CN109379347A - 一种安全防护方法及设备 - Google Patents
一种安全防护方法及设备 Download PDFInfo
- Publication number
- CN109379347A CN109379347A CN201811150934.8A CN201811150934A CN109379347A CN 109379347 A CN109379347 A CN 109379347A CN 201811150934 A CN201811150934 A CN 201811150934A CN 109379347 A CN109379347 A CN 109379347A
- Authority
- CN
- China
- Prior art keywords
- cloud
- security
- apocrypha
- resource
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供一种安全防护方法及设备,涉及网络安全领域。本发明实施例能够同步更新主机安全防护软件和边界安全防护软件的安全策略,有效降低安全防护的脆弱点,并且避免主机安全防护软件和边界安全防护软件的策略冲突,同时减少IT管理员的工作量。该方法包括:云沙箱获取云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;管理平台接收分析结果;管理平台根据分析结果,若确定可疑文件为恶意文件,则分别对云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。本发明应用于云资源系统中。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种安全防护方法及设备。
背景技术
云计算将物理服务器与业务系统解耦,业务系统不再依赖于硬件设备的配置高低,大大提升了业务的灵活性,并且提高了硬件设备的利用率,显著降低企业成本。这一大优势,使得云计算在各个企业中快速普及。同时,云计算在企业的IT环境中的大量应用,也使得维护生产环境的安全变得尤为困难。
目前,通常企业会采用“主机安全防护软件+边界安全防护软件”的传统架构来保障虚拟机的安全,其中主机安全防护软件通常为主机杀毒软件,边界安全防护软件通常为边界防火墙。并且目前多数主机安全防护软件与边界安全防护软件,都使用独立的管理控制系统分别管理,这就需要对主机安全防护软件和边界安全防护软件的管理控制系统进行分别配置。这样一来不仅增加了IT管理员的工作量,同时还可能产生主机安全防护软件和边界安全防护软件的安全策略冲突的可能。而且一旦发生策略冲突,也很难定位原因,最终可能导致整个防护系统的失效。
发明内容
本发明提供一种安全防护方法及设备,能够在发现新的威胁情况时,同步更新主机安全防护软件和边界安全防护软件的安全策略,有效降低安全防护的脆弱点,并且避免主机安全防护软件和边界安全防护软件的策略冲突,同时减少IT管理员的工作量。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明实施例提供一种安全防护方法,包括:云沙箱获取云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;管理平台接收分析结果;管理平台根据分析结果,若确定可疑文件为恶意文件,则分别对云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
可选的,在云沙箱获取云资源中的可疑文件之前,方法还包括:主机安全防护模块利用主机安全防护软件,对虚拟机的本地文件进行检测,确定可疑文件并将可疑文件发送至云沙箱;和/或,边界安全防护模块利用边界安全防护软件,对虚拟机与外部设备之间的通信文件进行检测,确定可疑文件并将可疑文件发送至云沙箱。
可选的,管理平台根据分析结果,若确定可疑文件为恶意文件,则分别对云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新,具体包括:管理平台根据分析结果,若确定可疑文件为恶意文件,则根据可疑文件的威胁程度,选择云资源中的至少一个虚拟机对应的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
可选的,云资源包括:私有云资源和公有云资源;云沙箱包括分别部署在私有云资源或者公有云资源中的云沙箱;私有云资源中的云沙箱,用于获取私有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;公有云资源中的云沙箱,用于获取公有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;管理平台接收分析结果,具体包括:管理平台接收私有云资源中的云沙箱或者公有云资源中的云沙箱发送的分析结果;管理平台根据分析结果,若确定可疑文件为恶意文件,则分别对云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新,具体包括:管理平台对公有云资源中主机安全防护软件的安全策略、公有云资源中边界安全防护软件的安全策略、私有云资源中主机安全防护软件的安全策略、私有云资源中边界安全防护软件的安全策略进行更新。
可选的,云资源包括两种以上的云平台资源;云沙箱,具体包括分别部署在对应云平台资源中的至少两个云沙箱;至少两个云沙箱,具体用于分别获取两种以上的云平台资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;管理平台接收分析结果,具体包括:管理平台接收至少两个云沙箱发送的分析结果;管理平台根据分析结果,若确定可疑文件为恶意文件,分别对云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新,具体包括:管理平台根据分析结果,若确定可疑文件为恶意文件,分别对两种以上的云平台资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
第二方面,本发明实施例提供一种管理平台,包括:接收单元,用于接收云沙箱发送的分析结果;分析结果包括云沙箱在获取云资源中的可疑文件后,对可疑文件进行威胁分析生成的分析结果;更新单元,用于在接收单元接收分析结果后,若确定可疑文件为恶意文件,则分别对云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
可选的,更新单元,具体用于根据分析结果,若确定可疑文件为恶意文件,则根据可疑文件的威胁程度,选择云资源中的至少一个虚拟机对应的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
可选的,云资源包括:私有云资源和公有云资源;云沙箱包括分别部署在私有云资源或者公有云资源中的云沙箱;私有云资源中的云沙箱,用于获取私有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;公有云资源中的云沙箱,用于获取公有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;接收单元,具体用于接收私有云资源中的云沙箱或者公有云资源中的云沙箱发送的分析结果;更新单元,具体用于对公有云资源中主机安全防护软件的安全策略、公有云资源中边界安全防护软件的安全策略、私有云资源中主机安全防护软件的安全策略、私有云资源中边界安全防护软件的安全策略进行更新。
可选的,云资源包括两种以上的云平台资源;云沙箱,具体包括分别部署在对应云平台资源中的至少两个云沙箱;至少两个云沙箱,具体用于分别获取两种以上的云平台资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;接收单元,具体用于接收至少两个云沙箱发送的分析结果;更新单元,具体用于分别对两种以上的云平台资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
第三方面,本发明实施例提供一种管理平台,包括:处理器、存储器、总线和通信接口;存储器用于存储计算机执行指令,处理器与存储器通过总线连接,当管理平台运行时,处理器执行上述存储器存储的上述计算机执行指令,以使管理平台执行如上述第一方面提供的安全防护方法。
本发明实施例,能够在发现新的威胁情况时,同步更新主机安全防护软件和边界安全防护软件的安全策略,有效降低安全防护的脆弱点,并且能够有效避免主机安全防护软件和边界安全防护软件的策略冲突以及多次重复扫描情况,同时减少IT管理员的工作量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例提供的一种云资源系统的结构示意图;
图2为本发明实施例提供的一种安全防护方法的流程示意图;
图3为本发明实施例提供的另一种云资源系统的结构示意图;
图4为本发明实施例提供的再一种云资源系统的结构示意图;
图5为本发明实施例提供的一种管理平台的结构示意图;
图6为本发明实施例提供的另一种管理平台的结构示意图;
图7为本发明实施例提供的再一种管理平台的结构示意图。
具体实施方式
下面结合附图,对本发明的实施例进行描述。
本发明的实施例应用于对云资源的安全防护场景中。具体可以应用私有云、公有云、混合云以及跨多云平台的云资源中。
首先,针对本发明的实施例用到的技术术语描述如下:
云计算:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),通常我们将这些资源共享池称为云资源。这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。云资源的特点有:①动态漂移,某台虚机部署好具体的应用以后,会随着云环境里计算资源的漂移而改变宿主机;②弹性扩充,某种应用的计算资源不足时,会自动新增一些虚机加入该应用的计算集群,某种应用的计算资源过剩时,会自动集中资源,然后关闭掉空闲的虚机;③不同业务使用的虚机,可能存在于同一宿主机上,某一台虚机的安全隐患,很有可能会蔓延到同一宿主机上的其他业务虚机上;④云计算环境中,70%的流量是虚拟化环境内部的东西向流量,30%的流量是与外界通信的南北向流量,内部流量安全防护与边界安全防护需互相配合,缺一不可。
VM:Virtual Machine,虚拟机。指云资源中的虚拟机。
VPN:Virtual Private Network,虚拟专用网,即云资源中用户可独享的网络环境。
SaaS:Software-as-a-Service,软件即服务,它是一种通过Internet提供软件的模式,用户无需购买软件,而是向提供商租用基于Web的软件,来管理企业经营活动
沙箱:是一种按照安全策略限制程序行为的执行环境,主要用于测试可疑软件等。
本发明实施例的发明原理为:针对云资源中的安全问题,重视安全的企业,通常会选择在VM虚拟机主机层安装杀毒软件,在VPN虚拟网络边界处,设置虚拟防火墙。两套产品来自不同厂家,完全独立工作,互相没有沟通配合。这种情况既增加了IT运维人员的工作量,需要同时管控两套完全不同的产品,又降低了安全防护的效率,甚至会出现两套防护设备策略冲突的情况,直接影响到业务运行。基于上述原因,本发明实施例提供一种安全防护装置以及安全防护方法,能够使主机安全与边界安全产品联动配合,让整个云环境中的策略一致,配置简单,防护效果更优。
基于上述发明原理,本发明实施例提供一种安全防护方法,该方法应用于云资源系统中。示例性的,图1为本发明实施例提供的一种云资源系统的结构示意图。该云资源系统10具体可以是私有云系统或者公有云系统,其中可以包括多个租户,如图中租户1、租户2;其中云资源中为每个租户提供多个虚拟机资源,如图中租户1对应有WEB VM、DB VM以及APP VM等提供各种服务的虚拟机。各个虚拟机对应有用于虚拟机本地杀毒的主机安全防护模块,以及用于虚拟机网络边界防火墙的边界安全防护模块,例如主机安全防护模块用于运行主机杀毒软件,边界安全防护模块用于运行边界防火墙,如图中租户1中包括有边界安全防护模块101以及主机安全防护模块103,租户2中包括有边界安全防护模块102以及主机安全防护模块104。云资源系统10中的各租户的虚拟机可以通过物理网络设备107与互联网进行通信。另外,本发明实施例中的云资源系统中还包括云沙箱106,用于当云资源系统中的各个边界安全防护模块以及主机安全防护模块检测到不能明确属性的可疑文件时,对该可疑文件进行深度威胁分析,并将分析结果发送至管理平台105。之后,管理平台105根据分析结果,对各个边界安全防护模块以及主机安全防护模块中的安全策略进行更新。
需要说明的是,在图1所示的云资源系统10中,每个边界安全防护模块分别负责一个租户内的所有虚拟机的网络病毒防护,每个主机安全防护模块分别负责一个租户内的所有虚拟机的本地杀毒防护。在具体实施时,也可根据实际需要,设计边界安全防护模块以及主机安全防护模块的防护范围,例如,可以以虚拟机为单位,每个租户的每个虚拟机都设置一套边界安全防护模块以及主机安全防护模块等,对此本发明不做限制。
基于上述云资源系统场景或者与上述云资源系统类似的场景,本发明实施例提供一种安全防护方法,如图2所示,该方法具体包括:
S201、主机安全防护模块利用主机安全防护软件,对虚拟机的本地文件进行检测,确定可疑文件并将可疑文件发送至云沙箱。
具体的,主机安全防护模块可以通过运行主机杀毒软件,利用主机杀毒软件的安全策略,对云资源系统中各个虚拟机的本地文件进行检测。当检测到威胁即恶意文件时,则通过删除、隔离等操作完成查杀工作。当检测到不能明确属性的可疑文件时,则将该可疑文件发送至云沙箱。
S202、边界安全防护模块利用边界安全防护软件,对虚拟机与外部设备之间的通信文件进行检测,确定可疑文件并将可疑文件发送至云沙箱。
具体的,边界安全防护模块可以通过运行边界防火墙,利用边界防火墙的安全策略,对虚拟机与互联网中的外部设备之间的流量进行检测。当检测到威胁即恶意文件时,则通过删除、隔离等操作完成查杀工作。当检测到不能明确属性的可疑文件时,则将该可疑文件发送至云沙箱。
在具体实施时,本领域技术人员也可以选择只将边界安全防护模块发现的可疑文件发送至云沙箱,也可以选择只将主机安全防护模块发现的可疑文件发送至云沙箱,对此本发明可以不作限制。
S203、云沙箱获取云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台。
具体的,云沙箱在接收到主机安全防护模块或者边界安全防护模块发送的可疑文件后,则通过在隔离的执行环境中测试运行该可疑文件,对该可疑文件进行威胁分析。在得到分析结果后,则将该分析结果发送至管理平台。
S204、管理平台接收分析结果。
S205、管理平台根据分析结果,若确定可疑文件为恶意文件,则分别对云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
具体的,云沙箱将分析结果发送至管理平台后,若根据分析结果确定该可疑文件为正常文件,则不作处理。若确定该可疑文件为恶意文件,则立即对全网所有主机安全防护软件和边界安全防护软件的安全策略进行更新,例如将该可疑文件的SHA1值、Ip地址、URL地址以及域名等信息更新至主机安全防护软件和边界安全防护软件中。此时,已经落地到云环境中的恶意文件,有主机安全防护软件立即删除;未进入云环境的恶意文件,由边界安全防护软件负责拦截。
在一种实现方式中,考虑到恶意文件的威胁程度不同,需要更新的主机安全防护软件、边界安全防护软件的范围也可能不同。例如,有些针对某个虚拟机的恶意文件,则只需要对该虚拟机的主机安全防护软件、边界安全防护软件的安全策略进行更新;有些破坏范围大、威胁大的恶意文件则可能需要对全网的主机安全防护软件、边界安全防护软件的安全策略进行更新。因此,本发明实施例中步骤S205具体可以包括:
管理平台根据分析结果,若确定可疑文件为恶意文件,则根据可疑文件的威胁程度,选择云资源中的至少一个虚拟机对应的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
另外,在另一种实现方式中,还可以根据各虚拟机的权限级别,决定对云资源中的至少一个虚拟机对应的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。例如,若某个虚拟机的权限级别高,则需要更高的管理员权限才能对该虚拟机的安全策略进行修改、更新。
本发明实施例,能够在发现新的威胁情况时,同步更新主机安全防护软件和边界安全防护软件的安全策略,有效降低安全防护的脆弱点,并且能够有效避免主机安全防护软件和边界安全防护软件的策略冲突以及多次重复扫描情况,同时减少IT管理员的工作量。
如图3所示,为本发明实施例提供的另一种云资源系统。该云资源系统为混合云资源,具体包括私有云资源和公有云资源,其中公有云资源可以为行业云。私有云资源和公有云资源中分别包括虚拟机,以及虚拟机对应的边界安全防护模块以及主机安全防护模块。另外,私有云资源和公有云资源中该分别包括云沙箱。私有云资源中的云沙箱,用于获取私有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;公有云资源中的云沙箱,用于获取公有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台。云资源系统中还包括管理平台。其中虚拟机、边界安全防护模块、主机安全防护模块、云沙箱、管理平台可以参照如1所示云资源系统中对应部件的功能,对此不再赘述。
另外,需要说明的是,本实施例中所提供的云资源系统中的管理平台,可以设置在公有云资源中,也可以设置在私有云资源中。处于对信息安全的考虑,如图3所示,本发明实施例可以将管理平台设置在私有云资源中。当然,对此本发明也可不做限制。
具体的,基于上述图3所示云资源系统,本发明实施例所提供的安全防护方法具体可以包括:
S301、私有云资源和/或公有云资源中的主机安全防护模块利用主机安全防护软件,对虚拟机的本地文件进行检测,确定可疑文件并将可疑文件发送至云沙箱。
S302、私有云资源和/或公有云资源中的边界安全防护模块利用边界安全防护软件,对虚拟机与外部设备之间的通信文件进行检测,确定可疑文件并将可疑文件发送至云沙箱。
S303、私有云资源和/或公有云资源中的云沙箱获取云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台。
S304、管理平台接收分析结果。
上述步骤S301-304的具体执行方式及产生效果可参照上述步骤S201-204的内容。
S305、管理平台根据分析结果,若确定可疑文件为恶意文件,则对公有云资源中主机安全防护软件的安全策略、公有云资源中边界安全防护软件的安全策略、私有云资源中主机安全防护软件的安全策略、私有云资源中边界安全防护软件的安全策略进行更新。
具体的,当确定可疑文件为恶意文件时,管理平台对私有云资源内的主机安全防护软件以及边界安全防护软件的安全策略进行更新。同时,管理平台还会通过互联网/行业专网,向公有云资源中的主机安全防护软件以及边界安全防护软件执行管理工作,更新其中的安全策略。
在一种实现方式中,步骤S305具体包括:根据恶意文件的威胁程度、虚拟机的权限级别,选择对私有云资源、公有云资源中的边界安全防护软件、主机安全防护软件的安全策略进行更新。
如图4所示,为本发明提供的另一种云资源系统。该云资源系统中包括至少三种云平台资源,如图5所示其中包括Vsphere云平台、H3Cloud云平台、FusionCloud云平台。其中不同云平台中部署有对应的主机安全防护模块、边界安全防护模块以及云沙箱,不同云平台中还包括用于对云平台内资源进行管理的虚拟化管理模块。
基于上述图4所示云资源系统,本发明实施例中所提供的安全防护方法,具体可以包括:
S401、至少两种云平台资源中的主机安全防护模块分别利用主机安全防护软件,对该云平台中的虚拟机的本地文件进行检测,确定可疑文件并将可疑文件发送至云沙箱。
S402、至少两种云平台中的边界安全防护模块分别利用边界安全防护软件,对云平台中的虚拟机与外部设备之间的通信文件进行检测,确定可疑文件并将可疑文件发送至云沙箱。
S403、至少两种云平台中的云沙箱分别接收可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台。
S404、管理平台接收至少两个云沙箱发送的分析结果。
上述步骤S401-404的具体执行方式及产生效果可参照上述步骤S201-204的内容。
S405、管理平台根据分析结果,若确定可疑文件为恶意文件,分别对两种以上的云平台资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
具体的,在一种实现方式中,可以利用云平台中的虚拟化管理模块将更新任务下发给云平台中的主机安全防护软件以及边界安全防护软件。
实施例二:
本发明实施例提供一种管理平台,用于执行上述安全防护方法。本发明实施例中所提供的管理平台。图5示出了该管理平台的一种可能的结构示意图。具体的,该管理平台50包括:接收单元501以及更新单元502。其中:
接收单元501,用于接收云沙箱发送的分析结果;分析结果包括云沙箱在获取云资源中的可疑文件后,对可疑文件进行威胁分析生成的分析结果;
更新单元502,用于在接收单元501接收分析结果后,若确定可疑文件为恶意文件,则分别对云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
可选的,更新单元502,具体用于根据分析结果,若确定可疑文件为恶意文件,则根据可疑文件的威胁程度,选择云资源中的至少一个虚拟机对应的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
可选的,云资源包括:私有云资源和公有云资源;云沙箱包括分别部署在私有云资源或者公有云资源中的云沙箱;私有云资源中的云沙箱,用于获取私有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;公有云资源中的云沙箱,用于获取公有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;接收单元501,具体用于接收私有云资源中的云沙箱或者公有云资源中的云沙箱发送的分析结果;更新单元502,具体用于对公有云资源中主机安全防护软件的安全策略、公有云资源中边界安全防护软件的安全策略、私有云资源中主机安全防护软件的安全策略、私有云资源中边界安全防护软件的安全策略进行更新。
可选的,云资源包括两种以上的云平台资源;云沙箱,具体包括分别部署在对应云平台资源中的至少两个云沙箱;至少两个云沙箱,具体用于分别获取两种以上的云平台资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;接收单元501,具体用于接收至少两个云沙箱发送的分析结果;更新单元502,具体用于分别对所述两种以上的云平台资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
需要说明的是,本发明实施例中提供的管理平台中各单元所对应的其他相应描述,可以参考图2以及上文中对图2的对应描述内容,在此不再赘述。
在采用集成的单元的情况下,附图6示出了上述实施例中所涉及的管理平台的一种可能的结构示意图。管理平台60包括:处理模块601和通信模块602。处理模块601用于对管理平台60的动作进行控制管理,例如处理模块601用于支持管理平台60执行图2中S204-S205等步骤。通信模块602用于支持管理平台60与其他实体设备的通信。管理平台60还可以包括储存模块603,用于存储管理平台60的程序代码和数据。
其中,处理模块601可以是处理器或控制器,例如可以是中央处理器(CentralProcessing Unit,CPU),通用处理器,数字信号处理器(Digital Signal Processor,DSP),专用集成电路(Application-Specific Integrated Circuit,ASIC),现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块602可以是收发器、收发电路或通信接口等。储存模块603可以是存储器。
当处理模块601为处理器,通信模块602为通信接口,储存模块603为存储器时,本发明实施例所涉及的管理平台可以为附图7所示的管理平台。
参阅附图7所示,该管理平台70包括:处理器701、通信接口702、存储器703以及总线704。其中,通信接口702、处理器701以及存储器703通过总线704相互连接;总线704可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,附图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
结合本发明公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。本发明实施例还提供一种存储介质,该存储介质可以包括存储器703,用于储存管理平台所用的计算机软件指令,其包含执行上述实施例中提供的放疗设备准直器校正方法所设计的程序代码。具体的,软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read Only Memory,ROM)、可擦除可编程只读存储器(Erasable ProgrammableROM,EPROM)、电可擦可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。
本发明实施例还提供一种计算机程序,该计算机程序可直接加载到存储器703中,并含有软件代码,该计算机程序经由计算机载入并执行后能够实现上述实施例所提供的网络攻击的检测方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (10)
1.一种安全防护方法,其特征在于,
云沙箱获取云资源中的可疑文件,对所述可疑文件进行威胁分析,并将分析结果发送至管理平台;
所述管理平台接收所述分析结果;
所述管理平台根据所述分析结果,若确定所述可疑文件为恶意文件,则分别对所述云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
2.根据权利要求1所述安全防护方法,其特征在于,在所述云沙箱获取云资源中的可疑文件之前,所述方法还包括:
主机安全防护模块利用所述主机安全防护软件,对虚拟机的本地文件进行检测,确定所述可疑文件并将所述可疑文件发送至所述云沙箱;
和/或,
边界安全防护模块利用所述边界安全防护软件,对虚拟机与外部设备之间的通信文件进行检测,确定所述可疑文件并将所述可疑文件发送至所述云沙箱。
3.根据权利要求1所述安全防护方法,其特征在于,
所述管理平台根据所述分析结果,若确定所述可疑文件为恶意文件,则分别对所述云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新,具体包括:
所述管理平台根据所述分析结果,若确定所述可疑文件为恶意文件,则根据所述可疑文件的威胁程度,选择所述云资源中的至少一个虚拟机对应的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
4.根据权利要求1-3任一项所述安全防护方法,其特征在于,所述云资源包括:私有云资源和公有云资源;所述云沙箱包括分别部署在所述私有云资源或者所述公有云资源中的云沙箱;所述私有云资源中的云沙箱,用于获取私有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至所述管理平台;所述公有云资源中的云沙箱,用于获取公有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至所述管理平台;
所述管理平台接收所述分析结果,具体包括:
所述管理平台接收所述私有云资源中的云沙箱或者所述公有云资源中的云沙箱发送的分析结果;
所述管理平台根据所述分析结果,若确定所述可疑文件为恶意文件,则分别对所述云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新,具体包括:
所述管理平台根据所述分析结果,若确定所述可疑文件为恶意文件,对所述公有云资源中主机安全防护软件的安全策略、所述公有云资源中边界安全防护软件的安全策略、所述私有云资源中主机安全防护软件的安全策略、所述私有云资源中边界安全防护软件的安全策略进行更新。
5.根据权利要求1-3任一项所述安全防护方法,其特征在于,所述云资源包括两种以上的云平台资源;所述云沙箱,具体包括分别部署在对应云平台资源中的至少两个云沙箱;所述至少两个云沙箱,具体用于分别获取所述两种以上的云平台资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;
所述管理平台接收所述分析结果,具体包括:
所述管理平台接收所述至少两个云沙箱发送的分析结果;
所述管理平台根据所述分析结果,若确定所述可疑文件为恶意文件,分别对所述云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新,具体包括:
所述管理平台根据所述分析结果,若确定所述可疑文件为恶意文件,分别对所述两种以上的云平台资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
6.一种管理平台,其特征在于,包括:
接收单元,用于接收所述云沙箱发送的分析结果;所述分析结果包括所述云沙箱在获取云资源中的可疑文件后,对所述可疑文件进行威胁分析生成的分析结果;
更新单元,用于在接收单元接收所述分析结果后,若确定所述可疑文件为恶意文件,则分别对所述云资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
7.根据权利要求6所述管理平台,其特征在于,
所述更新单元,具体用于根据所述分析结果,若确定所述可疑文件为恶意文件,则根据所述可疑文件的威胁程度,选择所述云资源中的至少一个虚拟机对应的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
8.根据权利要求6或7所述管理平台,其特征在于,所述云资源包括:私有云资源和公有云资源;所述云沙箱包括分别部署在所述私有云资源或者所述公有云资源中的云沙箱;所述私有云资源中的云沙箱,用于获取私有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至所述管理平台;所述公有云资源中的云沙箱,用于获取公有云资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至所述管理平台;
所述接收单元,具体用于接收所述私有云资源中的云沙箱或者所述公有云资源中的云沙箱发送的分析结果;
所述更新单元,具体用于对所述公有云资源中主机安全防护软件的安全策略、所述公有云资源中边界安全防护软件的安全策略、所述私有云资源中主机安全防护软件的安全策略、所述私有云资源中边界安全防护软件的安全策略进行更新。
9.根据权利要求6或7所述管理平台,其特征在于,所述云资源包括两种以上的云平台资源;所述云沙箱,具体包括分别部署在对应云平台资源中的至少两个云沙箱;所述至少两个云沙箱,具体用于分别获取所述两种以上的云平台资源中的可疑文件,对可疑文件进行威胁分析,并将分析结果发送至管理平台;
所述接收单元,具体用于接收所述至少两个云沙箱发送的分析结果;
所述更新单元,具体用于分别对所述两种以上的云平台资源中的主机安全防护软件的安全策略以及边界安全防护软件的安全策略进行更新。
10.一种管理平台,其特征在于,包括:处理器、存储器、总线和通信接口;所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接,当所述管理平台运行时,所述处理器执行上述存储器存储的上述计算机执行指令,以使所述管理平台执行如权利要求1-4中任一项所述安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811150934.8A CN109379347B (zh) | 2018-09-29 | 2018-09-29 | 一种安全防护方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811150934.8A CN109379347B (zh) | 2018-09-29 | 2018-09-29 | 一种安全防护方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109379347A true CN109379347A (zh) | 2019-02-22 |
| CN109379347B CN109379347B (zh) | 2021-03-23 |
Family
ID=65403157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811150934.8A Active CN109379347B (zh) | 2018-09-29 | 2018-09-29 | 一种安全防护方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109379347B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110135711A (zh) * | 2019-04-28 | 2019-08-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种情报管理方法及装置 |
| CN111027075A (zh) * | 2019-12-06 | 2020-04-17 | 吉林亿联银行股份有限公司 | 一种漏洞防护方法、装置及电子设备 |
| CN111147458A (zh) * | 2019-12-12 | 2020-05-12 | 深圳市高德信通信股份有限公司 | 一种网络安全防御系统 |
| CN112532590A (zh) * | 2020-11-06 | 2021-03-19 | 北京冠程科技有限公司 | 软件安全边界系统及方法 |
| WO2021099959A1 (en) * | 2019-11-22 | 2021-05-27 | International Business Machines Corporation | Cluster security based on virtual machine content |
| CN113206848A (zh) * | 2021-04-29 | 2021-08-03 | 福建奇点时空数字科技有限公司 | 一种基于自演进配置的sdn动目标防御实现方法 |
| CN114629726A (zh) * | 2022-04-26 | 2022-06-14 | 深信服科技股份有限公司 | 一种云管理方法、装置、设备、系统及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130339424A1 (en) * | 2012-06-15 | 2013-12-19 | Infosys Limited | Deriving a service level agreement for an application hosted on a cloud platform |
| CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析系统和方法 |
| CN104270467A (zh) * | 2014-10-24 | 2015-01-07 | 冯斌 | 一种用于混合云的虚拟机管控方法 |
| CN107682333A (zh) * | 2017-09-30 | 2018-02-09 | 北京奇虎科技有限公司 | 基于云计算环境的虚拟化安全防御系统及方法 |
| CN108040039A (zh) * | 2017-11-28 | 2018-05-15 | 深信服科技股份有限公司 | 一种识别攻击源信息的方法、装置、设备及系统 |
-
2018
- 2018-09-29 CN CN201811150934.8A patent/CN109379347B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130339424A1 (en) * | 2012-06-15 | 2013-12-19 | Infosys Limited | Deriving a service level agreement for an application hosted on a cloud platform |
| CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析系统和方法 |
| CN104270467A (zh) * | 2014-10-24 | 2015-01-07 | 冯斌 | 一种用于混合云的虚拟机管控方法 |
| CN107682333A (zh) * | 2017-09-30 | 2018-02-09 | 北京奇虎科技有限公司 | 基于云计算环境的虚拟化安全防御系统及方法 |
| CN108040039A (zh) * | 2017-11-28 | 2018-05-15 | 深信服科技股份有限公司 | 一种识别攻击源信息的方法、装置、设备及系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110135711A (zh) * | 2019-04-28 | 2019-08-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种情报管理方法及装置 |
| CN110135711B (zh) * | 2019-04-28 | 2021-10-08 | 成都亚信网络安全产业技术研究院有限公司 | 一种网络安全情报管理方法及装置 |
| WO2021099959A1 (en) * | 2019-11-22 | 2021-05-27 | International Business Machines Corporation | Cluster security based on virtual machine content |
| US11334672B2 (en) | 2019-11-22 | 2022-05-17 | International Business Machines Corporation | Cluster security based on virtual machine content |
| GB2604820A (en) * | 2019-11-22 | 2022-09-14 | Ibm | Cluster security based on virtual machine content |
| JP7486579B2 (ja) | 2019-11-22 | 2024-05-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 仮想マシンのコンテンツに基づくクラスタ・セキュリティ |
| CN111027075A (zh) * | 2019-12-06 | 2020-04-17 | 吉林亿联银行股份有限公司 | 一种漏洞防护方法、装置及电子设备 |
| CN111147458A (zh) * | 2019-12-12 | 2020-05-12 | 深圳市高德信通信股份有限公司 | 一种网络安全防御系统 |
| CN111147458B (zh) * | 2019-12-12 | 2022-05-03 | 深圳市高德信通信股份有限公司 | 一种网络安全防御系统 |
| CN112532590A (zh) * | 2020-11-06 | 2021-03-19 | 北京冠程科技有限公司 | 软件安全边界系统及方法 |
| CN113206848A (zh) * | 2021-04-29 | 2021-08-03 | 福建奇点时空数字科技有限公司 | 一种基于自演进配置的sdn动目标防御实现方法 |
| CN114629726A (zh) * | 2022-04-26 | 2022-06-14 | 深信服科技股份有限公司 | 一种云管理方法、装置、设备、系统及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109379347B (zh) | 2021-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109379347A (zh) | 一种安全防护方法及设备 | |
| US10630643B2 (en) | Dual memory introspection for securing multiple network endpoints | |
| US10678935B2 (en) | Identifying container file events for providing container security | |
| US10528721B2 (en) | Trusted packet processing for multi-domain separatization and security | |
| US10320674B2 (en) | Independent network interfaces for virtual network environments | |
| KR101946982B1 (ko) | 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가 | |
| US8707417B1 (en) | Driver domain as security monitor in virtualization environment | |
| US9998490B2 (en) | Security management in a networked computing environment | |
| US9317452B1 (en) | Selective restrictions to memory mapped registers using an emulator | |
| US20140007232A1 (en) | Method and apparatus to detect and block unauthorized mac address by virtual machine aware network switches | |
| US11755753B2 (en) | Mechanism to enable secure memory sharing between enclaves and I/O adapters | |
| US11669426B2 (en) | Kernel-based power consumption and isolation and defense against emerging power attacks | |
| US11184324B2 (en) | Deep packet inspection with enhanced data packet analyzers | |
| CN111324891A (zh) | 用于容器文件完整性监视的系统和方法 | |
| CN110874468A (zh) | 应用程序安全保护方法以及相关设备 | |
| US10929148B2 (en) | Executing services in containers | |
| US10459631B2 (en) | Managing deletion of logical objects of a managed system | |
| CN108241801B (zh) | 处理系统调用的方法和装置 | |
| US11025594B2 (en) | Secret information distribution method and device | |
| Semal et al. | A study on microarchitectural covert channel vulnerabilities in infrastructure-as-a-service | |
| CN108459899B (zh) | 信息保护方法及装置 | |
| Pfeiffer et al. | Strong tenant separation in cloud computing platforms | |
| TWI493377B (zh) | A kind of cloud ARP and IP spoofing protection system | |
| Sharif et al. | The analysis of cloud computing major security concerns & their solutions | |
| Kadu et al. | Virtual Machine Migration Techniques, Security Threats and Vulnerabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |