李榮華 李永忠

（江蘇科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 鎮(zhèn)江 212003）

1 引言

近年來互聯(lián)網(wǎng)快速發(fā)展，給社會發(fā)展、經(jīng)濟(jì)增長以及文化繁榮帶來了各種各樣的機(jī)會，互聯(lián)網(wǎng)給人們帶來便利的同時也帶來了不小的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全尤其是身份認(rèn)證技術(shù)［1］逐漸成為人們關(guān)注的問題。安全的身份認(rèn)證是保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的基本前提。由于行為特征具有唯一性和易采集性的特點(diǎn)，在身份認(rèn)證技術(shù)領(lǐng)域備受關(guān)注，為了阻止攻擊者利用安全漏洞逃避鼠標(biāo)或者鍵盤中的某一個設(shè)備的入侵檢測，采用擊鍵行為特征［1～2］和鼠標(biāo)行為特征相結(jié)合的方式進(jìn)行身份認(rèn)證［3］。

2 相關(guān)知識

2.1 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)［4］原理主要是用戶在登錄系統(tǒng)時輸入賬戶名/密碼，系統(tǒng)通過用戶輸入的賬戶名/密碼與存儲在系統(tǒng)中的合法身份的賬戶名密碼進(jìn)行匹配，以驗(yàn)證該用戶身份信息的合法性。輸入賬戶名/密碼與存儲的賬戶名/密碼信息匹配成功，系統(tǒng)認(rèn)為登錄者的身份合法，授權(quán)訪問系統(tǒng)并分配對應(yīng)的系統(tǒng)資源和服務(wù)權(quán)限，如果輸入的賬戶名/密碼與存儲的賬戶名/密碼信息匹配不成功，系統(tǒng)認(rèn)為登錄者的身份為非法用戶，登錄失敗。身份認(rèn)證技術(shù)的關(guān)鍵步驟主要包括：

1）提取能夠唯一表示用戶身份特征的關(guān)鍵信息；提取用戶身份特征的主要任務(wù)是從用戶提供的一般信息中選擇出可以區(qū)別于其他用戶的信息作為特征值并抽??；

2）建立身份認(rèn)證系統(tǒng)；建立身份認(rèn)證系統(tǒng)的主要任務(wù)是基于身份特征選擇和提取的用戶特征值，建立一個用戶分類模型，可以根據(jù)抽取的用戶特征值區(qū)分合法用戶和非法用戶；

3）匹配認(rèn)證用戶的身份；匹配認(rèn)證用戶身份的主要任務(wù)是在用戶登錄訪問系統(tǒng)資源或服務(wù)時，首先從用戶輸入的賬戶名密碼中提取特征值，再根據(jù)建立的用戶分類模型進(jìn)行信息匹配，確定用戶身份的合法性并決定是否授權(quán)訪問系統(tǒng)資源。

研究表明，每個人都有獨(dú)一無二的擊鍵特征和鼠標(biāo)特征，通過分析用戶的這些特征就可以識別其身份。行為特征可以很方便地在已有的賬戶名/密碼身份認(rèn)證系統(tǒng)中加入基于擊鍵行為特征和鼠標(biāo)行為特征分析的二次認(rèn)證模塊，提高系統(tǒng)的安全性。此認(rèn)證方案可以在不影響用戶使用的情況下，增強(qiáng)現(xiàn)有密碼認(rèn)證方案的安全性。用戶在用鍵盤輸入時使用雙手，由于個人使用習(xí)慣不同，敲擊鍵盤的力度和熟練程度也會不同。本文通過分析這些擊鍵行為特征和鼠標(biāo)行為特征，實(shí)現(xiàn)對用戶身份的鑒別［3］。

2.2 信任模型研究

信任模型建立的基本思想是根據(jù)用戶在系統(tǒng)上執(zhí)行的各種操作行為判斷操作對象是真實(shí)用戶還是攻擊者。如果操作對象的操作行為是按照存儲在用戶配置文件或者模板中的操作行為進(jìn)行操作，則該用戶就被判定為是真實(shí)用戶，信任值增加。如果操作對象的操作行為與存儲在用戶配置文件或者模板中的操作行為有很大偏差，那么系統(tǒng)就判定操作對象是攻擊者，信任值降低。操作對象信任值低于閾值后系統(tǒng)就會自動鎖定，開啟靜態(tài)認(rèn)證模式（用戶名/密碼登錄）。

每個人操作行為不可能一直完全一模一樣。對于真實(shí)用戶來說，有時候也可能會有導(dǎo)致信任程度降低的偏差操作行為。但是真實(shí)用戶的大部分操作行為都很相近，會使信任程度增加，依然可以獲得高度信任值。但是對于入侵者卻是相反。入侵者雖然可以模仿真實(shí)用戶的操作行為，但是大部分操作行為與真實(shí)用戶的操作行為偏差甚大，信任值會被降低。很明顯，理想的系統(tǒng)初始會信任任何人，非真實(shí)用戶的信任度在操作時，會迅速降低到預(yù)先設(shè)置的閾值甚至低于閾值，導(dǎo)致系統(tǒng)自動鎖定，啟動靜態(tài)身份認(rèn)證，重啟系統(tǒng)。

動態(tài)信任模型［5］方法參數(shù)的具體設(shè)定是根據(jù)用戶執(zhí)行的不同類型來進(jìn)行設(shè)定的，一個用戶可以同時設(shè)置三組不同的參數(shù)數(shù)據(jù)，如：擊鍵行為數(shù)據(jù)，鼠標(biāo)點(diǎn)擊行為數(shù)據(jù)以及鼠標(biāo)移動行為數(shù)據(jù)。具體詳細(xì)參數(shù)如下：

Sci：第i次操作行為的分類分?jǐn)?shù)集；A：閾值；B：距離寬度值；C：單次操作行為信任增加最大值；D：單次操作行為信任降低最大值；Trusti-1：第i-1次操作后系統(tǒng)信任值；Trusti：第i次操作后系統(tǒng)信任值；

信任函數(shù)方法計(jì)算公式：

式（1）中ΔT代表信任改變值，由操作行為分類分?jǐn)?shù)集和四個參數(shù)共同計(jì)算得到。由公式可以看出操作分?jǐn)?shù)的分類分?jǐn)?shù)集等于設(shè)置的閾值時，信任改變值就為0，即：Sci=A時，ΔT=0。如果操作分?jǐn)?shù)的分類分?jǐn)?shù)集大于設(shè)置的閾值，那么信任改變值就為大于0，即：Sci＞A時，ΔT＞0，表示信任值增加，操作用戶得到reward。如果操作分?jǐn)?shù)的分類分?jǐn)?shù)集小于設(shè)置的閾值，信任改變值就為小于0，即：Sci＜A時，ΔT＜0，表示信任值降低，操作用戶得到penalty。式（2）中給出了第i次操作行為信任值與第i-1次操作行為信任值之間的關(guān)系。其中Trusti代表第i次操作行為信任值。

3 基于行為特征的動態(tài)連續(xù)認(rèn)證系統(tǒng)設(shè)計(jì)

3.1 系統(tǒng)架構(gòu)設(shè)計(jì)

本文提出的是在用戶名/密碼登錄認(rèn)證方式之上的另外一種連續(xù)動態(tài)身份認(rèn)證方案，主要是基于用戶的鍵盤按鍵操作［6］和鼠標(biāo)點(diǎn)擊操作兩部分操作行為數(shù)據(jù)作為識別的數(shù)據(jù)基礎(chǔ)。研究中通過檢查用戶的每一個操作動作，仔細(xì)調(diào)整信任模型，因?yàn)樵谌魏螘r間點(diǎn)，用戶都只能執(zhí)行擊鍵操作或者鼠標(biāo)按鍵［7］，鼠標(biāo)移動或者鼠標(biāo)滾動，點(diǎn)擊操作中的任何一個，因此本文的信任模型都是基于其中一種進(jìn)行的分類，沒有多模態(tài)融合架構(gòu)。而且系統(tǒng)采集的數(shù)據(jù)一定是這幾類操作中的一種。采集數(shù)據(jù)總架構(gòu)圖如圖1所示。

圖1 數(shù)據(jù)采集系統(tǒng)框架圖

3.1.1 擊鍵行為特征架構(gòu)設(shè)計(jì)

擊鍵行為也稱為擊鍵動力學(xué)［11］，表示操作鍵盤的行為。擊鍵操作行為包括單鍵操作和多鍵有向操作。系統(tǒng)采集器通過采集這兩種數(shù)據(jù)后，通過分類器對采集數(shù)據(jù)進(jìn)行分析處理，與模板文件中對應(yīng)的樣本數(shù)據(jù)進(jìn)行匹配，最后得到該用戶的結(jié)果集，計(jì)算出操作對象的信任得分，根據(jù)信任得分值判斷用戶是否為真實(shí)用戶還是攻擊者。擊鍵動力學(xué)模型框架圖如圖2所示。

圖2 擊鍵模型框架圖

3.1.2 鼠標(biāo)行為特征架構(gòu)設(shè)計(jì)

鼠標(biāo)行為也稱為鼠標(biāo)動力學(xué)，它表示了鼠標(biāo)的全部操作行為，主要有鼠標(biāo)單擊，鼠標(biāo)雙擊，鼠標(biāo)移動以及鼠標(biāo)滾動四種鼠標(biāo)操作行為。系統(tǒng)采集器通過采集四種數(shù)據(jù)后，通過分類器對采集數(shù)據(jù)進(jìn)行分析處理，與模板文件中的樣本數(shù)據(jù)進(jìn)行匹配，最后得到該用戶的結(jié)果集，計(jì)算出操作者的信任得分，根據(jù)信任得分值判斷用戶是否為真實(shí)用戶還是攻擊者。鼠標(biāo)動力學(xué)模型框架圖如圖3所示。

圖3 鼠標(biāo)模型框架圖

3.2 行為特征數(shù)據(jù)采集格式

3.2.1 擊鍵行為特征數(shù)據(jù)采集

擊鍵事件的數(shù)據(jù)格式主要如表1所示。

表1 擊鍵事件數(shù)據(jù)格式

列表中每一列變量代表的屬性：

Seq：事件的發(fā)生順序；Evt.Type：值一般為‘K’，表示擊鍵相關(guān)事件；Action：表示擊鍵動作，擊鍵動作只有兩種：點(diǎn)擊和釋放。點(diǎn)擊取值分別為‘D’，釋放取值為‘U’；Value：通過用UTF-8編碼表示擊鍵動作；Time：以毫秒為單位，16ms為周期記錄擊鍵事件動作發(fā)生；Relation：前一事件發(fā)生的序列號；Flag：系統(tǒng)擊鍵是否是激活狀態(tài)；AF：釋放按鍵之前，按鍵操作的重復(fù)發(fā)生情況。

在研究中，將擊鍵行為特征分為兩類不同的事件動作。第一類是單鍵動作，即按鍵事件是一個鍵的按下和釋放之間的間隔時間差。第二類是擊鍵有向圖行為，行為特征包括有：

1）總時間（Total Time）；

2）第一個鍵按下和第二個鍵按下之間的時間（Down-Down Time）；

3）第一個鍵釋放和第二個鍵按下之間的時間（Up-Down Time）；

4）第一個鍵釋放和第二個鍵釋放之間的時間（Up-Up Time）。

圖4展示了擊鍵特征提取過程。

在分析中，多鍵數(shù)據(jù)采集采用了有向圖行為，約束兩個連續(xù)鍵之間的延遲時間在2000ms以內(nèi)。忽略長時間的延遲操作，因?yàn)檫@段時間不能代表用戶的正常操作行為。用戶可能在這段時間內(nèi)停下來思考，喝咖啡或者閱讀。所以在用戶按下最后一個鍵和在按一個新鍵之間所用的時間超過2000ms被判定為不是他的正常輸入操作行為。

圖4 擊鍵特性采集

3.2.2 鼠標(biāo)行為特征數(shù)據(jù)采集

鼠標(biāo)事件的數(shù)據(jù)格式如表2所示。

表2 鼠標(biāo)事件數(shù)據(jù)格式

Seq：表示鼠標(biāo)事件的發(fā)生順序；Evt.Type：表示鼠標(biāo)相關(guān)事件，值一般為‘M’；Action：表示鼠標(biāo)動作，鼠標(biāo)動作共分為四種。鼠標(biāo)移動，鼠標(biāo)滾輪滾動，鼠標(biāo)按鈕點(diǎn)擊和釋放。鼠標(biāo)移動取值為‘M’，鼠標(biāo)滾輪滾動取值為‘W’，鼠標(biāo)按鈕按下和釋放取值分別為‘D’和‘U’；Value：以x_y表示的坐標(biāo)值，x代表橫坐標(biāo)，y代表縱坐標(biāo)，以下劃線連接。其中在鼠標(biāo)滾輪滾動動作的值記為δ，表示滾輪滾動多少。滾輪向上滾動取值為正，滾輪向下滾動，取值為負(fù)；Time：以ms為單位，16ms為周期記錄鼠標(biāo)事件動作發(fā)生；Relation：前一事件發(fā)生的序列號；Flag：鼠標(biāo)事件動作是被按下還是釋放狀態(tài)；AF：鼠標(biāo)事件在按下和釋放階段的矩形活動區(qū)域。

在鼠標(biāo)行為特征研究中，對鼠標(biāo)點(diǎn)擊事件分為四類不同的事件。第一類為鼠標(biāo)單擊動作，類似于擊鍵動作，即為鼠標(biāo)單次點(diǎn)擊在鼠標(biāo)按鍵按下與鼠標(biāo)按鍵釋放之間的時間差；第二類是鼠標(biāo)雙擊動作，鼠標(biāo)點(diǎn)連續(xù)兩次點(diǎn)擊時間小于1000ms才記為有效的鼠標(biāo)雙擊動作時間，否則不計(jì)數(shù)。第三類是鼠標(biāo)移動動作。最后一類為鼠標(biāo)拖動動作，它類似于鼠標(biāo)移動動作。對于鼠標(biāo)拖動動作，它是一系列動作的組合，首先是鼠標(biāo)點(diǎn)擊事件，然后是鼠標(biāo)移動，最后是鼠標(biāo)點(diǎn)擊事件，三個動作順序發(fā)生。

3.3 動態(tài)連續(xù)身份認(rèn)證的系統(tǒng)性能指標(biāo)

本系統(tǒng)采用了攻擊操作行為平均數(shù)（Average Number of Imposter Actions，ANIA）和真實(shí)操作行為平均數(shù)（Average Number of Genuine Actions，ANGA）作為系統(tǒng)性能指標(biāo)。通過ANIA和ANGA值可以表明，在入侵者操作導(dǎo)致系統(tǒng)鎖定之前，攻擊者做了哪些類似真實(shí)用戶操作的動作，導(dǎo)致系統(tǒng)信任值改變。ANIA和ANGA兩個指標(biāo)對于DCA系統(tǒng)來說是一個很好的性能指標(biāo)描述。不同于靜態(tài)認(rèn)證系統(tǒng)（SA）的錯誤匹配率、錯誤不匹配率和錯誤相等率。DET曲線就可以完整地表現(xiàn)SA系統(tǒng)的性能。同樣的對于DCA系統(tǒng)，也可以有相應(yīng)的性能描述指標(biāo)。系統(tǒng)最好的表現(xiàn)是：

1）用戶不會因?yàn)橄到y(tǒng)采集的數(shù)據(jù)模型進(jìn)行操作的被誤判斷，而導(dǎo)致系統(tǒng)鎖定；

2）所有的入侵者操作系統(tǒng)，系統(tǒng)可以盡快識別出，自動鎖定系統(tǒng)。

然而實(shí)際情況卻不盡如上面所述。系統(tǒng)有時候可能也會出現(xiàn)誤判，真實(shí)用戶操作系統(tǒng)時候，會導(dǎo)致系統(tǒng)自動鎖定，非真實(shí)用戶操作系統(tǒng)時未被識別出。對全部可能發(fā)生的情況進(jìn)行分類，得到如下四類可能的情況：

A類：最理想的情況，所有的入侵者和真實(shí)用戶都能被識別出來；

B類：真實(shí)用戶可以識別出來，同時系統(tǒng)不會自動鎖定，但是一些入侵者不能被判斷出來。

C類：系統(tǒng)可以識別全部的入侵者，同時鎖定系統(tǒng)，但是一些真實(shí)用戶有時候會被誤判成為入侵者，導(dǎo)致系統(tǒng)鎖定；

D類：最糟糕的情況。部分入侵者沒有被檢測出來，部分真實(shí)用戶被系統(tǒng)誤判為入侵者，鎖定系統(tǒng)。

4 動態(tài)連續(xù)身份認(rèn)證系統(tǒng)的測試結(jié)果

部分采集數(shù)據(jù)如圖5所示。

圖5 鍵盤行為操作數(shù)據(jù)

通過進(jìn)行相同的預(yù)處理技術(shù)，使用相同的分類技術(shù)對PA系統(tǒng)和DCA系統(tǒng)同時進(jìn)行了測試，選擇數(shù)據(jù)基數(shù)大小從100到1000，其中VP-1，VP-2，VP-3代表不同的驗(yàn)證過程。對應(yīng)用于DCA系統(tǒng)的ANIA和ANGA性能指標(biāo)，根據(jù)不同驗(yàn)證過程，在DCA系統(tǒng)和PA系統(tǒng)進(jìn)行了測試，ANGA測試結(jié)果如圖6所示。

圖6 ANGA指標(biāo)在PA系統(tǒng)與DCA系統(tǒng)的測試結(jié)果

對于ANGA指標(biāo)中，DCA系統(tǒng)表現(xiàn)更好，當(dāng)ANIA值相差不大時，ANGA的值較PA系統(tǒng)中更高。當(dāng)ANGA值相差不大時，DCA系統(tǒng)的ANIA的值較PA系統(tǒng)的ANIA值更小。ANIA測試結(jié)果如圖7所示。

圖7 ANIA指標(biāo)在PA系統(tǒng)與DCA系統(tǒng)的測試結(jié)果

5 結(jié)語

本文利用擊鍵行為特征和鼠標(biāo)行為特征提高身份認(rèn)證系統(tǒng)的安全性，采用連續(xù)認(rèn)證的方式確定操作過程用戶的真實(shí)身份。多因素認(rèn)證與持續(xù)性安全認(rèn)證是本文系統(tǒng)安全理念上的創(chuàng)新，是系統(tǒng)的核心競爭力。擊鍵行為特征和鼠標(biāo)行為特征作為一種不需要額外硬件設(shè)備就能采集的行為特征，在各個領(lǐng)域都有著廣泛的應(yīng)用，特別是在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用最為廣泛。本文提出的動態(tài)連續(xù)身份認(rèn)證系統(tǒng)可實(shí)現(xiàn)在不影響用戶體驗(yàn)的前提下，提高身份認(rèn)證系統(tǒng)的安全性。實(shí)驗(yàn)研究的環(huán)境模擬真實(shí)環(huán)境進(jìn)行，在DCA系統(tǒng)實(shí)驗(yàn)結(jié)果與PA系統(tǒng)實(shí)驗(yàn)結(jié)果對比中發(fā)現(xiàn)，DCA系統(tǒng)在準(zhǔn)確識別率和用戶友好方面都有很高的優(yōu)越性。

為了提升系統(tǒng)性能和建立一個可部署的安全方案，研究中對用戶軟件的交互數(shù)據(jù)做了進(jìn)一步調(diào)查，對于連續(xù)身份認(rèn)證系統(tǒng)中行為特征識別的數(shù)據(jù)模板更新問題，將做進(jìn)一步研究，主動攻擊下的安全性問題也會著重關(guān)注，減少入侵者利用閾值大小的漏洞進(jìn)行攻擊。