انتخاب زبان

یادگیری عمیق مولد برای تولید رمز عبور: یک تحلیل مقایسه‌ای

تحلیل مدل‌های یادگیری عمیق (VAEها، GANها، شبکه‌های توجه) برای حدس زدن رمز عبور. شامل ارزیابی عملکرد روی مجموعه‌داده‌های اصلی مانند RockYou و LinkedIn.
computationalcoin.com | PDF Size: 0.7 MB
امتیاز: 4.5/5
امتیاز شما
شما قبلاً به این سند امتیاز داده اید
جلد سند PDF - یادگیری عمیق مولد برای تولید رمز عبور: یک تحلیل مقایسه‌ای
مشاهده سند PDF دانلود PDF ترجمه PDF
خانه » مستندات » یادگیری عمیق مولد برای تولید رمز عبور: یک تحلیل مقایسه‌ای

1. مقدمه و انگیزه

احراز هویت مبتنی بر رمز عبور به دلیل سادگی و آشنایی کاربران همچنان فراگیر است. با این حال، رمزهای عبور انتخاب‌شده توسط کاربران اغلب قابل پیش‌بینی، کوتاه و در پلتفرم‌های مختلف تکرار می‌شوند که آسیب‌پذیری‌های امنیتی قابل توجهی ایجاد می‌کند. این مقاله بررسی می‌کند که آیا مدل‌های یادگیری عمیق می‌توانند این الگوهای انسانی ایجاد رمز عبور را یاد گرفته و شبیه‌سازی کنند تا نامزدهای رمز عبور واقع‌بینانه‌ای برای آزمایش و تحلیل امنیتی تولید کنند.

تغییر از حدس زدن رمز عبور مبتنی بر قاعده و هدایت‌شده توسط متخصص (مانند مدل‌های مارکوف، دستور زبان‌های احتمالی مستقل از متن) به رویکردهای کاملاً داده‌محور یادگیری عمیق، نشان‌دهنده یک تغییر پارادایم است. این کار مجموعه گسترده‌ای از مدل‌ها از جمله مکانیزم‌های توجه، رمزگذارهای خودکار و شبکه‌های مولد تخاصمی را بررسی می‌کند و با کاربرد رمزگذارهای خودکار واریاسیونی (VAEها) در این حوزه، مشارکت جدیدی ارائه می‌دهد.

2. کارهای مرتبط و پیشینه

حدس زدن سنتی رمز عبور بر تحلیل آماری مجموعه‌داده‌های نشت‌یافته (مانند RockYou) برای ایجاد مجموعه‌های قاعده و مدل‌های احتمالی مانند زنجیره‌های مارکوف متکی است. این روش‌ها نیازمند تخصص دامنه برای ساخت قواعد مؤثر هستند. در مقابل، یادگیری عمیق مدرن برای تولید متن، که با معماری‌هایی مانند ترنسفورمر (Vaswani و همکاران، ۲۰۱۷) و پیشرفت‌های آموزشی تقویت شده است، الگوها را مستقیماً از داده‌ها و بدون مهندسی قاعده صریح یاد می‌گیرد.

پیشرفت‌های کلیدی که این تحقیق را ممکن ساخته‌اند عبارتند از:

  • مکانیزم‌های توجه: مدل‌هایی مانند BERT و GPT روابط پیچیده متنی در داده‌های ترتیبی را ثبت می‌کنند.
  • یادگیری بازنمایی: رمزگذارهای خودکار، بازنمایی‌های فشرده و معنادار (فضاهای نهفته) از داده‌ها را یاد می‌گیرند.
  • آموزش پیشرفته: تکنیک‌هایی مانند استنتاج واریاسیونی و تنظیم Wasserstein، آموزش مدل‌های مولد را پایدار و بهبود می‌بخشند.

3. مدل‌های یادگیری عمیق مولد

این بخش مدل‌های هسته‌ای ارزیابی‌شده برای تولید رمز عبور را به تفصیل شرح می‌دهد.

3.1 شبکه‌های عصبی مبتنی بر توجه

مدل‌هایی که از معماری‌های خودتوجه یا ترنسفورمر استفاده می‌کنند، رشته‌های رمز عبور را به عنوان دنباله‌ای از کاراکترها یا توکن‌ها پردازش می‌کنند. مکانیزم توجه به مدل اجازه می‌دهد تا اهمیت کاراکترهای مختلف در متن را وزن‌دهی کند و به طور مؤثر زیرساختارهای رایج (مانند "۱۲۳" یا "password") و جایگاه آن‌ها را یاد بگیرد.

3.2 مکانیزم‌های رمزگذار خودکار

رمزگذارهای خودکار استاندارد، یک رمز عبور ورودی را به یک بردار نهفته فشرده کرده و سعی در بازسازی آن دارند. گلوگاه، مدل را مجبور به یادگیری ویژگی‌های اساسی می‌کند. اگرچه برای بازنمایی مفید هستند، اما رمزگذارهای خودکار استاندارد ذاتاً برای نمونه‌های جدید مولد نیستند.

3.3 شبکه‌های مولد تخاصمی (GANها)

GANها یک شبکه مولد (ایجادکننده رمزهای عبور) را در مقابل یک شبکه متمایزکننده (قضاوت‌کننده اصالت) قرار می‌دهند. از طریق آموزش تخاصمی، مولد یاد می‌گیرد نمونه‌هایی تولید کند که از رمزهای عبور واقعی غیرقابل تشخیص باشند. با این حال، آموزش GANها به‌طور مشهور دشوار است و می‌توانند از فروپاشی حالت رنج ببرند، جایی که تنوع محدودی تولید می‌کنند.

3.4 رمزگذارهای خودکار واریاسیونی (VAEها)

یک مشارکت اصلی این کار، کاربرد VAEها است. برخلاف رمزگذارهای خودکار استاندارد، VAEها یک فضای نهفته احتمالاتی را یاد می‌گیرند. رمزگذار، پارامترهای (میانگین $\mu$ و واریانس $\sigma^2$) یک توزیع گاوسی را خروجی می‌دهد. یک بردار نهفته $z$ نمونه‌برداری می‌شود: $z \sim \mathcal{N}(\mu, \sigma^2)$. سپس رمزگشا، ورودی را از $z$ بازسازی می‌کند.

تابع زیان، کران پایین شواهد (ELBO) است:

$\mathcal{L}_{VAE} = \mathbb{E}_{q_{\phi}(z|x)}[\log p_{\theta}(x|z)] - D_{KL}(q_{\phi}(z|x) \| p(z))$

عبارت اول، زیان بازسازی است. عبارت دوم، واگرایی کولبک-لایبلر، فضای نهفته را تنظیم می‌کند تا به یک توزیع پیشین $p(z)$ (معمولاً نرمال استاندارد) نزدیک باشد. این فضای نهفته ساختاریافته، دو ویژگی قدرتمند برای حدس زدن رمز عبور را ممکن می‌سازد:

  1. درون‌یابی: نمونه‌برداری از نقاط بین دو بردار نهفته رمزهای عبور شناخته‌شده می‌تواند رمزهای عبور جدید و ترکیبی تولید کند که ویژگی‌های هر دو را در هم می‌آمیزد.
  2. نمونه‌برداری هدفمند: با شرطی‌سازی فضای نهفته یا جستجو در آن، می‌توان رمزهای عبوری با ویژگی‌های خاص (مانند حاوی یک زیررشته خاص) تولید کرد.

4. چارچوب آزمایشی و مجموعه‌داده‌ها

این مطالعه از یک چارچوب یکپارچه و کنترل‌شده برای مقایسه منصفانه استفاده می‌کند. مدل‌ها بر روی چندین مجموعه‌داده شناخته‌شده و واقعی نشت رمز عبور آموزش دیده و ارزیابی می‌شوند:

  • RockYou: یک مجموعه‌داده کلاسیک و عظیم از نقض یک برنامه اجتماعی.
  • LinkedIn: رمزهای عبور از نقض یک شبکه حرفه‌ای، که اغلب تصور می‌شود پیچیده‌تر هستند.
  • Youku, Zomato, Pwnd: مجموعه‌داده‌های اضافی از سرویس‌های مختلف که تنوع در سبک‌های رمز عبور و تأثیرات فرهنگی را فراهم می‌کنند.

معیارهای ارزیابی شامل:

  • نرخ تطابق: درصد رمزهای عبور تولیدشده که با موفقیت با رمزهای عبور در یک مجموعه آزمایشی نگهداشته‌شده مطابقت دارند (شبیه‌سازی یک تلاش برای شکستن).
  • یکتایی: درصد رمزهای عبور تولیدشده که از یکدیگر متمایز هستند.
  • تازگی: درصد رمزهای عبور تولیدشده که در داده‌های آموزشی یافت نمی‌شوند.

مجموعه‌داده‌های کلیدی استفاده‌شده

RockYou, LinkedIn, Youku, Zomato, Pwnd

معیارهای اصلی ارزیابی

نرخ تطابق، یکتایی، تازگی

مشارکت اصلی مدل

رمزگذارهای خودکار واریاسیونی (VAEها) با ویژگی‌های فضای نهفته

5. نتایج و تحلیل عملکرد

تحلیل تجربی، چشم‌انداز عملکردی ظریفی را آشکار می‌کند:

  • VAEها به عنوان یک عملکرددهنده قوی ظاهر می‌شوند: مدل‌های VAE پیشنهادی، نرخ تطابق پیشرفته یا بسیار رقابتی را در مجموعه‌داده‌ها به دست می‌آورند. فضای نهفته ساختاریافته آن‌ها مزیت قابل توجهی در تولید نمونه‌های متنوع و محتمل ارائه می‌دهد که منجر به نمرات بالای یکتایی و تازگی می‌شود.
  • GANها پتانسیل بالا اما ناپایداری نشان می‌دهند: هنگامی که با موفقیت آموزش ببینند، GANها می‌توانند رمزهای عبور بسیار واقع‌بینانه‌ای تولید کنند. با این حال، عملکرد آن‌ها ناسازگار است و اغلب از فروپاشی حالت (یکتایی پایین) رنج می‌برند یا همگرا نمی‌شوند که با چالش‌های شناخته‌شده آموزش GAN که در مقاله اصلی Goodfellow و همکاران و تحلیل‌های بعدی مانند "Wasserstein GAN" Arjovsky و همکاران مستند شده است، همسو است.
  • مدل‌های توجه در ثبت الگوهای محلی عالی عمل می‌کنند: مدل‌هایی مانند معماری‌های مبتنی بر ترنسفورمر در یادگیری n-gramهای رایج کاراکتر و وابستگی‌های موقعیتی (مانند بزرگ کردن حرف اول، افزودن اعداد در انتها) بسیار مؤثر هستند.
  • تنوع مجموعه‌داده مهم است: رتبه‌بندی عملکرد مدل می‌تواند بسته به مجموعه‌داده تغییر کند. به عنوان مثال، مدل‌هایی که روی RockYou عملکرد خوبی دارند ممکن است به طور مؤثر به LinkedIn تعمیم نیابند که اهمیت تنوع داده‌های آموزشی را تأکید می‌کند.

تفسیر نمودار (فرضی بر اساس توصیف مقاله): یک نمودار میله‌ای مقایسه‌ای مدل‌ها احتمالاً VAEها و مدل‌های توجه برتر را در نرخ تطابق پیشرو نشان می‌دهد. یک نمودار پراکندگی یکتایی در مقابل نرخ تطابق، VAEها را در یک ربع مطلوب (بالا در هر دو محور) نشان می‌دهد، در حالی که برخی نمونه‌های GAN ممکن است در منطقه‌ای با نرخ تطابق بالا اما یکتایی پایین خوشه‌بندی شوند که نشان‌دهنده فروپاشی حالت است.

6. تحلیل فنی و بینش‌ها

بینش اصلی

قدرتمندترین بینش مقاله این است که تولید رمز عبور فقط یک مسئله مدل‌سازی دنباله خام نیست؛ بلکه یک مسئله تخمین چگالی در یک فضای نهفته ساختاریافته است. در حالی که RNNها/ترنسفورمرها در پیش‌بینی کاراکتر بعدی عالی عمل می‌کنند، فاقد یک مدل صریح و قابل پیمایش از "منیفولد رمز عبور" هستند. VAEها این را به طور طراحی‌شده ارائه می‌دهند. نویسندگان به درستی شناسایی می‌کنند که توانایی انجام نمونه‌برداری هدفمند (مانند "تولید رمزهای عبور مشابه این قرارداد نام‌گذاری شرکتی") و درون‌یابی هموار بین انواع رمز عبور، یک تغییردهنده بازی برای حسابرسی امنیتی سیستماتیک است و فراتر از شمارش بی‌رویه می‌رود.

جریان منطقی

منطق تحقیق محکم است: ۱) حدس زدن رمز عبور را به عنوان یک وظیفه تولید متن قاب‌بندی می‌کند. ۲) جعبه ابزار DL مدرن (توجه، GANها، VAEها) را اعمال می‌کند. ۳) به طور حیاتی، تشخیص می‌دهد که ویژگی‌های فضای نهفته VAEها مزایای عملکردی منحصربه‌فردی نسبت به سایر مدل‌های مولد ارائه می‌دهند. ۴) این فرضیه را از طریق معیارسازی دقیق و چندمجموعه‌داده‌ای اعتبارسنجی می‌کند. جریان از سازگاری مدل تا اثبات تجربی واضح و قانع‌کننده است.

نقاط قوت و ضعف

نقاط قوت: چارچوب مقایسه‌ای یک نقطه قوت اصلی است. اغلب اوقات، مقالات یک مدل واحد معرفی می‌کنند. در اینجا، معیارسازی در برابر GANها و مدل‌های توجه، زمینه حیاتی را فراهم می‌کند و نشان می‌دهد که VAEها فقط متفاوت نیستند، بلکه یک مبادله برتر بین کیفیت نمونه، تنوع و کنترل‌پذیری ارائه می‌دهند. تمرکز بر مجموعه‌داده‌های دنیای واقعی (LinkedIn, Zomato) تحقیق را در واقعیت عملی مستقر می‌کند.

نقاط ضعف: مقاله، مانند بخش زیادی از این حوزه، در یک پارادایم پس از نقض عمل می‌کند. این مقاله علائم (رمزهای عبور نشت‌یافته) را تحلیل می‌کند نه بیماری (خود احراز هویت مبتنی بر رمز عبور) را. شمشیر دولبه اخلاقی تصدیق شده اما به اندازه کافی بررسی نشده است. علاوه بر این، اگرچه VAEها کنترل‌پذیری را بهبود می‌بخشند، فرآیند نمونه‌برداری هنوز برای یک تحلیلگر انسانی مستقیم‌تر از سیستم‌های مبتنی بر قاعده نیست. "معناشناسی" فضای نهفته، اگرچه ساختاریافته است، می‌تواند مبهم باشد.

بینش‌های قابل اجرا

برای تیم‌های امنیتی: مولدهای مبتنی بر VAE را در ابزارهای حسابرسی پیشگیرانه رمز عبور خود ادغام کنید. ویژگی نمونه‌برداری هدفمند کلیدی برای ایجاد لیست‌های واژه سفارشی برای تست نفوذ علیه سازمان‌ها یا جمعیت‌های کاربری خاص است.

برای طراحان سیاست رمز عبور: این مدل‌ها یک گوی بلورین هستند که محدودیت‌های رفتار قابل پیش‌بینی انسان را نشان می‌دهند. اگر یک VAE بتواند آن را حدس بزند، رمز عبور خوبی نیست. سیاست‌ها باید تصادفی بودن واقعی یا استفاده از عبارت عبور را اعمال کنند و فراتر از قواعد ترکیبی که این مدل‌ها به راحتی یاد می‌گیرند، حرکت کنند.

برای محققان هوش مصنوعی: این کار یک نقشه راه برای اعمال مدل‌های مولد ساختاریافته (VAEها، جریان‌های نرمال‌سازی) به سایر مسائل امنیتی دنباله گسسته، مانند تولید امضای بدافزار یا شبیه‌سازی ترافیک شبکه است. تکنیک‌های اکتشاف فضای نهفته مستقیماً قابل انتقال هستند.

مثال موردی چارچوب تحلیل

سناریو: یک شرکت امنیتی در حال حسابرسی از شرکتی است که مشکوک است رمزهای عبور کارمندان بر اساس نام رمز پروژه "ProjectPhoenix" و سال "۲۰۲۳" باشد.

رویکرد سنتی مبتنی بر قاعده: ایجاد قواعد دستی: {ProjectPhoenix, phoenix, PHOENIX} + {2023, 23, @2023} + {!, #, $}. این زمان‌بر است و ممکن است تغییرات خلاقانه را از دست بدهد.

رویکرد تقویت‌شده با VAE:

  1. رمزهای عبور ضعیف شناخته‌شده (مانند "ProjectPhoenix2023", "phoenix23") را در فضای نهفته VAE رمزگذاری کنید.
  2. یک پیمایش جهت‌دار یا نمونه‌برداری در منطقه نهفته اطراف این نقاط انجام دهید، که توسط توزیع آموخته‌شده مدل از پسوندهای رایج، جایگزینی‌های leetspeak و الگوهای بزرگ‌نویسی هدایت می‌شود.
  3. بردارهای نهفته نمونه‌برداری‌شده را رمزگشایی کنید تا یک لیست واژه هدفمند تولید کنید: به عنوان مثال، "pr0jectPh0enix#23", "PH0ENIX2023!", "project_phoenix23".
این روش به طور سیستماتیک فضای تغییرات محتمل را که توسط داده‌های آموزشی دلالت شده است، کاوش می‌کند و احتمالاً رمزهای عبوری را کشف می‌کند که یک نویسنده قاعده انسانی به آن فکر نمی‌کند.

7. کاربردها و جهت‌های آینده

مسیر این تحقیق به چندین جهت کلیدی آینده اشاره می‌کند:

  1. مدل‌های ترکیبی و شرطی‌شده: مدل‌های آینده احتمالاً نقاط قوت معماری‌های مختلف را ترکیب می‌کنند—به عنوان مثال، استفاده از یک ترنسفورمر به عنوان رمزگذار/رمزگشا در یک چارچوب VAE، یا شرطی‌سازی GANها/VAEها بر روی اطلاعات کمکی مانند جمعیت‌شناسی کاربر (استنباط‌شده از سایر نقض‌ها) یا دسته وب‌سایت برای تولید نامزدهای حتی هدفمندتر.
  2. دفاع پیشگیرانه و مترهای قدرت رمز عبور: اخلاقی‌ترین و تأثیرگذارترین کاربرد، تغییر اسکریپت است. این مدل‌های مولد می‌توانند نسل بعدی برآوردکنندگان قدرت رمز عبور را نیرو دهند. به جای بررسی در برابر فرهنگ‌های لغت ساده، یک متر می‌تواند از یک مدل مولد استفاده کند تا در زمان واقعی سعی کند رمز عبور را حدس بزند و یک نمره قدرت پویا بر اساس سهولت تولید آن ارائه دهد.
  3. فراتر از رمزهای عبور: روش‌شناسی‌ها مستقیماً برای سایر حوزه‌های امنیتی که نیاز به تولید داده‌های گسسته ساختاریافته واقع‌بینانه دارند قابل اعمال هستند: تولید ایمیل‌های فیشینگ مصنوعی، ایجاد ترافیک شبکه طعمه، یا شبیه‌سازی رفتار کاربر برای سیستم‌های honeypot.
  4. استحکام تخاصمی: با بهبود این مولدها، آن‌ها توسعه احراز هویت قوی‌تر را مجبور خواهند کرد. تحقیق در مورد ایجاد رمزهای عبوری که در برابر این حدس‌زن‌های هوش مصنوعی استحکام تخاصمی دارند—رمزهای عبوری که برای انسان‌ها به یاد ماندنی هستند اما در مناطقی از فضای نهفته قرار دارند که مدل احتمال بسیار پایینی به آن‌ها اختصاص می‌دهد—می‌تواند یک زیرحوزه جدید شود.

8. مراجع

  1. Biesner, D., Cvejoski, K., Georgiev, B., Sifa, R., & Krupicka, E. (2020). Generative Deep Learning Techniques for Password Generation. arXiv preprint arXiv:2012.05685.
  2. Goodfellow, I., Pouget-Abadie, J., Mirza, M., Xu, B., Warde-Farley, D., Ozair, S., ... & Bengio, Y. (2014). Generative adversarial nets. Advances in neural information processing systems, 27.
  3. Kingma, D. P., & Welling, M. (2013). Auto-encoding variational bayes. arXiv preprint arXiv:1312.6114.
  4. Vaswani, A., Shazeer, N., Parmar, N., Uszkoreit, J., Jones, L., Gomez, A. N., ... & Polosukhin, I. (2017). Attention is all you need. Advances in neural information processing systems, 30.
  5. Arjovsky, M., Chintala, S., & Bottou, L. (2017). Wasserstein generative adversarial networks. International conference on machine learning (pp. 214-223). PMLR.
  6. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password cracking using probabilistic context-free grammars. 2009 30th IEEE Symposium on Security and Privacy (pp. 391-405). IEEE.
  7. National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines (SP 800-63B).