基于隨機性檢驗的密碼算法分層識別方案

摘 要：在密碼攻擊中，識別出密文的加密算法是進一步展開攻擊的前提。隨著越來越多的新加密算法投入使用，現有的單層識別方案模型越來越難以滿足需求。為此，以密碼分析者只掌握密文而進行唯密文攻擊的情況為前提，從密碼體制區別出發，采用分層識別方案，先識別密文所屬的密碼體制，再識別密文的加密算法。整合信息論中的熵、NIST隨機性檢驗的頻率檢驗、塊內頻率檢驗、游程檢驗等現有特征，再引入奇異值和頻率檢驗等新特征，依托這6個元素進行特征提取。為了提高魯棒性，密碼體制識別與密碼算法識別使用不同的特征組合。采用隨機森林模型作為識別模型，實現對AES、DES、RC4、Grain、RSA、MD5和SHA-1等7個密碼算法的有效識別。結果表明，在相同數據集上，所設計方法的識別準確率相較于傳統方法提高了近30%。

關鍵詞：密碼算法識別；分層識別；特征提?。籒IST隨機性檢驗；隨機森林模型；特征組合

中圖分類號：TP39 文獻標識碼：A 文章編號：2095-1302（2024）12-00-04

0 引 言

密碼技術不僅是維護網絡安全的核心要素，還與技術創新之間存在著密切的相互促進關系。一方面，密碼攻防技術的演進不斷驅動著技術創新發展；另一方面，技術創新又為密碼技術的進步提供了新的動力。

密碼安全是網絡與信息系統安全的前提。其中，商用密碼的使用必須經國家密碼管理機構的嚴格檢測與審查。根據《商用密碼管理條例》的規定，任何單位或個人只能使用經國家密碼管理機構認可的商用密碼產品。為有效維護網絡空間安全，規范商用密碼的使用，加強相關監管，開展密碼安全性評估尤為重要。

當下對密碼算法的特征識別需求日益增加。然而，目前有關密碼特征識別的研究仍處于起步階段，尚未形成成熟且廣泛適用的識別方法。因此，深入探索并研發有效的密碼特征識別方法，不僅對提升密碼安全水平有著重要意義，更對推動整個網絡安全領域的發展具有深遠的現實價值。

1 相關工作

NIST隨機性檢驗在2015年被首次應用于密碼算法識別領域，其結合統計學與機器學習方法，借助NIST發布的隨機性測試，以密文隨機性度量值作為特征，使用K-均值聚類算法對AES、DES、Camellia、SMS4和3DES密碼算法進行識別。文獻[1]提出了1種基于隨機森林模型的分層識別方案，對12種密碼算法進行了識別。文獻[2]用15種NIST隨機性檢驗作為特征，統計15種測試值作為特征，對AES、DES、3DES、IDEA、BlowFish、Camellia等6種分組密碼使用隨機森林模型進行分組密碼算法識別。文獻[3]基于ASC II碼，使用隨機森林模型和支持向量機對AES、BlowFish、Camellia、DES、3DES、IDEA和SMS4進行識別。文獻[4]從NIST隨機性檢驗結果中選取了10個測試結果作為特征，使用梯度提升決策樹的結果作為新特征，最終將所有特征輸入邏輯回歸模型，輸出最終分類結果，對AES、3DES、BlowFish、CAST和RC2進行識別。文獻[5]提出使用漢明重量作為特征，使用XGBoost模型進行特征選擇，疊加XGBoost和邏輯回歸模型對AES、3DES、DES、Camellia、IDEA、BlowFish、SM4、Cast和RC2進行識別。

2 模型訓練

密碼算法的識別問題可以被視為人工智能領域中的分類任務。監督學習[6]成為解決密碼算法識別問題的一種有效方法。通過使用帶有標簽的訓練數據，模型可以學習輸入特征與密碼算法類型之間的映射關系。

為了訓練監督學習模型，需要1個包含已知密碼算法類型的訓練數據集。每個樣本應該包括密碼的輸入特征以及相應的密碼算法類型標簽。因為本文的工作基于分析者手上只有密文數據的情況，因此輸入特征為根據本文定義的特征提取方法從二進制密文中提取的特征值。

模型還包含輸出標簽這個概念，其表示每個樣本所屬的密碼算法類型。這些標簽是在訓練數據中事先定義的，并且是監督學習模型學習的目標。

模型利用訓練數據學習如何從輸入特征到密碼算法類型的映射。模型通過優化算法[7]不斷調整其參數，以最小化損失函數[8]，從而提高在訓練集上的性能。

模型訓練完成之后，需使用獨立的測試數據集評估模型的性能，以檢驗其在新數據上的泛化能力。

通過這種方式，監督學習模型可以在給定輸入特征的情況下，預測密碼算法的類型，從而識別不同密碼算法的類型。這種方法為提高密碼算法的識別精度和安全性提供了1種有效的途徑。

以識別密文的密碼算法為例，具體過程如下：

（1）訓練階段

步驟1：采集已知密文密碼算法的密文數據，其中n為數據個數；

步驟2：根據定義的特征提取方法，依次對密文數據進行特征提取，得到密文特征集，將其按列表形式保存；

步驟3：記n個密文數據的密碼算法標簽，稱為帶標簽的訓練數據；

步驟4：將帶標簽的訓練數據輸入隨機森林模型進行訓練，得到訓練好的模型。

（2）測試階段

步驟1：根據定義的特征提取方法，對待識別的密文文件提取特征，得到z維特征；

步驟2：將得到的特征輸入訓練集訓練好的模型，模型會輸出密碼算法的識別分類結果。

3 特征提取

為了確保特征的適應性和對任務本質的敏感性，本文采用分層識別方案。區分密碼體制和密碼算法使用的特征提取方法不同。

3.1 現有特征提取方法

早期研究工作普遍使用統計學相關的知識提取特征方法。文獻[9]使用5種劃分方式分類字符，分別統計這5種劃分方式各字符的熵；文獻[10]統計指定長度比特串的熵、固定位置字節的熵、字節中固定比特位的熵；文獻[11]統計指定長度為n的比特串中幾種可能性出現的頻率；2015年，有研究者首次使用了NIST隨機性檢驗的方法。

3.2 本文特征提取方法

3.2.1 密碼體制識別特征

鑒于統計學的特征維數高且效果并不理想，本文未采用統計學相關特征，而是使用NIST隨機性檢驗中的頻率檢驗、塊內頻率檢驗和游程檢驗[12]，并設計了奇異值和頻率檢驗來提取特征。為確保不同密文數據提取的特征維度一致，本文選擇每種特征中出現頻率最高的10個特征值作為該特征的最終特征值。本文特征提取方法是將每個密文數據分別按

56 bit、128 bit、256 bit長度分塊提取特征，之后將各分塊提取的特征合并為該密文數據的完整特征。

對稱密碼體制包含分組密碼AES[13]、DES[14]，流密碼RC4[15]、Grain[16]，這兩類密碼體制的特點是密鑰較短。分組密碼將密文分成多個等長的密碼塊，并分別對每個塊進行加密；流密碼根據密鑰生成與明文等長的密鑰流，并以此進行加密。RSA加密算法的密鑰最短是1 024 bit，MD5和SHA-1則根據整個密文數據輸出一個較短的比特序列[17-19]。分析可知，對稱加密生成的密文是由許多單獨加密的小塊拼接而成的，因此密文分布應當是均勻的。而非對稱加密生成的密文分布則相對不均勻。區分這2種密碼體制時，可以采用頻率檢驗和塊內頻率檢驗的方法。2種檢驗方法的定義

如下：

（1）頻率檢驗（frequency test）：此測試的目的是確定序列中1和0的數量是否與真正隨機序列的預期數量大致相同。計算步驟如下：記字符“1”為1，字符“0”為-1，將整個密文數據累加得到S，，檢驗值，其中：

（1）

（2）塊內頻率檢驗（block frequency test）：此測試的目的是確定M中1的頻率是否如在隨機性假設下所預期的那樣約為M/2。計算步驟如下：

（2）

式中：M為分塊大??；n為密文長度；πi為塊內“1”的占比。N為分塊數量，檢驗值，其中：

（3）

3.2.2 密碼算法識別特征

密碼算法識別是指在密碼體制識別完成后，進一步區分各密碼體制內密文數據所采用的詳細密碼算法?，F有研究成果均已證實不同的密碼算法產生的密文是有“特點”的。因此，用于識別密碼算法的特征需要對密文中不均勻的數據有更強的敏感性。鑒于此，本文選用游程檢驗和自定義的奇異值及頻率檢驗方法，以提取密碼算法特征。

（1）游程檢驗（run test）：游程是相同位的不間斷序列。長度為k的游程正好由k個相同的比特位組成。游程測試的目的是確定對于隨機序列，不同長度的“1”和“0”的游程次數是否如預期的那樣。NIST隨機性檢驗更關注密文在0和1之間的轉換速率。計算步驟如下：

（4）

式中：若k=k+1，則r（k）=1，否則r（k）=0。以π表示字符“1”的占比。最后計算統計值：

（5）

（2）奇異值（singular value）：block_size為分塊長度，num為分塊數量，奇異值diff計算公式如下：

（6）

（3）頻率檢驗（frequency test）：n1為字符“1”的數量，n0為字符“0”的數量，n為密文數據長度，特征值fft的計算公式如式（7）所示：

（7）

4 實驗結果分析

4.1 實驗環境及數據

本文實驗在操作系統為Windows 11、處理器為12th Gen Intel? CoreTM i5-12500 3.00 GHz、內存為16 GB、編程語言為Python 3.9的環境下完成。實驗選擇由Crypto密碼庫提供的AES、DES、RC4、Grain、RSA、MD5和SHA-1等7種密碼算法，它們的基本信息見表1。特征提取方法由Python語言實現。實驗用到的明文來自中外經典文學作品，按行數以10、30、50、100劃分文件，大小為1～30 KB，明文總數為4 000份。使用固定密鑰加密，密文總數為28 000份，使用scikit-learn的train_test_split函數劃分實驗所用的訓練集和測試集，對密文實現7分類的分類任務。

4.2 實驗結果與分析

根據train_test_split函數劃分的結果，測試集包含7 002個樣本。本文采用分層識別方案，由于正確識別密碼體制是正確識別密碼算法的前提，因此識別分類密文數據所屬的密碼體制非常重要。密碼體制識別結果見表2。

密碼體制分類的準確率為99.39%，由此可以得出結論，密碼體制識別的特征提取方法是有效的。

后續的密碼算法識別步驟在此過程后立刻開始執行，其分類結果的混淆矩陣如圖1所示。

由圖1中的信息可以得知：AES加密算法的密文數據有980個，分類準確率為87.04%；DES加密算法的密文數據有997個，分類準確率為75.63%；RC4加密算法的密文數據有963個，分類準確率為64.38%；Grain加密算法的密文數據有1 003個，分類準確率為81.70%；RSA加密算法的密文數據有1 033個，分類準確率為97.87%；MD5加密算法的密文數據有1 038個，分類準確率為100.00%；SHA-1加密算法的密文數據有988個，分類準確率為100.00%。

進一步分析發現，3個非對稱密碼算法中2個實現了完全準確的分類，RSA算法的分類錯了22個，分類準確率為97.87%。觀察表2發現，非對稱加密有22個在密碼體制階段識別錯誤，考慮到各密碼體制只有屬于該體制的密碼算法類別作為輸出，因此密碼體制分類錯誤的數據，其密碼算法分類必然錯誤，故可認為密碼算法識別的特征契合非對稱加密。

對稱密碼體制中，AES與Grain算法的分類準確率大于80%，相對較高，而DES與RC4算法的分類準確率較低，仔細觀察，發現這2個算法中的錯誤數據多數被模型判定為AES算法，其中DES算法有155個此類錯誤，占其總數的15.55%，RC4算法有262個此類錯誤，占其總數的27.21%。

對比現有基于統計學知識的特征提取方法和NIST隨機性檢驗的特征提取方法，結果見表3。

密文理論上是符合隨機性的，密碼算法的加密過程都是完全公開的，密碼的安全性完全取決于密鑰。本文在密鑰未知的情況下可以有效識別非對稱密碼體制的密碼算法。對于對稱密碼體制，其密碼算法的3個密鑰長度相同，雖然少部分數據分類產生了混淆，但實驗結果表明，分類效果仍優于隨機分類，因此本文提出的特征提取方法是有效的。

5 結 語

本文在只掌握密文的情況下對AES、DES、RC4、Grain、RSA、MD5和SHA-1等7個加密算法采用先識別密文數據的密碼體制，再識別密文數據的密碼算法的分層識別策略。使用隨機森林模型進行識別，有效識別了屬于非對稱密碼體制的密碼算法的密文數據，以及大部分屬于對稱密碼體制的密碼算法的密文數據，特征維數較現有研究成果較低。

本文的實驗對象有限，對稱密碼體制內多數錯誤為將別的密碼算法誤判為AES，若能設計出有效識別AES特征的識別方法，將大幅減少其他數據被誤判為AES的概率，存在較大上升空間。后續工作將重點關注新的特征提取方法設計，同時會針對更多密碼算法的情形，在進一步提高分類準確率的同時加強模型的覆蓋范圍和說服力。

參考文獻

[1] HUANG L T， ZHAO Z C， ZHAO Y Q. A two-stage cryptosystem recognition scheme based on random forest [J]. Chinese journal of computers， 2018， 41 （2）： 382-399.

[2]趙志誠，趙亞群，劉鳳梅.基于隨機性測試的分組密碼體制識別方案[J].密碼學報，2019，6（2）：177-190.

[3] ZHANG W， ZHAO Y， FAN S. Cryptosystem identification scheme based on ASCII code statistics [J]. Security and communication networks， 2020（4）： 1-10.

[4] YUAN K， HUANG Y， DU Z， et al. A multi-layer composite identification scheme of cryptographic algorithm based on hybrid random forest and logistic regression model [J]. Complex amp;Intelligent systems， 2023： 1-17.

[5] ZHAO L， CHI Y， XU Z， et al. Block cipher identification scheme based on hamming weight distribution [J]. IEEE access， 2023， 11： 21364-21373.

[6] JIANG T， GRADUS J L， ROSELLINI A J. Supervised machine learning： a brief primer [J]. Behavior therapy， 2020， 51（5）： 675-687.

[7] ABUALIGAH L， DIABAT A， MIRJALILI S， et al. The arithmetic optimization algorithm [J]. Computer methods in applied mechanics and engineering， 2021， 376： 113609.

[8] HO Y， WOOKEY S. The real-world-weight cross-entropy loss function： Modeling the costs of mislabeling [J]. IEEE access， 2019， 8： 4806-4813.

[9]王旭，陳永樂，王慶生，等.結合特征選擇與集成學習的密碼體制識別方案[J].計算機工程，2021，47（1）：139-145.

[10]李洪超.基于密文特征的密碼算法識別研究[D].西安：西安電子科技大學，2018.

[11] KAVITHA T， RAJITHA O， THEJASWI K， et al. Classification of encryption algorithms based on ciphertext using pattern recognition techniques [C]// Proceeding of the International Conference on Computer Networks， Big Data and IoT （ICCBI-2018）. [S.l.]： Springer International Publishing， 2020： 540-545.

[12]蔣欣.基于機器學習的密碼體制識別研究[D].武漢：武漢理工大學，2021.

[13] MUTTAQIN K， RAHMADONI J. Analysis and design of file security system AES （advanced encryption standard） cryptography based [J]. Journal of applied engineering and technological science （JAETS）， 2020， 1（2）： 113-123.

[14] WANG Y H， LI Y Z. Improved design of DES algorithm based on symmetric encryption algorithm [C]// 2021 IEEE International Conference on Power Electronics， Computer Applications （ICPECA）.[S.l.]：IEEE， 2021： 220-223.

[15] ALSHARIDA R， HAMMOOD M， AHMED M A， et al. RC4D： a new development of RC4 encryption algorithm [C]// Selected Papers from the 12th International Networking Conference： INC 2020 12. [S.l.]： Springer International Publishing， 2021： 19-30.

[16] ZAKI F， AFIFI F， ABD R S， et al. GRAIN： Granular multi-label encrypted traffic classification using classifier chain [J]. Computer networks， 2022， 213： 109084.

[17] YU H， KIM Y. New RSA encryption mechanism using one-time encryption keys and unpredictable bio-signal for wireless communication devices [J]. Electronics， 2020， 9（2）： 246.

[18] NAJIB A F， RACHMAWANTO E H， SARI C A， et al. A comparative study MD5 and SHA1 algorithms to encrypt REST API authentication on mobile-based application [C]// 2019 International Conference on Information and Communications Technology （ICOIACT）. [S.l.]： IEEE， 2019： 206-211.

[19] MALIBERAN E V. Modified SHA1： a hashing solution to secure web applications through login authentication [J]. International journal of communication networks and information security， 2019， 11（1）： 36-41.