【技术实现步骤摘要】
本专利技术涉及计算机
,尤其涉及一种云计算系统中云应用攻击行为的处理方法、装置及系统。
技术介绍
根据美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)的定义,云计算有三大服务模式,分别是SaaS(software as a service,软件即服务)、PaaS(platform as a service平台即服务)和IaaS(infrastructure as a service,基础设施即服务)。其中PaaS是把服务器平台作为一种服务提供的商业模式。PaaS主要为云应用提供CPU、内存等硬件资源以及操作系统、程序依赖库等软件资源,云应用的开发者不必关心应用运行的软硬件环境,集中精力在开发应用程序本身。PaaS的出现,加快了云应用的开发和部署,因此在互联网时代,越来越多的云应用将会被部署到云计算系统中。在云计算系统(可简称云系统)中,为了增加系统硬件资源的利用率,通常会将多个云应用运行在同一个云主机中(硬件主机或虚拟主机,不同的云计算系统有不同的实现),云计算系统为云应用提供必要的系统资源隔离,保证运行在同一云主机中运行的云应用之间不会相互干扰。同时云计算系统还提供云主机内的虚拟网络以供云应用之间的通信。在另一方面的网络安全领域,黑客们向目标机器发起攻击之前,为了隐藏自己的身份,通常会在网络上寻找肉鸡(可被控制的傀儡机),然 ...
【技术保护点】
一种云计算系统中云应用攻击行为的处理装置,其特征在于,包括:安全分析器,安全处理器和策略管理器,其中:所述策略管理器用于存储安全判断规则和恶意应用处理规则;所述安全分析器用于接收云计算系统中的多个云主机中的至少一个云主机上的安全检测器发送的应用行为数据,根据所述应用行为数据以及所述策略管理器中存储的安全判断规则,确定所述至少一个云主机上运行的云应用是否存在攻击行为,并在确定所述至少一个云主机上运行的云应用存在攻击行为时,将所述应用行为数据发送给所述安全处理器;其中,所述应用行为数据是所述安全检测器根据行为检测规则对所述云应用进行检测后得到的,且所述应用行为数据用于表示所述云应用的运行状态;所述安全处理器,用于根据所述策略管理器中存储的恶意应用处理规则,调用所述云计算系统中的云控制器提供的接口对所述云应用进行处理,所述云控制器与所述至少一个云主机通信连接或集成于所述至少一个云主机,用于控制所述至少一个云主机上运行的云应用。
【技术特征摘要】
1.一种云计算系统中云应用攻击行为的处理装置,其特征在于,包括:
安全分析器,安全处理器和策略管理器,其中:
所述策略管理器用于存储安全判断规则和恶意应用处理规则;
所述安全分析器用于接收云计算系统中的多个云主机中的至少一个云主
机上的安全检测器发送的应用行为数据,根据所述应用行为数据以及所述策略
管理器中存储的安全判断规则,确定所述至少一个云主机上运行的云应用是否
存在攻击行为,并在确定所述至少一个云主机上运行的云应用存在攻击行为
时,将所述应用行为数据发送给所述安全处理器;其中,所述应用行为数据是
所述安全检测器根据行为检测规则对所述云应用进行检测后得到的,且所述应
用行为数据用于表示所述云应用的运行状态;
所述安全处理器,用于根据所述策略管理器中存储的恶意应用处理规则,
调用所述云计算系统中的云控制器提供的接口对所述云应用进行处理,所述云
控制器与所述至少一个云主机通信连接或集成于所述至少一个云主机,用于控
制所述至少一个云主机上运行的云应用。
2.根据权利要求1所述的装置,其特征在于,还包括:信息通知器;所述
策略管理器中还存储有信息通知规则;
所述安全分析器还用于,当确定所述云应用存在攻击行为时,获取所述云
应用的初始信息并发送给所述安全处理器,其中,所述初始信息用于标识所述
云应用;
所述安全处理器还用于,根据所述云应用的初始信息查询所述云应用所属
的用户信息,将所述用户信息和所述应用行为数据发送给所述信息通知器;
所述信息通知器用于,将接收到的应用行为数据和云应用所属的用户信息
存储并按照所述策略管理器中存储的信息通知规则进行攻击信息通知处理。
3.根据权利要求1或2所述的装置,其特征在于,
所述策略管理器用于,将所述安全判断规则转化为所述行为检测规则,并
将所述行为检测规则下发给所述至少一个云主机的安全检测器。
4.根据权利要求1至3任一项所述的装置,其特征在于,所述恶意应用处
理规则用于指示对不同类型恶意应用的处理方式,或者对不同危险程度的恶意
应用的处理方式,其中,所述恶意应用为存在攻击行为的云应用;所述安全处
理器,具体用于根据所述云应用的攻击行为的类型,以及所述恶意应用处理规
则所指示的对该类型应用的处理方式,对所述云应用进行相应处理;或者所述
安全处理器,具体用于根据所述云应用的攻击行为的危险程度,以及所述恶意
应用处理规则所指示的对该危险程度的应用的处理方式,对所述云应用进行相
应处理。
5.根据权利要求2至4任一项所述的装置,其特征在于,所述攻击信息通
知处理具体包括以下之一或其任意组合:产生告警信息、显示存在攻击行为的
云应用以及该云应用所属的用户信息、以及将存在攻击行为的云应用所属的用
户信息通知网警中心。
6.根据权利要求1至5任一项所述的装置,其特征在于,所述云应用攻击
行为处理装置集成于所述云控制器。
7.根据权利要求2至6任一项所述的装置,其特征在于,所述安全判断规
则、恶意应用处理规则和信息通知规则中的一项或多项是通过所述策略管理器
的配置接口配置的,其中所述策略管理器的配置接口包括:配置界面和应用程
序接口API中的至少一种。
8.根据权利要求1至6任一项所述的装置,其特征在于,所述行为检测规
则包括:进程检测规则或线程检测规则;
所述应用行为数据是所述安全检测器根据所述行为检测规则对所述云应
用的进程或线程进行检测后得到的。
9.根据权利要求8所述的装置,其特征在于,所述安全分析器还用于在确
定所述云应用不存在攻击行为时,丢弃所述应用行为数据。
10.一种云应用攻击行为处理方法,用于包括多个云主机的云计算系统,
其特征在于,包括:
接收所述多个云主机中的至少一个云主机上报的应用行为数据,其中,所
述应用行为数据是所述至少一个云主机上的安全检测器根据行为检测规则对
所述至少一个云主机上运行的云应用进行检测后得到的,且所述应用行为数据
用于表示所述至少一个云主机上运行的云应用的运行状态;
根据所述应用行为数据以及安全判断规则,判断所述至少一个云主机上运
行的云应用是否存在攻击行为;
如果判断所述至少一个云主机上运行的云应用存在攻击行为,则根据恶意
应用处理规则,调用所述云计算系统中的云控制器提供的接口对存在攻击行为
的云应用进行处理,其中所述云控制器与所述至少一个云主机通信连接或集成
于所述至少一个云主机,用于控制所述至少一个云主机上运行的云应用。
11.根据权利要求10所述的方法,其特征在于,还包括:
如果判断所述至少一个云主机...
【专利技术属性】
技术研发人员:蒙泽超,刘赫伟,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。