Моделирование движения мыши для поиска мошенников на вашем сайте

Возросшие темпы цифровизации также привели к увеличению риска мошенничества в Интернете. Эти угрозы затрагивают все отрасли, будь то банковское дело, розничная торговля или даже образование. Компании всегда ищут способы защитить своих данные и бюджеты. В последнее время стали использоваться поведенческие методы, такие как анализ движений мыши для обнаружения нежелательного доступа.

Данная статья основана на превосходном техническом исследовании в IET Journal «Обнаружение угроз с использованием динамики движения мыши», авторы Маргит Антал и Элода Эгеда-Зигмонда и тестовом наборе данных Balabit Mouse Challenge (ET Journal Intrusion Detection using Mouse Dynamics (https://arxiv.org/pdf/1810.04668v1.pdf).

Введение

Как правило, у каждого свой стиль использования мыши, особенно на определенных сайтах. Некоторые люди могут быть быстрыми, некоторые медленными. Некоторым нравится ориентироваться больше, чем другим. Вы можете многое узнать о своем поведении, просто взглянув на данные о движении мыши. Образец набора данных, чтобы проиллюстрировать, как анализировать движение движение мыши, приведет ниже (источник доступен для желающих здесь https://github.com/balabit/Mouse-Dynamics-Challenge — готовые наборы данных для анализа).

user,session,record_timestamp,client_timestamp,button,state,x,y,fraud
user12,session_2144641057,8.19099998474,8.19,NoButton,Move,700,621,0
user12,session_2144641057,8.29499983788,8.299,NoButton,Move,701,644,0
user12,session_2144641057,8.40699982643,8.299,NoButton,Move,699,648,0
user12,session_2144641057,8.40799999237,8.40899999999,NoButton,Move,597,719,0
user12,session_2144641057,8.53499984741,8.533,NoButton,Move,585,739,0
user12,session_2144641057,8.64699983597,8.64299999998,NoButton,Move,608,747,0
user12,session_2144641057,8.77499985695,8.76699999999,NoButton,Move,616,748,0
user12,session_2144641057,8.92699980736,8.92300000001,NoButton,Move,642,745,0
user12,session_2144641057,9.10299992561,9.09499999997,NoButton,Move,644,743,0
user12,session_2144641057,9.21499991417,9.21999999997,NoButton,Move,646,740,0
user12,session_2144641057,9.32699990273,9.32899999997,NoButton,Move,647,738,0
user12,session_2144641057,10.0629999638,10.062,Left,Pressed,647,738,0
user12,session_2144641057,10.1989998817,10.203,NoButton,Drag,648,738,0
user12,session_2144641057,10.4069998264,10.296,NoButton,Drag,648,743,0
user15,session_0003960194,178.628999949,178.637,Left,Pressed,1163,272,1
user15,session_0003960194,178.729000092,178.715,Left,Released,1163,272,1
user15,session_0003960194,179.220000029,179.229,NoButton,Move,1159,272,1
user15,session_0003960194,179.344000101,179.245,NoButton,Move,1141,271,1
user15,session_0003960194,179.344000101,179.261,NoButton,Move,1105,271,1
user15,session_0003960194,179.344000101,179.276,NoButton,Move,1052,276,1
user15,session_0003960194,179.344000101,179.292,NoButton,Move,984,288,1
user15,session_0003960194,179.344000101,179.307,NoButton,Move,949,290,1
user15,session_0003960194,179.344000101,179.323,NoButton,Move,902,292,1
user15,session_0003960194,179.344000101,179.354,NoButton,Move,829,294,1
user15,session_0003960194,179.463000059,179.37,NoButton,Move,727,294,1
user15,session_0003960194,179.463000059,179.385,NoButton,Move,562,279,1
user15,session_0003960194,179.463000059,179.401,NoButton,Move,484,267,1
user15,session_0003960194,179.463000059,179.417,NoButton,Move,433,259,1

Репозиторий по ссылке выше содержит готовый реальный набор данных Balabit Mouse Dynamics Challenge и включает информацию о времени и местоположении указателей мыши. Он может быть использован для оценки производительности поведенческих и биометрических алгоритмов, основанных на анализе движения мыши, для целей аутентификации и идентификации пользователя. Набор данных был впервые обнародован во время конкурса по науке о данных, посвященного данным datapallet.io

Набор данных о движении мыши содержит такие поля, как пользователь (user), сеанс (session), отметка времени (timestamp) клиента, которые предоставляют информацию о пользователе и времени действия. Поля X и Y указывают координаты на экране, указывающие местоположение мыши. Состояние мыши, такое как перемещение, перетаскивание, нажатие, также фиксируется (поле State). Поле Fraud- это помеченное поле, основанное на том факте, был ли доступ нежелательным или обычным.

Моделирование движения мыши творчески использует эти поля, чтобы определить, какое поведение является нормальным, а какое нежелательным. Во-первых, давайте визуализируем, как выглядит движение мыши. Ниже показана визуализация в виде анимации движения мыши для обычного использования.

Движение мышкой человека

Аналогичная визуализация для нежелательного доступа также показана здесь

Так двигает мышкой бот (если он вообще двигает)

Моделирование движений мыши требует знаний об элементарной физике, таких как расстояние, угловая скорость, ускорение и т.д. Для извлечения объектов. Здесь я объясняю, что означают эти функции и как они могут быть полезны при выявлении нежелательного доступа.

Пройденное расстояние по экрану

Пройденное расстояние по экрану — это расстояние между двумя позициями экрана, в которых перемещалась мышь. Два положения экрана соответствуют состоянию ОТПУСКАНИЯ мыши и состоянию НАЖАТИЯ мыши

Движение между состояниями

Расстояние по экрану, пройденное мышью, равно евклидову расстоянию между точкой P1 и точкой PN
Мы можем проанализировать пройденное расстояние экрана для обычного и мошеннического доступа с помощью блок-схемы

Вы заметите, что диапазон расстояния экрана, пройденного при нежелательном доступе, меньше, чем при обычном доступе. Это означает, что нежелательный доступ, как правило, фокусируется на небольшой части экрана. Обычный доступ, как правило, заключается в изучении разных частей экрана.

Для заядлых читателей, вы, должно быть, заметили это поведение из приведенных выше анимаций. Как вы можете видеть, диапазон осей x и y для обычного доступа намного больше, чем для нежелательного доступа.

Угол перемещения

Угол движения указывает направление движения. Он находится в диапазоне от 0 до 360°. Угол можно использовать, чтобы узнать о характере движения. Например, движение на 0° или 180° указывает на прямое движение, в то время как движение на 90° или 270° указывает на вертикальное движение.
Мы также можем разделить угол на 8 направлений, как показано ниже.

Мы можем проанализировать угол движения с помощью визуализации радарной диаграммы. Здесь проиллюстрирована радиолокационная диаграмма угла движения для обычного и нежелательного доступа. Длина линии в каждом направлении — это средний угол движения в этом конкретном направлении

Мы можем заметить, что нежелательный доступ и обычный доступ почти полностью перекрываются на радарной диаграмме. Это означает, что между двумя видами доступа нет большой разницы в угле перемещения

Скорость

Обычно, когда мы думаем о таких событиях, как ограбление автомобиля или ограбление банка, мы склонны думать, что это делается быстро и быстро. Итак, любой мошеннический или нежелательный доступ в Интернете также осуществляется на высокой скорости? Позвольте нам выяснить.

Скорость — это показатель скорости. Он измеряется как расстояние перемещения мыши в пикселях за одну секунду. Мы можем использовать эту концепцию для анализа скорости движения мыши. Скорость двух видов доступа проиллюстрирована с помощью прямоугольного графика.

Как вы заметите, скорость мыши при нежелательном доступе, как правило, выше, чем при обычном доступе. При нежелательном доступе мышь перемещается в диапазоне от 0 до 250 пикселей в секунду. При нежелательном доступе не наблюдается никаких отклонений. При обычном доступе мышь перемещается в диапазоне от 0 до 100 пикселей в секунду, однако некоторые выбросы отображаются как черные точки вне диапазона. Эти выбросы представляют собой внезапные движения с высокой скоростью.

Этот анализ подтверждает наше представление о поведении онлайн-мошенников. Это очень похоже на поведение по сравнению с ограблением автомобиля или онлайн-кражей. Мошенник имеет тенденцию заканчивать свою деятельность очень быстро, но без каких-либо резких движений.

Угловая скорость

Мы видели, что скорость нежелательного доступа, как правило, выше, чем у обычного доступа, в то время как у обычного доступа есть некоторые внезапные быстрые движения. Было бы интересно узнать о направлении этих движений, чтобы увидеть, раскрывает ли это какие-то дополнительные идеи.

Мы можем объединить вышеупомянутые понятия углового движения и скорости в понятие угловой скорости. Это показатель скорости в определенном направлении.

Важным моментом, который следует учитывать при измерении угловой скорости, является то, что она может быть положительной или отрицательной. Все движения, которые идут слева направо (под любым углом), будут иметь положительную угловую скорость. В то время как те, которые движутся справа налево, будут иметь отрицательную угловую скорость.

Визуализация гистограммы угловой скорости для двух видов доступа, показанных здесь.

Вы заметите, что большинство внезапных быстрых движений при нормальном доступе имеют отрицательную угловую скорость, что означает движение назад. Это может означать, что необходимо внести некоторые исправления в некоторые уже заполненные поля или щелкнуть по левому боковому меню.

В дополнение к вышесказанному, некоторые другие интересные характеристики, которые можно рассчитать с помощью угла и скорости, — это прямолинейность и кривизна. Прямолинейность — это движения, очень близкие к 0°. Кривизны — это движения, которые представляют собой круг или кривую.

Мы можем использовать вышеперечисленные интересные функции для построения модели, которая может предсказать нежелательный доступ. Некоторые из функций, которые обычно считаются полезными, следующие

расстояние до экрана
Угол перемещения
Скорость
Угловая скорость
Прямые Движения
Кривизна
Время начала движения
Минимальное, максимальное, стандартное отклонение вышеуказанных значений

Благодаря этим функциям, как правило, достигается хорошая точность. Прогнозирование модели и точность могут варьироваться в зависимости от конкретной ситуации, отрасли. Итак, чтобы подвести итог, мы увидели, как анализ данных о поведении мыши может быть полезен для прогнозирования нежелательного или мошеннического доступа.

Такие данные, как расстояние, скорость, угол в сочетании с элементарными знаниями физики, могут быть использованы для творческой разработки функций для разработки прогностических моделей для борьбы с онлайн-мошенничеством

Полное руководство по защите от скликивания вашей рекламы (73 стр.) 2 издание (май 2022).
This is default text for notification bar

Конкуренты скликивают рекламу?

Подключите защиту и посмотрите, сколько ботов кликают на вашу контекстную рекламу Яндекс.Директ и оцените потери вашего бюджета! Если не понравится - мы вернем вам деньги.