汪傳章+徐洪珍+徐德華

摘要：針對目前云計算環(huán)境下分布式入侵檢測系統(tǒng)行為分析方法的不足，提出用演化博弈理論構(gòu)建檢測系統(tǒng)行為分析的預(yù)測模型，用復(fù)制動態(tài)方程描繪參與人行為策略選取趨勢，用演化穩(wěn)定策略刻畫動態(tài)局面的收斂方向，分析討論了不同損益條件對檢測系統(tǒng)行為的影響。在該基礎(chǔ)上，給出合理的安全方案，供管理人員參考。最后，設(shè)計實驗進行分析，驗證了該模型的理論，以及預(yù)測結(jié)果的正確性。

關(guān)鍵詞：云計算；演化博弈；分布式入侵檢測；趨勢預(yù)測

中圖分類號：TP183 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）10-0178-03

Abstract： For the lack of distributed IDS behavior analysis method in cloud computing environment， this paper proposes a model based on evolutionary game theory for distributed IDS in cloud behavior analysis and prediction， depict strategy selection trend of participator behavior with replicator dynamics equation， describe convergence trend of dynamic situation with evolutionary stable strategy， and analyse the effect on IDS behavior on different profit and loss condition. Then the paper gives out a reasonable security management suggestion for manager consider. Finally， an experiment is designed over analysis for the model to show the effectiveness of the proposed method.

Key words： cloud computing； evolutionary game； distributed intrusion detection system； trend prediction

1 概述

近年來，隨著云計算的蓬勃發(fā)展，云計算的新技術(shù)、新應(yīng)用正慢慢延伸到人們的日常工作和生活中，發(fā)揮著越來越重要的作用。云計算技術(shù)的進步在給人們帶來方便和好處的同時，也對人們的信息安全工作提出了新的要求。云計算環(huán)境下的安全技術(shù)主要包括云資源訪問控制、密文處理、數(shù)據(jù)可用性、隱私保護、虛擬安全技術(shù)等[1]。其中，對云資源的訪問控制的研究仍然是一大研究熱點。學(xué)者們對云資源訪問控制的研究主要包括安全審計、等級保護、訪問控制、入侵檢測、信任評估等。其中，入侵檢測技術(shù)以其主動性、全面性、智能性等優(yōu)勢備受青睞。然而，隨著云環(huán)境的異構(gòu)性與復(fù)雜性不斷增強，傳統(tǒng)網(wǎng)絡(luò)下的入侵檢測技術(shù)方案并不再能很好適應(yīng)云計算日趨智能化、系統(tǒng)化、綜合化的環(huán)境。

針對云環(huán)境日益擴大化、復(fù)雜化以及單一設(shè)備的負載過于集中等問題，學(xué)者們紛紛提出適用于云環(huán)境下的新型入侵檢測模型：Dermott等[2]提出一種基于DS證據(jù)理論的協(xié)作式跨域云入侵檢測系統(tǒng)，Akramifard等[3]則從用戶行為模式分類的角度出發(fā)，提出一種基于多級模糊神經(jīng)網(wǎng)的云入侵檢測系統(tǒng)。其中，云環(huán)境下的分布式入侵檢測系統(tǒng)以其獨立性、靈活性、可擴展性、錯誤擴散小、協(xié)作性等[4]的優(yōu)勢越來越受到學(xué)者們的關(guān)注。Li、Kumar等[5-6]提出了一種基于云理論的分布式入侵檢測系統(tǒng)，Li[7]提出了一種基于人工神經(jīng)網(wǎng)的云分布式入侵檢測系統(tǒng)，Zhang等[8]提出了一種基于粗糙集的云分布式入侵檢測系統(tǒng)。

雖然學(xué)者們在云環(huán)境下的入侵檢測技術(shù)研究做了較多工作，但很少有學(xué)者對云分布式入侵檢測系統(tǒng)行為趨勢分析、系統(tǒng)行為發(fā)展預(yù)測進行深入研究。本文將演化博弈理論應(yīng)用于云環(huán)境下的分布式入侵檢測系統(tǒng)行為趨勢分析預(yù)測，從參與人有限理性的立場出發(fā)，提出一種基于演化博弈理論的云分布式入侵檢測系統(tǒng)行為分析預(yù)測模型，分析討論不同損益條件對檢測系統(tǒng)行為的影響，得出合理的安全管理方案。最后，通過實驗驗證該模型的理論以及預(yù)測結(jié)果的正確性。

2 基于演化博弈理論的行為分析預(yù)測模型

本文將全部云分布式入侵檢測系統(tǒng)看作一個種群，云中的所有分布式入侵檢測系統(tǒng)個體是該種群的個體。各個檢測系統(tǒng)彼此獨立、對等，通過相互之間交換信息，并結(jié)合自身現(xiàn)狀，作出是否協(xié)同工作的決定。種群中有不同比例的群體選取特定行動，將采用不同行動的入侵檢測系統(tǒng)抽象成不同“類型”的博弈方，“類型”會隨著博弈方策略而改變。執(zhí)行特定行動的種群個體隨機配對，組成參與人組合，也即不同策略選取組合的搭配。

3 基于演化博弈模型的云入侵檢測系統(tǒng)行為預(yù)測

模型中的入侵檢測系統(tǒng)作為思維有限理性的角色，對所處環(huán)境、信息并不能做到全完掌握，或可能由于自身原因做出錯誤決策，使得博弈結(jié)果不能總達到最佳。

從檢測系統(tǒng)博弈的復(fù)制動態(tài)方程的鞍點來看，由于，復(fù)制動態(tài)具備穩(wěn)健性的演化趨向為和，和都是穩(wěn)定的演化趨向，也都是檢測系統(tǒng)可能的策略選擇。若C為定值，當(dāng)協(xié)同工作帶來的額外收益（G）與規(guī)避風(fēng)險的保守工作帶來的收益（H）之差越大，值越偏向于0，部分面積越大，代表檢測系統(tǒng)選取協(xié)同工作策略的概率越大；相反，若部分為定值，若協(xié)同工作的成本（C）越大，值越偏向于1，代表檢測系統(tǒng)拒絕協(xié)作、單干的概率越大。例如一般的基礎(chǔ)設(shè)施即服務(wù)（IaaS）設(shè)備協(xié)同工作的成本（C）一般都不會改變，為提高檢測系統(tǒng)協(xié)同工作的概率，可嘗試減少回避協(xié)作帶來的收益，或增大協(xié)同工作帶來的額外收益，以保證云服務(wù)設(shè)備能夠得到更大的保障。

4 實驗分析

4.1 數(shù)據(jù)設(shè)定與模擬

本文對模型中的變量進行賦值：取H=10；G=6；C=3，實驗結(jié)果如圖3所示。

4.2 實驗結(jié)果分析

圖3描繪出了隨著云入侵檢測系統(tǒng)之間的長期博弈過程的進行，檢測系統(tǒng)之間博弈策略選取趨勢的總體相位圖。由圖中可觀察到，檢測系統(tǒng)存在協(xié)作與獨立工作的可能，如前文分析，即便選擇協(xié)作的檢測系統(tǒng)數(shù)量高達70%，也會漸漸趨向于選擇獨立工作。此時若依前文結(jié)論，將協(xié)同工作的成本（C）減小為1.9，檢測系統(tǒng)之間策略選取趨勢的相位圖將如圖4所示，檢測系統(tǒng)獨立工作的可能性減少，而與其他檢測系統(tǒng)協(xié)同工作的可能性增大，由此說明減小檢測系統(tǒng)協(xié)同工作成本確實有助于增大檢測系統(tǒng)協(xié)同工作的可能，從而驗證了前文的結(jié)論。同理將回避收益（H）減少時也將有同樣效果。

5 結(jié)束語

本文應(yīng)用基于過程分析的演化博弈理論提出一種云分布式入侵檢測系統(tǒng)行為分析預(yù)測博弈模型，這種有限理性的演化博弈更符合現(xiàn)實客觀條件，通過歸納檢測系統(tǒng)的策略收斂方向，以及不同損益對檢測系統(tǒng)行為策略趨勢造成的影響，實現(xiàn)了對系統(tǒng)的安全分析，為安全方案規(guī)劃提供參考依據(jù)。通過實驗驗證了該方法的理論，以及預(yù)測結(jié)果的正確性。然而，由于演化穩(wěn)定策略本身存在無法描述系統(tǒng)受到隨機效應(yīng)影響時的長期穩(wěn)態(tài)的局限，博弈模型本身還有待完善，未來進一步的工作將研究可應(yīng)對隨機性問題的安全分析演化博弈模型，使分析的結(jié)論更準(zhǔn)確完善。

參考文獻：

[1] 馮登國， 張敏， 張妍， 等. 云計算安全研究[J]. 軟件學(xué)報， 2011， 22（1）：71-83.

[2] ?ine MacDermott， Qi Shi， Kashif Kifayat. Collaborative Intrusion Detection in Federated Cloud Environments[J]. Journal of Computer Sciences and Applications， 2015， 3（3A）： 10-20.

[3] Akramifard H， Mohammad Khanli L， Balafar M A，et al. Intrusion Detection in the Cloud Environment Using Multi-Level Fuzzy Neural Networks[C]//Proceedings of the International Conference on Security and Management （SAM）. The Steering Committee of The World Congress in Computer Science， Computer Engineering and Applied Computing （WorldComp）， 2015： 75.

[4] 馬恒太， 蔣建春， 陳偉鋒. 基于Agent的分布式入侵檢測系統(tǒng)模型[J].軟件學(xué)報， 2000， 11（10）：1312-1319.

[5] Han Li， Qiu-xin Wu. A Distributed Intrusion Detection Model based on Cloud Theory[C]//Cloud Computing and Intelligent Systems （CCIS）， 2012 IEEE 2nd International Conference on. IEEE， 2012， 1： 435-439.

[6] Manish Kumar. Distributed Intrusion Detection System Scalability Enhancement using Cloud Computing[J]. Computer Science & Telecommunications， 2014， 41（1）.

[7] Zhe Li. A Neural Network based Distributed Intrusion Detection System on Cloud Platform[D]. The University of Toledo. 2013.

[8] Zhang Ling， Bai Zhong-ying， Xie Kang， et al. Research of Distributed Intrusion Detection Model Based on Rough Set in Cloud Computing[J]. International Journal of Advancements in Computing Technology， 2013， 5（4）.

[9] 任趁妮. 電子商務(wù)網(wǎng)絡(luò)間協(xié)同入侵檢測系統(tǒng)的進化博弈模型[D]. 南京：南京師范大學(xué)，2013.