Nesta secção são analisados os resultados obtidos quando é introduzida e processada apenas uma única simulação, correspondente a um único utilizador simulado. Espera-se que o sistema consiga associar todas as visitas efectuadas durante a simulação constituindo dessa forma uma única sessão. Estes resultados permitem, de uma forma simples e intuitiva, demonstrar o modo como o sistema funciona e o tipo de resultados que a User Tracking Analysis Tool fornece. Apenas são apresentados três exemplos, já que seria repetitivo e maçador apresentar os resultados de simulações de cada um dos perfis e uma vez que cada perfil simulado é analisado individualmente na secção 7.3.
24B7.2.1 – Simulação de um utilizador do perfil Padrão
O perfil Padrão serve de base de comparação para todos os outros resultados obtidos. Como já foi referido, as simulações que seguem este perfil procuram representar os utilizadores que não se preocupam com questões de segurança e privacidade e que mantêm os valores identificadores constantes entre sessões Web, permitindo assim que todas as técnicas utilizadas para associar as várias visitas operem com sucesso. Na realidade é precisamente este o resultado a que se chegou. Como pode ser observado na 142HFigura 7.1, para
cada tipo de técnica implementada foi obtida uma única sessão. Estas sessões não pretendem reflectir as sessões Web mas sim todas visitas de um único utilizador.
65
Para que se possa perceber que cada uma destas sessões é idêntica, ou seja, que cada técnica agrupou exactamente as mesmas visitas, foi incluída a 143HTabela 7.2.
Tabela 7.2 - Simulação de utilizador Padrão (SDC.00003): Sessões reconstruídas
Nesta representação as sessões aparecem como uma lista de JICs IDs, o que é correcto uma vez que uma sessão não é mais do que um conjunto de visitas a este site, visitas estas que executam o código do JIC originando um identificador único para cada uma delas. Esta tabela permite ainda observar a forma como a User Tracking Analysis Tool apresenta os dados, permitindo a comparação entre as listas de visitas associadas por cada uma das técnicas de similaridade (DPP Associated JICs IDs), guardadas na base de dados, e as listas gravadas nos logs gerados pelo Selenium aquando da simulação (Simulation Associated JICs IDs). Desta comparação de listas são ainda obtidos automaticamente os valores de Precision, Recall e F-Measure que podem ser também consultados forma de um gráfico, 144HFigura 7.2.
66 Testes e Resultados
Figura 7.2 - Simulação de utilizador Padrão (SDC.00003): Resultados de User Tracking
Neste caso concreto os valores obtidos indicam que cada uma das técnicas utilizadas para determinar a similaridade entre as visitas formou uma sessão que inclui todas as visitas, coincidindo exactamente com os registos da simulação processada, como era desejado e esperado.
25B7.2.2 – Simulação de um utilizador do perfil Segurança (3)
Ao contrário do caso anterior, este perfil implica já a alteração de vários elementos entre cada visita ao website. Como pode ser verificado no 145HAnexo D – Registo de Simulações ou
ainda na 1 46HTabela 6.1, a simulação de um utilizador que respeite as características definidas
para este perfil exige que entre cada visita os valores dos cookies e Flash cookies sejam apagados e ainda que seja utilizado um browser aleatório. Estas características reflectem-se desde logo nas sessões reconstruídas pelo UserTracking DPP, como se pode verificar na 147HFigura
7.3.
67
Uma vez que os valores de cookies e Flash cookies não se repetem as respectivas técnicas de associação não conseguem agrupar as visitas. Deste modo não existe nenhum dado relativo a estas técnicas apresentado para esta simulação, como pode ser observado quer na 148HFigura 7.3,
quer na 149HTabela 7.3 ou ainda na 150HFigura 7.4.
68 Testes e Resultados
No entanto, uma vez que o endereço IP se mantém constante ao longo da simulação, esta técnica consegue agrupar todas as visitas deste utilizador, permitindo também que a análise combinada de todas as técnicas consiga um bom resultado.
Já os resultados obtidos através do método baseado na comparação de assinatura não são tão simples de compreender. De facto são criadas cinco listas diferentes quando apenas um utilizador foi simulado o que, numa análise superficial poderia parecer um mau resultado. Contudo, uma análise mais cuidada da simulação que está aqui a ser analisada revela que se trata de uma simulação executada em ambiente Windows, em que a cada visita ao website o Selenium permite a escolha aleatória de entre cinco browsers diferentes. Um facto que é importante lembrar é que muitos dos testes utilizados na técnica de assinatura foram escolhidos especificamente para distinguir browsers. Aqui pode ser observado o resultado: a assinatura é alterada segundo o browser utilizado e todas as visitas que utilizam o mesmo browser são agrupadas por esta técnica de similaridade, assim obtêm-se as cinco listas de agrupadas por assinatura. Esta explicação foi verificada manualmente através de consultas à base de dados, comparando os campos de User-Agent e os JIC IDs de cada uma das listas criadas. Também se pode observar na 151HTabela 7.3 que os JIC IDs não se repetem entre as
diversas listas construídas por comparação de assinatura e que o número total de JICs associados, somando as cinco listas, corresponde às vinte e cinco visitas efectuadas nesta simulação. Este comportamento resulta de um bom funcionamento do sistema, as listas criadas mantém a precisão mas os valores de recall aparecem mais baixos uma vez que foram criadas várias listas, diferenciando os browsers que o utilizador usou. Os resultados para esta simulação indicam, portanto, que o sistema teve o desempenho esperado atingindo os objectivos propostos.
Figura 7.4 - Simulação de utilizador Segurança (3) (SDC.00024): Resultados de User
69
26B7.2.3 – Simulação de um utilizador do perfil Malicioso (2)
O perfil de utilizador Malicioso (2) apresenta como características a alteração dos valores do endereço IP, do cookie e ainda a escolha de um browser aleatório para cada visita simulada. Como pode ser observado na 152 HFigura 7.5, nenhuma lista de visitas pôde ser criada a
partir dos valores de endereços IP ou de cookies, como era esperado. A associação através da técnica de Flash cookie confirmou que, se estes cookies não forem apagados, mesmo que um utilizador mude de browser os cookies mantêm-se acessíveis e inalterados, permitindo assim a identificação do utilizador.
Figura 7.5 – Simulação de utilizador Malicioso (2) (SDC.00041): Sessões reconstruídas
Esperava-se que o comportamento da técnica de comparação de visitas por assinatura fosse idêntico ao apresentado no exemplo anterior, na secção 7.2.2. No entanto, nesta simulação, também efectuada na máquina virtual Windows, com os mesmos cinco browsers disponíveis para uso aleatório, apenas foram apresentadas quatro listas associadas por esta técnica. Após a consulta à 153HTabela 7.4 e necessária confirmação através de pesquisas à base
de dados concluiu-se que, de facto, todos os cinco browser foram utilizados durante a simulação mas que um deles apenas foi utilizado uma vez. Desta forma, a assinatura gerada pelo UserTracking DPP para este browser aparece apenas uma vez na base de dados e, consequentemente, não lhe está associada nenhuma lista. Isto explica o facto de a soma de todos os JICs associados através de assinatura ser apenas vinte e quatro, evidenciando a falta de um JIC presente na simulação. De facto, o JIC com ID 4 não está presente em nenhuma destas listas, como se pode constatar na 154HTabela 7.4.
Apenas é formada uma única lista através da combinação das diferentes técnicas uma vez que o identificador fornecido pelo Flash cookie é comum a todas as listas obtidas pelo processo de comparação por assinatura. Pode-se concluir, portanto, que todas as visitas que um utilizador com as características definidas para o perfil Malicioso (2) faça serão identificadas pelo sistema implementado.
70 Testes e Resultados
Tabela 7.4 - Simulação de utilizador Malicioso (2) (SDC.00041): Sessões reconstruídas