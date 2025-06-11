什么是行为生物特征？

安全 IT 自动化

2025 年 6 月 11 日

 

作者

Jim Holdsworth

Writer

Matthew Kosinski

Enterprise Technology Writer

什么是行为生物特征？

行为生物特征是一种认证形式，通过分析用户活动的独特模式（如鼠标移动轨迹、触摸屏使用习惯和键入速度）来验证其身份。 

欺诈者和网络犯罪分子日益以合法用户为目标，利用恶意软件钓鱼攻击和 社交工程骗局窃取凭证并劫持其账户用于恶意目的。根据 IBM 《数据泄露成本报告》，被盗或遭泄露的凭证是数据泄露事件中最常见的攻击途径，占 泄露事件的 16%。

行为生物特征认证方法能为身份安全欺诈检测系统提供额外安全层，其安全性超越密码或安全密钥等传统认证措施。

黑客可窃取密码和 USB 密钥以控制用户账户。然而，要突破行为生物特征认证系统，他们必须模仿用户的行为模式——这使得隐藏可疑活动变得困难得多。

行为生物特征认证与生理生物特征认证对比

行为生物特征和生理生物特征之间的主要区别在于，行为生物特征因素具有主动性，需监测用户的行为动作。而生理生物特征因素具有被动性，基于指纹等不变的生理特征。

常见的生理生物特征因素包括：面部特征、视网膜结构、静脉纹路、指纹或人声模式。常见的行为生物特征因素包括：击键习惯、鼠标移动轨迹和设备定位。

行为生物特征通常会在用户会话期间持续监测，以实时检测任何偏离正常行为的异常（例如某人键入速度突然变化）。生理生物特征通常仅在会话初始时验证一次。 

行为生物特征的类型

行为生物特征技术通过分析个人活动的独特模式来识别其身份。可分析的活动包括鼠标移动轨迹、击键速率或手机定位等因素。

常见的行为生物特征认证因素包括：

数字手势和鼠标移动

用户在使用笔记本电脑、移动设备及其他数字设备时具有独特的行为模式，例如触屏操作方式，或鼠标移动的频率与流畅度。

使用鼠标时，用户可能在滚动偏好、光标移动轨迹和整体速度方面表现出规律模式。使用触屏时，滑动速度、按压力度及常用屏幕区域等因素有助于构建用户的行为特征画像。

可疑活动可能包括：用户突然从长期使用鼠标转为使用触屏，或鼠标移动变得机械而非流畅，这可能表明设备已被僵尸程序接管。
键入模式

个人的键盘输入模式或击键动态特征可包括键入速度、节奏及常用快捷键。 
智能手机使用习惯

部分行为生物特征工具可追踪用户惯用手及持握手机的习惯角度等因素，该功能基于设备陀螺仪和加速度计的数据实现。 
常规 IP 地址与地理位置

尤其在职业环境中，用户倾向于从固定或特定区域使用设备及访问资源。因此，用户地理位置和 IP 地址数据可用作行为生物特征因素。若用户从全新地点登录，或其 IP 地址与声明位置不符，则可能表明网络攻击正在进行中。

行为生物特征认证的工作原理

行为生物特征认证工具利用人工智能 (AI) 和 机器学习  (ML) 算法分析用户行为模式，并构建用户典型行为模型。系统可将用户后续行为与该模型进行比对以完成认证。若用户行为正常，系统可确认其身份。若系统检测到行为明显偏离基线，则会标记可疑活动并阻止用户认证。 

构建用户行为模型

实施行为生物特征认证的第一步是收集数据以构建用户行为画像——即描绘每位用户的正常行为模式。

行为生物特征数据通常在用户与应用程序、网站或 数据库交互时被动收集。行为认证工具通常需要采集多个用户活动样本，以生成准确基线并减少误报。例如，IBM 的 Verify  身份与访问管理  (IAM) 解决方案要求至少采集八次会话数据。

行为生物识别解决方案使用先进的 AI 和 ML 技术，例如深度学习卷积神经网络（ConvNets 或 CNN），来处理收集的数据并构建模型。

大多数行为生物识别系统在每次后续会话中持续收集用户行为数据。这些数据用于进一步完善基线模型，随着时间的推移使其更加准确。

使用行为生物特征验证用户身份

当用户登录系统或请求访问新资源时，其行为模式将与模型进行比对。用户是否从预期 IP 地址登录？其击键动态特征是否符合该用户的典型模式？

系统根据行为的异常程度进行评分。依据安全系统中设定的评分阈值，可自动批准请求、标记异常或阻断访问。

身份验证通常不单独依赖行为生物特征。行为生物特征因素常作为自适应认证系统的组成部分，该系统根据安全上下文动态调整认证要求。例如，若用户从常规 IP 地址（行为生物特征之一）登录，可能仅需输入密码。但若从未知地址登录，则可能需要同时输入密码并完成指纹扫描。

行为生物特征也用于持续认证和监控工具，例如 用户行为分析 (UBA)  系统.这些系统会持续追踪用户活动模式，其范围甚至超越登录和访问请求。若用户在会话期间任何时刻偏离常规，UBA 系统即可向安全团队发出警报。

行为生物特征认证的应用场景

无论对组织还是个人，行为生物特征认证均可通过多种实用方式发挥作用。

访问控制

行为生物特征有助于为合法数字身份安全访问敏感资源（无论本地还是远程）提供便利，同时有效抵御黑客窃取或模仿用户身份的网络攻击。

生物特征认证措施还可用于保护实体敏感区域。政府机构可能使用扫描仪验证某人的行走步态是否与存档已验证个体的步态匹配。欧盟正在测试这种 行为认证方法，利用步态识别技术 监控过境通行。

多重身份验证

在 多因素认证 (MFA) 实施中，生物特征因素可与其他认证因素结合使用，在要求用户提供两个或更多因素证明身份的同时，兼顾增强 网络安全与便利性。

例如，MFA 系统可能要求用户输入密码，同时将击键动态特征视为第二因素。通过要求两种身份验证方式（其中一种不易被窃取），MFA 增加了攻击者劫持个人身份的难度。并且由于第二因素基于自动分析，用户除输入密码外无需额外操作。 

支付

行为生物特征可加速并保障金融服务交易，优化用户体验。例如，若用户通常使用智能手机完成支付，行为生物特征能自动判断其是否在使用常用手机，以及操作方式是否符合存档行为模式。

行为生物识别的优点

预防诈骗

行为生物特征可帮助金融机构、电子商务零售商及其他组织强化数据安全措施，并检测和预防欺诈活动。

例如，通过将欺诈者的行为与其冒充用户的存档行为进行比对，可有效防范欺诈性开户和账户接管。随着 AI 工具使黑客更易控制用户账户，此类防护措施变得前所未有的重要。Gartner 预测，AI 智能体将把利用账户暴露漏洞所需的时间缩短 50%。

行为生物特征还能检测用于非法资金隐藏和转移的钱骡账户。行为生物特征系统可识别此类账户异于常规用户的操作模式，并标记以供调查。

更强的安全性

窃取密码或身份证远比完美模仿个人的键盘使用方式或步态容易。即使欺诈者通过初始登录验证，也必须在整个会话期间维持伪装。任何偏离常规的行为都可能触发安全团队警报。 

改善用户体验

由于生物特征认证依赖人类行为，因此它具有非侵入性且用户无需额外操作。这有助于为员工和客户提供顺畅的的体验。