云計(jì)算環(huán)境用戶行為信任評(píng)估模型構(gòu)建研究

王娜 趙波 李昂

(1. 中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司智網(wǎng)創(chuàng)新中心，北京 100044；2.京東集團(tuán)信息安全部，北京 100176)

0 引言

當(dāng)前，云計(jì)算與可信計(jì)算相結(jié)合是云計(jì)算安全可信架構(gòu)下的研究熱點(diǎn)，很多學(xué)者從計(jì)算資源可信、應(yīng)用環(huán)境可信和租戶隔離可信三方面建立“可信云計(jì)算環(huán)境”，從根本上確保用戶數(shù)據(jù)和應(yīng)用安全[1]。

國(guó)外TCG組織可信計(jì)算的內(nèi)容包括身份認(rèn)證、可信存儲(chǔ)和可信度量和報(bào)告，身份認(rèn)證是指人機(jī)以及平臺(tái)之間的相互認(rèn)證；可信存儲(chǔ)時(shí)采用密鑰和數(shù)字簽名的機(jī)制來(lái)保護(hù)用戶數(shù)據(jù)；可信度量和報(bào)告時(shí)采用某些策略來(lái)構(gòu)建可信的用戶計(jì)算環(huán)境[2]，強(qiáng)調(diào)采用鏈?zhǔn)叫湃味饶Ｐ捅ＷC整個(gè)計(jì)算機(jī)系統(tǒng)的可信。

我國(guó)的可信技術(shù)已發(fā)展到3.0階段的“主動(dòng)防御體系”，其采用可信軟件棧來(lái)實(shí)現(xiàn)平臺(tái)完整、平臺(tái)身份證明以及可信存儲(chǔ)三個(gè)基本功能[3]。在主動(dòng)免疫的“主動(dòng)防御體系”提出的三層三元對(duì)等的可信連接框架上，沈昌祥等人[4-5]結(jié)合等級(jí)保護(hù)思想，提出“以主動(dòng)免疫計(jì)算為基礎(chǔ)、訪問(wèn)控制為核心”的“一個(gè)中心三重防護(hù)體系”框架，圍繞安全管理中心形成安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)的縱深積極防御體系，在防御體系的各層面間保護(hù)機(jī)制、響應(yīng)機(jī)制和審計(jì)機(jī)制的防護(hù)策略聯(lián)動(dòng)。

縱深積極防御體系對(duì)學(xué)者研究信息安全保障體系具有重大的指導(dǎo)意義，包括提出網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境等多個(gè)位置進(jìn)行全方面布置的防御機(jī)制，將安全風(fēng)險(xiǎn)降到最低[6-8]；構(gòu)建攻擊者到目標(biāo)之間的多層保護(hù)和檢測(cè)的防御機(jī)制，使得攻擊者在與云計(jì)算環(huán)境交互過(guò)程中面臨各種的檢測(cè)行為和訪問(wèn)控制，以致其不能承受高昂的攻擊代價(jià)而放棄攻擊行為[9-11]；在信息價(jià)值和安全管理成本之間尋找平衡點(diǎn)，設(shè)置適當(dāng)?shù)陌踩Ｗo(hù)強(qiáng)度和保障措施[12-13]。

由此可見(jiàn)，訪問(wèn)控制已經(jīng)不僅僅是對(duì)用戶身份的認(rèn)證和權(quán)限的限制，更體現(xiàn)在用戶與云計(jì)算環(huán)境交互過(guò)程中的可信性，因此信任機(jī)制可以基于屬性實(shí)現(xiàn)域間授權(quán)管理的思想廣泛運(yùn)用，讓用戶以行為交互的方式動(dòng)態(tài)構(gòu)建互信系統(tǒng)從而獲得響應(yīng)的訪問(wèn)權(quán)限，并已廣泛應(yīng)用在云計(jì)算環(huán)境中[14]。本文的研究重點(diǎn)將聚焦在多層防御機(jī)制里，也就是研究用戶與云計(jì)算環(huán)境訪問(wèn)行為的安全信任評(píng)估模型，采用可信評(píng)估模型對(duì)用戶訪問(wèn)行為進(jìn)行安全控制和規(guī)范，構(gòu)建云計(jì)算環(huán)境用戶信任度的實(shí)時(shí)評(píng)估，為云平臺(tái)安全的積極防御提供數(shù)據(jù)支撐。

1 云計(jì)算環(huán)境用戶行為信任評(píng)估模型構(gòu)建思路

云計(jì)算環(huán)境用戶行為信任評(píng)估模型的構(gòu)建思路是在身份認(rèn)證的基礎(chǔ)上，對(duì)用戶操作行為的規(guī)范性實(shí)現(xiàn)基于使用訪問(wèn)控制的信任評(píng)估模型?；谟脩舨僮餍袨橐?guī)范性的信任度度量類(lèi)似動(dòng)態(tài)信任鏈，通過(guò)用戶在云計(jì)算環(huán)境中的在線訪問(wèn)行為來(lái)度量用戶當(dāng)次操作行為的信任度?；谟脩粼L問(wèn)行為的動(dòng)態(tài)訪問(wèn)控制能夠有效攻擊者的重放攻擊、假冒攻擊等行為，提升云計(jì)算環(huán)境下用戶行為的信任評(píng)估。基于上述思想，云計(jì)算環(huán)境用戶行為信任評(píng)估模型構(gòu)建思路分為如下幾個(gè)階段(見(jiàn)圖1)。

圖1 云計(jì)算環(huán)境用戶行為信任評(píng)估模型

1.1 數(shù)據(jù)采集階段

該階段不僅對(duì)該平臺(tái)用戶信息、設(shè)備的基本信息以及用戶動(dòng)作屬性信息進(jìn)行采集，還要利用相關(guān)的工具收集云平臺(tái)訪問(wèn)策略的相關(guān)信息。其中，用戶動(dòng)作屬性信息集是為后續(xù)基于用戶訪問(wèn)行為的特征提取提供數(shù)據(jù)準(zhǔn)備。

1.2 特征提取階段

特征提取是信任評(píng)估模型的核心，本文采用一種預(yù)測(cè)-殘差框架的長(zhǎng)短期記憶網(wǎng)絡(luò)對(duì)用戶訪問(wèn)行為進(jìn)行時(shí)序特征提取，結(jié)合誤差機(jī)制修正特征向量，實(shí)現(xiàn)用戶訪問(wèn)行為特征的提取。具體特征提取的步驟如圖2所示。

圖2展現(xiàn)了一種預(yù)測(cè)-殘差框架的時(shí)序特征提取過(guò)程。結(jié)合用戶0—T時(shí)刻用戶在云計(jì)算環(huán)境交互的動(dòng)作集合，實(shí)現(xiàn)LSTM的時(shí)序特征訓(xùn)練，并到T+1時(shí)刻的動(dòng)作預(yù)測(cè)值；將1—(T+1)時(shí)刻的動(dòng)作集合((T+1)時(shí)刻采用上一步的預(yù)測(cè)值)輸入LSTM網(wǎng)絡(luò)，預(yù)測(cè)時(shí)刻0的動(dòng)作；將0時(shí)刻的動(dòng)作預(yù)測(cè)值與1—T時(shí)刻的動(dòng)作真實(shí)值輸入訓(xùn)練好的LSTM中，預(yù)測(cè)(T+1)時(shí)刻的動(dòng)作，將其與第一步T+1時(shí)刻的動(dòng)作預(yù)測(cè)值相比較，如果兩者的誤差小于實(shí)際的誤差閾值，說(shuō)明LSTM訓(xùn)練的特征值是可靠的，采用該LSTM進(jìn)行時(shí)序特征提??；否則，需要進(jìn)入下一輪的LSTM訓(xùn)練。下一輪LSTM訓(xùn)練的輸入數(shù)據(jù)與上一輪唯一的不同就是第一個(gè)動(dòng)作值，在下一輪訓(xùn)練中，下一輪第一個(gè)動(dòng)作值采用上一輪第一個(gè)動(dòng)作的預(yù)測(cè)值。

圖2 預(yù)測(cè)-殘差框架的時(shí)序特征提取

1.3 信任度評(píng)估階段

用戶的信任度包括兩部分：歷史行為信任度和當(dāng)次行為信任度。歷史信任度是對(duì)歷史用戶的信任度，當(dāng)次行為信任度是指用戶在與云計(jì)算環(huán)境交互過(guò)程的行為上下文對(duì)信任度進(jìn)行計(jì)算，實(shí)現(xiàn)更有效的實(shí)時(shí)計(jì)算。信任度評(píng)估的目的是保護(hù)正常用戶的訪問(wèn)行為，抑制惡意用戶通過(guò)積累信任度進(jìn)行惡意攻擊。

1.3.1 歷史行為信任度

歷史行為信任度與用戶和云計(jì)算環(huán)境之間過(guò)去的訪問(wèn)次數(shù)、信任度距離本次的計(jì)算時(shí)間以及交互信息的價(jià)值有關(guān)，具體的公式為：

(1)

其中，Ek表示第k個(gè)時(shí)間周期的用戶訪問(wèn)行為信任評(píng)價(jià)；N表示第N個(gè)時(shí)間周期，一般來(lái)說(shuō)最后一個(gè)時(shí)間周期為第N個(gè)時(shí)間周期；Vk表示第k個(gè)時(shí)間周期用戶訪問(wèn)云平臺(tái)的信息價(jià)值。

1.3.2 當(dāng)次行為信任度

在獲取用戶當(dāng)次與云平臺(tái)交互行為時(shí)序特征后，采用BP神經(jīng)網(wǎng)絡(luò)來(lái)預(yù)測(cè)用戶在T時(shí)刻的訪問(wèn)行為信任度。BP神經(jīng)網(wǎng)絡(luò)利用反向傳播的原理實(shí)現(xiàn)非線性預(yù)測(cè)，基于用戶當(dāng)次行為信任度的BP神經(jīng)網(wǎng)絡(luò)包括輸入層、隱含層以及輸出層，其中輸入層輸入用戶行為的時(shí)序特征，共有10個(gè)節(jié)點(diǎn)；隱含層的節(jié)點(diǎn)數(shù)為5個(gè)；輸出層為基于時(shí)序特征預(yù)測(cè)的當(dāng)次行為信任度，有1個(gè)節(jié)點(diǎn)。BP神經(jīng)網(wǎng)絡(luò)的參數(shù)包括：學(xué)習(xí)率為0.01，迭代次數(shù)為500，激活函數(shù)為Sigmond函數(shù)。當(dāng)次行為信任度取值在0—1之間。神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)具體如圖3所示。

圖3 基于BP神經(jīng)網(wǎng)絡(luò)的當(dāng)次行為信任度預(yù)測(cè)

1.3.3 綜合信任度計(jì)算

用戶綜合信任度是運(yùn)用加權(quán)平均法對(duì)歷史訪問(wèn)行為信任度和當(dāng)次訪問(wèn)行為信任度進(jìn)行加權(quán)平均，具體的計(jì)算公式為：

Trust=αD+βET

(2)

其中，α+β=1是修正系數(shù)。系統(tǒng)將會(huì)根據(jù)綜合信任度的評(píng)估值實(shí)時(shí)反饋到訪問(wèn)控制策略中，訪問(wèn)控制策略結(jié)合當(dāng)前最新的綜合信任度對(duì)云平臺(tái)主體權(quán)限進(jìn)行調(diào)整。

2 試驗(yàn)分析

2.1 試驗(yàn)環(huán)境說(shuō)明

為了驗(yàn)證提出算法的有效性，本文搭建了一個(gè)服務(wù)器集群，該集群包括16 臺(tái)服務(wù)器，每臺(tái)服務(wù)器的配置為：CPU 1.9 GHz，內(nèi)存32 G，硬盤(pán)存儲(chǔ)1 T。為了有效檢測(cè)網(wǎng)絡(luò)的安全性，采用開(kāi)源檢測(cè)工具Nagios來(lái)實(shí)現(xiàn)各端口信息的采集，利用Ax3soft Sax2來(lái)檢測(cè)用戶的非法訪問(wèn)行為。在該集群中，模擬100 名用戶，從100 名用戶中分別隨機(jī)選取30 名非法用戶，以此驗(yàn)證用戶在開(kāi)始采用規(guī)范的訪問(wèn)行為后，利用自身積累的信任度開(kāi)始實(shí)施惡意攻擊，算法如何利用訪問(wèn)行為來(lái)評(píng)估用戶實(shí)時(shí)信任度，以實(shí)現(xiàn)訪問(wèn)策略的動(dòng)態(tài)調(diào)整。

2.2 數(shù)據(jù)集說(shuō)明

100名用戶分別產(chǎn)生了1.8 萬(wàn)條正常的訪問(wèn)數(shù)據(jù)和4000 條攻擊類(lèi)型的數(shù)據(jù)，采用10 次隨機(jī)抽樣的方案，選取3000 條正常數(shù)據(jù)和700 條攻擊數(shù)據(jù)作為訓(xùn)練樣本數(shù)據(jù)，其他作為測(cè)試數(shù)據(jù)?？紤]到正常數(shù)據(jù)和攻擊數(shù)據(jù)的平衡性，本文將攻擊數(shù)據(jù)進(jìn)行復(fù)制，最終訓(xùn)練樣本的正常數(shù)據(jù)為3000 條，攻擊數(shù)據(jù)為2800 條；測(cè)試樣本的正常數(shù)據(jù)為1.5 萬(wàn)條，攻擊數(shù)據(jù)為3200 條。表1和表2分別表示某一次抽樣的訓(xùn)練樣本和測(cè)試樣本數(shù)據(jù)的分布情況。

表1 訓(xùn)練數(shù)據(jù)的數(shù)據(jù)分布情況

表2 測(cè)試數(shù)據(jù)的數(shù)據(jù)分布情況

對(duì)數(shù)據(jù)進(jìn)行10 次訓(xùn)練后，獲得10 個(gè)訓(xùn)練好的模型，然后將測(cè)試數(shù)據(jù)分別放進(jìn)對(duì)應(yīng)的訓(xùn)練模型中，得到的訓(xùn)練數(shù)據(jù)集準(zhǔn)確率和測(cè)試數(shù)據(jù)集準(zhǔn)確率如圖4所示。

圖4 訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集的準(zhǔn)確率

為了驗(yàn)證云計(jì)算環(huán)境用戶行為信任評(píng)估模型在信任度預(yù)測(cè)的精度提升性能，將展現(xiàn)某一個(gè)用戶在持續(xù)攻擊的行為下，云平臺(tái)信任度實(shí)測(cè)值、基于BP神經(jīng)網(wǎng)絡(luò)信任度預(yù)測(cè)值以及云計(jì)算環(huán)境用戶行為信任評(píng)估模型信任度預(yù)測(cè)值在10 個(gè)觀察周期內(nèi)的對(duì)比情況，基于BP神經(jīng)網(wǎng)絡(luò)信任度預(yù)測(cè)是直接將用戶的一系列交互行為放進(jìn)BP神經(jīng)網(wǎng)絡(luò)中實(shí)現(xiàn)當(dāng)次訪問(wèn)信任度的預(yù)測(cè)，然后將當(dāng)次訪問(wèn)信任度與歷史訪問(wèn)信任度進(jìn)行加權(quán)平均后得到綜合信任度。BP神經(jīng)網(wǎng)絡(luò)信任度預(yù)測(cè)方法與云計(jì)算環(huán)境用戶行為信任評(píng)估模型的預(yù)測(cè)方法最大的不同是：云計(jì)算環(huán)境用戶行為信任評(píng)估模型是采用預(yù)測(cè)-殘差框架的長(zhǎng)短期記憶網(wǎng)絡(luò)對(duì)用戶與云平臺(tái)的交互行為進(jìn)行時(shí)序特征提取，將時(shí)序特征輸入BP神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)當(dāng)次信任度預(yù)測(cè)；而B(niǎo)P神經(jīng)網(wǎng)絡(luò)信任度預(yù)測(cè)方法沒(méi)有考慮時(shí)序特征提取的問(wèn)題。

通過(guò)信任度預(yù)測(cè)值對(duì)比可知，隨著持續(xù)攻擊行為的實(shí)施，用戶信任度將持續(xù)下降。在開(kāi)始階段，BP神經(jīng)網(wǎng)絡(luò)和云計(jì)算環(huán)境用戶行為信任評(píng)估模型的信任度預(yù)測(cè)值與實(shí)測(cè)值差異不大，這是因?yàn)槌跗陔A段，BP神經(jīng)網(wǎng)絡(luò)和云計(jì)算環(huán)境用戶行為信任評(píng)估模型對(duì)用戶信任度估計(jì)基本上依賴用戶歷史信任度；隨著攻擊行為的持續(xù)，云計(jì)算環(huán)境用戶行為信任評(píng)估模型將會(huì)趨同于實(shí)測(cè)數(shù)據(jù)，這是因?yàn)樵朴?jì)算環(huán)境用戶行為信任評(píng)估模型采用預(yù)測(cè)-殘差框架的長(zhǎng)短期記憶網(wǎng)絡(luò)對(duì)用戶一系列交互行為的時(shí)序特征進(jìn)行有效提取，在一定程度上提升用戶信任度預(yù)測(cè)的準(zhǔn)確度；而B(niǎo)P神經(jīng)網(wǎng)絡(luò)僅僅將用戶的訪問(wèn)行為進(jìn)行簡(jiǎn)單的非線性擬合，沒(méi)有很好地反映訪問(wèn)行為之間的時(shí)間關(guān)聯(lián)性，因此其預(yù)測(cè)信任度誤差將會(huì)越來(lái)越大。

3 結(jié)束語(yǔ)

本文采用一種新的框架實(shí)現(xiàn)云計(jì)算環(huán)境下用戶訪問(wèn)行為時(shí)序特征的提取，該架構(gòu)能夠較為準(zhǔn)確地反映用戶訪問(wèn)行為的時(shí)間關(guān)聯(lián)性，提升云計(jì)算環(huán)境下用戶信任度預(yù)測(cè)的精度。試驗(yàn)表明，云計(jì)算環(huán)境用戶行為信任評(píng)估模型與BP神經(jīng)網(wǎng)絡(luò)相比，信任度預(yù)測(cè)值隨著觀察周期的深入與實(shí)測(cè)值的誤差越來(lái)越小，這是因?yàn)樵朴?jì)算環(huán)境用戶行為信任評(píng)估模型在預(yù)測(cè)信任度時(shí)考慮了用戶交互行為的時(shí)序特征，能夠自適應(yīng)應(yīng)對(duì)用戶交互行為的動(dòng)態(tài)性變化，更加滿足網(wǎng)絡(luò)安全態(tài)勢(shì)動(dòng)態(tài)評(píng)估的需求。