4 Эмпирическое исследование

Цель этого исследования - проверить утверждение о том, что пользователи могут быть аутентифицированы из своего поведения в Интернете. Все эксперименты проводились на инструменте машинного обучения Weka (Hall et al., 2009), дополненном нашими собственными ансамблевыми алгоритмами. Мы извлекли особенности поведения просмотра веб-страниц, описанные выше, из каждого пользовательского сеанса и объединили их в один вектор функций. Набор данных пользователя состоял из всех сеансов, собранных для этого пользователя. Для каждого пользователя мы сравнивали количество ложно отбраковки (FRR) (то есть ложно отрицательных заключений) и вероятность ложного распознания (FAR) (то есть ложную положительное заключение) для классификаторов, полученных из каждого набора функций, и классификатор ансамблей, состоящий из основанных на классификаторах на взвешенной случайной выборке этих функций. Результаты FRR были получены с использованием кросс-валидации в наборе данных пользователя, тогда как результаты FAR были получены путем применения классификатора, полученного на наборе данных, содержащем данные всех других пользователей. Обратите внимание, что результаты FRR будут лучше на практике.

4.1 Классификация по одному классу

Классификация одного класса имеет значение в контексте классификации только с положительными примерами, где негативные примеры трудно найти или не вписываются в уникальную категорию. Некоторые приложения для классификации одного класса включают обнаружение аномалий, обнаружение мошенничества, обнаружение ошибок, проверку авторства и классификацию документов, где категории изучаются индивидуально. Цель классификации одного класса - обнаружить все классы, которые отличаются от целевого класса, не зная их заранее. Классификация одного класса похожа на неконтролируемое обучение, но пытается решить дискриминационную проблему (то есть я или не я), а не порождающую проблему, как в алгоритмах кластеризации или оценке плотности. Несколько алгоритмов были изменены для выполнения классификации одного класса. Мы использовали одноклассовый SVM, доступный с LibSVM (Schölkopf et al., 2000) как часть инструментального средства машинного обучения Weka. SVM - это маргинальные классификаторы, которые сопоставляют векторы объектов с более высоким пространством с использованием ядер, основанных на метриках сходства. Целью оптимизации в SVM является поиск линейной разделительной гиперплоскости с максимальным запасом между границами класса. В случае гауссовского ядра обнаруживается нелинейная разделительная гиперплоскость, разделяющая границы классов. Ядро преобразует пространство объектов с использованием меры подобия для поддержки «векторов» (т. Е. Экземпляров, близких к границам принятия решений), максимизируя грань. Формально пусть x и x’ - два функциональных вектора, а Φ - функция отображения функций в более высокомерное пространство, функция ядра k определяется k(x, x’) = Φ(x) ^t Φ(x’). Поскольку количество функций и количество примеров (сеансов) для каждого пользователя относительно малым, мы используем ядро радиальной базы функций (Hsu et al., 2003) на основе гауссовского преобразования пространственного пространства с параметрами по умолчанию. Один класс SVM в библиотеке LibSVM просто находит разделяющую гиперплоскость относительно происхождения в качестве вектора поддержки в классе комплемента.

В таблице 1 приведены результаты одноклассовой классификации SVM для каждого пользователя и для каждого набора функций. Глобальные функции включают распределение DOW, распределение TOD, количество просмотров страниц, количество уникальных просмотров страниц и среднюю продолжительность каждого просмотра страницы в сеансе. Для каждого сеанса паузы (менее 5 минут), всплески (менее 10 минут) и время между повторами были дискретизированы в 100 контейнеров. Все функциональные распределения (DOW, TOD, паузы, всплески, повторы и жанры) были нормализованы. Кроме того, каждая функция была масштабирована в диапазоне [-1,1] в наборе учебных данных (то есть в наборе данных пользователя). Результаты FRR получают с 10-кратным перекрестным усреднением, усредненным в течение 10 прогонов, в то время как результаты FAR получают путем применения классификатора, прошедшего обучение по всему набору данных пользователя, к данным других пользователей, применяющих масштабирование признаков, полученное во время обучения (Hsu et al., 2003). Обратите внимание, что результаты FRR должны быть лучше на практике.

Рисунок 7 объединяет результаты таблицы 1. Это иллюстрирует перетягивание каната между результатами FRR и FAR и трудностью получения хороших результатов для показателей аутентификации. Увеличение FRR обычно сопровождается уменьшением FAR и наоборот. Было обнаружено, что жанры и глобальные функции хорошо влияют на поведение веб-браузера (о чем свидетельствуют более низкие ставки FAR), в то время как паузы, всплески и повторные посещения, как было обнаружено, имеют более высокую скорость распознавания (о чем свидетельствуют более низкие ставки FRR). Однако ни одна из отдельных функций в изоляции не достаточно хороша для аутентификации пользователя.

Рисунок 7: Среднее сравнение результатов набора функций