网格信任评价审计及控制

摘 要:客观地评价资源是信任模型有效的基础,而评价的主观性则使其难以实现,审计成为维护评价客观性的重要方法。针对信任评价,提出了一个带有审计功能的评价模型,通过采集调度数据、标准化、距离计算、异常评价发现和评价修正等步骤,实现评价的审计和对评价的控制。讨论了审计周期,给出了审计算法。实验表明,所提出的方法对用户信任评价的审计是有效的,发现了评价中存在的问题并在后来的评价中加以修正,同时促进了系统的稳定性和吞吐量。

关键词:网格监测体系结构;信任模型;欧式距离;资源使用记录

中图分类号: TP302

文献标志码:A

Audit and control of trust evaluation in grid

HE Tingnian,MA Manfu,LI Yong,QU Weili

College of Mathematics and Information Science, Northwest Normal University, LanzhouGansu 730070, China

)

Abstract: Objective evaluation of trust value is the basis of trust model validity, but the subjectivity of evaluation makes it hard to achieve. Audit is one of the effective ways to this problem. In this paper, the authors presented an approach of trust evaluating model with audit function, by the support of basis running data. The process included standardization, distance calculating, and abnormity evaluation detecting and correcting, thus implementing the control of evaluation. As to the model requirement, the authors analyzed the refresh periods of audit, and an audit algorithm was put forward. Finally simulations were performed to validate the audit. The experimental results show that the audit is efficient on trust model stability and at the same time is helpful with the throughput of grid.

Key words: Grid Monitoring Architecture (GMA); trust model; Euclidean distance; Resource Usage Record (RUR)

0 引言

信任模型为提高资源的可靠性而进行信任评价,但存在以下两方面的问题:1)用户评价的主观性和随意性;2)模型自身缺乏可靠性。由于评价的主观性和随意性,使得用户评价缺乏约束,给一些合谋者进行信任度欺诈提供了方便,也使不良用户诋毁其他实体者大行其道。模型自身缺乏可靠性则使得恶意和不良评价直接影响到模型的正常运行,进而导致网格系统缺乏稳定性,严重影响系统效率。信任模型面临恶意欺诈、合谋、诋毁等不端行为的严重困扰[1]。在信任评价缺乏控制的同时,网格监测、网络监测以及运行日志等采集了大量的原始数据,蕴涵了对网格进行评价的各种要素。如何利用这些数据,对网格从管理、调度到信任等的审计是关系到进一步推进网格系统稳定性的基础性问题。当前审计在网格中的研究主要针对安全展开,用来在线进行入侵检测[2-3];从网格管理角度的相关研究主要包括全球网格论坛提出的网格监测体系结构(Grid Monitoring Architecture,GMA)[4],以及在其基础上提出的各种实现[5];从信任可靠性和稳定性方面的研究有非正常评价过滤等方法[6]。对管理、调度以及信任评价等的审计还看不到相关文献。针对上述现状,本文尝试利用这些基础数据,实现对网格信任评价的审计,进而影响信任策略,提高信任评价的准确性和模型的抗风险能力。

1 审计数据支撑

审计以网格监测、网络监控等数据为依据,一般来说,一个网格管理域和一个局域网在管理范围上是一致的,因此这些数据便于得到。另外,监测数据获取可以简单地跨越网格和网络层次的概念,从不同的层面得到。审计数据支撑如图1所示。

图片

图1 信任审计数据支撑结构

数据类型包括以下4类:1)管理数据。它们存放在域内的基础设施上,包括资源和用户注册信息、调度信息、身份信息等,在经济模型中还包括调度契约等。2)运行数据。针对每个调度在实际运行中产生的参数,存放在资源所在的节点中,是全球网格论坛提出用来描述资源使用情况的记录规范,用资源使用记录(Resource Usage Record,RUR)[7]来描述,它通过GMA获取。3)网络数据。网络数据是反映网格底层网络随时间运行的参数,通过网络性能监测工具得到,如SPAND(Shared Passive Network Performance Discovery)等,数据存放在网络管理机构的MIB(Management Information Base)。在网格调度中,出现调度失败等现象时,可能是由于网络的拥塞导致的丢包等原因造成,而非资源本身所致,网络数据可帮助审计分析出现这些现象的原因,以便准确地评价资源。4)运行日志。日志从大的方面可划分为网格日志和网络日志两类,通过网格和网络基础设施获得。网格日志包含了非常丰富的动态数据,记录了资源和用户在网格中活动的行为,由此实现审计中随时间的分析;网络日志反映非网格调度中的实体行为数据,是网格日志的补充。

┑1期 ┖瓮⒛甑:网格信任评价审计及控制

┆扑慊应用 ┑30卷

2 审计模型

具有审计系统的信任模型如图2所示。

图片

图2 具有审计功能的信任模型

用户按照任务实现提出的服务质量(Quality of Service,QoS)要求和调度所产生的行为结果进行比较,给出信任评价。信任审计则利用更为广泛和全面的数据,发现评价是否公正和准确,评价结果反馈给调度算法和评价模型,以策略的方式影响后续的调度和评价。

审计包括数据标准化、距离计算和异常评价发现等步骤。设服务质量参数定义为QoS=(q1,q2,…,qn),в没Иukг谑奔渲芷讵T内的对所调用资源的信任评价为E=(e1,e2,…,em),其中第iЦ龅鞫榷杂ΦQoS需求为QoSib=(qbi,1,qbi,2,…,qbi,n),i=1,2,…,m,实际调度结束后的参数为QoSie=(qei,1,qei,2,…,qei,n)。Ф杂诒挥没ИukУ鞫裙的资源 rl,在时间T内对应的调用用户集合为U,г蛘攵悦扛龅鞫,有如下处理:

2.1 数据标准化

不同的调度分别对应不同的QoS参数:一方面,用户任务的需求不同;另一方面,资源性能和完成情况不同。因此,QoSibШ酮QoSieФ杂诓煌调度,不具有直接可比性。为了建立它们之间的有一致含义的参数,在计算距离之前,将数据进行标准化。

в没У牡i次对rlУ牡鞫,令piП硎驹QoS上各个参数按照预期约定和实际完成的良好程度百分比,即pi=(pi,1,pi,2,…,pi,n),Ф杂讵pi, j=(qbi, j-qei, j)qbi, j,j=1,2,…n。е鹨患扑悛Uе忻扛龌в玫莫pi,形成资源服务标准化质量矩阵A=ps,t,其中,s=1,2,…,n;t=1,2,…,|U|。设Иxs、Rs分别表示矩阵中第s个值的均值、标准差,即:オ

Иxs=1|U|∑|U|i=1pi,t

Rs=1|U|∑|U|i=1|pi,t-xs|オ

则标准化后的数据为:

p唱s,t=ps,t-xsRsオ

2.2 距离计算

对于距离的计算,最常用的距离是曼哈顿距离和欧氏距离,这里采用欧氏距离:

di, j=∑nk=1(p唱i,k-p唱j,k)2

在得到距离后,累计每个标准化数据与其他标准化数据的距离,形成距离矩阵R。

2.3 异常评价发现

设Di=∑nj=1di, j,Di为矩阵R中第i行的距离之和,其值越大,说明对应的评价距离其他评价越远,可能形成数据上的孤立点。计算矩阵的平均值ИD=1|U|∑|U|i=1Di,然后比较Diв氇ИD,Фㄒ逡斐F兰畚:如果Di>2D,则i为孤立点,即异常评价。オ

经过上述过程的计算,可以判定用户ukг谑奔渲芷讵T内的对资源rlУ钠兰郦ei是否异常,采用相同的过程,逐一评价并发现E=(e1,e2,…,em)е兴有评价是否异常,得到审计结论AU=(au1,au2,…,aum),其中aui( i=1,2,…,m)取值为0或1:0表示评价无异常;1表示评价异常。オ

2.4 评价结论及修正策略

主观评价受到用户环境和状态等个人不确定因素的影响,因此,一个审计周期内个别或者少数的异常评价是客观存在的,不需要处理。但是,当异常评价出现频繁或者较多时,则反映出该用户在评价上的习惯、偏好或者是恶意的评价问题,称为偏差评价用户,由此导致对调用资源的评价偏差是不允许的,需要纠正。在AUе,异常评价所占的比例为ab=∑mi=1aui/|AU|,У豹ab>α,α∈(0,1)时,可认定为偏差评价用户。

对于异常评价,在线系统处理时可采用删除和修正两种策略,而审计系统是离线处理,因此无法删除,但可以通过模型控制对其加以修正。由于距离计算仅仅反映出一个评价偏离均值的程度,而不反映是偏高还是偏低,因此重新按照标准差RsУ募扑愎式,除去绝对值得R┆sin=1|U|∑|U|i=1(pi,t-xs)Ы行计算,如果所得的R┆sin>0,г蚱兰燮高;R┆sin

当R┆sin>0,且Di>2D时,对异常评价值进行ei-(Di-2D)操作;当R┆sin2D时,对异常评价值进行ei+(Di-2D)操作。

2.5 审计周期

审计周期一方面应当动态地反映当前评价的准确性并加以修正;另一方面,审计过程是一个负载较大的计算过程,应以不过分增加系统负载为前提。系统状态的变化取决于系统中负载的变化规律和用户使用系统的习惯,审计周期首先应当和系统负载周期同步,并安排在系统轻载时进行。设系统负载周期为T,则审计周期按nT进行,n=1,2,3,…,一般地,n>5为宜。オ

3 审计算法

用户uk在审计周期T结束后,Ы行数据采集和整合:从部署在网格管理域的基础设施上获取调度契约,读取服务质量的约定以及契约履行后的实际数据;从信任管理机构获取该用户在该周期内的所有信任评价;逐个按照所调度的资源,读取对应资源在该周期内的调用者的全部信任评价值。形成如下数据:用户ukУ钠兰凼组E=(e1,e2,…,em),所完成调度的质量需求矩阵QoSib=(qbi,1,qbi,2,…,qbi,n),实际完成的质量矩阵QoSie=(qei,1,qei,2,…,qei,n),评价数组EФ杂Φ淖试醇合Sr={r1,r2,…,rw},其中w≤m(同一资源可能被多次调用),每个资源在T内的评价数组Er=(er1,er2,…,erq),其中q为正整数,设待审计的用户集合为U┆audit。

算法分为三个步骤:1)初始化;2)针对每个用户所调度的所有资源,进行评价过程;3)根据结果影响评价策略。算法伪代码如下:

程序前

AuditasUsers(Uaudit,α);

1)Array AU[1…m]=0; ab=0;//初始化お

{For every uk∈U┆audit do

For every ri∈Sr do}

2){calculate A=ps,t;// s=1,2,…,n;t=1,2,…,|U|

Иxs=1|U|∑|U|i=1pi,t;お

Rs=1|U|∑|U|i=1|pi,t-xs|;お

p唱s,t=ps,t-xsRs;//标准化数据お

di, j=∑nk=1(p唱i,k-p唱j,k)2// 计算距离矩阵R

ИD=1|U|∑|U|i=1Di; Di=∑nj=1di, j;// 矩阵的平均值

If Di>2Dthen

AU[i]=1;// 审计完成一个调度评价お

3) For i=1 to q do ab=ab+AU[i]// 统计审计结果お

If ab/q>α then

modify(uk)// 非正常评价习惯或恶意评价用户,执行修正策略

程序后

4 实验分析

4.1 信任模型和调度算法

实验中采用Farag Azzedin等提出的声誉模型的计算方法[8]为补充的主观模型。令x为用户,y为资源,在调度之前,如果有对应的信任评价,则以该评价为依据;否则,利用Farag Azzedin提出的方法进行声誉计算,为初次调度提供信任依据。每次调度结束,xФ元yУ姆务提出信任评价。调度算法同样采用文献[8]提出的TMA(Trustaware Minmin Algorithm)算法。

4.2 实验设计

原型系统以GRACE(GRid Architecture for Computational Economy)[9]为平台进行构造,系统由40个节点组成,包括资源提供节点、信任模型管理和控制节点、审计节点、调度中的契约管理节点和资源的注册、以及部署GRIS(Grid Resource Information Service)等。系统中提供5类资源,节点既是资源的提供者,也是任务的宿主者。在各个节点上,任务采用符合泊松分布的随机函数进行调度以及资源的登录和退出,为了取得更多的数据,控制调度在高频率范围进行。实验中的任务平均执行周期为50ms,审计周期为30min,认定偏差评价用户的阈值Е联取值分别为0.2和0.4。为了发现审计对信任模型的影响,实验中将30%的评价定义为恶意评价,即评价直接给予一个区间[0,1]的随机数,而非按照实际任务完成情况进行。实验中,一个审计周期内,将信任值大于平均值的资源称为可信资源。

4.3 结果分析

实验分为审计和不审计两种情况进行,从相同的初始状态开始,系统运行一段较长时间并在第一个审计周期结束后开始采集数据。实验在系统吞吐量、可信任资源调度率、审计修正率和信任评价稳定性等参数上取得了实验结果,完成了8个审计周期,其参数的平均值见表1、2所示。

表格(有表名)

表1 Е联=0.2时的实验结果(审计周期为30min)

算法吞吐量调度なО苈/%可信资源さ鞫嚷/%审计ば拚率/%

TMA128B5268.7163.60-

有审计TMA146B9173.8772.324.15

从表1看出,与非审计调度相比,有审计的信任调度算法取得了较大的吞吐量,比前者提高了12.52%;调度失败率则从8.71%降到3.87%;可信资源调度率从63.60%提高到72.32%,提高了8.72个百分点;审计中有4.15%的恶意评价或非常规评价用户被修正。显然,审计修正一定程度上避免了良好资源被恶意评价而导致的调度率下降问题,使得系统维持了一个较高的资源任务匹配率,因此吞吐量有所提高;通过审计促使更多的资源按照其实际服务水平得到评价,从而任务可按需求获得更优的资源,调度失败率下降,可信资源的调度率提高;8个周期的审计发现并修正了部分非正常评价用户的评价,通过审计的可靠性控制是有效的。

表格(有表名)

表2 Е联=0.4时的实验结果(审计周期为30min)

算法吞吐量调度なО苈/%可信资源さ鞫嚷/%审计ば拚率/%

TMA123B9469.0161.42-

有审计TMA138B6745.8267.571.75

表2显示,由于偏差评价阈值Е联У脑龃,一定程度上放宽了对用户评价的要求,与Е联=0.2相比,审计修正率下降到1.75%;吞吐量和可信资源调度率也下有所下降,而调度失败率从3.87%提高到5.82%。由此看出,在实验中存在30%恶意评价的情况下,Е联=0.4的取值不是合适的,仍然放任了恶意评价的存在,影响系统效率的提高。从理论上分析,Е联是一个经验值,其大小应当与系统中存在的恶意评价用户所占的比例相当。

从图3看出,没有审计的信任调度中,由于存在大量的恶意评价,全部资源的信任评价均值随时间呈下降趋势。尽管恶意评价也会给出高的评价值,但该高值在正常评价的调度中中由于资源的服务质量与事实不符,导致在正常评价中给予较低的值,造成总体趋势下降。而带有审计并通过其修正评价模型的,信任则随时间呈现上升趋势。可见,在尽可能去除了恶意评价后,总体评价呈稳定状态。其原因在于,减少了随意评价的干扰后,使得资源按照实际的服务水平与任务需求进行匹配,降低了因信任度夸大导致调度失败和信任度减小导致的资源空闲。

从实验结果和分析看出,对用户信任评价的审计是有效的,它发现了评价中存在的问题,而审计结果驱动信任评价模型则抑制了随意评价,将其影响适当消除,提高并保证了信任的有序以及公正,由此维护了评价模型的稳定性,进而促进了系统的稳定性和有效性。审计有较大的计算复杂度,实验中采用独立节点进行数据采集和审计,因此未涉及对系统的负载影响评价。按照实际运行中的网格环境,审计可在系统空闲时间进行时,对系统的正常调度不造成过分负担。

图片

图3 信任均值随时间变化趋势

5 结语

文文利用网格环境下各类数据的支撑,对用户进行的信任评价进行审计,从两个方面取得了进展:1)将审计的概念引入信任模型;2)将审计结果作用于信任模型的修正。实验表明,所提出的方法在存在大量随意评价的情况下,保持了信任模型的稳定性,进而维护了整个系统的稳定性,是有效的。

参考文献:[1] YU BIN, SINGH M P. Detecting deception in reputation management[C]// Proceedings of the 2nd International Joint Conference on Autonomous Agents and Multiagent Systems.New York:ACM,2003:14-18.

[2] SEHULTER A, REIS J A, KOCH F. A gridbased intrusion detection system[C]// Proceedings of the International Conference on Networking, International Conference on Systems and International Conference on Mobile Communications and Learning Technologies. Washington, DC: IEEE Computer Society, 2006:187-187.

[3] BAHARINK N B, DINN M K, JAMALUDINM Z, et al. Third party security audit procedure for network environment[C]// Proceedings of 4th National Conference on Telecommunication Technology. New York:IEEE, 2003:26-30.

[4] TIERNEY B, AYDT R, GUNTER D,et al. A grid monitoring architecture[EB/OL].[2009-03-20]. wwwdidc.lbl.gov/GGFPERF/GMAWG/papers/GWDGP161.pdf.

[5] NI GUANGBAO, MA JIE, LI BO.GridView: A dynamic and visual grid monitoring system[C]// Proceedings of the 7th International Conference on High Performance Computing and Grid in Asia Pacific Region. New York:IEEE, 2004:89-92.

[6] VARALAKSHMI P, SELVI S T, KANCHANA P,et al. A robust trust model with ratedgenuine feedbacks in a grid environment[C]// Proceedings of International Conference on Computational Intelligence and Multimedia Applications. Washington, DC: IEEE Computer Society, 2007:412-419.

[7] Global Grid Forum. RUR:Resource Usage Record Working Group[EB/OL].[2009-02-20]. /3_SRM/

[8] AZZEDIN F, MAHESWARAN M. Integrating trust into grid resource management systems[C]// Proceedings of International Conference on Parallel Processing. Washington, DC: IEEE Computer Society, 2002:47-54.

[9] BUYYA R, ABRAMSON D, GIDDY J. Nimrod/G: An architecture for a resource management and scheduling system in a global computational grid[C]// Proceedings of the 4th International Conference on High Performance Computing in the AsiaPacific Region. Washington, DC: IEEE Computer Society, 2000: 283-289.