基于動態規劃的可信云服務防御策略優化方法

蔣欣洋 黃玉妍 張浩澤 張志敏

摘要：針對可信云服務中的攻擊防御效率與防御策略優化問題，傳統防御策略方法已經無法滿足云服務安全需求。因此，可信云服務系統需要一種新的優化防御策略來提高防御能力。提出基于動態規劃的可信云服務防御策略優化方法，仿真試驗結果表明通過動態規劃對防御策略進行優化，能夠有效提高云服務防御能力。

關鍵詞：可信云服務；動態規劃；策略優化

1 引言

云服務因其按需服務、資源池共享、泛在接入、快速伸縮和按使用收費等優勢在各行各業中被廣泛運用，已經逐漸成為云計算發展過程中的關鍵基礎設施。在云服務帶來便捷的同時，其安全問題也備受關注，云服務面臨的安全威脅包括非法入侵、服務是否可信、是否存在系統漏洞以及常見的大流量式的分布式拒絕服務（distributed denial of service，DDoS）攻擊威脅等。

針對上述攻擊威脅，文獻[1]提出的增強型分組加密算法對數據進行加密，對數據進行增強加密可以有效提高云服務的生存性。文獻[2]通過基于高階π演算對云服務系統狀態和內部結構建模后進行量化評估提升系統的認知性。文獻[3]進一步對云服務系統認知生存模型量化分析，進而提高系統的防護能力。文獻[4]提出一種適合移動云服務節點的可靠存儲模型通過改變節點使系統更加靈活可靠，增加用戶對服務的可信性。胡漢卿[5]提出了一種結合特征和行為檢測來控制DDoS攻擊的技術方法。

綜上所述，現有文獻大部分關注于可信云服務的安全評估和認知防護方法，無法保障可信云服務系統的安全，不能為用戶適時地提供最安全優化服務。為提高可信云服務系統的防御能力，通過動態規劃實現優化防御策略。

2 可信云服務

云服務被廣泛定義為“通過網絡訪問以按需、易擴展的方式獲得所需服務”，在云計算網絡環境下，用戶在選擇云服務時如何評估所選擇的服務是否可信，成為重要評定標準。關于可信云服務的定義，文獻[6]中有闡述如果用戶預期與云服務的行為和結果一致，那就說明云服務是可信的。

在云計算為服務提供各種便捷和新興服務不斷出現的同時，還需要面對因便利而帶來各種新的安全威脅，可信云服務的安全威脅主要從三個方面進行研究。

（1）一般攻擊威脅

指常規攻擊手段下云系統中存在的安全漏洞、網絡防御能力的缺乏所造成的安全威脅，這種安全風險不僅僅出現在云服務中，在一般信息網絡系統中也常有存在的安全問題。但是，由于云服務資源集中化處理會吸引更多的攻擊者，因此，云服務系統要具有一定的安全攻擊威脅防御能力。

（2）特權攻擊威脅

所謂特權攻擊威脅就是來源于云服務系統管理員的惡意行為包括利用特權任意修改數據和竊取用戶的數據信息，導致用戶失去對自己數據信息的主動控制權。因此，對可信云服務攻擊威脅的研究，如何對攻擊采取正確有效的防御策略，也是面對云服務安全攻擊威脅的研究重點。

（3）共享資源攻擊威脅

資源共享會帶來很多安全漏洞讓攻擊者有可乘之機，因為通過虛擬化技術可以讓不同用戶的服務要求在同一云平臺上運行，共享設備資源。

3 動態規劃算法

動態適變旨在根據攻擊環境狀態變化動態改變云服務防御策略，隨著新技術加入會帶來攻擊威脅，因而適變策略的動態擴展與優化是一個根本性問題。文獻[7]中動態規劃的核心思想是每次決策依賴于初始環境狀態，引起狀態的轉移，由于狀態的動態變化而產生的防御決策序列。動態規劃算法有三個要素狀態變量、狀態轉移方程、決策變量，基于動態規劃的最優化防御策略調整算法表示為：

在公式（1）中， ， 和 分別表示為階段變量，狀態變量和決策變量，其中 是通過輸入狀態和決策變量的非線性、離散的、時變的狀態轉移函數。為了獲得最優決策變量 ，需要將最優決策問題通過多階段轉換為單階段來解決，由下式表示：

在公式（2）中， 為所求防御優化策略問題的性能指標函數； 為最終狀態代價函數， 為初始狀態到優化防御策略之后的狀態過程中每一階段成本函數之和。在動態規劃求解過程中，從最開始狀態到第N階段逐步計算每一階段每個狀態下的最優目標函數和最優決策變量直至第N階段。應用動態規劃最優性原理求解使得防御策略優化問題轉化為求每一階段當前狀態到優化后策略狀態的最小性能指標函數：

在公式（3）中動態規劃計算從0時刻開始，到 時刻為止，在容許策略集中依次對離散后的決策變量取值，在給定時間域上，尋求一組最優決策變量，使得可信云服務系統從初始狀態轉移到應急策略后的狀態時，性能指標函數取得最小值。

4 仿真試驗

為了驗證所提出動態規劃優化后的防御策略有效性，采用Matlab軟件對動態規劃優化防御策略結果進行仿真驗證，策略優化前與優化后的防御時間比較如圖1所示：

由試驗結果圖1可知：防御策略優化前，可信云服務系統受損程度隨著攻擊威脅時間的延長曲線逐漸遞增。相反優化后可信云服務系統受損程度曲線一直低于優化前的曲線并逐漸趨于穩定，時間上的對比也有明顯的縮短，基于動態規劃方法有效提高了可信云服務系統的防御效率。

5 結束語

本文通過動態規劃優化可信云服務系統的防御策略，該方法能夠有效得出一個全局最優防御策略，并對優化后的防御策略結果進行仿真試驗驗證，得出采用動態規劃方法能夠快速優化防御策略，從而使可信云服務受損程度降低，提高防御效率，避免防御資源的浪費。

參考文獻

[1]趙國生，王健，韓煦，張楠.可生存系統認知性的評估方法[J].北京郵電大學學報，2016，39（01）：47-51.

[2]趙國生，張楠，王健.基于高階多型π演算的可生存系統認知模型研究[J].系統仿真學報，2016，28（02）：275-282.

[3]趙國生，李光程，王健.云計算系統認知生存模型及量化分析[J].電子科技大學學報，2017，46（05）：709-715.

[4]胡漢卿.基于云計算DDoS攻擊防御研究[D].南京：南京郵電大學，2015.

[5]SAHI A，LAI D，LI Y，et al.An efficient DDoS TCP flood attack detection and prevention system in a cloud environment[J].IEEE Access，2017，5：6036-6048.

[6]丁滟，王懷民，史佩昌，吳慶波，戴華東，富弘毅.可信云服務[J].計算機學報，2015，38（01）：133-149.

[7]魏慶來，宋睿卓，孫秋野.迭代自適應動態規劃理論及應用[M].北京：科學出版社，2015：1-10.

[8]樊偉，劉天琦.采用動態規劃算法優化的液壓混合動力車輛能源消耗仿真研究[J].中國工程機械學報，2018，16（06）：526-530.

作者簡介：蔣欣洋（1994-），女，碩士研究生，主要從事可信計算方面的研究。

黑龍江省高等教育教學改革研究項目（SJGY20170180）；哈爾濱師范大學研究生培養質量提升工程項目；哈爾濱師范大學教育發展基金會社會實踐助學金資助項目（2017013）；黑龍江省大學生創新創業訓練計劃項目（201810231095，201810231033）。

（作者單位：哈爾濱師范大學計算機科學與信息工程學院）