Algoritmos Imunológicos aplicados na Detecção de Intrusões com Dinâmica da Digitação

Transcrição

1 UNIVERSIDADE FEDERAL DO ABC Curso de Pós-graduação em Engenharia da Informação Dissertação de Mestrado Paulo Henrique Pisani Algoritmos Imunológicos aplicados na Detecção de Intrusões com Dinâmica da Digitação Santo André 2012

2

3 UNIVERSIDADE FEDERAL DO ABC Curso de Pós-graduação em Engenharia da Informação Dissertação de Mestrado Paulo Henrique Pisani Algoritmos Imunológicos aplicados na Detecção de Intrusões com Dinâmica da Digitação Trabalho apresentado como requisito parcial para obtenção do título de Mestre em Engenharia da Informação, sob orientação da Professora Doutora Ana Carolina Lorena e coorientação do Professor Doutor Luis Paulo Barbour Scott. Santo André 2012

4

5

6 Agradecimentos A todos que contribuíram para a elaboração deste trabalho. Em particular aos meus pais, familiares, professores, funcionários da universidade, amigos e colegas. Agradeço também, em especial, à professora Ana Carolina Lorena pelo apoio e pela orientação para o desenvolvimento deste trabalho e participação em eventos. Às instituições Universidade Federal do ABC (UFABC), Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES) e Fundação de Amparo à Pesquisa do Estado de São Paulo (FAPESP) pelo apoio financeiro.

7 Resumo Na era atual, com o surgimento da chamada identidade digital, o roubo de identidades ganhou novo impulso. Em vista deste cenário, novos mecanismos de autenticação de usuários foram desenvolvidos. Entretanto, estes processos são geralmente aplicados somente na entrada do sistema. Consequentemente, o sistema estaria vulnerável caso o usuário deixe a estação de trabalho e não finalize a sessão. Com o intuito de mitigar este problema, mais recentemente, surgiu o conceito de detectar intrusões baseando-se no comportamento do usuário. Desta forma, qualquer evento observado que desvie do perfil normal do usuário é considerado uma potencial intrusão, evitando que intrusos utilizem o sistema. A definição do perfil do usuário pode levar em consideração uma série de aspectos, entretanto, neste projeto, a proposta é focar no estudo da dinâmica da digitação, que envolve a análise do ritmo de digitação do usuário. Contudo, os dados referentes ao ritmo de digitação possuem variabilidade e, portanto, a tarefa de reconhecimento de padrões neste cenário pode tornar-se difícil. Dentre as ferramentas disponíveis em Inteligência Computacional para solucionar esse problema, os algoritmos imunológicos merecem ser destacados devido ao sucesso observado em diversas aplicações de reconhecimento de padrões. Este trabalho propõe um método de aplicação de sistemas imunológicos artificiais para reconhecimento de padrões em dinâmica da digitação. Seu desempenho é comparado com o de outras técnicas de reconhecimento de padrões, considerando o estado da arte nas áreas relacionadas ao trabalho. Palavras-chave: algoritmos imunológicos, dinâmica da digitação, detecção de intrusões. i

8 Abstract In the current era, with the emergence of the so-called digital identity, identity theft has gained new momentum. In view of this scenario, new user authentication mechanisms were developed. However, these processes are generally applied only in the system startup. Consequently, the system would be vulnerable in case the user leaves the workstation and does not end the session. With the aim of mitigating this problem, more recently, a new concept of intrusion detection based on the user s behavior has emerged. Thus, any observed event which deviates from the user s regular behavior is considered a potential intrusion, preventing intruders from using the system. The definition of the user profile may take into consideration a number of aspects, however, in this project, the proposal is to focus on the study of the keystroke dynamics, which involves the analysis of the typing rhythm of the user. Data from keystroke dynamics has variability and, therefore, the pattern recognition task in this scenario may become difficult. Among the available tools in Computational Intelligence to solve this problem, immune algorithms deserve to be highlighted due to their success in several pattern recognition applications. This work proposes a method of applying artificial immune systems for pattern recognition in keystroke dynamics. Its performance is compared to other pattern recognition techniques, considering the state of the art in the areas related to the work. Keywords: immune algorithms, keystroke dynamics, intrusion detection. ii

9 Lista de Figuras 2.1 Detecção de intrusões comportamental Quantidade de publicações por ano em dinâmica da digitação Captura de dados de digitação Frequência de uso das características extraídas em dinâmica da digitação FAR, FRR e EER Algoritmo de seleção negativa CRNS: treinamento e reconhecimento Comparação entre áreas cobertas por detectores V-Detector Comparação entre áreas cobertas por detectores Espaço coberto por detectores em seleção positiva Algoritmo de seleção positiva Geração do vetor de características Detectores em dinâmica da digitação (seleção negativa) Detectores em dinâmica da digitação (seleção positiva) Exemplos de digitação de usuários nas duas bases de dados Transformação do vetor de características com os rankings Resultado da aplicação da transformação por rank Modelo de testes Modelo de testes (pré-processamento) Formato dos dados Modelo de testes (ajuste de parâmetros) Exemplos do usuário 1 na Janela j (ajuste de parâmetros) Modelo de testes (teste) Exemplos do usuário 1 na Janela j (teste) Valores de min e max por usuário para os três primeiros atributos iii

10 5.9 Valores de j por usuário (reescala decimal) Valores de min usuario por usuário Perceptron multi-camada auto-associativo Taxa de acerto geral Evolução da taxa de acerto ao longo das janelas Diagrama de ranking médio dos algoritmos com relação à taxa de acerto FAR ao longo das janelas Diagrama de ranking médio dos algoritmos com relação à FAR FRR ao longo das janelas Tempo para treinamento (box plots) Diagrama de ranking médio dos algoritmos: tempo de treinamento Tempo para reconhecimento (box plots) Diagrama de ranking médio dos algoritmos: tempo de reconhecimento Taxa de acerto geral (reescala decimal) Frequências das distâncias positivas e negativas (distância euclidiana) Frequências das distâncias positivas e negativas (similaridade cosseno) iv

11 Lista de Tabelas 2.1 Perfil e Texto: Estático x Dinâmico Classificadores comparados em dinâmica da digitação Melhores desempenhos obtidos pelos classificadores da literatura (ERR) Melhores desempenhos obtidos pelos classificadores da literatura (FAR e FRR) Pontos de início das janelas Classificadores utilizados nos experimentos Parâmetros do aplicativo de testes Valores dos raios dos detectores (V-Detector e CRNS) B.1 Valores dos parâmetros: AAMLP (por rank) B.2 Valores dos parâmetros: OCSVM (por rank) B.3 Valores dos parâmetros: CRNS (por rank) B.4 Valores dos parâmetros: V-Detector (por rank) B.5 Valores dos parâmetros: Self-Detector (por rank) B.6 Valores dos parâmetros: AAMLP (Reescala decimal) B.7 Valores dos parâmetros: CRNS (Reescala decimal) B.8 Valores dos parâmetros: V-Detector (Reescala decimal) B.9 Valores dos parâmetros: Self-Detector (Reescala decimal) C.1 Resultados: GREYC por rank (AAMLP, OCSVM e CRNSs) C.2 Resultados: GREYC por rank (V-Detectors e Self-Detectors) C.3 Resultados: CMU por rank (AAMLP, OCSVM e CRNSs) C.4 Resultados: CMU por rank (V-Detectors e Self-Detectors) C.5 Resultados: GREYC reescala decimal (AAMLP e CRNSs) C.6 Resultados: GREYC reescala decimal (V-Detectors e Self-Detectors) C.7 Resultados: CMU reescala decimal (AAMLP e CRNSs) C.8 Resultados: CMU reescala decimal (V-Detectors e Self-Detectors) v

12 Lista de Siglas AAMLP AIS CRNS EER FAR FRR GMM + LOOM HMM IDS NSA OCSVM PCA RNA RNS SVDD SVM Auto-associative Multilayer Perceptron (Perceptron Multi-camada Auto-associativo) Artificial Immune System (Sistema Imunológico Artificial) Constant sized negative selection algorithm Equal Error Rate False Acceptance Rate (Taxa de Falsa Aceitação) False Rejection Rate (Taxa de Falsa Rejeição) Gaussian Mixture Model + Leave one out method Hidden Markov Model (Modelo Oculto de Markov) Intrusion Detection System (Sistema de Detecção de Intrusões) Negative Selection Algorithm (Algoritmo de Seleção Negativa) One-class Support Vector Machine (Máquina de Vetores de Suporte de Uma Classe) Principal Component Analysis (Análise de Componentes Principais) Rede Neural Artificial Real-valued Negative Selection Support Vector Data Description Support Vector Machine (Máquina de Vetores de Suporte) vi

13 Sumário 1 INTRODUÇÃO Motivação Problema, Pergunta e Hipótese Objetivos Organização do Texto DINÂMICA DA DIGITAÇÃO PARA DETECÇÃO DE INTRUSÕES Detecção de Intrusões Comportamental Dinâmica da Digitação Extração de Características Algoritmos de Classificação Avaliação de Desempenho Considerações Finais do Capítulo ALGORITMOS IMUNOLÓGICOS Classes de Algoritmos Imunológicos Seleção Negativa CRNS V-Detector Seleção Positiva Considerações Finais do Capítulo PROPOSTA: ALGORITMOS IMUNOLÓGICOS EM DINÂMICA DA DIGITAÇÃO Algoritmos Imunológicos em Dinâmica da Digitação Dados em Dinâmica da Digitação Dimensionalidade em Dinâmica da Digitação Assinatura de Digitação Proposta 1: Algoritmos Imunológicos com Similaridade Cosseno Proposta 2: Transformação por Rank vii

14 4.5 Considerações Finais do Capítulo EXPERIMENTOS Modelo de Testes Pré-processamento dos dados Ajuste de Parâmetros Teste Cálculo da Taxa de Acerto, FAR e FRR Reescala dos Dados Classificadores Utilizados Perceptron Multi-camada Auto-Associativo Máquina de Vetores de Suporte de Uma Classe Aplicativo de Testes Considerações Finais do Capítulo RESULTADOS Taxa de Acerto Desempenho por Janela Tempo de Processamento Reescala Decimal x Transformação por Rank Taxa de Acerto Geral (Reescala Decimal) Análise das Distâncias Considerações Finais do Capítulo CONCLUSÃO Principais Resultados Contribuições Limitações Considerações Finais Trabalhos Futuros REFERÊNCIAS BIBLIOGRÁFICAS 89 A EXPRESSÕES DE BUSCA 97 B PARÂMETROS DOS ALGORITMOS 100 C RESULTADOS DOS EXPERIMENTOS 105 viii

15 Capítulo 1 INTRODUÇÃO 1.1 Motivação A evolução dos sistemas informatizados e dos mecanismos de comunicação levou ao surgimento da chamada identidade digital e também a uma maior preocupação com relação à exposição de informações [Windley, 2005]. O crescimento das interações online, como o e- commerce, contribuiu para esta maior exposição e para um problema conhecido como roubo de identidades. O termo roubo de identidades é comumente usado para referir-se ao fato de utilizar as informações pessoais de um indivíduo fazendo-se passar ilegalmente por este [Duserick, 2004]. Diante deste cenário, mecanismos de autenticação cada vez mais avançados foram desenvolvidos. A autenticação é o processo utilizado para confirmar a identidade de um usuário com credenciais, também conhecidas como fatores de autenticação, que podem ser [Windley, 2005]: o que o usuário sabe (e.g. senha); o que o usuário possui (e.g. cartão, token); o que o usuário é (e.g. biometria: reconhecimento por impressão digital, íris); alguma combinação dos itens anteriores. No caso de estações de trabalho, por exemplo, a autenticação ocorre geralmente na entrada do sistema, conhecida como autenticação inicial. Entretanto, independentemente do fator de autenticação utilizado, a autenticação inicial não provê um mecanismo de segurança totalmente eficaz, pois o computador estaria vulnerável a intrusos quando o usuário deixa a estação de trabalho e não encerra a sessão [Moskovitch et al., 2009, Niinuma et al., 2010]. 1

16 Desta forma, um intruso poderia utilizar o computador como se fosse o usuário legítimo, incorrendo no chamado roubo de identidade [Duserick, 2004]. Uma das formas de mitigar este problema é com a utilização de sistemas de detecção de intrusões que atuem na estação de trabalho (host-based). Mais recentemente, surgiu o conceito de detecção de intrusões pela análise do comportamento do usuário no computador [Pannell e Ashman, 2010], também conhecido como sistema de detecção de intrusões comportamental [Zanero, 2004], que possui amplo campo para pesquisa. Este conceito é fundamentado no fato de que, com a observação do comportamento de um usuário, é possível definir modelos que caracterizem o comportamento normal (perfil) deste usuário e assim poder identificar desvios, que são considerados como potenciais intrusões. O processo de definição destes modelos é conhecido como user profiling [Wang e Geng, 2009]. Dentre as diversas características que podem ser utilizadas para definir um modelo do usuário, este trabalho foca na dinâmica da digitação, classificada como uma tecnologia de biometria comportamental. Dentre as tecnologias biométricas, a dinâmica da digitação possui uma série de vantagens. A implementação de um sistema com esta tecnologia não requer custo adicional com hardware, enquanto que outras tecnologias biométricas normalmente necessitam, como no caso de reconhecimento por íris ou impressão digital, que requerem dispositivos de leitura específicos [Hosseinzadeh e Krishnan, 2008]. Além disso, o nível de transparência para o usuário é maior devido ao fato de que não é preciso executar ações especificamente para o sistema biométrico, diferentemente de um sistema com impressão digital, em que o usuário precisa usar o dispositivo de leitura. Isso contribui para uma maior aceitação da dinâmica da digitação por parte do usuário [Peacock et al., 2004]. É possível fazer um paralelo entre a modelagem do perfil do usuário para detectar desvios, como proposto pelo user profiling, e o funcionamento do sistema imunológico biológico. No sistema imunológico, as células de defesa possuem mecanismos para identificar elementos que pertencem ou não ao organismo. Estes elementos que não pertencem ao organismo podem ser entendidos como os intrusos em um sistema computacional e o processo de identificação destes elementos como um sistema de detecção de anomalias. Como pode ser visto, o funcionamento do sistema imunológico possui características que podem ser adequadas para a modelagem de perfis em sistemas de detecção de intrusões. De fato, existem diversas aplicações de algoritmos imunológicos em detecção de intrusões [Wu e Banzhaf, 2010]. Entretanto, estes algoritmos foram pouco explorados na área de dinâmica da digitação. Dessa forma, a aplicação de algoritmos imunológicos em dinâmica da digitação apresenta-se como um tema promissor para investigação. 2

17 1.2 Problema, Pergunta e Hipótese O problema que é abordado neste trabalho é o de reconhecer usuários por dinâmica da digitação. Como os dados extraídos a partir da digitação possuem muita variabilidade, a tarefa de reconhecimento de padrões em dinâmica da digitação pode ser considerada difícil. A área de Inteligência Computacional provê diversas ferramentas poderosas para reconhecimento de padrões [Wu e Banzhaf, 2010], sendo que uma que merece destaque são os sistemas imunológicos artificiais, que são inspirados no sistema imunológico biológico. O sistema imunológico biológico possui a capacidade de extrair informação dos elementos que atacam o corpo e, assim, adapta-se para combater estes elementos. Além disso, esta informação extraída é armazenada para ser utilizada em momentos futuros caso ocorram outros ataques com elementos semelhantes. Para tanto, o sistema imunológico possui mecanismos de adaptação e memória. Em termos computacionais, o comportamento do sistema imunológico biológico pode ser replicado para a solução de problemas reais [de Castro e Timmis, 2002]. A partir da proposta do uso de algoritmos imunológicos, a pergunta a ser respondida no trabalho é se algoritmos imunológicos podem ser utilizados para reconhecimento de usuários por dinâmica da digitação. A aplicação de algoritmos imunológicos em sistemas de detecção de intrusões tem sido tema de diversos trabalhos nos últimos anos, principalmente devido aos mecanismos para detecção de anomalias [Wu e Banzhaf, 2010]. Por esta razão, esses algoritmos mostram-se como uma alternativa promissora para reconhecimento de usuários por dinâmica da digitação. Apesar disso, a aplicação de algoritmos imunológicos em dinâmica da digitação foi pouco explorada. A hipótese do trabalho é que, como os algoritmos imunológicos obtiveram bom desempenho em aplicações de reconhecimento de padrões [Ji e Dasgupta, 2004], estes algoritmos podem atingir desempenho similar ou superior a outros classificadores utilizados na literatura em reconhecimento por dinâmica da digitação, como as redes neurais artificiais. 1.3 Objetivos Geral: Propor um método de aplicação de algoritmos imunológicos para reconhecimento de padrões em dinâmica da digitação; Comparar o desempenho do método proposto ao de outras técnicas de reconhecimento de padrões no mesmo domínio, como, por exemplo, as redes neurais artificiais. 3

18 Específicos: Analisar os dados em dinâmica da digitação e verificar suas características; Propor um método para avaliação de desempenho dos algoritmos, que considere o fato que o ritmo de digitação do usuário pode variar ao longo das capturas; Testar diferentes variantes de algoritmos imunológicos; Comparar o desempenho dos algoritmos imunológicos com outros classificadores de referência da literatura em dinâmica da digitação utilizando o modelo de testes proposto. 1.4 Organização do Texto Os demais capítulos deste documento estão organizados da seguinte forma: no Capítulo 2, são apresentados conceitos de sistemas de detecção de intrusões comportamentais, com maior foco na dinâmica da digitação; no Capítulo 3, são introduzidos os algoritmos imunológicos, destacando os algoritmos de seleção negativa e positiva, que são usados no trabalho; no Capítulo 4, é discutida a aplicação de algoritmos imunológicos em dinâmica da digitação, incluindo a apresentação de duas propostas para lidar com dados de digitação utilizando algoritmos imunológicos; no Capítulo 5, o modelo de testes é detalhado, assim como os classificadores referências utilizados e o aplicativo de testes desenvolvido; no Capítulo 6, os resultados obtidos nos experimentos realizados são analisados; e, finalmente, no Capítulo 7, são apresentadas as conclusões do trabalho. 4

19 Capítulo 2 DINÂMICA DA DIGITAÇÃO PARA DETECÇÃO DE INTRUSÕES A autenticação de usuários ocorre com uso de credenciais, também conhecidas como fatores de autenticação [Windley, 2005]. Aplicações, seja para e-commerce ou fins militares, utilizam como método primário de autenticação um simples login e senha [Desouza e Vanapalli, 2005]. O uso deste método de autenticação é baseado no fato de que a senha deverá permanecer secreta [Peacock et al., 2004]. No entanto, isto nem sempre ocorre, implicando em uma série de fraquezas [Conklin et al., 2004]: Senhas podem ser compartilhadas por diversos usuários implicando em acesso de usuários não autorizados; Senhas podem ser copiadas sem autorização; Senhas podem ser descobertas, como no caso de senhas fáceis (e.g. utilizar a data de nascimento como senha [Rodrigues et al., 2005]). Somado a isso, mesmo em ambientes em que a autenticação de usuários ocorre com o uso de cartões, a segurança pode ser comprometida. Isto é devido ao fato de que a posse do cartão pode ser compartilhada com outro usuário e que o cartão também pode ser roubado [Jain et al., 2007]. Estes problemas contribuíram para a expansão do chamado roubo de identidades, que ocorre quando uma pessoa se passa por outra de forma ilegal [Moskovitch et al., 2009]. Nos últimos anos, o roubo de identidades tornou-se um dos crimes com maior crescimento nos EUA [Bose, 2006]. Além disso, o montante de perdas no mundo em decorrência do roubo de identidades foi estimado em US$ 221 bilhões em 2003 [Jain e Pankanti, 2006]. De acordo com pesquisas [Keeney et al., 2005], fraquezas decorrentes do uso de senhas foi o fator mais 5

20 explorado por insiders (usuários da própria organização que é vítima do ataque). Uma das formas de combater este problema é pela detecção de intrusões comportamental. Este capítulo é organizado da seguinte forma: na Seção 2.1, são introduzidos conceitos sobre detecção de intrusões comportamental; na Seção 2.2, é apresentada a revisão sistemática conduzida na área de dinâmica da digitação; e, finalmente, na Seção 2.3, são feitas as considerações finais. 2.1 Detecção de Intrusões Comportamental Em Segurança da Informação, detecção de intrusões é o processo de monitorar eventos que ocorrem em um computador ou rede e analisá-los para detectar sinais de possíveis incidentes, que são violações ou ameaças de violação de diretrizes de segurança, de uso aceitável ou de práticas de segurança [Scarfone e Mell, 2007]. Um sistema de detecção de intrusões (Intrusion Detection System - IDS) automatiza este processo. Mais recentemente, surgiu o conceito da detecção de intrusões pela análise do comportamento de um usuário no computador [Pannell e Ashman, 2010], o que é realizado pelo IDS Comportamental (Behavioral IDS) [Zanero, 2004]. Este tipo de sistema é fundamentado em um conceito chamado user profiling, que consiste em observar o comportamento de um usuário para gerar modelos que representem o comportamento normal deste. Os eventos observados são então comparados com este modelo e eventuais desvios são classificados como potenciais intrusões [Wang e Geng, 2009]. Um IDS que aplica user profiling é um sistema baseado em detecção de anomalias dos eventos observados, pois gera alarmes para eventos que desviem de um modelo de comportamento. Na Figura 2.1, é apresentado o fluxo de um sistema básico de IDS comportamental, que envolve duas fases principais [Goldring, 2003, Galassi, 2008]: Treinamento: definição do modelo de comportamento do usuário; Reconhecimento: comparação dos eventos observados com o modelo do usuário. A definição do modelo com o perfil do usuário pode ser estática ou dinâmica. No perfil estático, uma vez que o perfil é estabelecido, este não é alterado ao longo do tempo. Em contraste, no perfil dinâmico, o modelo é atualizado constantemente após a definição inicial. A abordagem adotada pelo perfil estático possui duas vantagens principais. Primeiro, requer menos recursos computacionais, pois o perfil estático não precisa ser atualizado diversas vezes. Segundo, um perfil dinâmico é suscetível a incorporar o comportamento de intrusos 6

21 Usuário Dinâmica da digitação, uso de aplicativos, etc. Fase de treinamento? S Treinamento N Modelo de comportamento do usuário Reconhecimento Sim/Não Figura 2.1: Detecção de intrusões comportamental. com pequenas mudanças no comportamento do usuário. Por estas razões, o perfil estático é utilizado nos experimentos conduzidos neste trabalho. Uma questão fundamental da aplicação do user profiling é como definir o perfil, ou seja, quais aspectos serão observados. Esta definição representa uma das grandes dificuldades na utilização do user profiling [Goldring, 2003]. Idealmente, os aspectos escolhidos para a definição do perfil devem permitir identificar um usuário em um grupo de usuários e possuir valores semelhantes ao longo do tempo para um mesmo usuário [Goldring, 2003]. Há uma série de aspectos que podem ser utilizados para a definição do perfil de um usuário, como a dinâmica da digitação, registros de auditoria de sistemas, uso de aplicativos e utilização de linhas de comando [Wang e Geng, 2009]. Neste trabalho, é estudada a dinâmica da digitação como aspecto para ser analisado pelo sistema de detecção de intrusões comportamental. 7

22 2.2 Dinâmica da Digitação Na dinâmica de digitação, a partir do monitoramento das entradas fornecidas pelo teclado, é analisado o modo como os usuários digitam. Com isso, modelos que representam o ritmo de digitação normal do usuário são definidos. Posteriormente, estes modelos são utilizados para o seu reconhecimento [Karnan et al., 2011], de forma que ritmos de digitação que desviem deste modelo sejam classificados como provenientes de intrusos. A dinâmica da digitação é considerada um tipo de biometria comportamental e pode ser utilizada sem custo adicional de hardware, diferentemente de outras tecnologias biométricas (e.g. íris, impressão digital), que necessitam de dispositivos específicos para captura dos dados biométricos [Hosseinzadeh e Krishnan, 2008, Montalvao et al., 2006]. Somado a isso, o nível de transparência do uso da dinâmica da digitação é alto [Peacock et al., 2004, Bartlow e Cukic, 2006], ou seja, não é preciso executar operações especificamente para a autenticação por dinâmica da digitação. Este fator contribui para a maior aceitação da dinâmica da digitação por parte dos usuários. A dinâmica da digitação pode ser aplicada de duas formas: texto estático ou texto dinâmico. Em texto estático, é feita somente a análise de expressões fixas, como uma senha, por exemplo. Enquanto isso, em texto dinâmico, a análise ocorre para qualquer texto digitado pelo usuário. A dinâmica da digitação em texto estático é mais simples de ser implementada e obteve resultados superiores em termos de taxas de erro [Crawford, 2010]. Em vista disso, esta abordagem é adotada aqui. Outro aspecto que é classificado como estático ou dinâmico é o perfil, discutido na Seção 2.1. A Tabela 2.1 mostra estes conceitos. Em ambos os casos, foi adotada a versão estática neste trabalho. Tabela 2.1: Perfil e Texto: Estático x Dinâmico. Perfil Estático: uma vez que o perfil é estabelecido, este não é alterado ao longo do tempo. Dinâmico: o perfil é atualizado constantemente após a definição inicial. Texto Estático: análise de expressões fixas, como uma senha, por exemplo. Dinâmico: análise de qualquer texto digitado pelo usuário. Dois processos distintos estão envolvidos na dinâmica da digitação: a extração de características e a classificação das características extraídas. No primeiro processo, uma série de características pode ser extraída para o reconhecimento de um usuário. Estas características procuram descrever como o usuário se comporta em termos de dinâmica da digitação. No segundo processo, que corresponde à classificação de características, diversos algoritmos podem ser utilizados. Algoritmos de Aprendizado de Máquina como support vector machines (SVMs) [Giot et al., 2009b] e redes neurais artificiais [Killourhy e Maxion, 2008] são 8

23 Quantidade de Publicações exemplos de técnicas empregadas no processo de classificação, que consiste em verificar se as características de digitação pertencem ou não a um usuário específico. Com o objetivo de identificar o estado da arte em dinâmica da digitação, foi conduzida uma revisão quasi-sistemática na área. Esta revisão foi chamada de quasi-sistemática, pois não foi realizada por mais de um pesquisador em todas as etapas. Resultados preliminares desta revisão são apresentados em [Pisani e Lorena, 2011b]. Posteriormente, a revisão foi estendida e os resultados foram atualizados em 18/setembro/2012. As expressões de busca atualizadas são apresentadas no Apêndice A. Revisão sistemática [Kitchenham e Charters, 2007] é um método de revisão bibliográfica que adota um procedimento formal e sistemático para a condução da revisão bibliográfica, com a determinação de protocolos explícitos para a obtenção das informações. Consequentemente, com o uso destes protocolos, os resultados obtidos pela revisão sistemática podem ser reproduzidos por outros pesquisadores como forma de validação, diminuindo a incidência de viés na revisão, problema que é potencializado em revisões bibliográficas não sistemáticas [Kitchenham e Charters, 2007]. Um dos resultados da revisão sistemática conduzida para este trabalho foi o gráfico da Figura 2.2, que mostra a evolução na quantidade de publicações por ano em dinâmica da digitação. Neste gráfico, é importante destacar a tendência de crescimento no número de publicações por ano na área de dinâmica da digitação. Esta constatação demonstra que a área está em ascensão, justificando novos esforços em pesquisa Ano de Publicação Figura 2.2: Quantidade de publicações por ano em dinâmica da digitação. A partir de uma seleção das referências encontradas com base em uma avaliação qualitativa, chegou-se a 15 trabalhos que foram considerados mais relevantes nesta revisão sistemática. Estes trabalhos foram então explorados com maior profundidade na revisão. As próximas 9

24 seções apresentam maiores detalhes sobre aspectos chave da área de dinâmica da digitação: avaliação de desempenho, extração de características e algoritmos de classificação Extração de Características Além do próprio texto digitado, o teclado fornece os instantes em que as teclas são pressionadas e soltas. A partir destes dados básicos, são extraídas as características que serão usadas como entrada para o algoritmo de classificação. Neste artigo, foi adotada a seguinte notação para representar as características extraídas (a Figura 2.3 mostra estas características em forma gráfica, em que as setas para baixo e para cima representam, respectivamente, os instantes em que a tecla é pressionada e solta): DU1 DU2 UD DD UU Tecla 1 Tempo Tecla 2 Tecla 3 Figura 2.3: Captura de dados de digitação. DU1: diferença entre os instantes em que a tecla é pressionada e solta. Esta característica representa o tempo em que uma tecla permanece pressionada e é conhecida em alguns trabalhos como dwell time [Moskovitch et al., 2009]. DU2: diferença entre os instantes em que uma tecla é pressionada e a próxima é solta. UD: diferença entre os instantes em que uma tecla é solta e a próxima é pressionada. Esta característica é também conhecida como flight time [Moskovitch et al., 2009]. 10

25 Quantidade de Publicações DD: diferença entre os instantes em que uma tecla é pressionada e a próxima é pressionada. UU: diferença entre os instantes em que uma tecla é solta e a próxima é solta. A Figura 2.4 mostra as características usadas pelas unidades de análise (15 trabalhos selecionados para estudo mais aprofundado). Conforme pode ser observado nesta figura, as características DU1 (dwell time) e UD (flight time) são as mais utilizadas, fato também constatado por [Moskovitch et al., 2009]. A característica individual mais utilizada foi a UD. Outra característica extraída em pesquisas anteriores foi a pressão sobre as teclas [Elftmann, 2006], mas a obtenção desta característica necessita de hardware adicional a um teclado comum, o que envolve custos adicionais. Entretanto, com a maior difusão do uso de telas sensíveis ao toque, esta característica pode tornar-se menos onerosa em termos de custo. Em um trabalho recente [Chang et al., 2012], foi avaliado o uso da pressão sobre as teclas em uma tela sensível ao toque de um smartphone. De acordo com os testes realizados pelos autores, as taxas de erro diminuíram de 12,2% para 6,9% considerando a pressão sobre as teclas digitadas DU1 DU2 UD DD UU Característica Figura 2.4: Frequência de uso das características extraídas em dinâmica da digitação. Em [Montalvao et al., 2006], é proposto o uso de equalização sobre as características extraídas da digitação. Outro trabalho que estudou esta equalização foi [Filho e Freire, 2006]. A aplicação da equalização é justificada pelo fato de que em outras áreas, como em comunicações digitais e em processamento de imagens, estas transformações podem evidenciar 11

26 aspectos mais relevantes do vetor de dados. Com isso, a diferenciação entre os vetores de dados dos usuários seria facilitada. Para testar o efeito da equalização proposta, os autores executaram diversos experimentos utilizando tanto texto estático quanto dinâmico. No caso do texto estático, foram usados dois algoritmos da literatura de dinâmica da digitação: [Bleha et al., 1990] e [Monrose e Rubin, 2000]. Em ambos os casos, houve diminuição da taxa de erro com o uso da equalização. Nas pesquisas de [Giot et al., 2009b] e [Giot et al., 2011], foi testado o uso de discretização sobre os vetores de características. Na proposta dos autores, cada elemento no vetor de características é discretizado em cinco faixas de valores com comprimentos iguais. Os dados discretizados são então classificados com uma SVM de duas classes, que utiliza tanto exemplos positivos quanto negativos no treinamento. Pelos testes dos autores, o uso da SVM com esta discretização obteve taxas de erro menores que outros algoritmos da literatura, como redes neurais e classificadores baseados em distância. Em [Hosseinzadeh e Krishnan, 2008], foram efetuados testes para verificar qual conjunto de características é melhor para diferenciar usuários. Foram testadas todas as combinações com as características DU1, DD e UU. De acordo com os experimentos dos autores, o melhor vetor é composto pelas características DU1 e UU. Para validação dos resultados, foi utilizado o método de amostragem leave one out. Neste método, dado n exemplos, o classificador é treinado com n 1 exemplos e testado com 1. Esse processo é repetido n vezes, até que todos os exemplos tenham sido usados para teste. A característica UD, que foi a mais usada nos trabalhos selecionados pela revisão neste capítulo, não foi testada nas comparações dos autores. Outra investigação sobre as características extraídas a partir da digitação foi conduzida por [Bartlow e Cukic, 2006]. Nesta investigação, além de considerar as teclas com os caracteres, foram também utilizadas características relativas ao uso da tecla Shift. Em senhas que contêm mistura de letras minúsculas e maiúsculas, a tecla Shift pode ser acionada algumas vezes e, portanto, torna-se um fator adicional para diferenciar os usuários. De acordo com os experimentos realizados pelos autores, o fato de considerar a tecla Shift diminuiu as taxas de erro do classificador. Um fator importante em dinâmica da digitação é a resolução de captura. No trabalho conduzido por [Killourhy e Maxion, 2008], foi estudado o efeito de diferenças nesta resolução. No sistema operacional MS Windows, por exemplo, a notificação de eventos de pressionar e soltar teclas não diferencia tempos menores que 15,625ms. Dessa forma, diferenças de tempo menores que esse valor não podem ser identificadas neste sistema. Para testar o efeito da resolução de captura, foi usado um dispositivo externo com precisão de 200µs. Com os dados de alta resolução obtidos, foram derivadas resoluções mais baixas. De acordo com 12

27 os experimentos conduzidos, a taxa de erro foi 4,2% maior para a resolução de 15ms em comparação com resoluções maiores, como a de 1ms. Conforme esperado, resoluções ainda mais baixas (e.g. 100ms) levaram os classificadores a uma taxa de erro de 50%, que seria equivalente a classificar os dados dos usuários de forma aleatória Algoritmos de Classificação Diversos algoritmos foram utilizados para classificação de usuários em dinâmica da digitação. A Tabela 2.2 mostra os algoritmos abordados nos 15 trabalhos selecionados nesta revisão. É importante destacar nesta tabela que, além de algoritmos conhecidos em Aprendizado de Máquina, como SVM [Giot et al., 2009b] e Nearest Neighbour [Killourhy e Maxion, 2008], alguns autores propuseram algoritmos próprios, como no caso de [Gunetti e Picardi, 2005] e de [Monrose e Rubin, 2000]. Estes algoritmos foram inclusive utilizados posteriormente em comparações realizadas por trabalhos de outros autores [Montalvao et al., 2006]. Outro fator observado é que nenhum dos trabalhos selecionados utilizou algoritmos imunológicos. No trabalho de [Monrose e Rubin, 2000] foi testado o uso de texto estático e dinâmico. Na época em que o trabalho foi publicado, o conceito de reconhecer usuários por dinâmica da digitação era pouco difundido. Devido a isso, os autores realizaram experimentos com o objetivo de verificar se de fato é possível diferenciar usuários pelo ritmo de digitação no teclado. Isto foi confirmado com a taxa de acerto obtida de 92,14%. Outra conclusão deste estudo foi de que a taxa de acerto no caso de texto estático é maior. Os autores argumentam contra o uso de texto dinâmico devido ao fato de ser mais suscetível a variações ao longo do tempo, diferentemente do que ocorre no caso da verificação de expressões fixas. Conforme discutido no início do capítulo, este trabalho utilizará texto estático. Devido a isso, o trabalho de [Gunetti e Picardi, 2005] não foi explorado, pois trata de texto dinâmico. Conforme verificado em trabalhos anteriores [Giot et al., 2009b, Killourhy e Maxion, 2010], a quantidade de exemplos de treinamento tem influência no desempenho do classificador. Em geral, quanto maior a representatividade dos exemplos, maior é a taxa de acerto ao algoritmo de classificação. Em [Chang, 2006], foi proposto um método para gerar novos exemplos de treinamento com base em exemplos do usuário legítimo. Os exemplos são gerados usando técnicas de re-amostragem no domínio do tempo e com o uso de discrete wavelet transform (DWT). Apesar de gerar mais exemplos, uma questão em aberto é se de fato esta maior quantidade de exemplos resulta em um conjunto com maior representatividade. Nos trabalhos discutidos até aqui, foram utilizados teclados alfanuméricos, comuns na maioria dos computadores. Um dos trabalhos selecionados [Rodrigues et al., 2005] avaliou reconhecimento por dinâmica da digitação em teclados numéricos. Uma das vantagens disso 13

28 Tabela 2.2: Classificadores comparados em dinâmica da digitação. Referência Classificadores [Montalvao et al., 2006] - Bleha [Bleha et al., 1990] - Monrose e Rubin [Monrose e Rubin, 2000] - Gunetti e Picardi [Gunetti e Picardi, 2005] [Giot et al., 2011] - SVM 1 - Estatístico - Rede neural - Classificador baseado em distância [Giot et al., 2009b] - SVM 1 - Estatístico - Classificador baseado em distância Euclidiana - Classificador baseado em distância de Hamming [Killourhy e Maxion, 2008] - Nearest neighbour - Rede neural - Classificador baseado em média [Rodrigues et al., 2005] - HMM 2 - Estatístico [Hosseinzadeh e Krishnan, 2008] - GMM + LOOM 3 [Killourhy e Maxion, 2010] - Nearest neighbour - Outlier count (z-score) - Distância de Manhattan [Bartlow e Cukic, 2006] - Random Forests [Chang, 2006] - Classificador baseado em árvore com distância Euclidiana [Filho e Freire, 2006] - Bleha [Bleha et al., 1990] - Monrose e Rubin [Monrose e Rubin, 2000] - 1D-Histogram - 2D-Histogram [Gunetti e Picardi, 2005] - Medida R - Medida A [Monrose e Rubin, 2000] - Distância Euclidiana - Non-weighted probability - Weighted probability - Bayes [Yu e Cho, 2003] - SVM 1-4-layer AAMLP 4-2-layer AAMLP 4 [Giot et al., 2012a] - Baseado em distribuição gaussiana [Hocquet et al., 2006] [Chang et al., 2012] - Estatístico [Boechat et al., 2007] 1 Support Vector Machine. 2 Hidden Markov Model. 3 Gaussian Mixture Model + Leave one out method. 4 Auto Associative Multi-layer Perceptron. 14

29 é que a tecnologia poderia ser mais facilmente usada em dispositivos móveis, como celulares, que muitas vezes possuem somente teclado numérico. Nos experimentos realizados pelos autores, foram usadas senhas com oito números e a ERR obtida foi de 3,6% utilizando um HMM. O trabalho de [Yu e Cho, 2003] testou dois detectores de novidades, que são classificadores que utilizam apenas exemplos positivos no treinamento. Os dois detectores foram uma rede neural do tipo perceptron multi-camada auto-associativo (AAMLP) e uma one-class SVM. No caso das redes neurais, diversas configurações foram testadas, variando a quantidade de camadas e neurônios em cada camada. De acordo com os experimentos realizados, as taxas de erros dos dois detectores de novidades foi similar. Entretanto, o desempenho em termos de consumo de recursos computacionais foi melhor no caso da one-class SVM. A rede neural precisou de cerca de 100s durante o treinamento para atingir taxas de erro similares à SVM, que necessitou de apenas 0,1s para criar o modelo durante o treinamento Avaliação de Desempenho Com relação à avaliação de desempenho dos algoritmos, ao longo da revisão, foram encontradas três formas principais de medição: FAR e FRR: A FAR (False Acceptance Rate - Taxa de Falsa Aceitação) mede a porcentagem de vezes que um intruso é aceito erroneamente como sendo legítimo e a FRR (False Rejection Rate - Taxa de Falsa Rejeição) mede a porcentagem de vezes que o usuário legítimo é rejeitado indevidamente [Peacock et al., 2004]. De maneira hipotética, estas duas taxas variam como a curva da Figura 2.5, de acordo com o nível de sensibilidade definido no algoritmo: quando uma diminui, a outra tende a aumentar. Em ambos os casos, quanto menor o valor da taxa, melhor é o desempenho. EER: A EER (Equal Error Rate), mostrada na Figura 2.5, corresponde ao valor quando a FAR e a FRR são iguais [Crawford, 2010]. Em contraste com a FAR e a FRR, esta medida não depende do nível de sensibilidade do algoritmo de classificação. Taxa de acerto: apenas mede a porcentagem de classificações corretas do algoritmo. Existem diversos fatores que podem influenciar o desempenho de um sistema biométrico de reconhecimento por dinâmica da digitação, como o classificador usado e a quantidade de exemplos usados no treinamento. Em [Killourhy e Maxion, 2010], foi realizado um estudo para identificar quais destes fatores têm maior influência no desempenho em termos de taxa de erro. De acordo com os autores, os fatores que têm forte influência no desempenho são o algoritmo de classificação usado, a quantidade de exemplos para treinamento e as técnicas para 15

30 FAR FRR Erros EER Sensibilidade Figura 2.5: FAR, FRR e EER (adaptado de [Crawford, 2010]). atualização do modelo do usuário. Outros fatores, como conjunto de características escolhido e prática de digitação por parte dos intrusos tiveram pouca influência no desempenho. Dentre os diversos ambientes em que dinâmica da digitação pode ser aplicada, um que tem grande potencial é o uso em aplicações web. Um exemplo recente de aplicação nesta área é [Giot et al., 2012a]. Nos testes dos autores, 83 usuários participaram dos testes e foi obtida uma EER de 8,87% com um classificador baseado em distribuição gaussiana. As tabelas 2.3 e 2.4 mostram os melhores resultados atingidos pelos trabalhos selecionados. A primeira tabela mostra os que utilizaram EER para avaliar o desempenho e a segunda tabela mostra os que utilizaram FAR e FRR. Nestas duas tabelas, a coluna N indica a quantidade de usuários que participaram dos testes de avaliação de desempenho. Dentre os 15 trabalhos selecionados para aprofundamento nesta revisão, [Monrose e Rubin, 2000] utilizou uma medida de taxa de acerto para avaliar o desempenho e não utilizou EER ou FAR/FRR. Devido a isso, este trabalho não foi incluido nas tabelas. Com um classificador Bayesiano, a taxa de acerto obtida por este trabalho foi de 92,14% com uma população de 63 usuários [Monrose e Rubin, 2000]. Entretanto, a comparação de desempenho dos estudos apenas com os valores apresentados pelos autores não pode ser feita diretamente, pois há uma série de diferenças entre os trabalhos, como na base de usuários e nas medidas de avaliação de desempenho utilizadas. Conforme pode ser observado nas tabelas 2.3 e 2.4, a quantidade de usuários que 16

31 Tabela 2.3: Melhores desempenhos obtidos pelos classificadores da literatura (ERR). Classificador N EER Gunetti e Picardi [Montalvao et al., 2006] % SVM [Giot et al., 2009b] 100 6,95% Nearest neighbour [Killourhy e Maxion, 2008] 51 9,96% Hidden Markov Model [Rodrigues et al., 2005] 20 3,6% Bleha (com equalização) [Filho e Freire, 2006] 47 6,2% Distância de Manhatan [Killourhy e Maxion, 2010] 51 7,1% Baseado em distribuição gaussiana [Giot et al., 2012a] 83 8,87% Estatístico [Chang et al., 2012] 100 6,9% Tabela 2.4: Melhores desempenhos obtidos pelos classificadores da literatura (FAR e FRR). Classificador N FAR FRR Random Forests [Bartlow e Cukic, 2006] 53 1% 14% Baseado em árvore com 12 0% 3,47% Distância Euclidiana [Chang, 2006] Medida R [Gunetti e Picardi, 2005] 205 0,005% 5 % 4-layer AAMLP [Yu e Cho, 2003] 21 0% 0,25 % participaram dos testes foi bastante diferente entre os estudos, variando de 12 a 205. Esta dificuldade de efetuar comparações na área de dinâmica da digitação em razão da não uniformidade entre os trabalhos foi também apontada em [Peacock et al., 2004]. O uso de bases para benchmarking pode melhorar este cenário, pois cria uma base comum para comparação entre os algoritmos. 2.3 Considerações Finais do Capítulo A aplicação de tecnologias biométricas mostra-se como uma alternativa promissora para combater o roubo de identidades, pois não possui as fraquezas decorrentes do uso de senhas ou cartões. Neste contexto, a dinâmica da digitação é destacada pelo fato de não implicar em custos adicionais em hardware e pela maior transparência para ser implementada, o que contribui para uma maior aceitação por parte do usuário. Diversos algoritmos foram investigados no reconhecimento de usuários por dinâmica da digitação. Além disso, alguns trabalhos também estudaram o efeito do uso de diferentes vetores de características em dinâmica da digitação. Contudo, em razão das diferenças entre os trabalhos anteriores, como tamanho da base de testes e configuração dos algoritmos de classificação, a comparação entre eles não pode ser feita diretamente. 17

32 Na revisão realizada, verificou-se que a aplicação de algoritmos imunológicos foi pouco explorada. Foram encontrados apenas dois trabalhos que usaram estes algoritmos em dinâmica da digitação [Ebner et al., 2002, Revett, 2011], mas ambos apresentaram resultados iniciais e não fizeram análises em termos de FAR, FRR e EER. Algoritmos imunológicos foram usados em trabalhos anteriores para reconhecimento de padrões, incluindo detecção de novidades, e obtiveram bom desempenho [Ji e Dasgupta, 2004], com taxas de detecção acima de 90%. Considerando isso, este trabalho contribui com o uso de algoritmos imunológicos na área de dinâmica da digitação. No próximo capítulo, são apresentados conceitos dos algoritmos imunológicos, com maior foco nos algoritmos de seleção negativa e positiva, que serão usados nos experimentos conduzidos neste trabalho. 18

33 Capítulo 3 ALGORITMOS IMUNOLÓGICOS Organismos vivos precisam defender-se da tentativa de outros organismos, chamados patógenos, atacarem seus recursos, sendo que o conjunto de medidas aplicadas contra o ataque de patógenos é conhecido como sistema imunológico [Floreano e Mattiussi, 2008]. Os sistemas imunológicos artificiais (Artificial Immune Systems - AIS) são sistemas inspirados no sistema imunológico biológico, principalmente na imunidade adaptativa, e aplicados na solução de diversos problemas [de Castro e Timmis, 2002]. Em uma primeira análise, pode-se dizer que um AIS tem apenas o objetivo de reconhecer padrões referentes a elementos que possam causar danos e, consequentemente, estaria restrito a aplicações relacionadas à segurança. Entretanto, esta conclusão está incorreta, pois, além de poder ser aplicado em segurança computacional, os sistemas imunológicos artificiais podem ser utilizados em um grande número de outras aplicações, como, por exemplo: reconhecimento de padrões, detecção de anomalias, mineração de dados, aprendizado de máquina, navegação e controle autônomo, vida artificial e métodos de busca e otimização. Conforme observado em trabalhos anteriores [Timmis et al., 2008], sistemas imunológicos artificiais obtiveram elevado grau de sucesso em uma grande variedade de aplicações. Este capítulo é organizado da seguinte forma: na Seção 3.1, são apresentadas brevemente as classes de algoritmos imunológicos; na Seção 3.2, os algoritmos de seleção negativa são estudados; na Seção 3.3, a seleção positiva é introduzida; e, finalmente, na Seção 3.4, são feitas as considerações finais do capítulo. 3.1 Classes de Algoritmos Imunológicos Há uma série de algoritmos imunológicos diferentes, cada um inspirado em uma parte do sistema imunológico biológico, sendo que características como adaptação, aprendizado e memória são enfatizadas nestes algoritmos. 19