Chagua Lugha

Kupunguza Upendeleo katika Uundaji wa Nguvu ya Nenosiri ya Ulimwengu Halisi Kupitia Kujifunza Kina na Kamusi Dinamiki

Njia mpya inayotumia mitandao ya neva ya kina na mashambulizi ya kamusi dinamiki kupunguza upendeleo wa kipimo katika uchambuzi wa usalama wa nenosiri, ikitoa muundo sahihi zaidi wa adui.
computationalcoin.com | PDF Size: 1.4 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Kupunguza Upendeleo katika Uundaji wa Nguvu ya Nenosiri ya Ulimwengu Halisi Kupitia Kujifunza Kina na Kamusi Dinamiki
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Kupunguza Upendeleo katika Uundaji wa Nguvu ya Nenosiri ya Ulimwengu Halisi Kupitia Kujifunza Kina na Kamusi Dinamiki

1. Utangulizi

Nenosiri bado ndio utaratibu mkuu wa uthibitishaji licha ya udhaifu unaojulikana wa usalama. Watumiaji huwa wanaunda nenosiri rahisi kukumbuka, na kusababisha usambazaji unaotabirika sana ambao washambuliaji wanaweza kutumia. Usalama wa mfumo unaotegemea nenosiri hauwezi kufafanuliwa na kigezo rahisi kama ukubwa wa ufunguo; badala yake, unahitaji uundaji sahihi wa tabia ya adui. Karatasi hii inashughulikia kasoro muhimu katika uchambuzi wa sasa wa usalama wa nenosiri: upendeleo mkubwa wa kipimo unaoletwa na mashambulizi ya kamusi yasiyosanidiwa vyema, ambayo husababisha makadirio ya juu ya nguvu ya nenosiri na hitimisho lisiloaminika la usalama.

2. Usuli wa Taarifa & Taarifa ya Tatizo

Zaidi ya miaka thelathini ya utafiti zimezalisha miundo ya kisayansi ya uwezekano wa nenosiri. Hata hivyo, kuunda washambuliaji wa ulimwengu halisi na mikakati yao ya kukisia ya vitendo kumeendelea kidogo. Wavunjaji nenosiri wa ulimwengu halisi mara nyingi hutumia mashambulizi ya kamusi na kanuni za kubadilisha, ambazo ni rahisi kubadilika lakini zinahitaji usanidi wa kiwango cha mtaalamu na kurekebishwa—mchakato unaotegemea ujuzi wa kikoa uliofanywa bora katika miaka ya mazoezi.

2.1 Upendeleo wa Kipimo katika Usalama wa Nenosiri

Watafiti na watendaji wengi wa usalama hawana ujuzi wa kikoa wa washambuliaji wataalamu. Kwa hivyo, wanategemea usanidi wa "kutoka kwa rafu" wa kamusi na seti za kanuni kwa uchambuzi wao. Kama ilivyodhihirishwa katika kazi za awali (k.m., [41]), usanidi huu wa chaguomsingi husababisha makadirio makubwa ya nguvu ya nenosiri, na kushindwa kukadiria usahihi uwezo wa adui halisi. Hii inaunda upendeleo mkubwa wa kipimo ambao kimsingi hubadilisha matokeo ya tathmini za usalama, na kuzifanya zisiwe za kuaminika kwa kutoa sera au muundo wa mfumo.

2.2 Vikwazo vya Mashambulizi ya Jadi ya Kamusi

Mashambulizi ya jadi ya kamusi ni tuli. Hutumia kamusi iliyowekwa na seti iliyobainishwa mapema ya kanuni za kubadilisha (k.m., mabadiliko ya leet speak kama a->@, kuongeza tarakimu) kutoa nenosiri zinazowezekana. Ufanisi wao unategemea sana usanidi wa awali. Hata hivyo, wataalamu wa ulimwengu halisi hubadilisha mikakati yao ya kukisia kwa nguvu kulingana na taarifa maalum ya lengo (k.m., jina la kampuni, idadi ya watumiaji), uwezo ambao haupo katika zana za kawaida za kitaaluma na viwanda.

3. Njia Iliyopendekezwa

Kazi hii inatanguliza kizazi kipya cha mashambulizi ya kamusi iliyoundwa kuwa imara zaidi dhidi ya usanidi duni na kukadiria kiotomatiki mikakati ya hali ya juu ya washambuliaji bila kuhitaji usimamizi wa mikono au ujuzi wa kina wa kikoa.

3.1 Mtandao wa Neva wa Kina kwa Uundaji wa Ustadi wa Adui

Sehemu ya kwanza hutumia mitandao ya neva ya kina (DNNs) kuunda ustadi wa washambuliaji wataalamu katika kujenga usanidi bora wa shambulio. DNN hufunzwa kwa data inayotokana na usanidi wa mafanikio wa mashambulizi au uvujaji wa nenosiri ili kujifunza uhusiano tata, usio na mstari kati ya sifa za nenosiri (k.m., urefu, aina za herufi, muundo) na uwezekano wa kanuni maalum ya kubadilisha au neno la kamusi kuwa na ufanisi. Muundo huu unashika "utambuzi" wa mtaalamu katika kuchagua na kuweka kipaumbele kwa mikakati ya kukisia.

3.2 Mikakati ya Kukisia ya Dinamiki

Uvumbuzi wa pili ni kuanzishwa kwa mikakati ya kukisia ya dinamiki ndani ya mfumo wa shambulio la kamusi. Badala ya kutumia kanuni zote kwa nguvu, mfumo hutumia utabiri wa DNN kubadilisha shambulio kwa nguvu. Kwa mfano, ikiwa seti ya nenosiri lengwa inaonekana kuwa na mabadiliko mengi ya leet-speak, mfumo unaweza kuweka kipaumbele kwa kanuni hizo za kubadilisha. Hii inafanana na uwezo wa mtaalamu kubadilisha mbinu yao kwa wakati halisi kulingana na maoni au ujuzi wa awali kuhusu lengo.

3.3 Mfumo wa Kiufundi & Uundaji wa Kihisabati

Kiini cha muundo kinajumuisha kujifunza kitendakazi $f_{\theta}(x)$ ambacho huweka ramani ya nenosiri (au sifa zake) $x$ kwa usambazaji wa uwezekano juu ya kanuni zinazowezekana za kubadilisha na maneno ya kamusi. Lengo ni kupunguza tofauti kati ya usambazaji wa kukisia wa muundo na mkakati bora wa shambulio unaotokana na data ya mtaalamu. Hii inaweza kuwekwa kama kuboresha vigezo $\theta$ ili kupunguza kitendakazi cha hasara $\mathcal{L}$:

$\theta^* = \arg\min_{\theta} \mathcal{L}(f_{\theta}(X), Y_{expert})$

ambapo $X$ inawakilisha sifa za nenosiri katika seti ya mafunzo, na $Y_{expert}$ inawakilisha mpangilio bora wa kukisia au uteuzi wa kanuni unaotokana na usanidi wa mtaalamu au data halisi ya kuvunja.

4. Matokeo ya Majaribio & Uchambuzi

4.1 Seti ya Data & Usanidi wa Majaribio

Majaribio yalifanywa kwenye seti kubwa za data za nenosiri za ulimwengu halisi (k.m., kutoka kwa uvujaji wa awali). Shambulio la Kamusi Dinamiki la Kujifunza Kina (DLDD) lililinganishwa na miundo ya kisasa ya uwezekano wa nenosiri (k.m., miundo ya Markov, PCFGs) na mashambulizi ya jadi ya kamusi na seti za kanuni za kawaida (k.m., kanuni za "best64" za JtR).

4.2 Ulinganisho wa Utendaji & Kupunguza Upendeleo

Kipimo muhimu ni kupunguza kwa idadi ya makisio yanayohitajika kuvunja asilimia fulani ya nenosiri ikilinganishwa na mashambulizi ya kawaida ya kamusi. Shambulio la DLDD lilionyesha uboreshaji mkubwa wa utendaji, likivunja nenosiri kwa makisio machache sana. Muhimu zaidi, lilionyesha uthabiti mkubwa katika seti tofauti za data na usanidi wa awali, ikionyesha kupungua kwa upendeleo wa kipimo. Ambapo shambulio la kawaida linaweza kushindwa kabisa na kamusi iliyochaguliwa vibaya, ubadilishaji wa nguvu wa shambulio la DLDD ulitoa utendaji imara, zaidi ya kiwango cha msingi.

Picha ya Matokeo

Kupunguza Upendeleo: DLDD ilipunguza tofauti katika kiwango cha mafanikio ya kuvunja katika usanidi tofauti wa awali kwa zaidi ya 40% ikilinganishwa na mashambulizi tuli ya kamusi.

Faida ya Ufanisi: Ilifikia kiwango sawa cha kuvunja kama shambulio la hali ya juu la tuli kwa kutumia makisio 30-50% chini kwa wastani.

4.3 Ufahamu Muhimu kutoka kwa Matokeo

  • Otomatiki ya Utaalamu: DNN ilifanikiwa kuingiza mifumo ya usanidi wa mtaalamu, na kuthibitisha dhana kwamba ujuzi huu unaweza kujifunzwa kutoka kwa data.
  • Uimara dhidi ya Usanidi: Mbinu ya nguvu ilifanya shambulio liwe nyeti sana kwa ubora wa kamusi ya kuanzia, chanzo kikuu cha upendeleo katika masomo.
  • Muundo wa Tishio Unaofanana zaidi na Uhalisia: Tabia ya shambulio ilifanana zaidi na mikakati ya kubadilika, yenye lengo ya adui wa ulimwengu halisi kuliko mbinu za awali za otomatiki.

5. Mfumo wa Uchambuzi: Mfano wa Utafiti wa Kesi

Hali: Kutathmini nguvu ya nenosiri kutoka kwa kampuni ya kiteknolojia ya kubuni "AlphaCorp."

Mbinu ya Jadi: Mtafiti anaendesha Hashcat na kamusi ya rockyou.txt na seti ya kanuni best64.rule. Shambulio hili la tuli linaweza kufanya kazi kwa wastani lakini lingekosa mifumo maalum ya kampuni (k.m., nenosiri zilizo na "alpha", "corp", majina ya bidhaa).

Utumiaji wa Mfumo wa DLDD:

  1. Kuingiza Muktadha: Mfumo umewekwa na muktadha "AlphaCorp," kampuni ya kiteknolojia. Muundo wa DNN, uliofunzwa kwenye uvujaji sawa wa makampuni, huongeza kipaumbele kwa kanuni za kubadilisha zinazotumika kwa majina ya kampuni na istilahi za kiteknolojia.
  2. Uundaji wa Kanuni ya Dinamiki: Badala ya orodha iliyowekwa, shambulio hutoa na kupanga kanuni kwa nguvu. Kwa "alpha," inaweza kujaribu: alpha, Alpha, @lpha, alpha123, AlphaCorp2023, @lph@C0rp katika mpangilio uliotabiriwa na muundo kuwa na ufanisi zaidi.
  3. Kubadilika Endelevu: Shambulio linapovunja baadhi ya nenosiri (k.m., kupata nyingi zilizoongezwa miaka), linarekebisha zaidi mkakati wake ili kuweka kipaumbele kuongeza miaka ya hivi karibuni kwa maneno mengine ya msingi.
Kesi hii inaonyesha jinsi mfumo unavyohama kutoka kwa shambulio la ukubwa mmoja kwenda kwenye jaribio la kupenya linalotambua muktadha na kubadilika.

6. Matumizi ya Baadaye & Mwelekeo wa Utafiti

  • Vipima Nguvu ya Nenosiri ya Kukabiliana: Kuunganisha teknolojia hii kwenye violezo vya uundaji wa nenosiri ili kutoa maoni ya nguvu ya wakati halisi, inayotambua adui, na kuendelea zaidi ya kanuni rahisi za muundo.
  • Ukaguzi wa Usalama wa Otomatiki: Zana kwa wasimamizi wa mfumo ambazo hutoa mfano wa otomatiki wa mashambulizi ya kisasa, yanayobadilika dhidi ya hash za nenosiri ili kutambua hati dhaifu kabla ya washambuliaji.
  • Utoaji wa Mfano wa Adui kwa Mafunzo ya AI: Kutumia muundo wa shambulio la nguvu kama adui katika mazingira ya kujifunza kwa nguvu ili kufunza mifumo imara zaidi ya uthibitishaji au utambuzi wa ukiukaji.
  • Kubadilika kwa Vikoa: Kuchunguza mbinu za uhamishaji wa ujifunzaji ili kuruhusu muundo uliofunzwa kwenye aina moja ya seti ya data (k.m., nenosiri za watumiaji wa jumla) kubadilika haraka kwenda kwenye nyingine (k.m., nenosiri chaguomsingi za router) kwa data mpya kidogo.
  • Mafunzo ya Kimaadili na Kuhifadhi Faragha: Kukuza mbinu za kufunza miundo hii yenye nguvu kwa kutumia data ya sintetiki au ujifunzaji wa shirikishi ili kuepuka wasiwasi wa faragha yanayohusishwa na kutumia uvujaji halisi wa nenosiri.

7. Marejeo

  1. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
  2. Ma, J., Yang, W., Luo, M., & Li, N. (2014). A Study of Probabilistic Password Models. IEEE Symposium on Security and Privacy.
  3. Ur, B., et al. (2015). Do Users' Perceptions of Password Security Match Reality? CHI.
  4. Melicher, W., et al. (2016). Fast, Lean, and Accurate: Modeling Password Guessability Using Neural Networks. USENIX Security Symposium.
  5. Wang, D., Cheng, H., Wang, P., Huang, X., & Jian, G. (2017). A Security Analysis of Honeywords. NDSS.
  6. Pasquini, D., et al. (2021). Reducing Bias in Modeling Real-world Password Strength via Deep Learning and Dynamic Dictionaries. USENIX Security Symposium.
  7. Goodfellow, I., et al. (2014). Generative Adversarial Nets. NeurIPS. (Kama dhana ya msingi ya DL).
  8. NIST Special Publication 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management.

8. Uchambuzi wa Mtaalamu & Ukaguzi Muhimu

Ufahamu wa Msingi: Karatasi hii inatoa mashambulio ya upasuaji kwenye udhaifu muhimu, lakini mara nyingi unaopuuzwa, katika mbinu ya utafiti wa usalama wa kidijitali: pengo la upendeleo wa kipimo kati ya miundo ya kitaaluma ya kuvunja nenosiri na ukweli mgumu wa mashambulizi yanayoongozwa na wataalamu. Waandishi wanatambua kwa usahihi kwamba "ujuzi wa kikoa" wa washambuliaji ndio kipande kinachokosekana, na pendekezo lao la kuiotomatiki kupitia kujifunza kina ni la kutamani na la lazima. Hii sio tu juu ya kuvunja nenosiri zaidi; ni juu ya kufanya tathmini za usalama ziwe za kuaminika tena.

Mtiririko wa Kimantiki: Hoja ni ya kulazimisha. 1) Mashambulizi ya ulimwengu halisi yanategemea kamusi na yamewekwa na wataalamu. 2) Miundo ya kitaaluma/watendaji hutumia usanidi tuli, wa kutoka kwa rafu, na kuunda upendeleo (makadirio ya juu ya nguvu). 3) Kwa hivyo, ili kupunguza upendeleo, lazima tuotomatiki urekebishaji wa mtaalamu na uwezo wa kubadilika. 4) Tunatumia DNN kuunda mantiki ya usanidi wa mtaalamu na kuiingiza ndani ya mfumo wa shambulio la nguvu. 5) Majaribio yanaonyesha hii inapunguza tofauti (upendeleo) na kuboresha ufanisi. Mantiki ni safi na inashughulikia sababu ya msingi, sio dalili tu.

Nguvu & Kasoro:
Nguvu: Mwelekeo kwenye upendeleo wa kipimo ndio mchango wake mkubwa zaidi, na kuinua kazi kutoka kwa zana safi ya kuvunja hadi maendeleo ya mbinu. Mbinu ya mseto (DL + kanuni za nguvu) ni ya vitendo, ikitumia utambuzi wa muundo wa mitandao ya neva—sawa na jinsi CycleGAN inavyojifunza uhamishaji wa mtindo bila mifano iliyowekwa pamoja—ndani ya mfumo wa kimuundo, wa utoaji wa juu wa mashambulizi ya kamusi. Hii inaweza kupanuliwa na kufasiriwa zaidi kuliko mtengenezaji wa nenosiri wa neva safi wa mwisho-hadi-mwisho.

Kasoro & Maswali: "Data ya mtaalamu" ya kufunza DNN inaweza kuwa kisigino cha kisigino. Inatoka wapi? Faili za usanidi za mtaalamu zilizovuja? Karatasi inadokeza kutumia data kutoka kwa uvujaji wa awali, lakini hii ina hatari ya kuingiza upendeleo wa kihistoria (k.m., tabia za zamani za nenosiri). Utendaji wa muundo ni mzuri tu kama data hii ya mafunzo inawakilisha mikakati ya sasa ya wataalamu. Zaidi ya hayo, ingawa inapunguza upendeleo wa usanidi, inaweza kuanzisha upendeleo mpya kutoka kwa muundo wa DNN na mchakato wa mafunzo. Kipimo cha kimaadili cha kuchapisha zana hii ya otomatiki yenye ufanisi pia kinapitishwa.

Ufahamu Unaoweza Kutekelezwa: Kwa watathmini wa usalama: Acha mara moja kutegemea tu seti za chaguomsingi za kamusi/kanuni. Karatasi hii inatoa mchoro wa kujenga au kupitisha zana za majaribio zinazobadilika zaidi. Kwa watunga sera za nenosiri: Elewa kwamba kanuni tuli za utata hazina maana dhidi ya mashambulizi yanayobadilika. Sera lazima zihimisishe nasibu na urefu, na zana kama hii zinapaswa kutumika kujaribu ufanisi wa sera. Kwa watafiti wa AI: Huu ni mfano bora wa kutumia kujifunza kina kuunda ujuzi wa binadamu katika kikoa la usalama—muundo unaotumika kwa utambuzi wa virusi vya kompyuta au ulinzi wa uhandisi wa kijamii. Baadaye iko kwenye AI inayoweza kutoa mfano wa washambuliaji bora wa binadamu ili kujilinda dhidi yao, dhana inayoungwa mkono na mifano ya mafunzo ya adui inayoonekana katika kazi kama vile GANs za Goodfellow. Hatua inayofuata ni kufunga kitanzi, kwa kutumia miundo hii ya shambulio inayobadilika kutoa data ya mafunzo kwa mifumo imara zaidi ya ulinzi.