CN115086036A - 云平台的安全防护方法、装置、设备及存储介质 - Google Patents
云平台的安全防护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115086036A CN115086036A CN202210678874.7A CN202210678874A CN115086036A CN 115086036 A CN115086036 A CN 115086036A CN 202210678874 A CN202210678874 A CN 202210678874A CN 115086036 A CN115086036 A CN 115086036A
- Authority
- CN
- China
- Prior art keywords
- security
- access
- cloud platform
- user side
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000012544 monitoring process Methods 0.000 claims abstract description 83
- 238000012549 training Methods 0.000 claims abstract description 26
- 238000012795 verification Methods 0.000 claims description 44
- 238000012545 processing Methods 0.000 claims description 27
- 230000005540 biological transmission Effects 0.000 claims description 25
- 238000001514 detection method Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种云平台的安全防护方法、装置、设备及存储介质,该方法包括:获取用户端的访问请求;基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略;其中,所述访问安全模型为基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的;基于所述安全策略,对所述访问请求进行安全监测。本申请,通过访问安全模型对访问请求进行识别,即可确定用户端需要访问的云平台的安全策略,因而,提高了防护精确度,降低了用户访问多个云平台时的安全漏洞,方便了管理员对安全防护策略的管理。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种云平台的安全防护方法、装置、设备及存储介质。
背景技术
随着云技术的使用越来越广泛,在用户访问云时往往需要保障用户的进行,使得云访问的安全防护,也得到了快速发展。
云访问的安全防护可以保障用户访问云时的安全,确保用户信息不会被泄露。目前云技术有多中,针对不同的云技术有着不同的安全防护的侧略,使云访问的完全防护的配置模式、管理界面和接口都大不相同,但是在实际运用云技术过程中,用户往往需要访问多个云,这使得云管理者需要对多个员管理多个安全防护策略,且由于安全防护策略的不同,会导致用户访问多个云时安全漏洞丛生,不便于管理员对安全防护策略的管理。
发明内容
本申请的主要目的在于提供一种云平台的安全防护方法、装置、设备及存储介质,旨在解决现有技术中用户访问多个云时安全漏洞丛生,不便于管理员对安全防护策略的管理的技术问题。
为实现上述目的,本申请提供一种云平台的安全防护方法,所述云平台的安全防护方法包括:
获取用户端的访问请求;
基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略;
其中,所述访问安全模型为基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的;
基于所述安全策略,对所述访问请求进行安全监测。
可选地,所述基于所述安全策略,对所述访问请求进行安全监测的步骤,包括:
基于所述安全策略,对所述用户端的访问路径进行安全防护处理,得到防护路径;
将所述防护路径输入至预设的安全域名列表中,基于所述安全域名列表,对所述防护路径进行解密,得到内部传输路径;
基于所述内部传输路径,对所述访问请求进行安全监测。
可选地,所述将所述防护路径输入至预设的安全域名列表中,基于所述安全域名列表,对所述防护路径进行解密,得到内部传输路径的步骤,包括:
其中,所述安全域名列表中包括所述用户端访问的云平台的WAF集;
将所述防护路径输入至所述安全域名列表中,确定所述用户端需要访问的目标云平台;
将所述目标云平台与所述WAF集进行匹配,得到对所述云平台进行安全监测的WAF组;
其中,所述WAF组中至少包括一个用于对所述云平台进行安全检测的WAF;
基于所述安全域名列表,对所述防护路径进行解密,得到在每个所述WAF之间访问的内部传输路径。
可选地,所述基于所述安全策略,对所述用户端的访问路径进行安全防护处理,得到防护路径的步骤,包括:
基于所述安全策略,获取所述用户端的访问地址,并对所述访问地址进行实时追踪监控;
对所述访问地址与所述访问请求进行分析,得到所述用户端的访问路径;
对所述用户端的访问路径进行安全防护处理,并对所述用户端进行身份验证,得到身份验证的防护路径。
可选地,所述对所述用户端的访问路径进行安全防护处理,并对所述用户端进行身份验证,得到身份验证的防护路径的步骤,包括:
对所述访问路径进行安全防护处理,并对所述用户端进行身份验证,得到验证结果;
若所述验证结果为验证失败,则对所述访问地址进行分析,得到真实源地址;
对所述真实源地址进行策略控制,得到告警日志,进行储存;
若所述验证结果为成功,则得到身份验证的防护路线。
可选地,所述基于所述安全策略,对所述访问请求进行安全监测的步骤,还包括:
基于所述安全策略,对所述访问请求进行分析,确定所述访问请求的安全性;
若所述访问请求安全,且出现应用故障时,则修改所述安全策略的域名,得到指定路径;
基于所述指定路径,完成所述访问请求,并对所述访问请求进行安全监测。
可选地,所述云平台的安全防护方法还包括:
收集对用户端的访问请求安全监测的监测日志;
对所述监测日志进行分析,得到对所述用户端的访问请求案件监测中告警的告警日志;
对所述告警日志中的告警访问地址进行分析判断处理,判断所述告警访问地址是否为伪装地址;
若所述告警访问地址为伪装地址,则对所述伪装地址进行分析,确定告警访问地址的伪装策略;
基于所述伪装策略,快速追踪定位访问地址。
本申请还提供一种云平台的安全防护装置,所述云平台的安全防护装置包括:
获取模块,用于获取用户端的访问请求;
识别模块,用于基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略;
其中,所述访问安全模型为基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的;
安全监测模块,用于基于所述安全策略,对所述访问请求进行安全监测。
可选地,所述获安全监测模块包括:
防护处理模块,用于基于所述安全策略,对所述用户端的访问路径进行安全防护处理,得到防护路径;
解密模块,用于将所述防护路径输入至预设的安全域名列表中,基于所述安全域名列表,对所述防护路径进行解密,得到内部传输路径;
第一安全监测单元,用于基于所述内部传输路径,对所述访问请求进行安全监测。
可选地,所述解密模块包括:
其中,所述安全域名列表中包括所述用户端访问的云平台的WAF集;
确定模块,用于将所述防护路径输入至所述安全域名列表中,确定所述用户端需要访问的目标云平台;
匹配模块,用于将所述目标云平台与所述WAF集进行匹配,得到对所述云平台进行安全监测的WAF组;
其中,所述WAF组中至少包括一个用于对所述云平台进行安全检测的WAF;
解密子模块,用于基于所述安全域名列表,对所述防护路径进行解密,得到在每个所述WAF之间访问的内部传输路径。
可选地,所述防护处理模块包括:
获取子模块,用于基于所述安全策略,获取所述用户端的访问地址,并对所述访问地址进行实时追踪监控;
第一分析模块,用于对所述访问地址与所述访问请求进行分析,得到所述用户端的访问路径;
验证模块,用于对所述用户端的访问路径进行安全防护处理,并对所述用户端进行身份验证,得到身份验证的防护路径。
可选地,所述验证模块包括:
验证子模块,用于对所述访问路径进行安全防护处理,并对所述用户端进行身份验证,得到验证结果;
分析子模块,用于若所述验证结果为验证失败,则对所述访问地址进行分析,得到真实源地址;
控制模块,用于对所述真实源地址进行策略控制,得到告警日志,进行储存;
确定子模块,用于若所述验证结果为成功,则得到身份验证的防护路线。
可选地,所述安全监测模块还包括:
分析单元,用于基于所述安全策略,对所述访问请求进行分析,确定所述访问请求的安全性;
修改模块,用于若所述访问请求安全,且出现应用故障时,则修改所述安全策略的域名,得到指定路径;
第一安全监测单元,用于基于所述指定路径,完成所述访问请求,并对所述访问请求进行安全监测。
可选地,所述云平台的安全防护装置还包括:
收集模块,用于收集对用户端的访问请求安全监测的监测日志;
第二分析模块,用于对所述监测日志进行分析,得到对所述用户端的访问请求案件监测中告警的告警日志;
判断模块,用于对所述告警日志中的告警访问地址进行分析判断处理,判断所述告警访问地址是否为伪装地址;
分析单元,用于若所述告警访问地址为伪装地址,则对所述伪装地址进行分析,确定告警访问地址的伪装策略;
追踪模块,用于基于所述伪装策略,快速追踪定位访问地址。
本申请还提供一种云平台的安全防护设备,所述云平台的安全防护设备为实体节点设备,所述云平台的安全防护设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的所述云平台的安全防护方法的程序,所述云平台的安全防护方法的程序被处理器执行时可实现如上述的云平台的安全防护方法的步骤。
本申请还提供一种存储介质,所述存储介质上存储有实现上述云平台的安全防护方法的程序,所述云平台的安全防护方法的程序被处理器执行时实现如上述的云平台的安全防护方法的步骤。
本申请提供一种云平台的安全防护方法、装置、设备及存储介质,与现有技术中用户访问多个云时安全漏洞丛生,不便于管理员对安全防护策略的管理相比,在本申请中,获取用户端的访问请求;基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略;其中,所述访问安全模型为基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的;基于所述安全策略,对所述访问请求进行安全监测。在本申请中,需要获取用户端的访问请求,并对访问请求通过预设的访问安全模型进行识别,确定用户端需要访问的云平台的安全策略,即可对访问请求进行安全监测,即在本申请中,通过访问安全模型对访问请求进行识别,即可确定用户端需要访问的云平台的安全策略,因而,提高了防护精确度,降低了用户访问多个云平台时的安全漏洞,方便了管理员对安全防护策略的管理。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请云平台的安全防护方法第一实施例的流程示意图;
图2为本申请云平台的安全防护系统工作流程示意图;
图3为本申请实施例方案涉及的硬件运行环境的设备结构示意图。
本申请目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供一种云平台的安全防护方法,在本申请云平台的安全防护方法的第一实施例中,参照图1和图2,所述云平台的安全防护方法包括:
步骤S10,获取用户端的访问请求;
步骤S20,基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略;
其中,所述访问安全模型为基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的;
步骤S30,基于所述安全策略,对所述访问请求进行安全监测。
具体步骤如下:
步骤S10,获取用户端的访问请求;
在本实施例中,需要说明的是,云平台的安全防护方法可以应用于云平台的安全防护装置,该云平台的安全防护装置从属于云平台的安全防护设备,该云平台的安全防护设备属于云平台的安全防护系统。
对于云平台的安全防护系统而言,内置有访问安全模型,该访问安全模型是已经训练好的模型,需要说明的是,该访问安全模型可以精确识别用户端的访问请求,并根据用户端请求,确定所述用户端需要访问的云平台的安全策略。
其中,安全策略为根据访问请求的风险及云平台的安全制定的行动策略。
其中,访问安全模型内置WAF(Web Application Firewall,Web应用防护系统)池,该WAF池中至少包括一种云平台的WAF,需要说明的是,每种云平台都有对应的WAF。
其中,每两个WAF之间通过明文流量进行处理。
其中,明文流量可以是没有加密的流量。
其中,访问请求可以是但不限于操控云平台、对云平台进行数据传输、调用云平台的数据等。
其中,访问请求至少包括访问数据、访问地址、访问数据流等中的一种。
需要说明的是,对云平台进行数据传输至少包括云平台和用户端之间的数据传输与云平台和云平台之间的数据传输等。
在本实施例中,获取用户端的访问请求,基于访问请求,可以分析出用户端需要访问的云平台,基于访问安全模型,对访问请求进行精准识别,以确定安全策略。需要说明的是,基于访问安全模型,对访问请求进行精准识别,可以通过访问数据、访问地址、访问数据流等进行精准识别。
步骤S20,基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略;
其中,所述访问安全模型为基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的;
在本实施例中,预先设置有访问安全模型,该访问安全模型是基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的。其中,训练数据包括在用户端的访问请求中,针对各个训练的安全策略进行对应标注后,并按照一定的格式组织起来,当做训练集。
由于在本实施例中,访问安全模型是基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的,因而,可以基于访问安全模型对访问请求进行精准的识别,准确得到用户端需要访问的云平台的安全策略,且随着访问请求的变化可以自实行调整,也即,在将访问请求输入至访问安全模型中后,基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略。
步骤S30,基于所述安全策略,对所述访问请求进行安全监测。
在本实施例中,预先设置的允许访问请求通过的风险等级值,通过安全策略对访问请求进行分析,得到该访问请求的风险等级,安全策略允许风险等级小于风险等级值的访问请求通过,并对通过的访问请求实时的进行安全监测,防护云平台的安全。
具体地,所述基于所述安全策略,对所述访问请求进行安全监测的步骤,包括:
步骤S31,基于所述安全策略,对所述用户端的访问路径进行安全防护处理,得到防护路径;
步骤S32,将所述防护路径输入至预设的安全域名列表中,基于所述安全域名列表,对所述防护路径进行解密,得到内部传输路径;
步骤S33,基于所述内部传输路径,对所述访问请求进行安全监测。
其中,访问路径为用户端访问云平台的次序。
例如,用户端访问云平台时需要经过第一监测节点,对用户端的访问进行检测,通过第一监测节点后,经过第二监测节点用户端的访问进行再次检测,通过第二监测点后,需要经过安全防护节点对用户端的访问进行加密或解密,最后访问云平台,其中用户端的访问通过第一监测节点、第二监测节点、安全防护节点最后到达云平台的次序为访问路径。
其中,安全防护处理可以是但不限于对访问路径进行加密。
其中,防护路径为对访问路径进行加密后的路径。
在本实施例中,通过安全域名列表对访问路径进行加密,得到防护路径,确保用户端为解密访问,确保用户端的访问路径是安全的,由于访问路径是不可逆的,在WAF池侧对防护路径进行解密,不会影响用户端侧的加密状态,在安全域名列表中对防护路径进行SSL(Secure Sockets Layer安全套接字协议)卸载,也即,对防护路径进行解密,得到WAF之间的处理的未加密路径,即,内部传输路径,基于内部传输路径,对用户端跨云平台的访问进行安全监测。
由于在本实施例中,每两个WAF之间通过明文流量进行处理,也即,每两个WAF之间通过不加密后的流量处理,在防护路径进行WAF安全监测时,需要对防护路径进行解密。
具体地,所述将所述防护路径输入至预设的安全域名列表中,基于所述安全域名列表,对所述防护路径进行解密,得到内部传输路径的步骤,包括:
其中,所述安全域名列表中包括所述用户端访问的云平台的WAF集;
步骤A1,将所述防护路径输入至所述安全域名列表中,确定所述用户端需要访问的目标云平台;
步骤A2,将所述目标云平台与所述WAF集进行匹配,得到对所述云平台进行安全监测的WAF组;
其中,所述WAF组中至少包括一个用于对所述云平台进行安全检测的WAF;
步骤A3,基于所述安全域名列表,对所述防护路径进行解密,得到在每个所述WAF之间访问的内部传输路径。
其中,目标云平台可以是一个,也可以是多个。
在本实施例中,安全域名列表包括云平台的域名,可以通过访问请求,从安全域名列表中确定目标云平台,由于每个云平台都对应一个WAF,则将防护路径输入至安全域名列表中,可以快速匹配出与目标云平台相对应的WAF,通过安全域名列表对防护路径进行解密,得到内部传输路径。
具体地,所述基于所述安全策略,对所述用户端的访问路径进行安全防护处理,得到防护路径的步骤,包括:
步骤B10,基于所述安全策略,获取所述用户端的访问地址,并对所述访问地址进行实时追踪监控;
步骤B20,对所述访问地址与所述访问请求进行分析,得到所述用户端的访问路径;
步骤B30,对所述用户端的访问路径进行安全防护处理,并对所述用户端进行身份验证,得到身份验证的防护路径。
在本实施例中,在对访问路径进行SSL卸载时,获取用户端的访问地址,由于访问每个云平台需要通过的安全监测节点不同,则需要对访问地址与访问请求进行分析,用户端的访问路径,并访问路径上进行安全防护处理,确认用户端的申请,确保访问地址的安全。
具体地,所述对所述用户端的访问路径进行安全防护处理,并对所述用户端进行身份验证,得到身份验证的防护路径的步骤,包括:
步骤B11,对所述访问路径进行安全防护处理,并对所述用户端进行身份验证,得到验证结果;
步骤B12,若所述验证结果为验证失败,则对所述访问地址进行分析,得到真实源地址;
步骤B13,对所述真实源地址进行策略控制,得到告警日志,进行储存;
步骤B14,若所述验证结果为成功,则得到身份验证的防护路线。
其中,策略控制包括但不限于防止用户端继续访问、对用户端进行警告,并加强用户端的监控、对用户端进行强制性的下线。
在本实施例中,由于获取访问地址后,对访问地址进行实时追踪监控,若用户端的身份验证失败,可以及时对访问地址进行分析,确定访问地址是不是用户端的真实源地址,当访问地址不是用户端的真实源地址时,分析出访问地址的真实源地址,并对真实源地址进行策略控制。
在本实施例中,获取用户端的访问请求,基于访问请求,确定用户需要访问的目标云平台,其中,目标云平台可以是一个,也可以是多个,通过预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略,基于安全策略对访问请求进行检测。
本申请提供一种云平台的安全防护方法、装置、设备及存储介质,与现有技术中用户访问多个云时安全漏洞丛生,不便于管理员对安全防护策略的管理相比,在本申请中,获取用户端的访问请求;基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略;其中,所述访问安全模型为基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的;基于所述安全策略,对所述访问请求进行安全监测。在本申请中,需要获取用户端的访问请求,并对访问请求通过预设的访问安全模型进行识别,确定用户端需要访问的云平台的安全策略,即可对访问请求进行安全监测,即在本申请中,通过访问安全模型对访问请求进行识别,即可确定用户端需要访问的云平台的安全策略,因而,提高了防护精确度,降低了用户访问多个云平台时的安全漏洞,方便了管理员对安全防护策略的管理。
进一步地,基于本申请中上述实施例,提供本申请的另一实施例,在该实施例中,所述基于所述安全策略,对所述访问请求进行安全监测的步骤,还包括:
步骤C1,基于所述安全策略,对所述访问请求进行分析,确定所述访问请求的安全性;
步骤C2,若所述访问请求安全,且出现应用故障时,则修改所述安全策略的域名,得到指定路径;
步骤C3,基于所述指定路径,完成所述访问请求,并对所述访问请求进行安全监测。
其中,应用故障包括但不限于在访问多个云平台时WAF之间出现漏洞,使访问请求不能继续;或者在访问云平台时,WAF无法对访问请求进行识别,误将安全的访问请求当成危险的访问请求等。
在本实施例中,在初步确定访问路径的情况下,若出现应用故障对访问请求进行误报,可以修改安全策略的域名,通过指定路径,完成访问请求,并对访问请求进行安全监测。本实施例可以在应用故障时,确保可以完成安全的访问请求。
进一步地,基于本申请中上述实施例,提供本申请的另一实施例,在该实施例中,所述云平台的安全防护方法还包括:
步骤C10,收集对用户端的访问请求安全监测的监测日志;
步骤C20,对所述监测日志进行分析,得到对所述用户端的访问请求案件监测中告警的告警日志;
步骤C30,对所述告警日志中的告警访问地址进行分析判断处理,判断所述告警访问地址是否为伪装地址;
步骤C40,若所述告警访问地址为伪装地址,则对所述伪装地址进行分析,确定告警访问地址的伪装策略;
步骤C50,基于所述伪装策略,快速追踪定位访问地址。
在本实施例中,通过对用户端的访问请求的安全监测的监测日志进行分析,得到告警日志,对告警日志进行分析,确定告警日志中,伪装的访问地址的伪装策略,并基于伪装策略可以快速追踪定位不安全的访问地址。在本实施例中,通过对历史告警日志进行分析,可以在遇到危险的访问请求时,快速对访问请求的地址进行追踪定位。
参照图3,图3是本申请实施例方案涉及的硬件运行环境的设备结构示意图。
如图3所示,该云平台的安全防护设备可以包括:处理器1001,例如CPU,存储器1005,通信总线1002,展示模块1003。其中,通信总线1002用于实现处理器1001、存储器1005、展示模块1003之间的连接通信。展示模块1003用于项用户展示传单。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
可选地,该云平台的安全防护设备还可以包括矩形用户接口、网络接口、摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。矩形用户接口可以包括显示屏(Display)、输入子模块比如键盘(Keyboard),可选矩形用户接口还可以包括标准的有线接口、无线接口。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。
本领域技术人员可以理解,图3中示出的云平台的安全防护设备结构并不构成对云平台的安全防护设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图3所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块以及云平台的安全防护程序。操作系统是管理和控制云平台的安全防护设备硬件和软件资源的程序,支持云平台的安全防护程序以及其它软件和/或程序的运行。网络通信模块用于实现存储器1005内部各组件之间的通信,以及与云平台的安全防护系统中其它硬件和软件之间通信。
在图3所示的云平台的安全防护设备中,处理器1001用于执行存储器1005中存储的云平台的安全防护程序,实现上述任一项所述的云平台的安全防护方法的步骤。
本申请云平台的安全防护设备具体实施方式与上述云平台的安全防护方法各实施例基本相同,在此不再赘述。
本申请还提供一种云平台的安全防护装置,所述云平台的安全防护装置包括:
获取模块,用于获取用户端的访问请求;
识别模块,用于基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略;
其中,所述访问安全模型为基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的;
安全监测模块,用于基于所述安全策略,对所述访问请求进行安全监测。
可选地,所述获安全监测模块包括:
防护处理模块,用于基于所述安全策略,对所述用户端的访问路径进行安全防护处理,得到防护路径;
解密模块,用于将所述防护路径输入至预设的安全域名列表中,基于所述安全域名列表,对所述防护路径进行解密,得到内部传输路径;
第一安全监测单元,用于基于所述内部传输路径,对所述访问请求进行安全监测。
可选地,所述解密模块包括:
其中,所述安全域名列表中包括所述用户端访问的云平台的WAF集;
确定模块,用于将所述防护路径输入至所述安全域名列表中,确定所述用户端需要访问的目标云平台;
匹配模块,用于将所述目标云平台与所述WAF集进行匹配,得到对所述云平台进行安全监测的WAF组;
其中,所述WAF组中至少包括一个用于对所述云平台进行安全检测的WAF;
解密子模块,用于基于所述安全域名列表,对所述防护路径进行解密,得到在每个所述WAF之间访问的内部传输路径。
可选地,所述防护处理模块包括:
获取子模块,用于基于所述安全策略,获取所述用户端的访问地址,并对所述访问地址进行实时追踪监控;
第一分析模块,用于对所述访问地址与所述访问请求进行分析,得到所述用户端的访问路径;
验证模块,用于对所述用户端的访问路径进行安全防护处理,并对所述用户端进行身份验证,得到身份验证的防护路径。
可选地,所述验证模块包括:
验证子模块,用于对所述访问路径进行安全防护处理,并对所述用户端进行身份验证,得到验证结果;
分析子模块,用于若所述验证结果为验证失败,则对所述访问地址进行分析,得到真实源地址;
控制模块,用于对所述真实源地址进行策略控制,得到告警日志,进行储存;
确定子模块,用于若所述验证结果为成功,则得到身份验证的防护路线。
可选地,所述安全监测模块还包括:
分析单元,用于基于所述安全策略,对所述访问请求进行分析,确定所述访问请求的安全性;
修改模块,用于若所述访问请求安全,且出现应用故障时,则修改所述安全策略的域名,得到指定路径;
第一安全监测单元,用于基于所述指定路径,完成所述访问请求,并对所述访问请求进行安全监测。
可选地,所述云平台的安全防护装置还包括:
收集模块,用于收集对用户端的访问请求安全监测的监测日志;
第二分析模块,用于对所述监测日志进行分析,得到对所述用户端的访问请求案件监测中告警的告警日志;
判断模块,用于对所述告警日志中的告警访问地址进行分析判断处理,判断所述告警访问地址是否为伪装地址;
分析单元,用于若所述告警访问地址为伪装地址,则对所述伪装地址进行分析,确定告警访问地址的伪装策略;
追踪模块,用于基于所述伪装策略,快速追踪定位访问地址。
本申请云平台的安全防护装置的具体实施方式与上述云平台的安全防护方法各实施例基本相同,在此不再赘述。
本申请实施例提供了一种存储介质,且所述存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现上述任一项所述的云平台的安全防护方法的步骤。
本申请存储介质具体实施方式与上述云平台的安全防护方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种云平台的安全防护方法,其特征在于,所述云平台的安全防护方法包括:
获取用户端的访问请求;
基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略;
其中,所述访问安全模型为基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的;
基于所述安全策略,对所述访问请求进行安全监测。
2.如权利要求1所述的云平台的安全防护方法,其特征在于,所述基于所述安全策略,对所述访问请求进行安全监测的步骤,包括:
基于所述安全策略,对所述用户端的访问路径进行安全防护处理,得到防护路径;
将所述防护路径输入至预设的安全域名列表中,基于所述安全域名列表,对所述防护路径进行解密,得到内部传输路径;
基于所述内部传输路径,对所述访问请求进行安全监测。
3.如权利要求2所述的云平台的安全防护方法,其特征在于,所述将所述防护路径输入至预设的安全域名列表中,基于所述安全域名列表,对所述防护路径进行解密,得到内部传输路径的步骤,包括:
其中,所述安全域名列表中包括所述用户端访问的云平台的WAF集;
将所述防护路径输入至所述安全域名列表中,确定所述用户端需要访问的目标云平台;
将所述目标云平台与所述WAF集进行匹配,得到对所述云平台进行安全监测的WAF组;
其中,所述WAF组中至少包括一个用于对所述云平台进行安全检测的WAF;
基于所述安全域名列表,对所述防护路径进行解密,得到在每个所述WAF之间访问的内部传输路径。
4.如权利要求2所述的云平台的安全防护方法,其特征在于,所述基于所述安全策略,对所述用户端的访问路径进行安全防护处理,得到防护路径的步骤,包括:
基于所述安全策略,获取所述用户端的访问地址,并对所述访问地址进行实时追踪监控;
对所述访问地址与所述访问请求进行分析,得到所述用户端的访问路径;
对所述用户端的访问路径进行安全防护处理,并对所述用户端进行身份验证,得到身份验证的防护路径。
5.如权利要求4所述的云平台的安全防护方法,其特征在于,所述对所述用户端的访问路径进行安全防护处理,并对所述用户端进行身份验证,得到身份验证的防护路径的步骤,包括:
对所述访问路径进行安全防护处理,并对所述用户端进行身份验证,得到验证结果;
若所述验证结果为验证失败,则对所述访问地址进行分析,得到真实源地址;
对所述真实源地址进行策略控制,得到告警日志,进行储存;
若所述验证结果为成功,则得到身份验证的防护路线。
6.如权利要求1所述的云平台的安全防护方法,其特征在于,所述基于所述安全策略,对所述访问请求进行安全监测的步骤,还包括:
基于所述安全策略,对所述访问请求进行分析,确定所述访问请求的安全性;
若所述访问请求安全,且出现应用故障时,则修改所述安全策略的域名,得到指定路径;
基于所述指定路径,完成所述访问请求,并对所述访问请求进行安全监测。
7.如权利要求1所述的云平台的安全防护方法,其特征在于,所述云平台的安全防护方法还包括:
收集对用户端的访问请求安全监测的监测日志;
对所述监测日志进行分析,得到对所述用户端的访问请求案件监测中告警的告警日志;
对所述告警日志中的告警访问地址进行分析判断处理,判断所述告警访问地址是否为伪装地址;
若所述告警访问地址为伪装地址,则对所述伪装地址进行分析,确定告警访问地址的伪装策略;
基于所述伪装策略,快速追踪定位访问地址。
8.一种云平台的安全防护装置,其特征在于,所述云平台的安全防护装置包括:
获取模块,用于获取用户端的访问请求;
识别模块,用于基于预设的访问安全模型,对所述访问请求进行识别,确定所述用户端需要访问的云平台的安全策略;
其中,所述访问安全模型为基于具有预设安全策略标签的训练数据,对所述访问安全模型进行迭代训练后得到的;
安全监测模块,用于基于所述安全策略,对所述访问请求进行安全监测。
9.一种云平台的安全防护设备,其特征在于,所述云平台的安全防护设备包括:存储器、处理器以及存储在存储器上的用于实现所述云平台的安全防护方法的程序,
所述存储器用于存储实现云平台的安全防护方法的程序;
所述处理器用于执行实现所述云平台的安全防护方法的程序,以实现如权利要求1至7中任一项所述云平台的安全防护方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有实现云平台的安全防护方法的程序,所述实现云平台的安全防护方法的程序被处理器执行以实现如权利要求1至7中任一项所述云平台的安全防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210678874.7A CN115086036B (zh) | 2022-06-15 | 2022-06-15 | 云平台的安全防护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210678874.7A CN115086036B (zh) | 2022-06-15 | 2022-06-15 | 云平台的安全防护方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115086036A true CN115086036A (zh) | 2022-09-20 |
| CN115086036B CN115086036B (zh) | 2024-04-26 |
Family
ID=83253496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210678874.7A Active CN115086036B (zh) | 2022-06-15 | 2022-06-15 | 云平台的安全防护方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115086036B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115996152A (zh) * | 2023-03-23 | 2023-04-21 | 北京腾达泰源科技有限公司 | 安全防护方法、装置、设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110290133A (zh) * | 2019-06-25 | 2019-09-27 | 常熟市飞梦信息技术有限公司 | 一种网站云防护方法及装置 |
| US20200137119A1 (en) * | 2018-10-29 | 2020-04-30 | Johnson Controls Technology Company | Building system with dynamic manufacaturer usage description (mud) files based on building model queries |
| US20200274898A1 (en) * | 2017-11-14 | 2020-08-27 | Huawei Technologies Co., Ltd. | Method And Device For Defending Against Denial Of Service Attacks |
| CN112910721A (zh) * | 2019-11-19 | 2021-06-04 | 苏州至赛信息科技有限公司 | 访问路径查询方法、装置、计算机设备和存储介质 |
| CN113542227A (zh) * | 2021-06-18 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 账号安全防护方法、装置、电子装置和存储介质 |
| CN113872951A (zh) * | 2021-09-22 | 2021-12-31 | 绿盟科技集团股份有限公司 | 混合云安全策略下发方法、装置、电子设备和存储介质 |
| CN114021184A (zh) * | 2021-10-28 | 2022-02-08 | 深圳乐信软件技术有限公司 | 一种数据管理方法、装置、电子设备及存储介质 |
| CN114629726A (zh) * | 2022-04-26 | 2022-06-14 | 深信服科技股份有限公司 | 一种云管理方法、装置、设备、系统及可读存储介质 |
-
2022
- 2022-06-15 CN CN202210678874.7A patent/CN115086036B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200274898A1 (en) * | 2017-11-14 | 2020-08-27 | Huawei Technologies Co., Ltd. | Method And Device For Defending Against Denial Of Service Attacks |
| US20200137119A1 (en) * | 2018-10-29 | 2020-04-30 | Johnson Controls Technology Company | Building system with dynamic manufacaturer usage description (mud) files based on building model queries |
| CN110290133A (zh) * | 2019-06-25 | 2019-09-27 | 常熟市飞梦信息技术有限公司 | 一种网站云防护方法及装置 |
| CN112910721A (zh) * | 2019-11-19 | 2021-06-04 | 苏州至赛信息科技有限公司 | 访问路径查询方法、装置、计算机设备和存储介质 |
| CN113542227A (zh) * | 2021-06-18 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 账号安全防护方法、装置、电子装置和存储介质 |
| CN113872951A (zh) * | 2021-09-22 | 2021-12-31 | 绿盟科技集团股份有限公司 | 混合云安全策略下发方法、装置、电子设备和存储介质 |
| CN114021184A (zh) * | 2021-10-28 | 2022-02-08 | 深圳乐信软件技术有限公司 | 一种数据管理方法、装置、电子设备及存储介质 |
| CN114629726A (zh) * | 2022-04-26 | 2022-06-14 | 深信服科技股份有限公司 | 一种云管理方法、装置、设备、系统及可读存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| XIN LI: "《Access Control Strategy Based on Trust under Cloud Computing Platform》", 《2018 INTERNATIONAL CONFERENCE ON VIRTUAL REALITY AND INTELLIGENT SYSTEMS (ICVRIS)》, 11 November 2018 (2018-11-11) * |
| 尚松超: "《基于属性加密机制的访问控制技术研究》", 《信息科技》, no. 2018, 15 February 2018 (2018-02-15) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115996152A (zh) * | 2023-03-23 | 2023-04-21 | 北京腾达泰源科技有限公司 | 安全防护方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115086036B (zh) | 2024-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6334069B2 (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| US7096503B1 (en) | Network-based risk-assessment tool for remotely detecting local computer vulnerabilities | |
| US9659175B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| KR101266037B1 (ko) | 휴대단말에서 악성행위 처리 방법 및 장치 | |
| US8949995B2 (en) | Certifying server side web applications against security vulnerabilities | |
| US8914890B2 (en) | Determining the vulnerability of computer software applications to privilege-escalation attacks | |
| WO2015184752A1 (zh) | 一种异常进程检测方法及装置 | |
| KR20150006042A (ko) | 동적 인증을 기반으로 하여 모바일 보안을 제공하는 시스템 및 방법 | |
| KR101731312B1 (ko) | 사용자 단말의 애플리케이션에 대한 권한변경 탐지 방법, 장치 및 컴퓨터 판독가능 기록매체 | |
| CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
| CN115086036B (zh) | 云平台的安全防护方法、装置、设备及存储介质 | |
| CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
| JP2006040196A (ja) | ソフトウェア監視システムおよび監視方法 | |
| US20220083673A1 (en) | System, Method, and Apparatus for Enhanced Whitelisting | |
| WO2017091672A1 (en) | Systems and methods for cross-channel device binding | |
| US9785775B1 (en) | Malware management | |
| JP2005242754A (ja) | セキュリティ管理システム | |
| CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
| CN115150137B (zh) | 一种基于Redis的高频访问预警方法及设备 | |
| CN113127875A (zh) | 一种漏洞处理方法及相关设备 | |
| CN111259389B (zh) | 操作系统防护方法、装置及存储介质 | |
| US11075882B2 (en) | Method and system for reducing false positives in web application firewalls | |
| Bird | Reinforcing the Importance of Host Forensics for Customer Environments Hosted Using Amazon Web Services and Azure Public Cloud Platforms | |
| CN117648100B (zh) | 应用部署方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |