基于動(dòng)態(tài)信任的接入管控體系構(gòu)建*

廖竣鍇，程永新，張建輝

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)的逐漸普及，企業(yè)的數(shù)字化轉(zhuǎn)型成為近年來的熱點(diǎn)，越來越多的企業(yè)將業(yè)務(wù)搬上了云平臺(tái)和互聯(lián)網(wǎng)，員工與客戶通過遠(yuǎn)程訪問的方式進(jìn)行辦公、運(yùn)維、客服等活動(dòng)。新的業(yè)務(wù)模式改變了企業(yè)網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施的架構(gòu)，帶來了網(wǎng)絡(luò)攻擊面擴(kuò)大，接入人員和終端更具多樣性，以及業(yè)務(wù)數(shù)據(jù)流動(dòng)復(fù)雜性增加等影響，導(dǎo)致企業(yè)信息網(wǎng)絡(luò)已不存在清晰的、固定的安全邊界，因此依靠傳統(tǒng)的網(wǎng)絡(luò)接入與邊界防護(hù)的解決方案已無法應(yīng)對(duì)有組織的高級(jí)持續(xù)攻擊，而需要全新的網(wǎng)絡(luò)接入安全架構(gòu)應(yīng)對(duì)企業(yè)數(shù)字轉(zhuǎn)型中面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1 相關(guān)研究現(xiàn)狀

1.1 傳統(tǒng)的訪問控制模型研究

使用最廣泛的訪問控制模型包括自主訪問控制（Discretionary Access Control，DAC）模型和強(qiáng)制訪問控制（Mandatory Access Control，MAC）模型兩類。DAC 模型允許合法訪問主體或主體組對(duì)客體資源進(jìn)行訪問，通過訪問控制表（Access Control List，ACL）描述訪問主體對(duì)訪問資源的權(quán)限，具有簡單、直觀、授權(quán)靈活等優(yōu)點(diǎn)，但客體資源的所有者對(duì)訪問權(quán)限進(jìn)行管理，易造成訪問權(quán)限被惡意擴(kuò)大等問題。

MAC 模型訪問主體的權(quán)限統(tǒng)一通過系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，其優(yōu)點(diǎn)是具有較強(qiáng)的訪問約束機(jī)制，安全級(jí)別高，但過于強(qiáng)調(diào)信息的保密性，對(duì)訪問關(guān)系變化等不敏感，通常被用于軍事、黨政等對(duì)安全級(jí)別要求較高的領(lǐng)域。

鑒于DAC 和MAC 的不足，研究者提出了基于角色的訪問控制（Role-Based Access control，RBAC）模型。該模型的基本思想就是將用戶與訪問權(quán)限分離開來，通過角色建立間接的聯(lián)系，系統(tǒng)可通過生成或取消用戶角色的方式實(shí)現(xiàn)高效的權(quán)限管理，有利于系統(tǒng)對(duì)授權(quán)關(guān)系進(jìn)行統(tǒng)一管理。然而，RBAC 模型仍存在不足，包括不能根據(jù)上下文環(huán)境動(dòng)態(tài)管理權(quán)限，屬性體系過于單一，無法實(shí)現(xiàn)復(fù)雜的訪問控制，以及角色作為一種靜態(tài)屬性無法滿足系統(tǒng)對(duì)動(dòng)態(tài)訪問控制的要求。針對(duì)RBAC 模型的不足，研究者提出了多種改進(jìn)方案，文獻(xiàn)[1]提出了一種動(dòng)態(tài)自適應(yīng)訪問控制模型，以資源生命周期為中心，使資源訪問控制策略能夠隨著資源生命周期所處階段的變化而自動(dòng)變化，并以資源生命周期為節(jié)點(diǎn)進(jìn)行訪問控制。文獻(xiàn)[2]將行為、時(shí)態(tài)狀態(tài)和環(huán)境狀態(tài)引入控制模型，提出了基于行為的訪問控制模型，并將RBAC 中權(quán)限到角色的映射轉(zhuǎn)化為權(quán)限到行為的映射。文獻(xiàn)[3]提出了一種基于用戶行為信任的云平臺(tái)訪問控制模型，引入層次分析法（Analytic Hierarchy Process，AHP）綜合評(píng)估用戶行為信任度，建立基于行為信任等級(jí)的用戶服務(wù)等級(jí)動(dòng)態(tài)分配機(jī)制。

1.2 基于零信任的安全架構(gòu)

1.2.1 零信任安全理念

2010 年Google 公司首次提出了零信任網(wǎng)絡(luò)，2020 年美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布了零信任架構(gòu)標(biāo)準(zhǔn)第二版。目前，零信任構(gòu)建的新型網(wǎng)絡(luò)安全架構(gòu)被認(rèn)為是數(shù)字時(shí)代下提升信息化系統(tǒng)和網(wǎng)絡(luò)整體安全性的有效方式，逐漸得到關(guān)注和應(yīng)用。零信任更多的是一種安全理念，其核心原則簡單地說就是“永遠(yuǎn)不要相信”和“始終驗(yàn)證”[4]。零信任假設(shè)傳統(tǒng)內(nèi)網(wǎng)并不信任任何訪問行為，而均需接受評(píng)估才能放行，并且安全管理者需不斷分析和評(píng)估其內(nèi)部資產(chǎn)和業(yè)務(wù)功能的風(fēng)險(xiǎn)，然后制定保護(hù)措施以降低安全風(fēng)險(xiǎn)。

零信任有許多實(shí)現(xiàn)技術(shù)，包括軟件定義邊界（Software Defined Perimeter，SDP）、身份與訪問控制管理（Identity and Access Management，IAM）、微隔離等。其中，影響最為廣泛的是SDP 技術(shù)。

1.2.2 軟件定義邊界

SDP 是由國際云安全聯(lián)盟（Cloud Security Alliance，CSA）在2013 年提出的一個(gè)安全模型。SDP作為零信任的最佳實(shí)踐落地技術(shù)架構(gòu)，通過網(wǎng)絡(luò)隱身保護(hù)技術(shù)，為企業(yè)構(gòu)建起一個(gè)虛擬邊界，結(jié)合信任評(píng)估機(jī)制和動(dòng)態(tài)訪問控制機(jī)制，對(duì)網(wǎng)絡(luò)訪問業(yè)務(wù)活動(dòng)進(jìn)行持續(xù)監(jiān)控，不斷更新網(wǎng)絡(luò)訪問實(shí)體的信任評(píng)分，動(dòng)態(tài)地調(diào)整控制策略和訪問權(quán)限來應(yīng)對(duì)網(wǎng)絡(luò)攻擊，有效保護(hù)企業(yè)的數(shù)據(jù)資產(chǎn)安全。SDP 安全模型由SDP 連接發(fā)起主機(jī)、SDP 連接接受主機(jī)和SDP 控制器3 部分組成[5]。SDP 控制器是整個(gè)架構(gòu)的大腦，主要進(jìn)行主機(jī)認(rèn)證和策略下發(fā)，還可以用于認(rèn)證和授權(quán)SDP客戶端和配置到SDP 網(wǎng)關(guān)的連接。SDP 模型的主要特征包括最小特權(quán)原則、細(xì)粒度的上下文訪問控制、以用戶為中心、單包授權(quán)和傳輸層保護(hù)，以及只允許合法用戶在合適的時(shí)間訪問允許的資源。

2 基于持續(xù)信任的接入控制模型

基于持續(xù)信任的接入控制模型是一個(gè)動(dòng)態(tài)的接入控制模型，與傳統(tǒng)的接入控制模型有兩點(diǎn)不同之處：一是引入環(huán)境上下文作為接入控制判決的重要因素，并以訪問行為的信任度作為判決的依據(jù)；二是對(duì)信任度的度量是持續(xù)活躍在整個(gè)訪問過程的，并且接入控制策略隨著行為和環(huán)境的變化而動(dòng)態(tài)調(diào)整?；谛湃蔚脑L問控制模型如圖1 所示。

在圖1 所示的模型中，用戶身份和用戶訪問行為映射為用戶上下文，終端狀態(tài)映射為終端上下文，網(wǎng)絡(luò)狀態(tài)包括網(wǎng)絡(luò)流量、安全事件等信息，映射為網(wǎng)絡(luò)上下文。另外，這些訪問行為和環(huán)境狀態(tài)在時(shí)間窗口映射為歷史上下文。利用所有上下文通過信任度量計(jì)算出當(dāng)前信任度，結(jié)合預(yù)設(shè)的安全策略生成接入控制策略并執(zhí)行，然后將執(zhí)行狀態(tài)等信息反饋到歷史上下文，作為下一次信任度量的輸入，形成持續(xù)的信任度量。

圖1 基于信任的訪問控制模型

3 接入管控體系設(shè)計(jì)

3.1 總體架構(gòu)

接入管控體系架構(gòu)對(duì)業(yè)務(wù)提供接入認(rèn)證、持續(xù)信任度量和動(dòng)態(tài)訪問控制等關(guān)鍵能力?；趯?duì)用戶的身份認(rèn)證、對(duì)終端的基線核查和對(duì)網(wǎng)絡(luò)流量的采集分析，匯集各種當(dāng)前數(shù)據(jù)和歷史數(shù)據(jù)，進(jìn)行當(dāng)前狀態(tài)的信任度量，并根據(jù)信任度對(duì)訪問策略進(jìn)行動(dòng)態(tài)調(diào)整?？傮w架構(gòu)如圖2 所示。

圖2 接入管控體系架構(gòu)

3.1.1 接入代理

接入代理一般部署在業(yè)務(wù)訪問的終端上，是業(yè)務(wù)安全訪問的起點(diǎn)，提供終端安全防護(hù)、身份認(rèn)證代理、安全隧道封裝等功能。

3.1.2 接入控制網(wǎng)關(guān)

接入控制網(wǎng)關(guān)一般部署在局域網(wǎng)絡(luò)入口或骨干網(wǎng)絡(luò)邊緣處，是用戶接入和業(yè)務(wù)訪問的第一道關(guān)卡，用于驗(yàn)證用戶身份，并根據(jù)管控平臺(tái)的信任度量結(jié)果，對(duì)用戶訪問進(jìn)行相應(yīng)的控制。

3.1.3 用戶管理

對(duì)全網(wǎng)用戶身份進(jìn)行統(tǒng)一管理，可提供身份認(rèn)證服務(wù)，并對(duì)用戶認(rèn)證策略和認(rèn)證狀態(tài)進(jìn)行管理。用戶管理將用戶認(rèn)證狀態(tài)信息上報(bào)給信任評(píng)估引擎。

3.1.4 終端管理

對(duì)全網(wǎng)終端進(jìn)行統(tǒng)一管理，可對(duì)主機(jī)防護(hù)策略、入網(wǎng)主機(jī)等進(jìn)行管理，并可制定終端基線核查策略和入網(wǎng)策略。終端管理將終端入網(wǎng)狀態(tài)和基線核查狀態(tài)等信息上報(bào)給信任評(píng)估引擎。

3.1.5 流量監(jiān)測(cè)

對(duì)接入用戶的網(wǎng)絡(luò)流量進(jìn)行安全監(jiān)測(cè)，分析用戶訪問行為，發(fā)現(xiàn)異常網(wǎng)絡(luò)行為。流量監(jiān)測(cè)將分析后的流量信息和訪問行為等信息上報(bào)給信任評(píng)估引擎。

3.1.6 信任評(píng)估引擎

對(duì)用戶訪問行為進(jìn)行信任度評(píng)估，采集用戶、終端、流量等上下文數(shù)據(jù)，通過信任度量算法評(píng)估當(dāng)前用戶訪問的信任度，作為動(dòng)態(tài)訪問控制的依據(jù)。

3.1.7 授權(quán)管理

生成動(dòng)態(tài)訪問控制策略?；谟脩粼L問權(quán)限，根據(jù)用戶訪問信任度進(jìn)行動(dòng)態(tài)調(diào)整，產(chǎn)生訪問控制策略，下發(fā)到接入控制網(wǎng)關(guān)。

3.1.8 態(tài)勢(shì)管理

對(duì)全網(wǎng)接入狀態(tài)進(jìn)行管理，生成接入態(tài)勢(shì)，并進(jìn)行總體風(fēng)險(xiǎn)評(píng)估。

3.2 工作流程

整個(gè)系統(tǒng)主要的工作流程包含4 步。

3.2.1 身份認(rèn)證

用戶發(fā)起訪問時(shí)，首先需要進(jìn)行身份認(rèn)證，接入代理基于數(shù)字證書、生物特征、用戶名或口令等方式，向接入控制網(wǎng)關(guān)發(fā)起認(rèn)證請(qǐng)求。接入控制網(wǎng)關(guān)接收到認(rèn)證請(qǐng)求后，將相應(yīng)的認(rèn)證信息發(fā)送到用戶管理，對(duì)用戶身份進(jìn)行鑒別。如果認(rèn)證失敗，則拒絕用戶接入，并記錄異常信息。

3.2.2 信任建立

基于信任的接入控制理念表明，僅對(duì)用戶進(jìn)行身份鑒別是遠(yuǎn)遠(yuǎn)不夠的，還需要依據(jù)多維上下文信息進(jìn)行信任度量，才能夠建立信任關(guān)系。多維上下文信息包括身份認(rèn)證信息、終端狀態(tài)信息、網(wǎng)絡(luò)環(huán)境信息，這些信息分別通過不同處理模塊收集和產(chǎn)生，并傳送到信任評(píng)估引擎。信任評(píng)估引擎采用智能化的信任度量算法，對(duì)身份、終端、網(wǎng)絡(luò)信息進(jìn)行綜合評(píng)估，計(jì)算當(dāng)前用戶訪問業(yè)務(wù)的信任度，最后參照業(yè)務(wù)資源的安全等級(jí)，建立用戶與訪問業(yè)務(wù)數(shù)據(jù)之間的信任關(guān)系。

3.2.3 信任持續(xù)度量

信任建立后需要進(jìn)行持續(xù)的信任度量。持續(xù)信任度量的流程和信任建立階段類似，不同之處在于，用戶訪問過程中不斷產(chǎn)生的數(shù)據(jù)作為訪問歷史上下文數(shù)據(jù)，參與持續(xù)度量的計(jì)算，得出當(dāng)前的信任度。

3.2.4 策略動(dòng)態(tài)調(diào)整

當(dāng)信任度發(fā)生變化時(shí)，授權(quán)管理模塊需要比對(duì)信任度與訪問業(yè)務(wù)數(shù)據(jù)的授權(quán)策略，如果與當(dāng)前策略不一致，則進(jìn)行策略動(dòng)態(tài)調(diào)整。

4 信任度量算法

對(duì)用戶訪問行為的信任度量涉及許多因素，包括用戶身份、終端環(huán)境、網(wǎng)絡(luò)環(huán)境、業(yè)務(wù)環(huán)境、安全策略等，因此，可信度具有多維屬性。研究適用于網(wǎng)絡(luò)接入環(huán)境的信任度量方法，是動(dòng)態(tài)信任接入管控的核心問題。

4.1 信任度量算法研究現(xiàn)狀

文獻(xiàn)[6]基于云服務(wù)商相關(guān)屬性計(jì)算直接信任度，并根據(jù)第三方用戶的推薦計(jì)算間接信任度，最后通過權(quán)重計(jì)算得到實(shí)體綜合信任值。文獻(xiàn)[7]將灰色系統(tǒng)理論和粗糙集理論與屬性權(quán)重結(jié)合，建立適用于復(fù)雜網(wǎng)絡(luò)環(huán)境的動(dòng)態(tài)信任評(píng)價(jià)模型。文獻(xiàn)[8]提出了一種基于Hopfield 神經(jīng)網(wǎng)絡(luò)的信任模型以及網(wǎng)絡(luò)可信度的評(píng)估方法，但未提出具體的算法描述。文獻(xiàn)[9]提出了一種基于遺傳神經(jīng)網(wǎng)絡(luò)的算法用于計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)估，但沒有給出具體的指標(biāo)體系。文獻(xiàn)[10]提出了一種多層次分析框架，采用隨機(jī)森林算法構(gòu)建網(wǎng)絡(luò)安全評(píng)估模型。

借鑒以上研究，考慮到接入控制環(huán)境的實(shí)際情況，本文提出一種改進(jìn)的隨機(jī)森林算法，對(duì)用戶接入和訪問行為進(jìn)行信任度量。

4.2 改進(jìn)的隨機(jī)森林的信任度量算法

4.2.1 隨機(jī)森林算法

隨機(jī)森林是在集成學(xué)習(xí)理論[11]的基礎(chǔ)上結(jié)合隨機(jī)子空間方法（Random Subspace method，RSM）[12]提出的基于決策樹的一種集成學(xué)習(xí)算法。構(gòu)造隨機(jī)森林的具體步驟如下文所述。

（1）樣本選取。假如有樣本庫D，則有放回地隨機(jī)選取N個(gè)樣本。選取好的樣本用來訓(xùn)練一棵決策樹。

（2）每個(gè)樣本有M個(gè)屬性，決策樹在每個(gè)節(jié)點(diǎn)需要分裂時(shí)，隨機(jī)從這M個(gè)屬性中選取m個(gè)屬性，然后從這m個(gè)屬性中采用某種策略選擇其中一個(gè)屬性。常見的決策樹算法有ID3 決策樹算法、C4.5 決策樹算法和分類回歸樹（Classification And Regression Tree，CART）算法。其中，ID3 決策樹算法以香農(nóng)信息論的信息增益率為衡量標(biāo)準(zhǔn)，C4.5決策樹算法通過信息增益率來選擇屬性，而CART決策樹算法以基尼不純度為劃分準(zhǔn)則。

（3）每一棵決策樹的形成過程都按照步驟2來分裂，直至所有葉子節(jié)點(diǎn)形成，整個(gè)決策樹形成過程中沒有剪枝步驟。

（4）按照步驟（1）～（3），建立包含S棵樹的隨機(jī)森林。

當(dāng)對(duì)一個(gè)新的樣本數(shù)據(jù)進(jìn)行分類時(shí)，隨機(jī)森林中的S棵決策樹都需要對(duì)樣本數(shù)據(jù)進(jìn)行分類判斷。隨機(jī)森林將每一棵決策樹的分類結(jié)果進(jìn)行匯總，最終的分類結(jié)果由隨機(jī)森林匯總的結(jié)果決定，一般采用“多數(shù)優(yōu)先”的投票方式或者判斷是否超過某一個(gè)閾值，來決定數(shù)據(jù)是否被劃為這一類。隨機(jī)森林建立的整個(gè)過程如圖3 所示。

圖3 隨機(jī)森林建立過程

4.2.2 算法改進(jìn)

考慮到網(wǎng)絡(luò)接入控制系統(tǒng)的實(shí)際應(yīng)用環(huán)境，在使用隨機(jī)森林算法時(shí)需要注意兩個(gè)方面的問題：一是在實(shí)際環(huán)境中，有安全風(fēng)險(xiǎn)的接入行為和訪問行為是少數(shù)，大多數(shù)是可信任的行為，采集的樣本是不平衡的；二是實(shí)際環(huán)境應(yīng)用時(shí)，需要盡可能快地訓(xùn)練出可用的模型用于信任度量，但信任度量面臨大量樣本和復(fù)雜的多維數(shù)據(jù)，需要加快模型訓(xùn)練速度。因此，可以從以下兩個(gè)方面進(jìn)行改進(jìn)。

（1）對(duì)訓(xùn)練樣本進(jìn)行處理

可采用改進(jìn)的合成少數(shù)過采樣技術(shù)（Synthetic Minority Oversampling Technique，SMOTE） 對(duì) 樣本數(shù)據(jù)進(jìn)行處理，減少不平衡樣本帶來的影響。SMOTE 本質(zhì)上是一個(gè)過采樣（oversampling）算法。該算法對(duì)劣勢(shì)類別的樣本，選取k∈[1,n]，其中n為劣勢(shì)類別的數(shù)量，直接對(duì)于k個(gè)數(shù)據(jù)取平均，得到新的數(shù)據(jù)樣本，這樣得到的新數(shù)據(jù)是對(duì)原數(shù)據(jù)的輕微擾動(dòng)，并且能夠保證新數(shù)據(jù)在原有的數(shù)據(jù)簇中。

（2）加快學(xué)習(xí)收斂時(shí)間

隨機(jī)森林的學(xué)習(xí)時(shí)間與樣本數(shù)量、決策樹數(shù)量、決策樹選取的樣本屬性數(shù)量密切相關(guān)。可結(jié)合AHP方法，首先對(duì)樣本屬性的權(quán)重進(jìn)行計(jì)算、排序，其次根據(jù)權(quán)重值選取前1/2的屬性作為樣本基礎(chǔ)屬性，既降低樣本屬性數(shù)量，又同時(shí)保留對(duì)訓(xùn)練結(jié)果有影響的重要屬性。

4.2.3 算法實(shí)現(xiàn)

（1）信任度分類

隨機(jī)森林是一種有監(jiān)督的分類算法，而在基于信任度量的接入控制中是通過計(jì)算信任度的高低來決定是否允許接入。因此，本文在運(yùn)用隨機(jī)森林算法時(shí)，首先將信任度根據(jù)取值區(qū)間劃分為5 類：信任度在[0,40]范圍為極不信任，在[41,60]范圍為不信任，在[61,80]范圍為基本信任，在[81,90]范圍為信任，在[91,100]范圍為非常信任。接入控制策略可依據(jù)不同的信任值類型來制定。

（2）信任度量指標(biāo)體系

對(duì)用戶接入與訪問的信任度量，應(yīng)綜合考慮用戶行為與所處環(huán)境的多種因素。因此，借鑒網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 等標(biāo)準(zhǔn)要求，接入控制系統(tǒng)的信任度量指標(biāo)體系應(yīng)包括用戶、終端、網(wǎng)絡(luò)、應(yīng)用、安全、策略等方面，具體如下文所述。

①用戶認(rèn)證與行為（U1～U16）

包括用戶類型等級(jí)、角色等級(jí)、認(rèn)證方式、歷史信任度、接入頻率、接入時(shí)間、平均接入時(shí)間、選擇接入方式的概率、接入失敗頻率、訪問業(yè)務(wù)頻率、時(shí)間頻率、時(shí)長、訪問資源頻率、時(shí)間頻率、時(shí)長、用戶與IP 關(guān)聯(lián)情況等。

②終端防護(hù)（H1～H7）

包括終端防護(hù)軟件、高/中漏洞數(shù)量、常見危險(xiǎn)端口、殺毒軟件、病毒庫版本、操作系統(tǒng)用戶類型、安全基線評(píng)分等。

③網(wǎng)絡(luò)環(huán)境（N1～N12）

總體流量情況包括網(wǎng)絡(luò)層流量大小、五元組會(huì)話數(shù)量、包長分布、新建連接數(shù)量、上行/下行流量比值、syn 數(shù)量比值等。用戶流量情況包括終端發(fā)起的新建連接數(shù)量、五元組數(shù)量、包長分布、流量大小、上行/下行流量比值、syn 數(shù)量比值等

④應(yīng)用防護(hù)（S1～S5）

根據(jù)每種協(xié)議制定，例如超文本傳輸協(xié)議（Hyper Text Transfer Protocol，HTTP），包括訪問時(shí)間、訪問資源頻率、HTTP 應(yīng)用類型、請(qǐng)求方法、上行和下行流量比值等。

⑤網(wǎng)絡(luò)攻擊（NA1～NA5）

包括攻擊數(shù)量、攻擊類型、攻擊威脅程度、與終端IP 相關(guān)的攻擊數(shù)量、與目的IP 相關(guān)的攻擊數(shù)量等。

⑥安全裝備與策略（P1～P6）

包括終端防護(hù)功能、局域網(wǎng)邊界防護(hù)功能、骨干網(wǎng)邊界防護(hù)功能、業(yè)務(wù)網(wǎng)絡(luò)邊界防護(hù)功能、過濾策略開啟情況、傳輸保護(hù)策略開啟情況等。

（3）樣本數(shù)據(jù)處理

包括數(shù)據(jù)歸一化處理和樣本平衡梳理。很多采集的數(shù)據(jù)不是數(shù)值類型，可轉(zhuǎn)化為數(shù)值類型數(shù)據(jù)，并進(jìn)行歸一化處理。例如終端防護(hù)功能的開啟，將它分為登陸控制、外設(shè)監(jiān)控、軟件監(jiān)控、網(wǎng)絡(luò)外聯(lián)控制、終端可信加固5 個(gè)功能，每開啟1 個(gè)功能，加0.2，那么終端防護(hù)功能的取值分布在[0,1]之間。其他類型數(shù)據(jù)采用類似的方式處理。樣本數(shù)據(jù)的平衡處理參照前述的SMOTE 方法進(jìn)行處理。

（4）樣本數(shù)據(jù)屬性的優(yōu)選

采用AHP 方法對(duì)以上指標(biāo)進(jìn)行權(quán)重計(jì)算，選擇權(quán)重大的1/2 指標(biāo)用于后續(xù)的隨機(jī)森林構(gòu)建。在計(jì)算權(quán)重時(shí)，可按照指標(biāo)體系的大類分別計(jì)算，例如安全裝備與策略一類，根據(jù)專家系統(tǒng)初步判斷其重要性比重依次為1,2,3,4,5,6，構(gòu)造判斷矩陣A，并根據(jù)判斷矩陣得到歸一化矩陣，兩個(gè)矩陣如下：

得出這幾種安全事件的一致性向量，經(jīng)過一致性檢查后，可得出權(quán)重向量為w=(0.38,0.25,0.16,0.10,0.07,0.04)T。計(jì)算得到各指標(biāo)的權(quán)重后，按照降序排列，選取前1/2 的指標(biāo)作為構(gòu)建決策樹的屬性。

（5）隨機(jī)森林生成參數(shù)的選擇

①樹的數(shù)目

森林中樹的棵數(shù)一般的取值范圍為（0,1 000），由于接入控制系統(tǒng)需要更快的收斂，本文默認(rèn)情況下為100 棵樹，后期可根據(jù)實(shí)際情況調(diào)優(yōu)。

②隨機(jī)屬性個(gè)數(shù)

單棵樹在生成時(shí)，隨機(jī)選擇的屬性個(gè)數(shù)，本文設(shè)定為M/3，其中M為優(yōu)選后的屬性總數(shù)。

（6）算法步驟

有訓(xùn)練數(shù)據(jù)集T={(x1,y1),(x2,y2),…,(xm,ym)}，屬性集A={a1,a2,…,ad}，訓(xùn)練步驟如圖4 所示。

圖4 基于隨機(jī)森林的信任度量算法步驟

其中，在產(chǎn)生葉子節(jié)點(diǎn)時(shí)，確定葉子的特征采用基尼指數(shù)算法，算法流程如下：

假定當(dāng)前訓(xùn)練數(shù)據(jù)集T，屬性集合A，其中T的第k類樣本所占的比例為pk(k=1,2,…,|y|)，基尼值為：

假定屬性a有v個(gè)可能的取值{a1,a2,…,av}，若使用a對(duì)訓(xùn)練集T進(jìn)行劃分，則會(huì)產(chǎn)生v個(gè)分支節(jié)點(diǎn)。對(duì)于第v個(gè)分支節(jié)點(diǎn)包含了T中所有在屬性a上取值為av的樣本，記為Tv?？捎?jì)算屬性a的基尼指數(shù)為：

選擇候選屬性集合A中基尼指數(shù)最小的屬性作為最優(yōu)劃分屬性，即：

5 結(jié)語

本文提出了基于持續(xù)信任度量的接入控制模型，并基于此模型設(shè)計(jì)了動(dòng)態(tài)信任的接入管控體系和工作流程，同時(shí)，提出了一種基于隨機(jī)森林的信任度量方法，結(jié)合SMOTE 和AHP 對(duì)多維樣本屬性進(jìn)行處理和優(yōu)選，解決了樣本數(shù)不平衡和加快訓(xùn)練收斂的問題?；趧?dòng)態(tài)信任度量的接入管控體系實(shí)現(xiàn)了從靜態(tài)認(rèn)證到動(dòng)態(tài)信任模式的轉(zhuǎn)變，在廣域網(wǎng)絡(luò)和云平臺(tái)等環(huán)境中有廣泛的應(yīng)用前景。