监控云平台中租户行为的方法、装置、设备和介质制造方法及图纸

本公开提供了一种监控云平台中租户行为的方法、装置、设备、介质和程序产品，可以应用于云计算技术、信息安全领域。该方法包括：利用在租户服务节点的内核中插桩的监控代码，实时捕获按照网络传输层协议经由租户服务节点传输的数据包，其中，在云平台的全部提供租借服务的租户服务节点中均插桩有监控代码；根据云平台中的租户管理系统中的数据包发送记录与租户信息的对应关系，将实时捕获的数据包划分到对应的租户名下；通过对划分到同一租户名下的数据包进行解析和特征统计，得到租户的流量数据特征；以及当一个租户的流量数据特征达到恶意流量报警条件时，向云平台报告租户存在危险行为并告警。险行为并告警。险行为并告警。

【技术实现步骤摘要】
监控云平台中租户行为的方法、装置、设备和介质


[0001]本公开涉及云计算
，更具体地涉及一种监控云平台中租户行为的方法、装置、设备、介质和程序产品。

技术介绍

[0002]目前一些云平台，允许租户上传自己开发的代码。例如PAAS云平台(Platform as a Service)向租户提供虚拟机，允许租户在虚拟机中开发应用；FAAS云平台(function as a Service)向租户提供云函数开发容器，允许租户开发自己所需的云函数。云平台中用户自己开发自己所需的服务，可以提高云平台的服务多样性，但同时也带来了服务滥用的风险，例如租户可能滥用云平台所提供的服务，开发一些具有恶意的攻击性的工具。
[0003]例如，在FAAS云平台中云函数可能被攻击者用作构建代理池、隐藏C2服务器地址和连接webshell，此外，云函数服务也常被用于构建漏洞扫描、钓鱼等攻击平台。攻击者通过构建此类应用来实现对外部系统的扫描探测、钓鱼窃取用户数据等目的。这些滥用行为导致云基础设施资源被恶意利用和消耗，给云服务的正常使用和监测带来了极大的困扰。

技术实现思路

[0004]鉴于上述问题，本公开提供了一种监控云平台中租户行为方法、装置、设备、介质和程序产品，在一定程度上可以及时发现云平台中滥用云服务功能的情形。
[0005]本公开实施例的第一方面，提供了一种监控云平台中租户行为的方法。所述方法包括：利用在租户服务节点的内核中插桩的监控代码，实时捕获按照网络传输层协议经由所述租户服务节点传输的数据包。其中，所述租户服务节点为所述云平台中向租户提供资源租借服务的服务器节点，其中，在所述云平台的全部所述租户服务节点中均插桩有所述监控代码；根据所述云平台中的租户管理系统中的数据包发送记录与租户信息的对应关系，将实时捕获的数据包划分到对应的租户名下；通过对划分到同一租户名下的数据包进行解析和特征统计，得到租户的流量数据特征；以及当一个租户的所述流量数据特征达到恶意流量报警条件时，向所述云平台报告所述租户存在危险行为并告警。
[0006]根据本公开的实施例，所述方法还包括：采用eBPF字节码插桩技术在所述云平台中的全部所述租户服务节点的内核中插入所述监控代码，并在插桩过程中设置所述监控代码与传输层数据包处理函数相挂钩。所述实时捕获按照网络传输层协议经由所述租户服务节点传输的数据包包括：响应于所述传输层数据包处理函数接收到数据包，捕获所述数据包。
[0007]根据本公开的实施例，在所述实时捕获按照网络传输层协议经由所述租户服务节点传输的数据包之后，所述方法还包括：分析所述数据包的应用层协议；然后根据所述数据包的应用层协议，针对性地解析所述数据包，得到所述数据包的目的地址、源地址和报文明文数据。
[0008]根据本公开的实施例，所述根据所述数据包的应用层协议，针对性地解析所述数
据包包括：当所述数据包的应用层协议为https协议时，先使用传输层安全性解密库解密所述数据包中的传输层安全协议加密数据，得到报文明文数据。
[0009]根据本公开的实施例，所述采用eBPF字节码插桩技术在所述云平台中的全部所述租户服务节点的内核中插入所述监控代码包括：获取待插桩的所述租户服务节点的内核版本；生成与所述内核版本对应的监控代码；以及在所述租户服务节点的内核中插入所述监控代码。
[0010]根据本公开的实施例，所述流量数据特征包括以下至少一个维度的信息：有无攻击工具访问连接、有无攻击载荷、流量访问频率、流量访问时间、有无流量回连地址、或访问地址对应的服务器所在区域是否属于预定的攻击频发区域。
[0011]根据本公开的实施例，所述流量数据特征分为确定性攻击特征和疑似攻击特征两类。其中，所述当一个租户的所述流量数据特征达到恶意流量报警条件时，向所述云平台报告所述租户存在危险行为并告警包括：当所述流量数据特征中出现确定性攻击特征时，确定所述租户存在危险行为，其中，所述确定性攻击特征包括所述流量数据特征中存在攻击工具访问连接，以及当所述流量数据特征中出现疑似攻击特征时，基于所出现的疑似攻击特征的内容和预设的评分机制进行打分，并当累计得分超过阈值时，确定所述租户存在危险行为。
[0012]根据本公开的实施例，所述云平台允许租户上传自己的代码。
[0013]本公开实施例的第二方面，提供了一种监控云平台中租户行为的装置。所述装置包括监控模块、数据包管理模块、流量解析模块和特征识别模块。所述监控模块为在租户服务节点的内核中插桩的监控代码，用于实时捕获按照网络传输层协议经由所述租户服务节点传输的数据包，其中，所述租户服务节点为所述云平台中向租户提供资源租借服务的服务器节点，其中，在所述云平台的全部所述租户服务节点中均插桩有所述监控代码。所述数据包管理模块用于根据所述云平台中的租户管理系统中的数据包发送记录与租户信息的对应关系，将实时捕获的数据包划分到对应的租户名下。所述流量解析模块用于通过对划分到同一租户名下的数据包进行解析和特征统计，得到租户的流量数据特征。所述特征识别模块用于当一个租户的所述流量数据特征达到恶意流量报警条件时，向所述云平台报告所述租户存在危险行为并告警。
[0014]本公开实施例的第三方面，还提供了一种电子设备。所述电子设备包括一个或多个处理器和存储器。所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行上述方法。
[0015]本公开实施例的第四方面，还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述方法。
[0016]本公开实施例的第五方面，还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述方法。
[0017]上述一个或多个实施例具有如下优点或有益效果：可以通过字节码插桩技术在云平台中向租户提供资源租借服务的服务器节点的内核中插入监控代码，来实时捕获按照网络传输层协议经由所述租户服务节点传输的数据包，据此可以通过对云平台中每个租户名下的数据包中的信息解析和统计，据此对云平台中的租户的行为进行监控。以此方式，帮助云云平台服务提供厂商即时发现攻击者的服务滥用行为，及时进行封闭溯源处理，规避潜
在的安全风险。
附图说明
[0018]通过以下参照附图对本公开实施例的描述，本公开的上述内容以及其他目的、特征和优点将更为清楚，在附图中：
[0019]图1示意性示出了根据本公开实施例的监控云平台中租户行为的方法、装置、设备、介质和程序产品的应用场景图；
[0020]图2示意性示出了根据本公开实施例的监控云平台中租户行为的方法的流程图；
[0021]图3示意性示出了本公开一实施例中插桩监控代码以实时捕获传输的数据包的流程图；
[0022]图4示意性示出了本公开一实施例中解析捕获到的数据包的流程图；
[0023]图5示意性示出了在FAAS云平台中应用本公开实施例的方法监控租户滥用云函数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种监控云平台中租户行为的方法，其中，所述方法包括：利用在租户服务节点的内核中插桩的监控代码，实时捕获按照网络传输层协议经由所述租户服务节点传输的数据包，其中，所述租户服务节点为所述云平台中向租户提供资源租借服务的服务器节点，其中，在所述云平台的全部所述租户服务节点中均插桩有所述监控代码；根据所述云平台中的租户管理系统中的数据包发送记录与租户信息的对应关系，将实时捕获的数据包划分到对应的租户名下；通过对划分到同一租户名下的数据包进行解析和特征统计，得到租户的流量数据特征；以及当一个租户的所述流量数据特征达到恶意流量报警条件时，向所述云平台报告所述租户存在危险行为并告警。2.根据权利要求1所述的方法，其中，所述方法还包括：采用eBPF字节码插桩技术在所述云平台中的全部所述租户服务节点的内核中插入所述监控代码，并在插桩过程中设置所述监控代码与传输层数据包处理函数相挂钩；则，所述实时捕获按照网络传输层协议经由所述租户服务节点传输的数据包包括：响应于所述传输层数据包处理函数接收到数据包，捕获所述数据包。3.根据权利要求2所述的方法，其中，在所述实时捕获按照网络传输层协议经由所述租户服务节点传输的数据包之后，所述方法还包括：分析所述数据包的应用层协议；以及根据所述数据包的应用层协议，针对性地解析所述数据包，得到所述数据包的目的地址、源地址和报文明文数据。4.根据权利要求3所述的方法，其中，所述根据所述数据包的应用层协议，针对性地解析所述数据包包括：当所述数据包的应用层协议为https协议时，先使用传输层安全性解密库解密所述数据包中的传输层安全协议加密数据，得到报文明文数据。5.根据权利要求2所述的方法，其中，所述采用eBPF字节码插桩技术在所述云平台中的全部所述租户服务节点的内核中插入所述监控代码包括：获取待插桩的所述租户服务节点的内核版本；生成与所述内核版本对应的监控代码；以及在所述租户服务节点的内核中插入所述监控代码。6.根据权利要求1所述的方法，其中，所述流量数据特征包括以下至少一个维度的信息：有无攻击工具访问连接、有无攻击载荷、流量访问频...

【专利技术属性】
技术研发人员：范鑫禹，旷亚和，张娇，吴鸿霖，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：