一種云計(jì)算系統(tǒng)中云應(yīng)用攻擊行為處理方法����、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種云計(jì)算系統(tǒng)中云應(yīng)用攻擊行為的處理裝置���,包括:安全分析器�����,安全處理器和策略管理器��,其中:策略管理器用于存儲(chǔ)安全判斷規(guī)則和惡意應(yīng)用處理規(guī)則��;安全分析器用于接收安全檢測(cè)器發(fā)送的應(yīng)用行為數(shù)據(jù)�,根據(jù)該應(yīng)用行為數(shù)據(jù)以及安全判斷規(guī)則,確定該云主機(jī)上運(yùn)行的云應(yīng)用是否存在攻擊行為�,并在確定該云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為時(shí),將該應(yīng)用行為數(shù)據(jù)發(fā)送給安全處理器���;安全處理器��,用于根據(jù)惡意應(yīng)用處理規(guī)則����,調(diào)用云計(jì)算系統(tǒng)中的云控制器提供的接口對(duì)存在攻擊行為的云應(yīng)用進(jìn)行處理�����。本發(fā)明方案基于云計(jì)算應(yīng)用級(jí)別進(jìn)行安全防護(hù)����,能防止同一個(gè)主機(jī)內(nèi)部不同應(yīng)用之間的相互攻擊,同時(shí)減少對(duì)正常應(yīng)用的影響�。
【專利說明】一種云計(jì)算系統(tǒng)中云應(yīng)用攻擊行為處理方法、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)【技術(shù)領(lǐng)域】��,尤其涉及一種云計(jì)算系統(tǒng)中云應(yīng)用攻擊行為的處理方法��、裝置及系統(tǒng)�����。
【背景技術(shù)】
[0002]根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(Nat1nal Institute of Standards andTechnology,NIST)的定義����,云計(jì)算有三大服務(wù)模式,分別是SaaS(software as a service,軟件即服務(wù))、PaaS (platform as a service 平臺(tái)即服務(wù))和 IaaS (infrastructure as aservice,基礎(chǔ)設(shè)施即服務(wù))����。其中PaaS是把服務(wù)器平臺(tái)作為一種服務(wù)提供的商業(yè)模式。PaaS主要為云應(yīng)用提供CPU���、內(nèi)存等硬件資源以及操作系統(tǒng)���、程序依賴庫(kù)等軟件資源,云應(yīng)用的開發(fā)者不必關(guān)心應(yīng)用運(yùn)行的軟硬件環(huán)境�����,集中精力在開發(fā)應(yīng)用程序本身��。PaaS的出現(xiàn)��,加快了云應(yīng)用的開發(fā)和部署�����,因此在互聯(lián)網(wǎng)時(shí)代���,越來(lái)越多的云應(yīng)用將會(huì)被部署到云計(jì)算系統(tǒng)中����。
[0003]在云計(jì)算系統(tǒng)(可簡(jiǎn)稱云系統(tǒng))中���,為了增加系統(tǒng)硬件資源的利用率���,通常會(huì)將多個(gè)云應(yīng)用運(yùn)行在同一個(gè)云主機(jī)中(硬件主機(jī)或虛擬主機(jī)����,不同的云計(jì)算系統(tǒng)有不同的實(shí)現(xiàn))�,云計(jì)算系統(tǒng)為云應(yīng)用提供必要的系統(tǒng)資源隔離,保證運(yùn)行在同一云主機(jī)中運(yùn)行的云應(yīng)用之間不會(huì)相互干擾����。同時(shí)云計(jì)算系統(tǒng)還提供云主機(jī)內(nèi)的虛擬網(wǎng)絡(luò)以供云應(yīng)用之間的通?目。
[0004]在另一方面的網(wǎng)絡(luò)安全領(lǐng)域���,黑客們向目標(biāo)機(jī)器發(fā)起攻擊之前�,為了隱藏自己的身份��,通常會(huì)在網(wǎng)絡(luò)上尋找肉雞(可被控制的傀儡機(jī))�,然后通過肉雞再來(lái)發(fā)起攻擊。這樣就算被攻擊者檢查到攻擊��,也只能查到肉雞的地址�,查不到黑客們的真實(shí)地址。在云計(jì)算系統(tǒng)興起之后����,網(wǎng)絡(luò)黑客便可以不用再尋找肉雞,而是直接將他們的攻擊程序運(yùn)行在云計(jì)算系統(tǒng)上�,并且能夠運(yùn)行多份攻擊程序的實(shí)例�,形成一個(gè)大規(guī)模的攻擊系統(tǒng)��。在云計(jì)算系統(tǒng)中�����,黑客不僅能利用原有的攻擊程序向目標(biāo)進(jìn)行攻擊�����,并且可以利用云計(jì)算系統(tǒng)內(nèi)部運(yùn)行有大量的云應(yīng)用程序這個(gè)特點(diǎn)�,通過攻擊程序攻擊云計(jì)算系統(tǒng)內(nèi)部不同云主機(jī)上的應(yīng)用程序�����,甚至是同一云主機(jī)內(nèi)部的其他應(yīng)用程序�����。
[0005]現(xiàn)有技術(shù)中一般是通過流量檢測(cè)與流量清洗方法解決云計(jì)算系統(tǒng)受到攻擊的問題�����。如圖1所示����,在云計(jì)算系統(tǒng)內(nèi)部新增流量檢測(cè)裝置�,通過交換機(jī)與云計(jì)算系統(tǒng)的云主機(jī)連接�,用以檢測(cè)云計(jì)算系統(tǒng)內(nèi)注入云主機(jī)的數(shù)據(jù)流,包括云計(jì)算系統(tǒng)外部的用戶訪問云應(yīng)用的數(shù)據(jù)流�����,以及云計(jì)算系統(tǒng)內(nèi)部各云主機(jī)之間相互交互的數(shù)據(jù)流����。通過流量檢測(cè)裝置統(tǒng)計(jì)出預(yù)定時(shí)長(zhǎng)內(nèi)注入某一云主機(jī)的數(shù)據(jù)流流量大小,當(dāng)統(tǒng)計(jì)得到的流量數(shù)值超過了預(yù)定的閾值時(shí)�����,就認(rèn)為注入該云主機(jī)的流量發(fā)生異常�����。檢測(cè)到流量發(fā)生異常后�,流量檢測(cè)裝置會(huì)通知流量清洗裝置啟動(dòng),流量清洗裝置將對(duì)注入該云主機(jī)的數(shù)據(jù)流量進(jìn)行清洗����,過濾掉攻擊報(bào)文�����,再將清洗后的數(shù)據(jù)流發(fā)送給該云主機(jī)����。
[0006]現(xiàn)有技術(shù)的方案只能防止云計(jì)算系統(tǒng)內(nèi)部云主機(jī)之間的攻擊�����,或者外部向云計(jì)算系統(tǒng)內(nèi)部云主機(jī)的攻擊���,但是無(wú)法防止同一個(gè)云主機(jī)內(nèi)部不同云應(yīng)用之間的相互攻擊,或者云主機(jī)內(nèi)部對(duì)云主機(jī)本身進(jìn)行的攻擊�。另外,現(xiàn)有技術(shù)方案以云主機(jī)為單位進(jìn)行流量監(jiān)控和清洗,會(huì)影響到目標(biāo)云主機(jī)中的所有云應(yīng)用���。
【發(fā)明內(nèi)容】
[0007]本發(fā)明實(shí)施例提供一種云計(jì)算系統(tǒng)中云應(yīng)用攻擊行為的處理方法���、裝置及系統(tǒng),用于對(duì)云計(jì)算系統(tǒng)進(jìn)行應(yīng)用級(jí)別的安全防護(hù)����,并且盡可能減少對(duì)云計(jì)算機(jī)系統(tǒng)內(nèi)正常的云應(yīng)用的影響�����。
[0008]第一方面�����,本發(fā)明實(shí)施例提供了一種云計(jì)算系統(tǒng)中云應(yīng)用攻擊行為的處理裝置���,包括:
[0009]安全分析器,安全處理器和策略管理器���,其中:
[0010]策略管理器用于存儲(chǔ)安全判斷規(guī)則和惡意應(yīng)用處理規(guī)則�;
[0011]安全分析器用于接收云計(jì)算系統(tǒng)中的多個(gè)云主機(jī)中的至少一個(gè)云主機(jī)上的安全檢測(cè)器發(fā)送的應(yīng)用行為數(shù)據(jù)����,根據(jù)該應(yīng)用行為數(shù)據(jù)以及策略管理器中存儲(chǔ)的安全判斷規(guī)貝1J,確定該云主機(jī)上運(yùn)行的云應(yīng)用是否存在攻擊行為��,并在確定該云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為時(shí)�,將該應(yīng)用行為數(shù)據(jù)發(fā)送給安全處理器;其中���,該應(yīng)用行為數(shù)據(jù)是該云主機(jī)上的安全檢測(cè)器根據(jù)行為檢測(cè)規(guī)則對(duì)該云應(yīng)用進(jìn)行檢測(cè)后得到的���,且該應(yīng)用行為數(shù)據(jù)用于表示該云應(yīng)用的運(yùn)行狀態(tài)�����;
[0012]安全處理器����,用于根據(jù)策略管理器中存儲(chǔ)的惡意應(yīng)用處理規(guī)則���,調(diào)用云計(jì)算系統(tǒng)中的云控制器提供的接口對(duì)存在攻擊行為的云應(yīng)用進(jìn)行處理���,該云控制器與云計(jì)算系統(tǒng)中的云主機(jī)通信連接或集成于一個(gè)云主機(jī)上����,用于控制云計(jì)算系統(tǒng)中的云主機(jī)上運(yùn)行的云應(yīng)用。
[0013]在第一方面的第一種可能的實(shí)現(xiàn)方式中���,該裝置還包括:信息通知器�����;策略管理器中還用于存儲(chǔ)信息通知規(guī)則��;
[0014]安全分析器還用于����,當(dāng)確定云應(yīng)用存在攻擊行為時(shí),獲取該云應(yīng)用的初始信息并發(fā)送給安全處理器�,其中,初始信息用于唯一標(biāo)識(shí)云應(yīng)用�;
[0015]安全處理器還用于,根據(jù)云應(yīng)用的初始信息查詢?cè)撛茟?yīng)用所屬的用戶信息��,將該用戶信息和該云應(yīng)用的應(yīng)用行為數(shù)據(jù)發(fā)送給信息通知器�;
[0016]信息通知器用于,將接收到的應(yīng)用行為數(shù)據(jù)和用戶信息存儲(chǔ)并按照策略管理器中存儲(chǔ)的信息通知規(guī)則進(jìn)行攻擊信息通知處理�����。
[0017]結(jié)合第一方面����,或者第一方面第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中����,
[0018]策略管理器用于,將安全判斷規(guī)則轉(zhuǎn)化為行為檢測(cè)規(guī)則,并將該行為檢測(cè)規(guī)則下發(fā)給各個(gè)云主機(jī)的安全檢測(cè)器����。
[0019]結(jié)合第一方面,或者第一方面第一至第二種任意一種可能的實(shí)現(xiàn)方式��,在第三種可能的實(shí)現(xiàn)方式中����,其中,所述惡意應(yīng)用為存在攻擊行為的云應(yīng)用�;所述安全處理器,具體用于根據(jù)所述云應(yīng)用的攻擊行為的類型�,以及所述惡意應(yīng)用處理規(guī)則所指示的對(duì)該類型應(yīng)用的處理方式,對(duì)所述云應(yīng)用進(jìn)行相應(yīng)處理����;或者所述安全處理器,具體用于根據(jù)所述云應(yīng)用的攻擊行為的危險(xiǎn)程度�,以及所述惡意應(yīng)用處理規(guī)則所指示的對(duì)該危險(xiǎn)程度的應(yīng)用的處理方式�����,對(duì)所述云應(yīng)用進(jìn)行相應(yīng)處理���。
[0020]結(jié)合第一方面第一至第三種任意一種可能的實(shí)現(xiàn)方式��,在第四種可能的實(shí)現(xiàn)方式中�,攻擊信息通知處理具體包括以下之一或其任意組合:產(chǎn)生告警信息、顯示存在攻擊行為的云應(yīng)用以及該云應(yīng)用所屬的用戶信息�、以及將存在攻擊行為的云應(yīng)用所屬的用戶信息通知網(wǎng)警中心。
[0021]結(jié)合第一方面����,或者第一方面第一至第四種任意一種可能的實(shí)現(xiàn)方式,在第五種可能的實(shí)現(xiàn)方式中����,云應(yīng)用攻擊行為處理裝置集成于云控制器。
[0022]結(jié)合第一方面第一到第五種中任意一種可能的實(shí)現(xiàn)方式�����,在第六種可能的實(shí)現(xiàn)方式中��,策略管理器的配置接口包括:配置界面和應(yīng)用程序接口中的至少一種�����。
[0023]結(jié)合第一方面���,或者第一方面第一至第五種任意一種可能的實(shí)現(xiàn)方式��,在第七種可能的實(shí)現(xiàn)方式中���,所述行為檢測(cè)規(guī)則包括:進(jìn)程檢測(cè)規(guī)則或線程檢測(cè)規(guī)則�;應(yīng)用行為數(shù)據(jù)是安全檢測(cè)器根據(jù)該行為檢測(cè)規(guī)則對(duì)所述云應(yīng)用的進(jìn)程或線程進(jìn)行檢測(cè)后得到的����。
[0024]結(jié)合第一方面第七種可能的實(shí)現(xiàn)方式,在第八種可能的實(shí)現(xiàn)方式中����,安全分析器還用于在確定云應(yīng)用不存在攻擊行為時(shí),丟棄該云應(yīng)用的行為數(shù)據(jù)��。
[0025]結(jié)合第一方面上述所有可能的實(shí)現(xiàn)方式���,在第九種可能的實(shí)現(xiàn)方式中�,云主機(jī)可以為物理機(jī)���,或者運(yùn)行于物理機(jī)之上的虛擬機(jī)。
[0026]結(jié)合第一方面上述任意一種可能的實(shí)現(xiàn)方式����,在第十種可能的實(shí)現(xiàn)方式中����,運(yùn)行于云主機(jī)上的應(yīng)用程序?yàn)樵茟?yīng)用����,且一個(gè)云主機(jī)上上運(yùn)行有一個(gè)或多個(gè)云應(yīng)用,其中�����,每一個(gè)云應(yīng)用用于實(shí)現(xiàn)相應(yīng)的業(yè)務(wù)功能���。
[0027]結(jié)合第一方面上述任意一種可能的實(shí)現(xiàn)方式��,在第i^一種可能的實(shí)現(xiàn)方式中����,每一臺(tái)云主機(jī)上部署有一安全檢測(cè)器����,該安全檢測(cè)器用于依據(jù)行為檢測(cè)規(guī)則對(duì)該云主機(jī)上運(yùn)行的云應(yīng)用的行為進(jìn)行采集,并根據(jù)采集結(jié)果生成應(yīng)用行為數(shù)據(jù)上報(bào)給安全分析器���。
[0028]結(jié)合第一方面第i^一種可能的實(shí)現(xiàn)方式����,在第十二種可能的實(shí)現(xiàn)方式中,安全檢測(cè)器將應(yīng)用行為數(shù)據(jù)定期�����,或者基于請(qǐng)求�����,或者根據(jù)預(yù)先配置的上報(bào)策略上報(bào)給安全分析器����。
[0029]結(jié)合第一方面上述任意一種可能的實(shí)現(xiàn)方式,在第十三種可能的實(shí)現(xiàn)方式中����,安全判斷規(guī)則用于定義云應(yīng)用的何種行為為攻擊行為,惡意應(yīng)用處理規(guī)則用于定義對(duì)于存在攻擊行為的云應(yīng)用采取何種處理方式�;行為檢測(cè)規(guī)則用于指示對(duì)云應(yīng)用進(jìn)行檢測(cè)的檢測(cè)指標(biāo)。
[0030]結(jié)合第一方面上述任意一種可能的實(shí)現(xiàn)方式��,在第十四種可能的實(shí)現(xiàn)方式中���,將存在攻擊行為的云應(yīng)用定義為惡意應(yīng)用���。
[0031]結(jié)合第一方面第三種至第十四種可能的實(shí)現(xiàn)方式中的任一種,在第十五種可能的實(shí)現(xiàn)方式中��,安全分析器或安全處理器用于根據(jù)云應(yīng)用的行為數(shù)據(jù)�,查詢預(yù)先配置的應(yīng)用特征庫(kù),以確定應(yīng)用攻擊行為的類型�,其中,應(yīng)用特征庫(kù)用于描述應(yīng)用的行為特征與應(yīng)用的攻擊行為類型的映射關(guān)系�����。
[0032]結(jié)合第一方面第十五種可能的實(shí)現(xiàn)方式�,在第十六種可能的實(shí)現(xiàn)方式中,應(yīng)用特征庫(kù)是云計(jì)算系統(tǒng)中的一個(gè)獨(dú)立的數(shù)據(jù)集或者是安全判斷規(guī)則的子集����;安全分析器在根據(jù)安全判斷規(guī)則判斷出某一云應(yīng)用為惡意應(yīng)用之后,進(jìn)一步根據(jù)安全判斷規(guī)則中包含的應(yīng)用特征庫(kù)�,確定惡意應(yīng)用的攻擊行為類型。
[0033]結(jié)合第一方面第三種至第十六種可能的實(shí)現(xiàn)方式中的任一種�,在第十七種可能的實(shí)現(xiàn)方式中,云應(yīng)用的危險(xiǎn)程度用于表征云應(yīng)用對(duì)云計(jì)算系統(tǒng)的危害程度��;安全分析器或安全處理器用于根據(jù)根據(jù)應(yīng)用攻擊行為的類型,通過查詢映射表的方式確定應(yīng)用的攻擊行為的危險(xiǎn)程度�����,其中�����,該映射表用于表征應(yīng)用攻擊行為的類型與其危險(xiǎn)程度的對(duì)應(yīng)關(guān)系��。
[0034]結(jié)合第一方面的上述任意一種可能的實(shí)現(xiàn)方式�,在第十八種可能的實(shí)現(xiàn)方式中,云應(yīng)用的用戶信息包括但不限于:用戶名�����、用戶郵箱或用戶身份證號(hào)中的一項(xiàng)或多項(xiàng)��。
[0035]結(jié)合第一方面的上述任意一種可能的實(shí)現(xiàn)方式����,在第十九種可能的實(shí)現(xiàn)方式中���,云應(yīng)用的初始信息包括但不限于:進(jìn)程ID和進(jìn)程名稱中一項(xiàng)或多項(xiàng)�����。
[0036]結(jié)合第一方面的上述任意一種可能的實(shí)現(xiàn)方式�����,在第二十種可能的實(shí)現(xiàn)方式中,調(diào)用云控制器對(duì)惡意進(jìn)行處理包括以下之一或其任意組合:關(guān)閉惡意應(yīng)用�����,或者將惡意應(yīng)用遷移到隔離的云主機(jī)����,以及禁止惡意應(yīng)用的用戶賬戶。
[0037]結(jié)合第一方面的上述任意一種可能的實(shí)現(xiàn)方式���,在第二i^一種可能的實(shí)現(xiàn)方式中�����,云應(yīng)用攻擊行為處理裝置為云計(jì)算系統(tǒng)中的一臺(tái)云主機(jī)��,該云主機(jī)為運(yùn)行在物理機(jī)上的虛擬機(jī)��;該物理機(jī)包括硬件層���,運(yùn)行在硬件層之上的虛擬機(jī)監(jiān)視器���,以及運(yùn)行在虛擬機(jī)監(jiān)視器之上的宿主機(jī)和若干虛擬機(jī),其中���,硬件層包括處理器和存儲(chǔ)器����,該云主機(jī)上運(yùn)行有可執(zhí)行程序����,該可執(zhí)行程序包括:策略管理器模塊、安全分析器模塊�����、安全處理器模塊以及信息通知器模塊�,其中策略管理器模塊用于實(shí)現(xiàn)上述任一可能的實(shí)現(xiàn)方式中的策略管理器的功能,安全分析器模塊用于實(shí)現(xiàn)上述任一可能的實(shí)現(xiàn)方式中的安全分析器的功能����,安全處理器模塊用于實(shí)現(xiàn)上述任一可能的實(shí)現(xiàn)方式中的安全處理器的功能,信息通知器模塊用于實(shí)現(xiàn)上述任一可能的實(shí)現(xiàn)方式中的信息通知器的功能。
[0038]結(jié)合第一方面�,或者第一方面第一至第二十種任意一種可能的實(shí)現(xiàn)方式,�,在第二十二種可能的實(shí)現(xiàn)方式中,云應(yīng)用攻擊行為處理裝置包括:至少一個(gè)處理器��,存儲(chǔ)器�,至少一個(gè)通信總線。通信總線用于實(shí)現(xiàn)這些組件之間的連接通信���。存儲(chǔ)器存儲(chǔ)了如下的元素,可執(zhí)行模塊或者數(shù)據(jù)結(jié)構(gòu)��,或者他們的子集����,或者他們的擴(kuò)展集:
[0039]操作系統(tǒng),包含各種系統(tǒng)程序���,用于實(shí)現(xiàn)各種基礎(chǔ)業(yè)務(wù)以及處理基于硬件的任務(wù);
[0040]應(yīng)用程序模塊�,包含各種云應(yīng)用�����,用于實(shí)現(xiàn)各種應(yīng)用業(yè)務(wù)等。
[0041]應(yīng)用程序模塊包括實(shí)現(xiàn)策略管理器����、安全分析器、安全處理器以及信息通知器的功能的模塊����。
[0042]第二方面,本發(fā)明實(shí)施例提供了一種云應(yīng)用攻擊行為處理方法�����,用于包括多個(gè)云主機(jī)的云計(jì)算系統(tǒng)��,該方法包括:
[0043]接收該多個(gè)云主機(jī)中的至少一個(gè)云主機(jī)上報(bào)的應(yīng)用行為數(shù)據(jù)�����,其中����,該應(yīng)用行為數(shù)據(jù)是該云主機(jī)上的安全檢測(cè)器根據(jù)行為檢測(cè)規(guī)則對(duì)所述該云主機(jī)上運(yùn)行的云應(yīng)用進(jìn)行檢測(cè)后得到的,且該應(yīng)用行為數(shù)據(jù)用于表示該云主機(jī)上運(yùn)行的云應(yīng)用的運(yùn)行狀態(tài)��;
[0044]根據(jù)該應(yīng)用行為數(shù)據(jù)以及安全判斷規(guī)則��,判斷該云主機(jī)上運(yùn)行的云應(yīng)用是否存在攻擊行為;
[0045]如果判斷該云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為���,則根據(jù)惡意應(yīng)用處理規(guī)則�����,調(diào)用云計(jì)算系統(tǒng)中的云控制器提供的接口對(duì)存在攻擊行為的云應(yīng)用進(jìn)行處理�,其中該云控制器連接該云主機(jī)或集成于該云主機(jī)���,用于控制該云主機(jī)上運(yùn)行的云應(yīng)用��。
[0046]在第二方面的第一種可能的實(shí)現(xiàn)方式中����,該方法還包括:
[0047]如果判斷該云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為��,則根據(jù)該存在攻擊行為的云應(yīng)用的初始信息查詢?cè)撛茟?yīng)用所屬的用戶信息�,其中����,該初始信息用于標(biāo)識(shí)該云應(yīng)用;
[0048]將存在攻擊行為的云應(yīng)用的應(yīng)用行為數(shù)據(jù)和查詢到的用戶信息存儲(chǔ)���,并按照信息通知規(guī)則進(jìn)行攻擊信息通知處理�。
[0049]結(jié)合第二方面,或者第二方面第一種可能的實(shí)現(xiàn)方式�,在第二種可能的實(shí)現(xiàn)方式中,該方法還包括:
[0050]如果判斷該云主機(jī)上運(yùn)行的云應(yīng)用不存在攻擊行為��,則丟棄接收到的該應(yīng)用行為數(shù)據(jù)�。
[0051]結(jié)合第二方面,或者第二方面第一至第二種任意一種可能的實(shí)現(xiàn)方式�,在第三種可能的實(shí)現(xiàn)方式中,其中����,惡意應(yīng)用為存在攻擊行為的云應(yīng)用;調(diào)用云控制器提供的接口對(duì)存在攻擊行為的云應(yīng)用進(jìn)行相應(yīng)處理�,包括:根據(jù)云應(yīng)用的攻擊行為的類型,以及惡意應(yīng)用處理規(guī)則所指示的對(duì)該類型應(yīng)用的處理方式�����,對(duì)該云應(yīng)用進(jìn)行相應(yīng)處理���;或者根據(jù)該云應(yīng)用的攻擊行為的危險(xiǎn)程度���,以及惡意應(yīng)用處理規(guī)則所指示的對(duì)該危險(xiǎn)程度的應(yīng)用的處理方式�����,對(duì)該云應(yīng)用進(jìn)行相應(yīng)處理���。
[0052]結(jié)合第二方面第一種可能的實(shí)現(xiàn)方式以及第三種可能的實(shí)現(xiàn)方式中的任意一種可能的實(shí)現(xiàn)方式,在第四種可能的實(shí)現(xiàn)方式中�����,按照信息通知規(guī)則進(jìn)行攻擊信息通知處理包括以下之一或其任意組合:
[0053]產(chǎn)生告警信息����、顯示存在攻擊行為的云應(yīng)用以及該云應(yīng)用所屬的用戶信息、以及將存在攻擊行為的云應(yīng)用所屬的用戶信息通知網(wǎng)警中心�����。
[0054]結(jié)合第二方面���,或者第二方面第一至第四種任意一種可能的實(shí)現(xiàn)方式,在第五種可能的實(shí)現(xiàn)方式中�����,該方法還包括:將安全判斷規(guī)則轉(zhuǎn)化為行為檢測(cè)規(guī)則,并將該行為檢測(cè)規(guī)則發(fā)送給安全檢測(cè)器���。
[0055]結(jié)合第二方面��,或者第二方面第一至第五種任意一種可能的實(shí)現(xiàn)方式����,在第六種可能的實(shí)現(xiàn)方式中��,安全判斷規(guī)則����、惡意應(yīng)用處理規(guī)則和信息通知規(guī)則中的一項(xiàng)或多項(xiàng)是通過配置接口配置的;其中所述配置接口包括:配置界面和應(yīng)用程序接口中的至少一種��。
[0056]結(jié)合第二方面上述所有可能的實(shí)現(xiàn)方式�����,在第七種可能的實(shí)現(xiàn)方式中�����,云主機(jī)可以為物理機(jī)�����,或者運(yùn)行于物理機(jī)之上的虛擬機(jī)。
[0057]結(jié)合第二方面上述所有可能的實(shí)現(xiàn)方式��,在第八種可能的實(shí)現(xiàn)方式中����,運(yùn)行于云主機(jī)上的應(yīng)用程序?yàn)樵茟?yīng)用,且一個(gè)云主機(jī)上上運(yùn)行有一個(gè)或多個(gè)云應(yīng)用��,其中����,每一個(gè)云應(yīng)用用于實(shí)現(xiàn)相應(yīng)的業(yè)務(wù)功能。
[0058]結(jié)合第二方面上述所有可能的實(shí)現(xiàn)方式���,在第九種可能的實(shí)現(xiàn)方式中���,每一臺(tái)云主機(jī)上部署有一安全檢測(cè)器,該安全檢測(cè)器用于依據(jù)行為檢測(cè)規(guī)則對(duì)該云主機(jī)上運(yùn)行的云應(yīng)用的行為進(jìn)行采集��,并根據(jù)采集結(jié)果生成應(yīng)用行為數(shù)據(jù)上報(bào)����。
[0059]結(jié)合第二方面第九種可能的實(shí)現(xiàn)方式,在第十種可能的實(shí)現(xiàn)方式中���,安全檢測(cè)器將應(yīng)用行為數(shù)據(jù)定期上報(bào)�����,或者基于請(qǐng)求上報(bào)�,或者根據(jù)預(yù)先配置的上報(bào)策略上報(bào)��。
[0060]結(jié)合第二方面上述所有可能的實(shí)現(xiàn)方式����,在第i^一種可能的實(shí)現(xiàn)方式中,安全判斷規(guī)則用于定義云應(yīng)用的何種行為為攻擊行為����,惡意應(yīng)用處理規(guī)則用于定義對(duì)于存在攻擊行為的云應(yīng)用采取何種處理方式;行為檢測(cè)規(guī)則用于指示對(duì)云應(yīng)用進(jìn)行檢測(cè)的檢測(cè)指標(biāo)����。
[0061]結(jié)合第二方面上述所有可能的實(shí)現(xiàn)方式,在第十二種可能的實(shí)現(xiàn)方式中����,將存在攻擊行為的云應(yīng)用定義為惡意應(yīng)用�。
[0062]結(jié)合第二方面第三種至第十二種可能的實(shí)現(xiàn)方式�����,在第十三種可能的實(shí)現(xiàn)方式中����,根據(jù)云應(yīng)用的行為數(shù)據(jù),查詢預(yù)先配置的應(yīng)用特征庫(kù)���,以確定應(yīng)用攻擊行為的類型��,其中����,應(yīng)用特征庫(kù)用于描述應(yīng)用的行為特征與應(yīng)用的攻擊行為類型的映射關(guān)系�����。
[0063]結(jié)合第二方面第十三種可能的實(shí)現(xiàn)方式�����,在第十四種可能的實(shí)現(xiàn)方式中,應(yīng)用特征庫(kù)是云計(jì)算系統(tǒng)中的一個(gè)獨(dú)立的數(shù)據(jù)集或者是安全判斷規(guī)則的子集��;在根據(jù)安全判斷規(guī)則判斷出某一云應(yīng)用為惡意應(yīng)用之后���,進(jìn)一步根據(jù)安全判斷規(guī)則中包含的應(yīng)用特征庫(kù),確定惡意應(yīng)用的攻擊行為類型�。
[0064]結(jié)合第二方面第三種至第十四種可能的實(shí)現(xiàn)方式中的任一種,在第十五種可能的實(shí)現(xiàn)方式中��,云應(yīng)用的危險(xiǎn)程度用于表征云應(yīng)用對(duì)云計(jì)算系統(tǒng)的危害程度��;根據(jù)根據(jù)應(yīng)用攻擊行為的類型�����,通過查詢映射表的方式確定應(yīng)用的攻擊行為的危險(xiǎn)程度����,其中,該映射表用于表征應(yīng)用攻擊行為的類型與其危險(xiǎn)程度的對(duì)應(yīng)關(guān)系�����。
[0065]結(jié)合第二方面的上述所有可能的實(shí)現(xiàn)方式�����,在第十六種可能的實(shí)現(xiàn)方式中,云應(yīng)用的用戶信息包括但不限于:用戶名���、用戶郵箱或用戶身份證號(hào)中的一項(xiàng)或多項(xiàng)����。
[0066]結(jié)合第二方面的上述所有可能的實(shí)現(xiàn)方式�,在第十七種可能的實(shí)現(xiàn)方式中,云應(yīng)用的初始信息包括但不限于:進(jìn)程ID和進(jìn)程名稱中一項(xiàng)或多項(xiàng)��。
[0067]結(jié)合第二方面的上述所有可能的實(shí)現(xiàn)方式�����,在第十八種可能的實(shí)現(xiàn)方式中����,調(diào)用云控制器對(duì)惡意進(jìn)行處理包括以下之一或其任意組合:關(guān)閉惡意應(yīng)用,或者將惡意應(yīng)用遷移到隔離的云主機(jī)����,以及禁止惡意應(yīng)用的用戶賬戶。
[0068]第三方面����,本發(fā)明實(shí)施例提供了一種云應(yīng)用安全防護(hù)系統(tǒng)���,包括:云應(yīng)用攻擊行為處理裝置、云控制器���,以及多個(gè)安全檢測(cè)器;其中����,多個(gè)安全檢測(cè)器分別部署于多個(gè)云主機(jī)上,且每一云主機(jī)對(duì)應(yīng)于一個(gè)安全檢測(cè)器�����;云控制器與多個(gè)云主機(jī)通信連接�����,用于管理和控制多個(gè)云主機(jī)��,每一云主機(jī)上運(yùn)行有一個(gè)或多個(gè)云應(yīng)用���;云應(yīng)用攻擊行為處理裝置中存儲(chǔ)有安全判斷規(guī)則和惡意應(yīng)用處理規(guī)則�����;
[0069]安全檢測(cè)器用于��,根據(jù)行為檢測(cè)規(guī)則對(duì)一個(gè)或多個(gè)云應(yīng)用進(jìn)行檢測(cè)����,以得到應(yīng)用行為數(shù)據(jù),并將該應(yīng)用行為數(shù)據(jù)上報(bào)給云應(yīng)用攻擊行為處理裝置���;其中��,所述一個(gè)或多個(gè)云應(yīng)用運(yùn)行于該安全檢測(cè)器對(duì)應(yīng)的云主機(jī)上����;
[0070]云應(yīng)用攻擊行為處理裝置用于�����,接收多個(gè)云主機(jī)中的至少一個(gè)云主機(jī)上的安全檢測(cè)器上報(bào)的應(yīng)用行為數(shù)據(jù)�,根據(jù)該應(yīng)用行為數(shù)據(jù)以及安全判斷規(guī)則,判斷該云主機(jī)上運(yùn)行的云應(yīng)用是否存在攻擊行為����;如果判斷該云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為�����,則根據(jù)惡意應(yīng)用處理規(guī)則���,調(diào)用云控制器提供的接口對(duì)存在攻擊行為的云應(yīng)用進(jìn)行相應(yīng)處理。
[0071]在第三方面的第一種可能的實(shí)現(xiàn)方式中���,云應(yīng)用攻擊行為處理裝置還用于�,將安全判斷規(guī)則轉(zhuǎn)化為行為檢測(cè)規(guī)則�,并將該行為檢測(cè)規(guī)則下發(fā)給各個(gè)云主機(jī)的安全檢測(cè)器���。
[0072]結(jié)合第三方面�,或者第三方面第一種可能的實(shí)現(xiàn)方式���,在第二種可能的實(shí)現(xiàn)方式中�����,云應(yīng)用攻擊行為處理裝置還用于��,如果判斷該云主機(jī)上運(yùn)行的云應(yīng)用不存在攻擊行為����,則丟棄接收到的該應(yīng)用行為數(shù)據(jù)。
[0073]結(jié)合第三方面�,或者第三方面第一種可能的實(shí)現(xiàn)方式,在第三種可能的實(shí)現(xiàn)方式中����,云應(yīng)用攻擊行為處理裝置還用于,如果判斷該云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為�����,則顯示存在攻擊行為的云應(yīng)用以及該云應(yīng)用所屬的用戶信息����、或者將存在攻擊行為的云應(yīng)用所屬的用戶信息通知網(wǎng)警中心。
[0074]結(jié)合第三方面���,或者第三方面第一至第三種任意一種可能的實(shí)現(xiàn)方式�����,在第四種可能的實(shí)現(xiàn)方式中��,應(yīng)用攻擊行為處理裝置與云控制器通信連接��,或者云應(yīng)用攻擊行為處理裝置集成于云控制器上��。
[0075]結(jié)合第三方面�����,或者第三方面第一至第四種任意一種可能的實(shí)現(xiàn)方式���,在第五種可能的實(shí)現(xiàn)方式中��,惡意應(yīng)用為存在攻擊行為的云應(yīng)用���;云應(yīng)用攻擊行為處理裝置具體用于:根據(jù)云應(yīng)用的攻擊行為的類型,以及惡意應(yīng)用處理規(guī)則所指示的對(duì)該類型應(yīng)用的處理方式�����,對(duì)云應(yīng)用進(jìn)行相應(yīng)處理����;或者根據(jù)云應(yīng)用的攻擊行為的危險(xiǎn)程度�,以及惡意應(yīng)用處理規(guī)則所指示的對(duì)該危險(xiǎn)程度的應(yīng)用的處理方式,對(duì)該云應(yīng)用進(jìn)行相應(yīng)處理����。結(jié)合第三方面�,或者第三方面第一至第五種任意一種可能的實(shí)現(xiàn)方式��,在第六種可能的實(shí)現(xiàn)方式中�,安全判斷規(guī)則、惡意應(yīng)用處理規(guī)則和信息通知規(guī)則中的一項(xiàng)或多項(xiàng)是通過配置接口配置的�;其中所述配置接口包括:配置界面和應(yīng)用程序接口中的至少一種。
[0076]結(jié)合第三方面����,或者第三方面第一至第六種任意一種可能的實(shí)現(xiàn)方式,在第七種可能的實(shí)現(xiàn)方式中����,行為檢測(cè)規(guī)則包括:進(jìn)程檢測(cè)規(guī)則或線程檢測(cè)規(guī)則;應(yīng)用行為數(shù)據(jù)是安全檢測(cè)器根據(jù)該行為檢測(cè)規(guī)則對(duì)云應(yīng)用的進(jìn)程或線程進(jìn)行檢測(cè)后得到的�。
[0077]結(jié)合第三方面,或者第三方面第一至第七種任意一種可能的實(shí)現(xiàn)方式��,在第八種可能的實(shí)現(xiàn)方式中�����,安全判斷規(guī)則用于定義云應(yīng)用的何種行為為攻擊行為,惡意應(yīng)用處理規(guī)則用于定義對(duì)于存在攻擊行為的云應(yīng)用采取何種處理方式���;行為檢測(cè)規(guī)則用于指示對(duì)云應(yīng)用進(jìn)行檢測(cè)的檢測(cè)指標(biāo)����。
[0078]結(jié)合第三方面�����,或者第三方面第一至第八種任意一種可能的實(shí)現(xiàn)方式���,在第九種可能的實(shí)現(xiàn)方式中����,應(yīng)用攻擊行為處理裝置用于根據(jù)云應(yīng)用的行為數(shù)據(jù)�,查詢預(yù)先配置的應(yīng)用特征庫(kù),以確定應(yīng)用攻擊行為的類型���,其中��,應(yīng)用特征庫(kù)用于描述應(yīng)用的行為特征與應(yīng)用的攻擊行為類型的映射關(guān)系。
[0079]結(jié)合第三方面第九種可能的實(shí)現(xiàn)方式����,在第十種可能的實(shí)現(xiàn)方式中����,應(yīng)用特征庫(kù)是云計(jì)算系統(tǒng)中的一個(gè)獨(dú)立的數(shù)據(jù)集或者是安全判斷規(guī)則的子集���;應(yīng)用攻擊行為處理裝置用于根據(jù)安全判斷規(guī)則判斷出某一云應(yīng)用為惡意應(yīng)用之后�,進(jìn)一步根據(jù)安全判斷規(guī)則中包含的應(yīng)用特征庫(kù)���,確定惡意應(yīng)用的攻擊行為類型���。
[0080]結(jié)合第三方面第五種至第十種可能的實(shí)現(xiàn)方式中的任一種,在第十一種可能的實(shí)現(xiàn)方式中��,云應(yīng)用的危險(xiǎn)程度用于表征云應(yīng)用對(duì)云計(jì)算系統(tǒng)的危害程度�����;應(yīng)用攻擊行為處理裝置用于根據(jù)根據(jù)應(yīng)用攻擊行為的類型�����,通過查詢映射表的方式確定應(yīng)用的攻擊行為的危險(xiǎn)程度�,其中���,該映射表用于表征應(yīng)用攻擊行為的類型與其危險(xiǎn)程度的對(duì)應(yīng)關(guān)系。
[0081]本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理方法�����、裝置及系統(tǒng)中�����,策略管理器下發(fā)行為檢測(cè)規(guī)則給分布于各個(gè)云主機(jī)的安全檢測(cè)器��,安全檢測(cè)器根據(jù)行為檢測(cè)規(guī)則檢測(cè)并上報(bào)應(yīng)用的行為數(shù)據(jù)���,安全分析器通過分析應(yīng)用的行為數(shù)據(jù)��,確定出存在攻擊行為的應(yīng)用�����,并調(diào)用云控制器進(jìn)行相應(yīng)處理�����,相比于現(xiàn)有技術(shù)中的安全方案���,本發(fā)明實(shí)施例基于云計(jì)算應(yīng)用級(jí)別進(jìn)行安全防護(hù),能滿足云計(jì)算系統(tǒng)應(yīng)用部署場(chǎng)景��,防止同一個(gè)主機(jī)內(nèi)部不同應(yīng)用之間的相互攻擊���,或者主機(jī)內(nèi)部對(duì)主機(jī)本身進(jìn)行的攻擊�����,同時(shí)減少對(duì)正常應(yīng)用的影響�。
【專利附圖】
【附圖說明】
[0082]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講��,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù)這些附圖獲得其他的附圖����。
[0083]圖1是現(xiàn)有技術(shù)中云計(jì)算系統(tǒng)攻擊處理方法的原理示意圖;
[0084]圖2是本發(fā)明實(shí)施例提供的云計(jì)算系統(tǒng)架構(gòu)圖��;
[0085]圖3是本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置示意圖��;
[0086]圖4是本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置示意圖����;
[0087]圖5是本發(fā)明實(shí)施例提供的策略管理器結(jié)構(gòu)示意圖;
[0088]圖6是本發(fā)明實(shí)施例提供的安全分析器的工作流程圖�����;
[0089]圖7是本發(fā)明實(shí)施例提供的安全處理器結(jié)構(gòu)示意圖����;
[0090]圖8是本發(fā)明實(shí)施例提供的信息通知器結(jié)構(gòu)示意圖;
[0091]圖9是本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理方法流程圖�;
[0092]圖10是本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理方法流程圖;
[0093]圖11是本發(fā)明實(shí)施例提供的云應(yīng)用安全防護(hù)系統(tǒng)示意圖����;
[0094]圖12是本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置示意圖���;
[0095]圖13是本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置示意圖。
【具體實(shí)施方式】
[0096]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明方案��,下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述���,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例�����,而不是全部的實(shí)施例�����?�;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍�����。
[0097]本發(fā)明實(shí)施例提供的技術(shù)方案可典型地應(yīng)用于云計(jì)算系統(tǒng)(可簡(jiǎn)稱為云系統(tǒng))中����,云計(jì)算系統(tǒng)可看成是在通用硬件上進(jìn)行分布式計(jì)算�、存儲(chǔ)及管理的一種集群系統(tǒng),云計(jì)算系統(tǒng)可提供高吞吐量的數(shù)據(jù)訪問����,能夠應(yīng)用于大規(guī)模數(shù)據(jù)計(jì)算和存儲(chǔ)。圖2描述了云計(jì)算系統(tǒng)的物理架構(gòu)����,云計(jì)算系統(tǒng)通常包括通過交換機(jī)互聯(lián)的多個(gè)物理計(jì)算機(jī)(可簡(jiǎn)稱為物理機(jī)),并且這些物理機(jī)可以通過匯聚交換機(jī)以及核心交換機(jī)與外部網(wǎng)絡(luò)互聯(lián)��;其中����,物理機(jī)具體可以為計(jì)算機(jī)或服務(wù)器等物理實(shí)體���,在某些組網(wǎng)場(chǎng)景下,云計(jì)算系統(tǒng)的一臺(tái)物理機(jī)可以稱為一臺(tái)云主機(jī)�。隨著云計(jì)算技術(shù)的發(fā)展,目前通過虛擬機(jī)軟件����,可以在一臺(tái)物理計(jì)算機(jī)上模擬出一臺(tái)或多臺(tái)虛擬機(jī)�����,而這些虛擬機(jī)可以像真正的計(jì)算機(jī)那樣進(jìn)行工作�,虛擬機(jī)上可安裝操作系統(tǒng)、安裝應(yīng)用程序��、訪問網(wǎng)絡(luò)資源等等����。對(duì)于在虛擬機(jī)中運(yùn)行的應(yīng)用程序而言,就像是在真正的計(jì)算機(jī)中進(jìn)行工作�����。因此,一個(gè)云計(jì)算系統(tǒng)可能包括成千上萬(wàn)個(gè)虛擬機(jī)���,每個(gè)虛擬機(jī)上都可以獨(dú)立運(yùn)行應(yīng)用程序�,因此���,在另一些更為通用的組網(wǎng)場(chǎng)景下��,云計(jì)算系統(tǒng)中的虛擬機(jī)通常被稱為云主機(jī)或者虛擬云主機(jī)����,而云主機(jī)上運(yùn)行的應(yīng)用程序稱為云應(yīng)用���。故本發(fā)明所有實(shí)施例所描述的云主機(jī)���,并不限制為是虛擬機(jī)或物理機(jī),需要視具體的組網(wǎng)場(chǎng)景而定�。另外,云計(jì)算系統(tǒng)還包括有云控制器�,用于對(duì)云計(jì)算系統(tǒng)中的云主機(jī)進(jìn)行控制和管理,云控制器可以是云計(jì)算系統(tǒng)包含的若干虛擬機(jī)中的一個(gè)�,某些情形下,云控制器也可是一臺(tái)獨(dú)立的物理機(jī)���,當(dāng)然�����,云控制器可以有一個(gè)���,也可以有多個(gè)�;云控制器與云計(jì)算系統(tǒng)中的云主機(jī)通信連接或集成于一個(gè)云主機(jī)上��,用于控制云計(jì)算系統(tǒng)中的多個(gè)云主機(jī)上運(yùn)行的云應(yīng)用�。本發(fā)明實(shí)施例的方案具體可以由云計(jì)算系統(tǒng)中的云主機(jī)來(lái)實(shí)施,某些情形下��,也可以有云控制器來(lái)實(shí)施�。如果依據(jù)邏輯架構(gòu)來(lái)劃分���,云計(jì)算系統(tǒng)通常分為基礎(chǔ)設(shè)施與虛擬化層(IaaS層)���、平臺(tái)層(PaaS層)以及應(yīng)用層(SaaS層),本發(fā)明實(shí)施例的方案可以由云計(jì)算系統(tǒng)的平臺(tái)層來(lái)實(shí)施�,具體可以由平臺(tái)層的云控制器或者另一單獨(dú)的功能單元來(lái)實(shí)施。
[0098]本發(fā)明實(shí)施例提供一種云應(yīng)用攻擊行為處理裝置���,該處理裝置可以應(yīng)用于云計(jì)算系統(tǒng)中�,以對(duì)云計(jì)算系統(tǒng)進(jìn)行安全防護(hù),圖3為本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置的示意圖�����,在一個(gè)具體的實(shí)施例中�,該處理裝置可以為云計(jì)算系統(tǒng)的一臺(tái)云主機(jī),或者作為云控制器中的一個(gè)功能單元���,集成于云控制器中��。根據(jù)圖3��,云計(jì)算系統(tǒng)包括云應(yīng)用攻擊行為處理裝置20��、云控制器206以及多臺(tái)云主機(jī)(如圖3中的云主機(jī)10����、11和12);其中�,每一臺(tái)云主機(jī)上運(yùn)行有一個(gè)或多個(gè)云應(yīng)用,且每一臺(tái)云主機(jī)上部署有一安全檢測(cè)器�����,負(fù)責(zé)依據(jù)云應(yīng)用攻擊行為處理裝置20下發(fā)的行為檢測(cè)規(guī)則,對(duì)該云主機(jī)上運(yùn)行的云應(yīng)用的行為進(jìn)行采集�,并將應(yīng)用的應(yīng)用行為數(shù)據(jù)上報(bào)給云應(yīng)用攻擊行為處理裝置20,其中應(yīng)用行為數(shù)據(jù)用于表示云應(yīng)用的運(yùn)行狀態(tài)����,比如云應(yīng)用的TCP鏈接信息、網(wǎng)絡(luò)流量信息�����、系統(tǒng)調(diào)用次數(shù)等等�。可選的���,云應(yīng)用的應(yīng)用行為數(shù)據(jù)上報(bào)可以是定期的或基于請(qǐng)求的����。具體地�����,云應(yīng)用攻擊行為處理裝置20包括:策略管理器201�����、安全分析器202�、安全處理器203。
[0099]策略管理器201主要用于規(guī)則的存儲(chǔ)���、轉(zhuǎn)化以及下發(fā)���。具體地,策略管理器201中可存儲(chǔ)安全判斷規(guī)則和惡意應(yīng)用處理規(guī)則���;安全判斷規(guī)則用于定義云應(yīng)用的何種行為為攻擊行為�,惡意應(yīng)用處理規(guī)則用于定義對(duì)于存在攻擊行為的云應(yīng)用采取何種處理方式����。在一個(gè)優(yōu)選的實(shí)施例中,策略管理器201可以將安全判斷規(guī)則轉(zhuǎn)化為行為檢測(cè)規(guī)則����,行為檢測(cè)規(guī)則用于定義對(duì)云應(yīng)用的何種行為進(jìn)行檢測(cè),即行為檢測(cè)規(guī)則指示了對(duì)云應(yīng)用進(jìn)行檢測(cè)的檢測(cè)指標(biāo)����。通常行為檢測(cè)規(guī)則和安全判斷規(guī)則是密切聯(lián)系的,因此可以互相轉(zhuǎn)化�。舉例來(lái)說����,如果安全判斷規(guī)則為:云應(yīng)用向外請(qǐng)求的TCP端口數(shù)量超過100則判斷云應(yīng)用有端口嗅探的行為��;那么相應(yīng)的行為檢測(cè)規(guī)則就為:采集云應(yīng)用請(qǐng)求不同TCP端口的個(gè)數(shù)�。這樣,云主機(jī)上的安全檢測(cè)器就應(yīng)該檢測(cè)云應(yīng)用請(qǐng)求不同TCP端口的個(gè)數(shù)并將檢測(cè)結(jié)果上報(bào)給安全分析器202���,安全分析器202就可以判斷云應(yīng)用是否有端口嗅探的行為�����。
[0100]安全分析器202主要用于接收云計(jì)算系統(tǒng)中的多個(gè)云主機(jī)中的至少一個(gè)云主機(jī)上的安全檢測(cè)器上報(bào)的應(yīng)用行為數(shù)據(jù)���,然后根據(jù)策略管理器201中存儲(chǔ)的安全判斷規(guī)則,判斷該云主機(jī)上的云應(yīng)用是否存在攻擊行為��。如果確定云應(yīng)用存在攻擊行為,則將存在攻擊行為的云應(yīng)用的初始信息發(fā)送給安全處理器203;其中���,云應(yīng)用的初始信息用于唯一標(biāo)識(shí)該云應(yīng)用�,比如��,在一個(gè)具體的實(shí)施例中�����,初始信息可以為進(jìn)程ID或進(jìn)程名稱�����,或者兩者同時(shí)包含����。可選的��,安全檢測(cè)器上報(bào)云應(yīng)用的應(yīng)用行為數(shù)據(jù)�,可以是定期上報(bào),也可以是基于請(qǐng)求上報(bào)����,也可以是根據(jù)預(yù)先配置的上報(bào)策略來(lái)上報(bào),本發(fā)明實(shí)施例不做特別限定����。
[0101 ] 安全處理器203主要用于在接收到安全分析器202發(fā)送的存在攻擊行為的云應(yīng)用的初始信息后,根據(jù)策略管理器201中存儲(chǔ)的惡意應(yīng)用處理規(guī)則����,調(diào)用云控制器206提供的接口對(duì)該存在攻擊行為的云應(yīng)用(本發(fā)明實(shí)施例中將存在攻擊行為的云應(yīng)用統(tǒng)稱為惡意應(yīng)用)進(jìn)行處理����。在一個(gè)實(shí)施例中�����,安全處理器203可以對(duì)所有惡意應(yīng)用采用統(tǒng)一處理方式���,比如關(guān)閉惡意應(yīng)用���,或者將惡意應(yīng)用遷移到隔離的云主機(jī),或者禁止惡意應(yīng)用的用戶賬戶��?�?蛇x地�,安全處理器203也可以根據(jù)惡意應(yīng)用攻擊行為的類型或者攻擊行為的危險(xiǎn)程度,對(duì)惡意應(yīng)用進(jìn)行不同程度或不同類型的處理����,比如,對(duì)于危險(xiǎn)程度較低的惡意應(yīng)用�����,可以采取遷移或隔離等方式處理�����,對(duì)于高危險(xiǎn)的惡意應(yīng)用�,可以禁止該惡意應(yīng)用的用戶賬戶等等?����?梢岳斫獾氖?����,在這種情形下��,為了判斷惡意應(yīng)用攻擊行為的類型或者危險(xiǎn)程度�,安全分析器202需要將惡意應(yīng)用的應(yīng)用行為數(shù)據(jù)和初始信息一并上報(bào)給安全處理器203,以便安全處理器203根據(jù)該惡意應(yīng)用的行為數(shù)據(jù)來(lái)判斷該惡意應(yīng)用的攻擊行為的類型或危險(xiǎn)程度���;當(dāng)然��,安全分析器202也可以自己根據(jù)應(yīng)用的行為數(shù)據(jù)來(lái)判斷應(yīng)用攻擊行為的類型或者危險(xiǎn)程度����,然后將分析結(jié)果反饋給安全處理器203,本發(fā)明實(shí)施例不做特別限定�。比如,安全分析器202可以根據(jù)云應(yīng)用的行為數(shù)據(jù)以及安全判斷規(guī)則�,區(qū)分出惡意應(yīng)用和正常應(yīng)用,然后安全分析器202或安全處理器可以進(jìn)一步查詢預(yù)先配置的應(yīng)用特征庫(kù)��,以確定惡意應(yīng)用的攻擊行為的類型�����,例如為拒絕服務(wù)攻擊��,木馬攻擊或蠕蟲攻擊等等����。又比如,在安全分析器202根據(jù)云應(yīng)用的行為數(shù)據(jù)以及安全判斷規(guī)則���,確定出存在攻擊行為的惡意應(yīng)用之后�,安全分析器202或安全處理器203可以根據(jù)云應(yīng)用的行為數(shù)據(jù)�����,查詢預(yù)先配置的應(yīng)用特征庫(kù),以確定出應(yīng)用攻擊行為的類型�,然后進(jìn)一步根據(jù)應(yīng)用攻擊行為的類型,確定應(yīng)用攻擊行為的危險(xiǎn)程度�。其中,應(yīng)用特征庫(kù)用于描述應(yīng)用的行為特征與應(yīng)用的攻擊行為類型的映射關(guān)系���;可選地,應(yīng)用特征庫(kù)可以是云計(jì)算系統(tǒng)中的一個(gè)獨(dú)立的數(shù)據(jù)集�,在安全分析器202根據(jù)云應(yīng)用的行為數(shù)據(jù)以及安全判斷規(guī)則,確定出存在攻擊行為的惡意應(yīng)用之后����,可以進(jìn)一步查詢?cè)搼?yīng)用特征庫(kù)以確定該惡意應(yīng)用的攻擊行為的類型;當(dāng)然�����,應(yīng)用特征庫(kù)也可以是安全判斷規(guī)則的子集�����,當(dāng)安全分析器202根據(jù)安全判斷規(guī)則判斷出某一云應(yīng)用為惡意應(yīng)用之后��,可以進(jìn)一步根據(jù)安全判斷規(guī)則中包含的應(yīng)用特征庫(kù)����,確定惡意應(yīng)用的攻擊行為類型��?����?梢岳斫獾氖?��,不同類型的攻擊行為的危險(xiǎn)程度是不同的,需要根據(jù)該攻擊行為對(duì)系統(tǒng)的危害程度來(lái)確定�����,對(duì)云計(jì)算系統(tǒng)造成的危害越大的攻擊行為�����,其危險(xiǎn)程度也越高��。通?��?梢耘渲靡粋€(gè)映射表��,用于表征應(yīng)用攻擊行為的類型與其危險(xiǎn)程度的對(duì)應(yīng)關(guān)系�,這樣根據(jù)根據(jù)應(yīng)用攻擊行為的類型,通過查表的方式就可以確定應(yīng)用的攻擊行為的危險(xiǎn)程度�����?��?蛇x地�,在另一個(gè)可選的實(shí)施例中���,安全處理器203也可以根據(jù)云計(jì)算系統(tǒng)的安全級(jí)別來(lái)對(duì)惡意應(yīng)用進(jìn)行處理,不同的安全級(jí)別對(duì)應(yīng)不同的處理方式�。比如云計(jì)算系統(tǒng)的安全級(jí)別可以設(shè)置為“高”、“中”��、“低”三個(gè)級(jí)別��,當(dāng)云計(jì)算系統(tǒng)的安全級(jí)別為“高”時(shí)�,安全處理器203可以關(guān)閉惡意應(yīng)用,同時(shí)禁止該惡意應(yīng)用的用戶賬戶�����;當(dāng)云計(jì)算系統(tǒng)的安全級(jí)別為“低”時(shí)���,安全處理器203可以將惡意應(yīng)用遷移到特定的云主機(jī)進(jìn)行隔離���。最后需要說明的是����,安全處理器203對(duì)惡意應(yīng)用的三種處理模式���,即上述的統(tǒng)一處理方式���,根據(jù)攻擊行為類型或危險(xiǎn)程度處理的方式,以及根據(jù)云計(jì)算系統(tǒng)安全級(jí)別的處理方式�,可以通過惡意應(yīng)用處理規(guī)則來(lái)指示,不同的處理模式對(duì)應(yīng)有不同的惡意應(yīng)用處理規(guī)則�����,且該惡意應(yīng)用處理規(guī)則可以由管理員通過策略管理器201的配置接口來(lái)配置�����。例如���,惡意應(yīng)用處理規(guī)則可以用于指示對(duì)不同類型惡意應(yīng)用的處理方式���,或者對(duì)不同危險(xiǎn)程度的惡意應(yīng)用的處理方式�����,或者云計(jì)算系統(tǒng)的不同安全級(jí)別下對(duì)惡意應(yīng)用的處理方式��;這樣�����,安全處理器203具體可以根據(jù)應(yīng)用的攻擊行為的類型���,以及惡意應(yīng)用處理規(guī)則所指示的對(duì)該類型應(yīng)用的處理方式,對(duì)惡意應(yīng)用進(jìn)行相應(yīng)處理��;或者安全處理器203具體可以根據(jù)應(yīng)用的攻擊行為的危險(xiǎn)程度����,以及惡意應(yīng)用處理規(guī)則所指示的對(duì)該危險(xiǎn)程度的應(yīng)用的處理方式�,對(duì)惡意應(yīng)用相應(yīng)進(jìn)行處理;或者安全處理器203具體可以根據(jù)云計(jì)算系統(tǒng)當(dāng)前的安全級(jí)別���,以及惡意應(yīng)用處理規(guī)則所指示的該安全級(jí)別下對(duì)惡意應(yīng)用的處理方式����,對(duì)惡意應(yīng)用進(jìn)行相應(yīng)處理。
[0102]本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置��,策略管理器下發(fā)行為檢測(cè)規(guī)則給分布于各個(gè)云主機(jī)的安全檢測(cè)器���,安全檢測(cè)器根據(jù)行為檢測(cè)規(guī)則檢測(cè)并上報(bào)云應(yīng)用的行為數(shù)據(jù)�����,安全分析器通過分析云應(yīng)用的行為數(shù)據(jù)���,確定出存在攻擊行為的云應(yīng)用,并調(diào)用云控制器進(jìn)行相應(yīng)處理�,相比于現(xiàn)有技術(shù)中的安全方案,本發(fā)明實(shí)施例基于云計(jì)算應(yīng)用級(jí)別進(jìn)行安全防護(hù)�����,能滿足云計(jì)算系統(tǒng)應(yīng)用部署場(chǎng)景�,防止同一個(gè)主機(jī)內(nèi)部不同云應(yīng)用之間的相互攻擊,或者主機(jī)內(nèi)部對(duì)主機(jī)本身進(jìn)行的攻擊���,同時(shí)減少對(duì)正常云應(yīng)用的影響�����。進(jìn)一步地�,惡意應(yīng)用處理策略可配置,進(jìn)而可根據(jù)不同安全級(jí)別或不同的攻擊類型對(duì)惡意應(yīng)用進(jìn)行區(qū)別處理���。
[0103]優(yōu)選地�,云應(yīng)用攻擊行為處理裝置20還可以包括:信息通知器204 ;策略管理器201中還存儲(chǔ)有信息通知規(guī)則���;
[0104]安全處理器203還用于��,根據(jù)存在攻擊行為的云應(yīng)用的初始信息查詢?cè)撛茟?yīng)用所屬的用戶信息��,將查詢到的用戶信息和該云應(yīng)用的行為數(shù)據(jù)發(fā)送給信息通知器204 ;其中�����,云應(yīng)用的用戶信息包括但不限于:用戶名、用戶郵箱或用戶身份證號(hào)��。
[0105]信息通知器204用于��,將接收到的應(yīng)用行為數(shù)據(jù)和云應(yīng)用所屬的用戶信息備份�,并按照策略管理器中存儲(chǔ)的信息通知規(guī)則進(jìn)行攻擊信息通知處理����。其中���,將應(yīng)用行為數(shù)據(jù)和云應(yīng)用所屬的用戶信息備份��,具體可以是以表格��、日志或文檔等數(shù)據(jù)格式存儲(chǔ)在可靠存儲(chǔ)介質(zhì)中��,以便管理員查看�。
[0106]具體地��,在一個(gè)實(shí)施例中�,信息通知器204進(jìn)行攻擊信息通知處理包括但不限于下列操作中的一項(xiàng)或多項(xiàng):產(chǎn)生告警信息、顯示存在攻擊行為的云應(yīng)用以及該云應(yīng)用所屬的用戶信息�、以及將存在攻擊行為的云應(yīng)用所屬的用戶信息通知網(wǎng)警中心。
[0107]優(yōu)選地�����,在另一個(gè)實(shí)施例中�,當(dāng)安全分析器接收到安全檢測(cè)器上報(bào)的應(yīng)用行為數(shù)據(jù)后,根據(jù)安全判斷規(guī)則確定云應(yīng)用不存在攻擊行為時(shí),可以丟棄改應(yīng)用行為數(shù)據(jù)���。
[0108]優(yōu)選地�����,在另一個(gè)實(shí)施例中��,策略管理器201包括有配置接口�����,管理員可以通過該配置接口配置安全判斷規(guī)則�����、惡意應(yīng)用處理規(guī)則和信息通知規(guī)則中的一項(xiàng)或多項(xiàng)��。其中�,該配置接口可以為圖形用戶界面(GUI)���、網(wǎng)頁(yè)形式的配置界面或者應(yīng)用程序接口(API)中的一種或多種���。進(jìn)一步地,在配置惡意應(yīng)用處理規(guī)則的時(shí)候�,可以根據(jù)惡意應(yīng)用的攻擊類型或者危險(xiǎn)程度,配置不同的處理規(guī)則��,以進(jìn)行區(qū)別處理�,從而實(shí)現(xiàn)安全防護(hù)的靈活性和可擴(kuò)展性。當(dāng)然�,可以理解的是,這三種規(guī)則中的一種和多種也可以不需要管理員配置��,由云計(jì)算系統(tǒng)按照默認(rèn)規(guī)則自定義�。
[0109]進(jìn)一步地,為了實(shí)現(xiàn)更細(xì)粒度的安全防護(hù)�����,策略管理器下發(fā)給安全檢測(cè)器的行為檢測(cè)規(guī)則可以包括:進(jìn)程檢測(cè)規(guī)則或線程檢測(cè)規(guī)則����。這樣,安全檢測(cè)器可以對(duì)云應(yīng)用進(jìn)行進(jìn)程或線程級(jí)別的檢測(cè)�,安全分析器可以基于安全檢測(cè)器的檢測(cè)結(jié)果,確定出存在攻擊行為的進(jìn)程或線程�����,然后安全處理器可以對(duì)存在攻擊行為的進(jìn)程或線程進(jìn)行處理,進(jìn)而可以實(shí)現(xiàn)進(jìn)程或線程界別的安全防護(hù)���。
[0110]下面結(jié)合具體的實(shí)例�,進(jìn)一步詳細(xì)闡述本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置���,如圖4所示��,該云應(yīng)用攻擊行為處理裝置為一云主機(jī)30���。云主機(jī)30的主要工作流程如下:
[0111]1.通過策略管理器201的配置接口配置用于判斷應(yīng)用攻擊行為的安全判斷規(guī)則,其中配置動(dòng)作可以由管理員或由運(yùn)行于云計(jì)算系統(tǒng)的配置程序完成���。在一個(gè)具體的例子中����,該安全判斷規(guī)則為:require different tcp port>100,即請(qǐng)求的TCP端口數(shù)目超過100個(gè)��,該判斷規(guī)則表示當(dāng)云應(yīng)用向外請(qǐng)求的TCP端口數(shù)量超過100�����,則判定該云應(yīng)用有端口嗅探的行為����;
[0112]2.策略管理器201將安全判斷規(guī)則轉(zhuǎn)換為行為檢測(cè)規(guī)則:檢測(cè)云應(yīng)用請(qǐng)求TCP端口的個(gè)數(shù)�,并將行為檢測(cè)規(guī)則下發(fā)給部署于云主機(jī)10上的安全檢測(cè)器205 �;
[0113]3.安全檢測(cè)器205檢測(cè)App A和App B的行為��,例如�,統(tǒng)計(jì)App A和App B請(qǐng)求TCP端口的數(shù)目,并生成應(yīng)用行為數(shù)據(jù)上報(bào)給安全分析器202 ����;
[0114]4.安全分析器202根據(jù)收集到的應(yīng)用行為數(shù)據(jù)與安全判斷規(guī)則,判斷發(fā)現(xiàn)App B請(qǐng)求的TCP端口數(shù)超出了 100�,因此判斷App B有攻擊行為;
[0115]5.安全分析器202將App B的初始信息��,比如進(jìn)程ID���,或進(jìn)程名稱�,發(fā)送給安全處理器203 ����;
[0116]6.安全處理器203根據(jù)App B的初始信息從云計(jì)算系統(tǒng)應(yīng)用庫(kù)查詢App B的用戶信息;
[0117]7.安全處理器203調(diào)用云控制器關(guān)閉App B�,或?qū)pp B遷移到隔離的云主機(jī)�����,或者禁止App B的用戶賬戶���;
[0118]8.安全分析器將App B的用戶信息通知信息通知器204,信息通知器204上報(bào)網(wǎng)警中心備案���。
[0119]該示例中�,云應(yīng)用攻擊行為處理裝置成功的檢測(cè)并處理了 App B的端口嗅探行為�����,并且沒有對(duì)App A造成嚴(yán)重影響���。進(jìn)一步地���,安全分析器在發(fā)現(xiàn)App B有攻擊行為之后,可以進(jìn)一步根據(jù)App B的攻擊行為的類型或者危險(xiǎn)程度���,對(duì)App采用不同的處理方式�����。其中����,對(duì)惡意應(yīng)用的處理方式可以由惡意應(yīng)用處理規(guī)則來(lái)指示,且該惡意應(yīng)用處理規(guī)則可以由管理員通過策略管理器201的配置接口來(lái)配置����。其中����,該配置接口可以為WEB界面或者API
坐坐寸寸ο
[0120]下面對(duì)云應(yīng)用攻擊行為處理裝置20中的各個(gè)模塊進(jìn)行詳細(xì)介紹:
[0121](I)策略管理器201:策略管理器向管理員或自動(dòng)配置程序提供配置接口,同時(shí)主要負(fù)責(zé)規(guī)則存儲(chǔ)����,規(guī)則轉(zhuǎn)化,規(guī)則下發(fā)等操作��。如圖5所示����,策略管理器201包括有:配置接口 2011,規(guī)則轉(zhuǎn)化單元2012��、規(guī)則下發(fā)單元2013和規(guī)則存儲(chǔ)單元2014 ;其中配置接口 2011包括但不限于:圖形用戶界面(GUI)����、網(wǎng)頁(yè)形式的配置界面或者應(yīng)用程序接口(API)中的一種或多種��。通過配置接口 2011可配置的規(guī)則包括:安全判斷規(guī)則��、惡意應(yīng)用處理規(guī)則���、信息通知規(guī)則。規(guī)則存儲(chǔ)單元2014將管理員通過配置接口 2011配置的各種規(guī)則存儲(chǔ)到對(duì)應(yīng)的規(guī)則庫(kù)中���;規(guī)則轉(zhuǎn)化單元2012可以將管理員配置的安全判斷規(guī)則轉(zhuǎn)化為行為檢測(cè)規(guī)則���,規(guī)則下發(fā)單元2013負(fù)責(zé)將行為檢測(cè)規(guī)則下發(fā)至云主機(jī)上的安全檢測(cè)器。
[0122](2)安全分析器202:如圖6所示��,安全分析器主要負(fù)責(zé)接收安全檢測(cè)器發(fā)送來(lái)的應(yīng)用行為數(shù)據(jù)�����,然后根據(jù)策略管理器中存儲(chǔ)的安全判斷規(guī)則�,判斷云應(yīng)用是否存在攻擊行為。如果判斷存在攻擊行為���,則將該云應(yīng)用的初始信息(包括進(jìn)程ID�、進(jìn)程名稱等)發(fā)送給安全處理器。如果判斷不存在攻擊行為����,則可以丟棄該應(yīng)用行為數(shù)據(jù)。
[0123](3)安全處理器203:安全處理器負(fù)責(zé)用惡意應(yīng)用的處理��。具體地�����,如圖7所示��,安全處理器203主要包括:應(yīng)用信息接收單元2031����,用戶信息查詢單元2032���,應(yīng)用處理單元2033�����,以及信息上報(bào)單元2034�。應(yīng)用信息接收單元2031接收安全分析器上報(bào)的惡意應(yīng)用的初始信息���,用戶信息查詢單元2032從云計(jì)算系統(tǒng)應(yīng)用信息庫(kù)中查詢?cè)茟?yīng)用所屬的用戶信息�����,包括但不限于用戶名����、用戶郵箱、用戶身份證等信息�。然后用戶信息查詢單元2032將用戶信息和惡意應(yīng)用的行為信息通過信息上報(bào)單元2034上報(bào)給信息通知器,使得信息通知器按照策略管理器中存儲(chǔ)的信息通知規(guī)則進(jìn)行攻擊信息通知處理���。應(yīng)用處理單元2033依據(jù)策略管理器中存儲(chǔ)的惡意應(yīng)用處理規(guī)則���,調(diào)用云控制器提供的接口對(duì)惡意應(yīng)用進(jìn)行處理。處理方式包括但不限于:關(guān)閉應(yīng)用�����、將應(yīng)用遷移到隔離的云主機(jī)��、禁止用戶賬戶等���。
[0124](4)信息通知器204:如圖8所示�,信息通知器包括:應(yīng)用信息接收單元2041,信息通知策略判斷單元2042 ;其中�����,應(yīng)用信息接收單元2041負(fù)責(zé)接收應(yīng)用行為信息和云應(yīng)用所屬的用戶信息�����;然后信息通知策略判斷單元2042根據(jù)策略管理器中存儲(chǔ)的信息通知規(guī)則進(jìn)行攻擊信息通知處理��。具體地���,信息通知策略判斷單元2042可以調(diào)用或觸發(fā)告警產(chǎn)生單元2043產(chǎn)生告警信息�,比如生成告警界面���;可選地,信息通知策略判斷單元2042可以調(diào)用或觸發(fā)信息呈現(xiàn)單元2044在WEB頁(yè)面以表格形式呈現(xiàn)惡意應(yīng)用的信息���;可選地�,信息通知策略判斷單元2042也可以調(diào)用或觸發(fā)信息通知單元將惡意應(yīng)用的信息上報(bào)網(wǎng)警中心�。可以理解的是,信息通知器可以包括告警產(chǎn)生單元2043����,信息呈現(xiàn)單元2044和信息通知單元2045中的某一個(gè),也可以同時(shí)包含三者中的任意兩個(gè)���,也可以同時(shí)包含三者��,需要視具體的應(yīng)用場(chǎng)景需求來(lái)確定��,本發(fā)明實(shí)施例不做特別限定����。
[0125]本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置能夠能滿足云計(jì)算系統(tǒng)應(yīng)用部署場(chǎng)景��,基于云計(jì)算應(yīng)用級(jí)別進(jìn)行安全防護(hù)����,防止同一個(gè)主機(jī)內(nèi)部不同云應(yīng)用之間的相互攻擊,或者主機(jī)內(nèi)部對(duì)主機(jī)本身進(jìn)行的攻擊���,同時(shí)減少對(duì)正常云應(yīng)用的影響�����。進(jìn)一步地����,惡意應(yīng)用處理策略可配置,進(jìn)而可根據(jù)不同安全級(jí)別或不同的攻擊類型對(duì)惡意應(yīng)用進(jìn)行區(qū)別處理�����。
[0126]需要說明的是�,本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置,具體可以為云計(jì)算系統(tǒng)中的一臺(tái)云主機(jī)�����,該云主機(jī)可以為運(yùn)行在物理機(jī)上的虛擬機(jī)�。如圖12所示,物理機(jī)1200包括硬件層100�,運(yùn)行在硬件層100之上的VMM (Virtual Machine Monitor,虛擬機(jī)監(jiān)視器)110����,以及運(yùn)行在VMM 110之上的宿主機(jī)Hostl201和若干虛擬機(jī)(VM����,VirtualMachine),其中��,硬件層包括但不限于:1/0設(shè)備�����、CPU和memory�����。本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置具體可以為物理機(jī)1200中的一臺(tái)虛擬機(jī)�,比如VM 1202����,VM 1202上運(yùn)行有一個(gè)或多個(gè)云應(yīng)用,其中�����,每一個(gè)云應(yīng)用都用于實(shí)現(xiàn)相應(yīng)的業(yè)務(wù)功能���,比如數(shù)據(jù)庫(kù)應(yīng)用��、地圖應(yīng)用等等�,這些云應(yīng)用可以由開發(fā)者開發(fā)然后部署到云計(jì)算系統(tǒng)中�����。此外VM1202還運(yùn)行有可以執(zhí)行程序,VM 1202通過運(yùn)行該可執(zhí)行程序�,并在程序運(yùn)行的過程中通過宿主機(jī)Host 1201來(lái)調(diào)用硬件層100的硬件資源,以實(shí)現(xiàn)云應(yīng)用攻擊行為處理裝置的策略管理器�����、安全分析器���、安全處理器以及信息通知器的功能�����,具體而言����,策略管理器�、安全分析器、安全處理器以及信息通知器可以以軟件模塊或函數(shù)的形式被包含在上述可執(zhí)行程序中�����,t匕如該可執(zhí)行程序可以包括:策略管理器模塊���、安全分析器模塊�����、安全處理器模塊以及信息通知器模塊����,VM1202通過調(diào)用硬件層100中的CPU���、Memory等資源�,以運(yùn)行該可執(zhí)行程序�����,從而實(shí)現(xiàn)策略管理器���、安全分析器�、安全處理器以及信息通知器的功能�。在另一種可能的場(chǎng)景下,本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理裝置��,也可以為云計(jì)算系統(tǒng)中的一臺(tái)物理機(jī)���,如圖13所示���,物理機(jī)1300包括:至少I個(gè)處理器1301���,例如CPU,至少I個(gè)網(wǎng)絡(luò)接口 1304�����,存儲(chǔ)器1305�����,至少一個(gè)通信總線1302�。通信總線1302用于實(shí)現(xiàn)這些組件之間的連接通信。物理機(jī)1300可選的包含輸入/輸出設(shè)備1303,包括顯不器,鍵盤或者點(diǎn)擊設(shè)備(例如�,鼠標(biāo),軌跡球(trackball)���,觸感板或者觸感顯示屏)��。存儲(chǔ)器1305可能包含高速RAM存儲(chǔ)器�����,也可能還包括非不穩(wěn)定的存儲(chǔ)器(non-volatile memory),例如至少一個(gè)磁盤存儲(chǔ)器����。存儲(chǔ)器1305可選的可以包含至少一個(gè)位于遠(yuǎn)離前述處理器1301的存儲(chǔ)裝置��。存儲(chǔ)器1305存儲(chǔ)了如下的元素�����,可執(zhí)行模塊或者數(shù)據(jù)結(jié)構(gòu)�,或者他們的子集,或者他們的擴(kuò)展集:
[0127]操作系統(tǒng)13051�,包含各種系統(tǒng)程序,用于實(shí)現(xiàn)各種基礎(chǔ)業(yè)務(wù)以及處理基于硬件的任務(wù)�;
[0128]應(yīng)用程序模塊13052,包含各種云應(yīng)用����,用于實(shí)現(xiàn)各種應(yīng)用業(yè)務(wù)��,比如數(shù)據(jù)庫(kù)應(yīng)用�����、地圖應(yīng)用等等����。
[0129]應(yīng)用程序模塊13052中包括但不限于實(shí)現(xiàn)云應(yīng)用攻擊行為處理裝置的策略管理器����、安全分析器、安全處理器以及信息通知器的功能的模塊�。
[0130]應(yīng)用程序模塊13052中各模塊的具體實(shí)現(xiàn)可參見本發(fā)明裝置及方法實(shí)施例,在此不贅述���。
[0131]相應(yīng)地�����,本發(fā)明實(shí)施例提供的安全檢測(cè)器�����,可以為云計(jì)算系統(tǒng)中的云主機(jī)上的一個(gè)功能模塊�,例如��,若云主機(jī)為虛擬機(jī)時(shí)�,安全檢測(cè)器可以為獨(dú)立運(yùn)行在該虛擬機(jī)上的一個(gè)應(yīng)用程序,該應(yīng)用程序在被該虛擬機(jī)執(zhí)行的過程中,可以檢測(cè)該虛擬機(jī)上運(yùn)行的其它云應(yīng)用的行為�����。若云主機(jī)為物理機(jī)時(shí)��,安全檢測(cè)器可以為存儲(chǔ)于該物理機(jī)的存儲(chǔ)器中的一個(gè)應(yīng)用程序�����,該物理機(jī)的CPU通過讀取并執(zhí)行該應(yīng)用程序��,可以實(shí)現(xiàn)對(duì)該物理機(jī)上運(yùn)行的其它云應(yīng)用的行為檢測(cè)的功能����。
[0132]基于上述裝置實(shí)施例�,本發(fā)明實(shí)施例還提供一種應(yīng)用于云計(jì)算系統(tǒng)中的云應(yīng)用攻擊行為處理方法,其中�,該云計(jì)算系統(tǒng)包含有多臺(tái)云主機(jī),云主機(jī)可以為物理機(jī)�,也可以為虛擬機(jī);云計(jì)算系統(tǒng)的多臺(tái)云主機(jī)中至少有一臺(tái)為云控制器���,云控制器與云計(jì)算系統(tǒng)中的各個(gè)云主機(jī)通信連接或集成于某一云主機(jī)上�����,用于控制云計(jì)算系統(tǒng)中的多個(gè)云主機(jī)上運(yùn)行的云應(yīng)用�����;每一臺(tái)云主機(jī)上運(yùn)行有一個(gè)或多個(gè)云應(yīng)用�����,且每一臺(tái)云主機(jī)上部署有一安全檢測(cè)器�;安全檢測(cè)器負(fù)責(zé)依據(jù)行為檢測(cè)規(guī)則,對(duì)云主機(jī)上運(yùn)行的云應(yīng)用的行為進(jìn)行檢測(cè)��。本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理方法可以由云計(jì)算系統(tǒng)中的一臺(tái)云主機(jī)來(lái)執(zhí)行�����,也可以由云控制器來(lái)執(zhí)行���,如圖9所示�,該方法包括:
[0133]S901:接收云計(jì)算系統(tǒng)中的多個(gè)云主機(jī)中的至少一個(gè)云主機(jī)上報(bào)的應(yīng)用行為數(shù)據(jù)�;該應(yīng)用行為數(shù)據(jù)是該云主機(jī)上部署的安全檢測(cè)器根據(jù)行為檢測(cè)規(guī)則對(duì)該云主機(jī)上運(yùn)行的云應(yīng)用進(jìn)行檢測(cè)后得到的,且該應(yīng)用行為數(shù)據(jù)用于表示該云主機(jī)上運(yùn)行的云應(yīng)用的運(yùn)行狀態(tài)���;
[0134]S902:根據(jù)應(yīng)用行為數(shù)據(jù)以及安全判斷規(guī)則�,判斷該云主機(jī)上運(yùn)行的云應(yīng)用是否存在攻擊行為;
[0135]S903:如果判斷云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為�����,則根據(jù)惡意應(yīng)用處理規(guī)則�����,調(diào)用云計(jì)算系統(tǒng)的云控制器提供的接口對(duì)存在攻擊行為的云應(yīng)用進(jìn)行處理�����。
[0136]優(yōu)選地�,調(diào)用云控制器提供的接口對(duì)將存在攻擊行為的云應(yīng)用進(jìn)行相應(yīng)處理���,包括:調(diào)用云控制器:關(guān)閉所述云應(yīng)用�、將所述云應(yīng)用遷移到隔離的云主機(jī)�、或者禁止所述云應(yīng)用的用戶賬戶。
[0137]優(yōu)選地���,在步驟S903中��,如果判斷云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為��,還可以根據(jù)該存在攻擊行為的云應(yīng)用的初始信息查詢?cè)撛茟?yīng)用所屬的用戶信息��,然后將該存在攻擊行為的云應(yīng)用的應(yīng)用行為數(shù)據(jù)和查詢到的用戶信息備份��,并按照信息通知規(guī)則進(jìn)行攻擊信息通知處理�����;其中����,云應(yīng)用的初始信息用于唯一標(biāo)識(shí)該云應(yīng)用,初始信息可以為進(jìn)程ID或進(jìn)程名稱�,或者兩者同時(shí)包含;云應(yīng)用的用戶信息包括但不限于:用戶名��、用戶郵箱或用戶身份證號(hào)�����。需要說明的是���,將應(yīng)用行為數(shù)據(jù)和云應(yīng)用所屬的用戶信息備份��,具體可以是以表格���、日志或文檔等數(shù)據(jù)格式存儲(chǔ)在可靠存儲(chǔ)介質(zhì)中�,以便管理員查看����。
[0138]進(jìn)一步地,進(jìn)行攻擊信息通知處理包括但不限于以下操作之一或其任意組合:產(chǎn)生告警信息�����、顯示存在攻擊行為的云應(yīng)用以及該云應(yīng)用所屬的用戶信息��、或者將存在攻擊行為的云應(yīng)用所屬的用戶信息通知網(wǎng)警中心��。
[0139]可選地����,在步驟S903中���,如果判斷云主機(jī)上運(yùn)行的云應(yīng)用不存在攻擊行為����,則丟棄接收到的該云應(yīng)用的應(yīng)用行為數(shù)據(jù)。
[0140]需要說明的是��,安全判斷規(guī)則用于定義云應(yīng)用的何種行為為攻擊行為���,惡意應(yīng)用處理規(guī)則用于定義對(duì)于存在攻擊行為的云應(yīng)用采取何種處理方式��,行為檢測(cè)規(guī)則用于定義對(duì)云應(yīng)用的何種行為進(jìn)行檢測(cè)���,即行為檢測(cè)規(guī)則指示了對(duì)云應(yīng)用進(jìn)行檢測(cè)的檢測(cè)指標(biāo)。通常行為檢測(cè)規(guī)則和安全判斷規(guī)則是密切聯(lián)系的���,可以互相轉(zhuǎn)化��,因此在一個(gè)優(yōu)選的實(shí)施例中����,可以將安全判斷規(guī)則轉(zhuǎn)化為行為檢測(cè)規(guī)則�,然后下發(fā)給安全檢測(cè)器。舉例來(lái)說��,如果安全判斷規(guī)則為:云應(yīng)用向外請(qǐng)求的TCP端口數(shù)量超過100則判斷云應(yīng)用有端口嗅探的行為����;那么相應(yīng)的行為檢測(cè)規(guī)則就為:采集云應(yīng)用請(qǐng)求不同TCP端口的個(gè)數(shù)���。這樣,云主機(jī)上的安全檢測(cè)器就應(yīng)該檢測(cè)云應(yīng)用請(qǐng)求不同TCP端口的個(gè)數(shù)并將檢測(cè)結(jié)果�����。
[0141]可選地���,在步驟S903中�����,可以對(duì)所有存在攻擊行為的云應(yīng)用(惡意應(yīng)用)采用統(tǒng)一處理方式�,比如關(guān)閉惡意應(yīng)用�,或者將惡意應(yīng)用遷移到隔離的云主機(jī),或者禁止惡意應(yīng)用的用戶賬戶����。可選地�,也可以根據(jù)惡意應(yīng)用攻擊行為的類型或者攻擊行為的危險(xiǎn)程度�����,對(duì)惡意應(yīng)用進(jìn)行不同程度或不同類型的處理,比如����,對(duì)于危險(xiǎn)程度較低的惡意應(yīng)用,可以采取遷移或隔離等方式處理����,對(duì)于高危險(xiǎn)的惡意應(yīng)用,可以禁止該應(yīng)用的用戶賬戶等等���?��?梢岳斫獾氖牵谶@種情形下���,為了判斷惡意應(yīng)用攻擊行為的類型或者危險(xiǎn)程度�����,需要根據(jù)惡意應(yīng)用的行為數(shù)據(jù)來(lái)判斷該惡意應(yīng)用的攻擊行為的類型或危險(xiǎn)程度���。比如,可以根據(jù)云應(yīng)用的行為數(shù)據(jù)以及安全判斷規(guī)則,區(qū)分出惡意應(yīng)用和正常應(yīng)用���,然后可以進(jìn)一步查詢預(yù)先配置的應(yīng)用特征庫(kù)�,以確定惡意應(yīng)用的攻擊行為的類型���,例如為拒絕服務(wù)攻擊�,木馬攻擊或蠕蟲攻擊等等���。又比如����,在根據(jù)云應(yīng)用的行為數(shù)據(jù)以及安全判斷規(guī)則����,確定出存在攻擊行為的惡意應(yīng)用之后,可以根據(jù)云應(yīng)用的行為數(shù)據(jù)����,查詢預(yù)先配置的應(yīng)用特征庫(kù),以確定出應(yīng)用攻擊行為的類型�,然后進(jìn)一步根據(jù)應(yīng)用攻擊行為的類型,確定應(yīng)用攻擊行為的危險(xiǎn)程度�。其中���,應(yīng)用特征庫(kù)用于描述應(yīng)用的行為特征與應(yīng)用的攻擊行為類型的映射關(guān)系����;可選地,應(yīng)用特征庫(kù)可以是云計(jì)算系統(tǒng)中的一個(gè)獨(dú)立的數(shù)據(jù)集�,在根據(jù)云應(yīng)用的行為數(shù)據(jù)以及安全判斷規(guī)則,確定出存在攻擊行為的惡意應(yīng)用之后�,可以進(jìn)一步查詢?cè)搼?yīng)用特征庫(kù)以確定該惡意應(yīng)用的攻擊行為的類型;當(dāng)然����,應(yīng)用特征庫(kù)也可以是安全判斷規(guī)則的子集,當(dāng)根據(jù)安全判斷規(guī)則判斷出某一云應(yīng)用為惡意應(yīng)用之后�����,可以進(jìn)一步根據(jù)安全判斷規(guī)則中包含的應(yīng)用特征庫(kù)�,確定惡意應(yīng)用的攻擊行為類型?��?梢岳斫獾氖?����,不同類型的攻擊行為的危險(xiǎn)程度是不同的���,需要根據(jù)該攻擊行為對(duì)系統(tǒng)的危害程度來(lái)確定���,對(duì)云計(jì)算系統(tǒng)造成的危害越大的攻擊行為,其危險(xiǎn)程度也越高��。通?���?梢耘渲靡粋€(gè)映射表,用于表征應(yīng)用攻擊行為的類型與其危險(xiǎn)程度的對(duì)應(yīng)關(guān)系��,這樣根據(jù)根據(jù)應(yīng)用攻擊行為的類型����,通過查表的方式就可以確定應(yīng)用的攻擊行為的危險(xiǎn)程度。�。可選地���,也可以根據(jù)云計(jì)算系統(tǒng)的安全級(jí)別來(lái)對(duì)惡意應(yīng)用進(jìn)行處理��,不同的安全級(jí)別對(duì)應(yīng)不同的處理方式����。比如云計(jì)算系統(tǒng)的安全級(jí)別可以設(shè)置為“高”、“中”�、“低”三個(gè)級(jí)別,當(dāng)云計(jì)算系統(tǒng)的安全級(jí)別為“高”時(shí)����,關(guān)閉惡意應(yīng)用����,同時(shí)禁止該惡意應(yīng)用的用戶賬戶;當(dāng)云計(jì)算系統(tǒng)的安全級(jí)別為“低”時(shí)��,將惡意應(yīng)用遷移到特定的云主機(jī)進(jìn)行隔離�����。最后需要說明的是��,對(duì)惡意應(yīng)用的三種處理模式���,即上述的統(tǒng)一處理方式��,根據(jù)攻擊行為類型或危險(xiǎn)程度處理的方式�,以及根據(jù)云計(jì)算系統(tǒng)安全級(jí)別的處理方式,可以通過惡意應(yīng)用處理規(guī)則來(lái)指示����,不同的處理模式對(duì)應(yīng)有不同的惡意應(yīng)用處理規(guī)則。
[0142]優(yōu)選地����,在另一個(gè)實(shí)施例中,管理員可以通過配置接口配置安全判斷規(guī)則�、惡意應(yīng)用處理規(guī)則和信息通知規(guī)則中的一項(xiàng)或多項(xiàng)。其中���,該配置接口可以為WEB界面或者API等等��。進(jìn)一步地�����,在配置惡意應(yīng)用處理規(guī)則的時(shí)候�,可以根據(jù)惡意應(yīng)用的攻擊類型或者危險(xiǎn)程度�,配置不同的處理規(guī)則,以進(jìn)行區(qū)別處理��,從而實(shí)現(xiàn)安全防護(hù)的靈活性和可擴(kuò)展性�。當(dāng)然�,可以理解的是��,這三種規(guī)則中的一種和多種也可以不需要管理員配置�����,由云計(jì)算系統(tǒng)按照默認(rèn)規(guī)則自定義���。
[0143]可選地�,為了實(shí)現(xiàn)更細(xì)粒度的安全防護(hù)����,行為檢測(cè)規(guī)則可以包括:進(jìn)程檢測(cè)規(guī)則或線程檢測(cè)規(guī)則���。這樣�,可以對(duì)應(yīng)用進(jìn)行進(jìn)程或線程級(jí)別的檢測(cè)��,然后基于檢測(cè)結(jié)果確定出存在攻擊行為的進(jìn)程或線程�����,對(duì)存在攻擊行為的進(jìn)程或線程進(jìn)行處理���,進(jìn)而可以實(shí)現(xiàn)進(jìn)程或線程界別的安全防護(hù)����。
[0144]本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理方法能夠能滿足云計(jì)算系統(tǒng)應(yīng)用部署場(chǎng)景,基于云計(jì)算應(yīng)用級(jí)別進(jìn)行安全防護(hù)�,防止同一個(gè)主機(jī)內(nèi)部不同應(yīng)用之間的相互攻擊,或者主機(jī)內(nèi)部對(duì)主機(jī)本身進(jìn)行的攻擊��,同時(shí)減少對(duì)正常應(yīng)用的影響���。進(jìn)一步地�����,惡意應(yīng)用處理策略可配置��,進(jìn)而可根據(jù)不同安全級(jí)別或不同的攻擊類型對(duì)惡意應(yīng)用進(jìn)行區(qū)別處理�����。
[0145]下面結(jié)合具體的實(shí)例��,進(jìn)一步詳細(xì)闡述本發(fā)明實(shí)施例的云應(yīng)用攻擊行為處理方法����,如圖10所示,該云應(yīng)用攻擊行為處理方法包含主要工作流程如下:
[0146]1.通過配置接口配置用于判斷應(yīng)用攻擊行為的安全判斷規(guī)則����,并存儲(chǔ)至策略庫(kù);然后將安全判斷規(guī)則轉(zhuǎn)化為行為檢測(cè)規(guī)則下發(fā)至云主機(jī)的安全檢測(cè)器�����;
[0147]2.安全檢測(cè)器根據(jù)行為檢測(cè)規(guī)則檢測(cè)云應(yīng)用行為并生產(chǎn)應(yīng)用行為數(shù)據(jù)上報(bào)���;
[0148]3.根據(jù)收集到的應(yīng)用行為數(shù)據(jù)與安全判斷規(guī)則�����,確定存在攻擊行為的惡意應(yīng)用;
[0149]4.根據(jù)惡意應(yīng)用的初始信息從云計(jì)算系統(tǒng)應(yīng)用庫(kù)查詢惡意應(yīng)用的用戶信息�;
[0150]5安調(diào)用云控制器關(guān)閉惡意應(yīng)用,或?qū)阂鈶?yīng)用遷移到隔離的云主機(jī)��,或者禁止惡意應(yīng)用的用戶賬戶�����;
[0151]6.將惡意應(yīng)用的用戶信息通知或呈現(xiàn)給管理員或網(wǎng)警中心����。
[0152]該示例中�����,云應(yīng)用攻擊行為處理裝置成功的檢測(cè)并處理了惡意應(yīng)用��,并且沒有對(duì)正常應(yīng)用造成嚴(yán)重影響�。進(jìn)一步地����,在發(fā)現(xiàn)應(yīng)用有攻擊行為之后,可以進(jìn)一步根據(jù)惡意應(yīng)用的攻擊行為的類型或者危險(xiǎn)程度��,對(duì)惡意應(yīng)用采用不同的處理方式�����。其中�����,對(duì)惡意應(yīng)用的處理方式可以由惡意應(yīng)用處理規(guī)則來(lái)指示��,且該惡意應(yīng)用處理規(guī)則可以由管理員通過配置接口來(lái)配置。其中���,該配置接口可以為圖形用戶界面(GUI)�����、網(wǎng)頁(yè)形式的配置界面或者應(yīng)用程序接口(API)等等���。
[0153]本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為處理方法能夠能滿足云計(jì)算系統(tǒng)應(yīng)用部署場(chǎng)景,基于云計(jì)算應(yīng)用級(jí)別進(jìn)行安全防護(hù)����,防止同一個(gè)主機(jī)內(nèi)部不同應(yīng)用之間的相互攻擊,或者主機(jī)內(nèi)部對(duì)主機(jī)本身進(jìn)行的攻擊����,同時(shí)減少對(duì)正常應(yīng)用的影響。進(jìn)一步地����,惡意應(yīng)用處理策略可配置�����,進(jìn)而可根據(jù)不同安全級(jí)別或不同的攻擊類型對(duì)惡意應(yīng)用進(jìn)行區(qū)別處理。
[0154]如圖11所示�,本發(fā)明實(shí)施例還提供了一種云應(yīng)用安全防護(hù)系統(tǒng),應(yīng)用于云計(jì)算系統(tǒng)中��,用于實(shí)現(xiàn)上述云應(yīng)用攻擊行為處理方法����,該云應(yīng)用安全防護(hù)系統(tǒng)包括:云應(yīng)用攻擊行為處理裝置20、云控制器206�����,以及多個(gè)安全檢測(cè)器(以圖11中的205為示例)��;其中��,多個(gè)安全檢測(cè)器分別部署于多個(gè)云主機(jī)(如圖11中的10�����、11��、12和13)上���,且每一云主機(jī)對(duì)應(yīng)于一個(gè)安全檢測(cè)器��;云控制器206與多個(gè)云主機(jī)通信連接,或者集成于上述多個(gè)云主機(jī)中的一個(gè)云主機(jī)�����,用于管理和控制該多個(gè)云主機(jī)�����,每一云主機(jī)上運(yùn)行有一個(gè)或多個(gè)云應(yīng)用�����;云應(yīng)用攻擊行為處理裝置20中存儲(chǔ)有安全判斷規(guī)則和惡意應(yīng)用處理規(guī)則���;
[0155]安全檢測(cè)器205用于��,根據(jù)行為檢測(cè)規(guī)則對(duì)一個(gè)或多個(gè)云應(yīng)用進(jìn)行檢測(cè)����,以得到應(yīng)用行為數(shù)據(jù)��,并將應(yīng)用行為數(shù)據(jù)上報(bào)給云應(yīng)用攻擊行為處理裝置20 ;其中�����,該一個(gè)或多個(gè)云應(yīng)用運(yùn)行于安全檢測(cè)器205對(duì)應(yīng)的云主機(jī)10上����;
[0156]云應(yīng)用攻擊行為處理裝置20用于,接收多個(gè)云主機(jī)的至少一個(gè)云主機(jī)上的安全檢測(cè)器205上報(bào)的應(yīng)用行為數(shù)據(jù)�����,根據(jù)該應(yīng)用行為數(shù)據(jù)以及安全判斷規(guī)則�����,判斷云主機(jī)10上運(yùn)行的云應(yīng)用是否存在攻擊行為�;如果判斷存在攻擊行為,則根據(jù)惡意應(yīng)用處理規(guī)則�����,調(diào)用云控制器206對(duì)將存在攻擊行為的云應(yīng)用進(jìn)行處理���。
[0157]可選地��,上述行為檢測(cè)規(guī)則可以是由云應(yīng)用攻擊行為處理裝置將安全判斷規(guī)則轉(zhuǎn)化后得到并下發(fā)給安全檢測(cè)器的�����。
[0158]可選地���,如果云應(yīng)用攻擊行為處理裝置20判斷云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為�����,還可以根據(jù)該存在攻擊行為的云應(yīng)用的初始信息查詢?cè)撛茟?yīng)用所屬的用戶信息�,然后將該存在攻擊行為的云應(yīng)用的應(yīng)用行為數(shù)據(jù)和查詢到的用戶信息備份�����,并按照信息通知規(guī)則進(jìn)行攻擊信息通知處理�;其中,云應(yīng)用的初始信息用于唯一標(biāo)識(shí)該云應(yīng)用�,初始信息可以為進(jìn)程ID或進(jìn)程,或者兩者同時(shí)包含���;云應(yīng)用的用戶信息包括但不限于:用戶名�、用戶郵箱或用戶身份證號(hào)�。
[0159]需要說明的是,將應(yīng)用行為數(shù)據(jù)和云應(yīng)用所屬的用戶信息備份��,具體可以是以表格����、日志或文檔等數(shù)據(jù)格式存儲(chǔ)在可靠存儲(chǔ)介質(zhì)中�,以便管理員查看����。
[0160]進(jìn)一步地���,進(jìn)行攻擊信息通知處理包括但不限于:產(chǎn)生告警信息�、顯示存在攻擊行為的云應(yīng)用以及該云應(yīng)用所屬的用戶信息���、或者將存在攻擊行為的云應(yīng)用所屬的用戶信息通知網(wǎng)警中心�。
[0161]可選地����,云應(yīng)用攻擊行為處理裝置20與所述云控制器206通信連接,或者云應(yīng)用攻擊行為處理裝置20集成于云控制器206上�。
[0162]優(yōu)選地,在另一個(gè)實(shí)施例中��,云應(yīng)用攻擊行為處理裝置20包括有配置接口��,管理員或配置程序可以通過該配置接口配置安全判斷規(guī)則��、惡意應(yīng)用處理規(guī)則和信息通知規(guī)則中的一項(xiàng)或多項(xiàng)。其中��,該配置接口可以為圖形用戶界面(GUI)��、網(wǎng)頁(yè)形式的配置界面或者應(yīng)用程序接口(API)等等���。進(jìn)一步地����,在配置惡意應(yīng)用處理規(guī)則的時(shí)候�����,可以根據(jù)惡意應(yīng)用的攻擊類型或者危險(xiǎn)程度��,配置不同的處理規(guī)則�����,以進(jìn)行區(qū)別處理�����,從而實(shí)現(xiàn)安全防護(hù)的靈活性和可擴(kuò)展性。當(dāng)然��,可以理解的是���,這三種規(guī)則中的一種和多種也可以不需要管理員配置��,由云計(jì)算系統(tǒng)按照默認(rèn)規(guī)則自定義��。
[0163]進(jìn)一步地,為了實(shí)現(xiàn)更細(xì)粒度的安全防護(hù)��,云應(yīng)用攻擊行為處理裝置20下發(fā)給安全檢測(cè)器的行為檢測(cè)規(guī)則可以包括:進(jìn)程檢測(cè)規(guī)則或線程檢測(cè)規(guī)則���。這樣�,安全檢測(cè)器可以對(duì)云應(yīng)用進(jìn)行進(jìn)程或線程級(jí)別的檢測(cè)���,云應(yīng)用攻擊行為處理裝置20可以基于安全檢測(cè)器的檢測(cè)結(jié)果�����,確定出存在攻擊行為的進(jìn)程或線程�����,然后對(duì)存在攻擊行為的進(jìn)程或線程進(jìn)行處理����,進(jìn)而可以實(shí)現(xiàn)進(jìn)程或線程界別的安全防護(hù)。
[0164]需要說明的是����,本發(fā)明實(shí)施例的云應(yīng)用安全防護(hù)系統(tǒng)所包含的云應(yīng)用攻擊行為處理裝置20可以為前述任一裝置實(shí)施例中所描述的云應(yīng)用攻擊行為處理裝置,其具體實(shí)現(xiàn)細(xì)節(jié)可以參照前述裝置及方法實(shí)施例�����,此處不再贅述��。
[0165]本發(fā)明實(shí)施例提供的云應(yīng)用攻擊行為檢測(cè)系統(tǒng)能夠能滿足云計(jì)算系統(tǒng)應(yīng)用部署場(chǎng)景�,基于云計(jì)算應(yīng)用級(jí)別進(jìn)行安全防護(hù),防止同一個(gè)主機(jī)內(nèi)部不同應(yīng)用之間的相互攻擊�,或者主機(jī)內(nèi)部對(duì)主機(jī)本身進(jìn)行的攻擊,同時(shí)減少對(duì)正常應(yīng)用的影響����。進(jìn)一步地,惡意應(yīng)用處理策略可配置��,進(jìn)而可根據(jù)不同安全級(jí)別或不同的攻擊類型對(duì)惡意應(yīng)用進(jìn)行區(qū)別處理����。
[0166]本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可以通過程序來(lái)指令相關(guān)的硬件(例如處理器)來(lái)完成�,該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中��,存儲(chǔ)介質(zhì)可以包括:R0M����、RAM、磁盤或光盤等���。
[0167]以上對(duì)本發(fā)明實(shí)施例所提供的云應(yīng)用攻擊行為處理方法���、裝置及系統(tǒng)進(jìn)行了詳細(xì)介紹����,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想����;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員��,依據(jù)本發(fā)明的思想�����,在【具體實(shí)施方式】及應(yīng)用范圍上均會(huì)有改變之處,綜上所述���,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制���。
【權(quán)利要求】
1.一種云計(jì)算系統(tǒng)中云應(yīng)用攻擊行為的處理裝置,其特征在于�,包括: 安全分析器,安全處理器和策略管理器���,其中: 所述策略管理器用于存儲(chǔ)安全判斷規(guī)則和惡意應(yīng)用處理規(guī)則�; 所述安全分析器用于接收云計(jì)算系統(tǒng)中的多個(gè)云主機(jī)中的至少一個(gè)云主機(jī)上的安全檢測(cè)器發(fā)送的應(yīng)用行為數(shù)據(jù)����,根據(jù)所述應(yīng)用行為數(shù)據(jù)以及所述策略管理器中存儲(chǔ)的安全判斷規(guī)則,確定所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用是否存在攻擊行為��,并在確定所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為時(shí)���,將所述應(yīng)用行為數(shù)據(jù)發(fā)送給所述安全處理器��;其中���,所述應(yīng)用行為數(shù)據(jù)是所述安全檢測(cè)器根據(jù)行為檢測(cè)規(guī)則對(duì)所述云應(yīng)用進(jìn)行檢測(cè)后得到的���,且所述應(yīng)用行為數(shù)據(jù)用于表示所述云應(yīng)用的運(yùn)行狀態(tài); 所述安全處理器�,用于根據(jù)所述策略管理器中存儲(chǔ)的惡意應(yīng)用處理規(guī)則,調(diào)用所述云計(jì)算系統(tǒng)中的云控制器提供的接口對(duì)所述云應(yīng)用進(jìn)行處理�,所述云控制器與所述至少一個(gè)云主機(jī)通信連接或集成于所述至少一個(gè)云主機(jī),用于控制所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用���。
2.根據(jù)權(quán)利要求1所述的裝置��,其特征在于���,還包括:信息通知器;所述策略管理器中還存儲(chǔ)有信息通知規(guī)則�����; 所述安全分析器還用于�,當(dāng)確定所述云應(yīng)用存在攻擊行為時(shí)��,獲取所述云應(yīng)用的初始信息并發(fā)送給所述安全處理器�,其中�����,所述初始信息用于標(biāo)識(shí)所述云應(yīng)用��; 所述安全處理器還用于���,根據(jù)所述云應(yīng)用的初始信息查詢所述云應(yīng)用所屬的用戶信息,將所述用戶信息和所述應(yīng)用行為數(shù)據(jù)發(fā)送給所述信息通知器���; 所述信息通知器用于�����,將接收到的應(yīng)用行為數(shù)據(jù)和云應(yīng)用所屬的用戶信息存儲(chǔ)并按照所述策略管理器中存儲(chǔ)的信息通知規(guī)則進(jìn)行攻擊信息通知處理�����。
3.根據(jù)權(quán)利要求1或2所述的裝置����,其特征在于�, 所述策略管理器用于,將所述安全判斷規(guī)則轉(zhuǎn)化為所述行為檢測(cè)規(guī)則�����,并將所述行為檢測(cè)規(guī)則下發(fā)給所述至少一個(gè)云主機(jī)的安全檢測(cè)器。
4.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的裝置���,其特征在于�����,所述惡意應(yīng)用處理規(guī)則用于指示對(duì)不同類型惡意應(yīng)用的處理方式�,或者對(duì)不同危險(xiǎn)程度的惡意應(yīng)用的處理方式��,其中�����,所述惡意應(yīng)用為存在攻擊行為的云應(yīng)用���;所述安全處理器�����,具體用于根據(jù)所述云應(yīng)用的攻擊行為的類型,以及所述惡意應(yīng)用處理規(guī)則所指示的對(duì)該類型應(yīng)用的處理方式�,對(duì)所述云應(yīng)用進(jìn)行相應(yīng)處理�;或者所述安全處理器��,具體用于根據(jù)所述云應(yīng)用的攻擊行為的危險(xiǎn)程度�����,以及所述惡意應(yīng)用處理規(guī)則所指示的對(duì)該危險(xiǎn)程度的應(yīng)用的處理方式��,對(duì)所述云應(yīng)用進(jìn)行相應(yīng)處理��。
5.根據(jù)權(quán)利要求2至4任一項(xiàng)所述的裝置��,其特征在于�����,所述攻擊信息通知處理具體包括以下之一或其任意組合:產(chǎn)生告警信息��、顯示存在攻擊行為的云應(yīng)用以及該云應(yīng)用所屬的用戶信息�����、以及將存在攻擊行為的云應(yīng)用所屬的用戶信息通知網(wǎng)警中心�����。
6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的裝置,其特征在于�,所述云應(yīng)用攻擊行為處理裝置集成于所述云控制器。
7.根據(jù)權(quán)利要求2至6任一項(xiàng)所述的裝置�����,其特征在于���,所述安全判斷規(guī)則����、惡意應(yīng)用處理規(guī)則和信息通知規(guī)則中的一項(xiàng)或多項(xiàng)是通過所述策略管理器的配置接口配置的���,其中所述策略管理器的配置接口包括:配置界面和應(yīng)用程序接口仙I中的至少一種���。
8.根據(jù)權(quán)利要求1至6任一項(xiàng)所述的裝置,其特征在于�����,所述行為檢測(cè)規(guī)則包括:進(jìn)程檢測(cè)規(guī)則或線程檢測(cè)規(guī)則�; 所述應(yīng)用行為數(shù)據(jù)是所述安全檢測(cè)器根據(jù)所述行為檢測(cè)規(guī)則對(duì)所述云應(yīng)用的進(jìn)程或線程進(jìn)行檢測(cè)后得到的。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于�,所述安全分析器還用于在確定所述云應(yīng)用不存在攻擊行為時(shí)�,丟棄所述應(yīng)用行為數(shù)據(jù)。
10.一種云應(yīng)用攻擊行為處理方法�,用于包括多個(gè)云主機(jī)的云計(jì)算系統(tǒng),其特征在于�,包括: 接收所述多個(gè)云主機(jī)中的至少一個(gè)云主機(jī)上報(bào)的應(yīng)用行為數(shù)據(jù),其中�����,所述應(yīng)用行為數(shù)據(jù)是所述至少一個(gè)云主機(jī)上的安全檢測(cè)器根據(jù)行為檢測(cè)規(guī)則對(duì)所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用進(jìn)行檢測(cè)后得到的�����,且所述應(yīng)用行為數(shù)據(jù)用于表示所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用的運(yùn)行狀態(tài)�; 根據(jù)所述應(yīng)用行為數(shù)據(jù)以及安全判斷規(guī)則,判斷所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用是否存在攻擊行為��; 如果判斷所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為���,則根據(jù)惡意應(yīng)用處理規(guī)貝0�����,調(diào)用所述云計(jì)算系統(tǒng)中的云控制器提供的接口對(duì)存在攻擊行為的云應(yīng)用進(jìn)行處理��,其中所述云控制器與所述至少一個(gè)云主機(jī)通信連接或集成于所述至少一個(gè)云主機(jī)���,用于控制所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用��。
11.根據(jù)權(quán)利要求10所述的方法�����,其特征在于�,還包括: 如果判斷所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為���,則根據(jù)所述存在攻擊行為的云應(yīng)用的初始信息查詢所述云應(yīng)用所屬的用戶信息�,其中����,所述初始信息用于標(biāo)識(shí)所述云應(yīng)用; 將所述存在攻擊行為的云應(yīng)用的應(yīng)用行為數(shù)據(jù)和查詢到的用戶信息存儲(chǔ)�,并按照信息通知規(guī)則進(jìn)行攻擊信息通知處理。
12.根據(jù)權(quán)利要求10或11所述的方法����,其特征在于�,還包括: 如果判斷所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用不存在攻擊行為�,則丟棄接收到的所述應(yīng)用行為數(shù)據(jù)。
13.根據(jù)權(quán)利要求10至12任一項(xiàng)所述的方法��,其特征在于���,所述惡意應(yīng)用處理規(guī)則用于指示對(duì)不同類型惡意應(yīng)用的處理方式,或者對(duì)不同危險(xiǎn)程度的惡意應(yīng)用的處理方式��,其中�����,所述惡意應(yīng)用為存在攻擊行為的云應(yīng)用�����;所述調(diào)用云控制器提供的接口對(duì)將存在攻擊行為的云應(yīng)用進(jìn)行相應(yīng)處理����,包括:根據(jù)所述云應(yīng)用的攻擊行為的類型,以及所述惡意應(yīng)用處理規(guī)則所指示的對(duì)該類型應(yīng)用的處理方式���,對(duì)所述云應(yīng)用進(jìn)行相應(yīng)處理�;或者根據(jù)所述云應(yīng)用的攻擊行為的危險(xiǎn)程度,以及所述惡意應(yīng)用處理規(guī)則所指示的對(duì)該危險(xiǎn)程度的應(yīng)用的處理方式�����,對(duì)所述云應(yīng)用進(jìn)行相應(yīng)處理����。
14.根據(jù)權(quán)利要求11至13任一項(xiàng)所述的方法,其特征在于���,所述按照信息通知規(guī)則進(jìn)行攻擊信息通知處理包括以下之一或其任意組合: 產(chǎn)生告警信息�����、顯示存在攻擊行為的云應(yīng)用以及該云應(yīng)用所屬的用戶信息�、以及將存在攻擊行為的云應(yīng)用所屬的用戶信息通知網(wǎng)警中心����。
15.根據(jù)權(quán)利要求10至14任一項(xiàng)所述的方法,其特征在于�,還包括:將所述安全判斷規(guī)則轉(zhuǎn)化為所述行為檢測(cè)規(guī)則,并將所述行為檢測(cè)規(guī)則發(fā)送給所述安全檢測(cè)器�。
16.根據(jù)權(quán)利要求10至15任一項(xiàng)所述的方法,其特征在于�����,所述安全判斷規(guī)則、惡意應(yīng)用處理規(guī)則和信息通知規(guī)則中的一項(xiàng)或多項(xiàng)是通過配置接口配置的���;其中所述配置接口包括:配置界面和應(yīng)用程序接口 API中的至少一種�����。
17.—種云應(yīng)用安全防護(hù)系統(tǒng),其特征在于����,包括:云應(yīng)用攻擊行為處理裝置、云控制器�,以及多個(gè)安全檢測(cè)器;其中��,所述多個(gè)安全檢測(cè)器分別部署于多個(gè)云主機(jī)上�����,且每一云主機(jī)對(duì)應(yīng)于一個(gè)安全檢測(cè)器����;所述云控制器與所述多個(gè)云主機(jī)通信連接���,用于管理和控制所述多個(gè)云主機(jī),每一云主機(jī)上運(yùn)行有一個(gè)或多個(gè)云應(yīng)用���;所述云應(yīng)用攻擊行為處理裝置中存儲(chǔ)有安全判斷規(guī)則和惡意應(yīng)用處理規(guī)則�����; 所述安全檢測(cè)器用于�,根據(jù)行為檢測(cè)規(guī)則對(duì)一個(gè)或多個(gè)云應(yīng)用進(jìn)行檢測(cè)��,以得到應(yīng)用行為數(shù)據(jù)�,并將所述應(yīng)用行為數(shù)據(jù)上報(bào)給所述云應(yīng)用攻擊行為處理裝置;其中���,所述一個(gè)或多個(gè)云應(yīng)用運(yùn)行于所述安全檢測(cè)器對(duì)應(yīng)的云主機(jī)上����; 所述云應(yīng)用攻擊行為處理裝置用于����,接收所述多個(gè)云主機(jī)的至少一個(gè)云主機(jī)上的安全檢測(cè)器上報(bào)的應(yīng)用行為數(shù)據(jù)�,根據(jù)所述應(yīng)用行為數(shù)據(jù)以及所述安全判斷規(guī)則,判斷所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用是否存在攻擊行為�����;如果判斷所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為,則根據(jù)所述惡意應(yīng)用處理規(guī)則����,調(diào)用云控制器提供的接口對(duì)存在攻擊行為的云應(yīng)用進(jìn)行相應(yīng)處理��。
18.根據(jù)權(quán)利要求17所述的系統(tǒng)�,其特征在于����,所述云應(yīng)用攻擊行為處理裝置還用于,將所述安全判斷規(guī)則轉(zhuǎn)化為所述行為檢測(cè)規(guī)則�����,并將所述行為檢測(cè)規(guī)則下發(fā)給各個(gè)云主機(jī)的安全檢測(cè)器����。
19.根據(jù)權(quán)利要求17或18所述的系統(tǒng)����,其特征在于,所述云應(yīng)用攻擊行為處理裝置還用于��,如果判斷所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用不存在攻擊行為�����,則丟棄接收到的所述應(yīng)用行為數(shù)據(jù)�。
20.根據(jù)權(quán)利要求17或18所述的系統(tǒng),其特征在于���,所述云應(yīng)用攻擊行為處理裝置還用于��,如果判斷所述至少一個(gè)云主機(jī)上運(yùn)行的云應(yīng)用存在攻擊行為,則顯示存在攻擊行為的云應(yīng)用以及該云應(yīng)用所屬的用戶信息��、或者將存在攻擊行為的云應(yīng)用所屬的用戶信息通知網(wǎng)警中心��。
21.根據(jù)權(quán)利要求17至20任一項(xiàng)所述的系統(tǒng),其特征在于����,所述云應(yīng)用攻擊行為處理裝置與所述云控制器通信連接,或者所述云應(yīng)用攻擊行為處理裝置集成于所述云控制器上。
22.根據(jù)權(quán)利要求17至21任一項(xiàng)所述的系統(tǒng)����,其特征在于,所述惡意應(yīng)用處理規(guī)則用于指示對(duì)不同類型惡意應(yīng)用的處理方式��,或者對(duì)不同危險(xiǎn)程度的惡意應(yīng)用的處理方式�,其中�����,所述惡意應(yīng)用為存在攻擊行為的云應(yīng)用�;所述云應(yīng)用攻擊行為處理裝置具體用于:根據(jù)所述云應(yīng)用的攻擊行為的類型�,以及所述惡意應(yīng)用處理規(guī)則所指示的對(duì)該類型應(yīng)用的處理方式���,對(duì)所述云應(yīng)用進(jìn)行相應(yīng)處理���;或者根據(jù)所述云應(yīng)用的攻擊行為的危險(xiǎn)程度��,以及所述惡意應(yīng)用處理規(guī)則所指示的對(duì)該危險(xiǎn)程度的應(yīng)用的處理方式��,對(duì)所述云應(yīng)用進(jìn)行相應(yīng)處理。
【文檔編號(hào)】H04L29/08GK104392175SQ201410709018
【公開日】2015年3月4日 申請(qǐng)日期:2014年11月26日 優(yōu)先權(quán)日:2014年11月26日
【發(fā)明者】蒙澤超, 劉赫偉 申請(qǐng)人:華為技術(shù)有限公司