Human-Computer Interaction: Security Aspects

Abstract

Along with the rapid development of intelligent information age, users are having a growing interaction with smart devices. Such smart devices are interconnected together in the Internet of Things (IoT). The sensors of IoT devices collect information about users' behaviors from the interaction between users and devices. Since users interact with IoT smart devices for the daily communication and social network activities, such interaction generates a huge amount of network traffic. Hence, users' behaviors are playing an important role in the security of IoT smart devices, and the security aspects of Human-Computer Interaction are becoming significant. In this dissertation, we provide a threefold contribution: (1) we review security challenges of HCI-based authentication, and design a tool to detect deceitful users via keystroke dynamics; (2) we present the impact of users' behaviors on network traffic, and propose a framework to manage such network traffic; (3) we illustrate a proposal for energy-constrained IoT smart devices to be resilient against energy attack and efficient in network communication. More in detail, in the first part of this thesis, we investigate how users' behaviors impact on the way they interact with a device. Then we review the work related to security challenges of HCI-based authentication on smartphones, and Brain-Computer Interfaces (BCI). Moreover, we design a tool to assess the truthfulness of the information that users input using a computer keyboard. This tool is based on keystroke dynamics and it relies on machine learning technique to achieve this goal. To the best of our knowledge, this is the first work that associates the typing users' behaviors with the production of deceptive personal information. We reached an overall accuracy of 76% in the classification of a single answer as truthful or deceptive. In the second part of this thesis, we review the analysis of network traffic, especially related to the interaction between mobile devices and users. Since the interaction generates a huge amount of network traffic, we propose an innovative framework, GolfEngine, to manage and control the impact of users behavior on the network relying on Software Defined Networking (SDN) techniques. GolfEngine provides users a tool to build their security applications and offers Graphical User Interface (GUI) for managing and monitoring the network. In particular, GolfEngine provides the function of checking policy conflicts when users design security applications and the mechanism to check data storage redundancy. GolfEngine not only prevents the malicious inputting policies but also it enforces the security about network management of network traffic. The results of our simulation underline that GolfEngine provides an efficient, secure, and robust performance for managing network traffic via SDN. In the third and last part of this dissertation, we analyze the security aspects of battery-equipped IoT devices from the energy consumption perspective. Although most of the energy consumption of IoT devices is due to user interaction, there is still a significant amount of energy consumed by point-to-point communication and IoT network management. In this scenario, an adversary may hijack an IoT device and conduct a Denial of Service attack (DoS) that aims to run out batteries of other devices. Therefore, we propose EnergIoT, a novel method based on energetic policies that prevent such attacks and, at the same time, optimizes the communication between users and IoT devices, and extends the lifetime of the network. EnergIoT relies on a hierarchical clustering approach, based on different duty cycle ratios, to maximize network lifetime of energy-constrained smart devices. The results show that EnergIoT enhances the security and improves the network lifetime by 32%, compared to the earlier used approach, without sacrificing the network performance (i.e., end-to-end delay).Insieme al rapido sviluppo dell'era dell'informazione, gli utenti stanno avendo una crescente interazione con i dispositivi intelligenti. Tali dispositivi intelligenti sono interconnessi tra loro nell'Internet of Things (IoT). I sensori dei dispositivi IoT raccolgono informazioni sui comportamenti degli utenti dall'interazione tra utenti e dispositivi. Poiché gli utenti interagiscono con i dispositivi intelligenti IoT per le attività quotidiane di comunicazione e social network, tale interazione genera un'enorme quantità di traffico di rete. Quindi, i comportamenti degli utenti stanno giocando un ruolo importante nella sicurezza dei dispositivi intelligenti IoT e gli aspetti di sicurezza dell'interazione uomo-macchina stanno diventando significativi. In questa tesi, forniamo un triplice contributo: (1) esaminiamo le sfide alla sicurezza dell'autenticazione basata su HCI e progettiamo uno strumento per rilevare utenti ingannevoli tramite la dinamica dei tasti; (2) presentiamo l'impatto dei comportamenti degli utenti sul traffico di rete e proponiamo un framework per gestire tale traffico di rete; (3) illustriamo una proposta per dispositivi intelligenti IoT con vincoli energetici per essere resilienti contro attacchi energetici ed efficienti nella comunicazione di rete. Più in dettaglio, nella prima parte di questa tesi, analizziamo il modo in cui i comportamenti degli utenti influiscono sul modo in cui essi interagiscono con un dispositivo. Quindi, esaminiamo il lavoro relativo alle sfide di sicurezza dell'autenticazione basata su HCI su smartphone e Brain-Computer Interfaces (BCI). Inoltre, progettiamo uno strumento per valutare la veridicità delle informazioni che gli utenti inseriscono usando la tastiera di un computer. Questo strumento si basa sulla dinamica dei tasti e si basa sulla tecnica di apprendimento automatico per raggiungere tale obiettivo. Per quanto siamo a conoscenza, questo è il primo lavoro che associa i comportamenti degli utenti di digitazione alla produzione di informazioni personali ingannevoli. Abbiamo raggiunto un'accuratezza complessiva del 76% nella classificazione di una singola risposta come veritiera o mendace. Nella seconda parte di questa tesi, esaminiamo l'analisi del traffico di rete, in particolare in relazione all'interazione tra dispositivi mobili e utenti. Poiché l'interazione genera un'enorme quantità di traffico di rete, proponiamo un framework innovativo, GolfEngine, per gestire e controllare l'impatto del comportamento degli utenti sulla rete facendo affidamento sulle tecniche di Software Defined Networking (SDN). GolfEngine fornisce agli utenti uno strumento per costruire le loro applicazioni di sicurezza e offre una GUI (Graphical User Interface) per la gestione e il monitoraggio della rete. In particolare, GolfEngine fornisce la funzione di controllare i conflitti di policy quando gli utenti progettano applicazioni di sicurezza e il meccanismo per controllare la ridondanza dell'archiviazione dei dati. GolfEngine non solo previene le politiche di inserimento malizioso, ma impone anche la sicurezza sulla gestione della rete del traffico di rete. I risultati della nostra simulazione sottolineano che GolfEngine fornisce prestazioni efficienti, sicure e robuste per la gestione del traffico di rete tramite SDN. Nella terza e ultima parte di questa tesi, analizziamo gli aspetti di sicurezza dei dispositivi IoT dotati di batteria dal punto di vista del consumo energetico. Sebbene la maggior parte del consumo di energia dei dispositivi IoT sia dovuta all'interazione dell'utente, c'è ancora una quantità significativa di energia consumata dalla comunicazione point-to-point e dalla gestione della rete IoT. In questo scenario, un avversario può compromettere un dispositivo IoT e condurre un attacco Denial of Service (DoS) che punta a esaurire le batterie di altri dispositivi. Pertanto, proponiamo EnergIoT, un nuovo metodo basato su politiche energetiche che prevengono tali attacchi e, allo stesso tempo, ottimizza la comunicazione tra utenti e dispositivi IoT ed estende la durata della rete. EnergIoT si basa su un approccio di clustering gerarchico, basato su diversi rapporti di duty cycle, per massimizzare la durata della rete di dispositivi intelligenti con vincoli energetici. I risultati mostrano che EnergIoT migliora la sicurezza e la durata della rete del 32%, rispetto agli approcci utilizzati in precedenza, senza sacrificare le prestazioni della rete (cioè, ritardo end-to-end)