2017-12-14
704
Алгоритм 1 объясняет идею реализации DynamicTrustModel (DTM). Этот алгоритм принимает несколько параметров и возвращает системное доверие подлинности пользователя после текущего действия, выполняемого пользователем. Все параметры для этого алгоритма могут отличаться для разных пользователей. Кроме того, мы можем изменить параметры для различных действий, выполняемых пользователями. Например, для одного пользователя мы можем использовать три разных набора параметров для трех разных типов действий (т. Е. Нажатия клавиш, перемещения мыши и щелчка мышью).
Уравнение. (1) показывает функцию доверия для алгоритма DTM. Здесь изменение доверия (ΔT) вычисляется в соответствии с уравнением (1), который основан на оценке классификации текущего действия, выполняемого пользователем, а также по 4 параметрам. Параметр A представляет собой пороговое значение для различения штрафа и вознаграждения. Если классификация (sci) текущего действия точно равна этому пороговому значению, то есть sci=AthenΔT(sci) = 0. Если sci>AthenΔT(sci)> 0, то дается вознаграждение, и, если sci<A, то ΔT(sci) <0, что означает, что доверие уменьшается из-за штрафа. Кроме того, параметр B является шириной сигмоидной функции, а параметры C и D являются верхними пределами вознаграждения и штрафа.
Если значение доверия после i-го действия обозначено Trusti, то отношение между довериемTrusti-1 после действий i-1 и доверительным доверием после i-го действия, когда конкретное i-е действие имеет классификационную оценку sci, приведено в уравнение (2).
На рисунке 3 мы проиллюстрировали ΔT(sc), вырабатываемую уравнением (1) на основе оценки классификации (sc) текущего действия для различных наборов параметров. На этом рисунке мы видим, что существует непрерывная функция между штрафом и вознаграждением, а также небольшая разница в ΔT, когда sc находится чуть ниже или чуть выше A. Основными преимуществами этой реализации являются то, что одна функция способна рассчитывать как штраф, так и вознаграждение, если в случае штрафа ΔT отрицательный, а в случае вознаграждения - положительный.
Алгоритм 1: Алгоритм для модели динамического доверия
Данные:
sci- итоговая оценка классификации для i-го действия
А- порог для штрафа или вознаграждения
В-ширина сигмоида
С-максимальное вознаграждение
D-максимальный штраф
Trusti-1 –доверие системы после (i-1)-го действия
Выход:
Trusti–доверие системы после i-го действия
Рисунок 3. Оценка (sc) по отношению к ΔT (sc) для разных значений уравнения (1).
Обсуждение
На фиг. 4 и 5 показано сравнение между CA и PA, где для PA выбрано фиксированное число из 100 действий. На рисунке 4 мы видим, что подход CA и PA работает отлично при анализе с помощью тестовых данных подлинного пользователя, т. е. подход CA не блокировал подлинного пользователя, а также в подходе PA подлинный пользователь был правильно проверен в каждый блок из 100 действий (т.е. отмечен как «T»).
На рисунке 5 мы видим, что подход CA правильно распознает самозваных пользователей после N1-действий и N1<100, но система PA ждет фиксированного количества 100 действий для принятия того же решения. Во втором периоде система PА не признавала самозваного пользователя (т. е. отмечена как «F»), и этот подход также принимает более 100 действий, чтобы распознать самозваного пользователя, но подход CA способен обнаруживать самозваного пользователя до конца блока данных. Мы также можем видеть, что в рамках этих 500 действий наш подход может обнаружить самозванца 5 раз, тогда как система PA обнаруживает только 4-х разбойников. В этом небольшом сравнении мы можем наблюдать преимущества нашего подхода СА к периодическому подходу.
В нашем анализе мы ограничили верхний предел уровня доверия до 100. Причина этого в том, что если подлинный пользователь будет работать в течение более длительного времени, в принципе доверие может подняться до высокого уровня, скажем, например, 1000. Это означает, что если самозванец возьмет на себя компьютер, то он не будет обнаружен системой до тех пор, пока уровень доверия не опустится ниже порога блокировки. В случае отсутствия верхнего предела это означает, что самозванец может сначала получить прибыль от доверия, которое было создано настоящим пользователем, что позволяет ему / ей больше времени на злонамеренную деятельность.
Мы провели наш анализ в области действия, а не во временной области. Основываясь на нашем опыте, количество действий, выполняемых пользователями в течение определенного периода времени, сильно зависит от конкретного поведения конкретного человека. Поэтому мы решили сообщить о производительности системы СА в домене действия.
4. Показатели эффективности
Как упоминалось ранее, FMR и FNMR не являются наиболее подходящими показателями эффективности для системы CA. Более важно знать, когда обнаружен самозванник, если он / она будет обнаружен. Чтобы быть более точным, важно знать, сколько действий может совершить самозванец, прежде чем он / она будет выставлен в качестве самозванца. Точно так же для настоящего пользователя важно, чтобы он / она не беспокоился в его повседневной жизни или, по крайней мере, как можно меньше. Опять же здесь важно знать, сколько действий действительный пользователь может выполнить, прежде чем он / она будет неправильно заблокирован из системы. Вывод состоит в том, что нам необходимо измерить производительность с точки зрения Среднего числа действий нарушителя (ANIA) и Среднего числа действий владельца (ANGA), где ANIA должна быть как можно меньше, в то время как ANGA должна быть высокой [8].
При анализе системы СА данные пользователя разбиваются на 2 части. Первая часть используется для создания шаблона, то есть для обучения классификатора в случае использования инструментов ML или для построения статистической модели. Вторая часть данных будет использоваться для тестирования. Данные теста пользователя используются действием по действию, и каждое действие будет определять изменение доверия. При запуске доверие будет установлено в 100, что означает полное доверие к текущему пользователю. Любое увеличение доверия, то есть любая награда, никогда не приведет к доверию выше 100, потому что это может быть неправильно использовано самозванцем. Если доверие падает ниже порога блокировки, мы предполагаем, что пользователь заблокирован, но для целей тестирования мы продолжим с остальными его / ее тестовыми данными, как если бы он / она просто вошел в систему снова, поэтому доверие будет сбрасывается на 100. На рисунке 2 мы видим пример того, как значение доверия изменяется при использовании данных самопомощи. Мы видим, что этот пользователь-самозванец заблокирован 5 раз в течение 415 действий. После каждого блокирования уровень доверия сбрасывается до 100, а неиспользуемые тестовые данные используются для дальнейшего тестирования.
В общем случае, если пользователь-нарушитель i, когда он тестируется против шаблона подлинного пользователя g, блокируется k раз, после соответственно N1,N2,…,Nk действий, тогда мы определим:
как среднее число действий, которые пользователь-самозванецi может выполнять на шаблоне подлинного пользователя g. Из этого можно сделать вывод, что среднее число действий самозванца против подлинных пользователей g равно:
где суммирование выполняется над всеми M-1пользователеми-самозванцами, то есть всеми пользователями, кроме подлинного пользователя. В целом мы обнаруживаем, что среднее число действий самозванца против любого подлинного пользователя в этой системе равно:
где мы усредняем всех пользователей.
Точно так же мы определяем ANGAg, поскольку среднее количество действий пользователя g может выполняться, когда его / ее тестовые данные проверяются на его собственный шаблон. Среднее значение для всех пользователей значений ANGAgснова определяется как ANGA системы.
Рис. 6. Пример изменения уровня доверия при тестировании данных самозванца.
На рисунке 2, если применить вышеприведенную технику,ANIA17=415/5=83, но в случае на рис.6, ANIA122=62/3=21, что дает право утверждать, что результат является предвзятым. Поэтому мы можем сказать, что теоретически вышеупомянутый способ вычисления ANIA возможен, когда мы имеем бесконечное количество данных. Но на практике из-за ограниченного количества данных мы следовали несколько иначе, когда принималось во внимание количество общего количества действий, то есть ANIA17=500/5=100 и ANIA122=500/3=167. В последнем подходе ANIA всегда будет выше, чем предыдущем подходе.
4.1. Отчетность по эффективности
ANIA и ANGA дадут хорошее первое впечатление для сообщения о производительности системы CA. Такая отчетность по эффективности аналогична отчетности FMR и FNMR или отчетности EER в системе SA: она создает впечатление, но также может быть предоставлена дополнительная информация. Для системы SA более полное представление производительности может быть обеспечено кривой DET. Аналогичным образом у нас может быть более подробный отчет для системы ЦС. Когда вы смотрите на конкретного настоящего пользователя, самое лучшее, что может случиться, это то, что (1) этот пользователь не заблокирован из системы, учитывая его / ее тестовые данные; и (2) все самозваные пользователи блокируются из системы. Блокировка самозванца должна, конечно, происходить как можно быстрее, т. Е. После как можно меньшего количества действий.
Однако могут быть ситуации, которые не столь идеальны, как описано выше. Может случиться так, что подлинный пользователь заблокирован системой или что самозваные пользователи не распознаются как таковые и не блокируются. Поэтому у нас есть 4 разных категории, которые необходимо учитывать:
+ / +: Это оптимальная ситуация, когда все самозваные пользователи заблокированы, а настоящие пользователи - нет;
+/-: В этом случае настоящие пользователи никогда не блокируются из системы, но некоторые самозванцы не обнаружены;
- / +: В этой категории все самозванцы обнаруживаются и блокируются, но некоторые подлинные пользователи также в какой-то момент блокируются;
- / -: Худшая ситуация заключается в том, что одновременно некоторые самозваные пользователи не обнаруживаются, а некоторые из них заблокированы системой.
Более обширные результаты представлены в матрице, где строки представляют 4 категории. В первом столбце указано количество подлинных участников для каждой из 4 категорий (т. Е. Этот столбец соответствует количеству участников M). Второй столбец представляет собой значение ANGA, то есть среднее количество действий подлинного пользователя для настоящих пользователей в этой конкретной категории. Если неподключенные пользователи не заблокированы (поэтому в категориях «+ / +» и «+/-») здесь здесь не указано число, но очевидно, что оно больше, чем количество действий в тестовых данных. Третий столбец представляет значение ANIA, то есть среднее количество действий заблокированных пользователей-самозванов для подлинного пользователя конкретной категории (самозванцы, которые не заблокированы из системы, не являются частью этого расчета), тогда как в последнем столбце показано количество самозваных пользователей, которые не обнаружены. Это последнее число следует рассматривать по отношению к числу подлинных участников (т. Е. Номер в первом столбце). Последняя строка в матрице суммирует результаты для каждого из столбцов.
Таблица 4
Пример расширенной отчетности об исполнении для системы CA
Таблица 5
Структура данных для событий нажатия клавиш
В таблице 4 представлен пример работы системы CA. Мы видим, что всего в исследовании участвовало 49 пользователей (цифры в первой колонке составляют до 49). Большинство из них никогда не запираются как подлинный пользователь (45 из 49), но 4 подлинных пользователя заблокированы из системы, т. е. 8,2% от истинных пользователей ошибочно заблокированы. Хотя терминология не совсем корректна, мы могли бы искусственно определить FNMR в этом случае как 8,2%. Можно видеть, что на самом деле пользователь в категории «- / -» заблокирован (в среднем) после более чем 90000 действий, поэтому это на практике менее одного раза в день. Столбец ANGA остается пустым для первых двух категорий, потому что подлинный пользователь не заблокирован, поэтому мы не можем рассчитать ANGA для этих пользователей. Систему ANGA можно рассчитать по среднему числу действий, которые используются для тестирования. В этом случае среднее количество действий для тестирования на пользователя составило m = 47,682. Обратите внимание, что настоящий пользователь в категории «- /-» может выполнять 90,936 действий до того, как он / она будет заблокирован системой, поэтому даже больше, чем среднее количество действий, доступных для тестирования. Это связано с тем, что количество действий для тестирования для каждого пользователя сильно варьировалось от минимума 2908 до 288 450. Для пользователей, которые не блокируются системой, мы будем использовать среднее число действий для тестирования при расчете системы ANGA и ANIA. В случае результатов таблицы 4 мы можем рассчитать ANGA как:
В столбце ANIA цифры значительно различаются для каждой категории. Число 807, например, в категории +/-, основано на бессовестных пользователях, которые заблокированы против 4 настоящих пользователей. Учитывая, что на одного подлинного пользователя существует 48 самозваных пользователей, мы обнаруживаем, что в этой категории мы рассмотрели 4 × 48 = 192 наборов данных нарушителей. Из них 7 не обнаружены (см. последний столбец), т. е. не заблокированы. Число 807 - это ANIA, усредненное по сравнению с другими 192 - 7 = 185 наборами прививок.
Последний столбец в таблице представляет количество наборов самозванцев, не обнаруженных в этой категории. В общей сложности мы видим, что 8 самозванцев не привели к блокировке этого самозваного пользователя. Таким образом, подобно искусственному определению FNMR, мы могли искусственно определять FMR как 8 из 48 × 49 = 2352 или 0,34%. Обратите внимание, что первая и третья записи в последнем столбце остаются пустыми, потому что для этих двух категорий обнаружены все самозваные пользователи. Теперь система ANIA может быть рассчитана как:
