一种基于实体行为风险评估的信任计算方法

1、收稿日期:2008-11-26;修回日期:2009-02-23。基金项目:国家自然科学基金资助项目(60773118;现代通信国家重点实验室基金资助项目(9140C1101050706;广西信息与通讯技术重点实验室基金资助项目(10908。作者简介:武小年(1972-,男,湖北监利人,副教授,硕士,主要研究方向:计算机网络信息安全、网格计算;张润莲(1974-,女,山西介休人,副教授,博士研究生,主要研究方向:网格计算、信息安全;周胜源(1974-,男,广西梧州人,副教授,硕士,主要研究方向:宽带通信网络。文章编号:1001-9081(200905-1305-03一种基于实体行为风险评估的信任

2、计算方法武小年1,2,张润莲1,3,周胜源1,2(1.桂林电子科技大学信息与通信学院,广西桂林541004;2.现代通信国家重点实验室,成都610041;3.西安交通大学电子与信息工程学院,西安710049(wxnzrlhot m ail .com;xnwuguet .edu .cn 摘要:在分布、动态环境中,风险和信任是影响安全决策的关键因素。基于安全风险评估原理,提出一种基于实体行为风险评估的信任计算方法。该方法通过识别并量化信息资产的重要性和实体行为威胁的严重性,给出了实体行为风险量化和实体信任度的计算方法。应用实例及计算结果表明,该方法能够正确地识别实体的风险变化,并能通过信任度计算为

3、系统正确地控制实体的后续行为提供客观支持。关键词:信任;风险;安全评估;风险量化中图分类号:TP393文献标志码:AM ethod for trust com put a ti on ba sed on behav i or r isk eva lua ti onWU Xiao 2nian1,2,ZHANG Run 2lian1,3,ZHOU Sheng 2yuan1,2(1.School of Infor m ation and Co mm unication,Guilin U niversity of Electronic Technology,Guilin Guangxi 541004,

4、China;2.N ational Laboratory forM odern Co mm unications,Chengdu S ichuan 610041,China;3.School of E lectronic and Infor m ation Engineering,X i an J iao Tong U niversity,X i an Shaanxi,710049,China Abstract:R isk and trust are key fact ors i m pacting on the security decisi on 2making in the distri

5、buted and dyna m ic envir on ments .According t o infor mati on risk evaluati on theory,the author p r oposed a method f or trust computati on based on behavi or risk evaluati on .The p r oposed method described risk quantificati on method by identifying and quantifying thesignificance of assets and

6、 the criticality of threats fr om the behavi ors of entities,and designed trust computati on methods based on the quantified risk .Experi m ental results show that the p r oposed method can correctly identify the changing risk i m p lied in the behavi ors of entities,and compute trust based on the c

7、hanging risk .It can p r ovide objective reference f or the syste m t o correctly contr ol the f oll ow 2up behavi ors of entities .Key words:trust;risk;security evaluati on;risk quantificati on0引言随着I nternet 的发展,出现了许多新的大规模、开放的分布式系统,如网格计算、P2P 、Ad Hoc 、普适计算等。这种分布式系统通常由多个自治域组成一种分布、动态的协作模型,系统实体可以跨域访问多个

8、自治域。实体行为的动态性和不确定性,使得基于证书的静态信任机制已不能满足分布系统的安全需求,由此产生了动态信任管理1问题,并成为基于I nternet 的分布式应用和网络安全中的关键技术之一。目前,已有的信任模型集中在两方面:实体的身份信任和实体的行为信任。其中,实体身份的信任主要通过密码技术和访问控制表达其信任度,实体行为的信任则关注实体一段时期内的行为数据从实质上反映的该实体的信任度。由于实体行为的动态性和不确定性,实体行为信任研究变得非常困难。信任是一个非常主观和复杂的概念,一个实体是否信任另一个实体会受到很多重要因素的制约和影响,例如风险的容忍度、相对权力、安全性,以及利益倾向性等2。

9、在实体行为信任研究中,一个最关键的问题是如何评估实体行为,判断其行为中潜在的安全风险及其对系统安全的影响,并通过风险量化及时修正实体的信任度。基于反馈的信任推荐机制通过他人的推荐表达实体行为的可信性,但其易受其他实体的主观影响,存在诋毁及合谋欺诈等问题3。现有的信任研究大多侧重解决信任推荐中潜在的诋毁及合谋欺诈等问题46,缺乏对实体行为的风险分析及风险对信任的影响评估,不能客观地反映实体行为的可信性。本文基于信息安全风险评估理论,针对网格环境中的信任问题,提出一种基于实体行为风险评估的信任计算方法(Trust Computati on based on Behavi or R isk Eval

10、uati on,TC BRE 。T CBRE 方法主要针对实体行为,采用风险评估理论进行风险量化,并修正实体的信任度,更加客观地反映出实体的可信性,为系统对实体的后续行为控制提供正确的决策依据。1信息安全风险评估所谓信息安全风险评估,是从风险管理角度,运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的人为的和自然的威胁,以及威胁事件一旦发生可能遭受的危害程度7。信息系统的安全风险评估涉及资产识别、威胁识别、脆弱性识别、风险识别和风险大小的量化等。在信息系统中,通过风险分析,可以有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少损失。基本的风险分析原理

11、如图1所示8,其主要内容如下:第29卷第5期2009年5月计算机应用Journal of Co mputer App licati onsVol .29No .5May 20091对资产进行识别,对资产的重要性进行赋值;2对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;3对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;4根据威胁和脆弱性的识别结果来判断安全事件发生的可能性;5根据脆弱性的严重程度及安全事件所作用资产的重要性来计算安全事件的损失;6根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生就可能对组织造成的影响,即风险值 。图1风险分析2基于风险评估的信

12、任计算为了能够更加客观地反映实体的可信性,本文提出的TCBRE 方法将安全风险评估和信任机制相结合,通过对实体的历史行为进行风险评估和风险量化,计算实体的信任度。为增强风险评估的准确度,TC BRE 方法以系统中最重要的资产为立足点,通过识别资产的重要性、威胁及其严重程度,建立资产知识库和威胁知识库,以之评估实体行为的安全风险,并确定实体行为风险对实体信任的影响,系统模型如图2所示 。图2TCBRE 系统模型为更好地理解图2中的信任度概念,基于现有的信任研究16,给出如下定义。定义1实体。实体指系统中发出或提供服务请求的个体及代表个体的进程。以S 表示所有实体组成的集合,用s S 表示某个具体

13、的实体。定义2信任度。信任度是某个实体行为可信程度的期望值,是依据其他实体在一段时期的观察值或系统对其评价信息的总体印象。以T (s 表示实体s 的信任度,T (s 越小,实体的可信程度越低。在实际环境中,实体的信任度是动态可变的,且其变化受很多重要因素的制约和影响。本文仅考虑实体行为风险对实体信任度的影响,如实体的恶意行为将降低其信任度,实体的诚实行为有助于提高其信任度。2.1资产识别资产作为信息系统中具有价值的基本元素,它以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等;不同信息资产的功能、重要程度也互不相同。资产识别就是对评估范围内与信息安全相关的各种资产进

14、行合理分类,分析其安全需求,确定资产的重要程度。资产识别的主要工作是在评估实施方案确定的范围之内,按照评估方案约定的方式,进行如下四项工作7:1了解评估范围之内的业务;2识别信息资产,进行合理分类;3确定每类信息资产的安全需求,包括机密性、完整性和可用性三个方面,并按不同等级对其赋值;4按照某方法,为每类信息资产的重要性赋值。根据网格运行环境,可将资产分为5个大类:操作系统、网络、数据存储、应用和硬件。每个大类可进一步细分,形成一个最高三级的层次结构,并构成资产等级描述知识库。资产的分类将减少后续分析和赋值活动的工作量。资产知识库主要包括资产编号、资产类别、机密性、完整性、可用性和重要性。其中

15、,资产的重要性通过定性分析7并确定的资产机密性、完整性和可用性的加权计算得到。以V (t 表示资产的重要性,计算方法如式(1所示:V (t =z (t ×x (t ×y (t (1其中,t 表示某资产;令x (t 0,10,表示资产的机密性;y (t 0,10,表示资产的完整性;z (t 0,10,表示资产的可用性;则V (t 0,10,且V (t 越大,资产越重要。2.2威胁识别威胁是指可能对资产造成损失的根源。通常,威胁来源包括四个方面:1人员威胁,包括恶意破坏,如网络攻击,和无意破坏,如误操作等;2系统威胁,系统、网络或服务的故障,如软件故障、硬件故障、漏洞等;3环境

16、威胁,电源故障、火灾等;4自然威胁,洪水、地震、台风等。实体行为信任侧重分析并评估实体的历史行为,这需要在人员威胁和系统威胁两方面加强对威胁的识别,如数据输入错误、对系统的非授权存取、数据污染、恶意代码、欺骗等。对于信息资产直接或间接的攻击都构成安全威胁。为识别并量化实体行为的威胁,需要获取和分析大量的典型事件,并通过系统人为地构造训练数据来生成规则,建立相应的威胁等级知识库,并结合威胁对资产造成的危害严重性进行分级标识。威胁知识库采用定性分析方式建立,主要包括威胁事件编号、威胁类别、威胁事件特征和严重性。以t 表示某资产,e 表示威胁知识库中的某威胁事件,D (t,e 表示威胁事件对资产的威

17、胁的严重性,令D (t,e 0,10,且D (t,e 越大,威胁越严重。2.3安全风险量化基于上述资产和威胁的识别与量化,可对实体历史行为进行较为直观地评估。对该评估结果进行量化是一个非常重要的环节,其直接关系到对当前实体风险状况的正确认识和对实体后续行为的有效控制及实施的力度等。以R (s 表示无量纲的实体行为风险,其计算方法如下:R (s =×R old (s +(1-×n i =0mj =0D (t i ,e j ×V (t i (2其中:s 表示某实体;t i 表示某资产;e j 表示威胁知识库中的某威胁事件;0,1为风险修正因子;R old (s 为该实

18、体最近一次计算的风险值;D (t i ,e j 为实体s 对通过威胁事件e j 对资产t i 产生的威胁严重程度,其根据实体行为事件的特征,通过威胁知识库判定并赋值;V (t i 表示资产t i 的重要性,其由式(1计算得到;令R (s 0,10,且R (s 越大,实体行为风险越大。在式(2中,R old (s 的存在标志实体在网络活动中的风险变化。的取值可依据系统对被评价实体行为的乐观程度变化,若认为安全风险受实体行为的影响较小,对实体的行为6031计算机应用第29卷及结果较乐观,则越大。2.4信任度计算实体行为的风险量化,为系统计算实体的信任度提供了客观的数据支持。为保证实体信任度计算的合

19、理性,需要以实体原先的信任度为基础,加入实体行为风险的影响,对实体的诚实行为进行奖励,对实体的恶意行为进行处罚。无量纲的实体信任度T(s计算方法如下:T(s=×Told(s+(1-×(-R(s,R(s,10 T old(s+×(-R(s,R(s0,(3其中:s表示某实体;0,1为实体行为风险较大时的信任修正因子;0,0.5为实体行为风险较小时的信任修正因子;0,10为一常数,是系统对实体信任度进行奖励或处罚的实体风险阈值;Told(s为该实体最近一次计算的信任度;R(s为量化的实体行为风险值,由式(2计算得到;令T(s0,10,且T(s越大,实体的信任度越高。在式

20、(3中,和的取值可根据系统对被评价实体行为的肯定或否定进行变化。当实体行为的风险较大时,可通过调整的取值修正对实体信任度的处罚力度,若越小,则风险对实体信任度的影响越大,实体的信任度对风险越敏感。当实体行为的风险低于某个限定值时,需要对实体进行奖励,提高实体的信任度,同样可通过调整信任修正因子的取值改变对实体信任度的奖励力度。的取值变化关系到实体风险对实体信任度的影响的合理性,若太大,则实体在其风险值很高时系统也会提高其信任度;若太小,则系统在实体风险值极低时也会降低其信任度。3应用实例及结果分析本文基于校园网格实验平台中教务管理子系统的安全日志,评估并计算实体的信任度。教务管理子系统负责维护

21、管理各种重要的教学资源、人员信息和学生学习档案,分配并记录教学任务的实施。为识别系统中的不良用户并有效地控制其恶意行为,本文采用TCBRE方法对用户的历史行为进行风险评估并计算其信任度,为系统安全决策提供客观的决策依据。系统安全日志文件详细记录了用户的历史操作,包括实体名称、操作对象、操作、操作数据、异常、时间等属性。在实验过程中,每天跟踪分析系统安全日志的异常情况并计算指定实体的风险值和信任度。通过对其中的两个实体s1、s2在15天内的操作记录分析,可总结如下:1实体s1在第1天进行恶意操作,其后一直进行合法操作;2实体s2在第1天出现一次输入错误,在第11天进行了恶意操作,其他时间一直进行

22、合法操作。针对实体s1和s2在15天内的操作情况,采用TCBRE方法每天计算其风险及信任度。实体的风险值和信任度初始值如下:Rold (s1=5,Told(s1=5;Rold(s2=5,Told(s2=5;取=0.9,=0.9,=0.1,=3。基于上述信息,采用式(2计算的实体风险值如图3所示。基于图3的实体风险值, 采用式(3计算的实体信任度如图4所示。从图3可以看出,实体的恶意行为将急剧提高其风险值;实体的诚实行为能够有效地降低其风险值,但实体风险值的下降是一个缓慢的过程。从图4可以看出:1实体的风险越高,其信任度的下降越快;2实体信任度并不随实体风险值的下降而上升,只有当实体的风险值低于

23、某个设定的阈值时,其信任度才开始缓慢上升;3实体信任度下降快,上升慢。图3和图4的计算结果符合现实生活中人们对恶意行为的态度,这表明TC BRE方法是正确的,其能够客观、正确地计算实体的信任度,为系统提供可靠的信任决策支持。4结语本文基于安全风险评估原理,提出一种基于实体行为风险评估的信任计算方法。该方法针对实体行为中可能存在的安全风险,给出了实体行为风险和实体信任度的计算方法。应用实例及计算结果表明该模型能够正确地计算出实体行为的安全风险及信任度。与此同时,在一个实际环境中,实体信任还涉及其他许多问题,如时间衰减、信任推荐等。因此,在未来的工作中,需要进一步对风险和信任的量化公式进行优化,并引入影响实体信任的其他因素,完善信任计算方法。参考文献:1BLAZE