CN111625789A - 基于多核学习融合鼠标和键盘行为特征的用户识别方法 - Google Patents

基于多核学习融合鼠标和键盘行为特征的用户识别方法 Download PDF

Info

Publication number
CN111625789A
CN111625789A CN202010263264.1A CN202010263264A CN111625789A CN 111625789 A CN111625789 A CN 111625789A CN 202010263264 A CN202010263264 A CN 202010263264A CN 111625789 A CN111625789 A CN 111625789A
Authority
CN
China
Prior art keywords
mouse
keyboard
user
feature
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010263264.1A
Other languages
English (en)
Other versions
CN111625789B (zh
Inventor
王秀娟
郑倩倩
郑康锋
随艺
陶元睿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Technology
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Technology
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Technology, Beijing University of Posts and Telecommunications filed Critical Beijing University of Technology
Priority to CN202010263264.1A priority Critical patent/CN111625789B/zh
Publication of CN111625789A publication Critical patent/CN111625789A/zh
Application granted granted Critical
Publication of CN111625789B publication Critical patent/CN111625789B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Algebra (AREA)
  • Medical Informatics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Probability & Statistics with Applications (AREA)
  • Quality & Reliability (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Mathematical Analysis (AREA)
  • User Interface Of Digital Computer (AREA)
  • Input From Keyboards Or The Like (AREA)

Abstract

本发明公开一种基于多核学习融合鼠标和键盘行为特征的用户识别方法,在不受控的环境中,通过程序监控用户人机交互行为,来获取日常工作中的键盘和鼠标操作所产生的真实数据,提取鼠标和键盘两种特征,并利用MKL进行特征融合和高效的分类,最终实现用户的高效身份认证。

Description

基于多核学习融合鼠标和键盘行为特征的用户识别方法
技术领域
本发明属于身份识别技术领域,尤其涉及一种基于多核学习(multiple kernellearning,MKL) 融合鼠标和键盘行为特征的用户识别方法。
背景技术
随着互联网时代的高速发展,人们的生活与互联网息息相关,信息系统能给人们的生活带来便利, 但是安全性的保障已成为广大人民较担忧的问题,而如何保护用户的隐私安全已成为一个重要的研究课题.无论是对于企业,还是对于个人,设备的身份认证是无法避免的,身份认证就是识别该用户对系统的所具有的操作权限,例如,登录计算机系统,进入手机系统,在银行办理业务等等,最简单的最传统的认证方式是用户名和密码认证,用户进入系统后,系统资源可供用户使用,直到用户退出系统, 但在用户登入与退出系统期间,系统处于一个低安全的环境中,冒名顶替者在此期间盗用系统资源. 例如,当人们离开处于解锁状态的电脑电脑较短或较长时间,去喝水或者去和同事交谈,或者只是因为他们没有习惯随时锁定电脑,这些期间系统信息会被他人盗用的可能性非常大.因此连续检查用户的身份是极其重要,连续身份验证不是替代初始登录方案,而是提供了额外的安全措施.
身份认证一直是学术领域很热门的研究课题,生物认证作为一种新的身份认证技术,现已被广泛运用于各个领域,相较于传统技术而言,生物认证具有更高的可靠性,生物特征包括生理特征和行为特征.生理特征由于其独一无二的特性成为认证的重点,主要包括指纹特征、虹膜特征以及人脸特征等,但是利用生理特征不仅需要额外的硬件支持,还需要进行验证还需要单独的特征采集,无法实现无干扰持续认证,而基于行为特征生物识别系统则利用了已经普遍可用的计算机接口设备采集数据, 例如键盘和鼠标,人机交互过程中所采取的行为无需额外的辅助设备,因此具有成本低等优点。
到目前为止,基于用户行为特征已得到广泛的研究,主要包括键盘动态和鼠标动态,在击键动力学和鼠标动力学方面所出现的大量研究大多数采用机器学习算法和统计学习的方法,各种方法的不断改进,现有研究成效显著.但是由于各种数据采集以及数据处理的方案存在非常大的差异,导致识别效果也存在很大的差异,并且有关鼠标动力学和键盘动力学结合的研究只是少部分,现实中用户在某时间段内鼠标和键盘操作的行为存在很大的差异。
发明内容
采用用户键盘和鼠标的双指标行为特征既可以弥补用户单一键盘击键特征或鼠标击键特征带来的不稳定性,也可提高身份认证的准确性和安全性,本发明提出了一种基于多核学习融合鼠标和键盘行为特征的用户识别方法,在不受控的环境中,通过程序监控用户人机交互行为,来获取日常工作中的键盘和鼠标操作所产生的真实数据,提取鼠标和键盘两种特征,并利用MKL进行特征融合和高效的分类,最终实现用户的高效身份认证。
附图说明
图1.本发明的流程图;
图2键盘特征提取图形化表示;
图3鼠标移动方向;
图4键盘特征散点分布;
图5鼠标特征散点分布;
图6实验一不同时间片处理鼠标特征对各算法认证准确率的影响;
图7实验一不同算法采用鼠标特征认证最佳的AFMR和AFNMR;
图8实验二不同时间片处理键盘特征对各算法认证准确率的影响;
图9实验二不同算法采用键盘特征认证最佳的AFMR和AFNMR;
图10实验三不同时间片处理融合特征对各算法认证准确率的影响;
图11实验三每个用户不同算法的认证效果。
具体实施方式
如图1所示,本发明提供一种基于多核学习(multiple kernel learning,MKL)融合鼠标和键盘行为特征的用户识别方法,包括:步骤1、获取键盘和鼠标两类人机交互数据;步骤2、对键盘和鼠标特征进行特征提取;步骤3、基于多核学习算法进行特征映射;步骤4、使用分类器建模进行用户识别。
步骤1、获取键盘和鼠标两类人机交互数据
为了更加真实地收集实验数据,在不受控的环境中通过采集程序,采集了15名用户的数据采集程序采用HOOK技术,用户可在后台运行鼠标和键盘采集程序,采集程序对用户的正常操作没有任何影响,用户的操作也不受任何限制,所收集到的数据是用户日常工作中的键盘和鼠标操作所产生的真实数据,最后选取了每个用户十个小时的数据,并按时间片进行数据处理和特征提取,比如一个小时的数据,按一分钟处理来提取特征可得60条样本,按两分钟则可得30条样本,本发明按时间片处理之后的数据样本量如表2所示.
表2.按时间片处理样本数量
Figure BDA0002440194110000021
步骤2、对键盘和鼠标特征进行特征提取
针对键盘特征提取
对于用户的击键行为,通过两个时间点来决定其击键时序特征:即一个键的按下时间点和一个键的释放时间点.通过对用户各击键时间点的选取,组合成用户击键时间序列,本发明所涉及到的键值如表3所示,并定义了两类键盘特征,D1={(x11,...,x1l),...,(xm1,...,xml)}键盘特征矩阵,m为键盘总样本数,l为键盘特征维度:
1.单键特征是某个键按下到释放,图2是此特征的图形化表示.
2.其他特征包括:
(1)Release-Press Time(记作R-PT)表示第一个键释放到第二个键按下的时间.
(2)Press-Release Time(记作P-RT)表示第一个键按下到第二个键释放的时间
(3)Press-Press Time(记作P-PT)表示第一个键按下到第二个键按下的时间.
(4)Release-Release Time(记作R-RT)表示第一个键释放到第二个键释放的时间
表3显示了本发明所用到键值有110个,图2是键盘特征提取过程的图形表示,则本发明所有的单键特征一共110维,组合特征为110X110X4=48400维,所以l=48400.由于键盘特征数远大于样本数, 容易引起维度灾难,建模时间长,所以对特征进行选择是非常必要的.本发明选用一种嵌入式的特征选择方法(即由Tibshirani提出的Least AbsoluteShrinkage and Selection Operator(LASSO)), 通过特征选择算法,时间片所对应的特征数量如表4所示.
表3.涉及的键值
Figure BDA0002440194110000031
表4.特征选择后每分钟的键盘特征维度
Figure BDA0002440194110000032
针对鼠标特征提取
本发明针对提取鼠标特征,定义了如下四种用户鼠标行为:
·Mouse-Move(记为MM)表示普通的鼠标移动行为,
·Drag-and-Drop(记为DD)表示鼠标左键或右键的拖动行为,
·Point-and-Click(记为PC)表示鼠标左键或右键的单击、双击行为,
·Slience表示无动作发生.
通过采集程序可采集到的每名用户的原始特征包括:鼠标动作类型,时间戳和坐标.为了探究用户在移动方向上的行为特性,本发明通过平面上的方向划分方法,将平面的360°均匀地划分为8个方向,编号为1-8,每个方向占45°.默认用户动作的起始和终点的连线即为动作的运动方向,具体方向划分如图3.在原始特征的基础上,本发明提取了以下七类特征共49维, D2={(x11,...,x1k),...,(xn1,...,xnk)}是鼠标特征矩阵,n为鼠标特征数量,k为特征维度(k=49),包括:
·Movement Speed compared to Traveled Distance(记为MSD)表示在不同的距离范围下,用户鼠标行为的平均操作速度.距离分为8段,第一段为1到100,往后间隔均为150pixels,MSD向量的长度为8.
·Average Movement speed per movement Direction(记为MDA)表示在不同方向下,用户鼠标行为的平均操作速度,MDA向量的长度为8.
·Movement Direction Histogram(记为MDH)表示在不同方向下,用户鼠标行为的数量, MDH向量的长度为8.
·The histogram of the traveled distance(记为TDH)表示在不同的距离范围下,用户操作的数量比例,TDH向量的长度为8.
·Movement elapsed Time Histogram(记为MTH)表示在不同的持续时间范围下,用户操作的数量比例,时间分为10段,每段的时间为300ms,MTH向量的长度为10.
·Average Movement speed per Types of Actions(记为ATA)表示在不同鼠标动作类型下,用户操作的平均速度,ATA向量的长度为4.
·The histogram of per Types of Actions(denotedATH)表示在不同鼠标动作类型下,用户的操作数量比例,ATH向量的长度为3.
步骤3、基于多核学习算法(multiple kernel learning,MKL)进行特征映射
本发明选择多核学习进行特征融合的原因是,基于多核的学习方法既适用于来源不同的多类特征又适用单类特征,本发明基于键盘和鼠标两类特征构造多核模型.而鼠标数据和键盘数据来源于不同的操作设备,其提取到的特征差异性很大,通过随机抽样方法得到的两类特征分布散点图如图4和 5.可以看出,键盘和鼠标特征矩阵都比较稀疏,通过计算得,键盘特征矩阵中零值占比为92%,鼠标特征矩阵中零值占比为21.7%,这样的稀疏性跟采集时用户的操作行为有很大关联.另外,键盘特征值除了0之外的其他值集中分布在0到800之间,而鼠标特征值集中分布在0到2000之间,并有少数特征值远大于2000,两类特征值分布具有差异性可解释为,键盘特征是通过击键时间点提取,用户击键的各类时间间隔普遍较短,而鼠标特征主要包括频次数据和计数数据,鼠标是可移动设备,导致特征值范围分布较广.
由上面的分析可知键盘和鼠标特征分布差异大,选择MKL融合两类特征可以提高识别精度,每类特征对应一个核函数,多核框架下,基本核的权系数选择成为关键问题.本发明用于特征融合的多核算法是AverageMKL,此算法中组合核定义如式1.特征融合的具体过程为,输入由步骤2所提取的键盘和鼠标特征到核函数,在本发明中键盘和鼠标两类特征分别对应K1,K2核函数,再经过加权求和,输出一个新的组合核:
Figure BDA0002440194110000041
Figure BDA0002440194110000042
Figure BDA0002440194110000043
其中,NewK是一个新的组合核.M是特征线性加权融合函数,q次方默认取1,α12>0,αi是表现出特征选择过程的权系数,并且权系数之和为1.Ki是基本核函数,r1,
Figure BDA0002440194110000044
是键盘输入特征, r2,
Figure BDA0002440194110000045
是鼠标输入特征.基本核函数是需要根据实际情况进行选择,由于本发明对于某个用户所提取的键盘特征维度远大于样本数,应选用线性核,而鼠标特征维度远小于样本量,应选用RBF核.将鼠标和键盘行为特征映射到合适的核函数,所以本发明的基础核函数分别是线性核函数K1和RBF核函数 K2分别对应式2和式3.式3中,δ表示RBF核的宽度,并控制核函数的自适应性,exp是指数函数.
步骤4、使用分类器建模进行用户识别
单核支持向量机不支持具有差异性的多类特征的融合,本发明在多核支持向量机学习中利用基于核函数组合的特征融合模型(即步骤3),通过带有标签的训练来训练模型,寻找一组最优的特征组合系数,构建基于特征融合模型的核函数,再利用参数最优化的模型进行用户识别,也就是将用户提取的鼠标和键盘特征输入到此模型中,会根据已优化的模型进行用户身份的认证,输出用户的身份类别.本发明训练模型以及评估模型认证效果具体过程为,首先用户i(1<=i<=N)标记为合法用户,其中 N表示用户数,其他用户j(1<=j<=N-1,i!=j)标记为非法用户,直到每个用户轮流做一次合法者.每个用户的数据分为训练集和测试集进行训练和测试,为了保持正负样本均衡,负样本的选取采用下采样方法,训练集与测试集的样本量比例为5:1.本发明采集了15个用户的键盘鼠标数据,选取了6个时间窗口处理数据,则对于每组实验的每个算法有90个分类模型.每个模型训练好之后,评估模型效果, 本发明采用常见的性能评估指标如下:
·Accuracy(记为Acc)代表每个用户在测试集下的整体判断正确率,如式5:
Figure BDA0002440194110000051
·False Match Rate(记为FMR)代表错误接受非法入侵者的概率,如式6:
Figure BDA0002440194110000052
·False Non-Match Rate(denoted FNMR)代表错误拒绝合法认证者的概率,如式7:
Figure BDA0002440194110000053
其中,Ti表示合法用户的测试集,TPi表示合法用户正确分类的测试集,Tj表示非法用户的测试集, TPj表示非法用户正确分类的测试集.本发明为了反映整体分类效果,采用平均Accuracy(记为AAcc), 平均False Match Rate(记为AFMR)和平均False Non-MatchRate(记为AFNMR)评估指标,对应的评估公式分别为8,9,10.除此之外,还采用Stdevp反映不同算法下总体用户识别准确率相对于平均值的离散程度,如式11,N表示用户个数:
Figure BDA0002440194110000054
Figure BDA0002440194110000055
实验与结果分析
本发明实验提取键盘特征和鼠标特征时,不同的时间片的选择,对于不同分类算法的结果有不同的影响,按照升序时间片选择了从1分钟到6分钟.另外,根据时间片提取的单个特征和融合特征采用不同的分类算法表现出不同的结果,因此本发明做了三组实验,选择了支持向量机(support vecto r machine,SVM)、随机森林(random forest,RF)、决策树(decision tree,DT)和朴素贝叶斯(naive Bayes,NB)作为对照,分别是实验一(鼠标特征),实验二(键盘特征)和实验三(键盘特征和鼠标特征结合),并对三组实验所得结果进行了分析
实验一
为了验证本发明所提的算法对鼠标特征分类的有效性,本部分实验只选取鼠标特征进行分类,从图6可知,从一分钟到六分钟本发明提出的算法AAcc始终优于其他算法,且在在时间片取值为5分钟时达到最大值,AAcc为85%.RF和SVM在时间片取值为5分钟时取得相等的最佳效果,AAcc为78%.D T和NB在时间片取值为6分钟时取得最佳效果,AAcc分别为70.5%和65.8%.图7展示了各算法从一分钟到六分钟取得最好的AAcc所对应的AFMR和AFNMR,UAMKL的AFMR and AFNMR远低于其他算法, NB分类效果最差,可见本发明提出的UAMKL对于鼠标特征单类特征的分类效果显著,但由于本发明所采集的数据集与前人研究所用数据集有差异,各类总体算法的效果比之前研究的效果较差.
实验二
和实验一类似,为了验证本发明所提的算法对键盘特征分类的有效性,本部分实验选取键盘特征进行分类,实验结果显示,本发明提出的UAMKL对于键盘特征的分类效果比其他算法效果更佳.从图8 可知,从一分钟到六分钟本发明提出的算法与其他算法效果差距不大,但是AAcc始终优于其他算法, 和鼠特征实验一样在在时间片取值为5分钟时达到最大值,AAcc为79.6%.SVM和NB在在时间片取值为5分钟时取得最佳效果,AAcc分别为77.2%和AAcc为69.3%,RF和DT在在时间片取值为6分钟时取得最佳效果,分别为AAcc为78%和AAcc为74.7%.图9展示了各算法从一分钟到六分钟取得最好的AAcc所对应的AFMR和AFNMR,UAMKL的AFMR远低于其他算法,NB的AFNMR最低,但是其AFMR太高,且根据AAcc指标来看分类效果最差.和实验一一样,是由于数据集的差异性,各类算法效果都不是特别可观.
实验三
本部分实验选取键盘特征和鼠标特征融合特征,将键盘特征和鼠标特征直接融合用于SVM、RF、 DT和NB分类,UAMKL将键盘特征和鼠标特征映射到不同的核函数,再将其特征融合用于分类器分类. 如图10所示,UAMKL的AAcc先上升,在时间片取值为5分钟时达到最大值,之后下降,最佳AAcc为8 8.9%.图11是在时间片取值为5分钟时各种算法下各用户的准确率,可发现本发明的算法对于每个用户的分类效果都高于其他算法,并且从表5可看出,采用UAMKL分类,Stdevp、AFMR and AFNMR达到最低,这说明各个用户的准确率差距不大且准确率高,而采用其他算法用户准确率极不稳定,验证了基于多核学习用户识别的有效性.
表5.时间片为5分钟不同算法效果对比
Figure BDA0002440194110000061
实验对比
由三组实验可知,时间片选取5分钟时,键盘特征、鼠标特征和融合特征采用本发明方法效果达到最大值,分别为79.6%,85%和88.9%.实验结果表明,对于单类特征本发明方法分类效果比其他算法更有效,按不同时间片进行特征提取,当采用本发明方法将键盘特征和鼠标特征融合,算法效果都比单类特征更佳,键盘单指标特征分类效果最差.最后,本发明实验的最佳效果为时间片采取分钟,AAcc 为88.9%,AFMR为0.092,AFNMR为0.129.虽然与其他研究有一定的差距,但是本发明采用少量的数据集所获得的结果是可观的,推动了这一方向的进一步发展.
本发明通过选取用户日常工作中的键盘和鼠标行为所产生的10小时真实数据,提取键盘和鼠标两类不同特征,并基于这两类特征提出了线性多核身份认证方法,将其命名为UAMKL,此方法将键盘和鼠标两类特征或单类特征自己对应的不同核函数进行映射,不同的核函数组合成一个新的核函数,再将该核函数应用于分类器中.身份认证中鼠标和键盘特征适合不同的核函数,找到合适的核函数映射并组合,有效的实现了双指标认证并大大提高了认证准确率等性能,另外,将本发明的方法用于单指标认证,与其他算法相比,认证准确率更高.本发明针对鼠标特征、键盘特征和融合特征进行了三组实验.
实验结果表明,根据不同的时间片进行特征提取,结果有很大的不同,采用本发明所提方法鼠标特征和键盘特征以及融合特征的最佳时间片选取均为5分钟.另外,与其他算法相比,不论是单指标, 还是将鼠标和键盘特征结合,本发明所提的方法得到更高的认证准确率,用户总体的准确率标准差较低.通过几组实验的对比,最佳的实验结果来自本发明所提算法,其结果为88.9%的准确率,远高于其他方法的最佳效果.
针对解决单击键特征识别率低的问题以及防止冒充者限制一个输入设备避免检测,本发明提出一种基于多核学习(multiple kernel learning,MKL)的鼠标和键盘行为特征融合的双指标用户识别方法.由于键盘特征和鼠标特征的差异性,每类特征都对应一个合适的核函数,通过计算得到所有核的权重,再进行加权求和,从而得到一个组合核,进行非线性映射,最后进行分类.本发明采用的数据集是通过采集程序在不可控的环境中采集了15个用户的鼠标和键盘数据,实验结果表明,采用传统的方法识别效果差,而采用所提出的方法,最佳准确率为88.9%,对比单指标采用双指标特征认证可以得到更稳定更有效的识别.因此,本发明所提出的基于多核学习特征融合方法充分展示了双指标用户认证的可靠性。

Claims (4)

1.一种基于多核学习融合鼠标和键盘行为特征的用户识别方法,其特征在于,包括:
步骤1、获取键盘和鼠标两类人机交互数据;
步骤2、对键盘和鼠标特征进行特征提取;
步骤3、基于多核学习算法进行特征映射;
步骤4、使用分类器建模并进行用户识别。
2.如权利要求1所述的基于多核学习融合鼠标和键盘行为特征的用户识别方法,其特征在于,步骤2中,
针对键盘特征提具体为:
对于用户的击键行为,通过两个时间点来决定其击键时序特征:即一个键的按下时间点和一个键的释放时间点.通过对用户各击键时间点的选取,组合成用户击键时间序列,同时定义两类键盘特征,D1={(x11,...,x1l),...,(xm1,...,xml)}键盘特征矩阵,m为键盘总样本数,l为键盘特征维度,
对于单键特征为某个键按下到释放,
对于其他特征包括:
(1)Release-Press Time(记作R-PT)表示第一个键释放到第二个键按下的时间,
(2)Press-Release Time(记作P-RT)表示第一个键按下到第二个键释放的时间,
(3)Press-Press Time(记作P-PT)表示第一个键按下到第二个键按下的时间,
(4)Release-Release Time(记作R-RT)表示第一个键释放到第二个键释放的时间,
针对鼠标特征提取具体为:
针对提取鼠标特征,定义如下四种用户鼠标行为:
Mouse-Move(记为MM)表示普通的鼠标移动行为,
Drag-and-Drop(记为DD)表示鼠标左键或右键的拖动行为,
Point-and-Click(记为PC)表示鼠标左键或右键的单击、双击行为,
Slience表示无动作发生,
通过采集程序可采集到的每名用户的原始特征包括:鼠标动作类型,时间戳和坐标;通过平面上的方向划分方法,将平面的360°均匀地划分为8个方向,编号为1-8,每个方向占45°,设用户动作的起始和终点的连线即为动作的运动方向;提取了以下七类特征共49维,D2={(x11,...,x1k),...,(xn1,...,xnk)}是鼠标特征矩阵,n为鼠标特征数量,k为特征维度,包括:
1、Movement Speed compared to Traveled Distance表示在不同的距离范围下,用户鼠标行为的平均操作速度.距离分为8段,第一段为1到100,往后间隔均为150pixels,MSD向量的长度为8,
2、Average Movement speed per movement Direction表示在不同方向下,用户鼠标行为的平均操作速度,MDA向量的长度为8,
3、Movement Direction Histogram表示在不同方向下,用户鼠标行为的数量,MDH向量的长度为8,
4、The histogram of the traveled distance表示在不同的距离范围下,用户操作的数量比例,TDH向量的长度为8,
5、Movement elapsed Time Histogram表示在不同的持续时间范围下,用户操作的数量比例,时间分为10段,每段的时间为300ms,MTH向量的长度为10,
6、Average Movement speed per Types of Actions(记为ATA)表示在不同鼠标动作类型下,用户操作的平均速度,ATA向量的长度为4,
7、The histogram of per Types of Actions(denoted ATH)表示在不同鼠标动作类型下,用户的操作数量比例,ATH向量的长度为3。
3.如权利要求1所述的基于多核学习融合鼠标和键盘行为特征的用户识别方法,其特征在于,步骤3中,采用特征融合的多核算法是AverageMKL,此算法中组合核定义如式1,特征融合的具体过程为,输入由步骤2所提取的键盘和鼠标特征到核函数,键盘和鼠标两类特征分别对应K1,K2核函数,再经过加权求和,输出一个新的组合核:
Figure FDA0002440194100000021
Figure FDA0002440194100000022
Figure FDA0002440194100000023
其中,NewK是一个新的组合核.M是特征线性加权融合函数,q次方默认取1,α12>0,αi是表现出特征选择过程的权系数,并且权系数之和为1.Ki是基本核函数,r1,
Figure FDA0002440194100000024
是键盘输入特征,r2,
Figure FDA0002440194100000025
是鼠标输入特征,基对于某个用户所提取的键盘特征,基本核函数选用线性核,对于鼠标特征,基本核函数选用RBF核.将鼠标和键盘行为特征映射到合适的核函数,所述线性核函数K1和RBF核函数K2分别对应式2和式3.式3中,δ表示RBF核的宽度,并控制核函数的自适应性,exp是指数函数。
4.如权利要求1所述的基于多核学习融合鼠标和键盘行为特征的用户识别方法,其特征在于,步骤4中,多核支持向量机学习中利用基于核函数组合的特征融合模型,通过带有标签的训练来训练模型,寻找一组最优的特征组合系数,构建基于特征融合模型的核函数,再利用参数最优化的模型进行用户识别,也就是将用户提取的鼠标和键盘特征输入到此模型中,会根据已优化的模型进行用户身份的认证,输出用户的身份类别。
CN202010263264.1A 2020-04-07 2020-04-07 基于多核学习融合鼠标和键盘行为特征的用户识别方法 Active CN111625789B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010263264.1A CN111625789B (zh) 2020-04-07 2020-04-07 基于多核学习融合鼠标和键盘行为特征的用户识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010263264.1A CN111625789B (zh) 2020-04-07 2020-04-07 基于多核学习融合鼠标和键盘行为特征的用户识别方法

Publications (2)

Publication Number Publication Date
CN111625789A true CN111625789A (zh) 2020-09-04
CN111625789B CN111625789B (zh) 2023-04-07

Family

ID=72258854

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010263264.1A Active CN111625789B (zh) 2020-04-07 2020-04-07 基于多核学习融合鼠标和键盘行为特征的用户识别方法

Country Status (1)

Country Link
CN (1) CN111625789B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112100598A (zh) * 2020-09-08 2020-12-18 紫光云(南京)数字技术有限公司 通过鼠标及键盘敲击节奏进行登陆认证的识别方法及装置
CN113722685A (zh) * 2021-08-09 2021-11-30 北京工业大学 一种基于击键动力学与鼠标动力学的多场景主体识别方法
CN115795434A (zh) * 2023-02-13 2023-03-14 北京邮电大学 一种认证方法及装置
CN116418587A (zh) * 2023-04-19 2023-07-11 中国电子科技集团公司第三十研究所 一种数据跨域交换行为审计追踪方法和数据跨域交换系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104809377A (zh) * 2015-04-29 2015-07-29 西安交通大学 基于网页输入行为特征的网络用户身份监控方法
CN107480620A (zh) * 2017-08-04 2017-12-15 河海大学 基于异构特征融合的遥感图像自动目标识别方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104809377A (zh) * 2015-04-29 2015-07-29 西安交通大学 基于网页输入行为特征的网络用户身份监控方法
CN107480620A (zh) * 2017-08-04 2017-12-15 河海大学 基于异构特征融合的遥感图像自动目标识别方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
WANG X 等: "User Authentication Method Based on MKL for Keystroke and Mouse Behavioral Feature Fusion", 《SECURITY AND COMMUNICATION NETWORKS》 *
王振辉 等: "基于鼠标和键盘行为特征组合的用户身份认证", 《计算机应用与软件》 *
郑航 等: "基于键盘和鼠标击键行为的用户身份识别", 《计算机与数字工程》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112100598A (zh) * 2020-09-08 2020-12-18 紫光云(南京)数字技术有限公司 通过鼠标及键盘敲击节奏进行登陆认证的识别方法及装置
CN113722685A (zh) * 2021-08-09 2021-11-30 北京工业大学 一种基于击键动力学与鼠标动力学的多场景主体识别方法
CN115795434A (zh) * 2023-02-13 2023-03-14 北京邮电大学 一种认证方法及装置
CN116418587A (zh) * 2023-04-19 2023-07-11 中国电子科技集团公司第三十研究所 一种数据跨域交换行为审计追踪方法和数据跨域交换系统
CN116418587B (zh) * 2023-04-19 2024-04-30 中国电子科技集团公司第三十研究所 一种数据跨域交换行为审计追踪方法和数据跨域交换系统

Also Published As

Publication number Publication date
CN111625789B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
Gamboa et al. A behavioral biometric system based on human-computer interaction
Li et al. Unobservable re-authentication for smartphones.
Karnan et al. Biometric personal authentication using keystroke dynamics: A review
Ahmed et al. Biometric recognition based on free-text keystroke dynamics
CN111625789B (zh) 基于多核学习融合鼠标和键盘行为特征的用户识别方法
CN109447099B (zh) 一种基于pca降维的多分类器融合方法
Mondal et al. A computational approach to the continuous authentication biometric system
Almalki et al. Continuous authentication using mouse clickstream data analysis
Yousefi et al. A comprehensive survey on machine learning techniques and user authentication approaches for credit card fraud detection
Singh et al. User behavior profiling using ensemble approach for insider threat detection
Shimshon et al. Clustering di-graphs for continuously verifying users according to their typing patterns
Mhenni et al. Double serial adaptation mechanism for keystroke dynamics authentication based on a single password
Wang et al. Improving reliability: User authentication on smartphones using keystroke biometrics
Ho et al. One-class naïve Bayes with duration feature ranking for accurate user authentication using keystroke dynamics
Pahuja et al. Biometric authentication & identification through behavioral biometrics: A survey
Mondal et al. Continuous authentication and identification for mobile devices: Combining security and forensics
Rybnik et al. An exploration of keystroke dynamics authentication using non-fixed text of various length
Giot et al. Keystroke dynamics authentication
Liu et al. User keystroke authentication based on convolutional neural network
Maiorana et al. Mobile keystroke dynamics for biometric recognition: An overview
Wang et al. User authentication method based on MKL for keystroke and mouse behavioral feature fusion
Fereidooni et al. AuthentiSense: A Scalable Behavioral Biometrics Authentication Scheme using Few-Shot Learning for Mobile Platforms
Patel et al. Keystroke dynamics using auto encoders
EP2490149A1 (en) System for verifying user identity via mouse dynamics
El Masri et al. Identifying users with application-specific command streams

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant