CN106100893B - 基于动态博弈的云服务环境的服务开放性与安全控制性评估方法 - Google Patents

Abstract

本发明公开了一种基于动态博弈的云服务环境的服务开放性与安全控制性评估方法，包括如下步骤：1协调云服务环境的服务和安全两个方面为均衡策略，分别得到保证提供商完全服务开放性的外部补贴条件，和保障完全控制用户正常使用的内部安全条件；2从外部补贴条件出发构建服务敏感型和谨慎型的服务开放性评估方法，从内部控制条件出发结合贝叶斯公式构建安全控制性评估方法。本发明能对云服务环境的服务开放性和安全控制性进行定量评估，以及得到云服务环境在最优安全投资和最优外部补贴时的服务开放性和安全控制性结果，从而为云服务提供商制定服务开放性和安全控制性相协调的经营策略提供指导，以此促进云服务运营的良性增长与安全稳定。

Description

基于动态博弈的云服务环境的服务开放性与安全控制性评估 方法

技术领域

本发明涉及云计算服务领域，具体的说是一种基于动态博弈的云服务环境的服务开放性与安全控制性评估方法。

背景技术

目前以云计算技术为核心的互联网产业，以及由此产生的各类“互联网+”服务产品结合着各种新型互联网商业模式已经成为国民经济重要的推动力。由于云计算技术的按服务部署资源、灵活可扩展、快速响应等特点已经成为互联网服务的底层技术(Mell P,Grance T.The NIST definition ofcloud computing[J].Communications ofthe Acm,2015,53(6):50-50.)，同时云计算服务(简称云服务)已经深刻融入每个人的日常生活和各行业的运营管理中。目前云服务的市场规模已经十分庞大，且增长迅速，云服务的盈利基础来自于价格模式，主要的普通收益有Pay-Per-Use(PPU)、Subscription-based Pricing(SbP)和Tiered Pring(TP)三种，常用模式为PPU，例如亚马逊公司的EC2服务产品(CardosoA,P.Cloud Computing:Concepts,Technologies and Challenges[M].Virtual andNetworked Organizations,Emergent Technologies and Tools.2012:127-136.)，以及一些新型的商业模式提供的附加收益，如利用经营生态链反补服务收益(Lucas‐Simarro,Jose Luis,Montero R S,Llorente I M.Cost optimization of virtualinfrastructures in dynamic multi‐cloud scenarios[J].Concurrency&ComputationPractice&Experience,2015,27(9):2260-2277..)。

云服务的服务开放性是云服务环境可以良性运营的一个前提，而且云服务只有保障一定的服务开放性才能够从上述经济模式获得收益。这是因为一方面由于云服务需要为不同类型的用户(个人、企业、团体)提供不同类型的服务，尤其是云服务自身的面向服务、大规模分布式环境和灵活优化的服务组合，这些特征都说明云服务相对其他信息类产品需要更大的服务开放性(Tan WA,LiS,Zhang Q Q,et al.Reliable service computingplatform architecture for cross-organizational workflows[C].IEEEInternational Conference on Systems,Man and Cybernetics-Smc.2014.)，另一方面云服务的服务开放性可以带来用户的信任从而保持用户的持续使用，同时也可以吸引更多的新用户(Garrison G,Kim S,Wakefield RL.Success factors for deploying cloudcomputing[J].Communications ofthe Acm,2012,55(9):62-68.)。

云服务的安全控制性也是云服务环境可以良性运营的另一个前提，一方面云服务技术本身由于其自身的特点就容易产生安全漏洞隐患(Gordon LA,Loeb M P.Theeconomics of information security investment[J].Acm Transactions onInformation&System Security,2002,5(4):438-457.)，另一方面由于云服务开放性的特征除了带来更好的运营服务外，但也带来了更多的安全问题(Lin C,Wen-Bo S U,Meng K,et al.Cloud Computing Security:Architecture,Mechanism and Modeling[J].ChineseJournal ofComputers,2013,36(9):1765-1784.)。目前研究表明由于云服务的开放性更容易产生人为的非正常使用，如非法入侵和攻击、信息欺骗和盗取等，而这些都对云服务的安全性产生直接的威胁，同时也极大地影响了云服务本身的运营与发展(Yu H,Williams K,Yuan X.Cloud Computing Threats and Provider SecurityAssessment[M].AlgorithmsandArchitectures for Parallel Processing.2015.)。现今云服务多采取主动防御的安全检测技术，在提供用户服务之前对用户进行检测来判断是否提供服务(Ryan M D.Cloudcomputing security:The scientific challenge,and a survey ofsolutions[J].Journal of Systems&Software,2013,86(9):2263-2268.)。但是这种安全检测也是不完美的，存在将正常使用行为用户判断为异常行为从而拒绝用户使用的误报，也存在将异常使用行为用户判断为正常行为从而并提供服务的漏报两种可能(Gao X,Zhong W,MeiS.Agame-theory approach to configuration of detection software with decisionerrors[J].Reliability Engineering&System Safety,2013,119:35-43.)，因此如何构造可以控制用户正常使用云服务，而不去采取异常使用行为的安全技术是非常关键的。

综合以上内容，云服务环境的服务开放性与安全控制性是其良性运营不可或缺的两个最根本的因素，现有的云服务的开放性研究多为一些定性的特征描述，以及概念性影响因素探索，并未涉及到云服务开放性的定量度量问题。而现有的关于云服务安全性的研究多出现在两个方面，一则是关于安全入侵技术本身的研究，再则是从信息安全经济学的角度出发，采用博弈论等方法将安全与云服务经济效益相结合，探讨在各种条件下云服务企业的最优收益与安全风险控制(Gao X,Zhong W,Mei S.Security investment andinformation sharing under an alternative security breach probability function[J].Information Systems Frontiers,2015,17(2):423-438.)，其结果多为在假设下的最优值探索，也未涉及对于用户使用行为控制的安全等级定量度量问题。同时以上的技术也多是从单一的云服务开放性或者安全性出发，并未涉及将两者协调考虑，从而无法适应实际的应用环境。

发明内容

本发明为解决上述现有技术中存在的不足之处，提供一种基于动态博弈的云服务环境的服务开放性与安全控制性评估方法，以期能够统筹协调所述云环境的服务开放性与安全控制性两个方面，并能够对云服务环境的开放性和控制性进行定量评估；从而能为云服务提供商制定服务开放性和安全控制性相协调的经营方案提供指导，以此促进云服务运营的良性增长与安全稳定。

为了达到上述目的，本发明所采用的技术方案为：

本发明一种基于动态博弈的云服务环境的服务开放性与安全控制性评估方法，所述云服务环境包括：云服务提供商p和若干个用户，任意一个用户记为q，所述用户q的决策集合记为 表示用户q的正常使用行为；表示用户q的异常使用行为；所述云服务提供商p根据对所述用户q的安全检测，得出所述云服务提供商p的决策集合，记为 表示所述云服务提供商p提供服务；表示所述云服务提供商p拒绝服务；将所述云服务提供商p对所述用户q的正常使用行为检测为异常使用行为的误报率记为α，将所述云服务提供商p对所述用户q的异常使用行为检测为正常使用行为的漏报率记为β；由所述云服务提供商p的决策集合S^p和用户q的决策集合S^q共同构成决策组合 表示所述云服务提供商p对用户q的正常使用行为进行服务；表示所述云服务提供商p拒绝为用户q的正常使用行为进行服务；表示所述云服务提供商p对用户q的异常使用行为进行服务；表示所述云服务提供商p拒绝为用户q的异常使用行为进行服务；其特点在于：所述服务开放性与安全控制性评估方法是按如下步骤进行：

步骤1、根据所述决策组合s_pq，分别利用式(1.a)至式(1.d)获得云服务提供商p对用户q的正常使用行为进行服务时的期望效用所述云服务提供商p拒绝为用户q的正常使用行为进行服务的期望效用所述云服务提供商p对用户q的异常使用行为进行服务的期望效用所述云服务提供商p拒绝为用户q的异常使用行为进行服务的期望效用从而得到云服务提供商p的期望效用集合

式(1.a)至式(1.d)中，h表示所述云服务提供商p提供服务的每台虚拟机价格；c表示所述云服务提供商p提供服务的每台虚拟机成本；k表示所述云服务提供商p提供用于服务用户q的虚拟机个数；R表示所述云服务提供商p因误报而造成的信誉损失；L表示所述云服务提供商p因漏报而造成的安全损失；B_other表示所述云服务提供商p所获得的除普通收益外的额外补贴；C表示所述云服务提供商p对安全进行的投资；

分别利用式(2.a)至式(2.d)获得用户q的正常使用行为被云服务提供商p服务时的期望效用用户q的正常使用行为被云服务提供商p拒绝服务时的期望效用用户q的异常使用行为被云服务提供商p服务时的期望效用用户q的异常使用行为被云服务提供商p拒绝服务时的期望效用从而得到用户q的期望效用集合

式(2.a)至式(2.d)中，E表示用户q正常使用所述云服务时的使用价值；T表示用户q异常使用所述云服务时的额外收益；W表示所述云服务环境对用户q的检测结果为异常使用行为的惩罚；

步骤2、依据所述云服务提供商p的期望效用集合U^p和用户q的期望效用集合U^q，通过动态博弈方法，获得在服务方面完全保障云服务商提供商p进行服务的外部补贴条件和在安全方面完全迫使用户q采取正常使用的内部控制条件：

利用式(1)获得外部补贴条件：

B_other≥B (1)

式(1)中，B为云服务提供商p保持完全服务开放性的最低外部补贴，由B＝C-(h-c)k+β×L计算得到；

利用式(2)获得内部控制条件：

α(E-h×k)+β(E-h×k+T)≤E-h×k (2)

若对所述云服务环境的服务开放性程度进行评估，则转步骤3；

若对所述云服务环境的安全控制性程度进行评估，则转步骤6；

步骤3、若所述云服务环境满足如式(1)所示的外部补贴条件，则得到所述云服务环境中云服务提供商p可以保持完全的服务开放性，即判定云服务环境的服务开放性为100％；若不满足外部补贴条件，则表示所述云服务环境在服务方面未达到完全开放性，转步骤4继续进行服务开放性评估；

步骤4、利用式(3)获得所述云服务提供商p在没有外部补贴下的原始云服务环境开放性

式(3)中，表示所述云服务提供商p在服务决策下的总体期望效用；表示所述云服务提供商p在拒绝决策下的总体期望效用；

步骤5、根据所述原始云服务环境开放性和所述最低外部补贴B，获得所述云服务提供商p的服务开放性评估函数O＝{O^Ⅰ,O^Ⅱ}，并利用服务开放性评估函数O对所述云服务环境的服务开放性进行评估，得到评估结果；

其中，O^Ⅰ表示所述云服务提供商p为开放敏感型时的服务开放性评估函数；O^Ⅱ表示所述云服务提供商p为开放谨慎型时的服务开放性评估函数；

步骤6、若所述云服务环境满足如式(2)所示的内部控制条件，则得到所述云服务环境能完全控制用户q只采取正常使用云服务行为，即判定所述云服务环境的安全控制性为100％；若不满足内部控制条件，则表示所述云服务环境在安全方面未达到完全控制性，并转步骤7继续进行安全控制性评估；

步骤7、利用式(4)获得所述云服务环境的安全检测漏洞参数S：

S＝v^{[(λ×C+1)/(γ(1-η)+1)]} (4)

式(4)中，λ表示所述云服务环境的安全投资效率，γ表示所述云服务环境的异常使用行为破坏效率；η表示所述云服务环境的用户正常使用比例；v表示所述云服务环境在未进行安全投资和未被异常使用行为破坏前的原生安全参数；

步骤8、利用贝叶斯公式将所述安全检测漏洞参数S与所述误报率α和漏报率β建立联系式：α×η+β×(1-η)＝S，并结合所述内部控制条件，得到完全控制用户正常使用的完全安全控制标准Φ；

步骤9、根据所述完全安全控制标准Φ，当时，利用式(5)获得安全控制性评估函数Ω₁：

当时，利用式(6)获得安全控制性评估函数Ω₂：

从而利用安全控制性评估函数Ω₁或Ω₂对所述云服务环境进行安全控制性评估；

本发明所述的服务安全性与安全控制性评估方法的特点也在于，

所述步骤4中的总体期望效用和总体期望效用分别利用式(7)和式(8)计算获得：

所述步骤5中的服务开放敏感型的服务开放性评价函数O^I是通过式(9)所示的幂数型函数或式(10)所示的对数型函数来表示：

式(9)和式(10)中，μ表示敏感强度；

所述服务开放谨慎型的服务开放性评价函数O^Ⅱ是通过式(11)所示的幂数型函数或式(12)所示的指数型函数来表示：

式(11)和式(12)中，θ表示谨慎强度。

所述步骤8中，完全控制用户正常使用行为的完全安全控制标准Φ包括两种情况：

情况一：当时，判断安全漏洞参数S是否满足式(13)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测已能够完全控制用户采用正常使用云服务；若不满足，则判断安全漏洞参数S是否满足式(14)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测能在0≤β≤β^*范围内完全控制用户采用正常使用云服务；否则，表明安全漏洞参数S满足式(14)，表示由所述误报率α和漏报率β表示的所述云服务安全检测不能完全控制用户采用正常使用云服务；

η＜s≤1 (15)

情况二：当时，判断安全漏洞参数S是否满足式(16)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测已能够完全控制用户采用正常使用云服务；若不满足，则判断安全漏洞参数S是否满足式(17)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测能在0≤α≤α^*,范围内完全控制用户采用正常使用云服务；否则，表明安全漏洞参数S满足式(18)，表示由所述误报率α和漏报率β表示的所述云服务安全检测不能完全控制用户采用正常使用云服务；

0≤s≤η (16)

其中，

依据所述安全检测漏洞比例S和所述外部补贴条件，利用最优化方法得到如式(19)所示的最优安全投资C^*：

式(19)中，l为所述云服务环境在完全安全漏洞下存在的潜在损失；

利用式(20)获得在所述最优安全投资C^*下的最优外部补贴B^*：

式(20)中，e为自然常数；

利用式(21)获得在所述最优安全投资C^*下的安全漏洞参数S^*：

从而利用步骤3至步骤5对最优安全投资C^*和最优外部补贴B^*下的云服务环境的服务开放性进行评估，利用步骤8至步骤9对最优安全投资C^*和最优外部补贴B^*下的云服务环境的安全控制性进行评估。

与已有技术相比，本发明的有益效果为：

1、本发明通过动态博弈的方法，将所述云服务环境中针对云服务提供商所体现的服务开放性和针对用户所体现的安全控制性两个方面利用博弈决策均衡进行协调；通过逆向推导均衡条件得到保证完全服务开放性的外部补贴条件和保障完全安全控制性的内部控制条件，再结合安全漏洞函数和贝叶斯公式得到所述云服务环境的服务开放性和安全控制性的定量评估方法，以及所述云服务环境的最优安全投资和最优外部补贴，从而能为云服务提供商制定服务开放性和安全控制性相协调的经营方案提供指导，以此促进云服务运营的良性增长与安全稳定。

2、本发明以博弈均衡在云服务提供商端的完全开放性策略为目标，得到保证云服务提供商完全开放性的外部补贴条件，从而可以初步衡量云服务环境中利用经营生态链反补服务收益的外部补贴是否可以保证云服务达到完全开放性标准。

3、本发明以博弈均衡在用户端的完全控制性策略为目标，得到完全控制用户正常使用云服务的内部控制条件，从而可以初步衡量云服务环境中服务前安全检测能否达到完全控制用户采取正常使用云服务的安全标准。

4、本发明通过外部补贴条件构建开放敏感型和谨慎型两种开放性评估函数，对未达到完全服务开放性的云服务环境进行开放性评估，从而实现了对云服务环境服务开放性的定量衡量。

5、本发明利用贝叶斯公式将安全漏洞参数和误报漏报进行了联系，通过结合内部控制条件，得到了在不同安全漏洞下完全控制用户正常使用的误报率和漏报率范围，并由此得到度量云服务环境的安全控制评估函数，从而实现了对云服务环境安全控制性的定量衡量。

6、本发明通过结合外部补贴条件和安全漏洞函数，得到所述云服务环境的最优安全投资和最优外部补贴，以及此时的安全漏洞参数，并以此为例利用服务开放性和安全控制性评估函数对此时的云服务环境进行评估，从而得到开放性与控制性相协调的最优经营指导方案，以此促进云服务运营的良性增长与安全稳定。

附图说明

图1为本发明的博弈过程和涉及因素示意图。

图2为本发明的逻辑思路示意图。

图3为本发明的方法流程示意图。

图4为本发明的两种安全检测错误联系示意图。

图5(a)为本发明在不同原生安全参数下的服务开放敏感型的幂函数形式评估函数中外部补贴对云服务环境开放性影响变化的仿真图；

图5(b)为本发明在不同原生安全参数下的服务开放谨慎型的幂函数形式评估函数中外部补贴对云服务环境开放性影响变化的仿真图；

图5(c)为本发明在不同原生安全参数下的服务开放敏感型的对数形式评估函数中外部补贴对云服务环境开放性影响变化的仿真图；

图5(d)为本发明在不同原生安全参数下的服务开放谨慎型的指数函数形式评估函数中外部补贴对云服务环境开放性影响变化的仿真图。

图6(a)为本发明在不同原生安全参数下的关于安全投资对安全漏洞参数的影响变化的仿真图；

图6(b)为本发明在不同原生安全参数下的正常使用比例对安全漏洞参数的影响变化的仿真图。

图7(a)为本发明在时安全漏洞参数对云服务环境中用户正常行为的控制性影响变化的仿真图；

图7(b)为本发明在时安全漏洞参数对云服务环境中用户正常行为的控制性影响变化的仿真图。

图8为本发明在不同原生安全参数下的安全投资对最低外部补贴设置的影响变化的仿真图。

具体实施方式(绿色表示对权书的补充说明内容，用以区分和校对)

本实施例中，一种基于动态博弈的云服务环境的服务开放性与安全控制性评估方法，是在将影响云服务运营因素中的服务开放性和安全控制性进行协调考虑，通过博弈均衡来协调云服务提供商的服务开放和对用户的安全控制两个方面。云服务环境如图1所示，云服务包含两个基本的主体，即云服务提供商和用户，首先由用户想云服务提供商发出服务请求，而用户可能是正常使用云服务的用户，也可能是为了理性追求更高收益而采用异常使用云服务行为，例如黑客攻击、非法使用、信息欺骗与盗取(Yu H,Williams K,YuanX.Cloud Computing Threats and Provider Security Assessment[C]//InternationalConference on Algorithms and Architectures for Parallel Processing.SpringerInternational Publishing,2015:238-250.)，而云服务商则在服务之前会根据安全检测判断是否提供或者拒绝用户的服务请求，因此用户和云服务提供商均有两种决策集合，即用户的正常使用和异常使用，云服务商的服务与拒绝。而根据两个主体的决策集合，有四种对应的决策组合，在构建四种决策组合的两个主体期望收益时所包含了用户的使用价值、异常收益、惩罚损失，以及云服务提供商的普通收益、额外补贴、安全损失、信誉损失七个经济因素。本发明中将用户的正常使用和云服务提供商的服务决策对认为是云环境良性经营决策，通过使用动态博弈的方法，讨论这种良性经营决策存在的条件。通过逆向推导均衡条件得到保证完全服务开放性的外部补贴条件和完全保障用户正常行为控制性的内部安全条件。如图2所示本发明的逻辑思路示意图，主要分方案层、架构层和目标层。在云服务环境分为用户端和提供商端，在用户端主要体现安全控制性，在提供商端主要体现服务开放性，如果能把两种特性均衡协调，则为云服务环境的良性决策，本发明通过动态博弈来推导得到对应的安全性和开放性的评估方法，由此指导云服务环境的经营方案。

本实施例中，云服务环境包括：云服务提供商p和若干个用户，任意一个用户记为q，用户q的决策集合记为 表示用户q的正常使用行为；表示用户q的异常使用行为；云服务提供商p根据对用户q的安全检测，得出云服务提供商p的决策集合，记为 表示云服务提供商p提供服务；表示云服务提供商p拒绝服务；将云服务提供商p对用户q的正常使用行为检测为异常使用行为的误报率记为α，将云服务提供商p对用户q的异常使用行为检测为正常使用行为的漏报率记为β，以上两种安全检测错误是云环境安全漏洞的具体体现，并通过企业运营和市场调研获得；由云服务提供商p的决策集合S^p和用户q的决策集合S^q共同构成决策组合 表示云服务提供商p对用户q的正常使用行为进行服务；表示云服务提供商p拒绝为用户q的正常使用行为进行服务；表示云服务提供商p对用户q的异常使用行为进行服务；表示云服务提供商p拒绝为用户q的异常使用行为进行服务；

一种基于动态博弈的云服务环境的服务开放性与安全控制性评估方法，如图3所示，是按如下步骤进行：

步骤1、根据决策组合s_pq，计算云服务提供商p的期望效用和用户q的期望效用对于云服务提供商p的期望效用U^p，分别利用式(1.a)至式(1.d)获得云服务提供商p对用户q的正常使用行为进行服务时的期望效用云服务提供商p拒绝为用户q的正常使用行为进行服务的期望效用云服务提供商p对用户q的异常使用行为进行服务的期望效用云服务提供商p拒绝为用户q的异常使用行为进行服务的期望效用

其中，h表示云服务提供商p提供服务的每台虚拟机价格；c表示云服务提供商p提供服务的每台虚拟机成本；k表示云服务提供商p提供用于服务用户q的虚拟机个数；R表示云服务提供商p因误报而造成的信誉损失，由于此时云服务提供商p拒绝了用户q正常请求，此时将承担一定的损失，很多以往研究均提出这种损失(例如：陈亚睿；田立勤；杨扬,云计算环境下基于动态博弈论的用户行为模型与分析.电子学报2011,39(8),1818-1823.)，本发明定义这种损失为信誉损失，在实际中可以通过企业和市场调研获得；L表示云服务提供商p因漏报而造成的安全损失，这种损失是因为系统没有检测出异常的用户行为而遭受的损失，所有关于安全经济学的研究均讨论了这种损失(张维迎.博弈论与信息经济学[M].上海人民出版社,2004.)，在实际中可以通过企业和市场调研获得；B_other表示云服务提供商p所获得的除普通收益外的额外补贴；C表示云服务提供商p对安全进行的投资；

对于用户q的期望效用U^q，分别利用式(2.a)至式(2.d)获得用户q的正常使用行为被云服务提供商p服务时的期望效用用户q的正常使用行为被云服务提供商p拒绝服务时的期望效用用户q的异常使用行为被云服务提供商p服务时的期望效用用户q的异常使用行为被云服务提供商p拒绝服务时的期望效用

其中，E表示用户q正常使用云服务时的使用价值，这种价值是用户正常使用云服务时获取的普通价值，也是本身用户使用云服务的意愿；T表示用户q异常使用所述云服务时的额外收益，这钟收益是用户非法使用云服务时获取的，也是用户理性追求高收益的异常行为发生根源；W表示云服务环境对用户q的检测结果为异常使用行为的惩罚，这是控制用户正常使用云服务的控制基础；以上的使用价值、额外收益和惩罚均在关于信息安全的研究中定义，(例如：聂婷婷；郭玉翠,多云环境下基于博弈论的用户行为分析模型.计算机科学2014,41(4),120-125.和张维迎.博弈论与信息经济学[M].上海人民出版社,2004.)，并通过用户和市场调研获得。

同时在以上的四种情形中，云服务提供商p和用户q的收益都是发生在两种正确安全检测和两种错误安全检测背景下的，如图4所示为本发明的两种安全检测错误联系示意图。每个期望效用都需要乘以对应的检测发生概率数值作为背景概率，例如在情形一中，由于云服务提供商p服务了用户的正常行为，所以表示没有漏报发生，则背景概率为1-α，因此云服务提供商和用户的期望效用前均乘以1-α；

步骤2、依据所述云服务提供商p的期望效用U^p和用户q的期望效用集合U^q，将云服务提供商p服务和用户q的正常行为决策，即云服务环境良性决策作为博弈的均衡点，通过动态博弈方法，反向推导获得在服务方面完全保障云服务提供商p服务的外部补贴条件和在安全方面完全迫使用户q正常使用的内部控制条件：

利用式(1)获得外部补贴条件为：

B_other≥B (1)

式(1)中，B为云服务提供商p保持完全开放性的最低外部补贴标准，由B＝C-(h-c)k+β×L计算得到，通过(1)可以发现当云服务环境中云服务提供商p除正常经营收入外，通过经营生态链反补或者其他方式的额外补贴B_other高于由安全投资C、正常经营收入(h-c)k和在漏报背景下的云服务提供商p损失β×L所组成的C-(h-c)k+β×L时，云服务提供商p服务的收益将高于拒绝的收益，因此其在理性角度上愿意保证服务的完全开放性。也就是说完全开放性指的是云服务提供商p对用户q的服务申请100％倾向于进行服务，即云服务提供商p在宏观角度预期上是为每一位申请用户提供服务。因为云服务提供商p服务所获得的正常经营收入和额外收益的和B_other+(h-c)k在宏观上可以完全弥补在漏报率β背景下带来的损失与安全投资的和C+β×L。其中宏观角度指的是某段时期整体的云服务分析的倾向性，而非某一次微观的服务行为。

利用式(2)获得内部控制条件为：

α(E-h×k)+β(E-h×k+T)≤E-h×k (2)

通过(2)可以发现云服务环境中服务提供商p对用户q的安全检测漏洞体现的误报率和漏报率达到以下标准时，即以误报为背景的用户正常使用总收益α(E-h×k)与以漏报为背景的用户异常总收益β(E-h×k+T)之和(用户q两种行为下的总收益)小于正常行为的收益E-h×k，那么用户q的正常使用收益将高于异常使用收益，因此其在理性角度上愿意选择正常使用行为，也就是说完全安全控制性指的是由误报率和漏报率体现的安全检测水平可以100％在宏观角度控制用户采取正常使用行为。即用户q在宏观角度上是只能选择采用正常使用云服务才能获得更好的收益。

若对云服务环境的服务开放性程度进行评估，则转步骤3；

若对云服务环境的安全控制性程度进行评估，则转步骤6；

步骤3、若云服务环境满足外部补贴条件B_other≥B，则得到云服务环境中云服务提供商p可以保持完全的服务开放性，即判定此时云服务环境的服务开放性为100％；若不满足外部补贴条件，则表示云服务环境在服务方面未达到完全开放性，转步骤4继续进行服务开放性评估；

步骤4、利用式(3)获得云服务提供商p在没有外部补贴下的原始云服务环境开放性原始云服务环境的开放性是由云服务提供商p在不考虑外部补贴的情况下，服务所获得的期望收益(包括服务用户正常和异常使用的收益期望)占服务和拒绝(包括拒绝用户正常和异常使用的收益期望)两种决策期望收益的比例，也就是用服务收益占总收益的比例代表了云服务提供商p在没有外部补贴情况下的倾向于服务的比例，即原始的服务开放性：

式(3)中，表示云服务提供商p在服务决策下的期望效用；表示云服务提供商p在拒绝决策下的期望效用；并由式(4)和式(5)计算得到：

步骤5、根据原始云服务环境开放性和最低外部补贴B，获得云服务提供商p的完全服务开放性评估函数O＝{O^Ⅰ,O^Ⅱ}，并利用完全服务开放性评估函数O对云服务环境的服务开放性进行评估，评估结果为百分数，表示达到完全服务开放性的程度，也即在宏观角度云服务提供商p在百分之多少的程度上倾向于保持服务的开放性。

其中服务开放敏感型的服务开放性评价函数O^I是通过式(6)所示的幂数型函数或式(7)所示的对数型函数来表示：

式(6)和式(7)中，μ表示敏感强度；

所述服务开放谨慎型的服务开放性评价函数O^Ⅱ是通过式(8)所示的幂数型函数或式(9)所示的指数型函数来表示：

式(8)和式(9)中，θ表示谨慎强度。

其中μ和θ值越大其敏感和谨慎强度越大。开放敏感型表示云服务提供商对外部补贴因素的刺激十分敏感，所以外部补贴开始增加时服务的开放性迅速增加，但随着外部补贴增大，服务开放性最多达到100％，因此不能完全保持原来的增加速率，即随外部补贴增加使得服务开放性增加呈现先快后慢的反应敏感趋势；开放谨慎型表示云服务提供商对外部补贴因素的刺激显得十分谨慎，所以外部补贴开始增加时服务的开放性缓慢增加，但随着外部补贴增大，云服务提供商开始得到更多好处从而加大开放力度，直到达到100％的完全服务开放性，即随着外部补贴增加使得服务开放性增加呈现先慢后快的反应谨慎趋势。

具体外部补贴B_other对服务开放性的影响，取原始云服务环境的开放性为0.1，最低外部补贴B为50，的案例做仿真，在原生安全参数v下0.3、0.6和0.9三个水平下得到图5(a)为本发明的服务开放敏感型的幂函数形式评估函数中外部补贴对云服务环境开放性影响变化的仿真图；图5(b)为本发明的服务开放谨慎型的幂函数形式评估函数中外部补贴对云服务环境开放性影响变化的仿真图；图5(c)为本发明的服务开放敏感型的对数形式评估函数中外部补贴对云服务环境开放性影响变化的仿真图；图5(d)为本发明的服务开放谨慎型的指数函数形式评估函数中外部补贴对云服务环境开放性影响变化的仿真图；图5(a)-图5(d)是式(6)-式(9)的函数图像，从中可以得出不同类型的云服务提供商(开放敏感型或者开放谨慎型，以及不同的敏感和谨慎的强度，根据公司具体运营状况和指导方案可以得到)，针对不同的外部补贴B_other作为图中的横坐标，可以得到在所述有关参数水平下的对应纵坐标为服务开放性程度。例如在图5(a)中如果此时的外部补贴B_other为20时，未达到完全服务开放性的最低外部补贴50，所以在图5(a)中可以看到在敏感强度分别为1、2、3的水平下得到此时云服务环境的开放程度分别为：67.6％、82.2192％、87.7638％，也可以看出敏感强度越大则同一外部补贴水平下开放性越大，反之越小，这也符合现实情况的理解；

步骤6、若所述云服务环境满足内部控制条件α(E-h×k)+β(E-h×k+T)≤E-h×k，则得到云服务环境可以保障用户q被完全控制采取正常使用云服务，即判定此时云服务环境的安全控制性为100％；若不满足内部控制条件，则表示云服务环境在安全方面未达到完全控制性，并转步骤7继续进行安全控制性评估；

步骤7、利用式(10)获得云服务环境的安全检测漏洞参数S：

S＝v^{[(λ×C+1)/(γ(1-η)+1)]} (10)

式(10)中，安全检测漏洞参数S∈[0,1]，λ表示云服务环境的安全投资效率，即每单位的安全投资可以有多大程度上利用式(10)转换为对安全漏洞的弥补。γ表示云服务环境的异常使用行为破坏效率，即每单位的异常使用比例可以有多大程度上利用式(10)转换为对安全漏洞的进一步破坏；η表示云服务环境的用户正常使用行为比例；v∈[0,1]表示云服务环境在未进行安全投资和未被异常使用行为破坏的原生安全参数，即未被安全投资弥补或者异常行为进一步破坏前系统本身的安全漏洞；这些参数都在以往的研究中被提出和使用(Gordon L A,Loeb M P.The economics ofinformation security investment[J].ACM Transactions on Information and System Security(TISSEC),2002,5(4):438-457.)，在实际应用中可以通过企业运营和市场调研获得。

以安全投资效率λ为2，异常使用行为破坏效率γ为200，正常使用云服务比例η为0.5为案例做仿真，在原生安全参数v为0.3、0.6和0.9三种水平下得到图6(a)为本发明关于安全投资对安全漏洞参数的影响变化的仿真图；图6(b)为本发明关于正常使用比例对安全漏洞参数的影响变化的仿真图；图6(a)和图6(b)是式(10)安全漏洞参数关于两个自变量(安全投资和云服务用户正常使用比例)的函数图像，对于图6(a)来说表示安全漏洞参数关于安全投资增加的减少呈现先快后慢的边际效用递增的反应趋势，例如当横坐标安全投资从20增加到180，则在0.3、0.6、0.9三种原生安全参数水平下，分别得到对应的纵坐标安全漏洞参数从0.6134降到0.0135、从0.8127降到0.1611、从0.9581降到0.6862；对于图6(b)来说表示安全漏洞参数关于用户正常使用比例增加的减少呈现先慢后快的边际效用递减的反应趋势，因为正常使用比例增加则对应异常使用比例减少，那么对云服务安全系统的破坏就会减少。例如当横坐标用户正常使用比例从0.2增加到0.9，则在0.3、0.6、0.9三种原生安全参数水平下，分别得到对应的纵坐标安全漏洞参数从0.9210降到0.5322、从0.9657降到0.7652、从0.9928降到0.9463，也可以看出云服务环境原生安全越好(原生安全漏洞参数越低)，则随着安全投资和用户正常使用比例的增加云环境的安全漏洞参数降低越多，反之降低越少，这也符合现实情况的理解；

步骤8、利用贝叶斯公式将所述安全检测漏洞参数S与所述误报率α和漏报率β建立联系式：α×η+β×(1-η)＝S，并结合内部控制条件α(E-h×k)+β(E-h×k+T)≤E-h×k，可以探讨保证两个式子同时成立的条件，即可以得到完全控制用户正常使用行为的完全安全控制标准Φ，此标准是由误报率和漏报率的范围所表示的，具体表现为以下两种情况：

情况一：当时，判断安全漏洞参数S是否满足式(11)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测已能够完全控制用户采用正常使用云服务；若不满足，则判断安全漏洞参数S是否满足式(12)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测能在0≤β≤β^*范围内完全控制用户采用正常使用云服务；否则，表明安全漏洞参数S满足式(13)，表示由所述误报率α和漏报率β表示的所述云服务安全检测不能完全控制用户采用正常使用云服务；

η＜s≤1 (13)

情况二：当时，判断安全漏洞参数S是否满足式(14)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测已能够完全控制用户采用正常使用云服务；若不满足，则判断安全漏洞参数S是否满足式(15)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测能在0≤α≤α^*,范围内完全控制用户采用正常使用云服务；否则，表明安全漏洞参数S满足式(16)，表示由所述误报率α和漏报率β表示的所述云服务安全检测不能完全控制用户采用正常使用云服务；

0≤s≤η (14)

其中，

步骤9、依据完全安全控制标准Φ，安全检测漏洞参数S与误报率和漏报率之间的关系α×η+β×(1-η)＝S的两种不同斜率情形，通过保证关系α×η+β×(1-η)＝S在内部控制条件α(E-h×k)+β(E-h×k+T)≤E-h×k成立时范数比例计算得到：

当时，利用式(17)获得安全控制性评估函数Ω₁：

当时，利用式(18)获得安全控制性评估函数Ω₂：

从而利用完全安全控制性评估函数对所述云服务环境进行安全控制性评估。评估结果为百分数，表示达到完全安全控制性的程度，也即在宏观角度用户q在百分之多少的程度上被迫使控制采用正常使用云服务行为。

取用户使用价值E为20，在一次服务中每台虚拟机价格h为2，虚拟机台数k为5时，在正常使用比例η为0.5，用户异常额外收益T为100水平下做案例仿真，得到图7(a)为本发明在时安全漏洞参数对云服务环境中用户正常行为的控制性影响变化的仿真图；在正常使用比例η为0.1，用户异常额外收益T为10水平下做案例仿真，图7(b)为本发明在时安全漏洞参数对云服务环境中用户正常行为的控制性影响变化的仿真图。图7(a)和图7(b)分别是式(17)和式子(18)的函数图像，自变量为安全漏洞参数，对应的因变量为云环境的安全控制性程度。例如在图7(a)中在上述定义的参数水平下，为0.0455小于η＝0.5，故为式(17)时的情况，当横坐标的安全漏洞参数为0.02(在0和0.0455之间，属于用户正常行为完全可控情况)，此时的安全漏洞很小，图中纵坐标对应的安全控制性为100％；当横坐标的安全漏洞参数为0.4(在0.0455和0.5之间，属于用户正常行为有条件可控情况)，可以得到图中纵坐标对应的安全控制性为40％，具体误报和漏报的范围可以由本方法的步骤8计算得到；当横坐标的安全漏洞参数大于0.5(在0.5和1之间，属于用户正常行为不可控情况)，图中纵坐标对应的安全控制性为0％，即此时的安全漏洞过大，所体现的漏报率和误报率不能完全控制用户采用正常使用行为；也可以看出随着安全投资的增加云环境的安全控制性在迅速减小，这也符合现实情况的理解；

此外，本发明以云服务环境最优安全投资和最优外部补贴为例，得到所述云服务环境的服务开放性和安全控制性评估。设l为所述云服务环境在完全安全漏洞下存在的潜在损失，即表示云服务环境的安全检测完全错误，即云服务系统的安全漏洞参数为1(表示为误报率和漏报率均为1)时的最大安全损失，实际应用中可以通过企业运营评估获得。由于云服务提供商p的安全损失是因安全漏洞而产生的，故而L＝l×S，以上这些内容均有关于信息安全的研究支持(例如：Gordon L A,Loeb M P.The economics of informationsecurity investment[J].Acm Transactions on Information&System Security,2002,5(4):438-457.)。因此依据安全检测漏洞参数S和外部补贴条件，得到最低外部补贴B＝C-(h-c)k+β×l×v^{[(λ×C+1)/(γ(1-η)+1)]}，由于v∈[0,1]，因此当右边增加安全投资C时，v^{[(λ×C+1)/(γ(1-η)+1)]}在减小，因此最低外部补贴B存在一个极小值。

利用最优化方法，令最低外部补贴B关于安全投资C的偏导数为零，得到最优安全投资C^*，由(19)式表示，

在所述最优安全投资C^*下的最优外部补贴B^*，由式(20)表示，

式(20)中e为自然常数，约为2.71828；

利用式(21)获得在所述最优安全投资C^*下的安全漏洞参数S^*：

其中最优安全投资C^*表示所有保持完全服务开放性的最低外部补贴中达到最小的最低外部补贴时的安全投资，最优外部补贴B^*表示在最优安全投资C^*下的可以完全保持服务开放性的最低外部补贴，安全漏洞参数S^*表示在最优安全投资C^*下的安全漏洞。

取安全投资效率λ为2，异常使用行为破坏效率γ为200，在一次服务中每台虚拟机价格h为4，每台虚拟机成本c为2，虚拟机台数k为5，漏报率β为0.05，因安全漏洞的存在而潜在的安全损失l为10000为案例做仿真，在原生安全参数v下0.3、0.6和0.9三个水平下得到图8为本发明的安全投资对最低外部补贴设置的影响变化的仿真图，其中图中黑点对应不同原生安全参数v下最优安全投资和最优外部补贴。图8表现了最低外部补贴函数B＝C-(h-c)k+β×l×v^{[(λ×C+1)/(γ(1-η)+1)]}的图像，也体现了式(19)和式(20)的结果，表示了当横坐标的安全投资变化时，对应的纵坐标最低外部补贴的变化，例如当横坐标的安全投资为80时，则在0.3、0.6、0.9三种原生安全参数水平下，分别得到对应的纵坐标最低外部补贴分别为143.3618、291.4777、492.6977，若对应条件下云服务提供商的外部补贴大于这个值时，表示其服务开放性达到100％，若达不到则采用本方法的步骤3至步骤5来对开放性的程度进行评估。同时图8中黑点的横纵坐标分别表示了在原生安全参数为0.3、0.6、0.9水平下的最优安全投资和最优外部补贴(最小的最低外部补贴)，分别为由式(19)和式(20)可以计算得到，分别为最优安全投资103.4494和最优外部补贴135.3938、最优安全投资159.7422和最优外部补贴248.6017、最优安全投资19.7591和最优外部补贴489.0654。也可以看出云服务环境原生安全越好(原生安全漏洞参数越低)，则能达到完全服务开放性的外部补贴越低，反之越高，这也符合现实情况的理解，因为安全条件越好的云服务环境中用户越采取正常使用云服务行为，因此无需更多的外部补贴来弥补因用户异常行为而带来的云服务提供商的损失。

对云服务环境中云服务提供商p在采取最优的安全投资C^*时，得到的最优外部补贴B^*和安全漏洞参数S^*，利用步骤3至步骤5对最优安全投资C^*和最优外部补贴B^*下的云服务环境的服务开放性进行评估，利用步骤8至步骤9对最优安全投资C^*和最优外部补贴B^*下的云服务环境的安全控制性进行评估。

Claims (5)

1.一种基于动态博弈的云服务环境的服务开放性与安全控制性评估方法，所述云服务环境包括：云服务提供商p和若干个用户，任意一个用户记为q，所述用户q的决策集合记为 表示用户q的正常使用行为；表示用户q的异常使用行为；所述云服务提供商p根据对所述用户q的安全检测，得出所述云服务提供商p的决策集合，记为 表示所述云服务提供商p提供服务；表示所述云服务提供商p拒绝服务；将所述云服务提供商p对所述用户q的正常使用行为检测为异常使用行为的误报率记为α，将所述云服务提供商p对所述用户q的异常使用行为检测为正常使用行为的漏报率记为β；由所述云服务提供商p的决策集合S^p和用户q的决策集合S^q共同构成决策组合 表示所述云服务提供商p对用户q的正常使用行为进行服务；表示所述云服务提供商p拒绝为用户q的正常使用行为进行服务；表示所述云服务提供商p对用户q的异常使用行为进行服务；表示所述云服务提供商p拒绝为用户q的异常使用行为进行服务；其特征在于：所述服务开放性与安全控制性评估方法是按如下步骤进行：

步骤1、根据所述决策组合s_pq，分别利用式(1.a)至式(1.d)获得云服务提供商p对用户q的正常使用行为进行服务时的期望效用所述云服务提供商p拒绝为用户q的正常使用行为进行服务的期望效用所述云服务提供商p对用户q的异常使用行为进行服务的期望效用所述云服务提供商p拒绝为用户q的异常使用行为进行服务的期望效用从而得到云服务提供商p的期望效用集合

式(1.a)至式(1.d)中，h表示所述云服务提供商p提供服务的每台虚拟机价格；c表示所述云服务提供商p提供服务的每台虚拟机成本；k表示所述云服务提供商p提供用于服务用户q的虚拟机个数；R表示所述云服务提供商p因误报而造成的信誉损失；L表示所述云服务提供商p因漏报而造成的安全损失；B_other表示所述云服务提供商p所获得的除普通收益外的额外补贴；C表示所述云服务提供商p对安全进行的投资；

分别利用式(2.a)至式(2.d)获得用户q的正常使用行为被云服务提供商p服务时的期望效用用户q的正常使用行为被云服务提供商p拒绝服务时的期望效用用户q的异常使用行为被云服务提供商p服务时的期望效用用户q的异常使用行为被云服务提供商p拒绝服务时的期望效用从而得到用户q的期望效用集合

式(2.a)至式(2.d)中，E表示用户q正常使用所述云服务时的使用价值；T表示用户q异常使用所述云服务时的额外收益；W表示所述云服务环境对用户q的检测结果为异常使用行为的惩罚；

步骤2、依据所述云服务提供商p的期望效用集合U^p和用户q的期望效用集合U^q，通过动态博弈方法，获得在服务方面完全保障云服务商提供商p进行服务的外部补贴条件和在安全方面完全迫使用户q采取正常使用的内部控制条件：

利用式(1)获得外部补贴条件：

B_other≥B (1)

式(1)中，B为云服务提供商p保持完全服务开放性的最低外部补贴，由B＝C-(h-c)k+β×L计算得到；

利用式(2)获得内部控制条件：

α(E-h×k)+β(E-h×k+T)≤E-h×k (2)

若对所述云服务环境的服务开放性程度进行评估，则转步骤3；

若对所述云服务环境的安全控制性程度进行评估，则转步骤6；

步骤3、若所述云服务环境满足如式(1)所示的外部补贴条件，则得到所述云服务环境中云服务提供商p可以保持完全的服务开放性，即判定云服务环境的服务开放性为100％；若不满足外部补贴条件，则表示所述云服务环境在服务方面未达到完全开放性，转步骤4继续进行服务开放性评估；

步骤4、利用式(3)获得所述云服务提供商p在没有外部补贴下的原始云服务环境开放性

式(3)中，表示所述云服务提供商p在服务决策下的总体期望效用；表示所述云服务提供商p在拒绝决策下的总体期望效用；

步骤5、根据所述原始云服务环境开放性和所述最低外部补贴B，获得所述云服务提供商p的服务开放性评估函数O＝{O^Ⅰ,O^Ⅱ}，并利用服务开放性评估函数O对所述云服务环境的服务开放性进行评估，得到评估结果；

其中，O^Ⅰ表示所述云服务提供商p为开放敏感型时的服务开放性评估函数；O^Ⅱ表示所述云服务提供商p为开放谨慎型时的服务开放性评估函数；

步骤6、若所述云服务环境满足如式(2)所示的内部控制条件，则得到所述云服务环境能完全控制用户q只采取正常使用云服务行为，即判定所述云服务环境的安全控制性为100％；若不满足内部控制条件，则表示所述云服务环境在安全方面未达到完全控制性，并转步骤7继续进行安全控制性评估；

步骤7、利用式(4)获得所述云服务环境的安全检测漏洞参数S：

S＝v^{[(λ×C+1)/(γ(1-η)+1)]} (4)

式(4)中，λ表示所述云服务环境的安全投资效率，γ表示所述云服务环境的异常使用行为破坏效率；η表示所述云服务环境的用户正常使用比例；v表示所述云服务环境在未进行安全投资和未被异常使用行为破坏前的原生安全参数；

步骤8、利用贝叶斯公式将所述安全检测漏洞参数S与所述误报率α和漏报率β建立联系式：α×η+β×(1-η)＝S，并结合所述内部控制条件，得到完全控制用户正常使用的完全安全控制标准Φ；

步骤9、根据所述完全安全控制标准Φ，当时，利用式(5)获得安全控制性评估函数Ω₁：

当时，利用式(6)获得安全控制性评估函数Ω₂：

从而利用安全控制性评估函数Ω₁或Ω₂对所述云服务环境进行安全控制性评估。

2.根据权利要求1所述的服务安全性与安全控制性评估方法，其特征在于，所述步骤4中的总体期望效用和总体期望效用分别利用式(7)和式(8)计算获得：

3.根据权利要求1所述的服务开放性与安全控制性评估方法，其特征在于，所述步骤5中的服务开放敏感型的服务开放性评价函数O^I是通过式(9)所示的幂数型函数或式(10)所示的对数型函数来表示：

式(9)和式(10)中，μ表示敏感强度；

所述服务开放谨慎型的服务开放性评价函数O^Ⅱ是通过式(11)所示的幂数型函数或式(12)所示的指数型函数来表示：

式(11)和式(12)中，θ表示谨慎强度。

4.根据权利要求1所述的服务开放性与安全控制性评估方法，其特征在于，所述步骤8中，完全控制用户正常使用行为的完全安全控制标准Φ包括两种情况：

情况一：当时，判断安全漏洞参数S是否满足式(13)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测已能够完全控制用户采用正常使用云服务；若不满足，则判断安全漏洞参数S是否满足式(14)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测能在0≤β≤β^*范围内完全控制用户采用正常使用云服务；否则，表明安全漏洞参数S满足式(15)，表示由所述误报率α和漏报率β表示的所述云服务安全检测不能完全控制用户采用正常使用云服务；

η＜s≤1 (15)

情况二：当时，判断安全漏洞参数S是否满足式(16)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测已能够完全控制用户采用正常使用云服务；若不满足，则判断安全漏洞参数S是否满足式(17)，若满足，则表示由所述误报率α和漏报率β表示的所述云服务安全检测能在0≤α≤α^*,范围内完全控制用户采用正常使用云服务；否则，表明安全漏洞参数S满足式(18)，表示由所述误报率α和漏报率β表示的所述云服务安全检测不能完全控制用户采用正常使用云服务；

0≤s≤η (16)

其中，

5.根据权利要求1所述的服务开放性与安全控制性评估方法，其特征在于：依据所述安全检测漏洞参数S和所述外部补贴条件，利用最优化方法得到如式(19)所示的最优安全投资C^*：

式(19)中，l为所述云服务环境在完全安全漏洞下存在的潜在损失；

利用式(20)获得在所述最优安全投资C^*下的最优外部补贴B^*：

式(20)中，e为自然常数；

利用式(21)获得在所述最优安全投资C^*下的安全漏洞参数S^*：

从而利用步骤3至步骤5对最优安全投资C^*和最优外部补贴B^*下的云服务环境的服务开放性进行评估，利用步骤8至步骤9对最优安全投资C^*和最优外部补贴B^*下的云服务环境的安全控制性进行评估。