CN110958267B - 一种虚拟网络内部威胁行为的监测方法及系统 - Google Patents
一种虚拟网络内部威胁行为的监测方法及系统 Download PDFInfo
- Publication number
- CN110958267B CN110958267B CN201911303459.8A CN201911303459A CN110958267B CN 110958267 B CN110958267 B CN 110958267B CN 201911303459 A CN201911303459 A CN 201911303459A CN 110958267 B CN110958267 B CN 110958267B
- Authority
- CN
- China
- Prior art keywords
- behavior
- calling
- tenant
- request
- actual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明实施例提供一种虚拟网络内部威胁行为的监测方法及系统。该方法包括:获取租户正常行为请求,基于正常行为请求构建可信层级调用模型;对租户的实际行为请求进行采集,若监测到租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型;将实际调用流程模型和可信层级调用模型进行匹配,得到行为匹配结果,根据匹配结果判断实际行为请求是否为恶意攻击行为,并将匹配结果反馈至租户。本发明实施例通过采用针对内部安全威胁的行为追溯与监测方法并结合行为匹配,在有可信层级关联模型基础上,将实际行为与可信行为模型进行对比,并实现反馈,实现对内部安全风险监测,保证云环境下虚拟网络的安全。
Description
技术领域
本发明涉及云计算安全技术领域,尤其涉及一种虚拟网络内部威胁行为的监测方法及系统。
背景技术
云计算已成为当前信息领域的研究热点之一,通过在系统软硬件之间引入虚拟层,屏蔽了硬件平台的动态性、分布性和异构性,实现了底层IT资源的有效聚合和复用,并以一种简单、透明的方式为远程计算机用户提供动态的、可扩展的大规模计算和存储服务。
然而,由于用户的可用资源都放到的云服务提供商,导致了用户对自己所用虚拟机包括存储,计算,网络的管理权限有限,在这种场景下,云服务提供商中的恶意内部人员通过权限,恶意去更改,破坏用户的虚拟网络资源,将直接导致用户不能正常使用云服务以及用户数据被恶意更改或监听等诸多不良安全风险。因此,云环境下虚拟网络的安全问题是云计算能否持续安全的为用户提供服务的关键之一。现有的虚拟网络保护方法虽可以一定程度上解决虚拟网络的安全为题,但大多数的方法主要集中在针对虚拟网络传输数据网络的安全防范,无法去防范诸如恶意内部管理人员的管理配置操作。
发明内容
本发明实施例提供一种虚拟网络内部威胁行为的监测方法及系统,用以解决现有技术中无法准确地识别云服务环境存在恶意内部威胁,导致虚拟网络资源破坏的现象。
第一方面,本发明实施例提供一种虚拟网络内部威胁行为的监测方法,包括:
获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型;
对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型;
将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户。
优选地,所述获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型,具体包括:
通过日志唯一ID获取所述正常行为请求,得到日志分析结果;
通过源码分析方式获取所述正常行为请求,得到源码相关关键词和函数;
基于所述日志分析结果和所述源码相关关键词和函数,生成所述可信层级调用模型。
优选地,所述通过日志唯一ID获取所述正常行为请求,得到日志分析结果,具体包括:
所述租户进行正常管理配置虚拟网络,将预设请求发送至云服务提供方;
所述云服务提供方响应所述租户的请求后,将所述租户的唯一ID生成的日志信息提供给可信第三方,所述可信第三方根据所述日志信息中唯一ID在各节点中的进程调用情况,生成所述日志分析结果。
优选地,所述通过源码分析方式获取所述正常行为请求,得到源码相关关键词和函数,具体包括:
所述租户进行正常管理配置虚拟网络,将预设请求发送至云服务提供方,并将所述租户传递的参数信息发送至可信第三方;
所述云服务提供方响应所述租户的请求后,将云服务平台下各节点调用情况,以及各节点的参数传递内容发送给所述可信第三方,得到所述源码相关关键词和函数。
优选地,所述对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型,具体包括:
所述租户将所述实际行为请求发送至云服务提供方,由行为采集点记录各节点的进程调用情况和参数传递内容,存储采集信息,并根据是否有实时行为监测信息来判断是否生成所述实际调用流程模型;
若由行为监测点实时监测到所述租户进行虚拟网络管理配置操作,则通知所述行为采集点生成实际操作调用进程;
所述行为采集点通过所述采集信息,根据采集点信息特征,按照虚拟网络服务进程、虚拟网络管理进程和控制组件逐层向上的顺序,通过行为追溯方式生成所述实际调用流程模型。
优选地,所述将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户,具体包括:
根据所述实际调用流程模型在所述可信层级调用模型组成的库中找到对应的可信层级调用模型;
通过将采集后的调用行为与所述可信层级调用模型进行对比,从所述可信层级调用模型的最底层向上逐层进行匹配,得到所述行为匹配结果;若能完全匹配,则认为所述调用行为对应的租户请求为正常操作,否则,认为所述调用行为对应的租户请求为恶意攻击行为;
将所述匹配结果返回给所述租户。
第二方面,本发明实施例提供一种虚拟网络内部威胁行为的监测系统,包括:
获取构建模块,用于获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型;
采集生成模块,用于对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型;
匹配模块,用于将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户。
优选地,所述获取构建模块包括第一获取子模块、第二获取子模块和构建子模块;其中:
所述第一获取子模块用于通过日志唯一ID获取所述正常行为请求,得到日志分析结果;
所述第二获取子模块用于通过源码分析方式获取所述正常行为请求,得到源码相关关键词和函数;
构建子模块用于基于所述日志分析结果和所述源码相关关键词和函数,生成所述可信层级调用模型。
第三方面,本发明实施例提供一种电子设备,包括:
存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现任一项所述虚拟网络内部威胁行为的监测方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现任一项所述虚拟网络内部威胁行为的监测方法的步骤。
本发明实施例提供的虚拟网络内部威胁行为的监测方法及系统,通过采用针对内部安全威胁的行为追溯与监测方法并结合行为匹配,在有可信层级关联模型基础上,将实际行为与可信行为模型进行对比,并实现反馈,实现对内部安全风险监测,保证云环境下虚拟网络的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的云环境下面向虚拟网络内部威胁的工作流程图;
图2为本发明实施例提供的云环境下面向虚拟网络内部威胁的交互流程示意图;
图3为本发明实施例提供的一种虚拟网络内部威胁行为的监测方法流程图;
图4为本发明实施例提供的云环境下面向虚拟网络内部威胁的行为追溯监测方法部署方式示意图;
图5为本发明实施例提供的一种虚拟网络内部威胁行为的监测系统结构图;
图6为本发明实施例提供的电子设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中存在的无法准确地识别云服务环境存在恶意内部攻击和篡改,导致虚拟网络资源被破坏的问题,本发明实施例提供了一种虚拟网络内部威胁行为的监测方法,所述方法可简单概括为可信层级调用模型构建、针对内部安全威胁的行为追溯与监测和行为匹配三个部分,主要针对云用户创建,配置虚拟网络,管理虚拟网络三个阶段,各个阶段均能通过虚拟化管理工具和相关的API及进程的调用实现。通过采用基于可信的层级关联模型的构建方法,构建出用户在创建,管理,配置虚拟网络过程的完整可信流程,为对内部威胁行为的发现提供了一种可信的依据,整体的工作流程图如图1所示。
在现有的云计算环境中,虚拟网络的管理配置主要是通过各个节点之间的进程调用及关键字参数的传递和虚拟化管理工具的配置管理,因此,本发明的虚拟网络内部威胁发现方法支持对各个节点之间的恶意调用和虚拟化管理工具的恶意管理的威胁发现,如图2所示,本发明方法主要通过三个模块实现即可信层级调用模型、行为追溯、行为匹配。通过三个模块的结合应用,实现对云平台下虚拟网络内部威胁的防范。
图3为本发明实施例提供的一种虚拟网络内部威胁行为的监测方法流程图,如图3所示,包括:
S1,获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型;
S2,对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型;
S3,将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户。
具体地,本发明实施例是部署在Openstack开源云平台上实现的,具体的模块代码使用python编写,并将各个模块部署到Openstack的各个节点中,通过利用Openstack模拟真实的云服务场景,通过对Openstack下租户虚拟网络的正常与非正常的管理配置,实现云环境下基于可信层级调用及实时监控的虚拟网络内部威胁监测方法,具体部署如图4所示。
步骤S1中,获取租户正常行为请求,非恶意攻击行为,基于正常行为请求的特性来构建可信层级调用模型;可以理解的是,结合源码分析方式以及对用户正常行为日志的分析,构建正常行为库,并以模块的形式将其部署到云环境中,作为正常可信的行为匹配标准;
步骤S2中,再对实际使用过程中的租户请求行为进行采集,进行行为追溯,此处,行为追溯是围绕整个租户使用云服务的整个生命周期,涉及的相关节点都会进行实时地信息采集,而行为监测则是触发下一步行为匹配的必要条件。一旦监测发现出现虚拟网络的管理配置操作,则利用采集的信息通过行为追溯的方式生成实际的调用模型,为下一步的行为匹配做准备;在Openstack云平台的关键节点的主要进程,如控制节点下的neutron-server,plugin进程,rpc(remote procedure call)调用等,网络、计算节点中的agent进程等部署采集点。并在管理实施进程如虚拟设备,agent等中部署实时监测点,监控虚拟网络的变化,如图4中所示;
步骤S3中,将前述步骤中得到的实际调用流程模型和可信层级调用模型进行匹配,得到一个匹配结果,根据匹配结果判断租户的实际行为请求是否为恶意攻击行为,同时将匹配结果反馈给租户。
本发明实施例通过采用针对内部安全威胁的行为追溯与监测方法并结合行为匹配,在有可信层级关联模型基础上,将实际行为与可信行为模型进行对比,并实现反馈,实现对内部安全风险监测,保证云环境下虚拟网络的安全。
基于上述实施例,所述获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型,具体包括:
通过日志唯一ID获取所述正常行为请求,得到日志分析结果;
通过源码分析方式获取所述正常行为请求,得到源码相关关键词和函数;
基于所述日志分析结果和所述源码相关关键词和函数,生成所述可信层级调用模型。
其中,所述通过日志唯一ID获取所述正常行为请求,得到日志分析结果,具体包括:
所述租户进行正常管理配置虚拟网络,将预设请求发送至云服务提供方;
所述云服务提供方响应所述租户的请求后,将所述租户的唯一ID生成的日志信息提供给可信第三方,所述可信第三方根据所述日志信息中唯一ID在各节点中的进程调用情况,生成所述日志分析结果。
其中,所述通过源码分析方式获取所述正常行为请求,得到源码相关关键词和函数,具体包括:
所述租户进行正常管理配置虚拟网络,将预设请求发送至云服务提供方,并将所述租户传递的参数信息发送至可信第三方;
所述云服务提供方响应所述租户的请求后,将云服务平台下各节点调用情况,以及各节点的参数传递内容发送给所述可信第三方,得到所述源码相关关键词和函数。
具体地,首先通过日志唯一ID获取用户的正常行为请求:
1)租户正常管理配置虚拟网络,将相关请求发送到云服务提供方;
2)待云服务提供方响应租户请求后,将租户唯一ID生成的日志信息提供给可信第三方,可信第三方根据日志中唯一ID在各个节点的进程调用情况,为可信层级调用模型构建提供依据。
然后通过源码分析方式获取租户的正常行为请求:
1)还是租户正常管理配置虚拟网络,将相关请求发送到云服务提供方,并将租户传递的参数信息发送到可信第三方;
2)待云服务提供方响应租户请求后,将云平台下各个节点调用情况,以及各节点的参数传递内容发送给可信第三方,为可信第三方生成可信层级调用模型提供依据。
综合上述两个步骤获取到的信息生成可信的可信层级调用模型,这里以有限状态机的方式来描述云环境中用户调用每一个正常行为流程,其中有限状态机的每一个状态代表云环境中每一层的操作,通过对每一层的源码中的相关关键词及函数,以及结合日志分析,利用算法生成可信层级调用模型。
本发明实施例通过日志唯一ID和源码分析两方面来获取用户正常行为请求,并以此为依据构建标准的可信层级调用模型,为后续的行为匹配提供了可靠的参考依据。
基于上述任一实施例,所述对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型,具体包括:
所述租户将所述实际行为请求发送至云服务提供方,由行为采集点记录各节点的进程调用情况和参数传递内容,存储采集信息,并根据是否有实时行为监测信息来判断是否生成所述实际调用流程模型;
若由行为监测点实时监测到所述租户进行虚拟网络管理配置操作,则通知所述行为采集点生成实际操作调用进程;
所述行为采集点通过所述采集信息,根据采集点信息特征,按照虚拟网络服务进程、虚拟网络管理进程和控制组件逐层向上的顺序,通过行为追溯方式生成所述实际调用流程模型。
具体地,首先进行租户的实际行为请求的采集:
1)租户的正常管理配置虚拟网络的行为,内部恶意的管理行为,都会发送请求给云平台的相应服务,在用户正常或内部恶意管理人员非法管理配置虚拟网络,并在各个节点之间传递参数及函数调用;
2)云服务提供方在对各种管理行为作出响应前,各个采集点将会记录各个节点的进程调用情况和参数传递内容;
3)行为采集点存储采集信息,并根据是否有行为监测信息来判断是否生成实际的调用模型;
然后进行租户的实际行为请求的监测:
1)行为监测点部署在虚拟网络设备、进程节点,当存在有关虚拟网络操作时,行为监测点会通知采集点,生成实际操作调用流程,在各个节点之间层级调用过程中,采集点收集各个层次的调用信息,并以(time:func)的形式记录到日志文件中;
2)行为采集点收到行为监测点的请求后,通过存储在采集点的信息,根据调用时间的先后顺序,生成实际调用流程模型;
进一步进行租户的实际行为请求的追溯:
当行为实时监测到调用后,通过各个采集点的信息,根据采集点中的信息特征,如(time:func),由虚拟网络服务进程,到虚拟网络管理进程再到控制组件逐层向上,通过行为追溯的方式,生成实际调用模型。可以理解的是,当实时监测点在虚拟网络实施进程(如虚拟设备,agent)中监测到有虚拟网络配置行为后,通知各个采集点,对当下行为进行行为追溯。
本发明实施例通过对实际行为的采集、监测和追溯,准确记录了实际的网络请求消息,并完整构建了实际调用流程模型,高度还原了租户在实际云服务请求过程中的系列用户行为,为后续的匹配提供了真实的依据。
基于上述任一实施例,所述将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户,具体包括:
根据所述实际调用流程模型在所述可信层级调用模型组成的库中找到对应的可信层级调用模型;
通过将采集后的调用行为与所述可信层级调用模型进行对比,从所述可信层级调用模型的最底层向上逐层进行匹配,得到所述行为匹配结果;若能完全匹配,则认为所述调用行为对应的租户请求为正常操作,否则,认为所述调用行为对应的租户请求为恶意攻击行为;
将所述匹配结果返回给所述租户。
具体地,在获取了可信层级调用模型和实际调用流程模型后,将实际调用模型与正常行为库中的模型进行对比:
1)行为匹配模块根据实际的调用模型在可行层次关联模型库中找到对应的正常可信的模型;
2)通过将采集后的调用行为与可信的层级调用模型进行对比,且匹配方式为从最底层向上逐层匹配,若能完整的匹配,则认为当前请求时由用户发起的正常的请求操作,若不能完整匹配,就认为是从某个行为断点发起的非授权的请求,从而判断是否是恶意的攻击行为。
本发明实施例通过基于标准的行为参考模型和实际行为模型的对比,较为准确和方便的识别出恶意攻击行为,并且从模型的最底层逐层向上进行对比,确保了比对过程无遗漏。
图5为本发明实施例提供的一种虚拟网络内部威胁行为的监测系统结构图,如图5所示,包括获取构建模块51、采集生成模块52和匹配模块53;其中:
获取构建模块51用于获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型;采集生成模块52用于对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型;匹配模块53用于将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户。
本发明实施例提供的系统用于执行上述对应的方法,其具体的实施方式与方法的实施方式一致,涉及的算法流程与对应的方法算法流程相同,此处不再赘述。
本发明实施例通过采用针对内部安全威胁的行为追溯与监测方法并结合行为匹配,在有可信层级关联模型基础上,将实际行为与可信行为模型进行对比,并实现反馈,实现对内部安全风险监测,保证云环境下虚拟网络的安全。
基于上述任一实施例,所述获取构建模块51包括第一获取子模块511、第二获取子模块512和构建子模块513;其中:
所述第一获取子模块511用于通过日志唯一ID获取所述正常行为请求,得到日志分析结果;所述第二获取子模块512用于通过源码分析方式获取所述正常行为请求,得到源码相关关键词和函数;构建子模块513用于基于所述日志分析结果和所述源码相关关键词和函数,生成所述可信层级调用模型。
其中,所述第一获取子模块511具体用于所述租户进行正常管理配置虚拟网络,将预设请求发送至云服务提供方;所述云服务提供方响应所述租户的请求后,将所述租户的唯一ID生成的日志信息提供给可信第三方,所述可信第三方根据所述日志信息中唯一ID在各节点中的进程调用情况,生成所述日志分析结果。
所述第二获取子模块512具体用于所述租户进行正常管理配置虚拟网络,将预设请求发送至云服务提供方,并将所述租户传递的参数信息发送至可信第三方;所述云服务提供方响应所述租户的请求后,将云服务平台下各节点调用情况,以及各节点的参数传递内容发送给所述可信第三方,得到所述源码相关关键词和函数。
本发明实施例通过日志唯一ID和源码分析两方面来获取用户正常行为请求,并以此为依据构建标准的可信层级调用模型,为后续的行为匹配提供了可靠的参考依据。
基于上述任一实施例,所述采集生成模块52包括采集子模块521、监测子模块522和追溯子模块523;其中:
所述采集子模块521用于所述租户将所述实际行为请求发送至云服务提供方,由行为采集点记录各节点的进程调用情况和参数传递内容,存储采集信息,并根据是否有实时行为监测信息来判断是否生成所述实际调用流程模型;所述监测子模块522用于若由行为监测点实时监测到所述租户进行虚拟网络管理配置操作,则通知所述行为采集点生成实际操作调用进程;所述追溯子模块523用于所述行为采集点通过所述采集信息,根据采集点信息特征,按照虚拟网络服务进程、虚拟网络管理进程和控制组件逐层向上的顺序,通过行为追溯方式生成所述实际调用流程模型。
本发明实施例通过对实际行为的采集、监测和追溯,准确记录了实际的网络请求消息,并完整构建了实际调用流程模型,高度还原了租户在实际云服务请求过程中的系列用户行为,为后续的匹配提供了真实的依据。
基于上述任一实施例,所述匹配模块53包括搜索子模块531、判断子模块532和返回子模块533;其中:
所述搜索子模块531用于根据所述实际调用流程模型在所述可信层级调用模型组成的库中找到对应的可信层级调用模型;所述判断子模块532用于通过将采集后的调用行为与所述可信层级调用模型进行对比,从所述可信层级调用模型的最底层向上逐层进行匹配,得到所述行为匹配结果;若能完全匹配,则认为所述调用行为对应的租户请求为正常操作,否则,认为所述调用行为对应的租户请求为恶意攻击行为;所述返回子模块533用于将所述匹配结果返回给所述租户。
本发明实施例通过基于标准的行为参考模型和实际行为模型的对比,较为准确和方便的识别出恶意攻击行为,并且从模型的最底层逐层向上进行对比,确保了比对过程无遗漏。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行如下方法:获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型;对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型;将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法,例如包括:获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型;对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型;将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户。
本发明实施例通过采用针对内部安全威胁的行为追溯与监测方法并结合行为匹配,在有可信层级关联模型基础上,将实际行为与可信行为模型进行对比,并实现反馈,实现对内部安全风险监测,保证云环境下虚拟网络的安全。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种虚拟网络内部威胁行为的监测方法,其特征在于,包括:
获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型;
对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型;
将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户;
所述获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型,具体包括:
通过日志唯一ID获取所述正常行为请求,得到日志分析结果;
通过源码分析方式获取所述正常行为请求,得到源码相关关键词和函数;
基于所述日志分析结果和所述源码相关关键词和函数,生成所述可信层级调用模型;
所述对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型,具体包括:
所述租户将所述实际行为请求发送至云服务提供方,由行为采集点记录各节点的进程调用情况和参数传递内容,存储采集信息,并根据是否有实时行为监测信息来判断是否生成所述实际调用流程模型;
若由行为监测点实时监测到所述租户进行虚拟网络管理配置操作,则通知所述行为采集点生成实际操作调用进程;
所述行为采集点通过所述采集信息,根据采集点信息特征,按照虚拟网络服务进程、虚拟网络管理进程和控制组件逐层向上的顺序,通过行为追溯方式生成所述实际调用流程模型;
所述将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户,具体包括:
根据所述实际调用流程模型在所述可信层级调用模型组成的库中找到对应的可信层级调用模型;
通过将采集后的调用行为与所述可信层级调用模型进行对比,从所述可信层级调用模型的最底层向上逐层进行匹配,得到所述行为匹配结果;若能完全匹配,则认为所述调用行为对应的租户请求为正常操作,否则,认为所述调用行为对应的租户请求为恶意攻击行为;
将所述匹配结果返回给所述租户。
2.根据权利要求1所述的虚拟网络内部威胁行为的监测方法,其特征在于,所述通过日志唯一ID获取所述正常行为请求,得到日志分析结果,具体包括:
所述租户进行正常管理配置虚拟网络,将预设请求发送至云服务提供方;
所述云服务提供方响应所述租户的请求后,将所述租户的唯一ID生成的日志信息提供给可信第三方,所述可信第三方根据所述日志信息中唯一ID在各节点中的进程调用情况,生成所述日志分析结果。
3.根据权利要求1所述的虚拟网络内部威胁行为的监测方法,其特征在于,所述通过源码分析方式获取所述正常行为请求,得到源码相关关键词和函数,具体包括:
所述租户进行正常管理配置虚拟网络,将预设请求发送至云服务提供方,并将所述租户传递的参数信息发送至可信第三方;
所述云服务提供方响应所述租户的请求后,将云服务平台下各节点调用情况,以及各节点的参数传递内容发送给所述可信第三方,得到所述源码相关关键词和函数。
4.一种虚拟网络内部威胁行为的监测系统,其特征在于,包括:
获取构建模块,用于获取租户的正常行为请求,基于所述正常行为请求构建可信层级调用模型;
采集生成模块,用于对所述租户的实际行为请求进行采集,若监测到所述租户进行虚拟网络管理配置操作,则基于采集的实际行为请求信息,通过行为追溯方式生成实际调用流程模型;
匹配模块,用于将所述实际调用流程模型和所述可信层级调用模型进行匹配,得到行为匹配结果,根据所述匹配结果判断所述实际行为请求是否为恶意攻击行为,并将所述匹配结果反馈至所述租户;
所述获取构建模块包括第一获取子模块、第二获取子模块和构建子模块;其中:
所述第一获取子模块用于通过日志唯一ID获取所述正常行为请求,得到日志分析结果;
所述第二获取子模块用于通过源码分析方式获取所述正常行为请求,得到源码相关关键词和函数;
构建子模块用于基于所述日志分析结果和所述源码相关关键词和函数,生成所述可信层级调用模型;
所述采集生成模块包括采集子模块、监测子模块和追溯子模块,其中:
所述采集子模块用于所述租户将所述实际行为请求发送至云服务提供方,由行为采集点记录各节点的进程调用情况和参数传递内容,存储采集信息,并根据是否有实时行为监测信息来判断是否生成所述实际调用流程模型;所述监测子模块用于若由行为监测点实时监测到所述租户进行虚拟网络管理配置操作,则通知所述行为采集点生成实际操作调用进程;所述追溯子模块用于所述行为采集点通过所述采集信息,根据采集点信息特征,按照虚拟网络服务进程、虚拟网络管理进程和控制组件逐层向上的顺序,通过行为追溯方式生成所述实际调用流程模型;
所述匹配模块包括搜索子模块、判断子模块和返回子模块,其中:
所述搜索子模块用于根据所述实际调用流程模型在所述可信层级调用模型组成的库中找到对应的可信层级调用模型;所述判断子模块用于通过将采集后的调用行为与所述可信层级调用模型进行对比,从所述可信层级调用模型的最底层向上逐层进行匹配,得到所述行为匹配结果;若能完全匹配,则认为所述调用行为对应的租户请求为正常操作,否则,认为所述调用行为对应的租户请求为恶意攻击行为;所述返回子模块用于将所述匹配结果返回给所述租户。
5.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至3任一项所述虚拟网络内部威胁行为的监测方法的步骤。
6.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至3任一项所述虚拟网络内部威胁行为的监测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911303459.8A CN110958267B (zh) | 2019-12-17 | 2019-12-17 | 一种虚拟网络内部威胁行为的监测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911303459.8A CN110958267B (zh) | 2019-12-17 | 2019-12-17 | 一种虚拟网络内部威胁行为的监测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110958267A CN110958267A (zh) | 2020-04-03 |
CN110958267B true CN110958267B (zh) | 2022-01-04 |
Family
ID=69982208
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911303459.8A Active CN110958267B (zh) | 2019-12-17 | 2019-12-17 | 一种虚拟网络内部威胁行为的监测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110958267B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114567678A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种云安全服务的资源调用方法、装置及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106506274A (zh) * | 2016-11-08 | 2017-03-15 | 东北大学秦皇岛分校 | 一种可动态扩展的高效单包溯源方法 |
CN106992994A (zh) * | 2017-05-24 | 2017-07-28 | 腾讯科技(深圳)有限公司 | 一种云服务的自动化监控方法和系统 |
CN107391353A (zh) * | 2017-07-07 | 2017-11-24 | 西安电子科技大学 | 基于日志的复杂软件系统异常行为检测方法 |
CN108718307A (zh) * | 2018-05-10 | 2018-10-30 | 北京工业大学 | 一种IaaS云环境下面向内部威胁的行为追溯检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8938541B2 (en) * | 2012-10-29 | 2015-01-20 | Ericsson Ab | Method and system to allocate bandwidth in cloud computing networks |
-
2019
- 2019-12-17 CN CN201911303459.8A patent/CN110958267B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106506274A (zh) * | 2016-11-08 | 2017-03-15 | 东北大学秦皇岛分校 | 一种可动态扩展的高效单包溯源方法 |
CN106992994A (zh) * | 2017-05-24 | 2017-07-28 | 腾讯科技(深圳)有限公司 | 一种云服务的自动化监控方法和系统 |
CN107391353A (zh) * | 2017-07-07 | 2017-11-24 | 西安电子科技大学 | 基于日志的复杂软件系统异常行为检测方法 |
CN108718307A (zh) * | 2018-05-10 | 2018-10-30 | 北京工业大学 | 一种IaaS云环境下面向内部威胁的行为追溯检测方法 |
Non-Patent Citations (1)
Title |
---|
云计算模式内部威胁综述;王国峰,刘川意,潘鹤中,方滨兴;《计算机学报》;20170228;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110958267A (zh) | 2020-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107196895B (zh) | 网络攻击溯源实现方法及装置 | |
CN112787992B (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
CN102790706B (zh) | 海量事件安全分析方法及装置 | |
CN112534432A (zh) | 不熟悉威胁场景的实时缓解 | |
CN111756702B (zh) | 数据安全防护方法、装置、设备和存储介质 | |
CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
CN109347806A (zh) | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 | |
US20160110544A1 (en) | Disabling and initiating nodes based on security issue | |
CN107315952A (zh) | 用于确定应用程序可疑行为的方法和装置 | |
US11762991B2 (en) | Attack kill chain generation and utilization for threat analysis | |
CN113614718A (zh) | 异常用户会话检测器 | |
JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
Repetto | Adaptive monitoring, detection, and response for agile digital service chains | |
CN117389655A (zh) | 云原生环境下的任务执行方法、装置、设备和存储介质 | |
CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
CN112350864B (zh) | 域控终端的保护方法、装置、设备和计算机可读存储介质 | |
CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
CN111585813B (zh) | 一种物联网环境下网络节点的管理方法及系统 | |
CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
CN110933064A (zh) | 确定用户行为轨迹的方法及其系统 | |
CN109218315A (zh) | 一种安全管理方法和安全管理装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |