易聰，胡軍

新的基于鼠標(biāo)行為的持續(xù)身份認(rèn)證方法

易聰1,2，胡軍1,2

（1. 計(jì)算智能重慶市重點(diǎn)實(shí)驗(yàn)室（重慶郵電大學(xué)），重慶 400065；2. 重慶郵電大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，重慶 400065）

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，安全問(wèn)題一直是人們關(guān)注的焦點(diǎn)?；谑髽?biāo)行為的持續(xù)身份認(rèn)證對(duì)于保護(hù)計(jì)算機(jī)系統(tǒng)的安全起著至關(guān)重要的作用。針對(duì)鼠標(biāo)行為認(rèn)證方法存在的認(rèn)證準(zhǔn)確率較低和認(rèn)證時(shí)間較長(zhǎng)的問(wèn)題，提出了一種新的基于鼠標(biāo)行為的持續(xù)身份認(rèn)證方法。該方法將用戶(hù)的鼠標(biāo)事件序列按不同的類(lèi)型劃分為相應(yīng)的鼠標(biāo)行為，并基于鼠標(biāo)行為從多方面挖掘鼠標(biāo)行為特征，對(duì)于時(shí)間和空間的特征值需要計(jì)算其統(tǒng)計(jì)值來(lái)唯一表示，從而更好地表示不同用戶(hù)的鼠標(biāo)行為差異，提高認(rèn)證準(zhǔn)確率。通過(guò)ReliefF算法得到鼠標(biāo)行為特征的重要度，并在此基礎(chǔ)上結(jié)合鄰域粗糙集去除鼠標(biāo)行為的無(wú)關(guān)或冗余特征，以達(dá)到降低模型復(fù)雜度和建模時(shí)間的目的，并采用二分類(lèi)算法進(jìn)行認(rèn)證模型的訓(xùn)練。在身份認(rèn)證時(shí)會(huì)根據(jù)每次收集的鼠標(biāo)行為使用認(rèn)證模型得到分類(lèi)得分，再結(jié)合信任模型更新用戶(hù)的信任值，當(dāng)用戶(hù)的信任值降低到信任模型閾值以下時(shí)，就會(huì)被判斷為非法用戶(hù)。在Balabit和DFL數(shù)據(jù)集上對(duì)所提方法的身份認(rèn)證效果進(jìn)行仿真實(shí)驗(yàn)，結(jié)果表明，該方法相較于其他文獻(xiàn)的方法，不僅可以提高身份認(rèn)證準(zhǔn)確率、降低身份認(rèn)證時(shí)間，而且對(duì)于外部用戶(hù)的非法入侵具有一定的魯棒性。

身份認(rèn)證；鼠標(biāo)行為；鄰域粗糙集；特征選擇；信任模型

0 引言

在互聯(lián)網(wǎng)的快速發(fā)展下，計(jì)算機(jī)技術(shù)得到了廣泛普及，越來(lái)越多的人需要通過(guò)計(jì)算機(jī)訪問(wèn)各種系統(tǒng)或者應(yīng)用，身份認(rèn)證在其中扮演著“門(mén)禁”的角色，能夠判斷當(dāng)前使用計(jì)算機(jī)系統(tǒng)的用戶(hù)身份[1]?，F(xiàn)有的身份認(rèn)證主要有口令認(rèn)證、持有物認(rèn)證和生物特征認(rèn)證?？诹钫J(rèn)證如賬戶(hù)密碼等，需要人們記憶，并且容易被盜取、破解；持有物認(rèn)證如小區(qū)的門(mén)禁卡等，需要人們隨身攜帶，使用不方便且容易丟失；基于生物特征的認(rèn)證方法相較于前兩種認(rèn)證方法，在安全性和使用性上進(jìn)行了較大的提升，成為身份認(rèn)證的研究熱點(diǎn)。

基于生物特征的認(rèn)證方法主要分為基于生理特征的認(rèn)證方法和基于行為特征的認(rèn)證方法?；谏硖卣鞯纳矸菡J(rèn)證方法主要有指紋識(shí)別[2]、人臉識(shí)別[3]、虹膜識(shí)別[4]等。這些認(rèn)證方法因?yàn)樾枰~外的硬件設(shè)備，所以需要付出較高的成本開(kāi)銷(xiāo)?；谛袨樘卣鞯恼J(rèn)證方法不需要另外的數(shù)據(jù)收集設(shè)備，僅使用用戶(hù)與計(jì)算機(jī)進(jìn)行交互的行為數(shù)據(jù)，成本代價(jià)較低，且這類(lèi)認(rèn)證方法可以方便地部署在計(jì)算機(jī)上，主要用于計(jì)算機(jī)系統(tǒng)的持續(xù)身份認(rèn)證，已經(jīng)成為身份認(rèn)證重要的發(fā)展方向[5-15]。

擊鍵和鼠標(biāo)動(dòng)力學(xué)是兩種主要的基于行為特征的身份認(rèn)證方法。先前已經(jīng)有大量研究人員對(duì)基于擊鍵行為的身份認(rèn)證方法開(kāi)展了較為深入的研究[5-6]。但是擊鍵行為可能包含用戶(hù)的敏感數(shù)據(jù)，如賬戶(hù)、密碼等，而鼠標(biāo)行為不會(huì)泄露用戶(hù)的隱私，相對(duì)更安全，因此得到研究人員的廣泛關(guān)注。

Ahmed等[7-8]證明了不同用戶(hù)的鼠標(biāo)行為特征存在較大區(qū)別，能夠用來(lái)識(shí)別用戶(hù)的身份信息。Zheng等[9-10]提出了一些基于角度的細(xì)粒度特征，這些新指標(biāo)相對(duì)獨(dú)特，獨(dú)立于計(jì)算平臺(tái)，并使用SVM作為認(rèn)證模型。徐劍等[11]采用層次劃分的方法對(duì)用戶(hù)鼠標(biāo)行為進(jìn)行定義，并使用隨機(jī)森林作為分類(lèi)器以解決數(shù)據(jù)過(guò)擬合和噪聲問(wèn)題。Yildirim等[12]能在每個(gè)會(huì)話中將原始數(shù)據(jù)劃分為鼠標(biāo)移動(dòng)，然后根據(jù)會(huì)話時(shí)間大小對(duì)鼠標(biāo)移動(dòng)進(jìn)行分類(lèi)，并通過(guò)計(jì)算長(zhǎng)短鼠標(biāo)移動(dòng)的獨(dú)立屬性為每個(gè)用戶(hù)創(chuàng)建單獨(dú)的簽名，最后使用二分類(lèi)器進(jìn)行身份認(rèn)證。田杰等[13]針對(duì)當(dāng)前基于鼠標(biāo)行為的身份認(rèn)證方法在自由環(huán)境中認(rèn)證性能低的問(wèn)題，提出了一種聯(lián)合鼠標(biāo)及窗口行為進(jìn)行跨域分析的方案。Chong等[14]使用卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練用戶(hù)的鼠標(biāo)移動(dòng)軌跡圖像，平均AUC（ROC曲線下的面積）最高能達(dá)到96%。

根據(jù)相關(guān)經(jīng)驗(yàn)提取的鼠標(biāo)行為特征存在一些無(wú)關(guān)或冗余特征，不僅會(huì)增加模型的復(fù)雜度，還會(huì)增加建模時(shí)間。沈超等[15]提出順序前向特征選擇的方法，需要計(jì)算每個(gè)特征組合所對(duì)應(yīng)的認(rèn)證準(zhǔn)確率。該方法實(shí)現(xiàn)簡(jiǎn)單但適用性不好，當(dāng)特征數(shù)量增加時(shí)，計(jì)算時(shí)間將大幅度增加。為此，本文結(jié)合運(yùn)行效率高的ReliefF算法和鄰域粗糙集進(jìn)行特征選擇，在減少特征選擇的時(shí)間復(fù)雜度的同時(shí)，能有效去除無(wú)關(guān)或冗余特征?，F(xiàn)有的鼠標(biāo)行為身份認(rèn)證通常是通過(guò)收集固定數(shù)量的鼠標(biāo)行為數(shù)據(jù)做出判斷，但每位用戶(hù)都會(huì)受到環(huán)境的影響，造成鼠標(biāo)操作行為發(fā)生變異，從而無(wú)法確定固定收集多少個(gè)鼠標(biāo)行為才能正確判斷出該用戶(hù)的身份，同時(shí)如果使用較多數(shù)量的鼠標(biāo)行為判斷用戶(hù)的身份，會(huì)造成身份認(rèn)證時(shí)間較長(zhǎng)，那么計(jì)算機(jī)系統(tǒng)的風(fēng)險(xiǎn)將會(huì)增大。為此，本文結(jié)合信任模型持續(xù)地判斷用戶(hù)鼠標(biāo)行為的合法性，減少誤判率，同時(shí)由于收集更少數(shù)量的鼠標(biāo)行為就能判斷出非法用戶(hù)，身份認(rèn)證時(shí)間也能降低。

1 基于鼠標(biāo)行為的身份認(rèn)證

1.1 鼠標(biāo)行為劃分

鼠標(biāo)行為是由一系列的鼠標(biāo)事件組成的。具體地，鼠標(biāo)行為有以下幾種類(lèi)型。

1) 鼠標(biāo)移動(dòng)行為：表示一般的鼠標(biāo)移動(dòng)操作，這種類(lèi)型的操作只需在屏幕的兩點(diǎn)之間移動(dòng)鼠標(biāo)指針。

2) 鼠標(biāo)點(diǎn)擊行為：表示單擊操作，這類(lèi)似于鼠標(biāo)移動(dòng)行為，但它以鼠標(biāo)單擊事件結(jié)束。

3) 鼠標(biāo)拖拽行為：表示拖拽操作，總是以鼠標(biāo)左鍵按下事件開(kāi)始，然后是一系列鼠標(biāo)拖拽事件，最后以鼠標(biāo)左鍵釋放事件結(jié)束。

4) 未識(shí)別鼠標(biāo)行為：表示不能劃分為以上鼠標(biāo)行為時(shí)為未識(shí)別行為。

鼠標(biāo)行為數(shù)量與身份認(rèn)證準(zhǔn)確率的關(guān)系如圖1所示，從圖中可以看出，隨著身份認(rèn)證時(shí)所使用的鼠標(biāo)行為數(shù)量的上升，認(rèn)證準(zhǔn)確率也上升，但是考慮認(rèn)證時(shí)間與認(rèn)證準(zhǔn)確率的平衡，本文選取行為數(shù)量為10來(lái)做實(shí)驗(yàn)。

圖1 鼠標(biāo)行為數(shù)量與身份認(rèn)證準(zhǔn)確率的關(guān)系

Figure 1 The relationship between the number of mouse behaviors and the accuracy of identity authentication

1.2 鼠標(biāo)行為特征提取

鼠標(biāo)事件序列是由原始鼠標(biāo)事件組成的，通過(guò)用戶(hù)鼠標(biāo)事件序列可以得到3個(gè)基礎(chǔ)向量。

得到以上基礎(chǔ)向量后，可通過(guò)相關(guān)的公式計(jì)算出鼠標(biāo)行為特征值，包括時(shí)間上的、空間上的以及其他主要特征值。鼠標(biāo)事件序列中兩相鄰鼠標(biāo)事件，，的間隔表示方式分別如下。

（1）時(shí)間上的特征值

（2）空間上的特征值

（3）其他主要特征值

根據(jù)以上特征計(jì)算公式，最終得到的鼠標(biāo)行為特征如表1所示。

表1 鼠標(biāo)行為特征

1.3 鼠標(biāo)行為特征選擇

特征選擇是從一組特征中選擇對(duì)分類(lèi)結(jié)果最有效的特征以降低特征空間維數(shù)的過(guò)程[16]。特征選擇不僅可以降低模型的復(fù)雜度，還可以減少模型的訓(xùn)練時(shí)間。本文提取了大量的鼠標(biāo)行為特征，但其中存在一些冗余或無(wú)關(guān)特征，需要進(jìn)行特征選擇?？紤]到鼠標(biāo)行為特征都是連續(xù)型數(shù)據(jù)，而鄰域粗糙集能較好地處理連續(xù)型數(shù)據(jù)的特征選擇，可以用來(lái)處理鼠標(biāo)行為特征的選擇。

為了能夠得到盡可能準(zhǔn)確的特征子集，基于鄰域粗糙集的特征選擇算法通常需要在每次特征選擇時(shí)計(jì)算所有未選擇特征的重要度，而重要度的大小是根據(jù)加入特征前后正域變化的大小來(lái)度量的。換句話說(shuō)，加入的特征能讓越多的樣本劃入正域，則這個(gè)特征的重要度越大。但是，每次要加入一個(gè)新的特征時(shí)，都需要計(jì)算所有未加入的特征相對(duì)于已選擇的特征集的重要度，其計(jì)算量偏大。為了減少特征選擇的計(jì)算量，本文使用特征選擇領(lǐng)域較為常用的ReliefF算法進(jìn)行特征重要度的預(yù)排序，在進(jìn)行基于鄰域粗糙集的特征選擇前，提前算出各個(gè)特征的重要度，這樣加入新特征時(shí)只用一維正域計(jì)算，提高了特征選擇的效率。

1.3.1 基于ReliefF的特征重要度算法

ReliefF算法[17]運(yùn)行效率高，對(duì)數(shù)據(jù)類(lèi)型沒(méi)有限制，因此得到了廣泛應(yīng)用。這里用ReliefF算法來(lái)計(jì)算特征的重要度，該算法計(jì)算每個(gè)特征的重要度如下式所示。

將得到的()按照逆序進(jìn)行排序，即可得到特征重要度序列WsigOrder?；赗eliefF的特征重要度算法如下。

算法1 基于ReliefF的特征重要度算法

輸入 用戶(hù)集，抽樣次數(shù)，最近鄰樣本個(gè)數(shù)，特征個(gè)數(shù)

輸出 特征重要度序列WsigOrder

①?gòu)挠脩?hù)集中隨機(jī)選擇一個(gè)樣本；

計(jì)算每個(gè)特征的重要度()；

end for

end for

3) WsigOrder = sort(,descend)；

4) return WsigOrder

1.3.2 基于鄰域粗糙集的特征選擇算法

算法2 基于鄰域粗糙集的特征選擇算法

輸出 約簡(jiǎn)后特征集red

計(jì)算下的正域樣本Pos；

else

break；

end if

end while

3) returnred

1.4 信任模型

鼠標(biāo)行為身份認(rèn)證是一種基于行為的生物認(rèn)證方法，會(huì)因?yàn)榍榫w、壓力等因素而表現(xiàn)得不穩(wěn)定。如果僅收集一個(gè)鼠標(biāo)行為則難以正確判斷出用戶(hù)的身份，收集較多數(shù)量的鼠標(biāo)行為進(jìn)行身份認(rèn)證，將導(dǎo)致認(rèn)證時(shí)間較長(zhǎng)，增加計(jì)算機(jī)系統(tǒng)的安全風(fēng)險(xiǎn)。為了減少身份認(rèn)證時(shí)間，本文使用信任機(jī)制來(lái)持續(xù)性地判斷用戶(hù)的身份，其基本思想是系統(tǒng)對(duì)當(dāng)前用戶(hù)真實(shí)性的判斷取決于該用戶(hù)的行為與真實(shí)用戶(hù)的行為的差異。如果真實(shí)用戶(hù)與當(dāng)前用戶(hù)之間存在很大的偏差，則系統(tǒng)會(huì)降低對(duì)用戶(hù)的信任度，反之會(huì)上升，如果系統(tǒng)對(duì)用戶(hù)的信任度過(guò)低，則用戶(hù)將被鎖定在系統(tǒng)之外。非法用戶(hù)的大多數(shù)鼠標(biāo)行為是非法的，因此能夠在較少的鼠標(biāo)操作下被檢測(cè)出來(lái)，進(jìn)而減少身份認(rèn)證時(shí)間。

1.4.1 信任函數(shù)

在信任模型中，信任值的變化量不是固定的，而是根據(jù)分類(lèi)得分動(dòng)態(tài)改變，通過(guò)信任函數(shù)衡量它的變化量。本文引入式(6)、式(7)所示的信任函數(shù)。

本文通過(guò)大量實(shí)驗(yàn)得到較優(yōu)的信任函數(shù)的參數(shù)，得到=0.5，=0.04，=1，=1。將信任函數(shù)進(jìn)行可視化，可得信任值的變化與分類(lèi)得分的關(guān)系如圖2所示，信任函數(shù)的曲線是對(duì)稱(chēng)的，在分類(lèi)得分的值接近于1時(shí)，信任值的變化量為1；在分類(lèi)得分的值接近于0時(shí)，信任值的變化量為?1。

1.4.2 信任模型閾值

合理地設(shè)置信任模型的閾值可以讓系統(tǒng)收集較少的鼠標(biāo)行為數(shù)據(jù)就能正確地判斷出非法用戶(hù)，并且合法用戶(hù)不會(huì)被系統(tǒng)錯(cuò)誤地判斷為非法用戶(hù)。在Balabit鼠標(biāo)數(shù)據(jù)集中，表現(xiàn)較差的用戶(hù)16的信任值變化如圖3所示；在DFL鼠標(biāo)數(shù)據(jù)集中，表現(xiàn)較差的用戶(hù)1的信任值變化如圖4所示。通過(guò)分析信任值波動(dòng)較大的用戶(hù)數(shù)據(jù)，可以看出其信任值維持在95以上，因此可以選取信任模型的閾值為95進(jìn)行相關(guān)的實(shí)驗(yàn)。

圖2 信任值的變化與分類(lèi)得分的關(guān)系

Figure 2 Relationship between change of trust value and classifier score

圖3 在Balabit數(shù)據(jù)集上用戶(hù)16的信任值變化

Figure 3 Changes in the trust value of user 16 on the Balabit dataset

圖4 在DFL數(shù)據(jù)集上用戶(hù)1的信任值變化

Figure 4 Changes in the trust value of user 1 on the DFL dataset

2 實(shí)驗(yàn)結(jié)果與分析

2.1 數(shù)據(jù)集

本文使用的數(shù)據(jù)集為Balabit和DFL公開(kāi)鼠標(biāo)數(shù)據(jù)集。Balabit鼠標(biāo)數(shù)據(jù)集來(lái)自10名連接到遠(yuǎn)程服務(wù)器的桌面客戶(hù)端工作的用戶(hù)，數(shù)據(jù)以會(huì)話為單位進(jìn)行保存，包括時(shí)間戳、鼠標(biāo)按鈕的狀態(tài)、鼠標(biāo)指針的坐標(biāo)。DFL鼠標(biāo)數(shù)據(jù)集收集于一個(gè)不受控制的環(huán)境下的21名用戶(hù)，用戶(hù)被要求在計(jì)算機(jī)上安裝一個(gè)后臺(tái)服務(wù)，以收集他們的鼠標(biāo)數(shù)據(jù)，該數(shù)據(jù)集的存儲(chǔ)格式和Balabit數(shù)據(jù)集一樣。本文選擇DFL鼠標(biāo)數(shù)據(jù)集中會(huì)話數(shù)量最多的10名用戶(hù)進(jìn)行相關(guān)實(shí)驗(yàn)。

2.2 實(shí)驗(yàn)流程

實(shí)驗(yàn)首先對(duì)各個(gè)用戶(hù)的鼠標(biāo)行為進(jìn)行劃分，進(jìn)而提取出相應(yīng)的鼠標(biāo)行為特征，然后使用ReliefF算法求得特征的重要度，并結(jié)合鄰域粗糙集進(jìn)行特征選擇，得到約簡(jiǎn)后的鼠標(biāo)行為特征。為了防止鼠標(biāo)數(shù)據(jù)集不平衡而產(chǎn)生實(shí)驗(yàn)偏差，實(shí)驗(yàn)每輪確定1名用戶(hù)作為合法用戶(hù)，從該用戶(hù)中隨機(jī)選擇2 000個(gè)鼠標(biāo)行為作為正樣本，從其他9名用戶(hù)中共隨機(jī)選擇2 000個(gè)鼠標(biāo)行為作為負(fù)樣本，共4 000個(gè)鼠標(biāo)行為數(shù)據(jù)作為數(shù)據(jù)集，并把該數(shù)據(jù)集按照7:3的比例分為訓(xùn)練集和測(cè)試集。使用二分類(lèi)算法進(jìn)行訓(xùn)練集的訓(xùn)練，得到該用戶(hù)的身份認(rèn)證模型，基于這個(gè)身份認(rèn)證模型進(jìn)行實(shí)驗(yàn)。每名用戶(hù)的實(shí)驗(yàn)重復(fù)10次取結(jié)果的平均值，最后取這10名用戶(hù)的實(shí)驗(yàn)結(jié)果的平均值作為最終的實(shí)驗(yàn)結(jié)果。

2.3 評(píng)價(jià)指標(biāo)

本文選取5個(gè)評(píng)價(jià)指標(biāo)對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行評(píng)估。

1) 準(zhǔn)確率（ACC）：表示預(yù)測(cè)結(jié)果與真實(shí)結(jié)果一致的比率。

2) 錯(cuò)誤接受率（FAR）：表示非法用戶(hù)被錯(cuò)誤識(shí)別為合法用戶(hù)的概率。

3) 錯(cuò)誤拒絕率（FRR）：表示合法用戶(hù)被錯(cuò)誤識(shí)別為非法用戶(hù)的概率。

4) ANIA（average number of imposter actions）：表示非法用戶(hù)被檢測(cè)之前可以操作的鼠標(biāo)行為數(shù)量。

5) 特征維數(shù)：表示特征空間的維度大小，影響分類(lèi)模型的復(fù)雜度。

2.4 實(shí)驗(yàn)結(jié)果分析

在本文選擇的鼠標(biāo)行為特征的基礎(chǔ)上，結(jié)合安全領(lǐng)域較為常用的支持向量機(jī)、隨機(jī)森林和XGBoost作為分類(lèi)模型進(jìn)行分析，分別記為Method1、Method2、Method3，同時(shí)與文獻(xiàn)[19]、文獻(xiàn)[20]、文獻(xiàn)[21]中的實(shí)驗(yàn)方法進(jìn)行對(duì)比分析。文獻(xiàn)[19]和文獻(xiàn)[20]提取了39個(gè)鼠標(biāo)行為特征，在分類(lèi)模型上分別使用的是隨機(jī)森林和近鄰。文獻(xiàn)[21]提取了58個(gè)鼠標(biāo)行為特征，使用支持向量機(jī)作為分類(lèi)模型。不同方法在Balabit數(shù)據(jù)集和DFL數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果見(jiàn)下文。

（1）特征選擇的結(jié)果

特征選擇算法的結(jié)果比較如表2所示，從表中可以看出，改進(jìn)后的特征選擇算法相比之前，特征維數(shù)更少，準(zhǔn)確率更高。與特征選擇前相比，特征維數(shù)大幅度下降，身份認(rèn)證性能幾乎不變。本文結(jié)合ReliefF屬性重要度和鄰域粗糙集的特征選擇算法能有效去除鼠標(biāo)行為的無(wú)關(guān)或冗余特征。

表2 特征選擇算法的結(jié)果比較

（2）固定鼠標(biāo)行為數(shù)量的認(rèn)證效果

收集固定數(shù)量的用戶(hù)鼠標(biāo)行為進(jìn)行身份認(rèn)證，并將本文提出的方法與其他文獻(xiàn)的實(shí)驗(yàn)方法進(jìn)行對(duì)比，根據(jù)前文的分析，選擇的鼠標(biāo)行為數(shù)量為10。從圖5～圖7的實(shí)驗(yàn)結(jié)果可知，在Balabit數(shù)據(jù)集上，Method1、Method2、Method3的各個(gè)評(píng)價(jià)指標(biāo)都優(yōu)于前3種文獻(xiàn)的實(shí)驗(yàn)方法；在DFL數(shù)據(jù)集上，Method1、Method2的錯(cuò)誤拒絕率略高于文獻(xiàn)[20]，其他評(píng)價(jià)指標(biāo)均優(yōu)于前3種文獻(xiàn)的實(shí)驗(yàn)方法。實(shí)驗(yàn)效果最好的是Method3，即使用XGBoost作為分類(lèi)算法，在Balabit數(shù)據(jù)集上該方法的準(zhǔn)確率為98.96%，錯(cuò)誤接受率為0.49%，錯(cuò)誤拒絕率為1.58%；在DFL數(shù)據(jù)集上該方法的準(zhǔn)確率為99.62，錯(cuò)誤接受率為0.19%，錯(cuò)誤拒絕率為0.53%。

圖5 在Balabit和DFL數(shù)據(jù)集上不同方法的ACC

Figure 5 ACC of different methods on Balabit and DFL datasets

圖6 在Balabit和DFL數(shù)據(jù)集上不同方法的FAR

Figure 6 FAR of different methods on Balabit and DFL datasets

圖7 在Balabit和DFL數(shù)據(jù)集上不同方法的FRR

Figure 7 FRR of different methods on Balabit and DFL datasets

從圖8可以看出，本文方法提取的鼠標(biāo)行為特征維數(shù)量明顯少于文獻(xiàn)[21]，與文獻(xiàn)[19]、文獻(xiàn)[20]接近。綜合比較可以看出，本文方法具備一定的魯棒性，在兩個(gè)數(shù)據(jù)集的各評(píng)價(jià)指標(biāo)上都有穩(wěn)定的認(rèn)證結(jié)果，優(yōu)于其他文獻(xiàn)的認(rèn)證效果。

圖8 不同方法提取的特征數(shù)量

Figure 8 The number of behavior features extracted by different methods

（3）結(jié)合信任模型的認(rèn)證效果

在結(jié)合信任模型的實(shí)驗(yàn)中，首先通過(guò)每次收集的鼠標(biāo)行為進(jìn)行分類(lèi)得分的計(jì)算，即分類(lèi)器判斷該鼠標(biāo)行為為合法行為的概率，然后信任函數(shù)基于此概率計(jì)算出信任值的變化量，當(dāng)信任值降低到閾值以下就會(huì)判定當(dāng)前用戶(hù)為非法用戶(hù)，并把信任值恢復(fù)為100，繼續(xù)判斷測(cè)試集中剩余鼠標(biāo)行為的合法性，從而得到平均收集多少個(gè)鼠標(biāo)行為可以判斷該用戶(hù)為非法用戶(hù)。從表3和表4可以看出，其他文獻(xiàn)中的實(shí)驗(yàn)方法結(jié)合信任模型表現(xiàn)最好的是文獻(xiàn)[21]，在Balabit和DFL數(shù)據(jù)集上，該方法的ANIA分別為8.62 和8.02；本文所提方法認(rèn)證效果最好的是Method3，在Balabit和DFL數(shù)據(jù)集上，Method3的ANIA分別為7.83和6.55。結(jié)合信任模型后，本文提出的方法相對(duì)于其他文獻(xiàn)的實(shí)驗(yàn)方法，依然具有優(yōu)勢(shì)。

與前一個(gè)實(shí)驗(yàn)（固定鼠標(biāo)行為數(shù)量的認(rèn)證效果）相比，固定10個(gè)鼠標(biāo)行為，最后各個(gè)方法得到的ANIA接近10，而從這個(gè)實(shí)驗(yàn)的結(jié)果中可以看出，在Balabit數(shù)據(jù)集上，每個(gè)實(shí)驗(yàn)方法結(jié)合信任模型都能降低ANIA，最多降低了2.17；在DFL數(shù)據(jù)集上，除了文獻(xiàn)[19]結(jié)合信任模型會(huì)略微提高ANIA，其他實(shí)驗(yàn)方法都會(huì)降低ANIA，最多降低了3.45。因此，結(jié)合信任模型能進(jìn)一步減少非法用戶(hù)在被系統(tǒng)識(shí)別出來(lái)之前能執(zhí)行的鼠標(biāo)行為數(shù)量。

表3 在Balabit數(shù)據(jù)集上，不同方法結(jié)合信任函數(shù)的ANIA

表4 在DFL數(shù)據(jù)集上，不同方法結(jié)合信任函數(shù)的ANIA

（4）外部用戶(hù)的認(rèn)證效果

為了驗(yàn)證本文方法對(duì)于外部用戶(hù)有一定的魯棒性，在DFL數(shù)據(jù)集中使用未參加訓(xùn)練的其他5名用戶(hù)進(jìn)行身份認(rèn)證，結(jié)果如表5所示。從表中可以看出，由于認(rèn)證模型缺乏外部用戶(hù)的鼠標(biāo)行為信息，準(zhǔn)確率有所下降，但還是能以較高的準(zhǔn)確率成功識(shí)別出，所以本文方法對(duì)于外部用戶(hù)也具有良好的魯棒性。

表5 外部用戶(hù)的認(rèn)證準(zhǔn)確率

3 結(jié)束語(yǔ)

本文研究了基于鼠標(biāo)行為的持續(xù)身份認(rèn)證問(wèn)題，首先，針對(duì)鼠標(biāo)行為特征中存在冗余或無(wú)關(guān)特征，結(jié)合了ReliefF屬性重要度和鄰域粗糙集進(jìn)行特征選擇，降低特征維數(shù)；其次，為了在收集更少的鼠標(biāo)行為下正確判斷出非法用戶(hù)，結(jié)合了信任模型進(jìn)行持續(xù)身份認(rèn)證；最后，通過(guò)實(shí)驗(yàn)證明本文方法能在較少的鼠標(biāo)行為數(shù)量和特征下，達(dá)到較好的實(shí)驗(yàn)效果。

人臉、指紋都可以被模仿，而鼠標(biāo)行為是長(zhǎng)期養(yǎng)成的行為習(xí)慣，較難被模仿，所以本文方法具有一定的防偽性。本文提出的身份認(rèn)證方法可以作為傳統(tǒng)身份認(rèn)證方法的輔助手段，持續(xù)地監(jiān)控計(jì)算機(jī)系統(tǒng)使用者的身份，提升系統(tǒng)的安全性。

[1] 荊繼武. 網(wǎng)絡(luò)可信身份管理的現(xiàn)狀與趨勢(shì)[J]. 信息安全研究, 2016, 2(7): 666-668.

JING J W. The development status and tendency of internet trusted identity management[J]. Journal of Information Security Research, 2016, 2(7): 666-668.

[2] JOSHI V B, RAVAL M S. Adaptive threshold for fingerprint recognition system based on threat level and system load[J]. Procedia Computer Science, 2020, 171: 498-507.

[3] LIU Q, JIANG B, ZHANG J L, et al. Semi-supervised uncorrelated dictionary learning for colour face recognition[J]. IET Computer Vision, 2020, 14(3): 92-100.

[4] KUMAR M R, ARTHI K. An effective non-cooperative iris recognition system using hierarchical collaborative representation-based classification[J]. The Journal of Supercomputing, 2020, 76(1): 1-14.

[5] AHMED A A E, TRAORE I. Biometric recognition based on free-text keystroke dynamics[J]. IEEE Transactions on Cybernetics, 2014, 44(4): 458-472.

[6] CHANG T Y, TSAI C J, YEH J Y, et al. New soft biometrics for limited resource in keystroke dynamics authentication[J]. Multimedia Tools and Applications, 2020, 79(31-32): 23295-23324.

[7] AHMED A A E, TRAORE I. Detecting computer intrusions using behavioral biometrics[C]//3rd Annual Conference on Privacy, Security and Trust. 2005: 91-98.

[8] AHMED A A E, TRAORE I. A new biometric technology based on mouse dynamics[J]. IEEE Transactions on Dependable & Secure Computing, 2007, 4(3): 165-179.

[9] ZHENG N, PALOSKI A, WANG H. An efficient user verification system via mouse movements[C]//Proceedings of the 18th ACM Conference on Computer and Communications Security. 2011: 139-150.

[10] ZHENG N, PALOSKI A, WANG H. An efficient user verification system using angle-based mouse movement biometrics[J]. ACM Transactions on Information and System Security, 2016, 18(3): 1-27.

[11] 徐劍, 李明潔, 周福才, 等. 基于用戶(hù)鼠標(biāo)行為的身份認(rèn)證方法[J]. 計(jì)算機(jī)科學(xué), 2016, 43(2): 148-154.

XU J, LI M J, ZHOU F C, et al. Identity authentication method based on user’s mouse behavior [J]. Computer Science, 2016, 43(2): 148- 154.

[12] YILDIRIM M, ANARIM E. Session-based user authentication via mouse dynamics[C]//27th Signal Processing and Communications Applications Conference. 2019: 1-4.

[13] 田杰, 宋禮鵬. 基于鼠標(biāo)及窗口行為的持續(xù)身份認(rèn)證研究[J]. 中北大學(xué)學(xué)報(bào)(自然科學(xué)版), 2020, 41(6): 511-519, 526.

TIAN J, SONG L P. Research on continuous identity authentication based on mouse and window behavior[J]. Journal of North China University(Nature Science Edtion), 2020, 41(6): 511-519, 526.

[14] CHONG P, TAN Y X M, GUARNIZO J, et al. Mouse authentication without the temporal aspect-what does a 2D-CNN learn[C]//IEEE Security and Privacy Workshops (SPW). 2018: 15-21.

[15] 沈超, 蔡忠閩, 管曉宏, 等. 基于鼠標(biāo)行為特征的用戶(hù)身份認(rèn)證與監(jiān)控[J]. 通信學(xué)報(bào), 2010, 31(7) :68-75.

SHEN C, CAI Z M, GUAN X H, et al. User authentication and monitoring based on mouse behavioral features[J]. Journal on Communications, 2010, 31(7): 68-75.

[16] KONONENKO I. Estimating attributes: analysis and extensions of relief[C]//European Conference on Machine Learning. 1994: 171-182.

[17] LADHA L, DEEPA T. Feature selection methods and algorithms[J]. International Journal of Advanced Trends in Computer Science and Engineering, 2011, 3(5):1787-1797.

[18] 獎(jiǎng)志軍, 易華蓉. 一種基于圖像金字塔光流的 特征跟蹤方法[J]. 武漢大學(xué)學(xué)報(bào)(信息科學(xué)版), 2007, 32(8): 680-683.

JANG Z J, YI H R. A feature tracking method based on image pyramid optical flow[J]. Journal of Wuhan University(Information Science Edition), 2007, 32(8): 680-683.

[19] ANTAL M, EGYED-ZSIGMOND E. Intrusion detection using mouse dynamics [J]. IET Biometrics, 2019, 8(5): 285-294.

[20] ALMALKI S, CHATTERJEE P, ROY K. Continuous authentication using mouse clickstream data analysis[C]//International Conference on Security, Privacy and Anonymity in Computation, Communication and Storage. 2019: 76-85.

[21] YILDIRIM M, ANARIM E. Novel feature extraction methods for authentication via mouse dynamics with semi-supervised learning [C]//Innovations in Intelligent Systems and Applications Conference (ASYU). 2019: 1-6.

Novel continuous identity authentication method based on mouse behavior

YI Cong1,2, HU Jun1,2

1. Chongqing Key Laboratory of Computational Intelligence(Chongqing University of Posts and Telecommunications), Chongqing 400065, China 2. College of Computer Science and Technology, Chongqing University of Posts and Telecommunications, Chongqing 400065, China

With the rapid development of Internet technologies, security issues have always been the hot topics. Continuous identity authentication based on mouse behavior plays a crucial role in protecting computer systems, but there are still some problems to be solved. Aiming at the problems of low authentication accuracy and long authentication latency in mouse behavior authentication method, a new continuous identity authentication method based on mouse behavior was proposed. The method divided the user’s mouse event sequence into corresponding mouse behaviors according to different types, and mined mouse behavior characteristics from various aspects based on mouse behaviors. Thereby, the differences in mouse behavior of different users can be better represented, and the authentication accuracy can be improved. Besides, the importance of mouse behavior features was obtained by the ReliefF algorithm, and on this basis, the irrelevant or redundant features of mouse behavior were removed by combining the neighborhood rough set to reduce model complexity and modeling time. Moreover binary classification was adopted. The algorithm performed the training of the authentication model. During identity authentication, the authentication model was used to obtain a classification score based on the mouse behavior collected each time, and then the user’s trust value was updated in combination with the trust model. When the user’s trust value fell below the threshold of the trust model, it might be judged as illegal user. The authentication effect of the proposed method was simulated on the Balabit and DFL datasets. The results show that, compared with the methods in other literatures, this method not only improves the authentication accuracy and reduces the authentication latency, but also has a certain robustness to the illegal intrusion of external users.

identity authentication, mouse behavior, neighborhood rough set, feature selection, trust model

TP309

A

10.11959/j.issn.2096?109x.2022006

2022?01?09；

2022?06?22

胡軍，hujun@cqupt.edu.cn

國(guó)家自然科學(xué)基金（61936001, 61876201, 61876027）；重慶市教委重點(diǎn)合作項(xiàng)目（HZ2021008）；重慶市自然科學(xué)基金（cstc2019jcyj-cxttX0002, cstc2021ycjh-bgzxm0013）

The National Natural Science Foundation of China (61936001, 61876201, 61876027), The Key Cooperation Project of Chongqing Municipal Education Commission (HZ2021008), The National Natural Science Foundation of Chongqing (cstc2019jcyj-cxttX0002, cstc2021ycjh-bgzxm0013)

易聰, 胡軍. 新的基于鼠標(biāo)行為的持續(xù)身份認(rèn)證方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2022, 8(5): 179-188.

Format: YI C, HU J. Novel continuous identity authentication method based on mouse behavior[J]. Chinese Journal of Network and Information Security, 2022, 8(5): 179-188.

易聰（1995? ），男，四川達(dá)州人，重慶郵電大學(xué)研究生，主要研究方向?yàn)橹悄苄畔⑻幚砗蛿?shù)據(jù)挖掘。

胡軍（1977? ），男，湖北監(jiān)利人，重慶郵電大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榱Ｓ?jì)算、粗糙集、智能信息處理和數(shù)據(jù)挖掘。