CN114745128A - 一种面向网络终端设备的信任估值方法及装置 - Google Patents
一种面向网络终端设备的信任估值方法及装置 Download PDFInfo
- Publication number
- CN114745128A CN114745128A CN202210309072.9A CN202210309072A CN114745128A CN 114745128 A CN114745128 A CN 114745128A CN 202210309072 A CN202210309072 A CN 202210309072A CN 114745128 A CN114745128 A CN 114745128A
- Authority
- CN
- China
- Prior art keywords
- sdp
- trust
- loyalty
- evaluation interval
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 129
- 238000000034 method Methods 0.000 claims abstract description 12
- 230000006399 behavior Effects 0.000 claims description 16
- 238000013508 migration Methods 0.000 claims description 10
- 230000005012 migration Effects 0.000 claims description 10
- 230000002452 interceptive effect Effects 0.000 claims description 9
- 102100029469 WD repeat and HMG-box DNA-binding protein 1 Human genes 0.000 claims description 6
- 101710097421 WD repeat and HMG-box DNA-binding protein 1 Proteins 0.000 claims description 6
- 230000003993 interaction Effects 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 6
- 150000001875 compounds Chemical class 0.000 claims description 5
- 230000001617 migratory effect Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000015556 catabolic process Effects 0.000 claims description 4
- 238000006731 degradation reaction Methods 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 abstract description 3
- 238000004891 communication Methods 0.000 abstract description 2
- 230000007246 mechanism Effects 0.000 description 10
- 238000012546 transfer Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000009499 grossing Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 101150096839 Fcmr gene Proteins 0.000 description 1
- 241000764238 Isis Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种面向网络终端设备的信任估值方法及装置,该方法结合网络终端设备历史行为对其信任进行估值计算,并对其进行基于信任的安全管控,因此,将该节点从接入域到评估时刻的通信时段视为评估区间T,将其划分为t段评估间隔,认为正常设备节点有如下特征:倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据;其面向域内交换设备节点的入向流量序列平稳,不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控,并可应用于多种威胁场景、满足实际场景需求。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种面向网络终端设备的信任估值方法及装置。
背景技术
为强化网络终端设备安全管控,除应用身份认证、流量加密等传统安全机制外,还需引入信任机制对设备主体安全性进行细粒度量化。信任通常以数值形式体现、度量,信任的度量即信任评估;通常,对设备节点的信任评估需基于该节点历史表现,因各种评估算法各异,所以评估得到的信任基本无法反映该节点的绝对可信度,而是基于某评估算法对其绝对可信度的估计值。
发明内容
本发明针对现有对设备节点的信任评估得到的信任基本无法反映该节点的绝对可信度,而是基于某评估算法对其绝对可信度的估计值的问题,提出一种面向网络终端设备的信任估值方法及装置,可以为网络终端设备实时信任及长期信任提供度量手段。
为了实现上述目的,本发明采用以下技术方案:
本发明一方面提出一种面向网络终端设备的信任估值方法,包括:
步骤A:当满足下式时,认为发生了DoS攻击,此时不对SDP IH授予信任:
其中表示相邻段评估间隔的内域入口节点对该终端设备测算的出向转发流量速率比,表示第t段评估间隔内域入口节点对该终端设备测算的出向转发流量速率,表示第t+1段评估间隔内域入口节点对该终端设备测算的出向转发流量速率,t表示评估间隔索引号,T表示评估区间,min(Server|SDPC)表示服务性能最低的服务资源Server及SDP控制器的带宽,max(εt)表示相邻段评估间隔的最大转发流量速率比比值,|max(εi)-min(εi)|>μ,min(εi)表示相邻段评估间隔的最小转发流量速率比比值,表示包速率平稳系数,ε={ε1,ε2,ε3,...εt-1}表示相邻段评估间隔的内域入口节点对该终端设备测算的出向转发流量速率比序列;
步骤B:当n不为0时,按照下式计算SDP IH的忠诚转发比序列:
其中n表示交互报文数;f1表示第j段评估间隔内该节点应转发的报文数;f2表示第j段评估间隔内该节点实际转发的报文数;F0为SDP IH的默认忠诚转发比,即与SDP AH无交互时的初始报文忠诚转发比;δ(n)为交互函数;
步骤C:基于忠诚转发比序列对SDP IH是否存在开关攻击进行判断:将满足|max(τl)-min(τl)|>θ的τl视为波动值,将所有的波动值构成的序列视为波动序列W,引入t的变量λt,满足若波动序列W中的波动值均为迁移波动,且λt序列中1与-1交替出现,则判定SDP IH为恶意节点,不对其授予信任;其中表示相邻段评估间隔的忠诚转发比比值,表示第l段评估间隔内域入口节点对该终端设备测算的忠诚转发比,表示第l+1段评估间隔内域入口节点对该终端设备测算的忠诚转发比;max(τl)表示相邻段评估间隔的最大忠诚转发比比值;min(τl)表示相邻评价段的最小忠诚转发比比值;表示忠诚转发比平稳系数,τ={τ1,τ2,τ3,...τt-1}表示相邻段评估间隔的忠诚转发比比值序列;
基于第t段评估间隔对应的SDP IH忠诚转发比序列F,采用SCGM(1,1)加权马尔科夫模型,根据距最近1段评估间隔内是否为偶然波动对进行预测,若为偶然波动,利用SCGM(1,1)加权马尔科夫预测模型直接预测,即若为非波动值或为迁移波动,结合和上述预测模型预测即τ'表示去除波动值的τ序列;并将视为SDP AH当前基于SDP IH历史表现对其评估的信任值。
进一步地,还包括:
步骤E:若SDP IH访问凭据到期时,其实时信任高于SDP AH的信任阈值,则允许其相当于该SDP AH的信任凭据续租。
进一步地,所述步骤E包括:
b)从第1轮续租开始,为SDP IH信任值引入随入网时间t增长的衰减因子p,仅作用于上一轮信任续租时的历史信任,若临时访问凭据有效期为k,则设置信任衰减函数△(l)=e-pt=e-pkl;
本发明另一方面提出一种面向网络终端设备的信任估值装置,包括:
第一判断模块,用于当满足下式时,认为发生了DoS攻击,此时不对SDP IH授予信任:
其中表示相邻段评估间隔的内域入口节点对该终端设备测算的出向转发流量速率比,表示第t段评估间隔内域入口节点对该终端设备测算的出向转发流量速率,表示第t+1段评估间隔内域入口节点对该终端设备测算的出向转发流量速率,t表示评估间隔索引号,T表示评估区间,min(Server|SDPC)表示服务性能最低的服务资源Server及SDP控制器的带宽,max(εt)表示相邻段评估间隔的最大转发流量速率比比值,|max(εi)-min(εi)|>μ,min(εi)表示相邻段评估间隔的最小转发流量速率比比值,表示包速率平稳系数,ε={ε1,ε2,ε3,...εt-1}表示相邻段评估间隔的内域入口节点对该终端设备测算的出向转发流量速率比序列;
计算模块,用于当n不为0时,按照下式计算SDP IH的忠诚转发比序列:
其中n表示交互报文数;f1表示第j段评估间隔内该节点应转发的报文数;f2表示第j段评估间隔内该节点实际转发的报文数;F0为SDP IH的默认忠诚转发比,即与SDP AH无交互时的初始报文忠诚转发比;δ(n)为交互函数;
第二判断模块,用于基于忠诚转发比序列对SDP IH是否存在开关攻击进行判断:将满足|max(τl)-min(τl)|>θ的τl视为波动值,将所有的波动值构成的序列视为波动序列W,引入t的变量λt,满足若波动序列W中的波动值均为迁移波动,且λt序列中1与-1交替出现,则判定SDP IH为恶意节点,不对其授予信任;其中表示相邻段评估间隔的忠诚转发比比值,表示第l段评估间隔内域入口节点对该终端设备测算的忠诚转发比,表示第l+1段评估间隔内域入口节点对该终端设备测算的忠诚转发比;max(τl)表示相邻段评估间隔的最大忠诚转发比比值;min(τl)表示相邻评价段的最小忠诚转发比比值;表示忠诚转发比平稳系数,τ={τ1,τ2,τ3,...τt-1}表示相邻段评估间隔的忠诚转发比比值序列;
基于第t段评估间隔对应的SDP IH忠诚转发比序列F,采用SCGM(1,1)加权马尔科夫模型,根据距最近1段评估间隔内是否为偶然波动对进行预测,若为偶然波动,利用SCGM(1,1)加权马尔科夫预测模型直接预测,即若为非波动值或为迁移波动,结合和上述预测模型预测即τ'表示去除波动值的τ序列;并将视为SDP AH当前基于SDP IH历史表现对其评估的信任值。
进一步地,还包括:
信任凭据续租模块,用于若SDP IH访问凭据到期时,其实时信任高于SDP AH的信任阈值,则允许其相当于该SDP AH的信任凭据续租。
进一步地,所述信任凭据续租模块具体用于:
b)从第1轮续租开始,为SDP IH信任值引入随入网时间t增长的衰减因子p,仅作用于上一轮信任续租时的历史信任,若临时访问凭据有效期为k,则设置信任衰减函数△(l)=e-pt=e-pkl;
与现有技术相比,本发明具有的有益效果:
1)对网络终端设备提出了1种针对实时信任和信任续期的估值方法及装置,可支持网络基于终端设备历史行为对其实施基于信任的安全管控。
2)提出了两种新型攻击样式、3种终端设备可信指标和两种终端设备转发比序列波动样式,可应用于多种威胁场景。
3)提出对信任实施基于续租轮次的定期增长机制、基于入网时长的自然衰减机制和基于不良行为的负反馈惩罚机制,并对三者实现了定量化配比控制,可满足实际场景需求。
附图说明
图1为本发明实施例一种面向网络终端设备的信任估值方法的基本流程图之一;
图2为本发明实施例一种面向网络终端设备的信任估值方法的基本流程图之二;
图3为本发明实施例一种面向网络终端设备的信任估值装置的结构示意图之一;
图4为本发明实施例一种面向网络终端设备的信任估值装置的结构示意图之二。
具体实施方式
下面结合附图和具体的实施例对本发明做进一步的解释说明:
本发明结合网络终端设备历史行为对其信任进行估值计算,并对其进行基于信任的安全管控,因此,将该节点从接入域到评估时刻的通信时段视为评估区间T,将其划分为t段评估间隔,认为正常设备节点有如下特征:倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据;其面向域内交换设备节点的入向流量序列平稳,不得突发增长至域内服务资源承受阈值以上。
首先,为全面考量信任,给出若干攻击样式定义。
样式1、拒绝服务(Dos)攻击:恶意终端设备节点向域内交换设备及服务终端设备节点注入大量攻击流量,使其服务降级或停止服务。
样式2、开关攻击:恶意节点时而采取良性行为、时而采取恶意行为,以迷惑安全检查。
样式3、未知攻击:模式未知、现有验证规则无法匹配识别的攻击。
其次,为衡量网络终端设备节点行为恶意性,引入以下3项指标用于描述其转发行为特征、行为稳定特征和流量速率特征。
指标3、包速率平稳系数:节点向SR网络发送流量速率序列的平稳度,即:若t段评估间隔内域入口节点对该终端设备测算的出向转发流量速率序列为VAH,IH,则根据灰色预测模型,定义比值序列ε={ε1,ε2,ε3,...εt-1},则包速率平稳系数
最后,基于忠诚转发比序列F对是否存在开关攻击进行判断,对波动进行分类定义。
波动1、偶然波动:偶然产生的波动,产生后序列数值分布将迅速回复正常。
波动2、迁移波动:因特定因素产生的波动,产生后将导致序列数值分布发生整体迁移。
具体地,如图1所示,一种面向网络终端设备的信任估值方法基本流程步骤如下:
步骤A:DoS攻击识别。根据灰色预测模型,将满足|max(εi)-min(εi)|>μ的εi视为波动值。为区分正常的大流量数据传输和恶意的拒绝服务攻击,在此设服务性能最低(以带宽衡量)的服务资源Server及SDP(软件定义边界)控制器的带宽为min(Server|SDPC),一旦满足认为发生了DoS攻击,此时不对SDP IH(SDP连接发起主机)授予信任。
步骤B:计算忠诚转发比序列。若在评估间隔T内节点间交互报文数过少、对SDP IH的忠诚转发比计算将产生较大误差,为此引入交互函数δ(n),在函数设计上,对随交互报文数n增大而单调递增、渐趋于的arctan(n)优化为使其随n递增而渐趋于1,可用于调节经δ(n)调节,在n不为0时,其中,F0为SDP IH的默认转发比,即与SDP AH(SDP连接接受主机)无交互时的初始报文转发比,当n为0时,
步骤C:开关攻击识别。考虑到恶意节点可能采用开关攻击对基于SDP IH历史行为的预测进行误导,基于F序列对是否存在开关攻击进行判断,若存在开关攻击,F序列将随每次波动而产生多次整体迁移。将满足|max(τl)-min(τl)|>θ的τl视为波动值,将所有的波动值构成的序列视为波动序列W,将去除波动值的τ序列记为τ'。又为衡量波动为序列带来的增量性,引入t的变量λt,满足若波动序列W中的波动值均为迁移波动,且λt序列中1与-1交替出现,则SDP IH很有可能实施了开关攻击,此时判定其为恶意节点,不对其授予信任。
步骤D:信任实时评估。基于t段评估间隔对应的SDP IH忠诚转发比序列F,对进行预测,并将视为SDP AH当前基于SDP IH历史表现对其评估的信任值,即预测时,具体采用SCGM(1,1)加权马尔科夫模型,此时根据距最近1段评估间隔内是否为偶然波动,对进行计算。进一步地,步骤D中:
进一步地,如图2所示,该方法还包括:
步骤E:信任分期续租。若SDP IH访问凭据到期时,其实时信任高于某SDP AH的信任阈值,则允许其相当于该SDP AH的信任凭据续租。进一步地,步骤E中:
b)计算衰减因子。为防止上述指标未能检测到的未知攻击,不允许SDP IH永久续租,因此从第1轮续租开始,为SDP IH信任值引入随入网时间t增长的衰减因子p,仅作用于上一轮信任续租时的历史信任,若临时访问凭据有效期为k,则设置信任衰减函数△(l)=e-pt=e-pkl。
c)计算惩罚因子。对SDP IH使用错误访问凭据登录等指标1~4未衡量的不良操作进行惩罚,将负反馈累积在其信任值上,为确保首次负反馈较低(由于信任度最大为1,在此设置首次负反馈小于0.1)、随负反馈增多而逐渐增大,基于函数y1和初值要求进行修正,设置信任惩罚函数其中不良操作数为m。
在上述实施例的基础上,如图3所示,本发明还提出一种面向网络终端设备的信任估值装置,包括:
第一判断模块,用于当满足下式时,认为发生了DoS攻击,此时不对SDP IH授予信任:
其中表示相邻段评估间隔的内域入口节点对该终端设备测算的出向转发流量速率比,表示第t段评估间隔内域入口节点对该终端设备测算的出向转发流量速率,表示第t+1段评估间隔内域入口节点对该终端设备测算的出向转发流量速率,t表示评估间隔索引号,T表示评估区间,min(Server|SDPC)表示服务性能最低的服务资源Server及SDP控制器的带宽,max(εt)表示相邻段评估间隔的最大转发流量速率比比值,|max(εi)-min(εi)|>μ,min(εi)表示相邻段评估间隔的最小转发流量速率比比值,表示包速率平稳系数,ε={ε1,ε2,ε3,...εt-1}表示相邻段评估间隔的内域入口节点对该终端设备测算的出向转发流量速率比序列;
计算模块,用于当n不为0时,按照下式计算SDP IH的忠诚转发比序列:
其中n表示交互报文数;f1表示第j段评估间隔内该节点应转发的报文数;f2表示第j段评估间隔内该节点实际转发的报文数;F0为SDP IH的默认忠诚转发比,即与SDP AH无交互时的初始报文忠诚转发比;δ(n)为交互函数;
第二判断模块,用于基于忠诚转发比序列对SDP IH是否存在开关攻击进行判断:将满足|max(τl)-min(τl)|>θ的τl视为波动值,将所有的波动值构成的序列视为波动序列W,引入t的变量λt,满足若波动序列W中的波动值均为迁移波动,且λt序列中1与-1交替出现,则判定SDP IH为恶意节点,不对其授予信任;其中表示相邻段评估间隔的忠诚转发比比值,表示第l段评估间隔内域入口节点对该终端设备测算的忠诚转发比,表示第l+1段评估间隔内域入口节点对该终端设备测算的忠诚转发比;max(τl)表示相邻段评估间隔的最大忠诚转发比比值;min(τl)表示相邻评价段的最小忠诚转发比比值;表示忠诚转发比平稳系数,τ={τ1,τ2,τ3,...τt-1}表示相邻段评估间隔的忠诚转发比比值序列;
基于第t段评估间隔对应的SDP IH忠诚转发比序列F,采用SCGM(1,1)加权马尔科夫模型,根据距最近1段评估间隔内是否为偶然波动对进行预测,若为偶然波动,利用SCGM(1,1)加权马尔科夫预测模型直接预测,即若为非波动值或为迁移波动,结合和上述预测模型预测即τ'表示去除波动值的τ序列;并将视为SDP AH当前基于SDP IH历史表现对其评估的信任值。
进一步地,如图4所示,该装置还包括:
信任凭据续租模块,用于若SDP IH访问凭据到期时,其实时信任高于SDP AH的信任阈值,则允许其相当于该SDP AH的信任凭据续租。
进一步地,所述信任凭据续租模块具体用于:
b)从第1轮续租开始,为SDP IH信任值引入随入网时间t增长的衰减因子p,仅作用于上一轮信任续租时的历史信任,若临时访问凭据有效期为k,则设置信任衰减函数△(l)=e-pt=e-pkl;
综上,本发明针对网络终端设备提出了1种针对实时信任和信任续期的估值方法及装置,可支持网络基于终端设备历史行为对其实施基于信任的安全管控。提出了两种新型攻击样式(开关攻击、未知攻击)、3种终端设备可信指标(忠诚转发比、转发比平稳系数、包速率平稳系数)和两种终端设备转发比序列波动样式(偶然波动、迁移波动),可应用于多种威胁场景。提出对信任实施基于续租轮次的定期增长机制、基于入网时长的自然衰减机制和基于不良行为的负反馈惩罚机制,并对三者实现了定量化配比控制,可满足实际场景需求。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种面向网络终端设备的信任估值方法,其特征在于,包括:
步骤A:当满足下式时,认为发生了DoS攻击,此时不对SDPIH授予信任:
其中表示相邻段评估间隔的内域入口节点对该终端设备测算的出向转发流量速率比,表示第t段评估间隔内域入口节点对该终端设备测算的出向转发流量速率,表示第t+1段评估间隔内域入口节点对该终端设备测算的出向转发流量速率,t表示评估间隔索引号,T表示评估区间,min(Server|SDPC)表示服务性能最低的服务资源Server及SDP控制器的带宽,max(εt)表示相邻段评估间隔的最大转发流量速率比比值,|max(εi)-min(εi)|>μ,min(εi)表示相邻段评估间隔的最小转发流量速率比比值,表示包速率平稳系数,ε={ε1,ε2,ε3,...εt-1}表示相邻段评估间隔的内域入口节点对该终端设备测算的出向转发流量速率比序列;
步骤B:当n不为0时,按照下式计算SDP IH的忠诚转发比序列:
其中n表示交互报文数;f1表示第j段评估间隔内该节点应转发的报文数;f2表示第j段评估间隔内该节点实际转发的报文数;F0为SDP IH的默认忠诚转发比,即与SDP AH无交互时的初始报文忠诚转发比;δ(n)为交互函数;
步骤C:基于忠诚转发比序列对SDP IH是否存在开关攻击进行判断:将满足|max(τl)-min(τl)|>θ的τl视为波动值,将所有的波动值构成的序列视为波动序列W,引入t的变量λt,满足若波动序列W中的波动值均为迁移波动,且λt序列中1与-1交替出现,则判定SDP IH为恶意节点,不对其授予信任;其中表示相邻段评估间隔的忠诚转发比比值,表示第l段评估间隔内域入口节点对该终端设备测算的忠诚转发比,表示第l+1段评估间隔内域入口节点对该终端设备测算的忠诚转发比;max(τl)表示相邻段评估间隔的最大忠诚转发比比值;min(τl)表示相邻评价段的最小忠诚转发比比值;表示忠诚转发比平稳系数,τ={τ1,τ2,τ3,...τt-1}表示相邻段评估间隔的忠诚转发比比值序列;
3.根据权利要求1所述的一种面向网络终端设备的信任估值方法,其特征在于,还包括:
步骤E:若SDP IH访问凭据到期时,其实时信任高于SDP AH的信任阈值,则允许其相当于该SDP AH的信任凭据续租。
5.一种面向网络终端设备的信任估值装置,其特征在于,包括:
第一判断模块,用于当满足下式时,认为发生了DoS攻击,此时不对SDPIH授予信任:
其中表示相邻段评估间隔的内域入口节点对该终端设备测算的出向转发流量速率比,表示第t段评估间隔内域入口节点对该终端设备测算的出向转发流量速率,表示第t+1段评估间隔内域入口节点对该终端设备测算的出向转发流量速率,t表示评估间隔索引号,T表示评估区间,min(Server|SDPC)表示服务性能最低的服务资源Server及SDP控制器的带宽,max(εt)表示相邻段评估间隔的最大转发流量速率比比值,|max(εi)-min(εi)|>μ,min(εi)表示相邻段评估间隔的最小转发流量速率比比值,表示包速率平稳系数,ε={ε1,ε2,ε3,...εt-1}表示相邻段评估间隔的内域入口节点对该终端设备测算的出向转发流量速率比序列;
计算模块,用于当n不为0时,按照下式计算SDP IH的忠诚转发比序列:
其中n表示交互报文数;f1表示第j段评估间隔内该节点应转发的报文数;f2表示第j段评估间隔内该节点实际转发的报文数;F0为SDP IH的默认忠诚转发比,即与SDP AH无交互时的初始报文忠诚转发比;δ(n)为交互函数;
第二判断模块,用于基于忠诚转发比序列对SDP IH是否存在开关攻击进行判断:将满足|max(τl)-min(τl)|>θ的τl视为波动值,将所有的波动值构成的序列视为波动序列W,引入t的变量λt,满足若波动序列W中的波动值均为迁移波动,且λt序列中1与-1交替出现,则判定SDP IH为恶意节点,不对其授予信任;其中表示相邻段评估间隔的忠诚转发比比值,表示第l段评估间隔内域入口节点对该终端设备测算的忠诚转发比,表示第l+1段评估间隔内域入口节点对该终端设备测算的忠诚转发比;max(τl)表示相邻段评估间隔的最大忠诚转发比比值;min(τl)表示相邻评价段的最小忠诚转发比比值;表示忠诚转发比平稳系数,τ={τ1,τ2,τ3,...τt-1}表示相邻段评估间隔的忠诚转发比比值序列;
7.根据权利要求5所述的一种面向网络终端设备的信任估值装置,其特征在于,还包括:
信任凭据续租模块,用于若SDP IH访问凭据到期时,其实时信任高于SDP AH的信任阈值,则允许其相当于该SDP AH的信任凭据续租。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210309072.9A CN114745128B (zh) | 2022-03-28 | 2022-03-28 | 一种面向网络终端设备的信任估值方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210309072.9A CN114745128B (zh) | 2022-03-28 | 2022-03-28 | 一种面向网络终端设备的信任估值方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114745128A true CN114745128A (zh) | 2022-07-12 |
CN114745128B CN114745128B (zh) | 2023-07-07 |
Family
ID=82276767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210309072.9A Active CN114745128B (zh) | 2022-03-28 | 2022-03-28 | 一种面向网络终端设备的信任估值方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114745128B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117640223A (zh) * | 2023-12-06 | 2024-03-01 | 河海大学 | 电力物联网设备信任度动态评估方法、系统、设备和介质 |
CN118432956A (zh) * | 2024-07-05 | 2024-08-02 | 国网浙江省电力有限公司杭州供电公司 | 一种电力终端综合访问控制方法、系统、设备及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1665238B (zh) * | 2004-03-04 | 2010-04-21 | 华为技术有限公司 | 下一代网络的组网系统 |
US7933985B2 (en) * | 2004-08-13 | 2011-04-26 | Sipera Systems, Inc. | System and method for detecting and preventing denial of service attacks in a communications system |
WO2016048129A2 (en) * | 2014-09-26 | 2016-03-31 | Mimos Berhad | A system and method for authenticating a user based on user behaviour and environmental factors |
CN110830467A (zh) * | 2019-11-04 | 2020-02-21 | 中国人民解放军战略支援部队信息工程大学 | 基于模糊预测的网络可疑资产识别方法 |
US20200193065A1 (en) * | 2019-02-26 | 2020-06-18 | Intel Corporation | Extensible layered trusted computing base for computing devices |
CA3043187A1 (en) * | 2019-05-14 | 2020-11-14 | Ahmed Refaey Hussein | Perimeters oriented virtualized software defined machine learning security |
US20210044968A1 (en) * | 2018-03-16 | 2021-02-11 | Wire Swiss Gmbh | Trust extension in a secure communication framework |
KR20210026710A (ko) * | 2019-09-02 | 2021-03-10 | 한국과학기술원 | 공공 IoT용 신뢰-인식 역할-기반 액세스 제어 시스템 |
CN114039750A (zh) * | 2021-10-26 | 2022-02-11 | 中电鸿信信息科技有限公司 | 一种保护sdp控制器的实现方法 |
-
2022
- 2022-03-28 CN CN202210309072.9A patent/CN114745128B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1665238B (zh) * | 2004-03-04 | 2010-04-21 | 华为技术有限公司 | 下一代网络的组网系统 |
US7933985B2 (en) * | 2004-08-13 | 2011-04-26 | Sipera Systems, Inc. | System and method for detecting and preventing denial of service attacks in a communications system |
WO2016048129A2 (en) * | 2014-09-26 | 2016-03-31 | Mimos Berhad | A system and method for authenticating a user based on user behaviour and environmental factors |
US20210044968A1 (en) * | 2018-03-16 | 2021-02-11 | Wire Swiss Gmbh | Trust extension in a secure communication framework |
US20200193065A1 (en) * | 2019-02-26 | 2020-06-18 | Intel Corporation | Extensible layered trusted computing base for computing devices |
CA3043187A1 (en) * | 2019-05-14 | 2020-11-14 | Ahmed Refaey Hussein | Perimeters oriented virtualized software defined machine learning security |
KR20210026710A (ko) * | 2019-09-02 | 2021-03-10 | 한국과학기술원 | 공공 IoT용 신뢰-인식 역할-기반 액세스 제어 시스템 |
CN110830467A (zh) * | 2019-11-04 | 2020-02-21 | 中国人民解放军战略支援部队信息工程大学 | 基于模糊预测的网络可疑资产识别方法 |
CN114039750A (zh) * | 2021-10-26 | 2022-02-11 | 中电鸿信信息科技有限公司 | 一种保护sdp控制器的实现方法 |
Non-Patent Citations (4)
Title |
---|
JASPREET SINGH ECT.: "Adoption of the Software-Defined Perimeter (SDP) Architecture for Infrastructure as a Service", 《CANADIAN JOURNAL OF ELECTRICAL AND COMPUTER ENGINEERING ( VOLUME: 43, ISSUE: 4, FALL 2020)》 * |
MICHAEL LEFEBVRE ECT.: "Building a Software Defined Perimeter (SDP) for Network Introspection", 《2021 IEEE CONFERENCE ON NETWORK FUNCTION VIRTUALIZATION AND SOFTWARE DEFINED NETWORKS (NFV-SDN)》 * |
宁华; 荣晓燕; 刘海峰; 史宜会; 李媛: "网络安全等级保护下的零信任SDP评估方法", 《网络安全技术与应用》 * |
陈季安;李萍;邢果;戚文芽;: "基于SIP协议的网络安全研究", 计算机工程与设计, no. 18 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117640223A (zh) * | 2023-12-06 | 2024-03-01 | 河海大学 | 电力物联网设备信任度动态评估方法、系统、设备和介质 |
CN118432956A (zh) * | 2024-07-05 | 2024-08-02 | 国网浙江省电力有限公司杭州供电公司 | 一种电力终端综合访问控制方法、系统、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114745128B (zh) | 2023-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114745128A (zh) | 一种面向网络终端设备的信任估值方法及装置 | |
Buchegger et al. | Coping with false accusations in misbehavior reputation systems for mobile ad-hoc networks | |
CN101466098A (zh) | 网络信任度评估方法、装置和通信系统 | |
CN107508792B (zh) | 一种移动云计算中的数据可信感知方法 | |
CN106846031A (zh) | 基于信誉系统和Stackelberg博弈的可信P2P流媒体带宽定价方法 | |
CN109218090A (zh) | 一种物联网节点信任度评估方法 | |
Abdalzaher et al. | Using Stackelberg game to enhance node protection in WSNs | |
CN106850583A (zh) | 一种基于效用的分布式协作频谱感知攻击防御方法 | |
CN116405187A (zh) | 基于区块链的分布式节点入侵态势感知方法 | |
CN110049497A (zh) | 移动雾计算中一种面向用户的智能攻击防御方法 | |
JP2014505301A (ja) | 分散計算システムにおける信用管理方法及びシステム | |
Chang et al. | Sybil defenses in mobile social networks | |
Yuan et al. | On MMD-based secure fusion strategy for robust cooperative spectrum sensing | |
Liu et al. | An incentive compatible reputation mechanism for ubiquitous computing environments | |
Moe et al. | TSR: Trust-based secure MANET routing using HMMs | |
Deno et al. | Probabilistic trust management in pervasive computing | |
Tephillah et al. | An SETM algorithm for combating SSDF attack in cognitive radio networks | |
CN102833107B (zh) | 安全准入方法及系统 | |
Vuppula et al. | Blockchain‐oriented location privacy preserving for cooperative spectrum sensing in 6G wireless networks | |
CN113453220A (zh) | 一种抵抗无线传感器网络信任攻击的安全方法 | |
CN103812696B (zh) | 一种基于混合蛙跳算法的物联网节点信誉评估方法 | |
KR20220169584A (ko) | 사물인터넷 최적화 노드 선별 및 악성 노드 제거 방법 | |
Saiyed et al. | Entropy and divergence-based DDoS attack detection system in IoT networks | |
Bai et al. | Reputation-based Beta reputation system against SSDF attack in cognitive radio networks | |
Taghavi et al. | A two step secure spectrum sensing algorithm using fuzzy logic for cognitive radio networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |