数据驱动的口令猜测理论模型与实际应用研究

The research of theoretical models and their applications of password guessing is one of the hot spots in the research field of information security. Due to the strong relevance between a password and a sensitive file or valued account, it is highly valued for an investigator of cybercriminal to guess a well-protected password as quickly as possible. In addition, the development of password guessing theories also boosts up the protection technologies of passwords. They are widely applied to current password strength meters, and prompt users when the users are creating their passwords. This project proposes that we can leverage the big data which can be gathered and analyzed, and combine with the new developed artificial intelligence technologies and supercomputer infrastructures, to study data driven password guessing models, based on the investigation of the developing password guessing models. This project will propose a quantitative method to evaluate the efficiency of a password pattern for guessing. In addition, this project will set up a large scale sample password base and pattern base, then design and optimize the guessing-task adaptive schedule algorithm of password guessing patterns. In addition, this project plans to apply the above studies to a parallel password recovery system in a next-generation supercomputer infrastructure, and a portable password strength meter. The research of this project will explore to leverage the data driven methodology to optimize the efficiency of password guessing, offer effective tools for both recovering passwords and protecting users’ passwords. The research of this project will also explore the feasibility of setting up the theories of quantitative security for systems security.

口令猜测理论及其应用研究是当前信息安全领域的热点研究方向。鉴于用户口令通常关联了重要文件或核心账户的访问权限，因而对于网络犯罪调查取证等实际业务而言，能够快速破解被严密保护的口令具有十分重要的应用价值。此外，口令猜测理论模型的研究也进一步推动了口令保护技术的不断完善，最为典型的应用就是在用户生成口令阶段的强度度量方法及工具。本项目拟在调研不断演进的口令猜测理论模型的基础上，利用当前可供分析利用的大规模口令相关数据，结合最新发展的人工智能技术和超级计算能力，研究数据驱动的口令猜测理论模型，设计评估口令生成模式效能的量化方法，构建大规模样本口令与模式库，设计并优化猜测任务自适应的口令生成模式调度算法，最后将上述研究成果实际应用到并行口令恢复系统和口令强度度量器。项目的研究将探索利用数据驱动的理论和方法优化口令猜测效率，为恢复口令和保护口令安全提供实用工具，并为量化安全研究提供新思路。

经过牵头单位复旦大学和参与单位华南理工大学、中国通用技术研究院的通力合作，项目组圆满完成本项目预定的各项研究任务。项目组深入研究了数据驱动的口令猜测理论模型及相关方法，利用人工智能等最新技术进展设计了高效的口令猜测方法，构建大规模样本口令与模式库，针对超算平台等研制出高效猜测系统和口令强度度量工具。在数据资源方面，已经形成了：1）超过140亿的大规模真实口令库；2）涵盖7个国家和地区，规模超过3000万条的自然语言语料库；3）涵盖7个国家和地区的，规模超过1000万条的口令猜测模式库。在软件系统方面，已经形成了：1）面向“神威 太湖之光”和“天河三号原型机”等国产超级计算机的口令猜测软件系统；2）面向口令数据资源管理和口令猜测模式学习的“水晶球口令系统”。上述数据资源和软件系统已经开始在中国通用技术研究院及其下属机构得到实际应用，并取得良好的实际效果，解决了一批实战中的重要问题，得到广州市某局的感谢信一封。在研期间，项目组累计录用发表论文22篇（录用3篇），其中在ACM CCS、IEEE S&P、USENIX Security、ACSAC、IEEE TIFS、《计算机研究与发展》、Compters & Security录用发表论文多篇，申请国家发明专利8项（其中获得授权5项），培养博士研究生4名，硕士研究生14名。相关研究成果撰写专著《用户口令：系统安全的最前线》一本，相关研究成果《用户口令的脆弱性建模与应对方法》获得CCF自然科学成果二等奖，育人相关成果《面向系统观的新工科卓越软件实践能力培养》获得上海市高等教育优秀成果一等奖。