Клавиатурный мониторинг

Назначение и области применения клавиатурного мониторинга.

Биометрическая система клавиатурного мониторинга (БСКМ) предназначена для непрерывного контроля и анализа КП пользователей компьютерных систем. Главной особенностью, отличающей БСКМ от клавиатурных БСКД, является возможность идентификации КП пользователя без использования контрольной фразы. Другими словами, БСКМ осуществляют текстонезависимый анализ и идентификацию КП. При необходимости КМ может проводиться скрытно (прозрачно) для пользователей. В таких случаях говорят о скрытном клавиатурном мониторинге.

Клавиатурный мониторинг (КМ) позволяет, в частности, решать следующие задачи:

  • • вести непрерывную скрытную аутентификацию (верификацию) пользователей компьютерных систем;
  • • скрытно выявлять пользователей компьютерных систем, совершающих злонамеренные и неправомерные действия;
  • • скрытно выявлять психофизические отклонения пользователей от их нормативного состояния и поведения в ответственных компьютерных системах;
  • • тестировать (при необходимости скрытно) кандидатов на должность операторов ответственных компьютерных систем;
  • • контролировать правдивость ответов на заданные вопросы («детектор лжи»).

Решение первой из перечисленных задач позволяет, обнаружить не зарегистрированного в системе пользователя, занявшего место легитимного пользователя, в уже открытой компьютерной системе. Если злоумышленник является инсайдером и его клавиатурный биометрический эталон есть в ББД БСКМ, то он может быть идентифицирован, даже в том случае, если физически успеет покинуть терминал. Это пример комбинированного использования БСКМ с решением двойственной задачи верификации и идентификации.

При отрицательном результате верификации реакция системы может быть различной и определяется принятой политикой безопасности. Например, работающему пользователю выдается сообщение о необходимости проведения повторной аутентификации. Возможно также простое отключение пользователя или введение дополнительных ограничений доступа к чувствительным данным системы (защита ценных активов), и т. д. При положительном результате аутентификации пользователь не оповещается о результатах проведенных сеансах аутентификации.

КМ операторов автоматизированных систем позволяет обнаружить и зарегистрировать в журнале аудита действия пользователей, совершающих действия, выходящие за рамки их полномочий (запуск определенных приложений, программ, процедур, обращение к определенным устройствам, выполнение определенных запросов в базы данных, инициализация каналов связи и т. п.). Принцип решения таких задач с помощью БСКМ заключается в фиксации отклонений КП от нормального, вызванных изменением психофизического состояния пользователя, совершающего неправомерные действия. Аналогичным образом могут быть выявлены действия пользова- телей-инсайдеров, направленные на нарушение информационной безопасности в автоматизированной системе (злоупотребления и атаки). Все указанные действия могут регистрироваться в журнале аудита и соотносятся с личностью пользователя.

Существует ряд критических приложений, которые характеризуются высокой ценой ошибки оператора: авиационные и железнодорожные диспетчерские управляющие системы, управляющие системы энергетических, военных, космических объектов, атомных электростанций, крупных химических производств и др. В таких управляющих системах действия операторов, имеющих какие-либо отклонения в психофизическом состоянии, могут привести к серьезным последствиям. КМ операторов позволяет уже на ранних стадиях выявить такие отклонения и принять соответствующие меры для предотвращения возможных аварий и катастроф. Немаловажным является и то, что контроль может быть прозрачным для оператора, что не травмирует его психически в отличие от обычных медицинских проверок и тестов.

КМ может применяться как дополнение в системах профотбора. На уровне КП может контролироваться, например, выполнение на клавиатуре последовательности каких-либо штатных операций, характеризующихся высокой ценой ошибки. При многократном выполнения таких действий у опытных операторов системой КМ фиксируется стабильный КП, что свидетельствует о высокой профессиональной пригодности кандидата. У мало подготовленных кандидатов при выполнении одной и той же последовательности действий будут наблюдаться значительные колебания параметров КП, свидетельствующие о плохой профессиональной непригодности. При необходимости, процедура клавиатурного профотбора может быть скрытной (прозрачной) для претендентов.

КМ позволяет контролировать правдивость клавиатурных ответов операторов на заданные вопросы, т. е. эмулировать полиграф («детектор лжи»). Преимущество такого исполнения «детектора лжи» заключается в возможности скрытного тестирования. Например, по факту нарушения информационной безопасности организации администратором по компьютерной сети проводится опрос пользователей по существу инцидента. Получаемые ответы пользователей (набранные ими на клавиатуре компьютера) могут быть проанализированы на предмет отклонения их КП от имеющихся в ББД их клавиатурных эталонов.

Выделение информативных биометрических параметров в системах КМ. Исходными данными для БСКМ являются временные параметры событий клавиатуры, представленные длительностью удержания клавиш и длительностью пауз между удержаниями смежных в наборе клавиш. Эти параметры имеют статистическую природу, обладают определенными законами и характеристиками распределения (в общем случае неизвестными) и разной информативностью. Для достижения цели КМ - текстонезависимой идентификации операторов компьютерных систем - необходимо предусмотреть процедуру предварительного анализа событий клавиатуры на предмет выделения и учета только наиболее информативных из них. Учет всех возможных событий клавиатуры неизбежно приведет к наличию большого уровня шума во входных данных системы КМ и, как следствие, к снижению точности идентификации операторов.

В первую очередь необходимо избавиться от тех событий клавиатуры, которые заведомо обладают малой информативностью. В Южном федеральном университете в ходе анализа результатов экспериментальных исследований был выявлен ряд причин появления таких событий. Главными из них являются:

  • • учет чрезмерно длительных интервалов времени удержаний и времени пауз между удержаниями смежных в наборе клавиш, которые не обусловлены особенностями текста и (или) характеристиками КП оператора;
  • • учет событий клавиатуры, соответствующих использованию не характерных для данного приложения клавиш;
  • • отсутствие у операторов выраженного КП.

Для выявления и исключения из числа учитываемых событий клавиатуры, вызванных первыми двумя причинами, предлагается использовать три типа фильтров: временной, клавиатурный и частотный.

Применение временного фильтра позволяет выделить из входной последовательности событий клавиатуры, только те из них, которые обусловлены особенностями данного приложения, текста и характеристиками КП оператора. Задавая диапазон допустимых вариаций длительности различных событий клавиатуры, одновременно можно учитывать также особенности КП разных операторов.

На рис. 3.23 представлен пример работы временного фильтра (а и б - последовательности событий на входе и выходе фильтра соответственно).

Пример работы временного фильтра

Рис. 3.23. Пример работы временного фильтра

Для временного фильтра значениями tmjn (минимальное значение времени события) и tmax (максимальное значение времени события) задаются нижняя и верхняя границы полосы пропускания временного фильтра. Принцип работы этого фильтра заключается в отсечении входных значений времен t событий клавиатуры, выходящих за границы полосы пропускания

[trnin-» tmax] •

На практике значение нижней границы полосы пропускания фильтра tmin в большинстве случаев целесообразно принять равным нулю. Однако при наличии в числе контролируемых - операторов с малой скоростью набора, значение нижней границы tmin может быть увеличено. Величина tmax? полученная опытным путем, примерно равна 1 с. Увеличение значения верхней границы приводит к увеличению ошибок идентификации как первого, так и второго рода.

В зависимости от характера приложений, необходимо учитывать не только временные параметры событий клавиатуры, но и частоту использования в данном приложении различных по назначению типов клавиш (алфавитных, цифровых, функциональных, и др.). Для этого предназначен клавиатурный фильтр, позволяющий блокировать события клавиатуры, возникающие при удержании редко используемых в рамках данного приложения клавиш.

Стандартная компьютерная клавиатура содержит четыре группы клавиш, отличающихся своим назначением.

  • 1. Буквенные клавиши, чаще всего используемые при наборе всякого рода текстов.
  • 2. Цифровые клавиши, использование которых сильно зависит от приложения. Чаще других клавиши этой группы применяются при заполнении бухгалтерских форм, при наборе технических текстов и текстов программ.
  • 3. Функциональные клавиши, используемые для управления функциями приложений. Как правило, все операции, доступные при использовании функциональных клавиш, осуществляются также с помощью манипуляторов (мышь, трекбол). Это обуславливает сравнительно редкое использование операторами этой группы клавиш.
  • 4. Управляющие клавиши, с помощью которых выполняются операции, связанные с редактированием и просмотром текста.

На основании исследований БСКМ, проведенных с привлечением большого контингента студентов Южного федерального университета, были получены статистические данные (табл. 3.3), позволяющие сделать определенные выводы о частоте использования различных типов клавиш при наборе произвольных текстов.

Из табл. 3.3 видно, что для произвольных текстов наиболее часто используемой является группа алфавитных клавиш. Очевидно, эту группу и следует учитывать, как высокоинформативную для произвольных текстов. Клавиши остальных трех групп используются существенно реже. В каждом конкретном случае при отборе контролируемых клавиш следует руководствоваться характером приложений.

Принцип функционирования клавиатурного фильтра достаточно прост. В фильтре содержаться готовые шаблоны всех четырех групп клавиш. Для работы в рамках данного приложения необходимо установить активный шаблон нужной группы клавиш. В результате, все события клавиатуры с кодом клавиш, не входящим в установленный шаблон, блокируются. Остальные события клавиатуры проходят через фильтр беспрепятственно.

Таблица 3.3

Частоты использования групп клавиш при наборе произвольных текстов

Г руппа

Процентное выражение частоты использования

Алфавитные

82%

Цифровые

8%

Функциональные

2%

Управляющие

8%

Использование клавиатурного фильтра позволяет путем выбора шаблона использовать для данного приложения подходящую группу контролируемых клавиш и, тем самым повысить эффективность КМ. Но одного лишь ограничения числа контролируемых клавиш при КМ недостаточно. Необходимо также учитывать частоту возникновения различных событий клавиатуры внутри контролируемой группы клавиш. События клавиатуры, появление которых характеризуется низкой вероятностью, являются малоинформативными и должны быть исключены из числа контролируемых. Это позволит снизить ошибки идентификации как первого, так и второго рода. Для этой цели используется частотный фильтр.

Частотный фильтр работает следующим образом. По мере поступления данных с клавиатуры, для каждой клавиши, определяемой своим кодом С, подсчитывается количество порожденных ею событий пс. Тогда частоту использования клавиши можно определить, как fc = nc / N, где N - общее количество событий, порожденных контролируемыми клавишами. На основе полученных значений частот можно построить шаблоны фильтрации или использовать верхний и нижний порог для задания полосы пропускания частотного фильтра. Каждый из способов определят один из двух режимов работы частотного фильтра.

Первый режим работы частотного фильтра схож с работой клавиатурного фильтра. В данном режиме фильтр работает на основе шаблонов фильтрации, описывающих набор разрешенных клавиш, события которых не будут блокироваться фильтром. Такое описание косвенно дает представление о приложении, с которым работает оператор.

Второй режим работы аналогичен временному фильтру. В качестве нижней и верхней границ полосы пропускания частотного фильтра выбираются минимальная fmin и максимальная fmax частоты использования клавиш. При наступлении события клавиши происходит вычисление частоты его появления fn. Если полученная частота удовлетворяет условию fmin < fn < fmax? то наступившее событие клавиши частотным фильтром не блокируется. Если же частота удовлетворяет условиям: fn < fmin или fn > fmax, то наступившее событие клавиши частотным фильтром будет заблокировано. Значения верхней и нижней границы подбираются экспериментально.

Для выявления и исключения параметров, вызванных отсутствием у данного пользователя выраженного КП, можно использовать следующие характеристики и особенности клавиатурного ввода:

  • • скорость ввода;
  • • стабильность характеристик ввода;
  • • аритмичность скорости ввода.

Известно, что скорость ввода тесно связана со степенью выраженности и стабильности КП. Чем выше скорость ввода, тем более выражен и стабилен КП оператора. Поэтому для эффективного учета скорости ввода можно классифицировать операторов по скорости ввода на определенные группы. Например операторы, у которых скорость ввода низкая, составляют первую группу, операторы со средней скоростью ввода - вторую группу, все остальные операторы с большей скоростью ввода - третью группу. В результате для определения уровня выраженности и стабильности КП необходимо определить принадлежность каждого оператора к одной из установленных скоростных категорий. С каждой группой операторов целесообразно связать и настройки описанных выше фильтров.

Стабильность характеристик ввода определяется стабильностью статистических характеристик распределения событий клавиатуры для данного оператора. A priori предполагается, что распределение временных параметров событий клавиатуры оператора подчиняется нормальному закону. В этом случае можно использовать критерии согласия для проверки гипотезы, что события клавиатуры образуют случайную выборку с нормальным законом распределения. Другими словами, с помощью критериев согласия можно определить «нормальность», а, следовательно, и стабильность характеристик ввода для данного оператора.

Аритмичность скорости ввода определяет степень нестабильности (вариации) скорости ввода. Пользователи со слабовыраженным КП характеризуются обычно и большим значением аритмичности скорости ввода по сравнению с пользователями, обладающими стабильным КП.

Сбалансированное применение изложенных методов выделения наиболее информативных параметров для определенных приложений и категорий операторов позволяет снизить уровень шума во входных клавиатурных данных и повысить их качество. В свою очередь, такая предобработка положительно сказывается на точности решения конечной задачи, - клавиатурной идентификации операторов.

Получение контролируемых параметров КМ. Текстонезависимый анализ КП, осуществляемый в процессе КМ, существенно отличается от анализа КП по клавиатурному набору контрольной фразы. В простейшем случае машинную репрезентацию клавиатурных параметров пользователя также можно получить путем 1-кратных прямых измерений длительностей удержания клавиш и алгебраических значений длительностей пауз между удержаниями смежных в наборе клавиш, но эти измерения необходимо выполнять для всех учитываемых клавиш клавиатуры и их возможных парных сочетаний. Время набора статистики, необходимой для формирования клавиатурного эталона пользователя, становится существенно большим. Причем число проведенных за определенный интервал времени измерений для разных клавиш и их сочетаний зависит от текста и в общем случае может быть существенно разным.

В простейших реализациях БСКМ машинная репрезентация клавиатурных характеристик личности, строится на основе только двух типов параметров: длительностей удержаний всех учитываемых клавиш и длительностей пауз между удержаниями всех возможных парных сочетаний учитываемых клавиш:

  • • ij — значение длительности удержания клавиши i;
  • • Ту - алгебраическое значение длительности паузы между удержаниями клавиш i и j.

При этом результат регистрации длительностей удержания всех контролируемых клавиш i = 1, 2,..., п отображается одномерной матрицей- строкой Tj = [ij т2 ... тп], i = 1, 2,..., п, а результат регистрации длительностей пауз между удержаниями всех парных сочетаний клавиш отображается двумерной квадратной матрицей

Матрицы и Тij несут всю доступную в рамках данного подхода информацию об индивидуальных особенностях КП пользователя.

Для создания клавиатурного эталона пользователя измерения Tj и Тц проводятся многократно. В результате определяются минимаксные границы вариации параметров в матрицах (min т, шах т). Особенностью представления клавиатурных параметров для БСКМ является разная степень их усреднения. То есть, в каждом текущем моменте регистрации число образцов lj, ljj каждого параметра, использованное для оценки его статистических характеристик, в общем случае различно. Вместе с тем это различие сказывается только на начальных этапах регистрации и аутентификации. По мере накопления статистики указанные различия быстро сглаживаются и оценки характеристик распределения клавиатурных параметров асимптотически приближаются к своим истинным значениям. Период времени, необходимый для получения достоверных оценок характеристик распределения, определяет соответственно и скорость выдачи результатов идентификации с заданной точностью.

На этапе аутентификации текущие значения клавиатурных параметров авторизовавшего себя пользователя, представленные матрицами Tj и Т^-, сравниваются с эталонными значениями, предварительно сформированными для данного пользователя в виде статистических оценок вариаций каждого параметра. На основании итогового баланса произведенных сравнений принимается соответствующее верификационное решение.

Сравнение контролируемых параметров КМ. В некоторых разработках БСКМ процедура сравнения получаемых клавиатурных параметров с эталонными параметрами реализуется с использованием мультипликативного и аддитивного способов[1].

Мультипликативный способ заключается в анализе отношений вновь образованных биометрических характеристик к соответствующим эталонным значениям. После получения результатов мультипликативной характеристики, все отклонения, которые лежат в пределах допустимых значений отклонений обнуляются, а те отклонения, которые остались за допустимыми пределами - остаются без изменений и выступают в качестве так называемых пиков мультипликативной характеристики. Такая процедура обработки данных называется мультипликативным фильтром.

Аддитивный способ заключается в том, что из интервалов между удержаниями клавиш одной матрицы вычитаются соответствующие эталонные значения другой матрицы. Если результат меньше нуля, то сравниваемое время меньше условно-эталонного, а если больше, - то больше. Отклонение от эталонного значения будет приниматься в процентах, причем отклонение является положительным, если отношение больше нуля и отрицательным в противном случае. После получения результатов аддитивной характеристики, все отклонения, которые лежат в пределах допустимых значений отклонений обнуляются, а те отклонения, которые остались за допустимыми пределами - остаются без изменений и выступают в качестве так называемых пиков аддитивной характеристики. Эта процедура называется аддитивным фильтром.

При мультипликативном подходе процесс исследования временных характеристик удержания клавиш описывается следующими математическими соотношениями.

Пусть для кириллической раскладки клавиатуры анализу подлежат i = 1___35 клавиш («а», «б», ... , «я», «;», «пропуск», «.»).

Обозначим:

tyfl i - экспериментальное значение времени удержания i-й клавиши;

Тудл—эталонное значение времени удержания i-й клавиши.

Анализ отношения вновь образованной биометрической характеристики, времени удержания i-й клавиши, к соответствующему эталонному значению проводится при соблюдении условия мультипликативного фильтра:

После этого общее количество удержаний i-й клавиши Куд Ь сравнительные характеристики времен которой не вошли в пределы неравенства проверяется согласно условию:

где Nyaл - общее количество удержаний i-й клавиши в процессе создания сравнительных характеристик;

Mmini, Mmaxi - минимальное и максимальное допустимые процентные содержания пиков для i-й клавиши.

Для исследования временных интервалов между удержаниями клавиш используются следующие математические выражения.

Для кириллической раскладки клавиатуры количество всех возможных комбинаций из двух клавиш n = 1... 1225.

Обозначим:

tHHr n - экспериментальное значение временной паузы между удержаниями клавиш n-й комбинации;

Тинтп_ эталонный временной интервал между удержаниями клавиш п-й комбинации.

Анализ отношения вновь образованной биометрической характеристики. временного интервала между удержаниями клавиш, к соответствующему эталонному значению проводится при соблюдении условия мультипликативного фильтра:

ГДе Шп tHHT п / Тинт.п'

Общее количество временных интервалов между удержаниями клавиш n-й комбинации сравнительные характеристики которых стали пиковыми, т. е. не вошли в пределы неравенства, суммируется и проверяется согласно следующему условию:

где NHHXn - общее количество временных интервалов между удержаниями клавишей n-й комбинации в процессе создания сравнительных характеристик; Mminn, Mmaxn - минимальное и максимальное допустимые процентные содержания пиков для n-й комбинации клавиш.

При аддитивном подходе процесс исследования временных характеристик удержания клавиш описывается следующими математическими соотношениями.

Сравнение вновь образованной биометрической характеристики времени удержания i-й клавиши и соответствующего ей эталонного значения проводится при соблюдении условия аддитивного фильтра:

После этого общее количество удержаний i-й клавиши КудЬ сравнительные характеристики времен которой стали пиковыми, т. е. не вошли в пределы неравенства, суммируется и проверяется согласно следующему условию:

Для исследования временных интервалов между удержаниями клавиш математические выражения будут аналогичны предыдущим.

Сравнения вновь образованной биометрической характеристики, временного интервала между удержаниями клавиш и соответствующего ему эталонного значения происходит путем соблюдения следующего условия, которое выполняется с помощью аддитивного фильтра:

После этого общее количество временных интервалов между нажатиями клавишей n-й комбинации КинТ П, сравнительные характеристики, которых стали пиковыми, т. е. не вошли в пределы неравенства, суммируется и проверяется согласно следующему условию:

БСКМ, в которых клавиатурные характеристики личности строятся на основе только двух типов параметров: длительностей удержаний учитываемых клавиш и длительностей пауз между удержаниями всех парных сочетаний учитываемых клавиш обладают ограниченными возможностями по точности идентификации.

Предпосылки возможности повышения точности клавиатурного мониторинга. Недостатком описанных выше подходов к построению БСКМ является низкая точность верификации/идентификации пользователя, которая обусловлена двумя основными группами ошибок:

  • • методические ошибки, обусловленные недостаточной информативностью принятого представления клавиатурных параметров;
  • • методические ошибки классификации клавиатурных параметров.

Причем методические ошибки, заложенные на этапе представления

клавиатурных параметров, носят мультипликативный характер и их невозможно компенсировать высокой точностью процедуры классификации. Поэтому стремление повысить конечную точность БСКМ, в первую очередь, связано с необходимостью повышения точности представления клавиатурных параметров.

Эксперименты по статистическому анализу клавиатурной работы операторов выявили следующую закономерность. При клавиатурном наборе текстов временные параметры КП сильно зависят от «вхождения» символов в контекст. Другими словами, клавиатурный набор одним и тем же пользователем разных словосочетаний одинаковой длины, имеющих одинаковое число одноименных символов, но различающихся порядком следования, характеризуется как существенно различным общим временем набора, так и его раскладкой по отдельным символам и паузам.

Содержательно это можно объяснить рядом причин.

  • 1. Раскладка символов на клавиатуре. Суммарное время, затрачиваемое на перенос пальцев из одной позиции в другую при клавиатурном наборе последовательностей одной длины с одинаковым составом символов, но в разных сочетаниях, будет существенно разниться.
  • 2. Контекст. Осмысленные для данного оператора слова и фразы набираются быстрее.
  • 3. Уровень «клавиатурного» знакомства с предметной областью. Слова и фразы, которые оператору приходится набирать чаще других, набираются им быстрее.
  • 4. Фонетические особенности. Определенные сочетания символов и слов для данной личности могут быть более или менее «благозвучными». Это можно объяснить тем, что набору некоторого слова, словосочетания или фразы на клавиатуре неизбежно предшествует «проигрывание» этой лингвистической конструкции в мозге оператора. От того, насколько более «благозвучно» для данного оператора такое проигрывание, зависит как общее время набора фразы, так и раскладка этого времени по входящим символам и паузам между ними.

На самом деле все отмеченные (а возможно и другие) причины выступают в тесной взаимосвязи и их разделение полезно лишь с методической точки зрения. Основываясь на результатах экспериментов и возможных причинах, их объясняющих, можно предположить, что общие показатели скорости клавиатурного набора при прочих равных условиях оказывается выше, если:

  • • суммарное время, затрачиваемое на перенос пальцев при наборе, оказывается меньшим;
  • • набираемые слова и фразы являются осмысленными для данного оператора;
  • • набираемые слова и фразы являются составными понятиями предметной области, хорошо знакомой данному оператору;

• набираемые слова и фразы фонетически являются более «благозвучными» для восприятия данным оператором.

На основании этих рассуждений можно констатировать, что низкая точность используемых БСКМ объясняется, прежде всего, большой методической погрешностью представления клавиатурных параметров, которая, является следствием интегрального подхода к регистрации временных параметров КП, не учитывающего порядок вхождения символов в контекст. Из этого следует важный вывод: точность БСКМ может быть повышена путем учета временных параметров клавиатурного набора не только отдельных символов, но и их различных сочетаний.

Пример. В процессе клавиатурного набора используются две клавиши «А» и «Б», и требуется зарегистрировать длительности их удержания гА и гБ данным пользователем. При использовании классического подхода регистрируются только значения гА и гБ. В то же время можно регистрировать периоды удержания этих клавиш в зависимости от очередности их следования:

  • • клавиша «А» нажимается после отпускания той же клавиши «А», при этом регистрируется период времени тА/А;
  • • клавиша «А» нажимается после отпускания клавиши «Б», при этом регистрируется период времени тА/Б;
  • • клавиша «Б» нажимается после отпускания той же клавиши «Б», при этом регистрируется период времени т Б/Б;
  • • клавиша «Б» нажимается после отпускания клавиши «А», при этом регистрируется период времени т Б/А.

Зарегистрированные указанным образом параметры гА/А, гА/Б, гБ/Б, гБ/А учитывают вхождение символов «А» и «Б» в контекст. Есть все основания полагать, что значения времен удержаний клавиш «А» и «Б» во всех указанных сочетаниях будут заметно разными. При накоплении достаточной статистики будут наблюдаться следующие закономерности:

  • • время удержания клавиши «А» (параметр тА) будет иметь не один, а два выраженных центра распределения, соответствующих двум вхождениям символа «А» в контекст (тА/A, тА/Б);
  • • время удержания клавиши (параметр тБ) будет также иметь два выраженных центра распределения, соответствующих двум вхождениям символа «Б» в контекст (тБ/Б, тБ/А);
  • • закон распределения во всех случаях будет близок к нормальному.

Цепочный метод. Исследования в области клавиатурной идентификации личности, проведенные в Южном федеральном университете, показали, что статистические оценки временных параметров одних и тех же событий клавиатуры, но наступающих в различных сочетаниях, заметно отличаются, что свидетельствует о наличии существенных корреляционных зависимостей между смежными событиями клавиатуры. Попытки учета этих корреляционных зависимостей открывают перспективы повышения точности БСКМ за счет снижения методической ошибки, обусловленной недостаточной информативностью принятого представления клавиатурных параметров. Метод представления клавиатурных параметров, учитывающий корреляционные зависимости смежных событий клавиатуры, был назван цепочным методом.

В системе непрерывной биометрической аутентификации в процессе клавиатурного набора регистрируются два вида последовательно наступающих событий клавиатуры: наличие одной удерживаемой клавиши из п клавиш и отсутствие удерживаемых клавиш. Ситуация наличия отрицательной паузы порождается двумя одновременно удерживаемыми клавишами и может быть условно отнесена ко второму виду событий. Обозначим первую совокупность событий клавиатуры как множество Ах, а вторую совокупность событий как множество Ау = А*. Тогда множество А = Ах и Ау можно рассматривать как алфавит А всех возможных событий клавиатуры.

Ограниченные последовательности событий клавиатуры, ориентированные слева направо, начинающиеся и оканчивающиеся событиями из множества Ах, будем рассматривать как цепочки событий, построенные из элементов алфавита А. Цепочки событий будем обозначать 7lti2,...,iq> h,i2>—>iq = 1,2, Длиной цепочки г будем называть общее

число событий алфавита А, входящих в эту цепочку: Ttiд2 = г. В каждой цепочке длины г будет содержаться q событий множества Ах и р = q - 1 событий множества Ау. То естьг = q + р = 2q — 1.

Суть цепочного метода в терминах формальных грамматик состоит в формировании всех возможных цепочек событий алфавита А заданной длины г в пространстве мерности nq.

Рассмотрим простейший вариант цепочного метода, когда все цепочки событий алфавита А имеют минимальную для этого метода фиксированную длину г = 3. В каждой такой цепочке будет содержаться 3 события алфавита А, из которых 2 события множества Ах (q = 2) и 1 событие множества Ау: (р = 1). которые будут наступать в следующей последовательности:

  • 1 - удержание клавиши i;
  • 2 - пауза между удержанием клавиш i и j;
  • 3 - удержание клавиши j.

Сопоставим указанные события алфавита А с временными параметрами КП. Для этого зададим в поле действительных чисел Р двумерную матрицу Тф состоящую из п2 элементов Ту (i, j = 1, 2,..., n):

Каждый элемент Ту (i, j = 1, 2,..., п) матрицы Т- будем представлять цепочкой длины г = 2q — 1 = 3, содержащей три временных параметра из числового поля Р:

т, - время удержания клавиши i;

Ту - время паузы между удержаниями клавиш i и j (может принимать как положительные, так и отрицательные значения);

Tj - время удержания клавиши j.

Матрица Т-, содержащая все цепочки длины г = 3 из алфавита А, будет иметь вид

или, с учетом обозначения Ту = Ту тр

Следующий по сложности вариант цепочного метода соответствует ситуации, когда все цепочки алфавита А имеют фиксированную длину г = 5. В каждой такой цепочке теперь будет содержаться пять событий алфавита А, из которых - три события множества Ах (q = 3) и два события множества Ау: (р = 2), которые будут наступать в следующей последовательности:

  • 1 - удержание клавиши i;
  • 2 - пауза между удержанием клавиш i и j;
  • 3 - удержание клавиши j;
  • 4 - пауза между удержанием клавиш j и к;
  • 5 - удержание клавиши к.

Сопоставим указанные события алфавита А с временными параметрами КП. Для этого зададим в поле действительных чисел Р трехмерную

о О

(пространственную) матрицу Т-д, состоящую из п' элементов Tijk (i, j, k =

Каждый элемент Тук (i, j, k = 1, 2,..., n) матрицы будем представлять цепочкой длины г = 5, содержащей пять временных параметров из числового поля Р:

Ti - время удержания клавиши i;

Ту - время паузы между удержаниями клавиш i и j;

ij - время удержания клавиши j;

Tjk - время паузы между удержаниями клавиш j и к;

тк - время удержания клавиши к.

Рассмотрим первое сечение трехмерной матрицы Т?к ориентации (i): T*jk9 содержащее совокупность элементов трехмерной матрицы Т^к с первым фиксированным значением первого индекса i = 1. Такое сечение представляет собой двумерную матрицу, которая с учетом обозначения Tijk = ii Ту Tj Tjk ть имеет вид

Второе сечение трехмерной матрицы ориентации (i): Т^к со вторым фиксированным значением первого индекса i = 2 дает вторую двумерную матрицу:

Продолжим и далее процедуру последовательного получения сечений ориентаций (i = 3, 4, .... п). Последнее сечение матрицы Т^ориентации (i):

Тnjk с п-м фиксированным значением первого индекса i = п, которое дает n-ю двумерную матрицу:

Все п параллельных сечений ориентации (i):

полностью описывают трехмерную матрицу

По описанной схеме можно сформировать пространственные матрицы размерности п4, п5, ..., nq, содержащих в качестве своих элементов цепочки длины: г = 7, 9, ... (2q - 1) с соответствующим числом г временных параметров из числового поля Р.

В общем случае, для представления событий алфавита А временными параметрами КМ в поле действительных чисел Р необходимо задать пространственную матрицу мерности пч:

состоящую из nq элементов, представленных цепочками длины г = 2q - 1. При этом мерность пространства пч определяется длиной формируемых цепочек коррелированных событий q = (г + 1) / 2. Другими словами, в цепочном методе используется многомерное представление событий клавиатуры, при котором каждой координате пространства поставлено в соответствие одно из событий подмножества Ах. i,j,k = 1,2,..., п.

Получение достоверных статистических оценок значений клавиатурных параметров данного пользователя связано с необходимостью проведения многих измерений 1 = 1, 2, ... каждого параметра в матрицах Т^ ,

на основании которых формируется клавиатурный) эталон пользователя. Для его получения используются два описанных выше способа: прямой фиксации минимального и максимального значений каждого контролируемого параметра или вычисления этих значений на основе статистических оценок.

Гак или иначе, каждый тип временного параметра в эталоне пользователя представляется двумя предельными значениями (min и шах). Соответственно каждый элемент матриц Т?- .• должен быть представлен парой

цепочек общей длиной R = 2r = 2(2q—1) = 4q-2.

Метрические показатели матриц Т? сведены в табл. 3.4.

Метрические показатели многомерных матриц

Таблица 3.4

Число символов q

Число пауз р

Длина цепочки г

Полная длина пары цепочек R

Число элементов матриц

2

1

3

6

3

2

5

10

4

3

7

14

Пример представления цепочным методом клавиатурного набора слова «почерк» для г = 3 и г = 5 показан на рис. 3.24.

Пример представления цепочным методом клавиатурного набора слова «почерк» для г = 3 и г = 5

Рис. 3.24. Пример представления цепочным методом клавиатурного набора слова «почерк» для г = 3 и г = 5

Принцип реализации БСКМ. БСКМ должна обеспечивать непрерывную аутентификацию пользователя. В реальной клавиатурной работе пользователя неизбежно возникают длительные паузы, обусловленные причинами, не связанными с временными параметрами КП. Эти паузы при анализе КП являются шумом и должны быть исключены. Для этого следует ввести ограничения на максимально допустимые длительности событий клавиатуры. Верхний предел времени удержания клавиш обычно ограничивается автоматически включенным по умолчанию режимом Typematic (автоповтор передачи скан-кода нажатой клавиши). В случае отключения автоповтора верхний предел удержания клавиш необходимо задать явным образом. Верхний предел времени пауз между удержаниями клавиш (tn)max необходимо также задавать явным образом. В результате функционирование БСКМ в режиме накопления статистики будет состоять из чередующихся периодов накопления временных параметров и периодов вынужденных пауз Тп, > (tn),rax.

БСКМ имеет два режима функционирования:

  • • регистрация (обучение);
  • • аутентификация (верификация).

В режиме регистрации пользователь производит тестовый набор текста достаточно большого объема. В общем случае тестовый набор может быть произвольным. Условием достаточности его объема является накопление необходимой статистики зарегистрированных временных параметров КП: длительностей удержания всех контролируемых клавиш i = 1, 2,..., п, отображаемых одномерной матрицей-строкой

и длительностей пауз между удержаниями всех парных сочетаний клавиш, отображаемых двумерной квадратной матрицей

Под необходимой статистикой понимается создание возможности усреднения большинства временных параметров КП на основе повторов, с тем расчетом, чтобы большая часть событий клавиатуры была измерена не менее 5 раз. Результатом обучения является клавиатурный биометрический эталон пользователя в виде матриц Tj и Т;у, в которых каждый временной параметр представлен двумя границами вариации (min и шах).

Клавиатурный эталон пользователя заносится в ББД БСКМ.

Принцип работы БСКМ в режиме регистрации (обучения) иллюстрирует рис. 3.25.

Принцип работы БСКМ в режиме регистрации

Рис. 3.25. Принцип работы БСКМ в режиме регистрации

В режиме аутентификации основной задачей БСКМ является непрерывная верификация работающего на клавиатуре пользователя. При входе компьютерную систему пользователь проходит процедуру идентифика- ции/аутентификации, предусмотренную штатными средствами ОС компьютера. По ее результатам БСКМ извлекает из своей ББД соответствующий пользователю клавиатурный эталон m = 1, 2, ..., М. В процессе дальнейшей клавиатурной работы мэтчер сопоставляет характеристиками КП фактически работающего пользователя с эталоном. Сопоставление осуществляется непрерывно (квазинепрерывно) с накоплением статистики результатов сопоставления. После накопления достаточной статистики БСКМ выносит соответствующее верификационное решение (рис. 3.26).

Положительный результат верификации свидетельствует о том, что фактически работающий пользователь с высокой вероятностью есть тот, кто совершил вход в компьютерную систему. В этом случае никаких системно-административных решений не принимается, и пользователь продолжает работу в обычном режиме.

Принцип работы БСКМ в режиме аутентификации

Рис. 3.26. Принцип работы БСКМ в режиме аутентификации

Отрицательный результат верификации свидетельствует о том, что фактически работающий пользователь с высокой вероятностью является не тем, кто открыл компьютерную систему. В этом случае, в соответствии с принятой политикой безопасности, принимаются определенные системноадминистративные решения, направленные на предотвращение возможных нарушений информационной безопасности.

В некоторых приложениях возможно комбинированное использование БСКМ, когда поэтапно решаются обе задачи и верификации, и идентификации. На начальном этапе система работает в режиме верификации, а в случае появления отрицательного результата верификации, переходит в режим идентификации, пытаясь отыскать клавиатурный эталон в ББД системы, соответствующий КП работающего пользователя. Результатом идентификации может быть определение личности фактически работающего пользователя, если он зарегистрирован в системе, а при отсутствии его клавиатурного эталона в ББД, - заключение, что в компьютерной системе работает «чужой». Реагирование БСКМ на результаты сопоставления на начальном и последующем этапах определяется спецификой приложения и политикой безопасности организации.

Верификацию работающего пользователя удобно реализовать в квази- непрерывном (периодическом) режиме. Период может измеряться: величиной «чистого» времени сбора статистики (с вычетом всех пауз ТП), числом проведенных измерений L или другим аналогичным способом.

Верификационное решение, в простейшем случае, может приниматься с использованием меры близости Хэмминга. При этом результат сопоставления одного значения временного параметра с соответствующим эталонным значением дает один двоичный символ вектора Хэмминга.

Верификационное решение определяется пороговым значением меры Хэмминга Е^, для m-пользователя, которое может быть задано разными способами. Значение Е^ можно определить экспериментальным путем на основе статистической оценки нижнего уровня числа нулевых символов вектора Хэмминга для m-пользователя, или аналитически на основе оценок распределения самой меры Хэмминга.

Принцип реализации БСКД на основе цепочного метода получения клавиатурных параметров. Реализацию КМ на основе цепочного метода получения клавиатурных параметров рассмотрим применительно к задаче непрерывной скрытной аутентификации (верификации) пользователей компьютерных систем.

БСКМ этого типа, как и при использовании классического метода, имеет два режима функционирования:

  • • регистрация (обучение);
  • • аутентификация (верификация).

Режим регистрации - это предварительный этап в работе БСКМ, во время которого для всех легитимных пользователей k = 1, 2, ..., М осуществляется сбор статистики распределения их клавиатурных параметров и заполнение матриц Т^ . В результате формируются клавиатурные биометрические эталоны М пользователей, представленные наборами матриц:

Число эталонных матриц каждого пользователя определяет глубину лингвистического анализа КП и выбирается на этапе проектирования, исходя из технических требований по точности и быстродействию БСКМ.

Число измерений каждого временного параметра в матрицах Tfe и Тх по понятным причинам будет различным. Распределение числа измерений по цепочкам для одного пользователя также будет сильно различаться в зависимости от прикладной области и частотных свойств языка. Поэтому на этапе обучения БСКМ, для ускорения процесса формирования представительных оценок клавиатурных параметров легитимных пользователей, желательно использовать специальные эталонные тексты, в которых применительно к различным прикладным областям и языкам сбалансированы частоты появления регистрируемых событий клавиатуры.

Как и при использовании классического метода КМ, в процессе клавиатурной работы пользователя будут неизбежно возникать длительные паузы, обусловленные причинами, не связанными с индивидуальной динамикой событий клавиатуры. С точки зрения анализа КП эти паузы являются шумом и должны быть исключены из анализа. Методы и приемы учета таких пауз остаются теми же, что и в классическом методе КМ. В дополнение к классическому методу, в цепочном методе ограничения на верхний предел времени пауз между удержаниями клавиш (тп)тах необходимо также задавать явным образом для выделения лингвистически связанных цепочек в событиях клавиатуры. В итоге, функционирование БСКМ в режиме накопления статистики будет состоять из чередующихся периодов накопления временных параметров работающего пользователя и периодов вынужденного простоя (вынужденных пауз) Гп, обусловленных появлением промежутков времени, превышающих п)тах и потому исключаемых из анализа.

В процессе сбора статистики текущая длина анализируемой цепочки лингвистически связанных символов |7] = {1___г} является переменной величиной, изменяющейся в диапазоне {1___г}, где г - a priori принятая длина цепочного метода. |7] определяется сочетанием нескольких условий:

  • • Если в текущей i-цепочке до момента |Г;| = г появляется длительная пауза 7п, то i-цепочка считается законченной в момент начала этой паузы Тп. То есть ее длина ограничивается фактически достигнутой |Г}| = р < г, а новая (i+1)-цепочка начинается в момент наступления следующего события из подмножества Ах.
  • • Если в текущей i-цепочке до момента |7]| = г пауза ТП не наступает, то i-цепочка считается законченной в момент достижения предельно допустимой длины |7i| = г, а новая (i+ 1)-цепочка начинается в момент наступления следующего события из подмножества Ах.

Таким образом, окончание текущей цепочки Тх обусловлено одной из двух причин:

  • • наступлением паузы Гп, превышающей (тп)тах;
  • • достижением предельно допустимой длины цепочек |7]| = г.

Величина периода сбора статистики может задаваться значением «чистого» времени (за вычетом пауз Гп) или числом проведенных измерений 1.

Принцип образования цепочек на примере г = 5 показан на рис. 3.27.

В режиме регистрации k-пользователь производит тестовый набор произвольного, но характерного для данной предметной области текста. Объем текста должен быть достаточным для получения достоверных статистических оценок вариации всех контролируемых параметров. Результатом обучения БСКМ является клавиатурный биометрический эталон к- пользователя, представленный в виде пространственных матриц, в которых каждый контролируемый параметр представлен двумя границами вариации (min т и шах т). По этой процедуре создаются эталоны всех k = 1, 2, ..., М пользователей.

Принцип образования цепочек на примере г = 5

Рис. 3.27. Принцип образования цепочек на примере г = 5

Режим аутентификации (верификации) содержит два взаимосвязанных этапа:

  • • Оценка биометрических параметров фактически работающего в системе пользователя, который до момента аутентификации считается неизвестным (х-пользователь).
  • • Сопоставление полученных на первом этапе значений биометрических параметров фактически работающего в системе пользователя с диапазонами их вариаций, представленных эталонными матрицами легитимного к-пользователя, который «открыл» компьютерную систему, т. е. прошел штатную процедуру идентификации и аутентификации.

Принцип организации сбора и накопления текущих биометрических параметров фактически работающего х-пользователя в основе такой же, как и в режиме регистрации при формировании биометрического эталона легитимного к-пользователя. Отличие состоит в том, что для эталона к- пользователя вычисляются границы вариации клавиатурных параметров, а для х-пользователя, - только оценки математических ожиданий распределения значений контролируемых параметров. Такие оценки удобно делать в темпе сбора статистики по мере увеличения числа 1 образцов каждого временного параметра. Для этого вместо стандартных формул целесообразно применить итерационную формулу

Биометрические эталоны легитимных пользователей создаются однократно при их регистрации в БСКМ, поэтому соответствующие статистические оценки биометрических параметров становится возможным делать достаточно представительными. Текущие же оценки биометрических параметров х-пользователя формируются в темпе реального времени, поэтому они должны быть лишь достаточными для принятия аутентификационного решения с заданной точностью. Другими словами, период набора статистики для х-пользователя, в конечном итоге, определяет точность и скорость определения личности работающего пользователя.

Особенностью реализации рабочего режима БСКМ является непрерывное поочередное проведение двух последовательных операций:

  • • проведения текущей оценки математического ожидания /ц(т) распределения значений очередного контролируемого параметра, возникшего в процессе клавиатурного набора текста работающим х-пользователем;
  • • контроля попадания вычисленного значения текущей оценки /ц (т) в минимаксный диапазон вариаций данного параметра, зафиксированный в эталоне k-пользователя, открывшего компьютерную систему.

Использование цепочного метода предполагает непрерывное сопоставление большого числа параметров. Поэтому контроль попадания текущего значения очередного параметра в минимаксный диапазон его допустимой вариации, зафиксированный в эталоне, целесообразно осуществлять на основе меры Хэмминга. Попадание значения параметра в установленный для него диапазон вариации дает нулевую компоненту ej = О вектора Хэмминга Е, выход значения параметра за пределы установленного для него диапазона дает единичную ej = 1 компоненту вектора Хэмминга Е. В этом случае число единичных компонент в векторе Е будет пропорционально вероятности присутствия в компьютерной системе «чужого» пользователя.

Статистическая вероятность клавиатурного присутствия в системе «чужого» Рч будет определяться частотой единичных исходов сравнения

fel- ll 4

где пе1 - текущее число единичных исходов при сопоставлении параметров (текущее число единиц в векторе Е);

пе - текущее число проведенных сопоставлений параметров (текущая длина вектора Е).

Принятие решения о наличии подмены легитимного к-пользователя «чужим» становится оправданным при превышении частоты felнекоторого порогового значения, отделяющего «своего» пользователя от «чужого»:

В соответствии с процедурой верификации, «чужим» будет признан любой, кроме k-пользователя, открывшего компьютерную систему.

Очевидно, что результаты верификации, основанные на оценке /е1, в начальный период времени будут не достоверными, поскольку объем статистических данных будет не достаточен для получения объективной оценки частоты fel. По мере накопления числа образцов для получения оценок Дг(т) контролируемых параметров степень доверия к результатам верификации будет возрастать. Для получения объективных результатов верификации целесообразно установить некоторое пороговое значение nj общего числа проведенных сравнений, при превышении которого: пе > п" результат верификации можно будет считать обоснованным для принятия аутентификационного решения.

Проведенные экспериментальные исследования цепочного метода показали, что объективизация оценок Д^(т) наступает достаточно быстро. Так, для длины цепочек г = 3 пороговое значение может быть выбрано равным п" = 300 - 400.

Временные параметры КП в цепочной БСКМ представлены своими усредненными статистическими оценками с различным числом образцов 1. Возникает вопрос, - какой длины цепочки событий предпочтительнее использовать с точки зрения повышения точности КМ? Можно ожидать, что первоначальное увеличение длины цепочек до некоторого порогового значения г будет приводить к повышению точности аутентификации, а затем будет наблюдаться ее снижение. Умозрительно это объясняется способностями мозга человека к запоминанию и последующему подсознательному воспроизведению часто встречающихся многосимвольных сочетаний ограниченной длины. Более определенное знание в этой области требует дополнительных психофизических исследований. Поэтому пороговое значение г будет определяться характером прикладной области, лингвистическими особенностями текста и опытом эксплуатации БСКМ. Предварительные исследования позволяют предположить, что усредненное по многим пользователям значение величины г находится в пределах 3-7.

С другой стороны, КМ должен проводиться непрерывно, а увеличение г влечет показательный рост объема вычислений, что может потребовать значительных системных ресурсов. Это обстоятельство, в свою очередь, ограничивает значение г (особенно при программной реализации БСКМ). Поэтому стремление получить высокую точность аутентификации может потребовать использования аппаратной поддержки ресурсоемких вычислений.

  • [1] Широчин В.П., Кулик А.В., Марченко В.В. Динамическая аутентификация на основе анализа клавиатурного почерка.- http://www.masters.donntu.edu.ua/2002/fvti/aslamov/files/bio_autentification.htm.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >