張藝，田立勤,，毋澤南，武文星

（1. 華北科技學院計算機學院，北京101601；2. 青海師范大學計算機學院，青海 西寧810000）

0 引言

在信息網(wǎng)絡技術迅速發(fā)展的時代下，云計算的廣泛運用給用戶帶來諸多服務和網(wǎng)絡資源的同時，顯現(xiàn)出一系列的網(wǎng)絡安全問題。云環(huán)境下的用戶規(guī)模日益擴大，用戶行為變得越來越復雜[1]。對于云安全來說，僅憑身份認證技術的成熟已無法保證云計算環(huán)境的信息安全[2]。云安全中的信任、穩(wěn)定等特性都被視為需要攻克的難點[3]。針對用戶行為的信任評估是解決云環(huán)境中安全問題的核心技術[5]，也是當今網(wǎng)絡時代下云計算研究中的一個重要方向[6]。

信任在理論上是一種社會學，通常情況下人與人之間的相互聯(lián)系被視為實體之間或者機器之間的交互，因此信任被引入計算機范疇內[6-7]。用戶行為信任評估方面取得了研究成果。毋澤南等[8]運用機器學習的方法讓計算機對用戶的歷史行為證據(jù)進行學習生成信任評估模型。王超等[5]提出了基于相對熵的組合賦權法（RE-CWA，relative entropy-combined weighting approach）來確定用戶行為權重的貼近度，進而對用戶信用度進行了模糊綜合評價，構建了適用于云環(huán)境的信任評估模型。Huang等[9]采用加權主觀邏輯對系統(tǒng)中的信任值進行更新從而提出了一種分布式聲譽管理方法。謝曉蘭等[10]在用戶行為數(shù)據(jù)的基礎上，結合馬爾可夫鏈與層次分析法提出了新的可信度計算方法來提高云端的安全性。胡園園等[11]在模糊層次分析法的基礎上進行改進，采用網(wǎng)絡層次分析法構建知識鏈動態(tài)信任評價體系，為知識鏈企業(yè)中的信任評估環(huán)節(jié)提供了新的思路。

本文在以上研究成果的基礎上，提出了云環(huán)境下基于模糊網(wǎng)絡分析法（FANP，fuzzy analytic network praess）的信任評估優(yōu)化機制。該機制從歷史訪問行為與當前訪問環(huán)境兩方面擴展用戶行為信任評估模塊，采用模糊網(wǎng)絡分析法構造不同模塊下的網(wǎng)絡分析法模型進而計算出穩(wěn)定的行為證據(jù)權重，將其與處理好的初始證據(jù)矩陣相結合獲取用戶在不同控制目標模塊下的信任度。該優(yōu)化機制一方面弱化了傳統(tǒng)信任評估的主觀性，另一方面評估模塊的擴展細化了評估粒度，使決策結果的客觀性更強。

1 基于FANP的云用戶行為信任評估

1.1 用戶行為的ANP評估模型

本文將用戶行為信任的一個控制目標擴展為云用戶的歷史訪問行為與訪問環(huán)境兩個控制目標模塊，對不同的模塊構建相對應的網(wǎng)絡層次分析模型，分別如圖1和圖2所示。每個ANP結構包含控制層與網(wǎng)絡層兩個層次。在控制層中包括控制目標與準則，如在圖1歷史訪問行為的ANP結構中，控制目標為云用戶的歷史訪問行為，準則從常規(guī)行為與灰色行為兩個角度來構建。所有受控制層支配的元素構成網(wǎng)絡層[12]，各個元素之間都是相互關聯(lián)的，如用戶密碼的錯誤次數(shù)越多，用戶的登錄次數(shù)就會越少。

圖1 云用戶歷史訪問行為的ANP結構 Figure 1 ANP structure of historical access behavior of cloud

圖2 云用戶訪問環(huán)境的ANP結構 Figure 2 ANP structure of cloud user access environment

1.2 構造三角模糊判別矩陣

FANP采用三角模糊數(shù)取代1～9 Saaty標度法，一方面能夠體現(xiàn)信任不確定性與模糊性的特點，另一方面有效避免了傳統(tǒng)ANP方法的主觀隨意性。通過專家打分對網(wǎng)絡層的各元素進行兩兩比較判斷，得到三角模糊判別矩陣。1～9 Saaty的具體標度方法如表1所示。

表1 判斷矩陣標度Table 1 Scale of judgment matrix

根據(jù)表1的判別標度構造三角模糊判別矩陣，采用三角模糊數(shù)對元素進行兩兩比較后同樣需要進行一致性檢驗。

定義 1設M= (a,b,c)為一個模糊數(shù)，0

其中，參數(shù)a，b，c分別表示下界、中間值與上界，用來描述信任的不確定性與模糊性。

定義2設M1= (a1,b1,c1)和M2=(a2,b2,c2)為兩個三角模糊數(shù)，有關其計算法則如下。

1.3 構造超矩陣

構造模糊判斷矩陣后，需要得到相對權重。首先進行模糊綜合度的計算。設Mgi為模糊判斷矩陣中的模糊數(shù)，則模糊綜合度Si為

其中，m為矩陣的列數(shù)，n為矩陣的行數(shù)。

其次計算Mi大于Mj的可能性程度，設M1= (a1,b1,c1)和M2= (a2,b2,c2)為兩個三角模糊數(shù)，則M1≥M2的可能性程度定義為

將求出的若干個可能性程度中的最小值記為該元素重要于其他元素的可能度[2]，如式(4)所示。

設w′=[d(A1),d(A2),… ,d(An)]T，將其進行歸一化后得到非模糊權重向量w=[d′(A1),d′(A2), … ,d′(An)]T。按照此方法計算出其他的判斷矩陣wij。

矩陣wij=0中的列向量是網(wǎng)絡層中元素之間影響力大小的排序向量[5]。若網(wǎng)絡層元素之間互相不受影響，則wij=0，以此得到ANP結構的超矩陣w。

由上述矩陣可以觀察到，超矩陣是由若干個歸一化的列分塊組成，但超矩陣本身并非歸一化。因此需要獲取控制準則下的加權矩陣A。

最后結合矩陣A與超矩陣的相應元素塊即可獲得加權超矩陣w′。在加權超矩陣中，每一列的和為1，也稱其為列隨機矩陣[2]。

1.4 用戶行為證據(jù)的獲取

云用戶的行為證據(jù)是指云服務提供商的用戶行為信任評價指標經(jīng)過一定的處理得到的具體化數(shù)值[13]。獲取用戶行為證據(jù)的流程如下：

1) 利用Bandwidthd等網(wǎng)絡流量分析工具來查看數(shù)據(jù)包的傳送速率，獲取網(wǎng)關的各種協(xié)議[14]；

2) 利用計算機上的入侵檢測系統(tǒng)，如RealSecure等對網(wǎng)絡安全進行分析，獲取實時的事件活動以及用戶的訪問次數(shù)等[15]；

3) 利用Ajax的點擊流捕獲工具獲取用戶的一系列動作信息；

4) 利用如Cisco的NetFlow Monitor等專門的數(shù)據(jù)采集工具[15]獲取數(shù)據(jù)。

為了讓本文提出的信任評估機制的優(yōu)化效果更真實，本文所用的用戶行為數(shù)據(jù)來源于開發(fā)的用戶行為監(jiān)測、評估與控制示范平臺，平臺包括圖書的查詢、購買、借閱、下載以及信息設置等功能。該平臺是由JSP頁面和后臺控制程序組成的基于Java的Web系統(tǒng)。通過在JSP頁面嵌入JavaScript代碼可以獲取用戶的行為數(shù)據(jù)，如用戶名、密碼以及用戶鍵盤輸入的退格次數(shù)等，此外，通過JavaScript可以獲取到用戶的地理位置以及IP地址等信息；當用戶切換頁面時，系統(tǒng)根據(jù)JSP頁面提交的表單還可以獲取用戶的查詢以及借閱次數(shù)等信息。當退出平臺時，用戶在該系統(tǒng)平臺所操作的一系列動作被記錄在數(shù)據(jù)庫中。

1.5 用戶行為信任度

（1）用戶行為評估矩陣

評估矩陣由FANP方法獲取的行為證據(jù)權重與初始證據(jù)矩陣計算得到。本文通過開發(fā)的平臺獲取用戶不同模塊下的行為證據(jù)，依據(jù)用戶行為證據(jù)規(guī)則庫[16]將行為證據(jù)劃分為相應的信任等級。將信任等級構成初始證據(jù)矩陣進行后續(xù)的計算。

設初始證據(jù)矩陣為U=(uij)mn，行為證據(jù)權重矩陣為W=(Wij)mn，根據(jù)U×wT獲得的矩陣對角線即用戶行為評估矩陣E=(e1,e2,… ,en)。將評估矩陣與相應模塊下的控制層指標權重相結合即該模塊下的用戶行為信任度。

（2）綜合行為信任度計算

云用戶的綜合行為信任度包括訪問環(huán)境信任度F(ui)與歷史訪問行為信任度L(ui)兩部分。計算方式如下。 其中，α和β分別表示歷史訪問行為與當前訪問環(huán)境行為所占的比重，且α+β=1。它們的值隨著云服務提供商側重程度的增加而增大，如在某個云環(huán)境下，云服務商更看重用戶的歷史訪問行為，那么應該提高α的值，減小β的值。

（3）用戶行為信任等級

本文根據(jù)實際應用需求將用戶行為信任等級劃分為5個等級，即L1:不可信；L2:一般可信；L3:基本可信；L4:中等可信；L5:高度可信。信任等級劃分情況如表2所示。

表2 信任等級劃分Table 2 Trust level division table

2 實驗結果與分析

本文實驗運行在一個用戶行為監(jiān)測、評估與控制示范的平臺上，該平臺可以獲取到歷史訪問行為以及當前訪問環(huán)境兩方面的用戶行為數(shù)據(jù)。將最近7天的用戶行為數(shù)據(jù)作為行為證據(jù)，實驗部分所選取的用戶行為證據(jù)與1.1節(jié)中ANP模型所列出的行為數(shù)據(jù)一一對應。

2.1 信任評估實例計算

（1）建立模糊判斷矩陣

將歷史訪問行為方面下的常規(guī)行為與灰色行為兩個指標進行比較，利用三角模糊數(shù)列出兩兩比較矩陣。一級指標模糊判斷矩陣如圖3所示。

圖3 一級指標模糊判斷矩陣 Figure 3 Fuzzy judgment matrix of primary index

根據(jù)式(2)計算綜合模糊度為：SR1= (0.29,0.67,1.54)；SR2= (0.18,0.33,0.62)。

根據(jù)式(3)得出各準則重要于其他準則的重要性程度為：d(SR1) = 1；d(SR2) = 1.33。

將其歸一化獲得加權矩陣為：A1=(0.43,0.57)T。

按照相同的方法計算訪問環(huán)境方面下的加權矩陣為：A2=(0.4,0.6)T

本文分別構建了歷史訪問行為與訪問環(huán)境兩方面的ANP結構模型，以歷史訪問行為方面的計算為例，分別構建不同準則下常規(guī)行為與灰色行為下不同元素之間的兩兩判斷模糊矩陣，如在用戶名失敗次數(shù)(S22)一定的準則下，常規(guī)訪問行為下的各元素之間的模糊判斷矩陣如圖4所示。

圖4 兩兩比較矩陣 Figure 4 Pairwise comparison matrix

通過式(2)～式(4)的計算方法得到歸一化的權重向量為w=(0.33,0.27,0.40)T。

（2）建立超矩陣

按照上述同樣的方法求出不同準則下的相應權重，所有權重組成歷史訪問行為下的超矩陣。按照相同的原理求得訪問環(huán)境下的超矩陣。上述過程采用手工運算計算量過大，本文借助計算ANP的專屬工具yaanp來獲取結果，計算結果分別如圖5、圖6所示。

圖5 歷史訪問行為下的超矩陣 Figure 5 Hypermatrix under historical access behavior

圖6 訪問環(huán)境下的超矩陣 Figure 6 Hypermatrix in access environment

（3）計算極限超矩陣

對超矩陣進行加權獲取加權超矩陣，將加權超矩陣不斷進行自乘直到得到一個穩(wěn)定的極限矩陣，任取極限矩陣中的一列數(shù)據(jù)就是各個元素最終的穩(wěn)定權重。此過程同樣借助專屬計算軟件yaanp來完成，計算結果如圖7和圖8所示。

圖7 歷史訪問行為下的極限超矩陣 Figure 7 Limit hypermatrix under historical access behavior

圖8 訪問環(huán)境下的極限超矩陣 Figure 8 Limit hypermatrix in access environment

（4）用戶行為信任度計算

通過開發(fā)的平臺獲取的用戶歷史訪問行為與訪問環(huán)境兩方面的證據(jù)值經(jīng)過規(guī)范化處理后[17]，參考用戶行為證據(jù)規(guī)則庫[16]查看得到的歷史訪問行為初始證據(jù)值為：。

求得云用戶特性層的評估矩陣：

根據(jù)云用戶歷史訪問行為與訪問環(huán)境兩方面評估特性層的權重與特性層的評估矩陣求得云用戶歷史訪問行為與訪問環(huán)境的信任度為：

假設本文實驗中α= 0.4，β=0.6，根據(jù)式(8)求得用戶綜合信任度。根據(jù)規(guī)范化處理，最終的用戶信任值與所對應的信任等級如表3所示。

表3 信任值與信任等級Table 3 Trust degree and trust level table

2.2 實驗對比

為了驗證本文提出的信任評估機制的性能優(yōu)化效果，對基于本文的FANP優(yōu)化評估機制與傳統(tǒng)的AHP信任評估機制進行實驗對比。

采用Python語言模擬某云端用戶在與云服務商進行交互的過程中，如用戶密碼錯誤次數(shù)、退格次數(shù)等損壞信任值的行為比例增加時的信任度變化情況。本文實驗中將損壞信任值的行為稱為惡意行為。圖9給出了兩種評估機制在不同的惡意用戶行為比率下的信任度變化情況。

圖9 用戶信任度隨用戶惡意行為比率的變化 Figure 9 The change of user trust with the ratio of malicious behavior

從圖9可以看出，隨著用戶惡意行為比率的增加，兩種行為信任評估機制中的用戶信任度都呈現(xiàn)下降趨勢，但本文提出的優(yōu)化機制比傳統(tǒng)的AHP評估機制下降更為顯著，且在不同的惡意行為比率下，本文機制中用戶的行為信任度始終低于AHP機制中的信任度，這說明本文的優(yōu)化機制能夠更早更快地識別出信任度低的用戶，從而降低云端的風險。

3 結束語

云計算環(huán)境安全面臨著嚴峻的考驗，設計有效的機制對云端用戶展開信任評估是有效提升云安全的方法之一。本文引入模糊網(wǎng)絡分析法，體現(xiàn)了信任的不確定性，弱化了傳統(tǒng)評估方法普遍存在的主觀性；擴展了用戶行為管理模塊，分別構造云用戶歷史訪問行為和訪問環(huán)境兩個角度下的網(wǎng)絡層次模型，細化了評估粒度。實驗結果證明所提出的優(yōu)化機制可以更好地識別出惡意用戶，提高云環(huán)境的安全性。下一步會根據(jù)本文的信任評估優(yōu)化機制研究相對應的訪問控制策略，從而打造一個安全性更高的云環(huán)境。