本發明公開了一種基于行為圖譜的用戶身份持續認證方法及系統，通過對用戶歷史訪問習慣進行刻畫形成用戶訪問行為圖譜，通過當前訪問行為與歷史訪問行為的比對，得到用戶偏離歷史訪問習慣的異常行為，采用基于行為的異常檢測方式，無需提前設置策略，便能夠檢測出異常行為，充分考慮了用戶個體的特點和習慣；基于源IP對于目的站點各個URL對應模塊的訪問時間間隔，生成用戶訪問時間序列圖譜，通過當前訪問時間間隔與歷史訪問時間間隔的比對，得到用戶偏離歷史訪問習慣的異常行為，進而觸發身份驗證失敗，進行訪問異常告警；由于用戶行為圖譜是動態變化的，時間越長對用戶行為的刻畫就越精確，通過本發明的方法能夠保證身份驗證的準確性。

技術領域

本發明涉及身份認證技術領域，并且更具體地，涉及一種基于行為圖譜的用戶身份持續認證方法及系統。

背景技術

用戶身份認證是指計算機以及計算機網絡系統中確認操作者身份的過程，是一個基本的安全機制。傳統的用戶身份認證一般是用戶名和密碼認證，最新的研究成果支持用戶通過指紋、面部識別、虹膜等生物特征做認證。這些認證都屬于瞬間的“快照式”認證，所謂“快照式”認證是指通過一個時間點的用戶輸入(包括生物特征輸入)來驗證用戶的身份是否合法。但是，在一定的條件下，這些基于固定的口令或“快照式”生物特征的認證方式都有被繞過或者偽造的可能性。

現有技術一為了解決固定登錄口令或者“快照式”生物特征的認證方式被繞過或者偽造的問題，需要在用戶訪問站點的整個過程中，對用戶的行為特征進行持續監控，并與歷史訪問行為特征進行比對，當發現存在違背歷史行為特征的訪問行為時，立即予以告警。目前對于用戶訪問站點的行為進行監控并檢測是否存在異常的方式主要有以下幾種：1.在審計類系統內建立相應的策略，當用戶請求滿足策略的URL時(如域名命中，或者URL命中)，則將命中策略的URL請求視為異常URL請求，進行阻斷或告警。現有技術一的缺點是需要有相關的安全領域專家提前預設安全策略，而如果用戶訪問的站點不在預設的策略范圍內或者訪問的是站點新增加的功能頁面，則無法進行阻斷告警。

現有技術二基于站點爬蟲，主動爬取站點頁面內容，建立URL與頁面內部URL的關系圖，即認為通常的URL訪問路徑是從該URL跳轉到該URL對應頁面內所包含的鏈接，而將不符合此邏輯的URL訪問路徑作為異常路徑。現有技術二的缺點為認為站點結構上存在可跳轉關系都是正常的，即按照網站既定結構作為檢測規則，因此也是一種預設策略的檢測方式；另外也沒有考慮不同用戶間身份和使用習慣的差異。

發明內容

本發明提出一種基于行為圖譜的用戶身份持續認證方法及系統，以解決如何精準地對用戶身份持續進行認證的問題。

為了解決上述問題，根據本發明的一個方面，提供了一種基于行為圖譜的用戶身份持續認證方法，所述方法包括：

從第一HTTP日志集中獲取預設時間段內每個源IP訪問同一站點的第二HTTP日志集，并進行URL提取，分別獲取每個源IP訪問每個站點的第一URL訪問序列；

對于每個第一URL訪問序列，將每個URL作為一個節點，將一個URL到另一個URL的跳轉關系作為向邊，確定每個源IP相對于每個站點的訪問行為圖譜；

根據每個源IP相對于每個站點的各URL對應模塊的訪問時間間隔，確定每個源IP相對于每個站點的訪問時間序列圖譜；

分別根據每個源IP相對于每個站點的訪問行為圖譜和訪問時間序列圖譜進行序列化處理，確定每個源IP相對于每個站點的訪問行為圖譜基線文件，并建立每個訪問行為圖譜基線文件對應的唯一索引標識；其中，所述唯一索引標識包括：源IP加目的IP加目的端口；

確定目的站點，基于預設的時間窗口從實時的目標站點對應的日志隊列中讀取HTTP日志，獲取第三HTTP日志集，從讀取的HTTP日志中進行URL提取，分別獲取所述第三HTTP日志中的每個目標源IP訪問該目標站點的第二URL訪問序列；