作者:张毅
当前对用户行为对云环境安全所造成的风险和危害进行可信评估尚是一个研究的新方向,众多学者对此进行了积极的研究。
云环境受到的入侵具有随机性,对网络风险的评估也一般用自然语言(如危险、安全)来描述,具有一定的模糊性,且随机性和模糊性之间具有一定的关联。此外,风险程度是定性概念,而引起网络风险变化的各个参数的值是定量的。因此,模糊理论是解决上述问题的一种理想方法。
目前就云环境用户行为安全评价问题取得了以下研究成果:林闯等人提出了用户行为信任的评估与预测,并提出了基于双滑动窗口的量化用户行为评估机制。冯登国等人提出证据量化的思想,为其他学者研究用户行为安全奠定了证据量化研究的基础。文献[3]阐述了网格计算和下一代云计算的技术解决方案和组织管理的挑战,并在4个案例中提到从网格计算过渡到云计算技术过程中的信任管理。文献[4-6]提出了云环境下的信任演化以及服务选择,研究了实体信任评价以及可信访问策略。陈亚睿等人提出用基于重复博弈的方法反映用户的信任程度。周茜等人采用层次分析法( AHP)模糊理论架构给出了云环境下用户安全防御模型,但采用了3标度法,分析问题主观性过强且不够准确。田立勤等人基于传统模糊层次分析法( FAHP)建立了云环境下基于信任的防翻模型以解决用户信任问题,采用基于三角模糊数的模糊网络分析法来反映专家评判的模糊性,弱化了单纯使用层次分析法的主观性,且对网络用户行为各属性的权重进行了量化计算.使评判结果更加客观。该模型的评价结果为基于动态信任的安全控制提供了量化分析的基础,为服务提供者采取更加安全的策略以响应用户请求提供了量化依据,但该模型可能存在判断矩阵收敛时间问题,且缺乏仿真实验支持其结果:
综上昕述,现有的对用户行为综合评价的方法、模型存在的不足是人为主观性过强、准确度不高。针对以上问题,文章提出一种基于主观推断模糊层次分析法(IFAHP)的云安全模型,结合实际问题的模糊性及随机性对网络主要不安全因素进行定性、定量分析,在评判因素权重时给出算法修正初始判断矩阵,降低人为主观因素的影响;评估用户在使用云服务时的可信程度,并以此结果作为云服务提供商的决策依据,降低用户的非法行为对云环境造成的风险及损害。
1用户行为信任模型
1.1模型相关概念定义
定义1用户行为云环境中的用户在使用云服务的一段时间内所进行的单个操作或一系列操作集合。
定义2用户行为证据数值云服务提供商的用户行为信任评价指标经过一定处理得到的具体化值。
定义3用户行为特征向量云服务提供商的用户行为证据数值构成的一个多元组,以向量形式表示。
定义4信任中心用于存放用户行为信任值的存储单位(不同的信任值隶属于不同的信任等级),负责在用户接入云服务时查询信任最新状态并将用户行为的信任等级返回给用户和数据中心,用户根据自身信任等级获得不同程度的云服务系统权限。
定义5用户行为证据数据库专门存放测得的用户行为证据数值的数据库。
定义6数据中心云服务提供商向用户提供资源、应用服务和用户数据存储的设施。
1.2模型基本框架
模型基本框架由5部分组成(如图1所示):用户、用户行为证据监控模块、信任中心、用户行为证据数据库和数据中心。
模型的模拟逻辑过程为:用户接入云服务端,与信任中心进行交互,信任中心查询其信任值和信任等级反馈给用户和数据中心,数据中心根据用户行为的信任等级给出相应的服务权限等级并开始提供服务,在此过程中用户行为证据监控模块获取用户的行为证据并进行相应处理,处理后的行为证据由信任中心转存至用户行为证据数据库。
1.3用户行为信任评价综合指标体系
首先将用户行为分解为因素集,可有效解决用户行为评价的模糊性和随机性。本文用户行为信任评价综合指标体系按云环境计算特点可分为两层(如图2所示)。
第一层指标有两个:安全属性(Ul)和性能属性(U2)。安全属性与性能属性息息相关,恶意用户在云环境中采取手段进行攻击或其他非法行为时,性能属性也会随之发生异常。U1的下层指标参考典型的用户危害云环境安全的行为可细分为4个:用户访问系统敏感文件和目录的频次(U11、用户尝试越权次数( U12)、用户登录失败频次(U13)、用户扫描端口频次( U14)。U2下层的4个指标为用户平均丢包率(U21)、用户CPU平均利用率(U22)、用户平均带宽传输率( U23)以及用户平均连接时延(U24)。
1.4用户行为信任等级评价集
与传统模糊评判不同,本文将用户行为信任等级l(t)分为4等,即l1不可信用户;l2低可信用户;l3中可信用户;l4高可信用户。具体定义如下:
其中,f为用户行为信任值(用户行为信任值计算见公式(11))。用评价集(l1,l2,l3,l4}表示用户行为的可信程度。
用户行为信任等级不同,被赋予的服务使用权限也不同。例如,可以采取如下服务策略:不可信用户被拒绝访问服务,低可信用户获得只读服务权限,中可信用户可渎可写文件,高可信用户不仅可读可写文件,且优先获得服务资源。也可以根据具体服务系统给出不同的服务策略。传统模糊评判给出的是一组向量值,每个向量值表示相应评价等级的隶属度(即属于相应评价等级的程度),采用最大隶属度原则对目标进行评判。例如,系统对某一用户的评价为{0.26,0.25,0.25,0.24l,表示属于不可信用户的程度为0.26,属于低可信用户的程度为0.25,属于中可信用户的程度为0.25,属于高可信用户的程度为0.24,根据最大隶属度原则,用户被评价为不可信用户,但每个评价等级的隶属度相差很小,结果显然不够准确。因此本文采用用户行为信任等级评价集进行整体评价。
2主观推断模糊层次分析法
现实情况中,在构造初始判断矩阵时,决策者会根据经验给出一个离散值来表征某因素和其他因素之间的优先关系。传统AHP方法中,决策者通常给出一个单值函数来表征某因素i和因素j之间的优先关系。问题在于,单值函数无法同时表示因素i和因素,之间如下优先关系:因素i较因素j的优先程度、因素i较因素,的非优先程度、因素j较因素i,的不确定性程度,并且直接给出单值函数可能会因为决策者认识的局限性或问题本身的局限性而导致因素之间优先关系判断结果不准确。因此,传统AHP方法解决构造初始判断矩阵这类问题的精度不高。Antanassov将Zadeh模糊集扩展为主观推断模糊集( intuitionistic fuzzy set,IFS),用三元组(成员函数,非成员函数,不确定函数)表示因素之间优先关系判断结果。基于A ntanassov提出的方法,本文构造初始判断矩阵的方法是:因素之间的优先关系以二元组(成员函数,非成员函数)的形式表示,用成员函数表示因素i较因素j的优先程度,用非成员函数表示因素f较因素,的非优先程度(也即因素i,较因素i的优先程度),因素i较因素j间的不确定程度可由因素i较因素i,的优先程度和非优先程度计算得出。
2.1层次因素判断矩阵
传统AHP方法是把复杂问题中的各种因素划分为相互联系的有序层次,使之条理化,对同一层次因素两两比较的重要性进行定量描述。通常决策者使用Satty-9标度法给出两两因素之间相比的重要性,如表1所示。
其中,
2.2层次因素权重计算
本文采用自上而下的方法计算各层因素的权重。得到正确的判断矩阵后,可以通过矩阵中的元素来确定各个因素在指标体系中该层的相对权重以及在指标体系中的总体权重。
同一层次的因素之间相比较时,首先计算某因素(因素i)较其他所有同层因素的优先程度,再除以该因素较其他所有同层因素的不确定性程度(1减去非优先程度部分)之和,就得到了因素i的置信程度,如公式(6)所示。
因素i的相对权重w:指该因素的置信程度在同层所有因素置信程度中的比重,如公式(7)所示。
假设体系模型被分解为七层,每层有若干个因素,则第m(1<m<k)层的第i个因素的总体权重计算如公式(8)所示。
(3)U2下层指标间的判断矩阵A3
2)构造修正后的判断矩阵
根据公式(2),初始判断矩阵经修正后得到的判断矩阵如下。
单个用户与云眼务器进行交互时,每单位时间内交互一次,随着交互次数的增加,用户恶意行为比率不断升高,根据每次交互时的比率计算得到该用户的用户行为信任值。图4为用本文方法(用IFAHP表示)与用文献[8]中的AHP、FAHP方法计算得到的用户行为信任值的比较结果。
云服务器根据信任值及时调整用户可获得的服务权限。由图4可以看出,3种方法都是随着用户恶意行为比率的上升,信任值逐渐下降。显然AHP方法存在较差的适应性,用户恶意行为比率上升时,用户行为信任值下降缓慢;FAHP方法较AHP方法有大幅度改进;IFAHP方法较FAHP方法则更进一步改进,有利于更快发现恶意用户,对恶意用户的服务权限及时更新,降低云环境的风险。
2)恶意用户检测率随恶意用户比例的变化研究
恶意用户检测率反映的是检测出的恶意用户数量占所有恶意用户数量的比例,是用户行为检测的一个重要指标。恶意用户比例是指实验中设定的恶意用户数量占所有用户数量的比例假定综合信任值低于0.5的用户被判定为恶意用户,本实验研究在不同恶意用户比例下的恶意用户检测率:
本实验中用户分为两种:正常用户和恶意用户,并且对他们设定不同的用户恶意行为比率。正常用户只在少数情况下出现指标评分低的情况,用户恶意行为比率设定为5%。恶意用户企图攻击、盗取系统或其他用户信息,用户恶意行为比率较高,设定为50qo。
图5为用本文方法(用IFAHP表示)与用文献[13 -15]中的算法(用BAM表示)、经典的PTM模型以及基于多维决策属性的用户行为评估模型( MDA)得到的恶意用户检测率的比较结果。
由图5可知,4种方法都是随着恶意用户比例的上升,恶意用户检测率逐渐下降,其中MDA模型和PTM模型的恶意用户检测率下降明显,原因是:使用MDA模型和PTM模型计算用户行为信任值时,采用的是几何加权平均的方法,当恶意用户比例上升时,恶意用户的一些指标与正常用户有较大的差别,使得恶意用户的行为证据数值在所有用户行为证据数值中的比重越来越大,从而导致正常用户与恶意用户的平均用户行为信任值差距缩小。文献[13 -15]中的BAM算法的前提是云服务过程划分为若干部分进行分布式认证,最后对证据数值进行综合认定,保持了较高的稳定性,从而显著提高了恶意用户检测率。本文方法在构造用户行为特征向量时具有更精确的特点,结合云计算系统稳定状态时的用户行为证据数值计算方法,进一步提高了恶意用户检测率。
两个实验结果表明,当用户恶意行为比率上升时,用户行为信任值大幅度降低;当恶意用户增多时,虽然恶意用户检测率有所下降,但仍维持在一个较高的水平。由此可见,本文模型可以有效检测出恶意用户。
4结束语
当前云计算环境安全面临新的挑战,对云终端用户行为进行评估,是有效解决用户对云环境造成危害的方法之一。文章通过对传统的AHP方法进行改进,建立了基于IFAHP的用户行为信任模型,减少了决策者以及专家个人评价的主观性,较好地保证了评价结果的准确性以及精度。本文采用的用户行为信任等级制度为云服务提供商提供了科学合理的量化决策依据,不同信任等级的用户被赋予不同的权限,降低了低权限的用户对云环境造成危害的程度。实验结果表明,本文模型能够有效检测出云环境中的恶意用户,提高云环境的安全。
对于实际云环境大型分布式系统而言,硬件发生错误是常态,因此实际系统存在较小概率的误报率和漏报率问题。本文模型为理论理想模型,因此下一步将研究云环境中的误报率和漏报率对系统和用户的影响。
5摘要:云计算环境下,用户行为会对云环境造成安全问题。考虑到这些安全问题所具有的随机性和模糊性,结合可信云的思想,文章提出利用改进后的层次分析法进行建模,实现采用基于主观推断模糊层次分析法( IFAHP)的模型评价用户在使用云服务时行为的可信程度。该模型将用户行为按层次分解为若干因素,通过比较因素之间的优先程度、非优先程度以及不确定性程度,修正了决策者、专家给出的初始判断矩阵,从而得到更为合理的判断矩阵,减少了云服务提供商和决策者在分析时的主观影响;逐步确定各因素的权重,提高了因素的客观性和量化特性:通过模型计算得到用户行为信任值,通过信任等级赋予用户不同的权限,降低用户对云环境安全的影响。实验结果表明,该模型能够有效检测出云环境中的恶意用户,提高云环境的安全。
下一篇:返回列表
