УДК 004.056.53

Аутентификация пользователя в информационной системе по клавиатурному почерку для выявления аномалий

Шашин Михаил Антонович – студент Санкт-Петербургского государственного университета телекоммуникаций имени профессора М. А. Бонч‑Бруевича.

Аннотация: В данном исследовании были представлены три алгоритма управления доступом к информационной системе, которые опираются на использование биометрических параметров личности, таких как клавиатурный почерк, для повышения точности и удобства для законных операторов. Однако, традиционные методы проверки соответствия, могут быть неэффективными, так как они могут быть украдены и использованы злоумышленниками. Поэтому было принято решения использовать биометрию, предоставляющую более высокую точность, уменьшая вероятность отказа в авторизации. Цель исследования заключалась в повышении безопасности работы с ключевой системой информационной инфраструктуры путем повышения точности системы управления доступом. В данном исследовании были использованы оригинальные методы проверки соответствия личности при доступе к ключевой системе информационной инфраструктуры, используя биометрию. Были использованы следующие методы: аутентификация, идентификация и верификация через биометрические параметры личности. Кроме того, был использован метод постоянного скрытного мониторинга клавиатурного почерка для повышения безопасности работы с ключевой системой информационной инфраструктуры. Результаты исследования показали, что использование системы управления доступом на основе биометрии позволяет существенно повысить точность системы проверки соответствия, а также затруднить попытки злоумышленников получить несанкционированный доступ. Практическая значимость данного исследования заключается в том, что использование системы управления доступом на основе биометрии может заметно повысить уровень безопасности работы с информационной системой и предотвращать утечки конфиденциальной информации.

Ключевые слова: аутентификация, авторизация, верификация, клавиатурный почерк, биометрические системы идентификации, информационная безопасность.

Введение

Аутентификация ­– процесс проверки подлинности личности, осуществляемый системой, проверяющей совпадение представленных учетных данных с данными, хранящимися в системе. Цель аутентификации - убедиться, что пользователь, запросивший доступ к информации, имеет право на ее получение.

Существует множество способов реализации аутентификации. Например, в учреждениях может быть установлен контрольно-пропускной пункт, где сотрудник службы безопасности проверяет удостоверения посетителей. Также можно использовать электронные пропуска с системой контроля доступа, которые сканируются специальными устройствами в локальной сети [1, 11]. Примеры систем аутентификации включают в себя операционную систему, которая требует ввода пароля для входа в систему, и оконную оболочку банкомата, которая позволяет управлять своим счетом только после введения правильного пароля. Системы аутентификации играют важную роль в обеспечении безопасности информации и могут использоваться в сочетании с другими методами защиты данных для создания надежных систем безопасности. Существует множество методов аутентификации доступны для использования, включая, но не ограничиваясь, отпечатками пальцев, распознаванием лица, голоса, радужки глаза, геометрией руки, DNA, сетчаткой глаза, термограммами, характером походки, формой ушей и многими другими. В настоящее время достигнуты значительные успехи в области информационных технологий для разработки и реализации механизмов аутентификации [2, 3, 13].

В данной статье рассматривается метод аутентификации пользователей по клавиатурному почерку для выявления аномалий. Предлагается использовать специализированные алгоритмы машинного обучения для создания профиля клавиатурного почерка каждого пользователя и последующего анализа его поведения на основании характеристик клавиатурного почерка [11, 12, 15]. Такой подход позволяет более надежно выявлять несанкционированный доступ к системе и предотвращать атаки со стороны злоумышленников.

Исследование

Клавиатурный мониторинг представляет собой технологию, которая используется для обеспечения безопасности информационных систем, предотвращая несанкционированный доступ. Это достигается путем создания системы, регистрирующей и анализирующей уникальные характеристики клавиатурного почерка пользователя.

Клавиатурный почерк – это уникальные динамические характеристики, которые проявляются при работе пользователя с клавиатурой. Эти характеристики могут включать в себя скорость набора, ритм, точность и другие параметры.

Для создания системы клавиатурного мониторинга необходимо разработать алгоритмы, которые собирают и анализируют данные о клавиатурном почерке пользователя. Эти алгоритмы могут использоваться для регистрации, аутентификации и авторизации пользователя, а также для верификации его идентичности [4, 6]. Один из подходов к созданию такой системы – это использование алгоритмов, распознающих продолжительность удержания клавиши и методы распознавания клавиатурного почерка на основе свободного текста. Это позволяет создать систему непрерывного скрытого мониторинга, автоматически определяющую законного пользователя, и блокирует несанкционированный доступ к системе.

Продолжительность удержания клавиши – это время, в течение которого клавиша остается нажатой. Специальное программное обеспечение измеряет это время от момента нажатия клавиши до момента ее отпускания. Обычно это время измеряется в миллисекундах.

Средняя продолжительность удержания клавиши – это среднее значение времени удержания конкретной клавиши, собранное за определенный период времени. Исследования показали, что продолжительность удержания клавиши может варьироваться в зависимости от скорости набора, ритма и точности пользователя.

Наложение движений – это одновременное нажатие нескольких клавиш, что часто встречается у опытных пользователей, которые владеют методом быстрого набора. Наложение возникает, когда одна клавиша все еще зажата, в то время как другая уже активирована. С увеличением скорости ввода текста, количество таких наложений обычно растет. В большинстве случаев наложения происходят при нажатии на близлежащие клавиши разными пальцами. Однако при очень быстром вводе текста могут возникать и скользящие нажатия клавиш. Быстрое нажатие клавиш приводит к большему количеству наложений пальцев на клавиши, чем медленное нажатие с отрывистым ударом. Ритмичность печати имеет прямое влияние на количество наложений: чем ниже ритмичность, тем больше наложений. При отрывистом стиле печати время удержания клавиши может быть очень коротким (65 мс или даже меньше), в то время как увеличение наложений может привести к увеличению времени удержания до 120 мс или даже больше. В среднем, у стандартного оператора время удержания клавиши варьируется от 80 до 100 мс [4].

Существует три типа наложения пальцев на клавиши при наборе текста на клавиатуре. Первый тип - оператор удерживает одну клавишу, нажимает другую, затем отпускает обе клавиши. Во втором типе действия обратные: оператор нажимает одну клавишу, удерживает ее, затем нажимает вторую, и отпускает обе клавиши. В третьем типе одна клавиша удерживается, пока нажимается и отпускается другая клавиша.

Алгоритм регистрации клавиатурного почерка

Биометрические системы идентификации основаны на уникальных физических или поведенческих характеристиках человека и используют эталонные образцы для сравнения с биометрическими параметрами при попытке получить доступ. Один из методов идентификации - анализ динамики нажатия клавиш, основанный на вероятностно-статистическом анализе собранных данных [19]. Этот подход позволяет определить уникальные особенности стиля набора текста каждого пользователя.

Алгоритмы, используемые в системах биометрической идентификации, обычно основаны на сложных математических моделях, описанных в научной литературе. Эти модели могут включать в себя различные методы анализа и обработки данных, включая нейронные сети и машинное обучение, которые способны обрабатывать большие объемы данных и выявлять сложные закономерности (рис.1).

Рисунок 1. Диаграмма деятельности регистрации клавиатурного почерка.

Для получения информационного файла клавиатурного почерка оператора осуществляется процесс формирования эталона. Сначала происходит идентификация оператора по уникальному идентификатору. Затем формируется трехмерный массив dKeyEvents, который динамически создается для хранения событий кнопок клавиатуры. Массив наполняется, пока оператор не нажмет необходимое число клавиш. После наполнения массива формируется эталон, который является уникальным свойством связанного с оператором клавиатурного почерка. Для этого используется математическая модель, которая учитывает комплексный набор параметров. Эталон можно использовать для сравнения с параметрами, измеренными при попытке идентификации оператора. Если измеренные параметры соответствуют эталону, то оператор может быть идентифицирован в системе.

Процесс измерения времени удержания клавиш начинается с определения момента, когда пользователь нажимает клавишу, и момента, когда он ее отпускает. Измеряя разницу между этими двумя событиями и делая корректировку на основе частоты счетчика высокого разрешения, можно получить точное значение времени удержания клавиши в миллисекундах. Для измерения времени событий используется функция queryPerformanceCounter, которая предоставляет высокоточные данные о времени. Частота счетчика определяется с помощью функции queryPerformanceFrequency. В многоядерных системах для обеспечения точности измерений может использоваться функция setThreadAffinityMask, которая позволяет задать приоритетность процессора для данной системы.

Важной частью алгоритма является фильтрация данных. Во-первых, применяется фильтр для длинных нажатий клавиши. Это события, когда пользователь удерживает клавишу для ввода повторяющихся символов. Исключение таких событий из данных позволяет получить более точную информацию о стиле набора текста пользователя.

Во-вторых, алгоритм использует фильтр для системных клавиш, таких как Backspace или Enter, поскольку их использование может искажать данные и влиять на точность идентификации.

Значения времени удержания клавиши записываются в выборку нормального распределения, основываясь на том, происходит ли наложение при удержании клавиши. Это улучшает точность идентификации. Математическое ожидание каждой выборки используется для получения более точного представления о клавиатурном почерке оператора, который сохраняется в профиле оператора в файле. Файл содержит информацию о количестве символов и выборке времени удержания клавиши, на основе которой был сформирован эталон.

В процессе сбора информации об удержании клавиш, выбранные слова сохраняются в поле "выборка", а поле "количество" указывает количество элементов в выборке. Когда количество выбранных слов достигает заданного значения, система проводит расчет словаря с частотой их появления. После этого поле "выборка" очищается и появляется символ "!", обозначающий завершение процесса расчета этой выборки. Законченные выборки в системе идентификации получают больший вес по сравнению с незавершенными, что повышает точность идентификации. Если набранное количество слов не было достигнуто в процессе обучения, то временный словарь будет использоваться в процессе аутентификации и мониторинга. Этот процесс контроля идентификации клавиатурного почерка операторов позволяет использовать накопленную информацию для определения вероятности того, что данный оператор может иметь доступ к определенным ресурсам [5].

Система идентификации может быть улучшенной путем разделения алфавита на группы в соответствии с вероятностью появления слов в текстах. Это позволит более эффективно использовать информацию о кластеризации слов, чтобы сократить время, необходимое для процесса идентификации. В результате получится более точная классификация операторов, что повысит безопасность и уверенность в системе авторизации. Таким образом, процесс контроля идентификации клавиатурного почерка операторов достигает высокой точности в определении вероятности доступа оператора к определенным ресурсам. С использованием разных методов разделения алфавита и кластеризации слов, система идентификации может быть дополнительно улучшена, чтобы достичь еще более высокой точности в классификации идентификационных признаков операторов.

Алгоритм аутентификации и авторизации

Авторизация и аутентификация являются двумя ключевыми компонентами в обеспечении безопасности информационных систем.

Аутентификация – это процесс, в котором система проверяет подлинность идентификатора пользователя при помощи различных форм подтверждения личности.

Авторизация – это процесс, в котором система определяет, какие действия разрешены для аутентифицированного пользователя. Авторизация обычно следует за аутентификацией и обеспечивает контроль над тем, что пользователь может делать после входа в систему.

Алгоритм использует уникальный идентификатор, сопоставляемый с эталоном, для аутентификации пользователя. Клавиатурный почерк пользователя используется как форма аутентификации [9], и чувствительность модели зависит от настройки порога доступа. Расчет меры Евклида (1) используется для сравнения текущего образца клавиатурного почерка оператора с эталонным. Время удержания клавиш №1 и №2 сравнивается как отдельные компоненты.

     (1)

Вычисленное значение различий, полученное измерением расстояния Евклида, сравнивается с пороговым значением. Если различия меньше порога, то проходит процесс авторизации, иначе - получается отказ.

Алгоритм постоянного скрытного клавиатурного мониторинга (верификации оператора)

Традиционные методы идентификации и аутентификации пользователей имеют ряд недостатков. Одним из основных является их уязвимость для взлома, кражи или подделки, что может привести к компрометации системы. Другой важный недостаток этих методов заключается в их неспособности обнаружить замену авторизованного пользователя. Что также создает возможность для несанкционированного доступа.

Для решения этих проблем был разработан новый алгоритм аутентификации и идентификации (рис.2), который снижает вероятность ошибок при идентификации пользователей и повышает защищенность системы. Он использует меньшее количество нажатий клавиш для определения уникального стиля набора текста каждого пользователя и может быть оптимизирован на основе анализа базы данных эталонных образцов стиля набора текста. Введение методов непрерывного скрытого мониторинга клавиатуры обеспечивает дополнительную защиту от злоумышленников и позволяет обнаруживать попытки замены законного пользователя.

Для работы алгоритма используется массив dKeyEvents, который имеет небольшой размер и динамически обновляется при вводе текста. Размер массива изменяется в зависимости от интервала копирования оператора, который определяет количество символов, которые могут быть напечатаны после первого просмотра текста. Если обнаруживается подмена законного оператора, то частота счетчика высокого разрешения измеряется, и время удержания клавиши пересчитывается. Если частота не изменилась или текущий почерк не совпадает, КСИИ блокируется. Система также пытается идентифицировать злоумышленника по базе ключевого почерка использованных ранее в системе. В случае обнаружения подмены система блокируется, а службе безопасности передается сигнал тревоги.

Рисунок 2. Диаграмма деятельности алгоритма аутентификации и авторизации.

Рисунок 3. Диаграмма деятельности алгоритма постоянного скрытного мониторинга.

При вводе пользовательского текста, система сравнивает введенные символы с эталоном клавиатурного почерка пользователя. Если символы совпадают и время удержания клавиши не слишком долгое, они добавляются в выборку для обучения модели распознавания клавиатурного почерка [16, 18]. Когда в выборке накопится достаточно данных для обучения, выборка очищается, и модель отмечается как готовая к использованию.

Описанный метод также может быть использован для переобучения эталона клавиатурного почерка пользователя. Это может быть необходимо, если клавиатурный почерк пользователя изменился, например, из-за улучшения техники печати. В этом случае, система может быть переобучена на новых данных, чтобы продолжать эффективно распознавать клавиатурный почерк пользователя. Применение этого метода позволяет улучшить точность распознавания клавиатурного почерка оператора и повысить качество работы системы авторизации и аутентификации. Также метод дает возможность для переобучения оператора, чтобы система можно было использовать с наилучшей эффективностью.

Заключение

В исследовании описывается система, которая использует бимодальное распределение для моделирования клавиатурного почерка пользователя. Бимодальное распределение – это статистический метод, который представляет собой смесь двух нормальных (или Гауссовых) распределений, позволяющий более точно отражать различные характеристики клавиатурного почерка, такие как время удержания клавиши и интервалы между нажатиями клавиш [7, 8, 10].

Система включает в себя три основных алгоритма, которые используются для управления доступом на основе клавиатурного почерка:

1. Алгоритм обучения, анализирующий стиль набора текста пользователя и создающий бимодальное распределение, использующееся для идентификации пользователя.
2. Алгоритм аутентификации, использующий сравнение текста пользователя с сохраненным бимодальным распределением. Если они совпадают, пользователь считается подлинным.
3. Алгоритм авторизации: использующийся для ограничения доступа к определенным функциям или областям системы, если стиль набора текста пользователя не соответствует сохраненному бимодальному распределению.

Помимо основных алгоритмов в системе присутствует алгоритм непрерывного скрытного мониторинга клавиатуры, постоянно отслеживающий стиль набора текста пользователя и сообщающего, подмену пользователя [15, 17].

Список литературы

1. Коробейников А.Г., Гатчин Ю.А., Липатов А.Л., Остоменко Д.В. Законодательные требования в области обеспечения информационной безопасности автоматизированных систем / Сборник тезисов IV межвузовской конференции молодых ученых. СПб.: СПбГУ ИТМО, 2007. 165 с.
2. Калужин А.С., Рудер Д.Д., Подтверждение личности пользователя по его клавиатурному почерку // Известия АлтГУ. 2015. №1 (85).
3. Еременко А.В., Сулавко А.Е. Двухфакторная аутентификация пользователей компьютерных системна удаленном сервере по клавиатурному почерку // Прикладная информатика. 2015. №6 (60).
4. Цветкова А. Д., Криминалистическое исследование компьютерного (клавиатурного) почерка // Электронное приложение к Российскому юридическому журналу. 2022. №2.
5. Довгаль В. А., Особенности захвата параметров клавиатурного почерка // Вестник Адыгейского государственного университета. Серия 4: Естественно-математические и технические науки. 2017. №2 (201).
6. Довгаль В. А. Обзор характеристик производительности наборов данных, используемых для обеспечения информационной безопасности на основе клавиатурного почерка // Вестник Адыгейского государственного университета. Серия 4: Естественно-математические и технические науки. 2016. №4 (191).
7. Крутохвостов Д. С., Хиценко В. Е., Парольная и непрерывная аутентификация по клавиатурному почерку средствами математической статистики // Вопросы кибербезопасности. 2017. №5 (24).
8. Шарипов Р. Р., Катасёв А. С. Система распознования клавиатурного почерка пользователей на основе полигауссового алгоритма // Вестник КГЭУ. 2016. №4 (32).
9. Ходашинский И. А., Савчук М. В., Горбунов И. В., Мещеряков Р. В., Технология усиленной аутентификации пользователей информационных процессов // Доклады ТУСУР. 2011. №2-3 (24).
10. Шарипов Р. Р., Катасёв А. С., Кирпичников А. П. Методы анализа клавиатурного почерка пользователей с использованием эталонных гауссовских сигналов // Вестник Казанского технологического университета. 2016. №13.
11. Соломатин М. С., Митрофанов Д. В. Использование методов биометрической аутентификации в автоматизированных системах управления с использованием клавиатурного почерка // Труды МАИ. 2020. №114.
12. Бацких А.В., Дровникова И.Г., Рогозин Е. А. К вопросу использования новой информационной технологии, связанной с дополнительной аутентификацией субъектов доступа по клавиатурному почерку, в системах защиты информации от несанкционированного доступа на объектах информатизации органов внутренних дел // Вестник ВИ МВД России. 2020. №2.
13. Ложников П. С., Сулавко А. Е., Бурая Е. В., Писаренко В. Ю. Аутентификация пользователей компьютера на основе клавиатурного почерка и особенностей лица // Вопросы кибербезопасности. 2017. №3 (21).
14. Еременко А. В., Левитская Е. А., Сулавко А. Е., Самотуга А. Е. Разграничение доступа к информации на основе скрытого мониторинга пользователей компьютерных систем: непрерывная идентификация // Вестник СибАДИ. 2014. №6 (40).
15. Сулавко А. Е., Еременко А. В., Левитская Е. А. Разграничение доступа к информации на основе скрытого мониторинга пользователей компьютерных систем: портрет нелояльного сотрудника // Известия Транссиба. 2015. №1 (21).
16. Савинова В. М., Бесхмельницкий А. А., Бибина Е. С., Осадчая А. Д. Идентификация пользователей корпоративной системы с помощью поведенческого анализа с использованием модели искусственной нейронной сети // ТДР. 2017. №5.
17. Аюпова А. Р., Якупов А. Р., Шабалкина А. А. Аутентификация по клавиатурному почерку: выгоды и проблемы использования // МНИЖ. 2017. №12-5 (66).
18. Путято М. М., Макарян А. С., Чич Ш. М., Маркова В. К. Исследование системы идентификации и подтверждения легитимности доступа на основе динамических методов биометрической аутентификации // Прикаспийский журнал: управление и высокие технологии. 2020. №3 (51).
19. Тумбинская М. В., Асадуллин Н. Ф., Муртазин Р. Р. Моделирование аутентификации пользователей по динамике нажатий клавиш в промышленных автоматизированных системах // Программные продукты и системы. 2020. №2.
20. Вепрев Вепрев Скрытый метод аутентификации пользователей автоматизированной системы // Вестник МФЮА. 2015. №4.