用于基于速度事件检测对于云应用的未授权访问的技术制造技术

呈现了一种用于基于速度事件检测对云应用的未授权访问的系统和方法。该方法包括：标识在第一时间并且从第一位置对云应用的第一访问尝试；标识在第二时间并且从第二位置对云应用的第二访问尝试；基于第一时间、第二时间、第一位置和第二位置，计算第一访问尝试与第二访问尝试之间的速度；检查计算出的速度是否大于速度阈值；并且当计算出的速度大于速度阈值时，生成速度事件，其中速度事件指示访问尝试是未授权的。

Technology for unauthorized access to cloud applications based on speed event detection

A system and method for unauthorized access to cloud applications based on speed event detection are presented. The method includes: identifying the first access attempt at the first time and from the first position to the cloud application; identifying the second access attempt at the second time and from the second position to the cloud application; calculating the speed between the first visit and the second access attempts based on the first, second, first and second positions. Degree; check whether the calculated speed is greater than the speed threshold; and when the calculated speed is greater than the speed threshold, the speed event is generated, in which the speed event indicates that the access attempt is unauthorized.

【技术实现步骤摘要】
【国外来华专利技术】用于基于速度事件检测对于云应用的未授权访问的技术
本公开总体上涉及保护在云计算平台中实现的应用，并且更特别地涉及用于实现对这种应用的应用级访问控制的技术。
技术介绍
近年来，增长数目的提供者已经开始提供在云中创建计算环境的能力。例如，在2006中，AmazonWebServicesTM(也被称为AWS)发起向用户提供配置被定制到在云平台上执行的应用的整个环境的服务。一般来说，这样的服务允许开发可扩展应用，在可扩展应用中，计算资源被用于支持应用的有效执行。开发、提供或者以其他方式维持基于云的应用的组织和商业机构已经习惯依赖于这些服务，并且实现从复杂网站到被提供为软件即服务(SasS)递送模型的应用和服务的各种类型的环境。这样的服务和应用被统称为“云应用”。云应用通常地通过用户使用客户端设备经由网络浏览器访问。除了其他方面，云应用包括电子商务应用、社交媒体应用、企业应用、游戏应用、媒体共享应用、存储应用、软件开发应、等等。许多个体用户、商业和企业变为云应用代替本地安装和管理的“传统的”软件应用。例如，企业可以使用用于电子邮件账户的365在线服务，而不是具有由企业维护的服务器。当对云应用做出较大的依赖时，保护对这样的云应用的访问变得日益重要。例如，对于在基于云的平台中所执行的电子商务应用而言，必须防止任何未授权访问和/或数据失窃以确保对敏感客户和商业信息(诸如例如信用卡号、姓名、地址，等等)的保护。云计算平台的提供者(例如，Amazon)提供主要被设计为防止其基础设施被网络攻击(例如，Dos、DDoS等)的各种安全能力。然而，云计算平台未被设计为检测对其中托管的云应用的任何未授权和/或不安全的访问。如果不是全部，则大多数云应用实现常常限于用户名和密码(亦称登录信息)的本地访问控制。更高级的方案将要求使用例如软件认证和/或两步认证的另一层认证。然而，当前可用的认证方案对于用户的设备而言是不可知的。也就是说，用户可以使用相同证书从任何客户端设备认证并且具有相同的信任级别和对云应用的功能的许可，而不管被用于访问应用的客户端设备。例如，用户可以使用相同的登录信息从他/她的工作计算机和从他/她的家庭计算机二者访问365电子邮件账户，并且将具有来自这两个计算机的相同程度的访问。由于并非所有客户端设备被配置有相同的安全级别，因而获得对云应用的访问的现有方法使企业暴露于明显的漏洞。参考以上示例，工作计算机可以完全地完全，而家庭计算机可能未安装有反恶意软件。如此，从家庭计算机到敏感文件(例如，电子邮件)的任何访问可以由可能存在于家庭计算机中的恶意代码下载和分布。更重要地，黑客可以仅通过偷窃或者揭露合法用户的登录信息而访问云应用的内容。这样的信息可能通过追踪cookies、投射到非安全网络等容易地被揭露或者被泄露。进一步地，常规的认证方案未在被管理客户端设备与试图访问云应用的未被管理客户端设备之间进行区分。被管理设备通常地由例如组织的IT人员保护，而未被管理设备却不是。参考以上示例，工作计算机是被管理设备，而家庭计算机是未被管理设备。因此，提供用于检测对云应用的未授权访问尝试的有效方案将是有利的。
技术实现思路
本公开的多个示例实施例的
技术实现思路
如下。本
技术实现思路
被提供以便于向读者提供这样的实施例的基本理解，并且未完全定义本公开的宽度。本
技术实现思路
不是所有预期实施例的广泛概述，并且旨在既不标识所有实施例的关键元素或者重要元素也不描绘任何或所有方面的范围。其唯一目的是以简化形式将一个或多个实施例的一些概念呈现为稍后呈现的更详细描述的前序。为了方便起见，术语“一些实施例”在此可以被用于指代本公开的单个实施例或者多个实施例。所公开的实施例包括用于基于速度事件检测对云应用的未授权访问的方法。方法包括：标识在第一时间并且从第一位置对云应用的第一访问尝试；标识在第二时间并且从第二位置对云应用的第二访问尝试；基于第一时间、第二时间、第一位置和第二位置，计算第一访问尝试与第二访问尝试之间的速度；检查计算出的速度是否大于速度阈值；并且当计算的速度大于速度阈值时，生成速度事件，其中速度事件指示第二访问尝试是未授权的。所公开的实施例还包括用于基于速度事件检测对云应用的未授权访问的方法的系统。系统包括：处理单元；以及存储器，存储器包含指令，所述指令当由处理单元执行时，将系统配置为：标识在第一时间并且从第一位置对云应用的第一访问尝试；标识在第二时间并且从第二位置对云应用的第二访问尝试；基于第一时间、第二时间、第一位置和第二位置，计算第一访问尝试与第二访问尝试之间的速度；检查计算出的速度是否大于速度阈值；并且当计算出的速度大于速度阈值时，生成速度事件，其中速度事件指示第二访问尝试是未授权的。附图说明本公开的实施例的前述和其他目标、特征和优点将从结合附图的以下详细描述变得明显。图1是用于描述所公开的实施例的网络化系统的示意图。图2是根据一个实施例的图示被管理代理的操作的流程图。图3是根据实施例的被管理代理的块图。图4和图5是根据实施例的图示风险得分的计算的决策模型树。具体实施方式重要的是，注意在此所公开的实施例仅是在此创新教导的许多有利使用的示例。一般来说，在本申请的说明书中做出的陈述不必限制各种权利要求中的任一项。而且，一些陈述可以适用于一些专利技术特征而不适用于其他专利技术特征。一般而言，除非另外指示，否则在不损失一般性的情况下，单数元素可以为复数并且反之亦然。在附图中，相同附图标记贯穿多个视图指代相同部分。图1是用于描述各种所公开的实施例的网络化系统100的示例性和非限制示图。网络化系统100包括云计算平台110，其可以是私有云、公共云或者混合云，其将计算资源提供到在其中执行的应用或者服务。在示例性图1中，在平台110中执行多个云应用115-1到115-n(在下文中单独地被称为云应用115并且共同地被称为云应用115)。如上所述，除了其他方面，云应用可以包括电子商务应用、协作应用、办公室和消息应用、社交媒体应用、企业应用、游戏应用、媒体共享应用，等等。网络化系统100还包括被管理代理120、客户端设备130-1和130-2和单点登录(SSO)服务器140，它们通信地连接到网络160。网络160可以是例如广域网(WAN)、局域网(LAN)、因特网等。客户端设备130-1和130-2中的每个客户端设备可以包括例如个人计算机、膝上型电脑、平板计算机、智能电话、可穿戴计算设备或者任何其他计算设备。客户端设备130-1和130-2中的任一个可以是被管理设备或者未被管理设备。客户端设备130-1和130-2可以属于相同用户或者可以是相同设备。仅图示两个客户端设备以在根据两个不同的地理位置并且在没有对所公开的实施例中的任一个的限制的情况下所执行的访问尝试之间进行区分。应当注意，虽然仅出于简单性的缘故在图1中描绘了两个客户端设备130，但是在此所公开的实施例可以被应用到多个客户端设备。SSO服务器140允许客户端设备130的用户登录一次并且在不被提示在其中的每一个处再次登录的情况下获得对企业的系统/应用的访问。为此目的，SSO服务器140通常地利用轻量目录访问协议(LDAP)数据库和/或持久cookies。在实施例中，访问任何云应用115的请求从客户端设备130中的任一本文档来自技高网...

【技术保护点】
1.一种用于检测对云应用的未授权访问的系统，包括：处理单元；以及存储器，所述存储器包含指令，所述指令当由所述处理单元执行时，将所述系统配置为：标识在第一时间并且从第一位置对云应用的第一访问尝试；标识在第二时间并且从第二位置对云应用的第二访问尝试；基于所述第一时间、所述第二时间、所述第一位置以及所述第二位置，计算所述第一访问尝试与所述第二访问尝试之间的速度；检查计算出的所述速度是否大于速度阈值；以及当计算出的所述速度大于所述速度阈值时，生成速度事件，其中所述速度事件指示所述访问尝试是未授权的。

【技术特征摘要】
【国外来华专利技术】2015.11.30 US 14/954,1361.一种用于检测对云应用的未授权访问的系统，包括：处理单元；以及存储器，所述存储器包含指令，所述指令当由所述处理单元执行时，将所述系统配置为：标识在第一时间并且从第一位置对云应用的第一访问尝试；标识在第二时间并且从第二位置对云应用的第二访问尝试；基于所述第一时间、所述第二时间、所述第一位置以及所述第二位置，计算所述第一访问尝试与所述第二访问尝试之间的速度；检查计算出的所述速度是否大于速度阈值；以及当计算出的所述速度大于所述速度阈值时，生成速度事件，其中所述速度事件指示所述访问尝试是未授权的。2.根据权利要求1所述的系统，其中所述速度阈值基于在所述第一时间与所述第二时间之间的差内从所述第一位置行进到所述第二位置所要求的速度。3.根据权利要求1所述的系统，其中所述系统还被配置为：在确定所要求的所述速度不大于所述速度阈值时，确定所述第二访问尝试是授权的。4.根据权利要求1所述的系统，其中所述第一访问尝试和所述第二访问尝试用于以下各项中的任一项：相同的云应用和不同的云应用。5.根据权利要求1所述的系统，其中所述系统还被配置为：使用决策树计算风险得分；基于所述风险得分，确定所述速度事件是否是假肯定；在确定所述速度事件是假肯定时，确定所述第二访问尝试是授权的；以及在确定所述速度事件不是假肯定时，确定访问尝试是未授权的。6.根据权利要求5所述的系统，其中所述决策树至少基于与由所述用户的合法访问尝试有关的信息而被生成，其中所述决策树在由所述用户的合法访问尝试被检测时被更新。7.根据权利要求1所述的系统，其中所述处理器还被配置为：在生成速度事件时，基于至少一个规则激活至少一个保...

【专利技术属性】
技术研发人员：Y·莫斯特，Y·科斯蒂卡，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US