文摘

机器学习的应用在安全认证和密钥协商协议的分析被马等人在2018年首次推出。虽然他们收到了显著成绩的准确性达72%第一次,他们的分析仅限于重放攻击和关键确认攻击。此外,他们的建议框架是基于multiclassification问题每个协议或数据集实例的安全或容易安全攻击如重放攻击,键确认,或其他攻击。在本文中,我们表明,multiclassification不是一个适当的这种分析框架,同时由于身份验证协议可能遭受不同的攻击。此外,我们考虑更多的安全属性和攻击分析协议。这些属性包括强认证和未知的密钥共享(已经)攻击,关键的新鲜度,密钥身份验证和口令猜测攻击。此外,我们提出一个更高效的数据集使用十分之一建筑模型的特性,这在很大程度上提高了求解速度。结果表明,我们建议的模型优于先前的模型至少10 - 20等解决所有的机器学习算法的比例上限性能达到超过80%的精度分析的所有安全属性和攻击。尽管前面的模型,我们提出了数据集的分类精度增加建筑模型在一个理性的方式以及增加数据集的大小。

1。介绍

安全协议(加密协议)被广泛用于运输应用层数据以一种安全的方式。这些协议通常应用一系列的加密原语(a)对称加密、数字签名和哈希函数。安全协议的最重要的目标包括关键协议或建立,实体认证、消息认证和nonreputation [1]。例如,传输层安全性(TLS) [2)是一个著名的加密协议,用于提供安全的网络连接(HTTPS)。为了证明安全协议的正确性,开发了各种方法在过去的几十年。这些方法可以分为两大类。

模型检查方法提出了一套自动化的工具和方法,试图找到攻击违反安全的目标,而不是证明其正确性。ProVerif [3],镰刀[4],AVISPA [5],CryptoVerif [6)等是最著名的工具。定理证明方法更少的自动化方法,考虑所有可能的协议行为检查是否安全目标实现。虽然他们不能给出一个安全攻击,他们提供一个协议的正确性的证明。禁止逻辑7],Dolev-Yao模型[8),和链空间(9是这些方法的示例。

1.1。本文的动机和目标

本文的目的是开发一种新颖的基于机器学习的协议分析方案以更好的效率,可以发现更多的安全攻击和漏洞。以前,机器学习的应用在安全分析主要限于边信道攻击(10,11和对称密码分析学12,13]。我们的动机申请机器学习在协议分析描述如下:(1)最重要的经典方法是限制,在很大程度上,分析结果依赖于先验知识和经验的分析师。它经常发生,即使找到了安全协议模型检查或定理证明方法是正确的,另一个更有经验的研究人员发现了一种新的攻击相同的协议。例如,Tingyuan et al。14]证明Otway-Rees协议的安全性。后,刘等人。15)也使用禁令逻辑指出,这个协议是容易受到中间人攻击和类型缺陷攻击。因此,研究人员正在试图找到其他方法来保证网络安全。(2)灵感来自惊人的结果的机器学习在网络安全中的应用16,17马,et al。18)设计了一个基于机器学习模型掌握机器的安全协议的分析。他们建议multiclassification模型每一个协议是安全的或容易重放攻击,缺乏关键的确认,或倾向于其他攻击。尽管他们第一次收到成果显著,他们的分析仅限于重放攻击和关键确认。此外,它经常发生,协议是倾向于两个或三个同时攻击(如重放攻击和缺乏键确认)。因此,为此multiclassification不是一个合适的模型。进一步,他们的数据集规模太小,即。为每个类别,少于100实例。

1.2。本文的贡献和结构

本文有三个主要贡献:(1)我们使用机器学习框架来分析更多的安全属性,比如强大的实体认证和未知的密钥共享(已经)攻击,关键的新鲜度,密钥认证和抗密码猜测攻击。(2)分析每一个研究问题在机器学习中,应该首先提取问题的特性。马等。18)提出三种模式,即中国大陆,TLM, SLM,提取每个协议的特性作为加权矩阵。我们提出一个新的模型更少数量的特性提高了收敛速度。(3)我们提出一个二进制分类模型对每个类别的数据集的每个实例违反一个安全属性或对,是安全的。此外,我们为每个类别开发1000多个数据集,这比以前的工作[10倍18]。灵感来自马等人的计划,我们也使用XGBoost [19)来估计分类精度的分析。此外,密集的神经网络(款)部署到集成协议分析的深度学习方法的问题。

剩下的纸是组织如下。节2,我们简要介绍认证和密钥协商协议连同他们的安全目标和攻击。第三节讨论了机器学习的应用程序在安全协议的分析。在本节中,我们提出我们的模型来分析更多的安全属性,也就是说,强大的实体认证和未知的密钥共享(已经)攻击,关键的新鲜度,等等。实验结果的分析中描述第四节。最后,给出一个结论第五节。

2。认证和密钥建立协议

认证和密钥建立协议是任何安全的电子通信的支柱。加密算法AES和DES等(20.,21)无法实现,除非常见的密钥预共享(关键机构)和通信方知道谁拥有这些钥匙(身份验证)。认证和密钥建立协议实现这些目标通过使用一组随机数组成的消息,身份,时间戳,哈希函数,等等。例如,考虑ISO对称密钥双行程单方面的认证和密钥建立协议(22双方之间像爱丽丝和鲍勃在图1。

在这里,爱丽丝发送一个随机数鲍勃。秘钥对于爱丽丝和鲍勃之间。当鲍勃发送消息爱丽丝,她保证这是鲍勃,因为他只有发送的关键 。换句话说,她验证鲍勃。身份验证协议广泛应用于不同的应用,如无线网络23),智能城市24,物联网(物联网)25]。认证和密钥建立加密协议的两个主要目标(1]。在下面,我们将介绍更详细的基于身份验证和关键设施的安全目标。那么我们现在最常见的攻击,试图违反这些目标。图2显示安全攻击的设置和目标的身份验证协议。

2.1。认证的目标

根据ISO安全架构(26),身份验证被定义为“保证实体的人声称是。“更准确地说,可以区分两种认证如下。

2.1.1。实体验证

实体验证的过程,一方是保证乙方的身份的协议和乙方实际参与(27]。这个定义保证一方(例如,一个),另一方(B)参加了协议。它不提供保证,B也认出了他/她的对等实体。例如,假设图的协议3(一)。

在这个协议中,因为B的nonce迹象 ,实体是保证B一样参加了协议运行实体A .然而,实体B可能假设另一个实体像C,他/她的贵族身份。图3(b)显示了一个攻击这个协议。在这种攻击中,对手C冒充自己是实体B a。与此同时,他开始并行会话和实体B和远期的反应B a。由于这种攻击中,实体与实体认为他/她是联系B,而B假设C对等实体。

2.1.2。强大的实体验证

提供强大的实体验证A到B如果B有一个新鲜的保证B的知识为他/她的对等实体(1]。基于此属性,对手C B无法说服他/她接触C图3(c)显示了图的一个增强版的协议3(a)。在这个协议中,实体B他的同伴身份迹象确保他承认一个对等实体。另外一个例子,考虑协议接头/如图4(一)设计的山口et al。28)提供客户端和服务器之间的相互认证b .然而,克拉克和雅各(29日)报道,这个协议不能提供强有力的相互认证。如图4C (b),攻击者可以用C替换的签名的签名。因此,实体认为,协议已经与实体B,而B假设C对等实体。为了防止这种攻击,克拉克和雅各提出包括加密的发起者的身份在消息发送到应答器(B)。该协议的修改版本图所示4(c)。

2.2。建立关键

建立关键的过程是一个共享密钥(会话密钥)可用两个或两个以上的政党,为后续加密使用[30.]。在这方面,以下目标被假定为加密协议。

2.2.1。好的关键

通常,一个会话密钥只有有用的如果它是新鲜的和共享的只有通过认证的和值得信赖的政党。我们称之为一个好的钥匙,如果它达到要求。更正式,共享会话密钥是一个很好的使用B的关键只有一个是确保下列条件都满足1]:

(1)关键的新鲜度。关键的新鲜度是取得沟通各方能够验证并确保他们同意对方的会话密钥是不新鲜的(新)和重播旧会话。这通常是通过一个新鲜的值。主要有两种新鲜值用于密码学协议:时间戳和nonce (31日]。

(2)时间戳。在这种方法中,发件人添加到当前时间的关键。作为接收机获得消息,如果有一个可接受的延迟,关键是接受。否则,就会终止。使用这种方法的困难是发送方和接收方的时钟同步要求。例如,考虑的丹宁和焦点在于协议(32]中描述图5。在这个协议中,如果时间戳在一个合理的延迟,a和B方确保新鲜的钥匙吗 。

(3)现时标志。在这种方法中,发送方发送的关键之前,收件人,例如,生成一个临时的, ,并转移到党b .然后,强奸犯, ,和会话密钥都是加密的,发送到收件人,答:例如,考虑图的改进的MSR协议6。在这个协议,乙方转移党的a。此外,它加密特定场合与会话密钥 。作为甲方与会话密钥解密消息并获得 ,它确保新鲜的关键。

(4)密钥身份验证。密钥身份验证定义如下:A和B的关键应该只知道和任何相互信任方(Gollmann [33)指出,这个属性可以被视为保密的关键)。例如,考虑图的Otway-Rees协议7(一个)。在这个协议,服务器分发会话密钥A和b .然而,博伊德所指出的,毛34),攻击者可以很容易地安装图的攻击7(b),由于这种攻击,认为的关键是与B,虽然与对手共享c。这是一个违反关键认证,随着对手获得会话密钥 。Abadi和李约瑟提出防止这种攻击的协议如图7(c)。

2.2.2。键确认

键确认一个来B如果提供B保证关键K是一个很好的交流的关键一个这主要一个已经拥有K(1]。键确认为一方提供的证据,他的同行伙伴收到相同的密钥。然而,这并不意味着实体验证,关键可能认为是与他人共享。此外,该属性不能为双方,一方应该完成协议。

2.3。安全攻击

有许多攻击,试图违反加密协议的安全目标。最常见的攻击描述如下。对其他类型的攻击的更多信息,请参考[1]。

2.3.1。未知的密钥共享(已经)攻击

所定义的Blake-Wilson和德梅内塞斯35),一个未知的密钥份额(已经)攻击是攻击,一个实体最终相信她股与B,尽管这是一个关键的情况下,错误地认为关键是相反与实体共享E一个。这种攻击目标强认证和密钥协议的新鲜度。例如,考虑图的赫尔辛基协议8(一个)。已经袭击赫尔辛基的协议发表Horng和许36]。如图8(b), b最终相信她共享会话密钥 答:然而,假设C作为他的对等实体他共享的关键 与。米切尔和主要产品37]提出改善该协议通过增加(图2 B的身份信息8(c))。

2.3.2。重放攻击

重播攻击发生时对手干扰协议由插入消息已在以前的会议协议。通常,这种攻击是用来挂载其他类型的攻击。重播攻击的详细分类是由Syverson[描述38]。

2.3.3。密码猜测攻击

另一个常见的攻击妥协合法用户的身份验证是通过离线猜测用户的密码。密码一般是用于加密消息或一方当事人向另一方进行身份验证。在这种攻击中,敌人需要访问一些公共参数和信息,它通常被窃听。加上密码,如果参数是已知的对手,他/她可以猜到的密码(他们通常的低熵)并检查他/她猜测的正确性。例如,如果用户的密码传播 ,攻击者可以很容易地猜并检查其正确性通过散列的看看它等于传播消息 。然而,如果加上未知和高熵参数随机数 ,攻击者无法检查他的猜测的正确性39]。

3所示。机器学习在安全分析中的应用的认证和密钥协商协议

使用机器学习的概念来分析认证和密钥协商协议首次提出的马et al。18),建议培训网络通过设计一个分类问题。类似于任何机器学习中分类问题,我们需要一组数据集和相应的类别(标签)来训练网络。在这里,每一个协议是数据集的实例和协议是容易受到攻击,是它的标签。一组训练后的网络协议和攻击(类别),他们很容易,我们预计网络分析看不见的和新协议和他们容易找到什么样的攻击。在这方面,我们需要一个模型每一个协议映射到数据集的一个实例。在下面,我们将讨论数据集模型和类别(标签)的问题。

3.1。数据集建设模型

数据集建设模式是一个映射关系协议消息和数据集的实例。马等人建议两种方法将每一个协议转换为数据集的一个实例。在这里,每一个协议 对应于一个矩阵在数据集和每条消息协议对应一个向量的矩阵。之前的描述马等的数据模型,给出一些定义如下。首先,消息参数组SP和参数属性设置页定义每条消息的协议:

在这里,表示任何消息参数如时间戳,参与者的身份,和随机号码。同时,表示消息属性,如指数参数,关键加密密钥、签名。例如,考虑图的协议1。这个协议包含消息和 。对于每个消息,消息参数集SP和参数属性集页如下:

此外,SP和PP的长度被认为是固定的(N和米、职责)。如果SP和PP的长度小于N和米被添加到设置,零值。因此,每条消息的描述向量。为了减少信息向量的维数,一个归一化函数定义如下:

马后,在接下来的审核等。' s数据集模型,我们描述我们提出数据集模型之后,马与et al。的年代数据集模型。

3.1.1。回顾马等的模型

马等人开发的三种模式,即TLM(两层模型),LCM(文字转换模型),和SLM(单层模型),将每一个协议消息到消息向量。中国大陆和SLM模型几乎是相同的。进一步说,他们的细微差别是不清楚地解释18]。在下面,我们只描述TLM和SLM模型:

(1)两层模型(TLM)。TLM,空消息向量 预定义的。在这里,N消息参数的最大数量在整个数据集。在这里,是一个预定义的零矢量的大小米。每一维的向量对应一个特定的属性如明文指数,加密密钥索引和签名关键指标。为每条消息参数 ,属性参数都是根据实际的协议。因此,每条消息都被表示为一个向量。图9TLM转换模型的显示了一个示例图的ISO的认证协议1。

(2)单层模型(SLM)。类似于TLM模型,空消息向量 是预先定义的,N消息参数的最大数量在整个数据集。然而,在这个模型中,归一化函数应用于每一个消息参数 。因此,每条消息表示如下:

由于应用归一化函数,数据维度的数量减少来N。这种转换模型的示意图如图10。

3.1.2。我们建议的模型

尽管马等的模型,分别考虑每个消息组件,我们建议的模型更接近于实际表示的协议。在这个模型中,每个参数属性, ,由相应的指数,即加密指数,签名指数,等等。然后,消息参数集的指标, ,在明文加密,签名,或散列在一起,提出了明文指数后,加密指数,签名指数,分别和散列索引。这种方法的主要优势是,参数不是单独建模,而是与其他相邻的参数。因此,每条消息向量将如下:

因此,消息向量的大小减少 ,因为我们考虑的唯一参数属性是明文,加密、签名,或散列。在这里,l的最大数量是在明文消息参数,加密,签名,或散列在一起。这个模型的示意图如图11。

3.1.3。我们建议的模型与先前的模型的比较

虽然马等的模型能够获得显著的结果第一次分开它每个消息模型参数,在加密协议,每个消息参数绑定到其他消息参数。例如,考虑图中描述的协议消息12。在这个图中,如红线所示,所有版本的马等的模型分别考虑每个消息组件。结果,机器不能学习的事实消息参数集散列在一起,虽然我们的模型考虑绑定在一起的消息。这是一个重要的点在某些攻击如密码猜测攻击,在对手利用密码是绑定到一些低熵参数(部分2.3。3)。此外,马的尺寸等。' s模型是如此之高,这减少了机器学习模型的实现速度。比较数据集的维度表所示1。

3.2。类别

类别标签,我们分配给数据集来区分攻击的协议是脆弱的。在马等的方案18),协议被称为基于重放攻击和重点确认。在本文中,我们开发更多的数据集和标签他们更安全的目标和攻击等未知密钥共享攻击和强大的实体验证,关键的新鲜度,密码猜测攻击、密钥身份验证。在本节中,在回顾马et al。年代类别,我们描述他们的不足并提出我们的类别标签的数据集。

3.2.1之上。回顾马等的类别

马等。18)设计了一个multiclassification问题分析与机器学习认证和密钥协商协议。马等人建议,每一个协议是安全的或容易攻击仅限于重播攻击(2.3.2节),缺乏关键确认(2.2.2节),或其他攻击。因此,马等人相关的类别数与每一个协议从1到4(图13)。然后,他们收集了大约500协议和将他们根据攻击他们容易。

3.2.2。马等不足的类别

虽然马等人首次收到成果显著,结果只有有限数量的协议有效。只有大约100协议为每个类别收集。有限的数据集的泛化能力降低的分析工具。此外,大多数协议都是容易受到多种攻击。例如,考虑下面的协议在图14。

同时,缺乏关键的确认,作为S和B都不是不确定对方已经收到了会话密钥 。结果,multiclassification问题不是一个适当的框架来分析协议。在下一节中,我们提出一个新的框架和大量的数据集分析与机器学习安全协议。

3.2.3。我们建议的类别

考虑到马等的缺陷的类别,我们为每个类别提供更多的数据集。进一步,我们设计一个二元分类问题,要么是倾向于一个特定的协议攻击或安全(图15)。在这方面,以下攻击/目标是为每一个问题。

(1)强认证和未知的密钥共享攻击。在解释2.1.2节A到B的,强大的实体验证如果B有一个新鲜的保证B作为他/她的对等实体的知识。最常见的攻击目标该属性已经攻击(2.3.1节)。对这个属性分析安全协议的目的,我们开发约1000协议是安全的或容易违反了这个属性的攻击。例如,考虑这个数据集在图的一个实例16。图16(一个)显示了接头/协议(28贴上类别1,因为它是容易的攻击克拉克雅各(29日)(图4(b)),不实现强大的身份验证。这个协议的一个改良版本图所示16(b)。对这种攻击是安全的,它是贴上类别0。

另外一个例子,考虑到赫尔辛基协议(36)在图8(一个)。该协议是脆弱已经攻击(图8(b)),它是贴上类别1(图17(a))。所建议的米切尔et al。37),这个协议的安全版本是贴上类别0(图17(b))。

(2)关键的新鲜度。新鲜2.2.1.1节中说,关键是实现安全协议当事人可以验证并确保他们同意对方的会话密钥是新鲜的,而不是从一个旧会话重播。对这个属性分析安全协议,开发了1500多个数据集是安全的或容易缺乏关键的新鲜度。这个数据集的实例如图18。在图18(一个),一个安全计划(MSR改善方案图60)显示标记为类别,而方案图18(b)缺乏关键的新鲜,因为没有新鲜值用于传输会话密钥 。

另外一个例子,考虑图的关键协议协议19。这里的会话密钥 。在图所示的协议19(a)是脆弱的重放攻击,违反了该计划的关键新鲜。对手可以重播消息2和说服一个会话密钥不同于乙方达成一致,因此,它是贴上类别1。然而,图的方案19(b)对这种攻击是安全的,对手可以不再回放消息2,因为他/她无法伪造的签名b包括新鲜参数 。

(3)密钥身份验证。2.2.1.1节的定义,关键应该只知道A和B和相互信赖的政党。对这个属性分析安全协议,大约1200协议提供数据集。每个实例的数据集是容易密钥身份验证或安全的反对这个属性。例如,考虑Otway-Rees协议作为数据集在图的一个实例20.(a)。正如2.2.1.1节中解释说,这个协议不能提供密钥身份验证。因此,它是贴上类别1。Abadi和李约瑟协议贴上类别是0,因为它实现了密钥身份验证(图20.(a))。

(4)密码猜测攻击。根据的定义2.3.3节,攻击者能够猜出密码,如果是散列和其他公共参数。对这个属性分析安全协议,大约1500协议提供数据集。每个实例的数据集是容易对这种攻击密码猜测攻击或安全。例如,考虑Lee-Sohn-Yang-Won密码协议作为数据集在图的一个实例21(a)。这个协议很容易密码猜测攻击,作为散列的参数加上密码,也就是说,一个和B所有公共和访问的对手。因此,它是贴上类别1。然而,协议中描述的人物21(b)是安全与密码猜测攻击的秘密参数 ,因为攻击者无法猜出密码,验证其正确性。

4所示。实验结果

在本节中,我们运用我们的模型连同以前的模型,即TLM和SLM模型,分析不同的安全属性的认证和密钥协商协议,如抵抗未知的密钥共享(已经)攻击,关键的新鲜度,密钥认证和抗密码猜测攻击。然后,我们比较与先前的模型,提出了模型的性能即TLM和SLM模型。结果表明,我们建议的模型优于先前的模型至少10 - 20的比例在所有的机器学习模型。此外,对于更复杂的安全属性和攻击如已经攻击和密钥身份验证、数据集的增加对分类精度大小几乎没有影响,这表明这些数据集结构无法训练机。实验结果的启发,马et al .,我们XGBoost方法适用于分类问题。提高准确性,我们修改了默认值梯度的数量提高了树和树的最大深度值XGBoost模型等,最好的结果是收到(10,3),(10、15),(20、15)或(30、30),第一个组件表示梯度提高树木的数量,第二部分代表的最大深度值树。此外,测量深度上优于方法是否合适在这个框架中,多层感知器(MLP)模型也使用。结果表明一个有前途的前景深度学习与协议分析的集成。模型的隐层大小被设置为15(15日),(20、20)或(30、30)。在下面,我们将讨论每个分析实验结果,即抵抗未知的密钥共享(已经)攻击,关键的新鲜度,密钥认证和抗密码猜测攻击。

4.1。实验结果分析已经攻击

如数据所示22和23已经攻击的分析,提出模型的分类精度和数据集大小的增加,相对于其他两个模型,即TLM和SLM模型,数据集对分类精度大小几乎没有影响。为大量数据集,即协议的数量是1300,分类精度达到80%以上20%高于其他两个模型。TLM和SLM模型的分类精度更高的协议,也就是说,100 - 600,可能会得出结论,我们的模型无法训练机。然而,随着数据集的数量的增加,TLM和SLM模型的准确性降低或保持不变。此外,TLM模型的性能极其波动在中长期规划算法。

4.2。实验结果的分析密钥身份验证

在分析关键认证,TLM和SLM数据集结构无法训练机。数据显示24和25,增加数据集的大小不仅没有对分类精度的影响,也降低了精度的TLM模型。与此同时,我们建议的模型的分类精度提高的增加数据集大小和达到1200年的超过80%的协议是15 - 20%高于其他两个模型。

4.3。实验结果分析关键的新鲜度

关键的新鲜是一个简单的安全属性已经攻击和密钥身份验证相比,因为它只影响一个时间戳和强奸犯等一些参数。因此,TLM和SLM模型的分类精度仍然提高了数据集大小的增加。然而,如图26和27,我们建议的模型的分类精度的增加几乎三倍TLM和SLM模型。类似于已经攻击,TLM模型的性能波动在延时算法。对大量的数据集,即协议的数量是1500,分类精度达到80%以上10%高于TLM和SLM模型。

4.4。实验结果分析密码猜测攻击

图中所描绘的一样28和29日,在中长期规划方法中,分类精度TLM和SLM数据集结构极其随数据集大小的增加而减小。虽然XGBoost解算器能够训练机使用TLM和SLM数据集结构,其分类精度仍远低于我们建议的数据集建设。为大量数据集,即协议的数量是1200,分类精度达到60%,比我们的数据集提出建设仍低10%。

5。结论、局限性和未来的工作

考虑正式协议分析方法的困难,研究人员在这个领域已经开始应用机器学习。在本文中,我们研究了马等的框架的第一次尝试将机器学习应用于协议安全性分析。马等的主要限制的框架,它只考虑重放攻击和重点确认。进一步,它利用multiclassification等安全框架,分析每一个协议或数据集的安全或容易安全重放攻击等攻击键确认,或其他攻击。然而,我们表明,multiclassification问题不是一个适当的框架。结果,我们提出二元分类,每个协议是倾向于一个特定的攻击或安全的反对。此外,更多的安全属性和攻击被认为是分析协议,如强认证和未知的密钥共享(已经)攻击,关键的新鲜度,密钥身份验证和口令猜测攻击。尽管之前的数据集建设马模型提出了et al .,在计划的数据集建设模型,分类精度数据集大小的增加而增加,代表数据集的事实,我们提出建设模型能够训练机器来分析安全攻击和属性。我们工作的最明显的限制是我们计划的准确性仅为80%。然而,对于一个实际的分析方案,我们需要一个理想的分析方案的准确性达100%。 As a future work, more datasets can be provided to reach an ideal analysis scheme. In addition, more complex security properties can be analyzed using machine learning techniques such as pretraining and few-shot learning.

数据可用性

补充代码和数据是可用的https://github.com/zahednejad/protocol-analysis-with-machinelearning。

的利益冲突

作者声明没有利益冲突有关的出版。

确认

这项工作是由广州大学和广东省自然科学基金,格兰特no.2018A030310071之下。