CN112084487B - 一种弱口令分析方法、装置、存储介质及电子设备 - Google Patents
一种弱口令分析方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN112084487B CN112084487B CN202010950073.2A CN202010950073A CN112084487B CN 112084487 B CN112084487 B CN 112084487B CN 202010950073 A CN202010950073 A CN 202010950073A CN 112084487 B CN112084487 B CN 112084487B
- Authority
- CN
- China
- Prior art keywords
- password
- clustering
- user
- passwords
- plaintext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种弱口令分析方法、装置、存储介质及电子设备,该方法包括:获取用户的融合密码集,融合密码集中的每一明文密码由常用口令和/或用户的特征数据进行组合后得到;利用聚类分析模型对用户的融合密码集中的多个明文密码进行聚类,得到多个聚类簇,并从多个聚类簇中选出至少一个目标聚类簇;采用至少一种加密算法对每一目标聚类簇中的每一明文密码分别进行加密,得到对应的多个第一密文密码;将每一第一密文密码与用户的多个第二密文密码中的每一第二密文密码进行对比以判断用户是否设有弱口令密码。相比于现有技术的暴力破解法,本申请大幅减少了分析数据量,提高了分析效率以及识别准确率。
Description
技术领域
本申请涉及信息安全技术领域,具体而言,涉及一种弱口令分析方法、装置、存储介质及电子设备。
背景技术
随着信息技术的发展,企业软件系统和硬件设备不断增加,其中软件系统和硬件设备主要采用静态密码登录,由于用户需设置的密码较多,多数用户采用了企业内部相关的常用口令来设置密码,这些常用口令密码不仅增加了密码被破解的风险,而且容易导致企业大量软件系统和硬件设备的信息泄露和遭受攻击,给企业带来重大经济损失,甚至造成企业重大生产事故。因此,有效识别出企业内各用户是否设有这类高风险的弱口令密码,有利于帮助企业及时发现潜在风险。
在现有技术中,一般是通过字典文件进行暴力破解,以识别用户的弱口令密码,然而这种暴力破解的方式需要依赖于字典文件中的海量密码并不断尝试各种密码和加密算法,计算量大且效率较低。
发明内容
本申请实施例的目的在于提供一种弱口令分析方法、装置、存储介质及电子设备,以解决上述技术问题。
第一方面,本申请提供一种弱口令分析方法,包括:获取用户的融合密码集,所述融合密码集包括多个明文密码,每一所述明文密码由常用口令和/或用户的特征数据进行组合后得到;利用聚类分析模型对所述用户的融合密码集中的多个明文密码进行聚类,得到多个聚类簇,并从所述多个聚类簇中选出至少一个目标聚类簇;采用至少一种加密算法对每一所述目标聚类簇中的每一明文密码分别进行加密,得到对应的多个第一密文密码;将每一所述第一密文密码与所述用户的多个第二密文密码中的每一所述第二密文密码进行对比以判断所述用户是否设有弱口令密码,所述第二密文密码为所述用户的登录密码的加密数据。
在上述方案中,通过将用户的特征数据与常用的简单密码进行整合,形成符合大概率事件的新的密码集合,即融合密码集,以减少弱口令破解的范围,然后,通过聚类分析模型,将对用户的弱口令的破解范围更进一步压缩,相比于现有技术的暴力破解法,大幅减少了分析数据量,提高了分析效率。并且,由于所得到的目标聚类簇中的明文密码与用户自身的个人特征数据和/或企业特征数据相关,并非随机得到,而是带有较强的针对性,破解命中的概率大大提升,弱口令的识别准确率高。
在一种可选的实施方式中,所述利用聚类分析模型对所述用户的融合密码集中的多个明文密码进行聚类,得到多个聚类簇,并从所述多个聚类簇中选出至少一个目标聚类簇,包括:确定所述融合密码集中每一明文密码的数据类型,并根据所述数据类型将所述融合密码集中的多个明文密码划分为多个不同的密码子集;将每一所述密码子集内的多个明文密码输入至一个与明文密码的数据类型相对应的聚类分析模型中,共得到多组第一聚类簇;从每组第一聚类簇中分别选出S个目标聚类簇,得到多个目标聚类簇;S为大于等于1的正整数,其中,在同一组第一聚类簇中,被选中的目标聚类簇的聚类度大于任意未被选中的聚类簇的聚类度。
在上述方案中,聚类分析模型有多个,每个聚类分析模型用于对其中一种数据类型的明文密码进行聚类分析。不同的聚类分析模型适用于不同类型的明文密码,可以使聚类的效果更佳。
在一种可选的实施方式中,所述将每一所述密码子集内的多个明文密码输入至一个与明文密码的数据类型相对应的聚类分析模型中,包括:获取每一所述密码子集中的明文密码的数据类型;判断每一所述数据类型是否为目标数据类型,若为目标数据类型,则获取与所述目标数据类型对应的目标聚类分析模型,其中,所述目标聚类分析模型包括两个或两个以上的聚类模型的组合;将所述密码子集中的多个明文密码输入至所述目标聚类分析模型进行多次聚类,以得到一组第一聚类簇。
一个聚类分析模型可以是单个的聚类模型,也可以是两个或者两个以上的聚类模型的组合。而在实际应用中,单个的聚类模型对于某些数据类型的明文密码,聚类的效果不是很好,输出的聚类结果比较松散,而通过串联的多个聚类模型可以对这一类型的明文密码进行更深度的聚类,从而得到比较集中的聚类结果。
在一种可选的实施方式中,所述目标聚类分析模型包括第一聚类模型以及第二聚类模型,所述将所述密码子集中的多个明文密码输入至所述目标聚类分析模型进行多次聚类,包括:将所述密码子集中的多个明文密码输入至所述第一聚类模型中,得到多个第二聚类簇;从所述多个第二聚类簇中选出M个第二聚类簇,M为大于等于1的正整数,其中,被选中的第二聚类簇的聚类度大于任意未被选中的第二聚类簇的聚类度;将所选出的M个第二聚类簇中的多个明文密码输入至所述第二聚类模型中,得到一组第一聚类簇。
在一种可选的实施方式中,所述获取用户的融合密码集,包括:获取常用口令数据集,所述常用口令数据集中包括多个常用口令;获取用户的特征数据集,所述特征数据集包括所述用户的多个特征数据,所述特征数据包括所述用户的个人特征数据和/或企业特征数据;将所述多个常用口令以及用户的特征数据进行任意组合,得到所述融合密码集。
在一种可选的实施方式中,所述将每一所述第一密文密码与所述用户的多个第二密文密码中的每一所述第二密文密码进行对比以判断所述用户是否设有弱口令密码,包括:将多个第一密文密码中的每一第一密文密码与所述用户的多个第二密文密码中的每一第二密文密码进行对比;若存在至少一个第一密文密码与第二密文密码一致,则确定所述用户设有弱口令密码,并将所述至少一个第一密文密码所对应的至少一个明文密码确定为所述用户的弱口令密码。
在一种可选的实施方式中,在将每一所述第一密文密码与所述用户的多个第二密文密码中的每一所述第二密文密码进行对比之前,所述方法还包括:通过嗅探方式获取多个用户中的每一用户的多个第二密文密码以及与每一第二密文密码相对应的账号信息;在判断所述用户是否设有弱口令密码之后,所述方法还包括:若确定所述用户设有弱口令密码,则向目标账号发送提醒消息,所述提醒消息中携带所述弱口令密码以及与所述弱口令密码相对应的账号信息。
在将每一第一密文密码与每一第二密文密码进行对比后,得到该用户的弱口令密码,可将弱口令密码发送给相应的用户,或者发给安全管理员,安全管理员再通知对应用户进行密码修改,以提高密码安全强度,例如用户新设置的密码需满足预设的长度要求或者复杂度要求,从而达到提高信息安全的目的,最大限度保障企业和企业员工的信息安全。
第二方面,本申请实施例提供一种弱口令分析装置,包括:密码集获取模块,用于获取用户的融合密码集,所述融合密码集包括多个明文密码,每一所述明文密码由常用口令和/或用户的特征数据进行组合后得到;聚类分析模块,用于利用聚类分析模型对所述用户的融合密码集中的多个明文密码进行聚类,得到多个聚类簇,并从所述多个聚类簇中选出至少一个目标聚类簇;明文加密模块,用于采用至少一种加密算法对每一所述目标聚类簇中的每一明文密码分别进行加密,得到对应的多个第一密文密码;弱口令识别模块,用于将每一所述第一密文密码与所述用户的多个第二密文密码中的每一所述第二密文密码进行对比以判断所述用户是否设有弱口令密码,所述第二密文密码为所述用户的登录密码的加密数据。
第三方面,本申请提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如第一方面、第一方面中任一可选实施方式所述的方法。
第四方面,本申请提供一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如第一方面、第一方面中任一可选实施方式所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的弱口令识别方法的流程图;
图2为步骤120的一种具体实施方式的流程图;
图3为步骤121-122的一种示意图;
图4为步骤122的一种具体实施方式的流程图;
图5为本申请实施例提供的弱口令识别装置的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本申请实施例提供一种弱口令分析方法,可用于识别出企业内各用户是否设有弱口令密码,有利于帮助企业及时发现潜在风险,提高企业内部信息的安全性。请参照图1,该弱口令分析方法包括如下步骤:
步骤110:获取用户的融合密码集,该融合密码集中包括多个明文密码。
其中,每一明文密码由常用口令和/或用户的特征数据进行组合后得到。
在步骤110之前,预先建立常用口令数据集以及用户的特征数据集,每一用户对应一个特征数据集,该特征数据集中包括用户的多个特征数据,其中,特征数据包括用户的个人特征数据和/或企业特征数据,个人特征数据包括但不限于用户的职位、生日、中文名、英文名等信息,比如中文名可以包括中文名的拼音全拼以及首字母简拼,又比如英文名可以包括小写英文名、大写英文名、首字母大写的英文名等,企业特征数据包括但不限于用户所在企业的创立时间、logo、名称、常用业务、英文标识等。常用口令数据集中包括多个常用口令,这些常用口令为设置密码时比较常使用的密码,包括但限于:admin、abc、123、666、888、000、常用的特殊字符、键盘上的连续字符(例如键盘上的第一行字母:qwertyuiop)等。常用口令数据集中的常用口令可以是用户录入的、从系统中导入的、从互联网上抓取的,本实施例对常用口令的获取方式不做限制。
在步骤110中,获取用户的融合密码集的步骤包括:获取常用口令数据集;获取用户的特征数据集;将常用口令数据集中的多个常用口令以及用户的特征数据进行任意组合,得到该用户的融合密码集,该融合密码集中包括多个明文密码。
可以理解的,在组合过程中,将常用口令和/或用户的特征数据进行组合,包括:将各常用口令进行任意组合、将各特征数据进行任意组合、将一个或多个常用口令与一个或多个特征数据进行任意组合。因此,融合数据集中的多个明文密码是十分全面的组合结果。在具体实施例中,在进行组合时,可以将用户的某项个人特征数据与另一项个人特征数据进行组合,如将张三的姓名与其生日(1月1日)进行组合,得到一个明文密码“zhangsan0101”,还可以将用户的某项个人特征数据与某项企业特征数据进行组合,还可以同时将用户的一项或多项个人特征数据、一项或多项企业特征数据、一个或多个常用口令同时进行组合。
示例性地,张三的企业是“京东”,那么张三设置的登录密码大概率为“jdzhangsan123”或是“jingdongzs123”,本实施例通过将用户的特征数据与常用的简单密码进行整合,形成符合大概率事件的新的密码集合,即融合密码集,以减少弱口令破解的范围,然后执行步骤120,对融合密码集进行聚类分析。
步骤120:利用聚类分析模型对用户的融合密码集中的多个明文密码进行聚类,得到多个聚类簇,并从多个聚类簇中选出至少一个目标聚类簇。
在本实施例中,利用聚类分析模型对融合密码集进行聚类处理,从而将融合密码集中的若干明文密码分类到不同的簇中,同一个簇中的多个明文密码具有很大的相似性,不同簇间的明文密码具有相异性。在聚类后,融合密码集中的多个明文密码被分类到多个聚类簇中,具有共性且相似的明文密码被分类到同一个聚类簇中。
在得到多个聚类簇后,从多个聚类簇中选出至少一个目标聚类簇。在一种可选的实施例中,将融合密码集中的多个明文密码输入至一个聚类分析模型中,该聚类分析模型对输入的多个明文密码进行聚类,输出K个聚类簇,每个聚类簇中包括多个明文密码,根据K个聚类簇的聚类度选择聚类度最高的一个聚类簇,作为目标聚类簇,或者选择聚类度排在前列的几个聚类簇,作为目标聚类簇。聚类度可以用该聚类簇中所聚类的明文密码的数目占输入的明文密码总数的比例进行表示。
当然,在其他实施例中,也可以将融合密码集中的多个明文密码分成多个部分,并分别输出至不同的聚类分析模型中进行聚类。
步骤130:采用至少一种加密算法对每一目标聚类簇中的每一明文密码分别进行加密,得到对应的多个第一密文密码。
在步骤130之前,预先构建常用加密算法的集合,其中,常用加密算法包括但不限于对称加密算法、非对称加密算法以及散列算法等,对称加密算法包括但不限于DES、3DES、AES等,非对称加密算法包括但不限于RSA、DSA等,散列算法包括但不限于SHA-1、MD5以及秘钥管理等。
在步骤130中,利用所构建的常用加密算法集合中的每一加密算法对每一目标聚类簇中的每一明文密码分别进行加密,得到多个第一密文密码。示例性地,步骤120中选出一个目标聚类簇,该目标聚类簇中包括20个明文密码,假设采用DES、3DES、AES这三种加密算法对20个明文密码分别进行加密,每个明文密码经加密后获得三个对应的第一密文密码,那么,针对该目标聚类簇共得到20*3=60个第一密文密码。
步骤140:将每一第一密文密码与用户的多个第二密文密码中的每一第二密文密码进行对比以判断用户是否设有弱口令密码。
其中,第二密文密码为用户的登录密码的加密数据。用户在登录硬件设备或者软件系统时,输入明文的登录密码以进行登录,登录密码经加密后形成第一第二密文密码,并发往目的地址进行验证。通过嗅探方式可在企业内各用户登录时获取到相对应的第二密文密码。
在步骤140之前,预先构建用户的密文数据库。通过嗅探技术,监听企业内各用户在企业的软件系统及硬件设备上的第二密文密码以及相对应的账号信息,自动采集入密文数据库,并按照软件系统/硬件设备-账号-密文密码进行管理,从而可得到企业内的多个用户中的每一用户的多个第二密文密码以及与每一第二密文密码相对应的账号信息。
在步骤140中,进行口令核查:将步骤130得到的多个第一密文密码与该用户的多个第二密文密码进行对比,例如,步骤130中得到60个第一密文密码,密文数据库中该用户共有10个第二密文密码,那么,将每一第一密文密码分别与每一第二密文密码进行对比,共得到60*10=600个对比结果,根据对比结果确定该用户是否设有弱口令密码。具体的,若存在一个或者多个第一密文密码与密文数据库中的第二密文密码一致,即600个对比结果中有一个或多个对比结果表示第一密文密码与相对比的第二密文密码一致,则确定该用户设有弱口令密码,并将与第二密文密码一致的第一密文密码所对应的明文密码确定为该用户的弱口令密码,形成该用户的弱口令密码集。
若该用户的多个第二密文密码与步骤130得到的多个第一密文密码均不相同,则确定该用户未设有弱口令密码。
可选的,在步骤140之后,若确定该用户设有弱口令密码,则定位到与该弱口令密码相对应的设备或者软件应用的账号,并向目标账号发送提醒消息,该提醒消息中携带该用户的弱口令密码以及与弱口令密码相对应的账号信息。其中,目标账号可以是该用户的弱口令密码所对应的账号,也可以是企业内安全管理员的账号。
在将每一第一密文密码与每一第二密文密码进行对比后,得到弱口令密码集,可对每一用户的弱口令密码集进行统一管理,同时将弱口令密码集发送给安全管理员,安全管理员将通知对应用户进行密码修改,提高密码安全强度,例如用户新设置的密码需满足预设的长度要求或者复杂度要求,从而达到提高信息安全的目的,最大限度保障企业和企业员工的信息安全。
在步骤120的另一些实施例中,将融合密码集中的多个明文密码划分为不同的密码子集,每一密码子集各自采用一个聚类分析模型进行聚类,每个聚类分析模型输出一组第一聚类簇,一组第一聚类簇中包括多个第一聚类簇,共得到多组第一聚类簇。
具体的,请参阅图2,步骤120的一种具体实施方式包括如下步骤:
步骤121:确定融合密码集中每一明文密码的数据类型,并根据数据类型将融合密码集中的多个明文密码划分为多个不同的密码子集。
在获得用户的融合密码集后,首先确定融合密码集中每一明文密码的数据类型,例如,每一明文密码由英文字母、数字、特殊字符中的一项或多项组成,可根据组成该明文密码的英文字母、数字或特殊字符确定出该明文密码的数据类型,其中,数据类型包括但不限于数字类型、字符类型、混合类型等。然后,按照各明文密码所对应的数据类型将融合密码集中的若干明文密码划分为多个不同的密码子集,每个密码子集中包括多个明文密码,同一密码子集中的多个明文密码对应同一种数据类型。
在步骤120之前,预先构建聚类分析模型,在该具体实施方式中,聚类分析模型有多个,每个聚类分析模型用于对其中一种数据类型的明文密码进行聚类分析。不同的聚类分析模型适用于不同类型的明文密码,可以使聚类的效果更佳。例如,对于数字类型的明文密码,其对应的聚类分析模型可以是基于网格的聚类模型。
步骤122:将每一密码子集内的多个明文密码输入至一个与明文密码的数据类型相对应的聚类分析模型中,共得到多组第一聚类簇。
如图3所示的示意图,在步骤121中,根据数据类型将融合密码集划分为N个密码子集,并将N个密码子集中的明文密码分别输入至N个聚类分析模型中进行聚类,每一密码子集对应一个聚类分析模型,每一聚类分析模型用于对所输入的一个密码子集内的多个明文密码进行聚类,输出相对应的一组第一聚类簇,一组第一聚类簇中包括多个第一聚类簇,例如,将密码子集1中的多个明文密码输入至聚类分析模型1中,聚类分析模型1将输入的多个明文密码分类到K个第一聚类簇中,每一第一聚类簇中包括多个明文密码,该K个第一聚类簇为一组,N个聚类分析模型共得到N组第一聚类簇。可以理解的,不同的聚类分析模型所输出的聚类簇的簇数不一定相同,图3示出的仅是一种示例。
步骤123:从每组第一聚类簇中分别选出S个目标聚类簇,得到多个目标聚类簇。
其中,S为大于等于1的正整数,在同一组第一聚类簇中,被选中的目标聚类簇的聚类度大于任意未被选中的聚类簇的聚类度。在S为1时,在得到多组第一聚类簇后,从每组第一聚类簇中分别选出一个聚类度最高的目标聚类簇,得到多个目标聚类簇,N组第一聚类簇共得到N个目标聚类簇。在S为2时,按照从大到小排序,从每组第一聚类簇中分别选出聚类度排名前二的两个目标聚类簇,N组第一聚类簇共得到2N个目标聚类簇。在S为其他数值时,依此类推。
在步骤130中,采用至少一种加密算法对步骤123所得到的多个目标聚类簇中的每一目标聚类簇中的每一明文密码分别进行加密,得到对应的多个第一密文密码。
可选的,在本实施例中,一个聚类分析模型可以是单个的聚类模型,也可以是两个或者两个以上的聚类模型的组合。在实际应用中,单个的聚类模型对于某些数据类型的明文密码,聚类的效果不是很好,输出的聚类结果比较松散,而通过串联的多个聚类模型可以对这一类型的明文密码进行更深度的聚类,以得到比较集中的聚类结果。
请参阅图4,步骤122的一种具体实施方式包括如下步骤:
步骤210:获取每一密码子集中的明文密码的数据类型。
步骤220:分别判断每一密码子集所对应的数据类型是否为目标数据类型;若该密码子集对应的数据类型为目标数据类型,跳转至步骤230。
分别判断每一密码子集中的明文密码的数据类型是否为目标数据类型,若不为目标数据类型,则对其进行聚类的聚类分析模型为单个的聚类模型,若为目标数据类型,则对其进行聚类的聚类分析模型为两个或者两个以上的聚类模型的组合。
步骤230:获取与该目标数据类型对应的目标聚类分析模型,其中,目标聚类分析模型包括两个或两个以上的聚类模型的组合。
目标数据类型可以是一种,该目标数据类型与一目标聚类分析模型对应,在步骤230中获取相对应的目标聚类分析模型即可。当然,目标数据类型也可以有多种,每一目标数据类型各自对应一个聚类分析模型。示例性地,假设融合密码集中的数据类型包括五种,分别为类型A、B、C、D、E,其中,类型A与类型C为目标数据类型,类型A对应目标聚类分析模型A’,类型C对应目标聚类分析模型C’,若某密码子集中的明文密码的数据类型为目标数据类型“类型A”,则获取与“类型A”对应的目标聚类分析模型A’,并利用目标聚类分析模型A’对该密码子集中的多个明文密码进行聚类;若某密码子集中的明文密码的数据类型为目标数据类型“类型C”,则获取与“类型C”对应的目标聚类分析模型C’,并利用目标聚类分析模型C’对该密码子集中的多个明文密码进行聚类。
步骤240:采用目标聚类分析模型对该密码子集中的多个明文密码进行多次聚类,以得到一组第一聚类簇。
由于目标聚类分析模型包括两个或两个以上的聚类模型的组合,因此,后一个聚类模型将基于前一个聚类模型的聚类结果,再进行深度的聚类,从而将前一个聚类模型所输出的较为松散的聚类结果变得更加集中,实现更进一步的聚类分析。
在步骤240的一种实施例中,目标聚类分析模型包括第一聚类模型以及第二聚类模型,首先,将该密码子集中的多个明文密码输入至第一聚类模型中,第一聚类模型输出多个第二聚类簇;然后,从多个第二聚类簇中选出M个第二聚类簇,其中,被选中的第二聚类簇的聚类度大于任意未被选中的第二聚类簇的聚类度;然后,将所选出的M个第二聚类簇中的多个明文密码输入至第二聚类模型中,第二聚类模型输出多个第三聚类簇,该多个第三聚类簇即为该目标聚类分析模型输出的一组第一聚类簇。M为大于等于1的正整数。
在步骤240的其他实施例中,目标聚类分析模型包括第一聚类模型、第二聚类模型以及第三聚类模型,首先,将该密码子集中的多个明文密码输入至第一聚类模型中,第一聚类模型输出多个第二聚类簇;然后,从多个第二聚类簇中选出M个第二聚类簇,其中,被选中的第二聚类簇的聚类度大于任意未被选中的第二聚类簇的聚类度;然后,将所选出的M个第二聚类簇中的多个明文密码输入至第二聚类模型中,第二聚类模型输出多个第三聚类簇;然后,从多个第三聚类簇中选出L个第三聚类簇,其中,被选中的第三聚类簇的聚类度大于任意未被选中的第三聚类簇的聚类度;然后,将所选出的L个第三聚类簇中的多个明文密码输入至第三聚类模型中,第三聚类模型输出多个第四聚类簇,该多个第四聚类簇即为该目标聚类分析模型输出的一组第一聚类簇。M和L均为大于等于1的正整数。
在本实施例中,通过聚类分析模型,将对用户的弱口令的破解范围更进一步压缩,并且,由于所得到的目标聚类簇中的明文密码与用户自身的个人特征数据和企业特征数据相关,并非随机得到,而是带有较强的针对性,破解命中的概率大大提升,弱口令的识别准确率高。
综上所述,本申请实施例提供的弱口令识别方法,相比于现有技术的暴力破解法,大幅减少了分析数据量,提高了分析效率以及识别准确率。通过该方法可迅速分析出企业内员工的弱口令密码,从而最大限度避免企业信息泄露和遭受攻击,达到保护企业信息安全的目的。
基于同一发明构思,本申请实施例提供一种弱口令分析装置,请参阅图5,该装置包括:密码集获取模块310、聚类分析模块320、明文加密模块330以及弱口令识别模块340。
其中,密码集获取模块310,用于获取用户的融合密码集,所述融合密码集包括多个明文密码,每一所述明文密码由常用口令和/或用户的特征数据进行组合后得到。
聚类分析模块320,用于利用聚类分析模型对所述用户的融合密码集中的多个明文密码进行聚类,得到多个聚类簇,并从所述多个聚类簇中选出至少一个目标聚类簇。
明文加密模块330,用于采用至少一种加密算法对每一所述目标聚类簇中的每一明文密码分别进行加密,得到对应的多个第一密文密码。
弱口令识别模块340,用于将每一所述第一密文密码与所述用户的多个第二密文密码中的每一所述第二密文密码进行对比以判断所述用户是否设有弱口令密码,所述第二密文密码为所述用户的登录密码的加密数据。
可选的,聚类分析模块320包括:子集划分模块,用于确定所述融合密码集中每一明文密码的数据类型,并根据所述数据类型将所述融合密码集中的多个明文密码划分为多个不同的密码子集;子集输入模块,用于将每一所述密码子集内的多个明文密码输入至一个与明文密码的数据类型相对应的聚类分析模型中,共得到多组第一聚类簇;类簇选择模块,用于从每组第一聚类簇中分别选出S个目标聚类簇,得到多个目标聚类簇;S为大于等于1的正整数,其中,在同一组第一聚类簇中,被选中的目标聚类簇的聚类度大于任意未被选中的聚类簇的聚类度。
可选的,子集输入模块包括:类型获取子模块,用于获取每一所述密码子集中的明文密码的数据类型;类型判断子模块,用于判断每一所述数据类型是否为目标数据类型;模型获取子模块,用于在所述密码子集对应的数据类型为目标数据类型时,获取与所述目标数据类型对应的目标聚类分析模型,其中,所述目标聚类分析模型包括两个或两个以上的聚类模型的组合;子集输入子模块,用于将所述密码子集中的多个明文密码输入至所述目标聚类分析模型进行多次聚类,以得到一组第一聚类簇。
可选的,所述目标聚类分析模型包括第一聚类模型以及第二聚类模型,子集输入子模块具体用于:将所述密码子集中的多个明文密码输入至所述第一聚类模型中,得到多个第二聚类簇;从所述多个第二聚类簇中选出M个第二聚类簇,M为大于等于1的正整数,其中,被选中的第二聚类簇的聚类度大于任意未被选中的第二聚类簇的聚类度;将所选出的M个第二聚类簇中的多个明文密码输入至所述第二聚类模型中,得到一组第一聚类簇。
可选的,密码集获取模块310包括:第一获取模块,用于获取常用口令数据集,所述常用口令数据集中包括多个常用口令;第二获取模块,用于获取用户的特征数据集,所述特征数据集包括所述用户的多个特征数据,所述特征数据包括所述用户的个人特征数据和/或企业特征数据;数据组合模块,用于将所述多个常用口令以及用户的特征数据进行任意组合,得到所述融合密码集。
可选的,弱口令识别模块340具体用于:将多个第一密文密码中的每一第一密文密码与所述用户的多个第二密文密码中的每一第二密文密码进行对比;若存在至少一个第一密文密码与第二密文密码一致,则确定所述用户设有弱口令密码,并将所述至少一个第一密文密码所对应的至少一个明文密码确定为所述用户的弱口令密码。
可选的,该装置还包括:嗅探获取模块,用于通过嗅探方式获取多个用户中的每一用户的多个第二密文密码以及与每一第二密文密码相对应的账号信息;提醒模块,用于在判断所述用户是否设有弱口令密码之后,若确定所述用户设有弱口令密码,向目标账号发送提醒消息,所述提醒消息中携带所述弱口令密码以及与所述弱口令密码相对应的账号信息。
本申请实施例提供的弱口令分析装置,其实现原理及产生的技术效果在前述方法实施例中已经介绍,为简要描述,装置实施例部分未提及之处,可参考方法实施例中的相应内容。
可选的,本申请实施例还提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行本申请提供的弱口令分析方法。
可选的,本申请实施例还提供一种电子设备,包括:处理器、存储器和总线,该存储器存储有处理器可执行的机器可读指令,当电子设备运行时,处理器与存储器之间通过总线通信,机器可读指令被处理器执行时执行本申请提供的弱口令分析方法。
可以理解,该电子设备可能是实体设备,例如PC机、笔记本电脑、平板电脑、手机、服务器、嵌入式设备等,也可能是虚拟设备,例如虚拟机、虚拟化容器等。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种弱口令分析方法,其特征在于,包括:
获取用户的融合密码集,所述融合密码集包括多个明文密码,每一所述明文密码由常用口令和/或用户的特征数据进行组合后得到;
利用聚类分析模型对所述用户的融合密码集中的多个明文密码进行聚类,得到多个聚类簇,并从所述多个聚类簇中选出至少一个目标聚类簇;
采用至少一种加密算法对每一所述目标聚类簇中的每一明文密码分别进行加密,得到对应的多个第一密文密码;
将每一所述第一密文密码与所述用户的多个第二密文密码中的每一所述第二密文密码进行对比以判断所述用户是否设有弱口令密码,所述第二密文密码为所述用户的登录密码的加密数据。
2.根据权利要求1所述的方法,其特征在于,所述利用聚类分析模型对所述用户的融合密码集中的多个明文密码进行聚类,得到多个聚类簇,并从所述多个聚类簇中选出至少一个目标聚类簇,包括:
确定所述融合密码集中每一明文密码的数据类型,并根据所述数据类型将所述融合密码集中的多个明文密码划分为多个不同的密码子集;
将每一所述密码子集内的多个明文密码输入至一个与明文密码的数据类型相对应的聚类分析模型中,共得到多组第一聚类簇;
从每组第一聚类簇中分别选出S个目标聚类簇,得到多个目标聚类簇;S为大于等于1的正整数,其中,在同一组第一聚类簇中,被选中的目标聚类簇的聚类度大于任意未被选中的聚类簇的聚类度。
3.根据权利要求2所述的方法,其特征在于,所述将每一所述密码子集内的多个明文密码输入至一个与明文密码的数据类型相对应的聚类分析模型中,包括:
获取每一所述密码子集中的明文密码的数据类型;
判断每一所述数据类型是否为目标数据类型,若为目标数据类型,则获取与所述目标数据类型对应的目标聚类分析模型,其中,所述目标聚类分析模型包括两个或两个以上的聚类模型的组合;
将所述密码子集中的多个明文密码输入至所述目标聚类分析模型进行多次聚类,以得到一组第一聚类簇。
4.根据权利要求3所述的方法,其特征在于,所述目标聚类分析模型包括第一聚类模型以及第二聚类模型,所述将所述密码子集中的多个明文密码输入至所述目标聚类分析模型进行多次聚类,包括:
将所述密码子集中的多个明文密码输入至所述第一聚类模型中,得到多个第二聚类簇;
从所述多个第二聚类簇中选出M个第二聚类簇,M为大于等于1的正整数,其中,被选中的第二聚类簇的聚类度大于任意未被选中的第二聚类簇的聚类度;
将所选出的M个第二聚类簇中的多个明文密码输入至所述第二聚类模型中,得到一组第一聚类簇。
5.根据权利要求1所述的方法,其特征在于,所述获取用户的融合密码集,包括:
获取常用口令数据集,所述常用口令数据集中包括多个常用口令;
获取用户的特征数据集,所述特征数据集包括所述用户的多个特征数据,所述特征数据包括所述用户的个人特征数据和/或企业特征数据;
将所述多个常用口令以及用户的特征数据进行任意组合,得到所述融合密码集。
6.根据权利要求1所述的方法,其特征在于,所述将每一所述第一密文密码与所述用户的多个第二密文密码中的每一所述第二密文密码进行对比以判断所述用户是否设有弱口令密码,包括:
将多个第一密文密码中的每一第一密文密码与所述用户的多个第二密文密码中的每一第二密文密码进行对比;
若存在至少一个第一密文密码与第二密文密码一致,则确定所述用户设有弱口令密码,并将所述至少一个第一密文密码所对应的至少一个明文密码确定为所述用户的弱口令密码。
7.根据权利要求1所述的方法,其特征在于,在将每一所述第一密文密码与所述用户的多个第二密文密码中的每一所述第二密文密码进行对比之前,所述方法还包括:
通过嗅探方式获取多个用户中的每一用户的多个第二密文密码以及与每一第二密文密码相对应的账号信息;
在判断所述用户是否设有弱口令密码之后,所述方法还包括:若确定所述用户设有弱口令密码,则向目标账号发送提醒消息,所述提醒消息中携带所述弱口令密码以及与所述弱口令密码相对应的账号信息。
8.一种弱口令分析装置,其特征在于,包括:
密码集获取模块,用于获取用户的融合密码集,所述融合密码集包括多个明文密码,每一所述明文密码由常用口令和/或用户的特征数据进行组合后得到;
聚类分析模块,用于利用聚类分析模型对所述用户的融合密码集中的多个明文密码进行聚类,得到多个聚类簇,并从所述多个聚类簇中选出至少一个目标聚类簇;
明文加密模块,用于采用至少一种加密算法对每一所述目标聚类簇中的每一明文密码分别进行加密,得到对应的多个第一密文密码;
弱口令识别模块,用于将每一所述第一密文密码与所述用户的多个第二密文密码中的每一所述第二密文密码进行对比以判断所述用户是否设有弱口令密码,所述第二密文密码为所述用户的登录密码的加密数据。
9.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1-7任一项所述的方法。
10.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010950073.2A CN112084487B (zh) | 2020-09-10 | 2020-09-10 | 一种弱口令分析方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010950073.2A CN112084487B (zh) | 2020-09-10 | 2020-09-10 | 一种弱口令分析方法、装置、存储介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112084487A CN112084487A (zh) | 2020-12-15 |
| CN112084487B true CN112084487B (zh) | 2021-08-24 |
Family
ID=73736922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010950073.2A Active CN112084487B (zh) | 2020-09-10 | 2020-09-10 | 一种弱口令分析方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112084487B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112613028A (zh) * | 2020-12-29 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 弱密码检测方法、装置、电子设备及可读存储介质 |
| CN113852625B (zh) * | 2021-09-23 | 2024-04-30 | 杭州安恒信息技术股份有限公司 | 一种弱口令监测方法、装置、设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573481A (zh) * | 2013-10-09 | 2015-04-29 | 无锡市思库瑞科技信息有限公司 | 基于属性拆分和数据挖掘的口令属性分析方法 |
| US20180137300A1 (en) * | 2016-11-17 | 2018-05-17 | Barracuda Networks, Inc. | Method and apparatus for document preview and delivery with password protection |
| CN111385272A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 弱口令的检测方法及装置 |
-
2020
- 2020-09-10 CN CN202010950073.2A patent/CN112084487B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112084487A (zh) | 2020-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Pouliot et al. | The shadow nemesis: Inference attacks on efficiently deployable, efficiently searchable encryption | |
| US10541983B1 (en) | Secure storage and searching of information maintained on search systems | |
| CN106161006B (zh) | 一种数字加密算法 | |
| CN110110163A (zh) | 安全子字符串搜索以过滤加密数据 | |
| CN112287379B (zh) | 业务数据使用方法、装置、设备、存储介质和程序产品 | |
| CN106610995B (zh) | 一种创建密文索引的方法、装置及系统 | |
| Zhu et al. | A novel verifiable and dynamic fuzzy keyword search scheme over encrypted data in cloud computing | |
| CN109241484B (zh) | 一种基于加密技术的网页数据的发送方法及设备 | |
| CN112084487B (zh) | 一种弱口令分析方法、装置、存储介质及电子设备 | |
| US8769302B2 (en) | Encrypting data and characterization data that describes valid contents of a column | |
| US9740871B2 (en) | System and method for initializing tokens in a dictionary encryption scheme | |
| Jaeger et al. | Analysis of publicly leaked credentials and the long story of password (re-) use | |
| CN109977684A (zh) | 一种数据传输方法、装置及终端设备 | |
| CN114218322B (zh) | 基于密文传输的数据展示方法、装置、设备及介质 | |
| US20200145389A1 (en) | Controlling Access to Data | |
| CN113822675A (zh) | 基于区块链的报文处理方法、装置、设备及存储介质 | |
| CN108737094B (zh) | 一种域密码安全性检测的方法及相关设备 | |
| CN115473722A (zh) | 数据加密方法、装置、电子设备及存储介质 | |
| CN114969128A (zh) | 一种基于安全多方计算技术的隐匿查询方法、系统和存储介质 | |
| CN116432193A (zh) | 一种金融数据库数据保护改造方法及其金融数据保护系统 | |
| CN115567212A (zh) | 文件处理方法、装置、计算机设备和计算机可读存储介质 | |
| CN113904865A (zh) | 一种基于非对称算法的日志传输方法及装置 | |
| CN116599666B (zh) | 密码字典生成方法、装置、计算机设备和存储介质 | |
| CN113486380B (zh) | 文本文件的加密方法 | |
| CN117077185B (zh) | 一种基于hmac与秘密分享的数据存储及保护方法、系统及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211124 Address after: 430040 No. 666, Wuhuan Avenue, Linkang economic and Technological Development Zone, Wuhan, Hubei (21) Patentee after: Hubei Tianrongxin Network Security Technology Co.,Ltd. Patentee after: Beijing Topsec Network Security Technology Co.,Ltd. Patentee after: Topsec Technologies Inc. Patentee after: BEIJING TOPSEC SOFTWARE Co.,Ltd. Address before: 100000 4th floor, building 3, yard 1, Shangdi East Road, Haidian District, Beijing Patentee before: Beijing Topsec Network Security Technology Co.,Ltd. Patentee before: Topsec Technologies Inc. Patentee before: BEIJING TOPSEC SOFTWARE Co.,Ltd. |