刘 磊，任俊绮，张 鹏，申 春

（1.吉林大学 计算机科学与技术学院，长春 130012；2.吉林大学 软件学院，长春 130012）

云计算因其宽带互联、资源池共享、弹性配置、按需服务和按服务收费等优势在各行业中广泛应用，但云安全问题限制了云计算的发展.云服务的安全问题包括云计算架构是否安全、是否存在可攻击面、对恶意软件的处理是否全面及访问权限是否安全等［1］.非法入侵和云服务不完整是云安全中的两个重要问题.入侵是指利用服务器的弱点对服务器进行攻击.入侵检测技术主要分为两类：异常入侵检测和误用入侵检测［2］.用户越权访问是一种较常见的入侵，是指用户经过了授权，但对所授权的数据和资源使用不合法或滥用授权，这可能使云服务中断，导致服务不完整.服务不完整是指云不能按照服务流程向用户提供完整的服务.入侵的发生可能使服务中断，导致服务不完整；另一方面，服务不完整会引发服务异常，增加入侵的可能性.

针对上述问题，Kruegel等［3］提出建立异常入侵检测Bayes网分析异常检测结果的方法检测入侵行为；Teng等［4］提出利用时间推理的方法产生用户正常行为规则集，通过动态修改这些规则实现入侵行为检测；Lane等［5］提出通过机器学习实现入侵检测；Lee等［6］提出利用数据挖掘技术在数据和数据流中提取相关知识，并利用这些知识检测入侵行为；Sailer等［7］提出利用TCG可信平台完整性测量框架验证服务的完整性；Clark等［8］提出使用Clark－Wilson模型保证服务的完整性.

当前检测方法或偏重于入侵检测，或偏重于服务完整性检测.利用不同检测方法对两种问题分别检测时，存在对异常行为的重复检测，检测成本较高，同时需要预测的非法行为集合可能不全面［9］，检测准确率较低.本文针对这两个问题提出了一种安全检测方法，运用π演算对云服务的通信过程进行建模，通过对通信原语的形式化描述，检测出通信过程中所出现的用户越权访问问题和服务不完整问题.利用π演算的方法不需要预测非法行为集合，减少了交叉行为的检测，可有效减少检测计算量和检测时间.

1 π演算

π演算是对通信系统演算的扩充与发展，它主要研究进程间移动通信的并发理论［10］.π演算的研究对象是名字和进程，其中名字不仅包含CCS中的变量和值，同时也包含通道名字本身［11］，使π演算对建立新通道有了描述语法.因此，π演算适合描述动态变化的云服务.本文利用π演算这种形式化描述工具对云服务进行建模描述，利用π演算的强模拟性、弱模拟性和对偶性等性质对模型中的用户越权问题及服务过程不完整问题进行检测.

π演算语法：假设一个无穷的名字集N，其中的元素用小写字母x，y，z…表示，进程表达式用大写字母P，Q，R…表示.π演算可定义为

2 基于π演算的云服务建模

2.1 云服务的描述

通过对salesforce CRM，Amazon Webservices和Goole App Engine等云服务的理解与分析［12－13］，本文将云服务抽象成一个三元组（S，C，A），其中：A表示逻辑服务原子；C表示服务间的关系；S表示整个服务.A是指根据要检测的问题，将某个或某些服务组合在一起所构成的模块，它是一个五元组（a，e，s，t，c），其中：a表示A中的服务；e表示对外发出的信息及通道；s表示接收的消息及通道；t表示服务原子在接收或发出消息后的动作；c表示两个e或s之间的关系；c1表示顺序关系；c2表示并发关系.通常情况下，对于a1发出的消息和通道e必存在a2接收相同消息的通道s，将二者合并记为es.C中有3个元素｛C1，C2，C3｝，其中C1表示顺序执行服务，C2表示并发执行服务，C3表示选择执行服务，且C2，C3优先级相同均高于C1.从而每个服务原子可描述为

两个服务原子之间通信过程可描述为

整个云服务可描述为

其中：A1必为启动整个服务的服务原子；An为结束整个服务的服务原子.

上述过程中忽略了某些与越权问题和完整性检测无关的内容，将关注点放在逻辑服务原子、服务原子间通信内容和通信通道及服务原子间的逻辑关系这3个内容上.

2.2 基于π演算的云服务形式化描述

利用π演算对云服务进行描述，需有如下过程：1）将每个逻辑服务原子视为一个进程，该进程可根据实际要验证或检测的问题细化或组合；2）将进行通信的两个进程之间顺序传递消息的通道合并为一个，并保证这两个进程间至少有一条通道；3）将并发的多条消息通道映射为多个通道，保证每个并发的消息通道对应一个通道.云服务与π演算的映射关系列于表1.

表1 云服务与π演算映射关系Table 1 Mappings between cloud service andπ－calculus

3 基于π演算对安全问题的检测

3.1 越权问题的检测

3.2 服务过程不完整的检测

检测服务是否完整需要用到π演算性质：若P强模拟Q，则表示P至少能完成Q的所有任务和动态变化；若P弱模拟Q，则表示P的外部行为至少能表达所有Q的外部行为.若用Atomicn表示每个逻辑服务原子的进程表达式，ReverceAn表示每个逻辑服务原子对偶系统的进程表达式，T表示服务完整，F表示服务不完整表示π演算中的反应符号，则有如下算法.

4 实例分析

云中存在大量的虚拟机，虚拟机部署是云中常见的服务.虚拟机部署过程中会伴随大量的用户访问和部署过程中断.因此，本文以虚拟机部署服务为例，对所给方法进行验证与说明.

4.1 服务流程与抽象

一次虚拟机部署服务过程如图1所示.发出部署命令的可能是用户也可能是某个物理机，本文将其统称为用户.将用户、应用服务器、云管理和目标宿主机作为4个逻辑服务原子进行建模，即A＝｛Client，Service，Management，Host｝，且这些模块是按顺序依次发生的，即

图1 虚拟机的部署服务Fig.1 Deployment of the virtual machine

一次部署请求发出后，应用服务器对当前环境进行衡量，确定部署请求是否可以接受，若接受则对相应的物理资源进行部署，并将部署成功的虚拟机交付使用.

部署名字集合

其中：Request（Req）表示用户向应用服务器发出虚拟机部署请求；Refuse（Ref）表示应用服务器根据当前环境判断不满足部署要求，向用户发出拒绝请求的回应消息；AskInfo（Ask）表示应用服务器根据当前环境判断可以部署服务，则向用户发出询问部署虚拟机所需的具体信息；ProInfo（Pro）表示用户回应应用服务器，提供部署虚拟机所需的信息；GetResInfo（Get）表示应用服务器根据用户所提出的请求，向云管理系统发出请求部署信息；ResInfo（Res）表示云管理系统向应用服务器发送相应部署信息；DeploymentCommand（DeC）表示应用服务器根据云管理系统提供信息向目标宿主机发布部署命令，并传递部署请求；DeploymentSuccess（Des）表示部署成功并启动虚拟机，通知用户部署结果并交付使用.

图2 虚拟机部署映射成π演算的过程Fig.2 Virtual machine deployment mapping intoπ－calculus

4.2 服务建模

根据云服务与π演算的映射关系，可以将图1映射成图2，其中x，y，z，v分别表示用户与应用服务器、应用服务器与云管理服务器、应用服务器与目标宿主机、用户与目标宿主机间的通道.

在对虚拟机部署过程进行映射后，即可利用π演算对每个逻辑服务原子和整个服务过程进行建模，建模过程如下.

4.3 虚拟机部署中越权检测与服务过程的不完整检测

4.4 与现有安全检测方法的对比

在云服务中，越权检测与服务完整性检测密不可分，越权的发生可能使服务中断，导致服务不完整；而服务不完整会引发服务异常，增加越权的可能性.因此，需要对这两种安全问题同时检测.

表2通过对多种检测方法的研究，给出了各种检测方法的能力范围.由表2可见，Bayes网检测方法利用先验知识对可能入侵事件基于概率值分类，只能针对预测出的服务过程入侵事件进行检测，未对系统提供的服务进行预测，忽略了云服务过程不完整性带来的安全问题；预测规则集和时间序列学习方法都是基于已定义好的正常行为集合，分别利用时间推理和机器学习方法检测试图训练系统的入侵者，这两种检测方法虽然可保证用户行为的合法性，但并未对系统行为进行检测，无法保证用户请求得到响应；TCG检测方法通过一种平台服务完整性检测架构，对平台服务完整性进行检测，但该方法的检测只是针对服务流程，忽略了用户越权行为对服务过程的影响.而本文方法可同时检测两种安全问题，相对于传统方法有效减少了检测计算量.

表2 检测能力对比Table 2 Contrast of detection capability

［1］Ryan M D.Cloud Computing Seurity：The Scientific Challenge，and a Survey of Solutions［J］.Journal of Systems and Software，2013，86（9）：2263－2268.

［2］杨智君，田地，马骏骁，等.入侵检测技术研究综述 ［J］.计算机工程与设计，2006，27（12）：2119－2123.（YANG Zhijun，TIAN Di，MA Junrao，et al.Survey of Intrusion Detection Technology ［J］.Computer Engineering and Design，2006，27（12）：2119－2123.）

［3］Kruegel C，Mutz D，Robertson W，et al.Bayesian Event Classification for Intrusion Detection［C］／／Proc of the 19th Annual Computer Security Applications Conference（ACSAC）.Washington DC：IEEE Computer Society，2003：14－23.

［4］Teng H S，Chen K，Lu S C Y.Security Audit Trail Analysis Using Inductively Generated Predictive Rules［C］／／Proceeding of the Sixth Conference on Artificial Intelligence Applications.Washington DC：IEEE Computer Society，1990：24－29.

［5］Lane T，Brodley C E.Temporal Sequence Learning and Data Reduction for Anomaly Detection ［J］.ACM Transactions on Information and System Security，1999，2（3）：295－331.

［6］Lee W，Stolfo S J，Chan P K，et al.Real Time Data Mining－Based Intrusion Detection［C］／／Proceedings of 2nd DARPA Information Survivability Conference and Exposition（DIsCEX）.Washington DC：IEEE Computer Society，2001：89－100.

［7］Sailer R，Zhang X，Jaeger T，et al.Design and lmplementation of a TCG－Based Integrity Measurement Architeclure［C］／／Proc of the 13rd USENIX Security Symposium.Berkeley：USENIX Association，2004：223－238.

［8］Clark D D，Wilson D R.A Comparison of Commercial and Military Computer Security Policies［C］／／Proc of the l987IEEE Symp on Security and Privacy.Washington DC：IEEE Computer Society，1987：184－194.

［9］蒋建春，马恒太，任党恩，等.网络安全入侵检测：研究综述 ［J］.软件学报，2000，11（11）：1460－1466.（JIANG Jianchun，MA Hengtai，REN Dang’en，et al.Network Security Intrusion Detection：The Review of the Research［J］.Journal of Software，2000，11（11）：1460－1466.）

［10］Milner R.Communicating and Mobile Systems：The Pi－Calculus［M］.Cambridge：Cambridge University Press，1999：77－159.

［11］廖军，谭浩，刘锦德.基于Pi－演算的 Web服务组合的描述和验证 ［J］.计算机学报，2005，28（4）：635－643.（LIAO Jun，TAN Hao，LIU Jinde.Describing and Verifying Web Service Using Pi－Calculus［J］.Chinese Journal of Computers，2005，28（4）：635－643.）

［12］吴朱华.云计算核心技术剖析 ［M］.北京：人民邮电出版社，2011：2－30.（WU Zhuhua.Analysis of the Cloud Computing Core Technology［M］.Beijing：Post ＆ Telecom Press，2011：2－30.）

［13］郭小群，郝克刚.Web服务的 Pi演算描述 ［J］.计算机科学，2006，33（3）：261－262.（GUO Xiaoqun，HAO Kegang.Pi Calculi－Based Model for Web Services［J］.Computerscience，2006，33（3）：261－262.）