一种云计算系统中云应用攻击行为处理方法、装置及系统制造方法及图纸

本发明专利技术公开了一种云计算系统中云应用攻击行为的处理装置，包括：安全分析器，安全处理器和策略管理器，其中：策略管理器用于存储安全判断规则和恶意应用处理规则；安全分析器用于接收安全检测器发送的应用行为数据，根据该应用行为数据以及安全判断规则，确定该云主机上运行的云应用是否存在攻击行为，并在确定该云主机上运行的云应用存在攻击行为时，将该应用行为数据发送给安全处理器；安全处理器，用于根据恶意应用处理规则，调用云计算系统中的云控制器提供的接口对存在攻击行为的云应用进行处理。本发明专利技术方案基于云计算应用级别进行安全防护，能防止同一个主机内部不同应用之间的相互攻击，同时减少对正常应用的影响。

【技术实现步骤摘要】

本专利技术涉及计算机
，尤其涉及一种云计算系统中云应用攻击行为的处理方法、装置及系统。
技术介绍
根据美国国家标准与技术研究院(National Institute of Standards and Technology，NIST)的定义，云计算有三大服务模式，分别是SaaS(software as a service,软件即服务)、PaaS(platform as a service平台即服务)和IaaS(infrastructure as a service,基础设施即服务)。其中PaaS是把服务器平台作为一种服务提供的商业模式。PaaS主要为云应用提供CPU、内存等硬件资源以及操作系统、程序依赖库等软件资源，云应用的开发者不必关心应用运行的软硬件环境，集中精力在开发应用程序本身。PaaS的出现，加快了云应用的开发和部署，因此在互联网时代，越来越多的云应用将会被部署到云计算系统中。在云计算系统(可简称云系统)中，为了增加系统硬件资源的利用率，通常会将多个云应用运行在同一个云主机中(硬件主机或虚拟主机，不同的云计算系统有不同的实现)，云计算系统为云应用提供必要的系统资源隔离，保证运行在同一云主机中运行的云应用之间不会相互干扰。同时云计算系统还提供云主机内的虚拟网络以供云应用之间的通信。在另一方面的网络安全领域，黑客们向目标机器发起攻击之前，为了隐藏自己的身份，通常会在网络上寻找肉鸡(可被控制的傀儡机)，然后通过肉鸡再来发起攻击。这样就算被攻击者检查到攻击，也只能查到肉鸡的地址，查不到黑客们的真实地址。在云计算系统兴起之后，网络黑客便可以不用再寻找肉鸡，而是直接将他们的攻击程序运行在云计算系统上，并且能够运行多份攻击程序的实例，形成一个大规模的攻击系统。在云计算系统中，黑客不仅能利用原有的攻击程序向目标进行攻击，并且可以利用云计算系统内部运行有大量的云应用程序这个特点，通过攻击程序攻击云计算系统内部不同云主机上的应用程序，甚至是同一云主机内部的其他应用程序。现有技术中一般是通过流量检测与流量清洗方法解决云计算系统受到攻击的问题。如图1所示，在云计算系统内部新增流量检测装置，通过交换机与云计算系统的云主机连接，用以检测云计算系统内注入云主机的数据流，包括云计算系统外部的用户访问云应用的数据流，以及云计算系统内部各云主机之间相互交互的数据流。通过流量检测装置统计出预定时长内注入某一云主机的数据流流量大小，当统计得到的流量数值超过了预定的阈值时，就认为注入该云主机的流量发生异常。检测到流量发生异常后，流量检测装置会通知流量清洗装置启动，流量清洗装置将对注入该云主机的数据流量进行清洗，过滤掉攻击报文，再将清洗后的数据流发送给该云主机。现有技术的方案只能防止云计算系统内部云主机之间的攻击，或者外部向云计算系统内部云主机的攻击，但是无法防止同一个云主机内部不同云应用之间的相互攻击，或者云主机内部对云主机本身进行的攻击。另外，现有技术方案以云主机为单位进行流量监控和清洗，会影响到目标云主机中的所有云应用。
技术实现思路
本专利技术实施例提供一种云计算系统中云应用攻击行为的处理方法、装置及系统，用于对云计算系统进行应用级别的安全防护，并且尽可能减少对云计算机系统内正常的云应用的影响。第一方面，本专利技术实施例提供了一种云计算系统中云应用攻击行为的处理装置，包括：安全分析器，安全处理器和策略管理器，其中：策略管理器用于存储安全判断规则和恶意应用处理规则；安全分析器用于接收云计算系统中的多个云主机中的至少一个云主机上的安全检测器发送的应用行为数据，根据该应用行为数据以及策略管理器中存储的安全判断规则，确定该云主机上运行的云应用是否存在攻击行为，并在确定该云主机上运行的云应用存在攻击行为时，将该应用行为数据发送给安全处理器；其中，该应用行为数据是该云主机上的安全检测器根据行为检测规则对该云应用进行检测后得到的，且该应用行为数据用于表示该云应用的运行状态；安全处理器，用于根据策略管理器中存储的恶意应用处理规则，调用云计算系统中的云控制器提供的接口对存在攻击行为的云应用进行处理，该云控制器与云计算系统中的云主机通信连接或集成于一个云主机上，用于控制云计算系统中的云主机上运行的云应用。在第一方面的第一种可能的实现方式中，该装置还包括：信息通知器；策略管理器中还用于存储信息通知规则；安全分析器还用于，当确定云应用存在攻击行为时，获取该云应用的初始信息并发送给安全处理器，其中，初始信息用于唯一标识云应用；安全处理器还用于，根据云应用的初始信息查询该云应用所属的用户信息，将该用户信息和该云应用的应用行为数据发送给信息通知器；信息通知器用于，将接收到的应用行为数据和用户信息存储并按照策略管理器中存储的信息通知规则进行攻击信息通知处理。结合第一方面，或者第一方面第一种可能的实现方式，在第二种可能的实现方式中，策略管理器用于，将安全判断规则转化为行为检测规则，并将该行为检测规则下发给各个云主机的安全检测器。结合第一方面，或者第一方面第一至第二种任意一种可能的实现方式，在第三种可能的实现方式中，其中，所述恶意应用为存在攻击行为的云应用；所述安全处理器，具体用于根据所述云应用的攻击行为的类型，以及所述恶意应用处理规则所指示的对该类型应用的处理方式，对所述云应用进行相应处理；或者所述安全处理器，具体用于根据所述云应用的攻击行为的危险程度，以及所述恶意应用处理规则所指示的对该危险程度的应用的处理方式，对所述云应用进行相应处理。结合第一方面第一至第三种任意一种可能的实现方式，在第四种可能的实现方式中，攻击信息通知处理具体包括以下之一或其任意组合：产生告警信息、显示存在攻击行为的云应用以及该云应用所属的用户信息、以及将存在攻击行为的云应用所属的用户信息通知网警中心。结合第一方面，或者第一方面第一至第四种任意一种可能的实现方式，在第五种可能的实现方式中，云应用攻击行为处理装置集成于云控制器。结合第一方面第一到第五种中任意一种可能的实现方式，在第六种可能的实现方式中，策略管理器的配置接口包括：配置界面和应用程序接口中的至少一种。结合第一方面，或者第一方面第一至第五种任意一种可能的实现方式，在第七种可能的实现方式中，所述行为检测规则包括：进程检测规则或线程检测规则；应用行为数据是安全检测器根据该行为检测规则对所述云应用的进程或线程进行检测本文档来自技高网...

【技术保护点】
一种云计算系统中云应用攻击行为的处理装置，其特征在于，包括：安全分析器，安全处理器和策略管理器，其中：所述策略管理器用于存储安全判断规则和恶意应用处理规则；所述安全分析器用于接收云计算系统中的多个云主机中的至少一个云主机上的安全检测器发送的应用行为数据，根据所述应用行为数据以及所述策略管理器中存储的安全判断规则，确定所述至少一个云主机上运行的云应用是否存在攻击行为，并在确定所述至少一个云主机上运行的云应用存在攻击行为时，将所述应用行为数据发送给所述安全处理器；其中，所述应用行为数据是所述安全检测器根据行为检测规则对所述云应用进行检测后得到的，且所述应用行为数据用于表示所述云应用的运行状态；所述安全处理器，用于根据所述策略管理器中存储的恶意应用处理规则，调用所述云计算系统中的云控制器提供的接口对所述云应用进行处理，所述云控制器与所述至少一个云主机通信连接或集成于所述至少一个云主机，用于控制所述至少一个云主机上运行的云应用。

【技术特征摘要】
1.一种云计算系统中云应用攻击行为的处理装置，其特征在于，包括：
安全分析器，安全处理器和策略管理器，其中：
所述策略管理器用于存储安全判断规则和恶意应用处理规则；
所述安全分析器用于接收云计算系统中的多个云主机中的至少一个云主
机上的安全检测器发送的应用行为数据，根据所述应用行为数据以及所述策略
管理器中存储的安全判断规则，确定所述至少一个云主机上运行的云应用是否
存在攻击行为，并在确定所述至少一个云主机上运行的云应用存在攻击行为
时，将所述应用行为数据发送给所述安全处理器；其中，所述应用行为数据是
所述安全检测器根据行为检测规则对所述云应用进行检测后得到的，且所述应
用行为数据用于表示所述云应用的运行状态；
所述安全处理器，用于根据所述策略管理器中存储的恶意应用处理规则，
调用所述云计算系统中的云控制器提供的接口对所述云应用进行处理，所述云
控制器与所述至少一个云主机通信连接或集成于所述至少一个云主机，用于控
制所述至少一个云主机上运行的云应用。
2.根据权利要求1所述的装置，其特征在于，还包括：信息通知器；所述
策略管理器中还存储有信息通知规则；
所述安全分析器还用于，当确定所述云应用存在攻击行为时，获取所述云
应用的初始信息并发送给所述安全处理器，其中，所述初始信息用于标识所述
云应用；
所述安全处理器还用于，根据所述云应用的初始信息查询所述云应用所属
的用户信息，将所述用户信息和所述应用行为数据发送给所述信息通知器；
所述信息通知器用于，将接收到的应用行为数据和云应用所属的用户信息
存储并按照所述策略管理器中存储的信息通知规则进行攻击信息通知处理。
3.根据权利要求1或2所述的装置，其特征在于，
所述策略管理器用于，将所述安全判断规则转化为所述行为检测规则，并
将所述行为检测规则下发给所述至少一个云主机的安全检测器。
4.根据权利要求1至3任一项所述的装置，其特征在于，所述恶意应用处
理规则用于指示对不同类型恶意应用的处理方式，或者对不同危险程度的恶意
应用的处理方式，其中，所述恶意应用为存在攻击行为的云应用；所述安全处
理器，具体用于根据所述云应用的攻击行为的类型，以及所述恶意应用处理规
则所指示的对该类型应用的处理方式，对所述云应用进行相应处理；或者所述
安全处理器，具体用于根据所述云应用的攻击行为的危险程度，以及所述恶意
应用处理规则所指示的对该危险程度的应用的处理方式，对所述云应用进行相
应处理。
5.根据权利要求2至4任一项所述的装置，其特征在于，所述攻击信息通
知处理具体包括以下之一或其任意组合：产生告警信息、显示存在攻击行为的
云应用以及该云应用所属的用户信息、以及将存在攻击行为的云应用所属的用
户信息通知网警中心。
6.根据权利要求1至5任一项所述的装置，其特征在于，所述云应用攻击
行为处理装置集成于所述云控制器。
7.根据权利要求2至6任一项所述的装置，其特征在于，所述安全判断规
则、恶意应用处理规则和信息通知规则中的一项或多项是通过所述策略管理器
的配置接口配置的，其中所述策略管理器的配置接口包括：配置界面和应用程
序接口API中的至少一种。
8.根据权利要求1至6任一项所述的装置，其特征在于，所述行为检测规
则包括：进程检测规则或线程检测规则；
所述应用行为数据是所述安全检测器根据所述行为检测规则对所述云应
用的进程或线程进行检测后得到的。
9.根据权利要求8所述的装置，其特征在于，所述安全分析器还用于在确
定所述云应用不存在攻击行为时，丢弃所述应用行为数据。
10.一种云应用攻击行为处理方法，用于包括多个云主机的云计算系统，
其特征在于，包括：
接收所述多个云主机中的至少一个云主机上报的应用行为数据，其中，所
述应用行为数据是所述至少一个云主机上的安全检测器根据行为检测规则对
所述至少一个云主机上运行的云应用进行检测后得到的，且所述应用行为数据
用于表示所述至少一个云主机上运行的云应用的运行状态；
根据所述应用行为数据以及安全判断规则，判断所述至少一个云主机上运
行的云应用是否存在攻击行为；
如果判断所述至少一个云主机上运行的云应用存在攻击行为，则根据恶意
应用处理规则，调用所述云计算系统中的云控制器提供的接口对存在攻击行为
的云应用进行处理，其中所述云控制器与所述至少一个云主机通信连接或集成
于所述至少一个云主机，用于控制所述至少一个云主机上运行的云应用。
11.根据权利要求10所述的方法，其特征在于，还包括：
如果判断所述至少一个云主机...

【专利技术属性】
技术研发人员：蒙泽超，刘赫伟，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44