基于HMM模型的账号异常登录检测方法技术

本发明专利技术公开了一种基于HMM模型的账号异常登录检测方法，并用定时检测一段时间t内的登陆数据代替常用的实时检测，消除了正常行为模式波动对检测正确性的干扰，实现了更加准确的账号异常登陆的检测。所述检测方法由数据收集、数据预处理、HMM模型训练及应用三个步骤组成，可以检测出异常账号登陆出现的区段。本发明专利技术在数据预处理部分进行IP分类确定观察符数量，根据用户登陆隐状态确定状态集个数，根据观察符流容量确定分组长度；在HMM模型训练及检测部分先对已有用户登录数据进行训练再用实际流量进行测试。

Abnormal login detection method of account based on HMM model

The invention discloses a HMM model of account login abnormal detection method based on the data, and landing timing detection for a period of time in the t instead of the commonly used real-time detection, eliminating interference of fluctuation of the normal behavior model on the detection accuracy, to achieve more accurate detection of abnormal landing account. The detection method is composed of three steps of data collection, data pretreatment, HMM model training and application, which can detect the section where the abnormal account appears. The invention of the IP classification in data preprocessing part to determine the observation symbol number is determined according to the state set number of user login hidden state, according to the observation symbol flow capacity to determine the packet length; in HMM model training and testing part of existing user login data for the actual flow test and training.

【技术实现步骤摘要】
基于HMM模型的账号异常登录检测方法
本专利技术涉及计算机网络安全领域的用户异常登录检测方法，尤其涉及一种基于HMM隐马尔可夫链的定时检测方法。
技术介绍
随着网络应用的兴起与发展，越来越多的人开始使用网络账号来管理相关的信息与数据。尤其在当今网络消费、商务电子化、在线办公等功能普及，通过个人账号来使用相关服务已经成为人们工作、生活的重要部分。个人账号成为了人们获取网络服务的窗口。然而，账号的安全问题也日趋严重。个人账号被盗取、盗用，账号中的相关信息被泄露、篡改、破坏等事件频发，这将导致用户无法正常使用相关服务，给工作生活带来了极大的影响。一些与财产关联的个人账号更是安全问题的重灾区，给用户带来了经济损失。这类个人账号(如：消费网站的账号、有充值功能的账号等等)。账号安全成为了维持相关网络服务正常运行的重点。目前，网络账号的安全防范主要有两个方向：1)事前防范：提高用户账号口令、密码的强度；要求用户使用更多的安全验证信息；依靠相关验证工具来登陆账号；基于声纹识别与语音识别的安全登录等；2)实时检测：及时检测每次账号登陆的合法性，对疑似异常的登陆请求进行另外的验证、甚至直接驳回。本专利技术所应用的隐马尔可夫模型HMM，HMM模型中的状态是隐藏的，不能够通过观察得到，但HMM模型有可直接观测到序列，可通过直接观测的序列以及转移概率分布，统计得出状态分布，也即状态就隐藏于观察序列之中，所以是隐马尔可夫模型。HMM有两个随机过程，一个是随机的状态转移，另一个则是相对应的可直接观测得到的序列。前一个随机过程就是标准的马尔可夫模型。在隐马尔可夫模型中，状态是不能被直接观测到的，所拥有的数据只有直接观测到的结果，因此只能从结果序列推测出状态的情况。本专利技术进一步通过解析用户登陆IP地址和访问功能等信息，建立隐马尔可夫模型，从可直接得到的结果序列，推断出是否发生用户异常登录，从而达到检测的效果。这里的HMM模型一般分为训练与检测两个部分，入侵检测的过程包括：1)用正常的操作程序执行的系统调用作为观测序列训练HMM模型，调整HMM模型的参数，这是训练过程；2)将未知程序执行的系统调用作观测序列，输入给HMM进行分类，这是检测过程。当计算出的前向概率差值小于阈值时，就认为此程序的调用不符合正常操作，从而判断入侵的发生。就国内的研究结果来看，陶龙明等运用HMM检测隐蔽性强、持续时间长并且分布完成的网络攻击。通过关联分析不同网络监视器的报警事件，产生HMM模型训练和检测的报警的序列。实验结果表面，HMM对这复杂的网络攻击能进行较好的检测与分类。然而，这种HMM模型的检测方法已受到用户行为偏离既定模式的影响，用户行为的波动会干扰对异常事件的检测。为此，可能出现较多的异常漏报，或者较多的正常误报。为了改进这一问题，本专利技术提出对HMM模型下检测过程的一个改进策略，用对历史记录的分组检测代替实时检测，使行为模式带来的波动影响降低，从而保证异常检测的效果。
技术实现思路
有鉴于现有技术的上述缺陷，本专利技术所要解决的技术问题是如何排除用户行为的干扰。本专利技术在实时监测的基础上加入定时检测，对某一周期内的连续的观察符序列进行分析和判断，实现无用户行为扰动的高准确率的检测系统。为实现上述目的，本专利技术提供了一种基于HMM模型的账号异常登录检测方法，包括数据收集步骤、数据预处理步骤、HMM训练及应用步骤，其中，所述数据收集步骤还包括定时检测一段时间t内的登录数据。进一步地，所述数据收集步骤，收集的数据包括用户IP地址和用户登录后使用的功能。进一步地，所述数据预处理步骤，包括以下步骤：步骤2.1、对用户IP地址进行分类确定观察符数量；步骤2.2、由用户使用的功能假定用户的实际事务作为隐状态；步骤2.3、根据分层效果和筛选效果确定分组长度。进一步地，所述HMM训练及应用步骤包括：步骤3.1、将实际生活中的事务进行分类确定隐藏状态数；步骤3.2、确定观察符数量；步骤3.3、用已有的用户登陆数据对HMM模型进行训练，得到HMM模型参数；步骤3.4、利用HMM模型参数结合最大似然估计来检测是否发生异常登录。进一步地，所述隐藏状态数为五个。进一步地，所述观察符数量为三个。进一步地，所述分组长度设置为8-10。进一步地，所述定时检测的具体步骤为：步骤4.1、将时间周期t内产生的登陆数据转换为观察符流；步骤4.2、以m个观察符为一组，将观察符流分成若干段观察符序列；步骤4.3、依次计算每段序列在HMM模型中的接受概率，并形成概率序列；步骤4.4、设定阈值β以区分正常模式与异常模式的概率，对于概率值低于阈值β的点或区域，提示存在登陆异常。进一步地，所述HMM模型建立步骤为：步骤3.3.1、设置观察值数目和隐藏状态数目；步骤3.3.2、给出初始状态概率矩阵，隐藏状态转移概率矩阵，以及观测状态转移概率矩阵；步骤3.3.3：根据已有的观察数据和三个矩阵，用Baum-Welch算法对其进行多次迭代计算，得到三个新的矩阵，以及对数极大似然估计值。进一步地，所述HMM模型是双重随机系统的模型，用五元组γ＝[ΩQ,ΩO,A,B,π]表示；其中Markov链由π、A描述，状态到观测符的随机映射由B描述。本专利技术提供了一种基于HMM模型的账号异常登录检测系统，能够抗用户行为扰动的高准确率的检测出异常登录。本专利技术提出的检测方法，是基于这样的观察结论：需要先对所有登陆系统的用户IP地址和访问功能进行监控。将未知程序执行的系统调用作观测序列，输入给HMM进行分类，这是检测过程。当计算出的前向概率差值小于阈值时，就认为此程序的调用不符合正常操作，从而判断入侵的发生。为了实现上述目的，本专利技术采取如下技术方案：1)数据收集：我们监控大量稳定时间内的登录用户的IP地址和访问功能。2)数据预处理：获取用户的IP地址的分类作为HMM模型的可直接观测序列，分类为常见IP和不常见IP。根据用户访问功能假定用户实际事务，拟定隐状态数为5.再将获得的总的观测符以一定时间长度m划分为不同的段，每一段就是我们用来检测的观测序列。3)HMM隐马尔可夫链的训练及检测：HMM模型可以看作拥有五个元素的五元组，因此我们需要得到这五个元素，才能建立起HMM模型。建立起HMM模型主要步骤为：步骤一：设置观察值数目和隐藏状态数目，即设置O和Q的值；步骤二：给出三个矩阵，分别是初始状态概率矩阵，隐藏状态转移概率矩阵，以及观测状态转移概率矩阵；步骤三：根据已有的观察数据和三个矩阵，用Baum-Welch算法对其进行多次迭代计算，得到三个新的矩阵，以及对数极大似然估计值。本专利技术的有益效果是：1)提出了基于HMM的框架来检测用户异常登录。2)分析了算法中的关键参数的选取效果，用于指导实践3)设计了实际检测系统，在实际流量检测中，取得了效果。4)避免了用户行为波动对检测效果的影响。以下将结合附图对本专利技术的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本专利技术的目的、特征和效果。附图说明图1是本专利技术的一个较佳实施例的基于HMM模型的账号异常登陆陆检测流程图；图2是本专利技术的一个较佳实施例的HMM模型结构图。具体实施方式如图所示，为使本专利技术的设计方案更加清楚，下面将结合附图对本专利技术作进一步描述。本专利技术实例提供了一种基于HMM模型的账号异本文档来自技高网...

【技术保护点】
一种基于HMM模型的账号异常登录检测方法，其特征在于，包括数据收集步骤、数据预处理步骤、HMM训练及应用步骤，其中，所述数据收集步骤还包括定时检测一段时间t内的登录数据。

【技术特征摘要】
1.一种基于HMM模型的账号异常登录检测方法，其特征在于，包括数据收集步骤、数据预处理步骤、HMM训练及应用步骤，其中，所述数据收集步骤还包括定时检测一段时间t内的登录数据。2.如权利要求1所述的基于HMM模型的账号异常登录检测方法，其特征在于，所述数据收集步骤，收集的数据包括用户IP地址和用户登录后使用的功能。3.如权利要求1所述的基于HMM模型的账号异常登录检测方法，其特征在于，所述数据预处理步骤，包括以下步骤：步骤2.1、对用户IP地址进行分类确定观察符数量；步骤2.2、由用户使用的功能假定用户的实际事务作为隐状态；步骤2.3、根据分层效果和筛选效果确定分组长度。4.如权利要求3所述的基于HMM模型的账号异常登录检测方法，其特征在于，所述HMM训练及应用步骤包括：步骤3.1、将实际生活中的事务进行分类确定隐藏状态数；步骤3.2、确定观察符数量；步骤3.3、用已有的用户登陆数据对HMM模型进行训练，得到HMM模型参数；步骤3.4、利用HMM模型参数结合最大似然估计来检测是否发生异常登录。5.如权利要求4所述的基于HMM模型的账号异常登录检测方法，其特征在于，所述隐藏状态数为五个。6.如权利要求4所述的基于HMM模型的账号异常登录检测方法，其特征在于，所述观察符数量...

【专利技术属性】
技术研发人员：龚旭东，宋长权，伍冲，
申请(专利权)人：上海万雍科技股份有限公司，
类型：发明
国别省市：上海,31