一种公共云网络业务管理方法及系统技术方案

本发明专利技术提供一种公共云网络业务管理方法及系统，解决现有的公共云多客户系统资源利用率低、存在大量重复动作的问题，通过虚拟化组件的方式，在不同业务办理中灵活调用组件，并引入具有屏蔽功能的临时存储区，保证业务中间数据的安全可控，配合攻击检测和溯源功能，可动态调整虚拟化组件，进一步保证客户系统的安全。

【技术实现步骤摘要】
一种公共云网络业务管理方法及系统
本申请涉及网络安全
，尤其涉及一种公共云网络业务管理方法及系统。
技术介绍
现有的云资源上通常同时保存有多个客户系统，每个客户系统还包括有多种不同的业务，常见的作法是将不同的客户系统分隔开，导致云资源的利用率很低，存在大量重复动作。如果开放不同客户系统的业务，则又会带来不同系统数据的安全问题。因此，急需一种针对性的公共云网络业务管理方法及系统。
技术实现思路
本专利技术的目的在于提供一种公共云网络业务管理方法及系统，解决现有的公共云多客户系统资源利用率低、存在大量重复动作的问题，通过虚拟化组件的方式，在不同业务办理中灵活调用组件，并引入具有屏蔽功能的临时存储区，保证业务中间数据的安全可控，配合攻击检测和溯源功能，可动态调整虚拟化组件，进一步保证客户系统的安全。第一方面，本申请提供一种公共云网络业务管理方法，所述方法包括：接收一个或一个以上的用户源提交的业务信息，每一个用户源的业务信息包括多种业务的相关数据，所述相关数据包括请求动作、办理动作、制表动作、批准动作、调取动作、到期停止动作、加密动作中的一种或若干种组合；将每一种业务的相关数据根据动作的类型，聚类虚拟化为单个组件，存储在公共云上，所述组件携带有用户标识、可支持业务标识、使用范围标识、使用时段标识中一种或若干种组合的组件标识，需满足组件标识要求才能调用对应组件；其中，一个组件可支持多种业务，一个业务要调用多个组件，一个用户源包括多种业务；接收客户端发送的业务请求，解析所述业务请求获取业务标识，从客户端获取定位位置，根据业务标识和定位位置查找对应的用户标识以及可支持的请求动作组件，提取所述业务请求中的数据，将所述数据保存在根据所述用户标识划分的临时存储区内，调用所述用户标识可支持的加密组件进行加密，并屏蔽其他不可支持的请求动作组件调取数据；完成请求动作后，由所述可支持的请求动作组件将加密后的数据传递到对应可支持的办理动作组件，所述可支持的请求动作组件根据业务标识、用户标识和定位位置确定对应可支持的办理动作组件；所述办理动作组件调用对应的加密组件解密数据，根据业务需要调用对应的制表动作组件、批准动作组件、到期停止动作组件中的一个或若干个，完成后向客户端发送响应消息的，将办理过程中生成的中间数据调用对应的加密组件进行加密，加密后的数据保存在所述根据所述用户标识划分的临时存储区内，并屏蔽除当前办理动作组件之外的所有其他组件调取数据；接收客户端返回的响应确认消息，解析所述响应确认消息获取业务标识和用户标识，若所述响应确认消息指示接受业务完成，则当前办理动作组件根据业务标识和用户标识删除临时存储区内的中间数据密文，若所述响应确认消息指示不接受业务完成，则当前办理动作组件根据业务标识和用户标识重新调取临时存储区内的中间数据密文进行第二次办理；其中，如果所述临时存储区内的数据为空时，释放所述临时存储区的资源；根据业务标识或用户标识，动态确定对应的检测参数和检测规则，由检测参数和检测规则确定待提取的特征向量的类型和权重，提取所述临时存储区内数据的特征向量，将得到的特征向量组成多维度检测样本，将所述多维度检测样本送入机器学习模型，检测所述多维度检测样本中是否包括攻击向量；当检测出所述多维度检测样本中包括攻击向量时，将对应数据拆分为若干个数据片段，将所述数据片段再次送入机器学习模型，检测所述数据片段中是否包括攻击向量；若检测出所述数据片段中包括攻击向量，则将该数据片段标记为异常，异常数据片段所属的组件标记为异常点，分析若干个异常数据片段之间是否存在逻辑关联；如果所述若干个异常数据片段之间存在逻辑关联，则将其所对应的异常点建立前后关联关系，标记为攻击轨迹中的一个途径点；根据所述前后关联关系、途径点，得到对应不同业务或不同用户的攻击轨迹，并展示由途径点和攻击轨迹线路构成一幅网络攻击面，以及形成攻击溯源图，停用攻击轨迹上的组件，暂停该组件对应的业务，或为指定的业务重新虚拟化组件，并通知用户。结合第一方面，在第一方面第一种可能的实现方式中，所述将对应数据拆分为若干个数据片段，可根据业务类型、访问动作确定拆分的长度。结合第一方面，在第一方面第二种可能的实现方式中，所述通知用户包括即时通信、邮件、短信、电话中一种或若干种组合方式。结合第一方面，在第一方面第三种可能的实现方式中，所述形成攻击溯源图后还包括：得出针对不同业务或不同用户的风险评估、防御策略，指导管理员针对业务或用户进行针对性的风险消除。第二方面，本申请提供一种公共云网络业务管理系统，所述系统包括：组件生成单元、业务处理单元、检测单元和防御单元；所述组件生成单元，用于接收一个或一个以上的用户源提交的业务信息，每一个用户源的业务信息包括多种业务的相关数据，所述相关数据包括请求动作、办理动作、制表动作、批准动作、调取动作、到期停止动作、加密动作中的一种或若干种组合；将每一种业务的相关数据根据动作的类型，聚类虚拟化为单个组件，存储在公共云上，所述组件携带有用户标识、可支持业务标识、使用范围标识、使用时段标识中一种或若干种组合的组件标识，需满足组件标识要求才能调用对应组件；其中，一个组件可支持多种业务，一个业务要调用多个组件，一个用户源包括多种业务；所述业务处理单元，用于接收客户端发送的业务请求，解析所述业务请求获取业务标识，从客户端获取定位位置，根据业务标识和定位位置查找对应的用户标识以及可支持的请求动作组件，提取所述业务请求中的数据，将所述数据保存在根据所述用户标识划分的临时存储区内，调用所述用户标识可支持的加密组件进行加密，并屏蔽其他不可支持的请求动作组件调取数据；完成请求动作后，由所述可支持的请求动作组件将加密后的数据传递到对应可支持的办理动作组件，所述可支持的请求动作组件根据业务标识、用户标识和定位位置确定对应可支持的办理动作组件；所述办理动作组件调用对应的加密组件解密数据，根据业务需要调用对应的制表动作组件、批准动作组件、到期停止动作组件中的一个或若干个，完成后向客户端发送响应消息的，将办理过程中生成的中间数据调用对应的加密组件进行加密，加密后的数据保存在所述根据所述用户标识划分的临时存储区内，并屏蔽除当前办理动作组件之外的所有其他组件调取数据；接收客户端返回的响应确认消息，解析所述响应确认消息获取业务标识和用户标识，若所述响应确认消息指示接受业务完成，则当前办理动作组件根据业务标识和用户标识删除临时存储区内的中间数据密文，若所述响应确认消息指示不接受业务完成，则当前办理动作组件根据业务标识和用户标识重新调取临时存储区内的中间数据密文进行第二次办理；其中，如果所述临时存储区内的数据为空时，释放所述临时存储区的资源；所述检测单元，用于根据业务标识或用户标识，动态确定对应的检测参数和检测规则，由检测参数和检测规则确定待提取的特征向量的类型和权重，提取所述临时存储区内数据的特征向量，将得到的特征向量组成多维度本文档来自技高网...

【技术保护点】
1.一种公共云网络业务管理方法，其特征在于，所述方法包括：/n接收一个或一个以上的用户源提交的业务信息，每一个用户源的业务信息包括多种业务的相关数据，所述相关数据包括请求动作、办理动作、制表动作、批准动作、调取动作、到期停止动作、加密动作中的一种或若干种组合；/n将每一种业务的相关数据根据动作的类型，聚类虚拟化为单个组件，存储在公共云上，所述组件携带有用户标识、可支持业务标识、使用范围标识、使用时段标识中一种或若干种组合的组件标识，需满足组件标识要求才能调用对应组件；/n其中，一个组件可支持多种业务，一个业务要调用多个组件，一个用户源包括多种业务；/n接收客户端发送的业务请求，解析所述业务请求获取业务标识，从客户端获取定位位置，根据业务标识和定位位置查找对应的用户标识以及可支持的请求动作组件，提取所述业务请求中的数据，将所述数据保存在根据所述用户标识划分的临时存储区内，调用所述用户标识可支持的加密组件进行加密，并屏蔽其他不可支持的请求动作组件调取数据；/n完成请求动作后，由所述可支持的请求动作组件将加密后的数据传递到对应可支持的办理动作组件，所述可支持的请求动作组件根据业务标识、用户标识和定位位置确定对应可支持的办理动作组件；/n所述办理动作组件调用对应的加密组件解密数据，根据业务需要调用对应的制表动作组件、批准动作组件、到期停止动作组件中的一个或若干个，完成后向客户端发送响应消息的，将办理过程中生成的中间数据调用对应的加密组件进行加密，加密后的数据保存在所述根据所述用户标识划分的临时存储区内，并屏蔽除当前办理动作组件之外的所有其他组件调取数据；/n接收客户端返回的响应确认消息，解析所述响应确认消息获取业务标识和用户标识，若所述响应确认消息指示接受业务完成，则当前办理动作组件根据业务标识和用户标识删除临时存储区内的中间数据密文，若所述响应确认消息指示不接受业务完成，则当前办理动作组件根据业务标识和用户标识重新调取临时存储区内的中间数据密文进行第二次办理；/n其中，如果所述临时存储区内的数据为空时，释放所述临时存储区的资源；/n根据业务标识或用户标识，动态确定对应的检测参数和检测规则，由检测参数和检测规则确定待提取的特征向量的类型和权重，提取所述临时存储区内数据的特征向量，将得到的特征向量组成多维度检测样本，将所述多维度检测样本送入机器学习模型，检测所述多维度检测样本中是否包括攻击向量；/n当检测出所述多维度检测样本中包括攻击向量时，将对应数据拆分为若干个数据片段，将所述数据片段再次送入机器学习模型，检测所述数据片段中是否包括攻击向量；若检测出所述数据片段中包括攻击向量，则将该数据片段标记为异常，异常数据片段所属的组件标记为异常点，分析若干个异常数据片段之间是否存在逻辑关联；如果所述若干个异常数据片段之间存在逻辑关联，则将其所对应的异常点建立前后关联关系，标记为攻击轨迹中的一个途径点；/n根据所述前后关联关系、途径点，得到对应不同业务或不同用户的攻击轨迹，并展示由途径点和攻击轨迹线路构成一幅网络攻击面，以及形成攻击溯源图，停用攻击轨迹上的组件，暂停该组件对应的业务，或为指定的业务重新虚拟化组件，并通知用户。/n...

【技术特征摘要】
1.一种公共云网络业务管理方法，其特征在于，所述方法包括：
接收一个或一个以上的用户源提交的业务信息，每一个用户源的业务信息包括多种业务的相关数据，所述相关数据包括请求动作、办理动作、制表动作、批准动作、调取动作、到期停止动作、加密动作中的一种或若干种组合；
将每一种业务的相关数据根据动作的类型，聚类虚拟化为单个组件，存储在公共云上，所述组件携带有用户标识、可支持业务标识、使用范围标识、使用时段标识中一种或若干种组合的组件标识，需满足组件标识要求才能调用对应组件；
其中，一个组件可支持多种业务，一个业务要调用多个组件，一个用户源包括多种业务；
接收客户端发送的业务请求，解析所述业务请求获取业务标识，从客户端获取定位位置，根据业务标识和定位位置查找对应的用户标识以及可支持的请求动作组件，提取所述业务请求中的数据，将所述数据保存在根据所述用户标识划分的临时存储区内，调用所述用户标识可支持的加密组件进行加密，并屏蔽其他不可支持的请求动作组件调取数据；
完成请求动作后，由所述可支持的请求动作组件将加密后的数据传递到对应可支持的办理动作组件，所述可支持的请求动作组件根据业务标识、用户标识和定位位置确定对应可支持的办理动作组件；
所述办理动作组件调用对应的加密组件解密数据，根据业务需要调用对应的制表动作组件、批准动作组件、到期停止动作组件中的一个或若干个，完成后向客户端发送响应消息的，将办理过程中生成的中间数据调用对应的加密组件进行加密，加密后的数据保存在所述根据所述用户标识划分的临时存储区内，并屏蔽除当前办理动作组件之外的所有其他组件调取数据；
接收客户端返回的响应确认消息，解析所述响应确认消息获取业务标识和用户标识，若所述响应确认消息指示接受业务完成，则当前办理动作组件根据业务标识和用户标识删除临时存储区内的中间数据密文，若所述响应确认消息指示不接受业务完成，则当前办理动作组件根据业务标识和用户标识重新调取临时存储区内的中间数据密文进行第二次办理；
其中，如果所述临时存储区内的数据为空时，释放所述临时存储区的资源；
根据业务标识或用户标识，动态确定对应的检测参数和检测规则，由检测参数和检测规则确定待提取的特征向量的类型和权重，提取所述临时存储区内数据的特征向量，将得到的特征向量组成多维度检测样本，将所述多维度检测样本送入机器学习模型，检测所述多维度检测样本中是否包括攻击向量；
当检测出所述多维度检测样本中包括攻击向量时，将对应数据拆分为若干个数据片段，将所述数据片段再次送入机器学习模型，检测所述数据片段中是否包括攻击向量；若检测出所述数据片段中包括攻击向量，则将该数据片段标记为异常，异常数据片段所属的组件标记为异常点，分析若干个异常数据片段之间是否存在逻辑关联；如果所述若干个异常数据片段之间存在逻辑关联，则将其所对应的异常点建立前后关联关系，标记为攻击轨迹中的一个途径点；
根据所述前后关联关系、途径点，得到对应不同业务或不同用户的攻击轨迹，并展示由途径点和攻击轨迹线路构成一幅网络攻击面，以及形成攻击溯源图，停用攻击轨迹上的组件，暂停该组件对应的业务，或为指定的业务重新虚拟化组件，并通知用户。


2.根据权利要求1所述的方法，其特征在于：所述将对应数据拆分为若干个数据片段，可根据业务类型、访问动作确定拆分的长度。


3.根据权利要求1-2任一项所述的方法，其特征在于：所述通知用户包括即时通信、邮件、短信、电话中一种或若干种组合方式。


4.根据权利要求1-3任一项所述的方法，其特征在于：所述形成攻击溯源图后还包括：得出针对不同业务或不同用户的风险评估、防御策略，指导管理员针对业务或用户进行针对性的风险消除。


5.一种公共云网络业务管理系统，其特征在于，所述系统...

【专利技术属性】
技术研发人员：金锴，
申请(专利权)人：北京赋云安运营科技有限公司，
类型：发明
国别省市：北京;11