CN117461288A - 使用云资源管理日志的威胁检测 - Google Patents
使用云资源管理日志的威胁检测 Download PDFInfo
- Publication number
- CN117461288A CN117461288A CN202280038279.5A CN202280038279A CN117461288A CN 117461288 A CN117461288 A CN 117461288A CN 202280038279 A CN202280038279 A CN 202280038279A CN 117461288 A CN117461288 A CN 117461288A
- Authority
- CN
- China
- Prior art keywords
- cloud
- user
- resource
- action
- score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title description 7
- 230000009471 action Effects 0.000 claims abstract description 81
- 238000000034 method Methods 0.000 claims abstract description 37
- 230000002159 abnormal effect Effects 0.000 claims abstract description 25
- 230000004044 response Effects 0.000 claims abstract description 12
- 230000015654 memory Effects 0.000 claims description 31
- 238000001914 filtration Methods 0.000 claims description 26
- 238000012545 processing Methods 0.000 claims description 10
- 238000013515 script Methods 0.000 claims description 6
- 238000007726 management method Methods 0.000 description 64
- 230000008520 organization Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 12
- 230000000875 corresponding effect Effects 0.000 description 11
- 238000012549 training Methods 0.000 description 8
- 239000013598 vector Substances 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 235000019640 taste Nutrition 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000010420 art technique Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Abstract
本文一般讨论的是用于改进云资源安全性的设备、系统和方法。该方法可以包括获取云资源管理日志,该云资源管理日志详细说明在云门户中由云资源的用户执行的动作,该动作包括条目,该条目包括以下中的至少两项:该用户中的一个用户的用户标识(ID)、对该云资源中的一个云资源执行的操作中的一个操作、作为该操作的目标的该云资源中的一个云资源的统一资源标识符(URI)、或该操作被执行的时间。该方法可以包括确定针对云资源管理日志中的每个动作的相应的分数,将相应的分数与指定的标准进行比较,以及响应于确定相应的分数满足指定的标准,提供异常动作的指示。
Description
背景技术
云资源部署为应用开发者提供了接触用户的机会。云资源部署为攻击方提供了在其他设置中不可用的攻击向量。因此,云资源安全可以从特定于云资源部署和访问的威胁检测和防范中受益。
发明内容
一种用于云资源安全管理的方法、设备或机器可读介质可以改进用于云资源安全管理的现有技术。该方法、设备或机器可读介质可以在组织级别上,而不是用户、用户组或资源级别上,提供用户对云资源的操作的视图。组织级别考虑用户组和相应的云资源组。由该方法、设备或机器可读介质提供的组织视图可以帮助检测先前技术无法检测到的异常行为。
该方法、设备或机器可读介质可以包括操作,该操作包括获取云资源管理日志,该云资源管理日志详细说明在云门户中由云资源的用户执行的动作。每个动作可以包括条目,该条目包括以下中的至少两项:该用户中的一个用户的用户标识(ID)、对该云资源中的一个云资源执行的操作中的一个操作、作为该操作的目标的该云资源中的一个云资源的统一资源标识符(URI)、或该操作被执行的时间。该操作可以包括确定针对云资源管理日志中的每个动作的相应的分数。该操作可以包括将相应的分数与指定的标准进行比较。该操作可以包括响应于确定相应的分数满足指定的标准,提供异常动作的指示。
确定该分数可以包括使用协同过滤。确定该相应的分数包括组合针对以下中的至少两项的协同过滤分数:(i)用户ID和操作、(ii)用户ID和资源、(iii)操作和资源、或(iv)用户ID和时间。
该操作还包括生成二分图,二分图包括(i)用户中的各个用户和云资源中的各个云资源作为节点以及表示各个用户是否访问各个云资源的各个边;(ii)用户中的各个用户和操作中的各个操作为节点以及表示各个用户是否执行各个操作的各个边;或(iii)操作中的各个操作和云资源中的各个云资源作为节点以及表示各个操作是否对各个云资源来执行的各个边,并且其中协同过滤基于表示所生成的图的数据来执行。该操作可以还包括在确定相应的分数之前,过滤云资源管理日志以仅包括由攻击方执行的操作,并且其中相应的分数基于过滤后的云资源管理日志来确定。由攻击方执行的操作包括运行命令、安装自定义脚本、更改防火墙规则、列出密钥、添加用户、或更改权限。提供异常动作的指示包括提供电子邮件、弹出消息、或文本消息,来指示与异常动作相对应的管理日志的动作。
附图说明
图1通过示例示出了云服务系统的实施例的示图。
图2通过示例示出了图1的日志分析器的实施例的示图。
图3通过示例示出了训练图2的协同过滤器的概念框图。
图4通过示例示出了二分图的概念框图。
图5通过示例示出了用于云资源安全的方法的实施例的框图。
图6通过示例示出了用于实现一个或多个实施例的机器(例如,计算机系统)的框图。
具体实施方式
在下面的描述中,参考构成本文一部分的附图,并且在附图中以说明的方式示出了可以实践的具体实施例。这些实施例被充分详细地描述以使本领域技术人员能够实践这些实施例。应当理解,可以利用其它实施例并且可以在不脱离所附权利要求的范围的情况下进行结构、逻辑和/或电气上的改变。因此,对实施例的以下描述不被认为是有限制的意义,并且这些实施例的范围由所附权利要求限定。
云用户通常部署多个云资源以形成云资源系统或以其他方式访问资源以达到其目的。这些系统容易受到各种攻击类型的攻击。为了帮助减轻安全风险,云提供方,如美国华盛顿州雷德蒙德的微软公司以及其他第三方安全解决方案供应方,提供攻击检测系统。这些攻击检测系统为用户提供一个或多个警报,以响应检测到对云客户(例如用户或组织)可以访问的云资源的攻击。
许多网络安全解决方案侧重于保护端点或计算机资源免受攻击。并非所有攻击都可以通过关注端点保护来检测。端点保护可以通过监视资源的操作来帮助防护单个资源攻击。实施例提供了检查对资源执行的操作,而不是由资源执行的操作的改进。由资源执行的操作取决于资源的类型。例如,云资源可以运行应用,该云资源的操作是应用的操作。云资源可以包括数据库,对于这种资源,操作是存储或提供数据。对资源执行的操作包括资源配置、策略管理、部署等。一般来说,可以使用资源监视器监视由资源执行的操作,并且可以使用门户监视器监视对资源执行的操作。实施例可以通过分析资源管理日志来暴露可检测到的与安全相关的异常。实施例可以通过分析云资源管理日志(例如Azure资源管理(ARM)日志)来发现访问异常。在ARM日志中,每个组织都与其自己的条目列相关联。
实施例可以使用机器学习(ML)来分析对云资源执行的操作。云资源管理日志监测可以通过分析整体组织来帮助标识执行的异常操作。这与监测单个用户或资源的操作不同。可以跨用户监测组织对云资源执行的操作,以确定用户从云门户和云资源上执行的操作是否异常。
随着云系统变得越来越复杂,攻击也变得越来越复杂。此类攻击可能使用网络钓鱼来获取对帐户的访问权限,并使用该帐户进行侦察(例如,收集有关系统架构、网络详细信息等的信息)。一旦获得对用户帐户的访问权限,攻击方就可以针对有权访问攻击方所需数据的特定用户帐户,因此可以专门针对该用户。然后,攻击方可以获得所需数据的访问权限并执行渗透。这只是攻击的一个示例,许多其他攻击都是可能的。这种类型的攻击不会被先前的端点或单个用户监测解决方案检测到,因为执行的操作在检测这些类型攻击所需的级别没有被监测。例如,考虑一个分布式攻击,其中一组用户启动大量虚拟机(VM)并在每个虚拟机上运行代码。从单个用户的角度来看,启动一些虚拟机的操作不是可疑活动,从每个VM的角度来看,它们的启动也不可疑。然而,从用户组(组织)的角度来看,这些操作是可疑的。本文的实施例可以通过分析云资源管理日志中详细的操作来帮助检测这种攻击。
图1通过示例示出了云服务系统100的实施例的示图。云服务系统100可以向诸如台式机、笔记本电脑、平板电脑、智能手机、嵌入式计算机、销售点终端等的各种计算系统提供云计算服务。云服务系统100可以包括云资源,云资源包括例如服务器和存储设备以及诸如操作系统、数据库和应用这样的各种软件产品。
许多企业(云客户)不是维护自己的数据中心,而是作为云服务系统100的数据库服务的客户订阅以存储和处理他们的数据。例如,零售公司可以订阅数据库服务以存储公司的销售交易记录,并使用数据库服务提供的接口运行查询以帮助分析销售数据。作为另一个示例,公用事业公司可以订阅数据库服务以存储从其客户的仪表收集的仪表读数。作为另一个示例,政府实体可以订阅数据库服务以存储和分析数百万纳税人的纳税申报数据。
订阅云服务系统100的企业需要数据隐私和安全保证。尽管云服务系统100可以采用许多技术来帮助保护客户数据的隐私,但寻求窃取这些客户数据的各方不断设计新技术来访问数据。
云基础设施112是可通过互联网访问的服务器和其他计算机资源的网络,并提供各种硬件和软件服务。这些资源被设计为存储和管理数据(例如,存储器/数据110)、运行应用108或传递内容或服务(例如,通过服务器102)。服务可以包括流视频、网络邮件、办公生产力软件或社交媒体等。云数据不是从本地或个人计算机访问文件和数据,而是从具有互联网的设备(例如客户端114)在线访问。
如图所示的系统100包括云基础设施112和客户端114。云基础设施112包括客户端114可以为了它们自己的计算需要而访问的计算资源124。如图所示的计算机设备包括服务器102、虚拟机104、软件平台106、应用108、存储器/数据110、门户122和反馈/警报116。
客户端114的用户可以访问云基础设施112的资源124。为了访问资源124,用户可以登录到门户122。登录到门户122可以包括提供用户名、口令、双因素认证等。然后,用户可以生成一个或多个云资源124、移动一个或多个云资源124、将一个或多个云资源124相互连接、改变一个或多个云资源124的访问或安全策略等。
当用户在门户122中执行任务时,监视器126可以在资源管理日志118中生成条目。监视器126可以包括软件、硬件、固件或其组合。资源管理日志118中的条目可以包括以下信息中的至少一些:(i)唯一标识登录到门户122以对云资源124执行管理操作的用户的用户标识(ID),(ii)唯一标识云资源124的资源ID,该云资源124是与用户ID相关联的用户执行的操作的目标(例如,统一资源标识符(URI)等),(iii)由与用户ID相关联的用户对与资源ID相关联的资源执行的操作,或(iv)由与用户ID相关联的用户对与资源ID相关联的资源执行操作的时间。条目可以组织在表中,使得跨越行或列的条目可以对应于相同的事件,在本文中称为“动作”。提供了示例资源管理日志:
表1:示例资源管理日志
表1被简化以帮助理解所描述的主题。通常,资源管理日志118包括多于3个动作。资源管理日志118包括从门户122对云资源124执行的所有操作。对于数百个用户,资源管理日志118可以变得相当大。
资源管理日志118不同于资源操作日志120。资源操作日志120关注云资源124的操作,而资源管理日志118详细说明用于管理云资源124的操作(有时称为对资源执行的操作)。资源操作日志120记录云资源124的操作(例如,存储器读取、存储器写入、应用到应用通信、应用执行等)。资源管理日志118记录由用户发起的在门户122中执行的操作(例如,数据库110生成、连接云资源124、部署应用108、删除或生成虚拟机104等)。在门户122中执行的操作是对云资源124的操作。这种区别很重要,因为典型的安全性,与基于资源操作日志120提供的安全措施一样,提供端点保护。在诸如系统100的云系统的示例中,端点是云资源124。端点保护提供的安全措施可以不同于基于资源管理日志118提供的安全措施。端点保护检测特定的云资源124是否受到攻击。基于资源管理日志118提供的安全措施可以包括针对基于资源操作日志120无法检测到的攻击类型的安全性。例如,基于资源管理日志118提供的安全措施可以包括基于网络钓鱼或其他数据泄露,或跨多个云资源124进行的其他攻击。
考虑攻击方已经接收到用户的登录信息的场景,例如通过网络钓鱼。然后,攻击方可以登录到门户122并部署机制来执行侦察并收集关于所部署的云资源124的结构的信息。然后,攻击方可以针对有权访问攻击方期望的数据的特定用户。不可能使用资源操作日志120来标识这样的攻击。然而,可以使用资源管理日志118来标识这样的攻击,因为资源管理日志118采用更全面的云资源视图,即监控组织内使用云资源124的所有活动的组织级别。
服务器102可以提供结果作为计算请求的结果。服务器102可以是响应于对文件的请求而提供文件的文件服务器、响应于对网站访问的请求而提供网页的网络服务器、响应于请求而提供电子邮件内容的电子邮件服务器(email服务器)、响应于验证请求而提供用户名、口令或其它鉴别数据是否正确的指示的登录服务器。
虚拟机(VM)104是计算机系统的仿真。VM 104提供物理计算机的功能。VM可以包括系统VM,系统VM提供执行整个操作系统(OS)的功能,或者处理在隔离的、独立于平台的环境中执行计算机应用程序的VM。由于对VM的攻击仅仅是对仿真的攻击,VM可以比物理计算机更安全。VM可以在第二、不同的平台上提供第一平台(例如,Linux、Windows或其他OS)的功能。
软件平台106是执行一款软件的环境。软件平台106可以包括硬件、OS、网络浏览器和相关联的应用程序编程接口(API)等。软件平台106可以提供用于开发更多计算机资源的工具,例如软件。软件平台106可以为软件开发者提供低级功能。
应用108可以通过服务器102、VM 104、容器(见图3)等之一访问。应用108向用户提供计算资源,使得用户不必在他们自己的计算机上下载或执行应用。例如,应用108可以包括机器学习(ML)套件,该套件提供配置的或可配置的ML软件。ML软件可以包括人工智能类型的软件,例如神经网络(NN)或其他技术。ML或AI技术可以具有存储器或处理器带宽要求,这些要求对于一些云客户来说是昂贵或复杂的,无法实现或支持。
存储器/数据110可以包括用于存储器访问的一个或多个数据库、容器等。存储器/数据110可以被分区,使得给定用户具有专用存储器空间。服务级别协议(SLA)通常定义正常运行时间、停机时间、访问数据的最大或最小滞后等的量。
客户端114是能够访问云基础设施112的功能的计算设备。客户端114可以包括智能电话、平板电脑、笔记本电脑、台式机、服务器、电视或其他智能设备、车辆(例如有人或无人驾驶车辆)等。客户端114访问由云基础设施112提供的资源。来自客户端114的每个请求可以与标识客户端114的网际互连协议(IP)地址、标识设备的用户的用户名、指示具有访问云基础设施112的权限的实体的客户标识等相关联。
可以响应于资源管理日志异常检测来将警报116提供给客户端114。可以使用日志分析器130来确定资源管理日志中的异常。警报116可以包括弹出窗口、文本消息、电子邮件等。警报116可以包括导致警报116产生的信息或者当被选择时将用户导航到导致警报116产生的信息的链接。
日志分析器130可以包括被配置为执行资源管理日志118分析的操作的软件、固件或硬件。日志分析器130可以接收或访问资源管理日志118。日志分析器130可以确定资源管理日志118中是否存在异常。异常可以指示攻击,例如基于资源操作日志120无法检测到。在上下文中的异常是被确定为意外的云资源管理操作的动作或相关条目。日志分析器130可以通过分析资源管理日志118(例如,并且仅分析资源管理日志118)来发现门户122中用户的一个或多个意外的动作。日志分析器130在图2中更详细地描述。
云基础设施112可由具有足够权限的任何客户端114访问。通常,客户将支付费用或以其他方式获得使用一个或多个设备访问云基础设施112的权限。由于具有不同习惯的多个服务和多个客户端114可以访问云基础设施112,因此很难提供“一刀切”的安全解决方案。通常,对服务器102的攻击不同于对VM 104的攻击,后者不同于对容器的攻击等。这些不同的攻击向量通常通过实例化不同的安全技术来处理,并在每个设备处进行监测例如由监视器128监测。此外,这些攻击向量可以是相关的,因为对容器的攻击可以由模拟攻击触发,这可以通过标识失败的登录尝试的增加或云基础设施112的资源的异常使用(相对于允许访问的用户)来检测。
图2通过示例示出了日志分析器130的操作的实施例的示图。日志分析器130可以接收云资源管理日志118作为输入,并提供警报116作为输出(如果警报116是有保证的)。在操作220处可以过滤云资源管理日志118。操作220的结果是过滤后的云资源管理日志222。过滤动作操作220可以从资源管理日志222中去除与潜在攻击无关的动作。例如,提供关于如何使用云资源124(参见图1)或云资源124如何运行的文档的用户不是攻击的一部分,第一次启用保护机制(例如,反恶意软件、防火墙等)的用户可以被认为不是攻击的一部分,等等。过滤动作操作220可以从资源管理日志118中去除这样的动作。结果是过滤后的资源管理日志222包括潜在地与攻击相关的动作226。由攻击方执行的常见动作包括运行命令、安装自定义脚本、改变防火墙规则、列出密钥、添加用户、改变权限等。
在操作224处,可以从过滤的资源管理日志222中提取动作226。动作226是多个条目,每个条目与用户执行的操作的特定实例相关联。例如,在表1中,动作是单行条目。表1中的每一行条目对应于用户使用门户122时监测的操作的单个实例。
在操作228处,处理所提取的动作226。考虑广义动作{用户ID,资源ID,操作,时间,星期几}。操作228可以包括将广义动作拆分为一个或多个条目对。示例广义动作的条目对包括(用户ID,资源ID),(用户ID,操作),(资源ID,操作),(用户ID,时间)和(用户ID,星期几)。已处理的动作230可以包括一个或多个条目对。该对条目可以提供给协同过滤器232。
操作228可以包括基于条目对生成图。在一些实施例中,该图可以包括二分图。该二分图可以包括由边连接的节点。节点可以表示条目对中的各个条目。连接节点的边指示在该图中边的每一侧的节点是相关的。该图可以随着在操作228处处理更多的动作226而增长。已处理的动作230可以包括该图的表示。图4示出了二分图的示例。
协同过滤器232可以为每个条目对生成动作分数234。分数234指示用户的动作226是否与执行与该用户类似的动作的用户一致。协同过滤器232的输出可以包括动作分数234。协同过滤器232可以将条目分为多对,并确定每对的分数。对应于动作的分数可以组合(例如,求和、加权和求和等)以生成最终分数,即动作分数234。
在训练期间,协同过滤器232可以计算每个实体的潜在特征向量。在评估期间,可以通过在两个相关向量之间执行点积来计算初步分数。在最终分数中,可以将该初步分数归一化为平均值是零,标准差是1,并乘以-1,以便它表示异常分数而不是预测分数。
在典型的用例中,协同过滤是一种通过从许多用户(协同)收集偏好或品味信息来预测(过滤)用户兴趣的方法。协同过滤方法的基本假设是,如果人A在一个问题上与人B有相同的观点,那么A更有可能在不同的问题上与B,而不是随机选择的人具有相同的观点。例如,针对电视节目偏好的协同过滤推荐系统可以在给定用户品味(喜欢或不喜欢)的部分列表的情况下预测用户应该喜欢哪个电视节目。注意,这些预测是特定于用户的,但使用从许多用户收集的信息。
在云安全的上下文中,由协同过滤器232实现的操作包括通过收集来自许多用户(协同)(例如,相同或类似组织内的用户)的动作来对用户的动作进行预测(过滤)的方法。协同过滤方法的基本假设是,如果人A在云资源124上执行与人B相同的动作,则A更有可能在不同的云资源上执行B的动作,而不是随机选择的人的动作。分数234因此是用户执行的动作是否异常的可能性的指示。异常动作比其他动作更有可能与攻击相关联。
在操作236处,可以将动作分数234与标准进行比较。可以使用经验数据来确定标准。开发者或其他人员可以设置标准,用异常和非异常的动作226测试协同过滤器232,记录协同过滤器232的准确性,并重复。可以选择与协同过滤器232的最佳测试准确性相对应的标准或提供足够的协同过滤器232准确性的标准作为标准。示例标准包括单个对分数的一个或多个阈值、单个对分数总和的阈值等。
如果在操作236处,动作分数234满足该标准,则可以在操作238处发出警报。警报116可以向安全人员提供指示为什么产生警报116的信息。该信息可以包括被认为是异常的过滤后的资源管理日志222的动作226、动作226的一部分、动作分数234、过滤后的资源管理日志222或资源管理日志118中与动作226相同的用户ID相关联的一个或多个动作(例如,与用户ID相关联的一个或多个动作在时间上紧接在动作226之前或紧接在动作226之后)。
归一化的分数可以具有根据与平均值的标准差的数量指定的标准。用户可以调整标准差来管理假阳性和真阳性。较低的标准差可以导致更多的假阳性,而较高的标准差可以导致较少的真阳性被检测到。
警报116可以包括解释为什么生成该警报的文本描述。例如,对于异常凭证访问,警报116可以指示与用户访问他们通常不访问的资源的相关的异常。该操作可能指示组织中的帐户被破坏,并且威胁执行者正在尝试检索凭证以访问云资源124之一。备选地,该操作可能由组织中的合法用户执行。对于不同的异常凭据访问,该文本可以指示组织中的帐户被破坏,并且威胁执行者正在尝试检索凭证以访问云资源124之一。备选地,该操作可能由组织中的合法用户执行。对于包括代码的异常检测的示例,警报116可以指示异常与用户在异常时间执行操作相关。警报116可以指示组织中的帐户被破坏,并且威胁执行者正试图在环境中的云资源124之一上执行代码。备选地,它可能由组织中的合法用户执行。通常,警报116的文本可以基于被确定为指示异常的分数对而改变。
如果在操作236处,动作分数234不满足标准,则可以执行操作240。操作240可以包括确定是否要处理已过滤的资源管理日志222中的更多动作。如果要处理至少一个更多动作226,则日志分析器130可以执行操作224。如果不需要处理更多动作226,则日志分析器130的操作可以在操作242终止。
图3通过示例示出了训练协同过滤器232的概念框图。训练样本330可以作为输入提供给协同过滤器232。训练样本330可以包括类似于已处理的动作230的动作以及指示训练样本330是否对应于异常或正常行为的标签。协同过滤器232可以基于训练样本330生成(向量,动作分数)对332。该向量是训练样本330的编码,并且动作分数类似于动作分数234。然后,在操作期间,协同过滤器可以使用生成的(向量,动作分数)对332来确定动作分数234。
图4通过示例示出了二分图400的概念框图。图400可以在操作228(见图2)生成。所示的图400包括由一个或多个边442A、442B、442C、442D连接到第二节点444A、444B、444C的节点440A、440B、440C。
第一节点440A-440C中的每个第一节点表示资源管理日志222的条目类型的特定实例,第二节点444A-444C中的每个第二节点表示另一个条目类型的特定实例。示例条目类型包括用户ID、云资源URI、操作、时间、星期几等。每个节点440A-440C、442A-442C表示条目类型的特定实例。每个特定实例可以由单个节点表示。如果条目类型1是用户ID,那么每个节点442A-442C可以表示特定的用户ID。两个节点440A-440C之间的边442A-442D指示云资源管理日志118中的动作226(见图2)包括作为单独的条目两个节点。
协同过滤器232可以使用像二分图400这样的一个或多个图的表示来确定动作分数234。协同过滤器232可以提供新的输入对,例如(用户ID、云资源URI)、(用户ID、操作)、(云资源URI、操作)、(用户ID、时间),并基于图的表示确定动作分数234,或者在多个输入对用于确定动作分数234的情况下确定动作分数234的一部分。
图5通过示例示出了用于云资源安全管理的方法500的实施例的框图。所示的方法500包括:在操作550,获取云资源管理日志,云资源管理日志详细说明在云门户中由云资源的用户执行的动作;在操作552,确定针对云资源管理日志中的每个动作的相应的分数;在操作554,将相应的分数与指定的标准进行比较;以及在操作556,响应于确定相应的分数满足指定的标准,提供异常动作的指示。每个动作可以包括条目,条目包括以下中的至少两项:用户中的一个用户的用户标识(ID)、对云资源中的一个云资源执行的操作中的一个操作、作为操作的目标的云资源中的一个云资源的统一资源标识符(URI)、或操作被执行的时间。
操作552可以包括确定分数包括使用协同过滤。操作552可以包括组合针对以下中的至少两项的协同过滤分数:(i)用户ID和操作、(ii)用户ID和资源、(iii)操作和资源、或(iv)用户ID和时间。
方法500还可以包括包括生成二分图,二分图包括(i)用户中的各个用户和云资源中的各个云资源作为节点以及表示各个用户是否访问各个云资源的各个边;(ii)用户中的各个用户和操作中的各个操作为节点以及表示各个用户是否执行各个操作的各个边;或(iii)操作中的各个操作和云资源中的各个云资源作为节点以及表示各个操作是否对各个云资源来执行的各个边,并且其中协同过滤基于表示所生成的图的数据来执行。
方法500还可以包括,在执行操作552之前,过滤云资源管理日志以仅包括由攻击方执行的操作,并且其中相应的分数基于过滤后的云资源管理日志来确定。方法500还可以包括,其中由攻击方执行的操作包括运行命令、安装自定义脚本、更改防火墙规则、列出密钥、添加用户、或更改权限。方法500还可以包括,其中提供异常动作的指示包括提供电子邮件、弹出消息、或文本消息,来指示与异常动作相对应的管理日志的动作。
图6通过示例示出了实现一个或多个实施例的机器600(例如,计算机系统)的框图。机器600可以实现用于改进的云资源安全性的技术。客户端111、云基础设施112、云资源124、监视器126、128、日志分析器130或其组件可以包括机器600的组件中的一个或多个。客户端111、云基础设施112、云资源124、监视器126、128、日志分析器130、监视器200、方法500或其组件或操作中的一个或多个可以至少部分地使用机器600的组件来实现。一个示例机器600(以计算机的形式),可以包括处理单元602、存储器603、可移动存储器610和不可移动存储器612。尽管示例计算设备被图示和描述为机器600,但是在不同的实施例中计算设备可以是不同的形式。例如,计算设备可以代之以智能手机、平板电脑、智能手表或包括与关于图6图示和描述的相同或类似的元件的其他计算设备。诸如智能手机、平板电脑和智能手表这样的设备通常被统称为移动设备。此外,尽管各种数据存储元件被图示为机器600的一部分,但是存储器还可以或备选地包括经由网络(例如,互联网)访问的基于云的存储。
存储器603可以包括易失性存储器614和非易失性存储器608。机器600可包括,或可以访问包括多种计算机可读介质的计算环境,例如易失性存储器614和非易失性存储器608、可移动存储器610和不可移动存储器612。计算机存储器包括随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)和电可擦除可编程只读存储器(EEPROM)、闪存或其他存储器技术、光盘只读存储器(CD ROM)、数字多功能盘(DVD)或其他光盘存储器、盒式磁带、磁带、磁盘存储器或其他能够存储计算机可读指令以供执行以执行本文所述功能的磁存储设备。
机器600可以包括或可以访问包括输入606、输出604和通信连接616的计算环境。输出604可以包括显示设备,例如触摸屏,其也可以用作输入设备。输入606可以包括触摸屏、触摸板、鼠标、键盘、相机、一个或多个设备专用按钮、集成在机器600内或通过有线或无线数据连接耦合到机器600的一个或多个传感器、以及其他输入设备中的一个或多个。计算机可以使用通信连接在联网环境中操作,以连接到一个或多个远程计算机,例如数据库服务器,包括基于云的服务器和存储器。远程计算机可以包括个人计算机(PC)、服务器、路由器、网络PC、对等设备或其他公共网络节点等。通信连接可以包括局域网(LAN)、广域网(WAN)、蜂窝、电气和电子工程师协会(IEEE)802.11(Wi-Fi)、蓝牙或其他网络。
存储在计算机可读存储设备上的计算机可读指令由机器600的处理单元602(有时称为处理电路)执行。硬盘驱动器、CD-ROM和RAM是包括诸如存储设备这样的非暂时性计算机可读介质的物品的一些示例。例如,计算机程序618可以用于使处理单元602执行本文描述的一个或多个方法或算法。
在一些实施例中,本文描述的操作、功能或算法可以用软件实现。软件可以包括存储在计算机或其他机器可读介质或存储设备上的计算机可执行指令,例如一个或多个非暂时性存储器(例如,非暂时性机器可读介质)或其他类型的基于硬件的存储设备,无论是本地的还是联网的。此外,这样的功能可以对应于子系统,子系统可以是软件、硬件、固件或其组合。可以根据需要在一个或多个子系统中执行多个功能,所描述的实施例仅仅是示例。软件可以在数字信号处理器、ASIC、微处理器、中央处理器(CPU)、图形处理器(GPU)、现场可编程门阵列(FPGA)或在计算机系统上运行的其他类型的处理器上执行,例如个人计算机、服务器或其他计算机系统,将这样的计算机系统转换为专门编程的机器。功能或算法可以使用处理电路来实现,例如可以包括电气和/或电子元件(例如,一个或多个晶体管、电阻器、电容器、电感器、放大器、调制器、解调器、天线、无线电、调节器、二极管、振荡器、多路复用器、逻辑门、缓冲器、高速缓存器、存储器、GPU、CPU、现场可编程门阵列(FPGA)等)。
附加说明和示例
示例1可以包括一种用于云资源安全管理的方法,该方法包括获取云资源管理日志,云资源管理日志详细说明在云门户中由云资源的用户执行的动作,动作包括条目,条目包括以下中的至少两项:用户中的一个用户的用户标识(ID)、对云资源中的一个云资源执行的操作中的一个操作、作为操作的目标的云资源中的一个云资源的统一资源标识符(URI)、或操作被执行的时间,确定针对云资源管理日志中的每个动作的相应的分数,将相应的分数与指定的标准进行比较,以及响应于确定相应的分数满足指定的标准,提供异常动作的指示。
在示例2中,示例1还可以包括,其中确定分数包括使用协同过滤。
在示例3中,示例2还可以包括,其中确定相应的分数包括组合针对以下中的至少两项的协同过滤分数:(i)用户ID和操作、(ii)用户ID和资源、(iii)操作和资源、或(iv)用户ID和时间。
在示例4中,示例3还可以包括生成二分图,二分图包括(i)用户中的各个用户和云资源中的各个云资源作为节点以及表示各个用户是否访问各个云资源的各个边;(ii)用户中的各个用户和操作中的各个操作为节点以及表示各个用户是否执行各个操作的各个边;或(iii)操作中的各个操作和云资源中的各个云资源作为节点以及表示各个操作是否对各个云资源来执行的各个边,并且其中协同过滤基于表示所生成的图的数据来执行。
在示例5中,示例1-4中的至少一项还可以包括,在确定相应的分数之前,过滤云资源管理日志以仅包括由攻击方执行的操作,并且其中相应的分数基于过滤后的云资源管理日志来确定。
在示例6中,示例5还可以包括,由攻击方执行的操作包括运行命令、安装自定义脚本、更改防火墙规则、列出密钥、添加用户、或更改权限。
在示例7中,示例1-6中的至少一项还可以包括,其中提供异常动作的指示包括提供电子邮件、弹出消息、或文本消息,来指示与异常动作相对应的管理日志的动作。
示例8可以包括用于执行示例1-7中至少一项的方法的设备。
示例9可以包括非暂时性机器可读介质,该介质包括指令,当由机器执行时,使得机器执行包括示例1-7中的至少一项的方法的操作。
虽然上面已经详细描述了几个实施例,但是其他修改是可能的。例如,图中描绘的逻辑流程不需要所示的顺序,或者顺序次序,以实现期望的结果。可以从所描述的流程中提供其他步骤,或者可以消除步骤,并且可以将其他组件添加到所描述的系统中,或者从所描述的系统中移除。其他实施例可以在以下权利要求的范围内。
Claims (15)
1.一种用于云资源安全管理方法,所述方法包括:
获取云资源管理日志,所述云资源管理日志详细说明在云门户中由云资源的用户执行的动作,每个动作包括条目,所述条目包括以下中的至少两项:所述用户中的一个用户的用户标识(ID)、对所述云资源中的一个云资源执行的操作中的一个操作、作为所述操作的目标的所述云资源中的一个云资源的统一资源标识符(URI)、或所述操作被执行的时间;
确定针对所述云资源管理日志中的每个动作的相应的分数;
将所述相应的分数与指定的标准进行比较;以及
响应于确定所述相应的分数满足所述指定的标准,提供异常动作的指示。
2.根据权利要求1所述的方法,其中确定所述分数包括使用协同过滤。
3.根据权利要求2所述的方法,其中确定所述相应的分数包括组合针对以下中的至少两项的协同过滤分数:(i)所述用户ID和所述操作、(ii)所述用户ID和所述资源、(iii)所述操作和所述资源、或(iv)所述用户ID和所述时间。
4.根据权利要求3所述的方法,还包括生成二分图,所述二分图包括(i)所述用户中的各个用户和所述云资源中的各个云资源作为节点以及表示所述各个用户是否访问所述各个云资源的各个边;(ii)所述用户中的各个用户和所述操作中的各个操作为节点以及表示所述各个用户是否执行所述各个操作的各个边;或(iii)所述操作中的各个操作和所述云资源中的各个云资源作为节点以及表示所述各个操作是否对所述各个云资源来执行的各个边,并且其中所述协同过滤基于表示所生成的图的数据来执行。
5.根据权利要求1所述的方法,还包括在确定所述相应的分数之前,过滤所述云资源管理日志以仅包括由攻击方执行的操作,并且其中所述相应的分数基于过滤后的所述云资源管理日志来确定。
6.根据权利要求5所述的方法,由所述攻击方执行的所述操作包括运行命令、安装自定义脚本、更改防火墙规则、列出密钥、添加用户、或更改权限。
7.根据权利要求1所述的方法,其中提供异常动作的所述指示包括提供电子邮件、弹出消息、或文本消息,来指示与所述异常动作相对应的所述管理日志的所述动作。
8.一种计算设备,包括:
处理电路;
耦合到所述处理电路的存储器,所述存储器包括指令,当被所述处理电路执行时,使得所述处理电路执行用于云资源安全管理的操作,所述操作包括:
获取云资源管理日志,所述云资源管理日志详细说明在云门户中由云资源的用户执行的动作,每个动作包括条目,所述条目包括以下中的至少两项:所述用户中的一个用户的用户标识(ID)、对所述云资源中的一个云资源执行的操作中的一个操作、作为所述操作的目标的所述云资源中的一个云资源的统一资源标识符(URI)、或所述操作被执行的时间;
确定针对所述云资源管理日志中的每个动作的相应的分数;
将所述相应的分数与指定的标准进行比较;以及
响应于确定所述相应的分数满足所述指定的标准,提供异常动作的指示。
9.根据权利要求8所述的设备,其中确定所述分数包括使用协同过滤。
10.根据权利要求9所述的设备,其中确定所述相应的分数包括组合针对以下中的至少两项的协同过滤分数:(i)所述用户ID和所述操作、(ii)所述用户ID和所述资源、(iii)所述操作和所述资源、或(iv)所述用户ID和所述时间。
11.根据权利要求10所述的设备,还包括生成二分图,所述二分图包括(i)所述用户中的各个用户和所述云资源中的各个云资源作为节点以及表示所述各个用户是否访问所述各个云资源的各个边;(ii)所述用户中的各个用户和所述操作中的各个操作为节点以及表示所述各个用户是否执行所述各个操作的各个边;或(iii)所述操作中的各个操作和所述云资源中的各个云资源作为节点以及表示所述各个操作是否对所述各个云资源来执行的各个边,并且其中所述协同过滤基于表示所生成的图的数据来执行。
12.根据权利要求8所述的设备,还包括在确定所述相应的分数之前,过滤所述云资源管理日志以仅包括由攻击方执行的操作,并且其中所述相应的分数基于过滤后的所述云资源管理日志来确定。
13.根据权利要求12所述的设备,由所述攻击方执行的所述操作包括运行命令、安装自定义脚本、更改防火墙规则、列出密钥、添加用户、或更改权限。
14.根据权利要求8所述的设备,其中提供异常动作的所述指示包括提供电子邮件、弹出消息、或文本消息,来指示与所述异常动作相对应的所述管理日志的所述动作。
15.一种机器可读介质,包括指令,当由机器执行时,使得所述机器执行用于云资源安全管理的操作,所述操作包括权利要求1-7中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/333,534 US11716340B2 (en) | 2021-05-28 | 2021-05-28 | Threat detection using cloud resource management logs |
| US17/333,534 | 2021-05-28 | ||
| PCT/US2022/027755 WO2022250918A1 (en) | 2021-05-28 | 2022-05-05 | Threat detection using cloud resource management logs |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117461288A true CN117461288A (zh) | 2024-01-26 |
Family
ID=81750448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280038279.5A Pending CN117461288A (zh) | 2021-05-28 | 2022-05-05 | 使用云资源管理日志的威胁检测 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11716340B2 (zh) |
| EP (1) | EP4348932A1 (zh) |
| CN (1) | CN117461288A (zh) |
| WO (1) | WO2022250918A1 (zh) |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7627893B2 (en) * | 2005-10-20 | 2009-12-01 | International Business Machines Corporation | Method and system for dynamic adjustment of computer security based on network activity of users |
| US9210183B2 (en) * | 2013-12-19 | 2015-12-08 | Microsoft Technology Licensing, Llc | Detecting anomalous activity from accounts of an online service |
| US9727723B1 (en) | 2014-06-18 | 2017-08-08 | EMC IP Holding Co. LLC | Recommendation system based approach in reducing false positives in anomaly detection |
| US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US10599837B2 (en) * | 2016-03-31 | 2020-03-24 | International Business Machines Corporation | Detecting malicious user activity |
| US9853992B1 (en) * | 2016-05-02 | 2017-12-26 | Skyhigh Networks, Inc | Cloud service usage risk analysis based on user location |
| US10341373B2 (en) * | 2017-06-21 | 2019-07-02 | Symantec Corporation | Automatically detecting insider threats using user collaboration patterns |
| US11146581B2 (en) | 2018-12-31 | 2021-10-12 | Radware Ltd. | Techniques for defending cloud platforms against cyber-attacks |
| US11106789B2 (en) | 2019-03-05 | 2021-08-31 | Microsoft Technology Licensing, Llc | Dynamic cybersecurity detection of sequence anomalies |
| US11165791B2 (en) * | 2019-03-13 | 2021-11-02 | Microsoft Technology Licensing, Llc | Cloud security using multidimensional hierarchical model |
| US11245702B2 (en) * | 2019-05-08 | 2022-02-08 | Red Hat, Inc. | Security vulnerability assessment for users of a cloud computing environment |
| US11283837B2 (en) * | 2019-07-03 | 2022-03-22 | Microsoft Technology Licensing, Llc. | Domain-application attribution |
| US11176266B2 (en) * | 2020-01-02 | 2021-11-16 | Citrix Systems, Inc. | Restrictions on virtualized sessions using risk factor assessment |
| US11611629B2 (en) * | 2020-05-13 | 2023-03-21 | Microsoft Technology Licensing, Llc | Inline frame monitoring |
| US11822650B2 (en) * | 2020-12-16 | 2023-11-21 | Citrix Systems, Inc. | System and method for prevention of transfer of sensitive information |
-
2021
- 2021-05-28 US US17/333,534 patent/US11716340B2/en active Active
-
2022
- 2022-05-05 CN CN202280038279.5A patent/CN117461288A/zh active Pending
- 2022-05-05 WO PCT/US2022/027755 patent/WO2022250918A1/en active Application Filing
- 2022-05-05 EP EP22725111.3A patent/EP4348932A1/en active Pending
-
2023
- 2023-06-09 US US18/208,022 patent/US20230344849A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022250918A1 (en) | 2022-12-01 |
| US20230344849A1 (en) | 2023-10-26 |
| US11716340B2 (en) | 2023-08-01 |
| US20220385682A1 (en) | 2022-12-01 |
| EP4348932A1 (en) | 2024-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11948115B2 (en) | Systems and methods for monitoring information security effectiveness | |
| US11171925B2 (en) | Evaluating and modifying countermeasures based on aggregate transaction status | |
| US11089045B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US11323484B2 (en) | Privilege assurance of enterprise computer network environments | |
| JP7035096B2 (ja) | コンピューティング環境における特権ユーザの監視および異常なアクティビティの検出の手法 | |
| US10521584B1 (en) | Computer threat analysis service | |
| US20160065594A1 (en) | Intrusion detection platform | |
| US10165005B2 (en) | System and method providing data-driven user authentication misuse detection | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US10769045B1 (en) | Measuring effectiveness of intrusion detection systems using cloned computing resources | |
| US20200252422A1 (en) | Risk score generation for assets of an enterprise system utilizing user authentication activity | |
| US11481478B2 (en) | Anomalous user session detector | |
| US20210226928A1 (en) | Risk analysis using port scanning for multi-factor authentication | |
| US20180146002A1 (en) | Cyber Security System and Method Using Intelligent Agents | |
| US10521590B2 (en) | Detection dictionary system supporting anomaly detection across multiple operating environments | |
| US11563741B2 (en) | Probe-based risk analysis for multi-factor authentication | |
| US20230105087A1 (en) | Systems and methods for detecting malicious hands-on-keyboard activity via machine learning | |
| RU2758359C1 (ru) | Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами | |
| US11716340B2 (en) | Threat detection using cloud resource management logs | |
| US20240073223A1 (en) | Cloud attack detection via api access analysis | |
| US20220407863A1 (en) | Computer security using activity and content segregation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |