動(dòng)態(tài)實(shí)時(shí)身份認(rèn)證的方法研究

毛傳武，程陽，余文明

（華中科技大學(xué)自動(dòng)化學(xué)院，湖北 武漢 430074）

動(dòng)態(tài)實(shí)時(shí)身份認(rèn)證的方法研究

毛傳武，程陽，余文明

（華中科技大學(xué)自動(dòng)化學(xué)院，湖北 武漢 430074）

為減小身份偽冒給企業(yè)和組織帶來的內(nèi)部威脅，提出了一種全場景下動(dòng)態(tài)實(shí)時(shí)身份認(rèn)證方法。利用偽造的鼠標(biāo)異常構(gòu)建動(dòng)態(tài)身份認(rèn)證場景；當(dāng)出現(xiàn)連續(xù)的動(dòng)態(tài)認(rèn)證異常時(shí)，系統(tǒng)引導(dǎo)用戶進(jìn)行了由記憶游戲構(gòu)建的固定場景身份認(rèn)證。對15位用戶進(jìn)行了身份認(rèn)證實(shí)驗(yàn)，得到了3.0%的拒真率、1.8%的容錯(cuò)率以及8.12 s的認(rèn)證時(shí)間。實(shí)驗(yàn)表明，動(dòng)態(tài)場景和固定場景身份認(rèn)證的有效配合，不僅克服了固定場景無法實(shí)時(shí)身份認(rèn)證的弊端，而且保證了用戶的體驗(yàn)，同時(shí)提高了身份認(rèn)證的準(zhǔn)確率。

內(nèi)部威脅；身份認(rèn)證；身份識(shí)別；支持向量機(jī)；鼠標(biāo)動(dòng)力學(xué)

1　引言

內(nèi)部攻擊對組織信息安全的威脅一直都是最大的挑戰(zhàn)［1～3］。2015年1月，Vormetric發(fā)布的《內(nèi)部威脅報(bào)告》顯示，93%的美國組織易受內(nèi)部威脅的影響。2015年12月，NUIX安全專家的一篇題為《人的行為是企業(yè)安全的最大威脅》的報(bào)告指出，員工幾乎成為信息安全的最大軟肋。

身份偽冒攻擊是內(nèi)部威脅最常用的手段之一。身份偽冒攻擊是指內(nèi)部員工將自己偽裝成其他合法用戶來竊取信息［4］。相比普通的外部攻擊，內(nèi)部攻擊給安全人員帶來的挑戰(zhàn)更大［5］。一方面，內(nèi)部攻擊者可以合法地訪問內(nèi)部網(wǎng)絡(luò)，常用的防護(hù)技術(shù)如防火墻等無法監(jiān)控到其攻擊行為；另一方面，攻擊者對系統(tǒng)安全規(guī)則更加熟悉，更容易繞過現(xiàn)有的安全防護(hù)技術(shù)［5］。

常用的身份驗(yàn)證技術(shù)可分為3種：記憶性的，如密碼等；攜帶性的，如ID卡等；生理特征的，如指紋等。這些方法雖然在一定程度上能夠識(shí)別出身份偽冒攻擊，但是都只能用于系統(tǒng)登錄前的一次性身份認(rèn)證，無法在計(jì)算機(jī)使用過程中持續(xù)地監(jiān)控用戶身份。

基于生物行為特征的身份認(rèn)證是一種持續(xù)型的認(rèn)證，主要分為鍵盤動(dòng)力學(xué)和鼠標(biāo)動(dòng)力學(xué)的身份認(rèn)證［4］。隨著圖形界面的普及，鍵盤輸入減少，嚴(yán)重影響了利用擊鍵動(dòng)力學(xué)的認(rèn)證效果。相比擊鍵行為，利用鼠標(biāo)行為的身份認(rèn)證更有優(yōu)勢。首先，監(jiān)控鼠標(biāo)不需記錄用戶的敏感信息，減小了用戶的隱私威脅［6］；其次，鼠標(biāo)結(jié)構(gòu)更簡單，不易受到尺寸和布局的影響［7］。

2　相關(guān)工作

基于鼠標(biāo)動(dòng)力學(xué)的身份認(rèn)證最早是由Ahmed 在2003年提出的。Ahmed等［8］利用鼠標(biāo)移動(dòng)的速度、移動(dòng)的距離實(shí)現(xiàn)了主機(jī)用戶身份的認(rèn)證。Pusara等［7］采集用戶在瀏覽同一網(wǎng)頁時(shí)的鼠標(biāo)行為，采用決策樹算法對用戶的18個(gè)行為習(xí)慣進(jìn)行了研究。Gamboa等［9］邀請了50個(gè)志愿者參與玩一種測試記憶力的游戲，提取鼠標(biāo)移動(dòng)軌跡的速度、角速度等特征，采集90 s的鼠標(biāo)數(shù)據(jù)，得到的身份認(rèn)證準(zhǔn)確率是采用手寫簽名身份認(rèn)證的5倍。

國內(nèi)對于鼠標(biāo)行為特征身份認(rèn)證的研究比較晚。2008年，F(xiàn)ang等［10］提出了一種利用鼠標(biāo)動(dòng)力學(xué)行為特征進(jìn)行身份識(shí)別的方法，利用神經(jīng)網(wǎng)絡(luò)分類算法，得到了0.48 %的容錯(cuò)率（FAR，false acceptance rate）和2.86 %的拒真率（FRR，false rejection rate）。2010年，Shen等［11］從人機(jī)交互和生理行為層面上對計(jì)算機(jī)用戶的鼠標(biāo)行為進(jìn)行研究，得到了1.67%的FAR和3.68%的FRR。2013年，Wang等［12］研究并實(shí)現(xiàn)了3種截獲用戶鼠標(biāo)行為數(shù)據(jù)的方法，最高達(dá)到了94%的認(rèn)證準(zhǔn)確率。2014年，Wang等［13］結(jié)合鼠標(biāo)行為和鍵盤行為進(jìn)行身份認(rèn)證，得到了最高96.6%的認(rèn)證準(zhǔn)確率。

基于鼠標(biāo)動(dòng)力學(xué)的身份認(rèn)證研究雖取得了一定的成果，但這些方法有共同的限制。它們的認(rèn)證時(shí)間平均需要幾分鐘甚至更長的時(shí)間，認(rèn)證需要收集足夠多的鼠標(biāo)行為數(shù)據(jù)。而在實(shí)際情況下，內(nèi)部攻擊人員可能只需幾秒鐘（如復(fù)制敏感信息，植入病毒等）即可完成攻擊。

文獻(xiàn)［1，4，14］提出了基于介入式場景的身份認(rèn)證方法，有效地解決了身份認(rèn)證的實(shí)時(shí)性問題。文獻(xiàn)［1］提出了一種基于行為跟蹤的身份認(rèn)證系統(tǒng)，提取用戶在光標(biāo)隱藏和固定兩種異常場景下的鼠標(biāo)行為，認(rèn)證時(shí)間僅需5 s，得到了最好2.86%的FRR和3.23%的FAR。文獻(xiàn)［4］通過隨機(jī)地注入鼠標(biāo)光標(biāo)隱藏和光標(biāo)固定兩種場景進(jìn)行身份認(rèn)證，分別得到了 3.9%的 FAR、2.56%的FRR和4%的FAR、2.86%的FRR，認(rèn)證時(shí)間最快也是 5 s。文獻(xiàn)［14］提出了基于鼠標(biāo)隱藏場景的實(shí)時(shí)身份認(rèn)證方法，得到了2.6%的FAR和3.3%的FRR，而消耗的驗(yàn)證時(shí)間也只有幾秒。

可以看出，介入式場景的身份認(rèn)證僅需采集幾秒內(nèi)的用戶行為數(shù)據(jù)即可完成認(rèn)證，大大地縮短了認(rèn)證時(shí)間。然而，人的短時(shí)行為容易受到情緒、身體健康狀況、應(yīng)用場景等因素的影響而表現(xiàn)出不確定性［4］，勢必會(huì)影響介入式場景身份認(rèn)證的準(zhǔn)確率。

本文在介入式身份認(rèn)證的基礎(chǔ)上提出了固定場景的身份認(rèn)證，通過介入式動(dòng)態(tài)場景身份認(rèn)證和固定場景身份認(rèn)證的結(jié)合，有效地提高了身份認(rèn)證的實(shí)時(shí)性和準(zhǔn)確率。

3　全場景身份認(rèn)證系統(tǒng)

3.1全場景身份認(rèn)證系統(tǒng)介紹

為解決企業(yè)由于內(nèi)部員工采用身份偽冒方式對他人主機(jī)帶來的威脅問題，本文提出了一種全場景身份認(rèn)證系統(tǒng)。系統(tǒng)的流程如圖1所示。若是新用戶，系統(tǒng)先分別進(jìn)行動(dòng)態(tài)場景和固定場景的離線訓(xùn)練，否則，便進(jìn)行實(shí)時(shí)身份認(rèn)證。系統(tǒng)進(jìn)行身份認(rèn)證的主要步驟如下。

1）等待合適的時(shí)機(jī)構(gòu)建注入異常事件，以減小主機(jī)資源的消耗、保證用戶的體驗(yàn)。

2）構(gòu)建光標(biāo)異常認(rèn)證場景，包括鼠標(biāo)光標(biāo)的跳變、隱藏和呆滯3種異常場景。

3）采集用戶在異常場景發(fā)生時(shí)的鼠標(biāo)行為數(shù)據(jù)，提取特征向量。

4）利用SVM方法，根據(jù)已知模板對當(dāng)前的用戶進(jìn)行分類，判斷是否為正常用戶。若為正常，等待進(jìn)入動(dòng)態(tài)場景環(huán)境；若為異常，判斷當(dāng)前是否是連續(xù)第二次動(dòng)態(tài)場景異常，若不是則繼續(xù)跳轉(zhuǎn)到2），構(gòu)建光標(biāo)異常場景，繼續(xù)進(jìn)行動(dòng)態(tài)認(rèn)證，否則進(jìn)入5）。

5）利用記憶游戲構(gòu)建固定場景身份認(rèn)證，若為正常，存儲(chǔ)該特征向量，達(dá)到一定數(shù)量后更新模板庫；若為異常，則發(fā)出報(bào)警，進(jìn)行相應(yīng)的處理。

每一次提取的鼠標(biāo)行為特征向量，根據(jù)身份認(rèn)證的結(jié)果，存儲(chǔ)該特征向量，達(dá)到一定數(shù)量后更新模板庫，適時(shí)更新模板庫。

3.2動(dòng)態(tài)場景身份認(rèn)證

3.2.1介入式身份認(rèn)證介紹

介入式身份認(rèn)證，是指用戶在使用電腦的過程中，由某一后臺(tái)程序?yàn)榈玫接脩舻牟僮餍袨椋心康牡刈⑷胍恍┨囟ǖ漠惓鼍?，從而誘導(dǎo)用戶進(jìn)入一種短時(shí)認(rèn)證場景［4］。目前，介入式場景主要是模擬光標(biāo)短時(shí)間內(nèi)失控，如光標(biāo)突然靜止、消失、跳變、移動(dòng)速度變慢、移動(dòng)軌跡發(fā)生較大偏移等。在異常突然發(fā)生時(shí)，用戶所表現(xiàn)出來的往往是下意識(shí)的行為，具有較高的個(gè)體差異性和辨識(shí)度。實(shí)驗(yàn)中，本文采集了2個(gè)不同用戶在不同的光標(biāo)異常場景下的鼠標(biāo)行為軌跡，如圖2所示，實(shí)線和虛線分別代表用戶1和用戶2的鼠標(biāo)軌跡。圖 2（a）是在光標(biāo)圖標(biāo)突然閃跳狀態(tài)下，2位用戶的鼠標(biāo)軌跡；圖2（b）是在光標(biāo)突然消失狀態(tài)下，2位用戶的鼠標(biāo)軌跡；圖 2（c）是在光標(biāo)移動(dòng)速度突然變慢的狀態(tài)下，2位用戶的鼠標(biāo)軌跡。

圖1　全場景身份認(rèn)證系統(tǒng)

圖2　不同用戶在不同光標(biāo)異常場景下的鼠標(biāo)軌跡

3.2.2動(dòng)態(tài)場景身份認(rèn)證

為了解決身份認(rèn)證的實(shí)時(shí)性問題，本文通過介入式的手段構(gòu)建了動(dòng)態(tài)身份認(rèn)證場景。動(dòng)態(tài)身份認(rèn)證，是指無需引導(dǎo)用戶進(jìn)入特定的應(yīng)用，直接在用戶使用主機(jī)的整個(gè)過程中，在適當(dāng)?shù)臅r(shí)候注入介入式事件，采集用戶在介入式場景下的行為，進(jìn)行實(shí)時(shí)身份認(rèn)證。為了節(jié)省系統(tǒng)的資源，減少對用戶體驗(yàn)的影響，構(gòu)建異常場景時(shí)機(jī)包括4種，具體如下。

1）異常報(bào)警，當(dāng)主機(jī)的安全軟件檢測到可疑信息時(shí)，誘導(dǎo)用戶進(jìn)入異常場景。

2）重要位置，如開啟某些軟件（如遠(yuǎn)程登錄、郵件、文件傳輸?shù)龋?/p>

3）動(dòng)態(tài)場景異常，由于動(dòng)態(tài)認(rèn)證采集的是短時(shí)行為，正常用戶的某一次鼠標(biāo)行為可能出現(xiàn)較大異常。若不是連續(xù)的動(dòng)態(tài)認(rèn)證異常，繼續(xù)讓用戶進(jìn)行另一種異常場景的身份認(rèn)證。

4）隨機(jī)時(shí)刻，若當(dāng)前身份認(rèn)證正常，又不滿足1）和2）的情況，則系統(tǒng)在一定的時(shí)間內(nèi)隨機(jī)注入異常場景，進(jìn)行身份認(rèn)證。本文后續(xù)的實(shí)驗(yàn)中選定時(shí)間為30 s。

動(dòng)態(tài)場景的身份認(rèn)證流程如下。

1）當(dāng)動(dòng)態(tài)場景構(gòu)建完成后，采集5 s內(nèi)的用戶鼠標(biāo)行為數(shù)據(jù)，若當(dāng)前用戶沒有操作鼠標(biāo)，則繼續(xù)構(gòu)建動(dòng)態(tài)異常場景。

2）當(dāng)獲取到鼠標(biāo)數(shù)據(jù)以后，對獲取到的數(shù)據(jù)進(jìn)行預(yù)處理，提取行為特征向量。

3）采用SVM分類方法，根據(jù)已知的模板庫對當(dāng)前的特征向量進(jìn)行模式分類。若為正常行為，繼續(xù)等待注入動(dòng)態(tài)異常場景的時(shí)機(jī)，否則，判斷當(dāng)前異常是否是連續(xù)第二次發(fā)生：若是第一次發(fā)生則進(jìn)入動(dòng)態(tài)場景構(gòu)建，構(gòu)建另一種異常行為，跳轉(zhuǎn)到1）繼續(xù)執(zhí)行；若是連續(xù)第二次發(fā)生，則引導(dǎo)用戶進(jìn)入固定場景身份認(rèn)證，同時(shí)保存當(dāng)前的特征向量，判斷如果保存的特征向量達(dá)到一定數(shù)量，則執(zhí)行4）。

4）對當(dāng)前保存的特征向量進(jìn)行建模，更新模板庫。

3.3固定場景身份認(rèn)證

為了解決主客觀因素對動(dòng)態(tài)身份認(rèn)證準(zhǔn)確性的影響，本文提出了固定場景的身份認(rèn)證系統(tǒng)。當(dāng)連續(xù)兩次動(dòng)態(tài)身份認(rèn)證均異常時(shí)，系統(tǒng)引導(dǎo)用戶進(jìn)行固定場景身份認(rèn)證。固定場景身份認(rèn)證，是指在用戶使用主機(jī)的過程中，引導(dǎo)用戶進(jìn)入固定的應(yīng)用，采集用戶的行為數(shù)據(jù)進(jìn)行身份認(rèn)證。

本文設(shè)計(jì)了一款記憶性的拼圖游戲作為固定場景的應(yīng)用。與動(dòng)態(tài)場景的身份認(rèn)證相比，固定場景的身份認(rèn)證應(yīng)用固定，游戲帶有記憶性，初始條件固定，因此，正常用戶相比其他用戶的行為會(huì)存在明顯的差異。固定場景的身份認(rèn)證流程如下。

1）采集用戶進(jìn)行拼圖游戲過程中的鼠標(biāo)行為、時(shí)間戳等數(shù)據(jù)，直到拼圖游戲完成。

2）對采集到的數(shù)據(jù)進(jìn)行適當(dāng)?shù)念A(yù)處理，提取鼠標(biāo)行為特征向量。

3）數(shù)據(jù)SVM分類方法，利用已知的模板對提取的特征向量進(jìn)行分類，若為異常，則進(jìn)行身份報(bào)警。

4）保存當(dāng)前的特征向量，當(dāng)達(dá)到一定數(shù)量時(shí)，生成相應(yīng)的模板，更新模板庫。

4　系統(tǒng)實(shí)現(xiàn)

4.1場景的構(gòu)建

4.1.1動(dòng)態(tài)場景的構(gòu)建

動(dòng)態(tài)場景的構(gòu)建是通過Windows用戶層API創(chuàng)建一個(gè)和當(dāng)前屏幕大小相同的非模態(tài)透明窗口，然后設(shè)置該層的鼠標(biāo)光標(biāo)的屬性。在這種情況下，用戶移動(dòng)鼠標(biāo)，仍然可以通過鉤子函數(shù)對鼠標(biāo)行為數(shù)據(jù)進(jìn)行抓取，但是用戶卻看不到鼠標(biāo)的移動(dòng)。動(dòng)態(tài)異常場景分為3種，具體如下。

1）光標(biāo)隱藏：光標(biāo)的隱藏是通過后臺(tái)程序產(chǎn)生一個(gè)和當(dāng)前屏幕大小相同的透明置頂窗口，設(shè)置該窗口的鼠標(biāo)光標(biāo)顯示屬性為FALSE。用戶無法看到鼠標(biāo)光標(biāo)，但后臺(tái)程序仍在記錄鼠標(biāo)的行為。若當(dāng)前用戶無鼠標(biāo)行為，則保持光標(biāo)隱藏；否則，退出光標(biāo)隱藏場景。

光標(biāo)隱藏場景的核心代碼如下。

2）光標(biāo)跳變：光標(biāo)跳變場景是指讓用戶感覺鼠標(biāo)的光標(biāo)在不停地閃爍，可以通過光標(biāo)交替顯示即可構(gòu)建。核心代碼同光標(biāo)隱藏場景核心代碼類似，只需將while循環(huán)進(jìn)行如下修改。

3）光標(biāo)呆滯：光標(biāo)呆滯的場景是指用戶在移動(dòng)鼠標(biāo)的過程中，隨機(jī)地讓光標(biāo)在當(dāng)前位置稍作停留，并將鼠標(biāo)的光標(biāo)形狀改為緩沖的形狀。調(diào)用的API函數(shù)如下。

4.1.2 固定場景的構(gòu)建

固定場景的構(gòu)建主要是通過設(shè)定記憶性的拼圖游戲，如圖3所示。進(jìn)入游戲后，通過SetCursorPos（x，y）函數(shù)將鼠標(biāo)光標(biāo)初始化到一個(gè)固定位置，調(diào)用ClipCursor（&rect）函數(shù)將鼠標(biāo)限制在拼圖游戲的界面內(nèi)。游戲中的圖片由正常用戶自己選取，選定圖片以后，第一次開始訓(xùn)練時(shí)，系統(tǒng)隨機(jī)地將圖片分成8小塊，以后每次進(jìn)入游戲時(shí)，各個(gè)小塊的初始形狀、位置和內(nèi)容都保持不變，直到更換新的圖片進(jìn)行新的訓(xùn)練。這樣正常用戶便能夠熟練快速地完成認(rèn)證。

圖3　固定場景身份認(rèn)證游戲界面

其中，新用戶可以通過軟件左上角的“訓(xùn)練”按鈕進(jìn)行訓(xùn)練，可以通過“更換圖片”按鈕選擇自己熟悉的圖片進(jìn)行訓(xùn)練。對于動(dòng)態(tài)認(rèn)證異常的用戶，進(jìn)入固定場景認(rèn)證到完成認(rèn)證期間，這 2個(gè)按鈕均不可單擊。待認(rèn)證為合法用戶以后，才允許用戶進(jìn)行新的訓(xùn)練。

4.2數(shù)據(jù)的獲取

利用Windows系統(tǒng)鉤子WH_MOUSE_LL來截獲介入式場景發(fā)生時(shí)的鼠標(biāo)行為數(shù)據(jù)，如圖 4所示，包括鼠標(biāo)的事件類型參數(shù)；鼠標(biāo)動(dòng)作類型，其中，MOUSEMOVE表示鼠標(biāo)移動(dòng)、LBTDN表示左鍵按下、LBTUP表示左鍵抬起、MOUSEWHELL表示滾輪滾動(dòng)、RBTDN表示右鍵按下、RBTUP表示右鍵抬起；像素坐標(biāo)，其中，第一維是屏幕橫向像素坐標(biāo)，第二維是屏幕縱向像素坐標(biāo)，系統(tǒng)采用的屏幕分辨率為1 366×768；鼠標(biāo)所在窗口以及當(dāng)前系統(tǒng)時(shí)間。

圖4　系統(tǒng)鉤子提取的鼠標(biāo)數(shù)據(jù)描述

4.3特征的獲取

4.3.1動(dòng)態(tài)場景特征選擇

從圖2中可以看出，在動(dòng)態(tài)認(rèn)證場景下，不同的用戶在介入式場景發(fā)生時(shí)，鼠標(biāo)移動(dòng)的軌跡明顯不同，因此，本文選擇從鼠標(biāo)的軌跡特征入手，提取不同鼠標(biāo)軌跡的有效特征。

所選取的特征如表1所示。主要提取了軌跡的移動(dòng)方向、彎曲程度、移動(dòng)距離以及移動(dòng)速度4種特征，構(gòu)成一個(gè)共29維的特征向量。其中，第 1、2維描述移動(dòng)鼠標(biāo)的開始和結(jié)束方向；第3～10維是8個(gè)方向的移動(dòng)次數(shù)統(tǒng)計(jì)，從0～2π，每隔為一個(gè)方向區(qū)域；第11、12維描述軌跡拐角的曲率均值以及拐角的個(gè)數(shù)；文獻(xiàn)［14］通過實(shí)驗(yàn)證明，用戶移動(dòng)鼠標(biāo)時(shí)，鼠標(biāo)在各個(gè)方向上的移動(dòng)速度以及速度隨著方向的變化趨勢均存有差異，因此，第13～29維用以描述軌跡沿著X軸和Y軸移動(dòng)距離和速度的均值、方差以及歐式距離。

4.3.2軌跡拐點(diǎn)曲率計(jì)算

本文采用拋物線模型表征鼠標(biāo)軌跡在拐角處的彎曲程度。該拋物線由拐角處的點(diǎn)作為頂點(diǎn)以及頂點(diǎn)前后的幾個(gè)點(diǎn)擬合而成，模型如圖5所示。曲線L1：ax+by+c=0表示拋物線的對稱軸。根據(jù)a、b的值，拋物線可以分為兩類，具體如下。

表1　動(dòng)態(tài)場景鼠標(biāo)行為特征向量參數(shù)說明

圖5　鼠標(biāo)軌跡拐角曲率模型

1）ab ≠0，即拋物線的對稱軸既不平行于標(biāo)準(zhǔn)的X軸也不平行于標(biāo)準(zhǔn)的Y軸。這種拋物線無法直接用標(biāo)準(zhǔn)方程表示，可采用基坐標(biāo)系變化，如圖 5（a）所示，變換后的基坐標(biāo)系以拋物線的頂點(diǎn)為坐標(biāo)原點(diǎn)，對稱軸為Y'軸，開口方向?yàn)閅'軸正方向。拋物線在變換后的基坐標(biāo)系中的方程為：y'=Ax'2。

由（x0，y0），（x1，y1），（x2，y2）構(gòu)成的拋物線可以得到式（1）和式（2），則可得到式（3）

設(shè)（x1，y1），（x3，y3）組成的直線方程為則可得到式（4）

同理設(shè)（x2，y2），（x4，y4）組成的直線方程為

由式（5）可以得到

從式（5）可以看出，2個(gè)方程一共有2個(gè)未知數(shù)A和k，求解k需要復(fù)雜的高階運(yùn)算，消耗了系統(tǒng)資源。通過大量實(shí)驗(yàn)發(fā)現(xiàn)，用戶移動(dòng)鼠標(biāo)的軌跡在拐角處方向發(fā)生較大的變化，拐點(diǎn)附近的軌跡像素點(diǎn)比較密集，拐點(diǎn)前后的幾對軌跡像素的中點(diǎn)分布在對稱軸附近。因此，為了簡化k的計(jì)算，可以通過接近拋物線頂點(diǎn)的幾組像素點(diǎn)的中點(diǎn)規(guī)劃出對稱軸。

如圖5（b）所示，軌跡的拐點(diǎn)，即拋物線的頂點(diǎn)為O點(diǎn)，B點(diǎn)為點(diǎn)（x6，y6）和點(diǎn)（x8，y8）的中點(diǎn)，C點(diǎn)為點(diǎn)（x5，y5）和點(diǎn)（x9，y9）的中點(diǎn)。D點(diǎn)為B點(diǎn)和C點(diǎn)的中點(diǎn)。拋物線的對稱軸近似為直線 LOD。由此可知，對稱軸的斜率

將式（7）代入式（6）即可得到拋物線Y'=AX'2的A值，由標(biāo)準(zhǔn)拋物線的的曲率為可知，對于規(guī)整化后的拋物線的曲率即為

2）ab=0，即拋物線的對稱軸平行于標(biāo)準(zhǔn)的X軸或Y軸。該類拋物線只需簡單地平移即可轉(zhuǎn)化為標(biāo)準(zhǔn)類型的拋物線，很容易求出曲率。

4.3.3固定場景特征選擇

固定場景認(rèn)證的實(shí)現(xiàn)如4.1.2節(jié)所示?？梢钥闯觯瑒?dòng)態(tài)場景認(rèn)證時(shí)，主要關(guān)注的是鼠標(biāo)的移動(dòng)行為。對于固定場景，鼠標(biāo)的單擊動(dòng)作比較頻繁，而且鼠標(biāo)的移動(dòng)范圍很有限，初始條件固定，因此，提取的特征可以更多，頑健性更好。本文對于固定場景的數(shù)據(jù)特征向量在動(dòng)態(tài)特征向量的基礎(chǔ)上添加了20維，如表2所示。

5　實(shí)驗(yàn)結(jié)果

表2　固定場景鼠標(biāo)行為特征向量新增參數(shù)說明

5.1特征分析

5.1.1動(dòng)態(tài)場景特征分析

從4.3.1節(jié)可以看出，動(dòng)態(tài)場景主要是提取用戶移動(dòng)鼠標(biāo)的軌跡特征，包括移動(dòng)速度、移動(dòng)方向、移動(dòng)距離 3方面的特征。本文隨機(jī)選取了正常用戶和其他用戶近50次動(dòng)態(tài)異常場景下的鼠標(biāo)移動(dòng)軌跡，提取了其中的4維特征，如圖6所示。不帶結(jié)點(diǎn)的折線表示正常用戶的特征，帶圓形實(shí)結(jié)點(diǎn)的折線表示其他用戶的特征。圖6（a）展示了動(dòng)態(tài)場景下單次移動(dòng)鼠標(biāo)的歐式距離，圖6（b）展示了動(dòng)態(tài)場景下單次移動(dòng)鼠標(biāo)X方向上的平均距離，圖 6（c）表示了動(dòng)態(tài)場景下單次移動(dòng)鼠標(biāo)的平均移動(dòng)速度，圖6（d）展示了動(dòng)態(tài)場景下單次移動(dòng)鼠標(biāo)的軌跡在拐點(diǎn)處的曲率。

從圖6可以看出，正常用戶移動(dòng)鼠標(biāo)提取的特征基本穩(wěn)定，而其他用戶移動(dòng)鼠標(biāo)提取的特征個(gè)體間存在較大的差異。實(shí)驗(yàn)表明，系統(tǒng)選取的特征能夠在一定程度上區(qū)分不同的用戶。

圖6　動(dòng)態(tài)身份認(rèn)證場景提取特征對比

圖7　固定場景身份認(rèn)證不同用戶鼠標(biāo)行為特征

5.1.2固定場景特征分析

固定場景身份認(rèn)證主要提取的是鼠標(biāo)移動(dòng)拼圖的特征。與動(dòng)態(tài)場景相比，固定場景身份認(rèn)證使用的是正常用戶所熟悉的拼圖游戲，如圖7所示，正常用戶和其他用戶的特征基本上沒有交集，由此可以很容易地區(qū)分正常用戶與其他用戶。無結(jié)點(diǎn)折線表示正常用戶的特征，帶圓形結(jié)點(diǎn)的折線表示其他用戶的行為特征。圖 7（a）展示的是完成拼圖游戲的總時(shí)間，圖7（b）展示的是完成拼圖鼠標(biāo)單擊圖片總的移動(dòng)次數(shù)?？梢钥闯觯Ｓ脩艋痉€(wěn)定在10 s以內(nèi)即可完成，平均移動(dòng)次數(shù)基本穩(wěn)定在 20次以內(nèi)。這里考慮到實(shí)際應(yīng)用環(huán)境，選取了其他10位用戶，共完成30次拼圖，每連續(xù)的3次是同一位用戶完成的。可以看出，其他用戶連續(xù)3次完成拼圖游戲所用時(shí)間和移動(dòng)次數(shù)都呈減小趨勢，總體上比正常用戶完成速度慢、移動(dòng)次數(shù)更多。

表3　全場景實(shí)時(shí)身份認(rèn)證結(jié)果

5.2用戶身份認(rèn)證結(jié)果

本文采集15位用戶兩周內(nèi)的介入式場景下的鼠標(biāo)數(shù)據(jù)，提取一共436 730條特征向量。每位用戶訓(xùn)練數(shù)據(jù)將其他14位用戶的鼠標(biāo)行為作為異常數(shù)據(jù)。利用LIBSVM模式分類算法對用戶進(jìn)行分類。LIBSVM是林智仁教授設(shè)計(jì)的開源軟件包。LIBSVM使用的數(shù)據(jù)格式為：：…其中， 是訓(xùn)練數(shù)據(jù)集的類別標(biāo)識(shí)，在本文中有“+1”和“-1”兩種取值，其中，“+1”是正常用戶的標(biāo)簽，“-1”是異常用戶的標(biāo)簽； 的值是以1開始的整數(shù)，一般可看作是特征向量的維度；值就是特征向量的特征值。

其中，5位用戶的認(rèn)證結(jié)果以及這15位用戶的平均認(rèn)證結(jié)果如表3所示?？梢钥闯?，通過全場景的認(rèn)證，平均的FRR為3.0%，F(xiàn)AR為1.8%，而平均的認(rèn)證時(shí)間僅為8.12 s。

6結(jié)束語

本文構(gòu)建動(dòng)態(tài)的介入式場景進(jìn)行身份認(rèn)證，不僅節(jié)省了系統(tǒng)的資源，而且大大地減少了身份認(rèn)證的時(shí)間。當(dāng)連續(xù)兩次不同的動(dòng)態(tài)場景身份認(rèn)證出現(xiàn)異常時(shí)，利用記憶游戲構(gòu)建固定場景進(jìn)行身份認(rèn)證，有效地克服了動(dòng)態(tài)場景身份認(rèn)證的短時(shí)行為容易受到主客觀因素影響的弊端，增強(qiáng)了系統(tǒng)的頑健性。通過動(dòng)態(tài)場景身份認(rèn)證和固定場景身份認(rèn)證的有效配合，既保證了身份認(rèn)證的實(shí)時(shí)性，又提高了認(rèn)證結(jié)果的準(zhǔn)確率。

［1］CHEN X J，SHI J Q，XU R，et al. PAITS：detect masquerader via short-lived interventional mouse dynamics［M］. Berlin：Springer，2014：231-242.

［2］CHEN X J，XU F，XU R，et al. A practical real-time authentication system with identity tracking based on mouse dynamics［C］//IEEE INFOCOM. c2014：121-122.

［3］CHEN X J，F(xiàn)ANG B X，TAN Q F，et al. Inferring attack intent of malicious insider based on probabilistic attack graph model［J］. Chinese Journal of Computers，2014，37（1）：62-72.

［4］魏梓丞. 面向身份偽冒的主機(jī)異常行為檢測［D］. 北京：北京郵電大學(xué)，2014. WEI Z C. Abnormal behavior detection of host computer for identity based intrusion detection［D］. Beijing：Beijing University of Posts and Telecommunications，2014.

［5］陳小軍，時(shí)金橋，徐菲，等.面向內(nèi)部威脅的最優(yōu)安全策略算法研究［J］. 計(jì)算機(jī)研究與進(jìn)展，2014，51（7）：1565-1577. CHEN X J，SHI J Q，XU F，et al. Research on the optimal security policy algorithm for internal threats［C］//Computer Research and Development，2014，51（7）：1565-1577.

［6］ZHENG N，PALOSKL A，WANG H. An efficient user verification system via mouse movements［C］//ACM Conference on Computer & Communications Security. c2011：139-150.

［7］PUSARA M，BRODLEY C E. User re-authentication via mouse movements［C］//Workshop on Visualization & Data Mining for Computer Security.c2004：1-8.

［8］AHMED A，TRAORE I. Detecting computer Intrusions using behavioral biometrics［C］//The third Annual Conference on Privacy，Security and Trust. c2005：91-98.

［9］GAMBOA H，F(xiàn)RED A. A behavioral biometric system based on human-computer interaction［C］//The International Society for Optical Engineering. c2004：381-392.

［10］房超，蔡忠閩，沈超，等. 基于鼠標(biāo)動(dòng)力學(xué)模型的用戶身份認(rèn)證與監(jiān)控［J］. 西安交通大學(xué)學(xué)報(bào)，2008，10（40）：1235-1239. FANG C，CAI Z M，SHEN C，et al. Authentication and monitoring of user identities based on mouse dynamics［J］.Journal of Xi'an Jiaotong University，2008，10（40）：1235-1239.

［11］沈超，蔡忠閩，管曉宏，等. 基于鼠標(biāo)行為特征的用戶身份認(rèn)證與監(jiān)控［J］. 通信學(xué)報(bào)，2010，31（7）：68-75. SHEN C，CAI Z M，GUAN X H，et al. User identity authentication and monitoring based on the behavior of the mouse［J］.Journal of Communication，2010，31（7）：68-75.

［12］王森，蔡忠閩，沈超等. 行為截獲技術(shù)對鼠標(biāo)動(dòng)力學(xué)身份認(rèn)證的影響［J］.微電子學(xué)與計(jì)算機(jī)，2013，30（4）：14-21. WANG S，CAI Z M，SHEN C，et al. The influence of the technology on the dynamic identity authentication of the mouse［J］. Mi-Croelectronics and Computer，2013，30（4）：14-21.

［13］王鑫，王夢瑩，梁金.基于鼠標(biāo)鍵盤行為的身份認(rèn)證［J］.中國教育技術(shù)裝備，2014（22）：50-53. WANG X，WANG M Y，LIANG J. Identity authentication based on the behavior of the mouse and keyboard［J］. China Educational Technology and Equipment，2014（22）：50-53.

［14］WEI Z，CHEN X，PU Y，et al. A real-time authentication method based on cursor-hidden scene［J］. International Workshop on Cloud Computing & Information Security，2013，52（1391）：346-350.

Method of dynamic real-time authentication

MAO Chuan-wu，CHENG Yang，YU Wen-ming

（School of Automation，Huazhong University of Science and Technology，Wuhan 430074，China）

To solve the problem organization's insider threats which was brought by internal staff through identity spoofing. A method of dynamic real-time authentication was presented. By faking exceptions of mouse to build dynamic authentication，when continuously consecutive authentication were abnormal，user was forced into fixed scene certification which was building of memory game. An identity verification experiment，in which 15 participants were involved，showed that the performance of proposed method was encouraging with FAR of 1.8% and FRR of 3.0% and authentication time of 8.12 s for authentication. The experiment shows that the method is not only real-time but also has a better user experience and accuracy.

insider threat，identity authentication，identity monitoring，SVM，mouse dynamics

TP309

A

10.11959/j.issn.2096-109x.2016.00040

2016-02-17；

2016-03-04。通信作者：毛傳武，924550750@qq.com

毛傳武（1991-），男，湖北武漢人，華中科技大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全。

程陽（1986-），男，湖北武漢人，華中科技大學(xué)博士生，主要研究方向?yàn)槿斯ぶ悄芘c模式識(shí)別。

余文明（1991-），男，湖北黃岡人，華中科技大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全。