在线声誉系统的可重用防御组件
摘要
针对信任与声誉系统(TRS)的攻击以及应对特定攻击的防御策略是许多研究论文的主题。尽管这些研究提出了有价值的想法,但它们都至少存在以下主要不足之一。首先,许多研究人员从零开始设计防御机制,而没有重用已被认可的思路。其次,大多数提案仅限于命名和理论描述防御机制。另一个问题是不同研究人员对具有相似特征的攻击使用不一致的命名方式。为解决这些不足,我们提出了一种新颖的针对TRS攻击的分类法,重点关注攻击的一般特征和症状学。我们利用该分类法将可重用、清晰描述且已实际实现的组件分配给不同的攻击类别。通过这项工作,我们旨在为TRS设计者提供一个基础,使其能够试验多种防御机制,最终构建出更强大的系统。
关键词 :信任 · Online声誉 · Reputation系统 · Attacks ·分类法 · Components · Reusability
1 引言
易贝和亚马逊等电子市场极大地促进了互联网上各方之间的交易过程。这带来了许多好处,但同时也带来了重大挑战。电子市场中的一个基本问题是,与传统的面对面交易不同,买家既无法全面了解产品的实际质量,也不了解特定卖方的可信度。为了解决这一问题,信任与声誉系统(TRS)已成为在此类 Mostly 匿名环境中决策过程的重要组成部分。根据迪克曼等人进行的一项最新研究[2],声誉较好的卖方能够获得更高的价格和更多的销售量。一方面,这可以鼓励良好行为,因为用户会追求良好的声誉以从中受益;但另一方面,信任与声誉系统(TRS)很可能面临越来越多的恶意用户通过特定行为操纵声誉系统以获取不公平优势的攻击[6]。因此,对服务提供商而言,使用能够抵御各类可能导致欺骗性声誉评分和信任问题攻击的 TRS 至关重要。
为了能够涵盖所有可能的攻击场景,我们首先建立了电子市场中的攻击分类法。在最高层级上,我们区分了以卖方身份实施的攻击(seller attacks)和以买方角色进行的攻击(advisor attacks)。随后,通过分配可复用的信任与声誉系统组件来识别针对不同攻击类型的防御机制,这些组件可用于扩展计算引擎的功能。这些组件以概念描述和完全实现的可复用Web服务的形式提供,存放于Sänger和Pernul[10]提出的组件仓库1中。对信任与声誉系统组件增加的攻击视图是对现有主要功能视角的重要扩展。我们认为,将信任与声誉系统组件与攻击类型进行对应,不仅有助于利用已有组件开发更可靠且稳健的信任与声誉系统,还有助于发现迄今尚未解决的弱点。
本文的其余部分组织如下。首先,在第2节中,我们概述了本研究的总体问题背景。在此基础上,我们阐明了所发现的研究空白,并定义了本提案的目标。在第3节中,我们提出了针对信任与声誉系统的攻击类型的新颖分类法。我们在第4节中利用该分类法将信任与声誉系统组件分配给不同的攻击类别。同时,我们指出如何将这种分配的结果以结构清晰的攻击画像形式进行描述,并整合到知识库中。在第5节中,我们讨论了研究发现,最后在第6节中得出结论。
2 问题背景和相关工作
与传统的面对面交互不同,电子市场中出现的“陌生人世界”[1]使得确定一个参与者的可信度变得困难。这是由于信息不足,因为各方通常之前从未进行过交易。通过信任与声誉系统(TRS)可以缓解由信息缺乏所导致的问题,而 TRS 已成为在线环境中决策过程的广泛采用的组成部分。为了建立共同理解,我们首先指出关于TRS攻击的相关工作。之后,我们简要描述可重用的TRS仓库,将其组件与我们的攻击类别进行映射。这引导我们发现了本文所要解决的研究空白。
2.1 对信任与声誉系统的攻击
信任与声誉系统可能会以多种方式受到参与实体的攻击。这些攻击可能依赖于具体的应用场景,受声誉系统背后的社会环境影响,并由单个实体实施或多个共谋实体。由于近年来对信任与声誉系统攻击的关注日益增加,已进行了多项安全分析[3,4,6,13]。由此提出的攻击分类法以及针对鲁棒性信任与声誉系统的挑战,反过来推动了防御策略的研究(有关综述请参见[5,8])。由于各种信任模型是专门针对特定攻击而设计的,因此它们在不同场景下对各种攻击并不具备完全的鲁棒性。因此,安全性和鲁棒性仍然是信任与声誉系统设计与开发中的关键挑战。
2.2 可复用组件仓库
由于文献中描述的大多数信任与声誉系统采用的计算方法都是从零开始构建的,很少考虑成熟的方法。为了促进可重用性,Sänger 和 Pernul[10]提出了一种计算引擎的分层组件分类法,以及一个包含概念层面和实现层面设计知识的组件仓库。在概念层面,他们将每个构建模块描述为类似设计模式的解决方案;在实现层面,他们通过Web服务提供了完全实现的可重用组件。该组件仓库中的类是基于他们对声誉系统的通用过程分析以及不同综述[7,9,11–13]中描述的各种计算方法分析得出的。
2.3 研究空白
除了之前描述的组件仓库外,霍夫曼等人[5]和库特鲁利和察尔加蒂杜[8]在实现可重用性方面也取得了其他重要进展。他们对攻击和防御机制进行了综述,从而帮助研究社区汇集了相关思路。这些综述的主要不足在于仅局限于命名和理论性地描述防御机制。
在本文中,我们希望更进一步,采用Sänger和Pernul描述的可重用计算组件作为针对TRS攻击的防御机制。他们类似设计模式的制品的统一格式有助于为开发新的防御机制建立明确的指导原则。此外,他们通过Web服务完全实现的组件允许研究人员进行实验。
在准备步骤中,我们旨在通过引入攻击视图来扩展其仓库,在该视图中系统地描述具有特定特征的攻击类型,而不是基于攻击的具体示例进行讨论。这有助于避免某些攻击尚不一致的命名(例如重新加入与洗白),同时也使我们的论述更加通用和可扩展。最重要的是,我们能够为整类攻击分配可重用的计算组件,而不是将相同的防御方法逐一匹配到大量攻击示例上。
3 信任与声誉系统攻击分类法
在本节中,我们提出了一种针对电子市场的新型攻击分类法,以对可能的攻击类型进行归类。在最高层级上,我们区分了卖家攻击和顾问攻击。在这两大类别中,我们从两个维度对每种攻击类型进行分类:攻击者和行为。
3.1 卖家攻击 vs. 顾问攻击
在常见的电子市场中,我们有两方:买方和卖方。就信任与声誉系统而言,双方都可以担任被评价者(被评价的一方,通常是卖方)和顾问(提供推荐的一方,通常是买方)的角色。
为了决定与哪个卖方进行交易,买家依赖其他买家的评分来评估卖方的声誉。按照合同规定交付商品的卖方被称为诚实卖家,而未按合同规定交付商品的卖方则被称为不诚实或恶意卖家。需要注意的是,“商品”一词包括实物产品、非实物产品以及服务。卖家攻击指电子市场中的一个或多个实体以卖方身份对声誉系统进行的操纵行为。这些操纵的目的是在保持买家认为其诚实的声誉档案的同时,充当恶意卖家。尽管法律可以对不诚实卖家的欺诈行为(例如完全不交付商品)进行惩处,但信任与声誉系统应致力于从源头上预防此类行为的发生。
相比之下,顾问攻击由评分方实施。由于买家通常可以对卖方在特定交易中的表现进行评分,他们能够影响其声誉档案,从而为其他买家充当顾问。根据Jøsang和Golbeck[6]的观点,顾问攻击可统称为“不公平评分攻击”,因为它们基于一个或多个数字身份向其他数字身份提供不公平的评分。这些不公平的评分被用来操纵卖方的声誉档案——要么不正当地抬高,要么不正当地诋毁。与卖家攻击不同,顾问攻击通常无法受到法律制裁。
3.2 维度:攻击者与行为
在卖方攻击和顾问攻击的类别中,我们的分类法沿攻击者和行为这两个维度对攻击类型进行了系统化。
攻击者 。攻击者维度指的是参与攻击的数字身份的数量和特征。尽管卖家攻击通常由单个数字身份执行,但其中一些攻击也可能由共谋团体实施。根据声誉系统所采用的信任模型和身份管理概念,攻击者还可能自行创建额外的数字身份,以增强其影响力。
- 单一身份 :攻击者独自进行所有操作,不依赖其他实体的帮助。此外,他不会创建任何额外账户,而是使用单一数字身份在系统中实施攻击。
- 多重身份 :在大多为匿名的在线环境中,假名通常可以以极低的成本创建。因此,恶意实体可轻易获取多个数字身份,用以制造伪推荐并提升其在系统中的声誉。
- 多个实体 :一个攻击者群体共谋实施联合攻击。通常情况下,多个合谋实体造成的损害远高于各实体单独进行恶意行为所造成的损害。
行为 。行为维度用于描述攻击者的行为。在此,我们区分始终恶意行为的攻击者与在恶意行为和诚实行为之间交替的攻击者。
- 一致的 :攻击者始终进行恶意行为,且不执行任何诚实行为。
- 不一致的 :攻击者同时执行诚实和不诚实的行为。因此,他们可以通过不诚实行为获取更高收益,而通过诚实行为确保其声誉值维持在使其他用户认为该攻击者是诚实的水平。
4 在组件仓库中引入攻击视图
在本节中,我们展示了如何在组件仓库上实现新颖的“攻击视图”。为此,我们首先完成攻击类别与防御组件的分配。其次,我们阐述了攻击分类法如何作为知识库的一部分被集成,并与计算组件进行关联。
4.1 防御组件的分配
关于信任与声誉系统中防御攻击机制的大多数研究论文提出了多种形式的“非结构化”文本建议的解决方案。相比之下,本文分配可重用的组件。这些组件不仅在网络服务中得以实现,而且以结构清晰的类似设计模式的制品进行了明确描述。通过这种方式,开发人员可以直接利用这些理念以及可集成到现有声誉系统中的Web服务,以扩展其功能。
为了完成分配,我们分析了前一节中介绍的电子市场中针对信任与声誉系统的攻击分类中的各个类别,分析内容涉及它们的总体特征。表1展示了部分分析结果。表格右侧列出的术语反映了组件仓库中使用的独特组件术语。这些组件提供了多种不同的防御方法,可单独或组合应用。
| 一级类别 | 二级类别 | 三级类别 | 组件 |
|---|---|---|---|
| 卖方 | 单一身份 | 一致的 | 求和,贝叶斯概率,平均值,份额(正向) |
| 卖方 | 单一身份 | 不一致的 | 不对称评级,绝对时间折现, 相对时间折现, 基于年龄的过滤器, 上下文相似性, 标准相似性 |
| … | … | … | … |
| 顾问 | 多个身份 | 一致的 | 聚类滤波器, 主观的可靠性 |
| 顾问 | 多个身份 | 不一致的 | 绝对时间折扣, 滤波器, 聚类滤波器, 传播折扣, 相对时间折扣,主观可靠性 |
表2。一个攻击类别的示例配置文件,已缩短
| 攻击类别 | 顾问攻击:一致型(单一身份) |
|---|---|
| 描述 | 在由单一身份发起的一致性顾问攻击中,单个顾问一致地将欺骗性评级分配给交易。这意味着持续向诚实卖家提供不公平的低评级和/或一致地向不诚实卖家提供不公平的高评分 |
| 示例 |
−一致的刷票行为:攻击者提供不公平的高评分对其他参与者以提高他们的声誉
−一致的恶意贬低:攻击者提供不公平的低评级对其他参与者以损害其声誉。[…] |
| 解决方案 |
有多种方法可以过滤掉由单个攻击者做出的不公平的评分。检测/过滤机制大致可分为两类:内生性过滤/折现和外生性过滤/折现。
内生性折扣方法试图检测不公平的评分基于其统计特性。[…] |
| 模式/网络服务 |
−贝塔统计滤波器
−聚类滤波器 −客观可靠性(声誉)[…] |
| 文献 | −塔瓦科利法德,M.,阿尔梅罗思,K. 一种表达开放的信任与声誉系统中的挑战。期刊通信,北美,7,7。2012。[…] |
4.2 作为知识库的一部分实现
在第二步中,我们将攻击分类法作为知识库的一部分实现²。
为了更详细地展示各个类别以及可能的防御策略,我们以结构清晰的“配置文件”形式描述了每个模块。每个配置文件包含对该模块的总体描述、若干示例攻击、针对该问题的解决方案(防御策略)、指向可用于实现该解决方案的设计模式/Web服务的超链接,以及相关文献列表。所有这些配置文件均可作为知识库的一部分在线获取。表2展示了基于单一身份的一致性顾问攻击的示例配置文件。
5 讨论
回顾我们对攻击分类法和防御机制的分配,得出了一些有趣的发现。与大多数关于信任与声誉系统(TRS)攻击和防御机制的综述不同,本文并未引入一系列不同的攻击类型,而是聚焦于攻击的通用特征和症状学,例如持续性和攻击者数量。由此我们发现,文献中被描述为不同挑战的许多攻击,实际上是同一攻击症状学的不同表现形式。因此,针对攻击特定特征的防御机制可能有助于应对多种挑战。
总体而言,攻击类别和计算组件的分配带来了一些有价值的好处:
- 开发人员不仅可以获得针对攻击弱点所引发挑战的简短建议形式的解决方案,还能找到以类似设计模式的清晰结构描述的具体问题、该问题的解决方案、通用代码示例以及相关文献。此外,他们可以直接使用实现该逻辑的Web服务。
- 由于拥有一系列已实现的服务,开发人员可以尝试不同的组件组合,从而为其特定问题、信任与声誉系统(TRS)和应用场景找到最佳解决方案。
- 鼓励研究人员在提出新想法和防御机制时采用这种明确定义的结构,并以设计模式和Web服务的形式将其提交至组件仓库。
6 结论
过去已针对信任与声誉系统中的攻击和防御策略进行了大量研究。在本文中,我们提出了一种新颖的分类法,据我们所知,这是首个可用于描述所有针对声誉计算操纵或利用行为的攻击的分类法。
电子商务环境。然后,我们通过将可复用的信任与声誉系统组件映射到攻击类别,识别出针对不同攻击类型的防御机制。通过这种方式,我们不仅支持声誉系统设计者利用已有的组件开发更可靠、更健壮的信任与声誉系统,还有助于发现迄今尚未解决的弱点。此外,我们的分类法对未来研究具有重要价值,因为它提供了基于攻击特征和症状学来描述攻击的基础,并促进了对信任与声誉系统攻击的共同理解。
² http://trust.bayforsec.de/ngot/index.php?section=知识仓库。
扫一扫
780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
