文穎
摘要 “洗底”攻擊是由于系統(tǒng)賦予新節(jié)點一個較高的信任初始值常數所造成的,防范“洗底”攻擊和建立新節(jié)點的動態(tài)初始信任值評估模型。本文針對開發(fā)對等云存儲服務應用中出現的節(jié)點欺騙、偽造等惡意行為,進行了對等云存儲系統(tǒng)信譽機制MingCredit的設計,并對其系統(tǒng)的綜合信譽度、信任模型和安全性等進行了分析和設計,同時依托于分布式哈希表開展了分布性云存儲服務系統(tǒng)方案設計工作,利用仿真實驗驗證該方案的可行性,實驗結果有力證實了對等云存儲系統(tǒng)是極具有效性與健壯性的信譽機制,能夠為網絡中誠實節(jié)點提供切實保護,同時最大限度地避免節(jié)點惡意交易現象。
關鍵詞:云存儲;抗洗底;攻擊
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)15-0053-03
入侵檢測主要是通過收集關鍵點中的信息分析其是否存在違法安全策略的行為,通常入侵行為包括違法安全策略、獨占資源、惡意使用。入侵檢測系統(tǒng)是指提供入侵檢測功能的軟件和硬件的組合。在云存儲系統(tǒng)中,由于云存儲服務系統(tǒng)包括了運營商服務器節(jié)點和Internet普通用戶節(jié)點,其服務系統(tǒng)具有很強的開放性,這種開放性給云存儲服務系統(tǒng)帶來了很多安全問題,而傳統(tǒng)分布式入侵檢測又無法完全保障系統(tǒng)安全,特別是存儲網絡內部的安全,因此本文將探討一種適用于對等云存儲網絡的自適應信任報警關聯入侵檢測系統(tǒng)(Intrusion Detection System IDS),通過自適應信任報警關聯引擎對傳統(tǒng)分布式入侵檢測系統(tǒng)進行擴充。
1 云存儲中的信任問題
在云存儲服務中信任主要是指服務與服務交互、節(jié)點與節(jié)點信息交互過程中,根據歷史經驗和交易信息對服務與節(jié)點提供的服務質量進行動態(tài)評估,根據該評估值進行描述云存儲服務的信任。隨著節(jié)點與節(jié)點間服務交互的累積和對目標節(jié)點服務能力的不斷認知,節(jié)點根據該質量存儲服務推斷節(jié)點后續(xù)行為和提供較好服務。結合云存儲服務系統(tǒng)的特點和云存儲網絡環(huán)境,云環(huán)境下的信任包含的元素有:
1)本體節(jié)點:本體節(jié)點是進行云存儲服務質量評估的主體,在MingCloud中一般只有一個本體節(jié)點,其本地節(jié)點對象可以是單純消費系統(tǒng)存儲服務的消費者節(jié)點,或者具有消費和提供存儲服務的大眾節(jié)點,有也可以是無償提供存儲資源的義務節(jié)點。
2)目標節(jié)點:目標節(jié)點是被進行云存儲服務質量評估的對象節(jié)點,其目標節(jié)點可以是多個,也可以是節(jié)點集合。
3)推薦節(jié)點:推薦節(jié)點是在本體節(jié)點和目標節(jié)點間提供推薦信任的一個節(jié)點或者多個節(jié)點的集合,是本節(jié)點和目標節(jié)點間的中間節(jié)點。
4)信任與信任度:信任是本節(jié)點與目標節(jié)點間根據一定服務質量標準評估目標節(jié)點服務質量的度量方法,該度量是根據目標節(jié)點提供的存儲服務質量歷史經驗進行的主觀判斷。其信任度計算方法主要有概率值、模糊值、離散值、信任云等。
5)直接信任:直接信任是指本體節(jié)點根據目標節(jié)點提供的云存儲服務質量歷史數據和本體節(jié)點根據自身知識而建立的主觀判斷,將存儲節(jié)點量化表示為直接信任度。
6)間接信任:間接信任是指根據推薦節(jié)點或者第三方推薦而形成的目標節(jié)點存儲服務質量判斷,通過該種方式建立的信任度為間接信任度,或者稱為推薦信任度和反饋信任度等。
云環(huán)境下節(jié)點間信任關系如圖1所示,用TAB和TBA分別描述A和B間的信任關系,而AC節(jié)點間由于沒有直接交易記錄,但A可以通過B節(jié)點獲得推薦,因此用TAC描述A節(jié)點與C節(jié)點間推薦信任度。在信任關系中雖然A和B是屬于直接信任,但A信任B的程度與B信任A程度不一定等同,而B和C間具有信任關系,但并不意味著A就信任C,但B對C的評價會影響到A對C的信任關系,節(jié)點間信任關系具有主觀性、非對稱性、傳遞性、動態(tài)性等。
7)總體信任度:總體信任度主要是云環(huán)節(jié)中各節(jié)點間的直接信任度和間接信任度的加權評價值。
8)信譽:信譽是云存儲服務系統(tǒng)中其它節(jié)點對目標節(jié)點所貢獻的存儲服務質量的綜合度量,反應了目標節(jié)點旅行服務水平及系統(tǒng)中其它節(jié)點對目標節(jié)點的信任程度??偟膩碚f信任就是單個節(jié)點對目標節(jié)點的主觀態(tài)度,而信譽是目標節(jié)點在公眾中的總體形象的體現,信任在一定程度上依賴信譽,但信譽并不能決定所有節(jié)點對目標節(jié)點的信任。在本論文研究中不進行深究信任與信譽,而是把信譽作為對等云存儲網絡中其它節(jié)點對目標節(jié)點綜合信任度來處理。
2 綜合信任度的計算
在對等云存儲網絡環(huán)境中,某個節(jié)點對目標節(jié)點的信任度不僅受到自身校驗經驗的判斷,同時也受到其它節(jié)點推薦信息的影響,在進行目標節(jié)點信任度計算時,要考慮到目標節(jié)點在線時間、貢獻的資源大小、節(jié)點計算能力。
在傳統(tǒng)信任模型中一般通過DT來描述節(jié)點i對j的直接信任度,用兩個節(jié)點間每次交易都會生成一個信任度值d,在進行k次交易其節(jié)點i對目標節(jié)點j建立的直接信任度值如(1)所示(其中為時間衰減系數)。
基于推薦值的權值計算陌生節(jié)點推薦強度用SRi,j表示:
在云存儲服務中本體節(jié)點接收所有推薦信息,只有當信任度得到一定程度時,如目標節(jié)點得到了0.5的服務等級后才開始接收其他節(jié)點傳遞的推薦信息。由此本位節(jié)點對于目標節(jié)點的綜合信任度讀可以通過Ti,j來描述,其綜合信任度計算方法為:
通過綜合信任度計算公式可以看出,綜合信任度由直接信任度、友好節(jié)點推薦信任度、陌生節(jié)點信任度組成,三者間可以通過α,β,λ進行控制三者比例,節(jié)點綜合多方面要素評價指數其計算方法為:
用C(i)描述了云存儲環(huán)境中目標節(jié)點綜合信譽度,S參數表示了目標節(jié)點在整個節(jié)點集群中貢獻的存儲資源容量,T描述了節(jié)點在線和離線時間總和,t描述了在線時間的總和,p(i)描述了節(jié)點的性能評價指數(如:節(jié)點處理速度、磁盤質量、網絡帶寬等),通過C(i)描述了目標節(jié)點在整個云存儲服務環(huán)境中的綜合信譽評價,云存儲系統(tǒng)也通過信譽機制保障了云服務的質量。
3 信任模型與報警關聯測試
3. 1實驗環(huán)境與目的
協同攻擊是指系統(tǒng)中的多個節(jié)點相互協作與相互提升對方的信譽度,然后但信譽度達到設置的標準后實施共謀攻擊和對其他節(jié)點進行詆毀攻擊等。
為了驗證信譽機制在云存儲服務系統(tǒng)中的有效性和性能,本小節(jié)對其進行仿真測試。測試工具采用Query Cycle Simulator軟件包,其測試環(huán)境:
(1) 服務器:IBM服務器(雙核3.4GHZ CPU,6G內存);
(2) 操作系統(tǒng):windows server 2008
(3) 開發(fā)工具:Eclipse 3.0
測試方法:每個節(jié)點發(fā)送周期性文件讀寫操作,從響應節(jié)點中選擇綜合信譽度最高的節(jié)點作為讀寫,若讀寫不成功則將該節(jié)點從響應節(jié)點中刪除,若則讀寫成功則將該節(jié)點設置為主服務器節(jié)點,在進行測試時為了能將每個節(jié)點進行分類,節(jié)點中不設置超級節(jié)點,通過普通節(jié)點不斷篩選出信譽度最高的節(jié)點。
1)普通節(jié)點。在云存儲服務系統(tǒng)中提供真實的服務和對其他節(jié)點進行客觀評價,若改普通節(jié)點讀寫文件成功,則信譽評價設置為0.75或者1,若讀寫不成功則設置其信任評價為0,0.25,或者0.5。
2)孤立的惡意節(jié)點。該類節(jié)點不提供真實服務、無云存儲資源以及惡意詆毀其他節(jié)點,其信任評價為0.
3)同謀節(jié)點。該類節(jié)點在具有孤立的惡意節(jié)點基礎上夸大團隊內其他節(jié)點的CMN評價,其信任度設置為1。
4)偽裝惡意節(jié)點,該類節(jié)點是同謀節(jié)點和孤立的惡意節(jié)點的組合,其有些節(jié)點具有存儲服務和有存儲資源,但夸大團隊內其他節(jié)點的評價,其信任評價設置為1,若存在惡意詆毀其他節(jié)點的交易過程則信任評價設置為0.
實驗參數:設置群集中有500個節(jié)點,每個節(jié)點都有3個鄰居節(jié)點,α,β,λ值分別為0.5,0.3,0.2,根據公式(7)計算出每個節(jié)點的綜合信譽度C(i)和綜合信任度Ti。
實驗目的:分析比較MingCredit、EigenTrust、DouWen、Random等算法的收斂速度。
3.2實驗結果與分析
在NM和SMN平均綜合信任度變化中,圖1給出了當網絡節(jié)點中SMN類的節(jié)點占40%環(huán)境下普通節(jié)點和孤立惡意節(jié)點初始綜合信任度都為0.3條件下,普通節(jié)點的綜合信任度數值不斷上升,而孤立的惡意節(jié)點則逐漸下降,由此證實了MingCredi算法能有效確認普通節(jié)點和孤立惡意節(jié)點,普通節(jié)點和孤立的惡意節(jié)點平均綜合信任度的變化如表1所示。此外從圖2中可以發(fā)現:普通節(jié)點的平均綜合信任度逐步趨近于0.5,說明了普通節(jié)點有了相對合理的信任度,而孤立惡意節(jié)點的平均綜合信任度逐步趨于0.15,實驗結果與理論計算結果相吻合。
4 結論
本文主要介紹了針對對等云存儲網絡中存在的安全保障問題,提出了一種基于自適應信任報警關聯的入侵檢測系統(tǒng),利用入侵檢測系統(tǒng)的完全分布式結構和自適應信任報警關聯機制抵御各種風險的能力。
參考文獻:
[1].Douceur. J. The Sybil Attack[C], In: 1st International Workshop on Peer-to-Peer Systems (IPTPS02),Springer, 2003.34-35
[2].俞能海,郝卓,徐甲甲等. 云安全研究進展綜述[J].電子學報. 2013(02) 67-76.
[3]. 洪澄,張敏,馮登國. 面向云存儲的高效動態(tài)密文訪問控制方法[J]. 通信學報. 2011,12(07) 56-57
[4].傅穎勛,羅圣美,舒繼武.安全云存儲系統(tǒng)與關鍵技術綜述[J]. 計算機研究與發(fā)展. 2013,21(01): 1341-1353.
[5].錢軍,陳振宇. 企業(yè)數據丟失與災難恢復方法研究[J]. 硅谷. 2012, 15(20): 571-583.
[6]馮登國,張敏,張妍,徐震.云計算安全研究[J].軟件學報. 2011(01) 56-57
[7]黃少濱,楊欣欣,申林山,李艷梅. 高階異構數據模糊聯合聚類算法[J]. 通信學報. 2014(06)23-24
[8]Reza Curtmola,Juan Garay,Seny Kamara,Rafail Ostrovsky.Searchable symmetric encryption: Improved definitions and efficient constructions[J]. Journal of Computer Security .2011,(5):46-48
[9] Wu J,Ping L,Ge X,et al.Cloud storage as the infrastructure of cloud computing. International Conference on Intelligent Computing and Cognitive Informatics . 2010 (4) 100-102