大数据环境下用户口令认证风险分析及对策
网络是现代人必不可少的工具,无论是在生活中,还是工作中,知网论文查重无论是在官场中还是商场中,人们的上网时间与足迹成指数增长,期间产生的数据更是无法估量,大数据应育而生,当人们意识到它的时候,它就以惊人的影响力震撼着计算机网络。
在大数据的背景下,而如何有效地利用交叉认证与用户数据画像的认证方法来降低风险变得尤为重要,而在这之前,利用攻防博弈模型正确分析风险也是不可忽视的,我们在进行风险评估时,运用博弈论的知识,使被动攻击变为主动防御,这将大大提高信息系统的防御效率。
论文的主要内容包括以下几个方面:
- 简述论文的选题背景,及其研究目的与意义,国内外的发展现状。
- 对大数据环境下存在的传统用户口令漏洞分析,重点阐述基于攻防博弈模型的风险分析技术。
- 介绍大数据环境下用户数据画像,对变量数据权重分析,假设动静态特征变量,在大数据环境下基于用户画像实现用户口令的交叉认证。
- 测试基于大数据技术支持下的主动防御系统(用户登录界面)在实验中的防御效率,在实验中实现对模拟攻击者的检测,对用户设置多层用户口令实现对用户的交叉认证,该系统将使用用户画像数据权重差异值对用户实行多层交叉认证,以实现对攻击者的主动防御。
知网论文查重引 言
在大数据的时代背景下,我们在一个信息透明与共享的时代,我们无法预知自己的私人信息何时会出现在不同的环境,并对我们的生活产生影响。为了避免我们的人生安全受到威胁,个人信息遭到泄漏,本文将根据大数据技术进行针对攻击者的防御讨论。从口令风险分析入手,运用博弈论观点,对用户的口令进行风险分析,找出口令对策突破点,在此基础上建立用户数据库,即动态与静态特征变量集,并对此进行用户数据画像研究,并实现合理的实验设计,对用户数据进行假设分析,得出使用大数据技术后的交叉认证技术的优势,一次为以后的研究提供参考。
因为该实验具有一定的局限性,例如在本次实验数据较少,具有很大的主观性,无法对广大用户数据起代表作用。我们对于大数据环境下用户数据的收集及整理也具有一定的局限性,希望通过软硬件的升级得到改善。在本论文中,只是对一定量的用户数据进行有局限性的分析与处理,并完成论文的实验内容。
第一章 绪论
1.1 研究背景
20世纪90年代以来,网络已经在商业界发挥着前所未有的影响力,计算机技术与商业的结合又为各大企业创造了数之不尽的利润,如今的计算机,早已不再局限于只是实验室里提供计算数字的工具了。但是计算机的本质是收集数据,并整理。随人计算机进入人们的生活,几乎每个人每天都与计算机网络进行着亲密接触,各大企业持有的数据量爆炸式增长,数据已经成为一种新能源[1]。这一切都预示着人们大数据时代的来临。2011年5月,麦肯锡咨询公司在《大数据:创新、竞争和生产力的下一个前沿领域》报告中,首次提出了“大数据”的概念[2]。
1.2 研究目的与意义
近两年,大数据问题已经成为各个学术界及产业界的焦点,鉴于其关系到信息科学技术领域的方方面面,而信息安全问题更是不得不提的重中之重,计算机网络已经成为企业与个人的一种依赖,然而,针对个人信息的网络攻击成功率却不断上升,尽管人们通过各种不同的硬件和软件来加强网络通信的安全,新的攻击方法却不断出现,而传统防御手段,例如防火墙与入侵检测系统,已经不足以抵抗在大数据环境下的攻击手段[3]。传统的防御体系总是根据被攻击的漏洞来发放补丁以此来抵御攻击的,这样一来,防御就永远限制于攻击,为了应对攻击上的突击性与不确定性,弥补防御的时间与技术上的滞后性,必须使用具有攻防博弈的主动防御系统。
并且在大数据技术的支持下,各企业应该做好用户数据收集、存储、整理的工作,完善用户数据库,建立用户数据画像,并对其不断完善,在此基础上研究基于用户画像的主动防御系统。研究攻击者的路径与行为,在被攻击之前事先进行抵抗防御,只有这样才能将被动防御的劣势扭转。
1.3 论文主要工作
本文将在大数据大背景下研究根据用户数据画像下的攻防博弈风险模型,先对用户口令进行系统分析,分析漏洞,介绍基本的口令认证,在用户画像的基础上对用户进行交叉认证。论文的主要工作内容有一下几点:
(1)认真分析在大数据环境下的用户口信息泄露的危害,利用攻防博弈模型,对传统口令进行漏洞分析。
(2)结合用户数据画像设计交叉认证系统,利用大数据分析技术的信息防御系统,进行合理的用户画像临界值的设置,完成合理的用户数据假设,实现交叉认证设计。
(3)在现有软硬件基础上,对主动防御系统进行试验检测,以实现识别非法用户的功能。
(4)对文章内容进行总结,对以后的研究进行展望。
1.4 论文结构
本文分四个章节,主要围绕大数据环境下的用户口令风险分析及交叉口令认证与动态跟踪的防护模型,每个章节的内容如下:
- 是论文的绪论部分,主要论述了论文的研究背景及意义,并概述论文的主体与各章节内容。
- 是大数据环境下用户口令的风险分析,本章主要讲述现今传统用户口令存在的风险,传统防御系统的漏洞及在大数据环境下用户面临的新的攻击。
- 是针对上一章节情况所作出的对策,及在动态跟踪的攻防模型下实现用户的交叉认证。
- 是在用户画像的基础上实行模拟实验并对结果进行分析总结,及对以后相关研究进行展望。
第二章 大数据环境下口令认证风险分析2 .1 简析大数据环境下用户口令风险
互联网商业界视大数据为在经济领域的博弈,是一场实力的较量,而在我国,“大数据”总是成为媒体报道的高频词汇。利用大数据打造智慧城市、提高扶贫精准度、关注农业发展、促进居家养老服务业发展、建立两会大数据平台……两会委员“提案夹”中关于大数据的提案层出不穷。在大数据愈发昌盛的信息时代,信息安全才是繁荣发展的保证,而在我们身边,随时能听到因信息泄露所造成的伤害。
2.1.1 大数据环境下的网络信息安全
在以Web2.0为基础的网络技术时代,各种社交网络与三方软件充斥着人们的生活,以它们为平台产生的大量种类繁多的用户私人信息,将作为云计算的计算数据,存储在各企业与运营商的三方服务器中,其中蕴含着大量的潜在价值,而各大商业巨头早已洞悉其中商机,个人隐私保卫战已经不知不觉中进行的如火如荼。这些用户使用过后留下的数据即是用户在网上的活动足迹,这些足迹日积月累或多或少具有一定的关联性,而不法分子可以使用各种手段将这些信息收集并加以利用,如此便形成了用户的个人标记,而个人信息的泄露毫无疑问将造成用户各方面的伤害。
在大数据这些或半结构或非结构的数据中,隐藏的不仅仅是其表面简单的动态与静态信息,还有就是通过专业技术手段对数据进行分析、筛选之后所获取的二次利用价值,这为各企业提供了市场竞争力,在面临经济瓶颈的今天显得尤其重要。即使有些采集到的数据并不是直白的个人数据,但经过大数据的技术处理后便可以追溯到个人,因此,各大企业正在毫无节制的对用户个人信息进行收集处理,并且对这些个人信息进行不道德使用,甚至一些企业会在与其他企业进行商业合作时共享或者交换自身持有的用户信息。这对广大网民无疑是隐私上的侵犯,即使企业没有非法使用用户个人信息,在大数据背景下,黑客也可能通过对服务器进行攻击实现用户信息的窃取,这样也造成了用户隐私的泄露[4]。用户数据泄露会产生的危害主要表现在以下几个方面:
(1)一些网站或者软件将利用用户的个人信息对用户进行有针对性的产品推销或者投放个性化广告。运营商与广告也很容易通过用户网上的行为记录来预测到用户的消费行为,以此来实现网络销售策略。
(2)个人信息泄露会威胁用户人身安全。现如今各种形式的电话或者短信诈骗层出不穷,有针对用户自身的,也有针对用户身边亲友的,有针对个人手机的,也有针对QQ或者邮箱的,甚至会出现针对性绑架或者盗窃的案件。
(3)信息泄露,会让用户存在潜在经济损失。黑客通过获取到的用户信息来破译信息系统,对用户的个人账户进行攻击,使用户蒙受了巨大的经济损失。
随着用户个人信息的泄露,各种新型犯罪方式将逐渐出现在大家眼前,对企业或用户的利益造成不可挽回的伤害,而针对这些恶意伤害我们应该给予强有力的回应及防御措施,使得信息安全受到应有保护。
2.1.2 用户口令认证漏洞与风险分析
身份认证是网络安全应用体系的第一道防线[5]。基于用户标识符和口令的用户认证技术,因其简单易行的优点已经成为最广泛与主流的认证方法[6]。随着电子商务的兴起,人们面临最大的问题是信任关系的建立[7]。系统与程序一般都会通过对用户进行口令认证来确认使用者的合法性,一旦用户口令泄露,非法用户即可获取该用户的合法权限,并对其资源进行访问,因此防止用户信息的泄露已迫在眉睫。国际黑客组织“匿名者”多次攻击朝鲜网站导致其瘫痪,造成多名会员账号信息泄露,2011年12月CSDN网站遭到黑客攻击,600万用户个人资料遭到泄露,2013年2月16日,Apple、Facebook 和 Twitter 等表示其信息系统都遭到黑客入侵,其中 Twitter 甚至泄露了25万用户的资料。
非法用户未经合法授权,侦破、窃取、破译目标用户系统中的数据,一旦用户口令得以破译,用户信息遭到泄露,将给用户造成利益的巨大损失,而相关联的其他信息系统也将增加潜在的风险与隐患。在对上述用户口令进行的分析中我们不难看出,这些被破译口令具有以下几个特点:
- 口令使用连续或的字符、数字组合:“10101010”、“abcdefgx”、“abcd1234”、“11223344”等;
- 具有特殊意义及象征性意义的词汇或者组合:“word1234”、“password123”、“safe1234”、“loveto0000”等;
- 个人信息,例如手机、出生日期或身份证明的数字:“133*****409”、“132*****673”、“19880803”、“19901124”、“501************789”、“203************602”等;
- 与使用的用户名或其他系统名称相同或相近的字符串:“lilei2003”、“aima1990”、“163.com”、“meiriyixin”、“liuyangC”、“yuantianzhang00”、“tiantianDC”等
- 个人信息的组合字符串如姓名与电话、姓名与生辰的组合等:“liuhaiwai9322”、“1983qianbuxiang”、“wanghai1916”、“yangqianghua1111”、“liu19780230”、“liuhua19961203”、“wang2638”等
由此可以看出,传统的口令已经不能够为日益严峻的网络安全问题提供更好的保护,对于这种单一的字符串组成的口令,黑客会很容易就能对其进行破解,其主要存在的安全隐患便是,使用过于方便,用户口令形式较为单一,容易受到穷举攻击,使用个人信息作为口令,提高了破译风险,在大数据环境下很容易便能猜到,其口令明文也容易在传输信道中遭到攻击者的窃取,即使口令加密,也可能被攻击者用于其他认证,实现重放。
2.2 大数据环境下口令防护的攻防博弈
如今的网路时代,黑客很容易通过各种攻击手段来获取用户的信息获取用户的结构化信息或非机构化信息[8]。这些由大数据分析所获得的用户个人数据在很大程度上能给非法用户提供破译口令的信息,这也预示着口令被破译风险的增高,而这不单单只危害到单一系统的信息安全,当一个防御系统口令被破译,意味着很多同一用户的其他信息系统也增加了被破译的风险,其危害是具有连带性的,而具有结构化特点的用户信息,例如“姓名”、“学历”、“证件号”等,还可能威胁到用户的人生安全,其危害可想而知。
从实际情况出发,我可以看到不存在理想情况下的防御模型,即对所有非法攻击做出防御及对所有系统漏洞做出防护的防御模型。并且,抛开信息安全的投入成本,不惜所有代价进行防护的防御模型是不可能实现的,所以,需要在成本与防御间寻求平衡。防御系统不应只采取被动的防御策略,即在事故发生后在对系统进行维护和根据已发生的攻击行为对系统进行升级,这将是防御永远处在被动状态,信息安全的攻防对抗可以抽象为攻防双方的策略依存性,防御者所采取的防御策略是否有效不应该只取决于其自身的行为,还应取决于攻击者和防御系统的策略,所以可以利用博弈论研究网络攻防矛盾和最优防御决策等信息安全攻防难题。Hamilton认为博弈论将在网络安全领域发挥正要作用[9]。
大数据技术下,通过对用户数据的采集,实现对用户数据的收集、整理与构建,从而完成用户画像,通过对用户的监测、统计、分析,实现对用户的动态跟踪。为用户口令的交叉认证打下基础。
下面,为了使分析更加简洁明了,对攻防分析做以下假设:
- 本文只考虑攻击者与防御者为理性决策主体的情况,设攻击能力Sa与攻击成本Ca1、获取防御者信息能力f1、收益P1、攻击失败被捕获受到惩罚Q1有关;防御系统防御能力Sb与防御成本Cb1、保护信息能力f2、收益P2、损失Q2;
- 设攻击成本对Sa的影响系数值为k1,防御成本对Sb的影响系数为k2;
- 设是由传统技术下,攻击者能力Sa0,攻击成本Ca10,获取信息能力f10;防御者防御能力Sb0,防御成本Cb20,防御者防护能力f20;
设大数据分析技术下攻击能力Sa',攻击成本Ca11,获取防御者信息能力为 f11;防御能力为Sb',防御成本Cb21,防御者保护信息能力为f21;在使用大数据分析技术前后,攻击者的收益、损失不发生变化,Ca11>=Ca10,Cb21>=Cb20,f11>=f10,f21>=f20;
- 设攻击者攻击成功函数值F(Sa,Sb,Sa/Sb).
因为F(Sa,Sb,Sa/Sb)仅取决于Sa/Sb,Sa,Sb为静态特征数据可忽略,所以F(Sa,Sb,Sa/Sb)是以Sa/Sb的增函数。
Sa'=Sa0+(f11-f10)-k1(Ca11-Ca10), (2-1)
Sb'=Sb0+(f21-f20)-k2(Cb21-Cb20), (2-2)
Sa'/Sb'=[Sa0+(f11-f10)-k1(Ca11-Ca10)]/[Sb0+(f21-f20)-k2(C21-C20)] (2-3)
=[(Sa0-f10+k1Ca10)+(f11-k1Ca11)]/[(Sb0-f20+k2Cb20)+(f21-k2Cb21)]。k1Ca11随f11增大而增大,但增大的绝对值较f11小,否则攻击者会在f11的某一取值以后放弃对f11的增大。
由上面公式可以看出,随着攻击者技术提高,防御者的防御能力也许相应提高,否则防御系统的被破译风险将增大,攻击者的攻击意愿及防御系统被攻破成功的概率函数值F(Sa/Sb)会增大,其解决的办法提高防御者在大数据分析技术下的防御能力,或者通过降低信息系统大数据分析成本来实现信息系统的安全性。