JP7473608B2 - クラウドサーバにおけるインスタンスリスクレベルを決定する方法、装置及び電子機器 - Google Patents

クラウドサーバにおけるインスタンスリスクレベルを決定する方法、装置及び電子機器 Download PDF

Info

Publication number
JP7473608B2
JP7473608B2 JP2022129599A JP2022129599A JP7473608B2 JP 7473608 B2 JP7473608 B2 JP 7473608B2 JP 2022129599 A JP2022129599 A JP 2022129599A JP 2022129599 A JP2022129599 A JP 2022129599A JP 7473608 B2 JP7473608 B2 JP 7473608B2
Authority
JP
Japan
Prior art keywords
monitoring
risk level
login
instance
monitored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022129599A
Other languages
English (en)
Other versions
JP2022166187A (ja
Inventor
ハオ チェン,
チャオピン ジ,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Publication of JP2022166187A publication Critical patent/JP2022166187A/ja
Application granted granted Critical
Publication of JP7473608B2 publication Critical patent/JP7473608B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Alarm Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、データ処理の分野に関し、特にデータセキュリティ及びクラウドプラットフォームの分野に関する。
クラウドコンピューティングの発展に伴い、ますます多くのクラウド製品が情報化インフラ、管理及び業務などの各方面に適用され、実現では、クラウド製品が提供するサービスは攻撃を受ける可能性があり、クラウド製品のデータが漏洩する可能性がある。
相関技術では、ユーザが製品に対するセキュリティ設定及び各製品に対する監視により、異常なセキュリティだけをレポートし、したがってクラウドにおける資源の製品のリスクモニタリングを実現する。リスクモニタリングリソースに対して多くの人的資源の消費が存在し、同時にクラウドにおけるリソースのすべての製品の安全係数を定期的かつ全面的に取得することができない。
そのため、クラウドサーバにおける製品に対するリスクモニタリングの適時性と包括性をどのように向上させるかは、現在解決すべき問題である。
本開示は、クラウドサーバにおけるインスタンスリスクレベルを決定する方法、装置及び電子機器を提供する。
本開示の第1の態様によれば、モニタリング対象のインスタンスのモニタリング項目と前記モニタリング項目のターゲットルールベースを取得するステップと、前記モニタリング対象のインスタンスの各前記モニタリング項目に対応するターゲット監視データを取得するステップと、各前記モニタリング項目に対して、前記モニタリング項目のターゲットルールベースとターゲット監視データに基づいて、各前記モニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定するステップと、を含むクラウドサーバにおけるインスタンスリスクレベルを決定する方法を提供する。
本開示の第2の態様によれば、モニタリング対象のインスタンスのモニタリング項目と前記モニタリング項目のターゲットルールベースを取得する取得モジュールと、前記モニタリング対象のインスタンスの各前記モニタリング項目に対応するターゲット監視データを取得するデータ抽出モジュールと、各前記モニタリング項目に対して、前記モニタリング項目のターゲットルールベースとターゲット監視データに基づいて、各前記モニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定する決定モジュールと、を備えるクラウドサーバにおけるインスタンスリスクレベルを決定する装置を提供する。
本開示の第3の態様によれば、電子機器を提供し、少なくとも1つのプロセッサと、該少なくとも1つのプロセッサと通信可能に接続されるメモリと、を備え、前記メモリには、前記少なくとも1つのプロセッサによって実行可能な命令が記憶されており、前記命令は、前記少なくとも1つのプロセッサが上記第1の態様に記載のクラウドサーバにおけるインスタンスリスクレベルを決定する方法を実行できるように、前記少なくとも1つのプロセッサによって実行される。
本開示の第4の態様によれば、コンピュータ命令が記憶されている非一時的なコンピュータ読み取り可能な記憶媒体を提供し、前記コンピュータ命令は、前記コンピュータに上記第1の態様に記載のクラウドサーバにおけるインスタンスリスクレベルを決定する方法を実行させる。
本開示の第5の態様によれば、コンピュータプログラムを提供し、前記コンピュータプログラムはプロセッサによって実行される場合、上記第1の態様に記載のクラウドサーバにおけるインスタンスリスクレベルを決定する方法を実現する。
なお、この部分に記載されている内容は、本開示の実施例の肝心または重要な特徴を特定することを意図しておらず、本開示の範囲を限定することも意図していないことを理解されたい。本開示の他の特徴は、以下の説明を通して容易に理解される。
図面は、本技術案をよりよく理解するために使用され、本開示を限定するものではない。
本開示の一実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。 本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。 本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。 本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。 本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。 本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。 本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。 本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。 本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。 本開示の一実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する装置の概略構成図である。 本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する装置の概略構成図である。 本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する装置の概略構成図である。 本開示の一実施例の電子機器の概略ブロック図である。
以下、図面と併せて本開示の例示的な実施例を説明し、理解を容易にするためにその中には本開示の実施例の様々な詳細事項が含まれており、それらは単なる例示的なものと見なすべきである。したがって、当業者は、本開示の範囲及び精神から逸脱しない限り、ここで説明される実施例に対して様々な変更と修正を行うことができることを認識されたい。同様に、明確及び簡潔にするために、以下の説明では、周知の機能及び構造の説明を省略する。
データ処理(data processing)は、データに対して分析と加工を行う技術プロセスであり、各種の元のデータの分析、整理、計算、編集などの加工と処理、及びデータの採集、記憶、検索、加工、変換と伝送を含む。データ処理の基本的な目的は、大量で、雑然としている可能性があり、理解しにくいデータから、特定の人々にとって価値のある有意義なデータを抽出し且つ導出することである。
データセキュリティ(data security)とは、必要な措置を撮ることにより、データが効果的に保護され且つ合法的に用いられる状態を確保し、持続的なセキュリティ状態を保障する能力を備えていることを指す。1つは、データ自体のセキュリティであり、主に現代暗号アルゴリズムでデータに対してアクティブに保護すると指す。2つは、データ保護のセキュリティは、主に現代情報記憶方法でデータに対してアクティブに保護することである。
クラウドコンピューティングプラットフォーム(Cloud Computing Platform)は、クラウドプラットフォームも呼ばれ、ハードウェアリソースとソフトウェアリソースに基づくサービスであり、コンピューティング、ネットワーク、ストレージ能力を提供する。クラウドコンピューティングプラットフォームは3種類に分けることができる。データストレージを主とするストレージ型クラウドプラットフォーム、データ処理を主とするコンピューティング型クラウドプラットフォーム、及びコンピューティングとデータストレージ処理を両立させる総合クラウドコンピューティングプラットフォームである。
図1は本開示の一実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。図1に示すように、当該方法は以下のステップS101~S103を含む。
S101、モニタリング対象のインスタンスのモニタリング項目とモニタリング項目のターゲットルールベースを取得する。
実装では、クライアントは、クラウドサーバにおけるインスタンスが提供するサービスにより、自身の関連機能を実現することができる。そのため、クラウドサーバにおけるインスタンスに対してデータセキュリティのモニタリングを行う必要がある。
本開示の実施例では、クラウドサーバにリスクモニタリングを行う必要があるモニタリング対象のインスタンスが存在し、モニタリング対象のインスタンスのために設定されたリスクモニタリング項目を設定することができ、モニタリング対象のインスタンスにおけるリスクモニタリング項目コンテンツに対応する情報に基づいて、モニタリング対象のインスタンスに関連する設定されたリスクレベルを判断する。
さらに、各モニタリング項目に対応するモニタリング基準を設定することができることは、各モニタリング項目における任意のインスタンスのセキュリティ操作の基準及び非セキュリティ操作のリスク判断基準を、対応するモニタリング項目のモニタリング基準として決定し、さらに各モニタリング項目のモニタリング基準に基づいて各モニタリング項目に対応するルールベースを構築し、それを各モニタリング項目のターゲットルールベースとして決定すると理解されることができる。
なお、モニタリング対象のインスタンスは、各モニタリング項目において、個別のターゲットルールベースが存在することは、異なるモニタリング対象のインスタンスの異なるモニタリング項目のターゲットルールベースは、個別に存在していると理解されることができる。
S102、モニタリング対象のインスタンスの各モニタリング項目に対応するターゲット監視データを取得する。
監視対象インスタンスがサービスを提供する中で、関連する操作データが記録されることができ、記録された関連する操作データをモニタリング対象のインスタンスの監視データとして決定することができる。さらに、モニタリング対象のインスタンスの監視データから,各モニタリング項目における対応するターゲット監視データを取得することができる。
選択的に、モニタリング対象のインスタンスの操作ログを取得でき、操作ログは、モニタリング対象のインスタンスの被監視記録の関連する操作タイプと対応する操作データを含むことができる。さらに、各モニタリング項目に対応するキーワードを設定し、キーワードに基づいて設定されたキーワードを含む関連する操作と各対応する操作データを操作タイプから選択し、各モニタリング項目に対応するターゲット監視データとして決定することができる。
各モニタリング項目に対応するターゲット監視データには、モニタリング対象のインスタンスの操作タイプ、操作時間、具体的な操作データなどが含まれることができる。
S103、各モニタリング項目に対して、モニタリング項目のターゲットルールベースとターゲット監視データに基づいて、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。
本開示の実施例では、異なるモニタリング項目に基づいてモニタリング対象のインスタンスに対してリスクレベルの判定を行うことができる。各モニタリング項目には、対応するターゲットルールベースが存在し、そのため、各モニタリング項目に対応するターゲット監視データを対応するターゲットルールベースのルールと比較し、比較結果に基づいて各モニタリング項目におけるモニタリング対象のインスタンスのリスクレベルの判断を実現することができる。
例えば、モニタリング項目がログインモニタリング項目を含むように設定し、モニタリング対象のインスタンスの設定時間範囲内のログイン監視データを取得した後、ログイン監視データからそれに関連する操作情報を取得することができる。さらに、ログインモニタリング項目に対応するターゲットルールベースにおける関連ルールに基づいて、ログインモニタリング項目におけるモニタリング対象のインスタンスのリスクレベルを判断する。
さらに、モニタリング対象のインスタンスに対する異なる操作のセキュリティ影響の度合いに基づいて、異なるレベルのターゲットリスクレベルを設定することができる。例えば、リスクのないシーンにおけるリスクレベルを通常に設定することができる。また、例えば、モニタリング対象のインスタンス動作の異常操作に影響を及ぼさないシーンにおけるリスクレベルを警告に設定することができる。また、例えば、モニタリング対象のインスタンス動作に影響を及ぼす異常操作のシーンにおけるリスクレベルをハイリスクに設定することもできる。
例えば、取得されたログインモニタリング項目に対応するターゲット監視データにおいて、モニタリング対象のインスタンのログインデータは、いずれもセキュリティ基準操作に対応するルールに適合する場合、現在のモニタリング対象のインスタンスがログインモニタリング項目においてリスクがないと判定することができ、対応するリスクレベルを正常に決定することができる。
また、例えば、取得されたログインモニタリング項目に対応するターゲット監視データにおいて、モニタリング対象のインスタンスに異常ログイン操作が存在する場合、異常ログインの影響度合いに基づいてログインモニタリング項目における現在モニタリング対象のインスタンスのリスクレベルが警告またはハイリスクであると判定することができる。
実装では、サーバは、設定された頻度に基づいて、モニタリング対象のインスタンスに対して自律的なリスクモニタリングを行うことができ、したがって、クラウドサーバにおけるインスタンスのリスクモニタリングが適時性の最適化を実現することができる。
本開示によって提案されたクラウドサーバにおけるインスタンスリスクレベルを決定する方法は、モニタリング対象のインスタンスのモニタリング項目と各モニタリング項目に対応するターゲットルールベースを取得し、各モニタリング項目におけるモニタリング対象のインスタンスの対応するターゲット監視データを取得した後、各モニタリング項目におけるターゲット監視データとターゲットルールベースに基づいて、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。本開示では、設定された頻度に基づいてクラウドサーバにおけるインスタンスに対してリスクモニタリングを行うことができ、クラウドサーバにおけるインスタンスに対する自律的なリスクモニタリングを実現し、リスクモニタリングの時効性を強化し、複数のモニタリング項目を設定して各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを取得し、クラウドサーバにおけるインスタンスのリスクモニタリングの包括性を最適化する。
上記実施例では、ターゲットリスクレベルの決定について、図2と併せてさらに理解することができ、図2は、本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。図2に示すように、当該方法は以下のステップS201~S203を含む。
S201、ターゲット監視データにおける各種類の監視サブデータに対して、ターゲットルールベースから、各種類の監視サブデータの異常認識ルールを取得する。
実装では、モニタリング対象のインスタンスの各モニタリング項目には、異なるタイプのモニタリングコンテンツが含まれることができ、各モニタリング項目におけるサブモニタリング項目として識別するこができ、各サブモニタリング項目のリスクレベルに基づいてそれに対応するモニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを生成することができる。
さらに、各モニタリング項目におけるサブモニタリング項目に基づいて、各モニタリング項目におけるモニタリング対象のインスタンスに対応するターゲット監視データから、サブモニタリング項目に対応する監視データを対応する監視サブデータとして決定することができる。ターゲット監視データには複数のタイプの監視サブデータが含まれることができる。
各種類の監視サブデータのリスクレベルに対する判断を実現するために、各種類の監視サブデータに基づいて、各モニタリング項目に対応するターゲットルールベースから、各種類の監視サブデータに対応するリスク判断ルールを取得し、各種類の監視サブデータに対応する異常認識ルールとして決定する必要がある。
選択的に、モニタリング対象のインスタンスの各モニタリング項目に対応するターゲットルールベースに対して予め定義を行い、サーバの設定位置に記憶することができ、リスクレベルのモニタリングを行う時、設定された記憶位置から取り出してロードすることができ、モニタリング対象のインスタンスの異なるモニタリング項目に基づいて、各モニタリング項目におけるモニタリング対象のインスタンスに対応するターゲットルールベースをそれぞれロードし、さらに各モニタリング項目に対応するターゲットルールベースから各種類の監視サブデータに対応する異常認識ルールを取得する。
S202、異常認識ルールを満たす各種類の監視サブデータを認識する。
さらに、各種類の監視サブデータに対応する異常認識ルールを決定した後、各種類の監視サブデータから対応する異常認識ルールを満たす監視サブデータを認識することができ、当該部分の監視サブデータのリスクレベルに対する判断により、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルの判断を実現する。
選択的に、異常認識ルールにおける操作タイプと対応するリスクレベル判定基準に基づいて、対応するキーワードを設定することができ、キーワードに基づいてターゲット監視データから各キーワードに対応する操作監視データを抽出し、それを対応する異常認識ルールを満たす監視サブデータとして決定することができる。
例えば、ログインモニタリング項目におけるモニタリング対象のインスタンスのログイン監視データに、ログインアドレス監視データ、ログイン時間監視データ、ログイン頻度監視データが含まれると設定する場合、ログインアドレス監視データ、ログイン時間監視データ、ログイン頻度監視データをログイン監視データの複数のタイプの監視サブデータとして決定することができる。
さらに、ログインアドレス監視データに対応する異常認識ルールに、オフサイトログインに対応する異常認識ルールが含まれると設定する場合、ログインアドレス監視サブデータからオフサイトログインの監視データを選択し、異常認識ルールを満たす監視サブデータとして決定することができる。
S203、異常認識ルールを満たす各種類の監視サブデータに基づいて、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。
本開示の実施例では、各種類の監視サブデータに対応する異常認識ルールには、それに対応する監視サブデータのリスク判定基準が含まれる。そのため、監視サブデータをそれに対応する異常認識ルールと比較し、監視サブデータが満たされた異常認識ルールを決定することができ、当該異常認識ルールに対応するリスクレベルが、監視サブデータに対応するリスクレベルである。
さらに、各モニタリング項目に対応するターゲット監視データにおける決定モニタリング対象のインスタンスの各種類の監視サブデータが属すリスクレベルを決定し、さらに各モニタリング項目におけるモニタリング対象のインスタンスに対応するターゲットリスクレベルを決定する。
例えば、ログインモニタリング項目にログインアドレスサブモニタリング項目及びログイン頻度サブモニタリング項目が含まれると設定し、ログイン監視データからログインアドレス監視サブデータ及びログイン頻度監視サブデータを取得することができ、ログインアドレスサブ監視項目に対応する異常認識ルールにより、ログインアドレス監視サブデータから異常認識ルールを満たす監視サブデータをフィルタリングし、さらにフィルタリングされた監視サブデータに対応するリスクレベルを決定する。
さらに、各ログインモニタリング項目におけるサブモニタリング項目のリスクレベルを決定した後、各サブモニタリング項目に対応するリスクレベルに基づいて、さらにログインモニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。
本開示によって提案されるクラウドサーバにおけるインスタンスリスクレベルを決定する方法は、異なる監視サブデータのタイプに基づいて、ターゲットルールベースからそれに対応する異常認識ルールを決定し、異常認識ルールに基づいて各監視サブデータが属すリスクレベルを判断し、さらに各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。本開示では、複数のモニタリング項目を設定して各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを取得し、クラウドサーバにおけるインスタンスのリスクモニタリングの包括性を最適化する。
実装では、モニタリング対象のインスタンスのモニタリング項目を予め設定することができ、選択的に、ログインセキュリティ、権限設定セキュリティ、及びプラグイン設定セキュリティの面から、モニタリング対象のインスタンスに対してリスクモニタリングを行うことができる。ログインセキュリティに対するリスクモニタリングに基づいてモニタリング対象のインスタンスのログインモニタリング項目を生成することができ、権限設定セキュリティに対するリスクモニタリングに基づいてモニタリング対象のインスタンスの権限モニタリング項目を生成することができ、プラグイン設定セキュリティに対するリスクモニタリングに基づいてモニタリング対象のインスタンスのプラグインモニタリング項目を生成することができる。
選択的に、異なるリスクの度合いに基づいて、第1のリスクレベルと第2のリスクレベルのような異なるリスクレベルを設定することができ、第1のリスクレベルが第2のリスクレベルより高い。
そのため、第1のリスクレベルがハイリスクであり、第2のリスクレベルが警告であると設定することができる。
さらに、ログインモニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルの判定については、図3と併せることができ、図3は本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。図3に示すように、当該方法は、以下のステップS301~S303を含む。
S301、モニタリング対象のインスタンスのログイン監視データを取得し、ログイン監視データがモニタリング対象のインスタンスのログインIPアドレスとログイン頻度を含む。
本開示の実施例では、モニタリング対象のインスタンスのログインリスクモニタリングに対して、それに対応するログインモニタリング項目がログインIPアドレスサブモニタリング項目とログイン頻度サブモニタリング項目を含むことができる。
ログインIPアドレスサブモニタリング項目は、モニタリング対象のインスタンスのログインIPに対してリスクモニタリングを行うモニタリング項目であり、ログイン頻度サブモニタリング項目はモニタリング対象のインスタンスのログイン頻度に対してリスクモニタリングを行うモニタリング項目である。
さらに、モニタリング対象のインスタンスの記録された操作データから、ログインモニタリング項目に関連する操作データを取得し、それをログインモニタリング項目におけるモニタリング対象のインスタンスのログイン監視データとして決定することができる。
ログインモニタリング項目におけるログインIPアドレスサブモニタリング項目とログイン頻度サブモニタリング項目に基づいて、ログインモニタリング項目に対応するモニタリング対象のインスタンスのターゲット監視データから、ログインIPアドレスサブモニタリング項目とログイン頻度サブモニタリング項目に対応する監視サブデータをそれぞれ取得することができる。
選択的に、ログインIPアドレスサブモニタリング項目に対応する監視サブデータは、設定時間範囲内にログインモニタリング対象のインスタンスログインIPが属するアドレスであってもよく、ログイン頻度サブモニタリング項目に対応する監視サブデータは、毎回のログインモニタリング対象のインスタンスのログイン時間に基づいて決定されたモニタリング対象のインスタンスの設定時間範囲内のログイン頻度であってもよい。
なお、ログイン監視データの属する時間範囲は、モニタリング対象のインスタンスのリスクモニタリングに対するユーザのニーズに基づいて設定することができ、例えば、1週間または2週間であり、ここでは限定しない。
S302、ログインIPアドレスとログイン頻度におけるそれぞれの異常ログイン認識ルールを満たすログイン監視サブデータを取得する。
本開示の実施例では、ログインモニタリング項目におけるモニタリング対象のインスタンスに対応するターゲットルールベースから、ログインIPアドレスサブモニタリング項目とログイン頻度サブモニタリング項目に対応する異常ログイン認識ルールをそれぞれ取得することができる。例えばログインIPアドレスサブモニタリング項目に対応する異常ログイン認識ルールは、オフサイトログイン認識ルールを含むことができ、また、例えばログイン頻度サブモニタリング項目に対応する異常ログイン認識ルールは、高頻度ブルートフォースログイン認識ルールを含むことができる。
さらに、ログインIPアドレスサブモニタリング項目に対応する異常ログイン認識ルールに基づいて、ログインIPアドレスサブモニタリング項目に対応する監視サブデータから、ログインIPアドレスサブモニタリング項目に対応する異常ログイン認識ルールを満たす監視サブデータを認識する。例えば、設定時間範囲内のモニタリング対象のインスタンスのログインIPアドレスのデータから、履歴安全ログインIPアドレスと一致しない異常ログインデータをフィルタリングし、当該異常ログインデータは、ログインIPアドレスサブモニタリング項目に対応する異常ログイン認識ルールを満たす監視サブデータである。
それに対応して、ログイン頻度サブモニタリング項目に対応する異常ログイン認識ルールに基づいて、ログイン頻度サブモニタリング項目に対応する監視サブデータから、ログイン頻度サブモニタリング項目に対応する異常ログイン認識ルールを満たす監視サブデータを認識する。例えば、設定時間範囲内のモニタリング対象のインスタンスのログイン頻度のデータから、履歴安全ログイン頻度と一致しない異常高頻度ログインのデータをフィルタリングし、当該異常高頻度ログインのデータは、ログイン頻度サブモニタリング項目に対応する異常ログイン認識ルールを満たす監視サブデータである。
さらに、各サブモニタリング項目に対応する監視サブデータを統合し、さらにログインモニタリング項目において、各サブモニタリング項目のうち異常ログイン認識ルールを満たすログイン監視サブデータを取得する。
S303、それぞれの異常ログイン認識ルールを満たすログイン監視サブデータに基づいて、ログインモニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。
本開示の実施例では、ログインモニタリング項目におけるモニタリング対象のインスタンスのログイン監視データのうちの異常ログイン認識ルールを満たすグイン監視サブデータを取得した後、異常ログイン認識ルールのうちのリスクレベルの判断ルールに基づいて、異常ログイン認識ルールを満たすログイン監視サブデータに対してリスクレベルの判断を行うことができ、さらにログインモニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを取得する。
さらに、ログインIPアドレスサブモニタリング項目のログイン監視サブデータをそれに対応する異常ログイン認識ルールと比較することができる。
ログインIPアドレスに非履歴安全ログインIPアドレスが存在することに応答し、ログインモニタリング項目におけるターゲットリスクレベルが第1のリスクレベルであると決定する。
本開示の実施例では、サーバは、モニタリング対象のインスタンスの履歴ログインデータに基づいて、モニタリング対象のインスタンスの履歴安全ログインIPアドレスを取得することができ、実装では、モニタリング対象のインスタンスのホストログインIPアドレスは往々にして固定されており、そのため、ログインIPアドレスサブモニタリング項目に対応する監視サブデータに、履歴安全ログインIPアドレスと異なる異常ログインIPアドレスが存在する場合、モニタリング対象のインスタンスにオフサイトログインが発生したと判断することができる。異常ログイン認識ルールに基づいてオフサイトログインのリスクレベルの設定を判断し、ログインIPアドレスモニタリング項目における現在モニタリング対象のインスタンスのリスクレベルは第1のリスクレベルである。
さらに、ログイン頻度サブモニタリング項目のログインモニタリングサブデータをそれに対応する異常ログイン認識ルールと比較することができる。
ログイン頻度が設定頻度の閾値以上であることに応答し、ログインに成功すると、ログインモニタリング項目におけるターゲットリスクレベルが第1のリスクレベルであると決定する。または、ログイン頻度が設定頻度の閾値以上であることに応答し、ログインに失敗すると、ログインモニタリング項目におけるターゲットリスクレベルが第2のリスクレベルであると決定する。
本開示の実施例では、クラウドサーバにおけるインスタンスに高頻度ブルートフォースログインがある可能性があり、ブルートフォースログインは短時間内に高頻度で行われるログイン操作と理解できる。選択的に、ブルートフォースログインは、ログインパスワードに対するブルートフォースクラックによって生成する可能性があり、そのため、モニタリング対象のインスタンスのログイン頻度に対してセキュリティ検出を行う必要がある。
選択的に、頻度の閾値を予め設定することができ、ログイン頻度サブモニタリング項目において、モニタリング対象のインスタンスに対応する監視サブデータにおけるログイン頻度が設定された頻度の閾値以上である場合、現在のモニタリング対象のインスタンスに、ブルートフォースログインの場合が出現する可能性があると判断することができる。
さらに、ブルートフォースログインの結果に基づいて、ログイン頻度サブモニタリング項目におけるモニタリング対象のインスタンスのリスクレベルを決定することができる。
ブルートフォースログインに成功する場合、現在、モニタリング対象のインスタンスのログインパスワードに対するブルートフォースクラックに成功したと理解することができ、当該シーンでは、モニタリング対象のインスタンスに大きなリスクがあり、そのため、ログイン頻度が予め設定された頻度の閾値以上であるとともに、ログインに成功した場合に対応するリスクレベルを高い第1のリスクレベルと判断することができる。
それに対応して、ブルートフォースログインに失敗した場合、現在モニタリング対象のインスタンスのログインパスワードに対するクラックに失敗したと理解することができ、当該シーンでは、モニタリング対象のインスタンスに対するブルートフォースログインが発生したが、当該ブルートフォースログイン行為が傍受されているため、ログイン頻度が設定された頻度の閾値以上であり、且つログインに失敗した場合に対応するリスクレベルを、第2のリスクレベルと判断することができる。
さらに、異なるリスクレベルの設定により、ユーザは異なるリスクレベルに基づいて異なる対応措置をとることができる。
さらに、ログインIPアドレスサブモニタリング項目におけるモニタリング対象のインスタンスのリスクレベルと、ログイン頻度サブモニタリング項目におけるリスクレベルを統合し、さらにログインモニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを生成することができる。
本開示によって提案されるクラウドサーバにおけるインスタンスリスクレベルを決定する方法は、ログインモニタリング項目におけるログインIPアドレスモニタリング項目のリスクレベル、及びログイン頻度モニタリング項目におけるリスクレベルに対する判断により、ログインモニタリングにおけるモニタリング対象のインスタンスのターゲットリスクレベルの決定を実現する。クラウドサーバにおけるインスタンスの自律的リスクモニタリングにより、ログインモニタリング項目におけるインスタンスのターゲットリスクレベルを決定し、リスクレベル取得の時効性、及びインスタンスのリスクレベル取得の包括性を最適化する。
上記実施例では、権限モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルの判定について、図4と併せて理解することができ、図4は、本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。図4に示すように、当該方法は、以下のステップS401~S403を含む。
S401、モニタリング対象のインスタンスの権限監視データを取得し、権限監視データが、モニタリング対象のインスタンスの複数の権限許可項目を含む。
本開示の実施例では、モニタリング対象のインスタンスの権限設定に対応する権限モニタリング項目が存在し、モニタリング対象のインスタンスの記録された操作データから、権限モニタリング項目におけるそれの権限監視データを取得することができる。権限監視データがモニタリング対象のインスタンスの権限許可データであってもよく、現在モニタリング対象のインスタンスの複数の権限許可項目を含む。
S402、複数の権限許可項目のうち異常権限認識ルールを満たす異常権限許可項目を取得する。
本開示の実施例では、モニタリング対象のインスタンスの権限モニタリング項目に対応するターゲットルールベースから、複数の権限許可項目に対応する異常権限認識ルールを取得することができる。異常権限認識ルールは異常権限許可の認識ルールを含むことができる。
選択的に、モニタリング対象のインスタンスの履歴監視データから、その履歴安全権限許可項目を取得することができ、さらに権限監視データから、履歴安全権限許可項目範囲以外の異常権限許可項目を取得して、異常権限認識ルールを満たす異常権限許可項目として決定する。
例えば、モニタリング対象のインスタンスの履歴権限オン範囲に権限A、権限B、権限Cが含まれ、モニタリング対象のインスタンスの複数の権限許可項目に権限A、権限D、権限Eが含まれるように設定すると、権限モニタリング項目に対応する異常権限認識ルールから、権限Dと権限Eが異常権限許可項目であることがわかる。
S403、異常権限認識ルールを満たす異常権限許可項目に基づいて、権限モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。
本開示の実施例では、異常権限認識ルールにおける異常権限許可項目のリスクレベルに対する判定ルールに基づいて、異常権限許可項目のリスクレベルを決定することができ、権限モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルに対する判定を実現する。
実装では、モニタリング対象のインスタンスにセキュリティ権限許可項目データが存在することは、当該データにおける権限が許可された場合、モニタリング対象のインスタンスの情報セキュリティが影響されないと理解されることができる。セキュリティ権限許可項目データをモニタリング対象のインスタンスの権限設定ホワイトリストとして決定することができる。
さらに、異常権限許可項目が権限設定ホワイトリストに存在することに応答して、権限モニタリング項目におけるターゲットリスクレベルを第1のリスクレベルとして決定する。
異常権限認識ルールを満たす異常権限許可項目を、設定された権限設定ホワイトリストと比較することができ、異常権限許可項目が権限設定ホワイトリストに属しない場合、現在の異常権限許可項目はモニタリング対象のインスタンスのセキュリティ権限許可範囲にないと理解することができ、そのため、それに対応するリスクレベルをより高い第1のリスクレベルとして決定することができる。
さらに、異常権限許可項目が権限設定ホワイトリストに存在することに応答して、権限モニタリング項目におけるターゲットリスクレベルを第2のリスクレベルとして決定する。
異常権限許可項目を権限設定ホワイトリストと比較することができ、異常権限許可項目が権限設定ホワイトリストに属する場合は、異常権限許可項目が履歴安全権限許可項目に属しないが、オンにされてもモニタリング対象のインスタンスの情報セキュリティに影響せず、そのため、権限モニタリング項目における現在モニタリング対象のインスタンスのターゲットリスクレベルを第2のリスクレベルとして判断できると理解することができる。
さらに、異常権限許可項目が権限設定ホワイトリストに存在することに応答し、異常権限許可項目の項目数が予め設定された項目数閾値以上である場合、権限モニタリング項目におけるターゲットリスクレベルを第2のリスクレベルとして決定する。
本開示の実施例では、モニタリング対象のインスタンスの権限許可項目は設定された項目数閾値が存在することができ、当該項目数閾値は、日常動作のシーンにおいて、モニタリング対象のインスタンスが許可する履歴安全許可項目の項目数であると理解することができ、そのため、当該項目数閾値に基づいてモニタリング対象のインスタンスに対する権限設定に基づいてリスクモニタリングを行うことができる。
異常権限許可項目の項目数が設定された項目数閾値以上である場合は、現在のモニタリング対象のインスタンスには権限が過渡的にオンにされた場合がある可能性があると理解されることができ、過渡的にオンにされた異常権限許可項目に対してさらに判断することができ、さらに現在シーンに対応するリスクレベルを決定する。
一つの可能性として、過渡的にオンにされた異常権限許可項目に権限設定ホワイトリストに属しない権限許可項目が存在する場合、上記実施例の詳細なコンテンツから、当該シーンに対応するリスクレベルがより高い第1のリスクレベルであるとわかる。
1つの可能性として、過渡的にオンにされた異常権限許可項目がいずれも、権限設定ホワイトリストに存在する場合、現在シーンに対応するリスクレベルが第2のリスクレベルであると判断することができる。
本開示によって提案されるクラウドサーバにおけるインスタンスリスクレベルを決定する方法は、権限モニタリング項目に対応する異なる場合に対して対応するリスクレベルを判断することにより、さらに権限モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルの決定を実現する。クラウドサーバにおけるインスタンスに対する自律的リスクモニタリングにより、権限モニタリング項目におけるインスタンスのターゲットリスクレベルを決定し、リスクレベル取得の時効性、及びインスタンスのリスクレベル取得の包括性を最適化する。
上記実施例では、プラグインモニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルの判定について、図5と併せて理解することができ、図5は、本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。図5に示すように、当該方法は以下のステップS501~S502を含む。
S501、モニタリング対象のインスタンスのセキュリティプラグイン監視データを取得し、セキュリティプラグイン監視データがモニタリング対象のインスタンスのセキュリティプラグインの状態を含む。
本開示の実施例では、モニタリング対象のインスタンスセキュリティプラグインの作動により、モニタリング対象のインスタンスの情報セキュリティに対する保護、例えば情報のセキュリティ伝送、また、例えば、攻撃に対するセキュリティブロックを実現することができる。
そのため、モニタリング対象のインスタンスに対してセキュリティプラグインのリスクモニタリングを行う必要があり、モニタリング対象のインスタンスのためにプラグインモニタリング項目を設定することができる。
さらに、モニタリング対象のインスタンスの記録された操作データから、プラグインモニタリング項目における対応するセキュリティプラグイン監視データを取得することができ、セキュリティプラグイン監視データがモニタリング対象のインスタンスのセキュリティプラグインの状態データ、例えばセキュリティプラグインが作動状態の関連するデータであるか否か、を含む。
S502、セキュリティプラグインの状態のうち、オンにされていない状態が存在することに応答して、プラグインモニタリング項目におけるターゲットリスクレベルを第2のリスクレベルとして決定する。
さらに、モニタリング対象のインスタンスにおける各セキュリティプラグインのオン状態に基づいて対応するリスクレベルの判定を行うことができる。セキュリティプラグインがオンにされていない場合、モニタリング対象のインスタンスは正常に動作できるが、データが漏洩したり攻撃されたりするなど関連するセキュリティ危険性が存在する可能性があるため、当該シーンに対応するリスクレベルに対して、第2のリスクレベルとして決定することができる。
例えば、モニタリング対象のインスタンスにセキュリティトランスポートプロトコルが存在すると設定し、モニタリング対象のインスタンスに対応するセキュリティプラグイン監視データにおける各セキュリティプラグインの状態を取得することにより、現在のセキュリティトランスポートプロトコルが有効になっていないとわかる。さらに、セキュリティトランスポートプロトコルを有効にしないことはモニタリング対象のインスタンスの通常の動作に影響せず、現在のモニタリング対象のインスタンスにデータが漏洩するリスクが存在する可能性がある。
そのため、プラグインモニタリング項目における現在モニタリング対象のインスタンスのターゲットリスクレベルを第2のリスクレベルとして決定することができる。
また、例えば、モニタリング対象のインスタンスにセキュリティコンポーネントが存在すると設定し、モニタリング対象のインスタンスに対応するセキュリティプラグイン監視データにおける各セキュリティプラグインの状態から、現在のセキュリティコンポーネントがモニタリング対象のインスタンスによって有効にされていないとわかる。さらに、セキュリティコンポーネントを有効にするには、モニタリング対象のインスタンスの通常の動作に影響せず、現在のモニタリング対象のインスタンスに攻撃されるリスクが存在する可能性がある。
そのため、プラグインモニタリング項目における現在モニタリング対象のインスタンスのターゲットリスクレベルを第2のリスクレベルとして決定することができる。
本開示によって提案されるクラウドサーバにおけるインスタンスリスクレベルを決定する方法は、セキュリティプラグインに対する作動状態により、権限モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルの決定を実現する。クラウドサーバにおけるインスタンスの自律的リスクモニタリングにより、プラグインモニタリング項目におけるインスタンスのターゲットリスクレベルを決定し、リスクレベル取得の時効性、及びインスタンスのリスクレベル取得の包括性を最適化する。
上記の実施例に加えて、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定した後、図6と併せてさらに理解することができ、図6は、本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。図6に示すように、当該方法は以下のステップ601~603を含む。
S601、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを取得する。
本開示の実施例では、モニタリング対象のインスタンスの異なるモニタリング項目に基づいて、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを取得した後、対応するリスクレポートを生成することができる。
1つの可能な実現形態として、クライアントによって対応するリスクレポートを生成することができる。
S602、ターゲットリスクレベルをクライアントに送信し、ターゲットリスクレベルが、クライアント側でモニタリング対象のインスタンスのリスクレポートを生成することに使用される。
本開示の実施例では、サーバが各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを取得した後、それを対応するクライアントに送信することができ、クライアントによってリスクレポートして生成する。
選択的に、リスクレポートは各モニタリング項目におけるすべてのモニタリング対象の実施例のターゲットリスクレベルを含むことができ、セキュリティ操作基準に適合するリスクのないモニタリング対象の実施例に対して、各モニタリング項目において正常であるようなリスクのない識別を行うことができる。
別の可能な実現形態として、サーバによって対応するリスクレポートを生成することができる。
S603、ターゲットリスクレベルに基づいてリスクレポートを生成し、リスクレポートをクライアントに送信する。
本開示の実施例では、サーバは、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを取得した後、対応するリスクレポートを直接生成し、生成されたリスクレポートをクライアントに伝送し、クライアントによって示すことができる。
さらに、リスクレポートは、可視化された方式で表示することができ、例えば、リストで表示したり、グラフで表示したりすることができ、さらにリスクレポートをより直感的に表示することができる。
選択的に、クライアントに対応するデータモジュールを設定することができ、リスクレポートをデータモジュールに記憶し、ユーザが現在のリスクレポートを参照しながら、履歴リスクレポートに対し閲覧することも実現することができる。
本開示の実施例によって提案されるクラウドサーバにおけるインスタンスリスクレベルを決定する方法は、ターゲットリスクレベルに基づいてモニタリング対象のインスタンスのリスクレポートを生成し、設定された方式で示し、ユーザの体験度を効果的に最適化する。
上記実施例では、モニタリング対象のインスタンスの決定について、図7と併せてさらに理解することができ、図7は、本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。図7に示すように、当該方法は以下のステップS701~702を含む。
S701、クライアントの識別子に基づいて、クライアントに対応する候補インスタンスの状態パラメータを取得する。
実装では、クラウドサーバに複数のインスタンスが存在し、インスタンスに対するリスクレベル判定の効率を確保するために、サーバは、すべてのインスタンスに対してフィルタリングすることができ、さらに、そのうちのリスクモニタリングを行う必要があるモニタリング対象のインスタンスを取得する。
選択的に、インスタンスの状態に基づいてフィルタリングすることができる。
サーバは、クライアントの識別子に基づいて、クライアントに対応する候補インスタンスを取得することができる。クライアントの識別情報に基づいて、ユーザが使用できるインスタンスを決定し、当該部分のインスタンスを候補インスタンスとして決定できると理解することができる。
選択的に、サーバは、インスタンスデータインタフェースから、クライアントの識別情報に基づいて候補インスタンスを取得することができる。
さらに、候補インスタンスの属性情報により、候補インスタンスの状態パラメータを決定することができる。状態パラメータが、有効、無効などを含むことができる。
選択的に、サーバは、インスタンスパラメータデータインタフェースから、候補インスタンスの属性情報を取得し、さらに候補インスタンスの状態パラメータを決定することができる。
S702、状態パラメータに基づいて、候補インスタンスから有効状態であるインスタンス選択し、有効状態であるインスタンスをモニタリング対象のインスタンスとして決定する。
本開示の実施例では、クラウドサーバにおけるインスタンスに無効状態が存在することは、当該状態であるインスタンスがユーザのために正常なサービスを提供できないため、ユーザのために正常なサービスを提供できるインスタンスのみをリスクモニタリングする必要があると理解することができる。
選択的に、予めモニタリング対象のインスタンスの状態パラメータのフィルタリング基準に基づいて、対応するフィルタリングルールを決定し、設定位置に記憶することができる。
さらに、すべての候補インスタンスの状態パラメータを取得した後、フィルタリングルールを取り出し、フィルタリングルールに基づいてすべての候補インスタンスから有効状態である候補インスタンスを選択し、リスクモニタリングを行う必要があるモニタリング対象のインスタンスとして決定することができる。
例えば、候補インスタンスXの状態が無効であり、候補インスタンスYの状態が有効であり、候補インスタンスZの状態が有効である場合、フィルタリングルールに基づいて、候補インスタンスYと候補インスタンスZとを、リスクモニタリングを行う必要があるモニタリング対象のインスタンスとして決定することができる。
本開示によって提案されるクラウドサーバにおけるインスタンスリスクレベルを決定する方法は、候補インスタンスの状態パラメータに基づいて決定リスクモニタリングを行う必要があるモニタリング対象のインスタンスを決定し、リスクモニタリングの範囲を縮小し、クラウドサーバにおけるインスタンスリスクレベル判定に対する効率を効果的に向上させる。
実装では、サーバは、クライアントの関連命令に基づいてモニタリング対象のインスタンスに対してリスクモニタリングを行うことができ、図8と併せてさらに理解することができ、図8は、本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。図8に示すように、当該方法は、以下のステップS801~S802を含む。
S801、クライアントから送信されたリスクモニタリングタスクを受信する。
本開示の実施例では、サーバは、設定された頻度に基づいてクラウドサーバにおけるインスタンスに対してリスクモニタリングを行うことができ、リスクモニタリングの設定頻度は、クライアントから送信されたリスクモニタリングタスクを介して取得することができる。
選択的に、ユーザは、クライアントによってサーバにリスクモニタリングタスクを送信することができ、リスクモニタリングタスクは、ユーザによって設定されたリスクモニタリング頻度に基づいて生成することができる。
選択的に、ユーザは、さらに任意の設定時間にクライアントによってサーバにリスクモニタリングタスクを送信することができる。
S802、リスクモニタリングタスクに基づいて、モニタリング対象のインスタンスに対してリスクモニタリングを行う。
さらに、サーバは、受信されたリスクモニタリングタスクに基づいてモニタリング対象のインスタンスに対してリスクモニタリングを行うことができる。
選択的に、サーバは、設定された頻度に基づいて生成されたリスクモニタリングタスクを受信した後、それからリスクモニタリングを行う設定頻度を抽出し、さらに当該頻度に基づいてモニタリング対象のインスタンスに対する自律的リスクモニタリングを実現することができる。
選択的に、サーバは、任意の設定時間に基づいて生成されたリスクモニタリングタスクを受信した後、設定されたリスクモニタリング時間を抽出し、当該設定時間に基づいてモニタリング対象のインスタンスに対してリスクモニタリングを行う。
本開示によって提案されるクラウドサーバにおけるインスタンスリスクレベルを決定する方法は、リスクモニタリングタスクにおける設定時間や設定頻度に基づいて、モニタリング対象のインスタンスに対する自律的巡回検査を実現し、リスクレベル取得の適時性を効果的に向上させる。
さらに、上記の実施例をよりよく理解するために、図9と併せて説明することができる。図9は、本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する方法のフローチャートである。図9に示すように、S901~S905を含む。
S901、クラウドサーバにおけるモニタリング対象のインスタンスを取得する。
S902、各モニタリング項目におけるモニタリング対象のインスタンスのターゲット監視データを取得する。
S903、各モニタリング項目におけるモニタリング対象のインスタンスに対応するターゲットルールベースを呼び出す。
S904、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを判定する。
S905、リスクレポートを生成する。
クラウドサーバにおけるリスクモニタリングを行う必要があるモニタリング対象のインスタンスを決定した後、設定されたモニタリング項目に基づいて、各モニタリング項目におけるモニタリング対象のインスタンスのターゲット監視データを取得することができる。さらに、予め定義された各モニタリング項目におけるモニタリング対象のインスタンスに対応するターゲットルールベースを呼び出し、各モニタリング項目におけるターゲット監視データとターゲットルールベースに基づいて、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルの判定を実現する。
さらに、図10に示すように、図10は、本開示の一実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する装置の概略構成図である。以下のステップを含む。
ユーザはクライアント10を介してリスクモニタリングタスクを送信し、サーバ20に送信し、サーバ20は、取得されたリスクモニタリングタスクに基づいて、クラウドサーバ30におけるインスタンスに対してリスクレベルの判断を行い、クラウドサーバ30における各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを取得した後、対応するリスクレポートを生成してクライアント10に送信することができ、ターゲットリスクレベルをクライアント10に送信した後、クライアント10によって対応するリスクレポートを生成し、リスクレポートをクライアント10によってユーザに示すことができる。
生成されたリスクレポートをデータモジュール40に記憶して、ユーザが履歴リスクレポートに対する呼び出しを実現することができる。
本開示では、設定された頻度に基づいてクラウドサーバにおけるインスタンスに対してリスクモニタリングを行うことができ、クラウドサーバにおけるインスタンスに対する自律的なリスクモニタリングを実現し、リスクモニタリングの時効性を強化し、複数のモニタリング項目を設定して各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを取得し、クラウドサーバにおけるインスタンスのリスクモニタリングの包括性を最適化する。
上記のいくつかの実施例によって提供されるクラウドサーバにおけるインスタンスリスクレベルを決定する方法に対応して、本開示の一実施例は、クラウドサーバにおけるインスタンスリスクレベルを決定する装置をさらに提供し、本開示の実施例によって提供されるクラウドサーバにおけるインスタンスリスクレベルを決定する装置は、上記のいくつかの実施例によって提供されるクラウドサーバにおけるインスタンスリスクレベルを決定する方法に対応するため、上記クラウドサーバにおけるインスタンスリスクレベルを決定する方法の実施形態は、本開示の実施例によって提供されるクラウドサーバにおけるインスタンスリスクレベルを決定する装置にも適用し、以下の実施例では詳細に説明しない。
図11は、本開示の別の実施例のクラウドサーバにおけるインスタンスリスクレベルを決定する装置である。図11に示すように、クラウドサーバにおけるインスタンスリスクレベルを決定する装置1100は、取得モジュール111、データ抽出モジュール112、決定モジュール113を備える。
取得モジュール111は、モニタリング対象のインスタンスのモニタリング項目とモニタリング項目のターゲットルールベースを取得する。
データ抽出モジュール112は、モニタリング対象のインスタンスの各モニタリング項目に対応するターゲット監視データを取得する。
決定モジュール113は、各モニタリング項目に対して、モニタリング項目のターゲットルールベースとターゲット監視データに基づいて、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。
図12は、本開示の別の実施例に係るクラウドサーバにおけるインスタンスリスクレベルを決定する装置である。図12に示すように、クラウドサーバにおけるインスタンスリスクレベルを決定する装置1200は、取得モジュール121、データ抽出モジュール122、決定モジュール123を備える。
なお、取得モジュール111、データ抽出モジュール112、決定モジュール113は、取得モジュール121、データ抽出モジュール122、決定モジュール123と、同じ構造と機能を有す。
本開示の実施例では、決定モジュールはさらに、ターゲット監視データにおける各種類の監視サブデータに対して、ターゲットルールベースから、各種類の監視サブデータの異常認識ルールを取得し、異常認識ルールを満たす各種類の監視サブデータを認識し、異常認識ルールを満たす各種類の監視サブデータに基づいて、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。
本開示の実施例では、決定モジュール123は、さらに、モニタリング対象のインスタンスのログイン監視データを取得し、ログイン監視データがモニタリング対象のインスタンスのログインIPアドレスとログイン頻度を含み、ログインIPアドレスとログイン頻度におけるそれぞれの異常ログイン認識ルールを満たすログイン監視サブデータを取得し、それぞれの異常ログイン認識ルールを満たすログイン監視サブデータに基づいて、ログインモニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。
本開示の実施例では、決定モジュール123は、さらに、ログインIPアドレスに非履歴安全ログインIPアドレスが存在することに応答して、ログインモニタリング項目におけるターゲットリスクレベルが第1のリスクレベルであると決定し、ログイン頻度が設定頻度の閾値以上であることに応答し、ログインに成功すると、ログインモニタリング項目におけるターゲットリスクレベルが第1のリスクレベルであると決定し、または、ログイン頻度が設定頻度の閾値以上であることに応答し、ログインに失敗すると、ログインモニタリング項目におけるターゲットリスクレベルが第2のリスクレベルであると決定し、第1のリスクレベルが第2のリスクレベルより高い。
本開示の実施例では、決定モジュール123は、さらに、モニタリング対象のインスタンスの権限監視データを取得し、権限監視データが、モニタリング対象のインスタンスの複数の権限許可項目を含み、複数の権限許可項目のうち異常権限認識ルールを満たす異常権限許可項目を取得し、異常権限認識ルールを満たす異常権限許可項目に基づいて、権限モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。
本開示の実施例では、決定モジュール123は、さらに、異常権限許可項目が権限設定ホワイトリストに存在することに応答して、権限モニタリング項目におけるターゲットリスクレベルを第1のリスクレベルとして決定し、異常権限許可項目が権限設定ホワイトリストに存在することに応答して、権限モニタリング項目におけるターゲットリスクレベルを第2のリスクレベルとして決定し、異常権限許可項目が権限設定ホワイトリストに存在することに応答し、異常権限許可項目の項目数が予め設定された項目数閾値以上である場合、権限モニタリング項目におけるターゲットリスクレベルを第2のリスクレベルとして決定する。
本開示の実施例では、決定モジュール123は、さらに、モニタリング対象のインスタンスのセキュリティプラグイン監視データを取得し、セキュリティプラグイン監視データがモニタリング対象のインスタンスのセキュリティプラグインの状態を含み、セキュリティプラグインの状態のうち、オンにされていない状態が存在することに応答して、プラグインモニタリング項目におけるターゲットリスクレベルを第2のリスクレベルとして決定する。
本開示の実施例では、取得モジュール121は、さらに、クライアントの識別子に基づいて、クライアントに対応する候補インスタンスの状態パラメータを取得し、状態パラメータに基づいて、候補インスタンスから有効状態であるインスタンス選択し、有効状態であるインスタンスをモニタリング対象のインスタンスとして決定する。
本開示の実施例では、取得モジュール121は、さらに、クライアントから送信されたリスクモニタリングタスクを受信し、リスクモニタリングタスクに基づいて、モニタリング対象のインスタンスに対してリスクモニタリングを行う。
本開示の実施例では、決定モジュール123は、さらに、ターゲットリスクレベルをクライアントに送信し、ターゲットリスクレベルが、クライアント側でモニタリング対象のインスタンスのリスクレポートを生成することに使用され、または、ターゲットリスクレベルに基づいてリスクレポートを生成し、リスクレポートをクライアントに送信する。
本開示によって提案されるクラウドサーバにおけるインスタンスリスクレベルを決定する装置は、モニタリング対象のインスタンスのモニタリング項目と各モニタリング項目に対応するターゲットルールベースを取得し、各モニタリング項目におけるモニタリング対象のインスタンスの対応するターゲット監視データを取得した後、各モニタリング項目におけるターゲット監視データとターゲットルールベースに基づいて、各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを決定する。本開示では、設定された頻度に基づいてクラウドサーバにおけるインスタンスに対してリスクモニタリングを行うことができ、クラウドサーバにおけるインスタンスに対する自律的なリスクモニタリングを実現し、リスクモニタリングの時効性を強化し、複数のモニタリング項目を設定して各モニタリング項目におけるモニタリング対象のインスタンスのターゲットリスクレベルを取得し、クラウドサーバにおけるインスタンスのリスクモニタリングの包括性を最適化する。
本開示の技術案では、相関するユーザ個人情報の収集、記憶、使用、加工、伝送、提供及び開示等の処理は、いずれもユーザの同意を得ることを前提として行われ、関連する法律法規の規定に合致しており、公序良俗に違反しい。
本開示の実施例によれば、本開示は、電子機器、読み取り可能な記憶媒体、及びコンピュータプログラムをさらに提供する。
図13は、本開示の実施例を実行できるための例示的な電子機器1300の概略ブロック図である。電子機器は、ラップトップコンピュータ、デスクトップコンピュータ、ワークステーション、パーソナルデジタルアシスタント、サーバ、ブレードサーバ、メインフレームコンピュータ、及び他の適切なコンピュータなどの様々な形態のデジタルコンピュータを表すことを目的とする。電子機器は、携帯情報端末、携帯電話、スマートフォン、ウェアラブルデバイス、及び他の同様のコンピューティングデバイスなどの様々な形態のモバイルデバイスを表すこともできる。本明細書で示される部品、それらの接続と関係、及びそれらの機能は、単なる例であり、本明細書の説明及び/又は要求される本開示の実現を制限することを意図したものではない。
図13に示すように、装置1300は、読み取り専用メモリ(ROM)1302に記憶されているコンピュータプログラム、または記憶ユニット1308からランダムアクセスメモリ(RAM)1303にロードされたコンピュータプログラムに従って、様々な適切な動作および処理を実行することができるコンピューティングユニット1301を備える。RAM1303には、装置1300の動作に必要な各種のプログラムやデータも記憶されていてもよい。計算ユニット1301、ROM1302、およびRAM1303は、バス1304を介して、互いに接続されている。バス1304には、入出力(I/O)インターフェース1305も接続されている。
装置1300における複数の構成要素は、I/Oインターフェース1305に接続され、キーボード、マウスなどの入力ユニット1306と、各種のディスプレイ、スピーカなどの出力ユニット1307と、磁気ディスク、光ディスクなどの記憶ユニット1308と、ネットワークカード、モデム、無線通信トランシーバなどの通信ユニット1309と、を備える。通信ユニット1309は、装置1300が、インターネットなどのコンピュータネットワークおよび/または様々な通信ネットワークを介して他の装置と情報/データを交換することを可能にする。
コンピューティングユニット1301は、処理能力およびコンピューティング能力を有する様々な汎用および/または専用の処理コンポーネントであってもよい。コンピューティングユニット1301のいくつかの例は、中央処理ユニット(CPU)、グラフィックス処理ユニット(GPU)、様々な専用の人工知能(AI)コンピューティングチップ、機械学習モデルアルゴリズムを実行する様々なコンピューティングユニット、デジタル信号プロセッサ(DSP)、および任意の適切なプロセッサ、コントローラ、マイクロコントローラなどを含むが、これに限定されない。計算ユニット1301は、前文で説明された様々な方法および処理、例えば、クラウドサーバにおけるインスタンスリスクレベルを決定する方法を実行する。例えば、いくつかの実施例では、クラウドサーバにおけるインスタンスリスクレベルを決定する方法は、記憶ユニット1308などの機械読み取り可能な記憶媒体に有形的に含まれるコンピュータソフトウェアプログラムとして実現することができる。いくつかの実施例では、コンピュータプログラムの一部または全部を、ROM1302および/または通信ユニット1309を介して装置1300にロードおよび/またはインストールすることができる。コンピュータプログラムがRAM1303にロードされ、計算ユニット1301によって実行される場合、前文に記載されたクラウドサーバにおけるインスタンスリスクレベルを決定する方法の1つ以上のステップを実行することができる。代替的に、他の実施例では、計算ユニット1301は、他の任意の適切な方法で(例えば、ファームウェアを介して)クラウドサーバにおけるインスタンスリスクレベルを決定する方法を実行するように構成されてもよい。
本明細書で説明されたシステムと技術の様々な実施形態は、デジタル電子回路システム、集積回路システム、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、特定用途向け標準製品(ASSP)、チップオンシステム(SOC)、複数のプログラマブルロジックデバイス(CPLD)、コンピュータハードウェア、ファームウェア、ソフトウェア、及び/又はそれらの組み合わせで実現することができる。これらの様々な実施形態は、1つ又は複数のコンピュータプログラムで実施されることを含むことができ、当該1つ又は複数のコンピュータプログラムは、少なくとも1つのプログラマブルプロセッサを備えるプログラム可能なシステムで実行及び/又は解釈することができ、当該プログラマブルプロセッサは、特定用途向け又は汎用プログラマブルプロセッサであってもよく、ストレージシステム、少なくとも1つの入力装置、及び少なくとも1つの出力装置からデータ及び命令を受信し、データ及び命令を当該ストレージシステム、当該少なくとも1つの入力装置、及び当該少なくとも1つの出力装置に伝送することができる。
本開示の方法を実行するためのプログラムコードは、1つ以上のプログラミング言語の任意の組み合わせを用いて作成することができる。これらのプログラムコードは、汎用コンピュータ、専用コンピュータ、または他のプログラマブルデータ処理装置のプロセッサまたはコントローラに提供され、プロセッサまたはコントローラによって実行される場合、フローチャートおよび/またはブロック図に規定された機能/動作を実行させることができる。プログラムコードは、完全に、または部分的に、マシン上で実行することができ、独立したソフトウェアパッケージとしてマシンで部分的に実行され、リモートマシンで部分的に実行され、または、リモートマシンまたはサーバで完全に実行される。
本開示の文脈では、機械読み取り可能な媒体は、命令実行システム、装置、またはデバイスが使用するために、または命令実行システム、装置、またはデバイスを組み合わせて使用されるプログラムを含むかまたは記憶することができる有形的な媒体であってもよい。機械読み取り可能な媒体は、機械読み取り可能な信号媒体または機械読み取り可能な記憶媒体であってもよい。機械読み取り可能な媒体は、電子的、磁気的、光学的、電磁的、赤外線的、または半導体的なシステム、装置またはデバイス、またはこれらの任意の適切な組み合わせを備えることができるが、これらに限定されるものではない。機械読み取り可能な媒体のより具体的な例は、1つ以上のラインに基づく電気的接続、ポータブルコンピュータディスク、ハードディスク、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROMまたはフラッシュメモリ)、光ファイバ、ポータブルコンパクトディスク読み取り専用メモリ(CD-ROM)、光ストレージデバイス、磁気ストレージデバイス、またはこれらの任意の適切な組み合わせ、を含むことができる。
ユーザとのインタラクションを提供するために、ここで説明されているシステム及び技術をコンピュータ上で実施することができ、当該コンピュータは、ユーザに情報を表示するためのディスプレイ装置(例えば、CRT(陰極線管)又はLCD(液晶ディスプレイ)モニタ)と、キーボード及びポインティングデバイス(例えば、マウス又はトラックボール)とを有し、ユーザは、当該キーボード及び当該ポインティングデバイスによって入力をコンピュータに提供することができる。他の種類の装置も、ユーザとのインタラクションを提供することができ、例えば、ユーザに提供されるフィードバックは、任意の形式のセンシングフィードバック(例えば、視覚フィードバック、聴覚フィードバック、又は触覚フィードバック)であってもよく、任意の形式(音響入力と、音声入力、または、触覚入力とを含む)でユーザからの入力を受信することができる。
ここで説明されるシステム及び技術は、バックエンドコンポーネントを備えるコンピューティングシステム(例えば、データサーバとする)、又はミドルウェアコンポーネントを備えるコンピューティングシステム(例えば、アプリケーションサーバ)、又はフロントエンドコンポーネントを備えるコンピューティングシステム(例えば、グラフィカルユーザインタフェース又はウェブブラウザを有するユーザコンピュータ、ユーザは、当該グラフィカルユーザインタフェース又は当該ウェブブラウザによってここで説明されるシステム及び技術の実施形態とインタラクションできる)、又はこのようなバックエンドコンポーネントと、ミドルウェアコンポーネントと、フロントエンドコンポーネントのいずれかの組み合わせを備えるコンピューティングシステムで実行することができる。いずれかの形態又は媒体のデジタルデータ通信(例えば、通信ネットワーク)によってシステムのコンポーネントを相互に接続することができる。通信ネットワークの例は、ローカルエリアネットワーク(LAN)と、ワイドエリアネットワーク(WAN)と、インターネットと、を含む。
コンピュータシステムは、クライアントとサーバを備えることができる。クライアントとサーバは、一般に、互いに離れており、通常に通信ネットワークを介してインタラクションする。対応するコンピュータ上で実行され、互いにクライアント-サーバ関係を有するコンピュータプログラムによってクライアントとサーバとの関係が生成される。サーバはクラウドサーバであってもよく、分散システムのサーバであってもよく、またはブロックチェーンを組み込んだサーバであってもよい。
なお、上記に示される様々な形式のフローを使用して、ステップを並べ替え、追加、又は削除することができることを理解されたい。例えば、本開示に記載されている各ステップは、並列に実行されてもよいし、順次実行されてもよいし、異なる順序で実行されてもよいが、本開示で開示されている技術案の所望の結果を実現することができれば、本明細書では限定されない。
上記具体的な実施形態は、本開示の保護範囲を制限するものではない。当業者は、設計要件と他の要因に応じて、様々な修正、組み合わせ、サブコンビネーション、及び代替を行うことができることを理解されたい。任意の本開示の精神と原則内で行われる修正、同等の置換、及び改善などは、いずれも本開示の保護範囲内に含まれるべきである。

Claims (21)

  1. クラウドサーバにおけるインスタンスリスクレベルを決定する方法であって、クラウドサーバにおけるインスタンスリスクレベルを決定する装置によって実行され、
    クライアントの識別子に基づいて、前記クライアントに対応する候補インスタンスの状態パラメータを取得し、該状態パラメータに基づいて、前記候補インスタンスから使用状態にあるインスタンスを選択し、該使用状態にあるインスタンスをモニタリング対象のインスタンスとして決定し、該モニタリング対象のインスタンスのモニタリング項目と前記モニタリング項目のターゲットルールベースを取得するステップと、
    前記モニタリング対象のインスタンスの各前記モニタリング項目に対応するターゲット監視データを取得するステップと、
    各前記モニタリング項目に対して、前記モニタリング項目のターゲットルールベースとターゲット監視データに基づいて、各前記モニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定するステップと、
    を含む、クラウドサーバにおけるインスタンスリスクレベルを決定する方法。
  2. 前記モニタリング項目のターゲットルールベースとターゲット監視データに基づいて、各前記モニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定するステップが、
    前記ターゲット監視データにおける各種類の監視サブデータに基づいて、前記ターゲットルールベースから、各種類の監視サブデータの異常認識ルールを取得するステップと、
    前記異常認識ルールを満たす各種類の監視サブデータを認識するステップと、
    前記異常認識ルールを満たす各種類の監視サブデータに基づいて、各前記モニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定するステップと、
    を含む請求項1に記載の方法。
  3. 前記モニタリング項目はログインモニタリング項目を含み、ログインモニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定するステップが、
    前記モニタリング対象のインスタンスのログイン監視データを取得するステップであって、前記ログイン監視データが前記モニタリング対象のインスタンスのログインIPアドレスとログイン頻度を含むステップと、
    前記ログインIPアドレスと前記ログイン頻度におけるそれぞれの異常ログイン認識ルールを満たすログイン監視サブデータを取得するステップと、
    それぞれの異常ログイン認識ルールを満たす前記ログイン監視サブデータに基づいて、前記ログインモニタリング項目における前記モニタリング対象のインスタンスの前記ターゲットリスクレベルを決定するステップと、
    を含む請求項2に記載の方法。
  4. それぞれの異常ログイン認識ルールを満たす前記ログイン監視サブデータに基づいて、ログインモニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定するステップが、
    前記ログインIPアドレスに非履歴安全ログインIPアドレスが存在することに応答して、前記ログインモニタリング項目における前記ターゲットリスクレベルが第1のリスクレベルであると決定するステップと、
    前記ログイン頻度が設定された頻度の閾値以上であり、且つログインに成功することに応答して、前記ログインモニタリング項目における前記ターゲットリスクレベルが第1のリスクレベルであると決定し、または、前記ログイン頻度が前記設定された頻度の閾値以下であり且つログインに失敗することに応答して、前記ログインモニタリング項目における前記ターゲットリスクレベルが第2のリスクレベルであると決定するステップと、
    を含み、
    前記第1のリスクレベルが前記第2のリスクレベルよりも高い請求項3に記載の方法。
  5. 前記モニタリング項目が、権限モニタリング項目を含み、該権限モニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定するステップが、
    前記モニタリング対象のインスタンスの権限監視データを取得するステップであって、前記権限監視データが前記モニタリング対象のインスタンスの複数の権限許可項目を含むステップと、
    前記複数の権限許可項目のうち、異常権限認識ルールを満たす異常権限許可項目を取得するステップと、
    異常権限認識ルールを満たす前記異常権限許可項目に基づいて、前記権限モニタリング項目における前記モニタリング対象のインスタンスの前記ターゲットリスクレベルを決定するステップと、
    を含む請求項2に記載の方法。
  6. 前記異常権限認識ルールを満たす前記異常権限許可項目に基づいて、前記権限モニタリング項目における前記モニタリング対象のインスタンスの前記ターゲットリスクレベルを決定するステップが、
    前記異常権限許可項目が権限設定ホワイトリストに存在しないことに応答して、前記権限モニタリング項目における前記ターゲットリスクレベルが第1のリスクレベルであると決定するステップと、
    前記異常権限許可項目が前記権限設定ホワイトリストに存在することに応答して、前記権限モニタリング項目における前記ターゲットリスクレベルが第2のリスクレベルであると決定するステップと、
    前記異常権限許可項目が前記権限設定ホワイトリストに存在し且つ前記異常権限許可項目の項目数が予め設定された項目数閾値以上であることに応答して、前記権限モニタリング項目における前記ターゲットリスクレベルが前記第2のリスクレベルであると決定するステップと、
    を含む請求項5に記載の方法。
  7. 前記モニタリング項目がプラグインモニタリング項目を含む場合、前記プラグインモニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定するステップが、
    前記モニタリング対象のインスタンスのセキュリティプラグイン監視データを取得するステップであって、前記セキュリティプラグイン監視データが前記モニタリング対象のインスタンスのセキュリティプラグインの状態を含むステップと、
    前記セキュリティプラグインの状態のうち、オンにされていない状態が存在することに応答し、前記プラグインモニタリング項目における前記ターゲットリスクレベルが第2のリスクレベルであると決定するステップと、
    を含む請求項2に記載の方法。
  8. 前記クライアントから送信されたリスクモニタリングタスクを受信するステップと、
    前記リスクモニタリングタスクに基づいて、前記モニタリング対象のインスタンスに対してリスクモニタリングを行うステップと、
    を含む請求項1に記載の方法。
  9. 前記ターゲットリスクレベルを前記クライアントに送信するステップであって、前記ターゲットリスクレベルが前記クライアント側で前記モニタリング対象のインスタンスのリスクレポートを生成するステップ、または、
    前記ターゲットリスクレベルに基づいて前記リスクレポートを生成し、前記リスクレポートを前記クライアントに送信するステップ、
    を含む請求項1に記載の方法。
  10. クライアントの識別子に基づいて、前記クライアントに対応する候補インスタンスの状態パラメータを取得し、該状態パラメータに基づいて、前記候補インスタンスから使用状態にあるインスタンスを選択し、該使用状態にあるインスタンスをモニタリング対象のインスタンスとして決定し、該モニタリング対象のインスタンスのモニタリング項目と前記モニタリング項目のターゲットルールベースを取得する取得モジュールと、
    前記モニタリング対象のインスタンスの各前記モニタリング項目に対応するターゲット監視データを取得するデータ抽出モジュールと、
    各前記モニタリング項目に対して、前記モニタリング項目のターゲットルールベースとターゲット監視データに基づいて、各前記モニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定する決定モジュールと、
    を備える、クラウドサーバにおけるインスタンスリスクレベルを決定する装置。
  11. 前記決定モジュールが、
    前記ターゲット監視データにおける各種類の監視サブデータに基づいて、前記ターゲットルールベースから、各種類の監視サブデータの異常認識ルールを取得し、
    前記異常認識ルールを満たす各種類の監視サブデータを認識し、
    前記異常認識ルールを満たす各種類の監視サブデータに基づいて、各前記モニタリング項目における前記モニタリング対象のインスタンスのターゲットリスクレベルを決定する請求項10に記載の装置
  12. 前記決定モジュールが、
    前記モニタリング対象のインスタンスのログイン監視データを取得し、前記ログイン監視データが前記モニタリング対象のインスタンスのログインIPアドレスとログイン頻度を含み、
    前記ログインIPアドレスと前記ログイン頻度におけるそれぞれの異常ログイン認識ルールを満たすログイン監視サブデータを取得し、
    それぞれの異常ログイン認識ルールを満たす前記ログイン監視サブデータに基づいて、ログインモニタリング項目における前記モニタリング対象のインスタンスの前記ターゲットリスクレベルを決定する請求項11に記載の装置。
  13. 前記決定モジュールが、
    前記ログインIPアドレスに非履歴安全ログインIPアドレスが存在することに応答して、前記ログインモニタリング項目における前記ターゲットリスクレベルが第1のリスクレベルであると決定し、
    前記ログイン頻度が設定された頻度の閾値以上であり、且つログインに成功することに応答して、前記ログインモニタリング項目における前記ターゲットリスクレベルが第1のリスクレベルであると決定し、または、前記ログイン頻度が前記設定された頻度の閾値以下であり且つログインに失敗することに応答して、前記ログインモニタリング項目における前記ターゲットリスクレベルが第2のリスクレベルであると決定し、
    前記第1のリスクレベルが前記第2のリスクレベルよりも高い請求項12に記載の装置。
  14. 前記決定モジュールが、
    前記モニタリング対象のインスタンスの権限監視データを取得し、前記権限監視データが前記モニタリング対象のインスタンスの複数の権限許可項目を含み、
    前記複数の権限許可項目のうち、異常権限認識ルールを満たす異常権限許可項目を取得し、
    異常権限認識ルールを満たす前記異常権限許可項目に基づいて、権限モニタリング項目における前記モニタリング対象のインスタンスの前記ターゲットリスクレベルを決定する請求項11に記載の装置。
  15. 前記決定モジュールが、
    前記異常権限許可項目が権限設定ホワイトリストに存在しないことに応答して、前記権限モニタリング項目における前記ターゲットリスクレベルが第1のリスクレベルであると決定し、
    前記異常権限許可項目が前記権限設定ホワイトリストに存在することに応答して、前記権限モニタリング項目における前記ターゲットリスクレベルが第2のリスクレベルであると決定し、
    前記異常権限許可項目が前記権限設定ホワイトリストに存在し且つ前記異常権限許可項目の項目数が予め設定された項目数閾値以上であることに応答して、前記権限モニタリング項目における前記ターゲットリスクレベルが前記第2のリスクレベルであると決定する請求項14に記載の装置。
  16. 前記決定モジュールが、
    前記モニタリング対象のインスタンスのセキュリティプラグイン監視データを取得し、前記セキュリティプラグイン監視データが前記モニタリング対象のインスタンスのセキュリティプラグインの状態を含み、
    前記セキュリティプラグインの状態のうち、オンにされていない状態が存在することに応答し、プラグインモニタリング項目における前記ターゲットリスクレベルが第2のリスクレベルであると決定する請求項11に記載の装置。
  17. 前記取得モジュールが、
    前記クライアントから送信されたリスクモニタリングタスクを受信し、
    前記リスクモニタリングタスクに基づいて、前記モニタリング対象のインスタンスに対してリスクモニタリングを行う請求項10に記載の装置。
  18. 前記決定モジュールが、
    前記ターゲットリスクレベルを前記クライアントに送信し、前記ターゲットリスクレベルが前記クライアント側で前記モニタリング対象のインスタンスのリスクレポートを生成し、または、
    前記ターゲットリスクレベルに基づいて前記リスクレポートを生成し、前記リスクレポートを前記クライアントに送信する請求項17に記載の装置。
  19. 少なくとも1つのプロセッサと、
    該少なくとも1つのプロセッサと通信可能に接続されるメモリと、
    を備え、
    前記メモリには、前記少なくとも1つのプロセッサによって実行可能な命令が記憶されており、前記命令が、前記少なくとも1つのプロセッサが請求項1から9のいずれか一項に記載の方法を実行できるように、前記少なくとも1つのプロセッサによって実行される電子機器。
  20. コンピュータ命令が記憶されている非一時的なコンピュータ読み取り可能な記憶媒体であって、
    前記コンピュータ命令が、コンピュータに請求項1から9のいずれか一項に記載の方法を実行させる非一時的なコンピュータ読み取り可能な記憶媒体。
  21. プロセッサによって実行される場合、請求項1から9のいずれか一項に記載の方法を実現するコンピュータプログラム。
JP2022129599A 2021-08-16 2022-08-16 クラウドサーバにおけるインスタンスリスクレベルを決定する方法、装置及び電子機器 Active JP7473608B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202110937463.0 2021-08-16
CN202110937463.0A CN113783845B (zh) 2021-08-16 2021-08-16 确定云服务器上实例风险等级的方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
JP2022166187A JP2022166187A (ja) 2022-11-01
JP7473608B2 true JP7473608B2 (ja) 2024-04-23

Family

ID=78837796

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022129599A Active JP7473608B2 (ja) 2021-08-16 2022-08-16 クラウドサーバにおけるインスタンスリスクレベルを決定する方法、装置及び電子機器

Country Status (5)

Country Link
US (1) US20230050771A1 (ja)
EP (1) EP4083823A3 (ja)
JP (1) JP7473608B2 (ja)
KR (1) KR20220110676A (ja)
CN (1) CN113783845B (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114401142A (zh) * 2022-01-18 2022-04-26 北京网藤科技有限公司 一种工业网络数据安全防护系统及其控制方法
CN114915473B (zh) * 2022-05-18 2024-01-30 中国工商银行股份有限公司 一种服务器入侵处理方法及相关装置
CN115758373B (zh) * 2022-10-28 2023-08-29 南方电网数字平台科技(广东)有限公司 一种用于云治理的多云服务器统一纳管的方法
WO2024150024A1 (en) * 2023-01-09 2024-07-18 Telefonaktiebolaget Lm Ericsson (Publ) Robust zero-trust architecture for telecommunications
CN116185672B (zh) * 2023-04-28 2023-08-22 北京亿赛通科技发展有限责任公司 一种数据监控方法、装置及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102930213A (zh) 2012-10-25 2013-02-13 中国航天科工集团第二研究院七〇六所 基于虚拟机的安全监控系统和安全监控方法
JP2017134758A (ja) 2016-01-29 2017-08-03 富士通株式会社 情報処理装置
US10148683B1 (en) 2016-03-29 2018-12-04 Microsoft Technology Licensing, Llc ATO threat detection system
US20190098037A1 (en) 2017-09-28 2019-03-28 Oracle International Corporation Cloud-based threat detection

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9619652B2 (en) * 2010-03-31 2017-04-11 Salesforce.Com, Inc. System, method and computer program product for determining a risk score for an entity
US10063654B2 (en) * 2013-12-13 2018-08-28 Oracle International Corporation Systems and methods for contextual and cross application threat detection and prediction in cloud applications
US9798883B1 (en) * 2014-10-06 2017-10-24 Exabeam, Inc. System, method, and computer program product for detecting and assessing security risks in a network
WO2016138067A1 (en) * 2015-02-24 2016-09-01 Cloudlock, Inc. System and method for securing an enterprise computing environment
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
JP6674481B2 (ja) * 2016-02-03 2020-04-01 株式会社日立製作所 管理計算機及び管理対象計算機の管理方法
US9853992B1 (en) * 2016-05-02 2017-12-26 Skyhigh Networks, Inc Cloud service usage risk analysis based on user location
US10791134B2 (en) * 2016-12-21 2020-09-29 Threat Stack, Inc. System and method for cloud-based operating system event and data access monitoring
CN109861985B (zh) * 2019-01-02 2022-12-27 平安科技(深圳)有限公司 基于风险等级划分的ip风控方法、装置、设备和存储介质
US10931699B2 (en) * 2019-02-13 2021-02-23 Obsidian Security, Inc. Systems and methods for detecting security incidents across cloud-based application services
CN110855703A (zh) * 2019-11-22 2020-02-28 秒针信息技术有限公司 智能风险识别系统、方法和电子设备
CN111859400B (zh) * 2020-07-29 2024-06-25 中国工商银行股份有限公司 风险评估方法、装置、计算机系统和介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102930213A (zh) 2012-10-25 2013-02-13 中国航天科工集团第二研究院七〇六所 基于虚拟机的安全监控系统和安全监控方法
JP2017134758A (ja) 2016-01-29 2017-08-03 富士通株式会社 情報処理装置
US10148683B1 (en) 2016-03-29 2018-12-04 Microsoft Technology Licensing, Llc ATO threat detection system
US20190098037A1 (en) 2017-09-28 2019-03-28 Oracle International Corporation Cloud-based threat detection

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
村上 愼一,サービス評価,日経クラウドファースト 第15号,日本,日経BP社,2017年06月20日,pp.12-18

Also Published As

Publication number Publication date
CN113783845A (zh) 2021-12-10
JP2022166187A (ja) 2022-11-01
EP4083823A3 (en) 2023-02-01
US20230050771A1 (en) 2023-02-16
KR20220110676A (ko) 2022-08-09
CN113783845B (zh) 2022-12-09
EP4083823A2 (en) 2022-11-02

Similar Documents

Publication Publication Date Title
JP7473608B2 (ja) クラウドサーバにおけるインスタンスリスクレベルを決定する方法、装置及び電子機器
US12047396B2 (en) System and method for monitoring security attack chains
US20220174088A1 (en) Resource-centric network cyber attack warning system
US20180124082A1 (en) Classifying logins, for example as benign or malicious logins, in private networks such as enterprise networks for example
EP2933973A1 (en) Data protection method, apparatus and system
EP4028915A1 (en) Inferring security incidents from observational data
US20180302430A1 (en) SYSTEM AND METHOD FOR DETECTING CREATION OF MALICIOUS new USER ACCOUNTS BY AN ATTACKER
CN112926048B (zh) 一种异常信息检测方法和装置
US11595418B2 (en) Graphical connection viewer for discovery of suspect network traffic
US20240214410A1 (en) Systems, media, and methods for utilizing a crosswalk algorithm to identify controls across frameworks, and for utilizing identified controls to generate cybersecurity risk assessments
Ben Jaballah et al. A grey-box approach for detecting malicious user interactions in web applications
Mishra et al. Efficient approaches for intrusion detection in cloud environment
Jiang et al. An assessment model for cloud service security risk based on entropy and support vector machine
US20150143518A1 (en) Data loss prevention of information using structured document templates and forms
CN112104748B (zh) 区块链数据的监管方法、装置、电子设备和存储介质
KR20190067994A (ko) 행위기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체
US11704364B2 (en) Evaluation of security policies in real-time for entities using graph as datastore
CN114726579A (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
Jiang Secure storage of computer network data based on cloud computing
KR20190068856A (ko) 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체
US20230275907A1 (en) Graph-based techniques for security incident matching
US20220269785A1 (en) Enhanced cybersecurity analysis for malicious files detected at the endpoint level
CN118200044A (zh) 一种安全防护方法及装置、电子设备和存储介质
CN115664726A (zh) 一种恶意beacon通信的检测方法和装置
Mahfoudhi Challenges Facing IoT Expansion: Security and Energy

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220816

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230816

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230822

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240305

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240411

R150 Certificate of patent or registration of utility model

Ref document number: 7473608

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150