基于三支決策的用戶訪問行為認證方法研究

陳楠 田立勤 毋澤南 張藝 武文星

摘 要：隨著網(wǎng)絡(luò)信息安全技術(shù)的不斷發(fā)展，行為認證已成為身份驗證研究的重要內(nèi)容之一。針對傳統(tǒng)用戶行為認證方法中由于行為信息量過多而導(dǎo)致的認證時間過長問題，提出了一種基于三支決策的用戶訪問行為認證方法。該方法首先通過三支決策對獲取的部分行為特征進行預(yù)先認證，將待檢測用戶認定為合法用戶、延遲決策用戶和非法用戶三個類別，再通過二支決策方法對繼續(xù)獲取行為特征的延遲決策用戶進行進一步認證，在提高認證實時性的同時，克服了認證過程中由于特征不足而導(dǎo)致的不確定性問題，從而保證行為認證結(jié)果的準確性。實驗結(jié)果表明，該方法能夠取得較好的認證效果并有效降低認證時間。

關(guān)鍵詞：訪問行為;行為特征;三支決策;用戶行為認證;訪問信息安全

中圖分類號：TP309 文獻標(biāo)識碼：A DOI：10.3969/j.issn.1003-6970.2021.02.001

本文著錄格式：陳楠，田立勤，毋澤南，等.基于三支決策的用戶訪問行為認證方法研究[J].軟件，2021，42（02）：001-005+027

Research on User Access Behavior Authentication Method Based on Three Decisions

CHEN Nan1， TIAN Liqin1，2， WU Zenan2， ZHANG Yi1， WU Wenxing1

（1.School of Computer， North China Institute of Science and Technology， Beijing? 065201;

2.School of Computer， Qinghai Normal University， Xining? Qinghai? 810000）

【Abstract】：With the continuous development of network information security technology， behavior authentication has become one of the important contents of identity verification research. Aiming at the problem of too long authentication time due to the excessive amount of behavior information in traditional user behavior authentication methods， a user access behavior authentication method based on three decisions is proposed. This method first pre-authenticates some of the acquired behavior characteristics through three decision-making methods， and recognizes the users to be detected as legitimate users， delayed decision-making users， and illegal users， and then uses two decision-making methods to determine the delayed decision to continue acquiring behavior characteristics. The user performs further authentication， which not only improves the real-time of authentication， but also overcomes the uncertainty problem caused by insufficient features in the authentication process， thereby ensuring the accuracy of the behavior authentication result. Experimental results show that this method can achieve better certification results and effectively reduce certification time.

【Key words】：access behavior;behavior characteristics;three decision-making;user behavior authentication; access information security

0引言

隨著互聯(lián)網(wǎng)信息技術(shù)的快速發(fā)展，電子商務(wù)、互聯(lián)網(wǎng)金融和工業(yè)信息化等各個領(lǐng)域都獲得了前所未有的創(chuàng)新力和推動力。人們在享受互聯(lián)網(wǎng)技術(shù)帶來便利的同時，網(wǎng)絡(luò)應(yīng)用和服務(wù)信息訪問的安全問題也變得日益嚴峻[1-3]。

身份認證是保障網(wǎng)絡(luò)信息安全服務(wù)的基礎(chǔ)，現(xiàn)行主流的身份認證手段包括基于密鑰的身份認證和基于生物學(xué)特征的身份認證，但傳統(tǒng)的靜態(tài)身份認證方法無法保障企業(yè)或個人因信息泄露而導(dǎo)致的敏感數(shù)據(jù)丟失和惡意利用的問題[4]。在用戶進行身份信息驗證后，增加對用戶行為的認證，使得認證更加完善[5-6]。文獻[7]提出一種結(jié)合專題分析和有向圖分析的自由文本按鍵行為特征分析方法，以解決自由文本按鍵時的動態(tài)性問題，并構(gòu)建神經(jīng)網(wǎng)絡(luò)模型對惡意用戶行為進行認證。文獻[8]提出一種基于用戶鼠標(biāo)行為的身份認證方法，采用層次劃分法對用戶的鼠標(biāo)行為特征進行劃分，并利用隨機森林分類決策模型對用戶的鼠標(biāo)行為進行認證，解決用戶行為數(shù)據(jù)中存在的過擬合和噪聲問題。文獻[9]構(gòu)建了一種基于封閉集的樸素貝葉斯分類模型，對Web導(dǎo)航連接日志數(shù)據(jù)集中的用戶行為進行認證，對訪問用戶的合法身份進行有效驗證。

目前基于行為認證的研究主要是通過二支決策思想對用戶行為信息進行認證，二支決策通常需要獲取用戶的完整行為信息，若要在較短的時間內(nèi)對用戶行為進行認證，則需減少用戶行為數(shù)據(jù)的收集，但較少的行為信息不能夠全面的描述用戶行為習(xí)慣，并且會導(dǎo)致最終認證結(jié)果的準確率降低。對此，本文提出一種基于三支決策的用戶訪問行為認證方法，利用三支決策對先獲取的用戶行為狀態(tài)認證集進行預(yù)先認證，并結(jié)合二支決策對后續(xù)獲取的完整行為認證集信息進行最終認證，保障了行為認證的實時性和準確性。

1相關(guān)工作

1.1 用戶行為認證

在對用戶行為進行認證時，將用戶與服務(wù)提供者在交互過程中所獲取的實時行為證據(jù)提交給相應(yīng)的行為認證服務(wù)器，服務(wù)器根據(jù)提交的行為證據(jù)與存儲在數(shù)據(jù)庫中的歷史行為證據(jù)信息進行認證，根據(jù)認證結(jié)果確定用戶訪問行為的合法性。服務(wù)提供者在用戶請求服務(wù)時首先獲取訪問用戶的部分行為證據(jù)信息，如訪問時間、用戶終端IP地址和操作系統(tǒng)等信息。然后將行為信息提交到行為認證服務(wù)器與歷史行為證據(jù)信息進行預(yù)先認證，服務(wù)提供者為通過預(yù)先認證的用戶提供訪問服務(wù)，并繼續(xù)獲取實時行為證據(jù)對用戶行為進行進一步認證。

1.2 三支決策

三支決策（Three-Way Decision，3WD）思想源自于解決分類問題的決策粗糙集（DTRS）理論，是由Yao[10]等提出用于處理不完整、不精確信息的決策分析理論。在人們實際決策當(dāng)中，對信息了解不夠全面和證據(jù)掌握不足的事物，往往需要做進一步?jīng)Q策，通過延遲決策可以避免分類信息不足時盲目決策所造成的風(fēng)險。三支決策的基本思想是將論域集劃分為三個兩兩互不相交的區(qū)域，即正域POS（X）、邊界域BND（X）和負域NEG（X），并對不同的區(qū)域采取不同的決策處理[11]。

根據(jù)概率粗糙集[12-13]理論，假定論域為U，令Pr（X|x）表示任何一個對象在屬于x的條件下屬于狀態(tài)X的評估函數(shù)，x所對應(yīng)的狀態(tài)集合可以表示為，X和分別表示為屬于X和不屬于X。給定一對閾值，其中，假設(shè)集合中值為接受狀態(tài)和拒絕狀態(tài)分別由和所確定，那么概率正、負和邊界域可定義為：

（1）

根據(jù)以上論域集合的劃分[14]，若對象在屬于x的條件下關(guān)于狀態(tài)集合X的條件概率大于閾值α，此時的對象被劃分到正域POS（X），即采取接受策略;若對象在屬于x的條件下關(guān)于狀態(tài)集合X的條件概率小于閾值β，此時的對象被劃分到負域NEG（X），即采取拒絕策略;若對象在屬于x的條件下關(guān)于狀態(tài)集合X的條件概率介于α和β之間，此時的對象被劃分到邊界域BND（X），即采取延遲決策，所對應(yīng)的三支決策模型如圖1所示。

1.3邏輯回歸

由邏輯回歸[15]（Logistic Regression，LR）主要是用于描述給定的一組訓(xùn)練樣本對象x與具有二分類性質(zhì)的分類標(biāo)簽之間的一種最佳映射關(guān)系的統(tǒng)計方法。定義數(shù)據(jù)集，，，，輸入向量特征為，分類標(biāo)簽為y，這里X和用0和1表示，通過sigmod函數(shù)將任意輸入映射到[0，1]區(qū)間范圍內(nèi)，sigmod函數(shù)形式如下：

（2）

式中z表示為特征向量的線性回歸模型：

（3）

其中θ為各學(xué)習(xí)特征的回歸系數(shù)，再將線性回歸得到值映射到sigmod函數(shù)中，實現(xiàn)特征向量與該樣本分類結(jié)果的條件概率相關(guān)聯(lián)，公式如下：

（4）

2基于三支決策的用戶行為認證

2.1 二支決策行為認證

二支決策定義：在給定信息量的情況下，對當(dāng)前對象的行為狀態(tài)進行決策判斷，并根據(jù)決策結(jié)果采取接受或拒絕兩種決策行動。

用戶分類算法是認證決策模塊的核心，現(xiàn)有的用戶行為認證方法都是二支分類行為認證，該方法對認證源信息進行計算，將一次計算的結(jié)果作為劃分用戶訪問行為合法性的依據(jù)。假定給定一組用戶行為特征進行行為認證，通常采用分類器計算當(dāng)前用戶的分類條件概率，行為認證的條件概率表示公式如下：

（5）

基于二支決策的行為認證系統(tǒng)通過二支決策分類器對獲取的用戶訪問行為特征進行認證，對認證為合法的用戶采取接受策略，對認證為非法的用戶采取拒絕策略，具體的認證決策模型如圖2所示。

二支決策行為認證系統(tǒng)包括五個模塊：數(shù)據(jù)采集模塊、數(shù)據(jù)預(yù)處理模塊、特征提取模塊、分類與認證模塊。該系統(tǒng)主要包含兩個階段，行為認證分類器的構(gòu)建階段和行為認證階段。在行為認證分類器的構(gòu)建階段，對采集到的訓(xùn)練數(shù)據(jù)進行預(yù)處理，獲得能夠描述用戶訪問行為的數(shù)據(jù)，并對行為數(shù)據(jù)進行特征提取，得到訪問行為特征x1，x2，…，xn，再將提取的行為特征用于訓(xùn)練用戶行為二支決策分類器。在行為認證階段，數(shù)據(jù)采集模塊自動采集用戶的實時訪問行為數(shù)據(jù)，進過數(shù)據(jù)預(yù)處理，特征提取模塊將獲得的行為數(shù)據(jù)進行處理計算得到用戶的訪問行為特征x1，x2，…，xn，最后將待檢測的行為特征送入已經(jīng)訓(xùn)練好的用戶行為二支決策分類器中來認證當(dāng)前用戶是否為合法用戶。若當(dāng)前用戶行為認證為非法，則系統(tǒng)會采取拒絕策略;若用戶行為認證為合法，則系統(tǒng)采取接受策略。該方法通過一次認證確定用戶行為的合法性，但收集完整的用戶行為信息需要較多的收集時間，導(dǎo)致系統(tǒng)面臨的安全風(fēng)險增加。

2.2 三支決策行為認證分類方法

三支決策定義：是二支決策的推廣，在給定不確定或不完整信息條件下，對當(dāng)前對象的行為狀態(tài)進行決策判斷，并根據(jù)決策結(jié)果采取三種決策選擇，即接受、拒絕和延遲決策。

在對用戶行為做三支決策分類研究時，先對獲取的部分行為特征進行決策分類，如系統(tǒng)在用戶登錄時獲得的訪問行為：操作系統(tǒng)、訪問時間、IP、瀏覽器、域名、來訪URL，點擊URL，密碼錯誤數(shù)等。由于信息的不充分性和不確定性，三支決策的關(guān)鍵是利用有限的信息對用戶進行劃分。本文用U表示某個用戶，對具有x={x1，x2，…，xn}行為特征描述的對象而言，狀態(tài)集記為，包含表示用戶合法性的兩個互補關(guān)系的狀態(tài)X和。行動決策集記為A={αP，αB，αN}，其中αP，αB，αN表示將當(dāng)前用戶對象x劃分到POS（X），BND（X）和NEG（X）的三種行動決策方式，依次表示為x∈POS（X），表示當(dāng)前用戶行為認證為合法采取接受決策;x∈BND（X），表示當(dāng)前用戶對象需要進一步調(diào)查，采取延遲決策;x∈NEG（X），表示當(dāng)前用戶行為認證為非法采取拒絕決策。在不同用戶狀態(tài)下采取不同策略所對應(yīng)的損失函數(shù)矩陣如表1所示。

其中λPP，λBP和λNP表示當(dāng)前用戶對象x∈X時，分別采取行動策略αP，αB，αN所對應(yīng)的損失函數(shù)值;λPN，λBN和λNN表示當(dāng)前對象x∈X時，分別采取行動策略所對應(yīng)的損失函數(shù)值。根據(jù)貝葉斯最小風(fēng)險決策規(guī)則[16]計算可以得到最佳閾值α和β的值為

（6）

（7）

并且

（8）

通過訓(xùn)練集對分類器進行訓(xùn)練獲得參數(shù) 的值，從而求得用戶行為認證為合法的條件概率為

（9）

因而，利用上式可以求得用戶U的訪問行為被認證為合法的條件概率。某一時刻j所獲取的行為特征，其中，在此條件下用戶的訪問行為被認證為合法的條件概率P（X|xj），結(jié)合最小風(fēng)險決策提出以下3條規(guī)則對用戶行為進行三支決策分類：

（P）如果P（X|xj）≥α，則選擇xj∈POS（X），當(dāng)前用戶U的訪問行為合法;

（B）如果β≤P（X|xj）≤α，則選擇xj∈BND（X），當(dāng)前用戶U的訪問行為需要延遲決策;

（N）如果P（X|xj）≤β，則選擇xj∈NEG（X），當(dāng)前用戶U的訪問行為非法。

2.3 三支行為認證模型

為了提高用戶行為認證系統(tǒng)在較少的期望認證時間內(nèi)對不確定性信息的處理能力，從三支決策的角度對已有的二支決策模型進行擴展，構(gòu)建三支行為認證模型，如圖3所示。該模型主要由數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、行為特征提取、分類與認證等五個模塊組成。

（1）數(shù)據(jù)采集模塊利用埋點和日志記錄等方式采集用戶U的訪問行為數(shù)據(jù)，獲得用戶訪問系統(tǒng)時的所有訪問、瀏覽、點擊等行為數(shù)據(jù)。

（2）數(shù)據(jù)預(yù)處理模塊對原始行為數(shù)據(jù)中的異常值進行處理，并刪除原始行為數(shù)據(jù)中的一些不相關(guān)數(shù)據(jù)、重復(fù)數(shù)據(jù)等。該模塊從原始采集數(shù)據(jù)中挖掘出適應(yīng)用戶行為認證模型的用戶行為數(shù)據(jù)，如：訪問時間、IP、域名、客戶標(biāo)識、訪問標(biāo)識、產(chǎn)品類型等。

（3）對預(yù)處理過的用戶行為數(shù)據(jù)進行特征提取，特征提取模塊將用戶行為數(shù)據(jù)組合成用戶U的訪問行為特征x1，x2，…，xn，并計算行為特征的特征值。行為特征包括：操作系統(tǒng)、點擊類型、訪問速度、停留時間等。

（4）將提取的用戶行為特征對三支行為認證模型進行建模獲得分類器，然后通過計算模型的損失函數(shù)得到三支決策分類的閾值α和β。

（5）用戶行為認證模塊在對用戶U的實時行為進行決策時，將系統(tǒng)先獲得的部分行為特征x1，x2，…，xk輸入到?jīng)Q策分類器中得到?jīng)Q策概率P（X|x），利用決策概率對當(dāng)前用戶行為進行三支決策分類，判定當(dāng)前訪問用戶U的合法性，若當(dāng)前訪問行為合法，則系統(tǒng)采取接受策略;若當(dāng)前訪問行為非法，則系統(tǒng)采取拒絕策略;若當(dāng)前訪問行為需要延遲決策，則系統(tǒng)繼續(xù)收集用戶U的行為特征xk+1，xk+2，…，xn，并使用二支決策分類器對用戶U的n個行為特征進行決策分類，獲得最終的行為認證結(jié)果。

3實驗

3.1 實驗配置

硬件環(huán)境：CPU型號為Intel core i7-8750H@2.2GHz，內(nèi)存為DDR4（16G），硬盤為WXF1A28J5D（1000G）;軟件環(huán)境：操作系統(tǒng)為Windows10 64位，開發(fā)環(huán)境Python 3.7，集成開發(fā)環(huán)境為PyCharm 2019。

3.2 評價指標(biāo)

指標(biāo)1：ROC曲線是反應(yīng)敏感性和特異性連續(xù)變量的綜合指標(biāo)，曲線描述了假正率和真正率之間的變化關(guān)系。AUC（area under curve）為ROC曲線下的面積，AUC越大說明模型分類效果越好。

指標(biāo)2：準確率（Accuracy）表示用戶行為認證過程中，用戶行為樣本分類正確的次數(shù)占總分類次數(shù)的比值。計算公式如下：

（10）

一般情況下，認證結(jié)果的準確率越高，說明模型對用戶行為誤判的可能性越低。

指標(biāo)3：期望認證時間指行為特征向量認證的期望時間，三支行為認證模型的期望時間TmethodTWD計算公式如下：

（11）

其中BND_RATE表示需要進行延遲決策的訪問行為樣本占總測試集樣本數(shù)量的比率。

3.3 實驗結(jié)果與分析

根據(jù)以上所提出的三支決策行為認證分類方法，下面通過一個實例來驗證三支行為認證模型的有效性。現(xiàn)有用戶U與某電商平臺服務(wù)器的5505組交互數(shù)據(jù)，已對合法和非法用戶行為進行標(biāo)記，由于用戶行為具有時序性，將用戶行為樣本集的前70%作為訓(xùn)練集，其余30%作為實時用戶行為用于檢驗?zāi)Ｐ偷姆诸愋ЧＯ葘?shù)據(jù)進預(yù)處理，去除異常值、重復(fù)和不相關(guān)的數(shù)據(jù)，并提取用戶行為特征，用獲得的行為特征向量訓(xùn)練集學(xué)習(xí)分類模型，并將測試集數(shù)據(jù)作為用戶的實時訪問行為對模型進行檢驗。

實驗過程中本文將行為測試集輸入到已經(jīng)訓(xùn)練好的分類模型中，其中分類算法邏輯回歸的正則化參數(shù)C=0.8，通過多次實驗并根據(jù)最小風(fēng)險決策規(guī)則求得三支決策的閾值α=0.95，β=0.38。實驗最終獲得的ROC曲線如圖4所示。ROC曲線的左上角代表真正率為100%，假正率為0，ROC曲線越靠近左上角，則三支行為認證模型的性能越好。從圖4可以發(fā)現(xiàn)三支行為認證模型整體的AUC為0.88，說明該模型能對用戶行為的正負樣本起到很好的分類效果。

下面采用不同的二支分類模型對樣本數(shù)據(jù)集進行學(xué)習(xí)，并檢驗本文所提出的基于三支決策的用戶訪問行為認證方法對認證結(jié)果的影響，實驗結(jié)果如表2所示。

通過以上實驗結(jié)果可以看出，三支行為認證模型較其他分類模型仍具有較高的準確率，期望認證時間為4.37s，較邏輯回歸二支分類模型的期望認證時間縮短了3.04s。因此，三支行為認證模型能在較少的期望認證時間內(nèi)對用戶行為進行認證，并保證較高的認證準確率，實現(xiàn)對用戶訪問行為的有效檢測。

4結(jié)語

本文以電商訪問行為數(shù)據(jù)集作為研究和分析對象，根據(jù)三支決策理論對原有的二支決策模型進行改進，提出了一種基于三支決策的用戶訪問行為認證方法，降低用戶行為認證時間，并提高用戶行為認證模型的容錯性和處理不確定信息的能力，具體內(nèi)容如下：

（1）將三支決策理論引入用戶行為認證模型中，以解決行為認證過程中行為特征收集時間過長而導(dǎo)致的安全風(fēng)險問題，首先通過三支決策實現(xiàn)訪問用戶的預(yù)先認證，再結(jié)合二支決策分類對延遲決策用戶進行最終認證，從而提高系統(tǒng)認證的實時性，以降低信息訪問的安全風(fēng)險。

（2）通過延遲決策克服行為認證過程中部分用戶認證的不確定性問題，以防止因行為特征的不完整性和不精確性而導(dǎo)致的決策錯誤，使得認證模型更加適合用戶實際訪問環(huán)境下的行為決策應(yīng)用，保障了行為認證結(jié)果的準確性。

（3）針對用戶訪問行為認證概率劃分，根據(jù)決策粗糙集理論，對代價損失函數(shù)矩陣進行計算，獲得三支劃分的閾值α和β，接下來可以結(jié)合新的邊界理論進行進一步研究，形成自動化的邊界閾值確定方法。

參考文獻

[1] Goel N K，Jha C.Analyzing users behavior from Web access logs using automated log analyzer tool[J].International Journal of Com- puter Applications， 2013，62（2）：29-33.

[2] 張晶.大數(shù)據(jù)平臺下數(shù)據(jù)庫訪問信息安全管理仿真[J].計算機仿真，2017，34（7）：436-440.

[3] 徐澄.面向企業(yè)信息安全的網(wǎng)絡(luò)攻擊防范手段研究[J].中國電子科學(xué)研究院學(xué)報，2020，15（5）：483-487.

[4] Kent A D，Liebrock L M，Neil J C.Authentication graphs：Analyzing user behavior within an enterprise network[J].Computers & Security，2015，48（feb.）：150-166.

[5] 朱莉蓉，陳寧江，何佩聰，等.基于動態(tài)信任管理的云用戶行為認證服務(wù)系統(tǒng)[J].廣西大學(xué)學(xué)報（自然科學(xué)版），2015，40（6）：1485-1493.

[6] Chao Shen，Yufei Chen，Xiaohong Guan，Roy A Maxion.Pattern-Growth Based Mining Mouse-Interaction Behavior for an Active User Authentication System[J].IEEE Transactions on Dependable and Secure Computing，

2020，17（2）.

[7] Ahmed，Traorelssa A A Biometric recognition based on freetext keystroke dynamics[J].IEEE Transactions on Cybemetics，2014，44（4）458-472.

[8] 徐劍，李明潔，周福才，等.基于用戶鼠標(biāo)行為的身份認證方法[J].計算機科學(xué)，2016，43（2）：148-154.

[9] Dia，Diye，Kahn G，Labernia F，et al.A closed sets based learning classifier for implicit authentication in web browsing[J].Discrete Applied Mathematics，2020（273）：65-80.

[10] Yao Y.The superiority of three-way decisions in probabilistic rough set models[J].Information Sciences，

2011，181（6）：1080-1096.

[11] LIANG D，XU Z，LIU D.Three-way decisions based on decision-theoretic rough sets with dual hesitant fuzzy information[J].Information Sciences，2017（396）：127-143.

[12] 于洪，王國胤，姚一豫.決策粗糙集理論研究現(xiàn)狀與展望[J].計算機學(xué)報，2015，38（8）：1628-1639.

[13] LANG G，MIAO D，CAI M.Three-way decision approaches to conflict analysis using decision-theoretic roughset theory[J].Information Sciences，2017，406：185-207.

[14] Luo S.Three-Way Decision in a Multi-Source Information System and Its Applications[J].IEEE Access， 2019（7）：108343-108359.

[15] Mao Yi，Chen Wen-lin，Guo Bao-long，et al.A novel logistic regression model based on density estimation[J].Acta Automatica Sinlca，2014，40（1）：62-72.

[16] YAO Y Y.Three-way decisions with probabilistic rough sets[J].Information Sciences，2010，180（3）：341-353.