2018年大數據環境下的網絡身份安全挑戰及解決方案.pdf

1、大數據環境下的網絡身份安全挑戰及解決方案提綱網絡身份&網絡身份安全網絡身份安全遇到的挑戰網絡身份安全技術及解決方案基于可信用戶代理的多方閉環網絡身份認證管理機制自動注冊、自動登錄、自動修改密碼；防撞庫、防釣魚、解決“密碼疲勞”基于寄生社區分割的釣魚網站及目標識別 防釣魚欺詐、防身份被盜區分、認定（Identify）網絡空間中個體（Entity）的唯一性和不可否認性標識 個體：個人用戶、組織機構、設備、網絡資源網絡身份信息：跟身份有關的信息 用戶名、口令、身份證號、郵箱、手機號、卡號、微信號、QQ等 域名、名稱、組織機構代碼等 序列號、URI等網絡身份 準確認證和管理網絡身份 檢測并防止 身份造

2、假、假冒 被盜（防拖庫、防釣魚）泄露（防拖庫、防撞庫）其他未授權行為網絡身份安全大數據環境公開數據被利用私有數據被泄露內部威脅（自身原因）內鬼、系統漏洞、管理不善（制度缺陷、犯錯失職）、用戶習慣外部威脅（黑客攻擊）釣魚、假冒、拖庫、撞庫網絡身份安全遇到的挑戰大數據環境中的網絡身份信息(PII)大數據：信息社會的“數字垃圾”包含身份信息、易遭非法利用（詐騙、竊取、撞庫、破解）公開數據：個人主頁、機構官網、百科、博客、微博：內容（姓名等）豐富真實！訃告、新聞、論文：真實的姓名，郵箱、單位信息各網站私有數據：注冊的id，口令，姓名，生日，手機號，QQ號，郵箱等 社交網絡關系（好友、粉絲、在線習慣等）

3、大數據環境中的網絡身份安全威脅公開數據蘊含著隱私，被用于破解、撞庫 關聯關系：； 社交網絡：奶茶妹妹 劉強東私有數據被竊取、泄露，形成黑色產業鏈：拖庫：竊取整個身份數據庫（賬號、密碼、其他身份信息）洗庫：解密、整理，分類，出售里邊的信息 撞庫：用其中發現的密碼去猜測登錄別的系統內部威脅 數據泄露管理員使用弱密碼、多人分享密碼、失誤 被撞庫、被拖庫、被接管、留后門漏洞不及時修補、留后門 被拖庫加密措施不強（甚至明文存儲密碼）拖庫后被破解，94%MD5;74%哈希加鹽，0.1%Bcrypt內鬼（80%）數據泄露的結果社工庫：密碼疲勞問題導致的用戶習慣 不安全 密碼/口令模式有限：被破解 弱密碼（常

4、用密碼庫）：被破解 長期不換：被破解 賬號關聯、密碼/口令重用：被撞庫 經驗不足，不夠警惕，被恐嚇、誘惑而輕信：被釣魚常用模式 利用人性弱點精準分析破解個人密碼利用個人信息，猜解各種組合暴力定向破解密碼（汪定）7種模式PassWord-PassPhraseNIST的Paul Grassi提出僅僅“長”沒有用，仍是有限模式感謝泰格實驗室姜棟提供：賬號關聯、密碼/口令重用-撞庫越來越容易簡單撞庫針對單個賬號，多次猜測密碼“分布式集體輪番撞庫”（Credential Stuffing）公開獲取或非法購買被泄露的大量的賬號/密碼對 針對同一個網站的多個賬號 輪番從多個代理或僵尸網絡發起登錄請求 輔助自

5、動工具通過圖靈測試 1-2%的成功率網絡身份欺詐/網絡釣魚攻擊網絡身份欺詐 未經他人授權，假冒其網絡身份，特別是用于非法目的網絡釣魚攻擊 通過模仿真實網頁，假冒其他個人或組織的網絡身份，騙取用戶的網絡身份等私隱信息如：用戶名、密碼、卡號等 二維碼釣魚天下網絡，無堅不破！天下密碼，唯“強”不破！人是最薄弱的環節！何為“強”密碼？隨機、無規律（無模式）足夠長（僅僅長還不行，要記住就得有規律，有規律就能破?。┪葱孤哆^、經常換 記不住，輸入也不方便，可用性很差！“能記住的密碼都是弱密碼”以用戶為中心的身份管理以網站為中心-企業為中心（SSO）-用戶為中心！基于可信用戶代理的多方閉環網絡身份認證機制 兼

6、容傳統密碼機制，成本低、易于部署 密碼繞過瀏覽器，直發服務器，杜絕被劫持、被釣魚 注冊隨機賬號，做到de-link，防止被撞庫 生成并常換隨機強密碼，防止被破解 密碼不重用，防止被撞庫 配套密碼管理器，密碼再也不用記（“燒腦”）、避免“密碼疲勞”傳統B/S架構雙向網絡身份認證機制多方閉環網絡身份認證機制（可信服務器代理版）多方閉環網絡身份認證機制（插件/擴展版）自動注冊首次掃碼會自動注冊一個隨機賬戶并生成強密碼。以后再掃碼就自動登錄。希望可以取消驗證碼，降低上網門檻。自動登錄功能自動更換密碼1.網頁上啟動更換密碼服務，顯示二維碼2.登錄易App掃碼后自定生成新密碼3.登錄易App提交新舊密碼，

7、網頁收到新舊密碼后提示確認繼續修改密碼4.確認后，網頁提示密碼已經更新5.手機上提示保存新密碼，點擊“保存修改”！既 方便又 安全！兼容傳統密碼機制可靠、易部署密碼不用記 自動注冊、登錄、修改 密碼管理集中化登錄信息移動化 特別適合不帶鍵盤的智能設備登錄自動備份、同步可下載臨時App應急 不同網站的賬戶沒有關聯不可能遭撞庫 保護隱私（無法知道是同一個人）繞過瀏覽器比密碼管理器自動填寫表單更安全 防“釣魚”主密碼保護可選用指紋、其他生物信息或字符密碼驗證自己合法使用所屬設備可信用戶代理 檢測釣魚及釣魚目標（Phishing Target）從可疑網頁中發現蛛絲馬跡 順藤摸瓜發現釣魚目標-被假冒的真

8、網站 如果可疑網頁與目標不相同，則判斷可疑網頁為釣魚 IEEE Internet Computing（2012）編輯、審評員一致好評：“創新、聰明、妙趣Intriguing、扎實、實用”尋找被釣魚攻擊目標的方法示意圖I:縮小包圍圈II:鎖定目標1.給定的一個可疑網頁2.尋找有關聯的網頁集合3.構建由關聯網頁組成的寄生社區4.在寄生社區中鎖定釣魚攻擊的目標，即被假冒的真網頁關聯關系關聯關系直接關聯關系鏈接報告（Cova）：42%的釣魚網頁包含指向真實網頁的鏈接我們研究：其中高達85.6%包含明確指向真實網頁的超鏈接間接關聯關系搜索引擎中排序檢索詞:標題,meta標簽關鍵詞,主體關鍵詞文本/語義相

9、似度非對稱性相似度(Tversky)示例高準確率反網絡釣魚方法反網絡釣魚方法釣魚檢測釣魚檢測準確率數據集準確率數據集本方法99.20%10005網頁Lius method100%8網頁CANTINA90%100 網頁Pans method94.70%279 網頁Xiangs method90.06%7906 網頁數據集10005 假冒釣魚網頁3個月收集自PhishTank釣魚檢測準確率99.2%被假冒目標識別率92.1%誤報率Alex Top 1,000,000Yahoo Random Links未過濾誤報率2.2%過濾后誤報率1%云端假冒釣魚檢測引擎-http:/ 安全掃碼器 請關注“安心掃”公眾號網絡身份安全的建議前臺匿名、后臺實名自動檢測各種漏洞、攻擊及威脅，強加密數據庫準備好數據泄露后的應對策略使用網絡身份安全措施提高個人及網站的網絡身份安全購買網絡安全保險謝 謝！