本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種基于改進AHP的用戶行為信任評估方法及系統(tǒng)。
背景技術(shù):
隨著網(wǎng)絡(luò)的發(fā)展與廣泛應(yīng)用,網(wǎng)絡(luò)安全也日益突出。近來針對多種網(wǎng)絡(luò)架構(gòu)的攻擊技術(shù)和威脅方式層出不窮,未來網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅將越來越嚴重,據(jù)美國FBI統(tǒng)計,83%的信息安全事故為內(nèi)部人員或內(nèi)外勾結(jié)所為,其中有16%來自內(nèi)部用戶的未授權(quán)使用,因此針對內(nèi)部網(wǎng)絡(luò)中的用戶行為監(jiān)測和評估十分重要。
目前,已經(jīng)有國內(nèi)外利用AHP思想對網(wǎng)絡(luò)中的用戶行為進行信任度計算與評估。比如申請?zhí)枮镃N201510562954.6的發(fā)明專利申請公開了一種Web環(huán)境下用戶行為的信任評估方法,系統(tǒng)通過session監(jiān)聽器不斷地監(jiān)聽用戶登錄系統(tǒng)時被分配的獨立session是否銷毀,如果銷毀開始對用戶本次行為進行信任評估。又如申請?zhí)枮镃N201010018221.3的一種可信網(wǎng)絡(luò)中用戶行為的信任評估方法,運用分布式計算技術(shù)、可信計算技術(shù)及信任管理技術(shù),實現(xiàn)可信網(wǎng)絡(luò)中用戶行為評估方法,為構(gòu)建可信網(wǎng)絡(luò)信任模型提供了一個新的思路。
層次分析法(Analytic Hierarchy Process)是一種將定量與定性結(jié)合的多目標決策分析方法。借鑒AHP的思想對網(wǎng)絡(luò)用戶行為進行信任評估,保障內(nèi)部網(wǎng)絡(luò)安全可靠。然而,基于AHP的用戶行為評估只提供單一時刻的用戶行為評價,忽略了對用戶歷史行為的信任考量,使得結(jié)果具有片面性,不能獲取用戶信任評價的綜合信息,因此評價結(jié)果缺乏精確性和全面性。
技術(shù)實現(xiàn)要素:
針對現(xiàn)有技術(shù)中存在的技術(shù)問題,本發(fā)明的目的在于提供一種基于改進AHP的用戶行為安全威脅評估方法及系統(tǒng),利用AHP思想對用戶行為證據(jù)進行建模,加入時間因素計算連續(xù)時刻的多維信任度向量,根據(jù)綜合信任度對用戶行為是否存在安全威脅進行評估。該方法包括用戶行為收集與處理、用戶行為評估建模、用戶證據(jù)權(quán)重矩陣構(gòu)建、基于時間的信任度矩陣構(gòu)建、基于時間的權(quán)重矩陣構(gòu)建以及用戶綜合信任度評估與決策等關(guān)鍵步驟,具體方法包括:
1)用戶行為收集與處理,是指利用安全分析軟件或工具,實時監(jiān)測與收集網(wǎng)絡(luò)中與安全特性相關(guān)的用戶行為證據(jù),對證據(jù)進行規(guī)范化處理;
2)用戶行為評估建模,是指按照證據(jù)所包含的不同安全行為特性將證據(jù)劃分三個層次,即目標層、特性層和證據(jù)層,進行用戶行為評估建模,將規(guī)范化處理后的用戶行為證據(jù)根據(jù)劃分層次生成用戶行為證據(jù)矩陣;利用AHP中的9級分制對同一用戶的各個安全行為特性的重要程度進行兩兩比較,得出該用戶的特性層判斷矩陣,對同一用戶各個安全行為特性中的各個證據(jù)進行兩兩比較,得出該用戶的證據(jù)層判斷矩陣,對特性層判斷矩陣和證據(jù)層判斷矩陣分別進行列規(guī)范化、按行相加、規(guī)范化后得出特性層權(quán)重向量和用戶各個安全行為特性的證據(jù)層權(quán)重向量,并分別進行一致性檢驗,如果通過一致性檢驗,則計算的權(quán)重向量可用,如果不通過一致性檢驗,則重新計算判斷矩陣直到特性層權(quán)重向量和證據(jù)層權(quán)重向量的一致性檢驗通過;
3)用戶證據(jù)權(quán)重矩陣構(gòu)建,是指將一致性檢驗通過的各個安全行為特性的證據(jù)層權(quán)重向量組合到一起構(gòu)成用戶證據(jù)權(quán)重矩陣;
4)基于時間的信任度矩陣構(gòu)建,是指利用第i時刻用戶行為證據(jù)與用戶證據(jù)權(quán)重矩陣,計算第i時刻用戶行為的信任度向量,將第i時刻用戶行為的信任度向量與第i-1和第i-2時刻的信任度向量構(gòu)成多維信任度矩陣;
5)基于時間的多維權(quán)重矩陣構(gòu)建,是指按照距離當前時刻的時間距離越長,所占權(quán)重越小的原理,設(shè)置第i-2時刻、第i-1時刻以及第i時刻的安全行為特性所占權(quán)重,生成時間權(quán)重矩陣,將時間權(quán)重矩陣與特性層權(quán)重向量相乘得到多維權(quán)重矩陣;
6)用戶綜合信任度評估,利用構(gòu)建的多維信任度矩陣與多維權(quán)重矩陣,計算得出用戶的綜合信任度。
本發(fā)明還提供一種基于改進AHP的用戶行為信任評估系統(tǒng),其特征在于,包括用戶行為證據(jù)采集模塊、特性層權(quán)重向量生成及校驗?zāi)K、證據(jù)層權(quán)重向量生成及校驗?zāi)K、用戶證據(jù)權(quán)重矩陣構(gòu)建模塊、多維信任度矩陣構(gòu)建模塊、用戶綜合信任度評估與決策模塊;其中,
用戶行為證據(jù)采集模塊,用于實時監(jiān)測與收集網(wǎng)絡(luò)中與設(shè)定安全特性相關(guān)的用戶行為證據(jù);
特性層權(quán)重向量生成及校驗?zāi)K,用于根據(jù)用戶第i時刻的用戶行為證據(jù)計算該用戶第i時刻的各個安全行為特性的重要程度;對同一用戶第i時刻的各個安全行為特性的重要程度進行兩兩比較,得出該用戶第i時刻的特性層判斷矩陣,然后根據(jù)該特性層判斷矩陣計算一特性層權(quán)重向量并對其進行一致性校驗;
證據(jù)層權(quán)重向量生成及校驗?zāi)K,用于對同一用戶第i時刻的各個安全行為特性中的各個用戶行為證據(jù)進行兩兩比較,得出該用戶第i時刻的證據(jù)層判斷矩陣,然后根據(jù)該證據(jù)層判斷矩陣計算用戶各個安全行為特性的證據(jù)層權(quán)重向量并對其進行一致性校驗;
用戶證據(jù)權(quán)重矩陣構(gòu)建模塊,用于將一致性檢驗通過的第i時刻的所述證據(jù)層權(quán)重向量組合到一起構(gòu)成用戶證據(jù)權(quán)重矩陣;
多維信任度矩陣構(gòu)建模塊,用于利用該用戶第i時刻的用戶行為證據(jù)、用戶證據(jù)權(quán)重矩陣,計算該用戶第i時刻用戶行為的信任度向量,根據(jù)該用戶第i時刻用戶行為的信任度向量及該用戶第i時刻之前若干時刻的信任度向量構(gòu)成該用戶的多維信任度矩陣;
用戶綜合信任度評估與決策模塊,用于按照距離當前時刻的時間距離越長所占權(quán)重越小的原理設(shè)置該用戶的第i時刻及第i時刻之前N個時刻的安全行為特性所占權(quán)重,構(gòu)造時間權(quán)重矩陣,將所述特性層權(quán)重向量與所述時間權(quán)重矩陣相乘得到該用戶的多維權(quán)重矩陣;然后利用該用戶的多維信任度矩陣、多維權(quán)重矩陣,計算得出該用戶的綜合信任度;然后根據(jù)該綜合信任度對該用戶的用戶行為進行評估。
本發(fā)明技術(shù)方案帶來的有益效果:
利用AHP思想對收集的用戶身份和行為信息進行規(guī)范化和建模,通過連續(xù)時刻的用戶行為變化趨勢,評估用戶身份和行為的信任度,根據(jù)用戶歷史行為信息和當前行為信息綜合作為信任度評估的憑證,本發(fā)明能獲取相對全面的信息用信任度進行評估,有效降低評估的片面性,并根據(jù)綜合信任度評估結(jié)果決策采取的安全措施,有效保障網(wǎng)絡(luò)系統(tǒng)的安全可信。
附圖說明
圖1是本發(fā)明一種基于改進AHP的用戶行為信任評估與決策方法的具體流程圖;
圖2是本發(fā)明一種基于改進AHP的用戶行為信任評估與決策方法的用戶行為評估模型圖。
具體實施方式
本發(fā)明基于改進AHP的用戶行為信任評估與決策方法,利用AHP原理加入時間因素對用戶歷史連續(xù)時間的證據(jù)進行收集建模,構(gòu)造連續(xù)時刻的用戶行為證據(jù)矩陣與權(quán)重矩陣并計算出用戶的綜合安全評估結(jié)果,使得針對網(wǎng)絡(luò)用戶的安全評價更加具有精確性和全面性,從而有效保障網(wǎng)絡(luò)的安全可信。
為使本發(fā)明的實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面進一步結(jié)合附圖對本發(fā)明作詳細描述。
一種基于改進AHP的用戶行為信任評估與決策方法,該方法的流程如圖1所示,具體流程為:
步驟201,利用安全監(jiān)測分析工具或軟件實時監(jiān)測收集網(wǎng)絡(luò)中與安全特性相關(guān)的用戶行為證據(jù);
步驟202,對收集到的證據(jù)利用公式(1)進行規(guī)范化處理,把證據(jù)轉(zhuǎn)化為在[0,1]范圍內(nèi)的正向遞增值;
步驟203,按照證據(jù)包含的不同安全行為特性將證據(jù)劃分三個層次,即目標層、特性層和證據(jù)層,進行用戶行為評估建模,如圖2所示,用戶安全特性包含身份可靠特性I、越權(quán)訪問特性A、流量安全特性F、異常報文特性P、端口掃描特性S,其中身份可靠特性I包含的用戶證據(jù)有正常時間段內(nèi)登錄次數(shù)I1、非正常時段內(nèi)登錄次數(shù)I2、單位時間內(nèi)認證失敗次數(shù)I3,越權(quán)訪問特性A包含的用戶證據(jù)有嘗試越權(quán)訪問服務(wù)的次數(shù)A1,流量安全特性F包含的用戶證據(jù)有單位時間內(nèi)流量字節(jié)數(shù)F1、單位時間內(nèi)SYN包個數(shù)F2、單位時間內(nèi)PING包個數(shù)F3,單位時間內(nèi)DNS請求包個數(shù)F4,異常報文特性P包含的用戶證據(jù)有字段重疊的UDP報文個數(shù)P1、TCP標志位非法數(shù)據(jù)包個數(shù)P2、數(shù)據(jù)包字節(jié)數(shù)過大的數(shù)據(jù)包個數(shù)P3、源地址為廣播地址數(shù)據(jù)包個數(shù)P4、源目的地址均為服務(wù)主機數(shù)據(jù)包個數(shù)P5,掃描特性S包含的用戶證據(jù)有單位時間內(nèi)請求同一IP的端口數(shù)S1、單位時間內(nèi)請求同一端口的IP數(shù)S2、FIN數(shù)據(jù)包個數(shù)S3、SYN|ACK數(shù)據(jù)包個數(shù)S4,根據(jù)模型生成的第i時刻用戶行為證據(jù)矩陣:
例如,表示用戶在第i時刻的流量安全特性F的第四個證據(jù),即用戶在第i時刻的單位時間內(nèi)DNS請求包個數(shù)F4;
步驟204,利用AHP中的9級分制對用戶的各個安全行為特性的重要程度進行兩兩比較,得出特性層判斷矩陣,例如根據(jù)上述步驟計算可用的特性層判斷矩陣是其中Jij表示第i個安全行為特性與第j個安全行為特性重要性程度比較的結(jié)果,例如J23表示越權(quán)訪問特性A與流量安全特性F重要性程度比較的結(jié)果,對特性層判斷矩陣進行列規(guī)范化、按行相加、歸一化后得出特性層權(quán)重向量wJ(wJ1 wJ2 wJ3wJ4 wJ5)T,并對向量進行一致性檢驗;
步驟205,如果一致性檢驗不通過,則返回步驟204;
步驟206,如果一致性檢驗通過,則計算的特性層權(quán)重向量可用;
步驟207,利用AHP中的9級分制對用戶的各個安全行為特性中的各個證據(jù)進行兩兩比較,得出證據(jù)層判斷矩陣,對證據(jù)層判斷矩陣進行列規(guī)范化、按行相加、再規(guī)范化后得出用戶各個安全行為特性的證據(jù)層權(quán)重向量,并對證據(jù)層權(quán)重向量進行一致性檢驗;
步驟208,如果一致性檢驗不通過,則返回步驟207;
步驟209,如果一致性檢驗通過,則計算的各個安全行為特性的證據(jù)層權(quán)重向量可用,其中身份可靠特性I的證據(jù)層權(quán)重向量是wI=(wI1 wI2 wI3 wI4 wI5)T,越權(quán)訪問特性A的證據(jù)層權(quán)重向量wA=(wA1 wA2 wA3 wA4 wA5)T,可用的流量安全特性F的證據(jù)層權(quán)重向量wF=(wF1 wF2 wF3 wF4 wF5)T,異常報文特性P的證據(jù)層權(quán)重向量wP=(wP1 wP2 wP3 wP4 wP5)T,端口掃描特性S的證據(jù)層權(quán)重向量wS=(wS1 wS2 wS3 wS4 wS5)T;
步驟210,利用步驟209計算可用的各個安全行為特性的證據(jù)層權(quán)重向量,將各個安全行為特性的證據(jù)層權(quán)重向量組合到一起構(gòu)成用戶證據(jù)權(quán)重矩陣
步驟211,利用步驟203收集的第i時刻用戶行為證據(jù)emi與步驟210的用戶行為證據(jù)權(quán)重矩陣wm,計算第i時刻用戶行為的信任度向量,即
其中矩陣中對角線值即為第i時刻用戶行為的信任度;
步驟212,將第i時刻用戶行為的信任度與第i-1和第i-2時刻的信任度構(gòu)成多維信任度矩陣
步驟213,按照距離當前時刻的時間距離越長,所占權(quán)重越小的原理,對第i-2時刻、第i-1時刻以及第i時刻的用戶行為安全特性所占權(quán)重進行處理,生成時間權(quán)重矩陣twm[twi-2 twi-1 twi]T,其中將時間權(quán)重矩陣與步驟206得到的特性層權(quán)重向量相乘得到多維權(quán)重矩陣根據(jù)上述步驟計算得到可用的多維權(quán)重矩陣
步驟214,利用步驟210的多維信任度矩陣tm與步驟213的多維權(quán)重矩陣mwm計算用戶的綜合信任度評價矩陣對角線的值即為用戶每個安全特性的綜合信任度評價值。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)。