并设置比重最大时的所述预设临界时间间隔为合法临界时间间隔；

S14、通过所述合法临界时间间隔重新生成合法极相邻字符序列，并记录所述合法极相邻字符序列的持续时间。
根据权利要求2所述的基于击键行为的身份认证方法，其特征在于，所述步骤S1还包括步骤：

提取所述合法极相邻字符序列的时间特征集，并构建所述合法极相邻字符序列服从的分布模型。
根据权利要求3所述的基于击键行为的身份认证方法，其特征在于，所述步骤S3还包括步骤：

S31、采集所述待估击键行为；

S32、生成所述待估击键行为的待估时间间隔向量；

S33、结合所述合法临界间隔时间与所述待估时间间隔向量生成所述待估极相邻字符序列。
根据权利要求1所述的基于击键行为的身份认证方法，其特征在于，所述步骤S2还包括步骤：

获取所述待估击键时间序列，并将所述待估击键时间序列存入预设大小的缓冲区，当所述缓冲区满时，发送所述缓冲区中的所有所述估击键时间序列。
根据权利要求1至5任一项所述的基于击键行为的身份认证方法，其特征在于，所述步骤S4中所述待估极相邻字符序列与所述用户模型通过高斯模型进行匹配，所述匹配根据的评分公式为：

其中，t_S’表示待估极相邻字符序列，而μ_S和σ_S分别为所述高斯模型中高斯分布的期望和标准差；

所述判断登录用户的所述待估击键行为是否合法的步骤还包括：

计算单个待估极相邻字符序列的评分，再去除低于预设值的所述评分后将所述评分汇总，比较汇总后的所述评分是否大于阈值；若是，则允许登录，同时存储所述待估击键行为并更新所述用户模型；若否，则发出警告并重新登录。
一种基于击键行为的身份认证***，其特征在于，包括数据采集模块、特征提取模块、模型训练模块、持续认证模块和模型库；

所述数据采集模块用于采集合法用户合法击键行为时的合法击键时间序列和登录用户击键时的待估击键行为生成的的待估击键时间序列，并将所述合法击键时间序列和待估击键时间序列发送至所述特征提取模块；

所述特征提取模块用于根据所述合法击键时间序列和待估击键时间序列分别对应生成合法极相邻字符序列和待估极相邻字符；

所述模型训练模块用于根据所述合法击键行为和合法击键时间序列构建合法用户击键特征的用户模型；

所述持续认证模块用于将所述待估相邻字符序列与所述用户模型进行匹配，并根据匹配结果判断登录用户的所述待估击键行为是否合法，在待估击键行为不合法时生成警报并使登录用户重新登录；在待估击键行为合法时允许登录用户登录，同时存储所述待估击键行为，并反馈给所述模型训练模块更新所述用户模型；

所述模型库用于存储合法用户击键特征的用户模型。
根据权利要求7所述的基于击键行为的身份认证***，其特征在于，

所述数据采集模块还用于在采集合法击键行为，并生成合法时间间隔向量；

所述特征提取模块还用于遍历所述合法时间间隔向量，并根据所述合法时间间隔向量的两个相邻字符序列的时间间隔与预设临界时间间隔的大小生成极相邻字符；计算字符数量为2和3的所述极相邻字符所占的比重，并设置比重最大时的所述预设临界时间间隔为合法临界时间间隔；通过所述合法临界时间间隔重新生成合法极相邻字符序列，并记录所述合法极相邻字符序列的持续时间；

所述特征提取模块还用于提取所述合法极相邻字符序列的时间特征集，并构建所述合法极相邻字符序列服从的分布模型。
根据权利要求8所述的基于击键行为的身份认证***，其特征在于，

所述特征提取模块还用于生成所述待估击键行为的待估时间间隔向量；并结合所述合法临界间隔时间与所述待估时间间隔向量生成所述待估极相邻字符序列。
根据权利要求7所述的基于击键行为的身份认证***，其特征在于，

所述特征提取模块还用于获取所述待估击键时间序列，并将所述待估击键时间序列存入预设大小的缓冲区，当所述缓冲区满时，发送所述缓冲区中的所有所述估击键时间序列。