第三章 基于行为检测的信任度评估技术

3.2基于行为检测的信任度评估模型

 

3.2.1模型框架

 

    本节所述的基于网络行为检测的信任度评估模型(以下简称为NBTVE模型)包括3个功能层，每层又包含多个功能模块，如图3.5所不。3个功能层分别是网络行为信息采集层、网络行为分析层和信任度评估层。其中网络行为信息采集层包括数据包采集、协议解析和网络行为还原3个功能模块;网络行为分析层包含模式匹配和统计分析2个功能模块;信任度评估层包括信任度初始化、信任度积分提升/降低和信任度计算及更新生个功能模块。

 

    网络行为信息采集层主要是应用网络数据包嗅探技术分析用户的网络行为。其中数据包采集模块主要是应用网络监听技术抓取数据包。协议解析模块是实时对分组内容进行匹配，根据数据包的类型和所处的网络层次对数据包进行协议解析。网络行为还原模块主要是对采集的数据包进行重组，分析用户的行为。

 

    网络行为分析层主要是对采集到的行为信息进行判断和识别，通过模式匹配和统计分析判断用户行为是正常行为还是恶意行为，如果是恶意行为，给出报警级别，并将这些信息记录到知识库当中。知识库中记录了用户的历史行为，并对用户的网络行为进行了分类。通过这种方式可以为每个用户建立一个行为档案，并分析用户正常行为的属性，及时地更新规则库。

 

    信任度评估层是NBTVE的重点，信任度评估层对采集的数据进行分析，根据本章设计的信任度评估算法，对每个用户的信任度作出评价。信任度评估层主要涉及以下问题:(1)初始信任度;(2)信任度积分的提升和降低;(3)信任等级的计算。

 

 

图3.5 NBTVE模型功能模块

 

3.2.2工作流程

 

    图3.6给出了NBTVE模型的工作流程，网络行为信息采集层首先应用人侵检测系统技术采集数据包，然后进行协议解析并对数据包进行重组，还原用户的行为。这些信息将交给网络行为分析层，进行用户行为模式匹配，并上传到知识库。信任度评估层结合用户网络行为对用户的信任度和信任等级作出综合的评价。

 

图3.6 NBTVE模型的工作流程

 

    NBTVE模型中的规则库是记录不正常行为的数据库，统计分析模块通过学习用户行为，对用户行为的正常属性值进行记录，如果用户的行为超出正常值范围则认为是不正常行为。规则库中也包括一些基本的非法行为的信息，如特洛伊木马和ping扫描攻击等。

 

    NBTVE模型中的知识库是记录用户网络行为的数据库，网络行为分析层采集到的信息通过分类整理提交到知识库。直接信任度计算时所应用到的数据是从知识库中查询得到的。知识库是连接网络行为分析层和信任度评估层的桥梁。