基于多維度網絡安全行為的信任評估模型*

李佳楠，周 吉，陰俊愷

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

伴隨著云計算、大數據等技術的飛速發展和廣泛應用，各類應用服務之間的網絡邊界變得越來越模糊化。在這類模糊化的應用網絡環境中，網絡防御手段相對缺乏，基于邊界的網絡防護手段越來越無法應對新型的網絡攻擊技術。美國網絡安全公司Cybersecurity Ventures 發布的《2017 年度網絡犯罪報告》中預測，到2021 年網絡犯罪所致全球經濟損失總額將達6 萬億美元/年，比2015 年的3 萬億美元足足翻了一倍[1]。傳統的網絡安全結構是把不同的網絡劃分為不同的區域，不同區域之間使用防火墻或者網絡地址轉換（Network Address Translation，NAT）設備進行隔離，并根據網絡中資源的重要程度賦予網絡不同的信任等級，這種固定的信任等級決定了不同網絡資源的訪問權限[2]。基于邊界防護的安全模型提供了非常強大的邊界防御的能力，但實際上，固定的網絡邊界存在被破壞的風險，一旦擁有突破網絡邊界的技術手段，就會造成巨大的網絡安全危害，具體來講主要有以下幾個問題：（1）缺乏對內部流量的監測，無法檢測出來自網絡內部的攻擊和誤操作；（2）終端部署缺乏靈活性，不同安全等級的終端必須部署在相應的分區，并且需要對安全分區進行隔離和策略設置；（3）無法滿足云平臺部署環境下的網絡防護需求，當所有的應用服務都部署在同一個云環境中時，網絡邊界會越來越模糊，邊界模型難以發揮有效的防護效能；（4）信任等級不可變，傳統的身份信任等級依靠身份認證系統和權限控制系統靜態分配，內部用戶或者終端被控制后還是可信的，攻擊者可通過橫向攻擊來危害整個內部系統。

在頻繁動態變化的復雜網絡環境下，網絡實體的各類網絡行為存在不可信問題，這會引起應用訪問安全風險增加。傳統的僅基于公鑰基礎設施和數字證書的靜態信任機制無法滿足復雜網絡域的身份認證和應用訪問控制需求[3-4]，因此，動態的信任關系管理成為新型網絡環境下信任管理研究的熱點方向。動態信任管理是通過對用戶的網絡行為進行持續、動態的可信評估來實現網絡安全的新技術，強調對網絡實體行為數據進行動態收集、度量和評估，為實現跨域協作和可信互聯提供訪問控制策略基礎支撐[5]，而研究網絡信任度量模型和評估方法是對網絡實體進行動態信任管理必須解決的核心問題，需要收集多維度的用戶行為，并對用戶的信任度進行實時、動態的評估，根據評估結果，調整用戶的訪問策略，動態地改變用戶在系統中的訪問權限，實現動態訪問控制[6]。為了達到這一目標，最核心的工作是要建立一種從多維度的信任度評估方法和模型，能夠全方位地收集用戶的影響信任度的信息，并根據計算策略，實時動態地評估出用戶的信任值，并且給出合理的信任等級，為后續用戶訪問策略的動態調整給出可信的依據。

1 研究現狀

對于信任值和信任等級的評估度量，目前國內外出現了不少極具代表性的信任評估模型，這些信任評估模型和度量方法基本上是基于用戶和服務提供商之間的信任關系形成和傳播方法建立的，主要使用了基于fuzzy 數學理論、概率統計、主觀邏輯學和相關證據理論的方式來對信任值進行評估，這些評估模型在信任評估的內容指標、評估方式和所用的基本模型方面存在比較大的差異[7]。很多研究參考了Josang 關于對用戶之間信譽度評估的模型，其側重點在于分析服務提供者的可信性，例如：Beth 提出的信任度評估方法[8-9]使用歷史經驗的來計算信任關系的度量值；Shojaee 等人提出了基于用戶之間好評和差評的反饋來計算服務用戶的信任值的方法。除了國外的研究學者，我國學者也進行了相關研究，例如：楊蕊嵐[7]提出了一種多級模糊評估模型來計算云計算中用戶的信任度，這種信任評估主要是解決服務端的信任度評估，研究路線是基于路徑的服務信任值，主要針對集群部署計算環境及選擇性服務相關的可信度評估，其目的是篩選出最優服務組合；張艷群等[4]提出了一種基于模糊數學的信任度量模型，主要通過在網絡系統中通過用戶自評價和互評價來計算用戶與服務用戶之間的信任值。張艷群等提出的評估模型的缺點在于對信任值的評價標準比較單一，僅通過單純的信任和不信任來計算用戶的信任等級的方式合理性不足；而且評估對象也只是針對用戶自身或者用戶之間，沒有一個比較權威的機構和相對公正的方法來確保評估的正確性和公平性，沒有給權威機構和普通用戶分配不同的評估比重；再者，應用服務系統對于訪問者的信任度評估靈活性不足，無法解決人員應用訪問控制問題，也無法應對信任值動態變化的問題。上述方法的使用加強了應用系統之間的協同性和安全性，可有效檢測出網絡中的不可信實體和惡意實體的惡意行為，但是評估模型的動態適應性和健壯性還有待提高。上述方法主要存在以下幾個問題：

（1）信任評估的維度不夠全面。評價用戶或者應用系統信任度的因素應當是多方面的，并且每種因素對信任度閾值的影響因子也不同，使用單一的影響因子來進行信任的度量不夠全面，無法實際反映用戶的真實信任值；

（2）在進行信任值評估時，對用戶在使用應用系統過程中的身份認證、網絡流量、終端安全性等各類變化因素欠缺考慮，導致信任度評估模型無法動態地評估用戶的信任值，并且評估模型無法針對網絡環境的變化自適應地調整信任值度量和評估策略，從而影響信任度量和信任評估的準確性和合理性。

（3）目前的信任評估模型僅能抵御和防護簡單的網絡攻擊和網絡欺騙行為，無法抵御內部攻擊、聯合攻擊等復雜隱蔽的攻擊手段，無法對復雜攻擊方做出迅速有效的信任度評估，從而導致評估模型的健壯性和適應性不足。

針對以上問題，本文提出了一種適用于新型復雜網絡環境的多維度動態信任評估模型和評估方法。首先建立用戶的基礎信任值；其次從用戶的身份認證、終端安全、威脅情報、應用訪問等多個維度動態地收集用戶的網絡訪問行為作為信任度評估的指標數據，借助相應的數據評估模型通過對信任數據進行分析，計算出網絡實體的信任值；最后通過信任度量模型得出用戶的信任等級。通過這種基于信任度、動態信任度和綜合信任等級的評估方法，增強多維度動態信任模型的自適應評估能力，提高網絡實體信任度評估和信任等級決策的合理性和準確性。

2 多維信任模型設計

為了確保信任度量值準確合理、健壯靈活，需要構建具備多維評估因子。首先需要構建基礎的信任評估模型和評估指標體系，并依據指標體系收集信任基礎信息，建立基礎模型。在系統運行過程中，通過信任數據采集軟件，從認證、流量、安全等多個維度持續收集各類信任指標數據，通過評估模型實時動態地調整信任值和信任等級。

2.1 多維信任評估流程設計

為了實現多維度信任等級評估，需要實現基準值建立、數據收集、數據分析和信任評估等功能。多維度信任評估的流程主要包括信任基礎值建立、信任指標數據收集、信任指標數據處理、信任指標數據分析、信任值度量和信任等級評估這幾個步驟。先基于人員信息、設備信息和應用信息來構建基礎信任值，再通過收集信任指標身份認證、網絡流量、終端安全數據為信任評估提供數據支撐，然后就使用數據處理規則處理數據，接著通過數據分析模型對數據進行分析，并通過度量模型來計算信任值和信息等級，最后可通過信任值和信任等級對用戶訪問應用進行動態的授權和控制。信任指標數據及其計算流程如圖1 所示。

圖1 多維度信任評估流程

（1）信任基礎值建立：收集用戶的身份信息、使用的終端設備的基本信息和需要訪問的應用的數據敏感度信息，通過相應的加權和平均運算，得出用戶的信任基本值。

（2）信任指標數據收集：通過收集用戶身份認證、網絡流程、終端安全、業務訪問和威脅通報等有關影響信任值的關鍵數據來實現信任指標數據的收集，以支撐后續的信任值計算和信任評估。

（3）信任指標數據處理：在收集到各種類型的信任指標數據后，需要對信任指標數據進行分類和歸類處理，依據提前設置好的數據處理規則，針對數據類型、危害等級、信任加權等級等因素進行加權分類處理。

（4）信任指標數據分析：使用處理好的信任指標數據，為不同維度、不同等級的信任指標數據賦予不同的加權因子，并借助模糊貼近度的信任指標評估模型對信任指標數據進行評估，計算出用戶的綜合信任值。

（5）信任等級評估：根據信任指標數據分析得出的信任評估值，結合不同信任值在實際業務訪問中的信任行為，使用機器學習算法，得出信任度量模型；根據信任度量模型，可精準地評估出該網絡實體的信任等級。

2.2 系統架構設計

多維度動態信任評估系統以用戶身份信息、操作終端設備信息和網絡環境信息為基礎，構建網絡實體的基礎信任值；通過動態收集用戶終端、身份認證系統、監控分析系統和訪問控制系統中對網絡實體的信任值存在影響關系的數據，實現信任動態指標數據收集；對動態收集到的信任指標數據進行數據格式處理，并基于信任數據分析引擎對數據進行綜合分析，篩選有價值數據；再使用信任度量模型計算信任值，根據信任等級評估模型完成對信任等級的評估；最后輸出信任等級來支撐訪問授權系統生成相應的應用和數據訪問控制策略，如圖2所示。

圖2 多維度信任評估模型架構設計

2.3 基礎信任值構建

用戶基礎信任值的構建基于用戶的身份信息、設備信息、訪問應用的安全等級信息。多維度信任評估模型首先根據用戶、設備和環境的基本信息確定用戶基礎信任值；其次在用戶使用設備訪問應用時，根據用戶身份、設備和環境認證信息確定用戶的合法身份，生成基礎信任值，并根據預先設定好的策略依據基礎信任值為用戶分配應用和數據的訪問權限。

2.4 多維信任數據采集

信任數據采集通過部署多維度信任信息采集插件來實現評估元數據的采集，評估數據包括用戶的終端、身份認證、監控分析和訪問控制等，如圖3所示。其中，用戶終端數據可通過使用專用的終端信任數據采集插件來采集，也可通過引接主機監控軟件和殺毒軟件的日志信息來獲取；身份認證數據可通過在身份認證系統部署信任數據采集插件來實現；監控分析數據主要是從入侵監測、安全管理、監控審計系統中提取的安全評估數據；訪問控制數據可從應用訪問控制設備、Web 防火墻、入侵監測等設備中獲取。

圖3 多維信任數據采集模型

2.5 信任數據管理

信任數據管理模塊主要負責對采集到的原始數據進行基本的數據處理和存儲，通過預設的數據處理規則，對數據進行分類和歸類等標準化處理[8]，處理流程如圖4 所示。

圖4 信任數據管理流程

（1）讀取一條原始的信任數據，與規則池中的數據處理規則進行匹配。

（2）如果匹配成功，表明信任數據管理模塊支持該數據的標準化處理，則按照處理策略對數據進行標準化處理。如果匹配失敗，則將該數據存放在待處理存儲區，管理員可通過后續對數據進行分析，通過新增處理策略來處理該類信任數據。

（3）在處理完數據后，對數據進行歸一化處理。將所有信任日志信息都歸納為時間、主體、客體、行為、信任加權、危害等級等信息，再將以上抽象事件使用向量的形式描述建模。日志格式的解析提取采用正則表達式方式處理，同時采用映射賦值和直接賦值進行字段統一表示，將不同設備的事件等級映射為標準的等級。

（4）對數據進行標準和歸一化處理后，將數據以標準格式存放在數據庫中。

2.6 信任數據分析和評估

信任數據分析以用戶的各種身份認證信息、設備信息和環境信息為基準，確定用戶信任基礎值，結合系統運行過程中實時收集到的多維信任指標數據，借助模糊貼近度的信任指標評估模型對信任指標數據進行評估，計算出用戶的綜合信任值。假設網絡實體評估具有n個評估指標{W1,W2,…,Wn-1,Wn}，并且有m個決策項。設第i個決策項對第j個指標Wj的評價為(uij,vij)(i∈1,2,…,m,j∈1,2,…,n)，其中，uij∈[0,um]，vij∈[0,um]，且uij

式中：u∈[0,xm]。令：

權重?j可根據實際經驗進行調整，則網絡實體的綜合信任值為：

2.7 優 化

信任指標體系和評估方法目前還具有進一步擴展的空間，例如：可以引入物理空間坐標和時域的有關信息；在信任指標處理時，可以增加清洗規則，減少臟數據對信任評估結果的影響；在進行信任數據分析和評估時，可以使用基于機器學習的評估模型進行評估[9]，通過使用樣本數據進行訓練，簡化各指標權重因子的確定過程，提升信任評估的準確性。

3 結語

本文針對目前基于邊界防護模型的網絡安全體系在日益發展的網絡架構中面臨的問題和挑戰，基于信任的網絡防護理念，進行了多維度信任評估模型架構的設計和實現。基于多維度信任評估模型和方法的架構體系實現了對信任值的多維度指標數據的采集和處理，并使用模糊貼近度的方法對信任指標數據進行分析和評估，然后根據實時變化的評估值對用戶訪問應用進行動態持續的控制，構建了基于信任的網絡安全架構體系的基本模型和信任值評估方法。后續研究中，將擴展多維度信任評估模型指標體系的涵蓋范圍，優化信任評估方法的模型，以實現對更多與信任值相關的指標數據的采集和評估，提高信任評估數據的準確性，降低和消除臟數據對信任評估誤差的影響[10]，提升信任評估的準確性和可靠性，增強網絡實體應用訪問控制的合理性和有效性，為實現基于信任的網絡安全架構體系的構建提供有效支撐。