CN111953679A

CN111953679A - 内网用户行为度量方法及基于零信任的网络访问控制方法

Info

Publication number: CN111953679A
Application number: CN202010802587.3A
Authority: CN
Inventors: 胡浩; 李炳龙; 张玉臣; 潘瑞萱; 程相然; 徐潇雨; 孙澄; 刘健; 吴疆
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2020-08-11
Filing date: 2020-08-11
Publication date: 2020-11-17

Abstract

本发明属于网络安全技术领域，特别涉及一种内网用户行为度量方法及基于零信任的网络访问控制方法，度量过程中：对用户信任值度量指标划分若干等级区间，并设置相应数目的标准正态信任云；设定滑动窗口和滑动窗口时间周期，依据用户行为数据采集滑动窗口内数个时间周期度量指标实际值；将每一个度量指标进行分级并标准化；设置多个度量指标正态信任子云，结合度量指标正态信任子云获取度量指标实际正态信任云；依据实际正态信任云与标准正态信任云的相似度，得到所度量用户行为的信任等级。本发明引入零信任对用户在网络中的行为周期性持续监测，提升网络主动防护性能，便于实际场景应用，具有较好的应用前景。

Description

内网用户行为度量方法及基于零信任的网络访问控制方法

技术领域

本发明属于网络安全技术领域，特别涉及一种网络用户行为信任值度量方法及基于零信任的网络访问控制方法。

背景技术

随着计算机网络的高速发展，网络攻击行为能够不受地域、边界以及国家管辖权的限制迅速地在全球蔓延，局部、本地、区域性的网络访问控制体系不具备应对和处置全球化、规模化的网络攻击的能力。信息系统在企业内部的使用越来越广泛和普遍，内部攻击行为具有很强的伪装性，这使得检测结果具有不确定性，对内网用户行为的度量具有较大难度。来自内部恶意人员的网络威胁成为很多政府、企业和组织面临的重要难题，内部威胁带来的损失往往比普通外部攻击更大，传统内网访问控制面临网络逐渐僵化、发展受到瓶颈、控制分布等问题，使互联网可持续发展问题日益严峻。单纯依赖带宽的扩容已经难以满足传统网络技术面临的难题，需对未来网络创新性网络体系结构的研究探索。近年来提出了一种新兴的网络架构软件定义网络(Software Defined Network，SDN)，SDN作为未来网络结构的创新性项目代表，引起了业界的广泛讨论与关注，并得到了高度的认可。SDN网络技术框架由数据转发、网络控制和服务应用等三层构成，其中负责三层间通信的南向接口、北向接口、东/西向接口。东/西接口实现不同SDN控制器的通信。南向接口负责控制器与底层数据处理层的通信，北向接口实现网络应用与控制器的通信。对于顶层应用程序开发者而言，SDN通过应用程序接口真正实现网络可编程。在该层可以使用基于REST的编程接口实现应用开发；这样的技术架构相对传统网络向公众开放了网络控制转发功能，从而使得网络控制变为可编程的模式，为SDN网络实施灵活、细粒度的网络存取控制提供了条件。

SDN作为新型网络结构，相比于传统网络，SDN网络将控制功能与数据转发功能分离，能更为灵活的控制网络流量。SDN网络体系结构主要由应用层、控制层、基础设施层组成。其中控制层是SDN网络最为核心的部分，主要由软件或硬件形式组成的控制器构成，控制器通过南向接口获取底层物理转发设备的信息，并指挥底层设备完成各种数据转发任务，同时向上通过北向接口为应用提供开放的编程接口。控制器的重要性使得其成为DDoS攻击的重点目标，若控制器受到攻击，极易造成单点失效，将导致SDN网络无法正常执行数据传输、策略更新等功能。因此，针对SDN网络控制层DDoS攻击防御的研究具有重大意义。目前针对SDN网络控制层面的DDoS攻击防御主要集中于利用路由动态更新策略实现对攻击流的负载均衡，以减少对网络的不良影响，存在整体防御效果不佳等问题。SDN的网络安全是其大范围应用推广的前提，而网络访问控制机制是当今保护网络安全的一个重要手段，利用SDN集中控制的优势，通过网络切片划分方法，基于针对不同应用场景服务质量需求的网络资源弹性控制机制、基于角色和切片等技术虽然为SDN网络资源存取控制提供了支撑，但避免不了已认证用户实施的隐蔽攻击行为。

发明内容

为此，本发明提供一种网络用户行为信任值度量方法及基于零信任的网络访问控制方法，引入零信任概念并采取“从不信任并始终验证”的访问控制策略，对用户在网络中的行为周期性持续监测，以提升SDN网络主动防护性能。

按照本发明所提供的设计方案，一种网络用户行为信任值度量方法，包含如下内容：

对用户信任值度量指标划分若干等级区间，并设置相应数目的标准正态信任云；设定滑动窗口和滑动窗口时间周期，依据用户行为数据采集滑动窗口内数个时间周期度量指标实际值；将每一个度量指标进行分级并标准化；设置多个度量指标正态信任子云，结合度量指标正态信任子云获取度量指标实际正态信任云；依据实际正态信任云与标准正态信任云的相似度，得到所度量用户行为的信任等级。

作为本发明网络用户行为信任值度量方法，进一步地，根据访问控制的安全强度需求及控制粒度将用户信任值划分为w个等级区间，利用正向正态云生成器生成w个标准正态信任云，利用数字特征期望En、熵En和超熵He生成N个云滴(X_i，μ_i)，其中，X_i为有m个度量指标的样本点，

En_i为以En为期望值、He²为方差的高斯随机数；x_i表示论域中描述用户行为信任的度量指标，表示为以Ex为期望值、(En_i)²为方差的高斯随机数；直至每一个信任等级都生成N个云滴(X_i，μ_i)。

作为本发明网络用户行为信任值度量方法，进一步地，根据安全强度需求，将度量指标基于用户角色在第i个区间中度量值的最大最小值表示为(ai_min，ai_max)，数据标准化为信任值ε，表示为：ε＝ai_max+θ×(ai_max-ai_min)，θ为用户度量值满足区间数据个数占总度量数据个数的百分比。

作为本发明网络用户行为信任值度量方法，进一步地，针对标准化处理后的数据，运用逆向正态信任子云生成器，生成m个度量指标所对应的m个正态信任子云的期望、熵和超熵。

作为本发明网络用户行为信任值度量方法，进一步地，利用实际正态信任云合成器，输入m个度量指标正态信任子云的期望、熵、超熵S_C(Ex_i，En_i，He_i)，以及各度量指标的权重γ_i，得到实际正态信任云的期望、熵、超熵S_A(Ex，En，He)；将实际正态信任云与标准正态信任云进行相似度比较，将相似度最高的标准正态云所表示的信任等级作为用户的信任等级。

作为本发明网络用户行为信任值度量方法，进一步地，用户信任值度量指标包含：通过采集用户在网络中收发数据包流量特性来分辨可疑行为的用户流量可信度指标，通过用户访问资源行为特性来记录可疑行为的资源访问行为可信度量指标，及通过选取攻击行为指标来辨析攻击行为的安全特性行为可信度量指标。

进一步地，本发明还提供一种基于零信任的网络访问控制方法，用于对用户在网络中的行为周期特性进行持续监测来控制其访问行为，包含如下内容：

根据持续监测到的用户行为数据，利用上述的网络用户行为信任值度量方法来度量用户的信任值；

当用户信任值的信任等级降到不可信任阈值时，通过网络控制器下发流表来阻止用户继续访问网络。

作为本发明基于零信任的网络访问控制方法，进一步地，还包含如下内容：用户尝试访问网络资源时，其身份认证数据通过接入认证设备进行身份认证，针对身份认证通过的用户，根据其用户行为数据来度量用户的信任值，以控制用户访问网络的行为；针对身份认证失败的用户，则直接拒绝其访问服务资源行为的请求。

作为本发明基于零信任的网络访问控制方法，进一步地，通过设置时间周期和滑动窗口大小，对用户行为信任值进行持续度量；并依据所度量用户信任等级，通过下发流表方式对用户访问资源的权限进行动态调整，以全时全域维护网络安全。

本发明的有益效果：

本发明引入“零信任”的安全概念构建SDN网络访问控制，采取“从不信任并始终验证”的立场，对用户在网络中的行为周期性持续监测，根据其行为数据，度量用户的信任值，当用户的信任等级降到不可信时，通过SDN控制器迅速下发流表，阻止其继续访问网络，对隐蔽内部攻击的识别更准确，实现对用户的分级访问控制，动态调整用户的访问权限，满足持续监控、持续验证、动态授权，最小权限的“零信任”原则，实现更细粒度的访问控制；基于云理论的内网用户行为度量，可将定性数据所反映的用户行为定量为某一信任等级，减少对用户正常行为的误判，通过零信任网络实现持续监控、持续验证、动态授权，最小权限的访问控制原则，能够更有效应对复杂的内部网络威胁，提升网络安全防护性能，具有较好的应用前景。

附图说明：

图1为实施例中用户信任等级度量流程示意；

图2为实施例中用户行为信任值度量指标体系示意；

图3为实施例中SDN网络三层体系架构示意；

图4为实施例中SDN网络访问控制框架示意；

图5为实施例中SDN网络访问控制组件功能特征示意；

图6为实施例中标准正态信任云图示意；

图7为实施例中实际正态信任云图示意。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

目前零信任是一个安全性概念，提供了用户从任何地方以任何方式访问任何地方的数据的一致性安全策略，在访问服务和数据时，采取“从不信任并始终验证”的立场，无论源于何处的请求位置，都需要持续授权，其有利于消除对数据和服务的非授权访问，以及使访问控制的实施尽可能精细。即基于用户行为进行持续的监控与信任度量，动态实施访问决策，但零信任目前还停留在概念层面，少有具体落地的方法及系统出现。为此，本发明实施例，提供一种网络用户行为信任值度量方法，参见图1所示，包含如下内容：对用户信任值度量指标划分若干等级区间，并设置相应数目的标准正态信任云；设定滑动窗口和滑动窗口时间周期，依据用户行为数据采集滑动窗口内数个时间周期度量指标实际值；将每一个度量指标进行分级并标准化；设置多个度量指标正态信任子云，结合度量指标正态信任子云获取度量指标实际正态信任云；依据实际正态信任云与标准正态信任云的相似度，得到所度量用户行为的信任等级。

基于用户行为零信任的访问控制，采用零信任思想来实现网络存取控制机制，采取“从不信任并始终验证”的访问控制策略，对用户在网络中的行为周期性持续监测，根据其行为数据，度量用户的信任值，当用户的信任等级降到不可信时，通过SDN控制器迅速下发流表，阻止其继续访问网络，实现基于流表的精准访问控制机制，提高SDN网络访问控制的细粒度。

作为本发明实施例中的网络用户行为信任值度量方法，进一步地，用户信任值度量指标包含：通过采集用户在网络中收发数据包流量特性来分辨可疑行为的用户流量可信度指标，通过用户访问资源行为特性来记录可疑行为的资源访问行为可信度量指标，及通过选取攻击行为指标来辨析攻击行为的安全特性行为可信度量指标。

结合SDN网络特点，分级设计更加全面的且更能够反应用户行为特征的度量指标。在SDN网络中的应用最广的南向协议——Openflow协议中的流表计数器，针对交换机中的每张流表、每个数据流、每个设备端口、每个转发队列进行维护，用于统计数据流量的相关信息：针对每张流表，统计当前活动的表项数、数据包查询次数、数据包匹配次数等；针对每个数据流，统计接收到的数据包数、字节数、数据流持续时间等；针对每个设备端口，除了统计接收到的数据包数、发送数据包数、接收字节数、发送字节数等指标之外，还可以对各种错误发生的次数进行统计；针对每个队列，统计发送的数据包数和字节数，还有发送时的溢出错误次数等。通过对流表计数器的度量信息进行收集，用于用户行为的信任度量。

参见图2所示，可将用户行为信任值度量指标分为三个部分：网络流量可信度量指标；资源访问行为可信度量指标；安全特性行为可信度量指标。其中，前两个部分的指标，用于信任度量代理对潜伏期长的隐蔽式攻击进行度量，包含了用户的可疑日常网络行为，评估信任等级后，根据信任等级进行资源的访问控制。而第三个部分度量指标交给IDS用于检测用户明显的攻击行为，并迅速拒绝其访问。其中：a)网络流量可信度量指标，主要通过采集用户在网络中收发数据包的流量特性，分辨出可疑行为，在对用户行为信任值进行度量，如APT攻击的潜伏攻击者，短时间内多次访问网络中资源。b)资源访问可信行为度量指标，主要通过用户在访问资源时的行为特性，对可疑行为进行记录，进而度量用户行为的可信度，如APT攻击，具有很强的潜伏性，虽然流量上难以识别，且安全行为并不异常，但通过资源访问可以发现异常，比如访问后台核心业务数据库。c)安全特性行为度量指标，主要选取能够反映明显攻击行为的指标，分辨出攻击行为，迅速禁止用户访问网络，如扫描嗅探攻击，向多个端口同时发送ping包，这种源主机异常行为具有明显攻击。

图2中，网络流量行为可信度量指标中，P1代表用户单位时间内发出畸形包的个数，P2代表用户单位时间内吞吐率异常的次数，P3代表用户单位时间内数据包平均字节数。资源访问行为可信度量指标R中，R1代表用户访问网络资源时失败的次数，R2代表用户在登录SDN网络时单位时间内登录失败的次数，R3代表用户单位时间内访问网络中被划分为敏感数据的次数，R4代表用户单位时间内登录地点偏离办公范围的次数，R5代表用户单位时间内访问时间偏离正常办公时间的次数。而安全特性行为可信度量指标依据IDS检测结果，选择能够反映典型攻击性的网络行为作为度量指标。

相较于现有的指标体系，本发明实施例中所构建的指标体系，分类明确，将隐蔽式攻击的度量指标从IDS度量指标中单另分离出来由行为信任度量代理度量，度量更细致全面，使后续的访问控制可以更加快速，控制粒度更细。相比于目前方法，本发明实施例可通过摒弃原有指标中存在重叠，不完全独立以及度量难度大的度量指标，可挑选融合更能反映用户隐蔽式攻击的指标，更容易量化度量，能够更准确的度量用户行为。

在构建完指标后，如何利用指标进行用户行为信任值的度量是一个难题；目前也提出了一些基于用户行为的信任评估度量方法：例如运用混合高斯模型对用户的行为进行评估，并利用马尔科夫模型对用户的信任值进行预测；运用机器学习中支持向量机的方法，对用户行为信任进行评估度量等，上述方法需要大量收集训练样本，但样本获取难度大；运用云模型结合聚类算法基于用户的行为对用户进行画像，但这种定性描述无法对指标进行量化；运用AHP算法对用户的行为进行评估；运用贝叶斯网络对用户的行为信任进行预测。上述成果大多侧重于对方法的描述，没有给出具体的度量指标。且由于用户的信任值属于社会工程学，上述的度量方法对于这一概念界定比较模糊，容易对用户正常行为进行误判，造成度量不够精确，访问控制的粒度不够细致。考虑虽然用户行为信任等级间界限模糊且用户行为具有很强的随机性，但是用户行为近似服从正态分布，因此本发明实施例中将正态云理论引入用户行为信任的度量。

正态云理论是某个定性概念与其定量表示之间的不确定性转换模型，它用一定的数字特征(期望，熵，超熵)描述定性概念的整体定量特性，把模糊性和随机性完全集成到一起，构成定性和定量相互间的映射，为定性与定量相结合的信息处理提供了有力手段，是处理模糊信息的有效工具。设U是信任隶属度的论域，C是一个定性的概念，表示U上的w个信任等级，x₁，x₂，...，x_m表示论域中描述各用户行为信任的度量指标，C所描述信任等级的信任隶属度用μ表示，是一组会趋于稳定的正态随机数，信任隶属度在U上的分布称为正态信任云，由元素(X_i，μ_i)组成，每一个元素称为一个云滴。每个正态信任云，具有三个数字特征(Ex，En，He)，Ex表示某个信任云的期望，是信任等级被量化后，最具代表性的典型样本。En表示某个信任云的熵，它不仅反映了某信任云中云滴的离散程度，同时反映了信任云中云滴的取值范围。He表示某个信任云的超熵，反映了某信任云整体在云图上的聚集程度。

作为本发明实施例中网络用户行为信任值度量方法，进一步地，根据访问控制的安全强度需求及控制粒度将用户信任值划分为w个等级区间，利用正向正态云生成器生成w个标准正态信任云，利用数字特征期望En、熵En和超熵He生成N个云滴(X_i，μ_i)，其中，X_i为有m个度量指标的样本点，

将大量监控数据反映的用户行为定性为信任等级时，从而实现用户异常行为定性分析到定量度量的转换。实施例中信任值分为w个区间，分别表示不同的信任等级，每个区间的最大值为ai_max，最小值为ai_min，首先根据访问控制的安全强度需求及控制粒度将信任值划分为w个等级可计算出w个标准正态信任云的期望、熵和超熵。

1.计算

2.计算

3.计算He_i＝ω (3)

然后运用正态云生成器生成w个标准正态信任云,利用w个信任等级的3个数字特征S_C(Ex，En，He)，生成N个云滴(X_i，μ_i)，其中X_i为有m个度量指标的样本点，直至每一个信任等级都生成N个云滴(X_i，μ_i)。

a.生成以En为期望值，He²为方差的一个高斯随机数En_i＝NORE(En，He²) (4)

c.计算

作为本发明实施例中网络用户行为信任值度量方法，进一步地，根据安全强度需求，将度量指标基于用户角色在第i个区间中度量值的最大最小值表示为(ai_min，ai_max)，数据标准化为信任值ε，表示为：

ε＝ai_max+θ×(ai_max-ai_min) (7)

θ为用户度量值满足区间数据个数占总度量数据个数的百分比，具体可定义如下：

运用此方法，在度量周期T内，用户行为就越可信，得分就越高。用户在度量周期内异常的比例越高，则信任值就越低。如某用户登录失败次数信任值值域为0-20，被划分为四个等级分别对应[0,5]、[5,10]、[10,15]、[15,20]这四个区间，若选取周期内的度量次数为100次，其中失败次数所对应的信任值在[0,5]50次，[5,10]25次，[10,15]15次，[15,20]10次，则标准量化后，用户在这个度量指标下各等级获得的信任值为：15.5、10.75、6.25、2.5。

作为本发明实施例中网络用户行为信任值度量方法，进一步地，针对标准化处理后的数据，运用逆向正态信任子云生成器，生成m个度量指标所对应的m个正态信任子云的期望、熵和超熵。其具体计算公式可表示如下：

1.计算

2.

3.

4.

作为本发明实施例中的网络用户行为信任值度量方法，进一步地，利用实际正态信任云合成器，输入m个度量指标正态信任子云的期望、熵、超熵S_C(Ex_i，En_i，He_i)，以及各度量指标的权重γ_i，得到实际正态信任云的期望、熵、超熵S_A(Ex，En，He)；将实际正态信任云与标准正态信任云进行相似度比较，将相似度最高的标准正态云所表示的信任等级作为用户的信任等级。各度量指标的权重γ_i，根据实际不同安全强度需求设定，

其中期望、熵、超熵的具体计算可表示如下：

进一步地，本发明实施例还提供一种基于零信任的网络访问控制方法，用于对用户在网络中的行为周期特性进行持续监测来控制其访问行为，包含如下内容：

SDN网络技术框架如下图3所示，由数据转发、网络控制和服务应用等三层构成.对于顶层应用程序开发者而言，SDN通过应用程序接口真正实现网络可编程。在该层可以使用基于REST的编程接口实现应用开发；这样的技术架构相对传统网络向公众开放了网络控制转发功能，从而使得网络控制变为可编程的模式，为SDN网络实施灵活、细粒度的网络存取控制提供了条件。本发明实施例中，引入零信任概念，采取“从不信任并始终验证”的访问控制策略，对用户在网络中的行为周期性持续监测，根据其行为数据，度量用户的信任值，当用户的信任等级降到不可信时，通过SDN控制器迅速下发流表，阻止其继续访问网络。

作为本发明实施例中基于零信任的网络访问控制方法，进一步地，还包含如下内容：用户尝试访问网络资源时，其身份认证数据通过接入认证设备进行身份认证，针对身份认证通过的用户，根据其用户行为数据来度量用户的信任值，以控制用户访问网络的行为；针对身份认证失败的用户，则直接拒绝其访问服务资源行为的请求。进一步地，通过设置时间周期和滑动窗口大小，对用户行为信任值进行持续度量；并依据所度量用户信任等级，通过下发流表方式对用户访问资源的权限进行动态调整，以全时全域维护网络安全。

进一步地，本发明实施例还提供一种基于零信任的网络访问控制系统，用于对用户在网络中的行为周期特性进行持续监测来控制其访问行为，包含：

SDN控制器，用于网络数据集中控制转发，并通过下发流表方式控制用户访问行为；

监控组件，用于实时监控SDN控制器流表并解析存储用户行为流量数据；

行为信任度量代理，用于利用上述的网络用户行为信任值度量方法来对用户的行为信任等级进行周期性度量，并根据所度量的用户信任等级进行访问决策，将决策数据包发送给SDN控制器；

及IDS入侵检测模块，用于识别网络恶意攻击并向SDN控制器发送告警信息，并通过SDN交换机来获取并存储网络中用于恶意攻击识别的度量数据。

参见图4所示的访问控制模型的应用系统架构，由用户端、接入认证设备、SDN控制器、信任值度量代理、访问决策代理、信任数据库、IDS、异常行为感知数据库组成。伴随着网络的不断发展，网络安全问题的解决也不断面临着更大的挑战。除了来自网络外部的攻击，网络内部，也可能遭受不法分子的攻击。其中，大致可以分为两大类，一类是具有明显攻击意图的例如扫描嗅探攻击，洪泛攻击等；另一类，则是更隐蔽的“放长线，钓大鱼”的攻击，如APT攻击。实施这类攻击的违法分子通常会通过盗取合法用户的账号密码进入网络，然后潜伏在其中，做出一系列可疑的行为，偏离日常的行为轨迹，但攻击意图不明显。本发明针对这两类攻击，由IDS模块对第一类攻击进行识别，内网用户行为度量模块对第二类攻击进行识别然后分级实行访问控制。详细设计的网络组件如图5所示，其中：

接入认证设备：是用户入网后的第一个可信认证关卡，是支持802.1X认证协议的服务设备，充当用户与RADIUS认证服务器的代理角色。主要对用户的账号及密码以及登录主机进行认证。

RADIUS服务器：是认证技术框架中实际对用户身份及其使用主机进行验证的网络设备，其中设置了认证服务中间件与认证授权数据库。

SDN控制器：是集中控制数据转发的主体，其中包括授权访问中间件、监控组件。

授权访问中间件：接收来自访问决策代理的决策与IDS的入侵检测警告，通过下发流表的方式，快速授权或禁止用户对特定资源的访问。

监控组件：由分析引擎和数据收集器组成，实时监控SDN控制器中流表的计数器字段并解析得到用户行为流量数据存储在数据库中。

访问请求转发中间件：当用户身份认证成功后，将用户的访问请求转发给信任度量代理，进一步度量其信任值，以便实施访问决策。

数据包解析中间件：解析决策数据包及IDS警告数据包，进行下一步的流表下发。

行为信任度量代理：是对用户的行为信任进行度量的设备，其中设有基于内网用户行为度量的中间件，主要是识别内网中潜伏期长的高隐蔽性的如APT攻击等网络攻击行为。通过信任度量数据库中实时监测的度量数据对用户的行为信任等级进行周期性度量。

基于行为信任的访问决策代理：是根据所度量的用户信任等级进行访问决策的设备，设有访问决策中间件，其中设有根据不同安全强度需求的网络设计不同的基于用户信任等级、角色相关的决策函数。在做出决策后，将决策数据包发送给SDN控制器进行流表下发。

信任度量数据库：里面存有用户的历史行为度量数据，在用户初次登录网络时，行为度量代理将基于数据库中的历史行为度量数据评估用户的信任等级。

IDS入侵检测系统：快速识别潜伏期短的明显网络恶意攻击的设备。其拥有自己独立的度量机制，主要识别明显的网络攻击行为，如扫描探测攻击，口令探测攻击，洪泛攻击等。在识别攻击后，将快速向SDN控制器发出警告。

IDS感知数据库：通过SDN交换机，获取并存储网络中用于IDS的度量数据。

实施例中的用户信任等级度量算法可设计为如下内容：

基于图5所示的SDN访问控制网络架构，基于内网用户行为度量的访问控制流程步骤可设计如下：

其中，步骤7-11会根据设置的时间周期与滑动窗口的大小，对用户行为的信任值进行持续度量，决策代理根据所度量的用户信任等级，通过告知SDN控制器，迅速下发流表的方式，对用户访问资源的权限进行动态调整，全时全域维护网络安全。这一控制流程严格遵循了零信任网络持续监控、持续验证的原则。

决策代理中的访问决策规则可以根据网络所需的安全强度进行设置，以用户被评估的信任等级以及用户的登录角色等作为决策中的要素。不同角色在不同信任等级下，对资源的访问权限是不同的。例如企业中某用户的信任等级被评估为一般信任等级，那么基于它角色所授予的初始资源访问权限将会向下调整，在原先的访问权限基础上禁止其对密级较高的资源的访问，但不完全禁止其对网络的访问，在其信任等级重新被评估为高可信时，恢复其原先基于角色所赋予的权限，而当用户被评估为不可信的等级时，将拒绝用户对网络的任何访问请求，符合零信任网络中动态调整与最小权限规则。

在访问控制方面，本发明实施例中运用SDN网络集中控制的特点来快速调整用户访问资源的权限，实施访问控制。相比于传统网络匹配IP和MAC的转发数据包的方式，SDN网络中的数据包的转发通过对SDN交换机中流表的匹配实现转发，而SDN交换机中的流表通过SDN控制器进行集中下发。SDN控制器与SDN交换机最常用的南向协议是Openflow协议，Openflow流表1.0版本中主要包括包头域、计数器、动作三个部分。包头域包括所有传统2层到4层的寻址信息(MAC、IP、PORT)；计数器主要对每张表、每个端口、每个流进行计数(实现流量可视化)；动作是对匹配到的流进行处理，包括了必备动作如转发和丢弃与可选动作可选的转发、排队、修改域等动作，后续版本对其进行了完善，将动作修改为指令，且可以实现指令集的执行，即一次性执行一组指令序列。SDN控制器运用Flow-Mod消息用来添加、删除、修改Openflow交换机的流表信息，Flow-Mod消息共有五种类型：ADD、DELETE、DELETE-STRICT、MODIFY、MODIFY-STRICT。

ADD	用来添加一条新的流表项
		DELETE	用来删除所有符合一定条件的流表项
DELETE-STRICT	用来删除某一条指定的流表项
		MODIFY	用来修改所有符合一定条件的流表项
MODIFY-STRICT	修改某一条指定的流表项

当决策代理根据用户的行为信任、角色等因素做出访问决策后，SDN控制器将向SDN交换机发送Flow-Mod类型的消息，对交换机中的流表进行修改，进而控制数据的转发。

在实际应用场景中，例如在一个企业网络中，当一个用户尝试访问网络时，要先经过接入认证设备的身份认证，如果身份认证失败，则拒绝访问服务，如果身份认证通过，则由用户信任度量代理，进行用户信任等级度量，信任度量代理将用户的信任等级结果交给决策代理进行进一步的资源访问控制。根据决策代理中的决策函数，实施决策，将决策结果通知SDN控制器，控制器根据决策结果下发访问流表，迅速控制调整用户在网络中对资源的访问权限。

其中，决策可以根据用户的角色、该角色下用户的信任等级及资源的密级实现细粒度的访问控制，如企业中人力资源部门的管理者在高信任等级下可以访问权限范围内的所有资源，而在一般信任的信任等级下禁止访问其所有权限中的高密级资源，在低信任等级下禁止访问网络。

一般来说，合法用户的实际行为中，会因为一些外界突发因素或自身的操作失误而产生一些偏离点，这使其计算出的信任值近似服从正态分布，隐蔽式攻击对网络性能的危害程度较小，主要是对网络中数据的隐蔽窃取，需要做的主要是实时监督并控制器访问资源的权限，防止其长期窃取所造成的严重危害。考虑到用户行为信任值这一概念具有模糊性，不易量化，本发明在将用户的度量数据由定量转化为定性的过程中，利用计算相似度的计算方式，计算出实际信任云与标准信任云的相似度，挑选最为相似的标准信任云的等级作为用户的等级，对其实行分级的访问控制，动态调整用户的访问权限，故所提出的基于云理论的用户行为信任度量方法对隐蔽式攻击的识别更准确，控制粒度更细致。

本案发明实施例中，基于云理论的内网用户行为度量，将定性数据所反映的用户行为定量为某一信任等级，减少对用户正常行为的误判，通过零信任网络实现持续监控、持续验证、动态授权，最小权限的访问控制原则，能够更有效应对复杂的内部网络威胁。

为验证本案实施例中技术方案的有效性，下面结合具体数据做进一步解释说明：

选取MIT林肯实验室DARPA2000数据集中的日志中某用户在网络中所选取时间周期内的连续400条监控数据作为实验样本，运用本案实施例中所提出的度量指标进行数据采集。实验平台运用Intel(R)Core(TM)i5 CPU,8GB内存，操作系统为Windows 10的PC机，在MATLAB环境下进行仿真实验。

(1)数据预处理

①根据实际情况及安全强度需求选取度量周期后，根据所设计的度量指标对SDN网络中的用户行为进行采集。

②将所采集的数据按照公式(7)进行量化与标准化，量化后的数值越大表示用户行为越可信，下面对所设计的度量指标中，某用户单位时间内登录地点偏离次数的标准化进行举例：统计得到时间窗口内对用户度量的400次中高度偏离80次，正常偏离120次，不偏离200次，分别对应的得分区间为[0,2],[2-6]和[6,10]，因此计算出的信任值为：0.4、5.2、8。

③定义信任区间，将信任取值在[0,10]内，划分为3个等级[0,3]、[3,7]、[7,10]，对应于低信任、一般可信、高可信。

(2)仿真实验步骤

①利用逆向正态云生成器生成标准正态信任云C1(0,1,0.4)、C2(5,1.33,0.4)、C3(10,1,0.4)，如图6所示；

②将标准量化后的数据利用公式(8)-(11)生成3个正态信任子云；

③利用公式(12)，生成该用户的实际正态信任云，如图7所示。

图7中，浅灰色的部分表示根据输入的用户度量数据，利用逆向正态云生成器生成的实际正态信任云的云图，深灰色部分表示根据设置的信任等级，利用正向正态云生成器生成的标准正态信任云的云图。

①云的期望Ex(Expected value)，云滴在论域空间的分布期望，就是最能代表定性概念的点，也是这个概念量化的最典型样本，在图中表现为每个云的顶点。

②熵En(Entropy)，定性概念的不确定性度量，由概念的随机性和模糊性共同决定。一方面En是定性概念随机性的度量，反映了能够代表这个定性概念的云滴的离散程度；另一方面又是定性概念亦此亦彼性的度量，反映了论域空间中可被概念接受的云滴的取值范围。在图中表现为每朵云上点的聚集程度。

③超熵He(Hyper entropy)，超熵是熵的不确定性的度量，即是熵的熵，由熵的随机性和模糊性共同决定。在图中表现为云的宽广度。

④根据用户信任等级度量算法计算实际正态信任云与标准正态信任云的相似度，度量信任等级：

表1信任云相似度计算

因此由用户信任等级度量算法可得，该用户属于一般信任等级。

本实验预期结果与仿真实验的结果相同，因此，本案实施例中提出的利用云理论进行用户行为可信度量的方法是可行的。

一般来说，合法用户的实际行为中，会因为一些外界突发因素或自身的操作失误而产生一些偏离点，这使其计算出的信任值近似服从正态分布，隐蔽式攻击对网络性能的危害程度较小，主要是对网络中数据的隐蔽窃取，需要做的主要是实时监督并控制器访问资源的权限，防止其长期窃取所造成的严重危害。而且用户行为信任度这一概念具有模糊性，不好下结论。考虑到这些，本案实施例中在将用户的度量数据由定量转化为定性的过程中，利用计算相似度的计算方式，计算出实际信任云与标准信任云的相似度，挑选最为相似的标准信任云的等级作为用户的等级，对其实行分级的访问控制，动态调整用户的访问权限。故本案实施例所提出的基于云理论的用户行为信任度量方法对隐蔽式攻击的识别更准确，控制粒度更细致。

表2与现有研究成果对比分析表

通过上表中各个要素的对比，可以看出本案申请实施例中利用SDN网络集中控制的优势更有利于持续度量机制的实现与用户权限基于信任度的动态调整。运用云理论作为度量方式，更加适合对基于社会工程学的用户行为信任的度量，减少了对用户日常失误操作的误判。将已知明显攻击的度量如DDOS攻击与隐蔽式攻击的度量如APT攻击明显区分，根据IDS实时监测与实时度量的用户信任等级的变化，分级调整用户对网络中资源的访问权限，使控制粒度更细。同时在网络中零信任的概念的应用了，增加了网络访问控制模型结构设计的合理性。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

基于上述的内容，本发明实施例还提供一种计算机可读存储介质设备，其上存储有被处理器运行的计算机程序，所述计算机程序用于执行上述的方法。

基于上述的内容，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的系统。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述系统实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述系统实施例中相应内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述系统实施例中的对应过程，在此不再赘述。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和系统，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种内网用户行为度量方法，其特征在于，包含如下内容：

对用户信任值度量指标划分若干等级区间，并设置相应数目的标准正态信任云；

设定滑动窗口和滑动窗口时间周期，依据用户行为数据采集滑动窗口内数个时间周期度量指标实际值；将每一个度量指标进行分级并标准化；

设置多个度量指标正态信任子云，结合度量指标正态信任子云获取度量指标实际正态信任云；

依据实际正态信任云与标准正态信任云的相似度，得到所度量用户行为的信任等级。

2.根据权利要求1所述的内网用户行为度量方法，其特征在于，根据访问控制的安全强度需求及控制粒度将用户信任值划分为w个等级区间，利用正向正态云生成器生成w个标准正态信任云，利用数字特征期望En、熵En和超熵He生成N个云滴(X_i，μ_i)，其中，X_i为有m个度量指标的样本点，

3.根据权利要求1所述的内网用户行为度量方法，其特征在于，根据安全强度需求，将度量指标基于用户角色在第i个区间中度量值的最大最小值表示为(ai_min，ai_max)，数据标准化为信任值ε，表示为：ε＝ai_max+θ×(ai_max-ai_min)，θ为用户度量值满足区间数据个数占总度量数据个数的百分比。

4.根据权利要求1所述的内网用户行为度量方法，其特征在于，针对标准化处理后的数据，运用逆向正态信任子云生成器，生成m个度量指标所对应的m个正态信任子云的期望、熵和超熵。

5.根据权利要求4所述的内网用户行为度量方法，其特征在于，利用实际正态信任云合成器，输入m个度量指标正态信任子云的期望、熵、超熵S_C(Ex_i，En_i，He_i)，以及各度量指标的权重γ_i，得到实际正态信任云的期望、熵、超熵S_A(Ex，En，He)；将实际正态信任云与标准正态信任云进行相似度比较，将相似度最高的标准正态云所表示的信任等级作为用户的信任等级。

6.根据权利要求1所述的内网用户行为度量方法，其特征在于，用户信任值度量指标包含：通过采集用户在网络中收发数据包流量特性来分辨可疑行为的用户流量可信度指标，通过用户访问资源行为特性来记录可疑行为的资源访问行为可信度量指标，及通过选取攻击行为指标来辨析攻击行为的安全特性行为可信度量指标。

7.一种基于零信任的网络访问控制方法，用于对用户在网络中的行为周期特性进行持续监测来控制其访问行为，其特征在于，包含如下内容：

根据持续监测到的用户行为数据，利用权利要求1所述的内网用户行为度量方法来度量用户的信任值；

8.根据权利要求7所述的基于零信任的网络访问控制方法，其特征在于，还包含如下内容：用户尝试访问网络资源时，其身份认证数据通过接入认证设备进行身份认证，针对身份认证通过的用户，根据其用户行为数据来度量用户的信任值，以控制用户访问网络的行为；针对身份认证失败的用户，则直接拒绝其访问服务资源行为的请求。

9.根据权利要求7所述的基于零信任的网络访问控制方法，其特征在于，通过设置时间周期和滑动窗口大小，对用户行为信任值进行持续度量；并依据所度量用户信任等级，通过下发流表方式对用户访问资源的权限进行动态调整，以全时全域维护网络安全。

10.一种计算机可读存储介质设备，其上存储有被处理器运行的计算机程序，所述计算机程序用于执行权利要求1～6任一项所述的方法。