成春晟， 余思琛

（中電萊斯信息系統(tǒng)有限公司， 江蘇 南京 210007）

0 引言

近年來網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展， 給人們的生產(chǎn)生活帶來了諸多便利， 同時也帶來了一系列的安全問題， 其中最為嚴(yán)重的就是網(wǎng)絡(luò)非法入侵和黑客攻擊， 給存儲在網(wǎng)絡(luò)中的數(shù)據(jù)造成了極大的泄露風(fēng)險， 因此有必要采取有效的措施來解決這一問題。云計算的出現(xiàn)彌補(bǔ)了這一缺陷， 安全性高、 效率高的優(yōu)點(diǎn)使其在網(wǎng)絡(luò)安全、 存儲安全領(lǐng)域逐漸地得到了廣泛的應(yīng)用。

1 云計算技術(shù)

云計算技術(shù)將物理設(shè)備集中在后臺， 依托網(wǎng)絡(luò)為前臺用戶提供實(shí)際需要的IT 服務(wù)， 通常云計算技術(shù)融合了分布式運(yùn)算技術(shù)、 效用運(yùn)算技術(shù)和互聯(lián)網(wǎng)儲存技術(shù)等多種計算機(jī)網(wǎng)絡(luò)技術(shù)， 讓用戶在互聯(lián)網(wǎng)上獲取自己想要得到的信息。

云計算技術(shù)首先將硬件資源虛擬化之后再進(jìn)行分配使用， 與傳統(tǒng)技術(shù)相比具有以下優(yōu)點(diǎn)。

a） 強(qiáng)大的計算能力

用戶通過云計算后臺可以獲得強(qiáng)大的計算能力， 滿足各種定制開發(fā)的需要。

b） 不受制約的虛擬化能力

由于所有的資源通過提取后全部上傳到后臺云端保存， 用戶在使用過程中可以不受空間和時間的約束控制， 只需要一臺可以連接網(wǎng)絡(luò)的電子設(shè)備就可以使用后臺的各種計算能力。

c） 高可靠

通過在后臺部署大規(guī)模的計算節(jié)點(diǎn)， 實(shí)現(xiàn)高可靠性保障； 當(dāng)某個計算節(jié)點(diǎn)出現(xiàn)故障時， 可以迅速地實(shí)現(xiàn)同構(gòu)互換。

d） 通用性強(qiáng)

可以為各種類型和各種領(lǐng)域的不同應(yīng)用提供統(tǒng)一的運(yùn)算支撐能力； 可以滿足各種應(yīng)用， 同為一片云。

e） 靈活性

云計算的靈活性體現(xiàn)在可以為不同的對象定制不同的服務(wù)， 無論是大型應(yīng)用還是小型應(yīng)用， 都可以依托后臺云系統(tǒng)提供運(yùn)算能力。

2 網(wǎng)絡(luò)攻擊

數(shù)據(jù)是最為寶貴的財富， 也是黑客和各種網(wǎng)絡(luò)攻擊的首要目標(biāo)。 目前對于網(wǎng)絡(luò)數(shù)據(jù)的竊取主要包含下列手段。

a） 黑客入侵

由于許多企業(yè)自身防范意識淡薄， 企業(yè)內(nèi)部存在相當(dāng)大的網(wǎng)絡(luò)漏洞， 給黑客非法入侵帶來了可趁之機(jī)。 對此需要采取防范意識。

b） 病毒

電腦病毒本質(zhì)是一種小程序， 具有可隱藏、 可復(fù)制和定期發(fā)作等多個特點(diǎn)。 隱藏情況下， 電腦病毒很難被發(fā)現(xiàn)； 一旦發(fā)作， 輕則造成程序無法運(yùn)行， 重則導(dǎo)致整個系統(tǒng)崩潰。 有些病毒還可以對計算機(jī)的硬件進(jìn)行破壞。

c） 網(wǎng)絡(luò)漏洞

針對黑客攻擊、 病毒， 許多企業(yè)建立了一整套防御系統(tǒng)； 但是電腦病毒會根據(jù)系統(tǒng)防御措施進(jìn)行相應(yīng)的變化， 導(dǎo)致了系統(tǒng)存在著漏洞。 一些病毒可以利用漏洞， 繞過防火墻對計算機(jī)進(jìn)行攻擊。 因此， 應(yīng)主動學(xué)習(xí)常見的系統(tǒng)攻擊方法， 盡可能多地掌握受攻擊后的補(bǔ)救措施， 最終解決系統(tǒng)的安全隱患問題。

3 基于云計算的數(shù)據(jù)安全防護(hù)手段

3.1 防御體系建設(shè)

隨著信息產(chǎn)業(yè)的快速發(fā)展， 互聯(lián)網(wǎng)的應(yīng)用越來越廣泛， 這也增加了許多數(shù)據(jù)被黑客進(jìn)行網(wǎng)絡(luò)攻擊的可能性， 隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展， 不斷完善， 黑客攻擊采用的方式和目標(biāo)也在逐漸地變化。 現(xiàn)階段， 計算機(jī)軟件的發(fā)展和更新的速度太快， 出現(xiàn)了很多不同類型的軟件， 這種現(xiàn)象容易導(dǎo)致計算機(jī)軟件在研發(fā)調(diào)試中出現(xiàn)系統(tǒng)漏洞， 影響用戶的使用體驗(yàn)。 此外， 部分計算機(jī)軟件的開發(fā)人員并不具備專業(yè)的研發(fā)技能， 對計算機(jī)軟件的安全性能無法保證， 因此， 用戶在不知情的前提下， 使用了具有漏洞的軟件， 這樣就明顯地增加了發(fā)生網(wǎng)絡(luò)數(shù)據(jù)泄露事故的概率[1]。

構(gòu)筑網(wǎng)絡(luò)數(shù)據(jù)安全體系， 在數(shù)據(jù)端通過基于云計算技術(shù)對數(shù)據(jù)進(jìn)行加密。 加密技術(shù)主要包括對稱加密算法和非對稱加密算法。 對稱的加密算法具有一定的缺點(diǎn)， 在算法應(yīng)用時容易影響數(shù)據(jù)傳輸效率和數(shù)據(jù)管理效率。 與其相比， 非對稱算法的優(yōu)勢明顯， 尤其在數(shù)據(jù)傳輸和管理上具有更高的效率； 但是在加密和解密方面具有其性能的弱勢， 原因是因?yàn)榧用芩惴ǖ膹?fù)雜度較高， 對數(shù)據(jù)存儲的速度產(chǎn)生了很大的影響， 導(dǎo)致快捷性差。 在接收端， 基于云計算的訪問檢測技術(shù)可以防范惡意攻擊。 結(jié)合以上各種方式， 采用多種防護(hù)手段來構(gòu)建數(shù)據(jù)安全防護(hù)體系[2]， 如圖1 所示。

圖1 基于云計算的數(shù)據(jù)安全防護(hù)體系

3.2 加密技術(shù)

基于云計算技術(shù)， 使用MC-R 有效策略進(jìn)行數(shù)據(jù)加密。 主要包括以下兩個方面的內(nèi)容。

a） 在客戶端使用公鑰算法與加密算法相結(jié)合的方式

由于云端數(shù)據(jù)不利于偽裝， 首先使用公鑰算法對云端的數(shù)據(jù)信息進(jìn)行加密處理； 同時考慮到數(shù)據(jù)的安全性， 按照不同功能的數(shù)據(jù)模塊進(jìn)行劃分[3]，利用各個模塊之間的配合與協(xié)調(diào)， 提高了網(wǎng)絡(luò)安全存儲中數(shù)據(jù)信息的安全性和可靠性。

b） 在云端采用RSA 算法

該算法不需要具有計算能力， 主要目的是加密系統(tǒng)中的核心數(shù)據(jù)， 避免算法使用中出現(xiàn)信息消耗。

因此， 基于云計算的MC-R 策略對數(shù)據(jù)進(jìn)行了有效的控制， 提高了其安全性能； 另外還能提升系統(tǒng)管理數(shù)據(jù)信息的水平[4]。

3.3 訪問檢測

基于云計算的訪問檢測措施是： 首先， 對任務(wù)進(jìn)行分解， 將任務(wù)分解為若干個子任務(wù)； 其次， 使用BP 神經(jīng)網(wǎng)絡(luò)將這些子任務(wù)分別在云計算平臺的不同節(jié)點(diǎn)上建模， 采用雜草優(yōu)化算法來確定其權(quán)值； 最后， 對不同節(jié)點(diǎn)的計算結(jié)果進(jìn)行分析[5]，估算出該環(huán)境下網(wǎng)絡(luò)安全檢測的最終結(jié)果， 如圖2所示。

圖2 基于云計算的網(wǎng)絡(luò)檢測方法

傳統(tǒng)的網(wǎng)絡(luò)檢測技術(shù)處理方式均是串行處理，處理效率和處理時間都不是非常理想。 因此， 本文采用并行處理方式， 將不同的數(shù)據(jù)模塊分給若干個計算機(jī)處理， 采用面向云計算環(huán)境的網(wǎng)絡(luò)安全檢測技術(shù)， 上述處理過程無關(guān)聯(lián)， 處理效率會得到很大的提升。 需要確保所有計算節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)的完整性， 并且所有節(jié)點(diǎn)的初始狀態(tài)相同。 在基于云計算環(huán)境的網(wǎng)絡(luò)入侵安全檢測技術(shù)中， “并行化” 主要體現(xiàn)在每個計算節(jié)點(diǎn)在訓(xùn)練BP 神經(jīng)網(wǎng)絡(luò)時選擇部分的樣本數(shù)據(jù)， 只要達(dá)到某個收斂要求后就立即停止訓(xùn)練， 匯總判斷決定下一場迭代的時間。 在網(wǎng)絡(luò)安全檢測過程中， BP 神經(jīng)網(wǎng)絡(luò)的輸出層與隱含層之間的連接權(quán)值（WIS） 與BP 神經(jīng)網(wǎng)絡(luò)中隱含層連接輸入層權(quán)值（也叫WRI 連接權(quán)值） 均會對最終的檢測結(jié)果產(chǎn)生較大的影響， 對此本文優(yōu)化了雜草算法。 具體的網(wǎng)絡(luò)檢測過程如下所述。

a） 采集網(wǎng)絡(luò)運(yùn)行狀態(tài)數(shù)據(jù)， 分析并刪除無用數(shù)據(jù)。 同時， 根據(jù)不同類型的網(wǎng)絡(luò)工作狀態(tài)進(jìn)行劃分， 并進(jìn)行標(biāo)記。

b） 對不同類型的網(wǎng)絡(luò)工作狀態(tài)所對應(yīng)的特征值按照下式進(jìn)行歸一化處理。

式（1） 中： xstd——等征標(biāo)準(zhǔn)差。

c） 選擇BP 神經(jīng)網(wǎng)絡(luò)、 雜草優(yōu)化算法的一系列參數(shù)， 包括權(quán)值范圍、 種群規(guī)模和最大迭次數(shù)等。

d） 初始化參數(shù)， 將雜草種群的個體與WIS、WRI 進(jìn)行連接。

e） 通過網(wǎng)絡(luò)安全檢測的訓(xùn)練樣本來確定BP神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)與各層節(jié)點(diǎn)。

f） 首先對各個體的適應(yīng)度函數(shù)值進(jìn)行計算，目的是為了獲取WIS、 WRI 連接權(quán)值。 在本文中選擇的是適應(yīng)度函數(shù)f （xi） 為網(wǎng)絡(luò)入侵安全檢測率。

g） 通過對種子的適應(yīng)度函數(shù)進(jìn)行計算， 會得出新的種子。

h） 為了使雜草種群個體之間形成有效的競爭機(jī)制， 需要確保新種子數(shù)量比種群規(guī)模最大值（Pmax） 更大。

i） 分析安全期望值與安全檢測值， 確保誤差可控， 則可立即停止訓(xùn)練， 以獲取最佳BP 神經(jīng)網(wǎng)絡(luò)。

j） 利用最佳BP 神經(jīng)網(wǎng)絡(luò)來重新載入網(wǎng)絡(luò)入侵安全檢測的訓(xùn)練樣本， 以此構(gòu)建相應(yīng)的檢測模型。

k） 最后通過測試樣本對檢測模型性能進(jìn)行分析。

為了對面向云計算環(huán)境的網(wǎng)絡(luò)入侵安全檢測技術(shù)進(jìn)行真實(shí)的測試， 搭建了一個節(jié)點(diǎn)數(shù)量為100 個的云計算平臺， 每個節(jié)點(diǎn)的配置相同， 網(wǎng)絡(luò)安全檢測的樣本數(shù)量如表1 所示。

表1 檢測樣本單位： 個

對比試驗(yàn)面向云計算環(huán)境的網(wǎng)絡(luò)安全體系技術(shù)和未優(yōu)化的BP 神經(jīng)網(wǎng)絡(luò)安全檢測技術(shù)[6]， 分別試驗(yàn)運(yùn)行100 次， 對入侵成功率進(jìn)行統(tǒng)計（入侵率=能夠獲取數(shù)據(jù)的樣本數(shù)/樣本總數(shù)）， 統(tǒng)計結(jié)果如表2-3 所示。

表2 檢測率單位： %

表3 誤報率單位： %

由表2 可知， 面向云計算環(huán)境的網(wǎng)絡(luò)安全體系技術(shù)的入侵誤報率明顯地低于BP 神經(jīng)網(wǎng)絡(luò)安全檢測技術(shù)， 而面向云計算環(huán)境的網(wǎng)絡(luò)安全體系技術(shù)的入侵的檢測率明顯地高于BP 神經(jīng)網(wǎng)絡(luò)安全檢測技術(shù)。 其主要原因在于雖然BP 神經(jīng)網(wǎng)絡(luò)的非線性處理性能較佳， 但是權(quán)值基本通過經(jīng)驗(yàn)方式來確定，檢測結(jié)果自然不佳[7]； 而面向云計算環(huán)境的網(wǎng)絡(luò)入侵安全檢測技術(shù)以雜草優(yōu)化算法與入侵檢測誤差為載體來動態(tài)地優(yōu)化BP 神經(jīng)網(wǎng)絡(luò)的權(quán)值， 較好地執(zhí)行了誤差反饋操作， 進(jìn)而獲取了最佳BP 神經(jīng)網(wǎng)絡(luò)， 有效地改善了網(wǎng)絡(luò)入侵檢測效果。

5 結(jié)束語

通過以上對云計算技術(shù)和相關(guān)數(shù)據(jù)安全防護(hù)手段的介紹， 了解了云計算技術(shù)的優(yōu)勢和特點(diǎn)， 以及與數(shù)據(jù)防護(hù)手段結(jié)合的應(yīng)用。 借助云計算技術(shù)， 數(shù)據(jù)安全防護(hù)手段不斷地升級； 隨著科技的不斷發(fā)展， 越來越多的防護(hù)新技術(shù)將結(jié)合云計算而得到更加廣泛的應(yīng)用。