关键词:网络安全;风险评估;云模型;指标体系;相似性度量
随着网络的多样化和复杂化,网络安全问题变得日益突出。因此,对当前网络风险进行评估,并依据评估结果在风险发生之前采取相应的防御措施,降低风险发生概率,提高网络安全就变得十分重要。目前网络安全风险评估存在的主要问题是评估主观性强,评估结果不精确。针对这些问题,一些学者提出通过建立合理的指标体系,选取适当的指标对网络安全状况进行评估。如瓮迟迟等依据国家等级保护技术标准,从技术要求和管理要求两方面建立主机安全评估指标体系,对主机安全风险进行了全面的模糊量化评估[1]。王娟等针对网络层次、信息来源和不同需求三方面,拟定了25个指标,建立了完善的网络安全态势评估体系,对网络安全态势量化评估提供了可靠的依据[2]。程玉珍从技术风险和非技术风险两个角度建立指标体系,并利用多层次模糊综合评估模型进行多层次的评估,为云服务的风险管理提供了理论参考[3]。一些学者采取定量或定性定量相结合的方法对网络安全状况进行评估,如攻击图[4]、Petri网[5]、神经网络[6]、博弈论[7]、马尔科夫模型[8]等方法,以避免纯粹定性评估结果的不精确等问题。依据云模型把定性概念的模糊性和随机性有效地结合在一起,实现定性与定量之间相互转换的特点[9],本文提出了基于云模型的风险评估方法。通过完善网络风险评估指标体系,建立云风险评估模型,改进云相似性度量算法,有效地提高了网络风险评估结果的精确性和可信性。
1网络安全风险评估指标体系
网络安全状态评估涉及众多因素,而各因素的影响程度均不同。只有综合考虑影响网络安全的各种因素,才能对网络状态进行科学、合理的评价。因此,本文从网络安全风险因素中选取具有代表性的评估指标,构建网络安全风险评估指标体系,如图1所示。指标体系由目标、子目标和指标三个层次构成,U代表目标层,表示网络安全状态评估结果;U1、U2、U3代表子目标层,表示影响网络风险的因素;指标层是子目标层的细化,表示网络安全评估的具体因素。图1从脆弱性、威胁性和稳定性三个方面选取了影响网络安全风险的12个指标。其中,脆弱性子目标层的指标反映评估对象自身在系统软、硬件配置和服务配置上的安全性不足;威胁性子目标层的指标反映当前网络状态下的危害程度;稳定性子目标层的指标反映连续时间内网络性能变化情况。
2基于云模型的网络安全风险评估方法
利用云模型对网络安全风险评估指标进行评估量化处理,并把这种模型定义为云风险评估模型。具体定义如下:云风险评估模型CRAM(CloudRiskAssessmentModel)是一个五元组,即CRAM={R,t,C,V,E}。(1)R=(α1,α2,…,αk)表示网络评估综合风险值集合。综合风险值αi=∑nj=1Iij×wj。其中:Iij表示第i次采样时,风险评估指标中第j个指标的样本值;k表示取样次数;n表示网络风险评估指标个数;wj表示第j个指标所对应的权重,且∑nj=1wj=1。(2)t表示每次采样间隔时间。(3)C=(Ex,En,He)表示云向量。其中3个特征值Ex,En,He分别为期望、熵和超熵。(4)V=(正常,较正常,较危险,危险)为系统状态集合,表示风险评估时的4种不同网络状态。(5)E=(低,较低,较高,高)为评估等级集合,表示系统状态所对应的4种评估结果。
2.1正常状态云的构造
每间隔时间t对当前网络参数进行采样,获取k组样本点作为正常状态下的样本值。首先通过层次分析法(AHP)[10]计算各指标权重并求取当前状态下不同时刻的综合风险值αi(要多次对网络参数进行采样,以确保综合风险值的样本量足够多);然后通过无确定度逆向云算法得到正常状态云的数字特征(Ex,En,He);最后通过正向云算法生成正常状态云集合。2.1.1无确定度逆向云生成算法输入:网络安全评估指标体系中各指标的样本值Iij和每个风险指标所对应的权重wj,其中i=1,2,…,k,j=1,2,…,n(n表示风险指标个数,本文有12个指标值,所以n=12)。输出:云数字特征值Ex、En、He。Step1:计算不同时刻的综合风险值αi;αi=∑nj=1Iij×wj(1)Step2:计算综合风险值的3个数字特征:(1)依据不同时刻的综合风险值,求取综合风险均值珨M=1k∑ki=1αi,样本方差S2=1k-1∑ki=1(αi-珨M)2;(2)期望值Ex=珨M;(3)熵值En=(珨M2-S22)1/4;(4)超熵值He=(珨M-(珨M2-S22)1/2)1/2。2.1.2正向云生成算法输入:正常状态下云的数字特征(Ex,En,He)和云滴个数N。输出:N个云滴和正常状态下每个云滴的确定度ui。Step1:生成一个以En为期望值,He为标准差的一个正态随机数En′;Step2:生成一个以Ex为期望值,He为标准差的正态随机数xi;Step3:计算ui=exp(-(xi-Ex)2/2(En′)2),其中xi表示一个云滴,ui为其确定度;Step4:重复step1-step3,直到按照上述要求产生N个云滴为止。
2.2四尺度概念云的构造
为了准确描述网络风险状态,首先将网络状态划分为安全、较安全、较危险和危险4种,分别对不同状态下的网络参数值进行采样;然后依据正常状态云的构造步骤分别建立4种网络状态下的正态云;最后生成四尺度的概念云(正常、较正常、较危险、危险),其相应的风险结果为(低、较低、较高、高)。
2.3基于相似云的风险评估算法
通过改进文献[11]的云相似度算法,计算出当前状态下生成的正态云与标准状态下四尺度的概念云的相似度,将相似度最高的概念云所对应的风险等级作为最终输出结果。具体的相似云风险评估算法如下:输入:当前网络状态下云C0的数字特征(Ex0,En0,He0),标准状态下概念云C1的数字特征(Ex1,En1,He1)。输出:风险评估结果δ。Step1:令fi(x)=exp(-(x-Exi)2/2Eni2),i=0,1,求出云C0和云C1的两条期望曲线y=f0(x)和y=f1(x)在[Ex1-3En1,Ex1+3En1]范围内的相交点x1、x2,设x1≤x2,Ex0≤Ex1;Step2:由于交点的分布不同,正态云重叠面积A分为3种情况:(1)若x1与x2落在[Ex1-3En1,Ex1+3En1]范围外,则A=0;(2)若x1与x2有一点落在[Ex1-3En1,Ex1+3En1]范围内,则A=∫x1Ex1-3En1f1(x)dx+∫Ex1+3En1x1f0(x)dx;(3)若x1与x2同时落在[Ex1-3En1,Ex1+3En1]范围内,则A=∫x1Ex1-3En1f1(x)dx+∫x2x1f0(x)dx+∫Ex1+3En1x2f1(x)dx(当En1<En0时),或A=∫x1Ex1-3En1f0(x)dx+∫x2x1f1(x)dx+∫Ex1+3En1x2f0(x)dx(当En1≥En0时);Step3:对面积A做标准化处理,最终可得云模型相似度为:sim(C0,C1)=A2槡πEn1∈[0,1](2)Step4:依次计算待评价云C0与4个概念云C1,C2,C3,C4的相似度值,其中最大相似度值所对应的风险等级为最终的输出结果,记为δ。
3实验结果与分析
3.1实验过程与结果
本实验基于Windows7环境,编程工具为Matlab7.11,在校园网络环境下进行测试。采用美国林肯实验室Kddcup99数据集中的数据,分别对非攻击、PROBE(端口扫描)攻击、R2L(远程登录)攻击和DoS(拒绝服务)攻击4种状态下的数据进行采集,按照1∶1000的比例随机选取子网带宽占用率、子网流量增长率、子网流量变化率和不同协议数据包分布比值变化率4个指标值。利用逆向云算法得到各状态下云的特征值(见表1),然后通过正向云算法生成四尺度的概念云(正常,较正常,较危险,危险),其相应的风险评估结果为(低,较低,较高,高)。进行随机网络攻击,每隔10s对当前网络进行一次采样,每次实验采样20组,利用AHP依次计算此时的综合风险值并作为输入参数,通过逆向云算法求出此时的云特征值C(Ex,En,He)。重复实验多次,并取4次实验采样值进行相似度计算。利用相似云风险评估算法,依次计算4次不同实验下的云与标准状态下四尺度概念云的相似度,相似度最大的为最终输出结果.
3.2实验结果分析
将正态云相似性度量方法与传统的基于云滴距离[12]和余弦夹角[13]求相似性的方法进行比较.3种云相似性度量方法均可以得出正确的结果。基于云滴距离的相似性度量方法,因云滴的分布带有局部性和随机性,各云滴之间选取和排序问题不仅会增加算法的复杂度,还会直接影响到结果的准确性。基于夹角余弦求相似度的方法虽然计算简单,但是通过逆向云算法生成的期望值远大于熵和超熵,使得该方法在求相似度时容易忽视熵和超熵的作用,直接影响到结果的精确性。本文利用正态云重叠面积求相似度的方法充分考虑到正态云的全局相似性和3个数字特征值的作用,使得评估结果更加精确。
4结语
本文通过建立完善的网络风险评估指标体系和改进云相似性度量算法对网络风险状态进行了评估。实验结果表明,改进方法与传统方法相比不仅使实验结果更加精确,还提高了网络安全评估效率。如何获取和处理异常的网络采样数据,使评估结果更全面,是下一步研究的主要内容。
参考文献:
[1]翁迟迟,齐法制,陈刚.基于层次分析法与云模型的主机安全风险评估[J].计算机工程,2016,42(2):1-6.
[2]王娟,张凤荔,傅翀,等.网络态势感知中的指标体系研究[J].计算机应用,2007,27(8):1907-1909.
[3]程玉珍.云服务信息安全风险评估指标与方法研究[D].北京:北京交通大学,2013.
[4]PhillipsC,SwilerLP.Agraph-basedsystemfornet-work-vulnerabilityanalysis[C]//ProceedingsoftheWorkshoponNewSecurityParadigms.Virginia,USA:ACM,1998:71-79.
[5]高翔,祝跃飞,刘胜利,等.基于模糊Petri网的网络风险评估模型[J].通信学报,2013(S1):126-132.
[6]刘芳,蔡志平,肖侬,等.基于神经网络的安全风险概率预测模型[J].计算机科学,2008,35(12):28-33.
[7]姜伟,方滨兴,田志宏,等.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009,32(4):817-827.
[8]王笑,李千目,戚湧.一种基于马尔科夫模型的网络安全风险实时分析方法[J].计算机科学,2016,43(S2):338-341.
[9]李德毅,刘常昱.论正态云模型的普适性[J].中国工程科学,2004,6(8):28-34.
[10]廖红强,邱勇,杨侠,等.对应用层次分析法确定权重系数的探讨[J].机械工程师,2012(6):22-25.
[11]李海林,郭崇慧,邱望仁.正态云模型相似度计算方法[J].电子学报,2011,39(11):2561-2567.
[12]张勇,赵东宁,李德毅.相似云及其度量分析方法[J].信息与控制,2004,33(2):129-132.
关键词:云服务;服务等级协议;生命周期;服务质量
中图分类号:TP393文献标识码:A文章编号:1009-3044(2014)34-8106-02
1云服务与服务等级协议
近年来,云服务的发展方兴未艾,被业界视为革命性的变革。人们正在走进一个计算能力可以像商品一样在互联网上自由流通的时代。云计算的基本原理是[1]利用互联网高速传输能力,将数据处理过程从本地个人计算机或者服务器转移到互联网上的计算机集群上,这个集群由成千上万台的普通标准服务器组成,由一个大型的数据处理中心对其进行统一的管理。服务提供商通过共享基础架构,将巨大的系统池连接在一起,通过互联网动态地、透明地为用户提供各种随需应变的服务。
随着云计算的蓬勃发展,用户对云服务质量的关注度明显提高,如何保障服务质量成为实务界和学界研究的热点。云服务的目标是满足用户随时可访问资源和服务的需求,按时按需地向用户提供服务。用户通过购买相应资源以获得使用云服务的权利,因此用户希望自己的付出获得相应的回报,即获得相应的云服务质量的保证。在云环境中,可借鉴电信行业用来保证其服务质量的方法来确保云服务质量达到用户支付的相应水平。服务等级协议(ServiceLevelAgreement,SLA)是服务提供商与用户之间协商并签订的一个具有法律约束力的合同,合同规定了在服务提供过程中双方所承担的商务条款[2]。其中,服务商提供商指能够间接或直接为用户或其他服务提供商提供云服务的公司或组织,用户指通过认可或购买的方式获取云服务的个人、公司或组织。一般来讲,根据用户需求的不同,服务等级协议也往往被区分成签订的服务等级协议和未签订的服务等级协议。前者主要针对数据处理要求不高的客户或免费使用客户,他们通过认可的方式被动接受云服务。后者主要针对大型客户,客户往往需要付出高昂的代价购买相应的服务,根据自身需求与服务提供商所协商签订的服务等级协议具有法律效力。
2服务等级协议的最佳实践
《云计算用例白皮书4.0》定义云服务提供商与云服务用户之间的互动关系,服务等级协议包含以下事项:提供商所提供的一套服务;对每项服务的完整且详细的定义;提供商与用户的责任;一套确定提供商是否按承诺交付服务的标准体系;一种监测服务的审核机制;在不满足服务等级协议条款的情况下,用户及提供商可采取的补救措施;服务等级协议如何随时间变化[3]。鉴于服务等级协议中所需条款是由用户自行确定的,因此实践中有诸多因素需要考虑。
最佳实践(BestPractices)可用于描述开发一种可供多个合作伙伴使用的标准流程方式的过程。云标准定制理事会(CloudStandardsCustomCouncil)为云计算用户提供了一种参考构架,在评估云服务等级协议时,用户可以采用这七个步骤来帮助了解如何对比云服务提供商,或是与提供商商谈条款时应该有何预期。
第一步是识别云主角。美国国家标准与技术研究所(NationalInstituteofStandardsandTechnology,NIST)确认了五种独特的云主角:云计算用户、云提供商、云载体、云和云审计。每个主角都具有独特的角色和责任。只有前三个角色在服务等级协议的条款和条件方面存在相互关系。需要注意的是是,NIST参考构架没有确认像云供应者和Web服务提供商这样的其他主角并且没有说明这些主角具有多对多的关系,这是用户在识别云主角是需要注意的。
第二步是评估业务水平策略。服务等级协议内表述的策略应该针对业务战略和策略进行评估。在评估一个云服务等级协议时,用户需要考虑的内容可包含在服务等级协议内的数据策略,包括数据保存、冗余、定位、捕获和私密性等。同时应该考虑加入服务等级协议中的业务水平策略,包括保障、未涵盖的服务列表、过度使用、付款和处罚方法、转包服务、授权软件和特定行业的标准等。
第三步是理解基础软件即服务(SaaS)、平台即服务(PaaS)和设施即服务(IaaS)之间的区别与联系[4],以及正在运行的云的种类(私有云、公共云或者混合云)。服务等级协议的条款和条件取决于提供商为用户提供的控制变量的复杂性。面向SaaS的服务等级协议没有面向PaaS的服务等级协议那么复杂。SaaS用户(最终用户)惟一能控制是对SaaS应用程序的访问,而对于PaaS用户(开发人员),除了不能控制虚拟机之外,他们可以控制应用程序开发生命周期。面向IaaS的服务等级协议是最复杂的,因为除了不能控制实际的基础架构之外,IaaS用户(基础架构专家)能够控制虚拟机。
第四步是确认应该使用哪些指标来实现性能目标。例如,可用性以及反应时间指标应包含:服务等级协议的指标名称、约束条件、收集的方法和频率等。
第五步是安全性。考虑云服务等级协议的一些关键安全要求,其中包括:资产的敏感性、法律和法规的要求以及云提供商的安全功能。每个国家保护个人隐私的法规不尽相同,出于这个考量,用户应该知道存储在云内的数据所在的国家。一个国家可能会禁止来自国外的某些隐私数据,而另一个国家则可能会允许使用外部的隐私数据。
第六步是确定服务管理要求。这包括确定哪些应该进行监视和报告(例如,负载性能和应用程序性能),哪些应该进行计量。此外,还包括配给的速度应该多快(速度、测试和需求灵活性)以及应该如何管理资源更改。
最后一步是为服务故障做准备并管理服务故障,决定应该提供哪些补救措施以及责任限制是什么。用户还需要理解故障恢复计划如何在需要时工作。此计划应该定义服务中断是什么,如何处理意外故障,以及服务中断如果延长应采取哪些措施。
并且,退出条款应该成为每个云服务等级协议的一部分,以防用户或提供商想要中断此关系。
3服务等级协议的管理实施框架
目前市场上服务等级协议的实现都是以根据电信管理论坛的服务等级协议管理手册为基础的,这种服务等级协议是通过集成技术与协调管理、资源调度技术和商业智能等技术构建而成的。
3.1集成技术与协同管理
由于用户需求不同,各个信息系统作为运营支撑系统的子系统往往是解决用户某种特定需求的,这些子系统的构建方式和交互方式的差异,给分布应用的集成带来的一定程度的困难。分布应用集成可以利用建立在协议层上的两个系统共同定义的协议来交换数据或利用更复杂的传输机制,如消息队列等,传输机制层的前提是在传输层上连接多个系统,其方法包括IP、FTP及特定的通信中间件(如MessageQueue,EventMiddleware)[5]。
在子系统间的集成基础上,服务等级协议通过协同管理实现用户需求并提供整体的服务。协同管理控制各个子系统的运行和子系统间的数据交换,订阅各个集成系统产生的事件和信息,并产生更高层次的事件和信息,包括成本、性能、安全、可靠性、可扩展性等信息。此时的工作流系统已扩展为一个协同模型,其具有良好的协同性能。
3.2资源调度技术
资源调度技术是云计算区别于以往的并行计算和网格计算的重要特征之一。云计算调度的目标就是对用户提交的任务实现最优调度,并设法提高云计算系统的总体吞吐率。具体的目标包括最优跨度(OptimalMakespan)、服务质量(QualityofService)、负载均衡(LoadBalancing)和经济原则(EconomicPrinciples)等[6]。根据首选原则的不同,可以将资源调度分为以性能为中心的调度、以服务质量为中心的调度和以经济为中心的调度。
3.3商业智能
商业智能技术提供使企业迅速分析数据的技术和方法,可以看作是数据仓库、联机处理和数据挖掘等相关技术的综合运用,其内容为管理、挖掘和分析数据,将这些数据转化为有价值的信息,作为企业决策的智力支持。所以该技术通常被企业用作做出明智的业务经营决策的工具。其具体实施步骤包括:需求分析、数据仓库建模、数据抽取、用户培训和数据模拟测试、系统改进和完善等。
4服务等级协议的生命周期
服务等级协议的生命周期是一个动态的循环过程。根据电信管理论坛的服务等级协议管理手册,服务等级协议的生命周期包括五个阶段[7],如图1所示:
4.1服务等级协议的创立
产品/服务开发阶段主要用来支持产品和服务的规划和开发。市场需求、竞争压力、服务条件的内在指标以及现有服务等级协议的极端经验等都会促使服务提供商开发另一个更加符合用户需求的服务等级协议。
该阶段包含了以下几个内容:提供商根据自己的云服务战略定义服务等级协议模版,包括服务等级和价值等,以及模版中相关服务等级协议的参数和指标,以及这些服务等级协议参数值的存在方式(独立或捆绑)。
4.2服务等级协议的协商和销售
协商和销售阶段服务提供商会与用户就许多潜在服务实例的安装和运行等实际问题进行协商。该阶段的目的是理清责任归属,签订双方都可以接受的服务等级协议。
该阶段内容主要包括:挖掘和定义用户的具体服务需求,根据其需求与预期目标协商具体服务实例的服务等级协议参数的值;与用户协商服务等级协议的费用与支付方式;服务提供商在服务等级协议违例时应当赔偿的费用及方式等。
4.3服务等级协议的部署与执行
实现阶段是部署用户实例并激活用户等级协议的过程。不同公司实现服务等级协议的过程稍有不同,但总体上是相似的。一般来说,在实现阶段,服务提供商根据具体的合同条款配置资源,提供服务。这个过程主要包括三个方面:支持服务的基础网络配置;特定服务实例的网络配置;激活并维持提供服务。执行阶段包含了服务等级协议中规定的服务的所有正常操作。这其中包括:协议服务内执行和监控;实时报告和服务质量验证;实时的服务等级协议违例处理[8]。
4.4服务等级协议的评估
评估主要发生在两个时间段中。第一个评估是在用户的服务等级协议合约期间,该评估与客户的服务质量有关。用户周期性评审主要用于评估云服务质量,并及时发现潜在可进行改进之处,甚至在某些时候根据实际情况和用户内部需求情况的改变,对云服务提供商提出新的要求,并协商改变其服务目标。第二个评估与服务提供商的整体服务质量目标、对象和风险管理有关,主要用于服务提供商对服务水平进行评估,同时根据服务表现情况进行服务目标的重新排列,并由此构建新的服务等级协议。可以看出这两种评估对用户和服务提供商来说有着不同的措施,但是目的都是为了使云服务质量的到保障。
4.5服务等级协议的终止
当用户认为当前的服务等级协议不足以满足其要求,或协议期限到期希望提高服务质量时,服务等级协议生命周期到了终止阶段。这个阶段服务提供商往往采取多种手段对其服务进行推销,客户通过对服务提供商的一段时间以来的服务进行评估,并深入挖掘自身需求的时期。所以服务等级协议终止阶段往往是下一次服务等级协议周期开始的前奏。
5结束语
本文从定义、最佳实践、管理实施框架和其生命周期理论等内容对服务等级协议进行了探究。作为维系供求双方,保障服务质量的正式协议,服务等级协议的重要性正随着云服务的广泛运用逐渐显现,相信更加规范、更加成熟的服务等级协议能够对我国云服务产业的良性发展做出更大贡献。
参考文献:
[1]赵又霖,邓仲华.图书馆云信息服务等级协议的参数研究[J].图书情报工作,2013,57(20):11-20.
[2]LeeJ,Ben-NatanR.IntegratingServiceLevelAgreements:OptimizingYourOSSforSLADelivery[M].JohnWiley&Sons,2002,3.
[3]CloudComputingUseCasesgroup.CloudComputingUseCasesWhitePaper4.0[EB/OL].[2014-09-03].http:///Cloud_Computing_Use_Cases_Whitepaper-4_0-China_S.Chinese_translation.pdf.
[4]张健.云计算服务等级协议(SLA)研究[J].电信网技术,2012(2):7-10.
[5]孙文辉.面向服务的服务等级协议实现框架的研究[J].计算机应用,2006,26(6):1260-1262.
[6]左利云,曹志波.云计算中调度问题研究综述[J].计算机应用研究,2012,29(11):4023-4027.
1.1隐私数据保护云安全技术
数据安全和隐私数据是用户考虑是否采用云计算模式的一个重要因素。安全保护框架方面,最常见的数据安全保护体系是DSLC(DataSecurityLifeCycle),通过为数据安全生命周期建立安全保护体制,确保数据在创建、存储、使用、共享、归档和销毁等六个生命周期的安全。Roy等人提出了一种基于MapReduce平台的隐私保护系统Airavat,该平台通过强化访问控制和区分隐私技术,为处理关键数据提供安全和隐私保护。静态存储数据保护方面,Muntes-Mulero等人对K匿名、图匿名以及数据预处理等现有的隐理技术进行了讨论和总结,提出了一些可行的解决方案。动态存储数据保护方面,基于沙箱模型原理,采用Linux自带的chroot命令创建一个独立的软件系统的虚拟拷贝,保护进程不受到其他进程影响。
1.2虚拟化云安全技术
虚拟化技术是构建云计算环境的关键。在云网络中,终端用户包括潜在的攻击者都可以通过开放式的远程访问模式直接访问云服务,虚拟机系统作为云的基础设施平台自然成为这些攻击的主要目标。虚拟机安全管理方面:Garfinkel等人提出在Hypervisor和虚拟系统之间构建虚拟层,用以实现对虚拟机器的安全管理。访问控制方面:刘谦提出了Virt-BLP模型,这一模型实现了虚拟机间的强制访问控制,并满足了此场景下多级安全的需求。Revirt利用虚拟机监控器进行入侵分析,它能收集虚拟机的信息并将其记录在虚拟机监控器中,实时监控方面LKIM利用上下文检查来进行内核完整性检验。
1.3云安全用户认证与信任研究
云网络中存在云服务提供商对个人身份信息的介入管理、服务端无法解决身份认证的误判,以及合法的恶意用户对云的破坏等问题,身份认证机制在云网络下面临着诸多挑战。Bertino提出了基于隐私保护的多因素身份属性认证协议,采用零知识证明协议认证用户且不向认证者泄露用户的身份信息。陈亚睿等人用随机Petri网对用户行为认证进行建模分析,通过建立严格的终端用户的认证机制以及分析不同认证子集对认证效果的影响,降低了系统对不可信行为的漏报率。林闯、田立勤等针对用户行为可信进行了一系列深入的研究和分析,将用户行为的信任分解成三层,在此基础上进行用户行为信任的评估、利用贝叶斯网络对用户的行为信任进行预测、基于行为信任预测的博弈控制等。
1.4安全态势感知技术
自态势感知研究鼻祖Endsley最早提出将态势感知的信息出路过程划分为察觉、理解、预测三个阶段后,许多的研究学者和机构在此基础上开始进行网络安全台式感知,其中最著名的是TimBass提出的基于数据融合的入侵检测模型,一共分为六层,包括数据预处理、对象提取、状态提取、威胁提取、传感控制、认知和干预,全面的将安全信息的处理的阶段进行了归纳。网络安全态势感知框架模型方面:赵文涛等人针对大规模网络环境提出用IDS设备和系统状态监测设备代替网络安全态势感知中的传感器,用于收集网络安全信息,并从设备告警和日志信息中还原攻击手段和攻击路径,同时利用图论基础建立的认知模型。网络安全态势感知评估方面:陈秀真利用系统分解技术将网络系统分解为网络系统、主机、服务、脆弱点等四个层次,利用层次间的相关安全信息,建立层次化网络系统安全威胁态势评估模型,综合分析网络安全威胁态势。之后该架构做出了改进,量化了攻击所造成的风险,同时考虑了弱点评估和安全服务评估两种因素,加入了网络复杂度的影响因素,该框架更加体现网络安全态势真实情况。
2研究现状中存在的不足
以上这些研究对全面推动云安全技术的迅猛发展具有重要的作用。但是目前的研究,对几个领域还存在不足:(1)云网络中虚拟机间因关联而引起的安全威胁较为忽视;(2)云网络中可信计算与虚拟化的结合研究不足;(3)云网络环境下云/端动态博弈状态下安全方案和策略研究较少;(4)云网络下安全态势感知鲜有研究。我们须知云网络最大的安全问题在于不可信用户利用云平台强大的计算能力及其脆弱性发动极具破坏力的组合式或渗透式攻击,而这种攻击要比在局域网上的危害大得多,因此在这方面需要投入更多的关注,即:立足于某个特定的“云网络”系统,剖析不可信用户和网络自身脆弱性所带来的风险,时刻预测网络上的风险动向。要做到这一点,就要对云网络中终端用户的访问行为和云网络的服务行为进行实时观测,实时评估。
3未来研究发展趋势
云计算是一种模式,把无处不在的、方便的、按需分配的网络数据赋予给一个共享的、可以配置的资源池。这些计算资源可以快速地分配和释放,而只需极少的管理工作和服务提供商的互动[1]。
云计算作为一种网络服务模式,为云用户提供服务,然而云计算在给用户带来便利的同时,却也产生了相应的安全隐患。云计算模糊了网络安全边界,使得存储介质位于用户控制之外[2],因而云用户的首要安全目标就是数据安全与隐私保护,主要防止云服务商恶意泄露或出卖用户隐私信息,或者对用户数据进行搜集分析进行其他交易。
因此,在安全云基础服务中,存储服务应以密文形式保存数据,相应的云访问控制服务的实现也与传统的访问控制模型(如基于角色的访问控制(RoleBasedAccessControl,RBAC)、基于属性的访问控制(AttributeBasedAccessControl,ABAC)、自主访问控制(DiscretionaryAccessControl,DAC)、强制访问控制(MandatoryAccessControl,MAC)等)有所不同,需要选择一种合适的、安全的访问控制模型,来保护数据的机密性和进行隐私保护。
针对这个问题很多学者进行了相关研究,相应地提出了访问控制的模型,但是没有很好地解决云计算资源访问中的问题。
文献[3]中提出一种基于行为的并且将BLP(BellLaPadula)模型与Biba模型有机结合的访问控制模型,来动态调节主体和访问范围,保证了数据保密性和完整性,但是降低了其上读,下写”的可用性;
文献[4]考虑了云计算虚拟化和弹性的特点,在RBAC模型中引入了动态可变机制和主客体安全等级,具有一定的灵活性,但是用户的权限没有动态的改变,不能满足云计算中数据的动态变化;
文献[5]提出一种软件即服务(SoftwareasaService,SaaS)平台下基于RBAC的访问控制模型,该模型根据多租户的云计算环境与普通Web项目环境中角色的不同,提出一种拓展角色的访问控制模型,该模型从增加角色的角度改进,但没有考虑租户角色的动态变化和角色权限的动态变化;
文献[6]提出一种解决云计算基础设施服务安全问题的访问控制模型,设计了两种访问控制模型解决服务层用户权限管理以及资源层通信和调度问题;
文献[7]中提出了一种多租户的访问控制模型,以解决云服务系统中多租户环境下复杂的资源访问控制问题;
文献[8]提出的TARBAC模型使传统模型的认证得到完善,引入可信度和属性的概念对传统的授权机制进行扩展;
文献[9]中为加强云计算的安全,提出一种基于DS(DempsterShafer)证据理论和滑动窗口的信任模型。
RBAC[10]模型采用了角色这一个概念,将用户映射到角色中,用户通过角色获得权限授权。在RBAC模型中,用户与角色的指派之间没有引入用户的可信度,用户只要获得角色指派,就可以获得角色对应的操作权限授权。当用户实施某些恶意行为时,用户对客体资源的操作会给系统带来极大的威胁性,危害到服务安全,很难保障系统资源的安全。
文献[11]讨论了在计算环境下,评估用户行为信任和评估策略的重要性,并且分析了用户行为信任的原则、基本观点和评估方法。本文针对云计算服务的特点和安全需要,为解决传统的访问控制模型中角色的权限由系统管理员直接赋予的缺陷以及无法动态改变的问题,结合以上介绍的研究成果,在保证RBAC完整性的基础上,提出了一种基于用户行为信任的访问控制模型,将RBAC中权限的授权与用户行为的信任值相结合,综合评估云计算用户行为信任值,将其用于对角色进行动态地授权,解决用户访问云计算资源访问控制中的授权问题。
1基于用户行为信任的访问控制
在云计算的环境下,由于主体的行为具有一定的动态性和模糊性,即使用户的身份可信,其行为仍然存在相当程度上不确定性,甚至存在某些破坏云计算安全的行为。本文设计的访问控制模型针对云计算中访问资源时存在的问题,为了提高用户数据的安全性,保证用户的数据不会被非法的人或者实体访问,对传统的RBAC进行了改进。当用户发出访问系统资源的请求时,根据用户行为证据计算用户的直接信任值以及推荐信任值,然后加权获得该用户的综合信任值,接着根据信任值决定信任等级,进行用户角色的激活以及角色授权,如果用户角色的权限满足云计算服务资源的要求则可以得到请求的资源;云服务在用户访问时都进行上述过程,只有在访问资源时才激活角色,以及给用户的角色赋予权限,动态地改变角色的权限,从而动态地调节用户对云计算服务中资源的访问。该模型如图1所示。
3.3模型分析
3.3.1安全可信性
在传统RABC基于用户身份验证的基础上,增加了用户行为信任值的评估过程,首先使用信任值激活角色能够保证访问云服务的用户是可信的,将非法的恶意行为用户拒绝在云计算系统之外,防止了非法行为对系统的危害;同时利用信任值大小进行授权,而不是在用户注册时云服务的系统管理员直接分发权限,避免了在传统的RABC中角色由系统管理员指派和内部人员可以非法改动用户数据的缺陷,使得用户及所在终端平台在接入云服务进行资源访问控制时的安全性和可靠性得到大大增强。
3.3.2动态性
传统的RBAC模型是一个静态的授权模型,由系统管理员为用户静态指定,其中包括两个静态的指派环节:用户角色分配和角色授权。本文中的模型在两个指派环节中分别引入了信任值的概念,使整个访问过程可以动态进行。在激活角色及授权过程中,动态收集数据,计算出信任值,再动态地激活用户在系统中的角色,进而动态授予不同的权限,这样使得用户的权限在时刻地变化。
4结语
本文针对云计算环境的特点和安全问题,为解决传统的访问控制模型无法动态调节角色的访问权限的问题,提出了一种基于用户行为信任的访问控制模型,分析了用户行为证据的特点,引进FAHP完成了用户行为信任值的计算,阐述了该模型的组成和授权的规则,并说明了用户访问云服务资源的过程。实验表明,该模型可以有效地实现用户行为的评估,还可以阻止有非法行为的用户访问资源。下一步的工作将考虑更加精确地划分信任等级和在云服务不可信的情况下,对访问控制模型的改进。
参考文献:
[1]MELLP,GRANCET.TheNISTdefinitionofcloudcomputing(draft)[J].NISTSpecialPublication,2011,800(145):7.
【http://nist.gov/itl/cloud/】
.软件学报,2011,22(1):71-83.)
[3]LING,HES,HUANGH,etal.Accesscontrolsecuritymodelbasedonbehaviorincloudcomputingenvironment[J].JournalonCommunications,2012,33(3):59-66.(林果园,贺珊,黄皓,等.基于行为的云计算访问控制安全模型[J].通信学报,2012,33(3):59-66.)
[4]ZHAOM,YAOZ.AccesscontrolmodelbasedonRBACincloudcomputing[J].JournalofComputerApplications,2012,32(S2):267-270.(赵明斌,姚志强.基于RBAC的云计算访问控制模型[J].计算机应用,2012,32(S2):267-270.)
[5]ZHUY,ZHANGJ.ResearchonaccesscontrolofSaaSplatform[J].ComputingEngineeringandApplications,2011,47(24):12-16.(朱养鹏,张璟.SaaS平台访问控制研究[J].计算机工程与应用,2011,47(24):12-16.)
[6]MAQ,AIZ.Accesscontrolmodelsforcloudcomputing[J].ComputingEngineeringandDesign,2012,33(12):4487-4492.(马强,艾中良.面向云计算环境的访问控制模型[J].计算机工程与设计,2012,33(12):4487-4492.)
[7]JINS,CAIH,JIANGL.Researchonmultitenantserviceorientedaccesscontrolmodel[J].ApplicationResearchofComputers,2013,30(7):2136-2139.(金诗剑,蔡鸿明,姜丽红.面向服务的多租户访问控制模型研究[J].计算机应用研究,2013,30(7):2136-2139.)
关键词:BP神经网络;云计算;访问控制;信任阈值
中图分类号:TN92?34文献标识码:A文章编号:1004?373X(2017)03?0062?03
Designandimplementationofcloudcomputingaccesscontrolsystembasedontrust
YUYe1,GUOZhicheng2,WANGLianzhong1,JIABo1,LIUSiyao1,LIUJun1
(1.InformationandCommunicationCompany,StateGridNingxiaElectricPowerCompany,Yinchuan750001,China;
2.LanzhouJiaotongUniversity,Lanzhou730070,China)
Abstract:Inordertoovercometheshortcomingthatthetraditionalanalytichierarchyprocess(AHP)can′tcalculatethetrustvaluequicklyandaccurately,thetrustvalueevaluationmodeloftheclientandsupplierwasconstructed,andtherelatedmethodbasedonneuralnetworkwasintroducedtocalculatethetrustvalueoftheclientandsupplieraccesscontrol.Thesimulationresultsshowthat,incomparisonwiththeAHPevaluationmethod,themethodbasedonBPneuralnetworkhashighercalculationaccuracyandshortercalculationtime,andcanimprovethesecurityofthecloudcomputinggreatly.
Keywords:BPneuralnetwork;cloudcomputing;accesscontrol;trustthreshold
0引言
云算作为一种新型的计算模式,也是一种基于网络的新型商业服务模式,能够为用户提供强大的虚拟化、可扩展性的网络服务资源,但同时也面临着严峻的安全挑战。访问控制技术是保障云计算安全的重要措施,其主要包括主体、对象、操作和访问控制策略四个部分,如图1所示。直接将传统的访问控制模型应用到云计算环境并不能有效地解决云计算开放环境所面临的不确定性及脆弱性问题。
在访问控制系统中引入信任的概念,其实就是根据以往的历史记录来预测将要进行的访问控制活动可能产生的结果,从而对访问控制活动得出指导性的意见,基于信任的访问控制模型中,信任值是一个通过历史交互记录来不断调整的值,是整个访问控制的核心。
目前在云计算安全中常用的基于信任访问控制的系统模型如图2所示。
该模型的核心是通过对信任阈值进行计算来决定用户访问权限和云服务节点的选取。目前,对信任阈值的计算常采用预设值法和AHP分析法,前者在一定时间内为一个定值,安全性较差,目前已经很少采用;AHP分析法也存在构建模型的权值、计算较为复杂和响应时间较长等缺点。本文借鉴相关研究的思想,采用BP神经网络的方法对信任值进行动态评估,可以通过不断地权重调整,实现信任阈值的不断动态变化,从而适应复杂的云计算安全环境[1?2]。
1信任阈值的计算模型
云计算的主要交互实体是云用户和云服务供应商,其所涉及的相关环境较为复杂,要准确地对其信任值进行计算,必须建立一个合理的可以描述主要安全影响因子的评价指标体系。本文根据云用户和云服务供应商在云计算过程中的不同角色,分别对影响其安全性和信任值计算的指标[3?4]进行分析,如图3,图4所示。
由图3和图4可知,本文构建的两个信任度评价指标均包含6个2级评价指标。
为了更为直观地表示用户和服务供应商的信任值情况,采用李克特量的评分分级标准,分为安全、一般和危险三个等级进行评判,为了方便计算,将其进行量化处理,对其赋值为3,2,1,具体评价等级对应的数字标准,如表1所示。
本文先采用层次分析法对信任度进行计算。分别对用户和供应商信任度的评价指标构造权值判断矩阵,可以计算出每个分量对总信任度的影响权重,再对获得的权值矩阵进行一致性检测,计算权值的有效性。
2神经网络模型的建立
采用AHP计算法可以将影响客户和供应商总信任值的各个因素考虑在内,评价精度也不错,但其需要反复计算各个影响因子的判断矩阵,运算量较大,响应时间较长,准确率也有待进一步提高[5]。因此,本文引入BP神经网络的方法对这两个云服务参与主体的信任值进行分析。
考虑到网络的收敛性和运算速度,本文采用含一个隐藏层的神经网络结构进行分析,由于两个信任值的输入单元的数目均为6(即6个2级影响因子),输出单元均为1(即信任值),根据经验公式可选隐含层单元数为1~8之间的整数,采用试凑法得到隐含层神经元与均方平均值(MSE)的曲线关系,如图5所示。其中隐层神经元数目为4时,得到的均方误差(MSE)值最小为32,所以确定的隐含层神经元数为4。
本文所用BP神经网络结构参数如表2所示。
由于客户和运营商的2级评价指标的类型不同,在进行AHP计算和神经网络的仿真实验时必须先对这些原始数据进行预处理,再按照神经网络建模的要求进行归一化处理[6]。
3仿真试验
本文分别对客户和供应商两种云计算参与主体的信任值进行计算,并比较采用AHP层次分析法和BP神经网络对信任值进行判断的差异。
3.1实验环境
本次实验的硬件平台为Inteli74.8GHz,32GB内存和5TB硬盘的计算机;软件环境为Matlab2014和CloudSim3.0版本。
3.2试验数据来源
为了获得在云计算服务过程中,用户和云计算供应商的安全性和信任情况,本文利用CloudSim软件构建了一个云计算服务平台。该仿真平台共包含2000个云节点,其中云服务节点300个,云用户节点1700个,在单位[t]时间内,设置节点两两交互100次来仿真此环境中节点交互的情况。
在Matlab2014中分别输入仿真样本向量,对BP网格进行训练,定义期望误差为10?5。训练过程中,客户和供应商信任值的仿真神经网络误差的变化情形如图6,图7所示。
由图6,图7可知,二者分别经过23次和84次迭代之后达到了满意的期望误差。
为了进一步研究BP神经网络和AHP层次分析法在云计算信任值中的计算性能,本文采用检测准确率和检测时间两个性能指标对其进行评价,两种云计算参与主体的信任值计算结果如图8,图9所示。
由图8和图9可知,BP神经网络相对于AHP哟畏治龇ㄔ诙栽萍扑憧突Ш凸ι探诘愕男湃沃灯兰鄯矫妫在大大提高正确率的同时,大幅度降低了信任值所需要的时间,提高了云计算服务的检测效率。这是因为相对传统的AHP算法,BP神经网络的非线性拟合和自适应能力更强,可以找到最优的神经网络连接权值和阈值,从而获得更加理想的云计算信任值的计算结果。
4结论
本文针对传统信任值估算方法存在准确率低和计算时间慢等缺点,采用神经网络的相关方法对本文构建的信任值指标体系进行评估。通过仿真实验表明,采用BP神经网络访问控制的信任值计算系统和AHP层次法的计算结果相比,具有较高的计算正确率和较短的计算时间,可以大大提高云计算过程中访问控制的效率,从而大大提高其安全性。
参考文献
[1]赵山杉.云计算环境下基于信任的动态访问控制研究[D].包头:内蒙古科技大学,2013.
[2]周飞.基于BP神经网络的云计算检测方法研究[J].计算机应用研究,2016(4):243?249.
[3]李远.云计算中访问控制的指标体系研究[J].系统仿真学报,2015(27):48?55.
[4]GHOSHAK,SEHWARTZBARDA.Astudyusingneuralnetworksforanomalydetectionandmisusedetection[C]//Procee?dingof1999EighthUSENIXSecuritySymposium.Berkeley:ACM,1999:914?922.
摘要:近年来,电子政务在我国的发展比较迅速,但电子政务的评估研究比较滞后。电子政务项目的评估不仅仅包括实施前的评估,还
>>基于电子政务的政府绩效评估基于数据挖掘技术的电子政务基于服务过程的电子政务服务质量评估模型研究基于文本分析和管理创新视角的电子政务评估体系研究基于目标分解的电子政务绩效评估模式研究基于关键特征的地区电子政务绩效评估方法研究基于数据包络分析的省级电子政务绩效评估研究基于电子政务的社会文化系统设计与实现基于MPLSVPN技术的电子政务网络平台的设计与实施基于AJAX技术和MVC设计模式的电子政务系统的设计与实现基于WebService技术的电子政务数据交换平台的实现基于安全技术的电子政务系统的建立与维护基于Petri网的工作流技术在电子政务中的应用基于GAP技术的电子政务安全解决方案的研究基于XML技术的电子政务WEB数据挖掘研究基于工作流技术的电子政务系统设计与实现基于网络信息技术的电子政务系统研究基于云计算的高校电子政务安全技术研究浅谈基于云计算技术的电子政务建设基于多Agent技术的电子政务系统研究常见问题解答当前所在位置:
[3]CIO时代网.国外典型的电子政务绩效评估框架[EB/OL].(2009-12-03).[2013-7-11]..
[4]秦浩,刘红波.国外电子政务绩效评估的最新进展及启示——以埃森哲和联合国为例[J].电子政务,2013(2).
[5]王求真.基于社会-技术模型的信息系统开发项目的风险因素分析[J].情报科学,2005(9).