Практическийпример—проблемыбезопасностиприразвертываниимоделиМО 325
рового сертификата, который пытается получить пользователь). Если подлин ность пользователя подтверждается, он передает центру сертификации откры тый ключ по защищенному каналу. С учетом этой информации создается цифровой сертификат с цифровой подписью центра. После этого пользователь может предъявить свой сертификат любому, кто хочет удостоверить его лич ность. При этом нет необходимости отправлять сертификат по защищенному каналу, поскольку он не содержит никакой конфиденциальной информации. Лицо, получающее сертификат, не обязано напрямую проверять личность поль зователя. Этот человек может просто убедиться в том, что сертификат действи телен, проверив цифровую подпись центра сертификации. Подпись подтверж дает, что открытый ключ, содержащийся в сертификате, действительно принадлежит лицу (или организации), указанному в нем.
Закрытый ключ центра сертификации организации является самым слабым звеном в цепочке доверия PKI. Например, если имитатор завладеет закрытым ключом Microsoft, он сможет установить вредо носное ПО на миллионы компьютеров по всему миру, выдавая себя за центр обновления Windows.
ПРАКТИЧЕСКИЙ ПРИМЕР — ПРОБЛЕМЫ БЕЗОПАСНОСТИ ПРИ РАЗВЕРТЫВАНИИ МОДЕЛИ МО
В главе 6 мы рассмотрели жизненный цикл CRISP-DM, который представляет собой этапы обучения и развертывания модели МО. Как только модель обуче на и оценена, завершающим этапом становится ее развертывание. Если это особо важная модель, необходимо убедиться, что все цели безопасности достиг нуты.
Проанализируем типичные проблемы, с которыми приходится сталкиваться при развертывании подобной модели, и способы их решения с помощью кон цепций, рассмотренных в этой главе. Обсудим стратегии защиты обученной модели от следующих трех угроз:
zz Атака посредника.
zz Маскарадинг (нелегальное проникновение). zzИскажение данных.
Рассмотрим их по очереди.
326 |
Глава 12. Криптография |
Атака посредника (MITM)
Одна из возможных атак, от которой необходимо защитить модель, — это атака посредника, или атака MITM (Man-in-the-Middle — «человек посередине»). Атака MITM происходит, когда злоумышленник пытается перехватить не пред назначенное для него сообщение при внедрении обученной модели МО.
Поэтапно разберем атаку MITM, обратившись к примеру возможного сценария.
Предположим, Боб и Алиса собираются обменяться сообщениями с помощью PKI.
1.Боб использует {PrБоб, PuБоб}, а Алиса — {PrАлисас, PuАлиса}. Боб создал сообще ние МБоб, и Алиса создала сообщение МАлиса. Они хотят безопасно обменять ся этими сообщениями друг с другом.
2.Сначала им необходимо обменяться открытыми ключами, чтобы установить
друг с другом безопасное соединение. Это означает, что Боб использует PuАлиса для шифрования MБоб перед отправкой сообщения Алисе.
3.Предположим, что существует злоумышленник X, который использует {PRX, PuX}. Он может перехватить обмен открытыми ключами между Бобом и Али сой и заменить их собственным открытым сертификатом.
4.Боб отправляет MБоб Алисе, шифруя его с помощью PuX вместо PuАлиса, оши бочно полагая, что это публичный сертификат Алисы. Подслушивающий X перехватывает сообщение MБоб и расшифровывает его с помощью PrБоб.
Эта атака MITM продемонстрирована на следующей диаграмме (рис. 12.14).
{Pu , Pr } |
Pr |
|
|
{Pu |
|
} |
{Pu , Pr } |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
M |
|
||
|
|||
|
M |
{PuX, PrX}
Рис. 12.14
Практическийпример—проблемыбезопасностиприразвертываниимоделиМО 327
Давайте узнаем, как можно предотвратить атаки MITM.
Предотвращение атаки MITM
Предотвратить атаки MITM возможно путем добавления в систему центра сертификации. Допустим, название этого центра — myTrustCA. Цифровой сер
тификат имеет свой открытый ключ, PumyTrustCA, встроенный в него. myTrustCA отвечает за подписание сертификатов для всех участников системы, включая
Алису и Боба. Это означает, что и Боб, и Алиса имеют сертификаты, подписан ные myTrustCA. Подписывая их сертификаты, myTrustCA проверяет, что они действительно являются теми, за кого себя выдают.
После введения этого условия вернемся к взаимодействию между Бобом и Алисой.
1.Боб использует {PRБоб, PuБоб}, а Алиса использует {PRАлиса, PuАлиса}. Оба от крытых ключа встроены в их цифровые сертификаты, подписанные
myTrustCA. Боб создал сообщение МБоб, а Алиса создала сообщение МАлиса. Они хотят безопасно обменяться этими сообщениями друг с другом.
2.Боб и Алиса обмениваются цифровыми сертификатами, содержащими их открытые ключи. Они примут ключи только в том случае, если те встроены в сертификаты, подписанные myTrustCA. Они должны обменяться откры тыми ключами, чтобы установить безопасное соединение друг с другом.
Таким образом, Боб применит PuАлиса для шифрования MБоб, прежде чем от править сообщение Алисы.
3.Появляется злоумышленник X, который использует {PRX, PuX}. Злоумыш ленник может перехватить открытые ключи Боба и Алисы и заменить их собственным открытым сертификатом PuX.
4.Боб отклоняет попытку X, так как цифровой сертификат злоумышленника не подписан myTrustCA. Безопасное соединение прерывается, попытка ата ки регистрируется с отметкой времени и всеми деталями, и возникает ис ключение безопасности.
При внедрении обученной модели МО вместо Алисы используется сервер раз вертывания. Боб развертывает модель только после установления защищенно го канала, выполнив все упомянутые шаги.
Реализуем это на Python.
Сначала импортируем необходимые библиотеки.
from xmlrpc.client import SafeTransport, ServerProxy import ssl
328 |
Глава 12. Криптография |
Теперь создадим класс, который может проверить сертификат.
class CertVerify(SafeTransport):
def __init__(self, cafile, certfile=None, keyfile=None): SafeTransport.__init__(self)
self._ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLSv1) self._ssl_context.load_verify_locations(cafile)
if cert:
self._ssl_context.load_cert_chain(certfile, keyfile) self._ssl_context.verify_mode = ssl.CERT_REQUIRED
def make_connection(self, host):
s = super().make_connection((host, {'context': self._ssl_context})) return s
# Создаем клиентский прокси-сервер
s = ServerProxy('https://cloudanum.com:15000', transport=VerifyCertSafeTransport('server_cert.pem'), allow_none=True)
Рассмотрим другие угрозы, с которыми может столкнуться развернутая модель.
Избежание маскарадинга
Злоумышленник X притворяется авторизованным пользователем, Бобом, и по лучает доступ к конфиденциальным данным (в нашем случае это обученная модель). Необходимо защитить модель от любых несанкционированных из менений.
Один из способов защиты от маскарадинга — шифрование модели с помощью закрытого ключа авторизованного пользователя. После этого любой может про читать и использовать модель, расшифровав ее с помощью открытого ключа авторизованного пользователя, который содержится в его цифровом сертифи кате. Никто не может вносить какие-либо несанкционированные изменения в модель.
Шифрование данных и моделей
После развертывания модели неразмеченные данные реального времени (предо ставленные в качестве входных) также могут быть изменены. Обученная модель используется для вывода и размечает эти данные. Чтобы обезопасить данные от несанкционированного доступа, необходимо защищать их как в состоянии покоя, так и при передаче. В первом случае для кодирования можно использовать симметричное шифрование. Для передачи данных можно установить защищен ные каналы на основе SSL/TLS, обеспечивающие безопасный туннель. Он ис
Практическийпример—проблемыбезопасностиприразвертываниимоделиМО 329
пользуется для передачи симметричного ключа. Данные расшифровываются на сервере до того, как будут предоставлены обученной модели.
Это один из наиболее эффективных и надежных способов защиты данных от несанкционированного доступа.
Симметричное шифрование также используется для кодирования модели после обучения (перед развертыванием на сервере). Это предотвратит любой несанк ционированный доступ к модели до ее внедрения.
Рассмотрим пошагово кодирование обученной модели в источнике, используя симметричное шифрование, а затем декодируем ее в месте назначения перед использованием.
1. Сначала обучим простую модель, используя набор данных Iris:
import cryptography as crypt from sklearn.linear_model import LogisticRegression from cryptography.fernet
import Fernet from sklearn.model_selection import train_test_split
from sklearn.datasets import load_iris iris = load_iris()
X = iris.data y = iris.target
X_train, X_test, y_train, y_test = train_test_split(X, y) model = LogisticRegression()
model.fit(X_train, y_train)
2. Теперь определим имена файлов, в которых будет храниться модель:
filename_source = 'myModel_source.sav' filename_destination = "myModel_destination.sav" filename_sec = "myModel_sec.sav"
Обратите внимание, что filename_source — это файл, в котором хранится обученная незашифрованная модель в источнике. filename_destination — файл, в котором находится обученная незашифрованная модель в месте назначения, а filename_sec — это зашифрованная обученная модель.
3. Используем pickle для помещения обученной модели в файл:
from pickle import dump
dump(model, open(filename_source, 'wb'))
4.Определим функцию с именем write_key(), которая генерирует симметрич ный ключ и хранит его в файле с именем key.key:
330 |
Глава 12. Криптография |
def write_key(): |
|
key = Fernet.generate_key() |
|
with open("key.key", "wb") as key_file: |
|
key_file.write(key) |
|
5.Теперь определим функцию с именем load_key(); она считывает сохраненный ключ из файла key.key:
def load_key():
return open("key.key", "rb").read()
6.Определим функцию encrypt(), которая шифрует и обучает модель, а также сохраняет ее в файле с именем filename_sec:
def encrypt(filename, key): f = Fernet(key)
with open(filename_source,"rb") as file: file_data = file.read()
encrypted_data = f.encrypt(file_data) with open(filename_sec,"wb") as file:
file.write(encrypted_data)
7.Применим эти функции для генерации симметричного ключа и сохранения его в файле. Затем прочитаем этот ключ и используем его для хранения обу ченной модели в файле с именем filename_sec:
write_key() encrypt(filename_source,load_key())
Модель зашифрована. Она будет передана в место назначения, где будет ис пользоваться для прогнозирования. Для этого проделаем следующие шаги.
8.Определим функцию с именем decrypt() для расшифровки модели из filename_sec в filename_destination с использованием ключа, хранящегося в файле key.key:
def decrypt(filename, key): f = Fernet(key)
with open(filename_sec, "rb") as file: encrypted_data = file.read()
decrypted_data = f.decrypt(encrypted_data) with open(filename_destination, "wb") as file:
file.write(decrypted_data)
9.Теперь используем эту функцию для расшифровки модели и сохраним ее в файле с именем filename_destination:
decrypt(filename_sec,load_key())
10.Далее применим этот незашифрованный файл, чтобы загрузить модель и ис пользовать ее для прогнозирования (рис. 12.15).