王娜 趙波 李昂

(1. 中國聯(lián)合網(wǎng)絡(luò)通信有限公司智網(wǎng)創(chuàng)新中心，北京 100044；2.京東集團(tuán)信息安全部，北京 100176)

0 引言

當(dāng)前，云計(jì)算與可信計(jì)算相結(jié)合是云計(jì)算安全可信架構(gòu)下的研究熱點(diǎn)，很多學(xué)者從計(jì)算資源可信、應(yīng)用環(huán)境可信和租戶隔離可信三方面建立“可信云計(jì)算環(huán)境”，從根本上確保用戶數(shù)據(jù)和應(yīng)用安全[1]。

國外TCG組織可信計(jì)算的內(nèi)容包括身份認(rèn)證、可信存儲(chǔ)和可信度量和報(bào)告，身份認(rèn)證是指人機(jī)以及平臺(tái)之間的相互認(rèn)證；可信存儲(chǔ)時(shí)采用密鑰和數(shù)字簽名的機(jī)制來保護(hù)用戶數(shù)據(jù)；可信度量和報(bào)告時(shí)采用某些策略來構(gòu)建可信的用戶計(jì)算環(huán)境[2]，強(qiáng)調(diào)采用鏈?zhǔn)叫湃味饶Ｐ捅ＷC整個(gè)計(jì)算機(jī)系統(tǒng)的可信。

我國的可信技術(shù)已發(fā)展到3.0階段的“主動(dòng)防御體系”，其采用可信軟件棧來實(shí)現(xiàn)平臺(tái)完整、平臺(tái)身份證明以及可信存儲(chǔ)三個(gè)基本功能[3]。在主動(dòng)免疫的“主動(dòng)防御體系”提出的三層三元對等的可信連接框架上，沈昌祥等人[4-5]結(jié)合等級(jí)保護(hù)思想，提出“以主動(dòng)免疫計(jì)算為基礎(chǔ)、訪問控制為核心”的“一個(gè)中心三重防護(hù)體系”框架，圍繞安全管理中心形成安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)的縱深積極防御體系，在防御體系的各層面間保護(hù)機(jī)制、響應(yīng)機(jī)制和審計(jì)機(jī)制的防護(hù)策略聯(lián)動(dòng)。

縱深積極防御體系對學(xué)者研究信息安全保障體系具有重大的指導(dǎo)意義，包括提出網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境等多個(gè)位置進(jìn)行全方面布置的防御機(jī)制，將安全風(fēng)險(xiǎn)降到最低[6-8]；構(gòu)建攻擊者到目標(biāo)之間的多層保護(hù)和檢測的防御機(jī)制，使得攻擊者在與云計(jì)算環(huán)境交互過程中面臨各種的檢測行為和訪問控制，以致其不能承受高昂的攻擊代價(jià)而放棄攻擊行為[9-11]；在信息價(jià)值和安全管理成本之間尋找平衡點(diǎn)，設(shè)置適當(dāng)?shù)陌踩Ｗo(hù)強(qiáng)度和保障措施[12-13]。

由此可見，訪問控制已經(jīng)不僅僅是對用戶身份的認(rèn)證和權(quán)限的限制，更體現(xiàn)在用戶與云計(jì)算環(huán)境交互過程中的可信性，因此信任機(jī)制可以基于屬性實(shí)現(xiàn)域間授權(quán)管理的思想廣泛運(yùn)用，讓用戶以行為交互的方式動(dòng)態(tài)構(gòu)建互信系統(tǒng)從而獲得響應(yīng)的訪問權(quán)限，并已廣泛應(yīng)用在云計(jì)算環(huán)境中[14]。本文的研究重點(diǎn)將聚焦在多層防御機(jī)制里，也就是研究用戶與云計(jì)算環(huán)境訪問行為的安全信任評估模型，采用可信評估模型對用戶訪問行為進(jìn)行安全控制和規(guī)范，構(gòu)建云計(jì)算環(huán)境用戶信任度的實(shí)時(shí)評估，為云平臺(tái)安全的積極防御提供數(shù)據(jù)支撐。

1 云計(jì)算環(huán)境用戶行為信任評估模型構(gòu)建思路

云計(jì)算環(huán)境用戶行為信任評估模型的構(gòu)建思路是在身份認(rèn)證的基礎(chǔ)上，對用戶操作行為的規(guī)范性實(shí)現(xiàn)基于使用訪問控制的信任評估模型?；谟脩舨僮餍袨橐?guī)范性的信任度度量類似動(dòng)態(tài)信任鏈，通過用戶在云計(jì)算環(huán)境中的在線訪問行為來度量用戶當(dāng)次操作行為的信任度?；谟脩粼L問行為的動(dòng)態(tài)訪問控制能夠有效攻擊者的重放攻擊、假冒攻擊等行為，提升云計(jì)算環(huán)境下用戶行為的信任評估。基于上述思想，云計(jì)算環(huán)境用戶行為信任評估模型構(gòu)建思路分為如下幾個(gè)階段(見圖1)。

圖1 云計(jì)算環(huán)境用戶行為信任評估模型

1.1 數(shù)據(jù)采集階段

該階段不僅對該平臺(tái)用戶信息、設(shè)備的基本信息以及用戶動(dòng)作屬性信息進(jìn)行采集，還要利用相關(guān)的工具收集云平臺(tái)訪問策略的相關(guān)信息。其中，用戶動(dòng)作屬性信息集是為后續(xù)基于用戶訪問行為的特征提取提供數(shù)據(jù)準(zhǔn)備。

1.2 特征提取階段

特征提取是信任評估模型的核心，本文采用一種預(yù)測-殘差框架的長短期記憶網(wǎng)絡(luò)對用戶訪問行為進(jìn)行時(shí)序特征提取，結(jié)合誤差機(jī)制修正特征向量，實(shí)現(xiàn)用戶訪問行為特征的提取。具體特征提取的步驟如圖2所示。

圖2展現(xiàn)了一種預(yù)測-殘差框架的時(shí)序特征提取過程。結(jié)合用戶0—T時(shí)刻用戶在云計(jì)算環(huán)境交互的動(dòng)作集合，實(shí)現(xiàn)LSTM的時(shí)序特征訓(xùn)練，并到T+1時(shí)刻的動(dòng)作預(yù)測值；將1—(T+1)時(shí)刻的動(dòng)作集合((T+1)時(shí)刻采用上一步的預(yù)測值)輸入LSTM網(wǎng)絡(luò)，預(yù)測時(shí)刻0的動(dòng)作；將0時(shí)刻的動(dòng)作預(yù)測值與1—T時(shí)刻的動(dòng)作真實(shí)值輸入訓(xùn)練好的LSTM中，預(yù)測(T+1)時(shí)刻的動(dòng)作，將其與第一步T+1時(shí)刻的動(dòng)作預(yù)測值相比較，如果兩者的誤差小于實(shí)際的誤差閾值，說明LSTM訓(xùn)練的特征值是可靠的，采用該LSTM進(jìn)行時(shí)序特征提??；否則，需要進(jìn)入下一輪的LSTM訓(xùn)練。下一輪LSTM訓(xùn)練的輸入數(shù)據(jù)與上一輪唯一的不同就是第一個(gè)動(dòng)作值，在下一輪訓(xùn)練中，下一輪第一個(gè)動(dòng)作值采用上一輪第一個(gè)動(dòng)作的預(yù)測值。

圖2 預(yù)測-殘差框架的時(shí)序特征提取

1.3 信任度評估階段

用戶的信任度包括兩部分：歷史行為信任度和當(dāng)次行為信任度。歷史信任度是對歷史用戶的信任度，當(dāng)次行為信任度是指用戶在與云計(jì)算環(huán)境交互過程的行為上下文對信任度進(jìn)行計(jì)算，實(shí)現(xiàn)更有效的實(shí)時(shí)計(jì)算。信任度評估的目的是保護(hù)正常用戶的訪問行為，抑制惡意用戶通過積累信任度進(jìn)行惡意攻擊。

1.3.1 歷史行為信任度

歷史行為信任度與用戶和云計(jì)算環(huán)境之間過去的訪問次數(shù)、信任度距離本次的計(jì)算時(shí)間以及交互信息的價(jià)值有關(guān)，具體的公式為：

(1)

其中，Ek表示第k個(gè)時(shí)間周期的用戶訪問行為信任評價(jià)；N表示第N個(gè)時(shí)間周期，一般來說最后一個(gè)時(shí)間周期為第N個(gè)時(shí)間周期；Vk表示第k個(gè)時(shí)間周期用戶訪問云平臺(tái)的信息價(jià)值。

1.3.2 當(dāng)次行為信任度

在獲取用戶當(dāng)次與云平臺(tái)交互行為時(shí)序特征后，采用BP神經(jīng)網(wǎng)絡(luò)來預(yù)測用戶在T時(shí)刻的訪問行為信任度。BP神經(jīng)網(wǎng)絡(luò)利用反向傳播的原理實(shí)現(xiàn)非線性預(yù)測，基于用戶當(dāng)次行為信任度的BP神經(jīng)網(wǎng)絡(luò)包括輸入層、隱含層以及輸出層，其中輸入層輸入用戶行為的時(shí)序特征，共有10個(gè)節(jié)點(diǎn)；隱含層的節(jié)點(diǎn)數(shù)為5個(gè)；輸出層為基于時(shí)序特征預(yù)測的當(dāng)次行為信任度，有1個(gè)節(jié)點(diǎn)。BP神經(jīng)網(wǎng)絡(luò)的參數(shù)包括：學(xué)習(xí)率為0.01，迭代次數(shù)為500，激活函數(shù)為Sigmond函數(shù)。當(dāng)次行為信任度取值在0—1之間。神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)具體如圖3所示。

圖3 基于BP神經(jīng)網(wǎng)絡(luò)的當(dāng)次行為信任度預(yù)測

1.3.3 綜合信任度計(jì)算

用戶綜合信任度是運(yùn)用加權(quán)平均法對歷史訪問行為信任度和當(dāng)次訪問行為信任度進(jìn)行加權(quán)平均，具體的計(jì)算公式為：

Trust=αD+βET

(2)

其中，α+β=1是修正系數(shù)。系統(tǒng)將會(huì)根據(jù)綜合信任度的評估值實(shí)時(shí)反饋到訪問控制策略中，訪問控制策略結(jié)合當(dāng)前最新的綜合信任度對云平臺(tái)主體權(quán)限進(jìn)行調(diào)整。

2 試驗(yàn)分析

2.1 試驗(yàn)環(huán)境說明

為了驗(yàn)證提出算法的有效性，本文搭建了一個(gè)服務(wù)器集群，該集群包括16 臺(tái)服務(wù)器，每臺(tái)服務(wù)器的配置為：CPU 1.9 GHz，內(nèi)存32 G，硬盤存儲(chǔ)1 T。為了有效檢測網(wǎng)絡(luò)的安全性，采用開源檢測工具Nagios來實(shí)現(xiàn)各端口信息的采集，利用Ax3soft Sax2來檢測用戶的非法訪問行為。在該集群中，模擬100 名用戶，從100 名用戶中分別隨機(jī)選取30 名非法用戶，以此驗(yàn)證用戶在開始采用規(guī)范的訪問行為后，利用自身積累的信任度開始實(shí)施惡意攻擊，算法如何利用訪問行為來評估用戶實(shí)時(shí)信任度，以實(shí)現(xiàn)訪問策略的動(dòng)態(tài)調(diào)整。

2.2 數(shù)據(jù)集說明

100名用戶分別產(chǎn)生了1.8 萬條正常的訪問數(shù)據(jù)和4000 條攻擊類型的數(shù)據(jù)，采用10 次隨機(jī)抽樣的方案，選取3000 條正常數(shù)據(jù)和700 條攻擊數(shù)據(jù)作為訓(xùn)練樣本數(shù)據(jù)，其他作為測試數(shù)據(jù)?？紤]到正常數(shù)據(jù)和攻擊數(shù)據(jù)的平衡性，本文將攻擊數(shù)據(jù)進(jìn)行復(fù)制，最終訓(xùn)練樣本的正常數(shù)據(jù)為3000 條，攻擊數(shù)據(jù)為2800 條；測試樣本的正常數(shù)據(jù)為1.5 萬條，攻擊數(shù)據(jù)為3200 條。表1和表2分別表示某一次抽樣的訓(xùn)練樣本和測試樣本數(shù)據(jù)的分布情況。

表1 訓(xùn)練數(shù)據(jù)的數(shù)據(jù)分布情況

表2 測試數(shù)據(jù)的數(shù)據(jù)分布情況

對數(shù)據(jù)進(jìn)行10 次訓(xùn)練后，獲得10 個(gè)訓(xùn)練好的模型，然后將測試數(shù)據(jù)分別放進(jìn)對應(yīng)的訓(xùn)練模型中，得到的訓(xùn)練數(shù)據(jù)集準(zhǔn)確率和測試數(shù)據(jù)集準(zhǔn)確率如圖4所示。

圖4 訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集的準(zhǔn)確率

為了驗(yàn)證云計(jì)算環(huán)境用戶行為信任評估模型在信任度預(yù)測的精度提升性能，將展現(xiàn)某一個(gè)用戶在持續(xù)攻擊的行為下，云平臺(tái)信任度實(shí)測值、基于BP神經(jīng)網(wǎng)絡(luò)信任度預(yù)測值以及云計(jì)算環(huán)境用戶行為信任評估模型信任度預(yù)測值在10 個(gè)觀察周期內(nèi)的對比情況，基于BP神經(jīng)網(wǎng)絡(luò)信任度預(yù)測是直接將用戶的一系列交互行為放進(jìn)BP神經(jīng)網(wǎng)絡(luò)中實(shí)現(xiàn)當(dāng)次訪問信任度的預(yù)測，然后將當(dāng)次訪問信任度與歷史訪問信任度進(jìn)行加權(quán)平均后得到綜合信任度。BP神經(jīng)網(wǎng)絡(luò)信任度預(yù)測方法與云計(jì)算環(huán)境用戶行為信任評估模型的預(yù)測方法最大的不同是：云計(jì)算環(huán)境用戶行為信任評估模型是采用預(yù)測-殘差框架的長短期記憶網(wǎng)絡(luò)對用戶與云平臺(tái)的交互行為進(jìn)行時(shí)序特征提取，將時(shí)序特征輸入BP神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)當(dāng)次信任度預(yù)測；而BP神經(jīng)網(wǎng)絡(luò)信任度預(yù)測方法沒有考慮時(shí)序特征提取的問題。

通過信任度預(yù)測值對比可知，隨著持續(xù)攻擊行為的實(shí)施，用戶信任度將持續(xù)下降。在開始階段，BP神經(jīng)網(wǎng)絡(luò)和云計(jì)算環(huán)境用戶行為信任評估模型的信任度預(yù)測值與實(shí)測值差異不大，這是因?yàn)槌跗陔A段，BP神經(jīng)網(wǎng)絡(luò)和云計(jì)算環(huán)境用戶行為信任評估模型對用戶信任度估計(jì)基本上依賴用戶歷史信任度；隨著攻擊行為的持續(xù)，云計(jì)算環(huán)境用戶行為信任評估模型將會(huì)趨同于實(shí)測數(shù)據(jù)，這是因?yàn)樵朴?jì)算環(huán)境用戶行為信任評估模型采用預(yù)測-殘差框架的長短期記憶網(wǎng)絡(luò)對用戶一系列交互行為的時(shí)序特征進(jìn)行有效提取，在一定程度上提升用戶信任度預(yù)測的準(zhǔn)確度；而BP神經(jīng)網(wǎng)絡(luò)僅僅將用戶的訪問行為進(jìn)行簡單的非線性擬合，沒有很好地反映訪問行為之間的時(shí)間關(guān)聯(lián)性，因此其預(yù)測信任度誤差將會(huì)越來越大。

3 結(jié)束語

本文采用一種新的框架實(shí)現(xiàn)云計(jì)算環(huán)境下用戶訪問行為時(shí)序特征的提取，該架構(gòu)能夠較為準(zhǔn)確地反映用戶訪問行為的時(shí)間關(guān)聯(lián)性，提升云計(jì)算環(huán)境下用戶信任度預(yù)測的精度。試驗(yàn)表明，云計(jì)算環(huán)境用戶行為信任評估模型與BP神經(jīng)網(wǎng)絡(luò)相比，信任度預(yù)測值隨著觀察周期的深入與實(shí)測值的誤差越來越小，這是因?yàn)樵朴?jì)算環(huán)境用戶行為信任評估模型在預(yù)測信任度時(shí)考慮了用戶交互行為的時(shí)序特征，能夠自適應(yīng)應(yīng)對用戶交互行為的動(dòng)態(tài)性變化，更加滿足網(wǎng)絡(luò)安全態(tài)勢動(dòng)態(tài)評估的需求。