一种基于强化学习的口令猜解模型

口令猜解是口令安全研究的重要方向之一。基于生成式对抗网络(Generative Adversarial Network, GAN)的口令猜解是近几年提出的一种新方法，其通过判别器对生成口令的评判结果来指导生成器的更新，进而生成口令猜测集。然而由于判别器对生成器的指导不足，现有的基于GAN的口令猜解模型的猜解效率较低。针对这个问题，提出了一种基于强化学习Actor-Critic算法改进的GAN口令猜解模型AC-Pass。AC-Pass模型通过Critic网络和判别器输出的奖赏共同指导Actor网络每一时间步生成策略的更新，实现了对口令序列生成过程的强化指导。将AC-Pass模型应用到RockYou, LinkedIn和CSDN口令集进行实验，并与PCFG模型、已有基于GAN的口令猜解模型PassGAN和seqGAN进行比较。实验结果表明，无论是同源测试集还是异源测试集，AC-Pass模型在9×10⁸猜测集上的口令破解率均高于PassGAN和seqGAN;且当测试集与训练集之间的口令空间分布差异较大时，AC-Pass表现出了优于PCFG的口令猜解性能；另外，AC-Pa...     

口令强度评估的分级先验模型研究

拒绝用户设置弱口令是系统信息安全防护的一种重要手段。 针对完整口令集设计并实现了一个不同于基于规则的先验口令检验器的口令分级先验组合模型。利用马尔可夫模型,结合影响口令强度的长度、频次、首字母等相关因素,设计了有效的口令强度评估函数,并根据强度值分布设置阈值对全口令集进行合理分级,并将结果导入布鲁姆过滤器中,以在保证分级口令自身安全的同时,减少口令先验检索的时耗。多口令库实验结果表明:口令强度评价结果合理,分级结果在先验口令检测方面具有较好的适用性。     

基于随机投影与集成学习的离群点检测算法

针对传统基于相似度的离群点检测算法在高维不均衡数据集上效果不够理想的问题,提出一种新颖的基于随机投影与集成学习的离群点检测（ensemble learning and random projection-based outlier detection,EROD）框架。算法首先集成多个随机投影方法对高维数据进行降维,提升数据多样性;然后集成多个不同的传统离群点检测器构建异质集成模型,增加算法鲁棒性;最后使用异质模型对降维后的数据进行训练,训练后的模型经过两次优化组合以降低泛化误差,输出最终的对象离群值,离群值高的对象被算法判定为离群点。分别在四个不同领域的高维不均衡真实数据集上进行对比实验,结果表明该算法与传统离群点检测算法和基于集成学习的离群点检测算法相比,在AUC和precision@n值上平均提高了3.6%和14.45%,证明EROD算法具有处理高维不均衡数据异常的优势。     

基于子图策略的选择性分类器集成算法

为了去除集成学习中的冗余个体,提出了一种基于子图选择个体的分类器集成算法。训练出一批分类器,利用个体以及个体间的差异性构造出一个带权的完全无向图;利用子图方法选择部分差异性大的个体参与集成。通过使用支持向量机作为基学习器,在多个分类数据集上进行了实验研究,并且与常用的集成方法Bagging和Adaboost进行了比较,结果该方法获得了较好的集成效果。     

基于RF的排序学习方法在电影数据集中的应用

针对自制电影数据集中电影的排序问题,文章提出了一种基于RF的Bootstrap自适应双集成排序学习方法(RandomForest-based Bootstrap Self-adaptive Double-ensemble,RF-based BSD).先利用电影媒体网站数据构建21个特征自建基于排序学习格式的电影数据集,BSD会根据输入数据集的查询数、查询-电影对数和特征数,通过Bootstrap自适应函数自动确定RF的子采样比例,然后使用单集成模型(比如MART,Multiple Additive Regression Tree,多重累计回归树)作为基学习器进行训练,最后采用bagging思想输出最终的双集成模型.实验结果显示,对比两个评价指标NDCG(Normalized Discounted Cumulative Gain,归一化折扣累计增益)和MAP(Mean Average Precision,平均值均值)的评估效果,发现BSD输出的双集成模型比单集成模型在两项指标上均有1％-3％左右的提升.     

一种基于姓名首字母简写结构的口令破解方法

用户口令猜测研究是口令安全性研究的重要组成部分之一,根据用户个人信息和用户口令之间的联系,分析用户个人信息的结构特点,扩展Weir的概率语境自由语法方法,基于用户姓名首字母简写结构,提出一个概率口令攻击方法。通过训练找到用户姓名首字母简写结构,引入到用户口令结构生成算法中,从而生成新的更有效的口令结构,并使用训练集中学习出来的个人信息,作为简写结构的替换变量进行猜测攻击。采用网上泄露的用户口令数据集设计不同实验场景,实验结果表明,在猜测2000万次的情况下,该方法的猜测成功率超过了John the Ripper的字典模式,和概率上下文无关文法相比最高提升48.12%。     

基于集成LightGBM和贝叶斯优化策略的房价智能评估模型

针对传统房价评估方法中存在的数据源单一、过分依赖主观经验、考虑因素理想化等问题,提出一种基于多源数据和集成学习的智能评估方法。首先,从多源数据中构造特征集,并利用Pearson相关系数与序列前向选择法提取最优特征子集;然后,基于构造的特征,以Bagging集成策略作为结合方法集成多个轻量级梯度提升机（LightGBM）,并利用贝叶斯优化算法对模型进行优化;最后,将该方法应用于房价评估问题,实现房价的智能评估。在真实的房价数据集上进行的实验表明,相较于支持向量机（SVM）、随机森林等传统模型,引入集成学习和贝叶斯优化的新模型的评估精度提升了3.15%,并且百分误差在10%以内的评估结果占比84.09%。说明所提模型能够很好地应用于房价评估领域,得到的评估结果更准确。     

LSTM模型集成方法在客户流失预测中的应用

目前客户流失预测任务中常用的模型集成方法采用传统机器学习模型作为基学习器。而传统机器学习模型相比于深度学习模型,存在无法对时序数据进行有效建模、特征工程对模型效果影响较大等缺点。针对这些问题,提出基于LSTM的模型集成方法。采用LSTM作为基学习器进行时序数据建模;改进snapshot模型集成方法,增加样本权重调整方法,在训练单个LSTM模型的过程中得到多个具有不同权值的模型;利用得到的多个模型构造新数据集,在新数据集上训练逻辑回归模型。实验结果表明,该方法相比于单模型LSTM,可以在仅花费其1.8倍训练时间的前提下,将查准率和PR-AUC分别提升4.67%和3.74%,显著提高了客户流失预测效果。     

基于集成LightGBM和贝叶斯优化策略的房价智能评估模型

针对传统房价评估方法中存在的数据源单一、过分依赖主观经验、考虑因素理想化等问题，提出一种基于多源数据和集成学习的智能评估方法。首先，从多源数据中构造特征集，并利用Pearson相关系数与序列前向选择法提取最优特征子集；然后，基于构造的特征，以Bagging集成策略作为结合方法集成多个轻量级梯度提升机（LightGBM），并利用贝叶斯优化算法对模型进行优化；最后，将该方法应用于房价评估问题，实现房价的智能评估。在真实的房价数据集上进行的实验表明，相较于支持向量机（SVM）、随机森林等传统模型，引入集成学习和贝叶斯优化的新模型的评估精度提升了3.15%，并且百分误差在10%以内的评估结果占比84.09%。说明所提模型能够很好地应用于房价评估领域，得到的评估结果更准确。     

直接优化性能指标的多排序模型融合方法

现有排序学习算法忽视了查询之间的差异,在建立排序模型的过程中等同对待训练样本集中的所有查询及其相关文档,影响了排序模型的性能.文中描述了查询之间的差异,并在训练过程中考虑查询之间的差异,提出了一种基于有监督学习的多排序模型融合方法.这种方法首先使用每一个查询及其相关文档训练出子排序模型,并将每一个子排序模型的输出转化为体现查询差异的特征数据,使用监督学习方法,实现了多排序模型的融合.更进一步,针对排序问题的特性,文中提出了一种直接优化排序性能的融合函数融合子排序模型,使用梯度上升方法优化其下界函数.文中证明了直接优化排序性能的融合函数融合子排序模型的性能优于子排序模型线性合并的性能.基于较大规模真实数据应用的实验结果表明,直接优化性能指标的多排序模型融合方法可以比传统排序学习模型具有更好的排序性能.     

Hybritus: a password strength checker by ensemble learning from the query feedbacks of websites

Password authentication is vulnerable to dictionary attacks.Password strength measurement helps users to choose hard-to-guess passwords and enhance the security of systems based on password authentication.Although there are many password strength metrics and tools,none of them produces an objective measurement with inconsistent policies and different dictionaries.In this work,we analyzed the password policies and checkers of top 100 popular websites that are selected from Alexa rankings.The checkers are inconsistent and thus they may label the same password as different strength labels,because each checker is sensitive to its configuration,e.g.,the algorithm used and the training data.Attackers are empowered to exploit the above vulnerabilities to crack the protected systems more easily.As such,single metrics or local training data are not enough to build a robust and secure password checker.Based on these observations,we proposed Hybritus that integrates different websites'strategies and views into a global and robust model of the attackers with multiple layer perceptron(MLP)neural networks.Our data set is comprised of more than 3.3 million passwords taken from the leaked,transformed and randomly generated dictionaries.The data set were sent to 10 website checkers to get the feedbacks on the strength of passwords labeled as strong,medium and weak.Then we used the features of passwords generated by term frequency-inverse document frequency to train and test Hybritus.The experimental results show that the accuracy of passwords strength checking can be as high as 97.7%and over 94%even if it was trained with only ten thousand passwords.User study shows that Hybritus is usable as well as secure.     

动态字典破解用户口令与安全口令选择

口令认证一直是最主要的身份认证方式。考虑到口令要满足口令策略和易记忆的要求,用户常常会将个人信息组合起来作为口令。因此,为了调查此类口令的比例,以2011年泄露的四种真实口令集为实验素材,预先设定口令的组合结构和格式,使用程序统计使用个人信息组合作为口令的比例。实验结果表明,使用姓名、电话号码、特殊日期等信息组合而成的口令比例为12.41%~25.53%。根据这一规律,提出了动态字典攻击。攻击者可以在获得用户部分个人信息后,生成具有针对性的动态字词典,并以此来破解用户口令。最后,还讨论了如何选择口令以防止攻击者通过动态字典破解用户口令。     

PG-RNN:一种基于递归神经网络的密码猜测模型

用户名—密码（口令）是目前最流行的用户身份认证方式，鉴于获取真实的大规模密码明文非常困难，利用密码猜测技术来生成大规模密码集，可以评估密码猜测算法效率、检测现有用户密码保护机制的缺陷等，是研究密码安全性的主要方法。本文提出了一种基于递归神经网络的密码猜测概率模型（password guessing RNN， PG-RNN），区别于传统的基于人为设计规则的密码生成方法，递归神经网络能够自动地学习到密码集本身的分布特征和字符规律。因此，在泄露的真实用户密码集上训练后的递归神经网络，能够生成非常接近训练集真实数据的密码，避免了人为设定规则来破译密码的局限性。实验结果表明，PG-RNN生成的密码在结构字符类型、密码长度分布上比Markov模型更好地接近原始训练数据的分布特征，同时在真实密码匹配度上，本文提出的PG-RNN模型比目前较好的基于生成对抗网络的PassGAN模型提高了1.2%。     

提高密码安全性的策略

本文主要探讨了默认密码、弱密码、系统保存密码的缺陷、密码取回等等问题,以及简单介绍了在线破解、离线破解、非技术破解等等破解手段。同时,本文还提出一些加强我们的密码的方法,如密码字符随机化、字符多元化、加长密码的长度和其他一些设置密码的技巧。最后,给出了评估密码强度的方法并展望了下一代密码技术。     

中文语境下的口令分析方法

针对目前口令语义分析挖掘主要针对英文口令，且局限于常见的单词或姓氏等口令单元的问题，在中文语境下，利用古诗、成语建立模式库，使用口令字符串的数据分析技术，提出了一种基于已知口令元的中文语境口令分析方法。首先，识别出已知口令元；然后，将其视作单个口令自由度；最后，计算给定攻击成功率下的自由度攻击成本，得出口令安全性的量化数值。设计实验对大量明文口令进行量化分析之后，可知在使用中文语境的口令中，80%的用户口令不具有高安全性，能够被字典攻击轻易攻破。     

基于集合调和的远程口令恢复方法*

基于对多项式编码的集合调和方法的研究,提出一种简单的远程口令恢复新方法。其利用容易记忆的低熵口令集经hash变换后加密并存储高熵口令;利用集合调和多项式容错求解得到原始的低熵口令集,从而恢复高熵口令。同时,提供了两个安全的远程口令恢复协议。分析表明,此方法可以安全广泛地应用到远程应用系统中。     

基于神经网络的定向口令猜测研究

文本口令是现如今最主要的身份认证方式之一,很多用户为了方便记忆在构造口令时使用个人信息。然而,目前利用用户个人信息进行定向口令猜测,进而评估口令安全的工作相对欠缺。同时,神经网络在文本序列处理问题上的成功应用,使得利用神经网络进行口令安全问题研究成为一种新的研究思路。本文基于大规模口令集合,对用户口令构造行为进行分析的基础上,研究用户个人信息在口令构造中的作用,进而提出一种结合神经网络和用户个人信息的定向口令猜测模型TPGXNN（TargetedPassword Guessing using X Neural Networks）,并在8组共计7000万条口令数据上进行定向口令猜测实验。实验结果显示,在各组定向口令猜测实验中,TPGXNN模型的猜测成功率均比概率上下文无关文法、马尔科夫模型等传统模型更高,表明了TPGXNN模型的有效性。     

Improving Password Cybersecurity Through Inexpensive and Minimally Invasive Means: Detecting and Deterring Password Reuse Through Keystroke-Dynamics Monitoring and Just-in-Time Fear Appeals

Password reuse – using the same password for multiple accounts – is a prevalent phenomenon that can make even the most secure systems vulnerable. When passwords are reused across multiple systems, hackers may compromise accounts by stealing passwords from low-security sites to access sites with higher security. Password reuse can be particularly threatening to users in developing countries in which cybersecurity training is limited, law enforcement of cybersecurity is non-existent, or in which programs to secure cyberspace are limited. This article proposes a two-pronged solution for reducing password reuse through detection and mitigation. First, based on the theories of routine, cognitive load and motor movement, we hypothesize that password reuse can be detected by monitoring characteristics of users' typing behavior (i.e. keystroke dynamics). Second, based on protection motivation theory, we hypothesize that providing just-in-time fear appeals when a violation is detected will decrease password reuse. We tested our hypotheses in an experiment and found that users' keystroke dynamics are diagnostic of password reuse. By analyzing changes in typing patterns, we were able to detect password reuse with 81.71% accuracy. We also found that just-in-time fear appeals decrease password reuse; 88.41% of users who received a fear appeal subsequently created unique passwords, whereas only 4.45% of users who did not receive a fear appeal created unique passwords. Our results suggest that future research should continue to examine keystroke dynamics as an indicator of cybersecurity behaviors and use just-in-time fear appeals as a method for reducing non-secure behavior. The findings of our research provide a practical and cost-effective solution to bolster cybersecurity through discouraging password reuse.     

基于CPLD的计算机接口电路设计技巧

本文介绍了利用计算机ISA、PCI总线和打印机接口设计密码电路，基于CPLD设计密码电路，具有加密性能好的特性，通过并行打印机接口设计一个密码电路，密码存储在电路中，通过操作接口读取密码，ISA总线可以直接读取电路密码。PCI总线可以通过W89C940af对密码电路进行操作，读取设置密码。     

基于多模型融合的流失用户预测方法

准确的用户流失预测能力有助于企业提高用户保持率、增加用户数量和增加盈利。现有的流失用户预测模型大多为单一模型或是多个模型的简单融合,没有充分发挥多模型集成的优势。借鉴了随机森林的Bootstrap Sampling的思想,提出了一种改进的Stacking集成方法,并将该方法应用到了真实数据集上进行流失用户的预测。通过验证集上的实验比较可知,提出的方法在流失用户F1值、召回率和预测准确率3项指标上均好于所有相同结构的经典Stacking集成方法;当采用恰当的集成结构时,其表现可超越基分类器上的最优表现。