CN108092961A - 一种保护云服务安全的系统 - Google Patents

一种保护云服务安全的系统 Download PDF

Info

Publication number
CN108092961A
CN108092961A CN201711292170.1A CN201711292170A CN108092961A CN 108092961 A CN108092961 A CN 108092961A CN 201711292170 A CN201711292170 A CN 201711292170A CN 108092961 A CN108092961 A CN 108092961A
Authority
CN
China
Prior art keywords
user
behavior
module
cloud service
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711292170.1A
Other languages
English (en)
Other versions
CN108092961B (zh
Inventor
底晓强
祁晖
骆雄
李锦青
从立钢
蒋振刚
杨华民
赵建平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changchun University of Science and Technology
Original Assignee
Changchun University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changchun University of Science and Technology filed Critical Changchun University of Science and Technology
Priority to CN201711292170.1A priority Critical patent/CN108092961B/zh
Publication of CN108092961A publication Critical patent/CN108092961A/zh
Application granted granted Critical
Publication of CN108092961B publication Critical patent/CN108092961B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9535Search customisation based on user profiles and personalisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Abstract

一种保护云服务安全的系统,涉及云服务安全领域,解决了现有云服务系统中恶意用户检测误报率高和通用性差的问题,该系统包括部署在云服务宿主机的用户请求拦截模块、行为采集模块、行为记录模块、行为同步发送模块和访问控制模块以及部署在用户行为分析主机上的行为同步接收模块、行为融合模块、行为提取模块、特征构造模块和恶意用户识别模块;本发明中的云服务宿主机拦截所有用户操作请求,对其进行去除冗余数据和规范化处理,在写入本地存储的同时传输给用户行为分析主机。用户行为分析主机采用了基于用户行为特征差异的检测方法,降低了恶意用户模拟正常用户行为绕开检测的可能性,提高了检测率。

Description

一种保护云服务安全的系统
技术领域
本发明涉及云服务安全领域,具体涉及一种保护云服务安全的系统。
背景技术
随着云计算的普及,越来越多的企业将其服务迁移到云平台上,然而云计算仍处于发展初期,在享受其带来的便利与低成本的同时,也面临诸多的安全挑战。入侵检测技术在一定程度上保护了云服务的安全,但却无法识别拥有合法身份的恶意用户。基于用户行为的恶意用户检测可以帮助云服务商发现恶意用户,但仍然存在着误报率高和通用性差的问题。误报率高,用户行为数据的获取大多数是从服务器日志中提取,但是服务器日志受到缓冲、代理、防火墙等因素的影响,有时无法完全的记录用户操作行为。尤其是系统中的恶意用户通过模拟正常操作流程绕过检测程序,使得根据业务逻辑建立的用户行为模型无法准确的识别出恶意操作。而且云服务一般是采用集群的方式部署在多台物理机或者虚拟机上,针对单个节点的用户行为检测也会产生漏报。通用性差,恶意用户识别程序往往针对特定服务器或者程序日志设计,检测方法中的规则对云服务的业务逻辑敏感性较强,一旦业务逻辑发生改变,检测方法就会失效。
发明内容
本发明解决了现有云服务系统中恶意用户检测误报率高和通用性差的问题,提供一种保护云服务安全的系统。
一种保护云服务安全的系统,该系统包括部署在云服务宿主机的用户请求拦截模块、行为采集模块、行为记录模块、行为同步发送模块和访问控制模块以及部署在用户行为分析主机上的行为同步接收模块、行为融合模块、行为提取模块、特征构造模块和恶意用户识别模块;
所述用户请求拦截模块用于拦截用户访问云服务的请求,并将用户请求的信息转发给采集模块;
所述行为采集模块用于获取请求拦截模块转发的访问请求,提取用户访问行为数据;
所述行为记录模块用于接收行为采集模块传输的行为数据,向操作系统内核发送读写操作请求,将行为数据写入到磁盘中;
所述行为同步发送模块用于将云服务所在节点磁盘上的行为数据同步到用户行为分析主机上;
所述行为同步接收模块接收云服务宿主机中的行为同步发送模块发送的用户行为数据;
所述行为融合模块是将不同云服务宿主机发来的相同用户的行为数据整合,获得完整的用户行为数据;
所述行为提取模块用于从融合后的用户行为数据中提取数据,并对数据进行预处理,提取所需的行为属性值;
所述特征构造模块用于根据行为属性值构造用户行为特征矩阵;
所述恶意用户识别模块根据用户行为特征矩阵,通过聚类分析识别恶意用户,并将结果分发到访问控制模块;
所述访问控制模块根据恶意用户识别模块的检测结果,调整用户访问策略;如果是恶意用户,则根据用户的访问频率,阻止用户的访问行为或者提高响应延迟,抑制恶意用户的访问行为,如果是合法用户,则允许用户正常访问云服务。
本发明的有益效果:
本发明提供一种保护云服务安全的系统,该系统部署在云服务宿主机上和用户行为分析主机上。云服务宿主机拦截所有用户操作请求,对其进行去除冗余数据和规范化处理,并在写入本地存储的同时传输给用户行为分析主机。避免了用户行为数据受到缓冲、代理和防火墙等因素的干扰,保证了用户行为数据的完整性。用户行为分析主机不是基于业务逻辑或者用户行为模型检测恶意用户,而是采用了基于用户行为特征差异的检测方法,降低了恶意用户模拟正常用户行为绕开检测的可能性,提高了检测率。
本发明所述的系统部署在云服务宿主机上的部分是基于J2EE架构的,用户行为数据采集与服务器的类型和云服务的业务逻辑没有关联,可应用于任何基于J2EE架构开发的应用系统。对于其它程序架构,只需重新实现用户请求拦截模块的接口,因此扩展性较好。
本发明所述系统还适用于集群部署的云服务,应用范围广,适用性强。此外,本发明所述系统不需管理员干预,降低了管理成本。同时,对于判别出的恶意请求并不是直接阻断,而是提高响应时延,降低用户服务质量,持续观察用户的行为,避免误报给用户造成的不良影响。
附图说明
图1为本发明所述一种保护云服务安全的系统的结构图;
图2为本发明所述一种保护云服务安全的系统的原理图。
具体实施方式
结合图1和图2说明具体实施方式,该系统部署在云服务宿主机和用户行为分析主机上。
图1中云服务宿主机由物理主机或部署在物理主机上的虚拟机(VM)提供,用户行为分析主机接收云服务宿主机发送的用户行为数据后,判别用户是否发送了恶意的请求。
图2所示云服务宿主机上部署了包括用户请求拦截模块、行为采集模块、行为记录模块、行为同步发送模块和访问控制模块;用户行为分析主机上部署了行为同步接收模块、行为融合模块、行为提取模块、特征构造模块和恶意用户识别模块。
所述用户请求拦截模块用于拦截用户访问云服务的请求,并将用户请求的信息转发给采集模块;
所述行为采集模块用于获取请求拦截模块转发的访问请求,提取用户访问行为数据;
所述行为记录模块用于接收行为采集模块传输的行为数据,向操作系统内核发送读写操作请求,将行为数据写入到磁盘中;
所述行为同步发送模块用于将云服务宿主机磁盘上的行为数据同步到用户行为分析主机上;
所述行为同步接收模块接收云服务宿主机发送的用户行为数据;
所述行为融合模块是将不同云服务宿主机发来的相同用户的行为数据整合,获得完整的用户行为数据;
所述行为提取模块用于从融合后的用户行为数据中提取数据,并对数据进行预处理,提取所需的行为属性值;
所述特征构造模块用于根据行为属性值构造用户行为特征矩阵;
所述恶意用户识别模块根据用户行为特征矩阵,通过聚类分析识别恶意用户,并将结果分发到访问控制模块;
所述访问控制模块根据恶意用户识别模块的检测结果,调整用户访问策略。如果是恶意用户,则根据用户的访问频率,阻止用户的访问行为或者降低用户的服务质量,抑制恶意用户的访问行为,如果是合法用户,则允许用户正常访问云服务。
本实施方式中,当用户访问图1所示的云服务时,用户访问请求经负载均衡器转发到某一台提供云服务的物理主机或者虚拟机上,图2中部署在运行云服务的宿主机上的请求拦截模块拦截用户请求信息后,将用户请求的信息转发给行为采集模块,由用户行为采集模块提取用户访问行为数据;行为记录模块向云服务宿主机的操作系统内核发送读写操作请求,将行为数据写入到本地磁盘中;
行为同步发送模块用于将云服务所在宿主机磁盘上的行为数据同步到图1所示的用户行为分析主机上,本实施方式中的行为同步发送模块挂载在OpenStack nove运行目录下,实时捕获行为记录模块写入到宿主机磁盘上的用户行为数据,然后在用户行为数据上附加云服务宿主机的信息后传输给用户行为分析主机;
本实施方式用户行为分析主机上的行为同步接收模块接收来自各个云服务宿主机上的用户行为数据,并对相同用户的行为数据融合,形成完整的用户行为数据;
行为提取模块提取融合后的用户行为数据,计算用户的行为属性值,特征构造模块对行为数据进行归一化处理,构造用户行为特征矩阵;
恶意用户识别模块则根据用户行为特征矩阵,利用聚类分析算法识别恶意用户,并将结果发送给部署在云服务宿主机上的访问控制模块;
用户当前请求所在云服务宿主机的访问控制模块,根据恶意用户识别模块发送的检测结果,调整用户的访问控制策略,如果是正常用户,则允许用户访问云服务,如果确定是恶意用户,则禁止访问云服务;对于无法准确区分的用户,可以进行用户身份二次验证,判别是否是合法用户;也可以增大响应延迟,降低对可疑用户的服务质量,避免误报给用户带来的不良影响。

Claims (1)

1.一种保护云服务安全的系统,该系统包括部署在云服务宿主机的用户请求拦截模块、行为采集模块、行为记录模块、行为同步发送模块和访问控制模块以及部署在用户行为分析主机上的行为同步接收模块、行为融合模块、行为提取模块、特征构造模块和恶意用户识别模块,其特征是;
所述用户请求拦截模块用于拦截用户访问云服务的请求,并将用户请求的信息转发给采集模块;
所述行为采集模块用于获取请求拦截模块转发的访问请求,提取用户访问行为数据;
所述行为记录模块用于接收行为采集模块传输的行为数据,向操作系统内核发送读写操作请求,将行为数据写入到磁盘中;
所述行为同步发送模块用于将云服务所在宿主机磁盘上的行为数据同步到用户行为分析主机上;
所述行为同步接收模块接收云服务宿主机中的行为同步发送模块发送的用户行为数据;
所述行为融合模块是将不同云服务宿主机发来的相同用户的行为数据整合,获得完整的用户行为数据;
所述行为提取模块用于从融合后的用户行为数据中提取数据,并对数据进行预处理,提取所需的行为属性值;
所述特征构造模块用于根据行为属性值构造用户行为特征矩阵;
所述恶意用户识别模块根据用户行为特征矩阵,通过聚类分析识别恶意用户,并将结果分发到访问控制模块;
所述访问控制模块根据恶意用户识别模块的检测结果,调整用户访问策略;如果是恶意用户,则根据用户的访问频率,阻止用户的访问行为或者提高响应延迟,抑制恶意用户的访问行为,如果是合法用户,则允许用户正常访问云服务。
CN201711292170.1A 2017-12-08 2017-12-08 一种保护云服务安全的系统 Active CN108092961B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711292170.1A CN108092961B (zh) 2017-12-08 2017-12-08 一种保护云服务安全的系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711292170.1A CN108092961B (zh) 2017-12-08 2017-12-08 一种保护云服务安全的系统

Publications (2)

Publication Number Publication Date
CN108092961A true CN108092961A (zh) 2018-05-29
CN108092961B CN108092961B (zh) 2020-09-08

Family

ID=62174790

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711292170.1A Active CN108092961B (zh) 2017-12-08 2017-12-08 一种保护云服务安全的系统

Country Status (1)

Country Link
CN (1) CN108092961B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112689002A (zh) * 2020-12-18 2021-04-20 北京易车互联信息技术有限公司 app行为监控系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013063474A1 (en) * 2011-10-28 2013-05-02 Scargo, Inc. Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware
CN105607945A (zh) * 2015-12-22 2016-05-25 中国科学院信息工程研究所 基于虚拟化的主机行为异步侦听截获系统和方法
CN106961450A (zh) * 2017-05-24 2017-07-18 深信服科技股份有限公司 安全防御方法、终端、云端服务器以及安全防御系统
CN107276983A (zh) * 2017-05-12 2017-10-20 西安电子科技大学 一种基于dpi和云同步的流量安全控制方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013063474A1 (en) * 2011-10-28 2013-05-02 Scargo, Inc. Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware
CN105607945A (zh) * 2015-12-22 2016-05-25 中国科学院信息工程研究所 基于虚拟化的主机行为异步侦听截获系统和方法
CN107276983A (zh) * 2017-05-12 2017-10-20 西安电子科技大学 一种基于dpi和云同步的流量安全控制方法及系统
CN106961450A (zh) * 2017-05-24 2017-07-18 深信服科技股份有限公司 安全防御方法、终端、云端服务器以及安全防御系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112689002A (zh) * 2020-12-18 2021-04-20 北京易车互联信息技术有限公司 app行为监控系统
CN112689002B (zh) * 2020-12-18 2023-06-20 北京易车互联信息技术有限公司 app行为监控系统

Also Published As

Publication number Publication date
CN108092961B (zh) 2020-09-08

Similar Documents

Publication Publication Date Title
US11916920B2 (en) Account access security using a distributed ledger and/or a distributed file system
US9166988B1 (en) System and method for controlling virtual network including security function
US8677472B1 (en) Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN110300125B (zh) Api访问控制方法及api访问代理装置
US10135830B2 (en) Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems
JP6717206B2 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
RU2697950C2 (ru) Система и способ выявления скрытого поведения расширения браузера
US9619262B2 (en) Techniques for security auditing of cloud resources
US11481478B2 (en) Anomalous user session detector
JP2019516160A (ja) セキュリティ脅威を検出するためのシステム及び方法
US11379591B2 (en) Methods and devices for user authorization
US20240104205A1 (en) Malware detection based on user interactions
US10412101B2 (en) Detection device, detection method, and detection program
US9965624B2 (en) Log analysis device, unauthorized access auditing system, computer readable medium storing log analysis program, and log analysis method
CN111314381A (zh) 安全隔离网关
CN108989294A (zh) 一种准确识别网站访问的恶意用户的方法及系统
CN113132318A (zh) 面向配电自动化系统主站信息安全的主动防御方法及系统
CN104735069A (zh) 一种基于安全可信的高可用性计算机集群
CN107196969B (zh) 攻击流量的自动识别及验证方法及系统
CN108092961A (zh) 一种保护云服务安全的系统
CN115714660A (zh) 权限配置方法及装置
US11218551B1 (en) Method and system for user identification based on user environment
KR20140046255A (ko) 온라인 서비스로 제공되는 저작 콘텐츠의 보호를 위한 콘텐츠 유통 로그 에이전트 및 운영방법
KR20190064264A (ko) 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant