CN105022964A - 一种基于行为预测控制的可信网络群体构建方法 - Google Patents

Abstract

本发明公开了一种基于行为预测控制的可信网络群体构建方法，包括：步骤10，对用户终端进行身份度量；不能通过身份度量的用户终端拒绝接入；步骤20，对通过身份度量的用户终端进行状态度量；不能通过状态度量的用户终端拒绝接入；步骤30，对通过状态度量的用户终端进行行为度量；不能通过行为度量的用户终端拒绝接入。本发明在可信群体的构建过程首先通过预测个体行为是否可信来评估行为个体是否可信，然后在个体行为的基础之上抽象出群体的可信行为的规范，基于群体可信行为的规范来约束个体，使得个体和群体有机结合，最终确保个体和群体的可信，最终通过可信个体来构建一个可信群体。

Description

一种基于行为预测控制的可信网络群体构建方法

技术领域

本发明涉及可信计算领域，特别是涉及一种基于行为预测控制的可信网络群体构建方法。

背景技术

互联网技术的发展使得连接更为便捷，沟通更为通畅，为信息化繁荣做出了巨大的贡献，但是，随着网络化程度的不断深入，基于网络的计算和存储逐渐成为主流，网络安全所面临的威胁，以及终端可信都成为亟待解决的问题。其中终端的安全是网络安全的基础，而由同一个区域的不同终端组成的局域网群体是组成整个互联网重要的枝干，终端的安全是局域网群体安全的基础，而局域网的安全是整个互联网安全的基础。

早在上世纪九十年代初，就有著名信息安全专家提出要以终端入手解决信息安全问题，这是对安全问题的本质回归，同时随着可信计算的诞生和发展，可信计算成为解决终端安全的重要的技术，其中可信计算联盟(TCG)的解决方案是通过信任链的传递解决终端安全问题：首先在计算机系统中构建一个信任根。信任根由物理安全、技术安全和管理安全共同确保；再建立一条信任链。从信任根开始到硬件平台、操作系统，以及应用，一级度量认证一级，一级信任一级，把信任扩展到整个计算机系统，从而确保整个计算机系统的可信。同时TCG为了保障网络的安全提出了可信网络连接(Trusted Network Connect，TNC)技术，TNC是一种以终端为起点来解决安全问题的网络访问控制技术，是一个标准的开放的网络接入控制架构，TNC开创性地提出了将可信计算机制引入网络访问控制架构中，引起了国内外研究者对此更加深入和广泛的研究，核心问题就是如何将TNC进行扩展，使得可信的概念能够进一步与网络相融合。针对TNC架构的扩展性较差，与TNC架构相比完整性校验复杂，可信网络连接架构(TNCA)采用了三元三层结构，使用访问控制器取代了策略执行点，采用网络请求者和访问控制器的双向用户身份鉴别和双向平台完整性评估的接入策略，确保TNCA体系结构的安全性。使用策略管理器简化了密钥的管理策略，与TNC相比该架构有更好的可扩展性。完整性校验更加的简便，具有更高的安全性，同时该架构的完整性校验过程采用集中校验，具有较好的普适性。

综上所述，可信计算目前的研究主要侧重于单个终端是否可信，并没有考虑到单个终端所在的网络环境以及终端构成的群体对终端的影响，网络可以认为是社会中人为在网络环境中的映射，网络行为是指与现实社会中人们的社会行为相对应的网络社会中的行为，但是当前的可信计算的研究没对网络中实体的可信行为给出精确的定义，因此当前对网络中终端的可信研究还存在以下问题：

1、缺乏网络中实体可信行为的精确定义；

2、对网络中的实体的研究偏重于个体的研究，并没有考虑到网络中的实体的行为有着和社会学中个体有着类似的特点；

3、缺乏对于网络中的实体行为是否可信的判定方法。

发明内容

本发明要解决的技术问题是提供一种基于行为预测控制的可信网络群体构建方法，用以解决现有技术中存在的上述问题之一。

为解决上述技术问题，一方面，本发明提供一种基于行为预测控制的可信网络群体构建方法，包括：

步骤10，对用户终端进行身份度量；不能通过身份度量的用户终端拒绝接入；

步骤20，对通过身份度量的用户终端进行状态度量；不能通过状态度量的用户终端拒绝接入；

步骤30，对通过状态度量的用户终端进行行为度量；不能通过行为度量的用户终端拒绝接入。

进一步，对用户终端进行身份度量，具体包括：

获取用户终端的身份和权限信息；

判断用户终端的身份和权限信息与预先保存的身份和权限信息是否相同，如果是则通过身份度量，将用户终端纳入到可信群体的待考察的用户组中，进入状态度量；如果否，则认为该用户终端不可信，拒绝接入。

进一步，用户终端状态度量包括基础状态度量和实时状态度量。

进一步，基础状态度量包括：

获取用户终端的操作系统内核摘要，软硬件摘要值；

判断获取的摘要值与预先保存的摘要值是否一致，如果一致则进行实时状态度量；如果不一致，则判定该用户终端不可信，拒绝用户终端接入。

进一步，实时状态度量通过对整个可信群体的即时快照进行度量。

进一步，用户终端进行行为度量，包括：

用户终端的输出结果和群体行为规则库进行比对，判断用户行为是否为非恶意行为，如果是，则该用户终端不可信，禁止接入；如果否，则将用户终端的输出结果与个体行为预期进行匹配，如果用户行为符合用户终端的预期，则判定该用户终端是可信的；如果用户行为不符合用户终端的预期，则进一步评估用户终端的行为恶意指数，判断用户终端行为的恶意指数是否大于系统规定的阈值，如果是，则判定该行为是非可信行为，将被纳入到群体行为特征库中，判定该用户终端不可信，拒绝用户终端接入；如果否，则该行为被视为可信，将该行为纳入到用户个体可信行为特征库中，判定该用户终端信。

本发明有益效果如下：

本发明在可信群体的构建过程首先通过预测个体行为是否可信来评估行为个体是否可信，然后在个体行为的基础之上抽象出群体的可信行为的规范，基于群体可信行为的规范来约束个体，使得个体和群体有机结合，最终确保个体和群体的可信，最终通过可信个体来构建一个可信群体。

附图说明

图1是本发明实施例中可信群体构建过程示意图；

图2是本发明实施例中可信群体个体可信度量图；

图3是本发明实施例中可信群体行为度量流程图。

具体实施方式

以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

本发明提出了以广义控制预测为基础的用户行为度量方法，网络中终端可信应该纳入到终端所处的群体中考虑，按照社会学中群落的构建思想构建一个可信终端组成的可信群体模型，然后通过可信群体来约束网络中的单个的实体的行为，最终达成终端的可信以及终端所在网络群体的可信。

从社会学角度来言，群体是相对于个体而言，但不是任何几个人就能构成群体。群体是指两个或两个以上的人，为了达到共同目标，以一定方式联系在一起进行活动的人群。本发明可信群体的构建参照社会学中群体形成方法。本发明网络中可信群体有其自身特点：1.成员有共同目标，成员共同目标是保持整个群体可信和稳定；2.成员对群体有认同感和归属感；3.可信群体成员有共同价值观，可信群体具有生产性功能和维持性功能；4可信群体的价值和力量在于其成员行为上的一致性，而这种一致性取决于群体规范的特殊性和标准化。

如图1～3所示，本发明实施例涉及一种基于行为预测控制的可信网络群体构建方法，包括：

步骤10，对用户终端进行身份度量；

如图1所示，用户终端的身份度量主要由群管理员(可信网络接入服务器)对用户终端的身份信息和权限信息进行确认，判断用户终端的身份和权限信息与群管理员中保存身份和权限信息是否相符，如果是则通过身份度量，将用户终端纳入到可信群体的待考察的用户组中，进入状态度量；如果否，则认为该用户终端不可信，拒绝接入。

步骤20，对用户终端进行状态度量；

用户终端状态度量包括基础状态度量和实时状态度量。基础状态度量包括：

获取用户终端的操作系统内核摘要，软硬件摘要值，这些摘要值都会和群管理员中保存的摘要值进行比对，如果一致则说明用户终端的软硬件没有被篡改，通过基础状态度量后用户终端将进行实时状态度量；如果不一致，则判定该用户终端不可信，拒绝用户终端接入。

对用户的实时状态度量最重要的是依据可信群体管理员对整个可信群体的即时快照进行度量。

实时状态度量通过可信群体管理员对整个可信群体的即时快照进行度量，主要包括与其交互的用户终端的信任度以及用户终端行为的反馈信任进行度量。根据用户终端的实时状态和行为反馈结果确认用户终端是否是可信，其中行为反馈是以行为度量为基础的，行为度量以群体行为规范和个体行为规范为基础，以直接信任度量为辅助。

步骤30，对用户终端进行行为度量；

如图1所示，用户终端实时状态度量和行为反馈根据社会学中的群体原理进行度量，其中用户终端的行为是一个六元组，用户终端行为是否可信根据广义预测控制方程判断是否可信。

用户终端的输出结果和群体行为规则库进行比对；判断用户行为是否为非恶意行为，如果是，则该用户终端不可信；如果否，则将用户终端的输出结果与个体行为预期进行匹配，如果用户行为符合用户终端的预期，则判定该用户终端是可信的，否则，进一步评估用户终端的行为恶意指数，判断用户终端行为的恶意指数是否大于系统规定的阈值，如果是，则判定该行为是非可信行为，将被纳入到群体行为特征库中，判定该用户终端不可信，拒绝用户终端接入；如果否，则该行为被视为可信，将该行为纳入到用户个体可信行为特征库中，判定该用户终端信。

下面，针对上述步骤，分别给出具体的算法，需要说明的是，本发明实施例的上述实现方式并非仅限于一下方式，根据上述描述，采用本领域其它算法，也能实现的方案，也在本发明保护之列。

1)、身份度量

首先选择双线性映射e:G₁×G₁→G₂，其中G₁是一个乘法循环群，G₁是一个P阶的大素数循环群，g是群G₁的一个生成元，H:{0,1}^*→Z_p(H为无碰撞的强单向函数，Z_p是一个素数域，P是一个大素数)基于身份的认证方案包含以下几个步骤：

1.参数建立。可信群管理员选择x∈_RZ_q，计算g₁＝g^x，然后可信管理员选择g₂∈G₂，计算系统的主密钥k＝g₂ ^x，I＝e(g₁,g₂)。系统的公开参数为(g,g₁,g₂,G₁,G₂,p,I＝e(g₁,g₂),H)。

2.用户密钥提取。设身份证明者选择y∈_RZ_q，计算U＝g₁ ^y计算定义Y＝g₂ ^x，将Y＝(g₂ ^x·U,g)作为身份证明者的公钥公开，某权威机构为身份证者的公钥/私钥对颁发公钥证书Cert，并且将在用户的身份公布在权威网站供查询，公钥证书Cert中包含用户身份、公钥及公钥有效期。

3.身份证明协议。设U＝{U₁,U₂....U_n}为要加入到可信群体中的用户集合，设身份证明者为U_θ，可信群体管理员选择r₁,r₂....r_n,α∈_RZ_q发送给用户U_θ，U_θ的私有密钥Y_sθ＝(g₂ ^x·(U)^rθ,g^rθ)，设用户的授权信息以及软硬件信息为M。首先计算m＝H(M)；

然后计算 $R=(\left({g_2}^x{\left(U_{\mathrm{\θ}}\right)}^{\mathrm{r\θ}+\frac{1}{\mathrm{r\θ}+m}}\underset{i=1}{\overset{n}{\mathrm{\Π}}}{\left(U_i\right)}^{\mathrm{ri}}\right),g^{r1},g^{r2}....g^{\mathrm{r\θ}+\frac{1}{\mathrm{r\θ}+m}}...g^{r_n})=(\mathrm{\σ},U_1,U_2....U_n).$

当可信群管理员收到R＝(σ,U₁,U₂....U_n)，首先计算m＝H(M)，然后可信群体管理员验证e(σ,g)＝e(g₁,g₂)·e(U₁,g₁ ^r1)·e(U₂,g₁ ^r2).....e(U_n,g₁ ^rn)，如果成立则接收用户的身份证明。

2)状态度量

当一个用户完成身份认证之后，将进入了状态度量，用户的状态度量首先根据可信群体的群管理员的安全策略进行度量，然后再根据用户实时状态进行实时状态度量，以下为状态度量过程的详细描述。

用户初始状态度量(基础状态度量)

当一个用户要加入一个可信群体的时候，可信群体管理员需要度量这个用户的软硬件信息，检查该用户的软硬件信息是否符合可信群体的安全策略。因此设BAC＝{α,β,γ,η[1].........η[n]}为用户的基础可信配置度量元素的值，其中用户BIOS杂凑运算的度量结果为α，OS Loader为β，OS kernel为γ，用户自身的扩展的应用程序杂凑运算的度量结果为η[1].........η[n]。设可信群体管理员端存储的预期配置为P＝{α',β',γ',η[1]'.........η[n]'}，可信群体管理员首先计算R＝(α∧α')∧(β∧β')∧(γ∧γ')。如果R取值为0则认为用户状态不可信，阻止用户的加入，否则，定义MBR为初始状态度量函数,描述如下：

给定一个MBR的阈值B_t，如果MBR>B_t，则认为对用户的基本可信配置状态度量结果符合可信群体的安全策略。

实时状态度量

对用户的实时状态度量最重要的是依据可信群体管理员对整个可信群体的即时快照进行度量。在一个可信群体中根据担任角色的不同，群体中实体分为3种类型：可信群体管理员(Trsuted Group Manager，TGM)，普通群体成员(Usaual Member，UM)，申请加入者(Apply Member，AM)。可信群体对群体中的成员信任等级分为4级，不可信、临界可信、一般可信和非常可信。每一个可信评估向量都能映射到对应的评价等级。因此对于可信群体任意时刻的一个快照都包含，非常可信的成员VT、一般可信的成员GT、临界可信成员LT和不可信成员UT四种。其具体方法如下所述：

设X＝{x₁,x₂.......x_n}为一个可信群体集合，x为可信群体中的一个实体，定义函数Se:x→[0,1]，为用户的状态评估函数，则Se:x→[0,1]有四个评价等级定义如下：

1、不可信，此种条件下0≤Se(x)≤E₀；

2、临界可信，满足E₀≤S(x)e<E₁；

3、一般可信，此种条件下满足E₁≤Se(x)<E₂

4、非常可信，此时E₂≤Se(x)<E₃

其中E₀,E₁,E₂,E₃满足0≤E₀≤E₁≤E₂≤E₃≤1

设x_j,x_j+1.......x_m，为和用户x_π发生联系(x_j,x_j+1.......x_m是和x_π有过交互的用户)的周围用户，那么x_j,x_j+1.......x_m的信任值集合为{E_j,E_j+1.......E_m}。设系统的平均信任值为设当前用户运行的应用程序为AP＝{ap₁,ap₂.......ap_n}，设用户x_π经过行为反馈之后(行为反馈将在下一节详细叙述，)的信任值为E'，设Eπ＝{E₁,E₂.......E_n}为用户应用程序AP＝{ap₁,ap₂.......ap_n}允许运行的最低信任值，则其中a₁+a₂＝1，a₁,a₂为群管理员设定的权重系数(a₁,a₂的取值主要决定于周围用户和用户交互的频度，可以根据具体的网络环境设定)，根据Se(x)在[0,1]上的取值来确认用户当前的状态是否可信。

3)行为度量

网络中用户行为可以由6个要素组成：网络行为发起者、行为客体、行为环境、行为目的、行为动作以及行为的结果。用户在网络中的行为的描述可用以下六元组进行表示：

συ＝(χο,αν,πε,σκ,Λε,πα)，其中，χο网络行为的名称、αν网络行为的意图、πε网络行为的上下文环境、σκ网络行为的对象集合、Λε网络行为的操作序列,πα为行为的输出结果。

用户的行为数学控制过程可以如下差分方程表示：

A(z^-1)y(t)＝B(z^-1)u(t-1)+C(z^-1)ω(t)/△  (1)

其中A⁽z^-1)，B(z^-1)和C(z^-1)是后移算子z^-1的多项式，可以使用如下的多项式表示：

A(z^-1)＝1+a₁z^-1+........a_naz^-1，

B(z^-1)＝b₀+b₁z^-1+........b_nbz^-1，

C(z^-1)＝1+c₁z^-1+........c_ncz^-1，

其中{u(t)},{y(t)}代表用户的输入和输出，根据用户行为六元组συ＝(χο,αν,πε,σκ,Λε,πα)的定义，可以认为χο,αν,πε,σκ,Λε可以用以代表用户的输入序列，πα代表用户的输出。△＝1-z^-1表示差分算子，由于用户是被控对象，可以假定d＝1，如果d>1，则B(z^-1)＝b₀+b₁z^-1+........b_nbz^-1的前d-1项为零，ω(t)是在概率空间的随机变量序列，是子σ代数序列，包括到时刻t的所有的信息。其中ω(t)满足以下条件：

$\underset{N\&RightArrow;\&infin;}{\lim }\sup \frac{1}{N}\underset{t-1}{\overset{N}{\mathrm{\&Sigma;}}}\mathrm{\&omega;}{\left(t\right)}^2<\&infin;a.s.$

其中ξ截止到时刻t可以使用的数据的数学期望，其中(1)式为网络用户的受控自回归平滑积分平滑过程，本发明提出的数学过程具有以下的特点，1.可以描述用户的行为的非平稳扰动，2.可以保证在确定的输入条件下将用户的输出稳定在一个范围。设集合Y＝{y_r(t+j),j＝1,2,....}是用户群体可信行为的行为规范集合。为了使用户的输出能够在集合Y＝{y_r(t+j),j＝1,2,....}中，将选用一阶滤波方程：

y_r(t)＝y(t),

y_r(t+j)＝αy_r(t+j-1)+(1-α)y_r

本发明预测控制的任务就是为了使用户的输出尽可能的落在Y＝{y_r(t+j),j＝1,2,....}中，性能指标函数定义如下：

其中△u(t+j)＝0代表在经过N_u步之后，对用户的控制量不再变化，其中N⁰是最小预测时域，N_u是控制时域，λ(j)为用户控制过程的加权向量，具体值根据用户的计算环境来定，通常情况下，如果用户没有特殊要求λ(j)一般为常数，由于C(z^-1)属于环境噪声变量，为了简化推导，首先假定C(z^-1)＝1，即假定用户遵守群体可信行为规范，不考虑非预期的干扰的前提下，为了得到最优的y(t+j)，j＝1,2,....的值，使用丢番图方程可有下式成立：

1＝E_j(z^-1)A(z^-1)△+z^-JF_j(z^-1),      (3)

E_j(z^-1)B(z^-1)＝G_j(z^-1)+z^-JH_j(z^-1)      (4)

其中j＝1,2,....N，有下列关系成立：

E_j(z^-1)＝e₀+e₁z^-1+.......e_j-1z^-j+1，

F_j(z^-1)＝f₀+f₁z^-1+.......f_j-1z^-j+1，

G_j(z^-1)＝g₀+g₁z^-1+.......g_j-1z^-j+1，

H_j(z^-1)＝h₀+h₁z^-1+.......h_j-1z^-j+1

记E_j＝E_j(z^-1)，F_j＝F_j(z^-1)，G_j＝G_j(z^-1)，H_j＝H_j(z^-1)，所以由(1),(3)，(4)可得

y(t+j)＝G_j△u(t+j-1)+F_jy(t)+H_j△u(t-1)+E_jω(t+j)  (5)

考虑到E_jω(t+j)是在时刻t之后对系统的干扰，所以求最优解的时候可以忽略掉，因此在t+j时刻最理想的系统预测值可以如下表示，定义y°(t+j)为t+j时刻的最理想的预测值，则存在：

y°(t+j)＝G_j△u(t+j-1)+F_jy(t)+H_j△u(t-1)

公式(5)可以写成向量形式

y＝Gu+Fy(t)+H△u(t-1)+E  (6)

则，y^T＝[y(t+1),y(t+2)......,y(t+N₁)]，

u^T＝[△u(t),......△u(t+N_u-1)]，

F^T＝[F₁,F₂.....F_N1]，

F^T＝[F₁,F₂.....F_N1]，

E^T＝[E₁ω(t+1),E₂ω(t+2),......E_N1ω(t+N₁)]，由上式可以得到控制矩阵G

$G=\left[\begin{array}{cc}{g}_0& 0\\ g_0{g}_1& \\ \&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;& \\ g_{N_u-1}& g_{N_u-2}......g_0\\ \&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;\&CenterDot;& \\ g_{N_1-1}& g_{N_1-2}......g_{N_1-N_u}\end{array}\right]$

y_r ^T＝[y_r(t+1),y_r(t+2)......,y_r(t+N₁)]，公式(2)可以表示为下式：

将(6)式带入到(7)中可以得到最优性能预测的向量表达式：

G^T[Gu+Fy(t)+H△u(t-1)-y_r]+λu＝0

对其进行拉普拉斯变换整理可得：

u＝(G^TG+λI)^-1G^T[y_r-Fy(t)-H△u(t-1)]

将(G^TG+λI)^-1G^T的首行提取，记做同时定义多项式

$P\left(z^{-1}\right)=p_{N_1}+p_{N_1-1}{z}^{-1}+.......p_1{z}^{-N_1+1}---\left(8\right)$

由于本发明对用户行为的控制过程是根据用户输出结果对输入的反馈矫正，因此对行为的控制过程可以如下描述：

△u(t)＝p^T[y_r-Fy(t)-H△u(t-1)]

＝P(z^-1)y_r(t+N₁)-α(z^-1)y(t)-β(z^-1)△u(t-1)，  (9)

u(t)＝u(t-1)+△u(t)，  (10)

其中

$\mathrm{\&alpha;}\left(z^{-1}\right)=\underset{j=1}{\overset{N_1}{\mathrm{\&Sigma;}}}{p}_j{F}_j\left(z^{-1}\right)={\mathrm{\&alpha;}}_0+{\mathrm{\&alpha;}}_1{z}^{-1}+.........{\mathrm{\&alpha;}}_{n_{\mathrm{\&alpha;}}}{z}^{-n_{\mathrm{\&alpha;}}}---\left(11\right)$

$\mathrm{\&beta;}\left(z^{-1}\right)=\underset{j=1}{\overset{N_1}{\mathrm{\&Sigma;}}}{p}_j{F}_j\left(z^{-1}\right)={\mathrm{\&beta;}}_0+{\mathrm{\&beta;}}_1{z}^{-1}+.........{\mathrm{\&beta;}}_{\mathrm{nb}-1}{z}^{-\mathrm{nb}}---\left(12\right)$

所以最终的对用户行为的数学控制过程可以使用△u(t)＝p^T[y_r-Fy(t)-H△u(t-1)]

＝P(z^-1)y_r(t+N₁)-α(z^-1)y(t)-β(z^-1)△u(t-1)和u(t)＝u(t-1)+△u(t)来描述。

给定一个行为序列συ＝(χο,αν,πε,σκ,Λε,πα)，设行为预期输出集合为{y_r1(t),y_r2(t).......y_rn(t)}，由于用户的可信行为有高度的历史遗传性，因此行为的预期输出是综合历史行为和当前行为抽象得到的，给定用户的行为输出序列y_i(t)＝(re₁,re₂.........re_n)，以及行为预期的输出集合{y_r1(t),y_r2(t).......y_rn(t)}，其中y_ri(t)＝(re₁,re₂.......re_n)，则有：

$\mathrm{Sim}(y_i\left(t\right),y_{\mathrm{ri}}\left(t\right),q)={\left(\underset{i=1}{\overset{m}{\mathrm{\&Sigma;}}}{w}_i{|{\mathrm{re}}_i-{\mathrm{re}}_{\mathrm{ri}}|}^q\right)}^{\frac{1}{q}}$

考虑到相似度的数值是在[0,1]这个区间中，因此需要对上面计算的闵可夫斯基距离进行归一化处理，把其归一化到[0,1]这个区间中，因此相似度的最终计算结果如下式所示：

$\mathrm{Sim}(y_i\left(t\right),y_{\mathrm{ri}}\left(t\right),q)=1-\frac{{\left(\underset{i=1}{\overset{m}{\mathrm{\&Sigma;}}}{w}_i{|{\mathrm{re}}_i-{\mathrm{re}}_{\mathrm{ri}}|}^q\right)}^{\frac{1}{q}}}{\sqrt{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{{\mathrm{re}}_i}^2}+\sqrt{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{{\mathrm{re}}_{\mathrm{ri}}}^2}}$

其中q的取值根据用户自己的需求定义。

的行为输出序列y_i(t)＝(re₁,re₂.........re_n)，以及设群体恶意行为特征集合{m_r1(t),m_r2(t).......m_rn(t)}，其中ym_i(t)＝(mre₁,mre₂.......mre_n)

${\mathrm{Sim}}_{\mathrm{Dice}}(y_i\left(t\right),m_{\mathrm{ri}}\left(t\right))=\frac{2\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{\mathrm{re}}_i\&times;{\mathrm{mre}}_{\mathrm{ri}}}{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{{\mathrm{re}}_i}^2+\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{{\mathrm{mre}}_{\mathrm{ri}}}^2}$

如果一个用户的行为符合群体行为规则，但是不符合个体行为预期，此时就要启动对用户行为的直接可信评估，对用户行为的直接可信评估的是确认用户的行为是否为恶意的行为，直接信任评估包括以下作用：(1)当新用户进入一个群体的时候，此时该用户需要建立个体可信行为特征库，需要对可信行为进行直接信任评估；(2)直接信任评估主要是针对用户当前行为进行可信评，可以进一步确认该行为是否是可信行为。

给定一个用户行为συ＝(χο,αν,πε,σκ,Λε,πα)，根据行为序列的分量，可以定义4类评估函数：(1)行为客体评估函数；(2)行为上下文环境评估函数；(3)行为目的评估函数；(4)行为操作序列评估函数；分别描述如下：

1、行为客体评估函数

给定αν＝(o₁,o₂......o_n)，由于访问不同客体的需要不同的权限，访问不同客体所需要的权限值为p₁,p₂....p_m，其中p_i∈[0,1]，则将函数T_o＝EO(αν)定义为对行为客体的直接评估函数，设用户实际拥有的权限为p_u，则

$\mathrm{MO}\left(\mathrm{\&alpha;v}\right)=\frac{1}{m}\underset{i=1}{\overset{m}{\mathrm{\&Sigma;}}}\frac{|p_i-p_u|}{p_i+p_u}i=\mathrm{1,2}......m$

2、行为上下文环境评估函数

给定πε＝(HT,CP,PR,PCR)，用户行为发生的上下文环境包括者的N个进程的实时状态以及通信协议的执行状况，由于恶意的进程存在一些共性，比如木马企图获取更高的访问权限，病毒的复制以及对文件的破坏，蠕虫的网络攻击以及拒绝服务攻击的特性等，同时恶意进程执行过程中，通信协议也会出现异常执行状态，例如某些端口的非正常访问，已禁止的通信协议的执行，例如远程协助的突然运行等。上下文环境的度量主要度量行为发生环境的恶意指数，用Malice[i]表示每一个进程的恶意指数，设用户设定的权限集合为p_u，

Malice[i]是一个四元组，Malice[i]＝{ep,p_u,np,obn}，其中ep表示进程试图获取的权限，pr_i为用户本来的权限，np表示进程试图扫描其没有权限访问端口的次数，obn表示进程试图越权访问的主客体对象集的个数。

定义MP为进程度量函数,其描述如下：

$\mathrm{MP}\left(\mathrm{PR}\right)=\left|\right|\mathrm{malice}\left[i\right]\left|\right|=\sqrt{{(\mathrm{ep}-{\mathrm{pr}}_i)}^2+{\mathrm{np}}^2+{\mathrm{obn}}^2},$

进行归一化之后为：

$\mathrm{MP}\left(\mathrm{PR}\right)=\frac{\left|\right|\mathrm{malic}\left[i\right]\left|\right|}{{\mathrm{ep}}^2+{{\mathrm{pr}}_i}^2+{\mathrm{np}}^2+{\mathrm{obn}}^2}$

设用户安全策略允许运行的通信协议{c₁,c₂......c_n}，CP＝{cp₁,cp₂......cp_n}

给定PCR_bt＝{PCR_bt[1],PCR_bt[2],...........PCR_bt[n]}为网络请求者的基础可信配置度量元素的PCR值，网络服务者保存的访问请求者预期配置为P＝{Pol[1],Pol[2]..........Pol[n]}，定义MR为PCR度量函数,描述如下：

因此用户上下文环境评估函数为：

其中

其中和为用户定义的权重系数

3、行为目的评估函数

给定σκ＝(s₁,s₂......s_n,π₁,π₂...π_m)，设用户的权限为p_u，则可以确认以该权限得到服务和资源的数量为n'，为对行为目的的评估函数为：

$\mathrm{MI}\left(\mathrm{\&sigma;\&kappa;}\right)=\frac{n^{\&prime;}}{n+m}$

4、行为动作序列评估函数

给定用户行为操作序列Λε＝(a₁,a₂.......a_n)，设完成这些操作需要的权限集合为{p₁,p₂....p_n}，p_i∈[0,1]，设用户的权限为p_u，为对行为动作序列直接评估函数如下：

5、行为直接信任评估函数

给定各个行为元素评估函数的权重α₁,α₂,α₃,α₄，其中α₁+α₂+α₃+α₄＝1，行为直接信任评估函数为：

Γ(συ)＝α₁MO(αν)+α₂ME(πε)+α₃MI(σκ)+α₄MA(Λε)

根据上述公式可以得出行为直接信任评估函数的数学表达式：

用户对行为的评估是根据不同的时间以及上下文环境而变化的，因此直接信任评估交互发生历史时间的推移而衰减，可以认为行为直接信任度会随着时间间隔的长短而发生衰减。如果当前行为和已发生的类似历史行为的时间间隔△T>Th，那么之前的历史行为信任度可以被忽略，系统认为当前的行为是全新的行为，并需要重新进行信任评估；如果时间间隔△T<Th，则可以参照之前历史行为的信任度。所以加入时间衰退之后的直接信任评估函数如下：

$\mathrm{\&Gamma;}\left(\mathrm{\&sigma;\&upsi;}\right)=\left\{\begin{array}{cc}\mathrm{\&Gamma;}\left(\mathrm{\&sigma;\&upsi;}\right)={\mathrm{\&alpha;}}_1\mathrm{MO}\left(\mathrm{\&alpha;v}\right)+{\mathrm{\&alpha;}}_2\mathrm{ME}\left(\mathrm{\&pi;\&epsiv;}\right)+{\mathrm{\&alpha;}}_3\mathrm{MI}\left(\mathrm{\&sigma;\&kappa;}\right)+{\mathrm{\&alpha;}}_4\mathrm{MA}\left(\mathrm{\&Lambda;\&epsiv;}\right)& \mathrm{\&Delta;T}=0\mathrm{or\&Delta;T}>\mathrm{Th}\\ \frac{\mathrm{Th}-\mathrm{\&Delta;T}}{\mathrm{Th}}\&times;{\mathrm{\&Gamma;}}_{i-1}\left(\mathrm{\&sigma;\&upsi;}\right)+\frac{\mathrm{\&Delta;T}}{\mathrm{Th}}\&times;({\mathrm{\&alpha;}}_1\mathrm{MO}\left(\mathrm{\&alpha;v}\right)+{\mathrm{\&alpha;}}_2\mathrm{ME}\left(\mathrm{\&pi;\&epsiv;}\right)+{\mathrm{\&alpha;}}_3\mathrm{MI}\left(\mathrm{\&sigma;\&kappa;}\right)+{\mathrm{\&alpha;}}_4\mathrm{MA}\left(\mathrm{\&Lambda;\&epsiv;}\right))& 0<\mathrm{\&Delta;T}\&le;\mathrm{Th}\end{array}\right.$

4、行为反馈

对可信群体中的成员经过行为反馈之后的信任等级分为3级，分别为可信、临界不可信和待定。行为反馈之后的信任值定义为E'，E'的具体计算过程如下：

设X＝{x₁,x₂,....x_n}为可信群体中实体集合，可信群体根据角色不同分为两类实体：一类是群管理员、一类是普通的用户。群管理员负责对普通用户的行为进行监控和反馈，设群体管理员为GM，设E'(x_i,GM,l,t)为对用户行为反馈之后的信任程度。其中l为群管理员对用户完成行为反馈后的信任等级；用户行为的时间窗是t，用户行为时间窗可以提高行为反馈的准确性和动态适应性，需要考察用户一段时间内用户的行为。时间窗反映了用户的信任度具有随时间变化而衰减的特性。

E'(x_i,GM,l,t)包含两个部分，对用户行为的评估后的信任值，以及接收用户行为为可信行为的风险值。用户的信任和风险是紧密联系的，一个网络行为是否可信需综合考虑该行为对系统带来的潜在安全威胁和风险，因此E'(x_i,GM,l,t)可以描述为：

$E^{\&prime;}(x_i,\mathrm{GM},l,t)=\frac{{\mathrm{\&omega;}}_1}{n}\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}\mathrm{\&Gamma;}(x_i,{\mathrm{\&sigma;\&upsi;}}_i)+\frac{{\mathrm{\&omega;}}_2}{n}\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}R(x_i,{\mathrm{\&sigma;\&upsi;}}_i)$

其中Γ(x_i,συ)代表对用户x_i一次行为συ_i的可信度量值，表明在t时间内x_i的n个行为，R(x_i,συ_i)表示对x_i一次行为συ的风险评估值，表明在t时间内x_i的n个行为。

考虑到对用户行为的度量是随时间衰退的，由于对t时间内x_i的n个行为的可信度量值为{e₁,e₂.......e_n}，设e₁为距离现在最久的一次行为的度量值，则Γ(x_i,συ_i)可以定义为：

$\mathrm{\&Gamma;}(x_i,{\mathrm{\&sigma;\&upsi;}}_i)=\left\{\begin{array}{cc}{e}_{i}g\left(i\right)/i& i\&NotEqual;0\\ 0& i=0\end{array}\right.$

衰减函数为g(i)，g(i)∈[0,1]，g(i)可以对不同时刻的可信度量合理加权。根据行为随时间衰减的规律，新发生的行为应该具有更多的权重，衰减函数可以定义如下：

$g\left(i\right)=\left\{\begin{array}{cc}1& i=n\\ g(i-1)=g\left(i\right)-\frac{1}{n},& l\&le;i\&le;n\end{array}\right.$

衰减函数与时间窗口反映了用户的可信度随时问的变化而衰减的属性，衰减函数与时间窗口提高了对用户信任量化的准确度。

信任和风险息息相关，信任只存在于具有不确定性的风险环境当中，信任和风险的关系是相互交织的。比如商务交易、人际交往中没有风险，即人的交际行为确定的时候，信任也没有存在的必要，因此风险是信任存在的前提。本发明从用户的信任等级的角度定义风险，根据行为直接信任的数值可以确定信任等级，设基本的信任阈值为t，信任等级函数可以定义为：

$\mathrm{\&phi;}\left(E^{\&prime;}\right)=\left\{\begin{array}{cc}{T}_1& 0\&le;E^{\&prime;}\&le;t_1\\ T_2& t_1\&le;E^{\&prime;}\&le;t_2\\ T_3& t_2\&le;E^{\&prime;}\&le;1\end{array}\right.$ 其中(t₁,t₂.t₃)为行为反馈3种信任阈值

因此如果一个用户进过行为反馈，R(x_i,συ_i)可以定义为：

R(x_i,συ_i)＝φ(E')(1-e_i)

由式R(x_i,συ_i)和式Γ(x_i,συ_i)可以看出，E'(x_i,GM,l,t)有两个维度：(1)群体中恶意实体对其他用户可能的攻击行为的概率，用户的可信等级越高，恶意行为的概率就低，反之，则恶意行为的概率就越高；(2)E'(x_i,GM,l,t)与用户的可信等级提供的有关，用户可信等级的越高，可能的风险就越大。R(x_i,συ_i)与Γ(x_i,συ_i)是成反比的，这由E'(x_i,GM,l,t)计算用户行为反馈的数值决定的。

本方案提出的度量方法是一种自适应的度量方法，根据不同的网络环境调整度量的参数以及行为预测过程。例如，对于生产型信息系统的网络环境和通用的网络环境，采用的度量参数和行为预测过程有着较大的差异，对于环境噪声严重的网络环境和环境稳定的网络环境采取的行为预测策略亦有不同。

尽管为示例目的，已经公开了本发明的优选实施例，本领域的技术人员将意识到各种改进、增加和取代也是可能的，因此，本发明的范围应当不限于上述实施例。

Claims (6)

1.一种基于行为预测控制的可信网络群体构建方法，其特征在于，包括：

步骤10，对用户终端进行身份度量；不能通过身份度量的用户终端拒绝接入；

步骤20，对通过身份度量的用户终端进行状态度量；不能通过状态度量的用户终端拒绝接入；

步骤30，对通过状态度量的用户终端进行行为度量；不能通过行为度量的用户终端拒绝接入。

2.如权利要求1所述的基于行为预测控制的可信网络群体构建方法，其特征在于，对用户终端进行身份度量，具体包括：

获取用户终端的身份和权限信息；

判断用户终端的身份和权限信息与预先保存的身份和权限信息是否相同，如果是则通过身份度量，将用户终端纳入到可信群体的待考察的用户组中，进入状态度量；如果否，则认为该用户终端不可信，拒绝接入。

3.如权利要求1或2所述的基于行为预测控制的可信网络群体构建方法，其特征在于，用户终端状态度量包括基础状态度量和实时状态度量。

4.如权利要求3所述的基于行为预测控制的可信网络群体构建方法，其特征在于，基础状态度量包括：

获取用户终端的操作系统内核摘要，软硬件摘要值；

判断获取的摘要值与预先保存的摘要值是否一致，如果一致则进行实时状态度量；如果不一致，则判定该用户终端不可信，拒绝用户终端接入。

5.如权利要求4所述的基于行为预测控制的可信网络群体构建方法，其特征在于，

实时状态度量通过对整个可信群体的即时快照进行度量。

6.如权利要求1所述的基于行为预测控制的可信网络群体构建方法，其特征在于，用户终端进行行为度量，包括：

用户终端的输出结果和群体行为规则库进行比对，判断用户行为是否为非恶意行为，如果是，则该用户终端不可信，禁止接入；如果否，则将用户终端的输出结果与个体行为预期进行匹配，如果用户行为符合用户终端的预期，则判定该用户终端是可信的；如果用户行为不符合用户终端的预期，则进一步评估用户终端的行为恶意指数，判断用户终端行为的恶意指数是否大于系统规定的阈值，如果是，则判定该行为是非可信行为，将被纳入到群体行为特征库中，判定该用户终端不可信，拒绝用户终端接入；如果否，则该行为被视为可信，将该行为纳入到用户个体可信行为特征库中，判定该用户终端信。