一种基于样本的模拟口令集生成算法研究.pdfVIP

第40卷第5期 计 算 机 学 报 v01．40No．5 2017年5月 CHINESE OFCOMPUTERS 2017 JOURNAL May 一种基于样本的模拟口令集生成算法 韩伟力 袁 琅 李思斯 王晓阳 (复旦大学软件学院上海201203) (上海市数据科学重点实验室 上海201203) 摘要大规模的用户口令集因可用于评估口令猜测算法的效率、检测现有用户口令保护机制的缺陷等，而广受 系统安全研究领域的重视．然而，尽管可以通过一些渠道，譬如网站口令泄露、用户自愿征集或者个别网站出于研 究目的的共享等，获取真实的大规模用户明文口令对当前研究人员来说仍然非常困难．为应对上述问题，该文提出 PerturbationBasedPassword 了一种基于样本的模拟口令集生成算法(Sample Generation，SPPG)．该算法利用较容 易获得的小规模真实口令样本，通过学习生成概率模型，并产生大规模用户口令集合．为评估这一算法的效能，该 文提出了一组模拟口令集质量的检测指标，包括真实口令覆盖率、Zipf分布拟合度等．最后，论文对比了SPPG算 法与当前常见的用户口令猜测概率模型，包括概率上下文无关文法和多种马尔科夫模型，在生成用户口令集上的 效能差异．结果显示，SPPG算法产生的模拟口令集在各指标下都有更好的表现．平均地，在真实口令覆盖率上，相 对上下文无关文法和四阶马尔科夫模型分别提高了9．58％和72．79％，相对三阶和一阶马尔科夫模型分别提高了 10．34倍和13．41倍，并且Zipf分布的拟合度保持在0．9及以上的水平．同时，其口令结构分布和特殊模式的使用 也更符合真实用户生成口令的情况． 关键词 口令安全；口令集生成；样本；概率上下文无关文法；马尔科夫模型 中图法分类号TP391DOI号10。11897／SP．J．1016．2017．01151 on AnEfficient toGeneratePasswordSetsBased Algorithm Samples HANWei—LiYUAN LISi—SiWANG Lang Xiao—Yang School，Fudan 201203) (Software University，Shanghai Data 201203) (ShanghaiKeyLaboratoryof Science，Shanghai Abstract realuser setsarewell inthefieldof Large—scale password regardedimportant system research，duetotheir in the ofthe that security usagesevaluatingefficacy algorithmsguess defectsof mechanisms，etc．At password