一种云平台的安全管理方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术提供一种云平台的安全管理方法、装置、电子设备及存储介质，属于信息安全技术领域，所述方法包括采集云平台中各实体的预设数据；根据所述预设数据构建实体关联图，所述实体关联图表示云平台中各实体之间的关联关系；根据所述实体关联图构建云平台威胁模型，所述云平台威胁模型为云平台中攻击者为达到攻击目标所采用的攻击策略；基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体。本发明专利技术通过构建实体关联图，找到异常实体攻击链，构建出由所述异常实体攻击链构成的云平台威胁模型，并基于所述云平台威胁模型过滤误报异常实体或/和发现未知异常实体，以实现云平台的安全管理。台的安全管理。台的安全管理。

【技术实现步骤摘要】
一种云平台的安全管理方法、装置、电子设备及存储介质


[0001]本专利技术涉及信息安全
，尤其涉及一种云平台的安全管理方法、装置、电子设备及存储介质。

技术介绍

[0002]云计算平台(Cloud Computing Platform)也称为云平台，是提供计算和存储服务，实现数据共享和移动办公，为政府和企业提供了巨大的便利，尤其是在今年的疫情期间，实现网上办公和网上课堂，发挥了巨大的作用。
[0003]与此同时，云平台也成为攻击者青睐的对象。云平台中存在多种类型的实体，如主机、用户、软件、网络、虚拟机、虚拟机监视器等，这些实体会受到不同类型的攻击，如内部攻击、网络攻击、测信道攻击、虚拟机攻击、漏洞利用等，而且随着攻击技术和攻击工具的快速发展，攻击行为也越来越隐蔽，如APT(英文：Advanced Persistent Threat，简称APT，中文：高级可持续威胁攻击)攻击，需要经过前期侦查、建立据点、漏洞利用、提升权限、横向移动、实现攻击、保持据点等一系列操作，具有复杂性、多步骤性和不确定性，要发现该种攻击行为仅仅依赖于单一的实体检测技术很难实现，极大地增加了实体攻击检测难度。

技术实现思路

[0004]本专利技术提供一种云平台的安全管理方法、装置、电子设备及存储介质，用以解决云平台现有技术中关联分析过于简单难以从包含大量误报的告警中发现真正威胁的问题，实现云平台的安全管理。
[0005]本专利技术提供一种云平台的安全管理方法，包括：
[0006]采集云平台中各实体的预设数据；
[0007]根据所述预设数据构建实体关联图，所述实体关联图表示云平台的各实体之间的关联关系；
[0008]根据所述实体关联图构建云平台威胁模型，所述云平台威胁模型为云平台中攻击者为达到攻击目标所采用的攻击策略；
[0009]基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体。
[0010]根据本专利技术提供的一种云平台的安全管理方法，所述预设数据包括以下一种或多种组合：
[0011]登录登出日志，所述登录登出日志记录各实体的登录登出信息；
[0012]操作日志，所述操作日志记录各实体的操作行为信息；
[0013]网络访问日志，所述网络访问日志记录各实体的网络访问信息；
[0014]进程日志，所述进程日志记录各实体的进程信息；
[0015]流量日志，所述流量日志记录各实体的网络交互信息；
[0016]资产日志，所述资产日志记录所有网络设备的基本信息；
[0017]告警日志，所述告警日志记录各种安全系统检测到的告警信息。
[0018]根据本专利技术提供的一种云平台的安全管理方法，所述采集云平台中各实体的预设数据之后，包括：
[0019]对所述预设数据进行预处理，所述预处理的步骤包括删除冗余、格式规范化及日志富化的一种或多种组合；
[0020]其中，所述删除冗余是删除重复、冗余的数据，所述格式规范化是将数据处理为统一的结构化格式，所述日志富化是将信息不完整的数据结合各类日志实现数据的完整性。
[0021]根据本专利技术提供的一种云平台的安全管理方法，所述根据所述预设数据构建实体关联图，包括：
[0022]以时间周期t为基本单位分别建立不同类型的实体集合；
[0023]基于所述实体集合，统计各类型实体数量以及生成相应数量的节点，并根据实体编号生成对应节点编号；
[0024]基于所述预设数据构建实体关系，所述周期t内实体交互的信息流实现实体之间的连接，所述预设数据记录所述信息流。
[0025]根据本专利技术提供的一种云平台的安全管理方法，所述根据所述实体关联图构建云平台威胁模型，包括：
[0026]基于统计时间周期t内各实体的告警日志信息，根据实体告警级别和告警数量标记实体为正常或异常标识；
[0027]基于统计时间周期t内各实体的告警日志信息，根据实体告警发生时间提取实体序列；
[0028]采用预设算法学习所述实体序列的实体向量表达，并训练得到所述实体向量表达矩阵。
[0029]根据本专利技术提供的一种云平台的安全管理方法，所述根据所述实体关联图构建云平台威胁模型，还包括：
[0030]根据所述实体向量表达矩阵，通过计算实体向量之间的余弦相似性，分析实体之间的内在联系；
[0031]根据所述余弦相似性，定义相似性邻居函数，并根据所述相似性邻居函数选择实体向量在时间周期t内N个关联最密切的实体；
[0032]将多次出现且包含有异常实体的实体链标记为异常实体攻击链；
[0033]将所述异常实体攻击链加入到所述云平台威胁模型中；
[0034]其中，所述异常实体攻击链表示异常实体之间的内在联系。
[0035]根据本专利技术提供的一种云平台的安全管理方法，所述基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体，包括：
[0036]将同类型的异常实体向量分别进行聚类分析，如果实体与云平台威胁模型的同类型异常实体聚成一类，则表示实体存在异常，否则表示实体告警存在误报并对所述实体告警进行更正；
[0037]将同类型的正常实体向量与云平台威胁模型中同类型的异常实体向量进行聚类分析，如果所述正常实体与所述异常实体为一类，表示所述正常实体向量表达与所述异常实体向量表达的相似度高，则对所述正常实体的实体行为进行深度学习以识别所述正常实体是否为未知恶意实体，否则表示所述实体为正常实体。
[0038]本专利技术还提供一种云平台的安全管理装置，包括：
[0039]数据采集模块，用于采集云平台中各实体的预设数据；
[0040]实体关联图模块，用于根据所述预设数据构建实体关联图，所述实体关联图表示云平台的各实体之间的关联关系；
[0041]云平台威胁模型模块，用于根据所述实体关联图构建云平台威胁模型，所述云平台威胁模型为云平台中攻击者为达到攻击目标所采用的攻击策略；
[0042]检测模块，用于基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体。
[0043]本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述云平台的安全管理方法的步骤。
[0044]本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述云平台的安全管理方法的步骤。
[0045]本专利技术提供的一种云平台的安全管理方法、装置、电子设备及存储介质，通过构建实体关联图，找到异常实体攻击链，构建出由所述异常实体攻击链构成的云平台威胁模型，并基于所述云平台威胁模型过滤误报异常实体或/和发现未知异常实体，以实现云平台的安全管理。
附图说明
[0046]为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种云平台的安全管理方法，其特征在于，包括：采集云平台中各实体的预设数据；根据所述预设数据构建实体关联图，所述实体关联图表示云平台的各实体之间的关联关系；根据所述实体关联图构建云平台威胁模型，所述云平台威胁模型为云平台中攻击者为达到攻击目标所采用的攻击策略；基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体。2.根据权利要求1所述的方法，其特征在于，所述预设数据包括以下一种或多种组合：登录登出日志，所述登录登出日志记录各实体的登录登出信息；操作日志，所述操作日志记录各实体的操作行为信息；网络访问日志，所述网络访问日志记录各实体的网络访问信息；进程日志，所述进程日志记录各实体的进程信息；流量日志，所述流量日志记录各实体的网络交互信息；资产日志，所述资产日志记录所有网络设备的基本信息；告警日志，所述告警日志记录各种安全系统检测到的告警信息。3.根据权利要求2所述的方法，其特征在于，所述采集云平台中各实体的预设数据之后，包括：对所述预设数据进行预处理，所述预处理的步骤包括删除冗余、格式规范化及日志富化的一种或多种组合；其中，所述删除冗余是删除重复、冗余的数据，所述格式规范化是将数据处理为统一的结构化格式，所述日志富化是将信息不完整的数据结合各类日志实现数据的完整性。4.根据权利要求1所述的方法，其特征在于，所述根据所述预设数据构建实体关联图，包括：以时间周期t为基本单位分别建立不同类型的实体集合；基于所述实体集合，统计各类型实体数量以及生成相应数量的节点，并根据实体编号生成对应节点编号；基于所述预设数据构建实体关系，所述周期t内实体交互的信息流实现实体之间的连接，所述预设数据记录所述信息流。5.根据权利要求1所述的方法，其特征在于，所述根据所述实体关联图构建云平台威胁模型，包括：基于统计时间周期t内各实体的告警日志信息，根据实体告警级别和告警数量标记实体为正常或异常标识；基于统计时间周期t内各实体的告警日志信息，根据实体告警发生时间提取实体序列；采用预设算法学习所述实体序列的实体向量表达，并训练得到所述实体向量表达矩阵。...

【专利技术属性】
技术研发人员：孟丹，张东雪，张博洋，杨纯，杜莹莹，郑阳，文雨，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：