匿名协议WonGoo的概率模型验证分析
概率图模型在网络安全中的实际应用案例解析(七)
概率图模型在网络安全中的实际应用案例解析概率图模型是一种概率论和图论相结合的模型,它通过图的方式来表示不同变量之间的依赖关系。
在网络安全领域,概率图模型被广泛应用于威胁检测、异常行为识别、恶意代码分析等方面。
本文将通过实际案例,探讨概率图模型在网络安全中的具体应用。
一、威胁检测在网络安全领域,威胁检测是一项至关重要的任务。
通过概率图模型,可以建立起网络中不同节点之间的依赖关系,并基于这种关系进行威胁检测。
以DDoS攻击为例,概率图模型可以分析大量网络流量数据,识别出异常节点,并进一步推断出可能存在的攻击源。
通过建立节点之间的联合概率分布,概率图模型可以有效地识别出潜在的威胁行为,提高网络安全的防御能力。
二、异常行为识别除了威胁检测,概率图模型还可以应用于异常行为识别。
在网络安全监控中,通过监测用户的行为数据,可以及时发现异常行为,譬如大规模文件下载、跨网段访问等。
概率图模型可以帮助分析这些行为数据,建立用户之间的联系,识别出异常行为的模式,从而提前预警可能存在的安全风险。
三、恶意代码分析恶意代码是网络安全中的一大难题,它的变异性和隐蔽性给安全防护带来了极大的挑战。
概率图模型可以通过对恶意代码样本进行分析,发现其中的潜在关联和规律。
通过对恶意代码家族的样本进行建模,概率图模型可以对恶意代码进行分类和识别,帮助安全团队及时制定相应的防范策略。
四、案例分析:基于概率图模型的APT攻击检测最近,某大型互联网企业遭遇了一次高级持续性威胁(APT)攻击。
攻击者利用了零日漏洞,成功渗透进企业内部网络,并悄悄搜集了大量敏感数据。
面对这一情况,企业安全团队利用概率图模型进行了全面分析和检测。
首先,安全团队收集了大量网络日志数据和系统日志数据,通过概率图模型对这些数据进行分析,识别出了与攻击行为相关的异常节点。
其次,安全团队利用概率图模型建立了攻击者在内部网络中潜在的传播路径,识别出了攻击者可能的活动范围和潜在的攻击目标。
概率模型知识点总结
概率模型知识点总结概率模型是一种用来描述随机现象的模型,通常用来预测或计算某个事件发生的概率。
在统计学和机器学习领域,概率模型被广泛应用于数据分析、模式识别、预测和决策等领域。
本文将从概率基础、贝叶斯网络、隐马尔可夫模型等方面对概率模型进行详细介绍和总结。
一、概率基础1. 概率的定义概率是描述随机事件发生可能性的数学概念。
在统计学中,概率通常用P(A)来表示,表示事件A发生的可能性。
概率的范围是0≤P(A)≤1,即事件发生的概率介于0和1之间。
2. 条件概率条件概率是指在已知事件B发生的条件下,事件A发生的概率,用P(A|B)表示。
条件概率的计算公式为:P(A|B) = P(A∩B) / P(B)。
3. 贝叶斯定理贝叶斯定理是指在已知事件B发生的条件下,事件A发生的概率,用P(A|B)表示。
贝叶斯定理的公式为:P(A|B) = P(B|A) * P(A) / P(B)。
4. 随机变量随机变量是指在试验中可能出现并且有可能取得不同值的量。
随机变量分为离散型随机变量和连续型随机变量两种。
5. 概率分布概率分布是描述随机变量取值概率的分布情况。
常见的概率分布包括伯努利分布、二项分布、泊松分布、均匀分布、正态分布等。
二、贝叶斯网络1. 贝叶斯网络的概念贝叶斯网络是一种用图模型表示随机变量间依赖关系的概率模型。
贝叶斯网络由有向无环图(DAG)和条件概率分布组成。
2. 贝叶斯网络的表示贝叶斯网络由节点和有向边组成,节点表示随机变量,有向边表示变量之间的依赖关系。
每个节点都有一个条件概率分布,表示给定父节点的情况下,节点的取值概率。
3. 贝叶斯网络的推理贝叶斯网络可以用来进行概率推理,即在已知部分变量的情况下,推断其他变量的取值概率。
常见的推理方法包括变量消除、动态规划等。
4. 贝叶斯网络的应用贝叶斯网络被广泛应用于机器学习、模式识别、数据挖掘等领域,常见的应用包括故障诊断、风险评估、信息检索、智能决策等。
三、隐马尔可夫模型1. 隐马尔可夫模型的概念隐马尔可夫模型是一种用于建模时序数据的统计模型,它假设观察数据和状态之间存在概率关系。
概率模型和非概率模型
概率模型和非概率模型在机器学习领域中扮演着重要的角色,它们分别基于概率理论和非概率理论来建立模型,用于解决各种复杂的问题。
概率模型是建立在概率论的基础上的数学模型,能够通过概率分布来描述随机变量之间的关系,常见的概率模型包括朴素贝叶斯、高斯混合模型等;而非概率模型则是利用非概率分布来建模,主要用于处理数据集之间的关系,例如决策树、支持向量机等。
本文将从概率模型和非概率模型的定义、应用、优缺点等方面进行深入探讨,希望能为读者对这两种模型有更深入的了解。
一、概率模型概率模型是一种建立在概率论基础上的数学模型,它主要用于描述随机变量之间的关系,并通过概率分布来推断数据之间的概率关系。
概率模型在机器学习领域中被广泛应用,尤其是在数据挖掘、自然语言处理、图像识别等领域。
常见的概率模型包括朴素贝叶斯、隐马尔可夫模型、高斯混合模型等。
1. 朴素贝叶斯朴素贝叶斯是一种基于贝叶斯定理和条件独立性假设的分类算法,它假设特征之间相互独立,通过计算每个特征的概率来推断数据类别。
朴素贝叶斯简单易实现,适用于处理大规模数据集,尤其在文本分类、垃圾邮件过滤等方面表现优异。
2. 隐马尔可夫模型隐马尔可夫模型是一种用来处理序列数据的统计模型,它假设系统中存在隐藏的马尔可夫链,通过观测数据推断隐藏状态序列。
隐马尔可夫模型在语音识别、生物信息学等领域有着广泛的应用,能够很好地解决序列数据的建模和预测问题。
3. 高斯混合模型高斯混合模型是一种利用多个高斯分布混合来表示数据分布的生成模型,它可以拟合各种复杂的数据分布,并通过最大似然估计或EM算法来估计分布参数。
高斯混合模型在图像处理、模式识别等领域有着广泛的应用,能够有效地处理高维数据和复杂数据分布。
概率模型的优点是能够较好地表达数据之间的概率关系,具有较强的泛化能力和鲁棒性;但其缺点是依赖于数据的概率分布假设,对数据的噪声和异常值敏感,且参数估计常常比较复杂。
二、非概率模型非概率模型是一种不基于概率分布的数学模型,它主要用于建立数据之间的关系,常用于分类、回归、聚类等问题。
移动网络可信匿名认证协议
移动网络可信匿名认证协议
张鑫;杨晓元;朱率率
【期刊名称】《计算机应用》
【年(卷),期】2016(36)8
【摘要】针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证.在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护.安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护.协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议.
【总页数】5页(P2231-2235)
【作者】张鑫;杨晓元;朱率率
【作者单位】武警工程大学电子技术系,西安710086;武警工程大学电子技术系,西安710086;武警工程大学信息安全研究所,西安710086;武警工程大学电子技术系,西安710086
【正文语种】中文
【中图分类】TP309.7
【相关文献】
1.可信的匿名无线认证协议 [J], 杨力;马建峰;朱建明
2.可信匿名认证协议的研究与设计 [J], 周彦伟;吴振强;乔子芮
3.基于完整性度量的端到端可信匿名认证协议 [J], 谭励;胡计鹏;杨明华;张亚明
4.基于可信平台模块的直接匿名认证协议的研究 [J], 王昭顺;陈红松;熊祥
5.无线移动网络跨可信域的直接匿名证明方案 [J], 杨力;马建峰;姜奇
因版权原因,仅展示原文概要,查看原文内容请购买。
概率图模型在网络安全中的实际应用案例解析(六)
概率图模型在网络安全中的实际应用案例解析概率图模型是一种用于描述变量之间关系的数学模型,它可以帮助我们理解和预测不同变量之间的相互作用。
在网络安全领域,概率图模型可以被用来分析网络攻击、异常行为和其他安全事件,帮助安全团队及时发现潜在的威胁。
本文将结合实际案例,讨论概率图模型在网络安全中的应用。
一、异常检测概率图模型在网络安全中的一个重要应用是异常检测。
通过分析网络数据流量和用户行为数据,我们可以构建概率图模型来描述正常的网络流量模式和用户行为模式。
一旦出现与之前模型不符的异常行为,概率图模型可以帮助识别出这些异常并及时采取措施。
以一家企业的内部网络安全为例,概率图模型可以分析员工的登录情况、数据访问模式和文件传输行为。
如果某个员工登录时间和地点与其平时行为不符,模型就可以发出警报。
此外,概率图模型还可以检测到异常的数据传输模式,如大量数据突然从内部网络传输到外部网络,或者在非工作时间突然有大量数据传输等情况。
这些异常行为可能是内部员工的恶意行为,也可能是外部攻击者的入侵行为。
通过概率图模型的异常检测功能,网络安全团队可以及时发现异常情况并采取相应措施,保护企业的网络安全。
二、威胁情报分析另一个概率图模型在网络安全中的应用是威胁情报分析。
随着网络攻击手段的不断演变,安全团队需要不断更新自己的威胁情报,以便及时应对新型威胁。
概率图模型可以帮助安全团队分析海量的威胁情报数据,并发现其中的潜在威胁。
通过概率图模型,安全团队可以将不同的威胁情报数据进行关联分析,发现它们之间可能存在的联系和共同特征。
例如,通过分析不同网络攻击事件的行为模式和攻击源IP地址,概率图模型可以帮助安全团队识别出潜在的攻击者组织或攻击者的攻击策略。
在发现新的威胁情报时,概率图模型还可以帮助安全团队评估其与已知威胁的相似度,以及可能带来的风险程度。
三、行为分析与决策支持除了异常检测和威胁情报分析,概率图模型还可以用于行为分析与决策支持。
匿名协议AMIMR的抗攻击性分析
c mmu iai n a e a s n r a i g a etmeo e d v lp n fa o y u o o n c t r lo ic e sn t h i f h e e o me to n n mo sc mmu i ain n t i p p r e f s a ay e te me h d a d o t t n c t .I s a e ,w rt n l s t o n o h i h
2 2 低 延迟 匿名通 信 的攻击 方法 .
2 2 1 被 动 攻 击 方 法 ..
流量分析攻击
基 于低 延迟 匿名 通信 系统一 个转 发 节
点接收到的数据会 在短 时间 内连续转发 的特点 , 因此 当一个 节
点 连续 向 另一 节 点 转 发 多 个 数 据 包 后 , 击 者 能 记 录 下 转 发 的 攻
ANALYSI NG ATTACK To LERANCE oF ANoNYM oUS PRoTo CoL AM I R M
Z e gMig , W u Ja pn hn n in ig '
( p r etfC m ue Si c a d Tcnlg ,Tig u nvrt, Deat n o p t c ne n eh ooy s h aU i sy m o r e n ei 108 0 04,C ia hn ) (ntueo layP li lW r, ai a n e i o DJneTcn l y h n sa4 0 7 H n n hn ) Istt fMitr oic ok N t n l # m ̄ f e s ehoo ,C a gh 10 4, u a ,C ia i i ta o U  ̄ g
t e prc s fat c g i tlw—ae c n n m o s c mm u i ai n y h o e so ta k a ans o l tn y a o y u o n c to b mai ius ta ke nd r s nts me d f n e me h ds Ac o dng t lco atc r a p e e o e e s t o . c ri o
基于攻击方的网络匿名性概率分析
doi:10.3969/j.issn.1003-3114.2022.03.016引用格式:虎勇,李镔剑,陈紫煜,等.基于攻击方的网络匿名性概率分析[J].无线电通信技术,2022,48(3):485-490.[HUYong,LIBinjian,CHENZiyu,etal.ProbabilityAnalysisofNetworkAnonymityBasedonAttacker[J].RadioCommunicationsTechnology,2022,48(3):485-490.]基于攻击方的网络匿名性概率分析虎㊀勇1,李镔剑2,陈紫煜2,苟俊卿3,陈瑞东3(1.官地水力发电厂,四川西昌615000;2.北京信息科技大学自动化学院,北京100192;3.电子科技大学网络空间与安全研究院,四川成都611731)摘㊀要:匿名通信网络应该为其用户提供匿名属性,需要有一种方法来预测匿名通信网络提供的匿名级别㊂基于此,提出了一个用于匿名通信网络安全分析的概率模型,量化了使用者的匿名性损失㊂试图从攻击者的角度出发,获得从未知来源发送到特定目的地消息的潜在发送者的概率分布,进而可以定义和推导出一些匿名度量㊂评估的指标有助于相关研究人员了解此类网络受到攻击方揭示消息发送者身份的攻击概率㊂关键词:匿名通信网络;匿名性度量;概率模型中图分类号:TN918㊀㊀㊀文献标志码:A㊀㊀㊀开放科学(资源服务)标识码(OSID):文章编号:1003-3114(2022)03-0485-06ProbabilityAnalysisofNetworkAnonymityBasedonAttackerHUYong1,LIBinjian2,CHENZiyu2,GOUJunqing3,CHENRuidong3(1.GuandiHydropowerStation,Xichang615000,China;2.SchoolofAutomation,BeijingInformationScienceandTechnologyUniversity,Beijing100192,China;3.InstituteofCyberspaceandSecurity,UESTC,Chengdu611731,China)Abstract:Anonymouscommunicationnetworksshouldprovideanonymousattributesfortheirusers.Weneedawaytopredictthelevelofanonymityofferedbyanonymouscommunicationnetworks.Inthispaper,weproposeaprobabilisticmodelforsecurityanalysisofanonymouscommunicationnetworks,therebyquantifyingtheiranonymityloss.Wetrytoobtaintheprobabilitydistributionofpotentialsendersofmessagessentfromunknownsourcestoaparticulardestinationfromtheattacker spointofview.Withthisprobabilitydistri⁃bution,someanonymousmetricscanbedefinedandderived.Themetricsassessedhelpusunderstandhowvulnerablesuchnetworksaretothoseattacksdesignedtorevealtheidentityofthemessagesender.Keywords:anonymouscommunicationnetwork;anonymitymetric;probabilisticmodel收稿日期:2022-03-03基金项目:中国电子科技集团公司第五十四研究所发展基金项目(SXX19104X038);国家自然科学基金-联合基金项目(U19A2066);四川省科技计划项目-重点研发项目(2020YFG0294);成都市科技项目-重点研发支撑计划-重大科技应用示范项目(2019-YF09-00048-CG)FoundationItem:ChinaElectronicsTechnologyGroupCorporation54thResearchInstituteDevelopmentFundProject(SXX19104X038);NationalNat⁃uralScienceFoundationofChinaJointFundProject(U19A2066);SichuanScienceandTechnologyPlanningProject⁃KeyR&DProject(2020YFG0294);ChengduScienceandTechnologyProject⁃KeyR&DSupportProgram⁃MajorTechnologyApplicationDemonstrationProject(2019⁃YF09⁃00048⁃CG)0 引言随着网络的快速发展,人们越来越注重在互联网上的个人隐私,一些具有严格隐私要求的应用程序需求(如网页浏览㊁即时消息传递和电子投票等),迅速增加了研究人员和从业人员对开发可靠隐私增强技术(例如匿名通信网络)的兴趣㊂设计此类网络的主要目的是通过在公开网络上建立匿名通信来隐藏通信方(即消息的发送方或接收方)的真实身份㊂自1981年Chaum[1]提出不可追踪邮件问题和Mix解决方法,设计了匿名传输的新概念㊂对匿名系统提供的匿名性进行量化,从概念提出开始一直就是重要挑战,Chaum[2]提出利用匿名集大小来度量匿名性㊂Reiter和Rubin[3]从用户角度单独考虑匿名性,从绝对隐私到可证明暴露,提出6级匿名㊂Sarjantov[4]和Diaz[5]利用熵的方法来度量匿名性㊂关永等[6]利用攻击方角度对匿名性进行度量,提供了匿名性度量的新角度[7]㊂迄今为止,此类网络所提供最重要的匿名属性是消息发送方的匿名性,它们通过重路由机制利用多个中间节点来隐藏消息发送方的真实身份,但要实现完全匿名的交流很难[8]㊂针对匿名通信问题,提出了不同解决方案,这些方案可为用户提供多少匿名性?为了评判匿名通信网络给用户带来了多少安全性,有必要通过一些定量指标来评测此类网络所提供的匿名度,即希望可以通过一些指标区分可靠的匿名通信网络和不可靠的匿名通信网络[9]㊂为评估重路由机制匿名通信网络的匿名度,本文提出一种用于匿名通信网络安全性分析的概率模型㊂1㊀建模在建模过程之前,需要声明潜在的假设,以便能够基于这些假设构建模型㊂因为并不希望该度量方法仅局限于特定网络,其应该适用于各类匿名通信网络,故假设时考虑更一般化的条件㊂而从攻击方来评估匿名网络,必须同时考虑匿名通信网络和攻击者两方面㊂1.1㊀匿名通信网络子模型一个典型的匿名通信网络由多个节点组成,这些节点之间彼此协作形成从源到目的地的随机路径,以便向用户提供匿名属性㊂在本文设置中,匿名通信网络的主要任务是隐藏消息发送者的身份㊂这项研究处理的是 多跳 匿名通信网络,而不是 单跳 网络㊂从匿名的角度来看,单跳网络只有一个中继节点,重路由路径没有不确定性,达不到匿名通信的需求㊂为研究 多跳 网络[10-12],假设有一组潜在发送者㊁一组中继节点和一个特定的接受者,其中S代表发送者,I代表中继节点,R代表接受者㊂由于本文只对量化发送者的匿名感兴趣,同时又不失一般性,假定接收方已被攻击者所控制㊂在许多重要的应用中,这是一个现实的假设[13]㊂例如,考虑诸如匿名电子邮件和网页浏览等应用程序,大多数访问特殊网页的人都希望对网页服务器(即接收者)隐藏他们的身份(即IP地址)㊂在这种情况下,网络服务器被假定为受到威胁[14]㊂将匿名通信网络建模为无向图G=(V,E),其中V=SɣIɣR,是潜在发送者㊁中间节点和接收者的顶点集,E⊆VˑV是这些顶点对的边集,代表顶点之间的直接联系[15]㊂本文更倾向通过邻接矩阵来表示的相应图G(为方便起见,假设SɘI=ϕ)㊂假设有n个中间节点和m个潜在发送者,并且匿名通信网络的中间节点被标记为1,2, ,n,并且潜在发送者被标记为n+1,n+2, ,n+m㊂I和S的集合定义如下:I={I1,I2, ,In},S={sn+1,sn+2, ,sn+m}㊂图1展示了一个无向图,表示由5个中间节点㊁3个潜在发送者和1个接收机组成的匿名通信网络㊂假设在任何2个顶点之间都有一条边,为简单起见,在图中未示出边缘㊂图1㊀匿名通信网络示意图Fig.1㊀Diagramofanonymouscommunicationnetwork对其进行概率分析,有必要描述匿名通信网络如何根据某些概率分布随机选择重路由路径的中间节点㊂由于匿名通信网络在逐个节点的基础上构建重路由路径,因此 选择概率 是分配给它们相应图形的边㊂因此,将图G=(V,E)的邻接矩阵P=(pij)称为重路由矩阵㊂当两节点为同一节点时,pij=0;当两节点不同且都为两节点连线属于边集E时,pij为边集中选定该连线的概率;当两节点连线不属于边集E时,pij=ɕ,即为:pij=0㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀ifi=jTheselectionprobabilityofedge(i,j)ifiʂjand(i,j)ɪEɕifiʂjand(i,j)∉E{㊂(1)任何匿名通信网络的核心都是其重路由路径选择策略,只能根据特定的网络路径选择策略来选择特定的网络,即如果攻击者可以识别传输过程中所选路径,则通过此路径进行的所有通信都将暴露给攻击者㊂同时,任何路径选择策略都必须满足一些约束条件㊂本文从匿名的角度来看问题,可以对策略施加许多约束,最关键的约束条件是 网络拓扑 路径拓扑 路径长度 ,通过过去对匿名通信网络的研究可知,这些约束条件可以被识别和确定[16]㊂网络拓扑㊀匿名通信网络的拓扑结构与标准计算机网络的拓扑结构有很大不同,对网络匿名级别具有重要影响㊂对于匿名通信网络的拓扑结构,需要各节点之间链接更密集,避免攻击者轻易识别各节点通信状态㊂路径拓扑㊀路径的拓扑结构可以反映路径的复杂程度,最重要的是确定预定路径是否有重复㊂将不经过同一节点的路径认定为简单路径,即一条简单路径上的所有节点必须是不同的;将多次经过同一节点的路径认定为自由路径,即该路径不止一次地遍历某些节点㊂相比简单路径,访问者更倾向于使用自由路径的拓扑方式,因其更难被攻击者所识别,匿名性更高㊂路径长度㊀路径长度定义为路径顶点序列中的顶点总数减去1,在未确定完整路径时,路径长度可变㊂设L是一条均匀分布的可变路径的长度,并假设M和m分别是L的上界和下界,其概率质量函数为:P=1M-m+1,mɤLɤM㊂(2)1.2㊀攻击者子模型为了对匿名通信网络进行安全性分析,决定用潜在攻击者的视角来分析匿名通信网络,并尽可能真实地描述攻击者的能力㊂攻击者的主要任务是预测重路由路径,从而识别消息的真正发送者㊂因此,匿名集 被定义为所有可能发送者的集合㊂潜在的攻击者可以通过各种方式获得大量有效信息来缩小该集合[17]㊂因此,希望拥有一个强大的匿名通信网络,这里 强大 是指攻击者知道该网络的路径选择策略,并且破坏了它的一个或多个中间节点,却不能精准地确定它的实际重路由路径㊂设计的初衷是希望该网络可以广泛部署并使用,因此,假设攻击者能够利用现有的方法和工具推断出路径选择策略(即网络拓扑㊁路径拓扑和路径长度)㊂同时,假设攻击者将能够控制部分中间节点和潜在发送者,并利用已破坏的中间节点和潜在发送者所捕获的信息来揭示真正发送者身份㊂已知在通信网络中,每个路由节点都知道它在该路径上的前一节点和后一节点㊂因此,如果某一被控节点是路径的一部分,攻击者至少可以识别该路径上的3个节点㊂但此时,攻击者只能捕获通信通道上的流量,却无法更改这些信息,故该攻击者模型只考虑被动攻击㊂如果在进行某一信息传输时多次遍历被破坏节点,攻击者可以利用节点的相对顺序创建一个遍历节点的排序列表,并实时更新该匿名通信网络的初始信息㊂攻击者的最终目标是利用所捕获到的信息,重构从发送方到接收方的消息重路由的实际路径㊂例如,考虑图2中的重路由路径(6,5,3,R),由于接收方已经被攻击,攻击者只知道路径上的节点3㊂假设攻击者已经破坏了节点3,攻击者可以根据节点3所得到的信息知道节点5也在该传输路径上㊂另一个例子,考虑重路由路径(7,1,2,3,1,4,R),假设攻击者已经破坏了节点1,他知道节点2㊁3㊁4和7也在该路径上㊂根据消息到达和离开的时间,可以得到路径上节点的正确顺序,即7㊁1㊁2㊁3㊁1㊁4㊂图2㊀路径拓扑Fig.2㊀Pathtopology2㊀模型的概率分析到目前为止,已经给出了该模型的基本假设㊂该模型由一个匿名通信网络子模型和一个攻击者子模型组成㊂对于该模型,将演示匿名通信网络的概率分析及其匿名损失的量化过程㊂通过以下几个步骤进行评估:第一步,定义匿名指标,来量化匿名通信网络提供的发送者匿名级别㊂为了计算度量,需要计算潜在发送者的概率分布㊂第二步,构造一种寻径树㊂寻径树表示满足匿名通信网络路径选择策略约束的所有重路由路径,它可以系统地生成所有感兴趣的路径㊂第三步,用重路由概率参数化寻径树,并利用其计算潜在发送者的概率分布,再利用概率分布计算其他指标㊂2.1㊀定义匿名指标设S为消息M的潜在发送者的离散随机变量,对其进行评估,主要定量匿名度量定义是潜在发送者为真正发送者的概率㊂首先,在没有任何信息的情况下,考虑潜在发送者为离散均匀分布:P(S=si)=1k,1ɤiɤk㊂(3)通过分析匿名网络的行为,攻击者可以得到更准确的潜在发送者分布㊂这个分布将描述每个候选者成为真正的发送者的概率[18]:pᶄ(S=si)=pᶄi,其中,ðki=1pᶄi=1,0ɤpᶄiɤ1㊂(4)首先计算随机变量S的初始熵:H(S)=-ðki=11klb1k㊂(5)攻击者通过捕获信息后得到新的分布:Hᶄ(S)=-ðki=1pᶄilbpᶄi㊂(6)为了表示初始分布和通过利用先验知识得到的新分布之间的区别,利用 相对熵 来量化㊂D(pᶄp)=ðxpᶄ(x)logpᶄ(x)p(x)㊂(7)对于该问题:D(pᶄp)=-ðki=1pᶄilb(kpᶄi)㊂(8)这种度量是一种描述偏差的度量,表明攻击者的估计与事实的差距㊂一些研究已引入了这种度量方法[19]㊂本文的主要新颖之处在于建模方法的基本假设和度量标准的过程评估㊂假设消息M从潜在的发送方发送到特定的接收方㊂为了识别消息真正的发送方,攻击者尝试重建从源到目的地的路径,将概率地选择潜在的路径㊂攻击者的成功主要取决于两个因素:被攻击者攻击节点的数量和节点之间的链路信息的数量㊂假定基础图是完整的,攻击者必须考虑所有可能的路径㊂事实上,攻击者需要解决两个主要问题:表示一个匿名通信网络的两个指定节点之间有多少条路径?如何系统地生成这些路径?2.2㊀寻径树攻击者将猜测消息的潜在发送者并通过执行穷举搜索得到概率分布,再考虑其中满足所有约束条件的路径,然后确定潜在发送者的理想分布㊂如果要计算路径的数量,将面临两个严重的障碍:①路径的数量可能会随着图的大小呈指数增长;②生成所有路径并非易事㊂本文通过使用一种类型的状态空间树来克服,将其称为寻径树㊂推导概率分布的思想是基于构造状态空间树的变体,其节点反映了重路由路径的节点所做的特定选择,它可以系统地生成所有感兴趣的路径㊂因此没有必要生成一个完整的寻径树,只要保证考虑节点的后续节点不可能存在完整路径,便进行 剪枝 ,不再考虑其后续节点的情况以减小任务量㊂寻径树的根代表在开始搜索可能路径之前被破坏的消息接收方,从根到叶的任何路径都是候选路径;树中第一级节点代表路径第二个中间节点的选择(由于攻击者是要揭露发送方的身份,从接收方反向溯源,故节点选择为反向选择)㊂将以宽度优先搜索的方式构建树,如果当前节点是有希望的,则将路径的下一跳备选节点作为其子节点㊂如果当前节点被证明是没有希望的,算法回溯到节点的父节点,为它的父节点考虑下一个可能的选项;如果没有这样的选项,它将回溯到树的上一级,以此类推㊂最后,算法在获得从源到目标的完整路径后,继续搜索其他可能的路径㊂预计路径搜索方法将能够根据网络拓扑和路径的信息,修剪足够多的路径查找树的分支㊂2.3㊀概率分布计算利用寻径树可以得到潜在发送者的概率分布㊂由于路径是基于概率分布构造的,所以攻击者可以为任意给定的一对顶点之间的网络链路分配选择概率㊂也就是说,通信链路的选择是基于这些概率的,这些概率可以根据一些观察得到,例如利用一些指标,如中间节点的地理位置和网络链路的带宽来确定这些值㊂这些转移概率可以简单地表示为(m+n)ˑ(m+n)转移概率矩阵S:S=s11s12 s1(m+n)s21s22 s2(m+n)︙︙⋱︙s(m+n)1s(m+n)2 s(m+n)(m+n)éëêêêêêùûúúúúú(m+n)ˑ(m+n),(9)式中,m和n分别为潜在发送者和中间节点的数量㊂对于所有i,jɪV,在这个矩阵的第i行和第j列中,元素0ɤsijɤ1表示节点i在重路由路径上是节点j的 直接后继 的概率㊂由于图是完整的,因此在图的任意一对顶点之间均存在一条边㊂设随机变量Yn是从目的地到源的 反向 路径上的第n个节点㊂因此,sij可以表示为:sij=P(Yn=j|Yn-1=i)㊂(10)在这样的矩阵中,有些行和列是统一的㊂也就是说,矩阵S的元素满足以下约束条件:ðm+nj=1sij=1,iɪI㊂(11)显然,被破坏的顶点的存在改变了矩阵的某些元素㊂设C为被妥协的潜在发送者和中间节点的集合,有C⊆V,设jɪC为妥协顶点㊂如果j不在路径上,矩阵S对应的元素保持不变㊂如果j在路径上,相应的元素被更新,这意味着顶点j不再有不确定性了㊂寻径树用重路由概率参数化,概率值被分配到树的边缘㊂从根到叶的路径是满足约束的重路由路径,且重路由路径计算的所有概率值加起来为1㊂对于一般情况下的寻径树,设X和Y为两个离散随机变量,分别表征在寻径树的第1层和第2层中所做的选择㊂根据定义,在树的第1层,有:ðallxP(X=x)=1㊂(12)设P(x,y)为这些随机变量的联合概率质量函数㊂根据定义,在树的第2层,Y(X)的条件概率质量函数为:PY|X(y|x)=p(x,y)PX(x),且ðall(x,y)P(X=x,Y=y)=1㊂(13)将其推广到整个树,则在树的最底层(叶节点)可得:ðall(x1,x2, ,xn)P(X1=x1,X2=x2, ,Xn=xn)=1㊂(14)假设路径L=(si,nj, ,nr,ns,R),长度为L的路径是从发送方si到接收方R的路径㊂为了计算该算法溯源找到路径L的概率,可以将条件概率P(AɘB)=P(B)P(A|B)推广得到路径选择的概率:P(Yl=R,Yl-1=ns,Yl-2=nr, ,Y1=nj,Y0=si)=P(Yl-1=ns,Yl-2=nr, ,Y1=nj,Y0=si)ˑP(Yl=R|Yl-1=ns,Yl-2=nr, ,Y1=nj,Y0=si)=P(Yl-1=ns,Yl-2=nr, ,Y1=nj,Y0=si)ˑpRs=P(Yl-2=nr, ,Y1=nj,Y0=si)ˑpsrˑpRs=㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀︙pjiˑ ˑpsrˑpRs㊂(15)树的每个分支都被标记为特定的选择概率,这样从根到任何叶的所有分支概率的乘积就等于选择相应路径的概率㊂因此,可以为每条可能的路径L分配一个选择概率,其组成边的概率的乘积为:P(L)=ᵑ(u,v)ɪLpuv㊂(16)对于寻径树的定义,网络的中间节点和潜在发送者分别是树的内部节点和叶节点㊂由于树的叶子部分代表消息的潜在发送者,所以在使用寻径树指定新的分布时,需要将潜在发送者分成两组,属于树叶的发送者顶点和不属于树叶的发送者顶点(即被妥协的发送者)㊂假设i是一个潜在的发送端顶点,它是树的叶子,可能出现多次㊂为了得到该节点为真正发送者的相应概率,需要考虑该节点从根到该叶的所有对应路径㊂设L(i)={L1(i),L2(i), ,Lt(i)}为发送端顶点i对应的路径集合,其中t为这样路径的个数,故有:P(Sᶄ=i)=P(L(i))=ðtj=1P(Lj(i))㊂(17)最后,利用了全概率定理的一种形式㊂设L(T)=[L(1),L(2), ,L(k)]为发送者的 路径向量 ,其中T为寻径树㊂所有叶节点对应的概率之和必须是1,因为它们覆盖了选择路径的所有可能性:ðki=1P(L(i))=1,(18)式中,k为所有潜在发送者的数量㊂至此,攻击方可得到任意路径被选择的概率,并可以通过此概率计算潜在发送者的概率,定量分析该网络的匿名性㊂3 结论本文引入一个概率模型来测量匿名通信网络提供的匿名性水平,其主要目的是提出一种用于评估匿名度量的建模方法,而不是对模型进行精确的参数化㊂换句话说,主要关注的是发展一种定量分析匿名通信网络匿名性的理论方法,而不是精确分析模型的评估㊂该模型可以简单地进行扩展,用于量化匿名通信网络的其他匿名属性(如接收者匿名)㊂寻径树可以系统地搜索所有可能的重路由路径,故肯定能找到感兴趣的路径,从而保证分析方法的正确性㊂参考文献[1]㊀CHAUMDL.UntraceableElectronicMail,ReturnAddressesandDigitalPseudonyms[J].CommunicationoftheACM,198l,24(2):84-88.[2]㊀CHAUMDL.TheDiningCryptographersProblem:Uncon⁃ditionalSenderandRecipientUntraceability[J].JournalofCryptology,1988,1(1):65-75.[3]㊀REITERMK,RUBINAD.Crowds:AnonymityforWebTransactions[J].ACMTrans.onInformationandSystemSecurity(TISSEC),1998,1(1):66-92.[4]㊀SARJANTOVA,DANEZISG.TowardsanInformationTheoreticMetricforAnonymity[C]ʊInternationalWork⁃shoponPrivacyEnhancingTechnologie.SanFrancisco:LNCS,2002:41-53.[5]㊀DIAZC,SEYSS,CLAESSENSJ,etal.TowardsMeasuringAnonymity[C]ʊInternationalWorkshoponPrivacyEnhancingTechnologies.SanFrancisco:LNCS,2002:54-68.[6]㊀GUANY,FUX,BETTATIR,etal.AQuantitativeAnalysisofAnonymousCommunications[J].IEEETrans⁃actionsonReliability,2004,53(1):103-115.[7]㊀赵蕙,王良民,申屠浩,等.网络匿名度量研究综述[J].软件学报,2021,32(1):218-245.[8]㊀吕博,廖勇,谢海永.Tor匿名网络攻击技术综述[J].中国电子科学研究院学报,2017,12(1):14-19.[9]㊀和燕宁.可视化的网络数据匿名性度量研究[D].兰州:兰州理工大学,2014.[10]DINGLEDINER,MATHEWSONN,SYVERSONP.Tor:TheSecondGenerationOnionRouter[J].JournaloftheFranklinInstitute,2004,2:1-17.[11]GIERLICHSB,TRONCOSOC,DIAZC,etal.RevisitingaCombinatorialApproachtowardMeasuringAnonymity[C]ʊThe2008ACMWorkshoponPrivacyintheElec⁃tronicSociety(WPES2008).Alexandria:AMC,2008:111-116.[12]徐俊杰.匿名通信网络Tor的实现原理及攻击技术研究[J].网络安全技术与应用,2021(9):1-3.[13]MITTALP,BORISOVN.InformationLeaksinStructuredPeer⁃to⁃PeerAnonymousCommunicationSystems[J].ACMTransactionsonInformationandSystemSecurity(TISSEC),SpecialIssueonComputerandCommun⁃icationsSecurity,2014,15(1):1-28.[14]TUOSTOE.Tarzan:CommunicatingandMovinginWirelessJungles[J].ElectronicNotesinTheoreticalCom⁃puterScience,2005,112(C):77-94.[15]EDMANM,SIVRIKAYAF,YENERB.ACombinatorialApproachtoMeasuringAnonymity[C]ʊ2007IEEEIntelligenceandSecurityInformatics.NewBrunswick:IEEE,2007:356-363.[16]葛坤杰.Tor匿名网络资源分发机制研究[D].北京:北京交通大学,2020.[17]尹红珊.I2P匿名通信网络流量识别与分类[D].北京:北京交通大学,2019.[18]罗军舟,杨明,凌振,等.匿名通信与暗网研究综述[J].计算机研究与发展,2019,56(1):103-130.[19]张赟.Tor网络匿名度研究与路由算法改进[D].北京:北京邮电大学,2021.作者简介:㊀㊀虎㊀勇㊀高级工程师㊂主要研究方向:Lora通信㊂㊀㊀李镔剑㊀硕士研究生㊂主要研究方向:网络通信安全保障㊂㊀㊀陈紫煜㊀硕士研究生㊂主要研究方向:网络通信安全保障㊂㊀㊀苟俊卿㊀工程师㊂主要研究方向:网络安全技术,包括网络攻防㊁虚拟化安全㊂㊀㊀陈瑞东㊀博士,研究员㊂主要研究方向:网络对抗㊁可信多方计算㊁工业控制系统安全㊁加密流量分析㊁区块链及数据流通安全㊂。
匿名协议的研究和应用
匿名协议的研究和应用一、匿名协议简介匿名协议是一种保护用户隐私的协议,它使得用户的身份和行为不被暴露在网络中。
匿名协议的主要应用场景是在互联网上进行隐私通信和保护用户数据的隐私。
随着互联网的发展和应用范围的扩大,用户的个人隐私保护问题越来越受到关注。
在互联网上,各种机构和企业可以通过收集用户的个人信息获得商业利益。
而许多用户并不愿意公开自己的个人信息,甚至会对这一行为产生不信任和抵触。
因此,匿名协议应运而生,通过采用加密技术、随机化技术等手段来实现用户真实身份的保护。
二、匿名协议的分类匿名协议可以按照其实现方式、协议类型等不同方式进行分类。
1. 基于密码学的匿名协议这种类型的匿名协议主要涉及到加密技术,以确保用户通信内容和身份的安全。
其中最常见的就是使用混淆函数、哈希函数、零知识证明协议等技术,来保证用户的隐私安全。
2. 基于随机化的匿名协议这种类型的匿名协议则是通过随机化技术来保护用户的隐私。
具体实现方式包括随机数生成、随机盐产生、随机图像等方式。
3. 基于群体的匿名协议这种类型的匿名协议的思路是将用户的身份隐藏在一个群体中,来保护用户的隐私。
在这种模式下,用户的识别性更低,即使用户随时参与,也很难被识别出来。
三、匿名协议的应用匿名协议广泛应用于互联网上的各种场景中。
其中最典型的应用场景为:1. 匿名社交媒体匿名社交媒体是通过匿名协议来保护用户数据的隐私,从而推动了社交网络的发展。
这种模式下,用户不需要公开自己的真实身份,可以更加自由地在网络上进行表达和参与,从而获得更高的自由度和满意度。
2. 匿名投票和调查在互联网上,很多机构和组织需要收集用户的反馈和意见,而这种收集过程往往会暴露用户的身份,进而造成数据泄漏和风险。
而通过匿名协议,用户可以更加安全地进行调查和投票,透明度也更高。
3. 匿名交易和支付在互联网上,许多交易和支付需要用户提交自己的真实身份,这不仅破坏了用户的隐私,也有较大的安全风险。
基于完整性度量的端到端可信匿名认证协议
E L G a ma l 签 名方案 , 利 用 可信 计 算技 术 , 提 出了一种 基 于完整 性度量 的端 到端 可信 匿名认 证协 议 E T A AP ( e n d — t o - e n d t r u s t e d a n o n y mo u s a u t h e n t i c a t i o n p r o t o c o 1 ) 。协议 的 首轮 交互 中实现 了可信 平 台真 实性验 证 , 在 此基础 上 通过 I MC / I MV 交互完成 对平 台完整性验 证和 平 台安 全 属性 的 可信 性 评 估 , 并 采 用通 用 可组 合 安 全模 型 对 协议 的安
第3 4卷 第 6 期
2 0 1 7年 6 月
计 算 机 应 用 研 究
Ap p l i c a t i o n Re s e a r c h o f Co mp u t e r s
Vo 1 . 3 4 No . 6
J u n .2 0 1 7
基 于 完整 性 度量 的端 到端可 信 匿 名认 证 协 议
谭 励 , 胡计 鹏H , 杨 明华 , 张亚 明
( 1 . 北京 工商 大学 计 算机与 信 息工程 学 院,北京 1 0 0 0 4 8 ; 2 . 火箭 军装备研 究院 第四研 究所 ,北 京 1 0 0 0 9 4 )
摘
要 :针对 目 前 端到 端认证 协议 只认证 平 台 身份 , 缺 乏 对平 台可信性 的验 证 , 存在 安全 性 的 问题 , 通过 改进 的
全性进 行 了分析 , 证 明协议 是 安全 的。 最后 通 过 实验 表 明该协 议 具 有较 好 的 性 能 , 可 实现 基 于 完整性 的端 到 端
标准模型下身份匿名签名方案分析与设计
1 引言
环 签 名 因签 名 中 参 数 根据 一定 的规 则 首 尾 相
件 隐藏 的一 些特 殊环 境 中 Байду номын сангаас如 匿名 电子投 票 …、匿
名 举报 等 。
基 于身份 的公 钥密码 体制 由 S a r 出 , h mi提 J 该 体 制 中用 户 的 公钥 可 以是 任 一 可 以标 识用 户 的二 进制 串,例 如 电子 邮件地 址 、I 地址 、甚 至身份 证 I ) 号等 。基 于 身份 的系统不 需要 维护所 签发 的证 书列 表 , 因此得 到 非常广 泛 的实际应 用 。
第3 2卷第 5期
通
信
学
报
V 1 2 b . No. 3 5
21 01年 5月
J u n n Co mu iai n orao m l nct s o
Ma 0l y2 1
标准模型下身份 匿名签名方案分析 与设计
张 明武 ,杨 波 ,姚金 涛 ,张文政
f. 南农业 大 学 信 息学 院 ,广东 广 州 5 0 4 2 1 华 1 6 2 .现代 通信 国家重 点实验 室 ,四川 成 都 60 4) 10 1
t e mu t l — n wn sg au e e itn i l o g r . n v l o y u in t r c e s p o o e h te f r e e h l p ek o —i n t r x s t r e y A o e n mo ssg au e s h me wa r p s d t a n o c d t i e af n a h s c r y lv l o M o e 3 s c r y a d r d c e c mp t t n l o t wh c n y n e e l p e c l u a o si e u t e d l e u t n e u e t o u ai a s, ih o l e d d t mu t l a c l t n G i e t i d h o c wo i i n
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
匿名协议WonGoo的概率模型验证分析陆天波,方滨兴,孙毓忠,郭丽(中国科学院计算技术研究所软件研究室北京100080)(中国科学院研究生院北京100039)(lutianbo@)摘要Internet隐私的一个主要问题是缺乏匿名保护。
近年来,人们已经针对这一问题做了很多工作。
然而,如何利用已有的形式化方法分析匿名技术却是一个极具挑战的问题。
对P2P匿名通信协议WonGoo进行了形式化分析。
利用离散时间Markov链模型化节点和攻击者的行为。
系统的匿名性质采用时序逻辑PCTL进行描述。
利用概率模型验证器PRISM对WonGoo系统的匿名性进行了自动验证。
结果表明WonGoo的匿名性随着系统规模的增加而增加;但却随着攻击者观察到的源自同一个发送者的路径的增加而降低。
另外,匿名路径越长,系统的匿名性越强。
关键词匿名;点对点;WonGoo;概率模型验证中图法分类号TP393Analysis of Anonymity Protocol WonGoo with Probabilistic Model CheckingLU Tian-bo, FANG Bin-xing, SUN Y u-zhong, GUO Li(Institute of Computing Technology, Chinese Academy of Sciences, Beijing, P.R.China, 100080)(Graduate School of the Chinese Academy of Sciences, Beijing, P.R.China, 100039)Abtract One of the main privacy problems in Internet is lack of anonymity. Much work has been done on this problem in recent years. However, it is a challenge to analyze anonymity protocol formally. This paper presents formal analysis of peer-to-peer anonymous communication protocol WonGoo. The behavior of group members and the adversary is modeled as a discrete-time Markov chain, and security properties are expressed as PCTL formulas. Using the probabilistic model checker PRISM, it analyzes the anonymity guarantees the protocol is intended to provide. As a result, it not only finds that anonymity provided by WonGoo increases with the increase in group size and degrades with the increase in the number of random routing paths, but it also shows the relationship between anonymity and path length.Key words anonymity, Peer-to-Peer, WonGoo, Probabilistic Model Checking1 引言Internet的一个缺陷是不提供匿名保护,攻击者可以根据通信流之间的关系对发送者和接收者进行追踪。
随着Internet的快速发展并被人们广为接受,以及搜索引擎和数据挖掘等技术的发展,人们已经开始关注Internet上的隐私和匿名。
隐私不仅意味着信息的机密性,而且意味着信息发布者身份的机密性。
匿名技术是Internet上保护用户隐私的一种有效手段,它通过一定的方法将通信流中的通信关系加以隐藏,使攻击者无法获知双方的通信关系或通信的一方。
用户在通信过程中,通过隐藏自己的IP地址来保护自己的隐私。
例如,用户访问了某个网站,但是由于用户使用了匿名技术,使得该访问活动无法与用户身份信息(指IP 地址)关联起来,这在一定程度上保护了用户的隐私。
加密技术可以保护通信的内容,但是攻击者可以通过通信流分析(Traffic analysis)手段观察出谁和谁在通信,通信的时间以及通信流的多少等。
因此,加密技术并不能保证通信的安全,尤其是在一个大的开放的环境中,保护通信者的身份就显得更加困难。
本文中收稿日期:2004-11 基金项目:国家自然科学基金(60273016),国家“八六三”高技术研究发展计划基金(2001AA142110)及中国科学院计算技术研究所基金(20016250)资助。
作者简介: 陆天波,博士研究生,主要研究方向为网络信息安全、分布式计算;方滨兴,研究员,博士生导师,主要研究方向为网络信息安全、并行计算;孙毓忠:研究员,博士生导师,主要研究方向为计算机系统结构;郭丽,副研究员,硕士生导师,主要研究方向为网络信息安全。
通信者的身份是指其IP 地址,因此发送者是指发送者的IP 地址,同样,接收者是指接收者的IP 地址。
我们所提出的WonGoo 协议[1]是一个综合了Mix[2]和Crowds[3]的优点的可扩展点对点协议,提供三种形式的匿名保护:发送方匿名(sender anonymity ),即消息无法被关联到其发送者;接收方匿名(receiver anonymity ),即消息无法被关联到其接收者;关系匿名(relationship anonymity ),即消息的发送方和接收方是不可关联的(unlinkability )[4]。
WonGoo 克服了Mix 效率低和Crowds 抗攻击性差的缺点,通过分层加密和随机转发取得了强匿名和高效率。
我们在文献[1]中分析了WonGoo 的效率和匿名性介于Crowds 和Mix 之间,是Crowds 和Mix 的折中。
模型验证(Model Checking )技术是安全协议形式化分析的一项重要技术,它最早应用于硬件的性能验证中。
随着信息安全技术的不断发展,被逐渐应用于安全协议的形式化分析中。
本文利用概率模型验证(Probabilistic Model Checking )技术分析了WonGoo 系统的匿名性。
我们把WonGoo 系统形式化为一个离散时间Markov 链(discrete-time Markov chains ,DTMCs )模型,利用时序逻辑PCTL (Probabilistic Computational Tree Logic )[5]来描述WonGoo 系统的匿名性质,并用概率模型验证器PRISM[6]进行验证。
我们所考虑的问题是攻击者是否能够确定谁是一条匿名路径的发起者。
我们假定攻击者可以观察部分网络通信流,可以运行自己的WonGoo 节点,可以控制其他的部分WonGoo 节点。
但是,攻击者不能破坏系统所采用的加密技术。
2概率模型验证技术模型验证是一种验证有限状态系统的自动化分析技术。
系统被模型化为一个状态转化图,系统的性质用时序逻辑描述。
它通过一个有效的搜索过程来验证状态转化图是否满足某种性质。
我们可以把模型验证抽象的描述为:给定一个模型M 和逻辑描述的性质P ,检查M ╞P ,即在模型M 中性质P 是否成立。
模型验证的最大优点在于验证过程是全自动化的,并且如果一个性质不满足,它能给出反例说明这个性质不满足的理由。
概率模型验证是模型验证技术的扩充,主要用于自动验证具有随机行为的系统中某些事件发生的概率。
例如在系统运行过程中验证事件“停机的概率不超过0.1”和“视频帧在5毫秒内到达的概率不低于0.9”等。
概率模型验证中系统的形式化模型被赋予了概率信息,典型的情况是模型的每一个状态转化都标记有一个概率,用于说明状态转化的可能性。
我们在本文中用到的模型是离散时间Markov 链(DTMCs ),其他两个常用的模型是连续时间Markov 链(continuous-time Markov chains ,CTMCs )和Markov 决策过程(Markov decision processes ,MDPs )。
2.1离散时间Markov 链(DTMCs )一个带标记函数的离散时间Markov 链D 是一个四元组 ),,,(L P s S ,其中● S 是一个有限状态的集合;● Ss ∈ 是初始状态;● ]1,0[:→⨯S S P 是一个转移概率矩阵,满足∑∈=Ss s s P '1)',( ,对任意的S s ∈;●APS L 2:→ 是一个标记函数,表示原子命题在状态s 成立,其中AP 是一个原子命题集合。
转移概率矩阵的元素)',(s s P 给出了从状态s 到状态's 的转移概率。
系统的一次执行可用一条通过DTMCs 的路径表示。
本文中WonGoo 系统的一次执行是指一条WonGoo 路径的建立过程。
一条通过DTMCs 的路径是一个有穷(或者无穷)的状态序列 (2)1s s s =ω,其中对任意的0≥i ,有0),(1>+i is s P 。
我们把始于状态s 的路径的集合记为sPath 。
2.2 DTMCs 上的PCTL 模型验证PCTL 是对时序逻辑CTL (Computational Tree Logic )[7]的扩充和发展。
它在CTL 基础之上增加了概率算子)(~ψp P ,其中]1,0[∈p ,},,,{~>≥<≤∈。
PCTL的语法如下:)(||||::~ψφφφαφp P true ⌝∧=φφφφφψ||::kX ≤=其中α是原子命题,k 是一个整数,φ是一个状态公式,ψ是一个路径公式。
概率算子)(~ψp P 的意思是,如果一条路径源于状态s 且满足路径公式ψ的概率满足条件p~,则认为公式)(~ψp P 在状态s 是满足的。
可以表示成下列公式:s╞)(~ψp P ⇔pP s ~)(ψ其中}||{)(ψωωψ=∈=sssPath P P 。
文献[8]对这一概率的计算过程进行了讨论。
PRISM 支持三种类型的路径公式:φX ,21φφk ≤ 和21φφ 。
路径ω满足路径公式ψ,记为ω╞ψ。
下面给出PCTL 在DTMCs 上的语义描述。
对于一条路径ω: φωωφ=⇔=|)1(|X (ω的第二个状态满足公式φ)),|)(|)(.(|1221i j j i k i k<∀=∧=≤∃⇔=≤φωφωφφω(ω的前k 个状态中的某个满足2φ,同时该状态以前的所有状态都满足1φ)2121|.0|φφωφφωkk ≤=≥∃⇔=对于一个状态S s ∈: true s =| for all Ss ∈)(|s L s ∈⇔=αα2121|||φφφφ=∧=⇔∧=s s sφφ≠⇔⌝=||s spp P s s p ~)()(|~ψψ⇔=对于公式21φφ来说,常用的形式是true=1φ。