一种基于光标隐藏场景的攻击检测方法及系统技术方案

本发明专利技术涉及一种基于光标隐藏场景的攻击检测方法及系统，其中方法包括步骤：1.监测用户操作行为，发现可疑行为时，发送触发指令；2.通过创建透明窗体置顶的方法实现光标隐藏，使用户进入光标隐藏场景；3.记录用户在光标隐藏场景下对光标的操作数据；4.判断当前数据采集模块记录的操作数据是否达到预设值，或者光标隐藏场景时间值是否达到预设时间值；如果是，执行下一步；否则，执行步骤3；5.特征提取得到光标特征值，生成光标特征向量；6.基于光标特征向量和特征模型文件，进行分类；7.判定用户为正常用户或恶意用户。本发明专利技术在保证准确率的前提下，训练数据采集时间短、身份认证时间短。

【技术实现步骤摘要】

本专利技术涉及一种基于光标隐藏场景的攻击检测方法及系统，属于内部威胁检测领域。
技术介绍
随着信息化技术和计算机网络在全球商业、社会、政府、军事等各领域中的普及，内部威胁变得越来越严重，已经受到了各方的高度重视。组织往往能检测并控制尝试获取敏感信息的外界攻击，减轻或避免外部人员偷取组织机密的威胁。但是恶意的内部用户因为处于组织内部并可利用合理的权限通过正规的流程实施犯罪，因此很难被检测和防范。同时，内部人员对组织内部的网络拓扑结构和安全机制更加熟悉，可以带来比外部攻击更加严重的后果。身份窃取是内部威胁中最常见的一种方法。在这种方法中，恶意用户通过窃用他人权限进入内部系统或者通过各种手段进入他人计算机获取企业信息。针对这种攻击手段，现阶段较为有效的预防和检测手段就是身份认证技术。现有的身份认证技术可以分为三类。第一类是基于用户已有信息的认证方法，如密码和PIN码检测，其在防范恶意用户登录时可以起到良好的作用。但是缺点是攻击者可以通过各种渠道获得用户账户信息（如弱密码的暴力破解和系统漏洞利用等方式），一旦恶意用户利用窃取的账户登录进系统，这种认证方法就失去了作用。第二类是基于用户拥有物品的检测方法，如ID卡或令牌，这种方法中的身份凭证既不便携带又容易丢失，也无法改善第一类方法不能提供实时认证的缺点。所以，人们开始尝试第三类方法，即基于生物特征的身份认证技术。这类技术具体又可以分为两类：物理生物识别技术和行为生物识别技术。物理生物识别技术通过人的生理特征如指纹，虹膜和掌纹检测等对用户进行识别。这些特征很难被仿制，具有较高的安全性，但是需要特殊的硬件支持。同时，这种方法也只能进行登录认证。行为生物识别技术是根据不同用户操纵电脑时表现出的不同行为习惯对用户进行身份鉴别，他不但不需要额外的硬件设备支持，而且能提供持续性身份验证功能，是一种有效监测防御身份伪冒攻击的技术手段，因此得到越来越多的关注。现有的用于计算机用户身份认证的行为生物识别方法主要是基于击键行为和基于光标行为的。基于击键行为的身份识别技术主要利用单键按键时间，双键击键时间间隔和命令行使用习惯等行为特征对用户进行建模，国内外已经取得了一定的研究成果。但是随着图形用户界面的推广与普及，人们的击键行为相对减少，进而影响了该方法的实用性。基于光标行为的身份识别技术利用光标的移动方向，移动速度和敲击时间等特征对用户进行身份鉴别。近年来，陆续又提出了基于曲率、基于文件操纵轨迹等行为特征的认证方法，都取得了较高的准确率。但这些基于光标行为的认证方法都存在一些如场景固定，训练数据采集时间长和认证时间长的缺点，不具备切实的可实用性。
技术实现思路
本专利技术所要解决的技术问题是，针对现有技术场景固定，训练数据采集时间长和认证时间长的缺点，提供一种实现高效、准确地对计算机当前用户进行身份认证的基于光标隐藏场景的攻击检测方法及系统，检测并防范身份伪冒攻击。本专利技术解决上述技术问题的技术方案如下：一种基于光标隐藏场景的攻击检测方法，具体包括以下步骤：步骤1：监测操作模块监测用户操作行为，发现可疑行为时，发送触发指令到光标隐藏模块；步骤2：光标隐藏模块根据触发指令的控制，采用创建透明窗体置顶的方法实现光标隐藏，使用户进入光标隐藏场景；步骤3：数据采集模块记录用户在光标隐藏场景下的光标行为数据；步骤4：判断模块判断当前数据采集模块记录的操作数据是否达到预设值，或者光标隐藏场景时间值是否达到预设时间值；如果是，执行下一步；否则，执行步骤3；步骤5：特征提取模块对数据采集模块传输的操作数据进行特征提取，提取得到光标隐藏场景下的光标特征值，生成光标特征向量；步骤6：分类模块通过对光标特征向量和保存在数据文件中的特征模型文件进行比较，使用svm分类算法，对光标特征向量进行分类；步骤7：根据光标特征向量的分类结果，可判定用户为正常用户或恶意用户。本专利技术的有益效果是：本专利技术主要优点是场景局限性小，可以在用户操纵电脑的任意时间段被触发；在保证准确率的前提下，训练数据采集时间较短、身份认证时间短；对用户正常使用计算机时的用户体验影响较小。在上述技术方案的基础上，本专利技术还可以做如下改进。进一步，所述步骤3中数据采集模块在记录用户在光标隐藏场景下对光标的操作数据的同时，还记录用户当前运行的进程信息。进一步，还包括步骤8：判断当前用户是否为恶意用户，如果是，执行步骤9；否则，执行步骤1；步骤9：进行数字取证获取当前运行的进程信息，对进程信息进行分析和取证，并开启主动防御功能，中断用户所有操作，结束。进一步，所述步骤1包括以下两种情况：监测操作模块采用现有的异常检测软件，在检测到有可疑情况时，发送触发指令到光标隐藏模块；或者，监测操作模块监测特定的程序是否启动或特定文件是否打开，如果是，即发送触发指令到光标隐藏模块。进一步，所述步骤5中特征提取模块对操作数据提取的光标特征值包括光标隐藏场景下的光标不同移动方向的移动距离、移动速度和移动频率等特征值，生成光标特征向量。进一步，所述步骤6中的特征模型文件的构建方法包括以下步骤：步骤6.1：数据采集模块对正常用户在光标隐藏场景下的光标移动行为数据进行采集；步骤6.2：对采集到的行为数据进行特征提取，提取光标在不同方向的移动距离、移动速度和移动频率等特征值，构建行为特征模型文件。本专利技术解决上述技术问题的技术方案如下：一种基于光标隐藏场景的攻击检测系统，包括：监测操作模块、光标隐藏模块、数据采集模块、判断模块、特征提取模块、分类模块和判定模块；所述监测操作模块监测用户操作行为，发现可疑行为时，发送触发指令到光标隐藏模块；所述光标隐藏模块根据触发指令的控制，通过创建透明窗体置顶的方法实现光标隐藏，使用户进入光标隐藏场景；所述数据采集模块记录用户在光标隐藏场景下对光标的操作数据；所述判断模块用于判断当前数据采集模块记录的操作数据是否达到预设值，或者光标隐藏场景时间值是否达到预设时间值；所述特征提取模块对数据采集模块传输的操作数据进行特征提取，提取得到光标隐藏场景下的光标特征值，生成光标特征向量；所述分类模块基于光标特征向量和保存在数据文件中的特征模型文件，使用svm分类算法，对光标特征向量进行分类；所述判定模块用于根据光标特征向量的分类结果，可判定用户为正常用户或恶意用户。...

【技术保护点】
一种基于光标隐藏场景的攻击检测方法，其特征在于，具体包括以下步骤：步骤1：监测操作模块监测用户操作行为，发现可疑行为时，发送触发指令到光标隐藏模块；步骤2：光标隐藏模块根据触发指令的控制，采用创建透明窗体置顶的方法实现光标隐藏，使用户进入光标隐藏场景；步骤3：数据采集模块记录用户在光标隐藏场景下对光标行为数据；步骤4：判断模块判断当前数据采集模块记录的操作数据是否达到预设值，或者光标隐藏场景时间值是否达到预设时间值；如果是，执行下一步；否则，执行步骤3；步骤5：特征提取模块对数据采集模块传输的操作数据进行特征提取，提取得到光标隐藏场景下的光标特征值，生成光标特征向量；步骤6：分类模块通过对光标特征向量和保存在数据文件中的特征模型文件进行比较，使用svm分类算法，对光标特征向量进行分类；步骤7：根据光标特征向量的分类结果，可判定用户为正常用户或恶意用户。

【技术特征摘要】
1.一种基于光标隐藏场景的攻击检测方法，其特征在于，具体包括以
下步骤：
步骤1：监测操作模块监测用户操作行为，发现可疑行为时，发送触发
指令到光标隐藏模块；
步骤2：光标隐藏模块根据触发指令的控制，采用创建透明窗体置顶的
方法实现光标隐藏，使用户进入光标隐藏场景；
步骤3：数据采集模块记录用户在光标隐藏场景下对光标行为数据；
步骤4：判断模块判断当前数据采集模块记录的操作数据是否达到预设
值，或者光标隐藏场景时间值是否达到预设时间值；如果是，执行下一步；
否则，执行步骤3；
步骤5：特征提取模块对数据采集模块传输的操作数据进行特征提取，
提取得到光标隐藏场景下的光标特征值，生成光标特征向量；
步骤6：分类模块通过对光标特征向量和保存在数据文件中的特征模型
文件进行比较，使用svm分类算法，对光标特征向量进行分类；
步骤7：根据光标特征向量的分类结果，可判定用户为正常用户或恶意
用户。
2.根据权利要求1所述的一种基于光标隐藏场景的攻击检测方法，其特
征在于，所述步骤3中数据采集模块在记录用户在光标隐藏场景下对光标的
操作数据的同时，还记录用户当前运行的进程信息。
3.根据权利要求2所述的一种基于光标隐藏场景的攻击检测方法，其特
征在于，还包括步骤8：判断当前用户是否为恶意用户，如果是，执行步骤
9；否则，执行步骤1；
步骤9：进行数字取证获取当前运行的进程信息，对进程信息进行分析

\t和取证，并开启主动防御功能，中断用户所有操作，结束。
4.根据权利要求3所述的一种基于光标隐藏场景的攻击检测方法，其特
征在于，所述步骤1包括以下两种情况：
监测操作模块采用现有的异常检测软件，在检测到有可疑情况时，发送
触发指令到光标隐藏模块；
或者，监测操作模块监测特定的程序是否启动或特定文件是否打开，如
果是，即发送触发指令到光标隐藏模块。
5.根据权利要求1-4任一项所述的一种基于光标隐藏场景的攻击检测方
法，其特征在于，所述步骤5中特征提取模块对操作数据提取的光标特征值
包括光标隐藏场景下的光标不同移动方向的移动距离、移动速度和移动频率
特征值，生成光标特征向量。
6.根据权利要求1所述的一种基于光标隐藏场景的攻击检测方法，其特
征在于，所述步骤6中的特征模型文件的构建方法包括以下步骤：
步骤6.1：数据采集模块对正常用户在光标隐藏场景下的光标移动行为
数据进行采集；
步骤6.2：对采集到的行为数据进行特征提取，提取光标在不同方向的
移动距离、移动速度和移动频率特征值，构建行为特征模型文件。
7.一种基...

【专利技术属性】
技术研发人员：陈小军，时金桥，魏梓丞，蒲以国，祈成，龚国成，徐菲，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11