CN113783845B - 确定云服务器上实例风险等级的方法、装置、电子设备及存储介质 - Google Patents

确定云服务器上实例风险等级的方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN113783845B
CN113783845B CN202110937463.0A CN202110937463A CN113783845B CN 113783845 B CN113783845 B CN 113783845B CN 202110937463 A CN202110937463 A CN 202110937463A CN 113783845 B CN113783845 B CN 113783845B
Authority
CN
China
Prior art keywords
monitoring
login
monitored
risk level
item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110937463.0A
Other languages
English (en)
Other versions
CN113783845A (zh
Inventor
陈浩
姬超平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202110937463.0A priority Critical patent/CN113783845B/zh
Publication of CN113783845A publication Critical patent/CN113783845A/zh
Priority to KR1020220090634A priority patent/KR20220110676A/ko
Priority to US17/819,779 priority patent/US20230050771A1/en
Priority to JP2022129599A priority patent/JP7473608B2/ja
Priority to EP22190550.8A priority patent/EP4083823A3/en
Application granted granted Critical
Publication of CN113783845B publication Critical patent/CN113783845B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本公开提出了一种确定云服务器上实例风险等级的方法、装置及电子设备,涉及数据处理领域,尤其涉及数据安全领域,其中,该方法包括:获取待监测实例的监测项和所述监测项的目标规则库;获取所述待监测实例的每个所述监测项对应的目标监控数据;针对每个所述监测项,基于所述监测项的目标规则库和目标监控数据,确定所述待监测实例在每个所述监测项下的目标风险等级。本公开中,可以基于设定的频率对云服务器上的实例进行风险监测,实现了对云服务器上实例的自主的风险监测,强化了风险监测的时效性,设定多个监测项并获取每个监测项下待监测实例的目标风险等级,优化了对云服务器上实例的风险监测的全面性。

Description

确定云服务器上实例风险等级的方法、装置、电子设备及存储 介质
技术领域
本公开涉及数据处理领域,尤其涉及数据安全以及云平台领域。
背景技术
随着云计算的发展,越来越多的云产品被应用于信息化基础设施、管理以及业务等各个方面,实现中,云产品提供的服务存在受到攻击的可能,以及云产品的数据存在泄漏的可能。
相关技术中,通过用户对产品的安全设置以及对每个产品的监控,仅对异常的安全进行报告,从而实现云上资源的产品的风险监测。导致对风险监测资源存在较多的人力消耗,同时无法定期的全面的获取到云上资源的所有产品的安全系数。
因此,如何提高对于云服务器上产品的风险监测的时效性和全面性,是目前需要解决的问题。
发明内容
本公开提供了一种确定云服务器上实例风险等级的方法、装置及电子设备。
根据本公开的第一方面,提供了一种确定云服务器上实例风险等级的方法,包括:获取待监测实例的监测项和所述监测项的目标规则库;获取所述待监测实例的每个所述监测项对应的目标监控数据;针对每个所述监测项,基于所述监测项的目标规则库和目标监控数据,确定所述待监测实例在每个所述监测项下的目标风险等级。
根据本公开的第二方面,提供了一种确定云服务器上实例风险等级的装置,包括:获取模块,用于获取待监测实例的监测项和所述监测项的目标规则库;数据提取模块,用于获取所述待监测实例的每个所述监测项对应的目标监控数据;确定模块,用于针对每个所述监测项,基于所述监测项的目标规则库和目标监控数据,确定所述待监测实例在每个所述监测项下的目标风险等级。
根据本公开的第三方面,提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述第一方面所述的确定云服务器上实例风险等级的方法。
根据本公开的第四方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行上述第一方面所述的确定云服务器上实例风险等级的方法。
根据本公开的第五方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现上述第一方面所述的确定云服务器上实例风险等级的方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1为本公开一实施例的确定云服务器上实例风险等级的方法的流程示意图;
图2为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图;
图3为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图;
图4为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图;
图5为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图;
图6为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图;
图7为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图;
图8为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图;
图9为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图;
图10为本公开一实施例的确定云服务器上实例风险等级的装置的结构示意图;
图11为本公开另一实施例的确定云服务器上实例风险等级的装置的结构示意图;
图12为本公开另一实施例的确定云服务器上实例风险等级的装置的结构示意图;
图13为本公开一实施例的电子设备的示意性框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
数据处理(data processing),是对数据进行分析和加工的技术过程,包括对各种原始数据的分析、整理、计算、编辑等的加工和处理,以及对数据的采集、存储、检索、加工、变换和传输。数据处理的基本目的是从大量的、可能是杂乱无章的、难以理解的数据中抽取并推导出对于某些特定的人们来说是有价值、有意义的数据。
数据安全(data security),是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护。二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护。
云计算平台(Cloud Computing Platform),也称为云平台,是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力。云计算平台可以划分为三类:以数据存储为主的存储型云平台,以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台。
图1为本公开一实施例的确定云服务器上实例风险等级的方法的流程示意图,如图1所示,该方法包括:
S101,获取待监测实例的监测项和监测项的目标规则库。
实现中,客户端可以通过与云服务器上的实例所提供的服务,实现其自身的相关功能。因此,需要对云服务器上的实例进行数据安全的监测工作。
本公开实施例中,云服务器上存在需要进行风险监测的待监测实例,可以为待监测实例设置设定的风险监测项,并根据待监测实例中与风险监测项内容对应的信息,从而判断待监测实例相关设置的风险等级。
进一步地,可以为每个监测项设定对应的监测标准,可以理解为,将任一实例在每个监测项下的安全操作的标准以及非安全操作的风险判断标准,确定为对应的监测项的监测标准,进而根据每个监测项的监测标准构建每个监测项对应的规则库,将其确定为每个监测项的目标规则库。
需要说明的是,待监测实例在每个监测项下,存在单独的目标规则库。可以理解为,不同的待监测实例的不同的监测项的目标规则库,是单独存在的。
S102,获取待监测实例的每个监测项对应的目标监控数据。
待监测实例在提供服务的过程中,相关的操作数据可以被记录,则可以将被记录的相关操作数据确定为待监测实例的监控数据。进一步地,可以从待监测实例的监控数据中,获取每个监测项下对应的目标监控数据。
可选地,可以获取待监测实例的操作日志,其中,操作日志可以包括待监测实例的被监控记录的相关操作类型和对应的操作数据。进一步地,可以为每个监测项设定相应的关键字,基于关键字从操作类型中选取包含设定关键字的相关操作类型以及每条对应的操作数据,将其确定为每个监测项对应的目标监控数据。
其中,每个监测项对应的目标监控数据中,可以包含待监测实例的操作类型、操作时间、具体操作数据等等。
S103,针对每个监测项,基于监测项的目标规则库和目标监控数据,确定待监测实例在每个监测项下的目标风险等级。
本公开实施例中,可以基于不同的监测项对待监测实例进行风险等级的判定。每个监测项均存在对应的目标规则库,因此,可以将每个监测项对应的目标监控数据与对应的目标规则库中的规则进行对比,基于对比的结果实现待监测实例在每个监测项下的风险等级的判断。
比如,设定监测项包括登录监测项,获取待监测实例的设定时间范围内的登录监控数据后,可以从登录监控数据中获取其相关操作信息。进一步地,根据登录监测项对应的目标规则库中的相关规则,对待监测实例在登录监测项下的风险等级进行判断。
进一步地,可以根据不同操作对于待监测实例的安全影响程度,为其设定不同等级的目标风险等级。比如,可以将无风险场景下的风险等级设定为正常。再比如,可以将不影响待监测实例运行的异常操作的场景下的风险等级设定为警告。再比如,还可以将影响待监测实例运行的异常操作的场景下的风险等级设定为高危。
比如,若获取到的登录监测项对应的目标监控数据中,待监测实例的登录数据均符合安全标准操作对应的规则,则可以判定当前的待监测实例在登录监测项下无风险,可以将对应的风险等级确定为正常。
再比如,若获取到的登录监测项对应的目标监控数据中,待监测实例存在异常登录操作,则根据异常登录的影响程度可以判定当前待监测实例在登录监测项下的风险等级为警告或高危。
实现中,服务器可以基于设定的频率,对待监测实例进行自主的风险监测,从而使得云服务器上实例的风险监测可以实现时效的优化。
本公开提出的确定云服务器上实例风险等级的方法,获取待监测实例的监测项和每个监测项对应的目标规则库,并获取待监测实例在每个监测项下对应的目标监控数据后,根据每个监测项下的目标监控数据和目标规则库,确定待监测实例在每个监测项下的目标风险等级。本公开中,可以基于设定的频率对云服务器上的实例进行风险监测,实现了对云服务器上实例的自主的风险监测,强化了风险监测的时效性,设定多个监测项并获取每个监测项下待监测实例的目标风险等级,优化了对云服务器上实例的风险监测的全面性。
上述实施例中,关于目标风险等级的确定,可结合图2进一步理解,图2为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图,如图2所示,该方法包括:
S201,针对目标监控数据中每类监控子数据,从目标规则库中,获取每类监控子数据的异常识别规则。
实现中,待监测实例的每个监测项中可以包含不同类型的监测内容,可以将其标识为每个监测项下的子监测项,基于每个子监测项的风险等级可以生成其对应的监测项中待监测实例的目标风险等级。
进一步地,基于每个监测项下的子监测项,可以将待监测实例在每个监测项下对应的目标监控数据中,与子监测项对应的监控数据确定为对应的监控子数据。其中,目标监控数据中可以包含多个类型的监控子数据。
为了实现对每类监控子数据的风险等级的判断,需要基于每类监控子数据,从每个监测项对应的目标规则库中,获取每类监控子数据对应的风险判断规则,并将其确定为每类监控子数据对应的异常识别规则。
可选地,可以对待监测实例的每个监测项对应的目标规则库进行预先定义,并存储于服务器的设定位置,在进行风险等级的监测时,可以从设定的存储位置调取加载,根据待监测实例的不同的监测项,分别加载待监测实例在每个监测项下对应的目标规则库,进而从每个监测项对应的目标规则库中获取每类监控子数据对应的异常识别规则。
S202,识别满足异常识别规则的各类监控子数据。
进一步地,确定每类监控子数据对应的异常识别规则后,可以从每类监控子数据中识别满足对应的异常识别规则的监控子数据,通过对该部分监控子数据的风险等级的判断,从而实现待监测实例在每个监测项下的目标风险等级的判断。
可选地,可以根据异常识别规则中对操作类型和对应的风险等级判定标准设定相应的关键字,根据关键字从目标监控数据中提取每个关键字对应的操作监控数据,并将其确定为满足对应的异常识别规则的监控子数据。
比如,设定待监测实例在登录监测项下的登录监控数据,包含了登录地址监控数据、登录时间监控数据、登录频率监控数据,则可以将登录地址监控数据、登录时间监控数据、登录频率监控数据确定为登录监控数据的多个类型的监控子数据。
进一步地,设定登录地址监控数据对应的异常识别规则中,包含了异地登录对应的异常识别规则,则可以从登录地址监控子数据中选取异地登录的监控数据,并将其确定为满足异常识别规则的监控子数据。
S203,根据满足异常识别规则的各类监控子数据,确定待监测实例在每个监测项下的目标风险等级。
本公开实施例中,每类监控子数据对应的异常识别规则中,包含了其对应的监控子数据的风险判定标准。因此,可以将监控子数据与其对应的异常识别规则进行对比,确定监控子数据满足的异常识别规则,并将该异常识别规则所对应的风险等级,即为监控子数据对应的风险等级。
进一步地,确定待监测实例在每个监测项对应的目标监控数据中,每类监控子数据所属的风险等级,进而确定待监测实例在每个监测项下对应的目标风险等级。
比如,设定登录监测项中包含登录地址子监测项以及登录频率子监测项,从登录监控数据中可以获取登录地址监控子数据以及登录频率监控子数据,则通过登录地址子监控项对应异常识别规则,从登录地址监控子数据中筛选其中满足异常识别规则的监控子数据,进而确定筛选出的监控子数据所对应的风险等级。
进一步地,确定每个登录监测项下的子监测项的风险等级后,基于每个子监测项对应的风险等级,进而确定待监测实例在登录监测项下的目标风险等级。
本公开提出的确定云服务器上实例风险等级的方法,根据不同的监控子数据的类型,从目标规则库中确定其对应的异常识别规则,并根据异常识别规则判断每个监控子数据所属的风险等级,进而确定待监测实例在每个监测项下的目标风险等级。本公开中,设定多个监测项并获取每个监测项下待监测实例的目标风险等级,优化了对云服务器上实例的风险监测的全面性。
实现中,可以预先设定待监测实例的监测项,可选地,可以从登录安全、权限设置安全以及插件设置安全的方面对待监测实例进行风险监测。其中,基于对登录安全的风险监测可以生成待监测实例的登录监测项,基于对权限设置安全的风险监测可以生成待监测实例的权限监测项,基于对插件设置安全的风险监测可以生成待监测实例的插件监测项。
可选地,可以基于不同的风险程度设定不同的风险等级,比如第一风险等级和第二风险等级,其中,第一风险等级高于第二风险等级。
因此,设定第一风险等级可以为高危,第二风险等级可以为警告。
进一步地,关于待监测实例在登录监测项下的目标风险等级的判定,可结合图3理解,图3为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图,如图3所示,该方法包括:
S301,获取待监测实例的登录监控数据,其中,登录监控数据包括待监测实例的登录IP地址和登录频率。
本公开实施例中,对于待监测实例的登录风险监测,其对应的登录监测项可以包括登录IP地址子监测项和登录频率子监测项。
其中,登录IP地址子监测项是对待监测实例的登录IP地址进行的风险监测的监测项,登录频率子监测项是对待监测实例的登录频率进行的风险监测的监测项。
进一步地,可以从待监测实例被记录的操作数据中,获取登录监测项相关的操作数据,并将其确定为登录监测项下待监测实例的登录监控数据。
其中,可以基于登录监测项下的登录IP地址子监测项和登录频率子监测项,从登录监测项对应的待监测实例的目标监控数据中,分别获取登录IP地址子监测项和登录频率子监测项对应的监控子数据。
可选地,登录IP地址子监测项对应的监控子数据可以为设定时间范围内登录待监测实例的登录IP所属地址,登录频率子监测项对应的监控子数据可以为基于每次登录待监测实例的登录时间确定的待监测实例在设定时间范围内的登录频率。
需要说明的是,登录监控数据的所属时间范围可以基于用户对于待监测实例的风险监测的需求设定,比如一周或者两周,此处不做限定。
S302,获取登录IP地址和登录频率中满足各自异常登录识别规则的登录监控子数据。
本公开实施例中,可以从待监测实例在登录监测项下对应的目标规则库中,分别获取登录IP地址子监测项和登录频率子监测项对应的异常登录识别规则。比如登录 IP地址子监测项对应的异常登录识别规则可以包括异地登录识别规则,再比如登录频率子监测项对应的异常登录识别规则可以包括高频率暴力登录识别规则。
进一步地,基于登录IP地址子监测项对应的异常登录识别规则,从登录IP地址子监测项对应的监控子数据中,识别满足登录IP地址子监测项对应的异常登录识别规则的监控子数据。比如,从待监测实例在设定时间范围内的登录IP地址的数据中,筛选与历史安全登录IP地址不符的异常登录数据,该异常登录数据即为满足登录IP地址子监测项对应的异常登录识别规则的监控子数据。
相应地,基于登录频率子监测项对应的异常登录识别规则,从登录频率子监测项对应的监控子数据中,识别满足登录频率子监测项对应的异常登录识别规则的监控子数据。比如,从待监测实例在设定时间范围内的登录频率的数据中,筛选与历史安全登录频率不符的异常高频率登录的数据,该异常高频率登录的数据即为满足登录频率子监测项对应的异常登录识别规则的监控子数据。
进一步地,将每个子监测项对应的监控子数据整合,进而获取登录监测项下,满足每个子监测项下的异常登录识别规则的登录监控子数据。
S303,根据满足各自异常登录识别规则的登录监控子数据,确定待监测实例在登录监测项下的目标风险等级。
本公开实施例中,获取登录监测项下待监测实例的登录监控数据中满足异常登录识别规则的登录监控子数据后,可以基于异常登录识别规则中的风险等级的判断规则,对满足异常登录识别规则的登录监控子数据进行风险等级的判断,进而获取待监测实例在登录监测项下的目标风险等级。
进一步地,可以将登录IP地址子监测项的登录监控子数据与其对应的异常登录识别规则进行对比。
响应于登录IP地址中存在非历史安全登录IP地址,则确定登录监测项下的目标风险等级为第一风险等级。
本公开实施例中,服务器可以基于待监测实例的历史登录数据中,获取待监测实例的历史安全登录IP地址,实现中,待监测实例的主机登录IP地址往往是固定,因此,当登录IP地址子监测项对应的监控子数据中,存在与历史安全登录IP地址不同的异常登录IP地址时,可以判断,待监测实例发生了异地登录。则基于异常登录识别规则中对于异地登录的风险等级的设定判断,当前待监测实例在登录IP地址监测项下的风险等级为第一风险等级。
进一步地,可以将登录频率子监测项的登录监测子数据与其对应的异常登录识别规则进行对比。
响应于登录频率大于或者等于设定频率阈值,且登录成功,则确定登录监测项下的目标风险等级为第一风险等级;或者,响应于登录频率大于或者等于设定频率阈值,且登录失败,则确定登录监测项下的目标风险等级为第二风险等级。
本公开实施例中,云服务器上的实例可能存在高频率暴力登录的情况,其中,暴力登录可以理解为,短时间内高频率进行的登录操作。可选地,暴力登录可能由于对登录密码的暴力破解产生,因此,需要对待监测实例的登录频率进行安全检测。
可选地,可以预先设定频率阈值,当登录频率子监测项下,待监测实例对应的监控子数据中的登录频率大于或者等于设定的频率阈值时,可以判断,当前的待监测实例可能出现了暴力登录的情况。
进一步地,基于暴力登录的结果,可以确定待监测实例在登录频率子监测项下的风险等级。
其中,当暴力登录成功时,可以理解为,当前对待监测实例的登录密码暴力破解成功,该场景下,待监测实例存在较大的风险,因此,可以将登录频率大于或者等于预设的频率阈值,同时登录成功的情况所对应的风险等级,判断为较高的第一风险等级。
相应地,当暴力登录失败时,可以理解为,当前对待监测实例的登录密码的破解失败,该场景下,虽然发生了对待监测实例的暴力登录,但是该暴力登录行为已被拦截,因此,可以将登录频率大于或者等于设定的频率阈值,但是登录失败的情况所对应的风险等级,判断为第二风险等级。
进一步地,不同的风险等级的设定可以使得用户基于不同的风险等级采取不同的应对措施。
进一步地,可以将待监测实例在登录IP地址子监测项下的风险等级,和在登录频率子监测项下的风险等级进行整合,进而生成待监测实例在登录监测项下的目标风险等级。
本公开提出的确定云服务器上实例风险等级的方法,通过对登录监测项下的登录IP地址监测项的风险等级以及登录频率监测项下的风险等级的判断,实现待监测实例在登录监测项下的目标风险等级的确定。通过对云服务器上实例的自主风险监测,确定实例在登录监测项下的目标风险等级,优化了风险等级获取的时效性,以及实例的风险等级获取的全面性。
上述实施例中,关于待监测实例在权限监测项下的目标风险等级的判定,可结合图4理解,图4为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图,如图4所示,该方法包括:
S401,获取待监测实例的权限监控数据,其中,权限监控数据包括待监测实例的多个权限允许项。
本公开实施例中,待监测实例的权限设置存在对应的权限监测项,可以从待监测实例被记录的操作数据中,获取其在权限监测项下的权限监控数据。其中,权限监控数据可以是待监测实例的权限允许数据,包括了当前待监测实例的多个权限允许项。
S402,获取多个权限允许项中满足异常权限识别规则的异常权限允许项。
本公开实施例中,可以从待监测实例在权限监测项对应的目标规则库中,获取多个权限允许项对应的异常权限识别规则。其中,异常权限识别规则可以包括异常权限允许的识别规则。
可选地,可以从待监测实例的历史监控数据中,获取其历史安全权限允许项,进而从权限监控数据中,获取在历史安全权限允许项范围外的异常权限允许项,并将其确定为满足异常酸咸识别规则的异常权限允许项。
比如,设定待监测实例的历史权限开启范围包含权限A、权限B、权限C,待监测实例的多个权限允许项包含权限A、权限D、权限E,则根据权限监测项对应的异常权限识别规则可知,权限D和权限E为异常权限允许项。
S403,根据满足异常权限识别规则的异常权限允许项,确定待监测实例在权限监测项下的目标风险等级。
本公开实施例中,基于异常权限识别规则中对异常权限允许项的风险等级的判定规则,可以确定异常权限允许项的风险等级,进而实现对待监测实例在权限监测项下的目标风险等级的判定。
实现中,待监测实例存在安全权限允许项数据,可以理解为,该数据中的权限被允许的场景下,待监测实例的信息安全不会受到影响。其中,可以将安全权限允许项数据确定为待监测实例的权限设置白名单。
进一步地,响应于异常权限允许项未存在于权限设置白名单中,则确定权限监测项下的目标风险等级为第一风险等级。
其中,可以将满足异常权限识别规则的异常权限允许项,与设定的权限设置白名单比较,若异常权限允许项不属于权限设置白名单,可以理解为,当前的异常权限允许项并非待监测实例的安全权限允许范围,因此,可以将其对应的风险等级确定为较高的第一风险等级。
进一步地,响应于异常权限允许项存在于权限设置白名单中,则确定权限监测项下的目标风险等级为第二风险等级。
其中,可以将异常权限允许项与权限设置白名单进行比较,若异常权限允许项属于权限设置白名单中,则可以理解为,虽然异常权限允许项不属于历史安全权限允许项,但是其开启并不会对待监测实例的信息安全构成影响,因此可以判断,当前待监测实例在权限监测项的目标风险等级为第二风险等级。
进一步地,响应于异常权限允许项存在于权限设置白名单中,且异常权限允许项的项数大于或者等于预设项数阈值,则确定权限监测项下的目标风险等级为第二风险等级。
本公开实施例中,待监测实例的权限允许项可以存在设定的项数阈值,该项数阈值可以理解为,在日常运行的场景下,待监测实例允许的历史安全允许项的项数,因此,可以基于该项数阈值对待监测实例的权限设置进行风险监测。
其中,当异常权限允许项的项数大于或者等于设定的项数阈值时,可以理解为,当前的待监测实例可能存在权限被过渡开启的情况,则可以对过渡开启的异常权限允许项进行进一步判断,进而确定当前场景所对应的风险等级。
作为一种可能,若被过渡开启的异常权限允许项中存在不属于权限设置白名单的权限允许项,则基于上述实施例详细内容可知,该场景对应的风险等级为较高的第一风险等级。
作为另一种可能,若被过渡开启的异常权限允许项,均存在于权限设置白名单中,则可以判断,当前场景所对应的风险等级可以为第二风险等级。
本公开提出的确定云服务器上实例风险等级的方法,通过对权限监测项对应的不同的情况判断对应的风险等级,进而实现待监测实例在权限监测项下的目标风险等级的确定。通过对云服务器上实例的自主风险监测,确定实例在权限监测项下的目标风险等级,优化了风险等级获取的时效性,以及实例的风险等级获取的全面性。
上述实施例中,关于待监测实例在插件监测项下的目标风险等级的判定,可结合图5理解,图5为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图,如图5所示,该方法包括:
S501,获取待监测实例的安全插件监控数据,其中,安全插件监控数据包括待监测实例的安全插件的状态。
本公开实施例中,待监测实例安全插件的启用,可以实现对待监测实例的信息安全的保护,比如实现信息的安全传输,再比如实现攻击的安全拦截。
因此,需要对待监测实例进行安全插件的风险监测,则可以为待监测实例设定插件监测项。
进一步地,可以从待监测实例被记录的操作数据中,获取其在插件监测项下对应的安全插件监控数据,其中,安全插件监控数据包含了待监测实例的安全插件的状态数据,比如安全插件是否为启用状态的相关数据等等。
S502,响应于安全插件的状态中存在未开启状态,则确定插件监测项下的目标风险等级为第二风险等级。
进一步地,可以基于待监测实例中每个安全插件的开启状态进行相应的风险等级的判定。其中,当安全插件未开启时,待监测实例虽然可以正常运行,但是可能存在数据泄露或者被攻击等相关的安全隐患,因此,对于该场景对应的风险等级,可以确定为第二风险等级。
比如,设定待监测实例存在安全传输协议,通过获取待监测实例对应的安全插件监控数据中每个安全插件的状态可知,当前的安全传输协议未启用。进一步地,未启用安全传输协议并不影响待监测实例的正常运行,且当前的待监测实例存在数据可能被泄露的风险。
因此,可以将当前待监测实例在插件监测项下的目标风险等级确定为第二风险等级。
再比如,设定待监测实例存在安全组件,通过获取待监测实例对应的安全插件监控数据中每个安全插件的状态可知,当前的安全组件未被待监测实例启用。进一步地,为启用安全组件并不影响待监测实例的正常运行,且当前的待监测实例存在可能被攻击的风险。
因此,可以将当前待监测实例在插件监测项下的目标风险等级确定为第二风险等级。
本公开提出的确定云服务器上实例风险等级的方法,通过对安全插件的启用状态,实现待监测实例在权限监测项下的目标风险等级的确定。通过对云服务器上实例的自主风险监测,确定实例在插件监测项下的目标风险等级,优化了风险等级获取的时效性,以及实例的风险等级获取的全面性。
在上述实施例的基础上,确定待监测实例在每个监测项下的目标风险等级后,可结合图6进一步理解,图6为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图,如图6所示,该方法包括:
S601,获取待监测实例在每个监测项下的目标风险等级。
本公开实施例中,根据待监测实例的不同的监测项,获取每个监测项下待监测实例的目标风险等级后,可以生成相应的风险报告。
作为一种可能的实现方式,可以由客户端生成相应的风险报告。
S602,将目标风险等级发送至客户端,其中,目标风险等级用于在客户端侧生成待监测实例的风险报告。
本公开实施例中,服务器获取待监测实例在每个监测项下的目标风险等级后,可以将其发送至相应的客户端,由客户端进行风险报告的生成。
可选地,风险报告可以包括全部的待监测实施例在每个监测项下的目标风险等级,对于符合安全操作标准无风险的待监测实施例,可以在每个监测项下进行无风险标识,比如正常。
作为另一种可能的实现方式,可以由服务器生成相应的风险报告。
S603,基于目标风险等级生成风险报告,并将风险报告发送至客户端。
本公开实施例中,服务器在获取待监测实例在每个监测项下的目标风险等级后,可以直接生成相应的风险报告,并将生成的风险报告传输至客户端,由客户端进行展示。
进一步地,风险报告可以通过可视化的方式呈现,比如可以通过列表的形式呈现,还可以通过图表的形式呈现等等,进而使得风险报告可以得到更加直观的呈现。
可选地,可以为客户端设定相应的数据模块,并将风险报告存储于数据模块中,从而使得用户可以实现在查阅当前的风险报告的同时,还可以实现对于历史风险报告的调阅。
本公开实施例提出的确定云服务器上实例风险等级的方法,基于目标风险等级生成待监测实例的风险报告,并通过设定的方式展示,有效优化了用户的体验度。
上述实施例中,关于待监测实例的确定,可结合图7进一步理解,图7为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图,如图7所示,该方法包括:
S701,根据客户端的标识,获取客户端对应的候选实例的状态参数。
实现中,云服务器上存在多个实例,为了保证对于实例的风险等级判定的效率,服务器可以对全部的实例进行筛选,进而获取其中需要进行风险监测的待监测实例。
可选地,可以基于实例的状态进行筛选。
其中,服务器可以根据客户端的标识,获取客户端对应的候选实例。可以理解为,根据客户端的标识信息,可以确定用户可以使用的实例,并将该部分实例确定为候选实例。
可选地,服务器可以从实例数据接口中,基于客户端的标识信息获取候选实例。
进一步地,可以通过候选实例的属性信息,确定候选实例的状态参数。其中,状态参数可以包括使用、停用等等。
可选地,服务器可以看从实例参数数据接口中,获取候选实例的属性信息,进而确定候选实例的状态参数。
S702,根据状态参数,从候选实例中选取处于使用状态的实例,并将使用状态的实例确定为待监测实例。
本公开实施例中,云服务器上的实例存在停用状态,可以理解为,该状态的下的实例已经无法为用户提供正常的服务,因此,仅需要对可以为用户提供正常服务的实例进行风险监测。
可选地,可以预先基于待监测实例的状态参数的筛选标准,确定对应的过滤规则,并存储于设定位置。
进一步地,获取全部的候选实例的状态参数后,可以调取过滤规则,并基于过滤规则从全部的候选实例中选取处于使用状态的候选实例,并将其确定为需要进行风险监测的待监测实例。
比如,候选实例X的状态为停用、候选实例Y的状态为使用、候选实例Z的状态为使用,则基于过滤规则,可以将候选实例Y和候选实例Z确定为需要进行风险监测的待监测实例。
本公开提出的确定云服务器上实例风险等级的方法,根据候选实例的状态参数确定需要进行风险监测的待监测实例,缩小了风险监测的范围,有效提高了对云服务器上实例风险等级判定的效率。
实现中,服务器可以基于客户端的相关指令对待监测实例进行风险监测,可结合图8进一步理解,图8为本公开另一实施例确定云服务器上实例风险等级的方法的流程示意图,如图8所示,该方法包括:
S801,接收客户端发送的风险监测任务。
本公开实施例中,服务器可以基于设定的频率对云服务器上实例进行风险监测,其中,风险监测的设定频率可以通过客户端发送的风险监测任务获取。
可选地,用户可以通过客户端向服务器发送风险监测任务,其中,风险监测任务可以基于用户设定的风险监测频率生成。
可选地,用户还可以在任一设定时间通过客户端向服务器发送风险监测任务。
S802,基于风险监测任务,对待监测实例进行风险监测。
进一步地,服务器可以基于接收到的风险监测任务对待监测实例进行风险监测。
可选地,服务器接收到基于设定的频率生成的风险监测任务后,可以从中提取进行风险监测的设定频率,进而基于该频率实现对待监测实例的自主风险监测。
可选地,服务器接收到基于任一设定时间生成的风险监测任务后,提取其中设定的风险监测时间,并基于该设定时间对待监测实例进行风险监测。
本公开提出的确定云服务器上实例风险等级的方法,基于风险监测任务中的设定时间或设定频率,实现对于待监测实例的自主巡检,有效提高了风险等级获取的时效性。
进一步地,为了更好的理解上述实施例,可结合图9,图9为本公开另一实施例的确定云服务器上实例风险等级的方法的流程示意图,如图9所示,包括:
S901,获取云服务器上的待监测实例。
S902,获取待监测实例在每个监测项下的目标监控数据。
S903,调用待监测实例在每个监测项下对应的目标规则库。
S904,判定待监测实例在每个监测项下的目标风险等级。
S905,生成风险报告。
确定云服务器上需要进行风险监测的待监测实例后,可以基于设定的监测项,获取待监测实例在每个监测项下的目标监控数据。进一步地,调用预先定义的待监测实例在每个监测项下对应的目标规则库,并基于每个监测项下的目标监控数据和目标规则库,实现待监测实例在每个监测项下的目标风险等级的判定。
进一步地,如图10所示,图10为本公开一实施例的确定云服务器上实例风险等级的装置的结构示意图,包括:
用户通过客户端10生成风险监测任务,并发送给服务器20,服务器20基于获取到的风险监测任务,对云服务器30上的实例进行风险等级的判断,并获取云服务器30上的待监测实例在每个监测项下的目标风险等级后,可以生成对应的风险报告发送至客户端10,也可以将目标风险等级发送至客户端10后,由客户端10生成对应的风险报告,并将风险报告通过客户端10展示给用户。
其中,可以将生成的风险报告存储于数据模块40中,以实现用户对历史风险报告的调取。
本公开中,可以基于设定的频率对云服务器上的实例进行风险监测,实现了对云服务器上实例的自主的风险监测,强化了风险监测的时效性,设定多个监测项并获取每个监测项下待监测实例的目标风险等级,优化了对云服务器上实例的风险监测的全面性。
与上述几种实施例提供的确定云服务器上实例风险等级的方法相对应,本公开的一个实施例还提供了一种确定云服务器上实例风险等级的装置,由于本公开实施例提供的确定云服务器上实例风险等级的装置与上述几种实施例提供的确定云服务器上实例风险等级的方法相对应,因此上述确定云服务器上实例风险等级的方法的实施方式也适用于本公开实施例提供的确定云服务器上实例风险等级的装置,在下述实施例中不再详细描述。
图11为本公开另一实施例的确定云服务器上实例风险等级的装置,如图11所示,确定云服务器上实例风险等级的装置1100,包括获取模块111、数据提取模块112、确定模块113,其中:
获取模块111,用于获取待监测实例的监测项和监测项的目标规则库;
数据提取模块112,用于获取待监测实例的每个监测项对应的目标监控数据;
确定模块113,用于针对每个监测项,基于监测项的目标规则库和目标监控数据,确定待监测实例在每个监测项下的目标风险等级。
图12为本公开另一实施例的确定云服务器上实例风险等级的装置,如图12所示,确定云服务器上实例风险等级的装置1200,包括获取模块121、数据提取模块122、确定模块123,其中:
需要说明的是,获取模块111、数据提取模块112、确定模块113与获取模块121、数据提取模块122、确定模块123,具备相同的结构和功能。
本公开实施例中,确定模块,还用于:针对目标监控数据中每类监控子数据,从目标规则库中,获取每类监控子数据的异常识别规则;识别满足异常识别规则的各类监控子数据;根据满足异常识别规则的各类监控子数据,确定待监测实例在每个监测项下的目标风险等级。
本公开实施例中,确定模块123,还用于:获取待监测实例的登录监控数据,其中,登录监控数据包括待监测实例的登录IP地址和登录频率;获取登录IP地址和登录频率中满足各自异常登录识别规则的登录监控子数据;根据满足各自异常登录识别规则的登录监控子数据,确定待监测实例在登录监测项下的目标风险等级。
本公开实施例中,确定模块123,还用于:响应于登录IP地址中存在非历史安全登录IP地址,则确定登录监测项下的目标风险等级为第一风险等级;响应于登录频率大于或者等于设定频率阈值,且登录成功,则确定登录监测项下的目标风险等级为第一风险等级;或者,响应于登录频率大于或者等于设定频率阈值,且登录失败,则确定登录监测项下的目标风险等级为第二风险等级;其中,第一风险等级高于第二风险等级。
本公开实施例中,确定模块123,还用于:获取待监测实例的权限监控数据,其中,权限监控数据包括待监测实例的多个权限允许项;获取多个权限允许项中满足异常权限识别规则的异常权限允许项;根据满足异常权限识别规则的异常权限允许项,确定待监测实例在权限监测项下的目标风险等级。
本公开实施例中,确定模块123,还用于:响应于异常权限允许项未存在于权限设置白名单中,则确定权限监测项下的目标风险等级为第一风险等级;响应于异常权限允许项存在于权限设置白名单中,则确定权限监测项下的目标风险等级为第二风险等级;响应于异常权限允许项存在于权限设置白名单中,且异常权限允许项的项数大于或者等于预设项数阈值,则确定权限监测项下的目标风险等级为第二风险等级。
本公开实施例中,确定模块123,还用于:获取待监测实例的安全插件监控数据,其中,安全插件监控数据包括待监测实例的安全插件的状态;响应于安全插件的状态中存在未开启状态,则确定插件监测项下的目标风险等级为第二风险等级。
本公开实施例中,获取模块121,还用于:根据客户端的标识,获取客户端对应的候选实例的状态参数;根据状态参数,从候选实例中选取处于使用状态的实例,并将使用状态的实例确定为待监测实例。
本公开实施例中,获取模块121,还用于:接收客户端发送的风险监测任务;基于风险监测任务,对待监测实例进行风险监测。
本公开实施例中,确定模块123,还用于:将目标风险等级发送至客户端,其中,目标风险等级用于在客户端侧生成待监测实例的风险报告;或者,基于目标风险等级生成风险报告,并将风险报告发送至客户端。
本公开提出的确定云服务器上实例风险等级的装置,获取待监测实例的监测项和每个监测项对应的目标规则库,并获取待监测实例在每个监测项下对应的目标监控数据后,根据每个监测项下的目标监控数据和目标规则库,确定待监测实例在每个监测项下的目标风险等级。本公开中,可以基于设定的频率对云服务器上的实例进行风险监测,实现了对云服务器上实例的自主的风险监测,强化了风险监测的时效性,设定多个监测项并获取每个监测项下待监测实例的目标风险等级,优化了对云服务器上实例的风险监测的全面性。
本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理,均在征得用户同意的前提下进行,并且均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图13示出了可以用来实施本公开的实施例的示例电子设备1300的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图13所示,设备1300包括计算单元1301,其可以根据存储在只读存储器(ROM)1302中的计算机程序或者从存储单元13013加载到随机访问存储器(RAM)1303中的计算机程序,来执行各种适当的动作和处理。在RAM 1303中,还可存储设备1300 操作所需的各种程序和数据。计算单元1301、ROM 1302以及RAM 1303通过总线1304 彼此相连。输入/输出(I/O)接口1305也连接至总线1304。
设备1300中的多个部件连接至I/O接口1305,包括:输入单元1306,例如键盘、鼠标等;输出单元1307,例如各种类型的显示器、扬声器等;存储单元13013,例如磁盘、光盘等;以及通信单元1309,例如网卡、调制解调器、无线通信收发机等。通信单元1309允许设备1300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元1301可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元1301的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元1301 执行上文所描述的各个方法和处理,例如确定云服务器上实例风险等级的方法。例如,在一些实施例中,确定云服务器上实例风险等级的方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元13013。在一些实施例中,计算机程序的部分或者全部可以经由ROM 1302和/或通信单元1309而被载入和/或安装到设备 1300上。当计算机程序加载到RAM 1303并由计算单元1301执行时,可以执行上文描述的确定云服务器上实例风险等级的方法的一个或多个步骤。备选地,在其他实施例中,计算单元1301可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行确定云服务器上实例风险等级的方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (16)

1.一种确定云服务器上实例风险等级的方法,其中,基于设定频率对所述云服务器上的实例进行风险检测,所述设定频率通过客户端发送的风险监测任务获取,所述方法包括:
根据客户端的标识获取所述客户端对应的候选实例的状态参数,根据所述状态参数从所述候选实例中选取处于使用状态的实例,将所述处于使用状态的实例确定为待监测实例,获取待监测实例的监测项和所述监测项的目标规则库,其中,为所述监测项预设第一关键字;
获取所述待监测实例的操作日志,基于所述第一关键字从所述操作日志中选取包含所述第一关键字的操作类型以及与所述操作类型对应的操作数据和操作时间,将所述操作类型、所述操作数据和所述操作时间确定为每个所述监测项对应的目标监控数据;
针对每个所述监测项对应的目标监控数据,从目标规则库中获取每类监控子数据的异常识别规则,根据所述异常识别规则中操作类型和对应的风险等级判定标准设定第二关键字,根据所述第二关键字从所述目标监控数据中识别满足所述异常识别规则的各类监控子数据,根据满足所述异常识别规则的各类监控子数据确定所述待监测实例在每个所述监测项下的目标风险等级,将所述目标风险等级发送至所述客户端,所述客户端侧根据所述目标风险等级生成所述待监测实例的风险报告,或者,基于所述目标风险等级生成风险报告,将所述风险报告发送至所述客户端,所述风险报告存储于所述客户端预设的数据模块中。
2.根据权利要求1所述的方法,其中,所述监测项包括登录监测项,其中,确定所述待监测实例在所述登录监测项下的目标风险等级,包括:
获取所述待监测实例的登录监控数据,其中,所述登录监控数据包括所述待监测实例的登录IP地址和登录频率;
获取所述登录IP地址和所述登录频率中满足各自异常登录识别规则的登录监控子数据;
根据满足各自异常登录识别规则的所述登录监控子数据,确定所述待监测实例在所述登录监测项下的所述目标风险等级。
3.根据权利要求2所述的方法,其中,所述根据满足各自异常登录识别规则的所述登录监控子数据,确定所述待监测实例在所述登录监测项下的目标风险等级,包括:
响应于所述登录IP地址中存在非历史安全登录IP地址,则确定所述登录监测项下的所述目标风险等级为第一风险等级;
响应于所述登录频率大于或者等于设定频率阈值,且登录成功,则确定所述登录监测项下的所述目标风险等级为第一风险等级;或者,响应于所述登录频率大于或者等于所述设定频率阈值,且登录失败,则确定所述登录监测项下的所述目标风险等级为第二风险等级;
其中,所述第一风险等级高于所述第二风险等级。
4.根据权利要求1所述的方法,其中,所述监测项包括权限监测项,其中,确定所述待监测实例在所述权限监测项下的目标风险等级,包括:
获取所述待监测实例的权限监控数据,其中,所述权限监控数据包括所述待监测实例的多个权限允许项;
获取所述多个权限允许项中满足异常权限识别规则的异常权限允许项;
根据满足异常权限识别规则的所述异常权限允许项,确定所述待监测实例在所述权限监测项下的所述目标风险等级。
5.根据权利要求4所述的方法,其中,所述根据满足异常权限识别规则的所述异常权限允许项,确定所述待监测实例在所述权限监测项下的所述目标风险等级,包括:
响应于所述异常权限允许项未存在于权限设置白名单中,则确定所述权限监测项下的所述目标风险等级为所述第一风险等级;
响应于所述异常权限允许项存在于所述权限设置白名单中,则确定所述权限监测项下的所述目标风险等级为所述第二风险等级;
响应于所述异常权限允许项存在于所述权限设置白名单中,且所述异常权限允许项的项数大于或者等于预设项数阈值,则确定所述权限监测项下的所述目标风险等级为所述第二风险等级。
6.根据权利要求1所述的方法,其中,所述监测项包括插件监测项,则确定所述待监测实例在所述插件监测项下的目标风险等级,包括:
获取所述待监测实例的安全插件监控数据,其中,所述安全插件监控数据包括所述待监测实例的安全插件的状态;
响应于所述安全插件的状态中存在未开启状态,则确定所述插件监测项下的所述目标风险等级为所述第二风险等级。
7.根据权利要求1所述的方法,其中,所述方法包括:
接收所述客户端发送的风险监测任务;
基于所述风险监测任务,对所述待监测实例进行风险监测。
8.一种确定云服务器上实例风险等级的装置,其中,基于设定频率对所述云服务器上的实例进行风险检测,所述设定频率通过客户端发送的风险监测任务获取,所述装置包括:
获取模块,用于根据客户端的标识获取所述客户端对应的候选实例的状态参数,根据所述状态参数从所述候选实例中选取处于使用状态的实例,将所述处于使用状态的实例确定为待监测实例,获取待监测实例的监测项和所述监测项的目标规则库,其中,为所述监测项预设第一关键字;
数据提取模块,用于获取所述待监测实例的操作日志,基于所述第一关键字从所述操作日志中选取包含所述第一关键字的操作类型以及与所述操作类型对应的操作数据和操作时间,将所述操作类型、所述操作数据和所述操作时间确定为每个所述监测项对应的目标监控数据;
确定模块,用于针对每个所述监测项对应的目标监控数据,从目标规则库中获取每类监控子数据的异常识别规则,根据所述异常识别规则中操作类型和对应的风险等级判定标准设定第二关键字,根据所述第二关键字从所述目标监控数据中识别满足所述异常识别规则的各类监控子数据,根据满足所述异常识别规则的各类监控子数据确定所述待监测实例在每个所述监测项下的目标风险等级,将所述目标风险等级发送至所述客户端,所述客户端侧根据所述目标风险等级生成所述待监测实例的风险报告,或者,基于所述目标风险等级生成风险报告,将所述风险报告发送至所述客户端,所述风险报告存储于所述客户端预设的数据模块中。
9.根据权利要求8所述的装置,其中,所述确定模块,还用于:
获取所述待监测实例的登录监控数据,其中,所述登录监控数据包括所述待监测实例的登录IP地址和登录频率;
获取所述登录IP地址和所述登录频率中满足各自异常登录识别规则的登录监控子数据;
根据满足各自异常登录识别规则的所述登录监控子数据,确定所述待监测实例在所述登录监测项下的所述目标风险等级。
10.根据权利要求9所述的装置,其中,所述确定模块,还用于:
响应于所述登录IP地址中存在非历史安全登录IP地址,则确定所述登录监测项下的所述目标风险等级为第一风险等级;
响应于所述登录频率大于或者等于设定频率阈值,且登录成功,则确定所述登录监测项下的所述目标风险等级为第一风险等级;或者,响应于所述登录频率大于或者等于所述设定频率阈值,且登录失败,则确定所述登录监测项下的所述目标风险等级为第二风险等级;
其中,所述第一风险等级高于所述第二风险等级。
11.根据权利要求8所述的装置,其中,所述确定模块,还用于:
获取所述待监测实例的权限监控数据,其中,所述权限监控数据包括所述待监测实例的多个权限允许项;
获取所述多个权限允许项中满足异常权限识别规则的异常权限允许项;
根据满足异常权限识别规则的所述异常权限允许项,确定所述待监测实例在所述权限监测项下的所述目标风险等级。
12.根据权利要求11所述的装置,其中,所述确定模块,还用于:
响应于所述异常权限允许项未存在于权限设置白名单中,则确定所述权限监测项下的所述目标风险等级为所述第一风险等级;
响应于所述异常权限允许项存在于所述权限设置白名单中,则确定所述权限监测项下的所述目标风险等级为所述第二风险等级;
响应于所述异常权限允许项存在于所述权限设置白名单中,且所述异常权限允许项的项数大于或者等于预设项数阈值,则确定所述权限监测项下的所述目标风险等级为所述第二风险等级。
13.根据权利要求8所述的装置,其中,所述确定模块,还用于:
获取所述待监测实例的安全插件监控数据,其中,所述安全插件监控数据包括所述待监测实例的安全插件的状态;
响应于所述安全插件的状态中存在未开启状态,则确定所述插件监测项下的所述目标风险等级为所述第二风险等级。
14.根据权利要求8所述的装置,其中,所述获取模块,还用于:
接收所述客户端发送的风险监测任务;
基于所述风险监测任务,对所述待监测实例进行风险监测。
15.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。
16.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-7中任一项所述的方法。
CN202110937463.0A 2021-08-16 2021-08-16 确定云服务器上实例风险等级的方法、装置、电子设备及存储介质 Active CN113783845B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN202110937463.0A CN113783845B (zh) 2021-08-16 2021-08-16 确定云服务器上实例风险等级的方法、装置、电子设备及存储介质
KR1020220090634A KR20220110676A (ko) 2021-08-16 2022-07-21 클라우드 서버에서 인스턴스 리스크 레벨을 결정하는 방법, 장치 및 전자 기기
US17/819,779 US20230050771A1 (en) 2021-08-16 2022-08-15 Method for determining risk level of instance on cloud server, and electronic device
JP2022129599A JP7473608B2 (ja) 2021-08-16 2022-08-16 クラウドサーバにおけるインスタンスリスクレベルを決定する方法、装置及び電子機器
EP22190550.8A EP4083823A3 (en) 2021-08-16 2022-08-16 Method and apparatus for determining risk level of instance on cloud server and electronic device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110937463.0A CN113783845B (zh) 2021-08-16 2021-08-16 确定云服务器上实例风险等级的方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN113783845A CN113783845A (zh) 2021-12-10
CN113783845B true CN113783845B (zh) 2022-12-09

Family

ID=78837796

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110937463.0A Active CN113783845B (zh) 2021-08-16 2021-08-16 确定云服务器上实例风险等级的方法、装置、电子设备及存储介质

Country Status (5)

Country Link
US (1) US20230050771A1 (zh)
EP (1) EP4083823A3 (zh)
JP (1) JP7473608B2 (zh)
KR (1) KR20220110676A (zh)
CN (1) CN113783845B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114401142A (zh) * 2022-01-18 2022-04-26 北京网藤科技有限公司 一种工业网络数据安全防护系统及其控制方法
CN114915473B (zh) * 2022-05-18 2024-01-30 中国工商银行股份有限公司 一种服务器入侵处理方法及相关装置
CN115758373B (zh) * 2022-10-28 2023-08-29 南方电网数字平台科技(广东)有限公司 一种用于云治理的多云服务器统一纳管的方法
WO2024150024A1 (en) * 2023-01-09 2024-07-18 Telefonaktiebolaget Lm Ericsson (Publ) Robust zero-trust architecture for telecommunications
CN116185672B (zh) * 2023-04-28 2023-08-22 北京亿赛通科技发展有限责任公司 一种数据监控方法、装置及存储介质

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102930213A (zh) * 2012-10-25 2013-02-13 中国航天科工集团第二研究院七〇六所 基于虚拟机的安全监控系统和安全监控方法
US9798883B1 (en) * 2014-10-06 2017-10-24 Exabeam, Inc. System, method, and computer program product for detecting and assessing security risks in a network
US20180027006A1 (en) * 2015-02-24 2018-01-25 Cloudlock, Inc. System and method for securing an enterprise computing environment
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
JP2017134758A (ja) 2016-01-29 2017-08-03 富士通株式会社 情報処理装置
US10909016B2 (en) * 2016-02-03 2021-02-02 Hitachi, Ltd. Management computer and method of managing computer to be managed
US10148683B1 (en) * 2016-03-29 2018-12-04 Microsoft Technology Licensing, Llc ATO threat detection system
US9853992B1 (en) * 2016-05-02 2017-12-26 Skyhigh Networks, Inc Cloud service usage risk analysis based on user location
US11637844B2 (en) * 2017-09-28 2023-04-25 Oracle International Corporation Cloud-based threat detection
CN109861985B (zh) * 2019-01-02 2022-12-27 平安科技(深圳)有限公司 基于风险等级划分的ip风控方法、装置、设备和存储介质
EP3925194B1 (en) * 2019-02-13 2023-11-29 Obsidian Security, Inc. Systems and methods for detecting security incidents across cloud-based application services
CN110855703A (zh) * 2019-11-22 2020-02-28 秒针信息技术有限公司 智能风险识别系统、方法和电子设备
CN111859400B (zh) * 2020-07-29 2024-06-25 中国工商银行股份有限公司 风险评估方法、装置、计算机系统和介质

Also Published As

Publication number Publication date
CN113783845A (zh) 2021-12-10
KR20220110676A (ko) 2022-08-09
US20230050771A1 (en) 2023-02-16
JP2022166187A (ja) 2022-11-01
EP4083823A3 (en) 2023-02-01
EP4083823A2 (en) 2022-11-02
JP7473608B2 (ja) 2024-04-23

Similar Documents

Publication Publication Date Title
CN113783845B (zh) 确定云服务器上实例风险等级的方法、装置、电子设备及存储介质
US11750659B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US20200412767A1 (en) Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks
US11848966B2 (en) Parametric analysis of integrated operational technology systems and information technology systems
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
CN106534114B (zh) 基于大数据分析的防恶意攻击系统
US20160226893A1 (en) Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
US20210360032A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
US20140283049A1 (en) Handling information security incidents
CN112926048B (zh) 一种异常信息检测方法和装置
CN113408948A (zh) 一种网络资产管理方法、装置、设备和介质
EP2936772A1 (en) Network security management
CN113225337A (zh) 一种多步攻击警报关联方法、系统和存储介质
CN114726579B (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
WO2023163842A1 (en) Thumbprinting security incidents via graph embeddings
CN116015925A (zh) 一种数据传输方法、装置、设备及介质
CN115270187A (zh) 数据处理方法、装置、电子设备及存储介质
CN115378746B (zh) 网络入侵检测规则生成方法、装置、设备以及存储介质
US20240195841A1 (en) System and method for manipulation of secure data
US20230275907A1 (en) Graph-based techniques for security incident matching
CN118200044A (zh) 一种安全防护方法及装置、电子设备和存储介质
KR101072983B1 (ko) 수퍼 그리드를 활용한 비정상 접속 차단 시스템
CN115941294A (zh) 防火墙策略推荐方法及装置
CN116723039A (zh) 防火墙策略管理系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant