第3l卷第6期
2011年6月
计算机应用
JournalofComputerApplications
V01.31No.6
June2011
文章编号:1001—9081(2011)06—1531—05 doi:10.3724/SP.J.1087.2011.01531
云计算下基于信任的防御系统模型
周 茜,于 炯
(新疆大学信息科学与工程学院,乌鲁木齐830046)
(zhouqian@xju.edu.cn)
摘要:由于云计算的动态性和开放性,云环境中频频出现恶意攻击行为,为了保障云计算的安全,结合可信云
的思想,提出一个云计算下基于信任的防御系统模型。该模型通过实时监控获取用户的行为证据并加以规范;提出
一种新的基于模糊层次分析法(FAHP)的用户行为信任评估
,逐步确定各行为证据的权重,实现行为信任的科学
量化评估;利用多种检测引擎对可疑文件进行全面检测和综合决策,为云中用户提供最大限度的安全防御。实验结
果表明,该系统模型能有效消除不良用户的恶意攻击行为、降低病毒等给用户带来的损失,达到云端和客户端双向防
御的目的。
关键词:云安全;可信云;信任;行为证据;模糊层次分析法;多检测引擎
中图分类号:TP393.08文献标志码:A
Defensesystemmodelbasedontrustforcloudcomputing
ZHOUQian,YUJiong
(co£姆ofInformationScienceandEngineering,XinjiangUniversity,UrumqiXinjiang830046,China)
Abstract:Becauseofthecloudcomputing'scharacteristicsofbeingdynamicandopen,continuousmaliciousattacks
happenfrequently.Withtheideaoftrustedcloud,adefensesystemmodelbasedontrustforcloudcomputingWasconstructed
toguaranteethecloudsecurity.Throushreal·timemonitoring,users’behaviorevidencescouldbeobtmnedandstandardized;
anewmethodforusers’trustevaluationbasedonfuzzyAnalyticHierarchyProcess(AHP)Waspresented,whichgradually
determinedthewei【ghtsofbehaviorevidences,achievedquantitativeassessmentofbehavioraltrust;soastoprovidegreat
securitydefenseforusers.Besides,multipledetectionengineswereusedtoconductacomprehensiveinspectionofsuspicious
filesandtomakeintegrateddecisions.neexperimentalresultsshowthesystemmodelCalleffectivelyeliminatethemalicious
behaviorsfromundesirableusers,reduceuser8’damagescausedbyvirusandachieveatwo—waydefenseforbothcloudand
client.
Keywords:cloudsecurity;trustedcloud;trust;behavioralevidence;FuzzyAnalyticHierarchyProcess(FAHP);
multi【piedetectionengine
0 引言
面对不断发生的恶意攻击,简单的入侵检测、病毒检测和
安全登录
已经无法应对随机多样的网络攻击和破坏行
为,云安全计划和可信云⋯理念应运而生。云安全意在消除
网络中已经存在的病毒、木马和恶意文件;而可信云则是从用
户终端安全人手,结合可信网络旧。的思想,对用户行为进行
评估、预测、监控和管理,尽量消除不良用户和黑客在云端互
动环节中对数据中心的恶意攻击行为,提升云环境的安全性。
近年来,许多学者展开了对信任机制的研究,以弥补传统
安全机制未考虑用户行为信任的缺陷。文献[3]中提出了网
格环境下的基于模糊逻辑的动态信任模型,该模型具有较好
的恶意实体检测能力和抵御能力。其不足之处在于计算的收
敛性和系统的可扩展性较差,而且没有考虑间接信任值的计
算,不能反映信任值的全局可信性。Power-Trust一1是基于幂
率分布的P2P声誉系统,该系统利用幂次法则收集本地节点
反馈,通过排队机制产生超级节点获取全局声誉,明显提高了
全局声誉的精确性和聚合速度。文献[5]引入向量运算机制
来建立信任模型,其最显著的特点是引入信任因子、历史因子
和时间因子来反映信任关系动态性,但无法解决推荐时的欺
骗行为,且没有进行风险分析。文献[6]提出了一个新的基
于多维决策属性的信任关系量化模型,引入直接信任、风险函
数、反馈信任、激励函数和实体活跃度等多个决策属性,从多
个角度推理和评估信任关系的复杂性和不确定性。
通过对现有信任模型的分析、比较,以及对可信云和云客
户端信誉技术‘¨的研究,本文改变了传统各自为营的网络防
御思路,构建出一个云环境下基于信任的防御系统模型,将网
络安全防御功能以服务的形式提供给终端客户,为云中用户
提供最大限度的安全防御。
1 防御系统模型的架构
云计算提供的网络服务、网络资源、网络应用和云客户之
间的协同依赖于它们之间建立的信任关系。本文在构建系统
模型时,借用了可信网络的思想,做到网络实体行为状态可监
测、行为结果可评估、异常行为可控制悼1。
1.1 防御系统模型的物理构建
该系统由云客户端(CloudClient,CC)、文件监测分析
(FileMonitorAnalyze,FMA)中心、行为监控(Behavior
收稿日期:2010—11—22;修回日期:2011-01—20。
基金项目:国家自然科学基金资助项目(60863003;61063042);新疆大学博士科研启动基金资助项目(BS090153)。
作者简介:周茜(1986一),女,湖北荆门人,硕士研究生,主要研究方向:网络安全、网格与分布式计算;于炯(1964一),男,北京人,教授,
博士生导师,主要研究方向:网络安全、网格与分布式计算。
万方数据
1532 计算机应用 第31卷
Monitor,BM)中心和信任管理(TrustManage,TM)中心组成。
其中,CC是位于客户机上的轻量级终端,其余部分均为云端
高性能大型服务器群。模型物理结构如图1所示。
图1 基于信任的防御系统物理结构
CC:负责提交可疑文件样本并执行最终决策。
FMA:由文件检测引擎和文件行为分析引擎组成。利用
虚拟化技术和多引擎检测机制,对上传的可疑文件进行全面
检测,并将检测结果返回给客户。
BM:由行为证据获取模块和行为证据规范模块组成。对
客户行为进行持续监控,获取并规范用户的行为证据。
TM:由行为数据库、行为信任评估模块和信任数据库组
成。储存用户的行为证据,对用户进行信任评估,并保存用户
的总体信任度。
1.2防御系统模型的逻辑构建
本文设计的系统模型充分利用了云的高计算力和存储力,
为海量客户端提供安全防御服务;同时,该系统对用户行为进
行监测、评估,尽量消除不良用户在云端交互中的恶意攻击行
为,以达到双向防御的目的。图2给出了系统模型的流程。
TrustManage
罂H茬鬏H擘
行为证
据获取
模块
FileMonitorAnalyze
募篓弦H蕊翁分析引擎j I检测引
81
10、
图2基于信任的防御系统流程
主要分为以下几个步骤:1)用户登录、接入云端,云端认
证授权模块查询信任管理中心,赋予用户信任级别和相应的
操作权限;2)行为监控中心对接入的客户进行持续监控,行
为证据获取模块获取用户的行为证据;3)行为证据规范模块
将获取的证据规范化;4)行为监控中心将规范化的行为证据
转存至信任管理中心的行为数据库中;5)信任评估模块采用
行为数据库中的数据对用户进行信任值的量化评价;6)信任
评估模块将客户信任值发送给信任数据库;7)认证授权模块
以信任管理中心产生的客户信任值为依据,为客户进行实时
授权;8)客户机通过云客户端向文件监测分析中心提交可疑
文件样本;9)文件检测引擎将无法判定的可疑文件交给文件
行为分析引擎进行实时动态行为分析;10)文件监控分析中
心将可疑文件的最终决策结果发送给云客户端,由客户执行
最终决策。
本文系统的处理流程由两条支线组成:1)~7)流程支
线,实现系统对客户的行为信任评价,以客户信任值为依据,
赋予客户相应的操作权限,达到为云端提供防御的目的;8)
~lO)流程支线,由终端用户向云端提供文件样本,云端对恶
意文件进行检测、分析,建立最新、最完备的可信/恶意文件数
据库,为云中用户提供最大限度的防御。
1.3 防御系统模型的相关描述
定义1 设度量用户的信任程度有m项测量指标,即m
种行为证据E={E。,易,⋯,E。},其测量值表示为,={,.,
,2,⋯,,。}。设彬;(1≤i≤m)表示第i个证据相对于其他证据
的重要程度,且满足:
∑1‘J。=1;0≤W。≤1。
定义2 设n表示云端对客户的总体行为信任评价,记
为总体信任度(OverallTrustDegree,OTD),OTD是客户与云
端交互过程中权限获取的依据。
定义3 设行为信任等级划分空间为c,记作C=}c.,
C:,⋯,C,},分别表示n的P+1个信任级别,其中0
c(J) (5)
00, c(i)c(歹)表
示证据epi比哪重要;c(i)c(S,)>c(只),同理其权重向量计算结果为:w;=
{0.208,0.333,0.333,0.125}7。用户行为特性重要性为
c(P)通知认
证授权模块,认证授权模块及时修改授予客户的服务级别。
3)本文系统使用的多种检测引擎及其准确率Per如
下¨⋯:GData(Per=99.9%)、AntiVir(Per=99.8%)、
AVAST(Per=99.3%)、Norman(Per=96.6%)、TrendMicro
(Per=90.3%)、Kingsofl(Per=80.1%)。
5.2信任评估实例计算
行为监控中心获取某客户机半小时内的12种证据(图3
证据层),经2.2节规范化后得到的平均证据值为:P={P.,
P2,P3,P4,P5,P6,P7,P8}={0.62,0.51,0.88,0.83,
0.74,0.67,0.73,0.54},S={s1,s2,s3,s4}={0.33,
0.28,0.15,0.08}。
利用3.2节
分别确定性能特性和安全特性的权重,
以性能特性为例进行说明:经验表明,IP包响应时间、口传输
率、吞吐率和带宽占有率最能反映用户的性能特性,同等重
要,即[c(P,)=c(P4)=c(P6)=c(P7)]>[c(P2)=
c(P8)]>[c(p,)=c(P5)]。由式(5)构建初始判断矩阵:
EP=
由式(6)转换成模糊一致矩阵:
0.5 O.8125O.5 O.5 0.6875
0.31250.6250.31250.31250.5
0.18750.5 0.18750.18750.375
0.5 0.81250.5 O.5 0.6875
0.1875 0.5 0.18750.18750.375
0.5 0.81250.5 0.5 0.6875
0.5 0.81250.5 0.5 0.6875
0.31250.6250.31250.31250.5
基于AHP机制的相比,信任值下降幅度大且更加符合人的推
理过程。再结合5.1节的设置可以发现,FAttP机制能比
AHP机制更早更快的监测出信誉度低的用户,有利于认证授
权模块及时更新客户的服务级别,降低云端的风险。
冀
叁
恶意行为比率
图4某客户机信任值变化
在利用FAHP构造初始判断矩阵时,由于决策者具有主
观性,每个元素的确定都应由多个专家综合评定。构造判断
矩阵还要考虑客户所处的环境,当客户在不安全的环境(如
O●O●●n
5
5
5
5
n
0
O
n
O
n
n
O
5
5
5
5
m
O
O
n
O
n
n
O
5
5
O
0
5
5
5
5
¨o
o叭o
n
n
o
5
5
O
O
5
50●O●●n
5
5
5
5
n
O
0
n
0
n
n
0
∞笛5∞5∞m笱龇施㈦趴n盯趴帕
叫m
o㈦o
n
n
m|耋咐l号|薹l号{薹|薹¨
m
0
n
0
n
n
万方数据
第6期 周茜等:云计算下基于信任的防御系统模型 1535
网吧)中时,安全特性就比性能特性重要。因而对同一个客
户而言,即使获得相同的证据,环境不同时判断矩阵就会不
同,其行为评估值也不同。
实验二基于多引擎和单引擎两种不同模式下的可疑文
件检测结果对比
客户向云端上传100个可疑文件,交由本文系统的FMA
进行全面检测。分别就以下三种情形进行实验:1)利用本文
提出的多引擎检测机制对可疑文件进行全面检测并确定文件
信任等级;2)、3)均为基于不同单引擎的检测,以作为第一种
情形的参照。可疑文件检测结果对比如表l所示。
表1可疑文件检测结果 %
由表1可以看出,对于相同的可疑文件样本,不同的检测
引擎(AntiVir和AVAST)得出的检测结果差别很大,这样就
可能将Trusted文件误判为Malicious,进而影响客户对可疑文
件的最终决策。而本文系统是基于多引擎检测机制,并对检
测结果进行了综合决策,可以有效避免上述情形的发生。
5.4性能对比
利用AI-IP确定证据权重时,需要进行一致性检验。由于
AHP使用九标度构造判断矩阵,过多的主观判断极易带来偏
差,使判断矩阵不满足一致性条件。此时,需要数位专家的重
新判断和多次迭代计算对它进行调整,当证据层过大、判断矩
阵阶数较高时,也就意味着计算和通信开销大。本文在实验
中发现,基于AHP的信任评估机制在构造满足一致性条件的
判断矩阵时,平均调整次数为一3次。
本文采用的FAHP方法无需迭代计算,仅1次即可构造
出满足一致性条件的模糊一致矩阵。因此在相同计算和通信
开销的情况下,本文模型的计算时间可以缩短1/3,能对用户
的信任级别和权限作出更快地判断。因此,模型实现复杂性
和时间开销大大降低。
证据的多样性,为了使行为信任评估更加科学、精确,该系统
模型引进模糊层次分析法实现行为信任的量化评估;考虑到
病毒等对用户造成的巨大损失,该系统模型利用多种检测引
擎对可疑文件进行全面检测。实验表明,该模型不仅能对用
户行为进行有效地监控、评估,还能为用户提供安全防御服
务,实现双向防御。
参考文献:
【1】 李虹,李吴.可信云安全的关键技术与实现【M】.北京:人民邮
电出版社,2010.
【2】 林闯,彭雪海.可信网络研究【J】.计算机学报,2005,28(5):751
—758.
[3】 SONGSS,HWANGK.Fuzzytrustintegrationforsecurityenforce—
mentingridcomputing[C】//NPC2004:ProceedingsoftheInterns—
tionalSymposiumonNetworkandParallelComputing.Berlin:
Spfinger-Veflag.2005:9—21.
【4】 ZHOURONGFANG,HWANGKAI.Power-Trust:A robustand
scalablereputationsystemfortrustedpeer-to—peercomputing【J】.
IEEETransactionsonParallelandDistributedSystems,2007,18
(4):460—473.
【5】 JAMEELH.Atrustmodelforubiquitoussystemsbasedonvectors
oftrustvalues【C】//Proceedingsofthe7thIEEEInternationalSym-
posiumonMultimedia.Washington,DC:IEEEComputerSociety,
2005:674—679.
【6】 李小勇,桂小林.可信网络中基于多维决策属性的信任量化模
型【J】.计算机学报,2009,32(3):405—415.
【7】 中国云计算.趋势科技SecureCloud云安全网络防护解决
白皮书【EB/0L】.【2009-01-24】.http://www.chinacloud.cn/
show.aspx?id=339&eid=29.
【8】 林闯,田立勤,王元卓.可信网络中用户行为可信的研究【J】.计
算机研究与发展,2008,45(12):2033—2043.
【9】 冀铁果,田立勤,胡志兴.可信网络中一种基于AHP的用户行
为评估方法【J】.计算机工程与应用,2007,43(19):123—126.
【10】王连芬,许树柏.层次分析法引论【M】.北京:中国人民大学出
版社,1990.
【11】刘磊,王慧强,梁颖.基于模糊层次分析的网络服务级安全态势
6结语 m,黧=:v耋黑鬣裂嚣27:㈣-23—31.:叶
由于云计算面临着严峻的安全问题,本文结合可信云的http://www·av-eomparatiVes·。影images/stories/test/ondret/avc一
思想,提出一个基于信任的防御系统模型。考虑到用户行为 0d—”萨010c“pdf_
(上接第1530页)
【5】 CROUNSEKR,YANGTAO,CHUAL0.Pseudo—randomsequence
generationusingtheCNNuniversalmachinewithapplicationsto
cryptography【C】//CNNA’96:ProceedingsoftheIEEEInternation—
alWorkshoponCellularNeuralNetworksandTheirApplications.
Spain:IEEE,1996:433.
【6】 KILICR,ALCIM,GNNAYE.ASC—CNN·basedchaoticmasking
systemwithfeedback【J】.InternationalJournalofBifurcationand
Chaos,2004,14(1):245-256.
[7】 何振亚,张毅锋,卢宏涛.细胞神经网络动态特性及其在保密通
信中的应用[J】.通信学报。1999,20(3):59—67.
【8J 赵辽英,厉小润,赵光宙.用细胞神经网络超混沌同步系统实现
保密通崩J】.电路与系统学报,2003,8(3):923—926.
【9】 汪海明,郭仕德,赵建业,等.一种用于扩频通信系统的CNN多值随
机码的研究【J】.电子与信息学报,2003,25(7):931—937.
【lO】刘玉明,周冬明,赵东风.基于细胞神经网络超混沌特性的图像
加密【J】.云南大学学报,2007,29(4):355—358.
【11】朱艳平,张小红.基于细胞神经网络的图像加密新算法【J】.江
西理工大学学报,2008,29(1):27—30.
【12】CHUALEON0,YANGLIN.Cellularneuralnetwork:Theory【J】.
1EEETransactionsonCircuitsSystem,1988,35(10):1257—
1272.
【13】CHUALEON0,YANGLIN.Cellularneuralnetwork:applications
[J】.IEEETransactionsonCircuitsSystem,1988,35(10):1273
—1290.
[14】WANGXINGYUAN,XUBING,ZHANGHUAGUANG.Amulti-
arynumbercommunicationsystembasedonhyperchanticsystemof
6th—ordercellularneuralnetwork【J】.CommunicationsinNonlinear
ScienceandNumericalSimulation,2010,15(2):124—133.
万方数据
云计算下基于信任的防御系统模型
作者: 周茜, 于炯, ZHOU Qian, YU Jiong
作者单位: 新疆大学信息科学与工程学院,乌鲁木齐,830046
刊名: 计算机应用
英文刊名: JOURNAL OF COMPUTER APPLICATIONS
年,卷(期): 2011,31(6)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_jsjyy201106022.aspx