王娜 趙波 李昂

(1. 中國聯(lián)合網(wǎng)絡通信有限公司智網(wǎng)創(chuàng)新中心，北京 100044；2.京東集團信息安全部，北京 100176)

0 引言

當前，云計算與可信計算相結合是云計算安全可信架構下的研究熱點，很多學者從計算資源可信、應用環(huán)境可信和租戶隔離可信三方面建立“可信云計算環(huán)境”，從根本上確保用戶數(shù)據(jù)和應用安全[1]。

國外TCG組織可信計算的內(nèi)容包括身份認證、可信存儲和可信度量和報告，身份認證是指人機以及平臺之間的相互認證；可信存儲時采用密鑰和數(shù)字簽名的機制來保護用戶數(shù)據(jù)；可信度量和報告時采用某些策略來構建可信的用戶計算環(huán)境[2]，強調(diào)采用鏈式信任度模型保證整個計算機系統(tǒng)的可信。

我國的可信技術已發(fā)展到3.0階段的“主動防御體系”，其采用可信軟件棧來實現(xiàn)平臺完整、平臺身份證明以及可信存儲三個基本功能[3]。在主動免疫的“主動防御體系”提出的三層三元對等的可信連接框架上，沈昌祥等人[4-5]結合等級保護思想，提出“以主動免疫計算為基礎、訪問控制為核心”的“一個中心三重防護體系”框架，圍繞安全管理中心形成安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡的縱深積極防御體系，在防御體系的各層面間保護機制、響應機制和審計機制的防護策略聯(lián)動。

縱深積極防御體系對學者研究信息安全保障體系具有重大的指導意義，包括提出網(wǎng)絡和基礎設施、區(qū)域邊界、計算環(huán)境等多個位置進行全方面布置的防御機制，將安全風險降到最低[6-8]；構建攻擊者到目標之間的多層保護和檢測的防御機制，使得攻擊者在與云計算環(huán)境交互過程中面臨各種的檢測行為和訪問控制，以致其不能承受高昂的攻擊代價而放棄攻擊行為[9-11]；在信息價值和安全管理成本之間尋找平衡點，設置適當?shù)陌踩Ｗo強度和保障措施[12-13]。

由此可見，訪問控制已經(jīng)不僅僅是對用戶身份的認證和權限的限制，更體現(xiàn)在用戶與云計算環(huán)境交互過程中的可信性，因此信任機制可以基于屬性實現(xiàn)域間授權管理的思想廣泛運用，讓用戶以行為交互的方式動態(tài)構建互信系統(tǒng)從而獲得響應的訪問權限，并已廣泛應用在云計算環(huán)境中[14]。本文的研究重點將聚焦在多層防御機制里，也就是研究用戶與云計算環(huán)境訪問行為的安全信任評估模型，采用可信評估模型對用戶訪問行為進行安全控制和規(guī)范，構建云計算環(huán)境用戶信任度的實時評估，為云平臺安全的積極防御提供數(shù)據(jù)支撐。

1 云計算環(huán)境用戶行為信任評估模型構建思路

云計算環(huán)境用戶行為信任評估模型的構建思路是在身份認證的基礎上，對用戶操作行為的規(guī)范性實現(xiàn)基于使用訪問控制的信任評估模型?；谟脩舨僮餍袨橐?guī)范性的信任度度量類似動態(tài)信任鏈，通過用戶在云計算環(huán)境中的在線訪問行為來度量用戶當次操作行為的信任度?；谟脩粼L問行為的動態(tài)訪問控制能夠有效攻擊者的重放攻擊、假冒攻擊等行為，提升云計算環(huán)境下用戶行為的信任評估?；谏鲜鏊枷耄朴嬎悱h(huán)境用戶行為信任評估模型構建思路分為如下幾個階段(見圖1)。

圖1 云計算環(huán)境用戶行為信任評估模型

1.1 數(shù)據(jù)采集階段

該階段不僅對該平臺用戶信息、設備的基本信息以及用戶動作屬性信息進行采集，還要利用相關的工具收集云平臺訪問策略的相關信息。其中，用戶動作屬性信息集是為后續(xù)基于用戶訪問行為的特征提取提供數(shù)據(jù)準備。

1.2 特征提取階段

特征提取是信任評估模型的核心，本文采用一種預測-殘差框架的長短期記憶網(wǎng)絡對用戶訪問行為進行時序特征提取，結合誤差機制修正特征向量，實現(xiàn)用戶訪問行為特征的提取。具體特征提取的步驟如圖2所示。

圖2展現(xiàn)了一種預測-殘差框架的時序特征提取過程。結合用戶0—T時刻用戶在云計算環(huán)境交互的動作集合，實現(xiàn)LSTM的時序特征訓練，并到T+1時刻的動作預測值；將1—(T+1)時刻的動作集合((T+1)時刻采用上一步的預測值)輸入LSTM網(wǎng)絡，預測時刻0的動作；將0時刻的動作預測值與1—T時刻的動作真實值輸入訓練好的LSTM中，預測(T+1)時刻的動作，將其與第一步T+1時刻的動作預測值相比較，如果兩者的誤差小于實際的誤差閾值，說明LSTM訓練的特征值是可靠的，采用該LSTM進行時序特征提取；否則，需要進入下一輪的LSTM訓練。下一輪LSTM訓練的輸入數(shù)據(jù)與上一輪唯一的不同就是第一個動作值，在下一輪訓練中，下一輪第一個動作值采用上一輪第一個動作的預測值。

圖2 預測-殘差框架的時序特征提取

1.3 信任度評估階段

用戶的信任度包括兩部分：歷史行為信任度和當次行為信任度。歷史信任度是對歷史用戶的信任度，當次行為信任度是指用戶在與云計算環(huán)境交互過程的行為上下文對信任度進行計算，實現(xiàn)更有效的實時計算。信任度評估的目的是保護正常用戶的訪問行為，抑制惡意用戶通過積累信任度進行惡意攻擊。

1.3.1 歷史行為信任度

歷史行為信任度與用戶和云計算環(huán)境之間過去的訪問次數(shù)、信任度距離本次的計算時間以及交互信息的價值有關，具體的公式為：

(1)

其中，Ek表示第k個時間周期的用戶訪問行為信任評價；N表示第N個時間周期，一般來說最后一個時間周期為第N個時間周期；Vk表示第k個時間周期用戶訪問云平臺的信息價值。

1.3.2 當次行為信任度

在獲取用戶當次與云平臺交互行為時序特征后，采用BP神經(jīng)網(wǎng)絡來預測用戶在T時刻的訪問行為信任度。BP神經(jīng)網(wǎng)絡利用反向傳播的原理實現(xiàn)非線性預測，基于用戶當次行為信任度的BP神經(jīng)網(wǎng)絡包括輸入層、隱含層以及輸出層，其中輸入層輸入用戶行為的時序特征，共有10個節(jié)點；隱含層的節(jié)點數(shù)為5個；輸出層為基于時序特征預測的當次行為信任度，有1個節(jié)點。BP神經(jīng)網(wǎng)絡的參數(shù)包括：學習率為0.01，迭代次數(shù)為500，激活函數(shù)為Sigmond函數(shù)。當次行為信任度取值在0—1之間。神經(jīng)網(wǎng)絡結構具體如圖3所示。

圖3 基于BP神經(jīng)網(wǎng)絡的當次行為信任度預測

1.3.3 綜合信任度計算

用戶綜合信任度是運用加權平均法對歷史訪問行為信任度和當次訪問行為信任度進行加權平均，具體的計算公式為：

Trust=αD+βET

(2)

其中，α+β=1是修正系數(shù)。系統(tǒng)將會根據(jù)綜合信任度的評估值實時反饋到訪問控制策略中，訪問控制策略結合當前最新的綜合信任度對云平臺主體權限進行調(diào)整。

2 試驗分析

2.1 試驗環(huán)境說明

為了驗證提出算法的有效性，本文搭建了一個服務器集群，該集群包括16 臺服務器，每臺服務器的配置為：CPU 1.9 GHz，內(nèi)存32 G，硬盤存儲1 T。為了有效檢測網(wǎng)絡的安全性，采用開源檢測工具Nagios來實現(xiàn)各端口信息的采集，利用Ax3soft Sax2來檢測用戶的非法訪問行為。在該集群中，模擬100 名用戶，從100 名用戶中分別隨機選取30 名非法用戶，以此驗證用戶在開始采用規(guī)范的訪問行為后，利用自身積累的信任度開始實施惡意攻擊，算法如何利用訪問行為來評估用戶實時信任度，以實現(xiàn)訪問策略的動態(tài)調(diào)整。

2.2 數(shù)據(jù)集說明

100名用戶分別產(chǎn)生了1.8 萬條正常的訪問數(shù)據(jù)和4000 條攻擊類型的數(shù)據(jù)，采用10 次隨機抽樣的方案，選取3000 條正常數(shù)據(jù)和700 條攻擊數(shù)據(jù)作為訓練樣本數(shù)據(jù)，其他作為測試數(shù)據(jù)?？紤]到正常數(shù)據(jù)和攻擊數(shù)據(jù)的平衡性，本文將攻擊數(shù)據(jù)進行復制，最終訓練樣本的正常數(shù)據(jù)為3000 條，攻擊數(shù)據(jù)為2800 條；測試樣本的正常數(shù)據(jù)為1.5 萬條，攻擊數(shù)據(jù)為3200 條。表1和表2分別表示某一次抽樣的訓練樣本和測試樣本數(shù)據(jù)的分布情況。

表1 訓練數(shù)據(jù)的數(shù)據(jù)分布情況

表2 測試數(shù)據(jù)的數(shù)據(jù)分布情況

對數(shù)據(jù)進行10 次訓練后，獲得10 個訓練好的模型，然后將測試數(shù)據(jù)分別放進對應的訓練模型中，得到的訓練數(shù)據(jù)集準確率和測試數(shù)據(jù)集準確率如圖4所示。

圖4 訓練數(shù)據(jù)集和測試數(shù)據(jù)集的準確率

為了驗證云計算環(huán)境用戶行為信任評估模型在信任度預測的精度提升性能，將展現(xiàn)某一個用戶在持續(xù)攻擊的行為下，云平臺信任度實測值、基于BP神經(jīng)網(wǎng)絡信任度預測值以及云計算環(huán)境用戶行為信任評估模型信任度預測值在10 個觀察周期內(nèi)的對比情況，基于BP神經(jīng)網(wǎng)絡信任度預測是直接將用戶的一系列交互行為放進BP神經(jīng)網(wǎng)絡中實現(xiàn)當次訪問信任度的預測，然后將當次訪問信任度與歷史訪問信任度進行加權平均后得到綜合信任度。BP神經(jīng)網(wǎng)絡信任度預測方法與云計算環(huán)境用戶行為信任評估模型的預測方法最大的不同是：云計算環(huán)境用戶行為信任評估模型是采用預測-殘差框架的長短期記憶網(wǎng)絡對用戶與云平臺的交互行為進行時序特征提取，將時序特征輸入BP神經(jīng)網(wǎng)絡實現(xiàn)當次信任度預測；而BP神經(jīng)網(wǎng)絡信任度預測方法沒有考慮時序特征提取的問題。

通過信任度預測值對比可知，隨著持續(xù)攻擊行為的實施，用戶信任度將持續(xù)下降。在開始階段，BP神經(jīng)網(wǎng)絡和云計算環(huán)境用戶行為信任評估模型的信任度預測值與實測值差異不大，這是因為初期階段，BP神經(jīng)網(wǎng)絡和云計算環(huán)境用戶行為信任評估模型對用戶信任度估計基本上依賴用戶歷史信任度；隨著攻擊行為的持續(xù)，云計算環(huán)境用戶行為信任評估模型將會趨同于實測數(shù)據(jù)，這是因為云計算環(huán)境用戶行為信任評估模型采用預測-殘差框架的長短期記憶網(wǎng)絡對用戶一系列交互行為的時序特征進行有效提取，在一定程度上提升用戶信任度預測的準確度；而BP神經(jīng)網(wǎng)絡僅僅將用戶的訪問行為進行簡單的非線性擬合，沒有很好地反映訪問行為之間的時間關聯(lián)性，因此其預測信任度誤差將會越來越大。

3 結束語

本文采用一種新的框架實現(xiàn)云計算環(huán)境下用戶訪問行為時序特征的提取，該架構能夠較為準確地反映用戶訪問行為的時間關聯(lián)性，提升云計算環(huán)境下用戶信任度預測的精度。試驗表明，云計算環(huán)境用戶行為信任評估模型與BP神經(jīng)網(wǎng)絡相比，信任度預測值隨著觀察周期的深入與實測值的誤差越來越小，這是因為云計算環(huán)境用戶行為信任評估模型在預測信任度時考慮了用戶交互行為的時序特征，能夠自適應應對用戶交互行為的動態(tài)性變化，更加滿足網(wǎng)絡安全態(tài)勢動態(tài)評估的需求。