CC BY
0
НЕПРЕРЫВНАЯ АУТЕНТИФИКАЦИЯ И МОНИТОРИНГ ПОЛЬЗОВАТЕЛЕЙ С ИСПОЛЬЗОВАНИЕМ БИОМЕТРИИ ДИНАМИКИ
МЫШИ
Юсеф Мохаммед Абд Аллх Альотум, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, yousefot49@gmail. com.
УДК 004.056.53_
Аннотация. Веб-приложения сталкиваются с проблемой кражи сеансов, поскольку не существует системы непрерывной аутентификации для защиты приложений во время их использования. В этой статье обсуждается метод непрерывной аутентификации, основанный на поведенческих биометрических измерениях щелчков мыши и его способности подтверждать полномочия пользователя во время сеанса. Характеристики щелчков мыши были извлечены для создания биометрического шаблона для каждого пользователя. Пользователь аутентифицируется путем сравнения сохраненных биометрических шаблонов. Результаты этой статьи заключаются в том, что поведенческая биометрия щелчков мыши позволяет быстрее и с меньшими затратами обнаружить недействительного пользователя и является тяжелой для взлома из-за баллистической природы поведенческой биометрии.
Ключевые слова: непрерывная аутентификация; биометрические измерения; динамика мыши; биометрия.
CONTINUOUS AUTHENTICATION AND USER MONITORING USING MOUSE DYNAMICS BIOMETRICS
Yousef Mohammed Abdallh Alotoum, St. Petersburg state university of telecommunications n/a prof. M.A. Bonch-Bruevich.
Annotation. Web applications face the problem of session theft because there is no continuous authentication system to protect applications during their use. This paper discusses a continuous authentication method based on behavioral biometric measurements of mouse clicks and its ability to verify user credentials during a session. Mouse click characteristics were extracted to create a biometric template for each user. The user is authenticated by comparing the stored biometric templates. The results of this paper are that behavioral click biometrics allow for faster and less expensive detection of invalid users and are difficult to crack due to the ballistic nature of behavioral biometrics.
Keywords: continuous authentication; biometric measurements; mouse dynamics; biometrics._
Введение
Системы аутентификации проверяют подлинность пользователя, получающего доступ к определенным службам. Процесс проверки выполняется системами, когда пользователь входит в систему. Эти службы остаются доступными до тех пор, пока пользователь не закончит сеанс.
Большинство подходов сосредоточены на аутентификации пользователя, когда он инициирует сеанс (только во время входа в систему). В системах с высоким уровнем безопасности мошенники могут получить контроль над защищенной системой до тех пор, пока законный пользователь не выйдет из системы. Это может произойти, когда вошедший в систему пользователь делает
небольшой перерыв, не выходя из системы, или, когда мошенник заставляет пользователя войти в систему, и мошенник незаконно использует сеанс [1-3].
В этой статье обсуждается другая система аутентификации, основанная на биометрии, которая постоянно контролирует пользователя во время сеанса. Эта система гарантирует, что пользователь, который получает доступ к услугам в течение всего сеанса, является тем же пользователем, который начал сеанс.
Краткое описание области компьютерной безопасности
В области компьютерной безопасности существует два типа систем, которые могут обеспечить связь с человеком и его личностью [1, 3]:
• Идентификация личности: когда система устанавливает личность субъекта (т.е. без какого-либо предварительного утверждения личности).
• Аутентификация личности (или проверка): когда пользователь заявляет свою личность, а система принимает (или отклоняет) это утверждение [4-6]. Аутентификацию можно разделить на две группы:
- Статическая аутентификация: система аутентифицирует пользователя только один раз, т. е. в начале сеанса.
- Непрерывная (или активная) аутентификация: система будет отслеживать пользователя на протяжении всего сеанса, чтобы обнаружить любое изменение личности в течение этого сеанса.
В любой защищенной системе аутентификация или идентификация могут выполняться с использованием любого из факторов, приведенных ниже, или любой комбинации этих факторов. Эти факторы таковы [4, 5]:
1. Фактор знания («что-то, что знает пользователь»): например, пароль, парольная фраза, PIN-код или ответ на ряд контрольных вопросов.
2. Фактор владения («что-то, что принадлежит пользователю»): например, смарт-карта, SIM-карта, телефон, токен безопасности, токен программного обеспечения или файл cookie навигатора.
3. Фактор неотъемлемости («что-то, чем является пользователь»): это относится к биометрическим системам. Определение биометрии - «Применение статистического анализа к биологическим данным», согласно онлайн-Оксфордскому словарю.
Биометрия - это метод, используемый для подтверждения личности человека с использованием физических или поведенческих характеристик. Биометрия, в отличие от других методов проверки, опирается на характеристики, присущие каждому человеку [1].
Существует две подкатегории биометрии: физиологическая биометрия и поведенческая биометрия. В физиологической биометрии для подтверждения идентификации используются физические черты тела человека, такие как лицо, отпечатки пальцев, вены или радужная оболочка глаз. Мы рассматриваем приобретенное поведение в поведенческой биометрии. В этом случае мы проверяем человека, наблюдая, как он научился выполнять определенное действие уникальным, стандартизированным способом. Примеры поведенческой биометрии включают динамику мыши или клавиатуры, походку и подписи [7, 8].
В 1998 г. профессор Джейна Эт Ала доказал [1], что биометрическая система должна соответствовать семи различным критериям: универсальность, уникальность, постоянство, собираемость, производительность, принятие и обход. Уникальность и постоянство - два элемента, которые имеют решающее значение для оценки эффективности. В то время как постоянство связано с необходимостью иметь возможность идентифицировать человека в течение более длительного
периода времени, уникальность относится к необходимости различать двух разных людей [1-3].
Основные преимущества биометрии: нет необходимости запоминать пароли или другие элементы/токены, предоставляющие доступ к ресурсам; повышается безопасность; биометрические данные могут использоваться для защиты от некоторых мошеннических атак, таких как фишинг; его невозможно потерять или забыть [9, 10].
Тип биометрии
Биологическая биометрия: людей узнают по их физическим характеристикам, таким как лицо, отпечатки пальцев, отпечатки ладоней, сетчатка, радужная оболочка глаз, вены на руке или пальце, или ухо [3, 4].
Поведенческая биометрия: люди распознаются по задачам, выполняемым стандартным образом, например, по походке, динамике нажатия клавиш или мыши, подписи или голосу [9].
В следующей статье мы обсудим процесс непрерывной аутентификации на основе биометрических измерений динамики нажатия клавиш, а также способы максимально быстрого обнаружения пользователя-мошенника.
Биометрия динамики мыши
Это поведенческая биометрическая технология, которая извлекает и анализирует характеристики движения устройства ввода мыши, когда пользователь компьютера взаимодействует с графическим пользовательским интерфейсом в целях идентификации. Большинство существующих исследований по анализу динамики мышей нацелены, в первую очередь, на непрерывную аутентификацию или повторную аутентификацию пользователя, для чего были достигнуты многообещающие результаты [1, 2].
Однако статическая аутентификация (во время входа в систему) с использованием динамики мыши сталкивается с некоторыми проблемами из-за ограниченного объема данных, которые можно разумно захватить во время такого процесса. В этом проекте мы представляем новую среду анализа динамики мыши, которая использует динамику жестов мыши для статической аутентификации.
Существующие информационные системы полагаются на глобально распределенные сетевые инфраструктуры, включающие множество систем, которые взаимодействуют при предоставлении определенного набора услуг. Присущая этим системам неоднородность создает уровень сложности, который затрудняет их проектирование и эксплуатацию. Интеграция биометрической подсистемы в такую сложную системную среду требует принятия во внимание следующих проблем: социальное воздействие, удобство использования, совместимость, устойчивость и масштабируемость.
Особенности для каждого действия мыши
• Тип действия (1: перемещение мыши; 2: тишина; 3: указать и щелкнуть; 4:
перетащить) [11].
• Пройденное расстояние в пикселях.
• Прошедшее время (с точностью до 0,25 с).
• Направление движения (значение от 1 до 8 в зависимости от движения
мыши.
• Статистика гистограмм возникновения различных типов действий мыши.
• Процент простоя мыши.
• Распределение позиций курсора на экране.
• Распределение расстояний/направлений движения.
• Гистограммы индивидуальных действий мыши (Евквг & а1. 2012) [12].
• Извлечение следующих пяти функций из необработанных данных.
Тип действий. Мы явно удалили действие «событие тишины» из необработанных данных, поскольку хотим сосредоточиться на поведении пользователя. Поэтому мы использовали только другие записанные действия, а именно перемещение мыши (MM), «Указание и щелчок» (ПК) и «Перетаскивание» (РР) [11].
Направление движения. Берется непосредственно из необработанных данных.
Скорость движения мыши. Она равна пройденному расстоянию в пикселях/затраченному времени.
Обратное ускорение движения мыши, равное прошедшему времени/скорости движения мыши. Сначала мы попытались использовать ускорение движения мыши, но получили гораздо лучшие результаты при использовании обратного ускорения [11].
Пройденное расстояние в ячейках. Мы не использовали пройденное расстояние в необработанном виде, а решили использовать ограниченное количество ячеек для диапазона пройденного расстояния. Первые 20 ячеек содержали диапазон по 50 пикселей каждый, например, если пройденное расстояние составляло от 1 до 50 пикселей, мы назначали ячейку 1, если пройденное расстояние было в пределах 51-100 пикселей, мы назначали ячейку 2 и так далее. После этого ассортимент бинов увеличился, в частности, мы использовали 38 бинов по следующему графику, как показано на рисунок 1 [11, 12]:
• От 1 до 1000 пикселей: размер ячейки составляет 50 пикселей, т.е. всего 20 ячеек;
• От 1001 до 2000 пикселей: размер ячейки составляет 100 пикселей, т.е. всего 10 ячеек;
• От 2001 до 3000 пикселей: размер ячейки составляет 200 пикселей, т.е. всего 5 ячеек;
• От 3001 до 4000 пикселей: размер ячейки составляет 500 пикселей, т.е. всего 2 ячейки;
• Более 4001 пикселя: рассматривается как отдельный контейнер.
о
/ N. » / 7 Nv 1 у/ \ у/ 2 \
\ 6 у/ \ / 5 3 / 4 /
180'
Рисунок 1
Действия мыши
Щелчок левой кнопкой мыши (LC) - относится к действию щелчка левой кнопкой мыши [7, 8]. Это действие состоит из события нажатия левой кнопки, за которым следует событие нажатия левой кнопки, происходящее в течение tLC с после события нажатия кнопки:
LC% = (Idtl,[mt2,mt3, ...,та,],1ит\гп - t±< г1с).
Щелчок правой кнопкой мыши (RC) - обозначает действие щелчка правой кнопкой мыши [10], которое состоит из события нажатия правой кнопки, происходящего после события нажатия правой кнопки в течение tRC с:
RC% = (rdtl, [mt2,mt3, ...,mt2,],rutn \ tn- tt < tRc ).
Последовательность перемещения мыши (MMS) - относится к действию по перемещению мыши из одного положения в другое [12-14]. Это действие определяется как последовательность событий перемещения мыши, в которой временной интервал между каждой последовательной парой событий меньше tMM:
MMSH = (mtl,mt2, ....,mtn \VK :1<n- l,tk+1 - tt < тмм ).
Перетаскивание (DD) - обозначает действие, при котором пользователь нажимает одну из кнопок мыши, перемещает мышь, пока кнопка нажата, и отпускает кнопку в конце движения. При использовании атомарных событий это действие начинается с нажатия левой или правой кнопки мыши, за которым следует последовательность событий перемещения мыши [7], и заканчивается событием подъема левой или правой мыши соответственно. Минимальное время между событием левого нижнего положения и событием левого верхнего положения должно превышать tDD:
DD¡4 = (dtl, [mt2,mt3, ...,mtn-1,],utn \ tn- tt < tdd ).
Действие двойного щелчка (DC) состоит из двух последовательных щелчков левой кнопкой мыши, при которых подъем первого щелчка мышью вверх и опускание второго щелчка происходит с интервалом в т1 с [9]:
DCti.ti = (LCn.LCj:3\ t3 - t2 < Ti ).
Действие перемещения мыши и щелчка левой кнопкой мыши (MM LC) состоит из последовательности событий перемещения мыши, за которыми следует щелчок левой кнопкой мыши, происходящий не более чем через sMLM с после последнего события перемещения мыши [10]:
MM.LCg = (MMSl^.LCtt-A tn-1 - tn-2 < Tmlm ).
Система непрерывной аутентификации разделена на два основных этапа. На рисунок 2, а на рис. 3 - рисунок 3 [1, 11-13].
Этап обучения. На этапе обучения использовались данные обучения для создания модели классификатора и сохранения модели в базе данных для использования на этапе тестирования. Каждый реальный пользователь имеет свою модель классификатора.
Этап тестирования. Для сравнения на этапе тестирования мы собираемся использовать тестовые данные, которые были отделены от данных обучения. Для сравнения будем использовать модель, хранящуюся в базе данных, с целью получения оценки классификатора (вероятности) по каждой выборке тестовых данных. Следующим шагом будет использование этой оценки для изменения значения доверия С в модели доверия. Наконец, модуль принятия решений проверял значение доверия С, чтобы решить, будет ли пользователь заблокирован или сможет продолжать использовать свой компьютер. Основываясь на текущих значениях доверия и пороге блокировки, было принято это решение.
На этапе тестирования система будет оцениваться с помощью среднего количества подлинных действий (ЛЫОЛ) и среднего количества действий самозванца (ЛШЛ). В этом случае функциями пользователя могут быть любые движения мыши, такие как перемещение, щелчок или перетаскивание. Это достигается путем определения количества выборок тестовых данных реального или самозваного пользователя, которые могут быть использованы в модели до того, как пользователь будет заблокирован. Любой пользователь всегда начинает со значения доверия С=100. Если выборка тестовых данных является доверенной, то есть вероятность, выдаваемая моделью классификатора, превышает 50%, значение доверия будет увеличиваться до максимального значения 100. Значение доверия С снизится, если вероятность модели классификатора ниже 50%. Это означает, что доверие к подлинности увеличивается, если набор текста пользователя соответствует модели классификатора, а в противном случае оно снижается [3, 12].
Рисунок 2
Выборки данных от настоящего пользователя в большинстве случаев получат от классификатора высокую вероятность, а иногда и низкую вероятность. Это значит, что чаще всего доверие будет возрастать, а иногда и снижаться. В результате значение доверия останется на высоком уровне. Для пользователей-самозванцев ситуация противоположная. Часто значение доверия снижается, а иногда, когда поведение настоящего пользователя имитируется правильно, значение доверия повышается. Однако общая тенденция значения доверия будет понижаться, и, как только значение доверия станет ниже порогового значения,
пользователь будет заблокирован. Среднее количество действий, которые может выполнить самозванец до того, как его заблокируют, будет значением ЛШЛ, а среднее количество действий для настоящего пользователя будет обозначаться ЛЫОЛ. Очевидно, что цель состоит в том, чтобы ЛНОЛ была как можно выше (фактически, мы стараемся никогда не блокировать настоящего пользователя), в то же время значение ЛШЛ должно быть, как можно ниже. Последнее, очевидно, призвано гарантировать, что пользователь-самозванец может сделать как можно меньше, и, следовательно, его/ее обнаруживают как можно быстрее [4].
Рисунок 3
Система непрерывной аутентификации должна выполнять следующие требования:
Безопасность: быстрое определение мошенника. Другими словами, количество действий, которые совершает мошенник до того, как его обнаружат, должно быть, как можно меньшим [11-13].
Простота использования: настоящие пользователи никогда не блокируются или очень редко. Это означает, что прежде, чем они будут ошибочно заблокированы, пользователь должен совершать как можно больше действий [14].
Заключение
В настоящее время в сфере интернета происходит революция в области искусственного интеллекта и робототехники, а благодаря доступности интернета и простоте его использования область хакерства также стала областью, изучаемой в университетах. Здесь опасность заключается в том, что проникновение может стать доступным для всех групп и возрастов. Текущие области аутентификации и защиты более уязвимы для взлома из-за их аксиом, таких как система распознавания лиц, система отпечатков пальцев и другие, где хакер может создать робота или программу, которая может клонировать лицо пользователя или клонировать отпечаток пальца пользователя. Необходимо было создать систему, способную саморазвиваться так, чтобы координаты рабочей среды становились переменными. Это зависит от стиля самого человека, так как стиль использования технологий у каждого свой. Отсюда и биометрическая аутентификация. Система динамики движения мыши в настоящее время уместна, так как она недорогая и ненавязчивая, полагается только на информацию, связанную с тем, как используется мышь. Мы
исследовали динамику движений и кликов мыши для аутентификации и идентификации пользователя. Наше исследование показало, что динамика движений мыши имеет многообещающее будущее в текущих операциях аутентификации, учитывая быстрое развитие, которое мир наблюдает в области технологий и искусственного интеллекта. Они менее дороги, и, если их правильно рассчитать, они становятся более точными.
Литература
1. Kaixin W., Hongri L., Bailing W., Shujie H., Jia S. A User Authentication and Identification Model Based on Mouse Dynamics //Association for Computing Machinery, 2017. - № 9. - C. 4503-4509.
2. Balaganesh P., Soniya A. A Survey of Authentication Based On Mouse Behaviours // International Journal of Advanced Information Science and Technology (IJAIST), 2014.
- № 2. - С. 42-45.
3. Shen C., Cai Z., Guan X. Continuous Authentication for Mouse Dynamics: A Pattern-Growth Approach // Center for Intelligent and Networked Systems, 2012. - № 16. - С.44-54.
4. Mondal S., Bours P. Continuous Authentication using Mouse Dynamics. International Conference of the BIOSIG Special Interest Group (BIOSIG) // Электротехника, 2013.
- № 11. - С.112-124.
5. Gaikwad J., Kulkarni B., Phadol N., Sarukte S. Exploring visual representations of computer mouse movements for bot detection using deep learning approaches // Expert Systems with Applications, 2023. - № 7. - С. 2450-2469.
6. Hinbarji Z., Albatal R., Gurrin C. Dynamic User Authentication Based on Mouse Movements Curves // Springer International, 2015. - № 11. - С.111-122.
7. Tzafilkou K., Protogeros N. Mouse behavioral patterns and keystroke dynamics in End-User Development: What can they tell us about users' behavioral attributes // Computers in Human Behavior, 2018. - № 83. - С. 288-305.
8. Khan A., Quraishi S., Bedi S. Mouse Dynamics as Continuous User Authentication Tool. International Journal of Recent Technology and Engineering // IJRTE, 2019. - №
8. - С. 2277-2283.
9. Mondal S., Bours P. Combining Keystroke and Mouse Dynamics for Continuous User Authentication and Identification // International conference on Signal Processing, 2016.
- № 8. - С.100-104.
10. Jorgensen Z., Ting Yu. On Mouse Dynamics as a Behavioral Biometric for Authentication // Computers & Security, 2011. - №.45. - С. 147-155.
11. Awad A., Traore I. User Authentication Based On Behavioral Mouse Dynamics Biometrics // Detecting Computer Intrusions Using Behavioral Biometrics, 2005. - № 45.
- С. 48-55.
12. Красов А.В., Альотум Ю., Ушаков И.А. Аутентификация и идентификация пользователя с использованием биометрической динамики нажатия клавиш на основе «манхэттенского и евклидовского расстояния» // Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки, 2023. - № 4. - С.49-56.
13. Yousef M.A.A.A. Biometric and behavioral authentication and soft biometrics using keystroke and mouse dynamics // ICAIT, 2023. - №1 - C.70-75.
14. Mondal S., Bours P. Continuous Authentication using Behavioural Biometrics //IT Professional, 2013. - № 15. - С.12-15.
15. Альотум Ю.М.А.А., Пешков А.И. Свидетельство о государственной регистрации программы для ЭВМ № 2024664769 Российская Федерация. Программа по многофакторной аутентификации пользователей на основе
биометрических динамических методов: № 2024663318: заявл. 11.06.2024: опубл. 24.06.2024. Заявитель Федеральное государственное бюджетное образовательное учреждение высшего образования «Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича». - EDN HTRCUW.
