CN114641771A - 基于虚拟机内容的集群安全性 - Google Patents
基于虚拟机内容的集群安全性 Download PDFInfo
- Publication number
- CN114641771A CN114641771A CN202080077408.2A CN202080077408A CN114641771A CN 114641771 A CN114641771 A CN 114641771A CN 202080077408 A CN202080077408 A CN 202080077408A CN 114641771 A CN114641771 A CN 114641771A
- Authority
- CN
- China
- Prior art keywords
- cluster
- content file
- content
- virtual machine
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
扫描集群。集群包括一个或多个虚拟机。基于对集群的扫描来检测第一内容文件改变。第一内容文件改变针对第一内容文件。第一内容文件位于与集群相关的第一虚拟机上。基于对第一内容文件改变的检测来确定集群的基于内容的安全级别。比较所确定的集群的基于内容的安全级别与集群的安全级别标准。基于对所确定的基于内容的安全级别与集群的安全级别标准的比较来标识安全缺口。响应于对安全缺口的标识,执行对集群的安全设置的更新。
Description
技术领域
本公开涉及虚拟化计算,更具体地涉及调整虚拟机安全性。
背景技术
虚拟机可操作用于向用户提供不同内容和服务。虚拟机可用某些安全设置来创建。在一些实例中,存储在虚拟机上的角色、工作流或内容可能会改变。这些改变可能导致虚拟机的安全设置与虚拟机的工作负荷不匹配的情况。
发明内容
根据本公开的实施例,是一种虚拟机安全的方法、系统和计算机程序。扫描集群。集群包括一个或多个虚拟机。基于对集群的扫描来检测第一内容文件改变。第一内容文件改变针对第一内容文件。第一内容文件位于与集群相关的第一虚拟机上。基于对第一内容文件改变的检测来确定集群的基于内容的安全级别。比较所确定的集群的基于内容的安全级别与集群的安全级别标准。基于对所确定的基于内容的安全级别与集群的安全级别标准的比较来标识安全缺口。响应于对安全缺口的标识,执行对集群的安全设置的更新。
以上概述并不旨在描述本公开的每个所示实施例或每个实现方式。
附图说明
本申请包括的附图被结合到说明书中,构成说明书的一部分。附图例示本公开的实施例,并与描述一起用于解释本公开的原理。附图仅例示某些实施例,而并不限制本公开。
图1描绘了根据本公开的一些实施例可使用的示例计算机系统的代表性主要组件;
图2描绘了根据本发明的实施例的云计算环境;
图3描绘了根据本发明的实施例的抽象模型层;
图4描绘了与本公开的一些实施例一致的用于操作虚拟机集群的示例内容感知系统;
图5描绘了与本公开的一些实施例一致的被配置成用于提升安全设置的示例集群;
图6描绘了与本公开的一些实施例一致的经配置的较低安全设置的示例集群;
图7描绘了与本公开的一些实施例一致的执行CDVS的示例方法。
虽然本发明可以进行各种修改并有各种替代形式,其细节已经在附图中以示例方式示出并将详细描述。然而,应当理解,本发明并不局限于所描述的具体实施例。相反,本发明旨在覆盖落入本发明的精神和范围内的所有修改、等同物和替代物。
具体实施方式
本公开的各方面涉及虚拟化计算;更具体的方面涉及调整虚拟机安全性。虽然本公开不必限于这样的应用,但是可以通过使用该上下文对不同示例的讨论来理解本公开的各个方面。
虚拟机和虚拟化系统可以允许额外的计算灵活性。历史上,构建硬件、安装软件和分配访问和操作计算机系统的权限和特权花费时间。虚拟机可允许通过虚拟化底层计算机硬件来允许对计算设备快速分配任务。进一步,操作系统和其他核心计算机资源可以映像化,使得它们可被实例化、快速安装、和提供给用户以供计算机使用。
在一些实例中,这种灵活性和速度可能导致安全问题。例如,虚拟机或虚拟机群集可对数据进行操作或提供安全性不充分的计算机资源。缺乏安全性可能导致将数据丢失给第三方不良行为者或者意外地暴露数据给公众。
在一些情况下,修复这些安全问题的尝试是实现一组规则、策略或标准。可以向虚拟机指派固定的安全级别标准。安全级别标准可以是可应用于虚拟机而不考虑虚拟机或其他虚拟机的内容或工作负荷的策略、角色或其他固定的安全设置集合。这可能导致问题,因为安全级别标准可能随工作负载改变而变得不安全。例如,可能将数据储存器和相关联的虚拟机添加到对安全数据操作的集群。因为集群具有固定的预定安全级别标准,所以虚拟机可能有容易遭受来自第三方不良行为者的攻击的安全漏洞。
在一些情况下,虚拟机群集已经尝试抢先地升级各种虚拟机的安全性。例如,可以在安全级别标准中提升集群的各种虚拟机。例如,如果集群的第一虚拟机具有比其他虚拟机更低的安全级别标准,则该集群可以通过将该虚拟机的安全级别升级到与其他虚拟机相同的安全级别来操作。安全级别标准的升级可在不考虑集群内的虚拟机的内容的情况下完成。安全级别标准的升级可以仅基于安全级别标准、策略或其他固定的规则集合。这些操作可能仅仅为了提高安全性而工作,这会引起集群的计算机资源约束。例如,为了执行更高级的安全操作,可以使用更高级别的加密。增加的安全性可能使用过多的计算机处理、存储器、输入输出(“I/O”),并且在一些情况下增加对这些资源中的每一个的使用。
为了克服当前与计算机虚拟化相关的问题,可以实施基于内容的动态虚拟机安全(“CDVS”)。CDVS可以通过连续监视和收集对由集群中的每个虚拟机操作的数据的基于内容的洞察来操作。可以孤立地在集群的第一虚拟机上执行基于内容的洞察。例如,在确定第一虚拟机的安全级别时,可以分析由第一虚拟机接收、可访问或由第一虚拟机创建的任何数据。可以通过分析集群的多个虚拟机的累积数据集来执行基于内容的洞察。例如,在确定集群的所有虚拟机的安全级别时,可以分析组合的集群的所有虚拟机的任何数据或内容。
CDVS可以通过基于内容分析增加包括集群的一个或多个虚拟机的集群的安全级别来操作。例如,如果一个或多个虚拟机正在对敏感数据操作,则CDVS 可以通过将内容识别为特别敏感或安全来操作。CDVS可以基于内容响应性地升级集群的虚拟机的安全设置。多个系统的动态升级能够在虚拟机集群内创建高级安全。例如,对单个VM的安全级别的改变可能会使集群中的所有VM也被更新为该新的安全级别。集群中的其他系统不应当处于较低安全级别,因为它们成为攻击者访问集群网络的目标。CDVS可以通过基于内容分析降低包括集群的一个或多个虚拟机的集群的安全级别来操作。例如,如果虚拟机正在对非敏感数据操作,则CDVS可以通过将内容标识为不特别敏感或私有来操作。CDVS可以基于内容响应性地降级集群的虚拟机的安全设置。
可以完成安全设置的升级和降级而不管集群的一个或多个虚拟机的安全级别标准如何。例如,如果在第一时间已经以高安全级别建立了第一虚拟机,则第一虚拟机可以以提高的安全规则来操作,从而利用底层计算机硬件的大量处理和存储器。CDVS可以基于第一虚拟机的内容洞察来确定第一虚拟机不在对需要高级安全性的数据进行操作。CDVS可以基于多级分析来操作。第一级可包括在每个虚拟机内收集数据。第二级可以包括跨集群生成的数据/洞察,以产生累积洞察。累积洞察可以规定集群的安全级别合规。
CDVS的操作可以为虚拟机和虚拟机集群的管理员提供先进的合规性和安全性。通过在洞察系统上操作,CDVS可以对虚拟机做出策略和安全改变,而不将给定集群的虚拟机的底层内容暴露给任何人类操作者。进一步,CDVS可以允许用户管理虚拟机和集群的安全级别,即使在用户不具有访问内容或从内容生成的洞察权限的情况下。进一步,CDVS可以基于添加到各个虚拟机的新数据或从各个虚拟机删除的现有数据来向系统管理员警告集群的安全级别的改变。在一些实施例中,CDVS可以利用基于内容的分析和洞察生成来向集群的管理员做出安全级别建议。例如,管理员可能会从CDVS接收基于对内容的分析和该安全级别正在使用过多资源的确定而要降低集群的安全级别的通知。
CDVS可以基于在给定时刻存在于群集上的内容进行操作。CDVS可以基于从用户或其他计算机系统接收新内容片段的虚拟机来操作。CDVS可以基于集群的虚拟机上的内容的共享或者内容的隐私级别来操作。例如,第一虚拟机可为用户托管文件共享服务。用户可以仅与一小组其他用户共享文件。CDVS可以响应于扫描文件的共享设置而确定应当提升集群的安全性设置。如果用户改变文件的共享设置,使得该文件在互联网上可公开获得,则CDVS可检测到该内容级改变。响应于检测到文件的公共共享,CDVS可以确定内容具有较低安全级别,并减少集群的安全设置。
CDVS可以被配置为扫描不同日志文件、内容文件或其他文件以确定上下文。在一些实施例中,自然语言处理系统可包括通过硬件、软件或以某种组合的各种组件(未示出)的操作:例如,自然语言处理器、一个或多个数据源、搜索应用和报告分析器。自然语言处理器可以是分析所接收的内容和其他信息的计算机模块。自然语言处理器可以执行用于分析文本信息(例如,句法分析、语义分析等)的不同方法和技术。自然语言处理器可被配置为识别和分析任何数量的自然语言。在一些实施例中,自然语言处理器可解析来自群集的一个或多个虚拟机的文档或内容的段落。自然语言处理器的各种组件(未示出)可包括但不限于标记器(tokenizer)、词性(POS)标注器、语义关系标识器和语法关系标识器。
在一些实施例中,标记器可以是执行词法分析的计算机模块。标记器可以将字符序列转换成标记序列。标记可以是电子文档中包括的并被归类为有意义的符号的字符串。进一步,在一些实施例中,标记器可以识别电子文档中的单词边界,并且将文档内的任何文本段落分成它们的组成文本元素,例如词语、多词标记、数字和标点符号。在一些实施例中,标记器可以接收字符串,识别字符串中的词元,并将它们分类为标记。
与各种实施例一致,POS标注器可以是标记段落中的词语以对应特定词性的计算机模块。POS标注器可以读取自然语言的段落或其他文本并每个词语或其他标记分配词性。POS标注器可以基于词语的定义和词语的上下文来确定单词 (或其他文本元素)所对应的词性。词语的上下文可以基于其与短语、句子或段落中的相邻和相关词语的关系。
在一些实施例中,词语的上下文可以取决于一个或多个先前分析的电子文档(例如,与集群的其他虚拟机相比词语在第一虚拟机内的使用和相对位置)。可指派给词语的词性的示例包括但不限于名词、动词、形容词、副词等。POS 标注器可能指派的其它词性的例子包含(但不限于)比较级或最高级副词、wh- 副词、连词、限定词、否定词、所有格标记、介词、wh-代词等。在一些实施例中,POS标注器可以用词性类别标注或以其他方式注释段落的标记。在一些实施例中,POS标注器可以标记将由自然语言处理系统解析的段落的标记或单词。
在一些实施例中,语义关系标识器可以是可以被配置以识别文档中所识别的文本元素(例如,单词、短语)的语义关系的计算机模块。在一些实施例中,语义关系标识器可以确定实体与其他语义关系之间的功能依赖关系。
根据不同实施例,语法关系标识器可以是可以被配置以标识由标记构成的段落中的语法关系的计算机模块。语法关系标识器可以确定句子的语法结构,例如,哪些单词组作为短语相关联,哪些单词是动词的主体或客体。语法关系标识器可以符合形式语法。
在一些实施例中,自然语言处理器可以是可以解析文档并为文档的一个或多个部分生成对应的数据结构的计算机模块。例如,响应于在自然语言处理系统处的虚拟机上接收更新的文档,自然语言处理器可以将来自帖子的解析的文本元素作为数据结构输出。在一些实施例中,解析的文本元素可以以解析树或其他图形结构的形式来表示。为了生成解析的文本元素,自然语言处理器可以触发包括标记器、词性(POS)标注器、语义关系标识器和语法关系标识器的计算机模块。
CDVS的每个计算系统都可以具有在其上运行的认知代理/客户端。 CDVS的认知代理可以在实施之前在不同模型上进行训练。例如,可以有用于保护属于不同行业的数据的安全策略的预定义集合。可以对认知代理进行训练,以了解系统上可用的安全策略的不同集合。认知代理可以被训练以了解哪个策略更严格并选择策略中更严格的作为其输出。接下来,可以训练认知代理来为不同的行业部门(例如,金融、健康等)生成模型。例如,对于文本数据,可以训练模型以识别该数据中存在的关键字或特定行业的洞察。在一些实施例中,认知代理可以创建安全级别与不同行业的关联。例如,如果在系统上可用的安全级别/策略之一用于PCI(支付卡行业)合规标准,则所有金融关键字可以与该安全策略相关联。
图1示出根据本公开的一些实施例可使用的示例计算机系统100(可替代地,计算机)的代表性主要组件。应当认识到,各个组件可以在复杂性、数量、类型以及\或配置方面有所变化。所公开的特定示例仅用于示例目的,并且不一定是仅有这样的变化。计算机系统100可以包括处理器110、存储器120、输入/ 输出接口(本文中称I/O或I/O接口)130、以及主总线140。主总线140可以为计算机系统100的其他组件提供通信路径。在一些实施例中,主总线140可连接到其他组件,诸如专用数字信号处理器(未示出)。
计算机系统100的处理器110可以包括一个或多个核112A、112B、112C、 112D(统称为112)。处理器110可附加地包括为核112提供指令和数据的临时存储的一个或多个存储缓冲器或高速缓存(未示出)。核112可对从高速缓存或存储器120提供的输入执行指令,并将结果输出至高速缓存或存储器。核112可以包括被配置以执行根据本公开的实施例的一个或多个方法的一个或多个电路。在一些实施例中,计算机系统100可以包含多个处理器110。在一些实施例中,计算机系统100可以是具有单个核112的单个处理器110。
计算机系统100的存储器120可以包括存储器控制器122。在一些实施例中,存储器120可以包括用于存储数据和程序的随机存取半导体存储器、存储设备或存储介质(易失性或非易失性)。在一些实施例中,存储器可以是模块的形式(例如,双列直插式存储器模块)。存储器控制器122可与处理器110通信,促进存储器120中的信息的存储和检索。存储器控制器122可以与I/O接口130 通信,便于存储器120中的输入或输出的存储和检索。
I/O接口130可以包括I/O总线150、端子接口152、存储接口154、I/O 设备接口156、以及网络接口158。I/O接口130可以将主总线140连接到I/O总线150。I/O接口130可以将指令和数据从处理器110和存储器120引导到I/O 总线150的不同接口。I/O接口130还可将指令和数据从I/O总线150的不同接口引导到处理器110和存储器120。各种接口可以包括终端接口152、存储接口 154、I/O设备接口156和网络接口158。在一些实施例中,各种接口可以包括前述接口的一个子集(例如,某行业应用中的嵌入式计算机系统可能不包括终端接口152和存储接口154)。
计算机系统100中的逻辑模块--包括但不限于存储器120、处理器110和 I/O接口130--可以将对一个或多个组件的故障和改变传达给管理程序(hypervisor) 或操作系统(未示出)。管理程序或操作系统可以分配计算机系统100中可用的不同资源,并跟踪存储器120中的数据和分配给不同核112的进程的位置。在组合或重新布置元件的实施例中,可以组合或重新分配逻辑模块的各方面和能力。这些变化对于本领域技术人员而言将是显而易见的。
应当理解,虽然本公开包括关于云计算的详细描述,但是本文所引用的教导的实现不限于云计算环境。相反,本发明的实施例能够结合现在已知的或以后开发的任何其他类型的计算环境来实现。
云计算是服务交付的模型,用于使得能够方便地、按需地网络访问可配置计算资源(例如,网络、网络带宽、服务器、处理、存储器、存储、应用、虚拟机和服务)的共享池,所述可配置计算资源可以以最小的管理努力或与所述服务的提供者的交互来快速供应和释放。该云模型可以包括至少五个特性、至少三个服务模型和至少四个部署模型。
特性如下:
按需自助服务:云消费者可以单方面地根据需要自动地提供计算能力,诸如服务器时间和网络存储,而不需要与服务的提供者的人类交互。
广泛的网络接入:能力可通过网络获得并且通过标准机制接入,该标准机制促进异构瘦客户机平台或厚客户机平台(例如,移动电话、膝上型计算机和PDA)的使用。
资源池化:提供者的计算资源被池化以使用多租户模型来服务于多个消费者,其中不同的物理和虚拟资源根据需要动态地指派和重新指派。存在位置独立性的感觉,因为消费者通常不具有对所提供的资源的确切位置的控制或了解,但可能能够以较高抽象级别(例如,国家、州或数据中心)指定位置。
快速弹性:能够快速和弹性地提供能力,在一些情况下自动地快速缩小和快速释放以快速放大。对于消费者而言,可用于供应的能力通常显得不受限制并且可以在任何时间以任何数量购买。
测量的服务:云系统通过在适合于服务类型(例如,存储、处理、带宽和活动用户账户)的某个抽象级别利用计量能力来自动控制和优化资源使用。可以监视、控制和报告资源使用,为所利用的服务的提供者和消费者提供透明度。
服务模型如下:
软件即服务(SaaS):提供给消费者的能力是使用在云基础设施上运行的提供者的应用。可通过诸如web浏览器(例如,基于web的电子邮件)之类的瘦客户端接口从不同客户端设备访问应用。消费者不管理或控制包括网络、服务器、操作系统、存储或甚至单独的应用能力的底层云基础设施,可能的例外是有限的用户特定应用配置设置。
平台即服务(PaaS):提供给消费者的能力是将消费者创建的或获取的使用由提供商支持的编程语言和工具创建的应用部署到云基础设施上。消费者不管理或控制包括网络、服务器、操作系统或存储的底层云基础设施,但是对所部署的应用和可能的应用托管环境配置具有控制。
基础设施即服务(IaaS):提供给消费者的能力是提供处理、存储、网络和消费者能够部署和运行任意软件的其他基本计算资源,所述软件可以包括操作系统和应用。消费者不管理或控制底层云基础设施,而是具有对操作系统、存储、所部署的应用的控制以及对所选联网组件(例如,主机防火墙)的可能受限的控制。
部署模型如下:
私有云:云基础架构仅为组织运作。它可以由组织或第三方管理,并且可以存在于场所内或场所外。
社区云:云基础架构被若干组织共享并支持共享了关注(例如,任务、安全要求、策略、和合规性考虑)的特定社区。它可以由组织或第三方管理,并且可以存在于场所内或场所外。
公共云:使云基础架构对公众或大型行业组可用,并且由出售云服务的组织拥有。
混合云:云基础架构是两个或更多个云(私有、社区或公共)的组合,这些云保持唯一实体但通过使数据和应用能够移植的标准化或专有技术(例如,云突发以用于云之间的负载平衡)绑定在一起。
云计算环境是面向服务的,集中于无状态、低耦合、模块化和语义互操作性。云计算的核心是包括互连节点网络的基础设施。
现在参见图2,描述了说明性云计算环境50。如图所示,云计算环境50 包括云消费者使用的本地计算设备可以与其通信的一个或多个云计算节点10,本地计算设备诸如例如个人数字助理(PDA)或蜂窝电话54A、台式计算机54B、膝上型计算机54C和/或汽车计算机系统54N。节点10可彼此通信。它们可以在诸如上述私有云、社区云、公共云或混合云、或其组合的一个或多个网络中物理地或虚拟地分组(未示出)。这允许云计算环境50提供基础设施、平台和/或软件,作为云消费者不需要为其维护本地计算设备上的资源的服务。应当理解,图 1中所示的计算设备54A-N的类型仅旨在是说明性的,并且计算节点10和云计算环境50可以通过任何类型的网络和/或网络可寻址连接(例如,使用网络浏览器)与任何类型的计算机化设备进行通信。
现在参见图3,示出了由云计算环境50(图1)提供的一组功能抽象层。应提前理解,图2中所示的组件、层和功能仅旨在是说明性的,本发明的实施例不限于此。如图所示,提供以下的层和对应功能:
硬件和软件层60包括硬件和软件组件。硬件组件的示例包括:大型机 61;基于RISC(精简指令集计算机)架构的服务器62;服务器63;刀片服务器 64;存储设备65;以及网络和联网组件66。在一些实施例中,软件组件包括网络应用服务器软件67和数据库软件68。
虚拟化层70提供抽象层,从抽象层可以提供以下的虚拟实体示例:虚拟服务器71;虚拟存储器72;虚拟网络73,包括虚拟专用网络;虚拟应用和操作系统74;以及虚拟客户端75。
在一个示例中,管理层80可以提供以下描述的功能。资源供应81提供用于在云计算环境内执行任务的计算资源和其他资源的动态采购。计量和定价 82在云计算环境内利用资源时提供成本跟踪,并为这些资源的消费开账单或发票。在一个示例中,这些资源可以包括应用软件许可证。安全性为云消费者和任务提供身份验证,以及为数据和其他资源提供保护。用户门户83为消费者和系统管理员提供对云计算环境的访问。服务水平管理84提供云计算资源分配和管理,使得满足所需的服务水平。服务水平管理84可以结合工作负载层90操作以执行CDVS。服务水平协议(SLA)规划和履行85提供根据SLA预期未来需求的云计算资源的预安排和采购。
工作负载层90提供可以利用云计算环境的功能的示例。可以从该层提供的工作负荷和功能的示例包括:地图和导航91;软件开发和生命周期管理92;虚拟课堂教育交付93;数据分析处理94;事务处理95;以及虚拟机监控上的内容更新96。
图4描绘了与本公开的一些实施例一致的用于操作虚拟机集群的示例内容感知系统400。内容感知系统400可以包括第一集群410、第二集群440和用于执行内容感知系统的管理的中央服务器470。第一集群410可包括多个第一虚拟机420-1、420-2、…、420-n(统称为420)。第二集群440可以包括多个第二虚拟机450-1、450-2、…、450-n(统称为450)。
第一集群410可以包括一个或多个承载该集群的物理计算机系统。第一集群410可以是物理计算机系统的逻辑集合。图1描绘了能够承载第一集群410 的计算机系统100的示例。第一集群410可以共同地操作第一虚拟机420。例如,单个会计软件中间件可以跨第一虚拟机420-1和420-2操作。第一群集410可同时在不同的工作负载下操作第一虚拟机420。例如,第一虚拟机420-1可以承载文件共享套件,第一虚拟机420-2可以承载图像分析软件。
每个第一虚拟机420都可包括第一CDVS客户端430-1、430-2、…、430-n (统称为430)。第一CDVS客户端430被配置为执行认知代理操作,包括监视和收集来自相应的第一虚拟机420的内容。例如,第一CDVS 430-2可通过连续地或周期性地扫描第一虚拟机420-2来检测变化或更新。所收集的数据可以在 432传输到中央服务器470。
类似地,第二集群440可包括一个或多个承载第二虚拟机450的物理计算机系统。每个第二虚拟机460都可包括第二CDVS客户端460-1、460-2、…、 460-n(统称为460)。第二CDVS客户端460被配置为执行认知代理操作,包括监视和收集来自相应的第二虚拟机450的内容。例如,第二CDVS 450-2可通过连续地或周期性地扫描第二虚拟机460-2来检测变化或更新。可以在462将所收集的数据传输至中央服务器470。
中央服务器470可以是被配置为执行虚拟化环境的托管、管理和协调的计算机系统。例如,管理接口可以在中央服务器470上操作以向集群410和集群440分配计算机资源。CDVS认知代理480可以在中央服务器470上操作。在一些实施例中,CDVS认知代理可在每个虚拟机(例如,第一虚拟机420、第二虚拟机450)上操作。CDVS认知代理480可以从集群410和440接收更新的内容扫描。CDVS认知代理480可以被配置为生成对扫描数据的洞察以检测给定集群的内容的个体和累积变化。如果个体虚拟机上的安全级别改变,则CDVS认知代理480可以指示虚拟机更新安全级别。例如,在482,CDVS认知代理480可以与第一虚拟机420通信,以基于从接收到的内容中识别的洞察来增加或减少安全级别。如果安全级别基于集群内的虚拟机的组合而改变,则CDVS认知代理 480可以指示虚拟机更新安全级别。例如,在484,CDVS认知代理480可以从第二CDVS客户端460-1接收内容更新,从第二CDVS客户端460-2接收内容信息。基于第二虚拟机450-1上的内容相对于第二虚拟机450-2上的现有内容的改变,CDVS认知代理480可以确定安全设置的改变并且在484将该改变传达给第二虚拟机450。
在一些实施例中,可以对CDVS客户端430和460进行编程以在CDVS 认知代理480之外执行各种分析。CDVS客户端430和460可以首先分析虚拟机 410和440的内容以生成新的安全级别。例如,如果由信用卡历史生成的某些洞察导致公开个人的医疗疾病,则要保护洞察(以及作为洞察的基础的内容)以符合医疗数据保护法律,诸如如《医疗保险可移植性和责任法案》(HIPAA)。CDVS 客户端430和460还可以通过提供对内容和洞察的受限访问(例如,仅管理访问、对创建数据的用户的访问)来隔离内容和所生成的洞察。CDVS客户端430和460还可以向CDVS认知代理480发送给定虚拟机(分别为420和450)的新安全级别。CDVS客户端430和460还可以从CDVS认知代理480接收关于分别应用于集群410和440的安全设置的指令。在一些实施例中,如果给定系统上的当前安全设置大于洞察的安全要求,则可以不采取任何操作。如果系统上的当前设置缺乏保护内容所必需的所标识的安全级别(例如,安全缺口),则可以执行适当的操作(例如,调整安全设置、向管理员通知要应用的新安全设置)。在一些实施例中,CDVS客户端430和460可以在更新的安全设置被应用之后(或者如果管理员拒绝更改安全设置的建议),任何先前被隔离的数据都可以被解除隔离,并且所有拥有适当凭证的人都可以访问。
在一些实施例中,CDVS认知代理480可以与CDVS客户端430和460 协同工作,并可以对在432和462处提供的信息作出反应。例如,CDVS认知代理480可以处理从CDVS客户端430和460获得的数据/洞察。CDVS认知代理 480还可以通过查看虚拟机420和450的数据/洞察来处理由CDVS客户端430 和460提出的新安全设置。CDVS认知代理480可以分析给定集群410和440上生成的数据/洞察,并提出安全级别(例如,对不同安全设置的一条或多条建议)。该安全级别可能与之前存在的安全级别相同,也可能不同。在一些实施例中, CDVS认知代理480可以比较旧的和新的安全级别,查看哪个更严格。CDVS认知代理480可以发送要应用于端点认知代理的更严格的安全策略,或者可以向管理员建议新的安全策略。
在一些实施例中,400可以基于分散式逻辑来操作。例如,分别跨虚拟机420和450的CDVS客户端430和460可以利用集群协议进行通信,或者直接就各种洞察和安全性设置(例如,利用对等通信)进行通信。CDVS客户端 430和460可以基于洞察和内容分析直接应用安全设置。分散式环境可能要求跨给定集群(例如,集群410的第一虚拟机420)传播洞察和内容,直到给定集群中的所有虚拟机都具有相同的所生成的洞察。随着虚拟机被添加到给定群集并被视为新数据源,现有虚拟机的安全设置可能在短时间内增加。在对跨给定集群和新添加的虚拟机的累积洞察进行认知分析之后,可以就新添加的虚拟机对给定集群的影响作出决定。例如,在第一虚拟机420-5被迁移到集群410中之前,其洞察和安全级别被传递到现有的第一CDVS客户端430。第一CDVS客户端430 可以扫描新迁移的第一虚拟机420-5的内容并重新评估安全设置。可以在新迁移的第一虚拟机420-5上实例化新的第一CDVS客户端430-5,并且可以实现更新的安全设置。直到重新评估集群410的安全性之前,第一虚拟机420-5可以被放置在隔离区中。
图5描绘了与本公开的一些实施例一致的被配置用于提升安全设置的示例集群500。集群500可包括一个或多个虚拟机510、520和530。虚拟机510、 520、530和540可以与集群500相关。例如,这些虚拟机可以通过是该集群的现有虚拟机(例如,510、520和530)之一或者通过被添加到该集群(例如,540) 而与集群500相关。集群500可以实施CDVS来基于对集群的改变来增加虚拟机510、520和530中的一个或多个的安全级别。在第一个场景中,虚拟机540 可能被添加到集群。基于扫描虚拟机510、520和530的内容以及新添加的虚拟机540的内容,群集500可以增加安全设置。在第二个场景中,虚拟机520可能生成新数据560。新生成的数据可以是对信息的分析,该信息否则是良性的,但基于CDVS的内容分析可能最终被认为是私有数据。群集500可以基于新生成的数据560增加安全设置。在一些实施例中,在新数据560进入集群500时,此类新数据560可能被隔离,并且对所有人(除了例如管理员或所有者之外)都不可见,直到集群500的安全设置被改变(如果需要的话)或被决定保持不变。在第三个场景中,集群500可响应于被置于具有对公共网络(即,互联网)的外部访问的网络550上而增加虚拟机510、520和530的安全设置。
图6描绘了与本公开的一些实施例一致的配置有较低安全设置的示例集群600。集群600可以包括一个或多个虚拟机610、620和630。虚拟机610、620、 630和640可以与集群600相关。例如,给定虚拟机可以通过作为群集的现有虚拟机(例如,610、620和630)之一,或通过从群集移除(例如,640)而与群集600相关。集群600可以实施CDVS,以基于对集群的改变来增加虚拟机610、 620、630和640中的一个或多个的安全级别。在第一个场景中,虚拟机640可能从集群中移除。基于扫描虚拟机610、620、630的内容以及新移除的虚拟机 640的新移除的内容,集群600可以减少安全设置。在第二个场景中,虚拟机630 可能删除数据660。新删除的数据可改变群集600上的内容构成。群集600的新内容构成,CDVS可确定群集600的新内容构成不再是私有的。在第三个示例中,集群600可响应于从网络650(例如,连接到处理私有数据的其他虚拟机的网络 (未示出)中移除而减少虚拟机610、620和630的安全设置。
图7描绘了与本发明的一些实施例一致的执行CDVS的示例方法700。方法700可由计算机系统执行。例如,图1所示的计算机系统100可用于执行一个或多个CDVS操作。方法700的某些操作可由第一计算设备执行,其他操作由第二计算设备执行:例如,在第一设备上操作的第一CDVS客户端和在第二设备上操作的第二CDVS客户端。
从705开始,方法700通过在710扫描集群的所有虚拟机而开始。对集群的扫描可以包括监视对集群的给定虚拟机上存在的数据的更新。例如,如果通过更新,新内容被添加到文件,则扫描可以检测到改变。在另一个示例中,如果将新虚拟机添加到群集中,那么扫描可检测到位于新添加的虚拟机上的内容文件。新添加的文件可以被认为是内容的改变或者更新的内容。
如果检测到第一内容文件有改变(720:Y),则可以在730确定集群的基于内容的安全级别。基于内容的安全级别可以基于对已更新的内容的分析来确定。例如,可以通过对虚拟机的内容执行自然语言处理来分析内容。基于内容的安全级别可以基于对集群的剩余部分上存在的内容的分析来确定。例如,可以通过对除了更新的数据以外的虚拟机上存在的数据执行分析来分析内容。在另一示例中,可通过在单个虚拟机上或跨集群的虚拟机对已存在的数据以及新更新的内容执行分析来分析内容。数据分析可以基于属于任何用户的数据或者可以是任何形式(例如,XML、SQL数据库、日志文件等)。可以使用适当的预定义模型基于数据类型来生成洞察。用于生成洞察的模型可以在特定行业领域中预先训练以生成与该行业相关的洞察。模型的训练的操作和用于确定集群的安全级别的洞察生成过程可以基于将使用所提出的解决方案的组织策略。
在740,可以将所确定的基于内容的安全级别与安全级别标准进行比较。安全级别标准可以是跨集群的各种计算机和虚拟机的预先存在的成套策略、规则集或许可设置。基于该比较,可以标识安全缺口。例如,基于日志文件内被截短的数据,所确定的基于内容的安全级别可以是十分之三,而集群的现有安全级别标准可以是十分之七。在第二个示例中,基于在虚拟机的内容存储内生成的数据,所确定的基于内容的安全级别可以是十分之五,而集群的现有安全级别标准可以是十分之四。
如果有标识出的缺口(750:Y),则可以在740执行对集群的安全设置的更新。对安全设置的更新的执行可以是改变文件共享权限设置以去除某些实体的访问权。对安全设置的更新的执行可以是通过增加集群的加密算法的强度或复杂性。对安全设置的更新的执行可以是生成安全设置调整的通知并将该通知发送或传达至管理用户。
本发明可以是任何可能的技术细节集成度的系统、方法和/或计算机程序产品。计算机程序产品可包括其上具有用于使处理器执行本发明的各方面的计算机可读程序指令的计算机可读存储介质。
计算机可读存储介质可为可保留和存储供指令执行设备使用的指令的有形设备。计算机可读存储介质可以是,例如但不限于,电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备、或者上述的任意合适的组合。计算机可读存储介质的更具体示例的非穷尽列表包括以下各项:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式紧凑盘只读存储器(CD-ROM)、数字通用盘(DVD)、记忆棒、软盘、诸如穿孔卡之类的机械编码设备或具有记录在其上的指令的槽中的凸出结构、以及上述各项的任何合适的组合。如本文所使用的计算机可读存储介质不应被解释为暂时性信号本身,例如无线电波或其他自由传播的电磁波、通过波导或其他传输媒体传播的电磁波 (例如,穿过光纤电缆的光脉冲)或通过电线发射的电信号。
本文中所描述的计算机可读程序指令可以经由网络(例如,互联网、局域网、广域网和/或无线网络)从计算机可读存储介质下载到相应的计算/处理设备,或者下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输纤维、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口接收来自网络的计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据、或以一种或多种程序设计语言的任何组合编写的源代码或目标代码,这些程序设计语言包括面向对象的程序设计语言(诸如Smalltalk、 C++等)和过程程序设计语言(诸如“C”程序设计语言或类似程序设计语言)。计算机可读程序指令可以完全地在用户计算机上执行、部分在用户计算机上执行、作为独立软件包执行、部分在用户计算机上部分在远程计算机上执行或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接至用户计算机,或者可连接至外部计算机(例如,使用互联网服务提供商通过互联网)。在一些实施例中,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA) 的电子电路可以通过利用计算机可读程序指令的状态信息来使电子电路个性化来执行计算机可读程序指令,以便执行本发明的各方面。
参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图的框中指定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置、和/或其他设备以特定方式工作,从而,其中存储有指令的计算机可读存储介质包括包含实现流程图和/或框图的框中规定的功能/动作的方面的指令的制造品。
也可以把计算机可读程序指令加载到计算机、其他可编程数据处理装置、或其他设备上,使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,使得在计算机、其他可编程装置或其他设备上执行的指令实现流程图和/或框图的框中规定的功能/动作。
附图中的流程图和框图示出了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。对此,流程图或框图中的每个框可表示指令的模块、段或部分,其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些备选实现中,框中标注的功能可以不按照图中标注的顺序发生。例如,连续示出的两个方框实际上可以作为一个步骤完成,同时、基本上同时、以部分或完全时间上重叠的方式执行,或者方框有时可以以相反的顺序执行,这取决于所涉及的功能。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作或执行专用硬件与计算机指令的组合的专用的基于硬件的系统来实现。
已经出于说明的目的呈现了本披露的不同实施例的描述,但并不旨在是详尽的或限于所披露的实施例。在不脱离所描述的实施例的范围和精神的情况下,许多修改和变化对本领域普通技术人员将是显而易见的。这里使用的术语被选择来解释实施例的原理、实际应用或对市场中的技术的技术改进,或者使得本领域普通技术人员能够理解这里公开的实施例。
Claims (20)
1.一种方法,包括:
由第一计算机系统扫描一个或多个虚拟机的集群;
基于对所述群集的所述扫描,检测第一内容文件改变,
其中,所述第一内容文件改变针对位于与所述集群相关的第一虚拟机上的第一内容文件;
基于对所述第一内容文件改变的检测,确定所述集群的基于内容的安全级别;
将所确定的所述集群的基于内容的安全级别与所述集群的安全级别标准进行比较;
基于所确定的基于内容的安全级别与所述安全级别标准的所述比较,标识安全缺口;以及
响应于所标识的安全缺口,执行对所述集群的安全设置的更新。
2.根据权利要求1所述的方法:
其中,所述集群包括第二虚拟机,
并且其中,所述方法还包括:
扫描位于第二虚拟机上的第二内容文件;
并且其中,确定所述集群的所述基于内容的安全级别还响应于对所述第二内容文件的扫描。
3.根据权利要求1所述的方法,其中,执行对所述集群的所述安全设置的所述更新包括更新所述第一虚拟机的安全设置。
4.根据权利要求1所述的方法,其中,执行对所述集群的所述安全设置的所述更新包括更新所述集群的除了所述第一虚拟机之外的虚拟机的安全设置。
5.根据权利要求1所述的方法,其中,所述群集的所述扫描包括监控要添加到所述群集的给定虚拟机,并且其中,所述第一虚拟机被添加到所述群集。
6.根据权利要求1所述的方法,其中,所述第一内容文件改变是所述第一内容文件的创建。
7.根据权利要求1所述的方法,其中,所述第一内容文件改变是对所述第一内容文件的更新。
8.根据权利要求1所述的方法,其中,所述第一内容文件改变是所述第一内容文件的删除。
9.根据权利要求1所述的方法,其中,所述第一内容文件改变是改变所述第一内容文件的共享许可。
10.根据权利要求1所述的方法,其中,所述群集的扫描包括监控要从所述群集移除的给定虚拟机,并且其中,从所述群集移除所述第一虚拟机。
11.一种系统,所述系统包括:
存储器,所述存储器包含一个或多个指令;以及
处理器,所述处理器通信地耦合到所述存储器,所述处理器响应于读取所述一个或多个指令而被配置为:
扫描一个或多个虚拟机的集群;
基于对所述群集的所述扫描,检测第一内容文件改变,
其中,所述第一内容文件改变针对位于与所述集群相关的第一虚拟机上的第一内容文件;
基于检测到所述第一内容文件改变而确定所述集群的基于内容的安全级别;
比较所确定的所述集群的基于内容的安全级别与所述集群的安全级别标准进行比较;
基于所述比较所确定的基于内容的安全级别与所述安全级别标准,标识安全缺口;以及
响应于所标识的安全缺口,执行对所述集群的安全设置的更新。
12.根据权利要求11所述的系统:
其中,所述集群包括第二虚拟机,
并且其中,所述处理器进一步被配置为:
扫描位于第二虚拟机上的第二内容文件;
并且其中,确定所述集群的所述基于内容的安全级别还响应于所述扫描所述第二内容文件。
13.根据权利要求11所述的系统,其中,执行对所述集群的所述安全设置的所述更新包括更新所述第一虚拟机的安全设置。
14.根据权利要求11所述的系统,其中,执行对所述集群的所述安全设置的所述更新包括更新所述集群的除了所述第一虚拟机之外的虚拟机的安全设置。
15.根据权利要求1所述的系统,其中,所述扫描所述集群包括监控要添加到所述集群的给定虚拟机,并且其中,所述第一虚拟机被添加到所述集群。
16.一种计算机程序产品,所述计算机程序产品包括具有随其包含的程序指令的计算机可读存储介质,所述程序指令被配置为:
由第一计算机系统扫描一个或多个虚拟机的集群;
基于所述扫描所述集群,检测第一内容文件改变,
其中,所述第一内容文件改变针对位于与所述集群相关的第一虚拟机上的第一内容文件;
基于检测到所述第一内容文件改变而确定所述集群的基于内容的安全级别;
比较所确定的所述集群的基于内容的安全级别与所述集群的安全级别标准;
基于所述比较所确定的基于内容的安全级别与所述安全级别标准,标识安全缺口;以及
响应于所标识的安全缺口,执行对所述集群的安全设置的更新。
17.根据权利要求16所述的计算机程序产品,其中,所述第一内容文件改变是所述第一内容文件的创建。
18.根据权利要求16所述的计算机程序产品,其中,所述第一内容文件改变是对所述第一内容文件的更新。
19.根据权利要求16所述的计算机程序产品,其中,所述第一内容文件改变是所述第一内容文件的删除。
20.根据权利要求16所述的计算机程序产品,其中,所述第一内容文件改变是改变所述第一内容文件的共享许可。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/691,804 US11334672B2 (en) | 2019-11-22 | 2019-11-22 | Cluster security based on virtual machine content |
| US16/691,804 | 2019-11-22 | ||
| PCT/IB2020/060862 WO2021099959A1 (en) | 2019-11-22 | 2020-11-18 | Cluster security based on virtual machine content |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114641771A true CN114641771A (zh) | 2022-06-17 |
Family
ID=75974012
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080077408.2A Pending CN114641771A (zh) | 2019-11-22 | 2020-11-18 | 基于虚拟机内容的集群安全性 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US11334672B2 (zh) |
| JP (1) | JP7486579B2 (zh) |
| CN (1) | CN114641771A (zh) |
| DE (1) | DE112020004806T5 (zh) |
| GB (1) | GB2604820A (zh) |
| WO (1) | WO2021099959A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11558395B2 (en) * | 2020-05-06 | 2023-01-17 | International Business Machines Corporation | Restricting access to cognitive insights |
| US11824900B2 (en) * | 2020-10-23 | 2023-11-21 | Bank Of America Corporation | Artificial intelligence security configuration engine |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7581252B2 (en) * | 2004-07-20 | 2009-08-25 | Lenovo (Singapore) Pte. Ltd. | Storage conversion for anti-virus speed-up |
| US20120030187A1 (en) * | 2008-04-24 | 2012-02-02 | Marano Robert F | System, method and apparatus for tracking digital content objects |
| US9177145B2 (en) * | 2009-03-24 | 2015-11-03 | Sophos Limited | Modified file tracking on virtual machines |
| US9038168B2 (en) | 2009-11-20 | 2015-05-19 | Microsoft Technology Licensing, Llc | Controlling resource access based on resource properties |
| JP5140062B2 (ja) | 2009-12-11 | 2013-02-06 | 株式会社日立製作所 | 仮想化環境におけるセキュリティ管理方法、仮想サーバ管理システム、および管理サーバ |
| US8578376B2 (en) | 2011-01-04 | 2013-11-05 | International Business Machines Corporation | Automatically and securely configuring and updating virtual machines |
| US8590050B2 (en) * | 2011-05-11 | 2013-11-19 | International Business Machines Corporation | Security compliant data storage management |
| JP5798384B2 (ja) | 2011-06-10 | 2015-10-21 | シャープ株式会社 | 情報端末、情報端末の制御方法、制御プログラムおよび記録媒体 |
| WO2012169636A1 (ja) * | 2011-06-10 | 2012-12-13 | シャープ株式会社 | 情報端末、情報端末の制御方法、制御プログラムおよび記録媒体 |
| US8819832B2 (en) * | 2011-08-26 | 2014-08-26 | Rapid7, Llc | Systems and methods for performing vulnerability scans on virtual machines |
| US8966573B2 (en) | 2012-07-20 | 2015-02-24 | Ca, Inc. | Self-generation of virtual machine security clusters |
| US9503475B2 (en) | 2012-08-14 | 2016-11-22 | Ca, Inc. | Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment |
| US9389898B2 (en) | 2012-10-02 | 2016-07-12 | Ca, Inc. | System and method for enforcement of security controls on virtual machines throughout life cycle state changes |
| US10484334B1 (en) | 2013-02-26 | 2019-11-19 | Zentera Systems, Inc. | Distributed firewall security system that extends across different cloud computing networks |
| CN103457933B (zh) | 2013-08-15 | 2016-11-02 | 中电长城网际系统应用有限公司 | 一种虚拟机迁移安全策略动态配置系统和方法 |
| US9800606B1 (en) * | 2015-11-25 | 2017-10-24 | Symantec Corporation | Systems and methods for evaluating network security |
| US20170279826A1 (en) * | 2016-03-22 | 2017-09-28 | Symantec Corporation | Protecting dynamic and short-lived virtual machine instances in cloud environments |
| US10375115B2 (en) | 2016-07-27 | 2019-08-06 | International Business Machines Corporation | Compliance configuration management |
| CN106383735A (zh) | 2016-09-21 | 2017-02-08 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种实时监测云环境中虚拟机主机安全的系统及方法 |
| US10530815B2 (en) | 2016-10-24 | 2020-01-07 | Nubeva, Inc. | Seamless service updates for cloud-based security services |
| US10873512B2 (en) * | 2017-07-07 | 2020-12-22 | Vmware, Inc. | Methods for managing self-healing cloud infrastructure and applications |
| CN109379347B (zh) | 2018-09-29 | 2021-03-23 | 成都亚信网络安全产业技术研究院有限公司 | 一种安全防护方法及设备 |
| RU2728505C1 (ru) * | 2019-02-07 | 2020-07-29 | Акционерное общество "Лаборатория Касперского" | Система и способ обеспечения информационной безопасности на основании антропной защиты |
-
2019
- 2019-11-22 US US16/691,804 patent/US11334672B2/en active Active
-
2020
- 2020-11-18 JP JP2022527046A patent/JP7486579B2/ja active Active
- 2020-11-18 CN CN202080077408.2A patent/CN114641771A/zh active Pending
- 2020-11-18 DE DE112020004806.3T patent/DE112020004806T5/de active Pending
- 2020-11-18 WO PCT/IB2020/060862 patent/WO2021099959A1/en active Application Filing
- 2020-11-18 GB GB2207666.5A patent/GB2604820A/en active Pending
-
2022
- 2022-06-15 US US17/840,848 patent/US20220309167A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| DE112020004806T5 (de) | 2022-06-30 |
| JP7486579B2 (ja) | 2024-05-17 |
| GB202207666D0 (en) | 2022-07-06 |
| US20210157923A1 (en) | 2021-05-27 |
| WO2021099959A1 (en) | 2021-05-27 |
| JP2023502343A (ja) | 2023-01-24 |
| US20220309167A1 (en) | 2022-09-29 |
| GB2604820A (en) | 2022-09-14 |
| US11334672B2 (en) | 2022-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11269965B2 (en) | Extractive query-focused multi-document summarization | |
| US11372997B2 (en) | Automatic audit logging of events in software applications performing regulatory workloads | |
| CN111868727B (zh) | 用于数据匿名化的方法和系统 | |
| US11347891B2 (en) | Detecting and obfuscating sensitive data in unstructured text | |
| US11586813B2 (en) | Natural language processing of unstructured data | |
| US10936747B2 (en) | Privacy annotation from differential analysis of snapshots | |
| US20220309167A1 (en) | Cluster security based on virtual machine content | |
| US20210012237A1 (en) | De-identifying machine learning models trained on sensitive data | |
| US10002181B2 (en) | Real-time tagger | |
| CN116089992A (zh) | 日志信息处理方法、装置、设备、存储介质和程序产品 | |
| US20210064701A1 (en) | Generating comment excerpts within an online publication | |
| US11914597B2 (en) | Natural language processing of unstructured data | |
| US11940953B2 (en) | Assisted updating of electronic documents | |
| US20190303501A1 (en) | Self-adaptive web crawling and text extraction | |
| US20220309588A1 (en) | Identifying and leveraging close associates from unstructured data to improvise risk scoring | |
| US11593013B2 (en) | Management of data in a hybrid cloud for use in machine learning activities | |
| US11593511B2 (en) | Dynamically identifying and redacting data from diagnostic operations via runtime monitoring of data sources |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |