通过混合机器学习和 TOPSIS 实现智能手机身份验证的稳健行为生物识别框架
1. 简介
随着日常工作、个人生活和金融操作对智能手机的依赖性不断增强,对弹性安全身份验证系统的需求也日益增长。尽管 PIN 码、密码和静态生物识别等传统身份验证方法仍可为系统提供一定的安全级别,但事实证明,它们容易受到多种威胁,包括敏感数据泄露、网络钓鱼、盗窃和暴力攻击 [ 1 ]。面部识别和指纹识别等其他静态生物识别方法虽然增强并提高了系统的安全性,但事实证明,它们容易受到静态数据限制、环境条件和基于欺骗的攻击 [ 2 ]。为了解决上述缺点并提高可用性和安全性,应采用动态有前景的解决方案 [ 3 ]。
行为生物识别技术被认为是系统身份验证问题最突出的解决方案之一,因为它们能够深入分析个人特定的交互模式,包括滑动手势、触摸压力和空间运动的 (X, Y) 坐标。与传统方法(例如静态技术)相比,这些方法可以重复提供身份验证,并且能够适应动态用户行为。许多先前的研究已经对运动数据和触摸动态进行了研究,以精确识别独特的用户特征;然而,它们不足以抵御现实世界的变化和条件,例如伪造尝试以及环境和气候变化 [ 4 , 5 ]。这些问题表明,我们确实需要更具弹性的技术。
有趣的是,为了进一步完善身份验证系统,三维 (3D) 触摸传感器已广泛应用于许多不同的应用领域。例如,为了获得每个人独特的交互模式,现代技术已经利用 3D 触摸位置和压力灵敏度来实现,这显著提高了系统的安全级别和稳健性 [ 6 ]。其他方法,例如音频和声音传感器,已经通过 3D 触摸传感器进行了增强,以用于移动医疗保健,从而保护患者数据的私密性和安全性 [ 7 ]。为了显著提高设计的安全级别,可以将生物特征数据(例如脑电图 (EEG) 信号处理)与传感器数据相结合 [ 8 ]。虽然这些进步有助于提高安全性,但仍然需要将触摸压力和位置数据集成到统一的框架中,以实现更稳健的身份验证。
先前的研究并未专注于将3D触摸压力数据与屏幕手指位置数据相结合,从而使用TOPSIS等决策技术构建统一的框架。在本研究中,我们致力于通过提出一种新颖的智能手机身份验证框架来解决这些局限性。基于TOPSIS的决策方法已通过机器学习技术得到增强,可以识别并排序用户行为中关键且有价值的特征。通过仅利用TOPSIS方法筛选出的有价值的特征,并使用机器学习算法增强模型弹性,该技术提供了一个安全、可扩展且用户友好的身份验证系统,可以抵御包括网络安全威胁在内的多种攻击。为了改进该技术的弹性和鲁棒性,我们结合了时间缩放、噪声插入和空间扰动方法来模拟现实世界的用户响应。本研究提出了一种安全轻量级的技术,可以抵御严重威胁,并通过将TOPSIS方法与机器学习算法和动态模式识别相结合来解决当前的身份验证难题。
本文的主要贡献是:
- 在 Android 平台上开发了一款智能手机身份验证应用程序,以收集 30 名参与者的数据,每位参与者进行 10 次尝试。
- 开发了一种基于机器学习的方法用于系统认证,其中评估了各种机器学习算法以确定最有效的模型。
- 采用TOPSIS法选择关键行为特征,通过关注最具影响力的数据来提高身份验证系统的性能。
- 通过应用数据扰动技术(包括噪声注入和时间缩放)来模拟现实世界的变化,系统的弹性得到了增强。
- 该系统针对四种类型的网络安全攻击(欺骗、光照变化、方向变化和噪声注入)进行了测试,以评估其稳健性和安全性。
本研究的核心创新之处在于其集成框架,该框架将行为生物识别、多准则决策(TOPSIS)和集成机器学习模型(RF、GBM 和 KNN)相结合,用于移动身份验证。与以往仅使用传统分类技术或单一生物特征的研究不同,本研究引入了一种迭代特征排序机制,该机制使用 TOPSIS 优化输入空间,并仅将最具影响力的特征输入到多个机器学习模型中。所提出的系统还通过借鉴现实世界的扰动技术(例如噪声注入、时间缩放)来增强鲁棒性,而这些技术在以往的研究中往往被忽视。这种组合有助于开发一个实时、轻量级且具有弹性的身份验证系统,该系统的性能优于现有模型,准确率达到 95.2%,并增强了抗欺骗能力和环境适应性。本文的其余部分安排如下:第2节简要概述了前期研究成果,包括身份验证系统的行为生物识别技术、身份验证系统中的机器学习技术以及决策方法,以及当前安全性和可用性方面的挑战。第3节详细介绍了我们提出的技术。第4节给出了实验结果(包括决策和分析)。第5节阐述了我们的结论和未来的工作。
2.文献综述
由于当今智能设备的进步和现代化的复杂性,许多研究人员已经实现了生物特征认证,以显著提高系统安全性和可用性 [ 9 ]。遗憾的是,超时和失败是传统身份验证技术的两个主要缺点,例如图案锁、PIN 码、基本生物特征识别系统和密码。虽然传统身份验证简单、轻量且易于实现,但事实证明,它们容易受到暴力破解、密码盗窃和网络钓鱼攻击 3、7、10、11 []。一旦静态凭证被泄露,攻击者就可以获得无限制访问权限,从而破坏系统的安全 [ 12 ]。为了解决这些漏洞,最近的研究将机器学习算法和传感器数据与传统身份验证结合起来,以提供更安全、更有弹性的系统,抵御许多严重的攻击[ 4、13 []](https://www.mdpi.com/2624-800X/5/2/20#B4-jcp-05-00020)。
2.1. 用于身份验证系统的行为生物识别技术
生物特征认证系统(包括指纹和面部识别)已被引入作为解决传统方法局限性的替代方案。与密码相比,这些系统提供了更高的安全性和用户便利性 [ 14,15 ]。然而,面部识别系统可能会被高质量图像或面具欺骗,指纹传感器易受雨水、灰尘和物理退化等环境因素的影响 [ 16,17 ],并且容易受到高级欺骗技术的攻击 [ 18,19 ]。上述挑战强调了对能够同时解决安全性和可用性问题的弹性、动态和自适应身份验证方法的需求。在 [ 20 ] 中,作者将指纹、面部识别和虹膜扫描结合起来作为传统方法的替代方案。虽然该提案利用生理特征进行用户验证并提供了增强的安全性,但它容易受到湿度、光照条件和设备方向等环境因素的影响 [ 21 ]。此外,生物特征数据容易受到欺骗,攻击者可以模仿用户凭据 [ 19,22 ]。这提高了基于行为的身份验证方法的需求。
行为生物识别技术依赖于用户交互模式(例如滑动动态、打字速度和触摸压力)来实现持续身份验证。与静态生理生物识别技术不同,行为方法是动态的,能够随着时间推移适应用户行为的变化,从而能够抵御欺骗尝试和对抗性攻击 [ 6 ]。许多研究表明行为生物识别技术对智能手机身份验证性能的影响。Smith 等人采用滑动轨迹和压力水平来区分冒名顶替者与真人 [ 23 ]。在 [ 24 ] 中