一种基于改进AHP的用户行为信任评估方法及系统与流程

本发明涉及网络安全技术领域，尤其涉及一种基于改进AHP的用户行为信任评估方法及系统。

背景技术：

随着网络的发展与广泛应用，网络安全也日益突出。近来针对多种网络架构的攻击技术和威胁方式层出不穷，未来网络系统面临的安全威胁将越来越严重，据美国FBI统计，83％的信息安全事故为内部人员或内外勾结所为，其中有16％来自内部用户的未授权使用，因此针对内部网络中的用户行为监测和评估十分重要。

目前，已经有国内外利用AHP思想对网络中的用户行为进行信任度计算与评估。比如申请号为CN201510562954.6的发明专利申请公开了一种Web环境下用户行为的信任评估方法，系统通过session监听器不断地监听用户登录系统时被分配的独立session是否销毁，如果销毁开始对用户本次行为进行信任评估。又如申请号为CN201010018221.3的一种可信网络中用户行为的信任评估方法，运用分布式计算技术、可信计算技术及信任管理技术，实现可信网络中用户行为评估方法，为构建可信网络信任模型提供了一个新的思路。

层次分析法(Analytic Hierarchy Process)是一种将定量与定性结合的多目标决策分析方法。借鉴AHP的思想对网络用户行为进行信任评估，保障内部网络安全可靠。然而，基于AHP的用户行为评估只提供单一时刻的用户行为评价，忽略了对用户历史行为的信任考量，使得结果具有片面性，不能获取用户信任评价的综合信息，因此评价结果缺乏精确性和全面性。

技术实现要素：

针对现有技术中存在的技术问题，本发明的目的在于提供一种基于改进AHP的用户行为安全威胁评估方法及系统，利用AHP思想对用户行为证据进行建模，加入时间因素计算连续时刻的多维信任度向量，根据综合信任度对用户行为是否存在安全威胁进行评估。该方法包括用户行为收集与处理、用户行为评估建模、用户证据权重矩阵构建、基于时间的信任度矩阵构建、基于时间的权重矩阵构建以及用户综合信任度评估与决策等关键步骤，具体方法包括：

1)用户行为收集与处理，是指利用安全分析软件或工具，实时监测与收集网络中与安全特性相关的用户行为证据，对证据进行规范化处理；

2)用户行为评估建模，是指按照证据所包含的不同安全行为特性将证据划分三个层次，即目标层、特性层和证据层，进行用户行为评估建模，将规范化处理后的用户行为证据根据划分层次生成用户行为证据矩阵；利用AHP中的9级分制对同一用户的各个安全行为特性的重要程度进行两两比较，得出该用户的特性层判断矩阵，对同一用户各个安全行为特性中的各个证据进行两两比较，得出该用户的证据层判断矩阵，对特性层判断矩阵和证据层判断矩阵分别进行列规范化、按行相加、规范化后得出特性层权重向量和用户各个安全行为特性的证据层权重向量，并分别进行一致性检验，如果通过一致性检验，则计算的权重向量可用，如果不通过一致性检验，则重新计算判断矩阵直到特性层权重向量和证据层权重向量的一致性检验通过；

3)用户证据权重矩阵构建，是指将一致性检验通过的各个安全行为特性的证据层权重向量组合到一起构成用户证据权重矩阵；

4)基于时间的信任度矩阵构建，是指利用第i时刻用户行为证据与用户证据权重矩阵，计算第i时刻用户行为的信任度向量，将第i时刻用户行为的信任度向量与第i-1和第i-2时刻的信任度向量构成多维信任度矩阵；

5)基于时间的多维权重矩阵构建，是指按照距离当前时刻的时间距离越长，所占权重越小的原理，设置第i-2时刻、第i-1时刻以及第i时刻的安全行为特性所占权重，生成时间权重矩阵，将时间权重矩阵与特性层权重向量相乘得到多维权重矩阵；

6)用户综合信任度评估，利用构建的多维信任度矩阵与多维权重矩阵，计算得出用户的综合信任度。

本发明还提供一种基于改进AHP的用户行为信任评估系统，其特征在于，包括用户行为证据采集模块、特性层权重向量生成及校验模块、证据层权重向量生成及校验模块、用户证据权重矩阵构建模块、多维信任度矩阵构建模块、用户综合信任度评估与决策模块；其中，

用户行为证据采集模块，用于实时监测与收集网络中与设定安全特性相关的用户行为证据；

特性层权重向量生成及校验模块，用于根据用户第i时刻的用户行为证据计算该用户第i时刻的各个安全行为特性的重要程度；对同一用户第i时刻的各个安全行为特性的重要程度进行两两比较，得出该用户第i时刻的特性层判断矩阵，然后根据该特性层判断矩阵计算一特性层权重向量并对其进行一致性校验；

证据层权重向量生成及校验模块，用于对同一用户第i时刻的各个安全行为特性中的各个用户行为证据进行两两比较，得出该用户第i时刻的证据层判断矩阵，然后根据该证据层判断矩阵计算用户各个安全行为特性的证据层权重向量并对其进行一致性校验；

用户证据权重矩阵构建模块，用于将一致性检验通过的第i时刻的所述证据层权重向量组合到一起构成用户证据权重矩阵；

多维信任度矩阵构建模块，用于利用该用户第i时刻的用户行为证据、用户证据权重矩阵，计算该用户第i时刻用户行为的信任度向量，根据该用户第i时刻用户行为的信任度向量及该用户第i时刻之前若干时刻的信任度向量构成该用户的多维信任度矩阵；

用户综合信任度评估与决策模块，用于按照距离当前时刻的时间距离越长所占权重越小的原理设置该用户的第i时刻及第i时刻之前N个时刻的安全行为特性所占权重，构造时间权重矩阵，将所述特性层权重向量与所述时间权重矩阵相乘得到该用户的多维权重矩阵；然后利用该用户的多维信任度矩阵、多维权重矩阵，计算得出该用户的综合信任度；然后根据该综合信任度对该用户的用户行为进行评估。

本发明技术方案带来的有益效果：

利用AHP思想对收集的用户身份和行为信息进行规范化和建模，通过连续时刻的用户行为变化趋势，评估用户身份和行为的信任度，根据用户历史行为信息和当前行为信息综合作为信任度评估的凭证，本发明能获取相对全面的信息用信任度进行评估，有效降低评估的片面性，并根据综合信任度评估结果决策采取的安全措施，有效保障网络系统的安全可信。

附图说明

图1是本发明一种基于改进AHP的用户行为信任评估与决策方法的具体流程图；

图2是本发明一种基于改进AHP的用户行为信任评估与决策方法的用户行为评估模型图。

具体实施方式

本发明基于改进AHP的用户行为信任评估与决策方法，利用AHP原理加入时间因素对用户历史连续时间的证据进行收集建模，构造连续时刻的用户行为证据矩阵与权重矩阵并计算出用户的综合安全评估结果，使得针对网络用户的安全评价更加具有精确性和全面性，从而有效保障网络的安全可信。

为使本发明的实施例的目的、技术方案和优点更加清楚，下面进一步结合附图对本发明作详细描述。

一种基于改进AHP的用户行为信任评估与决策方法，该方法的流程如图1所示，具体流程为：

步骤201，利用安全监测分析工具或软件实时监测收集网络中与安全特性相关的用户行为证据；

步骤202，对收集到的证据利用公式(1)进行规范化处理，把证据转化为在[0,1]范围内的正向递增值；

步骤203，按照证据包含的不同安全行为特性将证据划分三个层次，即目标层、特性层和证据层，进行用户行为评估建模，如图2所示，用户安全特性包含身份可靠特性I、越权访问特性A、流量安全特性F、异常报文特性P、端口扫描特性S，其中身份可靠特性I包含的用户证据有正常时间段内登录次数I₁、非正常时段内登录次数I₂、单位时间内认证失败次数I₃，越权访问特性A包含的用户证据有尝试越权访问服务的次数A₁，流量安全特性F包含的用户证据有单位时间内流量字节数F₁、单位时间内SYN包个数F₂、单位时间内PING包个数F₃，单位时间内DNS请求包个数F₄，异常报文特性P包含的用户证据有字段重叠的UDP报文个数P₁、TCP标志位非法数据包个数P₂、数据包字节数过大的数据包个数P₃、源地址为广播地址数据包个数P₄、源目的地址均为服务主机数据包个数P₅，扫描特性S包含的用户证据有单位时间内请求同一IP的端口数S₁、单位时间内请求同一端口的IP数S₂、FIN数据包个数S₃、SYN|ACK数据包个数S₄，根据模型生成的第i时刻用户行为证据矩阵：

例如，表示用户在第i时刻的流量安全特性F的第四个证据，即用户在第i时刻的单位时间内DNS请求包个数F₄；

步骤204，利用AHP中的9级分制对用户的各个安全行为特性的重要程度进行两两比较，得出特性层判断矩阵，例如根据上述步骤计算可用的特性层判断矩阵是其中J_ij表示第i个安全行为特性与第j个安全行为特性重要性程度比较的结果，例如J₂₃表示越权访问特性A与流量安全特性F重要性程度比较的结果，对特性层判断矩阵进行列规范化、按行相加、归一化后得出特性层权重向量w_J(w_J1 w_J2 w_J3w_J4 w_J5)^T，并对向量进行一致性检验；

步骤205，如果一致性检验不通过，则返回步骤204；

步骤206，如果一致性检验通过，则计算的特性层权重向量可用；

步骤207，利用AHP中的9级分制对用户的各个安全行为特性中的各个证据进行两两比较，得出证据层判断矩阵，对证据层判断矩阵进行列规范化、按行相加、再规范化后得出用户各个安全行为特性的证据层权重向量，并对证据层权重向量进行一致性检验；

步骤208，如果一致性检验不通过，则返回步骤207；

步骤209，如果一致性检验通过，则计算的各个安全行为特性的证据层权重向量可用，其中身份可靠特性I的证据层权重向量是w_I＝(w_I1 w_I2 w_I3 w_I4 w_I5)^T，越权访问特性A的证据层权重向量w_A＝(w_A1 w_A2 w_A3 w_A4 w_A5)^T，可用的流量安全特性F的证据层权重向量w_F=(w_F1 w_F2 w_F3 w_F4 w_F5)^T，异常报文特性P的证据层权重向量w_P＝(w_P1 w_P2 w_P3 w_P4 w_P5)^T，端口扫描特性S的证据层权重向量w_S＝(w_S1 w_S2 w_S3 w_S4 w_S5)^T；

步骤210，利用步骤209计算可用的各个安全行为特性的证据层权重向量，将各个安全行为特性的证据层权重向量组合到一起构成用户证据权重矩阵

步骤211，利用步骤203收集的第i时刻用户行为证据em_i与步骤210的用户行为证据权重矩阵wm，计算第i时刻用户行为的信任度向量，即

其中矩阵中对角线值即为第i时刻用户行为的信任度；

步骤212，将第i时刻用户行为的信任度与第i-1和第i-2时刻的信任度构成多维信任度矩阵

步骤213，按照距离当前时刻的时间距离越长，所占权重越小的原理，对第i-2时刻、第i-1时刻以及第i时刻的用户行为安全特性所占权重进行处理，生成时间权重矩阵twm[tw_i-2 tw_i-1 tw_i]^T，其中将时间权重矩阵与步骤206得到的特性层权重向量相乘得到多维权重矩阵根据上述步骤计算得到可用的多维权重矩阵

步骤214，利用步骤210的多维信任度矩阵tm与步骤213的多维权重矩阵mwm计算用户的综合信任度评价矩阵对角线的值即为用户每个安全特性的综合信任度评价值。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。