文穎

摘要 “洗底”攻擊是由于系統(tǒng)賦予新節(jié)點(diǎn)一個(gè)較高的信任初始值常數(shù)所造成的，防范“洗底”攻擊和建立新節(jié)點(diǎn)的動(dòng)態(tài)初始信任值評估模型。本文針對開發(fā)對等云存儲服務(wù)應(yīng)用中出現(xiàn)的節(jié)點(diǎn)欺騙、偽造等惡意行為，進(jìn)行了對等云存儲系統(tǒng)信譽(yù)機(jī)制MingCredit的設(shè)計(jì)，并對其系統(tǒng)的綜合信譽(yù)度、信任模型和安全性等進(jìn)行了分析和設(shè)計(jì)，同時(shí)依托于分布式哈希表開展了分布性云存儲服務(wù)系統(tǒng)方案設(shè)計(jì)工作，利用仿真實(shí)驗(yàn)驗(yàn)證該方案的可行性，實(shí)驗(yàn)結(jié)果有力證實(shí)了對等云存儲系統(tǒng)是極具有效性與健壯性的信譽(yù)機(jī)制，能夠?yàn)榫W(wǎng)絡(luò)中誠實(shí)節(jié)點(diǎn)提供切實(shí)保護(hù)，同時(shí)最大限度地避免節(jié)點(diǎn)惡意交易現(xiàn)象。

關(guān)鍵詞：云存儲；抗洗底；攻擊

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）15-0053-03

入侵檢測主要是通過收集關(guān)鍵點(diǎn)中的信息分析其是否存在違法安全策略的行為，通常入侵行為包括違法安全策略、獨(dú)占資源、惡意使用。入侵檢測系統(tǒng)是指提供入侵檢測功能的軟件和硬件的組合。在云存儲系統(tǒng)中，由于云存儲服務(wù)系統(tǒng)包括了運(yùn)營商服務(wù)器節(jié)點(diǎn)和Internet普通用戶節(jié)點(diǎn)，其服務(wù)系統(tǒng)具有很強(qiáng)的開放性，這種開放性給云存儲服務(wù)系統(tǒng)帶來了很多安全問題，而傳統(tǒng)分布式入侵檢測又無法完全保障系統(tǒng)安全，特別是存儲網(wǎng)絡(luò)內(nèi)部的安全，因此本文將探討一種適用于對等云存儲網(wǎng)絡(luò)的自適應(yīng)信任報(bào)警關(guān)聯(lián)入侵檢測系統(tǒng)（Intrusion Detection System IDS），通過自適應(yīng)信任報(bào)警關(guān)聯(lián)引擎對傳統(tǒng)分布式入侵檢測系統(tǒng)進(jìn)行擴(kuò)充。

1 云存儲中的信任問題

在云存儲服務(wù)中信任主要是指服務(wù)與服務(wù)交互、節(jié)點(diǎn)與節(jié)點(diǎn)信息交互過程中，根據(jù)歷史經(jīng)驗(yàn)和交易信息對服務(wù)與節(jié)點(diǎn)提供的服務(wù)質(zhì)量進(jìn)行動(dòng)態(tài)評估，根據(jù)該評估值進(jìn)行描述云存儲服務(wù)的信任。隨著節(jié)點(diǎn)與節(jié)點(diǎn)間服務(wù)交互的累積和對目標(biāo)節(jié)點(diǎn)服務(wù)能力的不斷認(rèn)知，節(jié)點(diǎn)根據(jù)該質(zhì)量存儲服務(wù)推斷節(jié)點(diǎn)后續(xù)行為和提供較好服務(wù)。結(jié)合云存儲服務(wù)系統(tǒng)的特點(diǎn)和云存儲網(wǎng)絡(luò)環(huán)境，云環(huán)境下的信任包含的元素有：

1）本體節(jié)點(diǎn)：本體節(jié)點(diǎn)是進(jìn)行云存儲服務(wù)質(zhì)量評估的主體，在MingCloud中一般只有一個(gè)本體節(jié)點(diǎn)，其本地節(jié)點(diǎn)對象可以是單純消費(fèi)系統(tǒng)存儲服務(wù)的消費(fèi)者節(jié)點(diǎn)，或者具有消費(fèi)和提供存儲服務(wù)的大眾節(jié)點(diǎn)，有也可以是無償提供存儲資源的義務(wù)節(jié)點(diǎn)。

2）目標(biāo)節(jié)點(diǎn)：目標(biāo)節(jié)點(diǎn)是被進(jìn)行云存儲服務(wù)質(zhì)量評估的對象節(jié)點(diǎn)，其目標(biāo)節(jié)點(diǎn)可以是多個(gè)，也可以是節(jié)點(diǎn)集合。

3）推薦節(jié)點(diǎn)：推薦節(jié)點(diǎn)是在本體節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)間提供推薦信任的一個(gè)節(jié)點(diǎn)或者多個(gè)節(jié)點(diǎn)的集合，是本節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)間的中間節(jié)點(diǎn)。

4）信任與信任度：信任是本節(jié)點(diǎn)與目標(biāo)節(jié)點(diǎn)間根據(jù)一定服務(wù)質(zhì)量標(biāo)準(zhǔn)評估目標(biāo)節(jié)點(diǎn)服務(wù)質(zhì)量的度量方法，該度量是根據(jù)目標(biāo)節(jié)點(diǎn)提供的存儲服務(wù)質(zhì)量歷史經(jīng)驗(yàn)進(jìn)行的主觀判斷。其信任度計(jì)算方法主要有概率值、模糊值、離散值、信任云等。

5）直接信任：直接信任是指本體節(jié)點(diǎn)根據(jù)目標(biāo)節(jié)點(diǎn)提供的云存儲服務(wù)質(zhì)量歷史數(shù)據(jù)和本體節(jié)點(diǎn)根據(jù)自身知識而建立的主觀判斷，將存儲節(jié)點(diǎn)量化表示為直接信任度。

6）間接信任：間接信任是指根據(jù)推薦節(jié)點(diǎn)或者第三方推薦而形成的目標(biāo)節(jié)點(diǎn)存儲服務(wù)質(zhì)量判斷，通過該種方式建立的信任度為間接信任度，或者稱為推薦信任度和反饋信任度等。

云環(huán)境下節(jié)點(diǎn)間信任關(guān)系如圖1所示，用TAB和TBA分別描述A和B間的信任關(guān)系，而AC節(jié)點(diǎn)間由于沒有直接交易記錄，但A可以通過B節(jié)點(diǎn)獲得推薦，因此用TAC描述A節(jié)點(diǎn)與C節(jié)點(diǎn)間推薦信任度。在信任關(guān)系中雖然A和B是屬于直接信任，但A信任B的程度與B信任A程度不一定等同，而B和C間具有信任關(guān)系，但并不意味著A就信任C，但B對C的評價(jià)會影響到A對C的信任關(guān)系，節(jié)點(diǎn)間信任關(guān)系具有主觀性、非對稱性、傳遞性、動(dòng)態(tài)性等。

7）總體信任度：總體信任度主要是云環(huán)節(jié)中各節(jié)點(diǎn)間的直接信任度和間接信任度的加權(quán)評價(jià)值。

8）信譽(yù)：信譽(yù)是云存儲服務(wù)系統(tǒng)中其它節(jié)點(diǎn)對目標(biāo)節(jié)點(diǎn)所貢獻(xiàn)的存儲服務(wù)質(zhì)量的綜合度量，反應(yīng)了目標(biāo)節(jié)點(diǎn)旅行服務(wù)水平及系統(tǒng)中其它節(jié)點(diǎn)對目標(biāo)節(jié)點(diǎn)的信任程度?？偟膩碚f信任就是單個(gè)節(jié)點(diǎn)對目標(biāo)節(jié)點(diǎn)的主觀態(tài)度，而信譽(yù)是目標(biāo)節(jié)點(diǎn)在公眾中的總體形象的體現(xiàn)，信任在一定程度上依賴信譽(yù)，但信譽(yù)并不能決定所有節(jié)點(diǎn)對目標(biāo)節(jié)點(diǎn)的信任。在本論文研究中不進(jìn)行深究信任與信譽(yù)，而是把信譽(yù)作為對等云存儲網(wǎng)絡(luò)中其它節(jié)點(diǎn)對目標(biāo)節(jié)點(diǎn)綜合信任度來處理。

2 綜合信任度的計(jì)算

在對等云存儲網(wǎng)絡(luò)環(huán)境中，某個(gè)節(jié)點(diǎn)對目標(biāo)節(jié)點(diǎn)的信任度不僅受到自身校驗(yàn)經(jīng)驗(yàn)的判斷，同時(shí)也受到其它節(jié)點(diǎn)推薦信息的影響，在進(jìn)行目標(biāo)節(jié)點(diǎn)信任度計(jì)算時(shí)，要考慮到目標(biāo)節(jié)點(diǎn)在線時(shí)間、貢獻(xiàn)的資源大小、節(jié)點(diǎn)計(jì)算能力。

在傳統(tǒng)信任模型中一般通過DT來描述節(jié)點(diǎn)i對j的直接信任度，用兩個(gè)節(jié)點(diǎn)間每次交易都會生成一個(gè)信任度值d，在進(jìn)行k次交易其節(jié)點(diǎn)i對目標(biāo)節(jié)點(diǎn)j建立的直接信任度值如（1）所示（其中為時(shí)間衰減系數(shù)）。

基于推薦值的權(quán)值計(jì)算陌生節(jié)點(diǎn)推薦強(qiáng)度用SRi，j表示：

在云存儲服務(wù)中本體節(jié)點(diǎn)接收所有推薦信息，只有當(dāng)信任度得到一定程度時(shí)，如目標(biāo)節(jié)點(diǎn)得到了0.5的服務(wù)等級后才開始接收其他節(jié)點(diǎn)傳遞的推薦信息。由此本位節(jié)點(diǎn)對于目標(biāo)節(jié)點(diǎn)的綜合信任度讀可以通過Ti，j來描述，其綜合信任度計(jì)算方法為：

通過綜合信任度計(jì)算公式可以看出，綜合信任度由直接信任度、友好節(jié)點(diǎn)推薦信任度、陌生節(jié)點(diǎn)信任度組成，三者間可以通過α，β，λ進(jìn)行控制三者比例，節(jié)點(diǎn)綜合多方面要素評價(jià)指數(shù)其計(jì)算方法為：

用C（i）描述了云存儲環(huán)境中目標(biāo)節(jié)點(diǎn)綜合信譽(yù)度，S參數(shù)表示了目標(biāo)節(jié)點(diǎn)在整個(gè)節(jié)點(diǎn)集群中貢獻(xiàn)的存儲資源容量，T描述了節(jié)點(diǎn)在線和離線時(shí)間總和，t描述了在線時(shí)間的總和，p（i）描述了節(jié)點(diǎn)的性能評價(jià)指數(shù)（如：節(jié)點(diǎn)處理速度、磁盤質(zhì)量、網(wǎng)絡(luò)帶寬等），通過C（i）描述了目標(biāo)節(jié)點(diǎn)在整個(gè)云存儲服務(wù)環(huán)境中的綜合信譽(yù)評價(jià)，云存儲系統(tǒng)也通過信譽(yù)機(jī)制保障了云服務(wù)的質(zhì)量。

3 信任模型與報(bào)警關(guān)聯(lián)測試

3. 1實(shí)驗(yàn)環(huán)境與目的

協(xié)同攻擊是指系統(tǒng)中的多個(gè)節(jié)點(diǎn)相互協(xié)作與相互提升對方的信譽(yù)度，然后但信譽(yù)度達(dá)到設(shè)置的標(biāo)準(zhǔn)后實(shí)施共謀攻擊和對其他節(jié)點(diǎn)進(jìn)行詆毀攻擊等。

為了驗(yàn)證信譽(yù)機(jī)制在云存儲服務(wù)系統(tǒng)中的有效性和性能，本小節(jié)對其進(jìn)行仿真測試。測試工具采用Query Cycle Simulator軟件包，其測試環(huán)境：

（1） 服務(wù)器：IBM服務(wù)器（雙核3.4GHZ CPU，6G內(nèi)存）；

（2） 操作系統(tǒng)：windows server 2008

（3） 開發(fā)工具：Eclipse 3.0

測試方法：每個(gè)節(jié)點(diǎn)發(fā)送周期性文件讀寫操作，從響應(yīng)節(jié)點(diǎn)中選擇綜合信譽(yù)度最高的節(jié)點(diǎn)作為讀寫，若讀寫不成功則將該節(jié)點(diǎn)從響應(yīng)節(jié)點(diǎn)中刪除，若則讀寫成功則將該節(jié)點(diǎn)設(shè)置為主服務(wù)器節(jié)點(diǎn)，在進(jìn)行測試時(shí)為了能將每個(gè)節(jié)點(diǎn)進(jìn)行分類，節(jié)點(diǎn)中不設(shè)置超級節(jié)點(diǎn)，通過普通節(jié)點(diǎn)不斷篩選出信譽(yù)度最高的節(jié)點(diǎn)。

1）普通節(jié)點(diǎn)。在云存儲服務(wù)系統(tǒng)中提供真實(shí)的服務(wù)和對其他節(jié)點(diǎn)進(jìn)行客觀評價(jià)，若改普通節(jié)點(diǎn)讀寫文件成功，則信譽(yù)評價(jià)設(shè)置為0.75或者1，若讀寫不成功則設(shè)置其信任評價(jià)為0，0.25，或者0.5。

2）孤立的惡意節(jié)點(diǎn)。該類節(jié)點(diǎn)不提供真實(shí)服務(wù)、無云存儲資源以及惡意詆毀其他節(jié)點(diǎn)，其信任評價(jià)為0.

3）同謀節(jié)點(diǎn)。該類節(jié)點(diǎn)在具有孤立的惡意節(jié)點(diǎn)基礎(chǔ)上夸大團(tuán)隊(duì)內(nèi)其他節(jié)點(diǎn)的CMN評價(jià)，其信任度設(shè)置為1。

4）偽裝惡意節(jié)點(diǎn)，該類節(jié)點(diǎn)是同謀節(jié)點(diǎn)和孤立的惡意節(jié)點(diǎn)的組合，其有些節(jié)點(diǎn)具有存儲服務(wù)和有存儲資源，但夸大團(tuán)隊(duì)內(nèi)其他節(jié)點(diǎn)的評價(jià)，其信任評價(jià)設(shè)置為1，若存在惡意詆毀其他節(jié)點(diǎn)的交易過程則信任評價(jià)設(shè)置為0.

實(shí)驗(yàn)參數(shù)：設(shè)置群集中有500個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)都有3個(gè)鄰居節(jié)點(diǎn)，α，β，λ值分別為0.5，0.3，0.2，根據(jù)公式（7）計(jì)算出每個(gè)節(jié)點(diǎn)的綜合信譽(yù)度C（i）和綜合信任度Ti。

實(shí)驗(yàn)?zāi)康模悍治霰容^MingCredit、EigenTrust、DouWen、Random等算法的收斂速度。

3.2實(shí)驗(yàn)結(jié)果與分析

在NM和SMN平均綜合信任度變化中，圖1給出了當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)中SMN類的節(jié)點(diǎn)占40%環(huán)境下普通節(jié)點(diǎn)和孤立惡意節(jié)點(diǎn)初始綜合信任度都為0.3條件下，普通節(jié)點(diǎn)的綜合信任度數(shù)值不斷上升，而孤立的惡意節(jié)點(diǎn)則逐漸下降，由此證實(shí)了MingCredi算法能有效確認(rèn)普通節(jié)點(diǎn)和孤立惡意節(jié)點(diǎn)，普通節(jié)點(diǎn)和孤立的惡意節(jié)點(diǎn)平均綜合信任度的變化如表1所示。此外從圖2中可以發(fā)現(xiàn)：普通節(jié)點(diǎn)的平均綜合信任度逐步趨近于0.5，說明了普通節(jié)點(diǎn)有了相對合理的信任度，而孤立惡意節(jié)點(diǎn)的平均綜合信任度逐步趨于0.15，實(shí)驗(yàn)結(jié)果與理論計(jì)算結(jié)果相吻合。

4 結(jié)論

本文主要介紹了針對對等云存儲網(wǎng)絡(luò)中存在的安全保障問題，提出了一種基于自適應(yīng)信任報(bào)警關(guān)聯(lián)的入侵檢測系統(tǒng)，利用入侵檢測系統(tǒng)的完全分布式結(jié)構(gòu)和自適應(yīng)信任報(bào)警關(guān)聯(lián)機(jī)制抵御各種風(fēng)險(xiǎn)的能力。

參考文獻(xiàn)：

[1].Douceur. J. The Sybil Attack[C]， In： 1st International Workshop on Peer-to-Peer Systems （IPTPS02），Springer， 2003.34-35

[2].俞能海，郝卓，徐甲甲等. 云安全研究進(jìn)展綜述[J].電子學(xué)報(bào). 2013（02） 67-76.

[3]. 洪澄，張敏，馮登國. 面向云存儲的高效動(dòng)態(tài)密文訪問控制方法[J]. 通信學(xué)報(bào). 2011，12（07） 56-57

[4].傅穎勛，羅圣美，舒繼武.安全云存儲系統(tǒng)與關(guān)鍵技術(shù)綜述[J]. 計(jì)算機(jī)研究與發(fā)展. 2013，21（01）： 1341-1353.

[5].錢軍，陳振宇. 企業(yè)數(shù)據(jù)丟失與災(zāi)難恢復(fù)方法研究[J]. 硅谷. 2012， 15（20）： 571-583.

[6]馮登國，張敏，張妍，徐震.云計(jì)算安全研究[J].軟件學(xué)報(bào). 2011（01） 56-57

[7]黃少濱，楊欣欣，申林山，李艷梅. 高階異構(gòu)數(shù)據(jù)模糊聯(lián)合聚類算法[J]. 通信學(xué)報(bào). 2014（06）23-24

[8]Reza Curtmola，Juan Garay，Seny Kamara，Rafail Ostrovsky.Searchable symmetric encryption： Improved definitions and efficient constructions[J]. Journal of Computer Security .2011，（5）：46-48

[9] Wu J，Ping L，Ge X，et al.Cloud storage as the infrastructure of cloud computing. International Conference on Intelligent Computing and Cognitive Informatics . 2010 （4） 100-102