CA с использованием MD

Исследование непрерывной аутентификации с использованием комбинации клавишной и мышиной биометрии

Аннотация

В этой статье мы фокусируемся на независимой от контекста системе непрерывной аутентификации, которая реагирует на каждое отдельное действие, выполняемое пользователем. Мы вносим вклад в надежный динамический алгоритм модели доверия, который может быть применен к любой системе непрерывной аутентификации, независимо от биометрической модальности. Мы также вносим новый метод отчетности о производительности для непрерывной проверки подлинности. Наш предложенный подход был подтвержден с обширными экспериментами с уникальным поведенческим биометрическим набором данных. Этот набор данных был собран в полном неконтролируемом состоянии у 53 пользователей, используя наше программное обеспечение для сбора данных. Мы рассмотрели шаблоны поведения нажатия клавиш и мыши, чтобы предотвратить ситуацию, когда злоумышленник избегает обнаружения, ограничивая одно устройство ввода, потому что система проверяет только другое устройство ввода. Во время наших исследований мы разработали технику выбора признаков, которая может быть применена к другим проблемам распознавания образов.

Лучший результат, полученный в этом исследовании, заключается в том, что 50 из 53 подлинных пользователей никогда не блокируются системой случайно, в то время как остальные 3 подлинных пользователя (например, 5,7%) иногда блокируются, в среднем после 2265 действий. Кроме того, только 3 из 2756 самозванцев не были обнаружены, т. Е. Только 0,1% самозванцев не обнаружены. Самозванцы обнаруживаются в среднем после 252 действий.

Введение

Для большинства существующих компьютерных систем, как только идентификация пользователя проверяется при входе в систему (называемая статической аутентификацией (SA)), системные ресурсы доступны этому пользователю до тех пор, пока он не выйдет из системы или не заблокирует сеанс. Фактически, системные ресурсы доступны любому пользователю в течение этого периода. Это может быть подходящим для сред с низкой безопасностью, но может привести к захвату сеанса, когда злоумышленник нацелен на открытый сеанс, например. когда люди оставляют компьютер без присмотра в течение более коротких или длительных периодов, когда он разблокирован, например, чтобы выпить чашку кофе, пойти и поговорить с коллегой или просто потому, что у них нет привычки блокировать компьютер из-за неудобства, В условиях высокого риска или когда стоимость несанкционированного использования компьютера высока, постоянная проверка личности пользователя чрезвычайно важна. Непрерывная аутентификация (CA) не является альтернативным решением безопасности для первоначального входа; он обеспечивает дополнительную меру безопасности наряду с первоначальным входом.

В этой работе мы описываем систему СА, в которой несколько поведенческих биометрических модальностей слиты для повышения производительности системы и предотвращения дыр в безопасности, которые могут быть использованы самозванцами, чтобы избежать обнаружения. В случае ЦС система должна блокироваться, чтобы избежать какого-либо ущерба, нанесенного жертве. Очевидные требования заключаются в том, чтобы как можно быстрее обнаружить самозванца, чтобы контролировать количество повреждений, в то же время избегая, насколько это возможно, неправильной блокировки подлинного пользователя. Кроме того, если механизм CA, намного больше, чем статический метод проверки подлинности, выполняет свои задачи незаметно для пользователя. Это немедленно исключает использование системы проверки знаний или владения. Системы, основанные на знаниях, будут мешать пользователю при вводе пароля, в то время как системы, основанные на владении, не эффективны для пользователей, которые не удаляют свой токен при выходе из системы без присмотра. Кроме того, украденный токен предоставит злоумышленнику те же права доступа, что и настоящий пользователь, и не приведет к обнаружению компьютерной системой. Это приводит к тому, что биометрия становится потенциальным решением для СА. В предлагаемой системе поведение текущего пользователя сравнивается с обычным поведением подлинного пользователя, и отклонение от этого нормального поведения приведет к блокировке. Мотивацией использования поведенческой биометрии является ненавязчивый характер сбора данных для некоторых поведенческих биометрий, например. Динамика нажатия клавиш (KD) и динамика мыши (MD) (см. Раздел 2 для более подробной информации об этих биометрических модальностях).

Большинство исследований по показаниям СА показывают показатели FMR(вероятность, что система неверно сравнивает входной образец с несоответствующим шаблоном в базе данных) и FNMR (вероятность того, что система ошибётся в определении совпадений между входным образцом и соответствующим шаблоном из базы данных) или даже равную частоту ошибок (EER). Для системы CA фактически важно не только знать, обнаружен ли самозванец, но и когда он / она обнаружен, т. е. сколько активности он / она смог выполнить перед обнаружением.В качестве наших показателей эффективности мы будем использовать Среднее Количество Действий Самозванца (ANIA) и Среднее Количество Действий Владельца(ANGA). Следовательно, наш показатель эффективности показывает, насколько самозванец может сделать, прежде чем он / она будет заблокирован, и насколько реальный пользователь может сделать, прежде чем он / она будет, неправомерно, заблокирован из системы.

Основные вклады, сделанные в настоящем документе, заключаются в следующем:

· Заявление о проблеме CA не нова в области исследований. Но, по нашим наблюдениям, большинство современных исследований CA проводилось периодическим образом (например, периодическая аутентификация (PA)). Анализ, проведенный в этих исследованиях, основан на интервале фиксированного количества действий или фиксированного времени. В этом исследовании мы изучили возможность выполнения CA без этого ограничения. Мы разработали надежный алгоритм модели доверия, который может использоваться для системы СА, независимо от биометрической модальности. Этот подход можно найти в разделе 3.

· Поскольку наша система CA не работает периодически, мы обнаружили, что отчет о производительности системы с точки зрения EER, или FMR и FNMR больше не применим для такой системы. Мы придумали новый метод измерения производительности для систем CA. Мы также показали, как производительность системы PA (т. е. FMR и FNMR) может быть преобразована в терминах ANIA и ANGA для сравнения системы PA с нашей системой CA. Этот метод можно найти в разделе 4.

· Были проведены обширные эксперименты для подтверждения нашего подхода с различными поведенческими биометрическими модальностями. Мы выбрали поведенческую биометрию для нашего доказательства концепции. Однако мы полагаем, что этот подход может быть применен к любой системе CA, основанной на биометрических модальностях. Достигнутые результаты можно найти в разделе 10. В ходе наших исследований мы также придумали некоторые новые возможности для динамики мыши, и их можно найти в разделе 5.6.

· В ходе нашего исследования мы придумали новую технику выбора. Этот алгоритм можно найти в разделе 8.

· Внедрите новый набор данных CA для некоммерческих исследований, содержащий комбинацию информации нажатия клавиш и мыши и собранную в полном неконтролируемом состоянии, чтобы воспроизвести сценарий реального мира. Описание этого набора данных можно найти в разделе 5.

Связанные работы

После первоначального исследования литературы мы фокусируемся на системах СА, использующих поведенческие биометрические методы. Есть две основные проблемы, на которые мы хотели бы обратить внимание:

• Какова мотивация выбора поведенческой биометрии?

- Как правило, поведенческая биометрия (например, KD или MD) не требует дополнительного оборудования для сбора данных.

- Мы ожидаем, что для этих модальностей анализ не будет вычислительно сложным по сравнению с другими биологическими биометрическими модальностями (например, лицом или отпечатком пальца) из-за ограниченного объема информации.

- Мы можем собирать данные пользователя без прерывания нормальной повседневной работы пользователя. Кроме того, мы можем тайно собирать поведенческие биометрические данные в сетевой среде.

• Почему комбинация KD и MD?

- Как мы знаем, мышь и клавиатура являются наиболее распространенными устройствами ввода для компьютеров. Мы использовали комбинацию KD и MD, чтобы предотвратить ситуацию, когда злоумышленник избегает обнаружения, ограничивая как можно больше одним устройством ввода, потому что система проверяет только другое устройство ввода.

- Комбинация этих двух модальностей может улучшить общую производительность системы.

- Мы считаем, что очень сложно обманывать одновременно более одного поведенческого биометрического метода.

Мы обсудим соответствующую работу в области исследований CA. Обзор литературы делится на основе используемого модальности.

2.1. CA с использованием KD

KD относится к тому, что пользователь набирает на своей клавиатуре. Система аутентификации на основе KD является недорогой и простой в использовании, поскольку большинство систем основаны на программном обеспечении. В такой системе ритм ввода (т. Е. Информация о времени нажатия клавиш) должен быть захвачен для аутентификации. Первая статья, насколько нам известно, относится к KD - Umphressetal. [50] с 1985 года, но большинство исследований в этой области с 2000 года или позже (до [50] был опубликован отчет RAND Corporation, где они показали некоторые предварительные результаты проверки подлинности с использованием KD [17]). Подавляющее большинство исследований в KD фокусируется на характеристиках временной информации, но небольшое количество работ также включает в себя другие функции, такие как давление. Для KD большинство статей посвящено SA, и только меньшинство фокусируется на CA. По нашим сведениям, в 1995 году первое исследование было опубликовано на CA с помощью KD [44].

Мы можем разделить исследования CA с использованием KD на три группы в зависимости от объема используемых данных и последующего процесса сбора данных. В первой группе исследователи использовали относительно небольшой объем данных от индивидуумов, то есть 1000 нажатий клавиш или менее [3,9,10,13,14,19- 21,25,30,13,34,39,45], в исследователи второй группы использовали относительное большое количество данных от индивидуумов, то есть 6000 нажатий клавиш или менее [16,24,28,37,48], а в третьей группе исследователи использовали данные более 6000 нажатий клавиш для каждого человека [2,7, 11,23,36,46]. Мы также можем заметить, что исследования [3,9,10,19,45] проводились на одном наборе данных, где владельцем этого набора данных является Gunettietal. [19] и исследования [14,20] были выполнены на том же наборе данных, где владельцем этого набора данных является Filhoetal. [14]. По нашим сведениям, кроме этих двух наборов данных, все остальные наборы данных не являются общедоступными. Большинство упомянутых исследований использовали свободный текст для экспериментов, кроме [16,25,37], где они использовали фиксированный текст (т. Е. Предопределенный текст для всех участников) для своих экспериментов. За исключением [16,25,28,31,39,48], все остальные эксперименты проводились в неконтролируемой среде (то есть без предопределенных ПК и лабораторных экспериментальных установок), чтобы представлять естественное поведение пользователей.

Почти все существующие исследования KD использовали функции синхронизации времени нажатия клавиш для классификации. В некоторых исследованиях продолжительность n-графа использовалась как функция [3,9,10,23,13,19,25,30,46], тогда как [9,10,13] использовали продолжительность n-графа вместе со временем функции и [23,46] использовали специфические для n-графа слова. В [28,48] исследователи использовали некоторые дополнительные функции наряду с функциями синхронизации. В [28] для классификации использовались когнитивно-ориентированные черты и особенности [48] стилометрии.

Из уровня техники мы обнаружили, что большинство исследований использовали классификатор на основе расстояния для классификации, но некоторые из исследований следовали методу машинного обучения. В [19,24,25,30,39] исследователи использовали относительное расстояние (т. Е. R-расстояние и A-расстояние [19]), где, как в [7,9-11,13,20,23,24,46 ], исследователи использовали абсолютные дистанционные меры (т.е. евклидово расстояние или масштабное расстояние Манхэттена) для классификации объектов. Ленивый подход к обучению, например. k-ближайший сосед или классификаторы ближайших соседей были использованы в [24,31,34,48], а NeuralNetwork в качестве метода машинного обучения использовалась в некоторых исследованиях [2,16,20]. Кроме того, подход классификации данных использовался для классификации в [3,45]. В таблице 1 приведен краткий обзор связанных исследований ЦС с использованием KD с их применяемыми методами и достигнутой производительностью.

CA с использованием MD

MD определяется как способ взаимодействия пользователей с их системой с помощью мыши. Для биометрической аутентификации на основе MD нам нужно зафиксировать траекторию мыши и данные щелчка мыши, когда пользователи взаимодействуют с их системой. Существует меньшее количество исследований, посвященных CA с использованием MD по сравнению с KD [1,12,18,27,35,42,43,52]. Большинство из этих исследований проводились в неконтролируемой среде (все, кроме [43]) с неконтролируемыми задачами (все кроме [18]). Из этих исследований мы можем найти, что они собрали от 5 до 15 ч данных на пользователя в эксперименте, но некоторые из этих исследователей не сообщили о количестве данных, используемых для эксперимента, т. Е. [12,42,52]. Мы также обнаруживаем, что, кроме [42], все другие исследования использовали подход машинного обучения для классификации. В таблице 2 приведена сводка связанных исследований СА с использованием MD с их применяемыми методами и достигнута производительность.