汪傳章+徐洪珍+徐德華

摘要：針對(duì)目前云計(jì)算環(huán)境下分布式入侵檢測(cè)系統(tǒng)行為分析方法的不足，提出用演化博弈理論構(gòu)建檢測(cè)系統(tǒng)行為分析的預(yù)測(cè)模型，用復(fù)制動(dòng)態(tài)方程描繪參與人行為策略選取趨勢(shì)，用演化穩(wěn)定策略刻畫(huà)動(dòng)態(tài)局面的收斂方向，分析討論了不同損益條件對(duì)檢測(cè)系統(tǒng)行為的影響。在該基礎(chǔ)上，給出合理的安全方案，供管理人員參考。最后，設(shè)計(jì)實(shí)驗(yàn)進(jìn)行分析，驗(yàn)證了該模型的理論，以及預(yù)測(cè)結(jié)果的正確性。

關(guān)鍵詞：云計(jì)算；演化博弈；分布式入侵檢測(cè)；趨勢(shì)預(yù)測(cè)

中圖分類(lèi)號(hào)：TP183 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）10-0178-03

Abstract： For the lack of distributed IDS behavior analysis method in cloud computing environment， this paper proposes a model based on evolutionary game theory for distributed IDS in cloud behavior analysis and prediction， depict strategy selection trend of participator behavior with replicator dynamics equation， describe convergence trend of dynamic situation with evolutionary stable strategy， and analyse the effect on IDS behavior on different profit and loss condition. Then the paper gives out a reasonable security management suggestion for manager consider. Finally， an experiment is designed over analysis for the model to show the effectiveness of the proposed method.

Key words： cloud computing； evolutionary game； distributed intrusion detection system； trend prediction

1 概述

近年來(lái)，隨著云計(jì)算的蓬勃發(fā)展，云計(jì)算的新技術(shù)、新應(yīng)用正慢慢延伸到人們的日常工作和生活中，發(fā)揮著越來(lái)越重要的作用。云計(jì)算技術(shù)的進(jìn)步在給人們帶來(lái)方便和好處的同時(shí)，也對(duì)人們的信息安全工作提出了新的要求。云計(jì)算環(huán)境下的安全技術(shù)主要包括云資源訪(fǎng)問(wèn)控制、密文處理、數(shù)據(jù)可用性、隱私保護(hù)、虛擬安全技術(shù)等[1]。其中，對(duì)云資源的訪(fǎng)問(wèn)控制的研究仍然是一大研究熱點(diǎn)。學(xué)者們對(duì)云資源訪(fǎng)問(wèn)控制的研究主要包括安全審計(jì)、等級(jí)保護(hù)、訪(fǎng)問(wèn)控制、入侵檢測(cè)、信任評(píng)估等。其中，入侵檢測(cè)技術(shù)以其主動(dòng)性、全面性、智能性等優(yōu)勢(shì)備受青睞。然而，隨著云環(huán)境的異構(gòu)性與復(fù)雜性不斷增強(qiáng)，傳統(tǒng)網(wǎng)絡(luò)下的入侵檢測(cè)技術(shù)方案并不再能很好適應(yīng)云計(jì)算日趨智能化、系統(tǒng)化、綜合化的環(huán)境。

針對(duì)云環(huán)境日益擴(kuò)大化、復(fù)雜化以及單一設(shè)備的負(fù)載過(guò)于集中等問(wèn)題，學(xué)者們紛紛提出適用于云環(huán)境下的新型入侵檢測(cè)模型：Dermott等[2]提出一種基于DS證據(jù)理論的協(xié)作式跨域云入侵檢測(cè)系統(tǒng)，Akramifard等[3]則從用戶(hù)行為模式分類(lèi)的角度出發(fā)，提出一種基于多級(jí)模糊神經(jīng)網(wǎng)的云入侵檢測(cè)系統(tǒng)。其中，云環(huán)境下的分布式入侵檢測(cè)系統(tǒng)以其獨(dú)立性、靈活性、可擴(kuò)展性、錯(cuò)誤擴(kuò)散小、協(xié)作性等[4]的優(yōu)勢(shì)越來(lái)越受到學(xué)者們的關(guān)注。Li、Kumar等[5-6]提出了一種基于云理論的分布式入侵檢測(cè)系統(tǒng)，Li[7]提出了一種基于人工神經(jīng)網(wǎng)的云分布式入侵檢測(cè)系統(tǒng)，Zhang等[8]提出了一種基于粗糙集的云分布式入侵檢測(cè)系統(tǒng)。

雖然學(xué)者們?cè)谠骗h(huán)境下的入侵檢測(cè)技術(shù)研究做了較多工作，但很少有學(xué)者對(duì)云分布式入侵檢測(cè)系統(tǒng)行為趨勢(shì)分析、系統(tǒng)行為發(fā)展預(yù)測(cè)進(jìn)行深入研究。本文將演化博弈理論應(yīng)用于云環(huán)境下的分布式入侵檢測(cè)系統(tǒng)行為趨勢(shì)分析預(yù)測(cè)，從參與人有限理性的立場(chǎng)出發(fā)，提出一種基于演化博弈理論的云分布式入侵檢測(cè)系統(tǒng)行為分析預(yù)測(cè)模型，分析討論不同損益條件對(duì)檢測(cè)系統(tǒng)行為的影響，得出合理的安全管理方案。最后，通過(guò)實(shí)驗(yàn)驗(yàn)證該模型的理論以及預(yù)測(cè)結(jié)果的正確性。

2 基于演化博弈理論的行為分析預(yù)測(cè)模型

本文將全部云分布式入侵檢測(cè)系統(tǒng)看作一個(gè)種群，云中的所有分布式入侵檢測(cè)系統(tǒng)個(gè)體是該種群的個(gè)體。各個(gè)檢測(cè)系統(tǒng)彼此獨(dú)立、對(duì)等，通過(guò)相互之間交換信息，并結(jié)合自身現(xiàn)狀，作出是否協(xié)同工作的決定。種群中有不同比例的群體選取特定行動(dòng)，將采用不同行動(dòng)的入侵檢測(cè)系統(tǒng)抽象成不同“類(lèi)型”的博弈方，“類(lèi)型”會(huì)隨著博弈方策略而改變。執(zhí)行特定行動(dòng)的種群個(gè)體隨機(jī)配對(duì)，組成參與人組合，也即不同策略選取組合的搭配。

3 基于演化博弈模型的云入侵檢測(cè)系統(tǒng)行為預(yù)測(cè)

模型中的入侵檢測(cè)系統(tǒng)作為思維有限理性的角色，對(duì)所處環(huán)境、信息并不能做到全完掌握，或可能由于自身原因做出錯(cuò)誤決策，使得博弈結(jié)果不能總達(dá)到最佳。

從檢測(cè)系統(tǒng)博弈的復(fù)制動(dòng)態(tài)方程的鞍點(diǎn)來(lái)看，由于，復(fù)制動(dòng)態(tài)具備穩(wěn)健性的演化趨向?yàn)?e：＼知網(wǎng)文件＼電腦10——12＼5xs10＼image＼image18.png>和，和都是穩(wěn)定的演化趨向，也都是檢測(cè)系統(tǒng)可能的策略選擇。若C為定值，當(dāng)協(xié)同工作帶來(lái)的額外收益（G）與規(guī)避風(fēng)險(xiǎn)的保守工作帶來(lái)的收益（H）之差越大，值越偏向于0，部分面積越大，代表檢測(cè)系統(tǒng)選取協(xié)同工作策略的概率越大；相反，若部分為定值，若協(xié)同工作的成本（C）越大，值越偏向于1，代表檢測(cè)系統(tǒng)拒絕協(xié)作、單干的概率越大。例如一般的基礎(chǔ)設(shè)施即服務(wù)（IaaS）設(shè)備協(xié)同工作的成本（C）一般都不會(huì)改變，為提高檢測(cè)系統(tǒng)協(xié)同工作的概率，可嘗試減少回避協(xié)作帶來(lái)的收益，或增大協(xié)同工作帶來(lái)的額外收益，以保證云服務(wù)設(shè)備能夠得到更大的保障。

4 實(shí)驗(yàn)分析

4.1 數(shù)據(jù)設(shè)定與模擬

本文對(duì)模型中的變量進(jìn)行賦值：取H=10；G=6；C=3，實(shí)驗(yàn)結(jié)果如圖3所示。

4.2 實(shí)驗(yàn)結(jié)果分析

圖3描繪出了隨著云入侵檢測(cè)系統(tǒng)之間的長(zhǎng)期博弈過(guò)程的進(jìn)行，檢測(cè)系統(tǒng)之間博弈策略選取趨勢(shì)的總體相位圖。由圖中可觀察到，檢測(cè)系統(tǒng)存在協(xié)作與獨(dú)立工作的可能，如前文分析，即便選擇協(xié)作的檢測(cè)系統(tǒng)數(shù)量高達(dá)70%，也會(huì)漸漸趨向于選擇獨(dú)立工作。此時(shí)若依前文結(jié)論，將協(xié)同工作的成本（C）減小為1.9，檢測(cè)系統(tǒng)之間策略選取趨勢(shì)的相位圖將如圖4所示，檢測(cè)系統(tǒng)獨(dú)立工作的可能性減少，而與其他檢測(cè)系統(tǒng)協(xié)同工作的可能性增大，由此說(shuō)明減小檢測(cè)系統(tǒng)協(xié)同工作成本確實(shí)有助于增大檢測(cè)系統(tǒng)協(xié)同工作的可能，從而驗(yàn)證了前文的結(jié)論。同理將回避收益（H）減少時(shí)也將有同樣效果。

5 結(jié)束語(yǔ)

本文應(yīng)用基于過(guò)程分析的演化博弈理論提出一種云分布式入侵檢測(cè)系統(tǒng)行為分析預(yù)測(cè)博弈模型，這種有限理性的演化博弈更符合現(xiàn)實(shí)客觀條件，通過(guò)歸納檢測(cè)系統(tǒng)的策略收斂方向，以及不同損益對(duì)檢測(cè)系統(tǒng)行為策略趨勢(shì)造成的影響，實(shí)現(xiàn)了對(duì)系統(tǒng)的安全分析，為安全方案規(guī)劃提供參考依據(jù)。通過(guò)實(shí)驗(yàn)驗(yàn)證了該方法的理論，以及預(yù)測(cè)結(jié)果的正確性。然而，由于演化穩(wěn)定策略本身存在無(wú)法描述系統(tǒng)受到隨機(jī)效應(yīng)影響時(shí)的長(zhǎng)期穩(wěn)態(tài)的局限，博弈模型本身還有待完善，未來(lái)進(jìn)一步的工作將研究可應(yīng)對(duì)隨機(jī)性問(wèn)題的安全分析演化博弈模型，使分析的結(jié)論更準(zhǔn)確完善。

參考文獻(xiàn)：

[1] 馮登國(guó)， 張敏， 張妍， 等. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào)， 2011， 22（1）：71-83.

[2] ?ine MacDermott， Qi Shi， Kashif Kifayat. Collaborative Intrusion Detection in Federated Cloud Environments[J]. Journal of Computer Sciences and Applications， 2015， 3（3A）： 10-20.

[3] Akramifard H， Mohammad Khanli L， Balafar M A，et al. Intrusion Detection in the Cloud Environment Using Multi-Level Fuzzy Neural Networks[C]//Proceedings of the International Conference on Security and Management （SAM）. The Steering Committee of The World Congress in Computer Science， Computer Engineering and Applied Computing （WorldComp）， 2015： 75.

[4] 馬恒太， 蔣建春， 陳偉鋒. 基于Agent的分布式入侵檢測(cè)系統(tǒng)模型[J].軟件學(xué)報(bào)， 2000， 11（10）：1312-1319.

[5] Han Li， Qiu-xin Wu. A Distributed Intrusion Detection Model based on Cloud Theory[C]//Cloud Computing and Intelligent Systems （CCIS）， 2012 IEEE 2nd International Conference on. IEEE， 2012， 1： 435-439.

[6] Manish Kumar. Distributed Intrusion Detection System Scalability Enhancement using Cloud Computing[J]. Computer Science & Telecommunications， 2014， 41（1）.

[7] Zhe Li. A Neural Network based Distributed Intrusion Detection System on Cloud Platform[D]. The University of Toledo. 2013.

[8] Zhang Ling， Bai Zhong-ying， Xie Kang， et al. Research of Distributed Intrusion Detection Model Based on Rough Set in Cloud Computing[J]. International Journal of Advancements in Computing Technology， 2013， 5（4）.

[9] 任趁妮. 電子商務(wù)網(wǎng)絡(luò)間協(xié)同入侵檢測(cè)系統(tǒng)的進(jìn)化博弈模型[D]. 南京：南京師范大學(xué)，2013.