Chagua Lugha

Ujifunzishi wa Mashine Kinyume kwa Ukadiriaji Imara wa Nguvu ya Nenosiri: Uchambuzi na Ufahamu

Uchambuzi wa karatasi ya utafiti inayotumia ujifunzishi wa mashine kinyume kuboresha usahihi wa uainishaji wa nguvu ya nenosiri dhidi ya mashambulizi ya nenosiri ya udanganyifu.
computationalcoin.com | PDF Size: 0.5 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Ujifunzishi wa Mashine Kinyume kwa Ukadiriaji Imara wa Nguvu ya Nenosiri: Uchambuzi na Ufahamu
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Ujifunzishi wa Mashine Kinyume kwa Ukadiriaji Imara wa Nguvu ya Nenosiri: Uchambuzi na Ufahamu

1. Utangulizi na Muhtasari

Utafiti huu unashughulikia udhaifu muhimu katika usalama wa mtandao wa kisasa: uwezekano wa viukadiriaji vya nguvu ya nenosiri kushambuliwa kwa njia ya kinyume. Vipimo vya jadi vya nguvu ya nenosiri hutegemea kanuni za kudumu, zinazotegemea kanuni (k.m., urefu, utofauti wa herufi) na huwa rahisi kudanganywa na ubadilishaji rahisi wa herufi (k.m., 'password' dhidi ya 'p@ssword'). Karatasi inapendekeza kutumia Ujifunzishi wa Mashine Kinyume (AML) kufundisha viainishi vyenye nguvu zaidi. Kwa kufundisha miundo kwa makusudi kwenye seti ya data ya nenosiri zaidi ya 670,000 zilizoundwa kwa njia ya kinyume, waandishi wanalenga kufichua na kuimarisha miundo hiyo dhidi ya maelezo ya udanganyifu kama hayo, kukwenda zaidi ya ufananishaji wa muundo wa msingi kuelewa maana ya msingi ya nguvu ya nenosiri.

Tatizo la Msingi

Vipimo vya nguvu ya nenosiri vya kudumu vinashindwa dhidi ya mashambulizi ya kukabiliana na udanganyifu wa maana, na hivyo kuunda hisa ya usalama ya uwongo.

Ufumbuzi Ulipendekezwa

Kutumia mafunzo ya kinyume—mbinu iliyochochewa na utafiti wa uthabiti katika taswira ya kompyuta (k.m., mifano ya kinyume kwa mitandao ya neva iliyojadiliwa na Goodfellow et al.)—katika nyanja ya usalama wa nenosiri ya maandishi.

2. Mbinu na Njia ya Kiufundi

Mbinu kuu inahusisha mchakato wa hatua mbili: kuzalisha seti kamili ya data ya nenosiri za kinyume na kuitumia kufundisha na kutathmini viainishi mbalimbali vya ujifunzishi wa mashine.

2.1. Uundaji wa Nenosiri Kinyume

Seti ya data ya kinyume ilijengwa kwa kutumia mabadiliko ya kimfumo kwa nenosiri dhaifu za msingi. Mabadiliko haya yanafanana na tabia za kawaida za watumiaji na mikakati ya washambuliaji:

  • Ubadilishaji wa Herufi: Kubadilisha herufi na nambari au alama zinazofanana kwa kuonekana (a->@, s->$, e->3).
  • Mifumo ya Kuongeza/Kuongeza Mwanzoni: Kuongeza nambari zinazotabirika ("123") au alama ("!") kwa nenosiri fupi.
  • Mabadiliko ya Lugha ya 'Leet': Matumizi ya kimfumo ya mabadiliko ya lugha ya 'leet'.
  • Uunganishaji wa Kawaida: Kuchanganya maneno rahisi au majina na tarehe.

Mchakato huu ulisababisha seti ya data ambapo kila sampuli ni nenosiri lililoundwa kwa makusudi kuzuia vipimo vinavyotegemea kanuni hali inayobaki dhaifu kimsingi kwa mbinu za kuvunja kama kamusi au mashambulizi mseto.

2.2. Miundo ya Ujifunzishi wa Mashine

Algoriti tano tofauti za uainishaji zilitumika kuhakikisha uthabiti katika miundo tofauti ya mifano:

  1. Urejeshaji wa Kimantiki (Logistic Regression): Mfano wa msingi wa mstari.
  2. Mashine ya Vekta ya Kuunga Mkono (SVM): Inafaa kwa nafasi zenye vipimo vingi.
  3. Msitu wa Nasibu (Random Forest): Njia ya mkusanyiko ili kukamata uhusiano usio wa mstari.
  4. Uimarishaji wa Mwinuko (XGBoost): Mbinu yenye nguvu ya mkusanyiko kwa mifumo changamano.
  5. Mtandao wa Neva (Multilayer Perceptron): Ili kuiga mwingiliano wa kina, wa ngazi za vipengele.

Miundo ilifunzwa kwenye seti ya data ya kawaida ya nenosiri na seti ya data ya kinyume. Uhandisi wa vipengele uwezekano ulijumuisha takwimu za n-gram, usambazaji wa aina za herufi, vipimo vya entropy, na ukaguzi wa orodha nyeusi ya nenosiri zinazojulikana.

3. Matokeo ya Majaribio na Uchambuzi

Kipimo kikuu cha tathmini kilikuwa usahihi wa uainishaji—uwezo wa mfano kuweka lebo ya nenosiri kwa usahihi kama 'dhaifu' au 'ngumu'.

3.1. Vipimo vya Utendaji

Uchunguzi mkuu ni kwamba miundo iliyofunzwa kwa mifano ya kinyume ilionyesha uimarishaji mkubwa wa usahihi—hadi 20%—wakati ilipothaminiwa kwenye seti ya majaribio iliyo na nenosiri za kinyume, ikilinganishwa na miundo iliyofunzwa tu kwenye data ya kawaida. Hii inaonyesha uhamishaji wa mafunzo ya mifumo ya kinyume.

Muhtasari wa Matokeo

Uimarishaji wa Utendaji: +20% Usahihi

Ukubwa wa Seti ya Data: >670,000 sampuli za kinyume

Mfano Wenye Utendaji Bora: Uimarishaji wa Mwinuko / Mtandao wa Neva (kutegemea muktadha)

3.2. Uchambuzi wa Kulinganisha

Karatasi inaashiria safu ya utendaji miongoni mwa miundo. Ingawa yote yalinufaika kutokana na mafunzo ya kinyume, njia za mkusanyiko (Msitu wa Nasibu, Uimarishaji wa Mwinuko) na Mtandao wa Neva uwezekano walifikia usahihi wa juu zaidi wa mwisho kutokana na uwezo wao wa kujifunza mipaka changamano, isiyo ya mstari ya maamuzi inayotenganisha nenosiri ngumu za kweli na zile dhaifu zilizojificha kwa ujanja. Miundo ya mstari (Urejeshaji wa Kimantiki) ilionyesha uboreshaji lakini uwezekano ilifikia kikomo kutokana na vikwazo vya muundo.

Maelezo ya Chati (Yaliyoelezwa): Chati ya mipango inayolinganisha usahihi wa majaribio ya aina tano za miundo katika hali mbili: "Mafunzo ya Kawaida" na "Mafunzo ya Kinyume." Mipango yote ya "Mafunzo ya Kinyume" ni mirefu zaidi, na Uimarishaji wa Mwinuko na Mtandao wa Neva ukiwa na mipango mirefu zaidi, ikionyesha uthabiti wa juu zaidi.

4. Maelezo ya Kiufundi na Mfumo

4.1. Uundaji wa Kihisabati

Mchakato wa mafunzo ya kinyume unaweza kuwekwa kama kupunguza hatari chini ya misukosuko mbaya zaidi. Acha $D$ iwe usambazaji wa data ya nenosiri, $x \sim D$ nenosiri, na $y$ lebo yake ya kweli ya nguvu. Mfano wa kawaida $f_\theta$ hupunguza hasara inayotarajiwa $\mathbb{E}_{(x,y)\sim D}[L(f_\theta(x), y)]$.

Mafunzo ya kinyume yanatafuta mfano thabiti dhidi ya misukosuko $\delta$ ndani ya seti $\Delta$ (inayowakilisha ubadilishaji wa herufi, n.k.):

$$\min_\theta \mathbb{E}_{(x,y)\sim D} \left[ \max_{\delta \in \Delta} L(f_\theta(x + \delta), y) \right]$$

Kwa vitendo, $\delta$ inakadiriwa na mifano ya kinyume iliyozalishwa wakati wa uundaji wa seti ya data. Upeo wa ndani hupata tofauti ya udanganyifu, na upunguzaji wa nje hufundisha mfano usiwe na mabadiliko kwa hiyo.

4.2. Mfano wa Mfumo wa Uchambuzi

Muktadha: Kutathmini nenosiri jipya 'S3cur1ty2024!'.

Kipimo cha Jadi Kinachotegemea Kanuni:
Ingizo: 'S3cur1ty2024!'
Kanuni: Urefu > 12? ✓. Ina herufi kubwa? ✓. Ina nambari? ✓. Ina alama? ✓.
Pato: NGUMU.

Mfano wa ML Uliofunzwa Kinyume:
Ingizo: 'S3cur1ty2024!'
Uchambuzi wa Kipengele:

  • Neno la msingi 'Security' limegunduliwa kupitia usimbuaji wa lugha ya leet (3->e, 1->i).
  • Mwaka ulioongezwa '2024' ni muundo unaotabirika sana.
  • Alama ya mwisho '!' ni nyongeza ya kawaida, yenye entropy ya chini.
  • Muundo wa jumla unafanana na kiolezo cha kinyume cha mzunguko wa juu: [Neno la Kawaida + Leet] + [Mwaka] + [Alama ya Kawaida].
Uhitimu wa Mfano: Ingawa changamano, nenosiri limetokana na vipengele vinavyotabirika na mabadiliko. Ni rahisi kushambuliwa kwa shambulio lengwa la mseto.
Pato: WASATANI au DHAIFU, kwa maoni: "Epuka maneno rahisi yenye ubadilishaji wa herufi ikifuatiwa na nambari zinazotabirika."

Hii inaonyesha mabadiliko ya mfano kutoka kwa sintaksia hadi maana katika ukadiriaji wa nguvu.

5. Uchambuzi Muhimu na Mtazamo wa Mtaalamu

Ufahamu wa Msingi: Karatasi hii sio tu kuhusu vipimo bora vya nenosiri; ni kukiri kimkakati kwamba mashindano ya silaha ya usalama wa mtandao yameingia kwenye safu ya AI. Ufahamu wa kweli ni kwamba nguvu ya nenosiri sio tena sifa ya kudumu bali ni ya kukabiliana inayofafanuliwa dhidi ya adui anayejikabiliana. Uimarishaji wa 20% wa usahihi sio faida ndogo tu—ni tofauti kati ya mfano unaweza kudanganywa kwa mfumo na ule usioweza, ikiwakilisha kizingiti muhimu katika matumizi ya vitendo.

Mtiririko wa Kimantiki na Uwekaji wa Kimkakati: Waandishi wamegundua kosa katika mifumo ya urithi (kanuni za kudumu) na kuleta ufumbuzi kutoka kwenye nyanja iliyokomaa zaidi ya AML (taswira ya kompyuta). Mantiki ni sahihi: ikiwa unaweza kudanganya kiainishi cha picha kwa misukosuko ya pikseli, unaweza kudanganya kiainishi cha nenosiri kwa misukosuko ya herufi. Matumizi ya miundo mitano tofauti ni ya hekima—inaonyesha faida ya uthabiti ni mabadiliko ya paradimu ya algoriti, sio kitu cha aina moja ya mfano. Hii inaweka kazi hii kama karatasi ya mbinu ya msingi kwa usalama-AI, sawa na jinsi kazi muhimu ya mifano ya kinyume na Goodfellow et al. (2014) ilivyoweka tatizo kwa kazi za mtazamo.

Nguvu na Kasoro:

  • Nguvu (Uhalisi): Mwelekeo kwenye mifumo ya kinyume ya ulimwengu halisi, iliyozalishwa na binadamu (lugha ya leet, nyongeza) badala ya mashambulizi yanayotegemea tu mwinuko hufanya utafiti uwezekane mara moja. Inashughulikia muundo halisi wa tishio.
  • Nguvu (Kiwango): Seti ya data ya sampuli zaidi ya 670k za kinyume hutoa uzito mkubwa wa kimajaribio, ukisonga zaidi ya uthibitisho wa dhana.
  • Kasoro (Kina cha Tathmini): Uchambuzi, kama ulivyowasilishwa, unaonekana umelenga sana usahihi. Katika usalama, hasi za uwongo (kuweka lebo ya nenosiri dhaifu kama ngumu) ni maangamizo, wakati chanya za uwongo ni ya kuchosha tu. Uchunguzi wa kina zaidi wa ukumbusho/usahihi kwa darasa la 'dhaifu', au vipimo kama FPR/FNR, ni muhimu. Mfano unafanya vizuri vipi dhidi ya mifumo mpya kabisa, ya sifuri ya kinyume isiyoko kwenye seti yake ya mafunzo?
  • Kasoro (Hatua Inayofuata ya Adui): Karatasi hufundisha kwenye seti maalum ya mabadiliko. Adui mwenye ujuzi, anayejua mfano uliowekwa kama huo, angeweza kutumia njia ya kuzalisha (k.m., mfumo kama GAN kama ulivyochunguzwa katika kazi kama "PassGAN" na Hitaj et al.) kuunda nenosiri mpya za udanganyifu. Njia ya sasa inaweza kuwa thabiti kwa adui huyu anayejikabiliana, anayezalisha.

Ufahamu Unaoweza Kutekelezwa:

  1. Kwa Wasimamizi wa Bidhaa (PMs): Ondoa mara moja kipimo chochote cha nenosiri kinachotegemea kanuni katika huduma yako. Gharama ya uvunjaji wa data kutoka kwa mtumiaji aliyehakikishiwa kwa uwongo ni kubwa zaidi kuliko gharama ya maendeleo ya kuunganisha mfano uliofunzwa kinyume. Hii inapaswa kuwa sasisho lisiloweza kubishana katika sprint yako inayofuata.
  2. Kwa Wasanifu wa Usalama: Treat the password strength estimator not as a simple widget, but as a core, updatable AI component. Weka mfumo endelevu wa mafunzo ya kinyume ambapo mifumo mpya ya udanganyifu kutoka kwa hifadhidata za uvunjaji au majaribio ya kuingilia hurudishwa mara kwa mara kufundisha upya mfano. Hii ni kusonga kutoka kwa usalama wa "weka-na-usahau" hadi "unaokua endelevu".
  3. Kwa Watafiti: Hatua inayofuata ni wazi: songa kutoka kwenye seti za data za kinyume za kudumu hadi mazingira ya uigizaji wa kinyume. Unda mifumo ambapo kiukadiriaji cha nguvu na wakala wa kuvunja nenosiri (kama John the Ripper au Hashcat) wanapingana kwenye kitanzi cha ujifunzishi wa kuimarisha. Uthabiti wa kweli utapatikana wakati tathmini za mfano zinalingana na wakati halisi wa kuvunja dhidi ya vinu vya kisasa vya kuvunja, sio tu seti ya data iliyolebeliwa.
Kazi hii ni hatua muhimu ya kwanza, lakini tasnia lazima iione kama mwanzo wa kampeni endelevu ya AI ya kinyume, sio kurekebisha mara moja tu.

6. Matumizi ya Baadaye na Mwelekeo

  • Unganishaji na Sera za Nenosiri za Kukabiliana: Zaidi ya kutoa maoni tu, mifumo ya baadaye inaweza kutumia kiainishi thabiti kwa kulazimisha sera za uundaji wa nenosiri ambazo zinasasishwa kikamilifu kulingana na mielekeo ya hivi karibuni ya kinyume, kusonga kutoka kwenye orodha nyeusi hadi kukataliwa kwa wakati halisi kinachodhibitiwa na AI ya mifumo inayotabirika dhaifu.
  • Uboreshaji wa Uchunguzi wa Uvujaji wa Habari (Phishing): Mbinu za kugundua nenosiri za udanganyifu wa maana zinaweza kubadilishwa kutambua anwani za udanganyifu au maandishi ya barua pepe katika jaribio la uvujaji wa habari, ambapo maadui pia hutumia ubadilishaji wa herufi na kuficha.
  • Ulinzi wa Kujaza Vitambulisho: Miundo iliyofunzwa kinyume inaweza kutumika kukagua hifadhidata zilizopo za nenosiri za watumiaji (kwa umbo la hash, kwa idhini ya mtumiaji) kutambua kikamilifu watumiaji wenye nenosiri dhaifu, zinazoweza kubadilishwa na kulazimisha upya kabla ya uvunjaji kutokea.
  • Ujifunzishi wa Kinyume wa Shirikishi: Ili kupambana na tatizo la adui anayezalisha, mashirika yanaweza kushirikiana kwa njia inayolinda faragha (kwa kutumia mbinu za ujifunzishi wa shirikishi) kushiriki ujuzi wa mifumo mpya ya nenosiri za kinyume bila kufichua data halisi ya mtumiaji, na hivyo kuunda ujasusi wa ulinzi wa pamoja.
  • Zaidi ya Nenosiri: Mbinu ya msingi inatumika kwa ukaguzi wowote wa sera ya usalama wa maandishi, kama vile kutathmini nguvu ya maswali ya usalama au kugundua funguo dhaifu za usimbaji fiche zinazotokana na misemo inayokumbukwa.

7. Marejeo

  1. Goodfellow, I. J., Shlens, J., & Szegedy, C. (2014). Explaining and Harnessing Adversarial Examples. arXiv preprint arXiv:1412.6572.
  2. Hitaj, B., Gasti, P., Ateniese, G., & Perez-Cruz, F. (2017). PassGAN: A Deep Learning Approach for Password Guessing. In International Conference on Applied Cryptography and Network Security (pp. 217-237). Springer, Cham.
  3. Microsoft. (s.f.). Microsoft Password Checker. [Zana ya Mtandaoni].
  4. Google. (s.f.). Password Checkup. [Zana ya Mtandaoni].
  5. Melicher, W., Ur, B., Segreti, S. M., Komanduri, S., Bauer, L., Christin, N., & Cranor, L. F. (2016). Fast, lean, and accurate: Modeling password guessability using neural networks. In 25th USENIX Security Symposium (pp. 175-191).
  6. Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST). (2017). Mwongozo wa Utambulisho wa Dijitali: Uthibitishaji na Usimamizi wa Mzunguko wa Maisha (NIST Chapisho Maalum 800-63B).