基于服务层的云计算风险分析方法及分析系统与流程

1.本发明涉及信息安全风险评估领域，具体涉及基于服务层的云计算风险分析方法及分析系统。


背景技术：

2.云计算的目标是将各种共享的计算、存储等资源以服务方式通过互联网交付给用户使用，通过按需服务能够使企业部署成本更为节约，加上弹性分配和资源虚拟化能以最少的管理成本与服务提供商互动，实现资源快速有效的配置和发布。云计算在给当前互联网环境带来巨大的发展机遇的同时，还不可避免的带来了相应的安全挑战。不同于传统的网络环境，云计算具有虚拟化、弹性服务等特性，使得一些传统的网络安全方法无法直接使用。
3.在传统的风险评估中，对资产进行评估时通过资产识别、分类和安全性赋值的过程来确定资产价值，将资产赋值作为相关风险评估模型的输入参数，用以计算风险的评估值。资产一般被分为数据、软件、硬件、服务、文档、设备、人员和其他相关类别，此分类逻辑性虽强，但是它仅把复杂的信息系统按照表现形式进行了简单分类，却忽略了资产之间的相互关系和相互影响，也没有注重资产所处环境对其自身价值的影响。因此，直接以资产赋值作为风险评价依据往往只能满足单一设备的漏洞检查与分析，或是单条制度的修改功能，无法对分布式系统做整体评测。
4.相比于传统的计算模式来说，云计算具有更为复杂的业务逻辑关系，主要体现在云计算中的任务与资源的动态性、异构性、差异性，把每个用户请求在满足qos条件下有条不紊的映射到资源节点是极其复杂的问题，解决这一问题的关键是执行任务调度过程。任务调度实质是将用户的服务请求分片处理得到多个可独立执行的子任务，将各子任务分配到不同异构的可用资源上，实现总任务的完成时间最短，资源利用率最高的特点，这势必增加了云计算数据之间的关联和依赖程度，传统评估方法无法预测数据关联所带来的潜在风险，且在大数据处理模式下通过人工观察数据的变化规律来挖掘出这些风险也是极其困难的，而过度依赖专家经验值还会使得评估过程趋于形式化，导致评估结果失真，
5.为此，如何客观地实现云计算风险评估过程，挖掘出真实的风险对象和其产生的影响是目前亟待解决的问题。


技术实现要素：

6.为了解决云计算风险评估过程中存在的以上问题，本发明提供一种基于服务层的云计算风险分析方法，本发明以云计算服务层为主体对资产进行逐层分析，根据用户对象的实际数据处理业务获取对应服务的资产评价结果，能够挖掘出关联数据之间产生的、以及受云计算环境影响所带来的潜在风险。为了实现上述目的，本发明提供的基于服务层的云计算风险分析方法，该方法具体包括以下步骤：
7.构建服务解析模型，将云计算系统提供的各种服务逐一进行任务分解，获得由最
小化任务单元组成的有向无环图，并为任务单元的数据处理对象定义各种安全属性，每种安全属性以不同的安全状态划分不同类别，所述有向五环图中的节点表示任务单元，节点之间的有向边表示任务单元之间传递的数据处理对象；
8.批量采集用户服务请求的数据处理作业，利用服务解析模型对每个数据处理作业逐一进行分解获得对应节点上的子业务，根据子业务的数据处理对象所处安全状态将子业务划分到各安全属性对应的类别上，在各安全属性下将任意两个相邻节点上的子业务的分类结果分别组成二元类，累计同一节点在所有数据处理作业中不同二元类上的计数，进一步根据计数结果计算每个安全属性下的概率分布，然后利用熵权算法生成对应安全属性的熵值，将所有安全属性的熵值加权得到单节点上的安全熵；
9.对云计算系统进行资产识别、威胁识别和脆弱性识别，将每个单节点上的数据处理对象划分到对应种类的资产中组成资产分类集，将划分到同一种资产分类集内的所有单节点安全熵取均值，获得对应资产种类下的安全熵；
10.利用识别结果构建递阶层次结构模型，所述层次结构模型包括目标层、准则层和方案层；
11.构造出各层次对象相对于上一层关联对象的专家判断矩阵，所述专家判断矩阵中元素值由专家提供；
12.提取方案层中各方案所包含的资产因子，将资产因子与资产种类相互匹配以确定资产因子的安全熵，然后利用资产因子之间的安全熵值比生成安全熵判断矩阵；
13.对专家判断矩阵进行一致性检验和修正，为验证合格的专家判断矩阵和安全熵判断矩阵分配不同的权值，将两个矩阵的对应元素通过加权运算生成组合判断矩阵；
14.利用组合判断矩阵计算各方案相对于准则层各关联对象的权重，然后计算得出各方案相对于目标层的组合权重。
15.进一步优选地，所述服务解析模型包括iaas层子模型、paas层子模型和saas层子模型；其中每层子模型的生成过程包括：
16.利用dryad任务调度模型为服务层中的每个子服务建立相应的有向无环图；
17.在各有向无环图之间建立连接关系，将具有相同任务单元的节点聚合，将聚合前各节点连接的有向边连接到聚合后的节点上，组成该服务层的服务解析子模型。
18.进一步优选地，所述安全属性包括：机密性属性、准确性属性、可用性属性、可信性属性和可控性属性；所述机密性属性表示数据处理对象的保密程度，准确性属性表示数据处理对象保持的准确程度，可用性属性表示数据处理对象对合法授权用户的可用程度，可信性属性表示数据处理对象的可信程度，可控性属性表示系统对数据处理对象处理的可控程度。
19.进一步优选地，所述目标层为云计算服务评估的最终目标，准则层包括风险发生的概率、风险发生的影响和风险的可控度；方案层包括云计算服务安全事件，该云计算服务安全事件定义为威胁因子利用脆弱性因子作用于资产因子后所产生的后果。
20.进一步优选地，在同一节点上每个安全属性的概率分布生成过程包括：
21.计算第p种安全属性下第q个二元类的概率：
22.23.其中，x
pq
表示从所有数据处理作业中累计包含当前节点子业务上第p种安全属性第q个二元类的次数，n表示所有采集到的数据处理作业的总数；
24.然后将第p种安全属性下的所有二元类的概率组成概率集，作为第p种安全属性的概率分布结果。
25.进一步优选地，所述资产的安全熵生成过程包括：
26.采用信息熵算法计算得到第p种安全属性的熵值：
[0027][0028]
其中，q表示第p种安全属性的二分类总数，p(x
pq
)表示第p种安全属性下第q个二元类的概率；
[0029]
根据重要程度为各安全属性赋权值，对各安全属性的熵值执行加权运算：
[0030][0031]
其中，m表示安全属性总数，α
p
表示第p种安全属性被分配的权值，且有表示第p种安全属性被分配的权值，且有h表示单节点上的安全熵；
[0032]
根据资产识别结果将每个单节点上的数据处理对象划分到对应的资产分类集内，计算各资产对应的安全熵：
[0033][0034]
其中，hk表示第k个单节点上的安全熵，k表示资产分类集内的单节点总数。
[0035]
进一步优选地，所述安全熵判断矩阵的生成过程为：在方案层为每个专家判断矩阵的元素a
ij
生成对应于安全熵判断矩阵的元素其中元素a
ij
表示与准则层同一个准则关联的第i种方案和第j种方案之间的重要度比值，元素b
ij
表示第i种方案的资产因子与第j种方案的资产因子之间的安全熵值比。
[0036]
进一步优选地，计算方案相对于目标层组合权重的生成过程包括：
[0037]
生成组合判断矩阵中的元素c
ij
＝(1β)a
ij
βb
ij
，c
ij
表示第i种方案与第j种方案相对于同一个准则的重要度比值，1β和β分别表示专家判断矩阵和安全熵判断矩阵被分配的权值；
[0038]
以组合判断矩阵的列向量求和得到行向量的元素：
[0039][0040]
其中c'
ij
表示c
ij
经标准化处理的重要度比值，n表示组合判断矩阵的阶数；
[0041]
然后利用行向量的元素对组合判断矩阵相应元素进行归一化处理，得到归一化矩阵元素：
[0042][0043]
计算准则层中第l个准则下第i种方案相对于方案层中其他方案的权重值：
[0044][0045]
对权重值ω
li
进行归一化处理：
[0046][0047]
进一步计算第i种方案相对于目标层的组合权重：
[0048][0049]
其中，ω
l
表示目标层下第l个准则相对于准则层中其他准则的权重值，l表示准则层中准则总数。
[0050]
为了实现上述云计算风险分析方法，本发明还提供了一种基于服务层的云计算风险分析系统，该系统具体包括：服务解析模型生成模块、服务熵生成模块、风险数据识别模块、资产熵生成模块、层次模型构建模块、专家矩阵构造模块、熵矩阵构造模块、组合矩阵构造模块和组合权重生成模块；
[0051]
服务解析模型生成模块：用于构建服务解析模型，将云计算系统提供的各种服务逐一进行任务分解，获得由最小化任务单元组成的有向无环图，并为任务单元的数据处理对象定义各种安全属性，每种安全属性以不同的安全状态划分不同类别，所述有向五环图中的节点表示任务单元，节点之间的有向边表示任务单元之间传递的数据处理对象；
[0052]
服务熵生成模块：批量采集用户服务请求的数据处理作业，利用服务解析模型对每个数据处理作业逐一进行分解获得对应节点上的子业务，根据子业务的数据处理对象所处安全状态将子业务划分到各安全属性对应的类别上，在各安全属性下将任意两个相邻节点上的子业务的分类结果分别组成二元类，累计同一节点在所有数据处理作业中不同二元类上的计数，进一步根据计数结果计算每个安全属性下的概率分布，然后利用熵权算法生成对应安全属性的熵值，将所有安全属性的熵值加权得到单节点上的安全熵；
[0053]
风险数据识别模块：对云计算系统进行资产识别、威胁识别和脆弱性识别；
[0054]
资产熵生成模块：将每个单节点上的数据处理对象划分到对应种类的资产中组成资产分类集，将划分到同一种资产分类集内的所有单节点安全熵取均值，获得对应资产种类下的安全熵；
[0055]
层次模型构建模块：利用识别结果构建递阶层次结构模型，所述层次结构模型包括目标层、准则层和方案层；
[0056]
专家矩阵构造模块：构造出各层次对象相对于上一层关联对象的专家判断矩阵，所述专家判断矩阵中元素值由专家提供；
[0057]
熵矩阵构造模块：提取方案层中各方案所包含的资产因子，将资产因子与资产种类相互匹配以确定资产因子的安全熵，然后利用资产因子之间的安全熵值比生成安全熵判
断矩阵；
[0058]
组合矩阵构造模块：对专家判断矩阵进行一致性检验和修正，为验证合格的专家判断矩阵和安全熵判断矩阵分配不同的权值，将两个矩阵的对应元素通过加权运算生成组合判断矩阵；
[0059]
组合权重生成模块：利用组合判断矩阵计算各方案相对于准则层各关联对象的权重，然后计算得出各方案相对于目标层的组合权重。
[0060]
本发明的云计算风险分析方法、分析系统有益效果：
[0061]
本发明从面向服务角度对云计算系统资产进行深度分析，将系统提供的各种服务执行任务分解，获得由最小化任务单元组成的有向无环图，然后通过聚合多服务的有向无环图来构建服务解析模型，以该模型对用户服务请求的数据处理作业按服务流程执行任务解析，通过计算关联子任务之间关于安全属性的信息熵，能够动态感知在前任务节点对后续任务节点的影响程度，熵值越低表明影响度越高，其在当前服务处理环节中也就具有更高的安全隐患，将这种安全隐患以安全熵值的方式实现量化，以此作为风险评估模型的部分参数参与云计算评估过程，能够挖掘出关联数据之间产生的、以及受云计算环境影响所带来的潜在风险，以提供客观性评价结果，消除风险评估盲点；
[0062]
考虑到云计算的安全需求都是由云计算的固有特性和服务提供方式引起的，因此本发明以iaas、paas和saas这三个核心服务层逐层生成各自的服务解析子模型，将安全分析过程直接还原到其所发生的应用场景上，分析不同服务层对应的安全问题，能够更为直观地表现出服务模块上暴露的风险点和风险指标，便于系统开发者或服务层管理者根据评估结果改进安全策略；
[0063]
由于熵判断矩阵中的元素都是比值，使得该矩阵具有完全一致性，因此只需对专家判断矩阵进行验证和修正即可，从而不会增加系统运算负担；修正过程是利用一致性矩阵本身性质构建起来的校验矩阵，通过比较专家判断矩阵与校验矩阵对应元素之间的差值来确定最终的修正值，且只对偏离超出阈值范围的元素进行单独修正，减少现有批量修正方式带来不可预知的错误或偏差。
附图说明
[0064]
图1为本发明提供的基于服务层的云计算风险分析方法流程图；
[0065]
图2为本发明提供的服务解析子模型内两个有向无环图连接关系示例图；
[0066]
图3为本发明实施例中构建的层次分析模型结构示意图；
[0067]
图4为本发明提供的基于服务层的云计算风险分析系统结构图。
具体实施方式
[0068]
为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。
[0069]
与传统it服务模式相比，云计算具有大规模、多租户、虚拟化、可伸缩性和按需服务等多种特性，这些固有特性也使得传统的网络风险评估方式不能直接套用在云计算风险评估上，而云计算又是以服务为主体的新型计算模式，计算机资源服务化是云计算重要表现形式，通过internet以服务方式提供动态可伸缩的虚拟化的计算模式，允许用户在知之
甚少的态势下通过internet获取需要的相关服务，以此为用户屏蔽了数据中心管理、大规模数据处理、应用程序部署等问题，而上述诸多特性完全是由抽象化的服务来表征的，为此，可以通过服务挖掘数据或程序等资产在云计算系统日常运行时的状态和变化规律，获取资产的潜在风险。基于云计算核心服务层的运营模式，如图1所示，本发明提供一种基于服务层的云计算风险分析方法，该风险分析方法具体包括以下实施步骤：
[0070]
构建服务解析模型，将云计算系统提供的各种服务逐一进行任务分解，获得由最小化任务单元组成的有向无环图，并为任务单元的数据处理对象定义各种安全属性，每种安全属性以不同的安全状态划分不同类别，所述有向无环图中的节点表示任务单元，节点之间的有向边表示任务单元之间传递的数据处理对象；
[0071]
批量采集用户服务请求的数据处理作业，利用服务解析模型对每个数据处理作业逐一进行分解获得对应节点上的子业务，根据子业务的数据处理对象所处安全状态将子业务划分到各安全属性对应的类别上，在各安全属性下将任意两个相邻节点上的子业务的分类结果分别组成二元类，累计同一节点在所有数据处理作业中不同二元类上的计数，进一步根据计数结果计算每个安全属性下的概率分布，然后利用熵权算法生成对应安全属性的熵值，将所有安全属性的熵值加权得到单节点上的安全熵；
[0072]
对云计算系统进行资产识别、威胁识别和脆弱性识别，将每个单节点上的数据处理对象划分到对应种类的资产中组成资产分类集，将划分到同一种资产分类集内的所有单节点安全熵取均值，获得对应资产种类下的安全熵；
[0073]
利用识别结果构建递阶层次结构模型，所述层次结构模型包括目标层、准则层和方案层；
[0074]
构造出各层次对象相对于上一层关联对象的专家判断矩阵，所述专家判断矩阵中元素值由专家提供；
[0075]
提取方案层中各方案所包含的资产因子，将资产因子与资产种类相互匹配以确定资产因子的安全熵，然后利用资产因子之间的安全熵值比生成安全熵判断矩阵；
[0076]
对专家判断矩阵进行一致性检验和修正，为验证合格的专家判断矩阵和安全熵判断矩阵分配不同的权值，将两个矩阵的对应元素通过加权运算生成组合判断矩阵；
[0077]
利用组合判断矩阵计算各方案相对于准则层各关联对象的权重，然后计算得出各方案相对于目标层的组合权重。
[0078]
云计算可以按需提供弹性资源，它的表现形式是一系列服务的集合。结合当前云计算的应用与研究，其核心服务层具有三个子层：基础设施即服务层(iaas，infrastructure as a service)、平台即服务层(paas，platform as a service)、软件即服务层(saas，software as a service)。核心服务层将硬件基础设施、软件运行环境、应用程序抽象成服务，以满足多样化的应用需求。在iaas层下，云计算提供的资源涵盖了机房设备、硬件平台、将资源抽象化并交付连接、一组应用程序接口等层面，用户不仅可以租用数据计算服务、数据存储服务、网络和其他基本计算资源，还能够在上面部署和运行任意软件，包括操作系统和应用程序。paas层位于iaas层之上，又增加了一个层面用以与应用开发框架、中间件、数据库、消息和队列等功能集成，用户可基于此平台开发、测试、部署和管理自己的应用。saas层位于最顶层，能够给用户提供某些特定应用功能的软件服务，用户可以获得完整的用户体验，包括内容、展现、应用和管理等。在不同的云服务模式中，服务提供商
和用户所承担的安全责任是不同的。iaas层涵盖了机房设备、硬件平台、网络、资源虚拟化等层面，iaas层服务提供商需要负责物理和环境安全、网络安全、虚拟化安全等，用户则负责操作系统部署和管理、数据安全和应用安全；paas层服务提供商除了要解决iaas层的安全问题之外，还要负责由中间件、数据库、消息队列等功能集成后的平台安全，用户则负责数据安全、应用的部署和管理；saas层服务提供商除了要解决paas层的安全问题之外，还要负责数据安全和应用安全，用户则负责客户端自身的安全。为此，本发明在以上三个层次分别构建服务解析子模型，对整个云计算平台实施区域性安全分析，降低资产价值评估的难度和复杂度。
[0079]
云计算系统是一种分布式和并行计算系统，在云计算环境下资源池都是通过分布式软硬件方式来实现的，应用程序运行往往涉及多个资源节点共同参与，通过构建分布式平台来实现不同服务的任务调度功能。任务调度实质上是根据用户提交的任务采用适当的策略把不同的任务分配到相应的资源节点上运行，再将各资源节点的运算结果聚集汇总到用户端，为用户提供相应服务。因此，可利用分布式计算平台建立服务解析模型，常见分布式平台的基础设施主要包括dryad、dynamo和mapreduce等框架。
[0080]
在本发明提供的以下实施例中，通过采用dryad建立各层次的服务解析子模型。dryad任务调度模型总体目标是构建用来支持有向无环图(directed acycline graph，dag)类型数据流的并行程序。dryad的整体框架根据程序的要求完成调度工作，自动完成任务在各个节点上的运行。在dryad平台上，每个dryad工作或并行计算过程被表示为一个有向无环图。图中的每个节点表示一个要执行的程序，节点之间的边表示数据通道中数据传输对象。利用dryad为云计算平台服务层生成服务解析子模型的具体实施过程为：
[0081]
首先，在任务管理器(job manager，jm)建立当前服务的各项任务，每一个任务由一些处理过程(子任务)以及相关的数据传递组成，jm获取有向无环图之后，便会在程序的输入通道准备，当有可用机器的时候便对它进行调度；
[0082]
然后，在各有向无环图之间建立连接关系，在任意两个无环图之间比较，将具有相同任务单元的节点聚合成一个节点，将聚合前各节点连接的有向边连接到聚合后的节点上，组成该服务层的服务解析子模型。
[0083]
如图2所示，为两个有向无环图的融合过程，图中有两个用户输入服务请求，通过任务管理器执行任务拆解，由黑色节点和白色节点构成两个不同服务的无环图，其中阴影节点表示的就是两个业务处理过程需要用到的相同任务节点，通过在阴影处将相同节点融合，形成了具有多服务框架的新的无环图，以此类推，不断地将拥有相同节点的各服务无环图相互融合，最终能够生成服务层次上的解析子模型。由于相同任务节点上的数据处理对象具有相关性，通过节点融合能够将大量分散的同类数据流汇集到一起，实现了在一个节点上对多个服务的数据对象实施同步分析，极大地降低了分散处理所带来的难度。
[0084]
当系统接收到用户服务请求后，jm为服务请求执行被一个job manager控制，该组件负责实例化服务的工作图，即将服务分解到对应节点的各子业务上，然后在计算机群(cluster)上调度各节点任务的执行，此时jm负责监控各个节点的执行情况并收集一些信息，该信息包括节点上的安全属性分析数据。具体的安全属性可包括：机密性(confidentiality)、准确性(accuracy)、可用性(availability)、可信性(dependability)和可控性(controllability)属性。
[0085]
机密性属性表示数据处理对象的保密程度，参见下表所示的等级分布：
[0086][0087]
表1-1机密性属性分类
[0088]
在机密性属性上，对某一节点与相邻的前一节点组成的二分类进行分析，二分类种类越少，概率分布越不均匀，机密性的熵值也就越低，表明前一节点与当前节点的数据处理对象在保密程度上具有相对稳定的映射关系，当前节点处理对象的保密程度受前一节点影响较大，具有一定相关性，相反，表明当前节点处理对象受前一节点的影响程度较小或表现出无关；同样地，对某一节点与相邻的后一节点组成的二分类进行分析，二分类种类越多，概率分布越趋于均匀，机密性的熵值也就越高，表明后一节点与当前节点的数据处理对象在保密程度上具有不稳定的映射关系，当前节点对后一节点处理对象的保密程度影响较小或表现出无关，相反，表明当前节点对后一节点处理对象的保密程度影响较大，具有一定相关性。
[0089]
准确性属性表示数据处理对象保持的准确程度，参见下表所示的等级分布：
[0090][0091]
[0092]
表1-2准确性属性分类
[0093]
在准确性属性上，对某一节点与相邻的前一节点组成的二分类进行分析，二分类种类越少，概率分布越不均匀，准确性的熵值也就越低，表明前一节点与当前节点的数据处理对象在准确程度上具有相对稳定的映射关系，实质表现在当前节点对前一节点处理对象中关键属性的依赖程度较高，如果前一节点数据处理对象的关键属性被破坏，必然导致当前节点处理对象准确度低，因此当前节点处理对象的准确程度受前一节点影响较大，具有一定相关性，相反，表明当前节点对前一节点处理对象中关键属性的依赖程度低，当前节点处理对象受前一节点的影响程度较小或表现出无关；同样地，对某一节点与相邻的后一节点组成的二分类进行分析，二分类种类越多，概率分布越趋于均匀，准确性的熵值也就越高，表明后一节点与当前节点的数据处理对象在准确程度上具有不稳定的映射关系，当前节点对后一节点处理对象的准确程度影响较小或表现出无关，相反，表明当前节点对后一节点处理对象的准确程度影响较大，具有一定相关性。
[0094]
可用性属性表示数据处理对象对合法授权用户的可用程度，参见下表所示的等级分布：
[0095][0096][0097]
表1-3可用性属性分类
[0098]
在可用性属性上，对某一节点与相邻的前一节点组成的二分类进行分析，二分类种类越少，概率分布越不均匀，可用性的熵值也就越低，表明前一节点与当前节点的数据处理对象在合法用户可用程度上具有相对稳定的映射关系，实质表现在前后节点数据处理对象之间合法用户的关联程度较高，即两个节点授权给了相同或相近的用户群，因此当前节点处理对象的合法用户可用程度受前一节点影响较大，具有一定相关性，相反，表明当前节点处理对象受前一节点的影响程度较小或表现出无关；同样地，对某一节点与相邻的后一节点组成的二分类进行分析，二分类种类越多，概率分布越趋于均匀，可用性的熵值也就越高，表明后一节点与当前节点的数据处理对象在合法用户可用程度上具有不稳定的映射关系，实质表现在前后节点将数据授权给了不同的用户群，因此当前节点对后一节点处理对象的合法用户可用程度影响较小或表现出无关，相反，表明当前节点对后一节点处理对象
的可用程度影响较大，具有一定相关性。
[0099]
可信性属性表示数据处理对象的可信程度，参见下表所示的等级分布：
[0100][0101]
表1-4可信性属性分类
[0102]
在可信性属性上，对某一节点与相邻的前一节点组成的二分类进行分析，二分类种类越少，概率分布越不均匀，可信性的熵值也就越低，表明前一节点与当前节点的数据处理对象在可信度上具有相对稳定的映射关系，实质表现在前一节点的处理过程导致向后传递的数据对象可信度的改变，如果前一节点因安全或人为因素隐藏了能够支持数据可信性的关键信息，进而导致当前节点处理对象可信度低，因此当前节点处理对象的可信程度受前一节点影响较大，具有一定相关性，相反，表明当前节点处理对象受前一节点的影响程度较小或表现出无关；同样地，对某一节点与相邻的后一节点组成的二分类进行分析，二分类种类越多，概率分布越趋于均匀，可信性的熵值也就越高，表明后一节点与当前节点的数据处理对象在可信度上具有不稳定的映射关系，前一节点未隐藏与可信度相关的关键信息或未被篡改，因此当前节点对后一节点处理对象的可信程度影响较小或表现出无关，相反，表明当前节点对后一节点处理对象的可信程度影响较大，具有一定相关性。
[0103]
可控性属性表示系统对数据处理对象处理的可控程度，参见下表所示的等级分布：
[0104][0105]
表1-5可控性属性分类
[0106]
在可控性属性上，对某一节点与相邻的前一节点组成的二分类进行分析，二分类种类越少，概率分布越不均匀，可控性的熵值也就越低，表明前一节点与当前节点的数据处理对象在可控程度上具有相对稳定的映射关系，实质表现在前一节点向后大范围广播数据对象，接收节点过于分散，导致当前节点对接收对象不可控因素增大，降低了数据的可控性，因此当前节点处理对象的可控程度受前一节点影响较大，具有一定相关性，相反，表明当前节点处理对象受前一节点的影响程度较小或表现出无关；同样地，对某一节点与相邻的后一节点组成的二分类进行分析，二分类种类越多，概率分布越趋于均匀，可控性的熵值也就越高，表明后一节点与当前节点的数据处理对象在可控度上具有不稳定的映射关系，前一节点向后单一传播数据对象，因此当前节点对后一节点处理对象的可控程度影响较小或表现出无关，相反，表明当前节点对后一节点处理对象的可控程度影响较大，具有一定相关性。
[0107]
利用以上安全属性计算单节点安全熵的过程可以通过以下实例描述：
[0108]
在任意服务解析子模型上，当任务管理器将第i个用户服务请求的子任务分配给第k个节点时，根据任务执行情况对该节点上的数据处理对象按以上五种安全属性逐一分类，得到属性集{a
i,k
,b
i,k
,c
i,k
,d
i,k
,e
i,k
}，a～e分别表示机密性、准确性、可用性、可信性和可控性属性；同理，相邻的第k-1和第k 1个节点存在属性集a
i,k-1
,b
i,k-1
,c
i,k-1
,d
i,k-1
,e
i,k-1
}和{a
i,k 1
,b
i,k 1
,c
i,k 1
,d
i,k 1
,e
i,k 1
}，以机密性属性为例，在第k个节点上组成的二元类为{a
i,k
,a
i,k-1
}和{a
i,k
,a
i,k 1
}，以此类推，当第i 1个用户服务请求的子任务也被分配到了上述三个节点时，会得到对应二元类{a
i 1,k
,a
i 1,k-1
}和{a
i 1,k,ai 1,k 1
}；然后判断上述四个二元类是否存在同类，如果存在则对同类累加计数，否则对四个二元类单独计数，由于机密性属性拥有5个等级，因此最多可以产生25个二元类；进一步统计第k个节点关于某个安全属性在不同二元类上的概率，可通过以下公式计算获得：
[0109][0110]
其中，x
pq
表示从所有数据处理作业中累计包含当前节点子业务上第p种安全属性第q个二元类的次数，n表示所有采集到的数据处理作业的总数，然后将第p种安全属性下的所有二元类的概率组成概率集，作为第p种安全属性的概率分布结果；
[0111]
计算单个安全属性的熵值，采用信息熵算法计算得到第p种安全属性的熵值：
[0112][0113]
其中，q表示第p种安全属性的二分类总数，在本实施例中五种安全属性的q值都是25；
[0114]
最后根据重要程度为各安全属性赋权值，对各安全属性的熵值执行加权运算，得到第k个节点上的安全熵表示为：
[0115][0116]
其中，m表示安全属性总数，α
p
表示第p种安全属性被分配的权值，且有表示第p种安全属性被分配的权值，且有权值的分配可根据服务、用户类型在节点上独立设置，h表示单节点上的安全熵。
[0117]
本发明是将节点上量化的信息熵作为信息安全风险评估的一部分，对层次分析模型中已定义过的资产重要程度进行重新度量，重构的判断矩阵将服务与资产结合，能够反映云计算服务环境变化给资产带来的潜在安全风险，而在构建层次分析模型之前，还需要对资产、威胁和脆弱性因子进行识别和赋值。
[0118]
一、资产识别阶段
[0119]
对信息资产的识别包括识别资产和对资产价值估值。云计算系统资产主要分为数据、软件、硬件、服务、人员和其他类型，如表2-1所示云计算系统资产分类的一个实例。
[0120]
资产分类描述数据资产数据库数据、源代码、组织运行管理线程、系统文档、系统报告等软件资产操作系统、应用软件、数据库软件、源程序等硬件资产网络及计算机设备、数据传输线路、安全防护设备、外端输入设备等服务资产iaas服务、paas服务、saas服务等人员资产掌握重要信息和核心业务的技术人员其他资产企业形象、客户关系等
[0121]
表2-1资产分类及描述
[0122]
资产价值应根据资产在保密性(confidentiality)、完整性(integrity)和可用性(availability)上的赋值等级，经过综合评定得出。综合评定方法可根据自身的特点，选择对资产保密性、完整性和可用性中最为重要的一个属性的赋值等级作为资产的最终赋值结果，也可以根据资产cia性质的不同等级对其赋值进行加权计算得到资产的最终赋值结果，加权算法可根据组织的企业特点确定。在上述资产分类中，与用户服务直接关联的资产主要包括数据、软件、服务资产，虽然硬件或人员资产的潜在风险不能从用户服务请求业务上直接体现，但由于硬件设备故障、人为对数据对象篡改等因素可反映到服务质量、数据处理结果上，造成业务处理异常的情况，异常情况同样能够通过安全属性赋值，然后通过对故障事件起因的资产溯源，间接地为硬件或人员等资产赋予安全熵。
[0123]
二、威胁识别阶段
[0124]
云计算系统环境存在的各种威胁是关系到云计算安全的关键对象，是造成资产损失的主要原因，主要分为人为和环境因素两方面，人为因素又分为恶意和非恶意操作，具体
参见表2-2所示的云计算系统威胁分类的一个实例。
[0125][0126]
表2-2威胁分类及描述
[0127]
对于威胁因子进行赋值过程中，可通过已发生的安全事件报告或系统日志记录，统计各种威胁发生的频率，可以等级化处理威胁出现的不同频率，等级的不同代表着威胁出现频率的不同与高低。等级数越大说明威胁出现的频率就越高，以此对威胁进行赋值，也可采用国际安全组织发布的对整个社会或特定行业安全威胁发生频率的统计数据的均值。如果是人为故意威胁，既要考虑资产的吸引力和曝光度，以及组织的知名度，还要考虑资产转化为利益的容易程度，包括财务利益、黑客获得运算能力很强和大带宽的主机使用等利益关系。
[0128]
三、脆弱性识别阶段
[0129]
脆弱性评估主要通过系统测试获得资产中存在的缺陷清单，包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性，这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏等，从而绕过已有的安全机制，脆弱性可通过工具扫描、人工分析、渗透测试、策略文档分析、安全审计、网络架构和业务流程分析等识别，下表描述了云计算系统脆弱性分类的部分实例。
[0130]
[0131][0132]
表2-3脆弱性分类及描述
[0133]
对已识别脆弱性进行赋值时，不仅要考虑其对资产的损害程度、弱点的流行程度、技术实现的难易程度，还要综合考虑多个脆弱性之间的相互影响。主要从保密性(confidentiality)、完整性(integrity)、可用性(availability)、可信性(dependability)、可审性(auditability)五方面对云计算系统漏洞展开评估。
[0134]
根据资产识别结果可以对不同服务解析子模型不同节点上的数据处理对象进行资产分类，以便将节点上的信息熵汇总、映射到对应的资产类别上，根据资产识别结果将每个单节点上的数据处理对象划分到对应的资产分类集内，计算各资产对应的安全熵可表示为：
[0135][0136]
其中，hk表示第k个单节点上的安全熵，k表示资产分类集内的单节点总数。
[0137]
层次分析法是一种主观赋权法，根据专家的知识和经验进行赋权，但是该方法确定的指标权重缺乏客观的科学依据，无法克服主观因素的影响。而熵权法实质上是一种客观赋权法，它能够充分挖掘原始数据的内在规律和信息量，由其得出的权重独立于决策者的主观偏好以及经验，使得评价过程能够有较强的数学理论依据支撑，评价结果更具有客观性。但是，熵权法不能反映专家的知识和经验，计算所得权重与实际重要程度可能出现不相符的情况。在本发明中，利用熵权法挖掘系统正常运行数据的变化规律，获得资产的安全熵，同时保留原有专家知识库的赋值，能够同时兼顾主观与客观因素影响，下面通过一个具体实施例阐述重构的评估模型及评估过程。
[0138]
(1)建立层次分析结构模型
[0139]
定义三个层次包括目标层、准则层和方案层，其中目标层只有一个元素，为云计算服务风险评估的最终目标，即根据方案层各方案的评估结果选择实施的安全策略，根据风险评估特性，各风险因素的风险大小是由其发生的概率和风险产生的影响程度来决定的，另外就是还应将风险的可控性考虑在内，因此在本实施例中将准则层中添加风险发生的概率、风险发生的影响和风险的可控度三个元素(如图3所示)；所述方案层包括各种方案，每一个方案表示一个云计算服务安全事件，该云计算服务安全事件定义为威胁因子利用脆弱性因子作用于资产因子后所产生的后果，即被分解到最小化单元上的风险子对象。下面给出了一部分云计算服务安全事件实例。
[0140][0141]
[0142]
表3云计算服务安全事件
[0143]
从表3中可以看出，在一般情况下，同一个威胁因子可以作用在多个脆弱性因子上，而同一个脆弱性因子却只受到一个威胁因子影响，因此一个威胁因子可以被分布到多个安全事件上，例如，建立由“恶意扫描”利用“开放端口”这一漏洞发起的安全攻击事件，以及利用“不可用或配置错误的ids系统”缺陷发起的安全攻击事件，形成两个最小化单元上的风险子对象。
[0144]
通过对云计算系统的资产、威胁、脆弱性因子评估，计算威胁因子利用脆弱性因子导致安全事件发生的可能性以及评估安全事件发生对资产造成的损害程度，即可计算出系统风险。因此对信息系统风险进行计算原理可以简化定义为风险评估函数r＝f(a,v,t)，a,v,t分别表示风险r所包含的资产、脆弱性、威胁因子的赋值，这一过程由选择的特定算法计算获得。
[0145]
(2)构造两两安全事件比较判断矩阵
[0146]
利用以上运算得到的风险初始估值，结合专家的经验及系统调查报告等由专家对判断矩阵中的元素比较值逐一拟定。判断矩阵表示针对上一层某要素而言，本层与它有关联的各要素之间的相对重要程度。建立方案层n个方案与上一层某个准则关联的专家判断矩阵a表示为：
[0147][0148]
元素a
ij
表示对于上层关联的某个准则，方案(或安全事件)pi与pj比较而得到的相对重要程度，对专家赋值本发明仍采用1～9标度法。
[0149]
(3)生成安全熵判断矩阵
[0150]
在方案层为每个专家判断矩阵的元素a
ij
生成对应于安全熵判断矩阵b的元素其中元素a
ij
表示与准则层同一个准则关联的第i种方案和第j种方案之间的重要度比值，元素b
ij
表示第i种方案的资产因子与第j种方案的资产因子之间的安全熵值比，安全熵判断矩阵b表示为：
[0151][0152]
(4)矩阵一致性检验与修正
[0153]
由于专家判断矩阵a中的元素是由专家逐一写入的，必然存在误差，导致存在元素a
ij
≠a
ik
·akj
的情况，但是又无法做到完全一致性的结果，层次分析模型要求矩阵误差满足最低限定条件即可符合要求，即通过检验和修正使得判断矩阵达到满意一致性。对专家判断矩阵a进行一致性检验，首先计算一致性指标λ
max
为专家判断矩阵a的最大特征值；进一步计算检验值当cr≤0.1时，则称专家判断矩阵满足满意一致性，否则不满足，需要对专家判断矩阵进行修正。根据专家判断矩阵中方案n的数量通过查表找到相应
的平均随机一致性指标ri，如下表所示。专家判断矩阵一般不会超过10阶，否则会增加运算复杂度，导致评估结果不准确。
[0154]
n12345678910ri000.520.901.121.261.361.411.461.49
[0155]
表41-10阶平均随机一致性指标
[0156]
在进行一致性比较之前，需要先计算矩阵的最大特征值λ
max
和对应的特征向量w，本实施例中采用和法进行计算，具体过程为：
[0157]
将矩阵a的每一列向量进行归一化处理，先按列向量求和，得到行向量e＝(d1,d2,d3…dn
)，
[0158]
然后利用列向量对矩阵a的元素进行归一化处理，得到归一化矩阵g＝(g
ij
)n×n，
[0159]
将矩阵g按行求和得一列向量h＝(h1,h2,h3…hn
)
t
，再将列向量h归一化后得到特征向量w＝(w1,w2,w3…
wn)
t
，
[0160]
进一步求特征向量w所对应的特征值作为最大特征值，
[0161][0162]
由于一致性矩阵需要满足根据这一特性生成校验矩阵，通过比较专家判断矩阵与校验矩阵对应元素之间的差值来确定最终的修正值，且只对偏离超出阈值范围的元素进行单独修正，减少现有批量修正带来不可预知的错误或偏差，具体的修正过程为：
[0163]
首先，提取专家判断矩阵a的下三角元素，计算校验矩阵d对应的下三角元素：
[0164][0165]
其中，i≥l，j≥l，i≥j，由于n阶判断矩阵所需专家提供的信息量仅为因为矩阵对角线上的元素全为1，而其他个元素与专家赋值互为倒数，假设专家给出下三角矩阵的元素，则上三角矩阵的元素可计算倒数补充完整，因此本发明考虑仅处理下三角矩阵元素，减少冗余运算；
[0166]
然后进一步计算差值矩阵e对应的下三角元素：
[0167]eij
＝d
ij-a
ij
[0168]
如果e
ij
＞δ，则需要增大元素a
ij
的标度值，如果e
ij
＜-δ，则需要减小元素a
ij
的标度值，如果-δ≤e
ij
≤δ，则保持元素a
ij
的标度值不变，可通过计算所有下三角元素偏差e
ij
绝对值的均值作为阈值δ，表示为：
[0169][0170]
阈值δ反应了所有差值e
ij
的平均偏离度，如果某个元素a
ij
超出阈值范围[-δ,δ]，则表明该元素单独具有较高的不一致性，需要进行修正，且对元素独立修正能够降低批量修正带来的误差偏移，具体地：
[0171]
当e
ij
＞δ，表明对应元素过小，需要将其增大，可以采用以下表所示的向上越级调整，最大调整值为9。
[0172]
修正前1/91/81/71/61/51/41/31/2123456789修正后1/81/71/61/51/41/31/21234567899
[0173]
当e
ij
＜-δ，表明对应元素过大，需要将其减小，可以采用以下表所示的向下越级调整，最小调整值为1/9。
[0174]
修正前1/91/81/71/61/51/41/31/2123456789修正后1/91/91/81/71/61/51/41/31/212345678
[0175]
对修正后的专家判断矩阵a'重新进行一致性检验，如果仍不满足检验要求，则重复执行上述步骤直至达到满意一致性要求为止。
[0176]
由于安全熵判断矩阵中的元素都是比值，因此对于任意元素都有由于安全熵判断矩阵中的元素都是比值，因此对于任意元素都有因此安全熵判断矩阵具有完全一致性无需进行修正，因此不会额外增加评估运算负担。
[0177]
(5)生成组合判断矩阵
[0178]
首先，为安全熵判断矩阵b分配权值β，0＜β＜1，相应的专家判断矩阵a'被分配的权值为1-β，然后通过权值计算得到各自对应的权值矩阵，将两个权值矩阵对应元素相加即得到初始状态的组合判断矩阵c，表示为：
[0179][0180]
其中，矩阵中元素c
ij
＝(1-β)a'
ij
βb
ij
，表示第i种方案与第j种方案相对于上一层其中一个准则的重要度比值，a'
ij
表示修正后的专家判断矩阵元素。由于层次分析模型的原有标度法最大赋值为9，当a'
ij
取值为9时，通过权值相加后得到的元素c
ij
≤9，即安全熵比值b
ij
未对计算结果产生作用。因此需要对组合判断矩阵的值域进行扩展，利用专家判断矩阵所能达到的最大标度值a
max
进行扩展，得到适用于组合判断矩阵运算的最大标度值：
[0181][0182]
进一步获得适用于组合判断矩阵运算的最小标度值：
[0183]
[0184]
例如，令β＝0.1，因此元素c
ij
的取值范围在[0.09,11.25]之间，此时当a'
ij
仍取值为9时，受权值相加影响c
ij
最高可达11.25，其中超出的部分就是熵值产生的影响，如果计算结果大于11.25，取最高值11.25，如果计算结果小于0.09，则取最小值0.09。
[0185]
由于计算得到的元素都是不规范的小数，同时为了能够与其他评估模型很好地兼容，还需要对组合判断矩阵c取值进行标准化处理：
[0186][0187]
其中，表示对数值四舍五入到小数点后第0位，c'
ij
表示经标准化处理的重要度比值。上述处理过程其实是将c
ij
重新到压缩到1～9标度法取值标准[1/9,9]的过程，按比例值对c
ij
进行压缩，将不小于1的计算结果取整运算获得1～9范围内的整数，而将整数值取倒数，就是沿主对角线对称位置上的元素，即当时，令c'
ji
表示取整运算后的元素整数值，c'
ij
与c'
ji
互为对称元素，最后将主对角线上的元素全部赋值为1。
[0188]
(6)组合判断矩阵归一化处理
[0189]
首先，以组合判断矩阵的列向量求和得到行向量c＝(c1,c2,c3…cn
)，其中元素cj表示为：
[0190][0191]
然后再利用行向量的元素cj对组合判断矩阵相应元素进行归一化处理，得到归一化矩阵元素，表示为：
[0192][0193]
(7)计算方案的组合权重
[0194]
首先，利用方根法计算方案层中各因素相对于上一层某个因素相对重要性的排序权值，即层次单排序。例如，计算准则层中第l个准则下第i种方案相对于方案层中其他方案的权重值，表示为：
[0195][0196]
其中，向量ω
l
＝(ω
l1
,ω
l2
,ω
l3
…
ω
ln
)，表示与第l个准则相关的下层所有方案的
权重；
[0197]
然后，对权重值ω
li
进行归一化处理：
[0198][0199]
从而得到单排序向量ω'
l
＝(ω'
l1
,ω'
l2
,ω'
l3
…
ω'
ln
)；
[0200]
最后，利用层次单排序计算层次分析模型中每一层中的所有元素相对于总目标的组合权重，即层次总排序结果。由于本实施例中仅设置了三层结构，因此计算第i种方案相对于目标层的组合权重可表示为：
[0201][0202]
其中，l表示准则层中准则总数，在本实施例中l＝3，总排序向量ω＝(ω1,ω2,ω1…
ωn)，ωi表示第i个方案相对于目标层总目标的组合权重值，ω
l
表示目标层下第l个准则相对于准则层中其他准则的权重值，层次模型前两层结构简单，本实施例中准则层只有三个准则，因此对于ω
l
由专家直接赋值即可。
[0203]
在本发明提供的另外一个实施例中，还包括对权值β的修正过程。在前述实施例的标准化处理时，对于矩阵c取值按比例压缩后如果小于1，则直接将与其对称位置上的c'
ji
取倒数作为当前位置上的估计值，即该估计值表示为：
[0204][0205]
而真实取值应该通过以下公式计算获得：
[0206][0207]
因此两者之间必然存在一定的偏差，由此会带来失真性问题，导致风险评估结果会产生较大误差。为此，需要对权值β进行修正得到修正系数βm，在理想情况下估计值与真实值的比值为1，为此从组合判断矩阵中提取所有个满足c'
ij
＜1条件的元素估计值c'
ij
，令每个元素估计值与真实值的比值σ
ij
等于1则有：
[0208]
[0209]
通过上述等式计算每个元素估计值c'
ij
对应的修正系数βm，
[0210]
然后进一步计算所有修正系数βm的均值：
[0211][0212]
令利用均值作为权值的修正结果，重新参与专家判断矩阵与安全熵判断矩阵权值分配，再次形成的组合判断矩阵中的元素然后再次执行前一实施例中的步骤(5)-(7)，以上权值修正过程能够有效降低组合判断矩阵估计值与真实值之间的差异，避免因原矩阵估算不准确导致最终计算得到的风险评估结果失真问题。
[0213]
为了实现上述云计算风险分析方法，本发明还提供了基于服务层的云计算风险分析系统，如图4所示，该系统具体包括：服务解析模型生成模块、服务熵生成模块、风险数据识别模块、资产熵生成模块、层次模型构建模块、专家矩阵构造模块、熵矩阵构造模块、组合矩阵构造模块和组合权重生成模块；
[0214]
服务解析模型生成模块：用于构建服务解析模型，将云计算系统提供的各种服务逐一进行任务分解，获得由最小化任务单元组成的有向无环图，并为任务单元的数据处理对象定义各种安全属性，每种安全属性以不同的安全状态划分不同类别，所述有向无环图中的节点表示任务单元，节点之间的有向边表示任务单元之间传递的数据处理对象；
[0215]
服务熵生成模块：批量采集用户服务请求的数据处理作业，利用服务解析模型对每个数据处理作业逐一进行分解获得对应节点上的子业务，根据子业务的数据处理对象所处安全状态将子业务划分到各安全属性对应的类别上，在各安全属性下将任意两个相邻节点上的子业务的分类结果分别组成二元类，累计同一节点在所有数据处理作业中不同二元类上的计数，进一步根据计数结果计算每个安全属性下的概率分布，然后利用熵权算法生成对应安全属性的熵值，将所有安全属性的熵值加权得到单节点上的安全熵；
[0216]
风险数据识别模块：对云计算系统进行资产识别、威胁识别和脆弱性识别；
[0217]
资产熵生成模块：将每个单节点上的数据处理对象划分到对应种类的资产中组成资产分类集，将划分到同一种资产分类集内的所有单节点安全熵取均值，获得对应资产种类下的安全熵；
[0218]
层次模型构建模块：利用识别结果构建递阶层次结构模型，所述层次结构模型包括目标层、准则层和方案层；
[0219]
专家矩阵构造模块：构造出各层次对象相对于上一层关联对象的专家判断矩阵，所述专家判断矩阵中元素值由专家提供；
[0220]
熵矩阵构造模块：提取方案层中各方案所包含的资产因子，将资产因子与资产种类相互匹配以确定资产因子的安全熵，然后利用资产因子之间的安全熵值比生成安全熵判断矩阵；
[0221]
组合矩阵构造模块：对专家判断矩阵进行一致性检验和修正，为验证合格的专家判断矩阵和安全熵判断矩阵分配不同的权值，将两个矩阵的对应元素通过加权运算生成组合判断矩阵；
[0222]
组合权重生成模块：利用组合判断矩阵计算各方案相对于准则层各关联对象的权重，然后计算得出各方案相对于目标层的组合权重。
[0223]
对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。