Chagua Lugha

AC-Pass: Mfano wa Kukisia Nenosiri Unaotegemea Ujifunzaji wa Kuimarisha

Makala yanapendekeza AC-Pass, mfano ulioboreshwa wa kukisia nenosiri unaotumia GAN na ujifunzaji wa kuimarisha wa Actor-Critic ili kuboresha uongozi na ufanisi wa kuvunja.
strongpassword.org | PDF Size: 0.8 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - AC-Pass: Mfano wa Kukisia Nenosiri Unaotegemea Ujifunzaji wa Kuimarisha
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » AC-Pass: Mfano wa Kukisia Nenosiri Unaotegemea Ujifunzaji wa Kuimarisha

Orodha ya Yaliyomo

1.1 Utangulizi na Muhtasari

Usalama wa nenosiri bado ni mpaka muhimu katika usalama wa mtandao. Kukisia nenosiri, mchakato wa kujaribu kuvunja nenosiri kwa kuzalisha wagombea wanaowezekana, ni eneo muhimu la utafiti kwa ajili ya majaribio ya usalama ya kushambulia na tathmini ya nguvu ya kujihami. Mbinu za jadi kama Sarufi ya Mazingira Bila Msimbo ya Uwezekano (PCFG) na mbinu za hivi karibuni za ujifunzaji wa kina, hasa zile zinazotegemea Mitandao ya Kuzalisha ya Kupingana (GAN), zimeonyesha matumaini. Hata hivyo, miundo inayotegemea GAN mara nyingi hukumbwa na ukosefu wa uongozi wa kutosha kutoka kwa mtambuzi hadi kwa kizazi wakati wa mafunzo, na kusababisha ufanisi duni wa uzalishaji wa nenosiri. Makala haya yanatanguliza AC-Pass, mfano mpya wa kukisia nenosiri unaounganisha algoriti ya ujifunzaji wa kuimarisha ya Actor-Critic katika mfumo wa GAN ili kutoa uongozi sahihi zaidi, hatua kwa hatua, kwa ajili ya uzalishaji wa mlolongo wa nenosiri, na hivyo kuboresha kwa kiasi kikubwa utendaji wa kuvunja.

1.2 Kazi Zinazohusiana na Taarifa ya Tatizo

Miundo ya sasa ya kukisia nenosiri inajumuisha mbinu zinazotegemea kanuni (mfano, John the Ripper, kanuni za kubadilisha za Hashcat), miundo ya uwezekano kama PCFG, na miundo ya kisasa ya ujifunzaji wa kina. Miundo inayotegemea GAN, kama vile PassGAN na seqGAN, inawakilisha mabadiliko ya dhana kwa kujifunza usambazaji wa nenosiri moja kwa moja kutoka kwa data. Changamoto kuu wanayokabiliana nayo ni "tatizo la mgawo wa mkopo" katika uzalishaji wa mlolongo. Mtambuzi hutoa alama ya mwisho kwa nenosiri kamili, lakini haitoi maoni mengi juu ya ni uchaguzi gani maalum wa herufi wakati wa uzalishaji ulikuwa mzuri au mbaya. Ishara hii dhaifu ya tuzo iliyochelewa inazuia ufanisi wa kujifunza kwa kizazi, ambayo ndiyo tatizo kuu AC-Pass inalenga kutatua.

2. Mbinu: Mfano wa AC-Pass

2.1 Muundo wa Mfano

AC-Pass inaboresha muundo wa kawaida wa GAN kwa kujumuisha mtandao wa Actor-Critic pamoja na kizazi (Actor) na mtambuzi. Vipengele vya kawaida vya GAN vinahifadhiwa: Kizazi (G) kinachounda wagombea wa nenosiri kutoka kwa kelele, na Mtambuzi (D) anayetofautisha nenosiri halisi na zile zilizozalishwa. Uvumbuzi upo katika mtandao wa Mkosoaji (C), ambao ni kikadirio cha chaguo za kukokotoa cha thamani.

2.2 Uunganishaji wa Actor-Critic na GAN

Wakati wa uzalishaji wa mlolongo wa nenosiri (herufi kwa herufi), mtandao wa Mkosoaji hutathmini "hali" (mlolongo uliozalishwa kwa sehemu) na kutabiri tuzo ya baadaye inayotarajiwa. Thamani hii iliyotabiriwa, ikichanganywa na tuzo ya mwisho kutoka kwa Mtambuzi (mara nenosiri likikamilika), inatumika kuhesabu ishara ya faida yenye habari zaidi. Ishara hii ya faida inaongoza moja kwa moja usasishaji wa sera ya Actor (Kizazi) katika kila hatua ya wakati, ikitoa maoni ya papo hapo, yenye msongamano ambayo inashughulikia suala la uongozi dhaifu la GAN za kawaida.

2.3 Mchakato wa Mafunzo

Mafunzo yanahusisha mchezo wa kupingana kati ya G na D, kama ilivyo katika GAN za kawaida, lakini yanaboreshwa na usasishaji wa mteremko wa sera unaoendeshwa na mfumo wa Actor-Critic. Mkosoaji anafunzwa kupunguza kosa la tofauti ya wakati, huku Actor akifunzwa kuongeza kiwango cha juu cha tuzo ya jumla inayotarajiwa, ambayo huundwa na makadirio ya thamani ya Mkosoaji na uamuzi wa mwisho wa Mtambuzi.

3. Maelezo ya Kiufundi na Uundaji wa Kihisabati

Lengo kuu la ujifunzaji wa kuimarisha ni kuongeza kiwango cha juu cha kurudi $J(\theta)$ kwa sera ya kizazi $\pi_\theta$:

$J(\theta) = \mathbb{E}_{\tau \sim \pi_\theta}[R(\tau)]$

ambapo $\tau$ ni trajectory (nenosiri lililozalishwa) na $R(\tau)$ ni tuzo, hasa kutoka kwa mtambuzi $D(\tau)$. Njia ya Actor-Critic hutumia chaguo za kukokotoa cha thamani $V^\pi(s)$ (kinakadiriwa na Mkosoaji) kupunguza tofauti katika usasishaji wa mteremko wa sera. Mteremko wa sera unakadiriwa kama:

$\nabla_\theta J(\theta) \approx \mathbb{E}_{\tau \sim \pi_\theta} \left[ \sum_{t=0}^{T} \nabla_\theta \log \pi_\theta(a_t | s_t) \cdot A(s_t, a_t) \right]$

ambapo $A(s_t, a_t)$ ni chaguo za kukokotoa cha faida, mara nyingi huhesabiwa kama $A(s_t, a_t) = R_t + \gamma V(s_{t+1}) - V(s_t)$. Katika AC-Pass, $R_t$ huundwa na matokeo ya mtambuzi na tuzo zingine, ikitoa ishara ya uongozi mseto.

4. Usanidi wa Majaribio na Matokeo

4.1 Seti za Data

Majaribio yalifanywa kwenye seti tatu za data za nenosiri zilizovujwa ulimwenguni halisi: RockYou, LinkedIn, na CSDN. Seti hizi za data hutoa sampuli mbalimbali za nenosiri zilizochaguliwa na watumiaji kwa ajili ya mafunzo na tathmini.

4.2 Miundo ya Kulinganisha

AC-Pass ililinganishwa na:
1. PCFG: Mfano wa kawaida wa uwezekano.
2. PassGAN: Kizazi cha kawaida cha nenosiri kinachotegemea GAN.
3. seqGAN: GAN inayotumia RL kwa uzalishaji wa mlolongo.

4.3 Matokeo na Uchambuzi wa Utendaji

Maelezo ya Chati (Dhahania kulingana na madai ya karatasi): Chati ya mstari inayoonyesha kiwango cha mechi ya nenosiri ya jumla (mafanikio ya kuvunja) kwenye mhimili wa y dhidi ya idadi ya makisio (mfano, hadi 9×10^8) kwenye mhimili wa x. Chati ingeonyesha mistari minne: PCFG, PassGAN, seqGAN, na AC-Pass. Mstari wa AC-Pass ungekuwa juu ya miundo mingine miwili inayotegemea GAN katika anuwai nzima ya makisio, na kuonyesha ufanisi wa juu zaidi. Katika seti za majaribio za "heterologous" (ambapo data ya mafunzo na majaribio inatoka kwa vyanzo tofauti, mfano, funza kwenye RockYou, jaribu kwenye LinkedIn), AC-Pass inaripotiwa kuonyesha utendaji bora ikilinganishwa na PCFG, na kuonyesha ujumuishaji bora.

Matokeo Muhimu: Kwenye seti ya makisio ya nenosiri 9×10^8, AC-Pass ilipata kiwango cha juu cha kuvunja kuliko PassGAN na seqGAN kwenye seti za majaribio za homologous (kinyume cha asili) na heterologous (kinyume cha asili). Zaidi ya hayo, AC-Pass inaonyesha nafasi kubwa ya matokeo ya nenosiri yenye ufanisi, ikimaanisha kiwango chake cha mafanikio kinaendelea kuboreshwa kadri ukubwa wa seti ya makisio unavyoongezeka, tofauti na baadhi ya miundo ambayo hukaa sawa.

Ufahamu Muhimu wa Utendaji

Uunganishaji wa Actor-Critic ulitoa ishara ya "tuzo yenye msongamano" muhimu kwa uamuzi wa ufanisi wa mlolongo katika uzalishaji wa nenosiri, na kubadilisha moja kwa moja kuwa kiwango cha juu cha kugonga kwa kila juhudi ya kompyuta.

5. Ufahamu Muhimu na Uchambuzi

Ufahamu Msingi: Mafanikio ya msingi ya karatasi sio muundo mpya wa mtandao wa neva, lakini ni upangaji mzuri wa vipengee vilivyopo. Inatambua kwa usahihi tatizo la "tuzo chache" kama doa la Achilles la kukisia nenosiri kulingana na GAN na kutumia suluhisho la RL lililothibitishwa (Actor-Critic) kwa usahihi wa upasuaji. Hii si kuhusu uvumbuzi bali ni kuhusu ujumuishaji bora wa uhandisi.

Mtiririko wa Mantiki: Hoja ni sahihi: 1) GAN kwa nenosiri zina tatizo la uongozi (kweli), 2) Actor-Critic hutoa uongozi wa hatua kwa hatua katika RL (kweli), 3) Kuchanganya kunapaswa kuboresha utendaji. Ubunifu wa majaribio, kwa kutumia seti za data za kawaida na viwango (PCFG, PassGAN), ni thabiti na inathibitisha dhana.

Nguvu na Kasoro: Nguvu: Mfano unafanya kazi vizuri zaidi kuliko waliotangulia. Utendaji wake wenye nguvu kwenye seti za data za heterologous ni muhimu sana kwa kuvunja ulimwenguni halisi ambapo usambazaji wa nenosiri lengwa haujulikani. Karatasi ni imara kiufundi ndani ya wigo wake. Kasoro: Uchambuzi ni wa kiasi fulani wa upofu. Inalinganisha na miundo mingine ya kitaaluma lakini hupuuzia hali ya kisasa katika kuvunja kwa vitendo, ambayo mara nyingi inahusisha mashambulio makubwa ya mseto yanayotegemea kanuni (kama kanuni bora za Hashcat) yakiunganishwa na kamusi kubwa za uvujaji. Ufanisi wa AC-Pass unalinganishaje na mbinu ya mseto isiyo-ML iliyosanidiwa vizuri kwa suala la makisio-kwa-pili na kiwango cha mafanikio? Gharama ya kompyuta ya kufunza na kuendesha mfano wa AC-Pass pia haijaelezewa kikamilifu—hiki ni kipengele muhimu kwa kupitishwa.

Ufahamu Unaoweza Kutekelezwa: 1. Kwa Wajihami (Kikosi cha Bluu): Utafiti huu unasisitiza ustadi unaoongezeka wa mashambulio yanayoendeshwa na AI. Sera za kujihami za nenosiri lazima zibadilike zaidi ya kuzuia maneno rahisi ya kamusi. Kutekeleza kikomo cha kiwango cha juu, utambulisho wa lazima wa mambo mengi (MFA), na kukuza matumizi ya wasimamizi wa nenosiri wanaozalisha nenosiri halisi la nasibu, marefu sio hiari tena. 2. Kwa Watafiti: Hatua inayofuata ya kimantiki ni kuchunguza mafunzo ya kupingana. Je, tunaweza kujenga "GAN ya kujihami" inayozalisha nenosiri zilizoundwa mahsusi kudanganya miundo kama AC-Pass, na hivyo kuunda kiwango bora cha tathmini? Pia, kuchunguza ufasiri wa mfano—ni muundo gani hasa anajifunza?—kunaweza kutoa ufahamu katika upendeleo wa uundaji wa nenosiri wa binadamu. 3. Kwa Wataalamu wa Vitendo (Kikosi cha Nyekundu/Wapima Penye): Ingawa kuna matumaini, AC-Pass kwa uwezekano bado sio badala ya moja kwa moja ya zana zilizopo kwa sababu ya utata na kasi. Hata hivyo, inawakilisha kipengele chenye nguvu cha zana kamili ya ukaguzi wa nenosiri. Kipaumbele kinapaswa kuwa juu ya kuendeleza utekelezaji wenye ufanisi, unaoweza kupanuliwa ambao unaweza kujumuishwa katika mifumo kama Hashcat.

Uchambuzi wa Asili (Maneno 300-600): Karatasi "AC-Pass: Mfano wa Kukisia Nenosiri Unaotegemea Ujifunzaji wa Kuimarisha" inawasilisha mageuzi ya kulazimisha katika zana ya usalama ya kushambulia inayoendeshwa na AI. Mchango wake wa msingi upo katika kuunganisha kwa mafanikio nguvu ya kuzalisha ya GAN na mfumo wa uamuzi wa mlolongo wa usahihi wa Actor-Critic wa ujifunzaji wa kuimarisha. Hii inashughulikia moja kwa moja kikomo kinachojulikana katika kutumia GAN za kawaida kwa uzalishaji wa mlolongo tofauti, tatizo lililokuzwa katika utafiti wa msingi wa seqGAN na linalofanana na changamoto katika nyanja zingine kama uzalishaji wa maandishi na miundo ya GPT (ambapo miundo ya msingi ya kubadilisha iliyojitengeneza yalitatua kwa njia tofauti). Ufanisi ulioripotiwa wa mafanikio ni muhimu na unaaminika. Kufanya vizuri kuliko PassGAN na seqGAN kwenye viwango vya kawaida kama seti ya data ya RockYou inathibitisha mbinu ya kiufundi. Zaidi ya kushangaza, utendaji wake bora kwenye seti za data za heterologous (mfano, kufunza kwenye RockYou, kujaribu kwenye LinkedIn) inapendekeza AC-Pass anajifunza muundo wa jumla zaidi, wa msingi wa uundaji wa nenosiri wa binadamu badala ya kukariri tu seti ya mafunzo. Uwezo huu wa ujumuishaji ni muhimu kwa ufanisi wa ulimwenguni halisi, kama ilivyoelezwa katika tathmini za tishio za usalama wa mtandao kutoka kwa mashirika kama MITRE ATT&CK, ambayo inasisitiza mbinu za mashambulio zinazoweza kubadilika. Hata hivyo, kuangalia hii kupitia lenzi la mtaalamu wa vitendo kunafunua mapungufu. Karatasi ipo katika utupu wa kiasi fulani wa kitaaluma. Kiwango cha dhahabu cha ulimwenguni halisi cha kuvunja nenosiri sio mfano safi wa neva; ni mfumo wa mseto wa vitendo unaounganisha kamusi kubwa zilizopangwa (kutoka kwa uvujaji wa zamani), kanuni za hila za kubadilisha (kama katika Hashcat au aina za nguvu za John the Ripper), na vizazi vinavyotegemea mnyororo wa Markov au PCFG. Mifumo hii imeboreshwa sana kwa kasi, mara nyingi ikizalisha na kujaribu mabilioni ya makisio kwa sekunde kwenye makundi ya GPU. Karatasi hailinganishi ufanisi wa makisio-kwa-pili wa AC-Pass na zana hizi za kiwango cha tasnia. Gharama ya mafunzo na kasi ya hitimisho la mfano wa ujifunzaji wa kina inaweza kuwa kikwazo kinachozuia. Zaidi ya hayo, athari za kujihami ni dhahiri. Kadri miundo kama AC-Pass inavyokomaa, sera za jadi za utata wa nenosiri (zinazohitaji herufi kubwa, nambari, alama) zinakuwa na ufanisi mdogo zaidi, kwani miundo hii ina ujuzi wa kujifunza muundo kama huo. Hii inaimarisha hitaji la haraka la mabadiliko ya dhana katika utambulisho, kuelekea MFA isiyoweza kudanganywa na udanganyifu (mfano, FIDO2/WebAuthn) na suluhisho bila nenosiri, mwelekeo unaotetewa kwa nguvu na NIST katika Miongozo yao ya hivi karibuni ya Utambulisho wa Dijitali. Kwa kumalizia, AC-Pass ni kazi bora ya utafiti inayoendeleza hali ya kisasa katika eneo dogo lakini muhimu. Athari yake ya kweli itaamuliwa na ujumuishaji wake katika zana za vitendo, zinazoweza kupanuliwa na jukumu lake katika kulazimisha ubora unaohitajika katika mikakati ya kujihami ya utambulisho.

6. Mfumo wa Uchambuzi: Mfano wa Kesi

Hali: Timu ya usalama anataka kutathmini nguvu ya nenosiri za msingi wa watumiaji wao dhidi ya shambulio la kisasa linaloendeshwa na AI.

Utumiaji wa Mfumo (Hakuna Msimbo): 1. Ukusanyaji wa Data na Kutokuwa na Jina: Toa sampuli ya hash za nenosiri (mfano, bcrypt) kutoka kwa hifadhidata ya watumiaji. Taarifa zote zinazoweza kutambulisha mtu zinachomwa; tu hash na labda kitambulisho cha mtumiaji kinahifadhiwa kwa mechi baadaye. 2. Uchaguzi wa Mfano na Mafunzo: Chagua mfano wa shambulio. Katika uchambuzi huu, tunazingatia AC-Pass. Timu ingefunza AC-Pass kwenye mkusanyiko mkubwa wa nje wa nenosiri zilizovujwa (mfano, RockYou) ili kujifunza muundo wa jumla wa uundaji wa nenosiri. Hawangefunza kwenye nenosiri zao za watumiaji. 3. Uzalishaji wa Makisio: Mfano wa AC-Pass uliofunzwa unazalisha orodha ya vipaumbele vya makisio ya nenosiri, sema wagombea bilioni 10. 4. Kuvunja Hash na Tathmini: Kila kisio kilichozalishwa kinatengenezwa hash kwa kutumia algoriti sawa na vigezo (chumvi, n.k.) kama hifadhidata lengwa. Hash inayotokana inalinganishwa na hash zilizohifadhiwa. 5. Hesabu ya Kipimo na Uripoti: Kwa kila mtumiaji ambaye hash yake imelingana, "nambari ya kisio" (nafasi katika orodha iliyopangwa ambapo nenosiri lilipatikana) imerekodiwa. Vipimo muhimu vinahesabiwa: - Mkunjo wa Mechi ya Jumla: Asilimia ya nenosiri zilizovunjwa kama chaguo za kukokotoa za idadi ya makisio yaliyojaribiwa. - Kiwango cha Wastani cha Kisio: Nafasi ya wastani ambayo nenosiri hupatikana. - Kizingiti cha Udhaifu: Ni asilimia gani ya nenosiri ingevunjwa katika hali halisi ya shambulio (mfano, na makisio bilioni 1)? 6. Matokeo Yanayoweza Kutekelezwa: Ripoti inatambua muundo wa nenosiri wenye hatari zaidi (mfano, "nenosiri zilizo na neno la msingi la kawaida linalofuatiwa na mwaka wa tarakimu 2"). Inatoa data halisi kuhalalisha kutekeleza sera kali zaidi ya nenosiri, upya wa lazima wa nenosiri kwa akaunti zenye hatari kubwa, au kuharakisha uzinduzi wa MFA.

7. Matarajio ya Matumizi na Mwelekeo wa Baadaye

Matumizi ya Muda Mfupi: - Ukaguzi Ulioimarishwa wa Usalama: Ujumuishaji katika zana za kikosi cha nyekundu kwa ajili ya tathmini za nguvu za nenosiri zenye uhalisi zaidi. - Kujaribu Mzigo wa Sera ya Nenosiri: Kujaribu kwa ukusudi sera mpya za muundo wa nenosiri dhidi ya wakisia wa AI kabla ya uzinduzi. - Ujuzi wa Tishio: Kuiga uwezo unaokua wa zana za kuvunja zinazomilikiwa na adui.

Mwelekeo wa Utafiti wa Baadaye: 1. Uboreshaji wa Ufanisi: Kuendeleza toleo nyepesi, la kasi zaidi la mfano (mfano, kupitia usafishaji wa maarifa, kukata mfano) kwa ajili ya kuvunja kwa wakati halisi au kwa kiwango kikubwa. 2. Miundo ya Mseto ya Mfano: Kuchanganya AC-Pass na mifumo inayotegemea kanuni. Wakala wa RL anaweza kujifunza kuchagua na kutumia kanuni za hila zenye ufanisi zaidi kutoka kwa sanduku la zana kulingana na muktadha. 3. Utafiti wa Ulinzi wa Kupingana: Kutumia AC-Pass kama mfano wa shambulio kufunza GAN za kujihami ambazo zinaweza kugundua au kuzalisha nenosiri zinazostahimili wakisia kama huo wa AI, na kuunda uigaji wa mashindano ya silaha. 4. Zaidi ya Nenosiri: Kutumia mfumo wa AC-Pass kwa changamoto zingine za usalama za mlolongo, kama vile kuzalisha mlolongo wa trafiki ya mtandao ya kudhuru kwa ajili ya majaribio ya kuepuka IDS au kuunda maandishi ya barua pepe za udanganyifu.

8. Marejeo

  1. Li, X., Wu, H., Zhou, T., & Lu, H. (2023). Mfano wa Kukisia Nenosiri Unaotegemea Ujifunzaji wa Kuimarisha. Sayansi ya Kompyuta, 50(1), 334-341. (Chanzo cha msingi).
  2. Goodfellow, I., Pouget-Abadie, J., Mirza, M., Xu, B., Warde-Farley, D., Ozair, S., ... & Bengio, Y. (2014). Mitandao ya kuzalisha ya kupingana. Maendeleo katika mifumo ya usindikaji wa habari ya neva, 27. (Karatasi ya msingi ya GAN).
  3. Sutton, R. S., & Barto, A. G. (2018). Ujifunzaji wa kuimarisha: Utangulizi. MIT press. (Marejeo ya kawaida kwa njia za Actor-Critic).
  4. Hitaj, B., Gasti, P., Ateniese, G., & Perez-Cruz, F. (2017). PassGAN: Mbinu ya ujifunzaji wa kina kwa kukisia nenosiri. Katika mkutano wa kimataifa wa usalama wa mtandao na kriptografia iliyotumika (ukurasa 217-237). Springer, Cham. (Kazi muhimu ya awali kuhusu GAN kwa nenosiri).
  5. Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST). (2020). Miongozo ya Utambulisho wa Dijitali (SP 800-63B). [https://pages.nist.gov/800-63-3/sp800-63b.html] (Chanzo cha mamlaka kuhusu mazoea bora ya utambulisho).
  6. Kampuni ya MITRE. (2023). Mfumo wa ATT&CK®, Mbinu T1110: Nguvu ya Kuvunja. [https://attack.mitre.org/techniques/T1110/] (Muktadha wa mashambulio ya nenosiri katika mazingira ya tishio).