技術領域

本公開一般地涉及用戶標識，更具體地說，涉及標識系統用戶的真實身份。?

背景技術

標識系統用戶的真實身份如同網絡安全本身一樣歷史長久。在其最簡單的形式中，使用基于憑證（例如，口令）的檢驗作為實際解決方案；因此，暴露用戶的憑證（多個）被視為嚴重的安全漏洞。多個行業已被建議通過使用用戶憑證之外的信息重新標識用戶，嘗試改善該問題。?

發明內容

根據本公開的一個實施例，一種用于根據多個上下文中的用戶活動的多個方面（facet）來標識用戶的方法包括：接收關于所述上下文的所述方面的多個先驗；接收已知用戶的多個足跡；聚合所述用戶的所述足跡以確定總體先驗（ensemble?prior）；接收與計算機環境中的未知用戶相關的多個網絡蹤跡；對照所述足跡中的每個足跡來匹配所述網絡蹤跡以確定多個匹配；根據所述方面和所述上下文而使用所述總體先驗來聚合所述匹配；以及輸出所述未知用戶的可能用戶身份。?

根據本公開的一個實施例，一種用于標識用戶的方法包括：提供用戶活動的多個歷史網絡蹤跡；從所述歷史網絡蹤跡提取多個用戶中的每個用戶的足跡；聚合所述用戶的所述足跡以確定總體先驗；接收與計算機環境中的未知用戶相關的多個網絡蹤跡；對照所述足跡中的每個足跡來匹配所述網絡蹤跡以確定多個匹配；根據多個上下文和多個方面而使用所述總體?先驗來聚合所述匹配；以及輸出所述未知用戶的可能用戶身份。?

提供了一種用于根據多個上下文中的用戶活動的多個方面來標識未知用戶的系統，所述系統包括：存儲器，其存儲關于所述上下文的所述方面的多個先驗以及基于已知用戶的多個足跡的總體先驗；以及處理器，其被配置為接收與計算機環境中的未知用戶相關的多個網絡蹤跡，對照所述足跡中的每個足跡來匹配所述網絡蹤跡以確定多個匹配，根據所述方面和所述上下文而使用所述總體先驗來聚合所述匹配，以及輸出所述未知用戶的可能用戶身份。?

附圖說明

下面將參考附圖，更詳細地描述本公開的優選實施例：?

圖1是根據本公開的一個實施例的基于網絡蹤跡的用戶重新標識系統的架構；?

圖2是根據本公開的一個實施例的上下文感知的判別模型的平面圖；?

圖3是根據本公開的一個實施例的示例性上下文網絡；?

圖4是根據本公開的一個實施例的用戶網絡乘以上下文網絡的用戶-上下文乘積網絡的一個實例；?

圖5示出了根據本公開的一個實施例的用于足跡提取的示例性方法；?

圖6示出了根據本公開的一個實施例的用于足跡匹配的示例性方法；以及?

圖7是根據本公開的一個實施例的用于實現基于網絡蹤跡的用戶重新標識的計算機系統的示意圖。?

具體實施方式

根據本公開的一個實施例，一種標識解決方案可以獲得從網絡蹤跡中提取的用戶行為模式。行為模式是用戶的“足跡”。在此，提取的可標識特性可以稱為“指紋”。?

指紋可以基于高級用戶信息，可以在網絡接口上從用戶活動的影響來?觀察該信息。對用戶的網絡蹤跡的監視通常是可行的，這是由于其低侵入性和廣泛部署的網絡監視基礎架構所致。此外，監視的部署相當靈活；客戶機、網關或服務器都可具備監視能力。此外，可以在網絡堆棧的不同層處部署監視，以便可以以各種形式（例如，DNS查詢、HTTP請求和網絡流量（Netflow）測量）獲得網絡蹤跡，這些網絡蹤跡從不同“方面”（例如，被訪問IP地址/端口、流量大小和流量經過時間）反映用戶的網絡行為。?

雖然可能難以將單個網絡事件歸因于特定個人（沒有工具性支持），但可以將一組網絡事件歸因于給定池中的個體用戶（例如，企業中的用戶）。該結果對于網絡取證（network?forensics）尤其有用，其中通常不可獲得用戶身份，因此傳統的異常檢測工具不適用。?

根據本公開的一個實施例，公開了一種示例性的基于網絡蹤跡的用戶重新標識方法，所述方法用于利用網絡監視數據而同時解決其約束。示例性方法包括基于網絡蹤跡的用戶標識框架。在框架的第一層上，所述方法可以應用判別模型以便對每個方面中的用戶和上下文敏感的足跡進行編碼。在框架的第二層上，所述方法可以自適應地組合來自多個方面的足跡，并獲得可證明的標識準確性，即使面對模仿攻擊時也是如此。?