专利名称::一种基于网络行为检测的信任度评估系统和方法
技术领域:
:本发明涉及一种信息安全技术,特别是一种基于网络行为检测的信任度评估系统和方法。
背景技术:
:在异构的,大规模的分布式系统中,由于资源和用户密集,而且它们之间的关系存在多变性、主观性和不确定性的特点。这样就需要一种准确高效的信任模型来描述这种信任关系,实时地计算实体可信程度。信任管理(TrustManagement)方法正是为了解决上述问题而提出的一种分布式访问控制机制。它提供了一个适合应用系统开放分布和动态特性的安全的决策框架。目前存在的信任度评估模型Beth信任度评估模型Beth信任管理模型引入了经验的概念来表述和度量信任关系,并给出了由经验推荐所引出的信任度推导和综合计算公式。在Beth信任管理模型中,经验被定义为对某个实体完成某项任务的情况记录,对应于任务的成败,经验被分为肯定经验和否定经验。若实体任务成功则对其肯定经验记数增加;若实体任务失败则否定经验记数增加。模型中的经验可以由推荐获得,而推荐经验的可信度问题同样是信任问题。为此,模型将信任分为直接信任和推荐信任,分别用于描述主体与客体、主体与客体经验推荐者之间的信任关系。即主体对客体的经验既可以直接获得,又可以通过推荐者获得,而推荐者提供的经验同样可以通过其他推荐者获得。直接信任关系和推荐信任关系形成了一条从主体到客体的信任链,而主体对客体行为的主观预期则取决于这些直接的和间接的经验。Beth信任管理模型所关注的内容主要有信任表述、信任度量和信任度评估。Josang信任度评估模型A.Josang提出了基于主观逻辑(Sub-jectiveLogic)的信任管理模型,引入了证据空间(EvidenceSpace)和观念空间(OpinionSpace)的概念来描述和度量信任关系,并定义了一组主观逻辑(SubjectiveLogic)运算子用于信任度的推导和综合计算。但目前存在的信任度评估模型对信任度评估的方法仍然存在一些不足有些模型虽有信任的推导和综合计算公式,但没有解决初始信任值如何获得的问题;没有结合具体的应用环境探讨信任信息的准确获取和反馈的问题;使用经典的数学模型(概率模型)对实体的信任度进行度量,在多个推荐信任进行综合时,简单地采用均值方法,可能导致无法反映信任的真实情况;不能很好地解决恶意推荐对信任度评估的影响,现有的模型大多采用简单求算术平均的方法综合多个不同推荐路径的信任度。
发明内容针对上述现有技术的缺陷,本发明的目的是提供一种能够高效客观的提取用户网络行为,准确实现信任度评估算法,对用户做出客观全面的信任度评价的基于网络行为检测的信任度评估系统和方法。为达到上述目的,本发明采用如下技术方案—种基于网络行为检测的信任度评估系统,包括网络行为信息采集模块、网络行为分析模块、知识库模块和信任度评估模块;所述网络行为信息采集模块用于采集网络上的数据包,根据数据包的类型和所处的网络层次,对数据包进行协议解析,并对数据包进行重组,还原用户行为;所述网络行为分析模块收集所述网络行为信息采集模块还原的用户行为,将该用户行为与记录的异常行为信息进行比较,判断用户的行为为正常行为或是异常行为,或者将该用户行为信息进行统计分析,进一步分析该用户行为是正常行为或是异常行为,并更新用户行为信息;所述知识库模块用于记录用户行为信息,并接受所述网络行为分析模块进行的用户行为信息更新;所述信任度评估模块对初始化用户信任度和从所述知识库模块中提取用户行为信息,判断用户是否为新用户,是则给新用户初始信任度赋值,否则检测用户行为,判断用户行为是否为正常行为,是则提升用户信任度,否则降低用户信任度,进行信任度衰减的计算,并进行信任度及信任等级的计算,更新用户的信任度。本发明的基于网络行为检测的信任度评估系统,其中所述网络行为信息采集模块包括数据采集模块、协议解析模块和网络行为还原模块;所述数据包采集模块用于采集网络上的数据包;所述协议解析模块接收所述数据包采集模块采集的数据包,根据数据包的类型和所处的网络层次,对数据包进行协议解析;所述网络行为还原模块用于接收所述协议解析模块解析完的数据包,对数据包进行重组,还原用户行为。本发明的基于网络行为检测的信任度评估系统,其中所述网络行为分析模块包括行为识别模块、统计分析模块以及规则库模块;所述规则库模块用于记录用户的异常行为信息和非法行为信息;所述模式匹配模块收集所述网络行为还原模块还原的用户行为,将该用户行为与所述规则库模块中的记录进行比较,从而判断用户的行为,如果与所述规则库模块中的记录的异常行为信息不匹配则为正常行为,与所述规则库模块中的记录匹配,则用户的行为为异常行为,并更新所述知识库模块中的用户行为信息;所述统计分析模块收集所述网络行为还原模块还原的用户行为,将该用户行为信息进行统计分析,分析用户的行为是正常行为或是异常行为,更新所述知识库模块中的用户行为信息。本发明的基于网络行为检测的信任度评估系统,其中所述信任度评估模块包括用户行为信息提取模块、行为判断模块、信任度提升模块、信任度降低模块、信任度计算及更新模块和信任度衰减计算模块;所述用户行为信息提取模块用于初始化用户信任度并提取用户行为信息;所述信任度提升模块用于计算提升的用户信任度;所述信任度降低模块用于计算降低的用户信任度;所述行为判断模块接收所述用户行为信息提取模块提取的用户行为信息,判断用户是否为新用户,是则给新用户初始信任度赋值,否则检测用户行为,判断用户行为是否为正常行为,是则令所述信任度提升模块计算提升的用户信任度,否则令所述信任度降低模块计算降低的用户信任度;所述信任度衰减计算模块用于计算用户的衰减信任度;所述信任度计算及更新模块结合所述信任度提升模块和所述信任度降低模块以及所述信任度衰减计算模块的计算结果进行信任度及信任等级的计算,并更新用户的信任度。本发明的基于网络行为检测的信任度评估系统,其中所述用户行为信息提取模块每隔2秒提取用户行为信息。—种基于网络行为检测的信任度评估方法,包括以下步骤网络行为信息采集模块采集网络上的数据包,根据数据包的类型和所处的网络层次,对数据包进行协议解析,并对数据包进行重组,还原用户行为;网络行为分析模块收集网络行为信息采集模块还原的用户行为,判断和统计分析用户的行为是正常行为还是异常行为,并更新知识库模块中的用户行为信息;信任度评估模块初始化用户信任度,提取用户行为信息,根据提取的用户行为信息,判断用户是否为新用户,是则为新用户初始信任度赋值,否则检测用户行为,判断用户行为是否为正常行为,是则提升用户信任度,否则降低用户信任度,进行信任度衰减的计算,并进行信任度及信任等级的计算,更新用户的信任度。本发明的基于网络行为检测的信任度评估方法,其中所述采集网络上的数据包的步骤是通过数据包采集模块完成的,所述根据数据包的类型和所处的网络层次,对数据包进行协议解析是通过协议解析模块完成的,所述对数据包进行重组,还原用户行为的步骤是通过网络行为还原模块完成的。本发明的基于网络行为检测的信任度评估方法,其中所述收集网络行为信息采集模块还原的用户行为,判断和统计分析用户的行为是正常行为还是异常行为,并更新知识库模块中的用户行为信息的步骤是通过模式匹配模块进行判断,通过统计分析模块进行统计分析完成的。本发明的基于网络行为检测的信任度评估方法,其中所述初始化用户信任度,提取用户行为信息的步骤是通过用户行为信息提取模块完成的;所述根据提取的用户行为信息,判断用户是否为新用户,是则为新用户初始信任度赋值,否则检测用户行为,判断用户行为是否为正常行为,是则提升用户信任度,否则降低用户信任度的步骤是通过行为判断模块完成的;所述进行信任度衰减的计算的步骤是通过信任度衰减计算模块完成的,所述进行信任度及信任等级的计算,更新用户的信任度是通过信任度计算及更新模块完成的。本发明的基于网络行为检测的信任度评估方法,其中所述提取用户行为信息的步骤中用户行为信息提取模块每隔2秒提取用户行为信息。由于设置了网络行为信息采集模块和网络行为分析模块,可以高效客观的提取用户网络行为,为信任度评估模块准确实现信任度评估算法提取网络用户行为并保存到知识库模块中,通过信任度评估模块运用的算法计算出的信任度,从而对用户做出了客观全面的信任度评价。图1是本发明一种基于网络行为检测的信任度评估系统的系统框图2是本发明一种基于网络行为检测的信任度评估方法的总体流程图。具体实施例方式下面结合附图对本发明一种基于网络行为检测的信任度评估系统和方法的实施方式进行详细说明。参见图l,一种基于网络行为检测的信任度评估系统包括四个模块,分别为网络行为信息采集模块1、网络行为分析模块2、知识库模块3和信任度评估模块4。网络行为信息采集模块1包括数据采集模块11、协议解析模块12和网络行为还原模块13,网络行为分析模块2包括模式匹配模块21、统计分析模块22以及规则库模块23,信任度评估模块4包括用户行为信息提取模块41、行为判断模块42、信任度提升模块43、信任度降低模块44、信任度计算及更新模块45和信任度衰减计算模块46。现在的网络安全管理工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,将服务器网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。数据包采集模块11用于采集网络上的数据包。数据包采集模块11依靠Libpc即库函数来实现。它提供的C函数接口可用于捕获经过网络接口的数据包,只要经过该接口的数据包,不管目标地址如何都能够被捕获,并且还可设置数据包的过滤器来捕获指定的数据。协议解析模块12接收数据包采集模块11发来的数据包,根据数据包的类型和所处的网络层次,对数据包进行协议解析。获得网络接口层协议类型,根据不同的协议,调用相应网络接口层协议解析方法解析相应报文头,解析完毕再调用相应网络层协议解析方法解析相应网络层协议报文头,如果存在选项字段(只限IP协议类型),调用相应选项字段解析函数解析之。随后调用传输层协议解析函数做类似处理。网络行为还原模块13用于接收协议解析模块12解析完的数据包,对数据包进行重组,并还原用户行为。网络行为一般不是孤立的,通常是由多个动作形成的一个有序的活动,会话重建是在原始网络数据的基础上,对某一个网络活动进行重建,恢复其本来面目,并重现。如常见FTP访问行为,一般都包含了口令认证、上传或下载文件等动作所构成的一个完整网络文件访问活动。不能仅从单个数据包或单个操作动作中监测用户的行为,因为这样会忽视各种事件之间的关联性。模式匹配模块21收集网络行为还原模块13还原的用户行为,将该用户行为与已知的规则库模块23中的记录进行比较,从而判断用户的行为。如果与规则库模块23中的记录的异常行为信息不匹配则为正常行为,与规则库模块23中的记录匹配,则用户的行为为异常行为,在知识库模块3中更新该用户行为信息。统计分析模块22收集网络行为还原模块12还原的用户行为,将该用户行为信息进行统计分析,进一步分析用户行为是正常行为或是异常行为,并更新知识库模块3中的用户行为信息。规则库模块23记录用户的异常行为信息和一些基本的非法行为信息,例如特洛伊木马,ping扫描攻击等。知识库模块3用于记录用户行为信息。用户行为信息提取模块41用于初始化用户信任度和从知识库模块3中提取用户行为信息。行为判断模块42判断用户行为信息提取模块提取的用户行为信息,判断用户是否为新用户,是则为新用户初始信任度赋值,否则检测用户行为,判断用户行为是否为正常行为,是则令信任度提升模块43提升用户信任度,否则令信任度降低模块44降低用户信任度。信任度提升模块43用于计算提升的用户信任度。信任度降低模块44用于计算降低的用户信任度。信任度衰减计算模块46用于计算用户的衰减信任度。信任度计算及更新模块45通过相应的算法结合信任度提升模块43和信任度降低模块44以及信任度衰减计算模块46计算的结果进行信任度的计算,并更新用户的信任度。其中本发明信任度计算及更新模块45运用的算法,用到的用户信息的属性参数包括信任度等级Tc、信任度积分Tg、用户正常行为次数S、用户行为总次数N和最后上网时间Tl。信任度等级Tc:用户的信任度的等级,作为标识用户信任度的一个重要参数。在本算法中,用户的信任度被量化为六个等级,如表1所示表1信任度等级表信任度012345等级0为本算法中的信任度最低级别,即用户信任度很差,被惩罚为O,这些用户可能会被管理者给予一定的惩罚如列入黑名单等;等级1为用户信任度较差,或者交互不够多,还不够熟悉,是新用户的初始信任度默认等级;等级2为用户信任度一般;等级3为用户信任度较好;等级4为用户信任度很好;等级5为用户信任度非常高。信任度积分Tg:用户的信誉积分,每一次交互行为都会导致用户的信誉积分改变,Tc和Tg的结合可以完整清楚地显示用户的信任度。用户正常行为次数S:这个参数记录了用户的正常行为的次数。用户信誉积分Tg与用户违规次数反相关,与用户正常行为次数正相关。用户行为总次数N:这个参数记录了用户总的上网行为次数。最后上网时间Tl:这个参数用于记录用户最后一次的上网行为发生的时间,主要是用于对那些长期没有来往的用户的信任度衰减计算。本发明中算法用到的信任相关属性包括信任度所需最低积分MinG、信任度惩罚因子Pu、信任度奖励因子Au、信任度惩罚力度Pd、信任度奖励力度Ad和时间衰减函数r(Tl,Tc)。信任度所需最低积分MinG:本发明采取的信任度机制是通过积累一定的信誉积8分来提升信任度等级的,这一参数即设定各个等级的信任度的最低阈值。信任度惩罚因子PU:用于对信任度不同的用户的违规行为处以不同程度的惩罚,在本算法中,这个值随着用户信任度的提高而增大,也就是说对于级别越高的用户,本系统对其违规操作的惩罚就越严厉,这是为了抵抗不检节点通过积累信任度的方法在重要交互中厚积薄发的欺诈攻击行为,警告用户等级越高越不容许无信誉行为。信任度奖励因子Au:用于对不同信誉等级的用户的正常行为给予不同的奖励,这个值随着用户信任度的提升而不断降低,用户想要取得更高的信任,必须花费更多的时间和精力,也必须根据规则执行操作。需要说明的是每一个对应的Pu和Au值还是有一定关系,为了惩罚节点用户在系统中的不检行为,对用户的信任度惩罚力度要大于对用户正常行为的信任度的提升,因而,Pu的值相应地稍微大于Au的值。信任度惩罚力度Pd:根据用户的行为来设定的,这个参数根据具体的应用环境来进行设置。分别对应3种网络协议,TCP、UDP、ICMP,即违反不同协议的规则有不同的惩罚力度。这个参数的设定对用户的行为进行一定的分析和研究,统计分类。信任度奖励力度Ad:这个参数的设置与信任度惩罚力度类似。时间衰减函数r(Tl,Tc):根据当前和用户最后行为时间来确定。对于那些长时没有交互行为的用户,其信任度会降低。在算法中为了计算初始信任度值,以下为算法中要用到的一些常数信任度惩罚基数Pb:这个参数是一个基数,相当于一个单位的惩罚度。信任度提升基数Ab:这个参数是一个基数,相当于一个单位的提升度。信任度惩罚因子变量Pg:这个数值也是一个常数,默认为l.O,其用法在于整体上调整每个级别的信任度的惩罚力度,这样就不需要每一个参数进行修改。信任度提升因子变量Ag:用法与信任度惩罚因子变量类似。—个实体对另一实体的信任是通过以往两者之间的接触来建立的,而本发明的算法跟现实过程相似。开始,对于没有接触过的实体,赋予一个默认的信任度初始值,通过每次对实体的网络行为情况进行评估,系统会不断调整用户的信任度。随着用户正常操作的次数的增加,对该用户的熟悉程度加深,信任程度也会逐渐加深,由一般信任变成基本信任,进而完全信任。与之对应的,假如用户在操作过程中出现违规行为,则通过违规类别和报警级别的综合考虑,相应地降低其信任度进行惩罚。在算法中,除了考虑用户每次的上网行为对其信任度的影响之外,还考虑到两个重要的因素时间因素和用户过去经验行为因素。为此,在算法中增加了一个时间衰减函数,使得那些长期没有上网行为的用户的信任度下降。这样设计是比较合理的,也符合信任度算法要求,具体如下描述首先每隔固定时间读取系统当前时间和用户的最后行为时间,并且根据这个时间差做一个信任度的衰减计算公式1:A(Tl,Tc)=e-(T1'Te)/G,C是一个常数。公式2:Tg=TgXA(Tl,Tc)每隔两秒用户行为信息提取模块41自动读取知识库模块3的用户行为信息,然后根据知识库模块3中的记录对用户的信任度进行调整。首先需要做一个判断,判断用户此次行为是正常行为还是异常行为。如果用户是正常行为,则信任度提升模块43启动,提升用户的信任度,否则信任度降低模块44将根据用户信任度及用户行为及警告级别等一系列信息减少用户的信任度。若用户本次行为被检测为异常行为,则根据用户的信任度等级、用户的具体违规行为及警报级别等信息计算用户将要被减少的信誉积分,然后再将原有信誉积分减去这个值。为了凸显历史纪录对信任度变化的影响,算法加入了用户违规行为和用户正常行为的百分比,历史纪录不好的越多对信任度应该越低。由于常数C的存在,也可避免分母为0的情况出现。C是系统的重要参数,它影响着成功经历使某节点从初始信任状态达到完全信任另一节点的状态的速度。具体算法如下公式3:ATg=Pb(惩罚基数)XPu(惩罚因子)XPd(惩罚力度)XPg(惩罚因子变量)Tg=(Tg-ATg)X[S(违规次数)+1]/[N(行为总次数)+1]同理若用户本次行为被检测为正常行为则根据用户的信任度等级、用户的具体违规行为及警报级别等信息计算用户将要增加的信誉积分,然后再将原有信誉积分加上这个值,用户信任度的提升算法很简单,与信任度降低算法类似。公式4:ATg=Ab(奖励基数)XAu(奖励因子)XAd(信任度奖励力度)XAg(奖励因子常数)Tg=(Tg+ATg)X[S(正常次数)+1]/[N(行为总次数)+1]在建立信任评估模型时主要考虑了以下因素对信任度的影响用户近期行为考虑、正确反映主体过去的经验行为、随时间递增而信任衰减,这几个因素在本发明的算法中都有体现。时间衰减因素,在系统运行之时,进行用户信任度衰减算法,由于在算法中,用户信任度主要是根据用户的行为来更新的,因而时间因素对信任度有一定的影响,这个衰减在坐标轴上体现出来应该是一条缓慢递减的曲线。这条曲线满足以下两个条件当AT=Tc-Tl=0时A(Tl,Tc)=1当AT=Tc-Tl—^时A(Tl,Tc)=0所以本发明将信任度衰减函数设计为如下所示A(T1,Te)=e—(T1'Tc)/cC这个常数设置的目的在于使得函数变化比较平缓,用户不会因为短时间没有操作而导致信任度大幅度下降。用户近期行为因素,用户的最近一次网络行为对用户信任度影响是最大的,因而本发明对于每一次用户的行为都会有相应的计算。并将信任度变化分为变化因子,变化力度,变化因子是根据用户的信任度来设定的,在信任度的提升计算中,信任度越高的用户,每一次正常行为其信誉积分提高比同样行为的低等级用户应该稍慢,这可以防止信誉级别高的用户信誉积分提升太快,是有充分的理论依据的和现实依据的。在信任度降低计算中,对于级别高的用户,变化因子也越大,这是为了防止用户通过积累信任度的方法在重要交互中厚积薄发的欺诈攻击行为,警告用户等级越高越不容许无信誉行为。变化力度这个参数是完全根据用户上网行为来设定的。对于违规行为越严重的用户,每次交互后其信任度的减少也越多。主体的过去经验因素,算法的最后,在信任度变化后的基础之上增加了一个[OO"][S(正常行为次数)+1]/[N(用户行为总次数)+1]引入的目的在于反映主体过去的经验行为对于用户的信任度的影响。分子分母加一是为了防止首次违规的用户信任度立即减少为0。例如在分布式环境下,信任域A中的用户b如对用户a中资源进行访问,如(ftp,telnet,http)等各种服务时。用户a要首先根据用户b的网络行为获得其信任值,用户b的信任度积分(Tg)和信任等级(Tc)可以根据上述的算法计算。具体计算如下,首先根据上述各参数的说明,为算法中各个参数设置相应的值,参见表2、表3和表4:表2为信任度参数<table>tableseeoriginaldocumentpage11</column></row><table>表3变化力度参数<table>tableseeoriginaldocumentpage11</column></row><table>表4常用参数<table>tableseeoriginaldocumentpage11</column></row><table>假设b现在的信任积分为=100,以往的违规行为S=20,总的行为次数N=99,在用户b的一次网络行为中,若检查的网络行为为正常行为,并且协议类型为TCP,首先执行衰减算法,由于衰减算法主要是针对长期没有操作的用户而做的衰减计算,所以在正常情况下,一般不执行衰减算法,假设本次执行不满足衰减条件,则可直接执行公式4信任度提升算法,把上述表中的相应参数代入可得=5*0.8*7*1.0=28=100+28*(79+1)/(99+1)=122.4若检测的行为为违规行为,违规协议为UDP,则执行公式3信任度衰减算法=5*0.2*5*1.0=5=100-5*(79+1)/(99+1)=96近期行为考虑一般情况下,一个主体近期的行为最能够说明当前状态,反映出主体目前的可信程度。例如,某个资源提供者以往一直提供较好的服务,因而其信任程度也很高。但是最近资源提供者可能遭到入侵,不能完成任务。那么此时根据交易历史,信任评估模型能够从信任度上即时的反映该资源提供者当前的状态。正确反映主体过去的经验行为虽然主体近期行为更能体现主体的当前状态,但是主体过去所做的贡献不能全部抹煞,在信任评价模型中要能够如实的反映这一点。随时间递增而信任衰减信任的一个重要属性是信任度随时间的递减性。信任的这个性质也正说明主体近期行为对信任度产生更大影响的观点。本算法为了更加全面直观地反映用户的信任度,采取了离散级别和连续数值表示相结合的信任度表示法,将用户的信任分为信誉积分和信誉等级。系统的工作过程为数据包采集模块11截获网络上的数据包,协议解析模块12接收数据包采集模块11采集的数据包,根据数据包的类型和所处的网络层次,对数据包进行协议解析,网络行为还原模块13接收协议解析模块12解析完的数据包,对数据包的基进行重组,还原用户行为,模式匹配模块21收集所述网络行为还原模块13还原的用户行为,将该用户行为与规则库模块23中的记录的异常行为信息进行比较,从而判断用户的行为,如果不匹配则为正常行为,与规则库模块23中的记录匹配,则用户的行为为异常行为,并在知识库模块3中更新用户该行为信息,统计分析模块22收集网络行为还原模块12还原的用户行为,将该用户行为信息进行统计分析,进一步分析用户行为是正常行为或是异常行为,并更新知识库模块3中的用户行为信息,用户行为信息提取模块41初始化用户信任度并提取用户行为信息,行为判断模块42接收用户行为信息提取模块41提取的用户行为信息,判断用户是否为新用户,是则给新用户初始信任度赋值,否则检测用户行为,判断用户行为是否为正常行为,是则令信任度提升模块43计算提升的用户信任度,否则令信任度降低模块44计算降低的用户信任度,信任度衰减计算模块46根据用户行为等计算用户信任度的衰减,信任度衰减计算模块46根据用户行为信息提取模块41提取的用户行为,对信任度衰减进行计算,信任度计算及更新模块45结合信任度提升模块43和信任度降低模块44以及信任度衰减计算模块46计算的结果进行信任度及信任等级的计算,并更新用户的信任度。参见图2,一种基于网络行为检测的信任度评估方法,包括以下步骤步骤201,数据包采集模块采集网络上的数据包。步骤202,协议解析模块接收数据包采集模块发来的数据包,根据数据包的类型和所处的网络层次,对数据包进行协议解析。步骤203,网络行为还原模块接收协议解析模块解析完的数据包,对数据包进行重组。步骤204,对重组的数据包进行还原,还原用户行为。步骤205,模式匹配模块收集网络行为还原模块还原的用户行为,将该用户行为与已知的规则库模块中的记录进行比较,从而判断用户的行为,并更新知识库模块中的用户行为信息,统计分析模块收集网络行为还原模块还原的用户行为,将该用户行为信息进行统计分析,进一步分析该用户行为是正常行为或是异常行为,更新知识库模块中的用户行为信息。步骤206,用户行为信息提取模块初始化用户信任度,从知识库模块中提取用户行为信息。步骤207,行为判断模块接收用户行为信息提取模块提取的用户行为信息,判断用户是否为新用户,是则执行步骤209,否则执行步骤210。步骤208,给新用户初始信任度赋值。步骤209,检测用户行为。步骤210,判断用户行为是否为正常行为,是则执行步骤211,否则执行步骤212。步骤211,令信任度提升模块计算提升的用户信任度。步骤212,令信任度降低模块计算降低的用户信任度。步骤213,信任度衰减计算模块进行信任度衰减的计算,信任度计算及更新模块通过相应的算法结合信任度提升模块和信任度降低模块以及信任度衰减计算模块中的属性及参数进行信任度和信任等级的计算,并更新用户的信任度。由于设置了网络行为信息采集模块和网络行为分析模块,可以高效客观的提取用户网络行为,为信任度评估模块准确实现信任度评估算法提取网络用户行为并保存到知识库模块中,通过信任度评估模块运用的算法计算出的信任度,从而对用户做出了客观全面的信任度评价。以上的实施例仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通工程技术人员对本发明的技术方案做出的各种变形和改进,均应落入本发明的权利要求书确定的保护范围内。权利要求一种基于网络行为检测的信任度评估系统,其特征在于,包括网络行为信息采集模块(1)、网络行为分析模块(2)、知识库模块(3)和信任度评估模块(4);所述网络行为信息采集模块(1)用于采集网络上的数据包,根据数据包的类型和所处的网络层次,对数据包进行协议解析,并对数据包进行重组,还原用户行为;所述网络行为分析模块(2)收集所述网络行为信息采集模块(1)还原的用户行为,将该用户行为与记录的异常行为进行比较,判断用户的行为为正常行为或是异常行为,或者将该用户行为信息进行统计分析,进一步分析该用户行为是正常行为或是异常行为,并更新用户行为信息;所述知识库模块(3)用于记录用户行为信息,并接受所述网络行为分析模块(2)进行的用户行为信息更新;所述信任度评估模块(4)对初始化用户信任度和从所述知识库模块(3)中提取用户行为信息,判断用户是否为新用户,是则给新用户初始信任度赋值,否则检测用户行为,判断用户行为是否为正常行为,是则提升用户信任度,否则降低用户信任度,进行信任度衰减的计算,并进行信任度及信任等级的计算,更新用户的信任度。2.根据权利要求1所述的基于网络行为检测的信任度评估系统,其特征在于,所述网络行为信息采集模块(1)包括数据采集模块(11)、协议解析模块(12)和网络行为还原模块(13);所述数据包采集模块(11)用于采集网络上的数据包;所述协议解析模块(12)接收所述数据包采集模块(11)采集的数据包,根据数据包的类型和所处的网络层次,对数据包进行协议解析;所述网络行为还原模块(13)用于接收所述协议解析模块(12)解析完的数据包,对数据包进行重组,还原用户行为。3.根据权利要求2所述的基于网络行为检测的信任度评估系统,其特征在于,所述网络行为分析模块(2)包括行为识别模块(21)、统计分析模块(22)以及规则库模块(23);所述规则库模块(23)用于记录用户的异常行为信息和非法行为信息;所述模式匹配模块(21)收集所述网络行为还原模块(13)还原的用户行为,将该用户行为与所述规则库模块(23)中的记录进行比较,从而判断用户的行为,如果与所述规则库模块(23)中的记录的异常行为信息不匹配则为正常行为,与所述规则库模块(23)中的记录匹配,则用户的行为为异常行为,并更新所述知识库模块(3)中的用户行为信息;所述统计分析模块(22)收集所述网络行为还原模块(12)还原的用户行为,将该用户行为信息进行统计分析,分析用户的行为是正常行为或是异常行为,更新所述知识库模块(3)中的用户行为信息。4.根据权利要求3所述的基于网络行为检测的信任度评估系统,其特征在于,所述信任度评估模块(4)包括用户行为信息提取模块(41)、行为判断模块(42)、信任度提升模块(43)、信任度降低模块(44)、信任度计算及更新模块(45)和信任度衰减计算模块(46);所述用户行为信息提取模块(41)用于初始化用户信任度并提取用户行为信息;所述信任度提升模块(43)用于计算提升的用户信任度;所述信任度降低模块(44)用于计算降低的用户信任度;所述行为判断模块(42)接收所述用户行为信息提取模块(41)提取的用户行为信息,判断用户是否为新用户,是则给新用户初始信任度赋值,否则检测用户行为,判断用户行为是否为正常行为,是则令所述信任度提升模块(43)计算提升的用户信任度,否则令所述信任度降低模块(44)计算降低的用户信任度;所述信任度衰减计算模块(46)用于计算用户的衰减信任度;所述信任度计算及更新模块(45)结合所述信任度提升模块(43)和所述信任度降低模块(44)以及所述信任度衰减计算模块(46)的计算结果进行信任度及信任等级的计算,并更新用户的信任度。5.根据权利要求4所述的基于网络行为检测的信任度评估系统,其特征在于,所述用户行为信息提取模块(41)每隔2秒提取用户行为信息。6.—种根据权利要求l-5任一项所述的基于网络行为检测的信任度评估方法,其特征在于,包括以下步骤网络行为信息采集模块采集网络上的数据包,根据数据包的类型和所处的网络层次,对数据包进行协议解析,并对数据包进行重组,还原用户行为;网络行为分析模块收集网络行为信息采集模块还原的用户行为,判断和统计分析用户的行为是正常行为还是异常行为,并更新知识库模块中的用户行为信息;信任度评估模块初始化用户信任度,提取用户行为信息,根据提取的用户行为信息,判断用户是否为新用户,是则为新用户初始信任度赋值,否则检测用户行为,判断用户行为是否为正常行为,是则提升用户信任度,否则降低用户信任度,进行信任度衰减的计算,并进行信任度及信任等级的计算,更新用户的信任度。7.根据权利要求6所述的基于网络行为检测的信任度评估方法,其特征在于,所述采集网络上的数据包的步骤是通过数据包采集模块完成的,所述根据数据包的类型和所处的网络层次,对数据包进行协议解析是通过协议解析模块完成的,所述对数据包进行重组,还原用户行为的步骤是通过网络行为还原模块完成的。8.根据权利要求7所述的基于网络行为检测的信任度评估方法,其特征在于,所述收集网络行为信息采集模块还原的用户行为,判断和统计分析用户的行为是正常行为还是异常行为,并更新知识库模块中的用户行为信息的步骤是通过模式匹配模块进行判断,通过统计分析模块进行统计分析完成的。9.根据权利要求8所述的基于网络行为检测的信任度评估方法,其特征在于,所述初始化用户信任度,提取用户行为信息的步骤是通过用户行为信息提取模块完成的;所述根据提取的用户行为信息,判断用户是否为新用户,是则为新用户初始信任度赋值,否则检测用户行为,判断用户行为是否为正常行为,是则提升用户信任度,否则降低用户信任度的步骤是通过行为判断模块完成的;所述进行信任度衰减的计算的步骤是通过信任度衰减计算模块完成的,所述进行信任度及信任等级的计算,更新用户的信任度是通过信任度计算及更新模块完成的。10.根据权利要求9所述的基于网络行为检测的信任度评估方法,其特征在于,所述提取用户行为信息的步骤中用户行为信息提取模块每隔2秒提取用户行为信息。全文摘要一种基于网络行为检测的信任度评估系统和方法,网络行为信息采集模块采集网络上的数据包,对数据包进行协议解析,重组数据包,还原用户行为;网络行为分析模块将该用户行为与记录的异常行为信息比较,判断用户行为,更新知识库模块,分析用户行为信息,更新知识库模块;信任度评估模块对初始化用户信任度和提取用户信息,是新用户给新用户初始信任度赋值,否则检测用户行为,提升或降低用户信任度,进行信任度衰减的计算,进行信任度及信任等级的计算,更新用户的信任度。从而提供一种能够高效客观的提取用户网络行为,准确实现信任度评估算法,对用户做出客观全面的信任度评价的基于网络行为检测的信任度评估系统和方法。文档编号H04L29/06GK101719824SQ20091023773公开日2010年6月2日申请日期2009年11月24日优先权日2009年11月24日发明者蒋文保申请人:北京信息科技大学