CN104618373A - 一种适用于云计算平台的服务安全性量化评估方法及系统 - Google Patents

Abstract

本发明公开了本发明提供的一种适用于云计算平台的服务安全性量化评估方法及系统，该方法以服务为单位，利用进程间通信的IPC数据流来表示云服务及其底层基础设施的行为，通过分析该IPC数据流来识别攻击行为，并进行安全性量化评估，从而有效解决了现有技术中无法评估云基础设施和服务对用户数据和计算的攻击的问题。

Description

一种适用于云计算平台的服务安全性量化评估方法及系统

技术领域

本发明涉及计算机技术领域，尤其涉及一种适用于云计算平台的服务安全性量化评估方法及系统。

背景技术

云计算是一种新兴的网络计算模式，它将大量的计算资源、存储资源、数据资源和软硬件资源等聚集在一起，形成巨大的虚拟资源池，通过互联网为远程计算机用户提供IT服务。云计算便捷、经济、高可扩展的优点正吸引越来越多的企业和用户将他们的数据和计算转移到云计算系统中来。然而，安全问题已经成为制约云计算进一步普及和发展的关键因素。用户担心他们的数据和计算的机密性和完整性被云计算系统中的基础设施和服务所破坏。

因为用户既不能控制云计算平台的软硬件环境，也不能对移入云计算平台的数据和计算进行有效监控，最有效的保护机制就是对云计算平台中的软硬件环境进行评估，选择使用更加安全的云节点和服务。

安全评估是信息安全领域最常用的安全措施之一。传统的风险评估主要对“信息系统面对攻击时的安全性”进行评估，以便采取恰当的方法来消除系统弱点、提高安全性。传统的风险评估方法并不能完全满足云计算系统的安全评估要求，因为云计算系统面临的威胁来自于三个方面：外部攻击者、云基础设施和服务。传统的风险性评估只能对云基础设施和服务在面临外部攻击时的安全性进行评估，而无法评估云基础设施和服务对用户数据和计算的攻击。

发明内容

鉴于上述的分析，本发明旨在提供一种适用于云计算平台的服务安全性量化评估方法及系统，用以解决现有技术中的风险性评估无法评估云基础设施和服务对用户数据和计算的攻击的问题。

为解决上述问题，本发明主要是通过以下技术方案实现的：

本发明一方面提供了一种适用于云计算平台的服务安全性量化评估方法，该方法包括：

根据云节点上服务的进程间通信的IPC数据流判断和识别攻击行为的IPC数据流；

根据所述攻击行为对使用该服务的用户的数据和计算的安全性进行量化评估。

优选地，所述IPC数据为在云计算平台中将用户的数据和计算的存储及执行过程抽象为云服务及其依赖的底层软硬件对所述数据和所述计算进行操作的数据。

优选地，所述根据云节点上服务进程间通信的IPC数据流判断和识别攻击行为的IPC数据流的步骤具体包括：

根据云节点上进程间通信的IPC数据流判断和识别破坏机密性攻击行为的IPC数据流和破坏真实性攻击行为的IPC数据流。

优选地，所述根据云节点上进程间通信的IPC数据流判断和识别破坏机密性攻击行为的IPC数据流和破坏真实性攻击行为的IPC数据流的步骤具体包括：

当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流使得他人能通过某一条数据流路径看到用户的数据或计算，则判定所述IPC数据流为破坏机密性攻击的IPC数据流；

当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流能够修改用户的数据或计算中某个数据单元的数据流，并且该外部IPC数据流不含在服务的服务模式中，则判定所述IPC数据流为破坏真实性攻击的IPC数据流。

优选地，所述根据所述攻击行为对使用该服务的用户的数据和计算的安全性进行量化评估的步骤具体包括：

根据所述攻击行为对使用单机部署服务和多机部署服务的用户的数据和计算的安全性进行量化评估。

优选地，所述根据根据所述攻击行为对使用单机部署服务的用户的数据和计算的安全性进行量化评估的步骤具体包括：

当云上服务S在以第k个服务模式工作时，设N_S,k是S按第k个模式工作的总次数，aac_k,i为第i次工作时破坏机密性攻击出现的次数，aaa_k,i为第i次工作时破坏真实性攻击出现的次数，则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,k和用户的数据和计算的真实性被破坏的概率AS_S,k： ${\mathrm{CS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\Σ}}}{2}^i\·{\mathrm{aac}}_{k,i}}{2^{N_{s,k}}-1};{\mathrm{AS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\Σ}}}{2}^i\·{\mathrm{aaa}}_{k,i}}{2^{N_{s,k}}-1}.$

优选地，所述根据所述攻击行为对使用多机部署服务的用户的数据和计算的安全性进行量化评估的步骤具体包括：

当所述服务S的各个子服务合谋时，设N_S,k是S按第k个模式工作的总次数，aac_k,i为第i次工作时根据所有子服务的IPC数据流识别的破坏机密性攻击出现的次数，aaa_k,i为第i次工作时根据所有子服务的IPC数据流识别的破坏真实性攻击出现的次数，则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,k和用户的数据和计算的真实性被破坏的概率AS_S,k： ${\mathrm{CS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\Σ}}}{2}^i\·{\mathrm{aac}}_{k,i}}{2^{N_{s,k}}-1};{\mathrm{AS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\Σ}}}{2}^i\·{\mathrm{aaa}}_{k,i}}{2^{N_{s,k}}-1}.$

优选地，该方法还包括：

当所述服务的各个子服务非合谋时，设云上服务S包括n个子服务S₁，S₂，……，S_n，M_Sj,i是S以第i个模式工作时子服务S_j所用的服务模式，则则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,i和用户的数据和计算的真实性被破坏的概率AS_S,i：

${\mathrm{CS}}_{S,i}=1-\underset{n}{\overset{j=1}{\mathrm{\Π}}}(1-{\mathrm{CS}}_{S_j,M_{S_j,i}});{\mathrm{AS}}_{S,i}=1-\underset{n}{\overset{j=1}{\mathrm{\Π}}}(1-{\mathrm{AS}}_{S_j,M_{S_j,i}});$

其中，1<j<n。

本发明再一方面提供了一种适用于云计算平台的服务安全性量化评估系统，该系统包括：

判断识别单元，用于根据云节点上服务的进程间通信的IPC数据流判断和识别攻击行为的IPC数据流；

评估单元，用于根据所述攻击行为对使用该服务时，用户的数据和计算的安全性进行量化评估。

优选地，所述判断识别单元具体用于，当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流使得他人能通过某一条数据流路径看到用户的数据或计算，则判定所述IPC数据流为破坏机密性攻击的IPC数据流；当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流能够修改用户的数据或计算中某个数据单元的数据流，并且该外部IPC数据流不含在服务的服务模式中，则判定所述IPC数据流为破坏真实性攻击的IPC数据流。

本发明有益效果如下：

本发明提供的一种适用于云计算平台的服务安全性量化评估方法及系统，该方法以服务为单位，利用进程间通信的IPC数据流来表示云服务及其底层基础设施的行为，通过分析该IPC数据流来识别攻击行为，并进行安全性量化评估，从而有效解决了现有技术中无法评估云基础设施和服务对用户数据和计算的攻击的问题。

本发明的其他特征和优点将在随后的说明书中阐述，并且部分的从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

图1为本发明实施例的一种适用于云计算平台的服务安全性量化评估方法的流程图；

图2为本发明实施例的一种适用于云计算平台的服务安全性量化评估系统的结构示意图；

图3为本发明实施例的一种适用于云计算平台的服务安全性量化评估系统的结构示意图；

图4为本发明实施例的另一种适用于云计算平台的服务安全性量化评估系统的结构示意图。

具体实施方式

下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理。为了清楚和简化目的，当其可能使本发明的主题模糊不清时，将省略本文所描述的器件中已知功能和结构的详细具体说明。

本发明实施例的主要目的是提供一种适用于云计算平台的服务安全性量化评估方法及系统，本发明通过根据云节点上服务的进程间通信的IPC数据流判断和识别攻击行为的IPC数据流，并根据所述攻击行为对使用该服务时，用户的数据和计算的安全性进行量化评估，从而有效解决了现有技术中无法评估云基础设施和服务对用户数据和计算的攻击的问题，下面就通过几个具体实施例对本发明的技术方案进行详细说明。

方法实施例

本发明实施例提供了一种适用于云计算平台的服务安全性量化评估方法，参见图1，包括：

S101、根据云节点上服务的进程间通信的IPC数据流判断和识别攻击行为的IPC数据流；

S102、根据所述攻击行为对使用该服务时，用户的数据和计算的安全性进行量化评估。

本发明以服务为单位，利用进程间通信的IPC数据流来表示云服务及其底层基础设施的行为，通过分析该IPC数据流来识别攻击行为，并进行安全性量化评估，从而有效解决了现有技术中无法评估云基础设施和服务对用户数据和计算的攻击的问题。

本发明实施例中所述IPC数据为在云计算平台中将用户的数据和计算的存储及执行过程抽象为云服务及其依赖的底层软硬件对所述数据和所述计算进行操作的数据。

步骤S101具体包括：根据云节点上进程间通信的IPC数据流判断和识别破坏机密性攻击行为的IPC数据流和破坏真实性攻击行为的IPC数据流。

具体实施时，通过以下的方式判断和识别破坏机密性攻击行为的IPC数据流和破坏真实性攻击行为的IPC数据流：

当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流使得他人能通过某一条数据流路径看到用户的数据或计算，则判定所述IPC数据流为破坏机密性攻击的IPC数据流；

当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流能够修改用户的数据或计算中某个数据单元的数据流，并且该外部IPC数据流不含在服务的服务模式中，则判定所述IPC数据流为破坏真实性攻击的IPC数据流。

步骤S102具体包括：根据所述攻击行为对使用单机部署服务和多机部署服务的用户的数据和计算的安全性进行量化评估。

其中，根据所述攻击行为对使用单机部署服务的用户的数据和计算的安全性进行量化评估的步骤具体包括：

当云上服务S在以第k个服务模式工作时，设N_S,k是S按第k个模式工作的总次数，aac_k,i为第i次工作时破坏机密性攻击出现的次数，aaa_k,i为第i次工作时破坏真实性攻击出现的次数，则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,k和用户的数据和计算的真实性被破坏的概率AS_S,k： ${\mathrm{CS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aac}}_{k,i}}{2^{N_{s,k}}-1};{\mathrm{AS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aaa}}_{k,i}}{2^{N_{s,k}}-1}.$

所述根据所述攻击行为对使用多机部署服务的用户的数据和计算的安全性进行量化评估的步骤具体包括：

当所述服务S的各个子服务合谋时，设N_S,k是S按第k个模式工作的总次数，aac_k,i为第i次工作时根据所有子服务的IPC数据流识别的破坏机密性攻击出现的次数，aaa_k,i为第i次工作时根据所有子服务的IPC数据流识别的破坏真实性攻击出现的次数，则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,k和用户的数据和计算的真实性被破坏的概率AS_S,k： ${\mathrm{CS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aac}}_{k,i}}{2^{N_{s,k}}-1};{\mathrm{AS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aaa}}_{k,i}}{2^{N_{s,k}}-1}.$

当所述服务的各个子服务非合谋时，设云上服务S包括n个子服务S₁，S₂，……，S_n，M_Sj,i是S以第i个模式工作时子服务S_j所用的服务模式，则则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,i和用户的数据和计算的真实性被破坏的概率AS_S,i：

${\mathrm{CS}}_{S,i}=1-\underset{n}{\overset{j=1}{\mathrm{\&Pi;}}}(1-{\mathrm{CS}}_{S_j,M_{S_j,i}});{\mathrm{AS}}_{S,i}=1-\underset{n}{\overset{j=1}{\mathrm{\&Pi;}}}(1-{\mathrm{AS}}_{S_j,M_{S_j,i}});$

其中，1<j<n。

图2和图3分别是实现本发明所述的方法对应的系统及系统的结构示意图，下面结合图2和图3对本发明所述的方法进行详细的解释和说明：

本发明将用户的数据和计算在云计算平台中的存储和执行过程抽象为云服务及其依赖的底层软硬件对数据和计算的操作过程，并利用IPC数据流对云服务的行为进行描述的方法，并对IPC数据流及其各元素进行详细定义；

具体的，本发明将云服务处理数据过程中，数据的移动和引起数据移动的IPC粒度的操作表示为IPC数据流。一个IPC数据流表示由4类元素组成：处理者，数据，通道和操作，其中：

处理者操作数据，并使得数据在云节点内和云节点间移动，主要包括操作系统进程和云节点的用户；

一个数据被表示为一个三元组[CN,PN₁,PN₂]，其中CN表示数据的明文内容；PN₁表示读条件，即处理者为了看到CN必须满足的条件；PN₂表示写条件，即处理者为了对CN进行有效修改必须满足的条件；

通道是处理者用于存储数据或在处理者之间传输数据的媒介。根据对通道的操作能否被内核完全控制这个特征，它们被分成两类：可控通道和不可控通道。可控通道包括所有的内存通道，例如：管道、消息队列、共享内存等。不可控通道主要包括永久存储设备、显示设备、网络设备等；

操作是处理者作用于数据、通道和其它处理者的行为。IPC数据流中操作的对象都是标准的操作系统抽象，包括：系统进程，文件，管道，套接字，ipc消息，消息队列，共享内存等。

本发明通过公式表示某一个数据流，具体表示为，处理者P对通道C中数据D执行操作O，数据从C流向P。

即，用户的计算由进程中的数据表示，计算的安全性等同于它的数据单元的安全性。

IPC数据流只能表示系统进程的外部行为，为了进行精确的评估使用进程模式来描述进程内部处理数据的细节——内部数据流。内部数据流用四元组[CONF_M,in_M,pS_M,out_M]来表示一个进程模式M，它表示：当按照CONF_M进行配置并按ins_M从输入通道读取数据后，进程将按pS_M的描述过程处理数据并产生out_M所描述的输出。其中in_M输入数据流集合，pS_M为内部数据流集合，out_M为输出数据流集合。根据是否带有模式，将进程分为有模式进程和无模式进程。

评估方法使用的所有数据流类型及处理者和通道的状态的简化表示如表1所示。其中，符号P₁，P₂，…表示处理者；D₁，D₂，…表示数据；C₁，C₂，…表示是通道；

表1数据流及处理者和通道的状态的简化表

本发明实施例中服务正常行为和数据保护技术敏感的攻击行为识别：将各种保护数据机密性和真实性的方法和技术以数据读写条件的形式表示到IPC数据流中，从IPC数据流的角度定义破坏数据和计算机密性和真实性的攻击行为，提出根据云服务的IPC数据流识别攻击行为的算法和具体步骤。

具体的，本发明是根据云节点上进程间通信的IPC数据流判断和识别破坏机密性攻击行为的IPC数据流和破坏真实性攻击行为的IPC数据流。

本发明的攻击行为识别标准具体包括：

1)破坏机密性攻击识别标准。当服务操作数据或计算时，它的一系列行为被认为破坏数据活计算的机密性，当且仅当它们使得云节点的用户能得到数据或计算的机密数据，且这些行为不是正常的服务行为。

下面以数据流的形式给出攻击行为的定义：

云节点的用户被看作一个无模式进程P_u；

无数据形式数据流的定义：数据流F的无数据形式数据流是通过从F中删除数据但保留处理者和操作得到的；

数据流路径的定义：如果处理者P能看到数据D，或通道C中包含数据D，则满足下列条件的有向图称为P/C中数据D的数据流路径：

1)有向图是由服务的外部IPC数据流的无数据形式数据流构成的；

2)该有向图显示了数据D的来源；

3)如果删除任何一个无数据模式数据流，则该有向图将不能再显示数据D的来源；

破坏机密性攻击行为(AAC)的定义为：一种破坏数据或计算私密性的攻击行为是一个满足下列条件的最小数据流集合：

1)它是由服务工作期间的外部IPC数据流组成的；

2)它使得P_u能看到数据或计算的一个数据单元；

3)它包含P_u中该数据的一条数据流路径，但该数据流路径在服务的服务模式中不存在。

2)破坏真实性攻击识别标准。当服务操作数据或计算时，它的一系列行为被认为破坏数据或计算的真实性，当且仅当它们可能成功地破坏了数据或计算的部分数据，且这些行为不是正常的服务行为。

具体的，破坏真实性攻击行为(AAA)的定义为：一种破坏数据或计算真实性的攻击行为是一个满足下列条件的最小数据流集合：

1)它是由服务工作期间的外部IPC数据流组成的；

2)它包含一个成功修改数据或计算中某个数据单元的数据流，但该数据流不含在服务的服务模式中；

3)它包含一个被修改数据的数据流路径，且该数据流路径包含在服务的服务模式中。

本发明的攻击行为识别过程包括：

每次服务S为数据或计算服务时，利用如下过程来识别攻击行为：

1)每次服务S工作时，内核监视器监视所有相关的数据流，并将它们发送给评估器，直到S结束服务。

2)评估器收集其它的数据流相关信息。

3)评估器根据以下步骤来发现破坏机密性攻击(AAC)和破坏真实性攻击(AAA)：

a)每当收到一个包含不可控通道(假设为C)的数据流，将该云节点的用户看作一个无模式进程P_u并在该数据流后增加潜在数据流和到数据流集中；

b)S完成服务后，对于每个未被删除的可控通道增加潜在的数据流和到数据流集中；

c)确认涉及的进程的模式，并将它们的内部数据流插入到数据流集合中；

d)使用表2中的规则更新数据流集及处理者和通道的状态，直到没有新的数据流产生且没有状态的变化出现；

e)根据AAC和AAA的定义识别AAC和AAA。另外，当云服务正在工作时如果将其主机的操作系统dump到不可控通道，这被看作一个特殊的AAC和AAA。

针对简单服务和组合服务的安全性量化评估，本发明将服务的安全性量化为0到1之间的浮点值，表示用户使用该服务时数据和计算的安全性被破坏的概率。根据云服务历史上攻击行为出现的种类和频度，提出简单服务和组合服务安全性的计算方法。根据子服务是否合谋，分别提出合谋情况下组合服务的安全性计算方法和非合谋情况下组合服务的安全性计算方法。

服务正常行为和数据保护技术敏感的攻击行为识别包括：

本发明使用服务模式来描述同一简单服务的不同功能及它们的组件和正常行为。一个服务模式SM用四元组[CONF_SM,IN_SM,FLOW_SM,OUT_SM]表示，它表示当按照CONF_SM进行配置并按照IN_SM读取输入后，服务将按模式SM进行工作，FLOW_SM和OUT_SM分别描述了正常情况下服务的内部数据流和输出数据流。

组合服务由若干个子服务构成，子服务可以是简单服务也可以是组合服务。一个组合服务利用不同的子服务组合和子服务模式也可以对外提供不同的功能。组合服务的一个服务模式SM由子服务的组合图和子服务的服务模式组成，表示为一个二元祖[MAP_SM,{M_s1,M_s2,….M_sn}]，其中MAP_SM为组合图，M_si为子服务s_i的服务模式。

将服务工作时数据和计算安全性的威胁程度称为服务的安全性。安全性由两个部分组成：机密性状态和真实性状态。机密性状态量化地显示了该服务工作时破坏数据或计算机密性的概率。类似地，真实性状态量化地显示了该服务工作时破坏数据或计算真实性的概率。

云上服务S的安全性、机密性状态和真实性状态分别用向量SSTATE_S、CSTATE_S和ASTATE_S表示。

SSTATE_S＝(CSTATE_S,ASTATE_S)

CSTATE_S＝(CS_S,1,CS_S,2,…,CS_S,n)

ASTATE_S＝(AS_S,1,AS_S,2,…,AS_S,n)

上式中，n是服务S的服务模式的个数；CS_S,k和AS_S,k(1≤k≤n)表示S以第k个服务模式工作时它的机密性状态和真实性状态。

通过统计服务历史上攻击事件出现的概率来计算服务的安全性，具体算法如下：

本发明的简单服务的安全性评估算法包括：

当云上服务S在以第k个服务模式工作时，设N_S,k是S按第k个模式工作的总次数，aac_k,i为第i次工作时破坏机密性攻击出现的次数，aaa_k,i为第i次工作时破坏真实性攻击出现的次数。则根据和 ${\mathrm{AS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aaa}}_{k,i}}{2^{N_{s,k}}-1}$ 来计算SSTATE_S的每个单元。

本发明组合服务的安全性评估算法包括：

组合服务评估根据攻击者是否合谋进行攻击，分为两种情况：非合谋场景评估和合谋场景评估。假设组合服务S由n个子服务S₁，S₂，……，S_n组成，M_Sj,i是S以第i个模式工作时子服务S_j所用的服务模式。

对非合谋场景评估包括：

在非合谋情况下，可以把各个子服务进行的攻击看做独立的事件。在知道各个子服务的安全状态的情况下，可以简单地利用 ${\mathrm{CS}}_{S,i}=1-\underset{n}{\overset{j=1}{\mathrm{\&Pi;}}}(1-{\mathrm{CS}}_{S_j,M_{S_j,i}})$ 和 ${\mathrm{AS}}_{S,i}=1-\underset{n}{\overset{j=1}{\mathrm{\&Pi;}}}(1-{\mathrm{AS}}_{S_j,M_{S_j,i}})$ 进行概率计算得出组合服务S的安全状态。

在合谋场景下，需要考虑攻击者从不同的子服务中获取不同数据，然后组合对作业进行攻击。比如从一个子服务中获取作业数据的密文，从另一个子服务获取密文的加密密钥，然后解码获得作业数据明文。这种情况下最直观的方法是将所有子服务的数据流汇总到一起，利用简单服务的评估方法进行评估。但这种方式需要在网络中传输大量的数据流信息，效率较低。为降低传输的数据量，将评估过程分成两个阶段：

子服务评估和数据流预处理。首先，子服务所在云节点的监控器和评估器对子服务本身的安全状态进行评估。然后，评估器将监听到的数据流进行重新处理，用跟简单服务评估一样的算法查找P_u中这些数据的数据流路径，将它们发送给组合服务。

数据流汇总和评估，收到所有子服务的预处理后的数据流路径后，利用跟简单服务评估类似的方法查找AAC和AAA，然后利用和 ${\mathrm{AS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aaa}}_{k,i}}{2^{N_{s,k}}-1}$ 重新计算组合服务的安全状态。

系统实施例

本发明实施例提供了一种终端应用程序清理的系统，参见图4，包括：

判断识别单元，用于根据云节点上服务的进程间通信的IPC数据流判断和识别攻击行为的IPC数据流；

评估单元，用于根据所述攻击行为对使用该服务时，用户的数据和计算的安全性进行量化评估。

本发明实施例还提供了一种优选的实施方式，所述判断识别单元具体用于，当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流使得他人能通过某一条数据流路径看到用户的数据或计算，则判定所述IPC数据流为破坏机密性攻击的IPC数据流；当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流能够修改用户的数据或计算中某个数据单元的数据流，并且该外部IPC数据流不含在服务的服务模式中，则判定所述IPC数据流为破坏真实性攻击的IPC数据流。

本发明实施例中的所述评估单元具体用于，当云上服务S在以第k个服务模式工作时，设N_S,k是S按第k个模式工作的总次数，aac_k,i为第i次工作时破坏机密性攻击出现的次数，aaa_k,i为第i次工作时破坏真实性攻击出现的次数，则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,k和用户的数据和计算的真实性被破坏的概率AS_S,k： 当所述服务S的各个子服务合谋时，设N_S,k是S按第k个模式工作的总次数，aac_k,i为第i次工作时根据所有子服务的IPC数据流识别的破坏机密性攻击出现的次数，aaa_k,i为第i次工作时根据所有子服务的IPC数据流识别的破坏真实性攻击出现的次数，则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,k和用户的数据和计算的真实性被破坏的概率AS_S,k： ${\mathrm{CS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aac}}_{k,i}}{2^{N_{s,k}}-1};{\mathrm{AS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aaa}}_{k,i}}{2^{N_{s,k}}-1};$ 当所述服务的各个子服务非合谋时，设云上服务S包括n个子服务S₁，S₂，……，S_n，M_Sj,i是S以第i个模式工作时子服务S_j所用的服务模式，则则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,i和用户的数据和计算的真实性被破坏的概率AS_S,i：

${\mathrm{CS}}_{S,i}=1-\underset{n}{\overset{j=1}{\mathrm{\&Pi;}}}(1-{\mathrm{CS}}_{S_j,M_{S_j,i}});{\mathrm{AS}}_{S,i}=1-\underset{n}{\overset{j=1}{\mathrm{\&Pi;}}}(1-{\mathrm{AS}}_{S_j,M_{S_j,i}});$

其中，1<j<n。

本发明实施例所述的系统设置在图2中的云节点上，且，本发明实施例所述的判断识别单元和评估单元所实现的功能与图3中的攻击识别和安全状态评估单元所实现的功能相同。

图2和图3分别是实现本发明所述的方法对应的系统的结构示意图，下面结合图2和图3对本发明进行详细的解释和说明：

监控器中的系统调用拦截服务的IPC数据流，并将拦截的IPC数据流发送给评估器，拦截的主要系统调用见附表2，由评估器读取数据流，并由攻击识别和安全状态评估单元对该IPC数据流进行判断和识别其是否为攻击行为的IPC数据流，并通过模式获取单元获取模式库中的存储的数据进行相应的安全性量化评估，本发明的模式库中存储有本发明所有的有关评估IPC数据流的相关数据。

表2是本发明更新数据流集、处理者和通道状态的规则表，其中，用句号连接的子条件需按序出现，而逗号连接的子条件不需按序出现。

表2是本发明更新数据流集、处理者和通道状态的规则表

本发明实施例所述的系统的相关内容可参照方法实施例的相关内容进行理解，在此不再赘述。

本发明至少能够带来以下有益效果：

本发明提供的一种适用于云计算平台的服务安全性量化评估方法及系统，该方法以服务为单位，利用进程间通信的IPC数据流来表示云服务及其底层基础设施的行为，通过分析该IPC数据流来识别攻击行为，并进行安全性量化评估，从而有效解决了现有技术中无法评估云基础设施和服务对用户数据和计算的攻击的问题。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims (10)

1.一种适用于云计算平台的服务安全性量化评估方法，其特征在于，包括：

根据云节点上服务的进程间通信的IPC数据流判断和识别攻击行为的IPC数据流；

根据所述攻击行为对使用该服务的用户的数据和计算的安全性进行量化评估。

2.根据权利要求1所述的方法，其特征在于，

所述IPC数据为在云计算平台中将用户的数据和计算的存储及执行过程抽象为云服务及其依赖的底层软硬件对所述数据和所述计算进行操作的数据。

3.根据权利要求1所述的方法，其特征在于，所述根据云节点上服务进程间通信的IPC数据流判断和识别攻击行为的IPC数据流的步骤具体包括：

根据云节点上进程间通信的IPC数据流判断和识别破坏机密性攻击行为的IPC数据流和破坏真实性攻击行为的IPC数据流。

4.根据权利要求3所述的方法，其特征在于，所述根据云节点上进程间通信的IPC数据流判断和识别破坏机密性攻击行为的IPC数据流和破坏真实性攻击行为的IPC数据流的步骤具体包括：

当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流使得他人能通过某一条数据流路径看到用户的数据或计算，则判定所述IPC数据流为破坏机密性攻击的IPC数据流；

当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流能够修改用户的数据或计算中某个数据单元的数据流，并且该外部IPC数据流不含在服务的服务模式中，则判定所述IPC数据流为破坏真实性攻击的IPC数据流。

5.根据权利要求1-4中任意一项所述的方法，其特征在于，所述根据所述攻击行为对使用该服务的用户的数据和计算的安全性进行量化评估的步骤具体包括：

根据所述攻击行为对使用单机部署服务和多机部署服务的用户的数据和计算的安全性进行量化评估。

6.根据权利要求5所述的方法，其特征在于，所述根据所述攻击行为对使用单机部署服务的用户的数据和计算的安全性进行量化评估的步骤具体包括：

当云上服务S在以第k个服务模式工作时，设N_S,k是S按第k个模式工作的总次数，aac_k,i为第i次工作时破坏机密性攻击出现的次数，aaa_k,i为第i次工作时破坏真实性攻击出现的次数，则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,k和用户的数据和计算的真实性被破坏的概率AS_S,k：

${\mathrm{CS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aac}}_{k,i}}{2^{N_{s,k}}-1};{\mathrm{AS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aaa}}_{k,i}}{2^{N_{s,k}}-1}.$

7.根据权利要求5所述的方法，其特征在于，所述根据所述攻击行为对使用多机部署服务的用户的数据和计算的安全性进行量化评估的步骤具体包括：

当所述服务S的各个子服务合谋时，设N_S,k是S按第k个模式工作的总次数，aac_k,i为第i次工作时根据所有子服务的IPC数据流识别的破坏机密性攻击出现的次数，aaa_k,i为第i次工作时根据所有子服务的IPC数据流识别的破坏真实性攻击出现的次数，则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,k和用户的数据和计算的真实性被破坏的概率AS_S,k：

${\mathrm{CS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aac}}_{k,i}}{2^{N_{s,k}}-1};{\mathrm{AS}}_{S,k}=\frac{\underset{i=1}{\overset{N_{s,k}}{\mathrm{\&Sigma;}}}{2}^i\&CenterDot;{\mathrm{aaa}}_{k,i}}{2^{N_{s,k}}-1}.$

8.根据权利要求7所述的方法，其特征在于，还包括：

当所述服务的各个子服务非合谋时，设云上服务S包括n个子服务S₁，S₂，……，S_n，M_Sj,i是S以第i个模式工作时子服务S_j所用的服务模式，则则服务的安全性为用户的数据和计算的机密性被破坏的概率CS_S,i和用户的数据和计算的真实性被破坏的概率AS_S,i：

${\mathrm{CS}}_{S,i}=1-\underset{n}{\overset{j=1}{\mathrm{\&Pi;}}}(1-{\mathrm{CS}}_{S_j,M_{S_j,i}});{\mathrm{AS}}_{S,i}=1-\underset{n}{\overset{j=1}{\mathrm{\&Pi;}}}(1-{\mathrm{AS}}_{S_j,M_{S_j,i}});$

其中，1<j<n。

9.一种适用于云计算平台的服务安全性量化评估系统，其特征在于，包括：

判断识别单元，用于根据云节点上服务的进程间通信的IPC数据流判断和识别攻击行为的IPC数据流；

评估单元，用于根据所述攻击行为对使用该服务时，用户的数据和计算的安全性进行量化评估。

10.根据权利要求9所述的系统，其特征在于，

所述判断识别单元具体用于，当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流使得他人能通过某一条数据流路径看到用户的数据或计算，则判定所述IPC数据流为破坏机密性攻击的IPC数据流；当云节点上进程间通信的IPC数据流为所述服务工作期间的外部IPC数据流，且该外部IPC数据流能够修改用户的数据或计算中某个数据单元的数据流，并且该外部IPC数据流不含在服务的服务模式中，则判定所述IPC数据流为破坏真实性攻击的IPC数据流。