一種云計算系統(tǒng)中云應用攻擊行為處理方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種云計算系統(tǒng)中云應用攻擊行為的處理裝置,包括:安全分析器���,安全處理器和策略管理器�����,其中:策略管理器用于存儲安全判斷規(guī)則和惡意應用處理規(guī)則�����;安全分析器用于接收安全檢測器發(fā)送的應用行為數(shù)據(jù)���,根據(jù)該應用行為數(shù)據(jù)以及安全判斷規(guī)則,確定該云主機上運行的云應用是否存在攻擊行為�����,并在確定該云主機上運行的云應用存在攻擊行為時��,將該應用行為數(shù)據(jù)發(fā)送給安全處理器����;安全處理器,用于根據(jù)惡意應用處理規(guī)則����,調用云計算系統(tǒng)中的云控制器提供的接口對存在攻擊行為的云應用進行處理�����。本發(fā)明方案基于云計算應用級別進行安全防護����,能防止同一個主機內部不同應用之間的相互攻擊�,同時減少對正常應用的影響。
【專利說明】一種云計算系統(tǒng)中云應用攻擊行為處理方法����、裝置及系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及計算機【技術領域】,尤其涉及一種云計算系統(tǒng)中云應用攻擊行為的處理方法����、裝置及系統(tǒng)。
【背景技術】
[0002]根據(jù)美國國家標準與技術研究院(Nat1nal Institute of Standards andTechnology,NIST)的定義����,云計算有三大服務模式,分別是SaaS(software as a service,軟件即服務)、PaaS (platform as a service 平臺即服務)和 IaaS (infrastructure as aservice,基礎設施即服務)�����。其中PaaS是把服務器平臺作為一種服務提供的商業(yè)模式。PaaS主要為云應用提供CPU���、內存等硬件資源以及操作系統(tǒng)、程序依賴庫等軟件資源��,云應用的開發(fā)者不必關心應用運行的軟硬件環(huán)境���,集中精力在開發(fā)應用程序本身��。PaaS的出現(xiàn)��,加快了云應用的開發(fā)和部署��,因此在互聯(lián)網時代��,越來越多的云應用將會被部署到云計算系統(tǒng)中���。
[0003]在云計算系統(tǒng)(可簡稱云系統(tǒng))中,為了增加系統(tǒng)硬件資源的利用率��,通常會將多個云應用運行在同一個云主機中(硬件主機或虛擬主機���,不同的云計算系統(tǒng)有不同的實現(xiàn))��,云計算系統(tǒng)為云應用提供必要的系統(tǒng)資源隔離�����,保證運行在同一云主機中運行的云應用之間不會相互干擾��。同時云計算系統(tǒng)還提供云主機內的虛擬網絡以供云應用之間的通?目����。
[0004]在另一方面的網絡安全領域,黑客們向目標機器發(fā)起攻擊之前���,為了隱藏自己的身份��,通常會在網絡上尋找肉雞(可被控制的傀儡機)��,然后通過肉雞再來發(fā)起攻擊����。這樣就算被攻擊者檢查到攻擊�����,也只能查到肉雞的地址�,查不到黑客們的真實地址��。在云計算系統(tǒng)興起之后�����,網絡黑客便可以不用再尋找肉雞,而是直接將他們的攻擊程序運行在云計算系統(tǒng)上��,并且能夠運行多份攻擊程序的實例�,形成一個大規(guī)模的攻擊系統(tǒng)。在云計算系統(tǒng)中��,黑客不僅能利用原有的攻擊程序向目標進行攻擊���,并且可以利用云計算系統(tǒng)內部運行有大量的云應用程序這個特點���,通過攻擊程序攻擊云計算系統(tǒng)內部不同云主機上的應用程序,甚至是同一云主機內部的其他應用程序�。
[0005]現(xiàn)有技術中一般是通過流量檢測與流量清洗方法解決云計算系統(tǒng)受到攻擊的問題。如圖1所示��,在云計算系統(tǒng)內部新增流量檢測裝置�,通過交換機與云計算系統(tǒng)的云主機連接,用以檢測云計算系統(tǒng)內注入云主機的數(shù)據(jù)流�,包括云計算系統(tǒng)外部的用戶訪問云應用的數(shù)據(jù)流�,以及云計算系統(tǒng)內部各云主機之間相互交互的數(shù)據(jù)流��。通過流量檢測裝置統(tǒng)計出預定時長內注入某一云主機的數(shù)據(jù)流流量大小��,當統(tǒng)計得到的流量數(shù)值超過了預定的閾值時�,就認為注入該云主機的流量發(fā)生異常。檢測到流量發(fā)生異常后�,流量檢測裝置會通知流量清洗裝置啟動,流量清洗裝置將對注入該云主機的數(shù)據(jù)流量進行清洗��,過濾掉攻擊報文�,再將清洗后的數(shù)據(jù)流發(fā)送給該云主機。
[0006]現(xiàn)有技術的方案只能防止云計算系統(tǒng)內部云主機之間的攻擊��,或者外部向云計算系統(tǒng)內部云主機的攻擊���,但是無法防止同一個云主機內部不同云應用之間的相互攻擊����,或者云主機內部對云主機本身進行的攻擊��。另外,現(xiàn)有技術方案以云主機為單位進行流量監(jiān)控和清洗�,會影響到目標云主機中的所有云應用。
【發(fā)明內容】
[0007]本發(fā)明實施例提供一種云計算系統(tǒng)中云應用攻擊行為的處理方法、裝置及系統(tǒng)��,用于對云計算系統(tǒng)進行應用級別的安全防護����,并且盡可能減少對云計算機系統(tǒng)內正常的云應用的影響。
[0008]第一方面���,本發(fā)明實施例提供了一種云計算系統(tǒng)中云應用攻擊行為的處理裝置�,包括:
[0009]安全分析器��,安全處理器和策略管理器��,其中:
[0010]策略管理器用于存儲安全判斷規(guī)則和惡意應用處理規(guī)則�;
[0011]安全分析器用于接收云計算系統(tǒng)中的多個云主機中的至少一個云主機上的安全檢測器發(fā)送的應用行為數(shù)據(jù)�����,根據(jù)該應用行為數(shù)據(jù)以及策略管理器中存儲的安全判斷規(guī)貝1J����,確定該云主機上運行的云應用是否存在攻擊行為,并在確定該云主機上運行的云應用存在攻擊行為時����,將該應用行為數(shù)據(jù)發(fā)送給安全處理器��;其中���,該應用行為數(shù)據(jù)是該云主機上的安全檢測器根據(jù)行為檢測規(guī)則對該云應用進行檢測后得到的,且該應用行為數(shù)據(jù)用于表示該云應用的運行狀態(tài)�;
[0012]安全處理器,用于根據(jù)策略管理器中存儲的惡意應用處理規(guī)則��,調用云計算系統(tǒng)中的云控制器提供的接口對存在攻擊行為的云應用進行處理���,該云控制器與云計算系統(tǒng)中的云主機通信連接或集成于一個云主機上��,用于控制云計算系統(tǒng)中的云主機上運行的云應用��。
[0013]在第一方面的第一種可能的實現(xiàn)方式中���,該裝置還包括:信息通知器;策略管理器中還用于存儲信息通知規(guī)則����;
[0014]安全分析器還用于,當確定云應用存在攻擊行為時��,獲取該云應用的初始信息并發(fā)送給安全處理器,其中�����,初始信息用于唯一標識云應用���;
[0015]安全處理器還用于���,根據(jù)云應用的初始信息查詢該云應用所屬的用戶信息,將該用戶信息和該云應用的應用行為數(shù)據(jù)發(fā)送給信息通知器�����;
[0016]信息通知器用于��,將接收到的應用行為數(shù)據(jù)和用戶信息存儲并按照策略管理器中存儲的信息通知規(guī)則進行攻擊信息通知處理����。
[0017]結合第一方面�����,或者第一方面第一種可能的實現(xiàn)方式��,在第二種可能的實現(xiàn)方式中,
[0018]策略管理器用于�����,將安全判斷規(guī)則轉化為行為檢測規(guī)則��,并將該行為檢測規(guī)則下發(fā)給各個云主機的安全檢測器��。
[0019]結合第一方面�,或者第一方面第一至第二種任意一種可能的實現(xiàn)方式,在第三種可能的實現(xiàn)方式中����,其中,所述惡意應用為存在攻擊行為的云應用��;所述安全處理器����,具體用于根據(jù)所述云應用的攻擊行為的類型,以及所述惡意應用處理規(guī)則所指示的對該類型應用的處理方式���,對所述云應用進行相應處理�����;或者所述安全處理器���,具體用于根據(jù)所述云應用的攻擊行為的危險程度�����,以及所述惡意應用處理規(guī)則所指示的對該危險程度的應用的處理方式����,對所述云應用進行相應處理��。
[0020]結合第一方面第一至第三種任意一種可能的實現(xiàn)方式�,在第四種可能的實現(xiàn)方式中,攻擊信息通知處理具體包括以下之一或其任意組合:產生告警信息�����、顯示存在攻擊行為的云應用以及該云應用所屬的用戶信息���、以及將存在攻擊行為的云應用所屬的用戶信息通知網警中心。
[0021]結合第一方面���,或者第一方面第一至第四種任意一種可能的實現(xiàn)方式�����,在第五種可能的實現(xiàn)方式中�����,云應用攻擊行為處理裝置集成于云控制器��。
[0022]結合第一方面第一到第五種中任意一種可能的實現(xiàn)方式�,在第六種可能的實現(xiàn)方式中,策略管理器的配置接口包括:配置界面和應用程序接口中的至少一種���。
[0023]結合第一方面����,或者第一方面第一至第五種任意一種可能的實現(xiàn)方式��,在第七種可能的實現(xiàn)方式中���,所述行為檢測規(guī)則包括:進程檢測規(guī)則或線程檢測規(guī)則�;應用行為數(shù)據(jù)是安全檢測器根據(jù)該行為檢測規(guī)則對所述云應用的進程或線程進行檢測后得到的��。
[0024]結合第一方面第七種可能的實現(xiàn)方式����,在第八種可能的實現(xiàn)方式中�,安全分析器還用于在確定云應用不存在攻擊行為時��,丟棄該云應用的行為數(shù)據(jù)�����。
[0025]結合第一方面上述所有可能的實現(xiàn)方式���,在第九種可能的實現(xiàn)方式中�,云主機可以為物理機�,或者運行于物理機之上的虛擬機。
[0026]結合第一方面上述任意一種可能的實現(xiàn)方式���,在第十種可能的實現(xiàn)方式中���,運行于云主機上的應用程序為云應用,且一個云主機上上運行有一個或多個云應用��,其中�,每一個云應用用于實現(xiàn)相應的業(yè)務功能。
[0027]結合第一方面上述任意一種可能的實現(xiàn)方式�,在第i^一種可能的實現(xiàn)方式中,每一臺云主機上部署有一安全檢測器��,該安全檢測器用于依據(jù)行為檢測規(guī)則對該云主機上運行的云應用的行為進行采集��,并根據(jù)采集結果生成應用行為數(shù)據(jù)上報給安全分析器���。
[0028]結合第一方面第i^一種可能的實現(xiàn)方式��,在第十二種可能的實現(xiàn)方式中���,安全檢測器將應用行為數(shù)據(jù)定期,或者基于請求�����,或者根據(jù)預先配置的上報策略上報給安全分析器�。
[0029]結合第一方面上述任意一種可能的實現(xiàn)方式,在第十三種可能的實現(xiàn)方式中���,安全判斷規(guī)則用于定義云應用的何種行為為攻擊行為����,惡意應用處理規(guī)則用于定義對于存在攻擊行為的云應用采取何種處理方式���;行為檢測規(guī)則用于指示對云應用進行檢測的檢測指標��。
[0030]結合第一方面上述任意一種可能的實現(xiàn)方式��,在第十四種可能的實現(xiàn)方式中�,將存在攻擊行為的云應用定義為惡意應用。
[0031]結合第一方面第三種至第十四種可能的實現(xiàn)方式中的任一種�����,在第十五種可能的實現(xiàn)方式中����,安全分析器或安全處理器用于根據(jù)云應用的行為數(shù)據(jù),查詢預先配置的應用特征庫���,以確定應用攻擊行為的類型��,其中����,應用特征庫用于描述應用的行為特征與應用的攻擊行為類型的映射關系�。
[0032]結合第一方面第十五種可能的實現(xiàn)方式,在第十六種可能的實現(xiàn)方式中,應用特征庫是云計算系統(tǒng)中的一個獨立的數(shù)據(jù)集或者是安全判斷規(guī)則的子集����;安全分析器在根據(jù)安全判斷規(guī)則判斷出某一云應用為惡意應用之后�,進一步根據(jù)安全判斷規(guī)則中包含的應用特征庫,確定惡意應用的攻擊行為類型��。
[0033]結合第一方面第三種至第十六種可能的實現(xiàn)方式中的任一種���,在第十七種可能的實現(xiàn)方式中���,云應用的危險程度用于表征云應用對云計算系統(tǒng)的危害程度;安全分析器或安全處理器用于根據(jù)根據(jù)應用攻擊行為的類型���,通過查詢映射表的方式確定應用的攻擊行為的危險程度��,其中�,該映射表用于表征應用攻擊行為的類型與其危險程度的對應關系�。
[0034]結合第一方面的上述任意一種可能的實現(xiàn)方式,在第十八種可能的實現(xiàn)方式中��,云應用的用戶信息包括但不限于:用戶名�、用戶郵箱或用戶身份證號中的一項或多項。
[0035]結合第一方面的上述任意一種可能的實現(xiàn)方式,在第十九種可能的實現(xiàn)方式中���,云應用的初始信息包括但不限于:進程ID和進程名稱中一項或多項����。
[0036]結合第一方面的上述任意一種可能的實現(xiàn)方式����,在第二十種可能的實現(xiàn)方式中,調用云控制器對惡意進行處理包括以下之一或其任意組合:關閉惡意應用��,或者將惡意應用遷移到隔離的云主機�����,以及禁止惡意應用的用戶賬戶�。
[0037]結合第一方面的上述任意一種可能的實現(xiàn)方式,在第二i^一種可能的實現(xiàn)方式中����,云應用攻擊行為處理裝置為云計算系統(tǒng)中的一臺云主機,該云主機為運行在物理機上的虛擬機����;該物理機包括硬件層�����,運行在硬件層之上的虛擬機監(jiān)視器����,以及運行在虛擬機監(jiān)視器之上的宿主機和若干虛擬機��,其中����,硬件層包括處理器和存儲器�����,該云主機上運行有可執(zhí)行程序���,該可執(zhí)行程序包括:策略管理器模塊����、安全分析器模塊���、安全處理器模塊以及信息通知器模塊���,其中策略管理器模塊用于實現(xiàn)上述任一可能的實現(xiàn)方式中的策略管理器的功能�����,安全分析器模塊用于實現(xiàn)上述任一可能的實現(xiàn)方式中的安全分析器的功能��,安全處理器模塊用于實現(xiàn)上述任一可能的實現(xiàn)方式中的安全處理器的功能����,信息通知器模塊用于實現(xiàn)上述任一可能的實現(xiàn)方式中的信息通知器的功能���。
[0038]結合第一方面���,或者第一方面第一至第二十種任意一種可能的實現(xiàn)方式,���,在第二十二種可能的實現(xiàn)方式中����,云應用攻擊行為處理裝置包括:至少一個處理器��,存儲器��,至少一個通信總線。通信總線用于實現(xiàn)這些組件之間的連接通信�����。存儲器存儲了如下的元素���,可執(zhí)行模塊或者數(shù)據(jù)結構���,或者他們的子集,或者他們的擴展集:
[0039]操作系統(tǒng)��,包含各種系統(tǒng)程序����,用于實現(xiàn)各種基礎業(yè)務以及處理基于硬件的任務;
[0040]應用程序模塊����,包含各種云應用,用于實現(xiàn)各種應用業(yè)務等����。
[0041]應用程序模塊包括實現(xiàn)策略管理器、安全分析器���、安全處理器以及信息通知器的功能的模塊�����。
[0042]第二方面��,本發(fā)明實施例提供了一種云應用攻擊行為處理方法��,用于包括多個云主機的云計算系統(tǒng)�,該方法包括:
[0043]接收該多個云主機中的至少一個云主機上報的應用行為數(shù)據(jù),其中�,該應用行為數(shù)據(jù)是該云主機上的安全檢測器根據(jù)行為檢測規(guī)則對所述該云主機上運行的云應用進行檢測后得到的,且該應用行為數(shù)據(jù)用于表示該云主機上運行的云應用的運行狀態(tài)��;
[0044]根據(jù)該應用行為數(shù)據(jù)以及安全判斷規(guī)則����,判斷該云主機上運行的云應用是否存在攻擊行為;
[0045]如果判斷該云主機上運行的云應用存在攻擊行為�����,則根據(jù)惡意應用處理規(guī)則����,調用云計算系統(tǒng)中的云控制器提供的接口對存在攻擊行為的云應用進行處理����,其中該云控制器連接該云主機或集成于該云主機����,用于控制該云主機上運行的云應用。
[0046]在第二方面的第一種可能的實現(xiàn)方式中����,該方法還包括:
[0047]如果判斷該云主機上運行的云應用存在攻擊行為,則根據(jù)該存在攻擊行為的云應用的初始信息查詢該云應用所屬的用戶信息��,其中�����,該初始信息用于標識該云應用���;
[0048]將存在攻擊行為的云應用的應用行為數(shù)據(jù)和查詢到的用戶信息存儲,并按照信息通知規(guī)則進行攻擊信息通知處理�。
[0049]結合第二方面,或者第二方面第一種可能的實現(xiàn)方式�����,在第二種可能的實現(xiàn)方式中,該方法還包括:
[0050]如果判斷該云主機上運行的云應用不存在攻擊行為��,則丟棄接收到的該應用行為數(shù)據(jù)�。
[0051]結合第二方面,或者第二方面第一至第二種任意一種可能的實現(xiàn)方式�,在第三種可能的實現(xiàn)方式中,其中�,惡意應用為存在攻擊行為的云應用;調用云控制器提供的接口對存在攻擊行為的云應用進行相應處理����,包括:根據(jù)云應用的攻擊行為的類型,以及惡意應用處理規(guī)則所指示的對該類型應用的處理方式��,對該云應用進行相應處理����;或者根據(jù)該云應用的攻擊行為的危險程度,以及惡意應用處理規(guī)則所指示的對該危險程度的應用的處理方式��,對該云應用進行相應處理�����。
[0052]結合第二方面第一種可能的實現(xiàn)方式以及第三種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式����,在第四種可能的實現(xiàn)方式中�����,按照信息通知規(guī)則進行攻擊信息通知處理包括以下之一或其任意組合:
[0053]產生告警信息�、顯示存在攻擊行為的云應用以及該云應用所屬的用戶信息���、以及將存在攻擊行為的云應用所屬的用戶信息通知網警中心�。
[0054]結合第二方面����,或者第二方面第一至第四種任意一種可能的實現(xiàn)方式,在第五種可能的實現(xiàn)方式中��,該方法還包括:將安全判斷規(guī)則轉化為行為檢測規(guī)則���,并將該行為檢測規(guī)則發(fā)送給安全檢測器����。
[0055]結合第二方面���,或者第二方面第一至第五種任意一種可能的實現(xiàn)方式��,在第六種可能的實現(xiàn)方式中�����,安全判斷規(guī)則����、惡意應用處理規(guī)則和信息通知規(guī)則中的一項或多項是通過配置接口配置的�����;其中所述配置接口包括:配置界面和應用程序接口中的至少一種���。
[0056]結合第二方面上述所有可能的實現(xiàn)方式�����,在第七種可能的實現(xiàn)方式中�����,云主機可以為物理機�����,或者運行于物理機之上的虛擬機���。
[0057]結合第二方面上述所有可能的實現(xiàn)方式�����,在第八種可能的實現(xiàn)方式中�,運行于云主機上的應用程序為云應用�,且一個云主機上上運行有一個或多個云應用,其中�,每一個云應用用于實現(xiàn)相應的業(yè)務功能。
[0058]結合第二方面上述所有可能的實現(xiàn)方式�����,在第九種可能的實現(xiàn)方式中�����,每一臺云主機上部署有一安全檢測器����,該安全檢測器用于依據(jù)行為檢測規(guī)則對該云主機上運行的云應用的行為進行采集��,并根據(jù)采集結果生成應用行為數(shù)據(jù)上報���。
[0059]結合第二方面第九種可能的實現(xiàn)方式�����,在第十種可能的實現(xiàn)方式中��,安全檢測器將應用行為數(shù)據(jù)定期上報��,或者基于請求上報�����,或者根據(jù)預先配置的上報策略上報����。
[0060]結合第二方面上述所有可能的實現(xiàn)方式,在第i^一種可能的實現(xiàn)方式中���,安全判斷規(guī)則用于定義云應用的何種行為為攻擊行為�����,惡意應用處理規(guī)則用于定義對于存在攻擊行為的云應用采取何種處理方式����;行為檢測規(guī)則用于指示對云應用進行檢測的檢測指標。
[0061]結合第二方面上述所有可能的實現(xiàn)方式�����,在第十二種可能的實現(xiàn)方式中�,將存在攻擊行為的云應用定義為惡意應用。
[0062]結合第二方面第三種至第十二種可能的實現(xiàn)方式�,在第十三種可能的實現(xiàn)方式中,根據(jù)云應用的行為數(shù)據(jù)�����,查詢預先配置的應用特征庫�,以確定應用攻擊行為的類型,其中��,應用特征庫用于描述應用的行為特征與應用的攻擊行為類型的映射關系�����。
[0063]結合第二方面第十三種可能的實現(xiàn)方式�����,在第十四種可能的實現(xiàn)方式中,應用特征庫是云計算系統(tǒng)中的一個獨立的數(shù)據(jù)集或者是安全判斷規(guī)則的子集�;在根據(jù)安全判斷規(guī)則判斷出某一云應用為惡意應用之后,進一步根據(jù)安全判斷規(guī)則中包含的應用特征庫�����,確定惡意應用的攻擊行為類型�。
[0064]結合第二方面第三種至第十四種可能的實現(xiàn)方式中的任一種�����,在第十五種可能的實現(xiàn)方式中�����,云應用的危險程度用于表征云應用對云計算系統(tǒng)的危害程度���;根據(jù)根據(jù)應用攻擊行為的類型��,通過查詢映射表的方式確定應用的攻擊行為的危險程度�����,其中���,該映射表用于表征應用攻擊行為的類型與其危險程度的對應關系�。
[0065]結合第二方面的上述所有可能的實現(xiàn)方式���,在第十六種可能的實現(xiàn)方式中���,云應用的用戶信息包括但不限于:用戶名、用戶郵箱或用戶身份證號中的一項或多項����。
[0066]結合第二方面的上述所有可能的實現(xiàn)方式,在第十七種可能的實現(xiàn)方式中���,云應用的初始信息包括但不限于:進程ID和進程名稱中一項或多項���。
[0067]結合第二方面的上述所有可能的實現(xiàn)方式,在第十八種可能的實現(xiàn)方式中���,調用云控制器對惡意進行處理包括以下之一或其任意組合:關閉惡意應用��,或者將惡意應用遷移到隔離的云主機�,以及禁止惡意應用的用戶賬戶。
[0068]第三方面���,本發(fā)明實施例提供了一種云應用安全防護系統(tǒng)���,包括:云應用攻擊行為處理裝置、云控制器���,以及多個安全檢測器;其中���,多個安全檢測器分別部署于多個云主機上��,且每一云主機對應于一個安全檢測器����;云控制器與多個云主機通信連接�����,用于管理和控制多個云主機����,每一云主機上運行有一個或多個云應用�;云應用攻擊行為處理裝置中存儲有安全判斷規(guī)則和惡意應用處理規(guī)則����;
[0069]安全檢測器用于,根據(jù)行為檢測規(guī)則對一個或多個云應用進行檢測���,以得到應用行為數(shù)據(jù)����,并將該應用行為數(shù)據(jù)上報給云應用攻擊行為處理裝置�;其中,所述一個或多個云應用運行于該安全檢測器對應的云主機上�����;
[0070]云應用攻擊行為處理裝置用于���,接收多個云主機中的至少一個云主機上的安全檢測器上報的應用行為數(shù)據(jù)�����,根據(jù)該應用行為數(shù)據(jù)以及安全判斷規(guī)則�����,判斷該云主機上運行的云應用是否存在攻擊行為����;如果判斷該云主機上運行的云應用存在攻擊行為,則根據(jù)惡意應用處理規(guī)則���,調用云控制器提供的接口對存在攻擊行為的云應用進行相應處理�。
[0071]在第三方面的第一種可能的實現(xiàn)方式中���,云應用攻擊行為處理裝置還用于�,將安全判斷規(guī)則轉化為行為檢測規(guī)則�����,并將該行為檢測規(guī)則下發(fā)給各個云主機的安全檢測器�����。
[0072]結合第三方面�,或者第三方面第一種可能的實現(xiàn)方式���,在第二種可能的實現(xiàn)方式中�,云應用攻擊行為處理裝置還用于,如果判斷該云主機上運行的云應用不存在攻擊行為����,則丟棄接收到的該應用行為數(shù)據(jù)。
[0073]結合第三方面��,或者第三方面第一種可能的實現(xiàn)方式�,在第三種可能的實現(xiàn)方式中,云應用攻擊行為處理裝置還用于�,如果判斷該云主機上運行的云應用存在攻擊行為,則顯示存在攻擊行為的云應用以及該云應用所屬的用戶信息��、或者將存在攻擊行為的云應用所屬的用戶信息通知網警中心����。
[0074]結合第三方面,或者第三方面第一至第三種任意一種可能的實現(xiàn)方式�����,在第四種可能的實現(xiàn)方式中����,應用攻擊行為處理裝置與云控制器通信連接,或者云應用攻擊行為處理裝置集成于云控制器上。
[0075]結合第三方面���,或者第三方面第一至第四種任意一種可能的實現(xiàn)方式����,在第五種可能的實現(xiàn)方式中���,惡意應用為存在攻擊行為的云應用����;云應用攻擊行為處理裝置具體用于:根據(jù)云應用的攻擊行為的類型��,以及惡意應用處理規(guī)則所指示的對該類型應用的處理方式�����,對云應用進行相應處理�;或者根據(jù)云應用的攻擊行為的危險程度����,以及惡意應用處理規(guī)則所指示的對該危險程度的應用的處理方式,對該云應用進行相應處理����。結合第三方面����,或者第三方面第一至第五種任意一種可能的實現(xiàn)方式����,在第六種可能的實現(xiàn)方式中,安全判斷規(guī)則�、惡意應用處理規(guī)則和信息通知規(guī)則中的一項或多項是通過配置接口配置的;其中所述配置接口包括:配置界面和應用程序接口中的至少一種��。
[0076]結合第三方面�,或者第三方面第一至第六種任意一種可能的實現(xiàn)方式,在第七種可能的實現(xiàn)方式中���,行為檢測規(guī)則包括:進程檢測規(guī)則或線程檢測規(guī)則�����;應用行為數(shù)據(jù)是安全檢測器根據(jù)該行為檢測規(guī)則對云應用的進程或線程進行檢測后得到的����。
[0077]結合第三方面�����,或者第三方面第一至第七種任意一種可能的實現(xiàn)方式,在第八種可能的實現(xiàn)方式中����,安全判斷規(guī)則用于定義云應用的何種行為為攻擊行為,惡意應用處理規(guī)則用于定義對于存在攻擊行為的云應用采取何種處理方式��;行為檢測規(guī)則用于指示對云應用進行檢測的檢測指標�。
[0078]結合第三方面,或者第三方面第一至第八種任意一種可能的實現(xiàn)方式�,在第九種可能的實現(xiàn)方式中,應用攻擊行為處理裝置用于根據(jù)云應用的行為數(shù)據(jù)�,查詢預先配置的應用特征庫,以確定應用攻擊行為的類型���,其中����,應用特征庫用于描述應用的行為特征與應用的攻擊行為類型的映射關系����。
[0079]結合第三方面第九種可能的實現(xiàn)方式���,在第十種可能的實現(xiàn)方式中���,應用特征庫是云計算系統(tǒng)中的一個獨立的數(shù)據(jù)集或者是安全判斷規(guī)則的子集����;應用攻擊行為處理裝置用于根據(jù)安全判斷規(guī)則判斷出某一云應用為惡意應用之后�����,進一步根據(jù)安全判斷規(guī)則中包含的應用特征庫�����,確定惡意應用的攻擊行為類型���。
[0080]結合第三方面第五種至第十種可能的實現(xiàn)方式中的任一種��,在第十一種可能的實現(xiàn)方式中�,云應用的危險程度用于表征云應用對云計算系統(tǒng)的危害程度�����;應用攻擊行為處理裝置用于根據(jù)根據(jù)應用攻擊行為的類型����,通過查詢映射表的方式確定應用的攻擊行為的危險程度�����,其中���,該映射表用于表征應用攻擊行為的類型與其危險程度的對應關系。
[0081]本發(fā)明實施例提供的云應用攻擊行為處理方法��、裝置及系統(tǒng)中����,策略管理器下發(fā)行為檢測規(guī)則給分布于各個云主機的安全檢測器,安全檢測器根據(jù)行為檢測規(guī)則檢測并上報應用的行為數(shù)據(jù)��,安全分析器通過分析應用的行為數(shù)據(jù)�����,確定出存在攻擊行為的應用���,并調用云控制器進行相應處理���,相比于現(xiàn)有技術中的安全方案��,本發(fā)明實施例基于云計算應用級別進行安全防護,能滿足云計算系統(tǒng)應用部署場景�,防止同一個主機內部不同應用之間的相互攻擊,或者主機內部對主機本身進行的攻擊����,同時減少對正常應用的影響。
【專利附圖】
【附圖說明】
[0082]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案��,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹��,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例�,對于本領域普通技術人員來講���,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。
[0083]圖1是現(xiàn)有技術中云計算系統(tǒng)攻擊處理方法的原理示意圖���;
[0084]圖2是本發(fā)明實施例提供的云計算系統(tǒng)架構圖����;
[0085]圖3是本發(fā)明實施例提供的云應用攻擊行為處理裝置示意圖��;
[0086]圖4是本發(fā)明實施例提供的云應用攻擊行為處理裝置示意圖�����;
[0087]圖5是本發(fā)明實施例提供的策略管理器結構示意圖���;
[0088]圖6是本發(fā)明實施例提供的安全分析器的工作流程圖;
[0089]圖7是本發(fā)明實施例提供的安全處理器結構示意圖����;
[0090]圖8是本發(fā)明實施例提供的信息通知器結構示意圖��;
[0091]圖9是本發(fā)明實施例提供的云應用攻擊行為處理方法流程圖;
[0092]圖10是本發(fā)明實施例提供的云應用攻擊行為處理方法流程圖���;
[0093]圖11是本發(fā)明實施例提供的云應用安全防護系統(tǒng)示意圖���;
[0094]圖12是本發(fā)明實施例提供的云應用攻擊行為處理裝置示意圖�����;
[0095]圖13是本發(fā)明實施例提供的云應用攻擊行為處理裝置示意圖���。
【具體實施方式】
[0096]為了使本【技術領域】的人員更好地理解本發(fā)明方案,下面將結合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術方案進行清楚���、完整地描述�,顯然���,所描述的實施例僅僅是本發(fā)明一部分的實施例���,而不是全部的實施例?����;诒景l(fā)明中的實施例�����,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應當屬于本發(fā)明保護的范圍����。
[0097]本發(fā)明實施例提供的技術方案可典型地應用于云計算系統(tǒng)(可簡稱為云系統(tǒng))中,云計算系統(tǒng)可看成是在通用硬件上進行分布式計算�����、存儲及管理的一種集群系統(tǒng)����,云計算系統(tǒng)可提供高吞吐量的數(shù)據(jù)訪問,能夠應用于大規(guī)模數(shù)據(jù)計算和存儲���。圖2描述了云計算系統(tǒng)的物理架構��,云計算系統(tǒng)通常包括通過交換機互聯(lián)的多個物理計算機(可簡稱為物理機)��,并且這些物理機可以通過匯聚交換機以及核心交換機與外部網絡互聯(lián);其中���,物理機具體可以為計算機或服務器等物理實體��,在某些組網場景下����,云計算系統(tǒng)的一臺物理機可以稱為一臺云主機。隨著云計算技術的發(fā)展�,目前通過虛擬機軟件,可以在一臺物理計算機上模擬出一臺或多臺虛擬機����,而這些虛擬機可以像真正的計算機那樣進行工作,虛擬機上可安裝操作系統(tǒng)�、安裝應用程序、訪問網絡資源等等�。對于在虛擬機中運行的應用程序而言,就像是在真正的計算機中進行工作����。因此,一個云計算系統(tǒng)可能包括成千上萬個虛擬機�,每個虛擬機上都可以獨立運行應用程序,因此��,在另一些更為通用的組網場景下���,云計算系統(tǒng)中的虛擬機通常被稱為云主機或者虛擬云主機�����,而云主機上運行的應用程序稱為云應用����。故本發(fā)明所有實施例所描述的云主機,并不限制為是虛擬機或物理機����,需要視具體的組網場景而定。另外���,云計算系統(tǒng)還包括有云控制器���,用于對云計算系統(tǒng)中的云主機進行控制和管理,云控制器可以是云計算系統(tǒng)包含的若干虛擬機中的一個��,某些情形下�����,云控制器也可是一臺獨立的物理機�����,當然���,云控制器可以有一個�,也可以有多個���;云控制器與云計算系統(tǒng)中的云主機通信連接或集成于一個云主機上��,用于控制云計算系統(tǒng)中的多個云主機上運行的云應用�����。本發(fā)明實施例的方案具體可以由云計算系統(tǒng)中的云主機來實施����,某些情形下��,也可以有云控制器來實施����。如果依據(jù)邏輯架構來劃分,云計算系統(tǒng)通常分為基礎設施與虛擬化層(IaaS層)�����、平臺層(PaaS層)以及應用層(SaaS層),本發(fā)明實施例的方案可以由云計算系統(tǒng)的平臺層來實施��,具體可以由平臺層的云控制器或者另一單獨的功能單元來實施���。
[0098]本發(fā)明實施例提供一種云應用攻擊行為處理裝置�����,該處理裝置可以應用于云計算系統(tǒng)中�,以對云計算系統(tǒng)進行安全防護���,圖3為本發(fā)明實施例提供的云應用攻擊行為處理裝置的示意圖���,在一個具體的實施例中,該處理裝置可以為云計算系統(tǒng)的一臺云主機���,或者作為云控制器中的一個功能單元�,集成于云控制器中���。根據(jù)圖3�����,云計算系統(tǒng)包括云應用攻擊行為處理裝置20�����、云控制器206以及多臺云主機(如圖3中的云主機10����、11和12);其中��,每一臺云主機上運行有一個或多個云應用����,且每一臺云主機上部署有一安全檢測器,負責依據(jù)云應用攻擊行為處理裝置20下發(fā)的行為檢測規(guī)則����,對該云主機上運行的云應用的行為進行采集,并將應用的應用行為數(shù)據(jù)上報給云應用攻擊行為處理裝置20����,其中應用行為數(shù)據(jù)用于表示云應用的運行狀態(tài),比如云應用的TCP鏈接信息���、網絡流量信息�、系統(tǒng)調用次數(shù)等等?��?蛇x的�����,云應用的應用行為數(shù)據(jù)上報可以是定期的或基于請求的���。具體地,云應用攻擊行為處理裝置20包括:策略管理器201�、安全分析器202、安全處理器203�����。
[0099]策略管理器201主要用于規(guī)則的存儲���、轉化以及下發(fā)��。具體地�,策略管理器201中可存儲安全判斷規(guī)則和惡意應用處理規(guī)則�;安全判斷規(guī)則用于定義云應用的何種行為為攻擊行為,惡意應用處理規(guī)則用于定義對于存在攻擊行為的云應用采取何種處理方式���。在一個優(yōu)選的實施例中�,策略管理器201可以將安全判斷規(guī)則轉化為行為檢測規(guī)則����,行為檢測規(guī)則用于定義對云應用的何種行為進行檢測�����,即行為檢測規(guī)則指示了對云應用進行檢測的檢測指標�。通常行為檢測規(guī)則和安全判斷規(guī)則是密切聯(lián)系的,因此可以互相轉化����。舉例來說,如果安全判斷規(guī)則為:云應用向外請求的TCP端口數(shù)量超過100則判斷云應用有端口嗅探的行為��;那么相應的行為檢測規(guī)則就為:采集云應用請求不同TCP端口的個數(shù)���。這樣����,云主機上的安全檢測器就應該檢測云應用請求不同TCP端口的個數(shù)并將檢測結果上報給安全分析器202,安全分析器202就可以判斷云應用是否有端口嗅探的行為���。
[0100]安全分析器202主要用于接收云計算系統(tǒng)中的多個云主機中的至少一個云主機上的安全檢測器上報的應用行為數(shù)據(jù)��,然后根據(jù)策略管理器201中存儲的安全判斷規(guī)則�,判斷該云主機上的云應用是否存在攻擊行為��。如果確定云應用存在攻擊行為,則將存在攻擊行為的云應用的初始信息發(fā)送給安全處理器203;其中��,云應用的初始信息用于唯一標識該云應用���,比如����,在一個具體的實施例中��,初始信息可以為進程ID或進程名稱�,或者兩者同時包含?�?蛇x的�����,安全檢測器上報云應用的應用行為數(shù)據(jù),可以是定期上報���,也可以是基于請求上報����,也可以是根據(jù)預先配置的上報策略來上報�,本發(fā)明實施例不做特別限定。
[0101 ] 安全處理器203主要用于在接收到安全分析器202發(fā)送的存在攻擊行為的云應用的初始信息后��,根據(jù)策略管理器201中存儲的惡意應用處理規(guī)則��,調用云控制器206提供的接口對該存在攻擊行為的云應用(本發(fā)明實施例中將存在攻擊行為的云應用統(tǒng)稱為惡意應用)進行處理�����。在一個實施例中�,安全處理器203可以對所有惡意應用采用統(tǒng)一處理方式����,比如關閉惡意應用,或者將惡意應用遷移到隔離的云主機��,或者禁止惡意應用的用戶賬戶��。可選地�,安全處理器203也可以根據(jù)惡意應用攻擊行為的類型或者攻擊行為的危險程度,對惡意應用進行不同程度或不同類型的處理�,比如,對于危險程度較低的惡意應用�,可以采取遷移或隔離等方式處理,對于高危險的惡意應用����,可以禁止該惡意應用的用戶賬戶等等?����?梢岳斫獾氖?���,在這種情形下,為了判斷惡意應用攻擊行為的類型或者危險程度��,安全分析器202需要將惡意應用的應用行為數(shù)據(jù)和初始信息一并上報給安全處理器203���,以便安全處理器203根據(jù)該惡意應用的行為數(shù)據(jù)來判斷該惡意應用的攻擊行為的類型或危險程度��;當然���,安全分析器202也可以自己根據(jù)應用的行為數(shù)據(jù)來判斷應用攻擊行為的類型或者危險程度���,然后將分析結果反饋給安全處理器203,本發(fā)明實施例不做特別限定�。比如,安全分析器202可以根據(jù)云應用的行為數(shù)據(jù)以及安全判斷規(guī)則���,區(qū)分出惡意應用和正常應用�����,然后安全分析器202或安全處理器可以進一步查詢預先配置的應用特征庫�����,以確定惡意應用的攻擊行為的類型,例如為拒絕服務攻擊����,木馬攻擊或蠕蟲攻擊等等。又比如����,在安全分析器202根據(jù)云應用的行為數(shù)據(jù)以及安全判斷規(guī)則�����,確定出存在攻擊行為的惡意應用之后����,安全分析器202或安全處理器203可以根據(jù)云應用的行為數(shù)據(jù)�,查詢預先配置的應用特征庫,以確定出應用攻擊行為的類型���,然后進一步根據(jù)應用攻擊行為的類型��,確定應用攻擊行為的危險程度��。其中���,應用特征庫用于描述應用的行為特征與應用的攻擊行為類型的映射關系;可選地��,應用特征庫可以是云計算系統(tǒng)中的一個獨立的數(shù)據(jù)集�,在安全分析器202根據(jù)云應用的行為數(shù)據(jù)以及安全判斷規(guī)則,確定出存在攻擊行為的惡意應用之后��,可以進一步查詢該應用特征庫以確定該惡意應用的攻擊行為的類型;當然�,應用特征庫也可以是安全判斷規(guī)則的子集,當安全分析器202根據(jù)安全判斷規(guī)則判斷出某一云應用為惡意應用之后���,可以進一步根據(jù)安全判斷規(guī)則中包含的應用特征庫�����,確定惡意應用的攻擊行為類型����?����?梢岳斫獾氖?��,不同類型的攻擊行為的危險程度是不同的�,需要根據(jù)該攻擊行為對系統(tǒng)的危害程度來確定�����,對云計算系統(tǒng)造成的危害越大的攻擊行為�����,其危險程度也越高����。通常可以配置一個映射表�,用于表征應用攻擊行為的類型與其危險程度的對應關系,這樣根據(jù)根據(jù)應用攻擊行為的類型��,通過查表的方式就可以確定應用的攻擊行為的危險程度�����?�?蛇x地���,在另一個可選的實施例中�,安全處理器203也可以根據(jù)云計算系統(tǒng)的安全級別來對惡意應用進行處理����,不同的安全級別對應不同的處理方式。比如云計算系統(tǒng)的安全級別可以設置為“高”��、“中”、“低”三個級別���,當云計算系統(tǒng)的安全級別為“高”時����,安全處理器203可以關閉惡意應用��,同時禁止該惡意應用的用戶賬戶��;當云計算系統(tǒng)的安全級別為“低”時�����,安全處理器203可以將惡意應用遷移到特定的云主機進行隔離����。最后需要說明的是,安全處理器203對惡意應用的三種處理模式��,即上述的統(tǒng)一處理方式���,根據(jù)攻擊行為類型或危險程度處理的方式����,以及根據(jù)云計算系統(tǒng)安全級別的處理方式����,可以通過惡意應用處理規(guī)則來指示,不同的處理模式對應有不同的惡意應用處理規(guī)則����,且該惡意應用處理規(guī)則可以由管理員通過策略管理器201的配置接口來配置。例如��,惡意應用處理規(guī)則可以用于指示對不同類型惡意應用的處理方式��,或者對不同危險程度的惡意應用的處理方式��,或者云計算系統(tǒng)的不同安全級別下對惡意應用的處理方式�����;這樣���,安全處理器203具體可以根據(jù)應用的攻擊行為的類型����,以及惡意應用處理規(guī)則所指示的對該類型應用的處理方式�,對惡意應用進行相應處理���;或者安全處理器203具體可以根據(jù)應用的攻擊行為的危險程度,以及惡意應用處理規(guī)則所指示的對該危險程度的應用的處理方式�,對惡意應用相應進行處理;或者安全處理器203具體可以根據(jù)云計算系統(tǒng)當前的安全級別�,以及惡意應用處理規(guī)則所指示的該安全級別下對惡意應用的處理方式,對惡意應用進行相應處理��。
[0102]本發(fā)明實施例提供的云應用攻擊行為處理裝置�,策略管理器下發(fā)行為檢測規(guī)則給分布于各個云主機的安全檢測器,安全檢測器根據(jù)行為檢測規(guī)則檢測并上報云應用的行為數(shù)據(jù)�,安全分析器通過分析云應用的行為數(shù)據(jù),確定出存在攻擊行為的云應用���,并調用云控制器進行相應處理���,相比于現(xiàn)有技術中的安全方案,本發(fā)明實施例基于云計算應用級別進行安全防護����,能滿足云計算系統(tǒng)應用部署場景,防止同一個主機內部不同云應用之間的相互攻擊����,或者主機內部對主機本身進行的攻擊��,同時減少對正常云應用的影響��。進一步地�,惡意應用處理策略可配置���,進而可根據(jù)不同安全級別或不同的攻擊類型對惡意應用進行區(qū)別處理。
[0103]優(yōu)選地����,云應用攻擊行為處理裝置20還可以包括:信息通知器204 ;策略管理器201中還存儲有信息通知規(guī)則;
[0104]安全處理器203還用于�,根據(jù)存在攻擊行為的云應用的初始信息查詢該云應用所屬的用戶信息,將查詢到的用戶信息和該云應用的行為數(shù)據(jù)發(fā)送給信息通知器204 ;其中���,云應用的用戶信息包括但不限于:用戶名����、用戶郵箱或用戶身份證號��。
[0105]信息通知器204用于���,將接收到的應用行為數(shù)據(jù)和云應用所屬的用戶信息備份���,并按照策略管理器中存儲的信息通知規(guī)則進行攻擊信息通知處理��。其中����,將應用行為數(shù)據(jù)和云應用所屬的用戶信息備份��,具體可以是以表格��、日志或文檔等數(shù)據(jù)格式存儲在可靠存儲介質中�����,以便管理員查看�����。
[0106]具體地�����,在一個實施例中����,信息通知器204進行攻擊信息通知處理包括但不限于下列操作中的一項或多項:產生告警信息��、顯示存在攻擊行為的云應用以及該云應用所屬的用戶信息���、以及將存在攻擊行為的云應用所屬的用戶信息通知網警中心。
[0107]優(yōu)選地���,在另一個實施例中�,當安全分析器接收到安全檢測器上報的應用行為數(shù)據(jù)后�����,根據(jù)安全判斷規(guī)則確定云應用不存在攻擊行為時����,可以丟棄改應用行為數(shù)據(jù)�����。
[0108]優(yōu)選地�,在另一個實施例中,策略管理器201包括有配置接口���,管理員可以通過該配置接口配置安全判斷規(guī)則���、惡意應用處理規(guī)則和信息通知規(guī)則中的一項或多項����。其中���,該配置接口可以為圖形用戶界面(GUI)�����、網頁形式的配置界面或者應用程序接口(API)中的一種或多種���。進一步地,在配置惡意應用處理規(guī)則的時候�����,可以根據(jù)惡意應用的攻擊類型或者危險程度�����,配置不同的處理規(guī)則��,以進行區(qū)別處理,從而實現(xiàn)安全防護的靈活性和可擴展性�。當然,可以理解的是�,這三種規(guī)則中的一種和多種也可以不需要管理員配置,由云計算系統(tǒng)按照默認規(guī)則自定義��。
[0109]進一步地����,為了實現(xiàn)更細粒度的安全防護,策略管理器下發(fā)給安全檢測器的行為檢測規(guī)則可以包括:進程檢測規(guī)則或線程檢測規(guī)則����。這樣,安全檢測器可以對云應用進行進程或線程級別的檢測�����,安全分析器可以基于安全檢測器的檢測結果���,確定出存在攻擊行為的進程或線程,然后安全處理器可以對存在攻擊行為的進程或線程進行處理��,進而可以實現(xiàn)進程或線程界別的安全防護�。
[0110]下面結合具體的實例,進一步詳細闡述本發(fā)明實施例提供的云應用攻擊行為處理裝置,如圖4所示�,該云應用攻擊行為處理裝置為一云主機30。云主機30的主要工作流程如下:
[0111]1.通過策略管理器201的配置接口配置用于判斷應用攻擊行為的安全判斷規(guī)則����,其中配置動作可以由管理員或由運行于云計算系統(tǒng)的配置程序完成。在一個具體的例子中����,該安全判斷規(guī)則為:require different tcp port>100,即請求的TCP端口數(shù)目超過100個,該判斷規(guī)則表示當云應用向外請求的TCP端口數(shù)量超過100��,則判定該云應用有端口嗅探的行為�;
[0112]2.策略管理器201將安全判斷規(guī)則轉換為行為檢測規(guī)則:檢測云應用請求TCP端口的個數(shù),并將行為檢測規(guī)則下發(fā)給部署于云主機10上的安全檢測器205 ���;
[0113]3.安全檢測器205檢測App A和App B的行為���,例如,統(tǒng)計App A和App B請求TCP端口的數(shù)目����,并生成應用行為數(shù)據(jù)上報給安全分析器202 ;
[0114]4.安全分析器202根據(jù)收集到的應用行為數(shù)據(jù)與安全判斷規(guī)則����,判斷發(fā)現(xiàn)App B請求的TCP端口數(shù)超出了 100�,因此判斷App B有攻擊行為�����;
[0115]5.安全分析器202將App B的初始信息�����,比如進程ID�����,或進程名稱���,發(fā)送給安全處理器203 ���;
[0116]6.安全處理器203根據(jù)App B的初始信息從云計算系統(tǒng)應用庫查詢App B的用戶信息��;
[0117]7.安全處理器203調用云控制器關閉App B��,或將App B遷移到隔離的云主機����,或者禁止App B的用戶賬戶���;
[0118]8.安全分析器將App B的用戶信息通知信息通知器204,信息通知器204上報網警中心備案���。
[0119]該示例中����,云應用攻擊行為處理裝置成功的檢測并處理了 App B的端口嗅探行為�����,并且沒有對App A造成嚴重影響����。進一步地,安全分析器在發(fā)現(xiàn)App B有攻擊行為之后���,可以進一步根據(jù)App B的攻擊行為的類型或者危險程度���,對App采用不同的處理方式。其中��,對惡意應用的處理方式可以由惡意應用處理規(guī)則來指示,且該惡意應用處理規(guī)則可以由管理員通過策略管理器201的配置接口來配置��。其中����,該配置接口可以為WEB界面或者API
坐坐寸寸ο
[0120]下面對云應用攻擊行為處理裝置20中的各個模塊進行詳細介紹:
[0121](I)策略管理器201:策略管理器向管理員或自動配置程序提供配置接口,同時主要負責規(guī)則存儲�,規(guī)則轉化,規(guī)則下發(fā)等操作����。如圖5所示,策略管理器201包括有:配置接口 2011�,規(guī)則轉化單元2012、規(guī)則下發(fā)單元2013和規(guī)則存儲單元2014 ;其中配置接口 2011包括但不限于:圖形用戶界面(GUI)�����、網頁形式的配置界面或者應用程序接口(API)中的一種或多種�。通過配置接口 2011可配置的規(guī)則包括:安全判斷規(guī)則、惡意應用處理規(guī)則����、信息通知規(guī)則����。規(guī)則存儲單元2014將管理員通過配置接口 2011配置的各種規(guī)則存儲到對應的規(guī)則庫中����;規(guī)則轉化單元2012可以將管理員配置的安全判斷規(guī)則轉化為行為檢測規(guī)則����,規(guī)則下發(fā)單元2013負責將行為檢測規(guī)則下發(fā)至云主機上的安全檢測器。
[0122](2)安全分析器202:如圖6所示���,安全分析器主要負責接收安全檢測器發(fā)送來的應用行為數(shù)據(jù)����,然后根據(jù)策略管理器中存儲的安全判斷規(guī)則����,判斷云應用是否存在攻擊行為。如果判斷存在攻擊行為��,則將該云應用的初始信息(包括進程ID��、進程名稱等)發(fā)送給安全處理器�����。如果判斷不存在攻擊行為,則可以丟棄該應用行為數(shù)據(jù)�。
[0123](3)安全處理器203:安全處理器負責用惡意應用的處理。具體地����,如圖7所示,安全處理器203主要包括:應用信息接收單元2031�,用戶信息查詢單元2032,應用處理單元2033�,以及信息上報單元2034。應用信息接收單元2031接收安全分析器上報的惡意應用的初始信息�,用戶信息查詢單元2032從云計算系統(tǒng)應用信息庫中查詢云應用所屬的用戶信息,包括但不限于用戶名�����、用戶郵箱�、用戶身份證等信息。然后用戶信息查詢單元2032將用戶信息和惡意應用的行為信息通過信息上報單元2034上報給信息通知器��,使得信息通知器按照策略管理器中存儲的信息通知規(guī)則進行攻擊信息通知處理�����。應用處理單元2033依據(jù)策略管理器中存儲的惡意應用處理規(guī)則,調用云控制器提供的接口對惡意應用進行處理���。處理方式包括但不限于:關閉應用、將應用遷移到隔離的云主機�����、禁止用戶賬戶等�����。
[0124](4)信息通知器204:如圖8所示�����,信息通知器包括:應用信息接收單元2041�,信息通知策略判斷單元2042 ;其中,應用信息接收單元2041負責接收應用行為信息和云應用所屬的用戶信息�����;然后信息通知策略判斷單元2042根據(jù)策略管理器中存儲的信息通知規(guī)則進行攻擊信息通知處理�����。具體地,信息通知策略判斷單元2042可以調用或觸發(fā)告警產生單元2043產生告警信息���,比如生成告警界面�;可選地���,信息通知策略判斷單元2042可以調用或觸發(fā)信息呈現(xiàn)單元2044在WEB頁面以表格形式呈現(xiàn)惡意應用的信息���;可選地,信息通知策略判斷單元2042也可以調用或觸發(fā)信息通知單元將惡意應用的信息上報網警中心�����??梢岳斫獾氖牵畔⑼ㄖ骺梢园ǜ婢a生單元2043��,信息呈現(xiàn)單元2044和信息通知單元2045中的某一個���,也可以同時包含三者中的任意兩個�,也可以同時包含三者��,需要視具體的應用場景需求來確定�����,本發(fā)明實施例不做特別限定。
[0125]本發(fā)明實施例提供的云應用攻擊行為處理裝置能夠能滿足云計算系統(tǒng)應用部署場景���,基于云計算應用級別進行安全防護��,防止同一個主機內部不同云應用之間的相互攻擊,或者主機內部對主機本身進行的攻擊��,同時減少對正常云應用的影響��。進一步地�����,惡意應用處理策略可配置����,進而可根據(jù)不同安全級別或不同的攻擊類型對惡意應用進行區(qū)別處理。
[0126]需要說明的是��,本發(fā)明實施例提供的云應用攻擊行為處理裝置�,具體可以為云計算系統(tǒng)中的一臺云主機,該云主機可以為運行在物理機上的虛擬機��。如圖12所示,物理機1200包括硬件層100�,運行在硬件層100之上的VMM (Virtual Machine Monitor,虛擬機監(jiān)視器)110�����,以及運行在VMM 110之上的宿主機Hostl201和若干虛擬機(VM���,VirtualMachine),其中��,硬件層包括但不限于:1/0設備�����、CPU和memory�。本發(fā)明實施例提供的云應用攻擊行為處理裝置具體可以為物理機1200中的一臺虛擬機�,比如VM 1202,VM 1202上運行有一個或多個云應用�����,其中��,每一個云應用都用于實現(xiàn)相應的業(yè)務功能����,比如數(shù)據(jù)庫應用�����、地圖應用等等���,這些云應用可以由開發(fā)者開發(fā)然后部署到云計算系統(tǒng)中。此外VM1202還運行有可以執(zhí)行程序���,VM 1202通過運行該可執(zhí)行程序,并在程序運行的過程中通過宿主機Host 1201來調用硬件層100的硬件資源�����,以實現(xiàn)云應用攻擊行為處理裝置的策略管理器��、安全分析器��、安全處理器以及信息通知器的功能�����,具體而言��,策略管理器、安全分析器�、安全處理器以及信息通知器可以以軟件模塊或函數(shù)的形式被包含在上述可執(zhí)行程序中,t匕如該可執(zhí)行程序可以包括:策略管理器模塊����、安全分析器模塊、安全處理器模塊以及信息通知器模塊���,VM1202通過調用硬件層100中的CPU����、Memory等資源��,以運行該可執(zhí)行程序�,從而實現(xiàn)策略管理器、安全分析器���、安全處理器以及信息通知器的功能��。在另一種可能的場景下���,本發(fā)明實施例提供的云應用攻擊行為處理裝置,也可以為云計算系統(tǒng)中的一臺物理機�����,如圖13所示,物理機1300包括:至少I個處理器1301�����,例如CPU�����,至少I個網絡接口 1304�,存儲器1305,至少一個通信總線1302�����。通信總線1302用于實現(xiàn)這些組件之間的連接通信����。物理機1300可選的包含輸入/輸出設備1303,包括顯不器,鍵盤或者點擊設備(例如��,鼠標��,軌跡球(trackball)����,觸感板或者觸感顯示屏)�。存儲器1305可能包含高速RAM存儲器��,也可能還包括非不穩(wěn)定的存儲器(non-volatile memory),例如至少一個磁盤存儲器����。存儲器1305可選的可以包含至少一個位于遠離前述處理器1301的存儲裝置。存儲器1305存儲了如下的元素�,可執(zhí)行模塊或者數(shù)據(jù)結構,或者他們的子集�,或者他們的擴展集:
[0127]操作系統(tǒng)13051,包含各種系統(tǒng)程序��,用于實現(xiàn)各種基礎業(yè)務以及處理基于硬件的任務��;
[0128]應用程序模塊13052�,包含各種云應用,用于實現(xiàn)各種應用業(yè)務�,比如數(shù)據(jù)庫應用、地圖應用等等�����。
[0129]應用程序模塊13052中包括但不限于實現(xiàn)云應用攻擊行為處理裝置的策略管理器����、安全分析器�、安全處理器以及信息通知器的功能的模塊�。
[0130]應用程序模塊13052中各模塊的具體實現(xiàn)可參見本發(fā)明裝置及方法實施例,在此不贅述����。
[0131]相應地,本發(fā)明實施例提供的安全檢測器�����,可以為云計算系統(tǒng)中的云主機上的一個功能模塊��,例如����,若云主機為虛擬機時,安全檢測器可以為獨立運行在該虛擬機上的一個應用程序��,該應用程序在被該虛擬機執(zhí)行的過程中�,可以檢測該虛擬機上運行的其它云應用的行為���。若云主機為物理機時�,安全檢測器可以為存儲于該物理機的存儲器中的一個應用程序,該物理機的CPU通過讀取并執(zhí)行該應用程序�,可以實現(xiàn)對該物理機上運行的其它云應用的行為檢測的功能。
[0132]基于上述裝置實施例�,本發(fā)明實施例還提供一種應用于云計算系統(tǒng)中的云應用攻擊行為處理方法,其中�,該云計算系統(tǒng)包含有多臺云主機,云主機可以為物理機�,也可以為虛擬機;云計算系統(tǒng)的多臺云主機中至少有一臺為云控制器����,云控制器與云計算系統(tǒng)中的各個云主機通信連接或集成于某一云主機上,用于控制云計算系統(tǒng)中的多個云主機上運行的云應用�����;每一臺云主機上運行有一個或多個云應用���,且每一臺云主機上部署有一安全檢測器�����;安全檢測器負責依據(jù)行為檢測規(guī)則�����,對云主機上運行的云應用的行為進行檢測����。本發(fā)明實施例提供的云應用攻擊行為處理方法可以由云計算系統(tǒng)中的一臺云主機來執(zhí)行,也可以由云控制器來執(zhí)行��,如圖9所示��,該方法包括:
[0133]S901:接收云計算系統(tǒng)中的多個云主機中的至少一個云主機上報的應用行為數(shù)據(jù)���;該應用行為數(shù)據(jù)是該云主機上部署的安全檢測器根據(jù)行為檢測規(guī)則對該云主機上運行的云應用進行檢測后得到的��,且該應用行為數(shù)據(jù)用于表示該云主機上運行的云應用的運行狀態(tài)�;
[0134]S902:根據(jù)應用行為數(shù)據(jù)以及安全判斷規(guī)則��,判斷該云主機上運行的云應用是否存在攻擊行為��;
[0135]S903:如果判斷云主機上運行的云應用存在攻擊行為�����,則根據(jù)惡意應用處理規(guī)則����,調用云計算系統(tǒng)的云控制器提供的接口對存在攻擊行為的云應用進行處理。
[0136]優(yōu)選地����,調用云控制器提供的接口對將存在攻擊行為的云應用進行相應處理,包括:調用云控制器:關閉所述云應用�����、將所述云應用遷移到隔離的云主機�、或者禁止所述云應用的用戶賬戶。
[0137]優(yōu)選地�,在步驟S903中,如果判斷云主機上運行的云應用存在攻擊行為��,還可以根據(jù)該存在攻擊行為的云應用的初始信息查詢該云應用所屬的用戶信息�,然后將該存在攻擊行為的云應用的應用行為數(shù)據(jù)和查詢到的用戶信息備份,并按照信息通知規(guī)則進行攻擊信息通知處理�����;其中�,云應用的初始信息用于唯一標識該云應用,初始信息可以為進程ID或進程名稱����,或者兩者同時包含�����;云應用的用戶信息包括但不限于:用戶名���、用戶郵箱或用戶身份證號。需要說明的是�����,將應用行為數(shù)據(jù)和云應用所屬的用戶信息備份�,具體可以是以表格、日志或文檔等數(shù)據(jù)格式存儲在可靠存儲介質中�����,以便管理員查看����。
[0138]進一步地,進行攻擊信息通知處理包括但不限于以下操作之一或其任意組合:產生告警信息����、顯示存在攻擊行為的云應用以及該云應用所屬的用戶信息�����、或者將存在攻擊行為的云應用所屬的用戶信息通知網警中心。
[0139]可選地�,在步驟S903中,如果判斷云主機上運行的云應用不存在攻擊行為�,則丟棄接收到的該云應用的應用行為數(shù)據(jù)。
[0140]需要說明的是�,安全判斷規(guī)則用于定義云應用的何種行為為攻擊行為,惡意應用處理規(guī)則用于定義對于存在攻擊行為的云應用采取何種處理方式��,行為檢測規(guī)則用于定義對云應用的何種行為進行檢測�����,即行為檢測規(guī)則指示了對云應用進行檢測的檢測指標����。通常行為檢測規(guī)則和安全判斷規(guī)則是密切聯(lián)系的,可以互相轉化�����,因此在一個優(yōu)選的實施例中���,可以將安全判斷規(guī)則轉化為行為檢測規(guī)則��,然后下發(fā)給安全檢測器����。舉例來說,如果安全判斷規(guī)則為:云應用向外請求的TCP端口數(shù)量超過100則判斷云應用有端口嗅探的行為���;那么相應的行為檢測規(guī)則就為:采集云應用請求不同TCP端口的個數(shù)�����。這樣���,云主機上的安全檢測器就應該檢測云應用請求不同TCP端口的個數(shù)并將檢測結果。
[0141]可選地�����,在步驟S903中����,可以對所有存在攻擊行為的云應用(惡意應用)采用統(tǒng)一處理方式,比如關閉惡意應用��,或者將惡意應用遷移到隔離的云主機,或者禁止惡意應用的用戶賬戶��?���?蛇x地,也可以根據(jù)惡意應用攻擊行為的類型或者攻擊行為的危險程度����,對惡意應用進行不同程度或不同類型的處理��,比如�����,對于危險程度較低的惡意應用�,可以采取遷移或隔離等方式處理,對于高危險的惡意應用�,可以禁止該應用的用戶賬戶等等?���?梢岳斫獾氖牵谶@種情形下�,為了判斷惡意應用攻擊行為的類型或者危險程度����,需要根據(jù)惡意應用的行為數(shù)據(jù)來判斷該惡意應用的攻擊行為的類型或危險程度���。比如����,可以根據(jù)云應用的行為數(shù)據(jù)以及安全判斷規(guī)則��,區(qū)分出惡意應用和正常應用��,然后可以進一步查詢預先配置的應用特征庫�����,以確定惡意應用的攻擊行為的類型����,例如為拒絕服務攻擊,木馬攻擊或蠕蟲攻擊等等���。又比如��,在根據(jù)云應用的行為數(shù)據(jù)以及安全判斷規(guī)則����,確定出存在攻擊行為的惡意應用之后,可以根據(jù)云應用的行為數(shù)據(jù)��,查詢預先配置的應用特征庫�����,以確定出應用攻擊行為的類型��,然后進一步根據(jù)應用攻擊行為的類型��,確定應用攻擊行為的危險程度���。其中,應用特征庫用于描述應用的行為特征與應用的攻擊行為類型的映射關系����;可選地,應用特征庫可以是云計算系統(tǒng)中的一個獨立的數(shù)據(jù)集���,在根據(jù)云應用的行為數(shù)據(jù)以及安全判斷規(guī)則�,確定出存在攻擊行為的惡意應用之后�����,可以進一步查詢該應用特征庫以確定該惡意應用的攻擊行為的類型;當然�����,應用特征庫也可以是安全判斷規(guī)則的子集�,當根據(jù)安全判斷規(guī)則判斷出某一云應用為惡意應用之后,可以進一步根據(jù)安全判斷規(guī)則中包含的應用特征庫���,確定惡意應用的攻擊行為類型����?���?梢岳斫獾氖牵煌愋偷墓粜袨榈奈kU程度是不同的����,需要根據(jù)該攻擊行為對系統(tǒng)的危害程度來確定,對云計算系統(tǒng)造成的危害越大的攻擊行為��,其危險程度也越高。通?����?梢耘渲靡粋€映射表�,用于表征應用攻擊行為的類型與其危險程度的對應關系,這樣根據(jù)根據(jù)應用攻擊行為的類型��,通過查表的方式就可以確定應用的攻擊行為的危險程度�����。����。可選地����,也可以根據(jù)云計算系統(tǒng)的安全級別來對惡意應用進行處理�,不同的安全級別對應不同的處理方式。比如云計算系統(tǒng)的安全級別可以設置為“高”�、“中”、“低”三個級別�����,當云計算系統(tǒng)的安全級別為“高”時,關閉惡意應用��,同時禁止該惡意應用的用戶賬戶�����;當云計算系統(tǒng)的安全級別為“低”時���,將惡意應用遷移到特定的云主機進行隔離�。最后需要說明的是����,對惡意應用的三種處理模式,即上述的統(tǒng)一處理方式�,根據(jù)攻擊行為類型或危險程度處理的方式,以及根據(jù)云計算系統(tǒng)安全級別的處理方式����,可以通過惡意應用處理規(guī)則來指示,不同的處理模式對應有不同的惡意應用處理規(guī)則���。
[0142]優(yōu)選地����,在另一個實施例中,管理員可以通過配置接口配置安全判斷規(guī)則�����、惡意應用處理規(guī)則和信息通知規(guī)則中的一項或多項�����。其中��,該配置接口可以為WEB界面或者API等等��。進一步地����,在配置惡意應用處理規(guī)則的時候,可以根據(jù)惡意應用的攻擊類型或者危險程度��,配置不同的處理規(guī)則�����,以進行區(qū)別處理���,從而實現(xiàn)安全防護的靈活性和可擴展性����。當然�����,可以理解的是�����,這三種規(guī)則中的一種和多種也可以不需要管理員配置����,由云計算系統(tǒng)按照默認規(guī)則自定義。
[0143]可選地��,為了實現(xiàn)更細粒度的安全防護��,行為檢測規(guī)則可以包括:進程檢測規(guī)則或線程檢測規(guī)則��。這樣��,可以對應用進行進程或線程級別的檢測��,然后基于檢測結果確定出存在攻擊行為的進程或線程,對存在攻擊行為的進程或線程進行處理����,進而可以實現(xiàn)進程或線程界別的安全防護。
[0144]本發(fā)明實施例提供的云應用攻擊行為處理方法能夠能滿足云計算系統(tǒng)應用部署場景���,基于云計算應用級別進行安全防護�,防止同一個主機內部不同應用之間的相互攻擊���,或者主機內部對主機本身進行的攻擊���,同時減少對正常應用的影響。進一步地���,惡意應用處理策略可配置����,進而可根據(jù)不同安全級別或不同的攻擊類型對惡意應用進行區(qū)別處理��。
[0145]下面結合具體的實例��,進一步詳細闡述本發(fā)明實施例的云應用攻擊行為處理方法�,如圖10所示�����,該云應用攻擊行為處理方法包含主要工作流程如下:
[0146]1.通過配置接口配置用于判斷應用攻擊行為的安全判斷規(guī)則,并存儲至策略庫����;然后將安全判斷規(guī)則轉化為行為檢測規(guī)則下發(fā)至云主機的安全檢測器;
[0147]2.安全檢測器根據(jù)行為檢測規(guī)則檢測云應用行為并生產應用行為數(shù)據(jù)上報�;
[0148]3.根據(jù)收集到的應用行為數(shù)據(jù)與安全判斷規(guī)則,確定存在攻擊行為的惡意應用�����;
[0149]4.根據(jù)惡意應用的初始信息從云計算系統(tǒng)應用庫查詢惡意應用的用戶信息���;
[0150]5安調用云控制器關閉惡意應用��,或將惡意應用遷移到隔離的云主機�����,或者禁止惡意應用的用戶賬戶�����;
[0151]6.將惡意應用的用戶信息通知或呈現(xiàn)給管理員或網警中心�����。
[0152]該示例中����,云應用攻擊行為處理裝置成功的檢測并處理了惡意應用,并且沒有對正常應用造成嚴重影響�����。進一步地�,在發(fā)現(xiàn)應用有攻擊行為之后,可以進一步根據(jù)惡意應用的攻擊行為的類型或者危險程度����,對惡意應用采用不同的處理方式。其中�,對惡意應用的處理方式可以由惡意應用處理規(guī)則來指示,且該惡意應用處理規(guī)則可以由管理員通過配置接口來配置�。其中,該配置接口可以為圖形用戶界面(GUI)�����、網頁形式的配置界面或者應用程序接口(API)等等。
[0153]本發(fā)明實施例提供的云應用攻擊行為處理方法能夠能滿足云計算系統(tǒng)應用部署場景����,基于云計算應用級別進行安全防護���,防止同一個主機內部不同應用之間的相互攻擊���,或者主機內部對主機本身進行的攻擊,同時減少對正常應用的影響�����。進一步地��,惡意應用處理策略可配置����,進而可根據(jù)不同安全級別或不同的攻擊類型對惡意應用進行區(qū)別處理。
[0154]如圖11所示���,本發(fā)明實施例還提供了一種云應用安全防護系統(tǒng)����,應用于云計算系統(tǒng)中,用于實現(xiàn)上述云應用攻擊行為處理方法���,該云應用安全防護系統(tǒng)包括:云應用攻擊行為處理裝置20�、云控制器206��,以及多個安全檢測器(以圖11中的205為示例)����;其中,多個安全檢測器分別部署于多個云主機(如圖11中的10��、11���、12和13)上����,且每一云主機對應于一個安全檢測器����;云控制器206與多個云主機通信連接,或者集成于上述多個云主機中的一個云主機,用于管理和控制該多個云主機��,每一云主機上運行有一個或多個云應用;云應用攻擊行為處理裝置20中存儲有安全判斷規(guī)則和惡意應用處理規(guī)則����;
[0155]安全檢測器205用于,根據(jù)行為檢測規(guī)則對一個或多個云應用進行檢測�,以得到應用行為數(shù)據(jù),并將應用行為數(shù)據(jù)上報給云應用攻擊行為處理裝置20 ;其中�,該一個或多個云應用運行于安全檢測器205對應的云主機10上;
[0156]云應用攻擊行為處理裝置20用于�,接收多個云主機的至少一個云主機上的安全檢測器205上報的應用行為數(shù)據(jù),根據(jù)該應用行為數(shù)據(jù)以及安全判斷規(guī)則��,判斷云主機10上運行的云應用是否存在攻擊行為����;如果判斷存在攻擊行為���,則根據(jù)惡意應用處理規(guī)則���,調用云控制器206對將存在攻擊行為的云應用進行處理。
[0157]可選地����,上述行為檢測規(guī)則可以是由云應用攻擊行為處理裝置將安全判斷規(guī)則轉化后得到并下發(fā)給安全檢測器的。
[0158]可選地,如果云應用攻擊行為處理裝置20判斷云主機上運行的云應用存在攻擊行為����,還可以根據(jù)該存在攻擊行為的云應用的初始信息查詢該云應用所屬的用戶信息,然后將該存在攻擊行為的云應用的應用行為數(shù)據(jù)和查詢到的用戶信息備份�����,并按照信息通知規(guī)則進行攻擊信息通知處理����;其中,云應用的初始信息用于唯一標識該云應用���,初始信息可以為進程ID或進程���,或者兩者同時包含;云應用的用戶信息包括但不限于:用戶名�����、用戶郵箱或用戶身份證號�。
[0159]需要說明的是�����,將應用行為數(shù)據(jù)和云應用所屬的用戶信息備份�,具體可以是以表格、日志或文檔等數(shù)據(jù)格式存儲在可靠存儲介質中�����,以便管理員查看���。
[0160]進一步地���,進行攻擊信息通知處理包括但不限于:產生告警信息、顯示存在攻擊行為的云應用以及該云應用所屬的用戶信息�����、或者將存在攻擊行為的云應用所屬的用戶信息通知網警中心����。
[0161]可選地���,云應用攻擊行為處理裝置20與所述云控制器206通信連接�����,或者云應用攻擊行為處理裝置20集成于云控制器206上�。
[0162]優(yōu)選地,在另一個實施例中�����,云應用攻擊行為處理裝置20包括有配置接口�,管理員或配置程序可以通過該配置接口配置安全判斷規(guī)則、惡意應用處理規(guī)則和信息通知規(guī)則中的一項或多項�。其中,該配置接口可以為圖形用戶界面(GUI)��、網頁形式的配置界面或者應用程序接口(API)等等�。進一步地,在配置惡意應用處理規(guī)則的時候�,可以根據(jù)惡意應用的攻擊類型或者危險程度,配置不同的處理規(guī)則����,以進行區(qū)別處理,從而實現(xiàn)安全防護的靈活性和可擴展性�。當然,可以理解的是��,這三種規(guī)則中的一種和多種也可以不需要管理員配置��,由云計算系統(tǒng)按照默認規(guī)則自定義。
[0163]進一步地����,為了實現(xiàn)更細粒度的安全防護,云應用攻擊行為處理裝置20下發(fā)給安全檢測器的行為檢測規(guī)則可以包括:進程檢測規(guī)則或線程檢測規(guī)則��。這樣����,安全檢測器可以對云應用進行進程或線程級別的檢測,云應用攻擊行為處理裝置20可以基于安全檢測器的檢測結果��,確定出存在攻擊行為的進程或線程����,然后對存在攻擊行為的進程或線程進行處理,進而可以實現(xiàn)進程或線程界別的安全防護�。
[0164]需要說明的是,本發(fā)明實施例的云應用安全防護系統(tǒng)所包含的云應用攻擊行為處理裝置20可以為前述任一裝置實施例中所描述的云應用攻擊行為處理裝置����,其具體實現(xiàn)細節(jié)可以參照前述裝置及方法實施例���,此處不再贅述�。
[0165]本發(fā)明實施例提供的云應用攻擊行為檢測系統(tǒng)能夠能滿足云計算系統(tǒng)應用部署場景,基于云計算應用級別進行安全防護�����,防止同一個主機內部不同應用之間的相互攻擊����,或者主機內部對主機本身進行的攻擊,同時減少對正常應用的影響����。進一步地,惡意應用處理策略可配置���,進而可根據(jù)不同安全級別或不同的攻擊類型對惡意應用進行區(qū)別處理����。
[0166]本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關的硬件(例如處理器)來完成��,該程序可以存儲于一計算機可讀存儲介質中��,存儲介質可以包括:R0M�、RAM、磁盤或光盤等���。
[0167]以上對本發(fā)明實施例所提供的云應用攻擊行為處理方法�、裝置及系統(tǒng)進行了詳細介紹,本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述�����,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想����;同時,對于本領域的一般技術人員����,依據(jù)本發(fā)明的思想,在【具體實施方式】及應用范圍上均會有改變之處��,綜上所述����,本說明書內容不應理解為對本發(fā)明的限制。
【權利要求】
1.一種云計算系統(tǒng)中云應用攻擊行為的處理裝置��,其特征在于��,包括: 安全分析器��,安全處理器和策略管理器���,其中: 所述策略管理器用于存儲安全判斷規(guī)則和惡意應用處理規(guī)則���; 所述安全分析器用于接收云計算系統(tǒng)中的多個云主機中的至少一個云主機上的安全檢測器發(fā)送的應用行為數(shù)據(jù),根據(jù)所述應用行為數(shù)據(jù)以及所述策略管理器中存儲的安全判斷規(guī)則����,確定所述至少一個云主機上運行的云應用是否存在攻擊行為,并在確定所述至少一個云主機上運行的云應用存在攻擊行為時����,將所述應用行為數(shù)據(jù)發(fā)送給所述安全處理器;其中�����,所述應用行為數(shù)據(jù)是所述安全檢測器根據(jù)行為檢測規(guī)則對所述云應用進行檢測后得到的����,且所述應用行為數(shù)據(jù)用于表示所述云應用的運行狀態(tài); 所述安全處理器���,用于根據(jù)所述策略管理器中存儲的惡意應用處理規(guī)則�,調用所述云計算系統(tǒng)中的云控制器提供的接口對所述云應用進行處理,所述云控制器與所述至少一個云主機通信連接或集成于所述至少一個云主機���,用于控制所述至少一個云主機上運行的云應用����。
2.根據(jù)權利要求1所述的裝置����,其特征在于,還包括:信息通知器�����;所述策略管理器中還存儲有信息通知規(guī)則���; 所述安全分析器還用于���,當確定所述云應用存在攻擊行為時,獲取所述云應用的初始信息并發(fā)送給所述安全處理器���,其中�����,所述初始信息用于標識所述云應用����; 所述安全處理器還用于�,根據(jù)所述云應用的初始信息查詢所述云應用所屬的用戶信息,將所述用戶信息和所述應用行為數(shù)據(jù)發(fā)送給所述信息通知器���; 所述信息通知器用于�,將接收到的應用行為數(shù)據(jù)和云應用所屬的用戶信息存儲并按照所述策略管理器中存儲的信息通知規(guī)則進行攻擊信息通知處理����。
3.根據(jù)權利要求1或2所述的裝置,其特征在于��, 所述策略管理器用于���,將所述安全判斷規(guī)則轉化為所述行為檢測規(guī)則���,并將所述行為檢測規(guī)則下發(fā)給所述至少一個云主機的安全檢測器。
4.根據(jù)權利要求1至3任一項所述的裝置��,其特征在于,所述惡意應用處理規(guī)則用于指示對不同類型惡意應用的處理方式���,或者對不同危險程度的惡意應用的處理方式�����,其中��,所述惡意應用為存在攻擊行為的云應用�;所述安全處理器����,具體用于根據(jù)所述云應用的攻擊行為的類型,以及所述惡意應用處理規(guī)則所指示的對該類型應用的處理方式�����,對所述云應用進行相應處理����;或者所述安全處理器,具體用于根據(jù)所述云應用的攻擊行為的危險程度����,以及所述惡意應用處理規(guī)則所指示的對該危險程度的應用的處理方式�,對所述云應用進行相應處理��。
5.根據(jù)權利要求2至4任一項所述的裝置��,其特征在于��,所述攻擊信息通知處理具體包括以下之一或其任意組合:產生告警信息����、顯示存在攻擊行為的云應用以及該云應用所屬的用戶信息��、以及將存在攻擊行為的云應用所屬的用戶信息通知網警中心���。
6.根據(jù)權利要求1至5任一項所述的裝置�����,其特征在于�,所述云應用攻擊行為處理裝置集成于所述云控制器�。
7.根據(jù)權利要求2至6任一項所述的裝置,其特征在于���,所述安全判斷規(guī)則���、惡意應用處理規(guī)則和信息通知規(guī)則中的一項或多項是通過所述策略管理器的配置接口配置的��,其中所述策略管理器的配置接口包括:配置界面和應用程序接口仙I中的至少一種����。
8.根據(jù)權利要求1至6任一項所述的裝置���,其特征在于��,所述行為檢測規(guī)則包括:進程檢測規(guī)則或線程檢測規(guī)則��; 所述應用行為數(shù)據(jù)是所述安全檢測器根據(jù)所述行為檢測規(guī)則對所述云應用的進程或線程進行檢測后得到的���。
9.根據(jù)權利要求8所述的裝置,其特征在于��,所述安全分析器還用于在確定所述云應用不存在攻擊行為時��,丟棄所述應用行為數(shù)據(jù)�。
10.一種云應用攻擊行為處理方法,用于包括多個云主機的云計算系統(tǒng)�,其特征在于,包括: 接收所述多個云主機中的至少一個云主機上報的應用行為數(shù)據(jù)�����,其中,所述應用行為數(shù)據(jù)是所述至少一個云主機上的安全檢測器根據(jù)行為檢測規(guī)則對所述至少一個云主機上運行的云應用進行檢測后得到的�����,且所述應用行為數(shù)據(jù)用于表示所述至少一個云主機上運行的云應用的運行狀態(tài)��; 根據(jù)所述應用行為數(shù)據(jù)以及安全判斷規(guī)則���,判斷所述至少一個云主機上運行的云應用是否存在攻擊行為; 如果判斷所述至少一個云主機上運行的云應用存在攻擊行為����,則根據(jù)惡意應用處理規(guī)貝0,調用所述云計算系統(tǒng)中的云控制器提供的接口對存在攻擊行為的云應用進行處理��,其中所述云控制器與所述至少一個云主機通信連接或集成于所述至少一個云主機�,用于控制所述至少一個云主機上運行的云應用。
11.根據(jù)權利要求10所述的方法�����,其特征在于��,還包括: 如果判斷所述至少一個云主機上運行的云應用存在攻擊行為,則根據(jù)所述存在攻擊行為的云應用的初始信息查詢所述云應用所屬的用戶信息��,其中�,所述初始信息用于標識所述云應用; 將所述存在攻擊行為的云應用的應用行為數(shù)據(jù)和查詢到的用戶信息存儲����,并按照信息通知規(guī)則進行攻擊信息通知處理。
12.根據(jù)權利要求10或11所述的方法����,其特征在于,還包括: 如果判斷所述至少一個云主機上運行的云應用不存在攻擊行為����,則丟棄接收到的所述應用行為數(shù)據(jù)。
13.根據(jù)權利要求10至12任一項所述的方法��,其特征在于�,所述惡意應用處理規(guī)則用于指示對不同類型惡意應用的處理方式,或者對不同危險程度的惡意應用的處理方式����,其中,所述惡意應用為存在攻擊行為的云應用��;所述調用云控制器提供的接口對將存在攻擊行為的云應用進行相應處理,包括:根據(jù)所述云應用的攻擊行為的類型���,以及所述惡意應用處理規(guī)則所指示的對該類型應用的處理方式���,對所述云應用進行相應處理;或者根據(jù)所述云應用的攻擊行為的危險程度��,以及所述惡意應用處理規(guī)則所指示的對該危險程度的應用的處理方式���,對所述云應用進行相應處理��。
14.根據(jù)權利要求11至13任一項所述的方法�����,其特征在于,所述按照信息通知規(guī)則進行攻擊信息通知處理包括以下之一或其任意組合: 產生告警信息���、顯示存在攻擊行為的云應用以及該云應用所屬的用戶信息�����、以及將存在攻擊行為的云應用所屬的用戶信息通知網警中心���。
15.根據(jù)權利要求10至14任一項所述的方法�,其特征在于�����,還包括:將所述安全判斷規(guī)則轉化為所述行為檢測規(guī)則���,并將所述行為檢測規(guī)則發(fā)送給所述安全檢測器�。
16.根據(jù)權利要求10至15任一項所述的方法����,其特征在于,所述安全判斷規(guī)則��、惡意應用處理規(guī)則和信息通知規(guī)則中的一項或多項是通過配置接口配置的��;其中所述配置接口包括:配置界面和應用程序接口 API中的至少一種���。
17.—種云應用安全防護系統(tǒng)�,其特征在于��,包括:云應用攻擊行為處理裝置、云控制器����,以及多個安全檢測器;其中���,所述多個安全檢測器分別部署于多個云主機上���,且每一云主機對應于一個安全檢測器;所述云控制器與所述多個云主機通信連接��,用于管理和控制所述多個云主機����,每一云主機上運行有一個或多個云應用;所述云應用攻擊行為處理裝置中存儲有安全判斷規(guī)則和惡意應用處理規(guī)則���; 所述安全檢測器用于����,根據(jù)行為檢測規(guī)則對一個或多個云應用進行檢測�,以得到應用行為數(shù)據(jù)��,并將所述應用行為數(shù)據(jù)上報給所述云應用攻擊行為處理裝置;其中����,所述一個或多個云應用運行于所述安全檢測器對應的云主機上; 所述云應用攻擊行為處理裝置用于���,接收所述多個云主機的至少一個云主機上的安全檢測器上報的應用行為數(shù)據(jù)���,根據(jù)所述應用行為數(shù)據(jù)以及所述安全判斷規(guī)則,判斷所述至少一個云主機上運行的云應用是否存在攻擊行為�����;如果判斷所述至少一個云主機上運行的云應用存在攻擊行為��,則根據(jù)所述惡意應用處理規(guī)則����,調用云控制器提供的接口對存在攻擊行為的云應用進行相應處理。
18.根據(jù)權利要求17所述的系統(tǒng)����,其特征在于,所述云應用攻擊行為處理裝置還用于�,將所述安全判斷規(guī)則轉化為所述行為檢測規(guī)則���,并將所述行為檢測規(guī)則下發(fā)給各個云主機的安全檢測器。
19.根據(jù)權利要求17或18所述的系統(tǒng)��,其特征在于�����,所述云應用攻擊行為處理裝置還用于��,如果判斷所述至少一個云主機上運行的云應用不存在攻擊行為�,則丟棄接收到的所述應用行為數(shù)據(jù)。
20.根據(jù)權利要求17或18所述的系統(tǒng)���,其特征在于�����,所述云應用攻擊行為處理裝置還用于�,如果判斷所述至少一個云主機上運行的云應用存在攻擊行為���,則顯示存在攻擊行為的云應用以及該云應用所屬的用戶信息��、或者將存在攻擊行為的云應用所屬的用戶信息通知網警中心�。
21.根據(jù)權利要求17至20任一項所述的系統(tǒng)�����,其特征在于����,所述云應用攻擊行為處理裝置與所述云控制器通信連接,或者所述云應用攻擊行為處理裝置集成于所述云控制器上����。
22.根據(jù)權利要求17至21任一項所述的系統(tǒng),其特征在于���,所述惡意應用處理規(guī)則用于指示對不同類型惡意應用的處理方式���,或者對不同危險程度的惡意應用的處理方式,其中�,所述惡意應用為存在攻擊行為的云應用;所述云應用攻擊行為處理裝置具體用于:根據(jù)所述云應用的攻擊行為的類型��,以及所述惡意應用處理規(guī)則所指示的對該類型應用的處理方式����,對所述云應用進行相應處理�����;或者根據(jù)所述云應用的攻擊行為的危險程度�,以及所述惡意應用處理規(guī)則所指示的對該危險程度的應用的處理方式�����,對所述云應用進行相應處理���。
【文檔編號】H04L29/08GK104392175SQ201410709018
【公開日】2015年3月4日 申請日期:2014年11月26日 優(yōu)先權日:2014年11月26日
【發(fā)明者】蒙澤超, 劉赫偉 申請人:華為技術有限公司