本发明专利技术涉及一种使用多方面足迹的用户标识的方法和系统。提供了一种用于根据多个上下文中的用户活动的多个方面来标识未知用户的方法,包括:接收关于所述上下文的所述方面的多个先验;接收已知用户的多个足迹;聚合所述用户的所述足迹以确定总体先验;接收与计算机环境中的未知用户相关的多个网络踪迹;对照所述足迹中的每个足迹来匹配所述网络踪迹以确定多个匹配;根据所述方面和所述上下文而使用所述总体先验来聚合所述匹配;以及输出所述未知用户的可能用户身份。
【技术实现步骤摘要】
使用多方面足迹的用户标识的方法和系统
本公开一般地涉及用户标识,更具体地说,涉及标识系统用户的真实身份。
技术介绍
标识系统用户的真实身份如同网络安全本身一样历史长久。在其最简单的形式中,使用基于凭证(例如,口令)的检验作为实际解决方案;因此,暴露用户的凭证(多个)被视为严重的安全漏洞。多个行业已被建议通过使用用户凭证之外的信息重新标识用户,尝试改善该问题。
技术实现思路
根据本公开的一个实施例,一种用于根据多个上下文中的用户活动的多个方面(facet)来标识用户的方法包括:接收关于所述上下文的所述方面的多个先验;接收已知用户的多个足迹;聚合所述用户的所述足迹以确定总体先验(ensembleprior);接收与计算机环境中的未知用户相关的多个网络踪迹;对照所述足迹中的每个足迹来匹配所述网络踪迹以确定多个匹配;根据所述方面和所述上下文而使用所述总体先验来聚合所述匹配;以及输出所述未知用户的可能用户身份。根据本公开的一个实施例,一种用于标识用户的方法包括:提供用户活动的多个历史网络踪迹;从所述历史网络踪迹提取多个用户中的每个用户的足迹;聚合所述用户的所述足迹以确定总体先验;接收与计算机环境中的未知用户相关的多个网络踪迹;对照所述足迹中的每个足迹来匹配所述网络踪迹以确定多个匹配;根据多个上下文和多个方面而使用所述总体先验来聚合所述匹配;以及输出所述未知用户的可能用户身份。提供了一种用于根据多个上下文中的用户活动的多个方面来标识未知用户的系统,所述系统包括:存储器,其存储关于所述上下文的所述方面的多个先验以及基于已知用户的多个足迹的总体先验;以及处理器,其被配置为接收与计算机环境中的未知用户相关的多个网络踪迹,对照所述足迹中的每个足迹来匹配所述网络踪迹以确定多个匹配,根据所述方面和所述上下文而使用所述总体先验来聚合所述匹配,以及输出所述未知用户的可能用户身份。附图说明下面将参考附图,更详细地描述本公开的优选实施例:图1是根据本公开的一个实施例的基于网络踪迹的用户重新标识系统的架构;图2是根据本公开的一个实施例的上下文感知的判别模型的平面图;图3是根据本公开的一个实施例的示例性上下文网络;图4是根据本公开的一个实施例的用户网络乘以上下文网络的用户-上下文乘积网络的一个实例;图5示出了根据本公开的一个实施例的用于足迹提取的示例性方法;图6示出了根据本公开的一个实施例的用于足迹匹配的示例性方法;以及图7是根据本公开的一个实施例的用于实现基于网络踪迹的用户重新标识的计算机系统的示意图。具体实施方式根据本公开的一个实施例,一种标识解决方案可以获得从网络踪迹中提取的用户行为模式。行为模式是用户的“足迹”。在此,提取的可标识特性可以称为“指纹”。指纹可以基于高级用户信息,可以在网络接口上从用户活动的影响来观察该信息。对用户的网络踪迹的监视通常是可行的,这是由于其低侵入性和广泛部署的网络监视基础架构所致。此外,监视的部署相当灵活;客户机、网关或服务器都可具备监视能力。此外,可以在网络堆栈的不同层处部署监视,以便可以以各种形式(例如,DNS查询、HTTP请求和网络流量(Netflow)测量)获得网络踪迹,这些网络踪迹从不同“方面”(例如,被访问IP地址/端口、流量大小和流量经过时间)反映用户的网络行为。虽然可能难以将单个网络事件归因于特定个人(没有工具性支持),但可以将一组网络事件归因于给定池中的个体用户(例如,企业中的用户)。该结果对于网络取证(networkforensics)尤其有用,其中通常不可获得用户身份,因此传统的异常检测工具不适用。根据本公开的一个实施例,公开了一种示例性的基于网络踪迹的用户重新标识方法,所述方法用于利用网络监视数据而同时解决其约束。示例性方法包括基于网络踪迹的用户标识框架。在框架的第一层上,所述方法可以应用判别模型以便对每个方面中的用户和上下文敏感的足迹进行编码。在框架的第二层上,所述方法可以自适应地组合来自多个方面的足迹,并获得可证明的标识准确性,即使面对模仿攻击时也是如此。所述方法的实施例可以使用一种新类型的判别模型,以便捕获用户和上下文敏感的足迹。所述方法的实施例可以包括一种学习方法,以便从杂乱的历史踪迹中提取足迹。所述方法的实施例包括在线足迹匹配。针对自适应总体(ensemble)方案描述了所述方法的示例性实施方式,其组合来自多个方面的匹配结果,这将克服每个个体方面的较弱鉴别能力。现在参考图1,示出了用于基于网络踪迹的用户重新标识的用户重新检验框架。图1示出了总体架构,其包括(离线)足迹提取101和(在线)用户标识102。在足迹提取组件101中,对于每个网络方面,监管式学习方法自动从历史网络踪迹103(例如,训练数据)提取用户的统计简档。可以使用判别模型将用户的统计简档编码为用户的“方面足迹”104。通过在训练数据中标识特定用户时学习这些方面足迹的统计性能,可以学习聚合这些方面足迹的参数化(例如,最大似然)(105),这称为“总体先验”。用户标识组件102包括足迹匹配和排序聚合。从多个方面中获得的一组网络踪迹106可以被作为查询提交。网络踪迹可以由未知用户生成。对于每个方面,可以将网络踪迹与池中的用户的对应方面足迹相匹配。可以根据其负责生成踪迹的后验概率,输出候选用户身份的分类列表(方面排序)107。使用模型总体方案,可以使用来自足迹提取组件101的总体先验作为先验,将这些方面匹配结果聚合成总体匹配108(在最大似然的意义上)。总体匹配108可以对最可能的用户身份进行排序。如果排序列表中的该组最可能的用户身份与高概率关联,则真实用户身份可以被视为在这些顶级候选者之中;否则,身份可以被视为不可标识,这是由于可疑的用户行为或不足的标识信息所致。不可标识的身份可以提示进一步的调查机制。根据本公开的一个实施例,基于网络踪迹的用户重新标识使用足迹,这直观地捕获用户的行为模式,如可从网络踪迹中观察到的那样。足迹模型可以考虑各种形式的网络踪迹,包括HTTP标头、网络流量测量和DNS查询。对于HTTP标头(它们是超文本传输协议中的请求或响应的消息标头),当捕获用户行为时可以使用请求标头。网络流量是收集IP业务信息(包括入站/出站流量大小和经过时间)的网络协议。域名系统(DNS)将域名映射到IP地址。DNS查询将查找IP地址以获得域名。所述方面统一这些数据形式的处理。定义1(方面)。方面是用户网络行为的特定维度的测量,如在收集的网络踪迹中反映的那样。例如,表1中列出了一组示例性方面(源IP地址/端口的信息由“…”取代)。表1:HTTP请求、网络流量记录和DNS查询的相关方面除了其中观察用户网络行为的方面之外,还可以考虑其中生成用户网络行为的上下文。在一个示例性实施方式中,上下文信息被视为包括时间段(例如,下午2:00-4:00)和客户机操作系统(OS),同时表明可以很容易地包括其它上下文信息。对于训练数据(历史网络踪迹),可访问两个映射。第一映射是将给定时间点的IP地址(源)映射到对应设备(其MAC地址)的DHCP日志。第二映射是将给定时间点的设备(其MAC地址)映射到操作用户的凭证的用户验证日志。使用这些映射,可以将网络踪迹归因于对应的用户和设备。组合上面的信息,可以考虑下面的数据模型。定义2本文档来自技高网...
【技术保护点】
一种用于具有至少一个处理器的计算机的方法,所述方法用于根据多个上下文中的用户活动的多个方面来标识未知用户,所述方法包括:接收关于所述上下文的所述方面的多个先验;接收已知用户的多个足迹;聚合所述用户的所述足迹以确定总体先验;接收与计算机环境中的未知用户相关的多个网络踪迹;对照所述足迹中的每个足迹来匹配所述网络踪迹以确定多个匹配;根据所述方面和所述上下文而使用所述总体先验来聚合所述匹配;以及输出所述未知用户的可能用户身份。
【技术特征摘要】
2012.07.05 US 13/542,422;2012.07.19 US 13/553,4151.一种用于具有至少一个处理器的计算机的方法,所述方法用于根据多个上下文中的用户活动的多个方面来标识未知用户,所述方法包括:接收关于所述上下文的所述方面的多个先验;接收已知用户的多个足迹;聚合所述用户的所述足迹以确定总体先验;接收与计算机环境中的未知用户相关的多个网络踪迹;对照所述足迹中的每个足迹来匹配所述网络踪迹以确定多个匹配;根据所述方面和所述上下文而使用所述总体先验来聚合所述匹配;以及输出所述未知用户的可能用户身份。2.根据权利要求1的方法,其中作为输入流接收所述网络踪迹,并且所述方法还包括使用索引结构执行针对网络踪迹流的匹配。3.根据权利要求1的方法,还包括输出按概率排序的多个用户身份。4.根据权利要求1的方法,其中所述输出进一步包括根据是所述未知用户的概率来输出用户身份的分类列表。5.根据权利要求1的方法,其中每个上下文指示用户活动的时间和位置中的至少一个。6.根据权利要求1的方法,其中每个方面是用户活动的测量维度。7.一种用于标识未知用户的方法,所述方法包括:接收用户活动的多个历史网络踪迹;从所述历史网络踪迹提取多个用户中的每个用户的足迹...
【专利技术属性】
技术研发人员:M·克里斯托多雷斯库,R·赛勒,D·L·沙勒斯,M·斯多克林,王挺,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。