基于機(jī)器學(xué)習(xí)的Web用戶行為認(rèn)證

毋澤南，田立勤,，王志剛

?

基于機(jī)器學(xué)習(xí)的Web用戶行為認(rèn)證

毋澤南1，田立勤1,2，王志剛2

（1. 華北科技學(xué)院計算機(jī)學(xué)院，北京 101601； 2. 青海師范大學(xué)計算機(jī)學(xué)院，青海 西寧 810008）

針對Web用戶信息的安全問題，結(jié)合機(jī)器學(xué)習(xí)的方法，對用戶行為進(jìn)行分析和認(rèn)證。首先通過主成分分析法對原始數(shù)據(jù)集做降維處理，然后利用SVM算法，讓計算機(jī)對歷史用戶行為證據(jù)進(jìn)行學(xué)習(xí)，得到一個判別用戶身份的模型。實際應(yīng)用和理論分析表明，該模型在用戶行為認(rèn)證判別上，可以更準(zhǔn)確和高效地分類出危險用戶和可信用戶，為諸如電子商務(wù)、網(wǎng)絡(luò)金融等關(guān)鍵網(wǎng)絡(luò)應(yīng)用用戶行為的高性能分析奠定堅實的理論和實踐基礎(chǔ)。

信息安全；用戶行為認(rèn)證；支持向量機(jī)；主成分分析

1 引言

近年來，互聯(lián)網(wǎng)技術(shù)得到了迅猛發(fā)展，社會各行業(yè)以及人們的生活越來越離不開互聯(lián)網(wǎng)。人們在享用互聯(lián)網(wǎng)技術(shù)帶來便利的同時，也感受到互聯(lián)網(wǎng)所面臨的諸多挑戰(zhàn)和問題。互聯(lián)網(wǎng)的開放性、動態(tài)性和共享性，使不法分子利用互聯(lián)網(wǎng)危害社會，損害人們的利益。如何有效地保護(hù)用戶信息、抵御黑客攻擊以及預(yù)防電信詐騙已經(jīng)成為當(dāng)今社會關(guān)注的重點。

文獻(xiàn)[1]中首次提出了可信網(wǎng)絡(luò)的概念，主要闡述了對行為狀況的監(jiān)控、行為的分析與評估、異常行為的監(jiān)管要求；但只是宏觀上研究了用戶行為可信的總體架構(gòu)和信任評估機(jī)制等，并沒有對此提出具體的研究方法。在用戶行為的認(rèn)證方面，文獻(xiàn)[2]提出了云計算環(huán)境下的用戶行為認(rèn)證模型，該模型結(jié)合隨機(jī)Petri網(wǎng)進(jìn)行數(shù)學(xué)建模，缺點是對用戶行為認(rèn)證集分析得不夠全面。文獻(xiàn)[3]提出了權(quán)重均衡優(yōu)化的Web用戶行為的信任評估，通過將主觀權(quán)重與客觀權(quán)重相結(jié)合，得出集成權(quán)重，該方法有效地權(quán)衡了主客觀對用戶行為分析帶來的影響。缺點是該評估方法沒有對用戶行為的歷史證據(jù)集做降維操作，不利于對用戶行為進(jìn)行分析和認(rèn)證，結(jié)果準(zhǔn)確率較低。文獻(xiàn)[4~8]建立了動態(tài)評估的用戶行為模型，且通過分析大量用戶行為證據(jù)來甄別系統(tǒng)中行為異常的用戶，但是整體模型架構(gòu)復(fù)雜度較高，且不易通過編程完成；同時，當(dāng)用戶行為證據(jù)的數(shù)量偏大時，整個模型的運算速度很慢，這會影響到用戶行為評估的實時性，因此該類模型的運算性能不高，導(dǎo)致推廣價值不高。

本文借鑒了上述相關(guān)研究成果，提出了基于主成分分析法和支持向量機(jī)（SVM, support vector machine）相結(jié)合的最優(yōu)化機(jī)器學(xué)習(xí)模型。以筆者開發(fā)的用戶行為信任評估平臺系統(tǒng)所獲取的真實數(shù)據(jù)為例，對PCA-SVM方法進(jìn)行用戶動態(tài)行為認(rèn)證建模過程進(jìn)行實驗分析。通過多次實驗計算和分析說明，相對于其他的用戶行為認(rèn)證方法，PCA-SVM有更高的評估檢測準(zhǔn)確率和分類效率。

2 用戶行為證據(jù)

2.1 用戶行為證據(jù)的獲得

用戶行為證據(jù)通常是指用戶進(jìn)行一系列操作的具體表現(xiàn)形式，如何獲取有效的證據(jù)是進(jìn)行用戶行為認(rèn)證的前提。針對如何獲得大量、可靠的用戶行為數(shù)據(jù)，文獻(xiàn)[9]給出了常用的幾種方法。

1) PC機(jī)上的入侵檢測系統(tǒng)，如Sguil和Tcpdump，可以用于網(wǎng)絡(luò)安全分析，搜集實時的事件活動，獲得用戶訪問次數(shù)等。

2) 利用網(wǎng)絡(luò)流量分析工具，如Bandwidthd，可以獲取網(wǎng)關(guān)的各種協(xié)議，查看數(shù)據(jù)分組的傳送速率。

3) 通過Web日志分析用戶行為。

4) 基于Ajax的單擊流捕獲工具，可以獲得用戶動作信息，如用戶對鼠標(biāo)的一系列操作以及對網(wǎng)頁的某些操作。

本文為了更好地驗證用戶行為認(rèn)證模型的準(zhǔn)確率，文中實驗所用的數(shù)據(jù)來源于筆者開發(fā)的一個電子商務(wù)網(wǎng)站，該系統(tǒng)基于JavaScript和form表單提交，從用戶登錄直到退出，所有的一系列動作會被獲取并提交到后臺進(jìn)行處理，然后存入數(shù)據(jù)庫。

2.2 用戶行為證據(jù)的規(guī)范化

由于所獲得的用戶行為證據(jù)的單位大多各不相同，如用戶輸入密碼錯誤總次數(shù)、用戶使用操作系統(tǒng)的歷史出現(xiàn)率。因此，在進(jìn)行建模前需要對搜集到的用戶歷史行為證據(jù)做進(jìn)一步的處理，以便將所獲得的用戶行為數(shù)據(jù)轉(zhuǎn)化到[0,1]范圍內(nèi)。本文采用了無量綱化的方法。文中用到的17種用戶行為的證據(jù)類型可分為：數(shù)值型、百分比類型和布爾類型。

1) 由于百分比類型和布爾類型的數(shù)據(jù)本身就在[0,1]范圍內(nèi)，因此可利用式(1)進(jìn)行處理。

2) 整數(shù)類型的用戶行為證據(jù)包括用戶輸入退格數(shù)、輸入用戶名或者密碼錯誤的總次數(shù)、購物下載圖書量等，針對這類證據(jù)集，使用式(2)進(jìn)行規(guī)范化處理。

3) 原始數(shù)據(jù)無量綱化的過程。以“用戶輸入密碼的錯誤次數(shù)”為例，最近一次的行為證據(jù)中，得到“用戶輸入密碼的錯誤次數(shù)”為2，用戶行為證據(jù)中，該證據(jù)的最大值為3，最小值為0，該證據(jù)值為非安全型證據(jù)，根據(jù)式(2)，可以很容易計算出該證據(jù)的無量綱化值為0.333；依次類推，可以得出其他證據(jù)的無量綱化值。

3 PCA-SVM用戶行為信任評估

3.1 PCA對用戶行為證據(jù)進(jìn)行降維

用戶行為證據(jù)具有較高的維數(shù)，本文選取了17種，為了提高用戶行為信任評估的準(zhǔn)確率和效率，本文采用 PCA 對用戶行為最初的樣本數(shù)據(jù)做降維處理，提取與分析結(jié)果相關(guān)的重要特性。PCA基本原理是首先對原始數(shù)據(jù)維屬性矩陣進(jìn)行處理，并在空間中進(jìn)行坐標(biāo)旋轉(zhuǎn)。通過PAC可以使原始樣本在不改變數(shù)據(jù)結(jié)構(gòu)情況下，得到用戶行為數(shù)據(jù)的主成分線性組合，且兩兩獨立相關(guān)，這樣就可以更好地將原始數(shù)據(jù)中的有效成分保留下來。下面介紹PCA在用戶行為證據(jù)集中應(yīng)用的主要步驟。

4) 求出協(xié)方差矩陣的特征向量和特征值。

本文選取了17種用戶行為證據(jù)集，通過上述計算，最終確定了6種主成分。

3.2 支持向量機(jī)

支持向量機(jī)是一種監(jiān)督式學(xué)習(xí)的分類算法，是Vapnik[10]于1995年首先提出的，多用于統(tǒng)計分類以及回歸分析，其優(yōu)勢在于解決小樣本、高維模式識別以及非線性的分類。同時，它能夠很好地應(yīng)用推廣到函數(shù)擬合等其他的機(jī)器學(xué)習(xí)中。綜合以上這些優(yōu)點，本文選用支持向量機(jī)對用戶在互聯(lián)網(wǎng)環(huán)境中的行為進(jìn)行研究。

圖1 SVM線性分類

該方法的關(guān)鍵在于如何選取合適的核函數(shù)，一般應(yīng)用的核函數(shù)主要有以下4種。

綜上所述，SVM分類的最終目標(biāo)就是找到一個最優(yōu)分類超平面，且這個超平面使2個類別之間的間隔最大。要使這個間隔最大，即求解式(3)所示問題。

本文采用RBF作為支持向量機(jī)的核函數(shù)，所以最終的決策函數(shù)為

總體來說，對于線性不可分的情況，支持向量機(jī)通過選取比較合適的核函數(shù)，將輸入樣本空間映射到高維空間，這樣就可以在高維特征空間中構(gòu)造出用于分類的最優(yōu)超平面。因此，SVM不僅可以在平面上對數(shù)據(jù)進(jìn)行分類，而且可以對本身不好分的非線性數(shù)據(jù)進(jìn)行分類。如圖2所示，樣本數(shù)據(jù)在二維空間平面上無法進(jìn)行有效劃分，通過SVM的核函數(shù)，映射到三維空間中進(jìn)行分類。

圖2 SVM非線性分類

3.3 SVM分類的模型選擇

關(guān)于SVM分類模型的選擇，目前還沒有太多的經(jīng)驗與實力可供參考，因此只能通過大量實驗分析及確定。

3.3.1 數(shù)據(jù)格式轉(zhuǎn)換

3.3.2 RBF核函數(shù)參數(shù)的確定

4 用戶行為認(rèn)證架構(gòu)

目前，在認(rèn)證用戶行為時，大部分情況下都是使用用戶最近一次的用戶行為所產(chǎn)生的數(shù)據(jù)進(jìn)行評價，這種方法所得出的結(jié)果是不合理、不可靠的，因為用戶每次的行為是習(xí)慣的一種具體表現(xiàn)，而習(xí)慣又是一個人長久養(yǎng)成的生活方式，如果用戶的行為出現(xiàn)異常，那么該異常應(yīng)該體現(xiàn)在需評估用戶行為與習(xí)慣用戶行為的差異上，因此需要綜合歷史用戶行為和需評估用戶行為。

使用支持向量機(jī)進(jìn)行用戶行為認(rèn)證的整體過程主要分為：訓(xùn)練學(xué)習(xí)階段和實際預(yù)測階段，具體實現(xiàn)過程包括如下幾個步驟（如圖3所示）。

1) 數(shù)據(jù)的收集和預(yù)處理。本文中實驗用到的數(shù)據(jù)來源于筆者開發(fā)的一個用戶行為監(jiān)測系統(tǒng)，該系統(tǒng)是基于Java實現(xiàn)的Web系統(tǒng)，由JSP頁面和后臺控制程序組成，其主要的功能有圖書的借閱、查詢、購買、下載和用戶個人信息管理等。這些用戶行為證據(jù)可根據(jù)2.2節(jié)進(jìn)行規(guī)范化處理操作。

2) 主成分提取。本文采用了 PCA 對用戶行為的原始樣本數(shù)據(jù)做降維處理，以便獲取與檢測結(jié)果相關(guān)的重要行為特征。

3) SVM的輸入與輸出。本文對用戶行為認(rèn)證的訓(xùn)練是以用戶訪問的歷史行為數(shù)據(jù)作為SVM的輸入，而輸出對應(yīng)的則是用戶行為認(rèn)證結(jié)果。通過尋找輸入域輸出的依賴關(guān)系更加準(zhǔn)確地預(yù)測用戶的合法性。

4) 參數(shù)調(diào)優(yōu)。選取合適的參數(shù)，對訓(xùn)練模型構(gòu)建起著關(guān)鍵作用，但由于支持向量機(jī)中包含多個參數(shù)，而且目前關(guān)于參數(shù)的選擇并沒有非常有效的方法，更多的是根據(jù)平時的經(jīng)驗，首先大致判斷出一個范圍，然后進(jìn)行多次訓(xùn)練。

5) 構(gòu)建評估模型。根據(jù)3.2節(jié)選擇不同的核函數(shù)，結(jié)合訓(xùn)練樣本進(jìn)行系統(tǒng)訓(xùn)練，通過對比分析，獲得最優(yōu)的用戶行為認(rèn)證模型。

6) 對測試樣本進(jìn)行預(yù)測與分類。通過使用SVM構(gòu)造的模型對測試樣本進(jìn)行預(yù)測和分析，并輸出用戶行為認(rèn)證的結(jié)果。

圖3 用戶行為認(rèn)證流程

5 實例應(yīng)用效果分析

5.1 用戶行為認(rèn)證的理論計算實例

本文實驗數(shù)據(jù)來源于自己開發(fā)的一個電子圖書商務(wù)網(wǎng)站，用戶可以在上面進(jìn)行購買、下載、查詢等操作，這樣系統(tǒng)后臺獲得的數(shù)據(jù)較為真實，本文選取17種用戶行為證據(jù)作為研究，分別為：1) 用戶所用操作系統(tǒng)類型的出現(xiàn)率；2) 用戶訪問所用瀏覽器歷史出現(xiàn)率；3) 計算機(jī)操作系統(tǒng)版本出現(xiàn)率；4) 用戶IP歷史出現(xiàn)率；5) 用戶計算機(jī)屏幕分辨率歷史出現(xiàn)率；6) 用戶登錄時所在地的歷史出現(xiàn)率；7) 輸入用戶名時的退格數(shù)；8) 輸入密碼時的退格數(shù)；9) 輸入用戶名錯誤總次數(shù)；10) 輸入密碼錯誤總次數(shù)；11) 使用銀行賬號歷史出現(xiàn)率；12) 購買圖書總次數(shù)；13) 下載圖書總流量；14) 下載圖書總次數(shù)；15) 訪問敏感服務(wù)總次數(shù)；16) 用戶退出時的信任值；17) 登錄時間信任值。

表1 模型的誤報率和檢測率

5.2 用戶行為認(rèn)證的算法對比分析

圖4和圖5分別表示本文所提出的算法與其他幾種常用算法的檢測誤報率對比和檢測成功率對比。其中，誤報率是指認(rèn)證成功但實際為危險用戶占可信用戶的比率。因此，在用戶行為認(rèn)證中，誤報率是一項重要的性能指標(biāo)，如果誤報率過高，則會影響系統(tǒng)對用戶的判定。本文算法的中心思想是綜合PCA和SVM對用戶行為數(shù)據(jù)進(jìn)行認(rèn)證與預(yù)測，采用PCA算法可以很好地消除用戶行為證據(jù)集中的重復(fù)信息，有效降低原始數(shù)據(jù)的維數(shù)，增強(qiáng)證據(jù)間的耦合性，有助于提高實驗檢測效率。這也證明，SVM技術(shù)可以很好地適用于用戶行為認(rèn)證中。

圖4 誤報率比較

圖5 檢測率比較

從圖4和圖5的算法比較來看，本文提出的PCA-SVM算法的誤報率要好于其他2種算法，說明本文算法中SVM的算子和參數(shù)選擇比較成功。同時，與神經(jīng)網(wǎng)絡(luò)相比，本文算法的優(yōu)點在于，它不僅訓(xùn)練速度較其他2種算法更快，而且當(dāng)用戶行為證據(jù)集發(fā)生小的變動時，它并不需要變更算法中的算子和參數(shù)，這樣分類效率更高。

6 結(jié)束語

本文通過筆者開發(fā)的用戶行為認(rèn)證平臺，結(jié)合LIBSVM工具進(jìn)行實驗，通過多次實驗分析，選擇了PCA與SVM相結(jié)合作為用戶動態(tài)行為認(rèn)證的分類器。為了降低實驗的工程量，在確定SVM的核函數(shù)和核參數(shù)時，首先進(jìn)行了理論分析與比較，先確定出參數(shù)的大概取值范圍，再通過交叉驗證法進(jìn)行選擇。與傳統(tǒng)的用戶行為認(rèn)證不同，本文利用機(jī)器學(xué)習(xí)的方法，通過訓(xùn)練模型，使計算機(jī)自動對用戶行為進(jìn)行分類，與傳統(tǒng)方法相比，很好地提升了分類的效率。

實驗結(jié)果表明，本文提供的基于PCA-SVM的分類器對用戶行為認(rèn)證具有較好的表現(xiàn)，同時具有較高的檢測率。接下來的研究重點是對用戶行為認(rèn)證進(jìn)行更深一步的學(xué)習(xí)，尤其在核函數(shù)的參數(shù)設(shè)置上，希望能找到最優(yōu)的核函數(shù)，并通過與更多的算法進(jìn)行比較分析，完善和改進(jìn)SVM算法。

[1] 林闖, 田立勤, 王元卓. 可信網(wǎng)絡(luò)中用戶行為可信的研究[J]. 計算機(jī)研究與發(fā)展, 2008, 45(12)：2033-2043 .

LIN C, TIAN L Q, WANG Y Z. Study on trusted users' behavior in trusted network[J]. Journal of Computer Research and Development, 2008, 45 (12): 2033-2043.

[2] 陳亞睿, 田立勤, 楊揚 . 云計算環(huán)境下動態(tài)用戶行為認(rèn)證的機(jī)制、模型與分析[J]. 系統(tǒng)仿真學(xué)報, 2011, 23(11): 2302-2307 .

CHEN Y R, TIAN L Q, YANG Y. Mechanism, model and analysis of dynamic user behavior authentication in cloud computing environment[J]. Journal of System Simulation, 2011, 23 (11): 2302-2307.

[3] 田立勤, 李君建, 毋澤南. 權(quán)重均衡優(yōu)化的Web用戶行為的信任評估[J]. 北京郵電大學(xué)學(xué)報, 2016, 39(6)：99-103 .

TIAN L Q, LI J J, WU Z N. Trust assessment of Web user behavior based on weight balance optimization [J]. Journal of Beijing University of Posts and Telecom, 2016,39 (6): 99-103.

[4] 郭樹凱, 田立勤, 沈?qū)W利. FAHP在用戶行為信任評價中的研究[J]. 計算機(jī)工程與應(yīng)用, 2011, 47(12)：59-61 .

GUO S K, TIAN L Q, SHEN X L. Research on FAHP in user behavior trust evaluation[J]. Computer Engineering and Application, 2011, 47 (12): 59-61.

[5] LI W, PING L D, LU K J, et al . Trust model of users' behavior in trustworthy Internet[C]//2009 WASE International Conference on Information Engineering, Piscataway. 2009：403-406 .

[6] LIU W, REN P, LIU K, DUAN H X . User cooperation trust model and its application in network security management[C]//2011 Eighth International Conference on Fuzzy Systems and Knowledge Discovery (FSKD).2011：2335-2339 .

[7] BROSSO I, NEVE A L, BRESSAN G, et al. A continuous authentication system based on user behavior analysis[C]// Ares '10 International Conference on Availability, Reliability, and Security. 2010: 380-385.

[8] NOOR T H, SHENG Q Z, ALFAZI A. Reputation attacks detection for effective trust assessment among cloud services[C]// IEEE International Conference on Trust, Security and Privacy in Computing and Communications. 2013:469-476.

[9] 冀鐵果, 田立勤, 等.可信網(wǎng)絡(luò)中一種基于AHP的用戶行為評方法[J]. 計算機(jī)工程與應(yīng)用, 2007,43（19）：123-127.

JI T G, TIAN L Q, et al. A AHP-based user behavior assessment method in trusted network[J] .Computer Engineering & Applications, 2007,43 (19): 123-127.

[10] 萬普尼克.統(tǒng)計學(xué)習(xí)理論[M].北京: 電子工業(yè)出版社, 2009.

VAPNIK. Statistical Learning Theory[M]. Beijing: Publishing House of Electronics Industry, ,2009.

[11] CHANG C C, LIN C J. LIBSVM: a library for support vector machines[C]//ACM Transactions on Intelligent Systems and Technology(TIST) . 2011.

Behavior authentication of Web users based on machine learning

WU Zenan1, TIAN Liqin1,2, WANG Zhigang2

1. School of Computer Science and Technology, North China Institute of Science and Technology, Beijing 101601, China 2. School of Computer Science and Technology, Qinghai Normal University, Xining 810008, China

According to the security problem of Web user information, the user behavior was analyzed and authenticated by the method of machine learning. First of all, through the principal component analysis to reduce the dimension of the original data set, then use the SVM algorithm to allow the computer to learn the history of user behavior evidence, to get a model to identify the user's identity. The practical application and theoretical analysis show that the model in user behavior identification authentication, can be more accurate and efficient classification of dangerous users and trusted users, analysis lay a solid theoretical and practical basis for the high performance user behavior such as electronic commerce, network finance and other key of Internet applications.

information security, user behavior authentication, support vector machine, principal component analysis

TP309

A

10.11959/j.issn.2096-109x.2018011

毋澤南（1991-），男，河南焦作人，華北科技學(xué)院碩士生，主要研究方向為信息安全、用戶行為認(rèn)證。

田立勤（1970-），男，陜西定邊人，博士，華北科技學(xué)院教授，主要研究方向為物聯(lián)網(wǎng)遠(yuǎn)程信息監(jiān)控、大數(shù)據(jù)有效性審核、網(wǎng)絡(luò)安全評價與用戶行為認(rèn)證、網(wǎng)絡(luò)性能評價與優(yōu)化。

王志剛（1993-），男，河北張家口人，青海師范大學(xué)碩士生，主要研究方向為大數(shù)據(jù)、云計算。

2017-11-07；

2018-01-05

田立勤，18511465255@163.com

國家自然科學(xué)基金資助項目（No.61472137）；中央高校基本科研業(yè)務(wù)費基金資助項目（No.3142015022, No.3142017053）；青海省重點研發(fā)、應(yīng)用基礎(chǔ)研究基金資助項目（No.2016-SF-130, No.2017-ZJ-752）；河北省物聯(lián)網(wǎng)監(jiān)控工程技術(shù)研究中心基金資助項目（No.3142016020）；青海省物聯(lián)網(wǎng)重點實驗室基金資助項目（No.2017-ZJ-Y21）

The National Natural Science Foundation of China (No.61472137), The Central University Basic Research Fees Fund Project (No.3142015022,No.3142017053), The Key Research and Development Projects of Qinghai Province(No.2016-SF-130, No.2017-ZJ-752), Internet of Things Monitoring Engineering Research Center of Hebei Province (No.3142016020), Key Laboratory of Internet of Things of Qinghai Province (No.2017-ZJ-Y21)