WO2023072057A1

WO2023072057A1 - 提供安全服务的方法及装置、电子设备及计算机存储介质

Info

Publication number: WO2023072057A1
Application number: PCT/CN2022/127338
Authority: WO
Inventors: 沈宁敏
Original assignee: 中移(苏州)软件技术有限公司; 中国移动通信集团有限公司
Priority date: 2021-10-27
Filing date: 2022-10-25
Publication date: 2023-05-04
Also published as: CN116028938A

Abstract

一种提供安全服务的方法及装置、电子设备及计算机存储介质，所述方法包括：在规范化语句的约束下创建主机安全模型（S101）；获取租户下的主机信息；其中，所述主机信息至少包括：主机的订购信息以及所述主机的资产信息（S102）；将所述主机信息输入到所述安全模型，得到所述安全模型输出的安全服务信息（S103）；基于所述安全服务信息，向所述租户的主机提供对应的安全服务（S104）；通过规范化语句的约束创建安全模型，并且利用安全模型输出的安全服务信息向租户的所有主机提供对应的全局化的安全服务，进行相应的安全预防和加固。

Description

提供安全服务的方法及装置、电子设备及计算机存储介质

相关申请的交叉引用

本公开基于申请号为202111258008.4、申请日为2021年10月27日、申请名称为“提供安全服务的方法及装置、电子设备及计算机存储介质”的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本公开作为参考。

技术领域

本公开涉及计算机技术领域，具体涉及提供安全服务的方法及装置、电子设备及计算机存储介质。

背景技术

随着计算机的普及，网络入侵、病毒爆发、信息泄露等安全事件问题也日益突出，计算机终端安全问题一直受到安全领域各类厂商、云服务中心的密切关注，目前关于对于租户下的多个资源池的多个节点的安全维护是针对单个资源池进行单独安全服务，这使得租户需要针对不同的资源池重复订购多次安全服务，并且无法提供与资源池对应且合适的安全服务。

因此，需要一种能进行提供全局服务且能按需提供安全服务的装置。

发明内容

本公开提供一种提供安全服务的方法及装置、电子设备及计算机存储介质。

本公开第一方面提供了一种提供安全服务的方法，所述方法包括：

在规范化语句的约束下创建主机安全模型；

获取租户下的主机信息；其中，所述主机信息至少包括：主机的订购信息以及所述主机的资产信息；

将所述主机信息输入到所述安全模型，得到所述安全模型输出的安全服务信息；

基于所述安全服务信息，向所述租户的主机提供对应的安全服务。

本公开第二方面提供一种提供安全服务的装置，所述装置包括：

创建模块，配置为在规范化语句的约束下创建主机安全模型；

获取模块，配置为获取租户下的主机信息；其中，所述主机信息至少包括：主机的订购信息以及所述主机的资产信息；

确定模块，配置为将所述主机信息输入到所述安全模型，得到所述安全模型输出的安全服务信息；

提供模块，配置为基于所述安全服务信息，向所述租户的主机提供对应的安全服务。

本公开第三方面提供一种电子设备，所述电子设备包括：处理器和配置为存储能够在处理器上运行的计算机程序的存储器；其中，

所述处理器运行所述计算机程序情况下，执行本公开第一方面的提供安全服务的方法的步骤。

本公开第四方面提供一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令；所述计算机可执行指令被处理器执行后，能够实现如本公开第一方面所述的提供安全服务的方法。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，而非限制本公开。根据下面参考附图对示例性实施例的详细说明，本公开实施例的其它特征将变得清楚。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，这些附图示出了符合本公开的实施例，并与说明书一起用于说明本公开的技术方案。

图1为一示例性实施例示出的提供安全服务的方法的流程示意图；

图2为一示例性实施例示出的提供安全服务的方法的流程示意图；

图3为一示例性实施例示出的提供安全服务的方法的流程示意图；

图4为一示例性实施例示出的云安全中心载体服务下的主机安全统一检测模型示意图；

图5为一示例性实施例示出的云资源主机安全架构图；

图6为一示例性实施例示出的基于多节点下主机终端安全防护模型；

图7为一示例性实施例示出的租户使用云中心载体服务模块关系图；

图8为一示例性实施例示出的租户安全服务流程示意图；

图9为一示例性实施例示出的提供给租户的安全报告定向推送字段结构示意图；

图10为一示例性实施例示出的提供安全服务的装置的结构示意图。

具体实施方式

以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。

在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合，例如，包括A、B、C中的至少一种，可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。

另外，为了更好地说明本公开实施例，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本公开实施例同样可以实施。在一些实施例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本公开实施例的主旨。

本公开实施例提供了一种提供安全服务的方法，结合图1所示，所述方法包括：

步骤S101，在规范化语句的约束下创建主机安全模型；

步骤S102，获取租户下的主机信息；其中，所述主机信息至少包括：主机的订购信息以及所述主机的资产信息；

步骤S103，将所述主机信息输入到所述安全模型，得到所述安全模型输出的安全服务信息；

步骤S104，基于所述安全服务信息，向所述租户的主机提供对应的安全服务。

本公开实施例中，设定T(Tenant)为租户，CSC(Cloud Security carrier)为云安全载体，GO(Global Order)为全局订购，CH(Cloud Host)为云上主机，H(Hosts)为自定义主机，SM(Security Model)为安全能力模块，L(Level)为安全能力服务等级，P(Pools)为资源池节点，SS((Security Service)为安全服务)。

本公开实施例，步骤S101中在规范化语句的约束下创建主机安全模型；会对使用上述T、CSC、GO、CH、H、SM、L、P、SS针对安全模型制定规范化语句。

本公开实施例中，使用一阶逻辑的谓词表示规范化语句。一阶逻辑也称一阶谓词演算，允许量化陈述的公式，是一种形式系统，一阶逻辑是区别与高阶逻辑的梳理逻辑，不允许量化性质；性质是一个物体的特性。采用符号∧表示合取，∨表示析取，符号

表示全称量词，

表示存在量词，符号→表示蕴涵，

表示双条件。

本公开实施例中，云安全中心载体向租户下的资源池主机提供安全服务，基于资源池节点下及租户自定义类别的主机资产为目标，将一个租户下所有资产进行统一管理。在集成多类不同类别，不同能力的安全模块能力，以租户为粒度，对主机资产进行状态管理、基于不同的安全事件进行相应的处理，并且统一上报租户及发出对应的告警。在载体服务中心，对所有租户的数据进行统一采集、存储及日志上报，而租户只需简单的订购一次注册载体服务，实现与资源池节点的解耦，按需使用对应的安全能力，示意图参见图4所示的云安全中心载体服务下的主机安全统一检测模型。

本公开实施例中，如图4所示，租户一次订购全局服务之后，云安全中心载体会获取云上主机和/或云下主机的资产，并根据主机的资产变化，同步更新主机的资产信息至云安全中心载体。

本公开实施例中，在规范化语句的约束下创建主机安全模型，规范化语句指示用户的主机信息。主机信息所包括的订购信息以及资产信息输入至安全模型后，会生成主机信息的规范化语句的表示，安全模型根据规范化的语句的表示，输出安全服务信息。云安全中心载体基于安全服务信息，向所述租户的主机提供对应的安全服务。

本公开实施例中，在步骤S101中的安全模型的含义为租户在全局化订购的条件下，云上主机以及云下主机资产所具备的预防及加固对应的安全服务等级的安全集合，针对云上主机资产，包括多个资源池节点下所有主机应具备的安全能力汇总，即单个或多个安全子能力在单个或多个主机上形成对应的安全服务关联；针对云下主机资产，在租户自定义管理的前提下，与对应安全子能力形成服务映射关系。

本公开实施例中，在步骤S102中，主机的订购信息包括但不限于是：租户为主机订购的安全服务的等级，以及租户是否为主机订购了全局服务。

本公开实施例中，安全服务的等级越高，说明安全服务的类别数量越多。

本公开实施例中，安全服务的类别数量包括但不限于：针对暴力破解、异常登录的检测和告警、对于WEB后门安全性的维护、病毒查杀、云蜜罐数据的维护、异常告警、基线修复、漏洞修复、病毒隔离等措施，并生成安全日志和安全报告。

本公开实施例中，在步骤S103中，将主机信息包括的订购信息和资产信息输入到所述安全模型后，得到所述安全模型输出的安全服务信息。这里，安全服务信息指示租户是否订购了全局服务，若租户订购了全局服务，则在订购的全局服务下对待维护的资产，输出租户选择的安全服务模块的组合。

本公开实施例中，在步骤S104中，基于所述安全服务信息，向所述租户的主机提供对应的安全服务，是基于与安全模型输出的安全服务，向租户的主机提供对应的安全服务的类别。

本公开实施例中，在规范化语句的约束下创建主机安全模型；将主机信息输入到安全模型，得到安全模型输出的安全服务信息；基于安全服务信息，向租户的主机提供对应的安全服务；与目前技术单个资源池单次订购安全服务，单个资源池独立且没有统计的安全能力，无法按需提供合适的全局化安全服务相比，本公开实施例中的安全模型可以基于租户的主机的订购信息和资产信息输出安全服务信息，可以按需向所述租户的主机提供对应的安全服务。

本公开实施例中，所述将所述主机信息输入到所述安全模型，包括：

将以第一规范化语句表示的订购信息输入到所述安全模型；

和/或，

将以第二规范化语句表示的资产信息输入到所述安全模型。

本公开实施例中，第一规范化语句表示订购信息中的订购服务的等级以及是否订购全局服务。

本公开实施例中，第一规范化语句对属性特征L，GO值域关系约定，Li表示为第i个等级，其等级按大小顺序排列，且

为第j个等级包含第i个等级的安服能力模块。GO ^0/1表示租户是否订购全局服务，0为未订购，1为订购。

本公开实施例中，第二规范化语句表示资产信息的组合。

本公开实施例中，多个节点下的云上主机资产及云下主机资产组合成租户下所有的主机资产，可以用P ₁∧P ₂∧P ₃…P _p(p>0)∈CH+H,CH∪H，P _p表示第p个节点下对应的云上主机资产。

本公开实施例中，通过上述第一规范化语句表示订购信息，上述第二规范化语句表示资产信息，并且将以第一规范化语句表示的订购信息输入到所述安全模型，将以第二规范化语句表示的资产信息输入到安全模型，可以综合租户的订购信息和资产信息，按租户的实际需求对租户提供安全服务。

本公开实施例中，所述订购信息至少包括：

约束租户是否订购全局服务的GO取值：若所述GO取值为第一值，指示所述租户订购的是安全服务；若所述GO取值为第二值，指示所述租户未订购的安全服务；

约束租户订购的安全服务等级的Ln的值；n表示租户订购的安全服务属于第n个等级，所述n配置为确定提供所述安全服务的模块类别数量。

本公开实施例中，约束租户是否订购全局服务的GO取值：若GO取值为第一值，指示所述租户订购的是安全服务；若所述GO取值为第二值，指示所述租户未订购的安全服务；这里，第一值与第二值不同，并且，若租户未订购全局化的安全服务，则无法使用云安全中心载体提供的全局化的安全服务。

本公开实施例中，第一值可以取值为1，第二值可以取值为0。

本公开实施例中，约束租户订购的安全服务等级的Ln的值；n表示租户订购的安全服务属于第n个等级，所述n配置为确定提供所述安全服务的模块类别数量；这里，等级n是按照大小顺序排列的，等级越高，n值越大，对应的安全服务的模块类别数量就越多。

在一个实施例中，n＝i的情况下，安全服务等级为Li；n＝j情况下，安全服务等级为Lj。且

为第j个等级的安全服务的模块包含第i个等级的安全服务的模块。

本公开实施例中，通过GO值表示租户是否订购全局服务，通过Ln的值表示租户订购的安全服务的等级，进而表示租户需要订购的安全服务的模块，可以按租户的需求确定是否提供全局服务，以及在全局服务下根据租户的等级确定租户选择的安全服务的模块类别。如此，通过规范化语句约束表示租户的订购信息的属性，可以为按需为租户提供安全服务。

本公开实施例中，所述资产信息包括：

待维护的多个主机的资产的集合。

本公开实施例中，资产信息是指租户下的多个节点对应的云上主机资产信息以及云下主机资产信息，用P _P表示第p个节点下对应的主机资产。

本公开实施例中，待维护的多个主机的资产的集合用符号P ₁∧P ₂∧P ₃…P _p(p>0)∈CH+H,CH∪H。表示多个节点的主机资产的合取组成多个主机的资产的集合CH+H。

本公开实施例中，关于多个主机的资产的合取，即使组合成集合，每个主机都是相互独立标注，便于之后针对多个主机进行分辨和识别，以及提供安全服务。

本公开实施例中，需要确定主机的资产信息，才能确定安全服务对主机的维护对象，便于对主机下的这些资产进行安全服务的检测和维护，如此，能为主机提供对应的安全服务。

本公开实施例中，结合图2所示，所述将所述主机信息输入到所述安全模型，得到所述安全模型输出的安全服务信息，还包括：

步骤S1031将所述主机信息输入到所述安全模型，得到所述安全模型以第三规范化语句输出的安全服务信息。

本公开实施例中，第三规范化语句是指：不同类型的安全能力组成安全模块，多个安全模块在能力编排下形成安全服务，符号表示(SM ₁∧SM ₂∧SM ₃∧SM...SM _t)→SS ^l|l>0,t>0，SM _sm为指定安全模块类别下的第sm个安全子能力。上述符号表示多个安全子能力的合取组成的集构成第L等级的安全服务SS ^l的模块。

本公开实施例中，对于不同的租户，根据是否进行全局订购具有不同的安全能力服务，

表示在l>0的条件下，第l等级的安全服务SS ^l包含第l-1的安全子能力模块，依次类推，等级越高的安全服务模块包含等级低的安全服务模块。

本公开实施例中，将主机信息输入到安全模型，得到安全模型以第三规范化语句输出的安全服务信息，也即是，将主机信息指示的订购信息和资产信息输入到安全模型，安全模型通过第三规范化语句表示对租户提供的对应的安全服务模块的类别组合作为安全模型以第三规范化语句输出的安全服务信息。如此，能为租户提供需要且对应的安全服务。

本公开实施例中，结合图3所示，所述基于所述安全服务信息，向所述租户的主机提供对应的安全服务，包括：

步骤S1041，基于所述安全服务信息，得到在所述租户有订购全局服务情况下的安全服务情况下的安全服务模块类别数量组合；

步骤S1042，根据所述安全服务模块类别数量组合，向所述租户的主机提供对应的安全服务。

本公开实施例中，安全模型的模型公式为：

T代表租户，l代表对于的安全服务等级，GO＝1代表租户进行了全局订购，CH代表云上主机，P为资源池节点数量，H代表云下主机资产，SM代表安全服务子能力，sm代表多个安全子能力的数量。

在上述模型公式中的含义为租户T在订购了全局服务(GO＝1)的条件下，云上主机CH以及云下主机H的资产所对应的安全服务等级l对应的安全服务模块的集合SS ^l。

本公开实施例中，在上述模型公式中，

表示租户T在订购了全局服务下的安全服务、

表示1到p的节点下所属的主机资产的集合、

表示1到sm个安全子能力服务SM的集合、

表示存在安全服务等级l大于0，1到sm个安全子能力的集合属于安全服务等级l对应的安全服务，综合而言，上述安全模型公式的含义是指，租户T需要的安全服务SS是在订购了全局化服务，在存在安全服务等级L大于0，且1到sm个安全子能力的集合属于安全服务等级l对应的安全服务的条件下，根据1到p个节点下的主机资产的集合CH+H下的安全服务模块类别数量组合，形成向租户T提供与等级L对应的安全服务SS ^l。

本公开实施例中，通过根据所述安全服务模块类别数量组合，向所述租户的主机提供对应的安全服务，可以向租户提供租户需要的安全服务。

本公开实施例中，云安全中心载体会根据租户下的主机的资产变化，将主机资产同步更新到云安全中心载体，对主机资产同步完成后，云安全中心载体会利用安全模型，对输入的安全服务等级以及对应的安全服务模块，结合租户下主机的资产生成与租户对应的安全服务SS。

本公开实施例中，在确定提供给租户对应的安全服务SS之后，云安全中心载体会生成租户唯一标识的终端引擎组件安装命令，下发到各个主机，进行自动或手动安装，安装完成后，主机的后端线程与安全中心载体自动建立通信链路。在启动安全服务之后，安全中心载体启动安全引擎线程首先对主机系统状态、安全配置、防火墙进行检测，并且从中心载体服务中获取基线、漏洞、风险、病毒等规则库，基于规则信息进行安全检测，若检测出相应的风险项，基于风险项的低危、中危及高危级别，结合默认配置的修复措施或租户在平台设定的标准觉得是否修复以实现安全加固，同时自动触发告警，及时通知租户相关数据信息，需要加固的依赖文件或安全配置在中心载体服务自动拉取。

本公开实施例中，安全引擎线程在相应安全规则定义下，可自动监听外部入侵流量，如暴力破解、异常登录等，针对非租户自身发起的主机终端操作形成一套虚拟的安全墙，实现终端安全预防。

本公开实施例中，租户登录到云安全中心载体，对全局服务性的安全服务进行订购，并且获取对应规格的能力服务，如此，可以实现对租户下的多节点的主机进行全局化、中心化的安全检测及加固；并且，根据租户下的主机的订购信息和资产信息，根据租户的需求，向租户提供对应且合适的安全服务。

结合上述实施例提供以下示例：

示例1：一种提供安全服务的方法。

目前技术中，随着计算机的使用在人类生活中各类普及，网络入侵、病毒爆发、信息泄露等安全事件问题也日益突出，计算机终端安全问题一直受到安全领域各类厂商、云服务中心的密切关注。计算机终端安全问题其本质是其在所运行的环境下，包括物理环境、网络环境或虚拟环境下，受到外界攻击事件的入侵或自身组件漏洞的影响导致终端部分服务或整体服务不可用状态。针对终端安全问题在解决方案中，基于客户粒度大小的不同可分为单体终端或云终端安全防护，而在公有云市场的环境下，在考虑用户所属地域的差异及服务性能的影响，针对云上服务的客户主机提供了异地多套安全防护，每个资源池归属主机对应的安全检测及加固建议在不同的节点均有体现。如图5所示的云资源主机安全架构图，基于部署节点的个数及网络带宽的影响下，每个资源池均存在相同的、独立的、无统计的安全能力。

对于单资源池云主机安全的安全检测、防护及加固在提供服务上，是基于用户主机资产分布的特点进行定向服务，同一个租户或用户在申请资产防护的情况下，需进行多次订购、多次资源操作，在云安全能力使用上具有一定的重复性事件，在安全加固上也需针对单点资源池主机资产进行独立处理，如图6所示的基于多节点下主机终端安全防护模型。对于云安全能力提供者，在安全能力输出层面，需要同时部署多个地域性的安全核心集群对应租户下所涵盖的所有资源节点。同时，在安全能力侧，若同一个安全厂商不具备强安全防护能力，如防病毒中的病毒检测或云查杀、暴力破解、异常登录、反弹shell、云平台配置、病毒查杀等，则需针对不同的安全模块能力进行独立、隔离提供。

目前的多资源池节点主机终端安全模型中，用户主机资产与资源池节点对应、安全能力提供与资源池节点关联，而主机终端安全又存在一个或多个独立的安全客户端，这样形成租户在使用云安全防护能力的情况下，具有主机资产的隔断性、产品订购的重复性、安全能力终端防护进程的多样性。这是一种基于节点分布的安全能力架构模型，在资源部署和安全数据分析上，具有资源节点独立性，是一种非全局的统一模型。

目前的基于多节点下主机终端安全防护在使用上有如下缺点：

缺点1、单租户在对主机资产进行安全检测、防护及加固上，只能以资源池节点为单位，进行逐一产品功能订购及使用，使得租户在安全能力使用上具有重复性和冗余性，若用户需使用不同的终端安全防护能力，需在主机资产上进行手动拉起多个进程，其在用户操作具备一定的复杂性且用户体验较差。

缺点2、用户在统计主机资产安全状况的情况下，针对同一安全事件报告，在多个资源池节点均有上报，不能集中检测及处理，若需针对攻击事项设定告警阈值或安全白名单，也需维护多个阈值或多个白名单列表，对用户主机资产的安全预防及加固很难达到一致性处理。

缺点3、在多节点安全防护能力中，针对云安全能力提供者，针对租户资产数据不能集中管理，且安全能力集群中心在每个独立资源池节点均有资源部署，对集群资源的统一管理及服务运行状态的统一监控添加了多倍的运维成本，同时在处理安全检测数据的情况下，不能以租户的维度进行统一安全处理及安全报告统计。

本公开实施例，实现一种针对租户主机资产的全局化、中心化、云处理的安全检测及加固方法，使得所有的安全事件处理统一以租户为粒度，对新增资源池节点、新增主机资产、新增安全防护能力均具备动态扩展的能力，租户在无需重复订购或操作相关产品，可以对全资源池节点下的所有主机资产进行统一安全检测。同时，对云安全能力侧，提供一个安全能力中心集群，纳管所有租户的主机资产状态，对安全数据进行统一分析处理，使得主机安全状态检测、加固及告警保持一致性。同时在资源管理也减少集群管理的复杂度，降低运维人员的维护成本。并且按照租户的需求提供对应的安全服务。

本公开实施例提出一种云安全中心载体服务下的主机安全统一检测。该方法是基于资源池节点下及用户自定义类别的主机资产为目标，将一个租户下所有主机资产进行统一管理。在集成多类不同类别，不同能力的安全模块能力，以租户为粒度，对主机资产进行状态管理、基于不同的安全事件进行相应的处理，并统一上报租户及发出对应的告警。在载体服务中心，对所有租户的数据进行相应的统一采集、存储及日志上报，而租户只需简单的订购一次注册载体服务，实现与资源池节点的解耦，按需使用对应的安全能力，模型操作如图4所示的云安全中心载体服务下的主机安全统一检测模型。

设定T(Tenant)为租户，CSC(Cloud Security carrier)为云安全载体，GO(Global Order)为全局订购，CH(Cloud Host)为云上主机，H(Hosts)为自定义主机，SM(Security Model)为安全能力模块，L(Level)为安全能力服务等级，P(Pools)为资源池节点，SS(Security Service)为安全服务。下面针对统一访问模型制定一些语义约束性规范，规范采用一阶谓词逻辑表示，符号∧，∨表示合取、析取，符号

表示全称量词、存在量词，符号→表示蕴涵。约定规范如下：

规范1：对属性特征L，GO值域及关系约定，L _i(i>0)为第i个等级，其等级按大小顺序排列，且

规范2：多个节点下的云主机资产及云下主机组合成租户下所有的主机资产，符号表示P ₁∧P ₂∧P ₃…P _p(p>0)∈CH+H,CH∪H，P _p表示第p个节点下对应的云上主机资产。

规范3：不同类型的安全能力组合成安全模块，多个安全模块在能力编排下形成安全服务，符号表示(SM ₁∧SM ₂∧SM ₃...SM _t)→SS ^l|l>0,t>0，SM _sm为指定安全模块类别下的第sm个安全子能力。对于不同的租户，根据是否进行全局订购具有不同的安全能力服务，

基于上述定义的规则1-3，实现多租户在云中心载体服务中对不同节点、不同自定义主机资产进行云安全能力检测及加固，其模型公式为：

其中T代表租户，l代表对应的服务等级，GO＝1表示租户进行了全局订购，CH代表云上主机，p为资源池节点数量，H代表云下主机资产，SM代表安全服务子能力，sm表示多个安全子能力数量。

上述公式模型含义为租户在全局化订购的条件下云上主机及云下主机资产所具备的预防及加固对应服务等级的安全集合，针对云上主机资产，包括多个资源池节点下所有的主机应具备的安全能力汇总，即单个或多个安全子能力在单个或多个主机上形成对应的安全服务关联；针对云下主机资产，在租户自定义管理的前提下，与对应安全子能力形成服务映射关系。

当云中心载体服务中对租户的主机资产已同步完成后，中心服务对安全服务等级及对应的安全子能力进行分析统计生成租户唯一标识的终端引擎组件安装命令，通过公网或代理服务形式自动下发到各个终端进行自动安装或租户从平台侧手动获取自行安装，安装完成后端线程与中心载体服务自动建立通信链路。线程在启动之后首先对主机系统状态、安全配置、防火墙等，并从中心载体服务中获取基线、漏洞、风险、病毒等规则库，线程自动基于规则信息进行安全检测，若检测出相应的风险项，基于风险项的低危、中危及高危级别，结合默认配置的修复措施或租户在平台设定的标准觉得是否修复以实现安全加固，同时自动触发告警，及时通知租户相关数据信息，需要加固的依赖文件或安全配置在中心载体服务自动拉取。针对主机安全预防，安全引擎线程在相应安全规则定义下，可自动监听外部入侵流量，如暴力破解、异常登录等，针对非租户自身发起的主机终端操作形成一套虚拟的安全墙，实现终端安全预防。

租户订购登录到云平台，对云能力产品进行全局订购，获取对应规格的能力服务，即可对多节点的云上主机及云下主机进行全局化、中心化的安全检测及加固，如图7所示的租户使用云中心载体服务模块关系图。

使用服务的步骤对应的租户安全服务流程图如图8所示：

1、租户登录云中台平台，认证通过；

2、选择对应满足条件的安全服务，进行服务等级确定；

3、对云上主机及云下主机进行预先采集，形成初始状态下的租户主机资产清单，当主机信息发生改变或主机资源退订，需要及时对主机资产数据进行更新、后期资产变动进行定期同步；

4、建立主机终端与云中心载体服务互访的链路，进行安全服务模块启动；

5、云中心载体服务对所有节点主机安全数据进行统一采集及监控，输出告警、自动加固、提供修复建议；

6、针对全量租户、全部资产的安全监测数据形成统一的安全报告，定期推送并运维人员查看。

租户通过云中台使用云中心载体服务的情况下，会产生大量的安全日志。基于租户资产运行状态及事件分析，形成标准的推送通知及安全统计报告，以便租户在有状态感知的前提下提前进行预防。如图9所示，定义定向推送的字段，租户ID，主机数，不同规格加固主机数，检测时间。

本公开实施例中，基于全局化、中心化概念提出了一种基于云中心载体服务的主机安全检测及加固模型，利用规范化语义对模型进行相关定义及约束，实现单租户对多节点、自定义主机类别进行安全检测、数据采集、安全加固，同时可动态扩展租户主机数量和类别，对主机安全进行统一纳管及检测。

本公开实施例中，对安全模块子能力、安全能力类别进行统一编排，按规格等级依次扩展，将安全服务能力在云中心载体中进行融合管理，维护管理对应的等级权限实现安全能力对外的统一服务，可动态对其它类别的主机安全能力进行增、删，具备服务能力的横向扩容。

本公开实施例中，在载体服务提供中，具备中心化、全局化，使得服务能力集群在资源管理上具备统一管理、状态统一监控。同时定义了租户安全报告相应的统计分析字段，实现运维侧对全量租户的安全数据进行处理分析，也为租户实现安全报告定期推送。

本公开实施例的的优点如下：

优点1，利用形成化语义定义，设计云安全中心载体服务下的主机安全统一检测模型，租户仅需配置一次规格权限，即可使用对应的云中心能力服务，且支持多节点下的主机资产及租户自定义主机资产，对资产统计可动态延伸及缩减。

优点2，通过对安全子能力模块进行能力编排，对外提供一个统一的能力输出，在安全能力服务可提供按需使用，根据租户主机本身安全状态进行相应的安全预防及安全加固。

优点3，在云中心载体服务管理中，对资源管理、安全数据管理及租户资源安全报告生成均统一中心集群维护，可实现多节点动态资产扩容及中心服务的横向扩展。

本公开实施例中，结合图10，提供一种提供安全服务的装置200，所述装置200包括：

创建模块201，配置为在规范化语句的约束下创建主机安全模型；

获取模块202，配置为获取租户下的主机信息；其中，所述主机信息至少包括：主机的订购信息以及所述主机的资产信息；

确定模块203，配置为将所述主机信息输入到所述安全模型，得到所述安全模型输出的安全服务信息；

提供模块204，配置为基于所述安全服务信息，向所述租户的主机提供对应的安全服务。

本公开实施例中，所述确定模块配置为将所述主机信息输入到所述安全模型，包括：

将以第一规范化语句表示的订购信息输入到所述安全模型；

和/或，

将以第二规范化语句表示的资产信息输入到所述安全模型。

本公开实施例中，所述订购信息至少包括：

本公开实施例中，所述资产信息包括：

待维护的多个主机的资产的集合。

本公开实施例中，所述确定模块，还配置为：

配置为将所述主机信息输入到所述安全模型，得到所述安全模型以第三规范化语句输出的安全服务信息。

本公开实施例中，所述提供模块，还配置为：

配置为基于所述安全服务信息，得到在所述租户有订购全局服务情况下的安全服务情况下的安全服务模块类别数量组合；

配置为根据所述安全服务模块类别数量组合，向所述租户的主机提供对应的安全服务。

在本公开实施例中，提供一种设备，所述设备，包括：

处理器；

被配置为存储处理器可执行指令的存储器；

其中所述处理器被配置为运行所述计算机服务的情况下，实现上述所述的补偿方法中的步骤。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行的情况下，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

在本公开实施例中，提供一种介质，所述介质中有计算机可执行指令，所述计算机可执行指令被处理器执行实现上述所述的补偿方法中的步骤。

或者，本公开实施例上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用的情况下，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本公开各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以申请文件的保护范围为准。

工业实用性

本公开实施例提供安全服务的方法，包括：在规范化语句的约束下创建主机安全模型；将主机信息输入到安全模型，得到安全模型输出的安全服务信息；基于安全服务信息，向租户的主机提供对应的安全服务；与目前技术单个资源池单次订购安全服务，单个资源池独立且没有统计的安全能力，无法按需提供合适的全局化安全服务相比，本公开实施例中的安全模型可以基于租户的主机的订购信息和资产信息输出安全服务信息，可以按需向所述租户的主机提供对应的安全服务。

Claims

一种提供安全服务的方法，其中，所述方法包括；

在规范化语句的约束下创建主机安全模型；

获取租户下的主机信息；其中，所述主机信息至少包括：主机的订购信息以及所述主机的资产信息；

将所述主机信息输入到所述安全模型，得到所述安全模型输出的安全服务信息；

基于所述安全服务信息，向所述租户的主机提供对应的安全服务。
根据权利要求1所述的提供安全服务的方法，其中，所述将所述主机信息输入到所述安全模型，包括：

将以第一规范化语句表示的订购信息输入到所述安全模型；

和/或，

将以第二规范化语句表示的资产信息输入到所述安全模型。
根据权利要求2所述的提供安全服务的方法，其中，所述订购信息至少包括：

约束租户是否订购全局服务的GO取值：若所述GO取值为第一值，指示所述租户订购的是安全服务；若所述GO取值为第二值，指示所述租户未订购的安全服务；

约束租户订购的安全服务等级的Ln的值；n表示租户订购的安全服务属于第n个等级，所述n配置为确定提供所述安全服务的模块类别数量。
根据权利要求1所述的提供安全服务的方法，其中，所述资产信息包括：

待维护的多个主机的资产的集合。
根据权利要求1所述的提供安全服务的方法，其中，所述将所述主机信息输入到所述安全模型，得到所述安全模型输出的安全服务信息，还包括：

将所述主机信息输入到所述安全模型，得到所述安全模型以第三规范化语句输出的安全服务信息。
根据权利要求5所述的提供安全服务的方法，其中，所述基于所述安全服务信息，向所述租户的主机提供对应的安全服务，包括：

基于所述安全服务信息，得到在所述租户有订购全局服务时的安全服务时的安全服务模块类别数量组合；

根据所述安全服务模块类别数量组合，向所述租户的主机提供对应的安全服务。
一种提供安全服务的装置，其中，所述装置包括：

创建模块，配置为在规范化语句的约束下创建主机安全模型；

获取模块，配置为获取租户下的主机信息；其中，所述主机信息至少包括：主机的订购信息以及所述主机的资产信息；

确定模块，配置为将所述主机信息输入到所述安全模型，得到所述安全模型输出的安全服务信息；

提供模块，配置为基于所述安全服务信息，向所述租户的主机提供对应的安全服务。
根据权利要求7所述的提供安全服务的装置，其中，所述确定模块配置为将所述主机信息输入到所述安全模型，包括：

将以第一规范化语句表示的订购信息输入到所述安全模型；

和/或，

将以第二规范化语句表示的资产信息输入到所述安全模型。
一种电子设备，其中，所述电子设备包括：处理器和配置为存储能够在处理器上运行的计算机程序的存储器；其中，

所述处理器运行所述计算机程序时，执行权利要求1至6任一项所述提供安全服务的方法的步骤。
一种计算机存储介质，其中，所述计算机存储介质存储有计算机可执行指令；所述计算机可执行指令被处理器执行后，能够实现如权利要求1至6任一项所述的提供安全服务的方法。