автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка и исследование методов скрытного клавиатурного мониторинга

кандидата технических наук
Казарин, Максим Николаевич
город
Таганрог
год
2006
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Разработка и исследование методов скрытного клавиатурного мониторинга»

Автореферат диссертации по теме "Разработка и исследование методов скрытного клавиатурного мониторинга"

На правах рукописи

Казарин Максим Николаевич

РАЗРАБОТКА И ИССЛЕДОВАНИЕ МЕТОДОВ СКРЫТНОГО КЛАВИАТУРНОГО

МОНИТОРИНГА

05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Таганрог-2006

Работа выполнена в Таганрогском государственном радиотехническом университете на кафедре «Безопасности информационных технологий»

НАУЧНЫЙ РУКОВОДИТЕЛЬ:

доктор технических наук, профессор Макаревич Олег Борисович

ОФИЦИАЛЬНЫЕ ОППОНЕНТЫ:

доктор технических наук, профессор

Кравченко Павел Павлович (Таганрогский государственный радиотехнический университет, г. Таганрог)

кандидат технических наук,

Добродеев Александр Юрьевич (ФГУП «Концерн «Системпром», г. Москва)

ВЕДУЩАЯ ОРГАНИЗАЦИЯ:

Московский инженерно-физический институт (государственный университет), г. Москва

Защита диссертации состоится «23» августа 2006 г. в 14.00 на заседании

диссертационного совета ДМ 212.259.06 по техническим наукам Таганрогского государственного радиотехнического университета, по адресу:

347928, Ростовская область, г. Таганрог, пер. Некрасовский, 44, ауд. Д-406

Отзывы на автореферат просьба направлять по адресу: 347928, Ростовская область, г. Таганрог, пер. Некрасовский, 44, Таганрогский государственный радиотехнический университет, Ученому секретарю диссертационного совета ДМ 212.259.06 Галуеву Г.А.

С диссертацией можно ознакомиться в библиотеке Таганрогского государственного радиотехнического университета, по адресу:

347922, Ростовская область, г. Таганрог, ул. Чехова, 22.

Автореферат разослан «19» июля 2006 г.

Ученый секретарь диссертационного совета, доктор технических наук, профессор .

Галуев Г.А.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность. С появлением и развитием информационных технологий стала актуальна проблема информационной безопасности, связанная с обеспечением . сохранности и конфиденциальности хранимой и обрабатываемой информации. Учитывая многообразие потенциальных угроз информации, сложность их структуры и функций, а также участие человека в технологическом процессе обработки информации, сохранность и конфиденциальность информации может быть достигнута только путем создания комплексной системы зашиты информации. Одним из основных и неотъемлемых элементов комплексной системы безопасности является подсистема управления доступом к информационным ресурсам, которая предоставляет средства идентификации и аутентификации пользователей.

Традиционные методы идентификации и аутентификации основанные на использовании карточек, электронных ключей и других носимых идентификаторов, а также паролей и кодов доступа, имеют ряд существенных недостатков. Главный недостаток таких методов обусловлен неоднозначностью идентифицируемой личности. Прежде всего, это связано с тем, что для установления подлинности личности применяются атрибутивные и основанные на знаниях опознавательные характеристики. Указанный недостаток устраняется при использовании биометрических методов идентификации. Биометрические характеристики являются неотъемлемой частью человека и поэтому их невозможно забыть или потерять. Другим, немаловажным недостатком традиционных методов идентификации и аутентификации, является отсутствие возможности обнаружения подмены идентифицированного пользователя, что позволяет злоумышленнику получить доступ к ресурсам системы, который ограничен только правами идентифицированного пользователя.

Применение методов скрытного клавиатурного мониторинга позволяет реализовать процедуры идентификации и аутентификации, лишенные указанных недостатков. Подмену идентифицированного пользователя можно установить на основе результатов процедуры аутентификации, которая должна осуществляться непрерывно. Помимо этого, фактор скрытности процесса наблюдения позволяет выявить пользователей, совершающих злоупотребления и атаки, ведущие к нарушению информационной безопасности. А влияние психофизического состояния личности на клавиатурный почерк может быть использовано для определения отклонений от нормативного поведения, возникающих в результате стрессов, болезненных состояний, недомоганий и т.п.

Анализ существующих методов клавиатурного мониторинга показал, что в качестве эталонных значений в таких методах используются некоторые усредненные величины времен удержания и пауз между удержаниями клавдш. Такой способ представления особенностей динамики работы на клавиатуре не позволяет обеспечить достаточно высокой точности идентификации.

Таким образом, задача разработки методов скрытного клавиатурного мониторинга требует проведения интенсивных исследований и является актуальной.

Целью работы является разработка и исследование методов скрытного клавиатурного мониторинга.

Исходя из основной цели данной работы, определяется перечень основных задач:

1. Разработка методов выделения наиболее информативных параметров особенностей динамики работы на клавиатуре.

2. Разработка методов многосвязного представления особенностей динамики работы на клавиатуре, основанного на устойчивых последовательностях сочетаний удержаний и пауз между удержаниями клавиш.

3. Разработка последовательного метода классификации пользователей на основе многосвязного представления особенностей динамики работы на'клавиатуре.

4. Разработка модели системы скрытного клавиатурного мониторинга, реализующей методы многосвязного представления клавиатурного почерка.

5. Экспериментальные оценки основных характеристик модели системы скрытного клавиатурного мониторинга в сравнении с существующими аналогами.

Методы исследования данной работы базируются на использовании теории распознавания образов, теории вероятности и математической'статистики, элементов теории множеств.

Научная новизна диссертационной работы заключается в следующем:

1. Разработаны новые методы выделения наиболее информативных параметров особенностей динамики работы на клавиатуре, которые позволяют повысить точность системы скрытного клавиатурного мониторинга.

2. Впервые разработаны методы многосвязного представления особенностей динамики работы на клавиатуре основанных на устойчивых последовательностях времен удержания и пауз между удержаниями клавиш.

3. Разработан последовательный метод классификации пользователей на основе многосвязного представления особенностей динамики работы на клавиатуре.

Практическая ценность работы

Практическая значимость результатов диссертации заключается в следующем:

1. Разработанный метод скрытного клавиатурного мониторинга может быть использован для построения систем непрерывного контроля доступа

2. Разработанные методы многосвязного представления особенностей динамики работы на клавиатуре могут быть использованы в системах анализа особенностей динамики работы пользователя на клавиатуре.

Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.

Основные положения и результаты, выносимые на защиту:

1. Организация системы скрытного клавиатурного мониторинга на основе выделения информативных параметров, многосвязного представления и последовательной классификации особенностей динамики работы на клавиатуре.

2. Методы выделения наиболее информативных параметров особенностей динамики работы на клавиатуре.

3. Методы многосвязного представления особенностей динамики работы на клавиатуре.

4. Метод классификации пользователей на основе последовательных значений времен удержания и пауз между удержаниями клавиш.

5. Экспериментальные оценки основных характеристик модели системы скрытного клавиатурного мониторинга в сравнения с существующими аналогами.

Использование результатов. Результаты, полученные в ходе работы над диссертацией, были использованы при проведении научно-исследовательской работы «Поисковые исследования по созданию принципов и методов построения автоматизированных систем идентификации личности повышенной надежности на основе комплексной оценки биометрических параметров военнослужащих» (шифр «Отзвук») по договору с ЦТО «ГИРАС» по заказу Секции Прикладных проблем при Президиуме РАН в 2005 году и на кафедре Безопасности информационных технологий ТРТУ при разработке и проведении цикла лабораторных работ «Исследование биометрических систем динамической аутентификации пользователей ПК по рукописному и клавиатурному почеркам» по курсу «Защита информационных процессов в компьютерных системах», №3531.

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. Научно-практической конференции с международным участием «Информационная безопасность», (ТРТУ, г. Таганрог) 2002 года.

2. Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления», (ТРТУ, г. Таганрог) 2004 года.

3. Международной научно-практической конференции «Информационная безопасность», (ТРТУ, г. Таганрог) 2003,2004,2006 годов.

4. Международной научно-технической конференции «Искусственный интеллект. Интеллектуальные и многопроцессорные системы-2004», (ТРТУ, Таганрог) 2004 года.

Публикации.

По теме диссертации опубликовано 13 научных статей и тезисов докладов, из них две статьи опубликованы в журнале «Известия Таганрогского государственного радиотехнического университета (ТРТУ)» из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ.

Обьем и структура диссертации. Диссертация состоит из введения, пята глав, заключения, списка литературы, включающего 49 наименований, приложений. Основной текст диссертации изложен на 123 страницах, включая 32 рисунка и 3 таблицы.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность исследований методов скрытного клавиатурного мониторинга, сформулированы цель работы, решаемые в ней задачи, определена научная новизна и практическая ценность выносимых на защиту результатов.

В первой главе рассмотрены основные цели применения и возможные варианты использования биометрических систем, основанных на особенностях клавиатурного почерка. Определяются основные понятия, относящиеся к системам скрытного клавиатурного мониторинга. Предложен способ совокупной оценки продуктивности биометрических систем на основе показателей точности, достоверности, уникальности биометрического эталона, интеллектуальности и их характеристик, который позволяет всесторонне и объективно оценить работу биометрических систем в целом. Проведен анализ существующих математических методов применяемых для построения биометрических систем распознавания особенностей динамики работы на клавиатуре. Выявлены недостатки существующих методов распознавания особенностей динамики работы на клавиатуре, основной из которых — представление особенностей динамики работы на клавиатуре в виде усредненных значений времен удержания и интервалов между удержаниями клавиш. Такое представление содержит лишь часть информативных параметров, ослабленных внешними факторами работы на клавиатуре (события редко используемых клавиш в контексте определенной задачи, большое время удержания и интервалов между удержания клавиш и т.п.). Предложена организация системы скрытного клавиатурного мониторинга на основе выделения информативных параметров, многосвязного представления и последовательной классификации особенностей динамики работы на клавиатуре.

Во второй главе разработан метод выделения наиболее информативных параметров особенностей динамики работы на клавиатуре на основе последовательно-временных фильтров.

На этапе обработки входных данных необходимо избавиться от параметров обладающих малой информативностью и ухудшающих представление особенностей динамики работы на клавиатуре. Появление таких параметров вызвано рядом причин, главные из которых можно охарактеризовать следующим образом:

- наличие достаточно длительных удержаний и пауз между удержаниями клавиш;

- наличие события редко используемых клавиш в контексте данной задачи;

- отсутствие клавиатурного почерка.

Для выявления и исключения параметров, вызванных первыми двумя причинами, предложено использовать следующие последовательно-временные фильтры:

- частотный;

- временной;

- клавиатурный.

Использование временного фильтра позволяет блокировать параметры, вызванные достаточно длительным временем событий клавиатуры. Два других фильтра предназначены для блокирования клавиш, которые редко используются в процессе работы в зависимости от выполняемой задачи.

Предложенные фильтры могут использоваться как раздельно, так и совместно. При совместном использовании, фильтры образуют цепочку, на вход которой поступают времена событий удержания и пауз между удержаниями, а на выходе образуются отфильтрованные события, которые и представляют информативные параметры клавиатурного почерка. В этом случае, порядок включения фильтров в цепочку произвольный.

Работа временного фильтра определяется интервалом допустимых значений или полосой пропускания. Нижняя граница полосы пропускания задается с помощью значения /т1п, а верхняя граница полосы пропускания ограничивается значением . Принцип работы фильтра заключается в том, что все значения событий клавиатуры 1п, которые больше или меньше будут

блокироваться. Обычно на практике значение нижней границы полосы пропускания фильтра равно нулю. Для операторов с малой скоростью набора значение нижней границы /„^ рекомендуется увеличить. Величина получена опытным путем и приблизительно равна 1 секунде. Значение верхней границы влияет на ошибки первого и второго рода. В частности, при увеличении верхней границы ^ возрастет ошибка второго рода, что очень критично для биометрических систем.

Таблица 1. Процентное выражение величины использования групп клавиш.

1 Р>|||М )!:■ 1ИЧ|'111 использования

Алфавитные 82%

Цифровые 8%

Функциональные 2%

Управляющие 8%

Работа клавиатурного фильтра определяется шаблонами групп клавиш. В зависимости от характера выполняемой задачи, пользователь использует не все клавиши, а только их часть. Ниже представлена таблица, в которой приведено процентное выражение величины использования групп клавиш при наборе пользователем произвольного текста.

Из таблицы видно, что наиболее часто используемые клавиши при наборе пользователем произвольного текста, составляют группу алфавитных клавиш. В этом случае, клавиатурный фильтр будет блокировать все клавиши кроме тех, которые составляют группу алфавитных клавиш.

Принцип работы частотного фильтра такой же, как и у клавиатурного фильтра, за исключением используемых шаблонов групп клавиш. В частотном фильтре шаблон группы клавиш строится динамически по мере поступления данных с клавиатуры. Для каждой клавиши подсчитывается поступившее количество событий пс, где С - код клавиши. В результате можно определить частоту использования клавиши

и

С "'

где пс - количество событий для клавиши с кодом С, N - общее количество событий для всех клавиш.

На основе полученных значений частот можно задать шаблоны групп клавиш или использовать верхний и нижний порог для задания полосы пропускания.

Использование частотного фильтра позволяет определить набор клавиш, которые будут обладать наибольшей информативностью в зависимости от характера выполняемой задачи. В отличие от клавиатурного фильтра, данный фильтр позволяет оптимально установить группу используемых клавиш для специфичных задач.

Влияние параметров, вызванных отсутствием клавиатурного почерка, или рядом причин, связанных с нарушением стабильности ввода с клавиатуры, можно снизить за счет контроля устойчивости работы на клавиатуре. Для этого предлагается использовать следующие характеристики и особенности работы на клавиатуре:

- скорость ввода,

- стабильность ввода,

- аритмичность скорости ввода.

Анализ скорости ввода, позволяет классифицировать пользователей на определенные группы. Например, пользователи, у которых скорость ввода низкая составляют первую группу, пользователи со средней скоростью ввода — вторую группу и все остальные пользователи с большей скоростью ввода — третью группу. Известно, что большая скорость ввода характерна для пользователей со стабильным почерком, в результате для определения уровня стабильности почерка необходимо определить принадлежность пользователя к одной из установленных скоростных категорий.

Стабильность ввода определяется степенью выраженности вида распределения событий клавиатуры. Априори предполагается, что значения событий клавиатуры при работе определенного пользователя подчиняются нормальному закону распределения. В этом случае можно использовать критерии согласия для проверки гипотезы, что события клавиатуры образуют случайную выборку с нормальным законом распределения. Другими словами с помощью критериев согласия можно определить «нормальность» или стабильность входной выборки.

Аритмичность скорости ввода определяет характер изменения скорости ввода. Пользователи со слабовыраженным клавиатурным почерком будут характеризоваться большим значением аритмичности скорости ввода по сравнению с пользователями, обладающими стабильным клавиатурным почерком.

Третья глава. Одним из важных этапов работы системы мониторинга является представление биометрических характеристик. На данном этапе входные данные в виде времен событий клавиатуры (удержание клавиши и пауз между удержаниями) приводятся к некоторому структурированному виду. Такое представление данных необходимо для выявления характерных признаков клавиатурного набора пользователя. По данным признакам строится биометрический эталон в режиме обучения системы, а в

режиме работы — производится аутентификация. Помимо этого, на основе полученных признаков особенностей динамики работы на клавиатуре на этапе представления биометрических характеристик можно судить о стабильности и наличии клавиатурного почерка у пользователей как такового.

Известные методы и подходы анализа клавиатурного почерка основываются на предположении, что клавиатурный почерк представляется в виде усредненных значений событий клавиатуры. Но, как показывают эксперименты, значения времен удержаний и пауз между удержаниями одних и тех же клавиш в разных комбинациях принимают различные значения. Это наталкивает на мысль, что времена удержаний и пауз между удержаниями клавиш зависят от предыдущих событий клавиатуры. Если предположить, что клавиатура состоит всего из одной клавиши (код Морзе), то, на основании общепринятого предположения о представлении клавиатурного почерка, следует, что все удержания и паузы между удержаниями для единственной клавиши будут приблизительно одинаковы между собой. Так, для случая кода Морзе, значения удержаний и пауз между удержаниями ключа устойчивы только в полных последовательностях кода (почерк радиста). Таким образом, можно говорить о том, что большей информативностью обладают не значения времен удержаний и пауз между удержаниями клавиш, а устойчивые последовательности сочетаний значений этих времен. В результате было бы логично утверждать, что значения событий клавиши распределены по нормальному закону и обладают несколькими центрами распределения (классами), в отличие от общепринятого подхода.

Разработанный метод многосвязного представления особенностей динамики работы на клавиатуре позволяет в полной мере выявить и представить характерные особенности клавиатурного почерка на основе устойчивых последовательностей событий клавиатуры. Для выявления таких структур необходима определенная статистика, состоящая из значений времен событий клавиатуры и связей между событиями клавиатуры.

В общем случае входные данные можно представить как упорядоченное множество событий клавиатуры Я. Положение события во множестве определяется порядковым номером появления самого события. Тогда задача многосвязного представления особенностей динамики работы на клавиатуре заключается в разделении исходного множества на подмножества /е[1,последовательностей событий клавиатуры, согласно установленным критериям. Причем справедливы следующие выражения:

1. Щ Дс5К, ; е [I, Л/],

2. А1г\Лу*0, /,уе[1,ЛГ],

3. А,*А1, и<Е[1,Лг], 1Ф].

В результате операции разделения множества 9? образуются два подмножества - А и О, причем ЭТ = лиО. Подмножество'/! является объединением всех подмножеств последовательностей событий клавиатуры

¡-\

Подмножество й содержит все события, которые не удовлетворили установленным критериям, следовательно й = Я\А. Подмножество <3 может быть пустым, тогда 91 = А. В этом случае все элементы исходного множества соотнесены определенным последовательностям событий клавиатуры.

Задача разделения исходного множества 91 на подмножества А и С может быть решена в рамках подхода автоматической классификации. В результате исходная выборка событий клавиатуры будет разделена на классы для каждой клавиши в отдельности, а связи между событиями клавиатуры исходной выборки определять взаимосвязи между полученными классами. На рис. 1 схематично показано многосвязное представление особенностей динамики работы на клавиатуре.

Всем событиям клавиатуры исходной выборки в соответствие ставится код события С,. В зависимости от кода С, значения событий наносятся на одну из временных осей с кодом С,. Связи определяющие последовательность появления событий клавиатуры при наборе, обозначаются

схематично в виде отрезков

Удержание А

Пауза А-В

Удержание В

Пауза В-С

соединяющих соответствующие значения событий исходной последовательности. Согласно установленным критериям все события с кодом С, образуют классы <»£. Элементы класса т'с распределены по закону, который приближенно можно считать нормальным законом

распределения. Полученные классы характеризуются

центром распределения и среднеквадратичным отклонением. Связь между классами образуется на основе

Рис. 1 Многосвязное представление клавиатурного почерка.

существующих связей между элементами классов и характеризуется мощностью связи X или количеством связей элементов.

Для определения задачи автоматической классификации необходимо указать свойства, которыми должны обладать искомые классы событий. Один из возможных способов - это конструирование критерия качества классификации J, который ставите соответствие каждой возможной классификации множества событий некоторое число. Областью определения J является множество всех возможных классификаций событий, а областью значений — множество действительных чисел. Тогда хорошая классификация в смысле принятого определения класса будет характеризоваться экстремальными значениями критерия J. Таким образом, если критерий J задан, то можно оценить любую данную классификацию.

Для определения наилучшей в смысле критерия J классификации используется алгоритм автоматической классификации. Чтобы описать такой алгоритм, необходимо определить вид критерия Ц, а также уточнить некоторые детали постановки задачи.

Предположим, что необходимо классифицировать N событий клавиатуры с кодом Ск, каждое из которых характеризуется своим значением времени где е [1, Л'] Каждое событие клавиатуры

должно быть соотнесено к одному из М классов, ги,,а)2.....в)и, где М может быть, а может и не быть

заранее известно. Класс, к которому относится / -ое событие, обозначим ац, / е [1, М]. Пусть т, - целое число, причем 1 <,т,<.М. Тогда вектор составленный из йц есть классификация П, а вектор составленный из множества значений I, - конфигурация Г, т.е.

« = и т = ['..'2.....'.Г-

Критерий качества классификации 3 является функцией от Ю и Т:

J = ^<а^,ют1,...,<от11\ tl,t1,...,tK) = J{CK Т).

Тогда по определению, наилучшая классификация П„ удовлетворяет условию ^(П0;Т) = штУ(£1;Т) или У(П0;Т) = шахУ(П;Т).

Полученные выражения являются условиями нахождения экстремальных значений критерия J. Для определения экстремальных значений достаточно рассмотреть условие минимума, так как для условия максимума рассуждения проводятся аналогично.

Итак, исходная конфигурация Т является фиксированной. Алгоритм автоматической классификации будет модифицировать только классификацию О. Здесь неприменимы обычные методы поиска вследствие дискретного и неупорядоченного характера множества возможных классификаций. Несмотря на это, возможно построить итеративный поисковый алгоритм, использующий приращение критерия при вариациях О.

С

э

Выбрать начальную классификацию П(/), / = О

Для данной классификации П(/) аьыислотъ Д/(/,./,/) для 7=1,2,....А/ и /

Для асах / ■ 1,2,...,// перенести / -ов событие а класс £, где $ определяется из условия

Определим классификацию на 1-й вариации как 0(/), где

«(о=К (о.^с).....«ч(о]т-

При изменении классификации 1-го события, перенос его из класса т,(/) в класс ], критерий классификации изменится на величину &/ (»"■/,/) ■ которая определяется выражением

л/(и,/) = (0.....«V, (/),*>,, (1),^ (/).....«V (0:т).

В случае если величина Д3(1,у,1)<0, то перенос 1-го события в _/ -й класс дает улучшение классификации. На рис. 2 представлен алгоритм использующей это свойство. В блоке вычисления минимума ДУ может возникнуть ситуация, когда минимум достигается при нескольких значениях у. В этом случае, если среди нескольких значений ] есть значение т1 (I), то неоднозначность разрешается в пользу уже построенной классификации, т.е. берется ] = т, (/). Иначе неоднозначность разрешается произвольным способом. В результате выполнения этого блока получается новая классификация П(/ +1).

Предложенный алгоритм представляет собой итеративное применение решающего правила, основанного на критерии классификации. Необходимо отметить, что на каждой итерации происходит одновременная переклассификация всех событий. Следовательно, невозможно гарантировать реального улучшения 3 и сходимости алгоритма к абсолютному минимуму ./. Несмотря на эти недостатки, алгоритм очень эффективен.

В качестве критерия качества классификации ./ предлагается использовать следующие:

- критерий на основе статической связанности;

- критерий иерархического представления;

- критерий кластеризации.

Первый критерий основан на степени статической связи между

событиями клавиатуры г,, /е[1,//] внутри подмножества событий. В ___

этом его отличие от распространенного способа классификации «°н«ч

независимо наступающих событий. Для определения статической рис 2 Блок-схема алгоритма зависимости применяется хорошо известная функция энтропии автоматической

я(т») = £---2]/>('*''2*'—.....'*)> классификации.

А

где ...,/,*) - плотность вероятности дискретных случайных величин,

Тц ={/',/*,.../*} - все подмножества событий (,,

к - индекс подмножества, может принимать столько значений, сколько можно образовать подмножеств,

/ - количество элементов в подмножестве к,

В случае, когда элементарные события I, статистически не зависимы, энтропия будет максимальна. Помимо этого, энтропия любого подмножества Т4 не превосходит суммарную энтропию элементов , т.е.

Статическая связанность Т, определяется как

1.1

Следовательно, IV(Тк) является неотрицательной величиной, возрастающей по мере того, как элементы подмножества Т, становятся все более и более зависимы. Для подмножества статистически независимых случайных величин статистическая связанность равна нулю.

Образуем множество Т, состоящее из всех п элементарных событий и разделим его на два непересекающихся подмножества Т, и Т2. Тогда суммарная статистическая связанность обоих подмножеств не превышает статистической связанности исходного множества Т,

иЛ(т)-К(т1)+»'(т2)]=я(т,)+я(т2)-//(т)^о.

В нашем случае нам необходимо разделить все случайные величины /, на М подмножеств Т„Та,...,Тм с минимальной потерей статистической связанности. Следовательно, критерий качества классификации будет иметь вид

3 (О; Т) = 0-(Т) - £ = £ Н (Т,) - Я(Т).

У-1 у-1

Для полного определения этого критерия необходимо знать совместные вероятности р(<1.'2.•••»',) • В действительности в наличии есть только множество из N наблюдений элементарных событий . В этом случае, необходимо использовать наблюдения для оценки ■••»'„) методом

относительных частот.

Принцип работы критерия иерархического представления заключается в построении дерева классификации, с помощью которого множество входных событий клавиатуры представляется в виде иерархий подмножеств, образованных входными событиями. Деревья классификации обладают рядом свойств. Начальная вершина такого дерева соответствует всему множеству входных событий, а каждая конечная вершина — отдельному событию. Все вершины, за исключением конечных, обозначают операцию ветвления, которая делит соответствующее множество событий на непересекающиеся подмножества, образующие новые вершины. Каждая вершина, кроме начальной, связана с родительской вершиной. Подмножество событий родительской вершины включает подмножества дочерних вершин. В качестве параметра, характеризующего вершину, используется ^численная характеристика - уровень вершины.

В отличие от критерия качества на основе статистической связности, этот подход к классификации основывается на попарном сходстве событий. Целью данного подхода является представление попарного сходства событий с помощью дерева классификации. Для этого используется расстояние между событиями на дереве /,), /,Уе[1, Л'],

которое можно определить как уровень вершины, лежащий на пересечении соответствующей траектории. На рис. 3 представлено типичное дерево классификации. На дереве обозначены уровни начальной вершины и промежуточных вершин, показаны траектории спуска для конечных вершин и расстояние между которыми </,(<,, <,) равно 3,7.

Для определения расстояния между событиями можно использовать выражение

где и ^ - значение времен 1 -ого и у -ого события соответственно.

Критерием качества классификации служит мера согласия между расстояниями на дереве и расстояниями между событиями, которая задается выражением

Начальная вершина

3,7

1.5 2.4 Промежуточная ' вершина

Конечная

» вершина

', I, >,

Рис. 3 Дерево классификации

С

3

Определить ВС* / события км конечны« вершины нулевого уровня. Вычислить ^ (:,.',) АЛ" всех I и _/

Добавить новую вершину для и

/у (классов) для которых расстояние минимально. Уровень вершины равен расстоянию между и 11 (классами)

Параметр г используется для обозначения дерева и играет ту же роль, что и П. Необходимо учитывать, что помимо структуры, каждое дерево г характеризуется уровнями, которые приписаны вершинам.

Предложенный алгоритм автоматической классификации, основанный на критерии общего вида в данном случае применить нельзя, так как затруднительно определить величину близости деревьев. Поэтому, для нахождения оптимального в смысле У(г;Т) дерева, можно использовать алгоритм, представленный на рис. 4. Данный алгоритм предполагает определение расстояния между двумя классами событий. В качестве такого расстояния можно использовать евклидово расстояние между средними значениями классов.

Процедура вычисления расстояния между классами является наименее обоснованной частью вышеприведенного алгоритма. В случае слабовыраженных классов, результирующее дерево может сильно зависеть от способа, которым вводится расстояние между классами.

Критерий кластеризации позволяет выявить кластеры событий клавиатуры, с помощью эвристических алгоритмов или, основываясь на минимизации (или максимизации) показателя качества.

В первом случае используются простой алгоритм кластеризации или алгоритм максимального расстояния. Оба алгоритма в качестве меры сходства событий используют Евклидово расстояние. Для выделения кластеров в алгоритмах задается пороговое значение, которое устанавливает приемлемые степени сходства.

Простой алгоритм кластеризации обладает рядом очевидных недостатков, связанных с выбором первого центра кластера и значением пороговой величины. Несмотря на это, он позволяет просто и быстро получить приблизительные оценки основных характеристик заданного набора данных. Также этот алгоритм оптимален с вычислительной точки зрения, так как для выявления центров кластеров, соответствующих определенному значению порога, требуется только однократный просмотр выборки данных. Достичь полезных результатов с помощью этого алгоритма можно, когда в данных имеются характерные «гнезда», которые достаточно хорошо разделяются при соответствующем выборе значения порога.

Второй алгоритм основан на принципе максимального расстояния и представляет собой еще один простой эвристический метод. Этот алгоритм аналогичен простому алгоритму кластеризации, за исключением того обстоятельства, что в первую очередь выявляются наиболее удаленные кластеры.

В случае выявления кластера путем минимизации показателя качества используется алгоритм К внутренних средних, минимизирующий показатель качества вида

ы

где М - число кластеров, - множество событий, относящихся к ] -му кластеру, а

Вычислить расстояние между классом новой вершины и /, (классами) оставшихся конечных вершим.

Принять новую вершину в качестве конечно и вычеркнуть е* дочерние вершины

Рис. 4 Алгоритм построения оптимального дерева

- 1 ^ 0 = 7г1<

J|^SI

выборочное среднее значение для множества характеризует количество событий,

входящих во множество 5

1-

Этот показатель качества определяет общую сумму квадратов отклонений значения событий, входящих в некоторый кластер, от соответствующих средних значений по кластеру.

Качество работы алгоритма, основанного на вычислении К внутригрупповых средних, зависит от числа выбираемых центров кластеров, от выбора исходных центров кластеров, от последовательности осмотра образов и, естественно, от геометрических особенностей данных. Хотя, для этого алгоритма общее доказательство сходимости не известно, получения приемлемых результатов можно ожидать в тех случаях, когда данные образуют характерные гроздья, отстоящие друг от друга достаточно далеко.

При использовании алгоритмов кластеризации необходимо оценивать основные характеристики кластеров в результате объединения двух множеств событий клавиатуры. В работе предложен метод оценки математического ожидания и дисперсии кластера на основе характеристик объединяемых множеств.

Пусть известны параметры множеств А и В: пл,пв - количество элементов множества, тА,тв - математическое ожидание, Оа,Вв - дисперсия.

Тогда математическое ожидание множества С = ЛиВ можно найти помощью следующего выражения

плтА+пвт„

гп^--.

пА+пв

Дисперсии нового множества С будет равна сумме внугригрупповой и межгрупповой дисперсии на основе теоремы о сложении дисперсий. Внутригрупповая дисперсия есть средняя арифметическая дисперсия, взвешенная по объемам группы:

в _ пАРА + пвРв

»А+"В

Для расчета межгрупповой дисперсии необходимо определить дисперсию групповых средних относительно общей средней:

пл(тл-тсУ +п„(та-тсУ

мляар

"л* "в

Тогда на основе полученных значений и можно получить дисперсию множества С:

С лнгр мгжгр •

Таким образом, применение такого способа расчета математического ожидания и дисперсии в алгоритмах кластеризации позволит сократить общее время работы алгоритмов.

В четвертой главе разработан последовательный метод классификации пользователей, использующий в качестве биометрического эталона многосвязное представление особенностей динамики работы на клавиатуре. Предложенный метод классификации основывается на анализе устойчивых последовательностей событий клавиатуры, которые образуются во время работы пользователя на компьютере. В качестве числовой оценки таких последовательностей событий предлагается использовать вес последовательности который зависит от множества значений

событий клавиатуры Г = {/,,/2,...Гдг} и множества кодов событий клавиатуры С = {^,¿7^,....С^} в

исходной последовательности, где N - длина исходной последовательности (количество событий клавиатуры в последовательности), а ¿,,/е[1,ЛГ] - определяет индекс кода события. Тогда вес устойчивой последовательности определяется следующим образом

где I - номер события клавиатуры в последовательности событий,

- мощность связи или количество связей между /' -ым и / -1 событиями клавиатуры, а - коэффициент связанности, определяющий влияние мощности связи на вес Рсщ ('<) " смесь плотностей вероятности классов событий клавиши с кодом С^ для события .

Смесь плотностей вероятности определяется как

мо^КМ'К)-

где й>'с^ - класс значений времен событий с кодом Скх, ~ априорная вероятность класса ,

р^/вз^ | - условная плотность вероятности для класса . Вес устойчивой последовательности событий клавиатуры с длиной N = 1 равен свободному члену, т.е.

Априорная вероятность Р ) класса а^ событий клавиатуры с кодом С, определяется как отношение количества событий класса о^ к общему количеству событий с кодом С, в исходной статистике. Условная плотность вероятности для класса ео£ задается следующим образом

»ехр

('-О2

Щ

где т^, - математическое ожидание и дисперсия класса ео^ соответственно.

Принцип работы разработанного последовательного метода классификации в определенной степени связан со следующей аналогией. Предположим, что имеется некоторое тело массы т ив моменты времени г, =гм +Дг к этому телу прилагается однонаправленный вектор силы Р, модуль которого равен весу устойчивой последовательности Q{C,T). Помимо внешней силы Р на тело действует сила трения Р., направленная в противоположную сторону. В результате действия внешней силы Р и силы трения Р^, тело начнет двигаться с некоторым ускорением в сторону внешней силы Р, т.к. |1|>|р»Р| . Изменение скорости тела определяется выражением

с!т. т т

где £> (г) - функция изменения веса от времени и а - коэффициент силы трения.

Допустим, что начальная скорость тела ц,-0 в момент времени г0 = 0, тогда решение дифференциального уравнения скорости имеет вид

„(г) = Ш(1_е-).

ат 4 '

В случае действия постоянной силы |р| = 2 в о(г)

течение некоторого времени г', максимальное 0

значение функции и (г) равно (рис. 5). Если ""

ат

в момент времени г > г' внешняя сила равна О, то скорость тела уменьшается за счет действия силы трения направленной в обратную сторону движения тела

Действие внешней силы ■ Внешняя сил« равна О

Рис. 5 График зависимости к (г)

Так как вес последовательности является дискретной величиной, то удобно использовать итерационную форму функции о(г)

где а, Ь - некоторые коэффициенты, которые определяются экспериментально.

Значительные увеличения будут определяться появлением устойчивых последовательностей с большим весом и большей длиной. Последовательности единичной длины не дадут большого прироста величины , а последовательности с малым весом (характерны для «чужого») будут резко понижать значение скорости цч1. Таким образом, величина изменения скорости ц., будет характеризовать особенности динамики работы пользователя на клавиатуре.

Для работы клабсификатора необходимо определить величину среднего значения I изменения величины для «своего» и задать

верхний Г* и нижний Г" пороги, которые определяют величину накопления ошибки аутентификации (рис. б). Тогда решающее правило для последовательного классификатора на основе многосвязного . представления клавиатурного почерка можно записать следующим образом

Г* -*'свой", Г" < У14., < Г* -» произвести следующее наблюдение, иы < —> "чужой "

Среднее значение / величины им, а также верхний Г и Г нижний пороги классификатора определяется на этапе обучения.

В отличие от существующих последовательных методов классификации (последовательный критерий Вальда, Байесова последовательная решающая процедура и др.) предложенный метод отличается непрерывностью процесса классификации и позволяет реализовать непрерывную процедуру аутентификации.

В пятой главе рассматривается программная реализация, методов скрытного клавиатурного мониторинга и результаты е£ экспериментального исследования и сравнения с аналогами.

На основе предложенной структурной схемы системы скрытного клавиатурного мониторинга разработана программная модель системы клавиатурного мониторинга, в которой реализованы следующие методы:

- методы выделения наиболее информативных признаков особенностей динамики работы на клавиатуре на основе последовательно-временных фильтров, а в частности временной и клавиатурный фильтры;

- метод многосвязного представления особенностей динамики работы на клавиатуре с использование простого алгоритма кластеризации для выделения классов распределения событий клавиатуры;

- последовательного метода классификации на основе многосвязного представления особенностей динамики работы на клавиатуре.

Экспериментальная проверка работоспособности предложенных методов на основе программной модели системы клавиатурного мониторинга заключалась в следующем. Группе пользователей из 20 человек было предложено вести один и тот же текс, содержащий приблизительно 10 тысяч знаков. В процессе ввода пользователями текста, сохранялись все события клавиатуры. После чего были получены многослойные представления особенностей динамики работы на клавиатуры для каждого пользователя, которые и составили их биометрические эталоны.

На первом этапе, исследовалась способность программной модели системы разделять биометрические образы пользователей. Для этого, в качестве эталонного образа использовался биометрический эталон каждого из двадцати пользователей, а в качестве входных данных -сохраненные события клавиатуры всех пользователей группы. В результате, биометрические образы

Рис. 6 График работы классификатора

двадцати тестируемых пользователей четко разделены программной моделью системы клавиатурного мониторинга, то есть не возникло ситуации ошибочной аутентификации.

На втором этапе, исследовалась способность обнаружения программной моделью подмены активного пользователя. Для этого были искусственно сконструированы последовательности событий клавиатуры на основе сохраненных событий клавиатуры следующим образом. В последовательность событий активного пользователя вставлялись последовательности других пользователей (около 100 событий). После чего, как и в первом случае, в качестве эталонного образа использовался биометрический эталон активного пользователя, а на вход программной модели подавалась искусственно-сконструированная последовательность событий. В результате, с помощью программной модели системы клавиатурного мониторинга были выявлены все ситуации подмены активного пользователя.

Для сравнения разработанной модели клавиатурного мониторинга с аналогами на основе матриц усредненных значений особенностей динамики работы на клавиатуре были проведены следующие экспериментальные исследования:

- исследование способности разделения биометрических образов пользователя

- исследование способности обнаружения подмены активного пользователя.

Результаты эксперимента (рис. 7) показали что, существующие аналоги на основе матриц усредненных значений не способны четко разделять или выявлять ситуацию подмены активного пользователя на предложенной тестовой статистике.

В заключении излагаются основные результаты диссертационной работы, полученные в процессе проводимых исследований, делаются общие выводы.

1 2 3 4 5 6

7 в 9 10 11 12 13 14 19 16 17 18 19 20 номер пользователя N

Рис. 7 Ошибка второго рода для 20 пользователей

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ При решении поставленных в диссертационной работе задач получены следующие научные

результаты:

1. Разработаны методы выделения наиболее информативных параметров особенностей динамики работы на клавиатуре, которые заключаются в использовании последовательно-временных фильтров. Предлагаемые методы позволяют не только выявить параметры, характеризующие динамику работы на клавиатуре, но и уменьшить ошибки первого и второго рода, что немаловажно для биометрических систем контроля доступа.

2. Впервые разработан метод многосвязного представления особенностей динамики работы на клавиатуре основанный на устойчивых последовательностях событий клавиатуры. Предложенный метод основывается на предположении, что большей информативностью обладают не значения времен удержаний и пауз между удержаниями клавиш (такой подход используется в существующих методах), а устойчивые последовательности сочетаний значений этих времен.

3. Разработан последовательный метод классификации на основе многосвязного представления особенностей динамики работы на клавиатуре, который использует в качестве числовой характеристики вес устойчивой последовательности и позволяет реализовать непрерывную процедуру аутентификации. Предложен способ оценки веса устойчивых последовательностей основанный на вероятностных характеристиках последовательностей событий клавиатуры

4. Разработана программная модель клавиатурного мониторинга на основе многослойного представления особенностей динамики работы на клавиатуре с помощью быстрого алгоритма кластеризации и последовательного метода классификации устойчивых последовательностей событий клавиатуры, с применением последовательно-временных фильтров (временного и клавиатурного) для выделения наиболее информативных параметров.

5. Получены экспериментальные оценки разработанных методов скрытного клавиатурного мониторинга с помощью созданной программной модели и сравнение с существующими аналогами. На основе полученных экспериментальных оценок сделаны выводы о работоспособности

предложенных методов скрытного клавиатурного мониторинга и применимости их в реальных системах анализа особенностей динамики работы на клавиатуре. Также, в ходе экспериментов были получены результаты, свидетельствующие о малой информативности событий удержания клавиш. Использование событий удержания клавиш при анализе особенностей динамики работы на клавиатуре привело к увеличению ошибок первого и второго рода.

По теме диссертационной работы опубликованы следующие работы:

1. Брюхомицкий Ю.А., Казарин М.Н. Программа биометрической аутентификации пользователя // Сборник тезисов и докладов VI Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления», Таганрог, 2002 г., с. 341-342.

2. Брюхомицкий Ю.А., Казарин М.Н. Система аутентификации личности по почерку // Сборник трудов научно - практической конференции «Информационная безопасность» Таганрог, 2002 г., с. 22-29.

3. Брюхомицкий Ю.А., Казарин М.Н. Идентификация пользователя по динамике подписи // Известия ТРТУ №1 Материалы XLVIII конференции, Таганрог, 2003 г., с. 119-120.

4. Брюхомицкий Ю.А., Казарин М.Н. Метод обучения нейросетевых биометрических систем на основе построения аппроксимированных областей // Известия ТРТУ №4 Материалы 5-й научно -практической конференции «Информационная безопасность», Таганрог, 2003 г., с. 155-159.

5. Брюхомицкий Ю.А., Казарин М.Н. Метод биометрической идентификации пользователя по клавиатурному почерку на основе разложения Хаара и меры близости Хэмминга // Известия ТРТУ №4 Материалы 5-й научно — практической конференции «Информационная безопасность», Таганрог, 2003 г., с. 141-149.

6. Брюхомицкий Ю.А., Казарин М.Н. Параметрический метод обучения биометрических систем аутентификации по клавиатурному и рукописному почеркам // Материалы международной научно-технической конференции «Искусственный интеллект. Интеллектуальные и многопроцессорные системы-2004», Таганрог, 2004 г., с. 327-332.

7. Брюхомицкий Ю.А., Казарин М.Н. Скрытный клавиатурный мониторинг операторов автоматизированных информационно-управляющих систем // Сборник тезисов и докладов VII Всероссийская научная конференция студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления» 2004 г., с. 357-358

8. Брюхомицкий Ю.А., Зверев Е.М., Казарин М.Н. Идентификация пользователя по клавиатурному почерку на основе сменных виртуальных клавиатур // Электронный журнал «Информационное противодействие угрозам терроризма», №4, 2005 г., с. 141-146. »

9. Брюхомицикий Ю.А., Казарин М.Н. Параметрическое обучение биометрических систем контроля доступа. // Изд-во «Машиностроение». Вестник компьютерных и информационных технологий, № 2(20), Москва, 2006 г., с. 6-13.

10. Казарин М.Н. Скрытный клавиатурный мониторинг // Материалы VIII Международной научно-практической конференции «Информационная безопасность», Таганрог, 2006 г., с. 220-228.

Личный вклад автора в работах, написанных в соавторстве, состоит в следующем: [1,2,3,5,6,8] — разработка базовых методов и алгоритмов анализа особенностей динамики движений личности, [4] -разработка способа формирования выборки «чужой», [7] - основные направления применения методов скрытного клавиатурного мониторинга.

Программы, созданные в ходе работы над диссертацией, зарегистрированы в Российском агентстве по патентам и товарным знакам (Роспатент) как программа для ЭВМ, свидетельство №2003611145 и №2003610944.

ЛР № 020565 от 23.06.97 г.

Подписано в печать /у'. Oí. Об формат 60x84 1/16 Бумага офсетная. Печать офсетная. Усл. п.л. — 1 Тираж 100 экз. Заказ № Z6 / "С"

Издательство Таганрогского государственного радиотехнического университета

ГСП 17 А, Таганрог - 28, Некрасовский, 44. Типография Таганрогского государственного радиотехнического университета ГСП 17 Л Таганрог-28, Энгельса, 1.

Оглавление автор диссертации — кандидата технических наук Казарин, Максим Николаевич

ВВЕДЕНИЕ.

1. ОБЗОР СУЩЕСТВУЮЩИХ СИСТЕМ СКРЫТНОГО КЛАВИАТУРНОГО МОНИТОРИНГА.

1.1. Анализ характеристик систем скрытного клавиатурного мониторинга.

1.1.1. Основные понятия и определения.

1.1.2. Оценка продуктивности системы мониторинга.

1.1.3. Показатели точности.

1.1.4. Показатель достоверности.

1.1.5. Показатели уникальности.

1.2. Анализ существующих методов и подходов построения систем скрытного клавиатурного мониторинга.

1.2.1. Математические методы решения задачи распознавания клавиатурного почерка.

1.2.2. Матрицы усредненных значений.

1.2.3. Мультипликативно-аддитивный метод распознаванию пользователя по клавиатурному почерку.

1.3. Принципы организации системы скрытного клавиатурного мониторинга.

1.4. Выводы.

2. МЕТОДЫ ВЫДЕЛЕНИЯ НАИБОЛЕЕ ИНФОРМАТИВНЫХ ПАРАМЕТРОВ ОСОБЕННОСТЕЙ ДИНАМИКИ РАБОТЫ НА КЛАВИАТУРЕ.

2.1. Последовательно-времены фильтры.

2.1.1. Временной фильтр.

2.1.2. Клавиатурный фильтр.

2.1.3. Частотный фильтр.

2.2. Критерии оценки устойчивости индивидуальных характеристик почерка.

2.3. Выводы.

3. МЕТОДЫ МНОГОСВЯЗНОГО ПРЕДСТАВЛЕНИЯ КЛАВИАТУРНОГО ПОЧЕРКА.

3.1. Постановка задачи многосвязного представления особенностей динамики работы на клавиатуре.

3.2. Задача автоматической классификации основанной на критерии общего вида.

3.2.1. Критерий качества на основе степени статистической связанности.

3.2.2. Критерий иерархического представления.

3.2.3. Критерии кластеризации.

3.3. Выводы.

4. ПОСЛЕДОВАТЕЛЬНЫЙ МЕТОД КЛАССИФИКАЦИИ.

4.1. Определение веса устойчивой последовательности событий клавиатуры.

4.2. Последовательный классификатор.

4.3. Выводы.

5. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ МОДЕЛИ СИСТЕМЫ СКРЫТНОГО КЛАВИАТУРНОГО МОНИТОРИНГА, ЕЁ ЭКСПЕРИМЕНТАЛЬНОЕ ИССЛЕДОВАНИЕ И СРАВНЕНИЕ С АНАЛОГАМИ.

5.1. Программной реализации модели системы скрытного клавиатурного мониторинга.

5.1.1. Описание программной реализации режима обучения и работы

5.1.2. Описание программной реализации средства сбора статистики.

5.2. Экспериментальное исследование программной модели сравнение с аналогами.

5.3. Выводы.

Введение 2006 год, диссертация по информатике, вычислительной технике и управлению, Казарин, Максим Николаевич

Развитие технических средств обработки, хранения и передачи ® информации привело к тому, что информационный ресурс стал главным средством экономического развития. Владение необходимой информацией в нужное время и в нужном месте является залогом успеха в любом виде деятельности. Монопольное обладание определенной информацией оказывается решающим преимуществом в конкурентной борьбе и предопределяет, тем самым, высокую значимость информации как фактора.

Сегодня трудно представить фирму или предприятие, которые не использовали бы технические средства обработки и передачи информации. Применение информационных технологий значительно облегчает работу # людей, автоматизируя процедуры сбора, обработки и хранения информации зачастую носящей конфиденциальный характер или представляющей большую ценность для её владельца. В случае раскрытия или утери важной информации предприятие понесет огромные финансовые убытки. Помимо этого, функционирования предприятия во многом определяется эффективностью работы используемых информационно-управляющих систем.

Таким образом, с развитием информационных технологий стала актуальна проблема информационной безопасности, связанная с обеспечением сохранности и конфиденциальности хранимой и обрабатываемой ф информации. Учитывая многообразие потенциальных угроз информации, сложность их структуры и функций, а также участие человека в технологическом процессе обработки информации, сохранность и конфиденциальность информации может быть достигнута только путем создания комплексной системы защиты информации[1]. Одним из основных элементов комплексной системы безопасности является подсистема управления доступом к информационным ресурсам, которая предоставляет средства идентификации операторов. Для установления подлинности операторов используются атрибутивные и основанные на знаниях опознавательные характеристики. В последнее время весьма актуальным становится использование биометрических технологий идентификации, которые имеют ряд преимуществ перед ставшими уже традиционными средствами. По сравнению с карточками, обычными ключами и другими носимыми идентификаторами, также кодами и паролями доступа, биометрическая идентификация имеет следующие преимущества:

- биометрические характеристики являются частью человека, поэтому их невозможно забыть или потерять;

- биометрический идентификатор невозможно передать другому лицу;

- существенно затруднена подделка «биометрического ключа»;

- бесконтактные биометрические технологии обладают повышенным удобством использования.

События 11 сентября 2001 послужило мощным толчком в развитии биометрии. Среди граждан США всего 10% поддерживало идею биометрической паспортизации до 11 сентября и более 75% - после. Согласно отчету компьютерной безопасности CSI (Computer Security Institute)[2], процент компаний использующих биометрические технологии в 2004 году составлял 11%, а в 2005 голу - 15%. Для сравнения, изменение за год количества компании пользующихся другими технологиями обеспечения безопасности не значительно и составляет около 1%. По оценкам IBG (International Biometric Group)[3] объем рынка биометрических технологий в 2004 году увеличился более чем на 60% и, по мнению IBG, такая динамика сохранится несколько лет и в к 2007 году составить 3 682 млн. долл. Таким образом, рынок биометрических средств защиты растет и возможно в скором будущем биометрические технологии станут неотъемлемой частью систем безопасности.

Актуальность темы

Традиционные методы идентификации и аутентификации, основанные на использовании карточек, электронных ключей и других носимых идентификаторов, а также паролей и кодов доступа, имеют ряд существенных недостатков. Главный недостаток таких методов обусловлен неоднозначностью идентифицируемой личности. Прежде всего, это связано с тем, что для установления подлинности личности применяются атрибутивные и основанные на знаниях опознавательные характеристики. Указанный недостаток устраняется при использовании биометрических методов идентификации. Биометрические характеристики являются неотъемлемой частью человека и поэтому их невозможно забыть, потерять или передать другому. Другим, немаловажным недостатком традиционных методов идентификации и аутентификации, является отсутствие возможности обнаружения подмены идентифицированного пользователя, что позволяет злоумышленнику получить доступ к ресурсам системы, который ограничен только правами идентифицированного пользователя.

Применение методов скрытного клавиатурного мониторинга позволяет реализовать процедуры идентификации и аутентификации, лишенные указанных недостатков. Подмену идентифицированного пользователя можно установить на основе результатов процедуры аутентификации, которая должна осуществляться непрерывно. Помимо этого, фактор скрытности процесса наблюдения позволяет выявить пользователей, совершающих злоупотребления и атаки, ведущие к нарушению информационной безопасности. А влияние психофизического состояния личности на клавиатурный почерк может быть использовано для определения отклонений от нормативного поведения, возникающих в результате стрессов, болезненных состояний, недомоганий и т.п. Также необходимо отметить, что методы скрытного клавиатурного мониторинга могут применяться для проведения профотбора пользователей.

Анализ существующих методов клавиатурного мониторинга показал, что в качестве эталонных значений в таких методах используются некоторые усредненные величины времен удержания и пауз между удержаниями клавиш. Такой способ представления особенностей динамики работы на клавиатуре не позволяет обеспечить достаточно высокой точности идентификации.

Таким образом, задача разработки методов скрытного клавиатурного мониторинга требует проведения интенсивных исследований и является актуальной.

Целью работы является разработка и исследование методов скрытного клавиатурного мониторинга.

Исходя из основной цели данной работы, определяется перечень основных задач:

1. Разработка методов выделения наиболее информативных параметров особенностей динамики работы на клавиатуре.

2. Разработка методов многосвязного представления особенностей динамики работы на клавиатуре, основанного на устойчивых последовательностях сочетаний удержаний и пауз между удержаниями клавиш.

3. Разработка последовательного метода классификации пользователей на основе многосвязного представления особенностей динамики работы на клавиатуре.

4. Разработка модели системы скрытного клавиатурного мониторинга, реализующей методы многосвязного представления клавиатурного почерка.

5. Экспериментальные оценки основных характеристик модели системы скрытного клавиатурного мониторинга в сравнении с существующими аналогами.

Методы исследования данной работы базируются на использовании теории распознавания образов, теории вероятности и математической статистики, элементов теории множеств.

Научная новизна диссертационной работы заключается в следующем:

1. Разработаны новые методы выделения наиболее информативных параметров особенностей динамики работы на клавиатуре, которые позволяют повысить точность системы скрытного клавиатурного мониторинга

2. Впервые разработаны методы многосвязного представления особенностей динамики работы на клавиатуре основанных на устойчивых последовательностях времен удержания и пауз между удержаниями клавиш.

3. Разработан последовательный метод классификации пользователей на основе многосвязного представления особенностей динамики работы на клавиатуре.

Практическая ценность работы

Практическая значимость результатов диссертации заключается в следующем:

1. Разработанный метод скрытного клавиатурного мониторинга может быть использован для построения систем непрерывного контроля доступа. ф 2. Разработанные методы многосвязного представления особенностей динамики работы на клавиатуре могут быть использованы в системах анализа особенностей динамики работы пользователя на клавиатуре. Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.

Основные положения и результаты, выносимые на защиту:

1. Организация системы скрытного клавиатурного мониторинга на основе выделения информативных параметров, многосвязного представления и последовательной классификации особенностей динамики работы на клавиатуре.

2. Методы выделения наиболее информативных параметров особенностей динамики работы на клавиатуре.

3. Методы многосвязного представления особенностей динамики работы на клавиатуре.

4. Метод классификации пользователей на основе последовательных значений времен удержания и пауз между удержаниями клавиш.

5. Экспериментальные оценки основных характеристик модели системы скрытного клавиатурного мониторинга в сравнения с существующими аналогами.

Использование результатов. Результаты, полученные в ходе работы над диссертацией, были использованы при проведении научно-исследовательской работы «Поисковые исследования по созданию принципов и методов построения автоматизированных систем идентификации личности повышенной надежности на основе комплексной оценки биометрических параметров военнослужащих» (шифр «Отзвук») по договору с ЦТО «ГИРАС» по заказу Секции Прикладных проблем при Президиуме РАН в 2005 году и на кафедре Безопасности информационных технологий ТРТУ при разработке и проведении цикла лабораторных работ «Исследование биометрических систем динамической аутентификации пользователей ПК по рукописному и клавиатурному почеркам» по курсу «Защита информационных процессов в компьютерных системах», №3531.

Апробация работы. По теме диссертации опубликовано 13 научных статей и тезисов докладов. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. Научно-практической конференции с международным участием «Информационная безопасность», (ТРТУ, г. Таганрог) 2002 года.

2. Всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления», (ТРТУ, г. Таганрог) 2004 года.

3. Международной научно-практической конференции «Информационная безопасность», (ТРТУ, г. Таганрог) 2003, 2004, 2006 годов.

4. Международной научно-технической конференции «Искусственный интеллект. Интеллектуальные и многопроцессорные системы-2004», (ТРТУ, Таганрог) 2004 года.

Заключение диссертация на тему "Разработка и исследование методов скрытного клавиатурного мониторинга"

5.3. Выводы

В этой главе представлено описание программной реализации модели скрытного клавиатурного мониторинга, основных частей и модулей функционирования. Проведено сравнение с аналогом - наиболее распространенный подход на основе матриц усредненных значений событий клавиатуры. В качестве тестовой выборки использовалась статистики работы на клавиатуре группы студентов, которые не обладали выраженным клавиатурным почерком (наихудший случай).

Результаты тестирования экспериментальной модели скрытного клавиатурного мониторинга, использующей метод многосвязного представления особенностей работы на клавиатуре, дают указание на целесообразность использования разработанных методов скрытного клавиатурного мониторинга в реальных системах основанных на анализе клавиатурного почерка.

ЗАКЛЮЧЕНИЕ

В соответствии с поставленными целями, в итоге проведенных исследований и разработок были получены следующие основные научные результаты:

1. Разработаны методы выделения наиболее информативных параметров особенностей динамики работы на клавиатуре, которые заключаются в использовании последовательно-временных фильтров. Предлагаемые методы позволяют не только выявить параметры, характеризующие динамику работы на клавиатуре, но и уменьшить ошибки первого и второго рода, что немаловажно для биометрических систем контроля доступа.

2. Впервые разработан метод многосвязного представления особенностей динамики работы на клавиатуре основанный на устойчивых последовательностях событий клавиатуры. Предложенный метод основывается на предположении, что большей информативностью обладают не значения времен удержаний и пауз между удержаниями клавиш (такой подход используется в существующих методах), а устойчивые последовательности сочетаний значений этих времен.

3. Разработан последовательный метод классификации на основе многосвязного представления особенностей динамики работы на клавиатуре, который использует в качестве числовой характеристики вес устойчивой последовательности и позволяет реализовать непрерывную процедуру аутентификации. Предложен способ оценки веса устойчивых последовательностей основанный на вероятностных характеристиках последовательностей событий клавиатуры

4. Разработана программная модель клавиатурного мониторинга на основе многослойного представления особенностей динамики работы на клавиатуре с помощью быстрого алгоритма кластеризации и последовательного метода классификации устойчивых последовательностей событий клавиатуры, с применением последовательно-временных фильтров (временного и клавиатурного) для выделения наиболее информативных параметров.

5. Проведены экспериментальные оценки разработанных методов скрытного клавиатурного мониторинга с помощью созданной программной модели и сравнение с существующими аналогами. На основе полученных экспериментальных оценок сделаны выводы о работоспособности предложенных методов скрытного клавиатурного мониторинга и применимости их в реальных системах анализа особенностей динамики работы на клавиатуре. Также, в ходе экспериментов были получены результаты, свидетельствующие о малой информативности событий удержания клавиш. Использование событий удержания клавиш при анализе особенностей динамики работы на клавиатуре привело к увеличению ошибок первого и второго рода.

Библиография Казарин, Максим Николаевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Большаков А.А., Петряев А.Б., Платонов В.В., Ухлинов Л.М., Основы обеспечения безопасности данных в компьютерных системах и сетях.

2. Обзор компьютерной преступности и безопасности CSI/FBI, 2005 год // http://www.infowatch.ru/threats?chapter=l 47151396&id=l 69660266

3. Annual Biometric Industry Revenues 2005-2010 // http://www.biometricgroup.com/reports/public/BMIRPublic Data.doc.

4. R. Gaines, W. Lisowski, S. Press, N. Shapiro, Authentication by keystroke timing: some prelimary results. // Rand Rep. R-2560-NSF, Rand Corporation, 1980.

5. J. Leggett, G. Williams, Verifying identity via keystroke characteristics, // Int. J. Man-Mach. Stud. 28 (1) (1988) 67-76.

6. J. Leggett, G. Williams, D. Umphress, Verification of user identity via keystroke characteristics. // Human Factors in Management Information Systems, p. 89.

7. Широчин В.П., Кулик А.В., Марченко В.В. «Динамическая аутентификация на основе анализа клавиатурного почерка». // http: // www.masters.donntu.edu.ua / 2002 / fvti / aslamov / files / bio autentification.htm.

8. Ю.Широчин В.П., MyxiH B.G., Кулик A.B. «СпоЫб введения символьно! 1нформац11 в ЕОМ». // Р1шення № 99063332 вщ 15.06.1999р. по заявщ на винахщ (корисну модель). К.: Нацюнальний державний центр патентно! експертизи, 1999.

9. П.Широчин В.П., MyxiH B.C., Кулик A.B. «Пристрш для введения символьно! шформацп в ЕОМ». // Р1шення № 99063546 вщ 23.06.1999р. по заявщ на винахщ (корисну модель). К.: Нацюнальний державний центр патентно!' експертизи, 1999.

10. Брюхомицикий Ю.А., Зверев Е.М., Казарин М.Н., Идентификация пользователя по клавиатурному почерку на основе сменных виртуальных клавиатур. // Электронный журнал «Информационное противодействие угрозам терроризма», №4, 2005 г.

11. Development of a Pressure-based Typing Biometrics User Authentication System. // http: // digital.ni.com / worldwide / singapore.nsf / web / all / ACCD272C9FEF487D8625703D005562A0

12. Трушин E.A., Идентификация пользователя ЭВМ по клавиатурному почерку как метод защиты от несанкционированного доступа.

13. Брюхомицкий Ю.А., Казарин М.Н. «Параметрическое обучение биометрических систем контроля доступа». // Вестник компьютерных и информационных технологий, №2, 2006.

14. J. Т. Той, R. С. Gonzalez, Pattern recognition principles. // Addison-Wesley 1974.

15. Круглов B.B., Нечетка логика и искусственные нейронные сети.

16. Иванов А.И., Нейросетевые алгоритмы биометрической идентификации личности. // Изд-во «Радиотехника», Москва 2004. 143 с.

17. Иванов А. И. Биометрическая идентификация личности по динамике подсознательных движений. // Пенза: Изд-во Пенз. гос. ун-та, 2000. 188 с.

18. Брюхомицкий Ю.А., Казарин М.Н. Система аутентификации личности по почерку. // Сборник трудов научно-практической конференции «Информационная безопасность» 28-31 мая 2002 г.

19. S. Bleha, С. Slivinsky, В. Hussein, Computer-access security system using keystroke dynamics. // IEEE Transactions on Pattern Analysis and Machine Intelligence, PAMI-12(12): 1217-1222, December 1990.

20. M. Brown, S. J. Rogers, User identification via keystroke characteristics of typed names using neural networks. // International Journal of Man-Machine Studies, 39(6):999-1014, 1993.

21. Рыбченко Д.Е., Критерии оценки устойчивости и индивидуальности клавиатурного почерка при вводе ключевых фраз. // http: // www.pniei.penza.ru / sbornik / s 104107 / s 104107.htm.

22. R. Duda, Pattern classification and scene analysis. // John Wiley & Sons, New York, 1973.

23. Гузик В.Ф., Десятерик М.Н. Биометрический метод аутентификации пользователя. // «Известия ТРТУ» №2(16), ТРТУ, Таганрог, 2000, с. 139-144.

24. F. Monrose, A.D. Rubin, Keystroke dynamics as a biometric for authentication. // Future Generation Computer System 16(2000) 351-359.

25. R. Joyce, G. Gupta, Identity authorization based on keystroke latencies, // Commun. ACM 33 (2) (1990) 168-176.

26. F. Monrose, A. Rubin, Authentication via keystroke dynamics. // Fourth ACM Conference on Computer and Communications Security, 1997, pp. 48-56.

27. Брюхомицикий Ю.А., Казарин М.Н., Параметрическое обучение биометрических систем контроля доступа // Изд-во «Машиностроение». Вестник компьютерных и информационных технологий, № 2(20), Москва, 2006 г.

28. Гмурман В.Е., Теория вероятности и математической статистики. // Москва 2003.

29. Gentner. Keystroke timing in transcription typing. // Cognitive Aspects of skilled typewriting, pages 95-120, 1993.

30. Верещагин H.K., Шень А., Начало теории множеств. // Москва 1999.

31. К. Fukunaga, Introduction to statistical pattern recognition. // New York and London 1972.

32. S. Watanabe, Knowing and Guessing. // Wiley, New York 1969 Chapters8, 11.

33. A. Tversky, Features of similarity. // Psychological Review 84(1977):327352.

34. Johnson S.C., Hierarchical clustering schemes. // Psychometrika 32, 241254 (Chapter 11), 1967.

35. С. Хайкин, Нейронные сети. // Вильяме, Москва, 2006.

36. Rohlf F.J., Adaptive hierarchical clustering schemes. // Syst. Zool. 58-82 (Chapter 11), 1970.

37. Wald A., Wolfowitz J., Optimum character of the sequential probability ratio test. // Ann. Math. Stat. 19, 326-339 (Chapter 3).

38. K. S. Fu, Sequential methods in pattern recognition and machine learning. // Academic press New York and London 1968.

39. Wald A., Sequential Analysis. // Wiley, New York (Chapter 3)

40. Richard O. Duda, Peter E. Hart, David G. Stork, Pattern Classification, Second Edition. // WHILE-INTERSCIENCE

41. M. S. Obaidat, A Methodology for Improving Computer Access Security. // Computers & Security, Vol. 12, 657-662, 1993.

42. S. Card, Т. Moran, A. Newell, The Keystroke Level Model for User Performance Time with Interactive System. // Communications of ACM, Vol. 23, 396-410, 1980.

43. J. Robenson, V. Liang, J. Chambers, C. MacKenzie, Computer User Verification Using Login String Keystroke Dyanmics. // IEEE Transactions on Systems, Man and Cybernetics, Vol. 28(2), 236-244, March 1998.

44. BioAPI Consortium. // http://www.bioapi.org/

45. Бочкарев C.JI., Спецификация BioApi v 1.00: особенности и возможности применения // http://bezpeka.com/ru/lib/spec/art297.html

46. Единый биометрический стандарт BioAPI // http: // www.biometrics.ru / document.asp?groupid=l l&nItemID=194&sSID=3.7