论文综述 - 基于设备行为特征的用户身份认证

这篇论文综述已经成文比较久了,是四月上旬写成的。“基于设备行为特征的用户身份认证”是朱老师给我的一个题目,希望我能在阅读论文后有一些想法,并做实验去实现。

这篇文章算是一个阶段性总结,但是我们并没有一个具体的好的 idea,我这学期时间比较紧张,也不太好漫无目的地写程序做实验找实验者得到数据再以此找 idea,因此暂时搁置去做其他的工作。但是也算是我在实验室的工作之一,锻炼了我读论文的能力。希望大四有机会看能不能进一步做出一些成果。

对了,我知道这不是一篇合格或者说合乎规范的论文综述。

论文总体背景

研究背景

身份认证是指用户声明自己的身份并利用相关特征数据来证实该身份,将该用户的相关特征数据与其声明用户的模板进行比较,是一种一对一的匹配方法。安全的身份认证是保证计算机及网络系统安全的基本前提。现有的身份认证技术主要包括三类,分别利用了不同的信息:

  1. 记忆信息,如密码、PIN 等;
  2. 辅助设备、如 ID 卡、令牌等;
  3. 生物特征,如指纹,虹膜等。

这些传统的识别技术自身均存有缺陷,如密码难于记忆并容易搞混和泄露,ID 卡需要随身携带且易失窃或失效,生物认证需要额外的硬件设备。鉴于此,研究人员仍然在不断寻找新的身份认证手段和方法。[1]

基于设备行为特征的用户身份认证是研究通过键盘、鼠标等计算机输入设备以及触摸屏、陀螺仪等移动终端设备的使用行为特征来识别计算机操作者身份的可行性及相关方法。该研究基于所有用户在设备上进行操作的行为特征不尽相同的假设。因为其有着不需要额外的设备、在当前大多数计算机系统中可以直接部署、认证和监控期间对用户几乎无干扰等优点,因此逐渐成为身份认证研究中的新热点。除开网络安全、机器学习,该问题也被归于生物行为统计学(Behavioral Biometrics)

评估指标

在该研究中中,对模型或系统性能的评估指标通常与生物统计学中类似问题相同,定义如下:

  • False Acceptance Rate(错误接受率,FAR):冒名顶替者被系统接受的百分比;
  • False Rejection Rate(错误拒绝率,FRR):真实授权用户被系统拒绝的百分比;
  • Equal Error Rate(等错误率,EER):错误接受率和错误拒绝率相等时的错误率,即前两者相交的点。[2]

具体论文介绍

基于鼠标行为特征的用户身份认证与监控[1]

本文对 20 个用户 2 个月的鼠标行为数据进行比较分析,结合 SVM(支持向量机)建立模型。

本文的亮点是提出了一种基于顺序前进贪婪搜索和支持向量机的特征组合选择算法,以降低鼠标特征空间的维数,显著提高身份认证和监控的准确度。错误接受率为 1.67%,错误拒绝率为 3.68%。

User Authentication using Combination of Behavioral Biometrics over the Touchpad acting like Touch screen of Mobile Device[2]

本文的研究成果表明,在触摸屏设备上,用 k-NN 分类方法,手指压力比击键力学更能给出判别信息。此外,仅使用手指压力,准确度高达99%。

本文的优点是详细地介绍了生物统计学,以及数据采集使用的设备和方法。

动态实时身份认证的方法研究[3]

本文研究的前提是介入式场景的身份认证需要的时间短(几秒内),但是人的短时行为不稳定,影响准确率;而认证时间长,内部攻击可能已经完成。

本文研究重点在于动态场景和固定场景配合的身份认证。动态场景中,系统等待合适的时机注入异常事件,构建包括鼠标光标的跳变、隐藏和呆滞 3 种异常场景,采集用户在异常发生时的鼠标行为;在连续两次动态身份认证异常后,系统引导用户进入固定场景(本文在此设计了一款记忆性的拼图游戏)以长时间采集行为数据,确定是判断为用户正常、更新模版库还是判断为伪造用户并报警。

本文的亮点是提出了一种全场景身份认证系统,动态用场景和固定场景的配合克服固定场景无法实时身份认证的弊端,而且保证了用户体验和资源节省。错误接受率为 1.8%,错误拒绝率为 3.0%,平均认证时间仅需 8.12s。

行为截获技术对鼠标动力学身份认证的影响[4]

本文研究了三种截获用户鼠标行为数据的方法:消息钩子、WM_INPUT 消息处理和过滤驱动,在采样时钟分辨率、时间精度、位置信息等方面分析了不同方法所获取的数据之间的区别,并利用神经网络分类器构建了身份认证模型。

本文的结论是三种行为截获技术中,消息钩子方法截获的数据时间准确性高,轨迹位置表示的误差较小,用于身份认证的效果较好。

本文的亮点是研究重点另辟蹊径,放在了行为截获技术这一特征采集的源头。

A Practical Real-Time Authentication System with Identity Tracking Based on Mouse Dynamics[5]

本文提出了一种基于鼠标动态的实时认证方法,称为PAITS(Practical Authentication with Identity Tracking System)。该方法也是通过注入异常事件,与“动态实时身份认证的方法研究”一文相比,优点在于数据集更大:12 个志愿者,1038 个鼠标会话。

Verification of Computer Users Using Keystroke Dynamics[6]

本文的特点在于采用了模糊 ARTMAP、径向基函数网络(RBFN)和学习矢量量化(LVQ)神经网络模型等一些较为少见的神经网络模型,声称在特征选用按键持续时间与按键间隔时间相结合时识别准确率最好能够达到 100%。考虑到本文发表的时间(1997年),如今常用的神经网络理应有更好的分类效果,因此怀疑以上表现的原因是数据集较小。

User Re-Authentication via Mouse Movements[7]

通过突然的警报来构建动态场景,根据鼠标移动行为来进行用户认证。假阳性率为0.43%,假阴性率为1.75%。可能是因为发表时间较早(2004 年),与其余论文比没有感觉有特别突出的亮点。

The detection of faked identity using unexpected questions and mouse dynamics[8]

本文的研究前提和其他论文不太相似,不需要保存有声明用户的行为特征数据,而基于记忆检测(RT-based memory detection),通过通过鼠标轨迹有效检测伪造身份。

本文的实验场景中,要求被试者采用假身份并通过已知的信息进行排练,以达到伪装的目的。他们需要在现场的监测人员的监督下,在电脑上回答问题。问题分为了可预测问题(准备好答案的身份相关问题,例如出生年月)、不可预测问题(没有做好反应准备的身份相关问题,例如属相)和控制问题(包含个人信息且必须正确回答,因为这些问题的真实答案对于现场的监测人员是透明的,例如肤色)。对于不可预测问题,会在反应时间、错误数量以及鼠标轨迹上反映出来。

本文选取的特征数量较多(13个),在此之上选取了效果最好的 4 个进行训练,并使用了四种分类器:随机森林、Logistic、支持向量机和 Logistic Model Tree,用 10 折交叉验证来表明结果的可靠性。

本文的缺点在于数据集太少(不到 100 个样本)、数据分布缺少泛化性(被试者只有意大利和德国人)、只用了准确率做评估指标(没有使用 FAR、FRR、EER)。

Keystroke dynamics as a biometric for authentication[9]

本文的亮点:

  1. 提出一些基于击键特征的具体应用场景,例如任何访问服务器的用户都会被提示输入一些与他/她的用户名和密码相关联的短语。如果他/她的键入模式匹配在声明的标识的合理阈值内,则授予访问权限;或者通过检测打字节奏来判断困倦、疲劳等用户非正常状态,用于空中交通控制等;
  2. 主张使用结构化文本,而非任意文本(或称自由文本)来获得用户击键数据。

HMOG: New Behavioral Biometric Features for Continuous Authentication of Smartphone Users[10]

本文引入了一套行为特征,称为 HMOG(hand movement, orientation, and grasp,手的移动、定位和抓取),对移动设备上三种特征(HMOG、击键和轻触)单独和结合时分类结果进行了综合评价。

本文的亮点:

  1. 讨论了在坐着和行走两种情况下收集到的数据的不同。坐着时 EER 为 10.05%,行走时 EER 为 7.16%,行走时数据使用时效果更好的原因是 HMOG 特征能够捕捉到行走所引起的独特的身体动作;
  2. 分析了认证过程对移动设备能耗的影响。

Silent User Identification Via Touch and Movement Behavioral Biometrics[11]

本文的研究重点在于提出了 SilentSense:一种通过利用用户触摸行为、生物识别技术和利用集成传感器来捕捉用户的屏幕触控动作所造成的微移动框架。

该框架通过集成了一个基于运动的生物识别技术,解决由触摸引起的移动设备的微移动被大规模的用户移动抑制的问题。所用的技术包括:

  1. 考虑到用户可以用任何姿态握住手机,将手机坐标系中的原始加速度矢量实时转换为地球坐标系;
  2. 利用带通滤波器对线性加速度进行滤波;
  3. 从处理后的加速度数据中提取行走特征。步行者的垂直位移与他/她的步长和高度直接相关,因此是一个重要的特征。

研究的用户行为包括轻触、滚屏、扔甩、多次触碰,选用特征包括垂直位移、步长、水平加速度的均值和标准差。

另外,本文还提出了一种新的在线决策机制,可以控制打开或关闭传感器,以提供了能耗成本、延迟和准确性之间的平衡。该在线决策机制会根用户的习惯,产生适应性的观察频率。

Implicit Smartphone User Authentication with Sensors and Contextual Machine Learning[12]

本文系统地展示了如何在传感器和特征选择、机器学习技术、上下文检测和多设备的不同设计方案中实现高认证精度。提出的 SmarterYou 框架认证精确度为 98.1%,系统开销可忽略不计,电池消耗不足 2.4%。

本文的亮点在于:

  1. 使用了 KRR(kernel ridge regression)算法;
  2. 使用 Fisher scores 来选取特征子集。Fisher scores 是广泛使用的监督特征选择方法之一;
  3. 较为详细地介绍了上下文检测:在不同环境下,传感器的测量结果可能不同。因此单独训练上下文检测模型来在做用户认证前的上下文检测。在初步实验后,将提出的四种上下文合并为两种,最终实现上下文检测精度超过 99%,时间小于 3 毫秒。数据获取方法是让用户在受控的实验室条件下使用他们的智能手机,使用过程中保持运动或静止;当为用户执行上下文检测时,使用的上下文检测模型是用其他用户的数据进行训练的。

另外,本文包含了一个移动设备上相关工作效果比较的表格,可以参考。

2018-04-08 10 48 58

可以深入研究的方向

  1. 将对上述研究的学习成果从“用户身份认证”迁移到“爬虫识别”。不过,基于行为特征的验证码实际上已经非常成熟了,例如通过拖动条采集响应时间、拖拽速度、位置、轨迹、重试次数等特征进行识别,以及 Google 的复选框点击验证码。因此,如果要选择这个方向,需要有更多创新。
  2. 将对上述研究的学习成果从“用户身份认证”迁移到“用户体验分析”。根据用户行为特征的异常来判断用户的心情,或者内容对用户的吸引力。
  3. 移动设备验证码:现在移动端好像都是短信验证码,或者是最基本的图形验证码。能不能实现在触摸屏上画一个圈就能验证?或者与手机划线解锁相结合?
  4. 提出一个具体的应用场景,并调整选取特征、指标、算法等。

论文列表

[1] 沈超, 蔡忠闽, 管晓宏,等. 基于鼠标行为特征的用户身份认证与监控[J]. 通信学报, 2010, 31(7):68-75.

[2] Saevanee, Hataichanok, and P. Bhatarakosol. “User Authentication Using Combination of Behavioral Biometrics over the Touchpad Acting Like Touch Screen of Mobile Device.” International Conference on Computer and Electrical Engineering IEEE Computer Society, 2008:82-86.

[3] 毛传武, 程阳, 余文明. 动态实时身份认证的方法研究[J]. 网络与信息安全学报, 2016, 2(3):76-85.

[4] 王淼, 蔡忠闽, 沈超,等. 行为截获技术对鼠标动力学身份认证的影响[J]. 微电子学与计算机, 2013, 30(4):14-21.

[5] Chen, Xiao Jun, et al. “A practical real-time authentication system with Identity Tracking based on mouse dynamics.” Computer Communications Workshops IEEE, 2014:121-122.

[6] Obaidat, M. S., and B. Sadoun. “Verification of computer users using keystroke dynamics.” IEEE Transactions on Systems Man & Cybernetics Part B Cybernetics A Publication of the IEEE Systems Man & Cybernetics Society 27.2(1997):261-9.

[7] Pusara, Maja, and C. E. Brodley. “User re-authentication via mouse movements.” The Workshop on Visualization & Data Mining for Computer Security ACM, 2004:1-8.

[8] Monaro, M, L. Gamberini, and G. Sartori. “The detection of faked identity using unexpected questions and mouse dynamics.” Plos One 12.5(2017).

[9] Monrose, Fabian, and A. D. Rubin. “Keystroke dynamics as a biometric for authentication.” Future Generation Computer Systems 16.4(2000):351-359.

[10] Sitová, Zdeňka, et al. “HMOG: New Behavioral Biometric Features for Continuous Authentication of Smartphone Users.” IEEE Transactions on Information Forensics & Security 11.5(2016):877-892.

[11] Bo, Cheng, et al. “SilentSense:silent user identification via touch and movement behavioral biometrics.” Computer Science (2013):187-190.

[12] Lee, Wei Han, and R. B. Lee. “Implicit Smartphone User Authentication with Sensors and Contextual Machine Learning.” (2017):297-308.