一种基于网站反馈和集成学习的口令强度分类方法
本文选题:密码 切入点:密码策略 出处:《北京交通大学》2017年硕士论文
【摘要】:在现有的认证方法中,口令是最常用的认证方法。尽管口令已经被人们使用了数十年,对于蓄意破坏信息系统安全性的攻击者来说,基于口令的系统仍然很容易受到攻击。口令认证系统的漏洞来源于用户自身以及所选用的口令强度。用户倾向于选择简单的口令,比如自己的名字或电话号码,当遇到要求使用不同的登录口令时,他们习惯于使用相同的或相近的口令。另一方面,口令强度检查器在口令强度上给用户的反馈中显示出不一致的行为。关于口令认证存在这几个问题。首先,将最小长度和字符组成的类型作为口令强度要求的策略在信息行业中仍然是主要手段,令人惊讶的是,大多数网站都将其作为唯一手段。其次,信息行业中能够使用的衡量口令强度并反馈给用户的指标缺乏一致性。第三,大多数指标仍然是基于熵的测量,主要考虑口令字符的长度和组成。攻击者利用用户在创建口令时与网站检查器给出的建议不一致或不准确的弱点来实施口令破解,在这方面,信息行业如何应对当前的问题其实有很多方针和建议。许多组织试图实施一个要求长度和字符组成的口令策略和检查器,来迫使用户创建强口令。然而,对于基于口令认证系统的安全性来说,如何测量口令的强度是一个关键问题。口令强度是防御者和攻击者之间的一个博弈,也是一个动态过程,这种动态过程需要适当的建模。在作者的观察中,一些网站试图将这种动态策略纳入他们的网站口令检查器中。作者相信,本文的办法是通过整合网站策略来建立一个先进的口令检查器。本论文对代表性的网站的口令安全措施的实现与实践进行大规模数据分析,发现了网站口令检查器存在的各种问题,开发了一种基于神经网络学习网站口令检查策略的口令强度检查器。首先选择2016年6月Alexa排名前100的网站(排除了那些没有用户注册页面、有色情内容、或需要社会安全号码来注册的网站),从每个选定的网站(通过访问用户注册页面)获取了口令策略(口令要求)、用户建议、用户反馈、口令指标和其它类似的信息。本论文使用的训练口令集合是从不同站点收集并保存在Skull安全维基百科的已遭泄漏的用户口令。除此之外,还有约40%的口令是通过Rockyou 口令的leet转换而来的。本文使用选中的10个网站检查器分析了所收集的口令的强度。我们从Chrome调试器获取到了使用客户端检查器的网站的JavaScript脚本,然而,我们使用php curl请求来访问这些网站的服务器端检查器,并且采用网站的口令检查来训练一个基于多层感知器(MLP)模型的神经网络,从而构成了融合各种网站口令策略的口令检查器。从分析的数据可以发现,不同的网站有不同的口令策略来适应他们的业务性质。那些包含隐私信息(例如用于在线交易的银行帐号或用于注册的电子邮件地址)的网站往往需要严格的口令策略。另一方面,诸如博客之类的网站没有严格的口令策略,这样用户就可以用最少的代价来创建口令。制定不严格的口令策略的原因之一是为了吸引更多的用户,因为用户通常会在这个过程中施以最小的认知努力。最小字符长度、字符组成类型限制、禁用字典词和过于简单的口令,这些都是在网站上所观察到的口令策略。但是,最小字符长度是最主要的口令策略,实际上是所有被调查的网站都是这样实现的,有一些网站允许的最小字符长度可以小于6,相对来说,这些网站不从事存储或传输用户机密信息的业务功能,这样,可以允许用户用最小的努力来创建口令。大多数网站都要求口令的最小长度为6或以上。尽管研究人员和不同的指导方针建议,信息行业中在最短口令长度要求方面仍然存在着不一致的问题。考虑到口令字符组成的策略,有些网站在这方面并没有过多要求,但只要求口令的最小字符长度,只要满足这个要求,就不强迫用户必须创建由不同类型的字符组成的口令。相反,有些网站在字符组成上就有要求,甚至一些网站有特定的要求,比如至少包含大写字母、小写字母、数字和符号中的两种类型。一些实施严格的字符组成策略的网站是通过强制用户从大量的字符中进行选择来增加口令的随机性,但是,那些没有实现组合策略的网站赋予用户全部的权限,让他们可以选择任何所期望的字符。与最小长度策略相似,可以发现字符组合的策略中也存在不一致的问题。至于字典词或被禁用的简单口令(例如qwerty123)的策略,仅有很少量的网站给予实施。很明显,攻击者使用字典词或被禁用的简单口令来建模破解口令的算法,因此,通过字典或禁用的简单词语创建的口令很可能会受到攻击。在这方面,对该策略的强调并不令人满意。对用户进行口令创建的教育不足是提高口令安全性的一个重要问题。教导用户的方法之一是在注册网页中提供一项建议或信息,说明安全口令的重要性及其特性。从分析中发现,几乎所有的网站中向用户提供的口令策略,主要都是针对最短口令长度的要求,却不告知能够成为"强口令"的口令特征是怎样的。因此,总的来说,对用户关于安全口令重要性及其特征的教育短板在本文研究中得到发现,这对于信息行业的安全起着至关作用。每个网站可以根据自己的基准对口令的强度进行分类,然后将所选口令的强度反馈给用户。用户根据网站给予他们的反馈修改其先前所选择的口令,从而创建更安全的口令。但问题就是如何检测口令的强度,基于什么标准将口令分为弱、中、强三类。熵度量法是口令的主要指标,但是对于不同的网站有不同的测量策略。有些网站仅使用简单策略来测量口令的强度,例如仅考虑组合字符的类型,以及重复度,在这种情况下,网站可以对于不同长度的字符串给出不同的强度值,然后根据组合的不同字符类型来增大其强度值,根据其字符的重复度在减小其强度值;另一方面,一些网站部署复杂的策略来测量口令的强度,除了字符串长度、组合类型以及重复度等策略外,还包括连续字符、leet转换等策略,然后构建一个范围来完成对口令的强度分类,但是用什么来确定范围是不明显的。本论文使用收集的泄露口令字典对10个网站的口令检测器进行分析,发现不同的网站在口令强度级别上给予用户的反馈是不一致的。如上所述,每个网站都会使用自己的策略来完成对口令强度的测量和标记,并且他们会根据自己的口令级别向用户反馈结果,由于策略不同,对于相同的口令反馈的结果也会不同,在某网站被标记为中等级别的口令在其他网站可能会被标记为弱或强,这样可能会使用户混淆如何才能选择安全的口令。在本文中提出使用神经网络构建一个新颖的模型来实现口令强度的检测,该模型整合了来自不同网站的口令强度检测策略。由于神经网络是建立输入和输出之间关系的良好的近似方法,所以可以选择它来模拟预期的方法。只要有足够的隐藏层,并在每个隐藏层引入足够数量的神经元,神经网络就可以学习任何大小的数据。多层感知器(MLP)是具有多个隐藏层的神经网络之一。输入数据及其特征,输出标签,隐层数,每个隐层的神经元数,训练参数(如激活函数,学习方法)是构建MLP模型的决定性因素。在训练数据的准备阶段,在所有选定的口令检测器中测量给定口令,假设可以将来自所有检测器的强度标签逻辑组合起来,则可以根据不同网站的策略来建立一个综合的检测器。以这种方式来准备包含口令以及其新类标签的数据。将字符的"词频-逆文档频率"TF-IDF作为口令数据的特征。本文中MLP模型的实验结果可以证明创建一个组合多个站点的策略的检测器是可行的,因此,可以创建具有集成特征的口令,并且可以反馈给用户一致的测量结果。本论文实现了基于多层感知器(MLP)构建神经网络检测器,并且利用被泄露的口令和随机生成的口令对MLP神经网络进行了训练和测试,该模型的准确度达到99.5%。但是,其局限性还有待解决,例如实验中使用的口令数据可能还不足以影响系统的预测性能,此外,由于神经网络是一种黑箱模型,可能在有效引导用户如何选择口令方面是困难的。
[Abstract]:......
【学位授予单位】:北京交通大学
【学位级别】:硕士
【学位授予年份】:2017
【分类号】:TP309
【相似文献】
相关期刊论文 前10条
1 杨晓帅 ,付玫;神经网络技术让管理更轻松[J];软件世界;2000年11期
2 云中客;新的神经网络来自于仿生学[J];物理;2001年10期
3 唐春明,高协平;进化神经网络的研究进展[J];系统工程与电子技术;2001年10期
4 李智;一种基于神经网络的煤炭调运优化方法[J];长沙铁道学院学报;2003年02期
5 程科,王士同,杨静宇;新型模糊形态神经网络及其应用研究[J];计算机工程与应用;2004年21期
6 王凡,孟立凡;关于使用神经网络推定操作者疲劳的研究[J];人类工效学;2004年03期
7 周丽晖;从统计角度看神经网络[J];统计教育;2005年06期
8 赵奇 ,刘开第 ,庞彦军;灰色补偿神经网络及其应用研究[J];微计算机信息;2005年14期
9 袁婷;;神经网络在股票市场预测中的应用[J];软件导刊;2006年05期
10 尚晋;杨有;;从神经网络的过去谈科学发展观[J];重庆三峡学院学报;2006年03期
相关会议论文 前10条
1 徐春玉;;基于泛集的神经网络的混沌性[A];1996中国控制与决策学术年会论文集[C];1996年
2 周树德;王岩;孙增圻;孙富春;;量子神经网络[A];2003年中国智能自动化会议论文集(上册)[C];2003年
3 罗山;张琳;范文新;;基于神经网络和简单规划的识别融合算法[A];2009系统仿真技术及其应用学术会议论文集[C];2009年
4 郭爱克;马尽文;丁康;;序言(二)[A];1999年中国神经网络与信号处理学术会议论文集[C];1999年
5 钟义信;;知识论:神经网络的新机遇——纪念中国神经网络10周年[A];1999年中国神经网络与信号处理学术会议论文集[C];1999年
6 许进;保铮;;神经网络与图论[A];1999年中国神经网络与信号处理学术会议论文集[C];1999年
7 金龙;朱诗武;赵成志;陈宁;;数值预报产品的神经网络释用预报应用[A];1999年中国神经网络与信号处理学术会议论文集[C];1999年
8 田金亭;;神经网络在中学生创造力评估中的应用[A];第十二届全国心理学学术大会论文摘要集[C];2009年
9 唐墨;王科俊;;自发展神经网络的混沌特性研究[A];2009年中国智能自动化会议论文集(第七分册)[南京理工大学学报(增刊)][C];2009年
10 张广远;万强;曹海源;田方涛;;基于遗传算法优化神经网络的故障诊断方法研究[A];第十二届全国设备故障诊断学术会议论文集[C];2010年
相关重要报纸文章 前10条
1 美国明尼苏达大学社会学博士 密西西比州立大学国家战略规划与分析研究中心资深助理研究员 陈心想;维护好创新的“神经网络硬件”[N];中国教师报;2014年
2 卢业忠;脑控电脑 惊世骇俗[N];计算机世界;2001年
3 葛一鸣 路边文;人工神经网络将大显身手[N];中国纺织报;2003年
4 中国科技大学计算机系 邢方亮;神经网络挑战人类大脑[N];计算机世界;2003年
5 记者 孙刚;“神经网络”:打开复杂工艺“黑箱”[N];解放日报;2007年
6 本报记者 刘霞;美用DNA制造出首个人造神经网络[N];科技日报;2011年
7 健康时报特约记者 张献怀;干细胞移植:修复受损的神经网络[N];健康时报;2006年
8 刘力;我半导体神经网络技术及应用研究达国际先进水平[N];中国电子报;2001年
9 ;神经网络和模糊逻辑[N];世界金属导报;2002年
10 邹丽梅 陈耀群;江苏科大神经网络应用研究通过鉴定[N];中国船舶报;2006年
相关博士学位论文 前10条
1 杨旭华;神经网络及其在控制中的应用研究[D];浙江大学;2004年
2 李素芳;基于神经网络的无线通信算法研究[D];山东大学;2015年
3 石艳超;忆阻神经网络的混沌性及几类时滞神经网络的同步研究[D];电子科技大学;2014年
4 王新迎;基于随机映射神经网络的多元时间序列预测方法研究[D];大连理工大学;2015年
5 付爱民;极速学习机的训练残差、稳定性及泛化能力研究[D];中国农业大学;2015年
6 李辉;基于粒计算的神经网络及集成方法研究[D];中国矿业大学;2015年
7 王卫苹;复杂网络几类同步控制策略研究及稳定性分析[D];北京邮电大学;2015年
8 张海军;基于云计算的神经网络并行实现及其学习方法研究[D];华南理工大学;2015年
9 李艳晴;风速时间序列预测算法研究[D];北京科技大学;2016年
10 陈辉;多维超精密定位系统建模与控制关键技术研究[D];东南大学;2015年
相关硕士学位论文 前10条
1 章颖;混合不确定性模块化神经网络与高校效益预测的研究[D];华南理工大学;2015年
2 贾文静;基于改进型神经网络的风力发电系统预测及控制研究[D];燕山大学;2015年
3 李慧芳;基于忆阻器的涡卷混沌系统及其电路仿真[D];西南大学;2015年
4 陈彦至;神经网络降维算法研究与应用[D];华南理工大学;2015年
5 董哲康;基于忆阻器的组合电路及神经网络研究[D];西南大学;2015年
6 武创举;基于神经网络的遥感图像分类研究[D];昆明理工大学;2015年
7 李志杰;基于神经网络的上证指数预测研究[D];华南理工大学;2015年
8 陈少吉;基于神经网络血压预测研究与系统实现[D];华南理工大学;2015年
9 张韬;几类时滞神经网络稳定性分析[D];渤海大学;2015年
10 邵雪莹;几类时滞不确定神经网络的稳定性分析[D];渤海大学;2015年
,本文编号:1692289
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/1692289.html
