为了实现网络可控可管的目的提出了可信网络的概念。可信网络分为可信网络接入和可信网络动态评估。目前对于可信网络的接入控制已经有了如可信网络连接(Trusted Network Connect,TNC)等多种实现方式和手段,但是这些手段和方法仍有很多不足,例如TNC架构只进行身份验证和完整性检查;同时对于网络接入后的网络状态如何实现准确的动态评估也是可信网络目前的难点,这主要是由于网络状态复杂,数据量大,实时性高。如果不能解决网络接入时的安全性和动态评估时的准确性,必然会影响到网络的安全状态和用户的信息安全,因此实现一个可信的网络对于网络安全具有重要的意义,如何实现网络的可信接入和可信评估也成为近年来网络安全领域研究的热点。本学位论文提出了一种终端全程可信机制来体现网络的可信性。借鉴信任的时间性、集聚性、模糊性、粗糙性等属性对可信评估方法进行了研究,主要研究内容如下:(1)提出一种基于综合信任算法的可信接入模型。针对TNC只验证身份和完整性的缺点,提出一种基于综合信任算法的可信接入模型。该模型通过直接信任和间接信任组成综合信任,间接信任类似于信誉模型中的信誉值,是其他实体对终端的评价。这种评价往往是有一定规律或者说应该是温和变化的,因此设计了一种结合推荐值波动性与一致性的可信评估方法来计算间接信任,其中推荐值的波动性反映了个体评价的时间特性和连续性,一致性反映了群体评价的时间性和连续性。经过波动性和一致性加权间接评估也就具备了时间性和连续性,能够避免恶意节点的恶意评价行为。在计算直接信任时,首先应用层次分析法(Analytic Hierarchy Process,AHP)确定属性的静态权重,同时基于属性值的粒度划分再确定属性的动态权重,将两种权重进行加权平均得到直接信任值。汇总间接信任和直接信任得到最终的综合信任值。仿真结果表明该算法比其他加权算法抵抗恶意节点的能力更强。(2)提出一种基于规则匹配的可信网络信任评估方法。借鉴模糊分类模型的规则匹配算法,将终端的实时状态作为规则匹配的前件,也就是规则的条件属性,通过可信属性集及其值来表示,规则后件就是评估结果,也就是通过规则前件的匹配得到的结果就是终端的授权结果。分类规则由网络数据提取得到,由于通过网络数据产生的规则数量会急剧膨胀,因此需要对规则进行约简。通过对可信属性集的分析将可信网络评估系统转化为粗糙决策系统,在粗糙决策系统中,可以利用正域来约简属性集。本文在决策系统中通过最小决策风险的等价类划分策略来生成下近似集和正域划分,最后根据正域不变小和属性独立性进行属性约简。将约简后的决策规则存储到专门的数据库中,通过加权投影向量进行可信规则匹配,选择所有决策规则中最匹配的规则作为最优结果。该分类模型具有结构简单、语义解释性好的优点,实验结果也验证了算法的有效性。(3)提出一种基于属性包含度的可信规则提取算法。首先将所有的可信规则转化为布尔型规则,分析信息系统的包含度度量方法以及包含度和规则可信度的关系,在此基础上提出了基于规则支持度和可信度的规则提取算法。该算法通过计算规则前件和后件的包含关系产生新的规则,判断该规则的可信度和支持度是否超过设定的阈值,如果大于阈值则认为该规则是可信的,可以提取,否则丢弃。(4)提出一种基于多分类器集成的决策树匹配算法。由于多分类器集成算法的优势,首先通过自助抽样算法从初始可信集中生成多个可信规则集,在此基础上通过基于属性包含度的规则提取算法生成多个个体分类器,个体分类器的结果通过多叉决策树的形式来实现,多叉树每层的节点根据属性的重要度来确定。最后通过多叉树的匹配来实现可信规则的匹配。该算法易实现且时间复杂度小,而且通过多分类器集成提高了算法的准确性。实验结果验证了算法要比属性约简算法准确性更高。