徐勝超

(廣州華商學院 數(shù)據(jù)科學學院, 廣東 廣州 511300)

0 引言

容器技術是近年來云計算行業(yè)發(fā)展中的新興技術，容器虛擬化技術及其平臺更是憑借自身部署快、移植性、輕量級、性能高、啟動迅速等優(yōu)勢，被廣泛應用于各大云服務項目中[1-5]。由于容器 Docker的存在，容器技術極大地改變了云計算的發(fā)展, 在容器云平臺的一個單獨的空間里，每個進程都有自己的文件系統(tǒng)、網(wǎng)絡棧、進程組等，并且可以把 CPU、存儲器等資源分配到這個獨立的空間。在不同的容器中，過程是彼此獨立的，這樣就不會有任何的干涉和沖突，管理員可以在整個環(huán)境下配置并監(jiān)視容器中的應用。容器云是云上的容器技術服務，但隨著容器云存儲的異質性數(shù)據(jù)不斷增多，容器云會因數(shù)據(jù)不兼容而引發(fā)CPU數(shù)據(jù)異常、內存數(shù)據(jù)異常、網(wǎng)絡數(shù)據(jù)異常等故障[6-9]。

國內外專家對容器云安全風險進行了研究。國內文獻[10]提出基于粗糙集構建了容器云系統(tǒng)健康度評價模型，利用信息熵分割容器云安全監(jiān)控數(shù)據(jù)的連續(xù)屬性，建立一致性檢查決策表，完成對容器云系統(tǒng)的安全評價。文獻[11]基于灰色神經(jīng)網(wǎng)絡設計了云平臺大數(shù)據(jù)安全風險評估方法，采用基于自治的元組劃分方法分類云數(shù)據(jù)的安全風險信息；利用高斯密度譜提取風險信息特征；利用灰色神經(jīng)網(wǎng)絡構建信息風險分解模型；采用自適應差分改進方法評估云平臺大數(shù)據(jù)的安全風險。國外研究文獻[12]深入評估云計算的安全風險。分析云計算的復雜環(huán)境，提出了一個基于Delphi的云安全風險評估模型，用于識別、分析和評估云計算的安全風險。

基于以上研究成果，本文提出基于歷史數(shù)據(jù)分析的容器云安全風險評估方法。根據(jù)云計算安全標準，將容器云的風險等級分為四類；根據(jù)風險等級，創(chuàng)新性地利用粗糙集算法挖掘和度量容器云歷史數(shù)據(jù)中的三種風險因素對程序運行的攻擊情況，并進行歸約集合；基于風險因素度量結果，根據(jù)容器云的運行特點，設立隱私影響、脆弱性和威脅頻度三個風險評估指標；通過德爾菲方法和決策隸屬度矩陣計算安全風險權重。實驗結果表明本文方法通過計算容器云安全的隱私影響、脆弱性和威脅頻度風險值，實現(xiàn)了精準風險評估，最大程度保證用戶隱私數(shù)據(jù)安全。

1 容器云及其歷史數(shù)據(jù)風險因素度量

1.1 容器云技術概述

容器云平臺開展工作的時候，平臺基本單位為容器，封裝軟件為平臺運行環(huán)境。容器云平臺主要側重于容器的編排以及資源的部署、共享，結合容器技術與虛擬化技術，構建容器云平臺的體系結構，如圖1所示。從圖1中可以看出，容器云平臺的架構由下往上劃分為設備層、共享資源層、集群服務層、應用層。設備層主要是指用戶購買的服務器，路由器，集線器，物理存儲等。共享資源層是以硬件資源庫為基礎，利用虛擬化技術將多個大型服務器設備按特定的類型進行分區(qū)。集群服務層次包括資源配置、項目發(fā)布、多個集群提供真實服務。應用層次主要是云客服端對容器云的訪問。

圖1 容器云平臺的分層結構

集群服務層次是通過安裝 Docker、 Kubernetes之類的容器平臺軟件來實現(xiàn)的，它可以一鍵式地安裝 shell腳本，并大量地配置集群。該系統(tǒng)是一種面向對象的人機交互系統(tǒng)，它可以讓開發(fā)者將自己的應用程序以容器的形式發(fā)布到集群中，并為應用程序提供遷移、升級、擴充、回滾等服務。其中，資源配置模塊的作用就是在容器云平臺上進行資源分配，確保其安全性、穩(wěn)定性、決策策略，以提高資源的使用效率和服務質量，并承擔軟件發(fā)布系統(tǒng)的開發(fā)和維護工作。

1.2 容器云資源的整合

在容器云類似是一種網(wǎng)絡資源管理平臺，其最重要的功能是資源整合。資源整合之前，需要對云資源進行虛擬化處理。將物理機的 CPU、內存、存儲器等全部仿真出來，并將 Guest OS的指令與下級硬件接口連接，然后捕獲并處理這些對虛擬機敏感的權限命令。在此基礎上，針對虛擬化的容器云資源按照圖2表示流程進行整合處理。

圖2 容器云平臺資源整合處理流程圖

如果要求容器云資源整合結果中不存在冗余資源數(shù)據(jù)，因此需要計算容器云資源中的任意兩個數(shù)據(jù)之間的冗余度。若冗余度計算結果為1，則表示判斷的兩個數(shù)據(jù)為冗余資源，需要刪除其中一個。最終按照容器資源的存儲空間順序進行資源融合，并得出冗余度較低的云資源融合結果。

容器云資源編排重組的實質是為計算節(jié)點指定一個容器，其目的是在較低的違約率條件下使用盡可能多的容器來實現(xiàn)最小的開銷，從而實現(xiàn)最大的利潤。排列重構大致可以分成兩個階段，第一步是縮減節(jié)點數(shù)目，將資源消耗較低的計算節(jié)點中的容器盡量轉移到其他的節(jié)點，同時銷毀閑置的計算節(jié)點，從而達到減少節(jié)點總量、降低運營費用的目的。其次，采用負載平衡策略，在兩個節(jié)點間找到一對滿足交換條件的容器，從而減少結點的碎片率，并實現(xiàn)負載平衡。最終以物理機為單位，將其內部的容器云資源根據(jù)CPU占用率從高到低進行排列，得出容器云資源序列的編排重組結果，由此完成容器云資源的部署任務。

類似于這種Docker這種容器云平臺，資源管理模塊還負責在容器云中的各個結點上對層次文件緩存進行同步，并通過 API對 Docker鏡像中的元數(shù)據(jù)進行處理。為了在容器云中獲得層次檔案的緩存，必須在 Docker引擎中增加一個界面，定期地將每個結點的層次緩存資源與物理機結點進行增量同步。

1.3 容器云資源整合的約束條件

為了管理好容器云內的物理資源，容器云資源部署的約束條件為：

(1)

(2)

(3)

(4)

(5)

通過上面的分析可以看出，容器云是將原有應用程序鏡像虛擬化，如果程序本身攜帶病毒，病毒很容易通過應用程序入侵容器云程序，對CPU、內存、網(wǎng)絡帶寬數(shù)據(jù)進行攻擊，導致數(shù)據(jù)出現(xiàn)異常，嚴重干擾容器云的運維，甚至危害容器云內部存儲的隱私數(shù)據(jù)的安全。因此，為了準確判斷出風險攻擊類型，最大程度保證用戶隱私數(shù)據(jù)安全，需要對容器云進行安全風險評估。

1.4 容器云的數(shù)據(jù)風險因素

容器云的數(shù)據(jù)中的風險因素有CPU異常數(shù)據(jù)、內存異常數(shù)據(jù)、網(wǎng)絡異常數(shù)據(jù)。假設決策系統(tǒng)DS稱S=(U,A,{Va},a)代表云安全內知識系統(tǒng)(該知識系統(tǒng)基于《云計算服務安全能力要求》)，其中S代表論域，a:U→Va代表單射A代表歷史數(shù)據(jù)風險屬性集合，a代表風險等級，Va代表風險因素a∈A域，U是Va內唯一參數(shù)值。

若A是通過容器云歷史數(shù)據(jù)風險因素集合C與結論屬性集合D所構成的，那么C、D滿足C∩D=φ。在決策系統(tǒng)內，U集合中的所有元素都存在對應的規(guī)則，其中，規(guī)則前件通過C確定，規(guī)則后件通過D確定。

假設不可分辨關系：決策系統(tǒng)S=(U,C∪D)，用B?C描述屬性子集，二元關系IND(B,D)={(x,y)∈U×U:f(x,a)=f(y,a)?a∈B}則代表S不可分辨。

相對于風險因素等級判定指標S(U,A)，設置歷史數(shù)據(jù)安全屬性B?A，屬性X?U，以此可得到具體公式為：

BX={x∈U|[x]IND(B)∈X}

(6)

(7)

其中:式(6)表示為下近似，式(7)表示為上近似，而下近似BX則表示全部X子集內原子集并集，且包括X最小復合集。

假設X?U上近似與下近似，把U進行劃分，明確邊界區(qū)域BND(X)、正向區(qū)域POS(X)以及負向區(qū)域NEG(X)，可以得到具體公式為：

POS(X)=B(X)

(8)

(9)

(10)

假設數(shù)據(jù)屬性B與R?U間的互相依賴，能夠使用屬性間依賴函數(shù)相互衡量[13]，具體公式為：

(11)

(12)

式中,card(·)代表集合基數(shù)，POSR(B)代表屬性集R處于U/IND(B)內正區(qū)域。

在屬性α加入R，計算分類U/IND(B)的重要程度為：

SGF(a,R,B)=yR(B)-yR-{a}(B)

(13)

屬性α依賴于B以及R，所以處于不同背景，屬性有可能會不同。若定義D代表決策屬性，那么SGF(α,R,D)可反映：把α添加至屬性R內后，改變了R和D間依賴程度，體現(xiàn)屬性α重要性。

若數(shù)據(jù)的冗余屬性[14]相對于屬性D以及R，則屬性α∈R，若POSR(D)=POSR-{a}(D)，那么α在R內則為冗余，反之，α在R內相對于D是必要的。

通過對容器云安全屬性進行歸約[15]，可以使每個條件屬性存在互相關聯(lián)，通常為C′?C，其中C′內的云安全屬性能夠確認結論屬性D取值[16-17]。

容器云安全數(shù)據(jù)屬性的歸約條件：在決策系統(tǒng)S=(U,C∪D)內，集合C歸一代表C的非空子集C′，具體滿足如下所示：

1)IND(C′,D)=IND(C,D)。

2)不存在C′′?C′，令IND(C′′,D)=IND(C,D)。

則C的全部歸約集合可以標記成RED(C)。

以上集合即為容器云的歷史數(shù)據(jù)中的風險因素歸約集合，該集合中包含了風險因素CPU異常數(shù)據(jù)、內存異常數(shù)據(jù)、網(wǎng)絡異常數(shù)據(jù)對程序運行的攻擊類型和攻擊結果。在此基礎上，建立容器云安全風險評估模型。

1.5 容器云可信環(huán)境

容器云可信環(huán)境由管理節(jié)點和計算節(jié)點共同構成，公式如下所示：

En={M,N1,N2,...,Nn}

(14)

其中:E表示可信容器云環(huán)境，M則表示可信容器云其中的管理節(jié)點，Ni(i=1,2,...,n)表示可信容器云中的計算節(jié)點。

可信容器云中的管理節(jié)點M代表容器云整體環(huán)境的安全管理中心，能夠管理容器云環(huán)境中全部的計算節(jié)點，主要由系統(tǒng)管理、安全管理以及審計管理三個部分共同構成。

而可信容器云中的計算節(jié)點N在整體容器云環(huán)境中，負責進行業(yè)務處理，其上運行容器引擎和容器實例，具體公式如下：

N={D,C1,C2,...,Cn}

(15)

其中:N就是可信容器云的計算節(jié)點，D則表示可信容器云上運行的容器引擎，能夠管理容器實例，Ci(i=1,2,...,n)就是容器引擎所管理的容器實例。

2 容器云安全風險評估模型

由于容器云是對應用程序鏡像虛擬化，因此受到應用程序中病毒和外來侵入病毒的雙面威脅，且容器云內存在了大量異質性數(shù)據(jù)，因此程序運行較為脆弱，數(shù)據(jù)中包含了重要隱私信息。根據(jù)上節(jié)利用粗糙集算法根據(jù)容器云歷史數(shù)據(jù)歸納計算出的風險因素CPU異常數(shù)據(jù)、內存異常數(shù)據(jù)、網(wǎng)絡異常數(shù)據(jù)對程序運行的攻擊方式、攻擊位置和攻擊結果，將安全風險評估的一級指標設為隱私影響、威脅頻度、脆弱性[18-20]。首先計算指標權重。

2.1 對容器云中的鏡像文件進行掃描

在容器云的平臺上裝備“掃描容器”，對容器云內的倉庫鏡像、節(jié)點鏡像進行獲取，并通過儲存在掃描容器內部的鏡像文件掃描器對鏡像文件中的軟件包進行分離，以CVE安全漏洞庫、Webshell庫和病毒木馬庫為基礎，深度掃描軟件包，對其中存在的漏洞以及安全風險進行發(fā)掘，逐層對其進行敏感掃描。掃描內容主要包括：鏡像中的軟件包和文件。

對鏡像進行掃描后，使其分離為對應的層和軟件包，再對軟件包進行檢查，對于鏡像中的文件，要對其進行分層提取，同時對分層后的文件逐層進行檢測。其中主要應用歷史數(shù)據(jù)分析法、模糊哈希、YARA規(guī)則以及機器學習等方式。

鏡像掃描的流程如下所述:

1)對容器進行掃描，從中提取容器鏡像，并將其保存為壓縮包，格式為tar;

2)用拆包器將屬于tar格式的鏡像拆分成鏡像層;

3)對manifest.json文件中的鏡像層進行提取;

4)通過layer_id對數(shù)據(jù)文件進行解析;

5)對可疑文件通過惡意病毒和WebShell進行檢測打分;

6)對鏡像中的軟件包版本進行解析;

7)將解析結果與CVC漏洞進行匹配，發(fā)掘其中的安全風險;

8)分析鏡像歷史行為以及證書文件;

9)對漏洞信息進行綜合打分;

10)將鏡像掃描報告輸出。

2.2 容器云安全風險指標權重

通過德爾菲方法獲取安全指標的初步權重。再通過決策隸屬度矩陣計算安全風險最終權重結果。具體分為以下幾個步驟。

1)組建評估專家小組。

選取容器云、風險評估、社會管理等領域的專家若干，組建專家小組，每組包含三個領域的專家至少一名。

2)設計調查問卷。

依據(jù)相關材料設計調查問卷，調查問卷中全部為有助于確定指標權重的信息。

3)專家小組評估權值。

每個專家小組成員獨立地依據(jù)調查問卷評估指標權重值。

4)獲得結果。

重復步驟2)、3)，直至專家小組的評估結果趨于一致，將此評估結果作為指標的初步權重值集合。為了避免初步權重值集合具有主觀性誤差，考慮容器云安全脆弱性、威脅頻度以及隱私影響因素間存在的關聯(lián)性，因此結合馬爾科夫鏈[21]計算上節(jié)得出的初步權重值集合，構建決策矩陣，進一步對所有指標實行歸一化處理，提高指標權重的客觀性。

設評分影響隱私的風險因素為j，可以得到隱私影響指標權重具體公式為：

(16)

式中，E代表評估指標個數(shù)，k為隸屬度系數(shù)。則隱私影響指標權重向量為? = (pjk 1,pjk 2,…,pjk n1)，其中n1代表隱私影響評價指標內的元素個數(shù)。

通過公式(16)計算出脆弱性因素f、威脅頻度因素t的指標權重分別為pfk、ptk。

則威脅頻度指標權重向量為μ= (ptk 1,ptk 2, …,ptk n2)，其中n2代表威脅頻度評價指標內的元素個數(shù)。

則脆弱度指標權重向量為θ= (pfk 1,pfk 2, …,pfk n2)，其中n3代表威脅頻度評價指標內的元素個數(shù)[22]。

那么三項指標權重合集公式為：

R=η+θ+?

(17)

根據(jù)指標權重合集R構建決策矩陣Q，具體公式為：

(18)

式中，q代表決策權重。

進一步對Q內的每一行實行歸一化處理，可以得到公式為：

(19)

最終獲得評估指標最終權重。

2.3 實現(xiàn)容器云安全風險評估

基于容器云安全風險評估指標最終權重，對容器云的歷史數(shù)據(jù)中的風險因素歸約集合RED(C)建立風險值評判矩陣[23-24]。

(20)

在不損失信息的前提下，采用最簡單的表達方式，集合管理評判屬性。

核心數(shù)據(jù)分辨矩陣：在容器云安全系統(tǒng)S內，關于屬性集RED(C)γ分辨矩陣M(C)γ=(Mi,j)n×n，具體公式：

(21)

式中,M(C)=(Mi,j)n×n表示區(qū)分指標權重項xi,xj完整信息[25-26]。

計算容器云的整體風險值：

(22)

通過上述步驟，實現(xiàn)容器云安全風險評估。

3 實驗與性能分析

3.1 實驗環(huán)境

為了驗證基于歷史數(shù)據(jù)分析的容器云安全風險評估方法在實際應用中是否能夠達到合格標準，選擇在容器云Kubernetes平臺Slave采集的四組數(shù)據(jù)作為實驗數(shù)據(jù)。第一組數(shù)據(jù)為600個基本訓練數(shù)據(jù)；第二組數(shù)據(jù)在第一組基礎上插入100條CPU異常數(shù)據(jù)；第三組數(shù)據(jù)在第二組數(shù)據(jù)基礎上插入100條內存異常數(shù)據(jù)；第四組數(shù)據(jù)在第三組數(shù)據(jù)基礎上插入100條網(wǎng)絡異常數(shù)據(jù)。為了模擬容器云風險攻擊，在容器中運行Tensorflow卷積神經(jīng)網(wǎng)絡Demo模擬CPU風險攻擊、內存攻擊、網(wǎng)絡攻擊對容器云網(wǎng)絡安全風險進行評估測試。測試前對數(shù)據(jù)進行預處理：

1)將攻擊數(shù)據(jù)矩陣格式轉換為二維數(shù)據(jù)；

2)分離輸出分類為OneHot編碼；

3)對構造出來的二維數(shù)據(jù)進行歸一化處理。

Tensorflow卷積神經(jīng)網(wǎng)絡Demo測試模型采用最經(jīng)典的LeNet-5結構。以20×12(每行12個特征)的卷積層格式輸入數(shù)據(jù)集進行測試。

設置風險評估指標，引入安全度ν，并且設置ν∈[0,1]。以此作為風險值的評估條件，對標準風險等級進行細化，將四級風險進一步劃分為五級風險，具體指標如表1所示。

表1 風險值評估指標

3.2 實驗結果與分析

為了驗證容器云安全隱私影響情況，通過重復性的CPU風險攻擊、內存攻擊、網(wǎng)絡攻擊，評估搭建的容器云網(wǎng)絡隱私影響風險結果，具體如圖3所示。

圖3 隱私影響風險評估

通過觀察圖3能夠看出，CPU風險攻擊在實驗次數(shù)為40次時，出現(xiàn)大幅度上升，這是因為CPU風險攻擊導致搭建的容器云網(wǎng)絡平臺運行出現(xiàn)卡頓，影響運行速度，其隱私影響風險值處于0～0.6之間，說明容器云網(wǎng)絡存在一般風險，有一定危險性。而針對內存攻擊、網(wǎng)絡攻擊，由于并未入侵成功，因此一直保持一個平穩(wěn)的狀態(tài)，并未對容器云安全造成嚴重影響，其風險值處于0～0.2之間，說明容器云網(wǎng)絡無風險，容器云網(wǎng)絡數(shù)據(jù)安全。

同樣方式評估容器云安全威脅頻度風險，具體如圖4所示。

圖4 威脅頻度風險評估

通過觀察圖4能夠看出，內存攻擊在實驗次數(shù)為40次時，出現(xiàn)大幅度上升的情況，這主要是因為在實驗次數(shù)為30次之前的容器云忽略了內存入侵安全，并未實行有效處理，因此對整體網(wǎng)絡造成了累積性的傷害，使其威脅頻度風險上升，整體曲線處于0～0.8之間，存在較高風險，其容器云安全性較差。而CPU風險攻擊和網(wǎng)絡攻擊則對容器云安全影響較低，這是因為CPU風險攻擊和網(wǎng)絡攻擊雖然導致容器云運行速度降低，但并不會使容器云數(shù)據(jù)丟失，其風險值為0～0.4之間，說明容器云安全風險較小。

同樣操作下評估容器云的脆弱性風險，具體結果如圖5所示。

圖5 脆弱性風險評估

通過觀察圖5能夠看出，三種攻擊對于容器云脆弱性影響均較大，且二者都是隨著實驗次數(shù)的增加，其容器云網(wǎng)絡的脆弱程度提高，當實驗次數(shù)為80次時，其風險值整體曲線處于0～0.8以內，說明容器云安全性較差，存在較大風險。

因為容器云的各風險之間存在關聯(lián)性，所以要計算所有風險數(shù)值，本文將3種風險評估結果的風險數(shù)值進行整合處理，獲得整體風險評估具體結果如圖6所示。

圖6 三種風險整合后的整體風險評估結果

觀察圖6能夠看出，經(jīng)過重復性實驗，且并未對三種攻擊行為實行有效的后續(xù)補救措施，因此，容器云整體風險評估值較高，均處于0～0.8之間，說明容器云網(wǎng)絡環(huán)境存在較大風險，符合實驗設置的行為，其評估結果精度較高。

綜合上述分析，基于歷史數(shù)據(jù)分析的容器云安全風險評估方法能夠有效實現(xiàn)容器云安全風險評估，且評估結果較為準確，這主要是因為基于歷史數(shù)據(jù)分析的容器云安全風險評估方法，通過分析歷史數(shù)據(jù)，生成豐富的經(jīng)驗，從而有效提高容器云安全風險評估精度。

4 結束語

本文提出一種基于歷史數(shù)據(jù)分析的容器云安全風險評估方法，通過挖掘出歷史中影響容器云安全性能的風險因素，計算整體容器云安全的脆弱性、隱私影響以及威脅頻度風險值，將三種風險進行整合，即可實現(xiàn)容器云安全整體的風險評估。