WO2020057156A1 - 一种安全管理方法和安全管理装置 - Google Patents

一种安全管理方法和安全管理装置 Download PDF

Info

Publication number
WO2020057156A1
WO2020057156A1 PCT/CN2019/087127 CN2019087127W WO2020057156A1 WO 2020057156 A1 WO2020057156 A1 WO 2020057156A1 CN 2019087127 W CN2019087127 W CN 2019087127W WO 2020057156 A1 WO2020057156 A1 WO 2020057156A1
Authority
WO
WIPO (PCT)
Prior art keywords
application
monitoring
security management
management device
attack
Prior art date
Application number
PCT/CN2019/087127
Other languages
English (en)
French (fr)
Inventor
蒙泽超
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Publication of WO2020057156A1 publication Critical patent/WO2020057156A1/zh
Priority to US17/091,877 priority Critical patent/US20210058414A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Definitions

  • the present application relates to the field of communications, and in particular, to a security management method and a security management device.
  • the centralized security monitoring device deployed at the network entrance can centrally intercept and prevent suspected attacks, and generate suspected attack alarms. After receiving the suspected attack alarms sent by the centralized security monitoring device, the security management device will The attack alarm further determines the application associated with the suspected attack alarm. Monitoring the application can obtain monitoring information, the security management device can obtain the monitoring information, and judge whether the application is attacked based on the monitoring information.
  • the method further includes: if it is determined that the application is attacked according to the monitoring information, stopping the application, isolating the application, or alerting the application;
  • IaaS infrastructure as a service
  • PaaS platforms in cloud computing systems.
  • the centralized security monitoring device when the centralized security monitoring device detects a suspected attack, it may report to the security management device;
  • the suspected attack alarm generated by the centralized security monitoring device is associated with a specific application, the application has a risk of being targeted by the attack.
  • the security management device may instruct the monitoring program to be deployed in the running environment of the application.
  • the security management device may deploy a monitoring program to the running environment of the application after determining the application associated with the suspected attack alarm.
  • the monitoring program may be issued and deployed by calling the deployment management unit of the PaaS platform.
  • the security management device may also trigger a pre-deployed monitoring program to run in the running environment after determining the application associated with the suspected attack alert.
  • the timing of deploying the monitoring program in the running environment of the application is not limited here.
  • Example 2 If the number of failed login information reported by the web front-end exceeds the preset threshold, and the monitoring information of the database reports that the number of login logs exceeds the preset threshold within a preset time interval, the attack analysis unit may determine the This attack may reach the database, that is, this surveillance finds a high-risk attack.
  • the security management device may present the attack alarm only on the configuration management portal (portal) and wait for the operation and maintenance personnel to make a decision; it may also present the attack alarm on the portal while stopping or isolating the application.
  • the security management method of the embodiment of the present application is described above, and the embodiment of the present application further provides a related device for implementing the foregoing solution.
  • the security management device implementing the security management method will be described below.
  • a directional monitoring unit 401 configured to receive a suspected attack alarm sent by a centralized security monitoring device
  • the security management device further includes: a deployment management unit 403, configured to stop the application, or isolate the application, or alert the application if it is determined that the application is attacked according to the monitoring information;
  • a directional monitoring unit and an attack analysis unit are deployed in the PaaS platform.
  • a centralized security monitoring device is deployed in the business network to perform security analysis on each request to access the application.
  • the directional monitoring unit may obtain the suspected attack alert, and extract an identifier of an associated application in the attack alert, such as an Internet Protocol IP address, or an application port number, or a Uniform Resource Locator URL associated with the application. For example, in this embodiment, the directional monitoring unit determines that the application associated with the suspected attack alarm is application 1.
  • the monitoring program may perform corresponding application behavior analysis on the application 1, and send the monitoring information to the attack analysis unit.
  • FIG. 6 is a schematic diagram of another embodiment of a security management device according to an embodiment of the present application.
  • the memory 605 may be volatile storage or persistent storage.
  • the program stored in the memory 605 may include one or more modules, and each module may include a series of instruction operations in the security management device.
  • the central processing unit 601 may be configured to communicate with the memory 605, and execute a series of instruction operations in the memory 605 on the security management device 600.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种安全管理方法,用于实现针对应用的定向攻击的监控。本申请实施例方法包括:接收集中式安全监控装置发送的嫌疑的攻击告警;确定所述嫌疑的攻击告警关联的应用;获取监控所述应用得到的监控信息;根据所述监控信息判断所述应用是否被攻击。

Description

一种安全管理方法和安全管理装置 技术领域
本申请涉及通信领域,特别涉及一种安全管理方法和安全管理装置。
背景技术
大多数企业的网络安全保护会采用拦截和防御,以及基于策略的控制等方法对疑似攻击进行拦截或告警,常用的方法例如反病毒、防火墙和黑白名单等技术。高级定向攻击,也称为高级可持续性威胁(advanced persistent threat,APT),是目前攻击类型中最高端的攻击模式。实施APT的黑客通常对目标发动极具针对性的定向攻击。APT可以轻而易举地绕过防火墙和基于黑白名单的预防机制等传统的安全保护措施。
现有技术中,为进行有效地网络安全保护,应对APT等针对应用的定向攻击,可以对应用运行环境做持续的监控。方法是在每个应用运行环境上部署安全管理装置,进行持续的应用行为分析。
由于在现有技术中,需要在应用的每个运行环境上部署安全管理装置,若应用有多个运行实例或应用分散部署在系统中,例如:在云计算系统中,当使用了平台即服务(platform as a service,PaaS)中的应用自动化部署服务时,应用通常会随机分散在系统中,应用的具体运行环境,即部署应用的物理机或虚拟机则是不确定的,所以需要在所有运行环境中都部署安全管理装置行应用行为分析。由于部署安全管理装置进会消耗运行环境的资源,因此在系统的所有环境中都部署安全管理装置时,系统资源消耗较大。
发明内容
本申请实施例提供了一种安全管理方法和安全管理装置,在应对针对应用的定向攻击的同时,减少系统资源消耗。
本申请实施例第一方面提供了一种安全管理方法包括:接收集中式安全监控装置发送的嫌疑的攻击告警;确定该嫌疑的攻击告警关联的应用;获取监控该应用得到的监控信息;根据该监控信息判断该应用是否被攻击。
部署在网络入口的集中式安全监控装置可以集中拦截和防御嫌疑的的攻击,并产生嫌疑的攻击告警,安全管理装置接收到集中式安全监控装置发送的嫌疑的攻击告警后,将根据该嫌疑的攻击告警进一步确定该嫌疑的攻击告警关联的应用,针对该应用进行监控可以得到监控信息,安全管理装置可以获取该监控信息,并根据该监控信息判断该应用是否被攻击。
本申请实施例提供的安全管理方法,通过集中式安全监控装置发送的嫌疑的攻击告警确定关联的应用,再获取针对该应用的监控信息,从而判断应用是否被攻击。由于本申请实施例提供的方法,只有在发生嫌疑的攻击告警时,对关联应用进行应用行为分析,既可以应对APT等针对应用的攻击行为,而且相较在每个运行环境中部署安全管理装置, 可以减少系统的资源消耗。
根据本申请实施例第一方面,本申请实施例第一方面的第一种实施方式中,该确定该嫌疑的攻击告警关联的应用之前,该方法还包括:从该攻击告警中提取用于关联该应用的标识。
本申请实施例提供的安全管理方法,给出了确定嫌疑的攻击告警关联的应用的方法,即从攻击告警中提取用于关联应用的标识,根据标识确定攻击告警针对的应用,提高了本方案的可实现性。
根据本申请实施例第一方面的第一种实施方式,本申请实施例第一方面的第二种实施方式中,该标识包括以下任一种:关联该应用的网际协议IP地址,或者;关联该应用的端口port号,或者;关联该应用的统一资源定位符URL。
本申请实施例提供的安全管理方法,提供了三种用于确定关联应用的具体标识,安全管理装置可以根据这三种标识中的任一种确定关联应用,这样增强了方案实现的多样性。
根据本申请实施例第一方面、本申请实施例第一方面的第一种实施方式和本申请实施例第一方面的第二种实施方式中任一种,本申请实施例第一方面的第三种实施方式中,该获取监控该应用得到的监控信息之前,该方法还包括:指示在该应用的运行环境中部署监控程序,该监控程序用于监控该应用并生成该监控信息。
本申请实施例提供的安全管理方法,提供了获取监控该应用得到的监控信息的一种具体方式,即安全管理装置可以指示在该应用的运行环境中部署监控程序用于监控该应用,并生成监控信息,提高了方案的可实现性。
根据本申请实施例第一方面、本申请实施例第一方面的第一种实施方式至本申请实施例第一方面的第三种实施方式,本申请实施例第一方面的第四种实施方式中,在根据该监控信息判断该应用是否被攻击之后,该方法还包括:若根据该监控信息确定该应用被攻击,则停止该应用,或者隔离该应用,或者对该应用进行告警;
本申请实施例提供的安全管理方法,安全管理装置在确定该应用被攻击时,可以对攻击行为进行处理,本方案提供了三种处理方式,增强了方案实现的多样性。
根据本申请实施例第一方面的第三种实施方式或本申请实施例第一方面的第四种实施方式,本申请实施例第一方面的第五种实施方式中,该根据该监控信息判断该应用是否被攻击之后,该方法还包括:在该应用的运行环境中删除该监控程序。
本申请实施例提供的安全管理方法,在根据该监控信息判断该应用是否被攻击之后,可以将该应用的运行环境中的监控程序删除,这样可以节省系统资源。
本申请实施例第二方面提供了一种安全管理装置,包括:定向监控单元,用于接收集中式安全监控装置发送的嫌疑的攻击告警;该定向监控单元还用于,确定该嫌疑的攻击告警关联的应用;攻击分析单元,用于获取监控该应用得到的监控信息;该攻击分析单元还用于,根据该监控信息判断该应用是否被攻击。
本申请实施例提供的安全管理装置,定向监控单元可以通过集中式安全监控装置发送的嫌疑的攻击告警确定关联的应用,攻击分析单元可以获取针对该应用的监控信息,并根据监控信息判断应用是否被攻击。由于本申请实施例提供的安全管理装置,既可以应对APT等针对应用的攻击行为,而且相较在每个运行环境中部署安全管理装置,可以 减少系统的资源消耗。
根据本申请实施例第二方面,本申请实施例第二方面的第一种安全管理装置中,该定向监控单元还用于:在该确定该嫌疑的攻击告警关联的应用之前,从该攻击告警中提取用于关联该应用的标识。
根据本申请实施例第二方面或本申请实施例第二方面的第一种安全管理装置,本申请实施例第二方面的第二种安全管理装置中,该定向监控单元还用于:在该获取监控该应用得到的监控信息之前,指示在该应用的运行环境中部署监控程序,该监控程序用于监控该应用并生成该监控信息。
根据本申请实施例第二方面、本申请实施例第二方面的第一种安全管理装置至本申请实施例第二方面的第二种安全管理装置,本申请实施例第二方面的第三种安全管理装置中,该安全管理装置还包括:部署管理单元,用于若根据该监控信息确定该应用被攻击,则停止该应用,或者隔离该应用,或者对该应用进行告警;
根据本申请实施例第二方面的第二种安全管理装置或本申请实施例第二方面的第三种安全管理装置,本申请实施例第二方面的第四种安全管理装置中,该部署管理单元还用于,该根据该监控信息判断该应用是否被攻击之后,在该应用的运行环境中删除该监控程序。
本申请实施例第三方面提供了一种安全管理装置,处理器、储存器、输入输出设备以及总线;该处理器、存储器、输入输出设备分别于该总线相连。该安全管理装置具有实现上述第一方面中安全管理方法的功能。
本申请实施例第四方面提供了一种计算机程序产品,该计算机程序产品包括指令,当该指令在计算机上运行时,使得该计算机执行上述第一方面及其各实现方式中的方法。
本申请实施例第五方面提供了一种计算机可读储存介质,该计算机可读存储介质存储指令,当所述指令在计算机上运行时,前述本申请实施例第一方面提供的各实施方式的方法。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请实施例提供的安全管理方法及安全管理装置,可以通过集中式安全监控装置发送的嫌疑的攻击告警确定关联的应用,再获取针对该应用的监控信息,从而判断应用是否被攻击。由于本申请实施例提供的方法,只有在发生嫌疑的攻击告警时,对关联应用进行应用行为分析,既可以应对APT等针对应用的攻击行为,而且相较在每个运行环境中部署安全管理装置,可以减少系统的资源消耗。
附图说明
图1为云计算系统架构图;
图2为本申请实施例中安全管理方法的一个实施例示意图;
图3为本申请实施例中安全管理方法的另一个实施例示意图;
图4为本申请实施例中安全管理装置的一个实施例示意图;
图5为本申请实施例中安全管理装置的另一个实施例示意图;
图6为本申请实施例中安全管理装置的另一个实施例示意图。
具体实施方式
本申请实施例提供了一种云计算系统中的安全管理方法,用于降低进行应用行为分析时运行环境的资源消耗。
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本申请一部分实施例,而非全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
以下分别进行详细说明。
下面首先结合图1对本申请实施例的技术方案涉及的一些可能的应用场景进行举例介绍。需要说明的是,涉及多种应用部署在一个环境中,并且有统一的应用部署管理单元的系统中都可以适用本方案。本申请实施例及以下实施例中以云计算系统为例进行介绍,图1示意了一种云计算系统架构。
云计算系统中存在基础设施即服务(infrastructure as a service,IaaS)平台和PaaS平台。
IaaS平台为云计算系统中的物理资源管理平台,可提供虚拟机或物理机作为PaaS的运行环境,为上层PaaS平台提供虚拟化资源。PaaS平台中的核心功能是应用的生命周期管理,包括应用的部署、升级、卸载等,该核心功能由部署管理单元提供。部署管理单元统一下发应用管理命令,由各运行环境中部署的代理模块执行具体的动作。在云计算系统中,当使用了PaaS中的应用自动化部署服务时,应用通常会随机分散在系统中的任意物理机或虚拟机之上。例如,图中应用1分别部署在物理机或虚拟机1和物理机或虚拟机2中,而应用2部署在3台物理机或虚拟机中。
业务网络为云计算系统中提供应用的一个重要网络,可以将内部部署的应用向互联网开放。为保障业务网络安全,在业务网络中可以部署集中式安全监控装置。集中式安全监控装置通常部署在用户、黑客通过万维网服务(world wide web,web)访问业务网络中的应用的必经通道,这样可以对每一条访问应用的请求进行安全分析。但由于实施APT的黑客通常对目标应用发动针对性的定向攻击,因此可能绕过集中式安全监控装置的安全保护措施。
基于图1所示的系统架构,请参阅图2,本申请实施例为解决针对应用的定向攻击,提供了一种安全管理方法。基于图1所示的系统架构,图2为本申请实施例中安全管理方法的一个实施例示意图。
201、接收集中式安全监控装置发送的嫌疑的攻击告警;
集中式安全监控装置是部署在网络入口处进行统一的流量、行为分析的设备。可以对每一条访问业务网络中的应用的请求进行安全分析。由于针对特定应用的定向攻击通常会先尝试使用通用方法攻击,通过多次嗅探发现漏洞后再开展针对应用的定向攻击。通用的攻击方法容易被集中式安全监控装置检测到,当集中式安全监控装置发现这些嫌疑的攻击时,可以产生嫌疑的攻击告警。
安全管理装置可以通过多种方式接收集中式安全监控装置发送的嫌疑的攻击告警。
可选地,集中式安全监控装置检测到嫌疑的攻击时可以向安全管理装置上报;
可选地,安全管理装置可以周期性询问集中式安全监控装置,实现对集中式安全监控装置持续地监控。此处对于安全管理装置获取嫌疑的攻击告警的方式不做限定。
202、确定该嫌疑的攻击告警关联的应用;
由于攻击告警中会记录攻击对象、事件类型等信息,安全管理装置可以根据攻击告警中记录的信息确定关联的应用,可选的,关联该应用的标识可以是IP地址,端口port号和URL等可以理解的是,若集中式安全监控装置产生的嫌疑的攻击告警与某个具体的应用相关联,则该应用具有遭受定向攻击的风险。
203、获取监控该应用得到的监控信息;
由于该嫌疑的攻击告警关联的应用有遭受定向攻击的风险,因此需要对该应用进行应用行为监控并得到监控信息,例如可以通过在应用的本地运行环境中部署监控程序进行应用行为监控。安全管理装置可以获取监控该应用得到监控信息。
204、根据该监控信息判断该应用是否被攻击;
安全管理装置可以根据该监控信息判断该应用是否被攻击,优选地,安全管理装置可以通过攻击分析单元根据预置的检测规则进行判断,攻击分析单元可以接收监控程序上报的监控信息进行汇总或关联分析,判断该应用是否被攻击。
本申请实施例提供的安全管理方法,可以通过集中式安全监控装置产生的疑似的攻击告警,确定攻击针对的应用,获取对应用行为进行监控得到的监控信息,进而判断该应用是否被攻击。可见,本申请实施例提供的安全管理方法,可以应对针对特定应用的攻击,提高网络安全程度。
请参阅图3,为本申请实施例中安全管理方法的一个实施例示意图。
301、接收集中式安全监控装置发送的嫌疑的攻击告警;
集中式安全监控装置是部署在网络入口处进行统一的流量、行为分析的设备。例如入侵检测系统(intrusion detection systems,IDS),或网站应用级入侵防御系统(web application firewall,WAF),也称为web应用防护系统等。由于集中式安全监控装置部署在用户、黑客访问web服务的必经通道,因此集中式安全监控装置可以对每一条访问应用的请求进行安全分析。
集中式安全监控装置的分析动作包括超文本传输协议(hypertext transfer protocol,HTTP)请求结构化查询语言(structured query language,SQL)注入分析、跨站脚本攻击(cross site scripting,XSS)攻击分析、web服务器漏洞攻击分析等。
针对特定应用的定向攻击通常会先尝试使用通用方法攻击,通过多次嗅探发现漏洞后再开展针对应用的定向攻击。通用的攻击方法容易被集中式安全监控装置检测到,当集中式安全监控装置发现这些嫌疑的攻击时,可以产生嫌疑的攻击告警。
安全管理装置可以接收集中式安全监控装置发送的嫌疑的攻击告警,可选地,集中式安全监控装置检测到嫌疑的攻击时可以向安全管理装置上报;可选地,安全管理装置可以周期性询问集中式安全监控装置,实现对集中式安全监控装置持续地监控。此处对于安全管理装置获取嫌疑的攻击告警的方式不做限定。
302、从该攻击告警中提取用于关联该应用的标识;
集中式监控装置检测到嫌疑的攻击行为时,可以产生攻击告警,攻击告警中会记录 攻击对象、事件类型等攻击信息。安全管理装置可以从该攻击告警中提取用于关联应用的标识。关联应用的标识是用于指示具体应用的信息,具体的,可以是关联该应用的网际协议IP地址,或者关联该应用的端口port号,或者关联该应用的统一资源定位符URL。可以理解的是,安全管理装置可以从攻击告警中提取一个或多个关联应用的标识,此处对于标识的数量和类型具体不做限定。
303、确定该嫌疑的攻击告警关联的应用;
安全管理装置可以根据步骤302中提取的关联应用的标识确定该嫌疑的攻击告警关联的应用。具体的,安全管理装置可以根据IP地址,端口port号和URL中的一个或多个确定具体的应用,下面分别进行介绍。
在一个可选的实施方式中,安全管理装置可以根据IP地址确定该嫌疑的攻击关联的应用。假设应用A的访问地址为:http://172.10.0.1:8080,应用B访问地址为:http://172.10.0.2:8080,若从攻击告警中提取到关联应用的IP地址为172.10.0.2,则可以确定该嫌疑的攻击告警关联的应用是应用B。
在另一个可选的实施方式中,安全管理装置可以根据URL确定该嫌疑的攻击关联的应用。假设应用A的URL为http://cloud.com/appa,应用B的URL为http://cloud.com/appb,若从攻击告警中提取到的URL为http://cloud.com/appa,则可以确定该嫌疑的攻击关联的应用为应用A。
在另一个可选的实施方式中,安全管理装置可以根据端口号确定该嫌疑的攻击关联的应用。假设应用网关进行了地址收敛,对外只提供一个IP,则安全管理装置可以通过端口号确定关联应用,假设应用A的端口号为8080,应用B的端口号为:443,若从攻击告警中提取到的端口号为8080,则可以确定该嫌疑的攻击关联的应用为应用A。
在另一个可选的实施方式中,安全管理装置可以根据IP地址和端口号共同确定嫌疑的攻击告警关联的应用。假设应用A的访问地址为:http://172.10.0.1:8080,应用B访问地址为:http://172.10.0.2:443,若从攻击告警中提取到关联应用的IP地址为172.10.0.2,端口号为443,则可以确定该嫌疑的攻击告警关联的应用是应用B。
可以理解的是,若集中式安全监控装置产生的嫌疑的攻击告警与某个具体的应用相关联,则该应用具有遭受定向攻击的风险。
304、指示在该应用的运行环境中部署监控程序;
安全管理装置可以指示在应用的运行环境中部署监控程序。安全管理装置可以在确定该嫌疑的攻击告警关联的应用之后,向该应用的运行环境部署监控程序,优选地,在云计算系统中,可以通过调用PaaS平台的部署管理单元将监控程序下发部署到应用运行环境中;安全管理装置还可以在确定该嫌疑的攻击告警关联的应用之后,触发运行环境中预先部署的监控程序运行。应用的运行环境中部署监控程序的时机此处不做限定。
监控程序是负责在应用本地做攻击行为分析的程序。可以对应用的日志、系统调用、文件访问等行为进行监控分析。监控程序可以是通用监控程序,也可以是由管理员自定义并上传到安全管理装置中的程序。可以理解的是,安全管理装置中可以预设多个监控程序,不同的监控程序可以针对特定应用或者特定攻击,此处对于监控程序的数量和类型不做限定。安全管理装置可以根据攻击告警关联的应用确定监控程序,可以根据攻击告警关联的应用以及攻击类型确定监控程序,此处不做限定。
应用可以有一个或多个运行环境,示例性的,在云计算系统中,应用可以分散部署在系统不同的物理机或虚拟机中。应用可以有多个运行实例,分布在不同的运行环境中。例如,一个web应用程序通常分为web前端、网络服务器(web server)和数据库三个组件,在云计算系统中,这三个组件的应用实例可能运行在不同的物理机或虚拟机中。优选地,安全管理装置可以指示在该应用所有的运行环境中均部署监控程序。
305、获取监控该应用得到的监控信息;
应用的运行环境中部署监控程序后,监控程序可以针对该应用进行应用行为分析,示例性的,监控程序可以对应用的日志、系统调用、文件访问等行为进行监测。攻击检测事务完毕后,将得到监控信息,安全管理装置可以获取监控程序监控该应用得到的监控信息。
306、根据该监控信息判断该应用是否被攻击;
安全管理装置可以根据该监控信息判断该应用是否被攻击,优选地,安全管理装置可以通过攻击分析单元根据预置的检测规则进行判断,攻击分析单元可以接收监控程序上报的监控信息进行汇总和关联分析,判断该应用是否被攻击。
示例性的,若一个web应用的web前端、web server、数据库分别运行在三个不同的物理机或虚拟机中,三个物理机或虚拟机中均可通过监控程序获取监控信息,攻击分析单元可以通过三者发送的监控信息进行汇总或关联分析。
例一:若web前端上报了一次失败的登录信息,但web server与数据库的监控信息中未发现异常现象,那么攻击分析单元可以综合三者的监控信息,关联判断攻击在web前端就失败了,本次监控无风险。
例二:若web前端的监控信息上报失败登录信息次数超出预设阈值,并且数据库的监控信息上报了在预设的时间间隔中登录日志次数超过预设的阈值,则攻击分析单元可以关联判断本次攻击可能到达数据库,即本次监控发现高危攻击。
307、若根据该监控信息确定该应用被攻击,则停止该应用,或者隔离该应用,或者对该应用进行告警;
若安全管理装置根据该监控信息确定该应用被攻击,则安全管理装置可以对该攻击事件进行处理。
可选地,安全管理装置可以停止该应用,这样可以立刻阻断攻击过程,将损失降到最低,同时应用将不能再提供服务。
可选地,安全管理装置可以隔离该应用,限制其CPU、内存使用,限制内部网络互通等。这样可以防止被攻击的应用进一步影响其他正常应用,例如突然占用大量CPU、内存资源等。应用被隔离后还能对外提供服务。
可选地,安全管理装置可以仅在配置管理门户(portal)呈现攻击告警,待运维人员进行决策;也可以在停止应用或隔离应用的同时,在portal上呈现攻击告警。
此处对于安全管理装置的攻击处理方式不做限定。
308、在该应用的运行环境中删除该监控程序;
在根据该监控信息判断该应用是否被攻击之后,安全管理装置可以在该应用的运行环境中删除该监控程序,释放资源。
需要说明的是,步骤308可以在步骤305之后执行,即步骤308与步骤306至步骤 307之间的执行顺序此处不做限定。
本申请实施例提供的安全管理方法,可以从集中式安全监控装置产生的疑似的攻击告警中获取关联应用的标识,进而确定攻击针对的具体应用,通过在该应用的运行环境中部署监控程序对应用行为进行监控,可以得到监控信息进而判断该应用是否被攻击,最后,还可以在应用运行环境中删除该监控程序。可见,本申请实施例提供的安全管理方法,不仅为针对特定应用的攻击部署特定的监控程序,还可以有效减少在运行环境中持续部署监控程序带来的资源浪费。
上面介绍了本申请实施例的安全管理方法,本申请实施例还提供用于实施上述方案的相关装置。下面将对实现该安全管理方法的安全管理装置进行介绍。
请参阅图4,本申请实施例中安全管理装置的一个实施例示意图。
本申请实施例提供的安全管理装置,包括:
定向监控单元401,用于接收集中式安全监控装置发送的嫌疑的攻击告警;
该定向监控单元401还用于,确定该嫌疑的攻击告警关联的应用;
攻击分析单元402,用于获取监控该应用得到的监控信息;
该攻击分析单元402还用于,根据该监控信息判断该应用是否被攻击。
可选地,该定向监控单元401还用于:在该确定该嫌疑的攻击告警关联的应用之前,从该攻击告警中提取用于关联该应用的标识。
可选地,该定向监控单元401还用于:在该获取监控该应用得到的监控信息之前,指示在该应用的运行环境中部署监控程序,该监控程序用于监控该应用并生成该监控信息。
可选地,该安全管理装置还包括:部署管理单元403,用于若根据该监控信息确定该应用被攻击,则停止该应用,或者隔离该应用,或者对该应用进行告警;
可选地,该部署管理单元403还用于:该根据该监控信息判断该应用是否被攻击之后,在该应用的运行环境中删除该监控程序。
需要说明的是,本申请实施例中的定向监控单元可以为独立存在的设备,也可以与攻击分析单元和部署管理单元集成在一个设备中实现,具体此处不做限定。
本申请实施例提供的安全管理装置,定向监控单元401可以通过集中式安全监控装置发送的嫌疑的攻击告警确定关联的应用,攻击分析单元402可以获取针对该应用的监控信息,并根据监控信息判断应用是否被攻击。由于本申请实施例提供的安全管理装置,既可以应对APT等针对应用的攻击行为,而且相较在每个运行环境中部署安全管理装置,可以减少系统的资源消耗。
为便于更好的理解和实施本申请实施例的上述方案,下面通过举例具体的应用场景进行说明。请参阅图5,本申请实施例中安全管理装置的另一个实施例示意图。
云计算系统中存在Iaa平台和PaaS平台。IaaS平台提供虚拟机或物理机作为PaaS的运行环境。PaaS平台负责应用的生命周期管理,包括应用的部署、升级、卸载等,该核心功能由部署管理单元提供。部署管理单元通过与各运行环境中的部署代理模块配合执行具体的动作。
本申请实施例中在PaaS平台中部署了定向监控单元和攻击分析单元。业务网络中部署了集中式安全监控装置,可以对每一条访问应用的请求进行安全分析。
应用分散在系统中的多台物理机或虚拟机之上。例如,图中应用1分别部署在物理机或虚拟机1和物理机或虚拟机2中,而应用2则分别部署在3台物理机或虚拟机中。
步骤501至步骤502中,应用访问请求或攻击请求访问应用,当通过业务网络入口时,集中式安全监控装置将对其进行安全分析,若发现嫌疑的攻击,将产生攻击告警。
步骤503中,定向监控单元可以获取该嫌疑的攻击告警,并提取该攻击告警中关联应用的标识,例如网际协议IP地址,或者应用的端口port号,或者关联该应用的统一资源定位符URL。例如,本实施例中,定向监控单元确定嫌疑的攻击告警关联的应用为应用1。
步骤504中,管理人员可以通过管理Portal在定向监控单元中预置监控程序,该监控程序可以与具体的应用关联。
步骤505至步骤506为部署监控程序的过程,定向监控单元可以根据被攻击的应用,确定适宜的监控程序。然后,可以通过部署管理单元和物理机或虚拟机中的部署代理模块将该监控程序下发至该应用的运行环境,例如,将监控程序下发至部署应用1的物理机或虚拟机1,和物理机或虚拟机2。
步骤507中,监控程序可以对应用1进行相应的应用行为分析,并将监控信息发送给攻击分析单元。
步骤508中,攻击分析单元接收到监控信息,可以进行进一步的分析并判断应用1是否被攻击,若是,则可以在配置管理门户(portal)中呈现攻击告警。
本申请实施例提供的安全管理方法,可以从集中式安全监控装置产生的疑似的攻击告警中获取关联应用的标识,进而确定攻击针对的具体应用,通过在该应用的运行环境中部署监控程序对应用行为进行监控,可以得到监控信息进而判断该应用是否被攻击,最后,还可以在应用运行环境中删除该监控程序。可见,本申请实施例提供的安全管理方法,不仅为针对特定应用的攻击部署特定的监控程序,还可以有效减少在运行环境中持续部署监控程序带来的资源浪费。
请参阅图6,本申请实施例中安全管理装置的另一个实施例示意图。
该安全管理装置600可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)601(例如,一个或一个以上处理器)和存储器605,该存储器605中存储有一个或一个以上的应用程序或数据。
其中,存储器605可以是易失性存储或持久存储。存储在存储器605的程序可以包括一个或一个以上模块,每个模块可以包括对安全管理装置中的一系列指令操作。更进一步地,中央处理器601可以设置为与存储器605通信,在安全管理装置600上执行存储器605中的一系列指令操作。
安全管理装置600还可以包括一个或一个以上电源602,一个或一个以上有线或无线网络接口603,一个或一个以上输入输出接口604,和/或,一个或一个以上操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
本实施例中安全管理装置600中的中央处理器601所执行的流程与前述图2至图3所示的实施例中描述的方法流程类似,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (14)

  1. 一种安全管理方法,其特征在于,包括:
    接收集中式安全监控装置发送的嫌疑的攻击告警;
    确定所述嫌疑的攻击告警关联的应用;
    获取监控所述应用得到的监控信息;
    根据所述监控信息判断所述应用是否被攻击。
  2. 根据权利要求1所述的方法,其特征在于,所述确定所述嫌疑的攻击告警关联的应用之前,所述方法还包括:
    从所述攻击告警中提取用于关联所述应用的标识。
  3. 根据权利要求2所述的方法,其特征在于,所述标识包括以下任一种:
    关联所述应用的网际协议IP地址,或者;
    关联所述应用的端口port号,或者;
    关联所述应用的统一资源定位符URL。
  4. 根据权利要求1至3中任一项所述的方法,其特征在于,所述获取监控所述应用得到的监控信息之前,所述方法还包括:
    指示在所述应用的运行环境中部署监控程序,所述监控程序用于监控所述应用并生成所述监控信息。
  5. 根据权利要求1至4中任一项所述的方法,其特征在于,在根据所述监控信息判断所述应用是否被攻击之后,所述方法还包括:
    若根据所述监控信息确定所述应用被攻击,则停止所述应用,或者隔离所述应用,或者对所述应用进行告警。
  6. 根据权利要求4或5所述的方法,其特征在于,所述根据所述监控信息判断所述应用是否被攻击之后,所述方法还包括:
    在所述应用的运行环境中删除所述监控程序。
  7. 一种安全管理装置,其特征在于,包括:
    定向监控单元,用于接收集中式安全监控装置发送的嫌疑的攻击告警;
    所述定向监控单元还用于,确定所述嫌疑的攻击告警关联的应用;
    攻击分析单元,用于获取监控所述应用得到的监控信息;
    所述攻击分析单元还用于,根据所述监控信息判断所述应用是否被攻击。
  8. 根据权利要求7所述的安全管理装置,其特征在于,所述定向监控单元还用于:
    在所述确定所述嫌疑的攻击告警关联的应用之前,从所述攻击告警中提取用于关联所述应用的标识。
  9. 根据权利要求7或8所述的安全管理装置,其特征在于,所述定向监控单元还用于:
    在所述获取监控所述应用得到的监控信息之前,指示在所述应用的运行环境中部署监控程序,所述监控程序用于监控所述应用并生成所述监控信息。
  10. 根据权利要求7至9中任一项所述的安全管理装置,其特征在于,所述安全管理装置还包括:
    部署管理单元,用于若根据所述监控信息确定所述应用被攻击,则停止所述应用,或者隔离所述应用,或者对所述应用进行告警。
  11. 根据权利要求9或10所述的安全管理装置,其特征在于,所述部署管理单元还用于:
    所述根据所述监控信息判断所述应用是否被攻击之后,在所述应用的运行环境中删除所述监控程序。
  12. 一种安全管理装置,其特征在于,包括:
    存储器,用于存储指令;
    处理器,用于执行所述存储器中的指令,使得所述安全管理装置执行权利要求1至6中任一项所述的方法。
  13. 一种计算机程序产品,其特征在于,所述计算机程序产品包括指令,当所述指令在计算机上运行时,使得所述计算机执行权利要求1至6中任一项所述的方法。
  14. 一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储指令,当所述指令在计算机上运行时,使得所述计算机执行权利要求1至6中任一项所述的方法。
PCT/CN2019/087127 2018-09-20 2019-05-16 一种安全管理方法和安全管理装置 WO2020057156A1 (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US17/091,877 US20210058414A1 (en) 2018-09-20 2020-11-06 Security management method and security management apparatus

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201811101197.2 2018-09-20
CN201811101197.2A CN109218315B (zh) 2018-09-20 2018-09-20 一种安全管理方法和安全管理装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US17/091,877 Continuation US20210058414A1 (en) 2018-09-20 2020-11-06 Security management method and security management apparatus

Publications (1)

Publication Number Publication Date
WO2020057156A1 true WO2020057156A1 (zh) 2020-03-26

Family

ID=64984286

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2019/087127 WO2020057156A1 (zh) 2018-09-20 2019-05-16 一种安全管理方法和安全管理装置

Country Status (3)

Country Link
US (1) US20210058414A1 (zh)
CN (1) CN109218315B (zh)
WO (1) WO2020057156A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109218315B (zh) * 2018-09-20 2021-06-01 华为技术有限公司 一种安全管理方法和安全管理装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050039104A1 (en) * 2003-08-14 2005-02-17 Pritam Shah Detecting network denial of service attacks
CN1801031A (zh) * 2004-12-31 2006-07-12 福建东方微点信息安全有限责任公司 运用程序行为知识库判断已知程序被攻击的方法
CN102546641A (zh) * 2012-01-14 2012-07-04 杭州安恒信息技术有限公司 一种在应用安全系统中进行精确风险检测的方法及系统
CN107506648A (zh) * 2017-08-07 2017-12-22 阿里巴巴集团控股有限公司 查找应用漏洞的方法、装置和系统
CN109218315A (zh) * 2018-09-20 2019-01-15 华为技术有限公司 一种安全管理方法和安全管理装置

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7418730B2 (en) * 2002-12-17 2008-08-26 International Business Machines Corporation Automatic client responses to worm or hacker attacks
US20080168562A1 (en) * 2005-02-25 2008-07-10 Tomoyuki Haga Secure Processing Device and Secure Processing System
CN101039179A (zh) * 2007-04-13 2007-09-19 北京启明星辰信息技术有限公司 一种入侵检测精确报警方法和系统
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8738906B1 (en) * 2011-11-30 2014-05-27 Juniper Networks, Inc. Traffic classification and control on a network node
US8621621B1 (en) * 2011-12-21 2013-12-31 Juniper Networks, Inc. Security content injection
US9648029B2 (en) * 2012-07-30 2017-05-09 Newegg Inc. System and method of active remediation and passive protection against cyber attacks
CN102937930B (zh) * 2012-09-29 2016-05-18 重庆新媒农信科技有限公司 应用程序监控系统及方法
CN105051698B (zh) * 2013-03-28 2018-11-16 瑞典爱立信有限公司 用于基础设施即服务云中故障管理的方法和布置
CN103929413A (zh) * 2013-12-16 2014-07-16 汉柏科技有限公司 一种云网络防止受到攻击的方法及装置
CN104392175B (zh) * 2014-11-26 2018-05-29 华为技术有限公司 一种云计算系统中云应用攻击行为处理方法、装置及系统
US10944764B2 (en) * 2015-02-13 2021-03-09 Fisher-Rosemount Systems, Inc. Security event detection through virtual machine introspection
US10305928B2 (en) * 2015-05-26 2019-05-28 Cisco Technology, Inc. Detection of malware and malicious applications
US20180018459A1 (en) * 2016-07-15 2018-01-18 Trustlook Inc. Notification of Maliciousness Categorization of Application Programs for Mobile Devices
US10320817B2 (en) * 2016-11-16 2019-06-11 Microsoft Technology Licensing, Llc Systems and methods for detecting an attack on an auto-generated website by a virtual machine
CN108270722B (zh) * 2016-12-30 2021-08-24 阿里巴巴集团控股有限公司 一种攻击行为检测方法和装置
CN107370724A (zh) * 2017-06-09 2017-11-21 北京易华录信息技术股份有限公司 一种分布式云计算系统
US10637888B2 (en) * 2017-08-09 2020-04-28 Sap Se Automated lifecycle system operations for threat mitigation
US11157300B2 (en) * 2018-02-13 2021-10-26 Sophos Limited Managing virtual machine security resources

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050039104A1 (en) * 2003-08-14 2005-02-17 Pritam Shah Detecting network denial of service attacks
CN1801031A (zh) * 2004-12-31 2006-07-12 福建东方微点信息安全有限责任公司 运用程序行为知识库判断已知程序被攻击的方法
CN102546641A (zh) * 2012-01-14 2012-07-04 杭州安恒信息技术有限公司 一种在应用安全系统中进行精确风险检测的方法及系统
CN107506648A (zh) * 2017-08-07 2017-12-22 阿里巴巴集团控股有限公司 查找应用漏洞的方法、装置和系统
CN109218315A (zh) * 2018-09-20 2019-01-15 华为技术有限公司 一种安全管理方法和安全管理装置

Also Published As

Publication number Publication date
CN109218315A (zh) 2019-01-15
CN109218315B (zh) 2021-06-01
US20210058414A1 (en) 2021-02-25

Similar Documents

Publication Publication Date Title
US11102233B2 (en) Detection of vulnerable devices in wireless networks
US11757844B2 (en) Smart proxy for a large scale high-interaction honeypot farm
CA2968201C (en) Systems and methods for malicious code detection
US9769204B2 (en) Distributed system for Bot detection
US10291654B2 (en) Automated construction of network whitelists using host-based security controls
US11902303B2 (en) System and method for detecting lateral movement and data exfiltration
Modi et al. A survey of intrusion detection techniques in cloud
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
WO2018095098A1 (zh) 网络安全防护方法和装置
EP3374871B1 (en) System and method for detecting lateral movement and data exfiltration
CN107204965B (zh) 一种密码破解行为的拦截方法及系统
CN109688153B (zh) 使用主机应用/程序到用户代理的映射的零日威胁检测
US20170244738A1 (en) Distributed detection of malicious cloud actors
US20160110544A1 (en) Disabling and initiating nodes based on security issue
CN111464526A (zh) 一种网络入侵检测方法、装置、设备及可读存储介质
US20240154995A1 (en) Detection of vulnerable wireless networks
US20180103058A1 (en) System and method for iteratively updating network attack mitigation countermeasures
WO2021225650A1 (en) Detecting malicious activity in a cluster
Umar et al. Mitigating sodinokibi ransomware attack on cloud network using software-defined networking (SDN)
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
WO2020057156A1 (zh) 一种安全管理方法和安全管理装置
WO2017217247A1 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
CN106209867B (zh) 一种高级威胁防御方法及系统
Thakare et al. IDS: Intrusion detection system the survey of information security
WO2019140876A1 (zh) 一种防网络攻击的幻影设备建立的方法、介质及设备

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19863806

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19863806

Country of ref document: EP

Kind code of ref document: A1