可信網絡中信任評估機制若干關鍵技術研究.pdf

1、為了實現(xiàn)網絡可控可管的目的提出了可信網絡的概念。可信網絡分為可信網絡接入和可信網絡動態(tài)評估。目前對于可信網絡的接入控制已經有了如可信網絡連接（Trusted Network Connect, TNC）等多種實現(xiàn)方式和手段，但是這些手段和方法仍有很多不足，例如TNC架構只進行身份驗證和完整性檢查；同時對于網絡接入后的網絡狀態(tài)如何實現(xiàn)準確的動態(tài)評估也是可信網絡目前的難點，這主要是由于網絡狀態(tài)復雜，數(shù)據(jù)量大，實時性高。如果不能解決網絡接入時的

2、安全性和動態(tài)評估時的準確性，必然會影響到網絡的安全狀態(tài)和用戶的信息安全，因此實現(xiàn)一個可信的網絡對于網絡安全具有重要的意義，如何實現(xiàn)網絡的可信接入和可信評估也成為近年來網絡安全領域研究的熱點。
　　本學位論文提出了一種終端全程可信機制來體現(xiàn)網絡的可信性。借鑒信任的時間性、集聚性、模糊性、粗糙性等屬性對可信評估方法進行了研究，主要研究內容如下：
　　（1）提出一種基于綜合信任算法的可信接入模型。
　　針對TNC只驗證身份和

3、完整性的缺點，提出一種基于綜合信任算法的可信接入模型。該模型通過直接信任和間接信任組成綜合信任，間接信任類似于信譽模型中的信譽值，是其他實體對終端的評價。這種評價往往是有一定規(guī)律或者說應該是溫和變化的，因此設計了一種結合推薦值波動性與一致性的可信評估方法來計算間接信任，其中推薦值的波動性反映了個體評價的時間特性和連續(xù)性，一致性反映了群體評價的時間性和連續(xù)性。經過波動性和一致性加權間接評估也就具備了時間性和連續(xù)性，能夠避免惡意節(jié)點的惡意評

4、價行為。在計算直接信任時，首先應用層次分析法（Analytic Hierarchy Process, AHP）確定屬性的靜態(tài)權重，同時基于屬性值的粒度劃分再確定屬性的動態(tài)權重，將兩種權重進行加權平均得到直接信任值。匯總間接信任和直接信任得到最終的綜合信任值。仿真結果表明該算法比其他加權算法抵抗惡意節(jié)點的能力更強。
　?。?）提出一種基于規(guī)則匹配的可信網絡信任評估方法。
　　借鑒模糊分類模型的規(guī)則匹配算法，將終端的實時狀態(tài)作為

5、規(guī)則匹配的前件，也就是規(guī)則的條件屬性，通過可信屬性集及其值來表示，規(guī)則后件就是評估結果，也就是通過規(guī)則前件的匹配得到的結果就是終端的授權結果。
　　分類規(guī)則由網絡數(shù)據(jù)提取得到，由于通過網絡數(shù)據(jù)產生的規(guī)則數(shù)量會急劇膨脹，因此需要對規(guī)則進行約簡。通過對可信屬性集的分析將可信網絡評估系統(tǒng)轉化為粗糙決策系統(tǒng)，在粗糙決策系統(tǒng)中，可以利用正域來約簡屬性集。本文在決策系統(tǒng)中通過最小決策風險的等價類劃分策略來生成下近似集和正域劃分，最后根據(jù)正域不

6、變小和屬性獨立性進行屬性約簡。將約簡后的決策規(guī)則存儲到專門的數(shù)據(jù)庫中，通過加權投影向量進行可信規(guī)則匹配，選擇所有決策規(guī)則中最匹配的規(guī)則作為最優(yōu)結果。該分類模型具有結構簡單、語義解釋性好的優(yōu)點，實驗結果也驗證了算法的有效性。
　?。?）提出一種基于屬性包含度的可信規(guī)則提取算法。
　　首先將所有的可信規(guī)則轉化為布爾型規(guī)則，分析信息系統(tǒng)的包含度度量方法以及包含度和規(guī)則可信度的關系，在此基礎上提出了基于規(guī)則支持度和可信度的規(guī)則提取算

7、法。該算法通過計算規(guī)則前件和后件的包含關系產生新的規(guī)則，判斷該規(guī)則的可信度和支持度是否超過設定的閾值，如果大于閾值則認為該規(guī)則是可信的，可以提取，否則丟棄。
　?。?）提出一種基于多分類器集成的決策樹匹配算法。
　　由于多分類器集成算法的優(yōu)勢，首先通過自助抽樣算法從初始可信集中生成多個可信規(guī)則集，在此基礎上通過基于屬性包含度的規(guī)則提取算法生成多個個體分類器，個體分類器的結果通過多叉決策樹的形式來實現(xiàn)，多叉樹每層的節(jié)點根據(jù)屬性