CN115981818A - 工作负载的运行控制方法、装置及存储介质 - Google Patents
工作负载的运行控制方法、装置及存储介质 Download PDFInfo
- Publication number
- CN115981818A CN115981818A CN202211733065.8A CN202211733065A CN115981818A CN 115981818 A CN115981818 A CN 115981818A CN 202211733065 A CN202211733065 A CN 202211733065A CN 115981818 A CN115981818 A CN 115981818A
- Authority
- CN
- China
- Prior art keywords
- workload
- event
- target
- processing result
- operation event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Safety Devices In Control Systems (AREA)
Abstract
本发明公开了一种工作负载的运行控制方法、装置及存储介质。该方法包括:获取工作负载在当前时间产生的运行事件,运行事件包括以下至少之一:进程事件、文件事件、网络事件,工作负载用于处理对应业务数据;基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果,目标处理结果为工作负载对应的运行事件是否与预设清单中记录的目标事件相匹配,目标事件为符合信息安全规则的运行事件;在工作负载对应的目标处理结果为第一处理结果时,禁止工作负载继续运行;在工作负载对应的目标处理结果为第二处理结果时,控制工作负载继续运行。本发明解决了现有技术中工作负载在运行过程中存在安全性低的技术问题。
Description
技术领域
本发明涉及计算机技术领域,具体而言,涉及一种工作负载的运行控制方法、装置及存储介质。
背景技术
随着云计算和容器技术的发展,越来越多的企业将自身业务和提供的服务迁移到云上和容器中。但由于各企业的技术理念不同,采取的解决方案不同。像传统金融行业和医疗行业,比较多的采用虚拟机和物理服务器对外提供服务或业务,而像新兴的互联网企业,更多的是采用容器来对外提供服务或业务,但是也有相当一部分企业处于过渡阶段,即既通过虚拟机和物理服务器来提供服务,也采用容器来对外提供服务或业务。这些资产包括虚拟机,物理服务器,容器等统称工作负载。
而上述工作负载在运行过程或给第三方提供服务过程、以及客户在日常对工作负载的维护过程中,可能面临众多威胁。比如工作负载在被入侵后被植入木马,定时读取敏感文件,甚至重要文件被删除等等一系列可能用户正常业务的异常行为。而现有技术中,通常是通过单一的容器运行时的安全防护或者主机运行时的安全防护,应对复杂的业务场景,只能同时部署两类产品,下发两种不同的配置才能实现比较全面的管控。并且仅是通过用户自定义的策略对工作负载进行安全防护,单纯依靠用户配置,配置难度复杂,导致工作负载在运行过程中存在安全性低。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种工作负载的运行控制方法、装置及存储介质,以至少解决现有技术中工作负载在运行过程中存在安全性低的技术问题。
根据本发明实施例的一个方面,提供了一种工作负载的运行控制方法,包括:获取工作负载在当前时间产生的运行事件,其中,运行事件包括以下至少之一:进程事件、文件事件、网络事件,工作负载用于处理对应的业务数据;基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果,其中,目标处理结果用于表征工作负载对应的运行事件是否与预设清单中记录的目标事件相匹配,目标事件为符合信息安全规则的运行事件;在工作负载对应的目标处理结果为第一处理结果时,禁止工作负载继续运行,其中,第一处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件不匹配;在工作负载对应的目标处理结果为第二处理结果时,控制工作负载继续运行,其中,第二处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件相匹配。
进一步的,目标模型通过如下步骤得到:获取工作负载在预设时间段内产生的多个历史运行事件;基于多个历史运行事件训练得到与工作负载相对应的目标模型。
进一步的,基于多个历史运行事件训练得到与工作负载相对应的目标模型,包括:识别多个历史运行事件中的每个历史运行事件是否符合信息安全规则;将多个历史运行事件中的第一历史运行事件确定为工作负载对应的正样本,其中,第一历史运行事件为符合信息安全规则的历史运行事件;将多个历史运行事件中的第二历史运行事件确定为工作负载对应的负样本;根据正样本和负样本训练得到工作负载相对应的目标模型。
进一步的,工作负载的运行控制方法还包括:检测当前时间是否处于预设时间段内;在当前时间处于预设时间段内时,确定目标模型未训练完成,并根据运行事件和历史运行事件训练得到与工作负载相对应的目标模型。
进一步的,基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果,包括:在当前时间未处于预设时间段内时,确定目标模型已经训练完成,并基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果。
进一步的,在工作负载对应的目标处理结果为第一处理结果时,禁止工作负载继续运行之后,方法还包括:基于预设策略对异常运行事件进行核查,得到目标核查结果,其中,异常运行事件为未记录在预设清单中的运行事件,预设策略用于依据信息安全规则核查出导致异常运行事件出现异常的事件信息。
进一步的,在基于预设策略对异常运行事件进行核查,得到目标核查结果之后,方法还包括:在基于预设策略核查出导致异常运行事件出现异常的事件信息的情况下,将事件信息存储至预设数据库中,并根据事件信息以及信息安全规则生成第一提示信息,其中,第一提示信息中至少包括事件信息对应的修复策略;在基于预设策略未核查出导致异常运行事件出现异常的事件信息的情况下,生成第二提示信息,其中,第二提示信息用于提示目标对象对异常运行事件进行检查。
根据本发明实施例的另一方面,还提供了一种工作负载的运行控制装置,包括:获取模块,用于获取工作负载在当前时间产生的运行事件,其中,运行事件包括以下至少之一:进程事件、文件事件、网络事件,工作负载用于处理对应的业务数据;处理模块,用于基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果,其中,目标处理结果用于表征工作负载对应的运行事件是否与预设清单中记录的目标事件相匹配,目标事件为符合信息安全规则的运行事件;禁止运行模块,用于在工作负载对应的目标处理结果为第一处理结果时,禁止工作负载继续运行,其中,第一处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件不匹配;控制模块,用于在工作负载对应的目标处理结果为第二处理结果时,控制工作负载继续运行,其中,第二处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件相匹配。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述的工作负载的运行控制方法。
根据本发明实施例的另一方面,还提供了一种电子设备,该电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现用于运行程序,其中,程序被设置为运行时执行上述的工作负载的运行控制方法。
在本发明实施例中,采用通过目标模型对工作负载所对应的运行事件进行处理得到目标处理结果,基于目标处理结果对工作负载的运行状态进行控制的方式,首先通过获取工作负载在当前时间产生的运行事件,其中,运行事件包括以下至少之一:进程事件、文件事件、网络事件,工作负载用于处理对应的业务数据;基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果,其中,目标处理结果用于表征工作负载对应的运行事件是否与预设清单中记录的目标事件相匹配,目标事件为符合信息安全规则的运行事件;在工作负载对应的目标处理结果为第一处理结果时,禁止工作负载继续运行,其中,第一处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件不匹配;在工作负载对应的目标处理结果为第二处理结果时,控制工作负载继续运行,其中,第二处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件相匹配。
在上述过程中,通过基于目标模型对工作负载在运行过程中产生的运行事件进行处理,由于目标模型中存有通过机器学习得到的符合信息安全规则的运行事件的预设清单,能够自动对工作负载的运行状态进行控制,解决了由于现有技术中仅是通过用户自定义的策略对工作负载进行安全防护,导致无法实现对工作负载执行更精准的行为管控而使工作负载在运行过程中存在安全性低的问题。
由此可见,通过本发明的技术方案,达到了通过目标模型对工作负载所对应的运行事件进行处理得到目标处理结果,基于目标处理结果对工作负载的运行状态进行控制的目的,从而实现了提高工作负载在运行过程中的安全性的技术效果,进而解决了现有技术中工作负载在运行过程中存在安全性的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种工作负载的运行控制方法的示意图;
图2是根据本发明实施例的一种可选的工作负载的运行控制方法的流程图;
图3是根据本发明实施例的一种可选的目标模型生成的流程图;
图4是根据本发明实施例的一种可选的工作负载的运行控制装置的示意图;
图5是根据本发明实施例的一种可选的电子设备的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本发明所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本系统和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
实施例1
根据本发明实施例,提供了一种工作负载的运行控制方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种可选的作负载的运行控制方法的示意图,如图1所示,该方法包括如下步骤:
步骤S102,获取工作负载在当前时间产生的运行事件,其中,运行事件包括以下至少之一:进程事件、文件事件、网络事件,工作负载用于处理对应的业务数据。
步骤S104,基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果,其中,目标处理结果用于表征工作负载对应的运行事件是否与预设清单中记录的目标事件相匹配,目标事件为符合信息安全规则的运行事件。
步骤S106,在工作负载对应的目标处理结果为第一处理结果时,禁止工作负载继续运行,其中,第一处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件不匹配。
步骤S108,在工作负载对应的目标处理结果为第二处理结果时,控制工作负载继续运行,其中,第二处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件相匹配。
基于上述步骤S102至步骤S108所限定的方案,可以获知,在本发明实施例中,采用通过目标模型对工作负载所对应的运行事件进行处理得到目标处理结果,基于目标处理结果对工作负载的运行状态进行控制的方式,首先通过获取工作负载在当前时间产生的运行事件,其中,运行事件包括以下至少之一:进程事件、文件事件、网络事件,工作负载用于处理对应的业务数据;基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果,其中,目标处理结果用于表征工作负载对应的运行事件是否与预设清单中记录的目标事件相匹配,目标事件为符合信息安全规则的运行事件;在工作负载对应的目标处理结果为第一处理结果时,禁止工作负载继续运行,其中,第一处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件不匹配;在工作负载对应的目标处理结果为第二处理结果时,控制工作负载继续运行,其中,第二处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件相匹配。
容易注意到的是,在上述过程中,通过基于目标模型对工作负载在运行过程中产生的运行事件进行处理,由于目标模型中存有通过机器学习得到的符合信息安全规则的运行事件的预设清单,能够自动对工作负载的运行状态进行控制,解决了由于现有技术中仅是通过用户自定义的策略对工作负载进行安全防护,导致无法实现对工作负载执行更精准的行为管控而使工作负载在运行过程中存在安全性低的问题。
由此可见,通过本发明的技术方案,达到了通过目标模型对工作负载所对应的运行事件进行处理得到目标处理结果,基于目标处理结果对工作负载的运行状态进行控制的目的,从而实现了提高工作负载在运行过程中的安全性的技术效果,进而解决了现有技术中工作负载在运行过程中存在安全性的技术问题。
在步骤S102中,进程事件为工作负载在运行过程中进程的启动和停止的行为,文件事件为工作负载在运行过程中文件被进程访问、读写、删除的行为,网络事件为工作负载在运行过程中进程自身监听端口或者进程访问其他工作负载/第三方服务的行为。
可选的,在本实施例中,可以通过系统获取工作负载在当前时间产生的运行事件,其中,如图2所示,该系统包括资产模块、事件抓取模块、事件管控模块、白名单模块以及事件溯源模块,通过事件抓取模块深入linux内核,对不同的工作负载下发配置,例如对主机命名空间、容器A命名空间以及容器B命名空间下发配置,获取不同工作负载在当前时间产生的运行事件,并将上述运行事件发送给白名单模块和事件管控模块,作为白名单模块和事件管控模块的输入。
可选的,资产模块主要指客户业务场景中用于处理对应的业务数据的工作负载,主要包括物理机,虚拟机等具有完整内核和操作系统的主机。以及通过各种手段启动的工作负载容器,包括kubernetes容器和主机容器,这些容器通过linux自有的命名空间技术进行隔离,互相之间不可见(主机可以监控到所有的容器,可以自由进入不同的命名空间)。
可选的,事件管控模块用于接收用户通过控制器下发的策略,和事件抓取模块提供的工作负载的运行事件进行精确匹配,按照用户的配置对工作负载的状态实现精确管控。
在步骤S104-S108中,系统通过每个工作负载对应的目标模型对运行事件进行处理,得到工作负载对应的目标处理结果,在目标处理结果为第一处理结果时,确定工作负载对应的运行事件与预设清单中记录的目标事件不匹配,即工作负载对应的运行事件不符合信息安全规则,禁止工作负载继续运行,例如,在工作负载为容器类的工作负载时,在容器对应的运行事件不符合信息安全规则时,则可禁止该容器启动。在目标处理结果为第二处理结果时,确定工作负载对应的运行事件与预设清单中记录的目标事件相匹配,即工作负载对应的运行事件符合信息安全规则,控制工作负载继续运行。
可选的,在目标处理结果为第一处理结果时,系统还可禁止工作负载上产生对应的运行事件的进程启动,并支持选配。例如,在工作负载为主机、虚拟机类的工作负载时,在主机或虚拟机对应的运行事件不符合信息安全规则时,则可禁止该主机或虚拟机上产生对应的运行事件的进程启动。
需要说明的是,通过基于目标模型对工作负载在运行过程中产生的运行事件进行处理,由于目标模型中存有通过机器学习得到的符合信息安全规则的运行事件的预设清单,能够自动对工作负载的运行状态进行控制,解决了由于现有技术中仅是通过用户自定义的策略对工作负载进行安全防护,导致无法实现对工作负载执行更精准的行为管控而使工作负载在运行过程中存在安全性低的问题,提高了工作负载在运行过程中的安全性。
进一步的,目标模型通过如下步骤得到:系统通过获取工作负载在预设时间段内产生的多个历史运行事件;基于多个历史运行事件训练得到与工作负载相对应的目标模型。
进一步的,系统通过识别多个历史运行事件中的每个历史运行事件是否符合信息安全规则;将多个历史运行事件中的第一历史运行事件确定为工作负载对应的正样本,其中,第一历史运行事件为符合信息安全规则的历史运行事件;将多个历史运行事件中的第二历史运行事件确定为工作负载对应的负样本;根据正样本和负样本训练得到工作负载相对应的目标模型。
可选的,系统通过基于工作负载在预设时间段内产生的多个历史运行事件进行训练,将多个历史运行事件及进行分类,将符合信息安全规则的历史运行事件为正样本,将不符合信息安全规则的历史运行事件为负样本,基于正样本和负样本训练得到工作负载相对应的目标模型,例如,通过多个历史运行事件精确记录该工作负载中的业务进程启动和停止的行为事件,读取、删除文件的行为事件,监听端口的行为事件,并将上述行为分类成符合信息安全规则的行为事件与不符合信息安全规则的行为事件,并将符合信息安全规则的行为添加至预设清单中。目标模型的定义如下:
可选的,在本实施例中,可针对每一个工作负载自动生成与该工作负载相对应的目标模型,能够对复杂的业务场景进行安全防护。
可选的,用户可以利用事件管控模块的策略来纠正目标模块学习到的异常行为,实现查漏补全。
需要说明的是,通过基于正样本和负样本训练得到工作负载相对应的目标模型,运行事件来源更加多样精确,进而提高了工作负载在运行过程中的安全性。
进一步的,在获取工作负载在当前时间产生的运行事件之后,系统通过检测当前时间是否处于预设时间段内;在当前时间处于预设时间段内时,确定目标模型未训练完成,并根据运行事件和历史运行事件训练得到与工作负载相对应的目标模型。
进一步的,在当前时间未处于预设时间段内时,确定目标模型已经训练完成,并基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果。
可选的,如图3所示,在系统的安全防护功能开启,并获取工作负载在当前时间产生的运行事件之后,通过检测当前时间是否处于预设时间段内,确定是否完成目标模型的训练,在当前时间处于预设时间段内时,确定目标模型未训练完成,根据运行事件和历史运行事件训练得到与工作负载相对应的目标模型。在当前时间未处于预设时间段内时,确定目标模型已经训练完成,可以通过目标模型对系统进行安全防护,基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果。例如,在模型的学习期内(即当前时间处于预设时间段内时),主机模型“host1”的“进程1”访问了“/etc/passwd”,同时监听了“345”端口,就会在主机模型“host1”的白名单(即预设清单)中记录为:
需要说明的是,通过检测当前时间是否处于预设时间段内,能够准确判断是否可以通过目标模型对对系统进行安全防护,提高了工作负载运行过程中的安全性。
另一种可选的实施例,在工作负载对应的目标处理结果为第一处理结果时,禁止工作负载继续运行之后,系统通过基于预设策略对异常运行事件进行核查,得到目标核查结果,其中,异常运行事件为未记录在预设清单中的运行事件,预设策略用于依据信息安全规则核查出导致异常运行事件出现异常的事件信息。
进一步的,在基于预设策略对异常运行事件进行核查,得到目标核查结果之后,在基于预设策略核查出导致异常运行事件出现异常的事件信息的情况下,将事件信息存储至预设数据库中,并根据事件信息以及信息安全规则生成第一提示信息,其中,第一提示信息中至少包括事件信息对应的修复策略;在基于预设策略未核查出导致异常运行事件出现异常的事件信息的情况下,生成第二提示信息,其中,第二提示信息用于提示目标对象对异常运行事件进行检查。
可选的,如图2所示,在禁止工作负载继续运行之后,系统通过事件溯源模块记录工作负载在运行过程中的异常行为,以供用户排查及溯源,进而进行危险预防、处理和管控。
可选的,系统基于预设策略对导致禁止工作负载继续运行的异常运行事件进行核查,在核查出导致异常运行事件出现异常的事件信息的情况下,将事件信息存储至预设数据库中,并根据事件信息以及信息安全规则生成包含修复策略的第一提示信息;在未核查出导致异常运行事件出现异常的事件信息的情况下,生成第二提示信息,提示相关人员通过人工的方式进行异常排查。
需要说明的是,通过基于预设策略对导致禁止工作负载继续运行的异常运行事件进行核查,能够对异常运行事件进行溯源和处理,进一步提高工作负载运行过程中的安全性。
由上述内容可知,通过本发明提供的工作负载的运行控制方法,利用命名空间处理主机和容器的运行时事件监控来管控不同类型的工作负载,只需要一种机制就可以覆盖更多的业务场景的管控。本发明提供的工作负载的运行控制方法,通过建立白名单机制来简化用户配置,减轻运维压力,在此基础上用户可以进一步细化、补充管控规则。工作负载的运行事件的来源更加多样精确,建立的白名单模型更加精确,能实现更精准的工作负载安全防护,从而实现了提高工作负载在运行过程中的安全性的技术效果,进而解决了现有技术中工作负载在运行过程中存在安全性的技术问题。并且,用户只需要了解一套系统的流程即可管控不同的工作负载,大大降低学习成本。
实施例2
基于本发明实施例1,还提供了一种工作负载的运行控制装置的实施例,该装置运行时执行上述实施例1的工作负载的运行控制方法。其中,图4是根据本发明实施例的一种可选的工作负载的运行控制装置的示意图,如图4示,该装置包括:获取模块401、处理模块403、禁止运行模块405以及控制模块407。
其中,获取模块401,用于获取工作负载在当前时间产生的运行事件,其中,运行事件包括以下至少之一:进程事件、文件事件、网络事件,工作负载用于处理对应的业务数据。
可选的,进程事件为工作负载在运行过程中进程的启动和停止的行为,文件事件为工作负载在运行过程中文件被进程访问、读写、删除的行为,网络事件为工作负载在运行过程中进程自身监听端口或者进程访问其他工作负载/第三方服务的行为。
可选的,在本实施例中,可以通过系统获取工作负载在当前时间产生的运行事件,其中,如图2所示,该系统包括资产模块、事件抓取模块、事件管控模块、白名单模块以及事件溯源模块,通过事件抓取模块深入linux内核,对不同的工作负载下发配置,例如对主机命名空间、容器A命名空间以及容器B命名空间下发配置,获取不同工作负载在当前时间产生的运行事件,并将上述运行事件发送给白名单模块和事件管控模块,作为白名单模块和事件管控模块的输入。
可选的,资产模块主要指客户业务场景中用于处理对应的业务数据的工作负载,主要包括物理机,虚拟机等具有完整内核和操作系统的主机。以及通过各种手段启动的工作负载容器,包括kubernetes容器和主机容器,这些容器通过linux自有的命名空间技术进行隔离,互相之间不可见(主机可以监控到所有的容器,可以自由进入不同的命名空间)。
可选的,事件管控模块用于接收用户通过控制器下发的策略,和事件抓取模块提供的工作负载的运行事件进行精确匹配,按照用户的配置对工作负载的状态实现精确管控。
处理模块403,用于基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果,其中,目标处理结果用于表征工作负载对应的运行事件是否与预设清单中记录的目标事件相匹配,目标事件为符合信息安全规则的运行事件。
禁止运行模块405,用于在工作负载对应的目标处理结果为第一处理结果时,禁止工作负载继续运行,其中,第一处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件不匹配。
控制模块407,用于在工作负载对应的目标处理结果为第二处理结果时,控制工作负载继续运行,其中,第二处理结果表征工作负载对应的运行事件与预设清单中记录的目标事件相匹配。
可选的,系统通过每个工作负载对应的目标模型对运行事件进行处理,得到工作负载对应的目标处理结果,在目标处理结果为第一处理结果时,确定工作负载对应的运行事件与预设清单中记录的目标事件不匹配,即工作负载对应的运行事件不符合信息安全规则,禁止工作负载继续运行,例如,在工作负载为容器类的工作负载时,在容器对应的运行事件不符合信息安全规则时,则可禁止该容器启动。在目标处理结果为第二处理结果时,确定工作负载对应的运行事件与预设清单中记录的目标事件相匹配,即工作负载对应的运行事件符合信息安全规则,控制工作负载继续运行。
可选的,在目标处理结果为第一处理结果时,系统还可禁止工作负载上产生对应的运行事件的进程启动,并支持选配。例如,在工作负载为主机、虚拟机类的工作负载时,在主机或虚拟机对应的运行事件不符合信息安全规则时,则可禁止该主机或虚拟机上产生对应的运行事件的进程启动。
需要说明的是,通过基于目标模型对工作负载在运行过程中产生的运行事件进行处理,由于目标模型中存有通过机器学习得到的符合信息安全规则的运行事件的预设清单,能够自动对工作负载的运行状态进行控制,解决了由于现有技术中仅是通过用户自定义的策略对工作负载进行安全防护,导致无法实现对工作负载执行更精准的行为管控而使工作负载在运行过程中存在安全性低的问题,提高了工作负载在运行过程中的安全性。
可选的,工作负载的运行控制装置还包括:第一获取模块以及模型训练模块;第一获取模块用于获取工作负载在预设时间段内产生的多个历史运行事件;模型训练模块用于基于多个历史运行事件训练得到与工作负载相对应的目标模型。
可选的,模型训练模块还包括:识别单元、第一确定单元、第二确定单元以及模型训练单元;识别单元用于识别多个历史运行事件中的每个历史运行事件是否符合信息安全规则;第一确定单元用于将多个历史运行事件中的第一历史运行事件确定为工作负载对应的正样本,其中,第一历史运行事件为符合信息安全规则的历史运行事件;第二确定单元用于将多个历史运行事件中的第二历史运行事件确定为工作负载对应的负样本;模型训练单元用于根据正样本和负样本训练得到工作负载相对应的目标模型。
可选的,系统通过基于工作负载在预设时间段内产生的多个历史运行事件进行训练,将多个历史运行事件及进行分类,将符合信息安全规则的历史运行事件为正样本,将不符合信息安全规则的历史运行事件为负样本,基于正样本和负样本训练得到工作负载相对应的目标模型,例如,通过多个历史运行事件精确记录该工作负载中的业务进程启动和停止的行为事件,读取、删除文件的行为事件,监听端口的行为事件,并将上述行为分类成符合信息安全规则的行为事件与不符合信息安全规则的行为事件,并将符合信息安全规则的行为添加至预设清单中。目标模型的定义如下:
可选的,在本实施例中,可针对每一个工作负载自动生成与该工作负载相对应的目标模型,能够对复杂的业务场景进行安全防护。
可选的,用户可以利用事件管控模块的策略来纠正目标模块学习到的异常行为,实现查漏补全。
需要说明的是,通过基于正样本和负样本训练得到工作负载相对应的目标模型,运行事件来源更加多样精确,进而提高了工作负载在运行过程中的安全性。
可选的,工作负载的运行控制装置还包括:检测模块、第一确定模块以及第二确定模块;检测模块用于在获取工作负载在当前时间产生的运行事件之后,检测当前时间是否处于预设时间段内;第一确定模块用于在当前时间处于预设时间段内时,确定目标模型未训练完成,并根据运行事件和历史运行事件训练得到与工作负载相对应的目标模型。第二确定模块用于在当前时间未处于预设时间段内时,确定目标模型已经训练完成,并基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果。
可选的,如图3所示,在系统的安全防护功能开启,并获取工作负载在当前时间产生的运行事件之后,通过检测当前时间是否处于预设时间段内,确定是否完成目标模型的训练,在当前时间处于预设时间段内时,确定目标模型未训练完成,根据运行事件和历史运行事件训练得到与工作负载相对应的目标模型。在当前时间未处于预设时间段内时,确定目标模型已经训练完成,可以通过目标模型对系统进行安全防护,基于工作负载对应的目标模型对工作负载所对应的运行事件进行处理,得到工作负载对应的目标处理结果。例如,在模型的学习期内(即当前时间处于预设时间段内时),主机模型“host1”的“进程1”访问了“/etc/passwd”,同时监听了“345”端口,就会在主机模型“host1”的白名单(即预设清单)中记录为:
需要说明的是,通过检测当前时间是否处于预设时间段内,能够准确判断是否可以通过目标模型对对系统进行安全防护,提高了工作负载运行过程中的安全性。
可选的,工作负载的运行控制装置还包括:核查模块,用于在工作负载对应的目标处理结果为第一处理结果时,禁止工作负载继续运行之后,基于预设策略对异常运行事件进行核查,得到目标核查结果,其中,异常运行事件为未记录在预设清单中的运行事件,预设策略用于依据信息安全规则核查出导致异常运行事件出现异常的事件信息。
进一步的,核查模块还包括:第一处理模块以及第二处理模块;第一处理模块用于在基于预设策略对异常运行事件进行核查,得到目标核查结果之后,在基于预设策略核查出导致异常运行事件出现异常的事件信息的情况下,将事件信息存储至预设数据库中,并根据事件信息以及信息安全规则生成第一提示信息,其中,第一提示信息中至少包括事件信息对应的修复策略;第二处理模块用于在基于预设策略未核查出导致异常运行事件出现异常的事件信息的情况下,生成第二提示信息,其中,第二提示信息用于提示目标对象对异常运行事件进行检查。
可选的,如图2所示,在禁止工作负载继续运行之后,系统通过事件溯源模块记录工作负载在运行过程中的异常行为,以供用户排查及溯源,进而进行危险预防、处理和管控。
可选的,系统基于预设策略对导致禁止工作负载继续运行的异常运行事件进行核查,在核查出导致异常运行事件出现异常的事件信息的情况下,将事件信息存储至预设数据库中,并根据事件信息以及信息安全规则生成包含修复策略的第一提示信息;在未核查出导致异常运行事件出现异常的事件信息的情况下,生成第二提示信息,提示相关人员通过人工的方式进行异常排查。
需要说明的是,通过基于预设策略对导致禁止工作负载继续运行的异常运行事件进行核查,能够对异常运行事件进行溯源和处理,进一步提高工作负载运行过程中的安全性。
实施例3
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述的工作负载的运行控制方法。
实施例4
根据本发明实施例的另一方面,还提供了一种电子设备,其中,图5是根据本发明实施例的一种可选的电子设备的示意图,如图5所示,电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现用于运行程序,其中,程序被设置为运行时执行上述的工作负载的运行控制方法。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种工作负载的运行控制方法,其特征在于,包括:
获取工作负载在当前时间产生的运行事件,其中,所述运行事件包括以下至少之一:进程事件、文件事件、网络事件,所述工作负载用于处理对应的业务数据;
基于所述工作负载对应的目标模型对所述工作负载所对应的运行事件进行处理,得到所述工作负载对应的目标处理结果,其中,所述目标处理结果用于表征所述工作负载对应的运行事件是否与预设清单中记录的目标事件相匹配,所述目标事件为符合信息安全规则的运行事件;
在所述工作负载对应的目标处理结果为第一处理结果时,禁止所述工作负载继续运行,其中,所述第一处理结果表征所述工作负载对应的运行事件与所述预设清单中记录的目标事件不匹配;
在所述工作负载对应的目标处理结果为第二处理结果时,控制所述工作负载继续运行,其中,所述第二处理结果表征所述工作负载对应的运行事件与所述预设清单中记录的目标事件相匹配。
2.根据权利要求1所述的方法,其特征在于,所述目标模型通过如下步骤得到:
获取所述工作负载在预设时间段内产生的多个历史运行事件;
基于所述多个历史运行事件训练得到与所述工作负载相对应的目标模型。
3.根据权利要求2所述的方法,其特征在于,基于所述多个历史运行事件训练得到与所述工作负载相对应的目标模型,包括:
识别所述多个历史运行事件中的每个历史运行事件是否符合所述信息安全规则;
将所述多个历史运行事件中的第一历史运行事件确定为所述工作负载对应的正样本,其中,第一历史运行事件为符合所述信息安全规则的历史运行事件;
将所述多个历史运行事件中的第二历史运行事件确定为所述工作负载对应的负样本;
根据所述正样本和所述负样本训练得到所述工作负载相对应的目标模型。
4.根据权利要求2所述的方法,其特征在于,在获取工作负载在当前时间产生的运行事件之后,所述方法还包括:
检测所述当前时间是否处于所述预设时间段内;
在所述当前时间处于所述预设时间段内时,确定所述目标模型未训练完成,并根据所述运行事件和所述历史运行事件训练得到与所述工作负载相对应的目标模型。
5.根据权利要求4所述的方法,其特征在于,基于所述工作负载对应的目标模型对所述工作负载所对应的运行事件进行处理,得到所述工作负载对应的目标处理结果,包括:
在所述当前时间未处于所述预设时间段内时,确定所述目标模型已经训练完成,并基于所述工作负载对应的目标模型对所述工作负载所对应的运行事件进行处理,得到所述工作负载对应的目标处理结果。
6.根据权利要求1所述的方法,其特征在于,在所述工作负载对应的目标处理结果为第一处理结果时,禁止所述工作负载继续运行之后,所述方法还包括:
基于预设策略对异常运行事件进行核查,得到目标核查结果,其中,所述异常运行事件为未记录在所述预设清单中的运行事件,所述预设策略用于依据所述信息安全规则核查出导致所述异常运行事件出现异常的事件信息。
7.根据权利要求6所述的方法,其特征在于,在基于预设策略对异常运行事件进行核查,得到目标核查结果之后,所述方法还包括:
在基于所述预设策略核查出导致所述异常运行事件出现异常的事件信息的情况下,将所述事件信息存储至预设数据库中,并根据所述事件信息以及所述信息安全规则生成第一提示信息,其中,所述第一提示信息中至少包括所述事件信息对应的修复策略;
在基于所述预设策略未核查出导致所述异常运行事件出现异常的事件信息的情况下,生成第二提示信息,其中,所述第二提示信息用于提示目标对象对所述异常运行事件进行检查。
8.一种工作负载的运行控制装置,其特征在于,包括:
获取模块,用于获取工作负载在当前时间产生的运行事件,其中,所述运行事件包括以下至少之一:进程事件、文件事件、网络事件,所述工作负载用于处理对应的业务数据;
处理模块,用于基于所述工作负载对应的目标模型对所述工作负载所对应的运行事件进行处理,得到所述工作负载对应的目标处理结果,其中,所述目标处理结果用于表征所述工作负载对应的运行事件是否与预设清单中记录的目标事件相匹配,所述目标事件为符合信息安全规则的运行事件;
禁止运行模块,用于在所述工作负载对应的目标处理结果为第一处理结果时,禁止所述工作负载继续运行,其中,所述第一处理结果表征所述工作负载对应的运行事件与所述预设清单中记录的目标事件不匹配;
控制模块,用于在所述工作负载对应的目标处理结果为第二处理结果时,控制所述工作负载继续运行,其中,所述第二处理结果表征所述工作负载对应的运行事件与所述预设清单中记录的目标事件相匹配。
9.一种计算机可读存储介质,其特征在于,计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至7任一项中所述的工作负载的运行控制方法。
10.一种电子设备,其特征在于,所述电子设备包括一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现用于运行程序,其中,所述程序被设置为运行时执行权利要求1至7任一项中所述的工作负载的运行控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211733065.8A CN115981818A (zh) | 2022-12-30 | 2022-12-30 | 工作负载的运行控制方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211733065.8A CN115981818A (zh) | 2022-12-30 | 2022-12-30 | 工作负载的运行控制方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115981818A true CN115981818A (zh) | 2023-04-18 |
Family
ID=85973861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211733065.8A Pending CN115981818A (zh) | 2022-12-30 | 2022-12-30 | 工作负载的运行控制方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115981818A (zh) |
-
2022
- 2022-12-30 CN CN202211733065.8A patent/CN115981818A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109871691A (zh) | 基于权限的进程管理方法、系统、设备及可读存储介质 | |
| CN101359355B (zh) | Windows系统下受限帐户提升用户权限的方法 | |
| CN108683652A (zh) | 一种基于行为权限的处理网络攻击行为的方法及装置 | |
| US20120116984A1 (en) | Automated evaluation of compliance data from heterogeneous it systems | |
| CN111818066B (zh) | 一种风险检测方法及装置 | |
| CN111415163A (zh) | 基于区块链的业务处理、验证方法、系统及验证节点 | |
| CN110414246B (zh) | 共享文件安全管理方法、装置、终端及存储介质 | |
| CN106951796A (zh) | 一种数据隐私保护的脱敏方法及其装置 | |
| CN112101311A (zh) | 基于人工智能的双录质检方法、装置、计算机设备及介质 | |
| US20220121776A1 (en) | System and method of automated determination of use of sensitive information and corrective action for improper use | |
| CN107302586A (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| CN112799722A (zh) | 命令识别方法、装置、设备和存储介质 | |
| CN106203177A (zh) | 一种带有安全防护的财务管理系统 | |
| CN111488603A (zh) | 一种识别打印文件的敏感内容的方法及装置 | |
| CN114547696A (zh) | 文件脱敏方法、装置、电子设备及存储介质 | |
| CN115981818A (zh) | 工作负载的运行控制方法、装置及存储介质 | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN115600201A (zh) | 一种电网系统软件的用户账户信息安全处理方法 | |
| KR20200128250A (ko) | 블록체인 기반의 계약 플랫폼 서비스 제공 시스템 및 방법 | |
| CN115048299A (zh) | 应用程序的测试方法及装置、存储介质、电子设备 | |
| CN110659501A (zh) | 漏洞处理跟踪方法、装置、计算机系统及可读存储介质 | |
| CN115130096B (zh) | 通过实时审查防范恶意操作、误操作和违规操作的方法 | |
| CN110413669A (zh) | 一种基于etl的数据处理方法、装置、终端设备及存储介质 | |
| CN105809074B (zh) | 一种usb数据传输控制方法、装置、控制组件及系统 | |
| CN113792326B (zh) | 一种文件内容限制复制的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |