(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210309072.9 (22)申请日 2022.03.28 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 申请人 网络通信与安全紫金山实验室 (72)发明人 江逸茗　马海龙　王亮　伊鹏　 陈博　袁征　丁瑞浩　张德升　 唐寅　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 专利代理师 张立强 (51)Int.Cl. H04L 9/32(2006.01)H04L 9/40(2022.01) (54)发明名称 一种面向网络终端设备的信任估值方法及 装置 (57)摘要 本发明公开一种面向网络终端设备的信任 估值方法及装置， 该方法结合网络终端设备历史 行为对其信任进行估值计算， 并对其进行基于信 任的安全管控， 因此， 将该节点从接入域到评估 时刻的通信时段视为评估区间T， 将其划分为t段 评估间隔， 认为正常设备节点有如下特征： 倾向 于忠诚、 即大概率(概率不小于0.5)地正常转发 数据； 其面向域内交换设备节 点的入向流量序列 平稳， 不得突发增长至域内服务资源承受 阈值以 上。 本发明可支持 网络基于终端设备历史行为对 其实施基于信任的安全管控， 并可应用于多种威 胁场景、 满足 实际场景需求。 权利要求书4页 说明书10页 附图2页 CN 114745128 A 2022.07.12 CN 114745128 A 1.一种面向网络终端设备的信任 估值方法， 其特 征在于， 包括： 步骤A： 当满足下式时， 认为发生了DoS攻击， 此时不对S DPIH授予信任： 其中 表示相邻段评估 间隔的内域入口节点对该终端设备测算的出向转发流 量速率比， 表示第t段评估间隔内域入口节点对该终端设备测算的出向转发流量速 率， 表示第t+1段评估间隔内域入口节点对该终端设备测算的出向转发流量速率， t表 示评估间隔索引号， T表示评估区间， min(Server|SDPC)表示服务性能最低的服务资源 Server及SDP控制器的带宽， max( εt)表示相邻段评估间隔的最大转发流量速率比比值， | max(εi)‑min(εi)|>μ， min(εi)表示相邻段评估间隔的最小转发流量速率比比值， 表示包速率平稳系数， ε＝{ε1, ε2, ε3,... εt‑1}表示相邻段评估间隔的内 域入口节点对该终端设备测算的出向转发流 量速率比序列； 步骤B： 当n 不为0时， 按照下式计算S DP IH的忠诚转发比序列： 其中n表示交互报文数； f1表示第j段评估间隔内该节点应转发的报文数； f2表示第j段 评估间隔内该节点实际转发的报文数； F0为SDP IH的默认忠诚转发比， 即与SDP  AH无交互 时的初始报文 忠诚转发比； δ(n)为交 互函数； 当n为0时， 步骤C： 基于忠诚转发比序列对SDP  IH是否存在开关攻击进行判断： 将满足|max( τl)‑ min( τl)|>θ 的τl视为波动值， 将所有的波动值构成 的序列视为波动序列W， 引入t的变量λt， 满足 若波动序列W中的波动值均为迁移波动， 且λt序列中1与 ‑1交替出现， 则判定SDP  IH为恶意节点， 不对 其授予信任； 其中 表示相邻段评估间隔的忠诚转 发比比值， 表示第l段评估间隔内域入口节点对该终端设备测算的忠诚转发比， 表示第l+1段评估间隔内域入口节点对该终端设备测算的忠诚 转发比； max( τl)表示相邻段 评估间隔的最大忠诚转发比比值； min(τl)表示相邻评价段的最小忠诚转发比比值； 表示忠诚转发比平稳系数， τ＝{τ1, τ2, τ3,... τt‑1}表示相邻段评估间隔 的忠诚转发比 比值序列；权　利　要　求　书 1/4 页 2 CN 114745128 A 2步骤D： 基于第t段评估间隔对应的SDP  IH忠诚转发比序列， 对 进行预测， 并将 视为SDP AH当前基于S DP IH历史表现对其评估的信任值。 2.根据权利要求1所述的一种面向网络终端设备的信任估值方法， 其特征在于， 所述步 骤D中， 按照如下 方式对 进行预测： 基于第t段评估间隔对应的SDP  IH忠诚转发比序列F， 采用SCGM(1,1)加权马尔科夫模 型， 根据距 最近1段评估间隔内 是否为偶然波动对 进行预测， 若 为偶 然波动， 利用SCGM(1,1)加权马尔科夫预测模 型直接预测， 即 若 为 非 波 动 值 或 为 迁 移 波 动 ，结 合 和 上 述 预 测 模 型 预 测 即 τ'表示去除波动值的τ序列； 并将 视为SDP AH当前基于 SDP IH历史表现对其评估的信任值。 3.根据权利要求1所述的一种面向网络终端设备的信任估值方法， 其特征在于， 还包 括： 步骤E： 若SDP  IH访问凭据到期时， 其实时信任高于SDP  AH的信任阈值， 则允许其相当 于该SDP AH的信任凭据续租。 4.根据权利要求3所述的一种面向网络终端设备的信任估值方法， 其特征在于， 所述步 骤E包括： a)按照如下 方式计算S DP IH节点随续租轮数l增长的基础函数 b)从第1轮续租开始， 为SDP  IH信任值引入随入网时间t增长的衰减 因子p， 仅作用于上 一轮信任续租时的历史信任， 若临 时访问凭据有效期为k， 则设置信任衰减函数 △(l)＝e‑pt ＝e‑pkl； c)设置信任惩罚函数 其中m为不良操作数； d)对 增加衰减函数和惩罚函数， 修 正如下： 满足 若SDP IH节点恶意行为过 多导致信任降级后， 阻止该用户后续申请身份验证； 同时， 在网络中清除其导入的恶意数据 包。 5.一种面向网络终端设备的信任 估值装置， 其特 征在于， 包括： 第一判断模块， 用于当满足下式时， 认为发生了DoS攻击， 此时不对S DPIH授予信任：权　利　要　求　书 2/4 页 3 CN 114745128 A 3