[发明专利]一种基于集成学习的口令强度评估模型

说明书

本发明设计了一种基于多模型的集成学习的口令评估模型。首先，使用真实的口令训练集训练多个现有的口令评估模型作为子模型；其次，将多个经过训练的子模型作为基学习器进行集成学习，采用偏弱项投票法的结合策略实现各个子模型的优势集成；最后，实现一个以高准确性为前提的通用口令评估模型。基于多模型集成学习模型针对不同复杂程度的口令进行口令强度评估，其评估结果准确率高、通用性强，基于多模型集成学习在口令评估方面具有较好的适用性。

技术领域

本发明属于信息安全领域。针对现有的口令评估模型通用性差，没有一个可以对从简单口令到非常复杂口令都适用的评估模型的问题，设计了一种基于多模型的集成学习的口令评估模型。

背景技术

在应用系统的认证方面，口令的安全性直接关系到整个应用系统的安全以及用户隐私的保护。随着互联网服务的发展（如邮件、电子商务、社交网络等），越来越多网络服务需要口令的保护。然而人类的记忆能力有限，这导致用户不可避免地使用不同程度的弱口令，或者在不同的应用系统中使用同一个口令，从而给应用系统带来严重的安全隐患（如社会工程学攻击，猜测攻击等）。所以，在用户注册时，评估用户输入的口令安全性并及时反馈给用户，提醒其注意口令的强弱，具有重要的意义。

口令安全性研究的难点在于，口令是人产生的，与人的行为直接相关，而每个人行为因内在或者外在的环境而千差万别，所以口令之间具有很大的差异。在口令评估方面，基于对猜测攻击方法和用户脆弱口令行为的深入理解，常用的方法是使用通用口令列表来评估用户输入的口令，如：用户输入口令是否在通用口令列表里，来判断口令是否可接受。这种方法具有很大的局限性，其准确程度取决于黑名单口令列表的大小，并且影响用户体验。目前，根据美国国家标准技术研究所 (National Institute of Standards andTechnology, NIST)的建议而衍生的启发式口令强度估计也颇受欢迎，它是基于大小写字母、数字和特殊字符 (counts of lower and uppercase letters, digits and symbol,LUDS)数量来计算信息熵的，信息熵越大，口令强度就越强。然而，相关文献表明基于信息熵的口令强度评估方法，只能提供一个粗略的评估结果。

鉴于以上口令强度评估技术的缺陷，近年来，使用统计学来研究口令安全问题逐渐兴起，其中有基于马尔可夫模型，也有基于概率上下文无关文法的。这两种方法在复杂口令强度评估上具有很好的效果，如今也都投入到了应用当中，然而对于非常简单的弱口令，它们的评估效果就有很大不足。相反地，基于启发式的评估方法和黑名单口令集合比基于概率的方法更为有效，基于概率的方法更适合评估比较复杂的口令。

发明内容

针对现有的口令评估模型通用性差，没有一个可以对从简单口令到非常复杂口令都适用的评估模型的问题。本发明提出了基于机器学习中的集成学习方法，将多个模型作为子模型进行集成学习训练。在这个过程中，集成学习模型将扩展各个子模型在口令评估上的适用范围， 强化各个子模型评估方法的优点，弱化它们的不足，达到合理评估的口令强度的效果。

本发明旨在实现以下目标：

（1）各基学习器能够有效避免由于维度不同而对评估结果产生影响的问题。

（2）强化各个基学习器的优势，弱化其缺陷。

（3）基于多模型集成学习模型针对不同复杂程度的口令进行口令强度评估，其评估结果准确率高、通用性强。

为实现上述目标，本发明提出了基于机器学习中的集成学习方法，将多个模型作为子模型进行集成学习训练。具体采用了如下技术方案：

（1）使用真实的口令训练集训练现有的基于黑名单口令集的口令评估模型作为子模型一。可选地采用基于黑名单口令集的口令评估方法，并对该方法进行了改良，采用了待测口令与参考集合中的口令计算文本相似度；采用Levenshtien 相似度算法；采用不同来源的口令集合进行子模型参数训练，在不同标记的数据训练集合下通过训练得出判定阈值。