基于多維度網(wǎng)絡(luò)安全行為的信任評估模型*

李佳楠，周 吉，陰俊愷

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

伴隨著云計算、大數(shù)據(jù)等技術(shù)的飛速發(fā)展和廣泛應(yīng)用，各類應(yīng)用服務(wù)之間的網(wǎng)絡(luò)邊界變得越來越模糊化。在這類模糊化的應(yīng)用網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)防御手段相對缺乏，基于邊界的網(wǎng)絡(luò)防護(hù)手段越來越無法應(yīng)對新型的網(wǎng)絡(luò)攻擊技術(shù)。美國網(wǎng)絡(luò)安全公司Cybersecurity Ventures 發(fā)布的《2017 年度網(wǎng)絡(luò)犯罪報告》中預(yù)測，到2021 年網(wǎng)絡(luò)犯罪所致全球經(jīng)濟(jì)損失總額將達(dá)6 萬億美元/年，比2015 年的3 萬億美元足足翻了一倍[1]。傳統(tǒng)的網(wǎng)絡(luò)安全結(jié)構(gòu)是把不同的網(wǎng)絡(luò)劃分為不同的區(qū)域，不同區(qū)域之間使用防火墻或者網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）設(shè)備進(jìn)行隔離，并根據(jù)網(wǎng)絡(luò)中資源的重要程度賦予網(wǎng)絡(luò)不同的信任等級，這種固定的信任等級決定了不同網(wǎng)絡(luò)資源的訪問權(quán)限[2]?；谶吔绶雷o(hù)的安全模型提供了非常強(qiáng)大的邊界防御的能力，但實際上，固定的網(wǎng)絡(luò)邊界存在被破壞的風(fēng)險，一旦擁有突破網(wǎng)絡(luò)邊界的技術(shù)手段，就會造成巨大的網(wǎng)絡(luò)安全危害，具體來講主要有以下幾個問題：（1）缺乏對內(nèi)部流量的監(jiān)測，無法檢測出來自網(wǎng)絡(luò)內(nèi)部的攻擊和誤操作；（2）終端部署缺乏靈活性，不同安全等級的終端必須部署在相應(yīng)的分區(qū)，并且需要對安全分區(qū)進(jìn)行隔離和策略設(shè)置；（3）無法滿足云平臺部署環(huán)境下的網(wǎng)絡(luò)防護(hù)需求，當(dāng)所有的應(yīng)用服務(wù)都部署在同一個云環(huán)境中時，網(wǎng)絡(luò)邊界會越來越模糊，邊界模型難以發(fā)揮有效的防護(hù)效能；（4）信任等級不可變，傳統(tǒng)的身份信任等級依靠身份認(rèn)證系統(tǒng)和權(quán)限控制系統(tǒng)靜態(tài)分配，內(nèi)部用戶或者終端被控制后還是可信的，攻擊者可通過橫向攻擊來危害整個內(nèi)部系統(tǒng)。

在頻繁動態(tài)變化的復(fù)雜網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)實體的各類網(wǎng)絡(luò)行為存在不可信問題，這會引起應(yīng)用訪問安全風(fēng)險增加。傳統(tǒng)的僅基于公鑰基礎(chǔ)設(shè)施和數(shù)字證書的靜態(tài)信任機(jī)制無法滿足復(fù)雜網(wǎng)絡(luò)域的身份認(rèn)證和應(yīng)用訪問控制需求[3-4]，因此，動態(tài)的信任關(guān)系管理成為新型網(wǎng)絡(luò)環(huán)境下信任管理研究的熱點方向。動態(tài)信任管理是通過對用戶的網(wǎng)絡(luò)行為進(jìn)行持續(xù)、動態(tài)的可信評估來實現(xiàn)網(wǎng)絡(luò)安全的新技術(shù)，強(qiáng)調(diào)對網(wǎng)絡(luò)實體行為數(shù)據(jù)進(jìn)行動態(tài)收集、度量和評估，為實現(xiàn)跨域協(xié)作和可信互聯(lián)提供訪問控制策略基礎(chǔ)支撐[5]，而研究網(wǎng)絡(luò)信任度量模型和評估方法是對網(wǎng)絡(luò)實體進(jìn)行動態(tài)信任管理必須解決的核心問題，需要收集多維度的用戶行為，并對用戶的信任度進(jìn)行實時、動態(tài)的評估，根據(jù)評估結(jié)果，調(diào)整用戶的訪問策略，動態(tài)地改變用戶在系統(tǒng)中的訪問權(quán)限，實現(xiàn)動態(tài)訪問控制[6]。為了達(dá)到這一目標(biāo)，最核心的工作是要建立一種從多維度的信任度評估方法和模型，能夠全方位地收集用戶的影響信任度的信息，并根據(jù)計算策略，實時動態(tài)地評估出用戶的信任值，并且給出合理的信任等級，為后續(xù)用戶訪問策略的動態(tài)調(diào)整給出可信的依據(jù)。

1 研究現(xiàn)狀

對于信任值和信任等級的評估度量，目前國內(nèi)外出現(xiàn)了不少極具代表性的信任評估模型，這些信任評估模型和度量方法基本上是基于用戶和服務(wù)提供商之間的信任關(guān)系形成和傳播方法建立的，主要使用了基于fuzzy 數(shù)學(xué)理論、概率統(tǒng)計、主觀邏輯學(xué)和相關(guān)證據(jù)理論的方式來對信任值進(jìn)行評估，這些評估模型在信任評估的內(nèi)容指標(biāo)、評估方式和所用的基本模型方面存在比較大的差異[7]。很多研究參考了Josang 關(guān)于對用戶之間信譽(yù)度評估的模型，其側(cè)重點在于分析服務(wù)提供者的可信性，例如：Beth 提出的信任度評估方法[8-9]使用歷史經(jīng)驗的來計算信任關(guān)系的度量值；Shojaee 等人提出了基于用戶之間好評和差評的反饋來計算服務(wù)用戶的信任值的方法。除了國外的研究學(xué)者，我國學(xué)者也進(jìn)行了相關(guān)研究，例如：楊蕊嵐[7]提出了一種多級模糊評估模型來計算云計算中用戶的信任度，這種信任評估主要是解決服務(wù)端的信任度評估，研究路線是基于路徑的服務(wù)信任值，主要針對集群部署計算環(huán)境及選擇性服務(wù)相關(guān)的可信度評估，其目的是篩選出最優(yōu)服務(wù)組合；張艷群等[4]提出了一種基于模糊數(shù)學(xué)的信任度量模型，主要通過在網(wǎng)絡(luò)系統(tǒng)中通過用戶自評價和互評價來計算用戶與服務(wù)用戶之間的信任值。張艷群等提出的評估模型的缺點在于對信任值的評價標(biāo)準(zhǔn)比較單一，僅通過單純的信任和不信任來計算用戶的信任等級的方式合理性不足；而且評估對象也只是針對用戶自身或者用戶之間，沒有一個比較權(quán)威的機(jī)構(gòu)和相對公正的方法來確保評估的正確性和公平性，沒有給權(quán)威機(jī)構(gòu)和普通用戶分配不同的評估比重；再者，應(yīng)用服務(wù)系統(tǒng)對于訪問者的信任度評估靈活性不足，無法解決人員應(yīng)用訪問控制問題，也無法應(yīng)對信任值動態(tài)變化的問題。上述方法的使用加強(qiáng)了應(yīng)用系統(tǒng)之間的協(xié)同性和安全性，可有效檢測出網(wǎng)絡(luò)中的不可信實體和惡意實體的惡意行為，但是評估模型的動態(tài)適應(yīng)性和健壯性還有待提高。上述方法主要存在以下幾個問題：

（1）信任評估的維度不夠全面。評價用戶或者應(yīng)用系統(tǒng)信任度的因素應(yīng)當(dāng)是多方面的，并且每種因素對信任度閾值的影響因子也不同，使用單一的影響因子來進(jìn)行信任的度量不夠全面，無法實際反映用戶的真實信任值；

（2）在進(jìn)行信任值評估時，對用戶在使用應(yīng)用系統(tǒng)過程中的身份認(rèn)證、網(wǎng)絡(luò)流量、終端安全性等各類變化因素欠缺考慮，導(dǎo)致信任度評估模型無法動態(tài)地評估用戶的信任值，并且評估模型無法針對網(wǎng)絡(luò)環(huán)境的變化自適應(yīng)地調(diào)整信任值度量和評估策略，從而影響信任度量和信任評估的準(zhǔn)確性和合理性。

（3）目前的信任評估模型僅能抵御和防護(hù)簡單的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)欺騙行為，無法抵御內(nèi)部攻擊、聯(lián)合攻擊等復(fù)雜隱蔽的攻擊手段，無法對復(fù)雜攻擊方做出迅速有效的信任度評估，從而導(dǎo)致評估模型的健壯性和適應(yīng)性不足。

針對以上問題，本文提出了一種適用于新型復(fù)雜網(wǎng)絡(luò)環(huán)境的多維度動態(tài)信任評估模型和評估方法。首先建立用戶的基礎(chǔ)信任值；其次從用戶的身份認(rèn)證、終端安全、威脅情報、應(yīng)用訪問等多個維度動態(tài)地收集用戶的網(wǎng)絡(luò)訪問行為作為信任度評估的指標(biāo)數(shù)據(jù)，借助相應(yīng)的數(shù)據(jù)評估模型通過對信任數(shù)據(jù)進(jìn)行分析，計算出網(wǎng)絡(luò)實體的信任值；最后通過信任度量模型得出用戶的信任等級。通過這種基于信任度、動態(tài)信任度和綜合信任等級的評估方法，增強(qiáng)多維度動態(tài)信任模型的自適應(yīng)評估能力，提高網(wǎng)絡(luò)實體信任度評估和信任等級決策的合理性和準(zhǔn)確性。

2 多維信任模型設(shè)計

為了確保信任度量值準(zhǔn)確合理、健壯靈活，需要構(gòu)建具備多維評估因子。首先需要構(gòu)建基礎(chǔ)的信任評估模型和評估指標(biāo)體系，并依據(jù)指標(biāo)體系收集信任基礎(chǔ)信息，建立基礎(chǔ)模型。在系統(tǒng)運行過程中，通過信任數(shù)據(jù)采集軟件，從認(rèn)證、流量、安全等多個維度持續(xù)收集各類信任指標(biāo)數(shù)據(jù)，通過評估模型實時動態(tài)地調(diào)整信任值和信任等級。

2.1 多維信任評估流程設(shè)計

為了實現(xiàn)多維度信任等級評估，需要實現(xiàn)基準(zhǔn)值建立、數(shù)據(jù)收集、數(shù)據(jù)分析和信任評估等功能。多維度信任評估的流程主要包括信任基礎(chǔ)值建立、信任指標(biāo)數(shù)據(jù)收集、信任指標(biāo)數(shù)據(jù)處理、信任指標(biāo)數(shù)據(jù)分析、信任值度量和信任等級評估這幾個步驟。先基于人員信息、設(shè)備信息和應(yīng)用信息來構(gòu)建基礎(chǔ)信任值，再通過收集信任指標(biāo)身份認(rèn)證、網(wǎng)絡(luò)流量、終端安全數(shù)據(jù)為信任評估提供數(shù)據(jù)支撐，然后就使用數(shù)據(jù)處理規(guī)則處理數(shù)據(jù)，接著通過數(shù)據(jù)分析模型對數(shù)據(jù)進(jìn)行分析，并通過度量模型來計算信任值和信息等級，最后可通過信任值和信任等級對用戶訪問應(yīng)用進(jìn)行動態(tài)的授權(quán)和控制。信任指標(biāo)數(shù)據(jù)及其計算流程如圖1 所示。

圖1 多維度信任評估流程

（1）信任基礎(chǔ)值建立：收集用戶的身份信息、使用的終端設(shè)備的基本信息和需要訪問的應(yīng)用的數(shù)據(jù)敏感度信息，通過相應(yīng)的加權(quán)和平均運算，得出用戶的信任基本值。

（2）信任指標(biāo)數(shù)據(jù)收集：通過收集用戶身份認(rèn)證、網(wǎng)絡(luò)流程、終端安全、業(yè)務(wù)訪問和威脅通報等有關(guān)影響信任值的關(guān)鍵數(shù)據(jù)來實現(xiàn)信任指標(biāo)數(shù)據(jù)的收集，以支撐后續(xù)的信任值計算和信任評估。

（3）信任指標(biāo)數(shù)據(jù)處理：在收集到各種類型的信任指標(biāo)數(shù)據(jù)后，需要對信任指標(biāo)數(shù)據(jù)進(jìn)行分類和歸類處理，依據(jù)提前設(shè)置好的數(shù)據(jù)處理規(guī)則，針對數(shù)據(jù)類型、危害等級、信任加權(quán)等級等因素進(jìn)行加權(quán)分類處理。

（4）信任指標(biāo)數(shù)據(jù)分析：使用處理好的信任指標(biāo)數(shù)據(jù)，為不同維度、不同等級的信任指標(biāo)數(shù)據(jù)賦予不同的加權(quán)因子，并借助模糊貼近度的信任指標(biāo)評估模型對信任指標(biāo)數(shù)據(jù)進(jìn)行評估，計算出用戶的綜合信任值。

（5）信任等級評估：根據(jù)信任指標(biāo)數(shù)據(jù)分析得出的信任評估值，結(jié)合不同信任值在實際業(yè)務(wù)訪問中的信任行為，使用機(jī)器學(xué)習(xí)算法，得出信任度量模型；根據(jù)信任度量模型，可精準(zhǔn)地評估出該網(wǎng)絡(luò)實體的信任等級。

2.2 系統(tǒng)架構(gòu)設(shè)計

多維度動態(tài)信任評估系統(tǒng)以用戶身份信息、操作終端設(shè)備信息和網(wǎng)絡(luò)環(huán)境信息為基礎(chǔ)，構(gòu)建網(wǎng)絡(luò)實體的基礎(chǔ)信任值；通過動態(tài)收集用戶終端、身份認(rèn)證系統(tǒng)、監(jiān)控分析系統(tǒng)和訪問控制系統(tǒng)中對網(wǎng)絡(luò)實體的信任值存在影響關(guān)系的數(shù)據(jù)，實現(xiàn)信任動態(tài)指標(biāo)數(shù)據(jù)收集；對動態(tài)收集到的信任指標(biāo)數(shù)據(jù)進(jìn)行數(shù)據(jù)格式處理，并基于信任數(shù)據(jù)分析引擎對數(shù)據(jù)進(jìn)行綜合分析，篩選有價值數(shù)據(jù)；再使用信任度量模型計算信任值，根據(jù)信任等級評估模型完成對信任等級的評估；最后輸出信任等級來支撐訪問授權(quán)系統(tǒng)生成相應(yīng)的應(yīng)用和數(shù)據(jù)訪問控制策略，如圖2所示。

圖2 多維度信任評估模型架構(gòu)設(shè)計

2.3 基礎(chǔ)信任值構(gòu)建

用戶基礎(chǔ)信任值的構(gòu)建基于用戶的身份信息、設(shè)備信息、訪問應(yīng)用的安全等級信息。多維度信任評估模型首先根據(jù)用戶、設(shè)備和環(huán)境的基本信息確定用戶基礎(chǔ)信任值；其次在用戶使用設(shè)備訪問應(yīng)用時，根據(jù)用戶身份、設(shè)備和環(huán)境認(rèn)證信息確定用戶的合法身份，生成基礎(chǔ)信任值，并根據(jù)預(yù)先設(shè)定好的策略依據(jù)基礎(chǔ)信任值為用戶分配應(yīng)用和數(shù)據(jù)的訪問權(quán)限。

2.4 多維信任數(shù)據(jù)采集

信任數(shù)據(jù)采集通過部署多維度信任信息采集插件來實現(xiàn)評估元數(shù)據(jù)的采集，評估數(shù)據(jù)包括用戶的終端、身份認(rèn)證、監(jiān)控分析和訪問控制等，如圖3所示。其中，用戶終端數(shù)據(jù)可通過使用專用的終端信任數(shù)據(jù)采集插件來采集，也可通過引接主機(jī)監(jiān)控軟件和殺毒軟件的日志信息來獲?。簧矸菡J(rèn)證數(shù)據(jù)可通過在身份認(rèn)證系統(tǒng)部署信任數(shù)據(jù)采集插件來實現(xiàn)；監(jiān)控分析數(shù)據(jù)主要是從入侵監(jiān)測、安全管理、監(jiān)控審計系統(tǒng)中提取的安全評估數(shù)據(jù)；訪問控制數(shù)據(jù)可從應(yīng)用訪問控制設(shè)備、Web 防火墻、入侵監(jiān)測等設(shè)備中獲取。

圖3 多維信任數(shù)據(jù)采集模型

2.5 信任數(shù)據(jù)管理

信任數(shù)據(jù)管理模塊主要負(fù)責(zé)對采集到的原始數(shù)據(jù)進(jìn)行基本的數(shù)據(jù)處理和存儲，通過預(yù)設(shè)的數(shù)據(jù)處理規(guī)則，對數(shù)據(jù)進(jìn)行分類和歸類等標(biāo)準(zhǔn)化處理[8]，處理流程如圖4 所示。

圖4 信任數(shù)據(jù)管理流程

（1）讀取一條原始的信任數(shù)據(jù)，與規(guī)則池中的數(shù)據(jù)處理規(guī)則進(jìn)行匹配。

（2）如果匹配成功，表明信任數(shù)據(jù)管理模塊支持該數(shù)據(jù)的標(biāo)準(zhǔn)化處理，則按照處理策略對數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理。如果匹配失敗，則將該數(shù)據(jù)存放在待處理存儲區(qū)，管理員可通過后續(xù)對數(shù)據(jù)進(jìn)行分析，通過新增處理策略來處理該類信任數(shù)據(jù)。

（3）在處理完數(shù)據(jù)后，對數(shù)據(jù)進(jìn)行歸一化處理。將所有信任日志信息都?xì)w納為時間、主體、客體、行為、信任加權(quán)、危害等級等信息，再將以上抽象事件使用向量的形式描述建模。日志格式的解析提取采用正則表達(dá)式方式處理，同時采用映射賦值和直接賦值進(jìn)行字段統(tǒng)一表示，將不同設(shè)備的事件等級映射為標(biāo)準(zhǔn)的等級。

（4）對數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)和歸一化處理后，將數(shù)據(jù)以標(biāo)準(zhǔn)格式存放在數(shù)據(jù)庫中。

2.6 信任數(shù)據(jù)分析和評估

信任數(shù)據(jù)分析以用戶的各種身份認(rèn)證信息、設(shè)備信息和環(huán)境信息為基準(zhǔn)，確定用戶信任基礎(chǔ)值，結(jié)合系統(tǒng)運行過程中實時收集到的多維信任指標(biāo)數(shù)據(jù)，借助模糊貼近度的信任指標(biāo)評估模型對信任指標(biāo)數(shù)據(jù)進(jìn)行評估，計算出用戶的綜合信任值。假設(shè)網(wǎng)絡(luò)實體評估具有n個評估指標(biāo){W1,W2,…,Wn-1,Wn}，并且有m個決策項。設(shè)第i個決策項對第j個指標(biāo)Wj的評價為(uij,vij)(i∈1,2,…,m,j∈1,2,…,n)，其中，uij∈[0,um]，vij∈[0,um]，且uij

式中：u∈[0,xm]。令：

權(quán)重?j可根據(jù)實際經(jīng)驗進(jìn)行調(diào)整，則網(wǎng)絡(luò)實體的綜合信任值為：

2.7 優(yōu) 化

信任指標(biāo)體系和評估方法目前還具有進(jìn)一步擴(kuò)展的空間，例如：可以引入物理空間坐標(biāo)和時域的有關(guān)信息；在信任指標(biāo)處理時，可以增加清洗規(guī)則，減少臟數(shù)據(jù)對信任評估結(jié)果的影響；在進(jìn)行信任數(shù)據(jù)分析和評估時，可以使用基于機(jī)器學(xué)習(xí)的評估模型進(jìn)行評估[9]，通過使用樣本數(shù)據(jù)進(jìn)行訓(xùn)練，簡化各指標(biāo)權(quán)重因子的確定過程，提升信任評估的準(zhǔn)確性。

3 結(jié)語

本文針對目前基于邊界防護(hù)模型的網(wǎng)絡(luò)安全體系在日益發(fā)展的網(wǎng)絡(luò)架構(gòu)中面臨的問題和挑戰(zhàn)，基于信任的網(wǎng)絡(luò)防護(hù)理念，進(jìn)行了多維度信任評估模型架構(gòu)的設(shè)計和實現(xiàn)?；诙嗑S度信任評估模型和方法的架構(gòu)體系實現(xiàn)了對信任值的多維度指標(biāo)數(shù)據(jù)的采集和處理，并使用模糊貼近度的方法對信任指標(biāo)數(shù)據(jù)進(jìn)行分析和評估，然后根據(jù)實時變化的評估值對用戶訪問應(yīng)用進(jìn)行動態(tài)持續(xù)的控制，構(gòu)建了基于信任的網(wǎng)絡(luò)安全架構(gòu)體系的基本模型和信任值評估方法。后續(xù)研究中，將擴(kuò)展多維度信任評估模型指標(biāo)體系的涵蓋范圍，優(yōu)化信任評估方法的模型，以實現(xiàn)對更多與信任值相關(guān)的指標(biāo)數(shù)據(jù)的采集和評估，提高信任評估數(shù)據(jù)的準(zhǔn)確性，降低和消除臟數(shù)據(jù)對信任評估誤差的影響[10]，提升信任評估的準(zhǔn)確性和可靠性，增強(qiáng)網(wǎng)絡(luò)實體應(yīng)用訪問控制的合理性和有效性，為實現(xiàn)基于信任的網(wǎng)絡(luò)安全架構(gòu)體系的構(gòu)建提供有效支撐。