CN117193994A - 用于合规检测的方法、装置、电子设备以及介质 - Google Patents
用于合规检测的方法、装置、电子设备以及介质 Download PDFInfo
- Publication number
- CN117193994A CN117193994A CN202210587124.9A CN202210587124A CN117193994A CN 117193994 A CN117193994 A CN 117193994A CN 202210587124 A CN202210587124 A CN 202210587124A CN 117193994 A CN117193994 A CN 117193994A
- Authority
- CN
- China
- Prior art keywords
- compliance
- cloud
- behavior
- resource
- detector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000001514 detection method Methods 0.000 title claims abstract description 59
- 238000004458 analytical method Methods 0.000 claims abstract description 75
- 230000006399 behavior Effects 0.000 claims description 138
- 230000004044 response Effects 0.000 claims description 24
- 238000003860 storage Methods 0.000 claims description 22
- 238000012549 training Methods 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 16
- 230000003993 interaction Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 11
- 238000010801 machine learning Methods 0.000 claims description 11
- 230000001788 irregular Effects 0.000 claims description 9
- 230000009471 action Effects 0.000 claims description 6
- 238000012790 confirmation Methods 0.000 claims description 5
- 238000007726 management method Methods 0.000 abstract description 58
- 230000008878 coupling Effects 0.000 abstract description 4
- 238000010168 coupling process Methods 0.000 abstract description 4
- 238000005859 coupling reaction Methods 0.000 abstract description 4
- 238000012550 audit Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 23
- 239000000523 sample Substances 0.000 description 13
- 230000006870 function Effects 0.000 description 7
- 230000001960 triggered effect Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000012937 correction Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 239000002184 metal Substances 0.000 description 4
- 229910052751 metal Inorganic materials 0.000 description 4
- 238000013519 translation Methods 0.000 description 4
- 238000003066 decision tree Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000003062 neural network model Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000007637 random forest analysis Methods 0.000 description 3
- 238000012706 support-vector machine Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000011282 treatment Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本申请的实施例提供了用于合规检测的方法、装置、电子设备以及介质。方法包括:基于针对云资源池中的云资源的不合规行为,生成至少一个合规分析模型;基于至少一个合规分析模型,生成针对云服务的合规检测器;以及将合规检测器耦合至云服务,用于检测针对云服务的不合规行为。根据本申请的实施例,使用合规检测器直接在云服务处进行动态合规检测,而不需要将云服务或云资源的更新上报到资源管理服务进行合规审核,因此,提高了合规检测的效率和安全性,降低了系统资源的占用率。
Description
技术领域
本申请的实施例涉及计算机技术领域,更具体地,涉及云计算技术。本申请的实施例提供了用于合规检测的方法、装置、电子设备、计算机可读存储介质和计算机程序产品。
背景技术
近年来,应用服务提供商越来越多地通过租用云计算提供商的云资源将他们的服务部署在云端,从而实现云服务。随着云计算技术的发展和国家等保标准的分布,云上信息资源也被纳入了等保合规检测范围中。资源合规特性帮助用户创建一组规则,用于评估用户的资源是否满足合规要求。合规检测是保证云资源安全的一种重要手段。
发明内容
本申请的实施例提供了一种用于合规检测的技术方案。
根据本申请的第一方面,提供了一种用于合规检测的方法。方法包括:基于针对云资源池中的云资源的不合规行为,生成至少一个合规分析模型;基于至少一个合规分析模型,生成针对云服务的合规检测器;以及将合规检测器耦合至云服务,用于检测针对云服务的不合规行为。
这里,云服务可以是包括基于云的应用系统,应用系统被实现为在虚拟机或容器中运行的一个或多个实例。云资源包括支持云服务运行的各种类型的计算资源,例如,弹性云服务器(ECS)、裸金属服务器、云硬盘(磁盘)、虚拟私有云、网络地址转换(NAT)网关、镜像服务、弹性负载均衡(ELB)、弹性伸缩等。云资源具有属性,可以根据属性判断云资源是否符合合规规则的要求。例如,如果ECS资源的规格不在指定的范围内,可以视为“不合规行为”,或者如果已挂载云硬盘资源没有加密,可以视为“不合规行为”,或者如果ECS资源具有公网IP,可以视为“不合规行为”。
在第一方面的方法中,使用合规检测器直接在云服务处进行动态合规检测,而不需要将云服务或云服务的云资源的更新上报到资源管理服务进行合规审核,因此,提高了合规检测的效率和安全性,降低了系统资源的占用率。
在第一方面的一些实施例中,方法可以包括采集针对云资源的不合规行为。不合规行为可以通过扫描云资源池中的云资源而被确定,例如,触发合规扫描引擎扫描云资源池。不合规行为指示云资源的标识、云资源的属性、以及与不合规行为对应的规则。基于这种方式,可以获取不合规行为的样本,以便用于生成合规分析模型。
在第一方面的一些实施例中,云资源可以与一个或多个规则相关联,并且采集云资源的不合规行为可以包括:使合规扫描引擎检查云资源的属性是否符合一个或多个规则;以及如果云资源的属性不符合一个或多个规则中的规则,采集不合规行为。基于这种方式,当云资源不满足绑定的规则时,可以确定云资源存在不合规的行为。
在第一方面的一些实施例中,生成至少一个合规分析模型可以包括:基于不合规行为,构建训练数据集;以及利用训练数据集训练机器学习模型以生成至少一个合规分析模型。机器学习模型可以包括例如决策树、随机森林、支持向量机、神经网络模型等。基于这种方式,可以根据采集的不合规行为样本生成合规分析模型。
在第一方面的一些实施例中,生成合规检测器可以包括:响应于用户交互,从至少一个合规分析模型中选择合规分析模型;以及将所选择的合规分析模型添加到合规检测器中。基于这种方式,用户可以定制与自己的云服务匹配的合规检测器,满足个性化需求。
在第一方面的一些实施例中,方法还可以包括:响应于从合规检测器接收到针对云服务的不合规行为,生成通知。基于这种方式,当动态地检测到不合规行为时,能够及时将不合规行为及时向用户上报。
在第一方面的一些实施例中,通知指示云服务中存在不合规的云资源,该方法还可以包括:发起针对存在不合规的云资源的扫描,以确认合规结果。基于这种方式,可以利用合规扫描引擎来确认检测结果是否真实。
根据本申请的第二方面,还提供了一种用于合规检测的方法,包括:在云服务处提供至少一个合规检测器,每个合规检测器包括合规分析模型;响应于接收到针对云服务的行为,利用合规分析模型确定行为是否为不合规行为;以及如果行为被确定为不合规行为,向资源管理服务上报不合规行为以确认合规结果。基于这种方式,能够在云服务端检测不合规行为,而不需要将云服务的行为上报到资源管理服务进行检测,这提升了检测效率和安全性,降低了系统资源的占用率。
在第二方面的一些实施例中,不合规行为指示云资源的标识、云资源的属性、以及与不合规行为对应的规则。基于这种方式,资源管理服务可以对不合规行为进行确认,确认其是否真实。
在第二方面的一些实施例中,该方法还可以包括:响应于用户交互,从资源管理服务接收至少一个合规检测器。基于这种方式,用户可以定制与自己的云服务匹配的合规检测器,满足个性化需求。
在第二方面的一些实施例中,该方法还可以包括:基于资源管理服务确认不合规行为的确认结果,生成修正不合规行为的通知。基于这种方式,可以帮助用户修改云服务中的不合规行为。
根据本申请的第三方面,提供了一种用于合规检测的系统,包括:合规分析单元,被配置用于基于针对云资源池中的云资源的不合规行为,生成至少一个合规分析模型;管控单元,被配置为基于至少一个合规分析模型,生成云服务的合规检测器,并且将合规检测器耦合至云服务,用于检测针对云服务的不合规行为。
根据本申请的第四方面,提供了一种用于合规检测的装置,包括:提供单元,被配置为在云服务处提供至少一个合规检测器,每个合规检测器包括合规分析模型;确定单元,被配置为响应于接收到针对云服务的行为,利用合规分析模型确定行为是否为不合规行为;以及上报单元,被配置为如果行为被确定为不合规行为,向资源管理服务上报不合规行为以确认合规结果。
根据本申请的第五方面,提供了一种电子设备,包括:处理单元和存储器,处理单元执行存储器中的指令,使得电子设备执行根据本申请的第一方面或第二方面所述的方法。
根据本申请的第六方面,提供了一种计算机可读存储介质,其上存储有一条或多条计算机指令,其中一条或多条计算机指令被处理器执行使处理器执行根据本申请的第一方面或第二方面所述的方法。
根据本申请的第七方面,提供了一种计算机程序产品,包括机器可执行指令,机器可执行指令在由设备执行时使设备执行根据本申请的第一方面或第二方面所述的方法。
附图说明
结合附图并参考以下详细说明,本申请各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标注表示相同或相似的元素,其中:
图1示出了本申请的多个实施例能够在其中实现的示例环境的示意图;
图2示出了根据本申请的一些实施例的资源管理系统的示意性框图;
图3示出了根据本申请的一些实施例的合规检测过程的示意性交互图;
图4示出了根据本申请的一些实施例的用于合规检测的示意性用户界面;
图5示出了根据本申请的一些实施例的用于合规检测的过程的示意性流程图;
图6示出了根据本申请的一些实施例的用于合规检测的另一过程的示意性流程图;
图7示出了根据本申请的一些实施例的用于合规检测的装置的示意性框图;
图8示出了根据本申请的一些实施例的用于合规检测的另一装置的示意性框图;
图9示出了可以用来实施本申请的实施例的示例设备的示意性框图。
具体实施方式
下面将参照附图更详细地描述本申请的实施例。虽然附图中显示了本申请的某些实施例,然而应当理解的是,本申请可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本申请。应当理解的是,本申请的附图及实施例仅用于示例性作用,并非用于限制本申请的保护范围。
在本申请的实施例的描述中,术语“包括”及其类似用语应当理解为开放性包含,即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。应理解,本申请中的所有数值均为示例性的,绝不用于限制本申请的范围。
在本文中,云服务指代包括基于云的应用系统。应用系统被实现为在虚拟机或容器中运行的一个或多个实例。实例的运行依赖于分配给云服务的计算资源,也称为云资源。云资源包括各自类型的计算资源,例如,弹性云服务器(ECS)、裸金属服务器、云硬盘(磁盘)、虚拟私有云、网络地址转换(NAT)网关、镜像服务、弹性负载均衡(ELB)、弹性伸缩等。需要对云服务或者分配给云服务云资源进行合规性检测以保障云服务的安全性。
当前各云计算提供商都提供了针对云资源合规检测的能力。例如,一些云计算提供商将资源管理服务接入到云服务,资源管理服务将云资源存储在云资源池中。资源管理服务中的合规扫描引擎利用制定的合规规则对存储的云资源进行合规扫描,检测云服务或云服务的云资源是否合规。
然而,这些检测大多是被动式触发的,只有在云资源发生了不合规事件后触发合规扫描,或者通过设置定时策略来周期性地对云资源进行扫描,然后进行人工修正。这种方式属于事后检测,事后修正,无法动态的感知当前云资源合规状态的变化,只能在云资源已经发生变更后进行被动的扫描检测,安全性低。另一方面,云资源只要有更新就会生成事件,通知合规扫描引擎进行扫描,这是一种无差别的扫描方式,不会去关注该次更新行为是否为触发合规规则的必要条件,效率低下,容易过多占用系统资源。
有鉴于此,本申请提供了一种有效的合规检测的技术方案。根据本申请的一些实施例,用于合规检测的方法包括基于针对云资源池中的云资源的不合规行为,生成至少一个合规分析模型。来自云资源池的不合规行为被视为样本数据,利用样本数据被用于构建相比于合规扫描引擎更为轻量级的合规分析模型。该方法还包括基于至少一个合规分析模型,生成针对云服务的合规检测器,以及将合规检测器耦合至云服务,用于检测针对云服务的不合规行为。
在本文中,合规检测器有时也被称为合规探针或合规代理,它们可互换使用。合规检测器包括所生成的合规分析模型中一部分或全部,这可以由用户来定制。利用部署在云服务处的合规检测器,不需要上报更新事件就能够实现合规检测,因此,能够及时地分析云服务的资源更新,动态感知资源合规状态的变化,做到提前预警,并且能够有效通知资源管理服务,避免系统资源浪费。
以下参考图1至图9详细描述本申请的实施例。
图1示出了本申请的多个实施例能够在其中实现的示例环境100的示意图。在环境100中,资源管理服务120与多个云服务110、113、115彼此通信连接。云服务110、113、115可以是基于云的应用系统,分别具有云资源112、114、116。云资源112、114、116包括支持云服务运行的各种类型的计算资源。作为示例,云资源可以包括弹性云服务器(ECS)、裸金属服务器、云硬盘(磁盘)、虚拟私有云、网络地址转换(NAT)网关、镜像服务、弹性负载均衡(ELB)、弹性伸缩等。
云资源具有属性,包括基本信息,例如标识、名称、区域、创建时间等。属性还可以包括依赖于云资源的类型的配置信息,例如共享盘、磁盘模式、备份策略等。在一些实施例中,云资源的属性还可以包括云资源之间的关联关系,例如,云硬盘所绑定的弹性云服务器信息。图1示例性地示出了云服务110、113、115,应理解,环境100还可以包括更多或更少的云服务,并且云服务可以具有任意数目的云资源,本申请对此不做限制。
资源管理服务120用于管理云服务110、113、115。资源管理服务120提供的服务包括但不限于:查看资源详情、查看资源关系、查看资源历史、发送消息通知、资源变更消息存储、资源合规检测等。
在一些实施例中,云资源的属性可以被用于检测云资源是否合规。在资源合规检测中,资源管理服务120可以根据与云资源相关联的规则来检查云资源的属性,以确定云资源的不合规行为。不合规行为的示例可以包括例如ECS资源的规格不在指定的范围内,已挂载云硬盘资源没有加密,ECS资源具有公网IP等等。
应理解,资源管理服务120本身也可以被视为云服务,具有相应的云资源。因此,资源管理120可以针对自身进行合规性检测。
以上结合图1描述了可以实施本申请的实施例的示例性环境。应理解,环境100仅是示例性的,本申请的实施例还可以在不同的环境中被实施。例如,针对云服务或云资源的合规检测可以由不同于资源管理服务120的其他实体来完成。
图2示出了根据本申请的一些实施例的资源管理系统200的示意性框图。图2中以云服务110为例来描述资源管理系统200,但是应理解,云资源管理系统200可以包括更多的云服务。
如图2所示,云服务110具有一个或多个云资源112。资源管理服务120接入云服务110以实施根据本申请的实施例的合规检测。一旦接入云服务110,在云服务110中已创建的云资源112就可以被上报到资源管理服务120,存储在云资源池130中。云资源池130中的云资源条目135可以包括云资源的标识以及云资源的各种属性。如上所述,属性可以包括基本信息,例如标识、名称、区域、创建时间等。属性还可以包括依赖于云资源的类型的配置信息,例如共享盘、磁盘模式、备份策略、云资源之间的关联关系,等等。
资源管理服务120包括规则库140。规则库140存储有用于合规检测的规则或规则集。取决于云资源的类型,云资源112可以被关联或绑定到一个或多个规则。示例性的规则可以包括ECS资源的规格应当在指定的范围内、ECS资源不应具有公网IP地址、已挂载的云硬盘应当加密等。
资源管理服务120包括合规扫描引擎150。合规扫描引擎150可以扫描资源池130中的云资源条目135,以检测相应的云资源112是否满足相关联的规则的约束。当在云服务110实施云资源的创建、更新、删除等操作时,这些操作可以被通知到资源管理服务120以便更新云资源池130中的云资源。在一些实施例中,云资源池130中的云资源条目135被更新时,通知合规扫描引擎150来扫描相应的云资源,检查更新是否合规。备选地,合规扫描引擎150还可以被设置为定期扫描云资源池130,检查云服务器110或云资源112是否合规。另外,合规扫描引擎150还可以响应于来自用户接口180的用户交互进行人工触发扫描。
在扫描完成后,合规扫描引擎150将扫描结果通知给云服务110或者经由用户接口180通知给用户。如果检测到云资源的不合规行为,可以进行修正。
在一些实施例中,合规扫描引擎150检测到的不合规行为可以被发送到资源管理服务120中的检测中枢160。检测中枢160可以基于扫描到的不合规行为生成合规检测器(也称为“合规探针”)190,并将其下发给云服务110,用于动态检测云服务110和其云资源112是否合规。
检测中枢160包括行为采集单元162、合规分析单元164、管控单元166。行为采集单元162可以接入到合规扫描引擎150,以采集触发资源合规检测的不合规行为。在一些实施例中,云资源的属性、状态等更新会可能会导致具体的合规规则生效从而使云资源不合规。合规分析中心164根据获取到的不合规行为作为数据样本,不合规行为将云资源和合规规则相关联,进行分析建模,形成针对云资源的合规分析模型。
管控单元166可以将合规分析模型添加到相应的合规检测器190,将合规检测器190发下发并耦合至云服务110。管控单元166可以管理接入云服务110中的合规检测器190,同时提供与合规扫描引擎150的交互管理。
被下发的合规检测器190耦合至云服务110。响应于接收到云服务110的云资源更新信息,合规检测器190可以调用其合规分析模型进行分析预测,预测本次更新是否会触发规则。如果预测结果是可能触发,即云资源更新不合规,则合规检测器190可以将云资源更新和预测结果上报至管控中心164。管控中心可以通知用户,并且触发合规扫描引擎150对上报的不合规更新进行扫描,确认预测结果是否正确。在一些实施例中,还可以由用户选择是否针对该云资源进行合规扫描。
资源管理服务120还包括用户接口180。经由用户接口180,用户(例如,云服务110的租户)可以与资源管理服务120交互以查看和管理云服务110。例如,用户可以查看云服务110的资源列表、单个云资源的资源详情、查看云资源之间的关联关系、查看云资源的变更历史。用户还可以在规则库130中添加、编辑或删除云资源的一个或多个规则,触发合规扫描引擎150扫描云资源。在一些实施例中,用户还可以经由用户接口180来定制合规检测器190,例如,用户可以选择一个或多个合规分析模型并将所选择的合规分析模型添加到合规检测器190中。对合规分析模型的选择可以基于云服务110的云资源112的类型、数量、重要性、成本等因素。
以上结合图2描述了根据本申请的一些实施例的资源管理系统。应理解,资源管理系统可以以不同于图2的方式来实现。例如,资源管理系统可以具有更多或更少的组件,并且图2中示出的组件或模块也不是必需的。另外,图2仅逻辑上示出了资源管理系统的组件或模块,然而同一方框中的组件或模块不一定被实现在相同的物理设备上,其可以是分布式实现的。
图3示出了根据本申请的一些实施例的合规检测过程300的示意性交互图。为了方便理解,将结合图2来描述图3所示的过程300。
如图所示,在动作310,云服务110向云资源池130上传其拥有的云资源112。由此,云资源池130存储相应的云资源条目135。云资源条目135具有云资源112的属性或者状态等。
在动作302,用户可以经由用户接口180自定义规则或规则集。例如,用户可以在规则库140中添加、编辑或删除规则。规则可以与云资源的类型相关联。例如,云资源的属性依赖于云资源的类型,因而可以基于云资源的属性制定规则。当云资源的属性不符合规则时,云资源被视为不合规,或者说云资源存在不合规行为。
在动作303,将规则库140中的规则绑定到云资源池130的云资源,由此云资源具有相关联的规则或规则集。
响应于云资源112更新,云资源池130中的相应云资源条目135也被更新。在动作304,云资源池向合规扫描引擎150上报云资源变更通知事件。然后,在动作305,合规扫描引擎150被触发对相应的云资源进行扫描,以确定云资源是否存在不合规行为。在一些实施例中,合规扫描引擎150还可以被设置为定期扫描云资源池130中发生了更新的云资源。备选地,还可以由用户人工触发合规扫描引擎150扫描云资源池130。合规扫描引擎150可以是针对云资源池130中部分云资源进行合规扫描,也可以进行全局扫描。
在一些实施例中,合规扫描引擎150检查云资源的属性或状态是否符合与云资源相关联的规则或规则集。如果不符合,则确定云资源存在不合规行为。
在动作306,合规扫描引擎150的的扫描结果可以被上报至云服务110或者通知到用户,供用户查看。如果云资源112存在不合规行为,用户可以根据扫描结果来修正云资源112,并更新云资源到资源池130。合规扫描引擎可以重新扫描。
在动作307,扫描到的不合规行为可以被发送给行为采集单元162。不合规行为指示存在不合规的云资源的标识、云资源的属性以及与不合规行为对应的规则。来自合规扫描引擎140的不合规行为可以被视为样本数据。这些样本数据可以用于生成合规分析模型进而得到合规检测器190。
在动作308,行为采集单元162将采集到的不合规行为上报到合规分析单元164。合规分析单元164可以基于接收到的不合规行为来生成合规分析模型。在一些实施例中,合规分析模型是从机器学习模型训练得到的。示例性的机器学习模型可以包括决策树、随机森林、支持向量机、神经网络模型等。
在一些实施例,合规分析单元164可以基于接收到的不合规行为来构建训练数据集。为此,合规分析模型164可以将采集到的不合规行为进行预处理,例如,可以按照云资源的类型进行分类,生成针对各种云资源类型的训练数据集。然后合规分析单元164可以使用训练数据集来训练机器学习模型,从而得到合规分析模型。也就是说,经过训练的机器学习模型从样本数据的不合规行为中学习到如何预测或确定云资源是否存在不合规行为。
在动作309,管控单元166可以对所生成的合规分析模型进行管理。在一些实施例中,管控单元166可以将合规分析模型添加到相应的合规检测器190中,使得合规检测器190能够检测与模型所针对的云资源是否存在不合规行为。
在动作310,云服务110的用户(或称为“租户”)可以向管控单元166发出创建或修改合规检测器190的消息。在一些实施例中,响应于用户交互,管控单元166可以从合规分析单元164生成的合规分析模型中选择合规分析模型,并添加到合规检测器190中。这可以被被称为“策略选择”。
在动作311,管控单元166下发或者更新合规检测器190,使得合规检测器190耦合至云服务110。由此,合规检测器190可以检测云服务110是否存在不合规行为。
在一些实施例中,用户还可以经由管控中心166来管理合规检测器190。图4示出了根据本申请的一些实施例的用于合规检测器配置的示意性用户界面,其中,合规检测器被图示为“探针”,在本文中二者的含义是相同的。
如图4所示,探针可以设置为针对特定的云服务和云资源进行合规检测。用户可以通过点击界面上的“启用”按钮来启用探针,点击“下发策略”来定制该探针,点击“配置”来对探针自身属性进行修改,例如扩容。
继续参考图3,一旦合规检测器190被耦合至云服务110,就可以检测云服务或云服务的云资源是否存在不合规行为。
在动作312,云服务或云资源的更新行为被通知到合规检测器190。合规检测器190感知后,调用合规分析模型检测本次更新行为是否为不合规行为,例如,检测是否会触发合规规则。如果检测结果为可能触发,例如触发某个规则的概率大于阈值,则在动作313,合规检测器190可以将检测到的不合规行为通知云服务110,以便云服务110进行修正。
在动作314,合规检测器190还可以将检测到的不合规行为通知到管控中心166,由管控中心166通知用户。管控中心166可以自动触发合规扫描引擎150发起针对存在不合规的云资源的扫描,以确认合规结果。备选地,可以由用户选择是否针对该云资源进行合规扫描。根据图3所示的示例性过程,可以在云服务端安装合规检测器进行动态合规检测,而不需要上报到到资源管理服务段,这提升了合规检测效率和安全性,降低了系统资源的占用率。
图5示出了根据本申请的一些实施例的用于合规检测的过程500的示意性流程图。图5所示的过程可以在例如图1和图2所示的资源管理服务120处执行,也可以在云计算环境中的其他实体处执行,本申请对此不做限制。
在框510,基于针对云资源池中的云资源的不合规行为,生成至少一个合规分析模型。这里,云服务可以是基于云的应用系统。应用系统被实现为在虚拟机或容器中运行的一个或多个实例。云资源包括支持云服务运行的各种类型的计算资源,例如,弹性云服务器(ECS)、裸金属服务器、云硬盘(磁盘)、虚拟私有云、网络地址转换(NAT)网关、镜像服务、弹性负载均衡(ELB)、弹性伸缩等。云资源可以具有属性,可以根据属性判断云资源是否符合合规规则的要求。例如,如果ECS资源的规格不在指定的范围内,可以视为“不合规行为”,或者如果已挂载云硬盘资源没有加密,可以视为“不合规行为”,或者如果ECS资源具有公网IP,可以视为“不合规行为”。
在一些实施例中,过程500可以包括采集针对云资源的不合规行为。不合规行为可以通过扫描云资源池中的云资源而被确定,并且指示云资源的标识、云资源的属性、以及与不合规行为对应的规则。
在一些实施例中,云资源可以与一个或多个规则相关联或绑定,并且采集云资源的不合规行为可以包括:使合规扫描引擎检查云资源的属性是否符合所述一个或多个规则。如果云资源的属性不符合一个或多个规则中的规则,采集不合规行为。
在一些实施例中,生成至少一个合规分析模型可以包括:基于不合规行为,构建训练数据集;以及利用训练数据集训练机器学习模型以生成至少一个合规分析模型。机器学习模型可以包括例如决策树、随机森林、支持向量机、神经网络模型等。
过程500还包括在框520,基于至少一个合规分析模型,生成针对云服务的合规检测器。在一些实施例中,生成合规检测器可以包括响应于用户交互,从至少一个合规分析模型中选择合规分析模型。生成合规检测器还可以包括将所选择的合规分析模型添加到合规检测器中。
过程500还包括在框530,将合规检测器耦合至云服务,用于检测针对所述云服务的不合规行为。在一些实施例中,过程500还可以包括响应于从合规检测器接收到针对云服务的不合规行为,生成通知。通知指示云服务中存在不合规的云资源,在一些实施例中,过程500还可以包括发起针对存在不合规的云资源的扫描以确认合规结果。
图6示出了根据本申请的一些实施例的用于合规检测的另一过程600的示意性流程图。图6所示的过程可以在例如图1和图2所示的资源管理服务120处执行,也可以在云计算环境中的其他实体处执行,本申请对此不做限制。
在框610,在云服务处提供至少一个合规检测器,每个合规检测器包括合规分析模型。在一些实施例中,不合规行为指示云资源的标识、云资源的属性、以及与不合规行为对应的规则。在一些实施例中,过程600还可以包括:响应于用户交互,接收至少一个合规检测器。基于这种方式,用户可以定制与自己的云服务匹配的合规检测器,满足个性化需求。
在框620,响应于接收到针对云服务的行为,利用合规分析模型确定行为是否为不合规行为。例如,可以将针对云服务的行为输入到经过训练的模型,由模型预测该行为属于不合规行为的可能,将可能性大于阈值的行为确定为不合规行为。
在框630,如果行为被确定为不合规行为,向资源管理服务上报不合规行为以确认合规结果。资源管理服务可以通过触发合规扫描引擎来扫描云资源来核实检测结果是否真实。
在一些实施例中,过程600还可以包括:基于资源管理服务确认不合规行为的确认结果,生成修正不合规行为的通知。
图7示出了根据本申请的一些实施例的用于合规检测的装置700的示意性框图。装置700可以在例如图1和图2所示的资源管理服务120处被实现,也可以在云计算环境中的其他实体处被实现,本申请对此不做限制。
装置700包括合规分析单元720。合规分析单元720被配置用于基于针对云资源池中的云资源的不合规行为,生成至少一个合规分析模型。装置700还包括管控单元730。管控单元730被配置为基于至少一个合规分析模型,生成针对云服务的合规检测器,并且将合规检测器发送到云服务,用于检测针对所述云服务的不合规行为。
在一些实施例中,装置700还可以包括行为采集单元710。行为采集单元710被配置为采集针对云资源的不合规行为。不合规行为可以通过扫描云资源池而被确定。不合规行为可以指示云资源的标识、云资源的属性、以及与不合规行为对应的规则。
在一些实施例中,云资源与一个或多个规则相关联,其中行为采集单元710还可以被配置为使合规扫描引擎检查所述云资源的属性是否符合一个或多个规则。如果云资源的属性不符合一个或多个规则中的规则,行为采集单元710采集不合规行为。
在一些实施例中,合规分析单元720还可以被配置为基于不合规行为来构建训练数据集并且利用训练数据集训练机器学习模型以生成至少一个合规分析模型。
在一些实施例中,管控单元730还可以还被配置为:响应于用户交互,从至少一个合规分析模型中选择合规分析模型,以及将所选择的合规分析模型添加到合规检测器中。
在一些实施例中,管控单元730还可以被配置为:响应于从合规检测器接收到针对云服务的不合规行为,生成通知。在一些实施例中,通知可以指示云服务中存在不合规的云资源,合规扫描引擎还被配置为发起针对存在不合规的云资源的扫描,以确认合规结果。
图8示出了根据本申请的一些实施例的用于合规检测的另一装置800的示意性框图。装置800可以在例如图1和图2所示的云服务120处被实现,也可以在云计算环境中的其他实体处被实现,本申请对此不做限制。
装置800包括提供单元810。提供单元810被配置为在云服务处提供至少一个合规检测器,每个合规检测器包括合规分析模型。
装置800包括确定单元820。确定单元820被配置为响应于接收到针对云服务的行为,利用合规分析模型确定行为是否为不合规行为。
装置800还包括上报单元830。上报单元830被配置为如果行为被确定为不合规行为,向资源管理服务上报不合规行为以确认合规结果。
在一些实施例中,不合规的行为可以指示云服务的存在不合规行为的云资源的标识、该云资源的属性、以及与不合规行为对应的规则。
在一些实施例中,提供单元810还可以被配置为响应于用户交互,从资源管理服务接收至少一个合规检测器。
在一些实施例中,装置800还可以包括通知单元840,通知单元840被配置为基于资源管理服务确认不合规行为的确认结果,生成修正不合规行为的通知。
通过以上结合图1至图8的描述可以看到,在根据本申请的实施例中,提供了有效的合规检测方案。该方案基于已知的不合规行为进行分析建模,创建安装在云服务处的合规检测器,从而直接在云服务处进行动态合规检测,而不需要将云服务或云资源的更新上报到资源管理服务进行合规审核。在一些实施例,还提供了可以安装于云服务处用于监控租户云资源的变更的合规检测器,提供预测资源合规的能力。因此,利用本申请的实施例,提高了合规检测的效率和安全性,并且降低了系统资源的占用率。
图9示出了可以用来实施本申请的实施例的示例设备的示意性框图。图9示出了可以用来实施本申请的实施例的示例设备900的示意性框图。设备900可以用于实现如图1和图2所示的云服务110和资源管理服务120、图5和图6所示的过程500和600、图7和图8所示的装置700和800。如图所示,设备900包括中央处理单元(CPU)901,其可以根据存储在只读存储器(ROM)902中的计算机程序指令或者从存储单元908加载到随机访问存储器(RAM)903中的计算机程序指令,来执行各种适当的动作和处理。在RAM 903中,还可存储设备900操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。
设备900中的多个部件连接至I/O接口905,包括:输入单元906,例如键盘、鼠标等;输出单元907,例如各种类型的显示器、扬声器等;存储单元908,例如磁盘、光盘等;以及通信单元909,例如网卡、调制解调器、无线通信收发机等。通信单元909允许设备900通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
上文所描述的各个过程和处理,例如过程500和/或600,可由处理单元901执行。例如,在一些实施例中,方法500和/或600可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元908。在一些实施例中,计算机程序的部分或者全部可以经由ROM902和/或通信单元909而被载入和/或安装到设备900上。当计算机程序被加载到RAM 903并由CPU 901执行时,可以执行上文描述的过程500和/或600的一个或多个动作。
本申请可以是方法、装置、系统和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本申请的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本申请操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本申请的各个方面。
这里参照根据本申请实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本申请的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本申请的各实施方式,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施方式。在不偏离所说明的各实施方式的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施方式的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其他普通技术人员能理解本文披露的各实施方式。
Claims (22)
1.一种用于合规检测的方法,其特征在于,包括:
基于针对云资源池中的云资源的不合规行为,生成至少一个合规分析模型;
基于所述至少一个合规分析模型,生成针对云服务的合规检测器;以及
将所述合规检测器耦合至所述云服务,用于检测针对所述云服务的不合规行为。
2.根据权利要求1所述的方法,其特征在于,还包括:
采集针对所述云资源的不合规行为,所述不合规行为通过扫描所述云资源池中的所述云资源而被确定,所述不合规行为指示所述云资源的标识、所述云资源的属性、以及与所述不合规行为对应的规则。
3.根据权利要求2所述的方法,其特征在于,所述云资源与一个或多个规则相关联,并且采集所述云资源池中的所述云资源包括:
使合规扫描引擎检查所述云资源的属性是否符合所述一个或多个规则;以及
如果所述云资源的属性不符合所述一个或多个规则中的规则,采集所述不合规行为。
4.根据权利要求1至3中任一项所述的方法,其特征在于,生成至少一个合规分析模型包括:
基于所述不合规行为,构建训练数据集;以及
利用所述训练数据集训练机器学习模型以生成所述至少一个合规分析模型。
5.根据权利要求1至3中任一项所述的方法,其特征在于,生成所述合规检测器包括:
响应于用户交互,从所述至少一个合规分析模型中选择合规分析模型;以及
将所选择的合规分析模型添加到所述合规检测器中。
6.根据权利要求1所述的方法,其特征在于,还包括:
响应于从所述合规检测器接收到针对所述云服务的不合规行为,生成通知。
7.根据权利要求6所述的方法,其特征在于,所述通知指示所述云服务中存在不合规的云资源,所述方法还包括:
发起针对所述存在不合规的云资源的扫描,以确认合规结果。
8.一种用于合规检测的方法,其特征在于,包括:
在云服务处提供至少一个合规检测器,每个合规检测器包括合规分析模型;
响应于接收到针对所述云服务的行为,利用所述合规分析模型确定所述行为是否为不合规行为;以及
如果所述行为被确定为不合规行为,向资源管理服务上报所述不合规行为以确认合规结果。
9.根据权利要求8所述的方法,其特征在于,所述不合规的行为指示所述云服务的存在所述不合规行为的云资源的标识、所述云资源的属性、以及与所述不合规行为对应的规则。
10.根据权利要求8所述的方法,其特征在于,还包括:
响应于用户交互,从所述资源管理服务接收所述至少一个合规检测器。
11.根据权利要求8所述的方法,其特征在于,还包括:
基于所述资源管理服务确认所述不合规行为的确认结果,生成修正所述不合规行为的通知。
12.一种用于合规检测的装置,其特征在于,包括:
合规分析单元,被配置用于基于针对云资源池中的云资源的不合规行为,生成至少一个合规分析模型;
管控单元,被配置为基于所述至少一个合规分析模型,生成针对云服务的合规检测器;并且将所述合规检测器发送到所述云服务,用于检测针对所述云服务的不合规行为。
13.根据权利要求12所述的装置,其特征在于,还包括:
行为采集单元,被配置为采集针对所述云资源的不合规行为,所述不合规行为通过扫描所述云资源池中的所述云资源而被确定,所述不合规行为指示所述云资源的标识、所述云资源的属性、以及与所述不合规行为对应的规则。
14.根据权利要求13所述的装置,其特征在于,所述云资源与一个或多个规则相关联,其中所述行为采集单元还被配置为:
使合规扫描引擎检查所述云资源的属性是否符合所述一个或多个规则;以及
如果所述云资源的属性不符合所述一个或多个规则中的规则,采集所述不合规行为。
15.根据权利要求12至14中任一项所述的装置,其特征在于,所述合规分析单元还被配置为:
基于所述不合规行为,构建训练数据集;以及
利用所述训练数据集训练机器学习模型以生成所述至少一个合规分析模型。
16.根据权利要求12至14中任一项所述的装置,其特征在于,所述管控单元还被配置为:
响应于用户交互,从所述至少一个合规分析模型中选择合规分析模型;以及
将所选择的合规分析模型添加到所述合规检测器中。
17.根据权利要求12所述的装置,其特征在于,所述管控单元还被配置为:
响应于从所述合规检测器接收到针对所述云服务的不合规行为,生成通知。
18.根据权利要求17所述的装置,其特征在于,所述通知指示所述云服务中存在不合规的云资源,
所述合规扫描引擎还被配置为发起针对所述存在不合规的云资源的扫描,以确认合规结果。
19.一种用于合规检测的装置,其特征在于,包括:
提供单元,被配置为在云服务处提供至少一个合规检测器,每个合规检测器包括合规分析模型;
确定单元,被配置为响应于接收到针对所述云服务的行为,利用所述合规分析模型确定所述行为是否为不合规行为;以及
上报单元,被配置为如果所述行为被确定为不合规行为,向资源管理服务上报所述不合规行为以确认合规结果。
20.一种电子设备,包括:
处理单元和存储器,
所述处理单元执行所述存储器中的指令,使得所述电子设备执行根据权利要求1至7或者权利要求8-11中任一项所述的方法。
21.一种计算机可读存储介质,其上存储有一条或多条计算机指令,其中一条或多条计算机指令被处理器执行使所述处理器执行根据权利要求1至7或者权利要求8-11中任一项所述的方法。
22.一种计算机程序产品,包括机器可执行指令,所述机器可执行指令在由设备执行时使所述设备执行根据权利要求1至7或者权利要求8-11中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210587124.9A CN117193994A (zh) | 2022-05-26 | 2022-05-26 | 用于合规检测的方法、装置、电子设备以及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210587124.9A CN117193994A (zh) | 2022-05-26 | 2022-05-26 | 用于合规检测的方法、装置、电子设备以及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117193994A true CN117193994A (zh) | 2023-12-08 |
Family
ID=88982337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210587124.9A Pending CN117193994A (zh) | 2022-05-26 | 2022-05-26 | 用于合规检测的方法、装置、电子设备以及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117193994A (zh) |
-
2022
- 2022-05-26 CN CN202210587124.9A patent/CN117193994A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3497609B1 (en) | Detecting scripted or otherwise anomalous interactions with social media platform | |
| US11586972B2 (en) | Tool-specific alerting rules based on abnormal and normal patterns obtained from history logs | |
| CN106992994B (zh) | 一种云服务的自动化监控方法和系统 | |
| US11012466B2 (en) | Computerized system and method for providing cybersecurity detection and response functionality | |
| US11347631B1 (en) | Method, apparatus, and computer program product for predictive API test suite selection | |
| US10505960B2 (en) | Malware detection by exploiting malware re-composition variations using feature evolutions and confusions | |
| US10264009B2 (en) | Automated machine learning scheme for software exploit prediction | |
| CN112805740B (zh) | 人工智能辅助规则生成 | |
| KR101143999B1 (ko) | Api 기반 어플리케이션 분석 장치 및 방법 | |
| US20220294797A1 (en) | Website verification platform | |
| US10735272B1 (en) | Graphical user interface for security intelligence automation platform using flows | |
| US20180115464A1 (en) | Systems and methods for monitoring and analyzing computer and network activity | |
| US9172720B2 (en) | Detecting malware using revision control logs | |
| CN114064196A (zh) | 用于预测性保障的系统和方法 | |
| US11144930B2 (en) | System and method for managing service requests | |
| US10291483B2 (en) | Entity embedding-based anomaly detection for heterogeneous categorical events | |
| US20230054912A1 (en) | Asset Error Remediation for Continuous Operations in a Heterogeneous Distributed Computing Environment | |
| US20140317006A1 (en) | Market specific reporting mechanisms for social content objects | |
| CN114398465A (zh) | 互联网服务平台的异常处理方法、装置和计算机设备 | |
| US20230396635A1 (en) | Adaptive system for network and security management | |
| US11316886B2 (en) | Preventing vulnerable configurations in sensor-based devices | |
| CN112416700A (zh) | 分析启动的预测性故障和smart日志 | |
| CN108768742B (zh) | 网络构建方法及装置、电子设备、存储介质 | |
| CN117193994A (zh) | 用于合规检测的方法、装置、电子设备以及介质 | |
| US11012463B2 (en) | Predicting condition of a host for cybersecurity applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |