课题名称:可信赖云计算的网络防御方法研究
课题编号:2022HSDS07
课题负责人:毛明扬
一、项目研究的意义和目的
目前,我国网络技术快速发展,移动终端被人们广泛应用,对其数据的安全性也日益提高。由于手机中储存了海量的个人信息,因此,个人信息的泄漏问题一直困扰着许多人。移动终端的恶意软件会搜集使用者的电话号码、位置、联系方式等机密资料,而使用者却不知道。如果这些数据被泄漏,将会严重地影响到用户的个人信息安全。因此,如何对大量的移动终端数据进行有效地检测,是当前迫切需要解决的问题。在当前阶段,主要的检测方法是多维流量式检测方法和基于差分隐私的检测方法。其中,多维流量式检测方法利用网络协议特征数据库,实时控制网络流量,使用结合归一化处理方式,能够降低网络隐私信息特征集合的维度。构建相空间模型,通过线性回归函数映射到相空间内,完成隐私信息泄漏检测;使用基于差分隐私的检测方法,首先对空间区域进行网格化处理,然后结合增量近邻查询算法,完成隐私信息泄漏检测。由于这两种方法需要将网络中的全部历史查询信息都参与到计算过程中,这就导致泄漏检测耗时过长。为此,提出了云计算环境下网络隐私信息泄漏检测方法。
在互联网技术的支撑下,云平台借助虚拟化技术将资源进行转化,从而为用户提供多样化的资源,实现资源共享 。用户根据需求在云平台进行操作时,仅具有主机的使用权,不具备云平台服务商处理数据的知情权,即缺少数据的物理控制权。云平台具备方便易用和低成本的优点,但是也存在着严重的安全威胁。在云平台多租户的情况下,彼此隔离的数据在物理存储过程中有可能是交叉的,为恶意攻击创造了潜在的攻击通道,因此云平台的运行环境安全可信问题属于目前学术界的关键问题。为了验证云平台的可信性,提出了一种基于多特征融合的云平台异常检测方法,以特征约束条件为前提,采用迭代法对多特征进行融合处理,得到最优解;构建增量模型,运用该模型对云平台数据进行计算;将数据计算结果与融合结果相结合,实现平台异常检测,以此判断云平台的可信性。实验结果表明,该方法具有数据采集实时性的特点,能够获取云平台的实时运行状态,但是可信性验证结果的准确性不高。提出一种云架构综合监控系统的可靠性验证方法,首先分析云架构综合监控系统的架构特点,然后建立故障树,获取系统可信性影响因素的底事件,最后根据分析结果验证系统的可信性。实验结果表明,该方法在可信性验证中对于系统故障问题能够获取较高的检测率,但是由于系统中数据量较大,无法实现准确的可信性验证结果。提出了一种基于事件的云平台服务验证方法,该方法从行为、语义、资源分配和结构四个层面进行验证,采用方法将复杂问题转换成简单问题。验证结果表明,该方法能够为验证问题提供严格的数学推理与证明,具有精细化的特点。针对上述问题,本文设计一种云平台运行环境可信性验证算法,为提升云平台运行环境的可信性提供有力的数据支持,提升新形势下云平台快速发展的科技竞争力,确保云平台产业高速及稳定发展。
二、项目研究的主要成果
[1]毛明扬.考虑局部邻域多流形度量的单训练样本人脸识别[J],计算机与数字工程. 2022,50(07):1562-1565+1572(CSTPCD核心期刊,华商认定B类论文)
[2]毛明扬,徐胜超.面向云平台的运行环境可信性验证算法研究[J],计算机与数字工程. 2022,50(10):2240-2245+2316(CSTPCD核心期刊,华商认定B类论文)
[3]毛明扬,徐胜超.可信赖云计算的通信终端攻击行为识别算法[J],计算机与现代化. 2022(11):37-42(CSTPCD核心期刊,华商认定B类论文)
[4]毛明扬,徐胜超.云计算环境下网络隐私信息泄漏检测方法[J],科技通报,2022,38(12):26-30(CSTPCD核心期刊,华商认定B类论文)
三、研究成果的主要内容
论文” 面向云平台的运行环境可信性验证算法研究” ,提出一种可信性验证算法用于验证云平台运行环境的可行性与安全性。云平台IaaS层利用基于漏洞特征信息流跟踪与关键过程重构的固件安全性验证方法,挖掘固件漏洞,通过侧信道分析方法检测硬件基础设施是否存在泄露用户数据风险;云平台PaaS层设计可信性验证环境的agent保护机制,保障验证过程的可信性;云平台SaaS层负责提供计算服务,并借助可信第三方提供可信性验证用例,利用故障树分析法验证云平台运行环境可信性。分析实验结果可知,所研究的算法能够对云平台运行环境的可信性进行有效验证,并通过分析得到影响云平台可信性的具体因素。
论文“可信赖云计算的通信终端攻击行为识别算法”提出了可信赖云计算下的通信终端攻击行为识别算法。利用数据采集模块获取通信终端镜像的数据流,通过可信性验证机制将可信任链扩展到云计算环境的虚拟机管理器和通信终端,检测通信终端运行环境的可信性后,攻击行为识别模块采用贝叶斯算法判断数据流是否包含攻击行为,并通过计算攻击行为数据的最大后验概率判断攻击行为所属类别,并将检测结果反映给管理模块,结合速率限制模块限制含有攻击行为的数据流,直到通信终端所受攻击行为结束。实验结果表明:该算法加入可信性动态验证机制能有效提升通信终端访问安全性,并能保证数据在通信终端遭受攻击行为时的顺利传输;不同程度干扰环境下的通信终端攻击行为识别平均绝对百分误差始终低于0.25%。
论文“云计算环境下网络隐私信息泄漏检测方法” 提出了云计算环境下网络隐私信息泄漏检测方法。将半格作为数据分析方式描述数据流,通过构建泄漏的隐私信息特征函数整合数据流。通过构建的隐私信息泄漏检测框架,确定线性回归函数,结合网络隐私信息泄漏特征,构建相空间重构模型。按照相空间重构模型,标识待检测信息,提高聚类效果。计算信息泄漏指数,确定判断阈值,检测泄漏隐私信息。由实验结果可知,该方法泄漏的数据集全部聚集在空间内,且最短检测时长为0.5s,具有高效检测结果。
论文“基于历史数据分析的容器云安全风险评估方法”提出基于历史数据分析的容器云安全风险评估方法。根据云计算安全标准,对容器云风险等级进行分类;利用粗糙集算法挖掘容器云历史数据中的风险因素,获得风险因素归约集合;根据容器云的运行特点,通过德尔菲方法和决策隶属度矩阵计算安全风险权重。根据各风险间存在关联性,整合整体风险评估值,实现容器云安全风险评估。实验结果表明,该方法可以有效评估容器云安全风险,且评估结果较为准确,为用户保证隐私数据安全提供参考。
四、创新之处
项目的主要研究内容和创新点是:(1)可信赖云计算平台的框架搭建;(2)可信赖云计算的验证机制;(3)可信赖云计算的网络攻击行为识别方法;(4)可信赖云计算的隐私泄露检测方法;(5)云环境下的安全风险评估模型。
五、成果的学术价值、应用价值
对本课题的五个技术点的研究可以对云安全的防护起到保护作用,可以识别可信赖云平台的网络攻击行为,查看云平台的隐私泄露问题,对保护云客户端的用户隐私具有很好的现实意义与应用价值。
