当前位置: 首页 > 专利查询>四川大学专利>正文

一种基于集成学习的口令强度评估模型制造技术

技术编号:19343146 阅读:27 留言:0更新日期:2018-11-07 14:15
本发明专利技术设计了一种基于多模型的集成学习的口令评估模型。首先,使用真实的口令训练集训练多个现有的口令评估模型作为子模型;其次,将多个经过训练的子模型作为基学习器进行集成学习,采用偏弱项投票法的结合策略实现各个子模型的优势集成;最后,实现一个以高准确性为前提的通用口令评估模型。基于多模型集成学习模型针对不同复杂程度的口令进行口令强度评估,其评估结果准确率高、通用性强,基于多模型集成学习在口令评估方面具有较好的适用性。

A password strength evaluation model based on Ensemble Learning

The invention designs a password evaluation model based on multi model integrated learning. Firstly, the real password training set is used to train several existing password evaluation models as sub-models; secondly, the multi-trained sub-models are used as base learners for ensemble learning, and the combination strategy of partial weakness voting is used to realize the superiority integration of each sub-model; finally, a sub-model with high accuracy is realized. A general password evaluation model is proposed. Password strength evaluation based on multi-model ensemble learning model for passwords of different complexity levels has high accuracy and versatility, and multi-model ensemble learning has good applicability in password evaluation.

【技术实现步骤摘要】
一种基于集成学习的口令强度评估模型
本专利技术属于信息安全领域。针对现有的口令评估模型通用性差,没有一个可以对从简单口令到非常复杂口令都适用的评估模型的问题,设计了一种基于多模型的集成学习的口令评估模型。
技术介绍
在应用系统的认证方面,口令的安全性直接关系到整个应用系统的安全以及用户隐私的保护。随着互联网服务的发展(如邮件、电子商务、社交网络等),越来越多网络服务需要口令的保护。然而人类的记忆能力有限,这导致用户不可避免地使用不同程度的弱口令,或者在不同的应用系统中使用同一个口令,从而给应用系统带来严重的安全隐患(如社会工程学攻击,猜测攻击等)。所以,在用户注册时,评估用户输入的口令安全性并及时反馈给用户,提醒其注意口令的强弱,具有重要的意义。口令安全性研究的难点在于,口令是人产生的,与人的行为直接相关,而每个人行为因内在或者外在的环境而千差万别,所以口令之间具有很大的差异。在口令评估方面,基于对猜测攻击方法和用户脆弱口令行为的深入理解,常用的方法是使用通用口令列表来评估用户输入的口令,如:用户输入口令是否在通用口令列表里,来判断口令是否可接受。这种方法具有很大的局限性,其准确程度取决于黑名单口令列表的大小,并且影响用户体验。目前,根据美国国家标准技术研究所(NationalInstituteofStandardsandTechnology,NIST)的建议而衍生的启发式口令强度估计也颇受欢迎,它是基于大小写字母、数字和特殊字符(countsofloweranduppercaseletters,digitsandsymbol,LUDS)数量来计算信息熵的,信息熵越大,口令强度就越强。然而,相关文献表明基于信息熵的口令强度评估方法,只能提供一个粗略的评估结果。鉴于以上口令强度评估技术的缺陷,近年来,使用统计学来研究口令安全问题逐渐兴起,其中有基于马尔可夫模型,也有基于概率上下文无关文法的。这两种方法在复杂口令强度评估上具有很好的效果,如今也都投入到了应用当中,然而对于非常简单的弱口令,它们的评估效果就有很大不足。相反地,基于启发式的评估方法和黑名单口令集合比基于概率的方法更为有效,基于概率的方法更适合评估比较复杂的口令。
技术实现思路
针对现有的口令评估模型通用性差,没有一个可以对从简单口令到非常复杂口令都适用的评估模型的问题。本专利技术提出了基于机器学习中的集成学习方法,将多个模型作为子模型进行集成学习训练。在这个过程中,集成学习模型将扩展各个子模型在口令评估上的适用范围,强化各个子模型评估方法的优点,弱化它们的不足,达到合理评估的口令强度的效果。本专利技术旨在实现以下目标:(1)各基学习器能够有效避免由于维度不同而对评估结果产生影响的问题。(2)强化各个基学习器的优势,弱化其缺陷。(3)基于多模型集成学习模型针对不同复杂程度的口令进行口令强度评估,其评估结果准确率高、通用性强。为实现上述目标,本专利技术提出了基于机器学习中的集成学习方法,将多个模型作为子模型进行集成学习训练。具体采用了如下技术方案:(1)使用真实的口令训练集训练现有的基于黑名单口令集的口令评估模型作为子模型一。可选地采用基于黑名单口令集的口令评估方法,并对该方法进行了改良,采用了待测口令与参考集合中的口令计算文本相似度;采用Levenshtien相似度算法;采用不同来源的口令集合进行子模型参数训练,在不同标记的数据训练集合下通过训练得出判定阈值。(2)使用真实的口令训练集训练现有的基于启发式口令评估模型作为子模型二。可选地采用启发式口令评估方法,结合美国国家标准技术研究所的建议与实际口令评估训练提出合理的专家规则;采用不同来源的口令集合进行子模型参数训练,在不同数据训练集合下制定不同判定阈值。(3)使用真实的口令训练集训练现有的基于马尔可夫链口令评估模型作为子模型三。可选地构建n-gram的口令概率矩阵;采用于4阶马尔可夫模型,使用口令出现的概率来描述口令强度;采用了Laplace平滑技术消除数据集中过拟合(Overfitting)问题;采用不同来源的口令集合进行子模型参数训练,对准确率和计算代价进行折中考虑,在不同数据训练集合下制定不同判定阈值。(4)使用真实的口令训练集训练现有的基于概率上下文无关文法口令评估模型作为子模型四。可选地采用的是基于概率上下文无关文法口令评估方法;使用不同来源的口令训练集对PCFG子模型进行训练,在不同数据训练集合下制定不同判定阈值。(5)将四个经过训练的子模型作为基学习器进行集成学习,采用基学习器自带判定器策略和偏弱项投票法的结合策略实现各个子模型的优势集成,实现一个以高准确性为前提的通用口令评估模型。可选地采用Bagging方法;在结合策略方面,基学习器自带判定器策略有效避免了由于维度不同而对评估结果产生影响的问题。对相对多数投票法进行了改进,使投票结果偏向于弱项,当出现票数相当的两个选项时,选择低强度作为输出,即:偏弱项投票。有效强化各个基学习器的优势,弱化其缺陷。在专利技术的实验阶段,选择9个网络上泄露的真实口令集合作为模型的实验数据,设计有效的评估实验。本专利技术的有益效果有,本模型在口令强度评估方面要比单独子模型的表现要好,评估结果准确率高、通用性强,也证明了本模型的适用性。附图说明图1是本专利技术的模型整体架构图图2是本专利技术的基于概率上下文无关文法口令评估基学习器的PCFG算法的训练过程图图3是本专利技术的偏弱项投票法部分规则图(表)具体实施方式:文中提出的模型由四个基学习器组成,分别采用不同的评估方法来评估同一个口令的强度,之后通过集成学习得出最终的评估结果。如图1所示为系统的整体架构图。其中,基学习器包括:基于黑名单口令集的评估学习器、基于启发式评估学习器、基于马尔可夫链的评估学习器、基于PCFG学习器等,每个基学习器之间相互独立。输入口令会同时进入各个基学习器中进行评估,输出各自的评估分数S。之后,将S输入到各自的判定器中,经过各自判定器判定,输出口令判定结果Lables,其中结果集Lables包括:弱,中,强三个标签。根据各个基学习器的判定结果,采用Bagging的偏弱项相对投票的组合方法得出最终的评估结果。基于黑名单口令集的评估基学习器采用基于黑名单口令集的口令评估方法,针对常见的弱口令的评估,该方法是非常有效的,它也是抵抗常规猜测攻击最有效方法之一。方法中使用通用的弱口令集合为参考集,如:网络上的通用口令TOP1000000。待测口令:Password分别与参考集合中的口令比较,如果待测口令存在于参考集合中,则判定该口令强度为弱,否则为强。专利技术对该方法进行了改良,采用了待测口令与参考集合中的口令计算文本相似度。对于相似度算法,专利技术采用Levenshtien相似度算法,计算长度为Lp的待测口令与参考口令集合中每个口令(长度为Lc)的编辑距离(Damerau-Levenshteindistance,DL)为DL,则相似度为Sc计算方法如下:对于判定器,模型采用不同来源的口令集合进行子模型参数训练,在不同标记的数据训练集合下通过训练得出判定阈值,如在1/2tianya口令集合作为训练集,1/2tianya口令集合作为测试集中,得出阈值相似度Sc∈[0.8,1]判定为弱口令,Sc∈(0.5,0.8)判定本文档来自技高网
...

【技术保护点】
1.本专利技术公开了一种基于集成学习的口令强度评估模型。

【技术特征摘要】
1.本发明公开了一种基于集成学习的口令强度评估模型。2.其特征包括以下步骤:步骤一:使用真实的口令训练集训练现有的基于黑名单口令集的口令评估模型作为子模型一;步骤二:使用真实的口令训练集训练现有的基于启发式口令评估模型作为子模型二;步骤三:使用真实的口令训练集训练现有的基于马尔可夫链口令评估模型作为子模型三;步骤四:使用真实的口令训练集训练现有的基于概率上下文无关文法口令评估模型作为子模型四;步骤五:将四个经过训练的子模型作为基学习器进行集成学习,采用偏弱项投票法的结合策略实现各个子模型的优势集成,实现一个以高准确性为前提的通用口令评估模型。3.根据权利要求1所述的基于黑名单口令集的口令评估基学习器,其特征在于:采用基于黑名单口令集的口令评估方法,并对该方法进行了改良,采用了待测口令与参考集合中的口令计算文本相似度;采用Levenshtien相似度算法;采用不同来源的口令集合进行子模型参数训练,在不同标记的数据训练集合下通过训练得出判定阈值。4.根据权利要求1所述的基于启发式口令评估基学习器,其特征在于:采用启发式口令评估方法,结合美国国家标准技术研...

【专利技术属性】
技术研发人员:方勇黄诚刘亮宋创创张成
申请(专利权)人:四川大学
类型:发明
国别省市:四川,51

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1