CN112671807B - 威胁处理方法、装置、电子设备及计算机可读存储介质 - Google Patents
威胁处理方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112671807B CN112671807B CN202110274314.0A CN202110274314A CN112671807B CN 112671807 B CN112671807 B CN 112671807B CN 202110274314 A CN202110274314 A CN 202110274314A CN 112671807 B CN112671807 B CN 112671807B
- Authority
- CN
- China
- Prior art keywords
- threat
- data stream
- cloud platform
- network
- threat behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种威胁处理方法、装置、电子设备及计算机可读存储介质,方法应用于云平台的目标节点上,包括:抓取自身的网络交互数据流;从网络交互数据流中,提取出数据流特征;将数据流特征输入至预先训练好的威胁行为检测模型中,确定当前是否存在威胁行为,以及存在威胁行为时,所存在的威胁行为类型;在存在威胁行为时,从预设的防御策略中,确定出威胁行为类型对应的目标防御策略,并执行目标防御策略。这就实现了对于云平台自身的网络威胁的监测及处置,加强了对云平台的安全防护。
Description
技术领域
本申请涉及信息处理技术领域,具体而言,涉及一种威胁处理方法、装置、电子设备及计算机可读存储介质。
背景技术
目前市场上针对云平台的安全防护方法大都是利用先导引流的方式实现的。即是通过建立云上虚拟化安全资源池(通常为独立的一套服务器),在其上部署相关安全产品,并将出入云平台的数据流量优先引导至该安全资源池,再流入云平台,以此来实现对网络入侵行为的安全防护。
但这种方式无法针对云平台自身的网络威胁进行监测及处置,尤其是基于云平台架构的安全组件及防护策略方法更是空白,因此对于云平台的安全防护效果并不好。
发明内容
本申请实施例的目的在于提供一种威胁处理方法、装置、电子设备及计算机可读存储介质,用以解决现有技术中无法针对云平台自身的网络威胁进行监测及处置的技术问题。
本申请实施例提供了一种威胁处理方法,应用于云平台的目标节点上;所述方法包括:抓取自身的网络交互数据流;从所述网络交互数据流中,提取出数据流特征;将所述数据流特征输入至预先训练好的威胁行为检测模型中,确定当前是否存在威胁行为,以及存在威胁行为时,所存在的威胁行为类型;在存在威胁行为时,从预设的防御策略中,确定出所述威胁行为类型对应的目标防御策略,并执行所述目标防御策略。
在上述实现过程中,通过云平台的节点通过抓取自身的网络交互数据流,进而提取出数据流特征,采用预先训练好的威胁行为检测模型进行威胁检测,从而得出是否具有威胁行为,以及具有的威胁行为的类型,从而采用该类型相应的目标防御策略进行威胁处理。这样,就实现了对于云平台自身的网络威胁的监测及处置,加强了对云平台的安全防护。此外,本申请的方案不同于传统先导引流方式,只需在云平台的相关节点布设实现本申请的方案的相关组件即可,从而可以在软件组件级层面,实现云平台的原生防御策略配置及入侵防御功能,从根本上提升了云平台的安全性。
进一步地,在从所述网络交互数据流中,提取出数据流特征之后,将所述数据流特征输入至预先训练好的威胁行为检测模型中之前,所述方法还包括:对所述数据流特征进行降维处理;将降维处理后的数据流特征进行数据标准化处理,以使降维处理后的数据流特征处于相同特征尺度。
在上述实现结构中,通过对数据流特征进行降维处理,从而可以去除数据流特征中的冗余信息以及噪音信息,进而进一步的进行数据标准化处理,从而消除特征之间的差异性。这样就减少了极端数据及数据单位差异带来的影响,提高了威胁行为检测模型的检测准确性。
进一步地,在对所述数据流特征进行降维处理之前,所述方法还包括:识别所述数据流特征中的无用特征;所述无用特征包括流ID(Identity document,身份标识号)、时间戳;将识别出的无用特征从所述数据流特征中剔除。
在上述实现过程中,通过消除流ID、时间戳等无用特征,从而降低了数据流特征的数量,提高了数据流特征的质量,使得检测结果更为准确,且检测效率更高。
进一步地,在从所述网络交互数据流中,提取出数据流特征之后,所述方法还包括:从所述数据流特征中识别出基本信息;所述基本信息包括IP信息、端口信息、协议信息中的至少一种;所述执行所述目标防御策略,包括:根据所述基本信息,执行所述目标防御策略。
在上述实现过程中,利用数据流特征中识别出的基本信息,即可有效执行诸如源头阻断、告警等处置策略,实现对于威胁行为的可靠处理。
进一步地,所述基本信息包括所述威胁行为的目的IP;在存在威胁行为时,所述方法还包括:根据所述威胁行为的目的IP,通过环境变量连接至OpenStack云平台的Neutron组件,从所述Neutron组件中得到所述威胁行为对应的端口ID;控制所述Neutron组件对所述端口ID对应的端口进行删除。
进一步地,所述基本信息包括所述威胁行为的源IP;所述执行所述目标防御策略,包括:根据所述源IP,通过环境变量连接至OpenStack云平台的Neutron组件,控制所述Neutron组件按照所述目标防御策略修改安全组的规则。
进一步地,在将所述数据流特征输入至预先训练好的威胁行为检测模型之后,所述方法还包括:将所述数据流特征和所述威胁行为检测模型的输出结果,输入至预先训练好的威胁趋势感知模型中,得到下一时刻云平台是否遭受入侵的趋势预测信息。
在上述实现过程中,通过预先训练好的威胁趋势感知模型,从而结合数据流特征和威胁行为检测模型的检测结果,实现了对于未来云平台是否遭受入侵的趋势预测,从而更便于工程师了解威胁趋势,以及便于实施相应的防御策略。
进一步地,所述方法还包括:将所述趋势预测信息发送给所述云平台的安全管理模块,以使所述安全管理模块能够对所述趋势预测信息进行可视化展示。
在上述实现过程中,通过将趋势预测信息发送给所述云平台的安全管理模块,从而可以实现对于未来云平台是否遭受入侵的趋势预测的可视化展示,从而更便于工程师了解威胁趋势,从而可以及时开展相应防御工作。
进一步地,在确定出所述威胁行为类型对应的目标防御策略之后,所述方法还包括:同步所述目标防御策略至所述云平台的其余目标节点,以使所述其余目标节点执行所述目标防御策略。
在上述实现过程中,通过同步目标防御策略,从而可以实现云平台各节点的同步防御,从而进一步保证云平台的安全性。
本申请实施例还提供了一种威胁处理装置,应用于云平台的目标节点上;包括:抓取模块、提取模块和处理模块;所述抓取模块,用于抓取自身的网络交互数据流;所述提取模块,用于从所述网络交互数据流中,提取出数据流特征;所述处理模块,用于将所述数据流特征输入至预先训练好的威胁行为检测模型中,确定当前是否存在威胁行为,以及存在威胁行为时,所存在的威胁行为类型;在存在威胁行为时,从预设的防御策略中,确定出所述威胁行为类型对应的目标防御策略,并执行所述目标防御策略。
本申请实施例还提供了一种电子设备,包括处理器、存储器及通信总线;所述通信总线用于实现处理器和存储器之间的连接通信;所述处理器用于执行存储器中存储的一个或者多个程序,以实现上述任一种的威胁处理方法。
本申请实施例中还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一种的威胁处理方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种威胁处理方法的流程示意图;
图2为本申请实施例提供的一种IPS安全组件的示意图;
图3为本申请实施例提供的一种IPS安全组件与OpenStack架构的关系示意图;
图4为本申请实施例提供的一种IPS安全组件在OpenStack架构各节点中的布设示意图;
图5为本申请实施例提供的一种威胁处理装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一:
为了解决现有技术中无法针对云平台自身的网络威胁进行监测及处置的技术问题,本申请实施例中提供了一种威胁处理方法。
参见图1所示,图1为本申请实施例中提供的一种威胁处理方法,包括:
S101:抓取自身的网络交互数据流。
需要说明的是,本申请实施例中的方案可以应用于云平台的各个目标节点中。本申请实施例中所述的目标节点是指,云平台中面向网络,面临各种网络威胁行为的节点,例如云平台的控制节点、网络节点等。
在本申请实施例中,可以在目标节点上配置抓包程序,通过监控目标节点的网卡,对目标节点网卡的所有网络交互行为进行嗅探,从而抓取到网络交互行为所产生的数据流(本申请实施例中称之为网络交互数据流)。
在本申请实施例中,抓包程序的嗅探行为的时间间隔可由工程师根据实际需要自定义。
在本申请实施例中,为了便于进行处理,可以将网络交互数据流保存为.pcap等格式。
S102:从网络交互数据流中,提取出数据流特征。
在本申请实施例中,可以通过在目标节点上配置预处理脚本,通过预处理脚本的特征自动提取程序,调用CIC FlowMeter(一种网络流量生成器)等工具进行数据预处理,从网络交互数据流中提取出包括:目的端口、协议、流持续时间、前向总包数、后向总包数、流ID、时间戳等多类数据流特征。
需要说明的是,本申请实施例中所述的数据流特征是指能够反映出网络交互数据流某种特性的特征,比如目的端口、协议、流持续时间、前向总包数、后向总包数、流ID、时间戳等。而前述示例的采用CIC FlowMeter实现数据流特征的方式仅是本申请实施例中可采用的一种数据流特征提取方式,但不应理解为本申请实施例中仅可采用该方式实现数据流特征的提取。事实上,所有可提取从网络交互数据流中提取出数据流特征的方式均可被本申请实施例所采用。
S103:将数据流特征输入至预先训练好的威胁行为检测模型中,确定当前是否存在威胁行为,以及存在威胁行为时,所存在的威胁行为类型。
需要说明的是,在本申请实施例中,为了便于威胁行为检测模型进行检测,还可以在将数据流特征输入至威胁行为检测模型之前,先对数据流特征进行降维处理和数据标准化处理,以减少数据流特征中的极端数据,并消除特征之间的差异性,提高威胁行为检测模型的检测准确性。
示例性的,在本申请实施例中,可以采用IG-PCA(Information Gain-PrincipalComponent Analysis,信息增益-主成分分析)降维方法对数据流特征进行降维处理。即先计算各个数据流特征的信息增益,将信息增益较大的数据流特征提取出来。而由于数据流特征数量较多,在IG降维后的数据流特征数量依然不够少,因此再使用PCA降维,即通过计算IG降维后的数据流特征的数据矩阵的协方差矩阵,然后得到协方差矩阵的特征值特征向量,选择特征值最大的k个特征所对应的特征向量组成的矩阵,就可以将数据矩阵转换到新的空间当中,实现数据流特征的降维。
示例性的,在本申请实施例中,可以采用诸如z-score等方法实现数据标准化处理,从而将降维处理后的数据流特征统一尺度,从而消除特征之间的差异性。
需要说明的是,在本申请实施例中,上述两示例仅为本申请实施例中可选实施的示例方式,不代表本申请实施例中必须采用上述示例方式实现。例如,对于降维处理,还可以仅采用IG降维方式,或者仅采用PCA降维方式,或是采用其它的降维方式实现,只要能实现对于数据流特征的降维,减少极端数据对于威胁行为检测模型的干扰的降维方式,本申请实施例中均可采用。类似的,只要能统一数据流特征的尺度的数据标准化处理方式,本申请实施例中均可采用。
在本申请实施例中,为了便于威胁行为检测模型进行数据处理,可以将数据流特征转换为.csv等格式。
还需要说明的是,在本申请实施例中,在对数据流特征进行降维处理和数据标准化处理之前,还可以先识别出数据流特征中的无用特征(例如流ID、时间戳等特征),然后将识别出的无用特征从数据流特征中剔除,再将剔除无用特征后的数据流特征进行降维处理和数据标准化处理。
应理解,在本申请实施例中,在采用CIC FlowMeter等工具实现数据流特征提取时,即已实现了对于各种数据流特征的分类,从而只需预先设定哪些类别的数据流特征为无用特征,即可容易地实现对于无用特征的剔除。
在本申请实施例中,无用特征可以由工程师根据实际应用过程中的模型需求,进行设定。
在本申请实施例中,威胁行为检测模型可以采用各类分类识别模型实现。
示例性的,威胁行为检测模型可以采用SVM(Support Vector Machine,支持向量机)二分类模型结合决策树模型实现。
即,首先将数据流特征输入SVM二分类模型,SVM二分类模型会将数据流特征输入到经过训练的分离超平面,从而区分出输入数据流特征是正常数据流特征,还是非正常数据流特征。此后,将非正常数据流特征输入训练好的决策树模型,决策树模型即判断并输出最终的威胁行为类型。若未正常数据流特征,则输出不存在威胁行为。
需要说明的是,在本申请实施例中,决策树模型可以采用诸如GBDT(GradientBoosting Decision Tree,梯度提升树)等模型实现。
还需要说明的是,上述基于SVM二分类模型结合决策树模型实现的威胁行为检测模型,仅是本申请实施例中可采用的一种可行威胁行为检测模型实现方式,事实上,本申请实施例中也可采用其他可实现威胁行为分类检测的模型结构实现。
S104:在存在威胁行为时,从预设的防御策略中,确定出威胁行为类型对应的目标防御策略,并执行目标防御策略。
在本申请实施例中,云平台可以采用OpenStack等架构实现,在OpenStack架构中,云平台自身具有安全组、网络管理组件等模块。在本申请实施例的一种可行实施方式中,可以在安全组中预先配置与各威胁行为类型对应的防御策略,并可以在目标节点中配置安全组API(Application Program Interface,应用程序接口)和网络管理组件API,从而基于安全组API实现对于安全组的调用,从预设的防御策略中,确定出威胁行为类型对应的目标防御策略,并通过网络管理组件API调用网络管理组件,从而执行该目标防御策略,实现对于威胁行为的处理。
需要说明的是,上述实现方式仅是本申请实施例的一种可行实施方式,可以有效利用云平台的已有架构,实现对于防御策略的可靠部署和对于防御策略的有效执行。但是,除上述方式外,本申请实施例中也可采用其他的实现方式实现对于防御策略的部署和执行,例如将防御策略集合部署在云平台的安全管理模块中,从而通过从安全管理模块中读取防御策略集合的方式确定出目标防御策略。在本申请实施例中不对防御策略的部署与执行的具体实现方式进行限制。
需要注意的是,在本申请实施例中,可以在安全组中配置需阻断的源IP地址、源端口、目的IP地址、目的端口等信息,以实现类似防火墙的数据阻断功能。
还需要说明的是,在实际应用过程中,配置的防御策略可以包括但不限于告警、阻断等操作。
在本申请实施例中,在某些防御策略中,例如源头阻断等操作中,往往需要利用到威胁行为的一些基本信息,如威胁行为对应的IP信息(比如源IP地址、目的IP地址等中的至少之一)、端口信息(比如源端口、目的端口中的至少之一)、协议信息等中的至少之一。
为此,在本申请实施例中,可以在从网络交互数据流中,提取出数据流特征之后,即从数据流特征中识别出基本信息,进而使得在执行目标防御策略时,得以根据基本信息,执行目标防御策略。例如,可以根据源IP地址和源端口,调用相关网络管理组件,实现对于该源IP地址和源端口的信息拒收,从而实现对于威胁行为的源头阻断。
示例性的,在本申请实施例中,基本信息中可以包括威胁行为的目的IP。在存在威胁行为时,可以通过境变量连接至OpenStack云平台的Neutron组件,并查找到该目的IP对应的端口ID,进而控制Neutron组件对该端口ID对应的端口进行删除,实现对于当前的威胁行为的处理。
此外,在本申请实施例中,基本信息中还可以包括威胁行为的源IP,从而通过环境变量连接至OpenStack云平台的Neutron组件,控制Neutron组件按照目标防御策略修改安全组的规则(比如将源IP记入安全组黑名单中,从而拒绝接入该源IP等),以实现对于威胁行为的源头阻断。
值得注意的是,在本申请实施例中,还可以配置威胁趋势感知模型,从而在将数据流特征输入至预先训练好的威胁行为检测模型之后,还可以将数据流特征和威胁行为检测模型的输出结果,输入至预先训练好的威胁趋势感知模型中,从而得到下一时刻云平台是否遭受入侵的趋势预测信息。
在本申请实施例中,威胁趋势感知模型可以采用诸如LSTM(Long Short-TermMemory,是长短期记忆网络)、GRU(Gated Recurrent Unit,门循环网络)等能够学习数据中的长期依赖关系,挖掘出数据流特征复杂的结构特性,实现未来状态预测的模型实现。
需要说明的是,在本申请实施例中,可以针对不同威胁行为类型配置多种防御策略,比如分别配置告警和阻断这两种防御策略。进而可以根据威胁趋势感知模型输出的趋势预测信息,实现对于防御策略的选择。比如,在输出的趋势预测信息为反映未来会继续遭受该威胁行为的消极趋势信息时,则选择阻断这种防御策略,而在输出的趋势预测信息为反映未来不会继续遭受该威胁行为的积极趋势信息时,则选择告警这种防御策略。
还需要说明的是,在实际应用过程中,还可能存在威胁行为检测模型的输出结果为不存在威胁行为,但是威胁趋势感知模型则根据输入的信息,预测得到的却是反映未来会遭受某种威胁行为的消极趋势信息的情况。此时,可以预先配置对应于该情况的防御策略,从而通过执行相应防御策略实现对于恶意的威胁行为的预先防御。
值得注意的是,在本申请实施例中,可以将趋势预测信息、威胁行为检测模型的检测结果信息、以及识别出的基本信息一起融合生成的检测结果日志,从而便于进行数据回溯。
此外,在本申请实施例中,还可以将趋势预测信息、威胁行为检测模型的检测结果信息、以及识别出的基本信息中的一种或几种信息发送给云平台的安全管理模块,从而使得安全管理模块能够依据趋势预测信息进行可视化的趋势展示。
此外,在本申请实施例中,在执行目标防御策略之后,也可以将执行结果发送给云平台的安全管理模块,从而使得安全管理模块能够依据趋势预测信息进行可视化的趋势展示。
需要理解的是,在本申请实施例中,安全管理模块可以基于B/S架构实现,并嵌入云平台的Dashboard组件中,从而实现管理配置及状态展示功能。
还需要理解的是,在本申请实施例中,云平台的多个目标节点上可并行采用本申请的威胁处理方法。而在任一目标节点在确定出威胁行为类型对应的目标防御策略之后,即可以同步该目标防御策略至云平台的其余目标节点,以使其余节点也执行该目标防御策略,从而保证整个云平台的安全性。
本申请实施例提供的威胁处理方法,通过云平台的节点通过抓取自身的网络交互数据流,进而提取出数据流特征,采用预先训练好的威胁行为检测模型进行威胁检测,从而得出是否具有威胁行为,以及具有的威胁行为的类型,从而采用该类型相应的目标防御策略进行威胁处理。这样,就实现了对于云平台自身的网络威胁的监测及处置,加强了对云平台的安全防护。此外,本申请的方案不同于传统先导引流方式,只需在云平台的相关节点布设实现本申请的方案的相关组件(比如抓包程序、预处理脚本、安全组API、网络管理组件API等)即可,从而可以在软件组件级层面,实现云平台的原生防御策略配置及入侵防御功能,从根本上提升了云平台的安全性。
实施例二:
本实施例在实施例一的基础上,以一种较具体的实现方式为例,对本申请实施例所通过的方案做进一步示例说明。
参见图2至4所示,图2示出了本申请实施例中提供的一种应用于云平台的目标节点上的IPS(Intrusion Prevention System,入侵防御***)安全组件,基于该IPS安全组件,即可实现本申请实施例所提供的威胁处理方法。其中,云平台基于OpenStack架构实现。
参见图2所示,IPS安全组件包括数据获取模块、预处理模块、威胁检测模块、处置模块和安全管理模块五部分。
在安装该IPS安全组件并启用后,首先,数据获取模块通过抓包程序dataget.py实现,其监控自身网卡的所有网络交互行为,通过调用scapy库的dataget.py程序,按照预设的抓包策略实现网络交互数据流的抓取,并将抓取到的网络交互数据流保存为.pcap格式。
然后,预处理模块通过编写的特征自动提取程序调用CIC FlowMeter工具进行数据预处理,从网络交互数据流中提取出包括:目的端口、协议、流持续时间、前向总包数、后向总包数、流ID、时间戳等52类流特征,然后剔除掉如流ID、时间戳等无用特征,并将剔除无用特征后的数据流特征转化为.csv格式。
接着,威胁检测模块首先进行数据流特征的预处理,从将.csv格式的数据流特征中的基本信息(IP信息、端口信息、协议信息)识别出来,单独作为一类数据输入至多维融合处理子模块中。
并对.csv格式的数据流特征采用IG-PCA降维处理,并进行数据标准化处理,得到可用于模型处理的数据流特征。
将IG-PCA降维处理和数据标准化处理后的数据流特征分别输入至威胁行为检测模型和威胁趋势感知模型中。
威胁行为检测模型由SVM二分类模型和决策树模型构成。数据流特征首先由SVM二分类模型进行是否存在威胁行为的判断。在判断存在威胁行为时,将数据流特征输入决策树模型,从而确定出威胁行为类型。
在本申请实施例中,可以采用上述模型实现包括但不限于渗透攻击、僵尸网络病毒、暴力破解、DoS(拒绝服务)、DDoS(分布式拒绝服务)、Web攻击等各类威胁行为的检测。
在本申请实施例中,威胁行为检测模型输出的检测结果将输出至多维融合处理子模块中,并给至威胁趋势感知模型中。
本实施例中,威胁趋势感知模型采用LSTM模型实现,数据流特征和威胁行为检测模型输出的检测结果共同输入到LSTM模型中后,LSTM模型即可利用其网络结构挖掘出数据流特征复杂的结构特性,对未知的行为趋势特征进行提取,从而得到下一时刻云平台是否遭受入侵的趋势预测信息,包括可能受到威胁行为的消极趋势与不会受到威胁行为的积极趋势两类。
多维融合处理子模块对基本信息、检测模型输出的检测结果、以及威胁趋势感知模型输出的趋势预测信息进行融合,生成检测结果日志,并输出给处置模块和安全管理模块。
处置模块是基于云平台的IPS组件实现网络阻断行为的响应模块(可通过processing.py程序实现),主要由API子模块和联动子模块组成。
API子模块是为威胁检测模块中多维融合处理子模块与安全组、网络管理组件定义的交互接口。其中,安全组API主要针对开源云架构自身的安全组提供的交互接口。
安全组内包括有对于源IP地址、源端口、目的IP地址、目的端口等基本信息的设置和过滤功能,可以实现类似于防火墙的功能,实现信息阻断。
网络管理组件API,主要是针对开源云架构负责网络管理的Neutron组件提供的交互接口。
而联动子模块主要负责与OpenStack云平台本身的安全组及网络管理组件(即前文Neutron组件)的联动操作。该模块可根据威胁检测模块传来的检测结果与数据流信息,执行安全管理模块中预先配置好的防御策略,通过安全组及网络管理组件的联动,实现告警或阻断网络威胁行为等防御策略,并将处置结果回传至安全管理模块。
也即,在接收到威胁检测模块传来的检测结果日志,即可对其进行处置判断(解析检测结果日志,确定是否存在威胁行为,以及是否未来会存在威胁行为。在存在威胁行为或未来会存在威胁行为时,从安全管理模块中预先配置好的防御策略中确定出目标防御策略),从而通过安全组API和网络管理组件API,分别实现对于安全组和网络管理组的调用,执行目标防御策略,并将执行结果反馈给安全管理模块。
安全管理模块中包括有布设的防御策略,这些防御策略用于实现对于威胁行为的放行、告警或阻断操作。
此外,当安全管理模块接收到威胁检测模块传来的检测结果日志或处置模块的执行结果时,即可对相关信息进行可视化展示。
在本申请实施例中,云平台基于OpenStack架构实现。参见图3所示,常规的OpenStack架构中包括有Nova、Neutron、Cinder、Keystone、Glance、Horizon等组件,各组件作用分别是:Nova,用于管理虚拟机的生命周期,是OpenStack最为核心的模块;Neutron,为OpenStack提供各种网络功能,负责L2层(数据链路层)、L3层(网络层)网络的创建和管理,打通虚拟机与物理机的网络通信;Cinder,为虚拟机提供块存储服务,将Volume(卷)作为虚拟硬盘挂载在虚拟机上;Keystone,用于认证授权模块,不论是用户还是其它模块,都需要通过Keystone认证授权;Glance,用于管理虚拟机镜像,OpenStack启动虚拟机所使用的镜像、用户备份的快照等都由此模块管理;Dashboard,用于为用户提供一个Web(网页)交互界面。
而在本申请实施例中,IPS组件与Neutron组件联动(IPS组件的联动子模块所述Neutron组件联动),且IPS组件的安全管理模块可以基于B/S架构实现,并嵌入云平台的Dashboard组件中,从而实现IPS组件管理配置及状态展示功能。
在实际应用过程中,OpenStack架构中各服务器通常可以划分为控制节点、网络节点、计算节点三种类型。而参见图4所示,在本申请实施例中,在控制节点和网络节点中部署该IPS组件,并在控制节点通过调用API的方式与Neutron,dashboard等组件进行交互,同时保留部分扩展功能。
在本申请实施例中,IPS组件可以获取到威胁行为的目的IP,并通过使用python编写的break_ip函数进行操作,该函数的操作流程为:通过环境变量的预设获取creds(为登录凭证,内含登录所需的各种数据)并依靠creds连接至neutronclient.v2_0.client(neutronclient.v2_0.client为本示例中提供的函数,可实现前文API子模块的功能),通过neutronclient.v2_0.client获取目的IP对应的网络及端口信息,然后根据得到的端口的ID信息,使用neutronclient.v2_0.client对该ID信息对应的端口进行删除,从而断开虚拟机与OpenStack网络的连接,达到阻止威胁行为的目的。
此外,在本申请实施例中,IPS组件还可以获取威胁行为的源IP,并通过自主编写的forbbiden_ip函数进行操作,该函数的操作流程为:通过环境变量的预设获取creds并依靠creds连接至neutronclient.v2_0.client,通过neutronclient.v2_0.client根据安全管理模块中预先制定的防御策略,修改安全组规则从而阻止威胁行为的继续发生。
本实施例的方案,不同于传统先导引流方式,本实施例的IPS安全组件可以在平台软件组件级层面实现云平台原生防御策略配置及入侵防御功能,从根本上提升云平台的安全性。同时本实施例的方案具备较强的适用性和扩展性,可支持不同云平台架构的组件开发及应用。
实施例三:
基于同一发明构思,本申请实施例中还提供了一种威胁处理装置100,应用于云平台的目标节点上。请参阅图5所示,图5示出了与图1所示的方法对应的威胁处理装置100。应理解,威胁处理装置100具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。威胁处理装置100包括至少一个能以软件或固件的形式存储于存储器中或固化在威胁处理装置100的操作***中的软件功能模块。具体地:
参见图5所示,威胁处理装置100应用于云平台的目标节点上,包括:抓取模块101、提取模块102和处理模块103。其中:
所述抓取模块101,用于抓取自身的网络交互数据流;
所述提取模块102,用于从所述网络交互数据流中,提取出数据流特征;
所述处理模块103,用于将所述数据流特征输入至预先训练好的威胁行为检测模型中,确定当前是否存在威胁行为,以及存在威胁行为时,所存在的威胁行为类型;在存在威胁行为时,从预设的防御策略中,确定出所述威胁行为类型对应的目标防御策略,并执行所述目标防御策略。
在本申请实施例中,在所述提取模块102从所述网络交互数据流中,提取出数据流特征之后,所述处理模块103将所述数据流特征输入至预先训练好的威胁行为检测模型中之前,所述处理模块103还用于对所述数据流特征进行降维处理;将降维处理后的数据流特征进行数据标准化处理,以使降维处理后的数据流特征处于相同特征尺度。
在本申请实施例中,在所述提取模块102还用于,在所述处理模块103对所述数据流特征进行降维处理之前,识别所述数据流特征中的无用特征;所述无用特征包括流ID、时间戳;将识别出的无用特征从所述数据流特征中剔除。
在本申请实施例中,在从所述网络交互数据流中,提取出数据流特征之后,所述处理模块103还用于从所述数据流特征中识别出基本信息;所述基本信息包括IP信息、端口信息、协议信息中的至少一种。所述处理模块103具体用于根据所述基本信息,执行所述目标防御策略。
在本申请实施例中,在将所述数据流特征输入至预先训练好的威胁行为检测模型之后,所述处理模块103还用于将所述数据流特征和所述威胁行为检测模型的输出结果,输入至预先训练好的威胁趋势感知模型中,得到下一时刻云平台是否遭受入侵的趋势预测信息。
在本申请实施例中,所述处理模块103还用于将所述趋势预测信息发送给所述云平台的安全管理模块,以使所述安全管理模块能够对所述趋势预测信息进行可视化展示。
在本申请实施例中,所述处理模块103还用于在确定出所述威胁行为类型对应的目标防御策略之后,同步所述目标防御策略至所述云平台的其余目标节点,以使所述其余目标节点执行所述目标防御策略。
需要理解的是,出于描述简洁的考量,部分实施例一中描述过的内容在本实施例中不再赘述。
实施例四:
本实施例提供了一种电子设备,参见图6所示,其包括处理器601、存储器602以及通信总线603。其中:
通信总线603用于实现处理器601和存储器602之间的连接通信。
处理器601用于执行存储器602中存储的一个或多个程序,以实现上述实施例一和/或实施例二中的威胁处理方法。
可以理解,图6所示的结构仅为示意,电子设备还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。本申请实施例中,电子设备可以为网关、交换机、服务器等设备。
本实施例还提供了一种计算机可读存储介质,如软盘、光盘、硬盘、闪存、U盘、SD(Secure Digital Memory Card,安全数码卡)卡、MMC(Multimedia Card,多媒体卡)卡等,在该计算机可读存储介质中存储有实现上述各个步骤的一个或者多个程序,这一个或者多个程序可被一个或者多个处理器执行,以实现上述实施例一和/或实施例二中的威胁处理方法。在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
在本文中,多个是指两个或两个以上。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种威胁处理方法,其特征在于,应用于OpenStack架构的云平台的目标节点上,所述目标节点为所述云平台中面向网络,面临各种网络威胁行为的节点;所述方法包括:
抓取自身的网络交互数据流;所述网络交互数据流为所述目标节点的网卡的网络交互行为所产生的数据流;
从所述网络交互数据流中,提取出数据流特征;
将所述数据流特征输入至预先训练好的威胁行为检测模型中,确定当前是否存在威胁行为,以及存在威胁行为时,所存在的威胁行为类型;
在将所述数据流特征输入至预先训练好的威胁行为检测模型之后,将所述数据流特征和所述威胁行为检测模型的输出结果,输入至预先训练好的威胁趋势感知模型中,得到下一时刻云平台是否遭受入侵的趋势预测信息;
在存在威胁行为时,根据所述威胁趋势感知模型输出的所述趋势预测信息,从预设的防御策略中,确定出所述威胁行为类型对应的目标防御策略,并执行所述目标防御策略。
2.如权利要求1所述的威胁处理方法,其特征在于,在从所述网络交互数据流中,提取出数据流特征之后,将所述数据流特征输入至预先训练好的威胁行为检测模型中之前,所述方法还包括:
对所述数据流特征进行降维处理;
将降维处理后的数据流特征进行数据标准化处理,以使降维处理后的数据流特征处于相同特征尺度。
3.如权利要求2所述的威胁处理方法,其特征在于,在对所述数据流特征进行降维处理之前,所述方法还包括:
识别所述数据流特征中的无用特征;所述无用特征包括流ID、时间戳;
将识别出的无用特征从所述数据流特征中剔除。
4.如权利要求1-3任一项所述的威胁处理方法,其特征在于,在从所述网络交互数据流中,提取出数据流特征之后,所述方法还包括:
从所述数据流特征中识别出基本信息;所述基本信息包括IP信息、端口信息、协议信息中的至少一种;
所述执行所述目标防御策略,包括:
根据所述基本信息,执行所述目标防御策略。
5.如权利要求4所述的威胁处理方法,其特征在于,所述基本信息包括所述威胁行为的目的IP;
在存在威胁行为时,所述方法还包括:
根据所述威胁行为的目的IP,通过环境变量连接至OpenStack云平台的Neutron组件,从所述Neutron组件中得到所述目的IP对应的端口ID;
控制所述Neutron组件对所述端口ID对应的端口进行删除。
6.如权利要求4所述的威胁处理方法,其特征在于,所述基本信息包括所述威胁行为的源IP;
所述执行所述目标防御策略,包括:
根据所述源IP,通过环境变量连接至OpenStack云平台的Neutron组件,控制所述Neutron组件按照所述目标防御策略修改安全组的规则。
7.一种威胁处理装置,其特征在于,应用于OpenStack架构的云平台的目标节点上,所述目标节点为所述云平台中面向网络,面临各种网络威胁行为的节点;包括:抓取模块、提取模块和处理模块;
所述抓取模块,用于抓取自身的网络交互数据流;所述网络交互数据流为所述目标节点的网卡的网络交互行为所产生的数据流;
所述提取模块,用于从所述网络交互数据流中,提取出数据流特征;
所述处理模块,用于:
将所述数据流特征输入至预先训练好的威胁行为检测模型中,确定当前是否存在威胁行为,以及存在威胁行为时,所存在的威胁行为类型;
在将所述数据流特征输入至预先训练好的威胁行为检测模型之后,将所述数据流特征和所述威胁行为检测模型的输出结果,输入至预先训练好的威胁趋势感知模型中,得到下一时刻云平台是否遭受入侵的趋势预测信息;
在存在威胁行为时,根据所述威胁趋势感知模型输出的所述趋势预测信息,从预设的防御策略中,确定出所述威胁行为类型对应的目标防御策略,并执行所述目标防御策略。
8.一种电子设备,其特征在于,包括:处理器、存储器及通信总线;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行存储器中存储的一个或者多个程序,以实现如权利要求1至6任一项所述的威胁处理方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至6任一项所述的威胁处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110274314.0A CN112671807B (zh) | 2021-03-15 | 2021-03-15 | 威胁处理方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110274314.0A CN112671807B (zh) | 2021-03-15 | 2021-03-15 | 威胁处理方法、装置、电子设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112671807A CN112671807A (zh) | 2021-04-16 |
| CN112671807B true CN112671807B (zh) | 2021-06-25 |
Family
ID=75399334
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110274314.0A Active CN112671807B (zh) | 2021-03-15 | 2021-03-15 | 威胁处理方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671807B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113328996B (zh) * | 2021-05-08 | 2022-07-05 | 中国电子科技集团公司第三十研究所 | 一种基于目标感知的安全策略智能配置方法 |
| CN113347036B (zh) * | 2021-06-04 | 2022-10-11 | 上海天旦网络科技发展有限公司 | 利用公有云存储实现云环境旁路监控方法及*** |
| CN113626823B (zh) * | 2021-06-29 | 2023-06-27 | 中国科学院信息工程研究所 | 一种基于可达性分析的组件间交互威胁检测方法及装置 |
| CN113569992B (zh) * | 2021-08-26 | 2024-01-09 | 中国电子信息产业集团有限公司第六研究所 | 异常数据识别方法及装置、电子设备和存储介质 |
| CN116319114A (zh) * | 2023-05-25 | 2023-06-23 | 广州鲁邦通物联网科技股份有限公司 | 一种网络入侵检测的方法和*** |
| CN117336068A (zh) * | 2023-10-16 | 2024-01-02 | 北京安博通科技股份有限公司 | 基于网关设备的数据报文处理方法、装置及设备 |
| CN117544429B (zh) * | 2024-01-10 | 2024-03-26 | 腾讯科技(深圳)有限公司 | 攻击防护方法、装置、电子设备和计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | ***通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
| CN111367908A (zh) * | 2020-02-27 | 2020-07-03 | 铵泰克(北京)科技有限公司 | 一种基于安全评估机制的增量式入侵检测方法及*** |
| CN111787018A (zh) * | 2020-07-03 | 2020-10-16 | 中国工商银行股份有限公司 | 用于识别网络攻击行为的方法、装置、电子设备及介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106341386B (zh) * | 2015-07-07 | 2018-09-25 | 埃森哲环球服务有限公司 | 针对基于云的多层安全架构的威胁评估级确定及补救 |
| US11714905B2 (en) * | 2019-05-10 | 2023-08-01 | Sophos Limited | Attribute relevance tagging in malware recognition |
-
2021
- 2021-03-15 CN CN202110274314.0A patent/CN112671807B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | ***通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
| CN111367908A (zh) * | 2020-02-27 | 2020-07-03 | 铵泰克(北京)科技有限公司 | 一种基于安全评估机制的增量式入侵检测方法及*** |
| CN111787018A (zh) * | 2020-07-03 | 2020-10-16 | 中国工商银行股份有限公司 | 用于识别网络攻击行为的方法、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112671807A (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112671807B (zh) | 威胁处理方法、装置、电子设备及计算机可读存储介质 | |
| US10666686B1 (en) | Virtualized exploit detection system | |
| US9185124B2 (en) | Cyber defense systems and methods | |
| US10887347B2 (en) | Network-based perimeter defense system and method | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| Khan et al. | Software-defined network forensics: Motivation, potential locations, requirements, and challenges | |
| US11080392B2 (en) | Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment | |
| Inayat et al. | Cloud-based intrusion detection and response system: open research issues, and solutions | |
| EP3414663A1 (en) | Automated honeypot provisioning system | |
| US20190042736A1 (en) | Iintrusion detection system enrichment based on system lifecycle | |
| CN111327601B (zh) | 异常数据响应方法、***、装置、计算机设备和存储介质 | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| Sharma et al. | Survey of intrusion detection techniques and architectures in cloud computing | |
| KR20170048785A (ko) | 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及*** | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及*** | |
| CN114189383B (zh) | 封禁方法、装置、电子设备、介质和计算机程序产品 | |
| CN108418697B (zh) | 一种智能化的安全运维服务云平台的实现架构 | |
| CN110365673B (zh) | 一种隔离网络攻击面的方法、服务器和*** | |
| US20210037054A1 (en) | Augmented data collection from suspected attackers of a computer network | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及*** | |
| CN112347484A (zh) | 软件漏洞检测方法、装置、设备及计算机可读存储介质 | |
| EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification | |
| CN114205169B (zh) | 网络安全防御方法、装置及*** | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |