不期望网络业务的控制

摘要

根据本发明的实施例，对包括主机和网络节点的具有隐私保护的网络实体执行信任评估以确定不期望业务源。信任评估基于来自主机的检测报告和来自网络节点的监控报告。网络节点不知道检测报告的内容，而执行信任评估的实体不知道主机和网络节点的真实标识符。

说明书

技术领域

本发明涉及网络安全领域，更具体地，涉及基于信任管理的不期望网络业务的控制。

背景技术

随着网络技术的快速发展和广泛应用，在因特网或各种通信网络中已经提供了大量的服务或应用以使用户从中获益。然而，在因特网中仍存在大量的不期望业务，例如垃圾邮件、恶意软件、恶意入侵等。这样的不期望业务给用户带来了麻烦，导致在网络传输上的沉重负担，并影响网络安全。因此，在因特网或包括已有或未来的移动/无线网络的通信网络中控制不期望业务的有效解决方案是必须且关键的。

为了控制不期望网络业务，例如防火墙、网络监控和入侵检测系统(IDS)的技术被广泛开发并用于控制垃圾邮件、恶意软件或分布式拒绝服务(DDoS)攻击。另一种用于控制不期望网络业务的技术是基于信任和信誉管理，即，对每个网络实体的信任评估。

近几年，已经提出了许多经由信任和信誉管理来控制不期望业务的方案以用于不同类型的不期望业务，例如电子邮件垃圾、即时通信垃圾(spim)、基于互联网电话的垃圾(SPIT)和网页垃圾。但是，信任和信誉管理涉及由诸如网络主机或网络终端的报告者进行不期望业务检测报告或入侵报告，这可能需要报告者的隐私信息，因此，报告者的隐私受到影响并不能被保护。

随着网络主机的隐私保护受到越来越多的关注，期望新的具有隐私保护的信任管理用于不期望业务控制。

发明内容

下文呈现了本发明的简要概述以提供本发明的一些方面的基本理解。该概述不是本发明的广泛综述。它并不旨在标识本发明的关键或重要因素，也不旨在描述本发明的范围。以下的概述仅以简洁的形式呈现本发明的一些概念，作为下面提供的更详细描述的序言。

本发明旨在用于不期望业务的控制的方法及其装置。

根据一个实施例，提供一种用于不期望网络业务的控制的方法。在该方法中，检测流经签约网络节点的主机的不期望业务。用网络节点未知的同态加密密钥对不期望业务的检测结果进行加密。然后，生成检测报告，其包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果。最后，利用主机的公钥基础设施(PKI)公钥/私钥对，对检测报告进行签名。

根据另一个实施例，提供一种用于不期望网络业务的控制的方法。在该方法中，在网络节点处，从签约网络节点的主机接收具有数字签名的检测报告，其中，检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及不期望业务的加密检测结果，并且加密检测结果基于网络节点未知的同态加密密钥。验证各检测报告的数字签名。然后，通过应用基于同态的算法来聚合与同一源主机有关的检测报告的加密检测结果，并基于聚合结果来确定将要被监控的可疑源主机。

根据另一个实施例，提供一种用于不期望网络业务的控制的方法。在该方法中，从网络节点接收报告。响应于报告包含与同一源主机有关的加密检测结果的聚合结果和源主机的匿名标识符，其中加密检测结果基于网络节点未知的同态加密密钥，用与同态加密密钥成对的同态解密密钥来解密聚合结果。然后，基于所解密的聚合结果，确定源主机是否是将要被监控的可疑源主机，并且将确定结果和源主机的匿名标识符发送到网络节点。响应于报告是具有数字签名的监控报告，其中监控报告包含网络节点的第三标识符、可疑源主机的监控结果、可疑源主机的第四标识符、以及关于可疑源主机的加密检测结果，验证数字签名。然后，用同态解密密钥来对加密检测结果进行解密。基于检测结果和监控结果，评估可疑源主机的全局信任。响应于全局信任满足第四条件，确定可疑源主机是真正的不期望业务源。最后，将全局信任和真正的不期望业务源的标识符发送到网络节点。在该方法中，第三标识符是网络节点的匿名标识符，第四标识符是可疑源主机的匿名标识符。

根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少执行：检测流经签约网络节点的主机的不期望业务；使用网络节点未知的同态加密密钥，对不期望业务的检测结果进行加密；生成检测报告，其包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果；以及利用主机的公钥基础设施(PKI)公钥/私钥对来对检测报告进行签名。

根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少执行：在网络节点处，从签约网络节点的主机接收具有数字签名的检测报告，其中检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及不期望业务的加密检测结果，其中加密检测结果基于网络节点未知的同态加密密钥；验证各检测报告的数字签名；聚合与同一源主机有关的检测报告的加密检测结果；以及基于聚合结果来确定将要被监控的可疑源主机。

根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少执行：从网络节点接收报告；响应于报告包含与同一源主机有关的加密检测结果的聚合结果和源主机的匿名标识符，其中加密检测结果基于网络节点未知的同态加密密钥，用与同态加密密钥成对的同态解密密钥来解密聚合结果；基于所解密的聚合结果，确定源主机是否是将要被监控的可疑源主机；将确定结果和源主机的匿名标识符发送到网络节点；响应于报告是具有数字签名的监控报告，其中监控报告包含网络节点的第三标识符、可疑源主机的监控结果、可疑源主机的第四标识符、以及关于可疑源主机的加密检测结果，验证数字签名；用同态解密密钥来对加密检测结果进行解密；基于所解密的检测结果和监控结果，评估可疑源主机的全局信任；响应于全局信任满足第四条件，确定可疑源主机是真正的不期望业务源；以及将全局信任和真正的不期望业务源的标识符发送到网络节点。在该装置中，第三标识符是网络节点的匿名标识符，第四标识符是可疑源主机的匿名标识符。

根据另一个实施示例，提供一种计算机程序产品，其包括一个或多个指令的一个或多个序列，所述指令在由一个或多个处理器执行时使装置至少执行上述的用于不期望网络业务的控制的方法的步骤。

根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括：用于检测流经签约网络节点的主机的不期望业务的装置；用于使用网络节点未知的同态加密密钥来对不期望业务的检测结果进行加密的装置；用于生成检测报告的装置，其中检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果；以及用于利用主机的公钥基础设施(PKI)公钥/私钥对来对检测报告进行签名的装置。

根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括：用于在网络节点处从签约网络节点的主机接收具有数字签名的检测报告的装置，其中检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符；以及不期望业务的加密检测结果，其中加密检测结果基于网络节点未知的同态加密密钥；用于验证各检测报告的数字签名的装置；用于通过应用基于同态的计算来聚合与同一源主机有关的检测报告的加密检测结果的装置；以及用于基于聚合结果来确定将要被监控的可疑源主机的装置。

根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括：用于从网络节点接收报告的装置；用于响应于报告包含与同一源主机有关的加密检测结果的聚合结果和源主机的匿名标识符，用与同态加密密钥成对的同态解密密钥来解密聚合结果的装置，其中加密检测结果基于网络节点未知的同态加密密钥；用于基于所解密的聚合结果来确定所述源主机是否是将要被监控的可疑源主机的装置；用于向网络节点发送确定结果和源主机的匿名标识符的装置；用于响应于报告是具有数字签名的监控报告来验证数字签名的装置，其中监控报告包含网络节点的第三标识符、可疑源主机的监控结果、可疑源主机的第四标识符、以及关于可疑源主机的加密检测结果；用于用同态解密密钥来对加密检测结果进行解密的装置；用于基于所解密的检测结果和监控结果来评估可疑源主机的全局信任的装置；用于响应于全局信任满足第四条件来确定可疑源主机是真正的不期望业务源的装置；以及用于将全局信任和真正的不期望业务源的标识符发送到网络节点的装置。在该装置中，第三标识符是网络节点的匿名标识符，第四标识符是可疑源主机的匿名标识符。

通常，在本说明书中使用的所有术语将根据其在本技术领域中的通常含义进行解释，除非在此另有明确定义。所有对于“一个/该(元件、设备、装置、部件、步骤等)”的引用将被公开地解释为引用所述元件、设备、装置、部件、步骤等的至少一个实例，除非另有明确说明。本文公开的任何方法的步骤不必按照所公开的确切顺序来执行，除非明确说明。

本领域的技术人员将理解，以上仅仅是对下面更详细描述的主题的介绍。本发明的其它目的、特征和优点将从以下的详细公开内容、所附的从属权利要求和附图中显现。

附图说明

对于本发明及其某些优点的更全面的理解可以通过参考以下结合附图的描述来获得，其中，相同的附图标记表示相同的特征，并且其中：

图1是其中本发明的实施例的用于不期望网络业务的控制的方法可实施的系统的示例性框图；

图2是示出根据本发明的第一实施例的用于不期望网络业务的控制的方法的流程图；

图3是示出如图2所示的检测不期望业务的过程的流程图；

图4是示出根据本发明的第二实施例的用于不期望网络业务的控制的方法的流程图；

图5是示出根据本发明的第三实施例的用于不期望网络业务的控制的方法的流程图；

图6是示出根据本发明的第四实施例的用于不期望网络业务的控制的方法的流程图；

图7是示出如图6所示的评估全局信任的过程的流程图；

图8是示出根据本发明的第五实施例的用于不期望网络业务的控制的方法的流程图；

图9是示出根据本发明的实施例的用于不期望网络业务的控制的装置的示意性框图。

具体实施方式

在以下各种例示性的实施例的描述中，参考了附图，其形成该描述的一部分，并且在附图中通过图示的方式示出了可以实践本发明的各种示例性实施例。应当理解，在不脱离本发明的范围的情况下，也可以使用其它实施例，并可进行结构和功能的修改。

本发明的用于不期望网络业务的控制的方法的实施例是基于对网络系统(诸如因特网、通信网络、移动蜂窝网络等)中的网络实体的信任管理，并且考虑网络实体的隐私。

图1示出了其中用于不期望网络业务的控制的方法的实施例可实施的网络系统的示例。如图1所示，网络系统包括至少一个主机Host_11、Host_12、…、Host_1m、…、Host_n1、Host_n2、…、Host_nm，至少一个网络节点Node_1、…、Node_n，以及可执行信任管理的称为全局信任操作者(GTO)的实体。主机和网络节点可统称为网络实体。

在本实施例中，主机可以是任何签约网络节点并连接到该网络节点以访问由该网络节点提供的服务的网络设备。主机可以例如是计算机(诸如个人计算机、膝上型计算机、笔记本等)、通信终端(诸如移动电话、智能电话)等。

网络节点可以是诸如因特网服务提供商(ISP)网络的服务提供商网络的节点，其向它自己的签约主机提供服务。

GTO是与网络节点不同的实体，并可与网络节点进行通信。GTO相当于被授权方，并如实地进行计算。在实施例中，GTO可被部署为云服务提供商的云计算服务。

根据本发明的用于不期望网络业务的控制的方法的实施例可在如图1所示的主机、网络节点和实体处或由它们合作执行。在不期望网络业务的控制期间，在实施例中，在主机处，不期望业务的检测报告被应用部分同态加密(HE)机制，并被发送到网络节点。在另一个实施例中，在网络节点处，在GTO的支持下，检测报告用于找到不期望业务源。然后，网络节点可监控可疑源的业务，并将监控报告和检测报告一起发送到GTO。在另一个实施例中，GTO可基于监控报告和检测报告来对主机和网络节点执行信任评估，以确定真正的不期望业务源。

在本发明的实施例中，网络节点不应知道来自主机的检测报告的内容，但知道主机的真实标识符。GTO不应知道主机和网络节点的真实标识符，但应该知道检测报告的内容。这样，能够实现网络实体的隐私保护。

在一种实施方式中，如图1所示的网络系统可基于软件定义网络。在这种情况下，在主机和网络节点处执行的业务监控可在数据平面实施，在GTO处执行的不期望业务源的信任评估和确定可在控制平面实施。

下面，结合附图详细描述分别在主机、网络节点和GTO处执行的用于不期望网络业务的控制的方法。

图2示出了根据本发明的第一实施例的用于不期望网络业务的控制的方法的流程图。在本实施例中，该方法在主机处执行或由主机执行。

如图2所示，在步骤S202，检测流经主机的不期望业务。在本实施例中，检测可通过监控主机的本地业务、监控主机在本地业务上的行为和检查本地业务的内容相似性来执行。通常，业务由多个内容构成，并且为了简单起见，术语“业务”和“内容”在下文中可交替使用。

图3示出了在主机处检测不期望业务的过程的示意性流程图。如图3所示，在步骤S302，监控主机的进入业务。监控主机U_k(k＝1,2,…,K)的进入业务的目的是检测主机U_k是否已经被入侵。主机的进入业务的增加表明可能被入侵。

在实施例中，业务监控结果可用第一指标表示为：

其中，表示在时间t主机U_k的进入业务，f(·)表示S型函数。因此，第一指标被归一化到区间(0，1)。第一指标越大，主机U_k则越可能被入侵。

然后，在步骤S304，如果第一指标满足第一条件，例如，第一指标不小于用于触发相似性检查的第一预定阈值THR1，则检查进入业务的内容的相似性。在大多数的网络入侵中，相似的内容可被多次发送到同一主机。由主机接收的内容的相似性可在一定程度上反映是不期望内容的可能性。

在实施例中，对于由主机U_k在时间窗内接收的一组相似大小的内容其中，T是用于归一化内容处理时间的时间窗，内容的相似性E_k可计算为：

其中，是在内容与内容之间的差值，并可基于语义相关性度量来计算，θ(I)是瑞利(Rayleigh)累积分布函数，即另外，可以是由主机U_k接收的第i个内容的散列代码。

由于主机U_k可接收多组相似内容，因此，由主机U_k接收的进入业务的相似性可如下通过考虑所有相似内容来计算：

其中，M’是相似内容的组的数量。组中相似内容的数量越大，相似内容越可能是不期望的。在公式(2)、(3)中，瑞利累积分布函数θ(I)用于考虑整数I的影响。

另一方面，如果第一指标小于第一预定阈值THR1，则主机继续监控它的进入业务。

在步骤S306，监控主机U_k在处理进入业务中的行为。主机U_k在处理所接收的业务中的行为可暗示主机想要该内容或者厌恶该内容。因此，关于主机的行为的监控结果可用于表明业务是否是主观个人需求想要的。

在实施例中，行为监控结果可用第二指标τ_i表示为：

如果

其中，表示内容的丢弃时间，表示内容的接收时间。丢弃时间可以例如是将内容移动到垃圾文件夹或指定内容是不期望的时间。第二指标τ_i越大，内容越可能是主机U_k不期望的。

另外，如果则第二指标τ_i将不应计算在内。

尽管步骤S302、S304和S306在以上被描述为顺序地执行，但本领域的技术人员可以理解，步骤S306也可以与步骤S302、S304并行地执行。

然后，在步骤S308，基于由第一指标表示的业务监控结果、内容的相似性sim_in^k和由第二指标τ_i表示的行为监控结果，获得检测结果。

在实施例中，检测结果可由值表示，其表明内容是在时间t由主机U_k表明的不期望内容的可能性。在实施例中，值可如下计算：

返回图2，在步骤S204，用同态加密密钥加密检测结果。如上所述，网络节点不应知道主机的检测结果，但GTO应知道它以用于信任评估。因此，同态加密密钥对于网络节点是不知道的，并可由GTO生成并向主机发布。

在实施例中，例如，由GTO基于Paillier密码系统来生成一对同态加密密钥HE_PK和同态解密密钥HE_SK。然后，同态加密密钥HE_PK被发布给相关的主机，并且主机可用它来加密检测结果。

为了避免生成过多的检测报告，检测结果可通过第二条件来过滤。例如，如果检测结果的值不小于用于触发检测报告的第二预定阈值THR2，则检测结果将被加密。否则，检测结果被丢弃。

然后，在步骤S206，生成检测报告。检测报告可包括主机U_k的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果

在实施例中，第一标识符可以是标识主机的真实标识符或者是主机的匿名标识符。例如，真实标识符可以是主机的IP地址。匿名标识符可隐藏主机的真实标识符以使得接收机不能知道真实标识符，也可唯一地标识主机。例如，匿名标识符可以是真实标识符的散列代码。另外，主机的匿名标识符可通过以网络节点知道但GTO未知的特定方式对真实标识符进行编码来获得。

源主机可以是被其它主机投诉发送不期望业务的主机。第二标识符可以是标识源主机的真实标识符或者是源主机的匿名标识符。在实施例中，真实标识符可以是源主机的IP地址，匿名标识符可以是源主机的IP地址的散列代码。

内容标识符用于标识不期望业务，并可以是内容的散列代码。在上面的描述中，可以是内容标识符。

因此，检测报告可被表示为其中，k是主机的第一标识符，k’是源主机的第二标识符，i表示内容标识符，t表示主机的报告时间，是所加密的检测结果。

在生成检测报告后，在步骤S208，用主机的公钥基础设施(PKI)公钥/私钥对的私钥来对检测报告进行签名，因此，检测报告具有数字签名。然后，具有数字签名的检测报告将被自动发送到主机签约的网络节点。

数字签名可用于解决不可否认性问题和确保检测报告的完整性。在实施例中，签名在检测报告的散列代码上签署。

主机可生成它自己的公钥/私钥对，并与该主机签约的网络节点共享公钥。网络节点可在接收到主机的检测报告后用该公钥验证数字签名。

图4示出了根据本发明的第二实施例的用于不期望网络业务的控制的方法的流程图。在本实施例中，该方法在网络节点处或者由网络节点执行。

如图4所示，在步骤S402，在网络节点处，从签约网络节点的主机接收检测报告。该检测报告具有由主机签署的数字签名。

如上所述，检测报告包括主机的第一标识符、源主机的第二标识符、内容标识符和加密检测结果。加密检测结果是基于同态加密密钥HE_PK。

然后，在步骤S404，验证各检测报告的数字签名。如上所述，主机与网络节点共享它的PKI公钥/私钥对的公钥，网络节点可使用主机的公钥来验证由主机签署的数字签名。

网络节点用主机的公钥来对检测报告进行解密，并在本地计算检测报告的散列代码。如果所接收的解密的散列代码与在本地计算的散列代码相匹配，则它意味着检测报告确实由与网络节点共享公钥的主机发送，并且数字签名是有效的。

由于网络节点不知道同态加密密钥，因此，网络节点不能对加密检测结果进行解密，因此，不能知道检测报告的内容。基于以上事实，网络节点不能自己找到可疑源主机。在本实施例中，网络节点与GTO合作以确定可疑源主机。

在步骤S406，网络节点聚合与同一源主机有关的检测报告的加密检测结果。网络节点可基于源主机的第二标识符和内容标识符来确定哪些检测报告与同一源主机有关。然后，网络节点可对加密检测结果执行加法、乘法和除法以获得聚合结果。

由于检测结果用同态加密密钥进行加密，因此，加密检测结果的聚合结果可用对应的同态解密密钥来被解密为原始检测结果的聚合结果。

通常，同态加密机制具有同态加法属性和同态常数乘法属性。具体地，同态加密具有以下特点：

E(m×k)＝E(m)^k

其中，E(·)表示采用同态加密密钥HE_PK的加密函数，m_i表示将要被加密的明文，E(m_i)≠0。相应地，同态解密密钥具有以下特点：

D{E(m)^k}＝m×k

其中，D(·)表示采用与同态加密密钥HE_PK对应的同态解密密钥HE_SK的解密函数。

Paillier密码系统是具有上述特点的同态加密机制的例子。

在本实施例中，网络节点基于加密检测结果如下计算聚合结果s_e_i(t)：

其中，是主机U_k在时间t的全局信任的值，是主机U_k在时间t的检测信任的值。关于全局信任和检测信任的详情将在后面描述。

然后，在步骤S408，网络节点基于聚合结果来确定将要被监控的可疑源主机。在实施例中，确定条件是检测结果的聚合结果满足预定条件。然而，网络节点由于不知道检测结果而不能聚合检测结果。网络节点应与GTO合作，GTO可知道检测结果以找到可疑源主机。

在该步骤中，网络节点将聚合结果和源主机的匿名标识符发送到GTO。如上所述，为了保护隐私，GTO不应知道网络实体的真实标识符。因此，源主机的匿名标识符被发送到GTO。

如果检测报告中的源主机的第二标识符是源主机的真实标识符，则网络节点计算第二标识符的散列代码，作为源主机的匿名标识符。

然后，网络节点可从GTO接收表明源主机是否是可疑源主机的确定结果和源主机的匿名标识符。在GTO处确定可疑源主机的过程将在后面描述。如果源主机是可疑源主机，则网络节点检查该源主机是否签约该网络节点。网络节点可对其日志中的主机的标识符执行散列处理，并将作为可疑源主机的匿名标识符的散列代码与所计算的散列代码进行比较，以确定可疑源主机是否签约网络节点。

在确定了可疑源主机之后，网络节点可对可疑源主机采取任何措施。例如，网络节点可对可疑源主机采取行政措施或处以违约金。

在如图5所示的另一个实施例中，在确定了可疑源主机(步骤S408)后，网络节点监控流经可疑源主机的业务(步骤S502)。可疑源主机的业务监控类似于在主机处的不期望业务的检测。

监控可疑源主机的业务的目的是进一步找到具有一定可信度的真正的不期望业务源。网络节点监控可疑源主机U_k'的出站业务。业务监控结果可由第三指标如下表示：

其中，是可疑源主机U_k'在时间t的出站业务。

然后，网络节点检查出站业务的内容的相似性。与公式(3)类似，从可疑源主机U_k'发送的M组相似内容的相似性可被计算为：

然后，网络节点n关于可疑源主机U_k'的监控结果可基于业务监控结果和内容的相似性而获得。在本实施例中，监控结果可由值表示，其被如下计算：

然后，在步骤S504，如果监控结果满足第三条件，例如，监控结果不小于用于触发监控报告的第三预定阈值THR3，则生成监控报告。监控报告可包括网络节点的第三标识符、可疑源主机的监控报告、可疑源主机的第四标识符以及来自不同主机的与可疑源主机有关的加密检测结果。第三标识符和第四标识符是匿名标识符。在实施例中，网络节点的第三标识符可以是网络节点的IP地址的散列代码，可疑源主机的第四标识符可以是可疑源主机的IP地址的散列代码。

因此，监控报告可被表示为其中，n表示网络节点的第三标识符，表示监控结果，k’表示可疑源主机U_k'的第四标识符，表示来自主机U_k的与可疑源主机有关的加密检测结果。

如果监控结果不满足第三条件，则进行步骤S502，网络节点继续监控可疑源主机的业务。

然后，在步骤S506，使用网络节点的公钥基础设施(PKI)公钥/私钥对的私钥来对监控报告进行签名，因此，监控报告具有数字签名。在本实施例中，签名在监控报告的散列代码上前述。然后，具有数字签名的监控报告将发送到GTO以用于信任评估。

网络节点可生成它自己的PKI公钥/私钥对，并与GTO共享公钥。GTO可在接收到来自网络节点的监控报告时用网络节点的公钥来验证数字签名。

图6是示出了根据本发明的第四实施例的用于不期望网络业务的控制的方法的流程图。在本实施例中，该方法在实体GTO处执行或由实体GTO执行。

在本实施例中，GTO主要实施两个过程，即，基于来自网络节点的聚合结果来确定可疑源主机，以及基于来自网络节点的关于可疑源主机的监控报告来确定真正的不期望业务源。在这两个过程期间，GTO仅知道检测报告的内容，而并不知道报告的主机和网络节点的真实标识符。

如图6所示，在步骤S602，从网络节点接收报告。然后，确定所接收的报告是否是监控报告。

如果报告包含与同一源主机有关的加密检测结果的聚合结果和源主机的匿名标识符，则在步骤S604，使用同态解密密钥HE_SK对该报告进行解密。如上所述，GTO可生成一对同态加密密钥HE_PK和同态解密密钥HE_SK，并与主机共享同态加密密钥HE_PK。主机可使用同态加密密钥HE_PK来加密检测结果，然后，网络节点计算加密检测结果的聚合结果。因此，GTO可使用同态解密密钥HE_SK对加密检测结果的聚合结果进行解密，以获得检测结果的聚合结果。

由于源主机的匿名标识符，因此，GTO不知道源主机的真实标识符。

然后，在步骤S606，基于所解密的聚合结果，确定源主机是否是将要被监控的可疑源主机。如上所述，加密检测结果的聚合结果可被表示为s_e_i(t)，所解密的聚合结果可被表示为s_i(t)。网络节点将所解密的聚合结果s_i(t)与用于触发在网络节点处的监控的预定阈值THR5进行比较。如果所解密的聚合结果不小于预定阈值THR5(对应于“第五条件”)，则确定源主机是可疑源主机。如果所解密的聚合结果小于预定阈值THR5，则源主机不被确定为可疑源主机。

在实施例中，确定结果可由指标si_k'表示。如果s_i(t)≥thr0，则si_k'＝1，其表明源主机是可疑源主机。如果s_i(t)<thr0，则si_k'＝0，其表明源主机不是可疑源主机。

在步骤S608，确定结果和源主机的匿名标识符被发送到网络节点，这样网络节点可监控可疑源主机的业务。另外，确定结果和源主机的匿名标识符也可被发送到与GTO连接的所有网络节点，以触发在不同的网络节点处监控可疑源主机的业务。

如果所接收的报告是具有数字签名的监控报告，则在步骤S610，GTO验证该签名。如上所述，网络节点生成它自己的PKI公钥/私钥对，并与GTO共享公钥。因此，GTO可使用网络节点的公钥来解密监控报告，并计算监控报告的散列代码。如果所接收的监控报告的所解密的散列代码与所计算的散列代码相匹配，则签名被验证为有效。

应注意，GTO可接收来自与该GTO连接的不同的网络节点的多个监控报告，并且所接收的监控报告可以与同一可疑源主机有关。在以下的描述中，假设GTO接收来自N个网络节点的与可疑源主机U_k'有关的监控报告，并且这些监控报告包括来自K1个主机的与可疑源主机U_k'有关的加密检测结果。

在步骤S612，在监控结果中包括的加密检测结果使用同态解密密钥HE_SK来解密。

然后，在步骤S614，基于来自K1个主机的检测结果和来自N个网络节点的监控结果，对可疑源主机评估全局信任。在本实施例中，全局信任用于表明可疑源主机是真正的不期望业务源的可能性。

图7示出了评估全局信任的过程的流程图。如图7所示，在步骤S702，聚合来自K1个主机的检测结果。主机U_k(k＝1,…,K1)可在不同的时间t多次报告检测报告。考虑时间的影响，考虑最近的检测报告。因此，在本实施例中，时间衰减因子用于衰减检测结果其中，t_p是信任评估时间，τ是控制时间衰减的参数。来自K1个主机的检测结果的聚合结果可如下表示：

其中，是主机U_k在时间t_p的检测信任的值，是主机U_k在时间t_p的全局信任的值。应注意，在公式(6)和(10)中的主机的全局信任的值和检测信任的值实际上可使用主机的最后的评估值。

然后，在步骤S704，聚合来自N个网络节点的监控结果。由于来自网络节点的报告将立即触发在GTO处的信任评估，因此，时间衰减可被忽略。在本实施例中，监控结果的聚合结果可如下表示：

其中，是网络节点n在时间t_p的检测信任的值，是网络节点n在时间t_p的全局信任的值，表示来自网络节点n的关于可疑源主机U_k'的监控结果。应注意，在公式(11)中的网络节点的全局信任的值和检测信任的值实际上可使用网络节点的最后的评估值。

然后，在步骤S706，基于检测结果的聚合结果和监控结果的聚合结果，计算全局信任。在本实施例中，全局信任的值可通过从最后的全局信任的评估值中减去检测结果的聚合结果和监控结果的聚合结果来计算。考虑主机和网络节点的数量，全局信任的值可如下计算：

其中，θ(·)是瑞利累积分布函数，ut_k'表示最后的全局信任的评估值。对于每个网络实体(例如，主机、网络节点)，全局信任可被初始化为1，这意味着网络实体是好的实体。

尽管上文详细描述了可疑源主机的全局信任的评估，但是，本领域的技术人员可以理解，对于其它主机和网络节点的全局信任的评估是类似的。为了简单起见，网络节点的全局信任可总是被设置为1。

另外，在一些实施例中，可从公式(10)、(11)中除去检测信任。

返回图6，在步骤S616，如果可疑源主机的全局信任满足第四条件，例如，全局信任小于用于确定不期望业务源的预定阈值THR4，则可疑源主机被确定为真正的不期望业务源。

然后，在步骤S618，全局信任和真正的不期望业务源的标识符被发送到网络节点。网络节点可对真正的不期望业务源采取任何措施。此外，所评估的全局信任可由网络节点在聚合加密检测结果中使用。在实施例中，真正的不期望业务源的标识符可被添加到黑名单中，并且黑名单和全局信任被提供给网络节点。应注意，真正的不期望业务源的标识符是它的匿名标识符，而网络节点应该找到真正的不期望业务源的真实标识符以执行业务过滤和控制。

在如图8所示的另一个实施例中，在确定了真正的不期望业务源(步骤S616)后，在步骤S802，GTO可对发送监控报告的网络节点和发送检测报告的主机执行检测信任的评估。

在本实施例中，检测信任表示主机的检测报告的可信度或网络节点的监控报告的可信度。由于多种原因，主机或网络节点可能不报告正确的检测结果或监控结果。例如，主机或网络节点可能被入侵，或者主机或网络节点有意陷害其它主机，或者在主机中安装的检测工具坏了，或者检测工具是劣质的而检测不合格。这些可导致检测报告或监控报告的质量的降低。检测信任可用于表明检测报告或监控报告的质量。

现在，检测信任的评估的过程如下描述，该过程包括对各个主机评估检测信任和对各个网络节点评估检测信任。

在评估主机的检测信任中，首先，检查主机的检测结果是否与在步骤S614中评估的真正的不期望业务源的全局信任相匹配。这可通过计算检测结果与全局信任之间的偏差并将该偏差与预定阈值thr1进行比较来实现。如果偏差小于阈值thr1，则表明检测结果与全局信任相匹配，主机的检测信任将被增加。如果偏差大于阈值thr1，则表明检测结果与全局信任不匹配，检测信任将被降低。

在实施例中，主机U_k在时间t的检测信任可如下计算：

其中，dt_k表示最后的所评估的检测信任，δ>0是控制检测信任的变化的参数，y是表明检测结果的匹配或不匹配的标志，γ是记录不匹配的检测结果的数量的警告标志，thr3是表明开关和抵触行为攻击的阈值，μ>0是控制不匹配的检测惩罚的参数。可以看出，检测信任在[0,1]范围内，并可被初始化为0.5。

如果检测结果与全局信任相匹配，则y＝1且γ不变。如果检测结果与全局信任不匹配，则y＝-1且γ++。γ的初始值是0。

评估网络节点的检测信任可采用与如上所述的评估主机的检测信任相同的方式执行。本领域的技术人员可以理解，公式(13)也应用于网络节点的检测信任的计算。

主机的检测信任的评估和网络节点的检测信任的评估可依次或并行地执行。

然后，在步骤S804，网络节点的检测信任和主机的检测信任被发送到所有网络节点。因此，网络节点可在聚合所解密的检测结果中使用最新的检测信任。

显然，本领域的技术人员可以理解，检测信任可与真正的不期望业务源的确定结果和全局信任一起发送。

采用如图2至图8所示的实施例的方法，网络节点没有办法知道来自主机的检测报告的内容，并且仅可对加密检测报告执行聚合，而无需知道检测报告的明文。GTO可知道检测报告的内容，但不知道主机和网络节点的真实身份。主机和网络节点的匿名标识符可确保身份隐私。本发明的实施例可实现在网络节点处的报告和聚合上的隐私保护，并实现在GTO处的身份隐私保护。另外，本发明的实施例采用PKI机制以确保报告的不可否认性和完整性，并采用同态加密机制以确保网络节点不能访问检测报告的内容，并因此保护主机的隐私。

图9是示出了根据本发明的实施例的装置900的示意性框图。在图9中，装置900可包括数据处理器(DP)900A、存储程序(PROG)900C的存储器(MEM)900B、和发送/接收部900D。

在实施例中，假定PROG 900C中的至少一个包括程序指令，其在由关联的DP 900A执行时使装置900可根据如上所述的图2和图3所示的方法的示例性实施例来运行。也就是说，图2和图3所示的方法的示例性实施例至少部分地由能够由装置900的DP 900A执行的计算机软件、或者由硬件、或者由软件和硬件的组合来实现。

在另一个实施例中，程序指令可使装置900能够根据如上所述的图4和图5所示的方法的示例性实施例来运行。

在另一个实施例中，程序指令可使装置900能够根据如上所述的图6至图8所示的方法的示例性实施例来运行。

MEM 900B可以是任何适合于本地技术环境的类型，并可使用任何合适的数据存储技术实现，诸如基于半导体的存储设备、闪存、磁性存储设备和系统、光存储设备和系统、固定存储器和可移除存储器。DP 900A可以是任何适合于本地技术环境的类型，并作为非限制性示例，可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器体系结构的处理器中的一个或多个。

通常，各种示例性实施例可以采用硬件或专用电路、软件、逻辑或其任何组合实现。例如，一些方面可以在硬件中实现，而其它方面可在可以由控制器、微处理器或其它计算设备执行的固件或软件中实现，尽管本发明并不限于此。虽然本发明的示例性实施例的各种方面可以被例示或描述为框图、流程图或使用一些其它图示，但应当理解，本文所述的这些块、装置、系统、技术或方法可作为非限制性示例在硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备、或其组合中实现。

因此，应当理解，本发明的示例性实施例中的至少一些方面可以采用诸如集成电路芯片和模块的各种组件实现。因此，应当理解，本发明的示例性实施例可以在体现为集成电路的装置中实现，其中集成电路可以包括用于体现数据处理器、数字信号处理器中的至少一个或多个的电路(以及可能的固件)、基带电路、和射频电路，这些电路是可配置的以便根据本发明的示例性实施例运行。

应当理解，本发明的示例性实施例的至少一些方面可以体现在由一个或多个计算机或其它设备执行的(诸如在一个或多个程序模块中的)计算机可执行指令。通常，程序模块包括在由计算机或其它设备中的处理器执行时执行特定任务或实现特定抽象数据的例程、程序、对象、组件、数据结构等。计算机可执行指令可存储在诸如硬盘、光盘、可移除存储介质、固态存储器、RAM等的计算机可读取介质上。如本领域中的技术人员将理解的，程序模块的功能可以如在各种实施例中所期望的被组合或分布。此外，功能可以整体或部分地体现在诸如集成电路、现场可编程门阵列(FPGA)等的固件或硬件等同物中。

本发明包括在此明确公开的任何新颖的特征或特征的组合或其任何概括。当结合附图阅读时，鉴于前面的描述，对本发明的前面的示例性实施例的各种修改和调整对于相关领域的技术人员而言将变得显而易见。然而，任何和所有修改仍将落入本发明的非限制性和示例性实施例的范围内。