Augmenting authentication with behavioral biometrics in a mobile banking application

Abstract

Akıllı telefonlar hayatımızda çok önemli hale geldi. Sadece iletişim kurmak için değiller. Her biri akıllı bir kişisel asistandır. Oynuyoruz, çalışıyoruz ve nerede olursak olalım, onları kullanırken sosyalleşiyoruz. Hatta bir banka şubesine gitmek yerine onları kullanarak bankacılık işlemlerimizi yapıyoruz. Bununla birlikte, bu aşamada bazı olası güvenlik ve gizlilik sorunları akla geliyor. En büyük sorunlardan biri de akıllı telefonun üçüncü bir kişi tarafından çalınması veya ele geçirilmesidir. Bankalar müşterilerini kolaylıkla tahmin edilemeyecek bir şifre belirlemeye zorlayarak bu tür durumların çoğunu bertaraf eder. Ayrıca bankalar müşterilere ikinci bir güvenlik katmanı olarak SMS mesajları veya anlık bildirimler de gönderir. Bunların olması güzel ama yeterli değil. Bir müşterinin telefonun kilidini açtığını, ikinci güvenlik katmanını geçerek bankacılık uygulamasına girdiğini ve ardından bir hırsızın telefonu çaldığını varsayalım. Hırsız bu noktada sadece telefonu değil aynı zamanda banka hesaplarındaki parayı da elde etmektedir. Bu eylem literatürde Hesap Devralma Saldırısı olarak bilinmektedir. Bu tez, akıllı telefonların çalınması, izinsiz ele geçirilmesi ve yetkisiz kişiler tarafından işlem yapılması ile ortaya çıkabilecek olası risklere karşı, dokunma ve cihazın mikro hareketlerini izleyerek eğitilen bir davranış modeli ile hesap devralmayı engelleyen sürekli kimlik doğrulaması yapılan yeni bir güvenlik katmanı çözümü sunmaktadır. Bu çözüm bir mobil bankacılık uygulaması içerisinde uygulanmış ve tüm veriler bu uygulama ile toplanmıştır. Toplanan veriler bir makine öğrenme algoritması kullanılarak modellenmiştir. Doğrulama performansı ve kaynak tüketimi açısından değerlendirilen test sonuçları ve tüm uygulama süreçlerinin detayları da belirtilmiştir.Anahtar Kelimeler: Sürekli kimlik doğrulama, davranışsal biyometri, makine öğrenmesi, örüntü tanıma, güvenlik, yetkilendirme, kaynak tüketimi, mobil bankacılık uygulaması, hesap devralma saldırısı, uygulama güvenliği, telefon sensörleri, dokunmatik ekran, sınıflandırma, tek sınıf destek vektör makineleri.

Smartphones have become very important and essential tools for our daily lives. We can make our banking transactions by using them instead of going to a bank branch. However, some possible security and privacy issues come in mind at this point. One of the greatest issues would be the theft or seizure of the smartphone by a third person. Banks take care of most of the cases by forcing the customer set a password which is not easily guessable. Also the banks send SMS messages or instant notifications to customers as a second layer of security. These are good to have but may not be sufficient. Assume a customer unlocks the phone, crosses the second security layer into the banking application and then a thief steals the phone. The thief not only has the phone but also has the money that in the bank accounts at this point. This action is known as Account Takeover Attack in the literature. This thesis highlights the potential risks that occur when smartphones are stolen or seized, and provides a solution to account takeovers by using continuous authentication concepts, like continuous user identification via touch and micro movements, and the mechanisms of behavioral biometrics. The solution is implemented inside a mobile banking application and the data is collected with this application. The collected data is modeled utilizing a machine learning algorithm. The details of the augmentation process and the test results in terms of authentication performance and resource consumption are also provided.Keywords:Continuous authentication, behavioral biometrics, machine learning, pattern recognition, security, resource consumption, mobile banking application, account takeover attack, application security, mobile phone sensors, touchscreen, classification, one class svm.