私有云環境下基于Petri網的用戶行為認證模型

吳 菲，朱玉全，徐平平

(1.南京工業大學浦江學院，江蘇 南京210000；2.江蘇大學計算機科學與通信工程學院，江蘇 鎮江 212000；3.東南大學信息科學與技術學院，江蘇 南京 210000；4.東南大學移動通信國家重點實驗室，江蘇 南京 210000)

1 引言

私有云(PrivateClouds)是為一個客戶單獨使用而構建的，因而提供對數據、安全性和服務質量的最有效控制[1]，同時用戶可以隨時隨地訪問數據，不用擔心管理，操作和維護資源的成本[2]。然而，網絡入侵現象，導致部分云服務中的重要信息經常發生泄漏和損壞的情況，安全問題已經成為制約云存儲發展的瓶頸。異常數據的錯誤決策可能會給企業帶來難以估計的經濟損失，如何保證企業云平臺的安全，已經成為一個亟需解決的問題。Petri網能夠表達并發的事件，云存儲數據安全的學術研究主要集中在加密，安全審計和訪問控制三種方法。訪問控制是基于控制和限制未授權客戶端，來防御數據安全的一種方法。國內外對于用戶訪問控制的研究有很多不同的方法。

文獻[3]提出基于實時行為可信度量的網絡訪問控制模型，引入懲罰因子和時間因子，將用戶行為評估方法從單一評估上升到全局評估，在可信網絡連接架構下，設計基于用戶行為可信策略的訪問控制模型，提出網絡連接與訪問的動態授權機制，實現用戶行為的可信判定，但該方法的訪問權只能是在讀寫的情況下，一旦權限類型增加，密鑰的數量就會相應增加，導致方法變得較為復雜；文獻[4]基于智能眼鏡觸控行為的隱式身份認證方法，通過Leap Motion設備獲取用戶特征數據，采用Bagging集成算法完成特征數據的學習訓練，將BP神經網絡算法和K近鄰算法作為基學習器，進而在用戶正常使用智能眼鏡的過程中，實現手勢識別的隱式身份認證，但是缺少對用戶行為具體路徑的分析，認證速度較慢。

本次研究方法基于用戶行為的路徑分析，研究用戶行為可信度。將用戶行為分析分為兩個階段，使用隨機Petri網構建兩個過程的行為認證模型，利用改進的k-means算法計算用戶行為的可信度，并通過仿真證明研究方法的有效性。

2 用戶行為認證模型

2.1 私有云環境下用戶行為分類

用戶身份的可信度決定了使用云服務的權利。在私有云環境中，云服務提供商將為用戶提供初始可信度值[5]。為了便于分析用戶的行為，將其分為以下三類：

1)用戶習慣行為

用戶習慣行為包括登錄的IP地址，使用的操作系統以及用于登錄過程的位置，瀏覽會話的持續時間，不正確的登錄嘗試次數。

2)用戶異常行為

用戶異常行為包括用戶下載的資源量，虛擬機數量，RAM大小，存儲空間大小，網絡帶寬。這些行為受云服務提供商的約束，可以從操作日志文件中獲取。

3)用戶惡意行為

用戶惡意行為包括密碼破解，TCP floading，特洛伊木馬，病毒攻擊和IP spoofing。這些信息可以從入侵檢測系統的反饋獲取。

本次研究將包含在用戶行為類型中的信息稱為“用戶行為證據”。一組行為證據將形成用戶行為的記錄。在分析用戶可信度時，用戶行為證據的差異可能導致行為被標記為不可信任。本次研究構建基于隨機Petri網的用戶行為認證模型，以分析和驗證用戶行為的類型。

2.2 隨機Pertri網

Petri網是一種用于描述和建模信息處理系統的數學工具。它可以精確地描述并行化、異步和不確定性的系統屬性，并在圖形建模中具有直觀的描述。通過關聯轉換和隨機變量的延遲，將為每個轉換提供一個速率，構成隨機Petri網。

2.3 基于隨機Petri網的用戶行為認證模型

本次研究針對單用戶行為，使用SPN來分析用戶在云環境中的行為。當用戶登錄云服務器時，將分析慣常行為以確定用戶是否具有訪問云服務器的可信度。一旦用戶在服務器上，將進行第二次用戶行為分析，以確定用戶身份的可信度[6]。

1)第一階段行為分析模型

該階段使用SPN分析傳統的身份認證和用戶習慣行為認證。構建的模型如圖1所示：

圖1 第一階段行為認證模型

上述圖1中，p表示用戶所處的位置，T表示時間變遷，t表示瞬間變遷。模型位置的含義如表1所示：

表1 第一階段位置含義

第一階段模型對用戶身份進行了兩次認證，分別是基于賬號密碼的認證，以確保用戶賬號密碼的正確性；基于行為的身份認證，通過對用戶行為數據的分析，再次確認用戶身份是否可信，若可信則進行下一階段的行為分析。

2)第二階段行為分析模型

通過第一階段的身份認證以后，如果用戶已經在云服務器中擁有檢索資源的權限，則用戶將到達P6。在第二階段行為分析中，使用SPN構建用戶行為身份驗證模型，來分析云服務器中的用戶行為，以確定其身份的可信度。第二階段的用戶分析模型如圖2所示，這個階段云服務器中用戶行為的認證，主要涉及用戶異常行為和用戶惡意行為。

圖2 第二階段行為認證模型

圖2中位置與變遷的含義如表2所示。

模型2主要將用戶資源訪問行為轉換為行為路徑，以分析用戶的異常行為和惡意行為，最后得出用戶身份可信或不可信[7]。

3 單用戶行為可信度計算

在通過建模分析用戶行為之后，利用改進的K-means算法定量分析用戶行為的合理性。

3.1 改進的k-means算法

傳統的K-means算法只能處理數值型的數據，而不能處理非數值的屬性數據，如登錄的系統等。原始的算法不能滿足用戶行為中的非數值類數據的量化處理，所以本次研究對k-means算法進行改進，主要改進對象與中心之間的相異性度量。

設n個對象構成的非空集合X={X1，X2，X3，…，Xn}，E={E1，E2，E3，…Em}表示每個對象的屬性，Xi可表示為Xi={Xi1，Xi2，Xi3，…Xim}，對象與中心之間的相異性度量d(Xi，Cl)如式(1)所示

(1)

式中，?(Xi，j，Cl，j)表示對象的各屬性與類中心之間的相異性，若為數值型數據，則通過兩者之間的歐式距離來表示；若為非數值型數據，則?(Xi，j，Cl，j)的定義如式(2)所示。

閱讀課前，孩子們早已整裝待發，摘抄本和鋼筆放在桌子上，安靜地坐在位子上，就等著集合整隊了。“想知道答案嗎？快去翻翻我國四大名著之一的《水滸傳》吧。”果不其然，學校閱覽室的《水滸傳》借閱一空，借不到的同學正兩兩合作一起讀呢，安靜的閱覽室里不時傳來“沙沙”的筆記聲和翻書聲。我也拿起隨身攜帶的《水滸傳》讀了起來……一起課堂的小插曲就此變成了促進師生共讀的小引線。

(2)

當Xi，j=C時，表示對象與中心的m個屬性值是相同的，當Xi，j≠Cl，j時，表示對象與中心的m個屬性值不同，但是用0，1來表示屬性的相同或不同時，評判準確度較差，因此對?(Xi，j，Cl，j)

的計算進行改進，如式(3)所示：

(3)

3.2 用戶習慣行為標準

將用戶行為發生頻率較高的動作定義為用戶行為習慣標準。在時間轉換T2的分析過程中，需要通過使用用戶習慣行為標準，來分析用戶的行為可信度。本文采用改進的k-means算法獲取用戶習慣行為標準。

假設用戶的n個行為記錄為X={X1，X2，X3，…，Xn}，每個行為記錄Xi由m個行為屬性描述，E={E1，E2，E3，…Em}。Xi可表示為Xi={Xi1，Xi2，Xi3，…Xim}。

根據K-means算法的思想，選擇k個聚類中心作為初始聚類中心。根據用戶習慣行為標準的定義，每個屬性需要選擇兩個集群中心，將每個屬性劃分為兩部分。其中一個聚類中心HC代表共同的行為證據屬性聚類中心，被稱為“習慣中心點”。另一個集群中心AC是不常見的行為證據屬性的集群，稱為“輔助中心點”。習慣中心的強度大于輔助中心的強度[9]。定義C1={HC1，HC2，…HCm}表示用戶習慣行為標準，定義C2={AC1，AC2，…ACm}表示用戶偏離行為標準。

選定中心集以后，計算每個行為記錄中心集的相異度H，計算公式如式(4)、(5)所示

(4)

(5)

式(4)中wj表示第j個行為證據屬性在整個行為中的影響權重。采用AHP算法計算行為證據權重。AHP是一種模擬人類思維，并將復雜問題分解為層次的方法[10]。算法步驟如下：

1)建立3層用戶行為模型。底層由行為證據屬性構成，中間層是用戶行為的三種類型，頂層是用戶行為的可信度。

2)每一層使用9分位比率構造判斷矩陣。

3)計算特征向量以測試矩陣的一致性。

4)如果測試失敗，則必須重建判斷矩陣。

基于上述四個步驟，可以計算出每個行為證據的權重wj。

在求解相異值h的值時，對于數值型數據使用式(6)，對于非數值型數據使用式(7)

(6)

(7)

3.3 用戶行為可信度計算

用戶行為可行度的計算，對確定云服務提供商是否信任用戶訪問具有直接影響。在獲得用戶行為聚類中心之后，獲得用戶習慣行為標準，并找出用戶與習慣行為H(X，Cl)之間的相異度值。相異度值越大，行為可信度越低。將單用戶的行為可信度(UTD)定義為：

UTD=γ*(1-H)，γ∈(0，1)

(8)

式(8)中的γ表示用戶可信度影響因子，并由用戶的歷史行為確定[11]。如果歷史記錄顯示UTD較低，則γ值將低于普通用戶的γ值。

由于每個行為的類別和屬性不同，因此在T6時間轉換中，由云服務提供商提供可信度的分析標準，例如允許使用的資源量和存儲空間的大小。通過關聯行為標準來分析云服務器中的用戶行為。單用戶行為差異度H計算如下所示

(9)

(10)

式中的Xi，j是歸一化行為屬性數據后的第j個屬性的值，Sj表示由云服務提供者提供的第j個屬性的標準值。根據式(8)，UTD∈(0，1)，將UTD的值分為5個等級：{(0，0.2)，(0.2，0.6)，(0.6，0.8)，(0.8，0.9)，(0.9，1]}，分別代表{非常不值得信賴，不值得信任，稍值得信賴，值得信賴，非常值得信賴}。根據該等級來確定單用戶行為可信程度，實現基于Petri網的用戶行為認證。

4 實驗及結果

4.1 實驗環境

使用Hadoop技術搭建的云平臺為實驗環境，在平臺上模擬用戶行為，如操作行為和攻擊行為，并利用軟件來收集操作過程中的各階段用戶行為屬性，通過建立的模型來分析用戶行為可信度。設普通用戶的γ=1，異常用戶隨機生成的γ在0.8到0.9之間。為了簡化分析過程，假設有三種類型的用戶習慣行為標準，所有用戶都遵循這三種習慣行為標準，并且在給定范圍內生成行為數據。利用UTD公式計算用戶提供可信度，并且閾值設置為0.6。

圖3 云平臺集群簡易拓撲結構圖

4.2 實驗結果

首先進行用戶認證準確度對比實驗，準確度越高表示方法的認證可信度越高，實驗結果如圖4所示。

圖4 行為認證準確度對比圖

通過圖4可以得知，文獻[3]模型方法的平均準確度在80%，而研究方法的平均準確度在90%以上，證明研究方法的可信度更高，這是由于該模型算法考慮了用戶歷史行為的影響，能夠限制波動對用戶可信度的影響。在任何正常操作中，不值得信任的用戶很難從云服務器獲得信任，從而有效防止用戶的非法認證。

誤報率是具有低可信度的用戶被分類為不可信用戶的概率，誤報率越低表示方法的有效性越好。誤報率計算方法如下：

(11)

上式中，η表示被誤報為可信的危險用戶樣本數，μ表示可信用戶樣本數。

從圖5可以看出，不同實驗次數下，文獻[3]模型的誤報率在5%左右，研究模型的誤報率在2%左右，可以看出其整體誤報率低于文獻[3]模型，誤報率越低表示方法的有效性越好，可以證明研究模型比文獻[3]模型具有更好的性能。這是因為該模型方法將認證過程分為兩個階段，相當于從兩個不同方面對用戶身份進行雙重認證，能夠增強認證過程的穩定性，同時降低了誤報率。

圖5 用戶行為誤報率

檢測率是在模型的認證過程中正確識別不可信行為的概率，檢測率越高表示方法的性能越好。計算方法如下：

Pd=Nd/Nnt

(12)

式中，Nd表示被檢測出來的平均不可信行為數，Nnt表示經過認證的不可信平均行為總數。

通過表3可以得知，而研究模型的檢測率在80%-90%之間，通過實驗數據可以看出研究方法的檢測有效性更好，具有更好的用戶行為認證性能。主要原因在于本文模型在私有云環境中，針對單用戶，利用SPN構建用戶行為身份驗證模型，解決了多用戶行為同時認證環境中，并發事件出現頻繁的問題。

表3 用戶行為檢測率

5 總結

本次研究提出的模型對用戶的行為分為兩個階段分別驗證，在模型分析過程中提出了改進的 K-means算法的計算用戶行為可信度，并確定了可信度的閾值。通過仿真，分析了用戶歷史行為的影響，驗證了研究模型和傳統模型在準確度、檢測率和誤報率方面有效性均更好。

本次研究提出的模型僅解決用戶身份認證的問題。云環境中安全問題還存在進一步的挑戰，例如隱私數據的安全性。同時研究模型也存在一些缺陷，例如：①在分析用戶當前行為之前必須分析用戶的歷史行為，②為新用戶建立初始可信度值可能很難。這些問題有待進一步地研究和驗證。