基于云計算的網(wǎng)絡(luò)安全評估

黃海軍

（云南工商學(xué)院信息工程學(xué)院，云南昆明657100）

基于云計算的網(wǎng)絡(luò)安全評估

黃海軍

（云南工商學(xué)院信息工程學(xué)院，云南昆明657100）

網(wǎng)絡(luò)安全評估是利用網(wǎng)絡(luò)安全感知技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)中蘊含的安全性信息進行多源異構(gòu)分析，以實現(xiàn)為網(wǎng)絡(luò)安全運行保駕護航。在大數(shù)據(jù)、云計算應(yīng)用在網(wǎng)絡(luò)安全評估方面，利用大數(shù)據(jù)結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)挖掘的特點和云計算分布式、并行式計算的優(yōu)勢，解決網(wǎng)絡(luò)安全評估能力弱的問題，具有一定的可行性。因此，本文對基于云計算的網(wǎng)絡(luò)安全評估進行研究，通過對云計算的定義、特點、分類及云安全核心技術(shù)和云計算網(wǎng)絡(luò)安全風(fēng)險進行分析，從不同層次的角度設(shè)計基于云計算的網(wǎng)絡(luò)安全評估模型，對網(wǎng)絡(luò)安全所涉及到的各個方面進行評估，以便于給出正確的云計算網(wǎng)絡(luò)安全問題解決辦法。

云計算；網(wǎng)絡(luò)安全；評估模型；云安全

網(wǎng)絡(luò)安全一直以來都是網(wǎng)絡(luò)應(yīng)用中最為關(guān)鍵的內(nèi)容之一，網(wǎng)絡(luò)安全評估是利用已知的網(wǎng)絡(luò)應(yīng)用安全信息內(nèi)容與信息處理技術(shù)對網(wǎng)絡(luò)安全性進行評估。在傳統(tǒng)的網(wǎng)絡(luò)安全評估中，由于計算能力、評估方法、單點失效等評估條件的制約，使得網(wǎng)絡(luò)安全評估的準確較低。基于云計算的網(wǎng)絡(luò)安全評估匯聚來自方方面不同結(jié)構(gòu)化或者半結(jié)構(gòu)化的數(shù)據(jù)，將這些數(shù)據(jù)進行專業(yè)化的處理和加工，建立計算機網(wǎng)絡(luò)安全評估模型，對網(wǎng)絡(luò)中的各個節(jié)點的可信性、安全性進行評估，以解決網(wǎng)絡(luò)安全信息難以準確生成問題。同時，通過對網(wǎng)絡(luò)安全的評估結(jié)果可具有針對性的制定網(wǎng)絡(luò)安全問題解決辦法，為用戶完全使用網(wǎng)絡(luò)奠定良好基礎(chǔ)。

1　云計算概述

1.1云計算定義

云計算是對大數(shù)據(jù)進行信息快速提取的計算方法。在人類生產(chǎn)和生活中，會產(chǎn)生大量的非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)，對這些數(shù)據(jù)進行挖掘有助于提高人們的決策力、洞察力、優(yōu)化結(jié)構(gòu)等。對大數(shù)據(jù)的挖掘需要成千上百的電腦分配工作，由此需要構(gòu)建起龐大的數(shù)據(jù)分析及挖掘網(wǎng)絡(luò)平臺，這個平臺被稱為云計算平臺。云計算平臺通過網(wǎng)絡(luò)將服務(wù)器集群、資源池、客戶端關(guān)聯(lián)在一起，為用戶提供龐大的網(wǎng)絡(luò)數(shù)據(jù)支持。

1.2云計算特點

云計算是一種新型網(wǎng)絡(luò)計算服務(wù)模式，其相比傳統(tǒng)網(wǎng)絡(luò)計算服務(wù)模式具有存儲能力大、服務(wù)多樣化、計算能力強、服務(wù)方式靈活、安全性高等特點。云計算是通過百萬臺服務(wù)器集群整合在一起而構(gòu)成的服務(wù)體系，其具備龐大的儲存能力；云平臺的資源池為用戶提供多樣化的服務(wù)，包括：基礎(chǔ)性的存儲、計算、數(shù)據(jù)庫等服務(wù)，開發(fā)性的平臺服務(wù)和應(yīng)用性的軟件服務(wù)。云計算采用分步計算的方法將資源池中的海量數(shù)據(jù)進行分解、歸類，再由各個集群服務(wù)器進行批量處理，最后將結(jié)果反饋給用戶，這一過程可在數(shù)秒完成，體現(xiàn)出云計算強大計算能力。云計算可區(qū)分用戶類別，建立共有云服務(wù)和私有云服務(wù)。其中私有云服務(wù)可根據(jù)用戶需求制訂私密性選擇，云計算提供商通過其完善的安全防護體系對用戶隱私數(shù)據(jù)進行保護。

1.3云計算分類

云計算可以分為基礎(chǔ)設(shè)施服務(wù)（IaaS）、軟件服務(wù)（SaaS）和平臺服務(wù)（PaaS）。

基礎(chǔ)設(shè)施服務(wù)是指構(gòu)建數(shù)據(jù)管理混合云，將信息分類儲存，針對保密等級設(shè)置不同級別訪問權(quán)限，公共類信息儲存在公有云上，供更多人免費訪問；專屬信息和具有高附加值的特殊信息存放在私有云內(nèi)。此外，利用云上的基礎(chǔ)數(shù)據(jù)借助一定的數(shù)學(xué)方法測算出更有深度和價值的信息及服務(wù)，如行業(yè)報告、設(shè)計指標、成本分析策劃等。

數(shù)據(jù)挖掘主要包含3個過程：數(shù)據(jù)準備、數(shù)據(jù)挖掘、結(jié)果表達和解釋。不同類型的數(shù)據(jù)庫信息的存儲規(guī)則、數(shù)據(jù)形式的差異較大，要實現(xiàn)多個數(shù)據(jù)庫之間的數(shù)據(jù)快速分析、挖掘，需要具備強大的計算能力。基于云計算的基礎(chǔ)設(shè)施服務(wù)為用戶提供了便捷的信息的檢索功能，借助分布式計算為云平臺帶來強大計算能力，可以在互聯(lián)網(wǎng)中快速抓取需要的信息，完成數(shù)據(jù)準備工作，使“大海撈針”成為可能。然后借助數(shù)理分析、神經(jīng)網(wǎng)路等挖掘算法實現(xiàn)數(shù)據(jù)快速、準確挖掘。緊接著將挖掘到的信息與同樣建立在云上的信息通過發(fā)布平臺銜接，實現(xiàn)信息的高效利用。

軟件服務(wù)是指軟件開發(fā)商可以將軟件程序發(fā)布在云平臺上，軟件的使用不需要打包購買軟件，只需要根據(jù)實際業(yè)務(wù)需求向軟件開發(fā)商租用軟件程序，根據(jù)時間和應(yīng)用模塊付費。軟件的維護和升級由開發(fā)商在云平臺上統(tǒng)一完成，用戶省去硬件維護和軟件升級上花費的時間和精力，不必因為個人電腦配置的落后而要忍受大型軟件在運行過程中漫長的等待時間。

平臺服務(wù)是指以云計算技術(shù)為支撐進行資源合理、高效配置，為軟件開發(fā)商提供開放的網(wǎng)絡(luò)開發(fā)平臺進行軟件和應(yīng)用程序的開發(fā)，并以SaaS的軟件形式交付給用戶使用，從開發(fā)到交付使用的整個流程節(jié)省時間、降低成本。

2　云計算網(wǎng)絡(luò)安全風(fēng)險

云計算采用數(shù)據(jù)集中管理，具有極高的開放性和復(fù)雜性，在云計算網(wǎng)絡(luò)應(yīng)用中，其面臨的安全風(fēng)險主要包括身份認證風(fēng)險、網(wǎng)絡(luò)層風(fēng)險、主機層風(fēng)險和應(yīng)用程序風(fēng)險。

2.1身份認證風(fēng)險

云計算服務(wù)采用多樣化接口設(shè)計，可滿足來自不同運行環(huán)境的客戶端進行云資源訪問，為此要保障用戶信息的安全性則需要對用戶身份進行認證。云計算服務(wù)用戶身份認證方式主要包括依據(jù)用戶已知信息驗證，如密碼驗證；依據(jù)用戶已有信息驗證，如指紋驗證和依據(jù)用戶擁有東西驗證，如USB KEY。就目前而言，云計算服務(wù)所提供的身份認證系統(tǒng)由于用戶信息真實性、網(wǎng)絡(luò)系統(tǒng)漏洞、認證安全強度低等問題，云計算服務(wù)資源被竊取和篡改現(xiàn)象時有發(fā)生。

2.2網(wǎng)絡(luò)層風(fēng)險

云計算服務(wù)網(wǎng)絡(luò)層安全風(fēng)險主要包括傳輸數(shù)據(jù)的安全性與完整性、網(wǎng)絡(luò)資源的訪問與控制和云端資源的可用性。由于云計算的開放性，對于用戶上傳到云端的數(shù)據(jù)是否安全是否完整難以管控，并且目前云端仍存在算法漏洞、數(shù)據(jù)庫漏洞和系統(tǒng)安全漏洞等問題。云計算是通過多個云服務(wù)基點組合而成，要保證網(wǎng)絡(luò)中的每個數(shù)據(jù)點都安全非常困難，在發(fā)生網(wǎng)絡(luò)安全問題是，排查問題原因也受到一定的制約。云端的資源非常龐大，很難保證每個資源的數(shù)據(jù)都有效。

2.3主機層風(fēng)險

云計算通過大量的計算機主機并行處理數(shù)據(jù)，主機與主機之間具有緊密的聯(lián)系，因此，主機層的安全問題是每一臺獨立主機都需要面對的安全問題，如果一臺主機被病毒入侵，則在整個主機群中病毒就會快速傳播，最終導(dǎo)致整個云網(wǎng)絡(luò)主機癱瘓。

2.4應(yīng)用程序風(fēng)險

云計算服務(wù)所提供的應(yīng)用程序通常都是通過瀏覽器進行應(yīng)用，因此瀏覽器的安全性非常重要。就目前而言瀏覽器被劫持是一種非常常見的安全問題，客戶端用戶的瀏覽器很容易被不法分子用惡意程序篡改，誘導(dǎo)用戶點擊非法鏈接，由此給用戶的隱私和財產(chǎn)安全帶來嚴重的安全隱患。

3　云計算網(wǎng)絡(luò)安全評估概述

3.1云計算網(wǎng)絡(luò)安全評估技術(shù)

云計算網(wǎng)絡(luò)安全評估技術(shù)是由數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)融合技術(shù)、風(fēng)險評估技術(shù)等綜合而成的網(wǎng)絡(luò)安全評估技術(shù)，該技術(shù)可以對網(wǎng)絡(luò)現(xiàn)行狀態(tài)進行監(jiān)控和評估，作出未來一段時間內(nèi)的網(wǎng)絡(luò)運行風(fēng)險［7］，為防范網(wǎng)絡(luò)安全風(fēng)險，確保網(wǎng)絡(luò)安全運行做好應(yīng)對準備，作出正確的判斷和指導(dǎo)。

3.2云計算網(wǎng)絡(luò)安全評估系統(tǒng)

云計算網(wǎng)絡(luò)安全評估系統(tǒng)是由輸入信息模塊、評估模塊、知識庫模塊和結(jié)果展示模塊四部分組成。輸入信息模塊是將已知安全事件標準化處理生成事件數(shù)據(jù)錄入到知識庫中；評估模塊是對網(wǎng)絡(luò)安全進行數(shù)據(jù)挖掘和數(shù)據(jù)融合，通過計算結(jié)果數(shù)據(jù)與安全態(tài)勢數(shù)據(jù)進行比較，利用指標標準作出評估結(jié)論；知識庫是網(wǎng)絡(luò)安全評估依據(jù)的集合庫，其主要包含訓(xùn)練集、案例庫和規(guī)則庫。訓(xùn)練集是網(wǎng)絡(luò)在各種運行狀態(tài)下的數(shù)據(jù)，其可以挖掘網(wǎng)絡(luò)安全等級和各種態(tài)勢下的指標關(guān)系，案例庫是通過已知網(wǎng)絡(luò)威脅異常指標比對，分析其可能發(fā)生的某個或者某類安全問題，規(guī)則庫是用于數(shù)據(jù)挖掘中對安全關(guān)聯(lián)聚類標準的定義；結(jié)果展示模塊是以表格形式或者圖形形式將評估結(jié)果展示在客戶端，便于快速準確的分析網(wǎng)絡(luò)安全隱患和網(wǎng)絡(luò)安全趨勢。

3.3云計算網(wǎng)絡(luò)安全評估關(guān)聯(lián)度算法

云計算網(wǎng)絡(luò)安全評估關(guān)聯(lián)度算法基于灰色系統(tǒng)理論，首先，設(shè)網(wǎng)絡(luò)行為特征量X0，由其獲取因素行為特征量Xi。X0在序列k上的觀察數(shù)據(jù)定義為x0（k），（k=1，2，...，n）則得出網(wǎng)絡(luò)特征行為序列x0（k）=（x0（1），x0（2），...，x0（n））。由此可演算出網(wǎng)絡(luò)因素行為序列xi（k）=（xi（1），xi（2），...，xi（n））。其中k可以為時間、指標、對象等序號。由此可以得出，序列xi與x0在第k點的關(guān)聯(lián)系數(shù)定義為：

4　基于云計算的網(wǎng)絡(luò)安全評估模型設(shè)計

根據(jù)云計算網(wǎng)絡(luò)的特點搭建基于云計算的網(wǎng)絡(luò)安全評估模型如圖1所示。

圖1　基于云計算網(wǎng)絡(luò)安全評估模型

如圖1所示，利用云計算采集網(wǎng)絡(luò)中的安全審計數(shù)據(jù)、入侵檢測數(shù)據(jù)和各種安全日志［8］，對其進行數(shù)據(jù)預(yù)處理，統(tǒng)一數(shù)據(jù)格式、提取有價值網(wǎng)絡(luò)安全信息，為網(wǎng)絡(luò)安全評估做準備。在網(wǎng)絡(luò)安全評估時，采用關(guān)聯(lián)分析法對已知網(wǎng)絡(luò)攻擊類型進行威脅值計算，并確定攻擊破壞程度。再通過層次化計算網(wǎng)絡(luò)系統(tǒng)的安全評估值，利用可視化模塊繪制網(wǎng)絡(luò)安全圖表，便于對網(wǎng)絡(luò)安全態(tài)勢進行分析。

4.1網(wǎng)絡(luò)安全要素提取

由于在云中產(chǎn)生的網(wǎng)絡(luò)安全數(shù)據(jù)非常龐大，所以需要對采集到的網(wǎng)絡(luò)安全數(shù)據(jù)進行預(yù)處理，去除冗余、統(tǒng)一格式。在網(wǎng)絡(luò)安全信息要素提取中利用數(shù)據(jù)融合技術(shù)進行預(yù)處理［9］，處理方法是根據(jù)安全要素特征提取、根據(jù)安全要素語意理解提取和根據(jù)要素決策提取。

首先根據(jù)安全要素特征提取，對采集到的網(wǎng)絡(luò)安全數(shù)據(jù)進行預(yù)處理，對要素屬性相對集中的有用數(shù)據(jù)利用數(shù)據(jù)融合技術(shù)進行捕獲；其次，計算采集到數(shù)據(jù)之間的關(guān)聯(lián)度，分析出網(wǎng)絡(luò)攻擊所歸屬的類型；第三，在確定攻擊類型后，對該類型的網(wǎng)絡(luò)攻擊進行危害度評估，并對網(wǎng)絡(luò)所提供的服務(wù)威脅度進行預(yù)測。

4.2關(guān)聯(lián)分析

關(guān)聯(lián)分析是利用灰色理論利用已知信息挖掘未知信息。灰色理論關(guān)聯(lián)原理是將所采集到的各個因素樣本數(shù)據(jù)按照因素關(guān)系（大小、次序、強弱等）用灰色關(guān)聯(lián)度進行表示，灰色關(guān)聯(lián)度越大則說明因素間相似性越高。

在網(wǎng)絡(luò)安全評估要素提取模型中，將原始數(shù)據(jù)進行預(yù)處理，記Di=（D1，D2，...，Dn），對其進行格式轉(zhuǎn)換得再對數(shù)據(jù)屬性進行提取，記DSi=（DS1，DS2，... DSm）。利用灰色關(guān)聯(lián)理論對DS中的每條數(shù)據(jù)進行分析，生成關(guān)聯(lián)度集合GS（y1，y2，...yn）。通過關(guān)聯(lián)度集合GS中的最大值識別攻擊類型并計算對應(yīng)的安全態(tài)勢值。安全態(tài)勢值計算FA（t）=1-max（y1（x，x1），y2（x，x2），...，yn（x，xm））。其中，F(xiàn)A（t）為在時間t內(nèi)網(wǎng)絡(luò)受到A的供給所造成的安全評估值，x為攻擊數(shù)據(jù)的特征序列。

4.3層次化分析

層次化分析是首先將云計算網(wǎng)絡(luò)層次化分為攻擊層、關(guān)聯(lián)層、服務(wù)層、主機層和系統(tǒng)層。其次分別對服務(wù)層、主機層和系統(tǒng)層的網(wǎng)絡(luò)安全評估值進行計算。服務(wù)層網(wǎng)絡(luò)安全評估計算：

主機層網(wǎng)絡(luò)安全評估計算：

系統(tǒng)層網(wǎng)絡(luò)安全評估計算：

5　結(jié)束語

網(wǎng)絡(luò)安全評估利用云計算架構(gòu)下的安全要素提取模型，對已知網(wǎng)絡(luò)攻擊類型進行灰色關(guān)聯(lián)分析，并分層進行計算，計算網(wǎng)絡(luò)安全評估值，利用所計算出的結(jié)果圖形化呈現(xiàn)網(wǎng)絡(luò)安全態(tài)勢，由此可直觀的對網(wǎng)絡(luò)安全進行分析和預(yù)測。通過本文的研究能夠初步的對云計算作業(yè)時的網(wǎng)絡(luò)攻擊進行安全評估和預(yù)測分析，由此實時掌握整個網(wǎng)絡(luò)系統(tǒng)的安全狀況，在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)安全威脅時能夠及時采取應(yīng)對措施，防止危害進一步擴大。

［1］陳志高，成奮華，許彪.Hadoop異構(gòu)網(wǎng)絡(luò)下基于自適應(yīng)螞蟻算法的策略路由研究［J］.文山學(xué)院學(xué)報，2013（6）:54-58.

［2］陳偉，顧楊，李晨陽，等.無線釣魚接入點攻擊與檢測技術(shù)研究綜述［J］.武漢大學(xué)學(xué)報（理學(xué)版），2014（1）:13-23.

［3］岳麗穎，戴月明.一種能量優(yōu)化WSNs非均勻分簇路由協(xié)議［J］.計算機工程與應(yīng)用.2010（15）:3374-3378.

［4］姜政偉，趙文瑞，劉宇，等.基于等級保護的云計算安全評估模型［J］.計算機科學(xué)，2013（8）:154-156.

［5］周紫熙，葉建偉.云計算環(huán)境中的數(shù)據(jù)安全評估技術(shù)量化研究［J］.智能計算機與應(yīng)用，2012（4）:40-43.

［6］李博.基于云計算的實驗平臺虛擬機客滿技術(shù)研究［J］.電子設(shè)計工程，2016（7）:179-181，185.

［7］張海龍，馮森，李建祥，等.電動汽車充換電服務(wù)網(wǎng)絡(luò)運營管理系統(tǒng)的研究與設(shè)計［J］.陜西電力，2011（11）:47-50.

［8］朱子勇，孫萬民，王占林.某試驗臺LH2貯箱氣體置換過程數(shù)值模擬［J］.火箭推進，2012（4）:52-60，66.

［9］王坤.基于SVPWM的STATCOM設(shè)計及實現(xiàn)［J］.陜西電力，2011（1）:11-15.

Network security evaluation based on cloud computing

HUANG Hai-jun
（Information Engineering College，Yunnan Technology And Business University，Kunming 657100，China）

The network security assessment is the use of the network security perception technology for the security of network data contains information of multi-source heterogeneous analysis，in order to realize the escort for the safe operation of the network.In big data and cloud computing application in the aspect of network security evaluation，the use of big data structured or semi-structured data mining and the characteristics of the advantages of cloud computing is a distributed and parallel computing，solve the problem of network security evaluation ability，has certain feasibility.Therefore，in this paper，the study of network security evaluation based on cloud computing，based on the definition，characteristics，classification of cloud computing and cloud security the core technology and cloud computing network security risk analysis，from the perspective of different levels of design model of network security evaluation based on cloud computing，for network security involves all aspects of the evaluation，in order to give the right cloud computing network security solution.

cloud computing；network security；evaluation model；cloud security

TP02

A

1674－6236（2016）12-0115-03

2015-07-11稿件編號：201507081

黃海軍（1977—），男，云南昆明人，講師。研究方向：網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)信息安全，云計算，虛擬化方面。