CN113836525B - 云服务商行为风险的分析方法及装置 - Google Patents

Abstract

本申请提供一种云服务商行为风险的分析方法及装置，所述云服务商行为风险的分析方法包括：首先，采集云服务商用户的操作日志数据；然后，基于预设的审计规则处理所述操作日志数据，得到行为事件数据；最终，根据所述行为事件数据生成分析结果；其中，所述行为分析结果为所述云服务用户的操作行为是否存在风险。从而达到准确发现云服务商操作行为是否存在风险，以有效地规避云服务商操作行为风险，保障云服务商平台的安全的目的。

Description

云服务商行为风险的分析方法及装置

技术领域

本申请涉及云服务领域，特别涉及一种云服务商行为风险的分析方法及装置。

背景技术

近年来，随着我国的云平台的大力发展，云平台计算能力越来越强，云厂商的规模也越来越大。

由于，云服务商的行为用户有着大量管理操作行为交互，在这个过程中可能存在一系列的安全风险问题，从而降低云服务的可信度，并给使用云服务的用户带来安全隐患。

发明内容

有鉴于此，本申请提供一种云服务商行为风险的分析方法及装置，用于发现云服务商操作行为风险，以有效地规避云服务商操作行为风险，从而保障云服务商平台的安全。

本申请第一方面提供了一种云服务商行为风险的分析方法，包括：

采集云服务商用户的操作日志数据；

基于预设的审计规则处理所述操作日志数据，得到行为事件数据；

根据所述行为事件数据生成分析结果；其中，所述行为分析结果为所述云服务用户的操作行为是否存在风险。

可选的，所述基于预设的审计规则处理所述操作日志数据，得到行为事件数据之后，还包括：

在所述云服务商用户的行为画像中匹配所述行为事件数据，得到匹配结果；

根据所述匹配结果，生成分析报告；其中，所述分析报告用于确定所述云服务商用户的操作行为是否有异常。

可选的，所述采集云服务商用户的操作日志数据，包括：

通过安全壳协议和/或超文本传输协议接口远程采集云服务商用户的操作日志数据；

通过离线上传的方式获取云服务商用户的操作日志数据。

可选的，所述基于预设的审计规则处理所操作日志数据，得到行为事件数据，包括：

对所述操作日志数据按照预设的审计规则进行整合，得到可预处理的数据映射；

将所述数据映射进行转换，得到统一格式的行为事件数据。

可选的，所述行为画像的生成方法，包括：

将云服务商用户的历史行为事件数据进行为识别归类，得到多个类别的行为类型数据；

针对每一个所述行为类型数据，利用审计规则对应的评分规则对所述行为类型数据进行评分，得到所述行为类型数据的分数；

基于所有所述行为类型数据的分数，生成所述云服务商用户的行为画像。

可选的，所述根据所述匹配结果，生成分析报告之后，还包括：

确定所述分析报告中，预设个数的操作异常的操作行为，并生成异常操作行为标签；

展示所有所述异常操作行为标签。

可选的，所述云服务商行为风险的分析方法，还包括：

接收测评人员输入的检索指令；

响应所述检索指令，得到追踪日志；其中，所述追踪日志可导出且可以以图表的方式进行展示；所述图表包括异常操作行为。

可选的，所述云服务商行为风险的分析方法，还包括：

接收并响应审计规则管理指令。

可选的，所述云服务商行为风险的分析方法，还包括：

接收并响应行为画像管理指令。

本申请第二方面提供了一种云服务商行为风险的分析装置，包括：

采集单元，用于采集云服务商用户的操作日志数据；

处理单元，用于基于预设的审计规则处理所述操作日志数据，得到行为事件数据；

分析单元，用于根据所述行为事件数据生成分析结果；其中，所述行为分析结果为所述云服务用户的操作行为是否存在风险。

可选的，所述云服务商行为风险的分析装置，还包括：

匹配单元，用于在所述云服务商用户的行为画像中匹配所述行为事件数据，得到匹配结果；

生成单元，用于根据所述匹配结果，生成分析报告；其中，所述分析报告用于确定所述云服务商用户的操作行为是否有异常。

可选的，所述采集单元，包括：

采集子单元，用于通过安全壳协议和/或超文本传输协议接口远程采集云服务商用户的操作日志数据；

获取单元，用于通过离线上传的方式获取云服务商用户的操作日志数据。

可选的，所述处理单元，包括：

整合单元，用于对所述操作日志数据按照预设的审计规则进行整合，得到可预处理的数据映射；

转换单元，用于将所述数据映射进行转换，得到统一格式的行为事件数据。

可选的，所述行为画像的生成单元，包括：

归类单元，用于将云服务商用户的历史行为事件数据进行为识别归类，得到多个类别的行为类型数据；

评分单元，用于针对每一个所述行为类型数据，利用审计规则对应的评分规则对所述行为类型数据进行评分，得到所述行为类型数据的分数；

行为画像的生成子单元，用于基于所有所述行为类型数据的分数，生成所述云服务商用户的行为画像。

可选的，所述云服务商行为风险的分析装置，还包括：

确定单元，用于确定所述分析报告中，预设个数的操作异常的操作行为，并生成异常操作行为标签；

展示单元，用于展示所有所述异常操作行为标签。

可选的，所述云服务商行为风险的分析装置，还包括：

接收单元，用于接收测评人员输入的检索指令；

第一响应单元，用于响应所述检索指令，得到追踪日志；其中，所述追踪日志可导出且可以以图表的方式进行展示；所述图表包括异常操作行为。

可选的，所述云服务商行为风险的分析装置，还包括：

第二响应单元，用于接收并响应审计规则管理指令。

可选的，所述云服务商行为风险的分析装置，还包括：

第三响应单元，用于接收并响应行为画像管理指令。

本申请第三方面提供了一种服务器，包括：

一个或多个处理器；

存储装置，其上存储有一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如第一方面任意一项所述的云服务商行为风险的分析方法。

本申请第四方面提供了一种计算机存储介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现如第一方面任意一项所述的云服务商行为风险的分析方法。

由以上方案可知，本申请提供一种云服务商行为风险的分析方法及装置，所述云服务商行为风险的分析方法包括：首先，采集云服务商用户的操作日志数据；然后，基于预设的审计规则处理所述操作日志数据，得到行为事件数据；最终，根据所述行为事件数据生成分析结果；其中，所述行为分析结果为所述云服务用户的操作行为是否存在风险。从而达到准确发现云服务商操作行为是否存在风险，以有效地规避云服务商操作行为风险，保障云服务商平台的安全的目的。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种云服务商行为风险的分析方法的具体流程图；

图2为本申请另一实施例提供的一种预设的审计规则处理操作日志数据，得到行为事件数据的方法的流程图；

图3为本申请另一实施例提供的一种云服务商行为风险的分析方法的具体流程图；

图4为本申请另一实施例提供的一种画像的生成方法的流程图；

图5为本申请另一实施例提供的一种实现本申请的具体架构的示意图；

图6为本申请另一实施例提供的一种操作行为审计***功能架构的示意图；

图7为本申请另一实施例提供的一种***部署拓扑图的示意图；

图8为本申请另一实施例提供的一种云服务商行为风险的分析装置的示意图；

图9为本申请另一实施例提供的一种实现云服务商行为风险的分析方法的服务器的示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要注意，本申请中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系，而术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

首先，需要说明的是，现有的云安全架构体系中：业务安全、安全运营、数据安全、网络安全、应用安全、主机安全、身份管理，归为用户的职责范围；云产品安全、虚拟化安全、硬件安全、物理安全，归为云服务厂商的职责范围；虚拟化安全、硬件安全、物理安全，归为云服务商的职责范围。

目前，在对云服务商审计过程中，对危险程度较高的操作行为进行特征分析、归纳，形成特有的审计规则库。首先，针对账号登录、对象访问等操作行为制定一系列策略，帮助测评人员及时准确地发现云服务商存在的操作行为问题，客观地分析和总结报告出管理用户行为对云平台虚拟化层的一些用户操作风险；其次，通过网络入侵、渗透等手段也会影响云服务商平台的资产安全，从而也需要从网络安全方面来审计云服务商平台的防护安全风险。总结起来，这方面的安全问题主要体现在5大用户操作风险行为、网络安全设备识别的分散型风险以及物理主机审计识别的安全风险等，从云服务商行为规则类别上具体分析包括：管理资源操作安全风险和管理行为人操作安全风险。管理资源操作安全风险包括入侵防御***(Intrusion Prevention System，IPS)应用安全风险和物理主机安全审计风险；管理行为人操作安全风险包括主机操作行为风险、数据中心操作行为风险、虚拟机操作行为风险、网络操作行为风险以及存储操作行为风险。

IPS应用安全风险规则是基于IPS应用或防火墙等安全设备的风险日志，可识别服务器上运行的软件类型、版本，同时，配合Web流量可辅助识别目标服务器上运行的软件类型、软件版本、软件可能存在的0day漏洞，从而审计发现入侵情形下的云资源非法操作行为。基于原始IPS风险日志，从中识别出服务对应的攻击类型，包括0day软件的漏洞，其中所对应的目标应用可能会存在有漏洞的软件版本，比如Struts1.0，Struts2.0应用的0day漏洞，进而通过应用服务软件，进一步突破Web Shell用户权限。再通过Web Shell用户权限渗透影响到云服务商管理资源下的安全。如表1所示，为Web应用安全类型以及对应的描述。

表1

物理主机操作对于云服务商来说是物理底层服务，且一般管理用户无法直接接触到；物理主机的可用性、任意操作都会影响到主机之上的虚拟机***的安全风险，影响到对业务***数据泄露，可用行风险。

基于物理主机安全审计日志，分析出主机上的账户安全、网络操作、磁盘操作为。

物理主机安全审计风险日志来审计物理层上主机审计安全，审计事件类型如表2所示：

表2

下面通过两个案例对物理主机安全审计、IPS联合审计案例进行分析：

案例1：Struts2 0day漏洞引发的主机安全渗透

1.案例现象:

某运营商环境的物理主机安全审计日志中发现大量的尝试登陆失败的信息，且来自主机之上的虚拟机IP，此行为不正常，但未被运营商审计出来此类行为风险。

2.平台审计日志分析：

1)审计平台通过分析物理安全审计日志发现大量登录失败的日志，且来自同一个虚拟机IP地址；

2)审计平台通过分析IPS应用防火墙的日志在登录失败前时间轴上发现存在大量模拟正常请求的地址，且平台分析目标服务器上存在Struts2应用；

3)通过IP地址维度信息进行联合分析，发现该IP地址存在大量模拟正常请求的URL地址请求，同时目标虚拟服务器上存在Strtus2应用标记；物理机审计安全日志发现该IP存在大量异常登录失败的行为。

3.分析结果：

由于该IP虚拟机上存在Struts2 Web应用0day漏洞，IPS日志中存在来自外网IP的正常请求信息(通过模拟手段将web攻击请求伪造成正常请求)；从物理主机审计日志中分析出该IP虚拟机对物理主机进行大量的尝试登陆(密码***等)。说明该虚拟主机存在Struts2应用web漏洞且存在webshell的可能性，虚拟主机已被渗透攻击，相关行为存在风险，还对当前物理主机进行大量的尝试登陆(未登陆成功)攻击。整个事件影响可让内网对物理主机的安全高危渗透。

4.规则形成：

通过案例分析我们从IPS日志和主机审计日志中可以形成该案例所需规则，主机审计日志规则如表3所示、IPS日志规则如表4所示：

主机事件类型	操作	描述
			USER_LOGIN	源IP登录失败多次	当用户登录时被触发，且多次失败。

表3

表4

案例2：tomcat应用上传功能漏洞引发的主机安全渗透

1.案例现象:

某运营商环境的IPS日志上发现了大量的同一地址请求，且明显高于其他平常请求地址访问数量数倍，在主机安全审计日志中发现目标地址服务器IP的多次尝试登陆认证的信息，来自主机之上的同一虚拟机IP，此行为不正常，但未被运营商审计出来此类行为风险。

2.平台审计日志分析：

1)IPS日志分析发现存在大量同一个http请求，且该请求地址访问量明显高于其他地址访问量数倍，同时目标虚拟服务器上存在Tomcat服务应用标记；

2)审计平台通过分析物理安全审计日志发现大量登录失败的日志，且来自同一个虚拟机IP地址；

3)通过IP地址维度信息进行联合分析，发现该IP地址目标服务器地址相对jsp服务路径地址为webshell地址；物理机审计安全日志发现该IP存在大量异常登录的行为。

3.分析结果：

由于该IP虚拟机上的Tomcat Web应用存在上传漏洞，且未对上传文件后缀校验，导致不安全的jsp webshell文件上传成功；同时对该jsp服务大量请求调用来运行webshell命令；基于该服务器shell环境对其主体物理主机进行大量的尝试登陆(密码***等)，相关行为存在高危风险，通过上传jspwebshell获取该虚拟机的root权限，再通过内网可对物理主机的安全高危渗透。

4.规则形成：

通过案例分析我们从IPS日志和主机审计日志中可以形成该案例所需规则，主机审计日志规则如表5所示，IPS日志规则如表6所示：

主机事件类型	操作	描述
			USER_LOGIN	源IP登录失败多次	当用户登录时被触发，且多次失败。

表5

表6

云服务商平台虚拟化层的管理行为人操作是本审计装置重要的审计分析目标，其中云服务商审计操作行为事件类型包括：主机操作行为、数据中心操作行为、虚拟机操作行为、网络操作行为以及存储操作行为。

主机操作行为规则主要在用户登录、授权、密码等方面来形成操作行为事件；从时间、地点、操作目标对象，行为结果等多维度来分析操作行为风险，主要体现如表7所示：

表7

数据中心操作行为规则主要在用户登录、授权、密码、数据导入导出等方面来形成操作行为事件；从时间、地点、操作目标对象，行为结果等多维度来分析操作行为风险，主要体现如表8所示：

表8

虚拟机操作行为规则主要在用户在虚拟机克隆、虚拟机删除、虚拟机启动、关闭、快照、虚拟机创建等方面来形成操作行为事件；从时间，地点，操作目标对象，行为结果等多维度来分析操作行为风险，主要体现如表9所示：

表9

网络操作行为规则主要在用户在网络访问控制列表(AccessControlLists，ACL)配置、网络分配、网络回收等方面来形成操作行为事件；从时间，地点，操作目标对象，行为结果等多维度来分析操作行为风险，主要体现如表10所示：

表10

存储操作行为规则主要在用户在挂盘、删盘、扩盘、回收盘、分配盘等方面来形成操作行为事件；从时间，地点，操作目标对象，行为结果等多维度来分析操作行为风险，主要体现如表11所示：

/>

表11

基于上述的审计规则，本申请实施例提供了一种云服务商行为风险的分析方法，如图1所示，具体包括以下步骤：

S101、采集云服务商用户的操作日志数据。

可选的，在本申请的另一实施例中，步骤S101的一种实施方式，具体包括：通过安全壳协议和/或超文本传输协议接口远程采集云服务商用户的操作日志数据；通过离线上传的方式获取云服务商用户的操作日志数据。

通过安全壳协议(Secure Shell，SSH)远程采集云服务商用户的操作日志数据的方式可以但不限于是：日志采集器基于已配置的目标采集服务器日志采集配置数据进行源数据采集，具体的包括三个步骤，通过配置SSH远程服务器信息，新建远程SSH采集配置信息，以及在后台适配logstash配置并SSH下发采集端采集数据。

通过超文本传输协议(Hyper Text Transfer Protocol，HTTP)接口远程采集云服务商用户的操作日志数据的方式可以是但不限于：日志采集器基于HTTP地址采集配置数据进行HTTP源日志文件采集。具体的包括两个步骤：配置HTTP远程地址信息；后台适配logstash配置并本地下发HTTP采集端采集数据。

通过离线上传的方式获取云服务商用户的操作日志数据的方式可以是但不限于：选择离线文件日志采集配置好主机、网络、虚拟机、存储、数据中心日志目录(logstash)。具体的，包括三个步骤：离线日志上次到服务器；新建远程本地服务采集配置信息，选择相应已上传的离线日志；后台适配logstash配置并本地采集端采集数据。

S102、基于预设的审计规则处理操作日志数据，得到行为事件数据。

具体的，判断当前的是否满足情况A，若满足可以通过匹配、查询等方式得到对应的行为类型以及描述信息，即行为事件数据。

审计规则的定义是以日志采集的源日志数据为基床，通过采集流程将源日志数据预处理分析转换为云服务商操作行为事件对象，其中事件对象模型为的审计规则管理子***。通过对正常行为审计与非正常行为的整体分析来区分出行为在时间、地点、合规行为人、行为结果的1个或者多个维度面来分析出行为操作风险，以便挖掘出管理员行为操作是否是合规，安全的操作。

例如：当出现情况“[任意用户]在[晚上8点-凌晨6点期间]在[任意地点]执行[挂牌]操作[任意结果]”，则说明当前存在存储操作行为风险，具体行为类型为挂盘，具体描述信息为用户非工作时间挂盘。

当然，在本申请的具体实现过程中，还应可以对审计规则进行管理，因此，在本申请的另一实施例中，云服务商行为风险的分析方法的一种实施方式，还包括：接收并响应审计规则管理指令。

具体的，审计规则管理指令可以包括但不限于：新建、删除修改、启用、停用、审计规则的权重设置等。

云服务商用户操作行为以数据采集预处理后的行为数据定义为统一行为事件为基准事件，以不同维度(时间，目标、行为人、事件发生的结果等)来表达出操作事件行为所存在的操作风险行为；并通过ElasticSearch DSL灵活又富有表现力的查询语言来定义出相关的规则。其中风险规则的定义输入格式以ElasticSearch DSL语言和Elastic SQL 2种规则格式。

风险规则格式内容样例如下所示：

ElasticDSL语句样例：

ElasticSql语句样例：

SELECT HISTOGRAM("@timestamp",，interval 5 minute)ti,，userId,，COUNT(*)c FROM openstack_logs3_newGROU PBY ti,，userId HAVING c>3。

可选的，在本申请的另一实施例中，步骤S102的一种实施方式，如图2所示，包括：

S201、对操作日志数据按照预设的审计规则进行整合，得到可预处理的数据映射。

对于云服务商原始行为日志，审计装置对其通过管理资源行为与行为人操作行为2大类上进行预处理分析，对不同的管理行为人操作子类如：(主机操作行为、数据中心操作行为、虚拟机操作行为、网络操作行为、存储操作行为)对OpenStack、VCenter、Hyper-V平台不同行为进行日志分析与预处理。

其中，OpenStack日志的用户登录日志为horizon-access.log；云硬盘使用日志为cinder-volume.log；云主机使用日志为nova-compute.log；网络使用日志为neutron-server.log。

S202、将数据映射进行转换，得到统一格式的行为事件数据。

其中，行为事件数据的统一格式包括以下字段信息：

时间、源地址IP、源对象(主要指操作人)、目标IP、操作目标对象、事件种类、操作行为类型、信息、操作结果、等级等。

例如：{"timestamp":15300280101,，"sourceIp":"127.0.11.3",，“sourceObj”:”admin1”,，"destIP":"127.0.1",，"destObj":”虚拟机A”,，"eventType":"虚拟机行为",，"actionType":"虚拟机克隆",，"msg":"........源日志msg",，"eventLevel":"error",，"actionResult":""}。

具体的，得到统一格式的行为事件数据后，将其存储在审计装置的ElasticSearch数据库中。

风险规则管理通过浏览器操作后交由服务端审计规则管理服务处理保存至数据库中；云服务商行为审计装置用户基于风险规则管理对风险规则进行新增，删除，定义等操作来管理云服务商的操作风险行为。

S103、根据行为事件数据生成分析结果。

其中，行为分析结果为云服务用户的操作行为是否存在风险。

可以理解的是，不同云服务用户可能会有自己的操作行为习惯，为此，在本申请的另一实施例中，在步骤S102之后的一种实施方式，如图3所示，还包括：

S301、在云服务商用户的行为画像中匹配行为事件数据，得到匹配结果。

其中，行为画像的定义包括：操作行为画像由审计任务识别相关行为人列表；通过行为人的操作行为事件对其评分、打标签分析处理；评分规则以审计规则为基础，不同的风险次数对评分在1-100分内进行打分；相同的审计规则，不同的评分规则，采用加权平均法处理。

建立行为画像的数据源是与云服务商用户操作行为相关的行为日志数据，包括虚拟机的启停、虚拟机创建、虚拟机删除、虚拟机克隆、虚拟机快照、虚拟机重启、虚拟机关闭、云平台的登录与注销、主机配置的变更、磁盘分配、磁盘删除、挂盘操作、磁盘扩盘、磁盘回收、网络创建、网络分配、网络ACL配置、网络ACL删除、主机用户登录、主机关机、主机密码修改、主机用户授权等。

当然，在本申请的具体实现过程中，还应可以对行为画像进行管理，因此，在本申请的另一实施例中，云服务商行为风险的分析方法的一种实施方式，还包括：接收并响应行为画像管理指令。

具体的，行为画像管理指令可以包括但不限于：对行为画像进行新建、删除、修改、更改用户画像等操作；对行为画像的标签规则进行新建、删除、修改等操作；对行为画像的评分规则进行心剑、删除、修改等操作。且在审计任务执行后，建立行为画像任务。

行为画像管理员通过浏览器点击行为画像，选择审计任务识别出的行为人(即用户)，并对该行为人进行画像生成、画像更新操作，在画像生成、画像更新任务过程中进行行为人操作事件进行评分、打标签数据统计分析。

可选的，在本申请的另一实施例中，画像的生成方法的一种实施方式，如图4所示，包括：

S401、将云服务商用户的历史行为事件数据进行为识别归类，得到多个类别的行为类型数据。

云服务商用户的历史行为事件数据来源主要通过云平台接口调用和协议读取两种方式。具体而言，云平台接口调用方式是通过云平台SDK和API接口调用的方式，从vSphere管理平台和OpenStack管理平台读取云平台资产、配置、操作行为等数据，该种方式需要只读权限用户用户名和密码；通过协议读取方式主要是通过Syslog协议从云平台主机、物理主机和虚拟机中获得云平台配置、操作行为等***日志，通过SNMP协议从云平台主机、虚拟机、网络等读取***配置、网络接口、CPU及负载、内存及磁盘等数据。

S402、针对每一个行为类型数据，利用审计规则对应的评分规则对行为类型数据进行评分，得到行为类型数据的分数。

具体的，评分公式可以采用但不限于：

综合均值评分＝avg(sum(评分值*权重))。

通过获取审计规则的相关的评分规则，对每条规则的评分值采用权重计算，并总和所有评分规则的权重计算值，最后采用综合求均计算。

S403、基于所有行为类型数据的分数，生成云服务商用户的行为画像。

具体的，将所有规则评分通过雷达图对管理员任务画像分析展示，展示内容如下：基于日志事件数据进行审计规则风险分析；风险事件操作行为上下文的分析、处理、结果；主要是基于用户操作行为进行的画像分析；分析并显示用户的重点Top操作行为标签。

S302、根据匹配结果，生成分析报告。

其中，分析报告用于确定云服务商用户的操作行为是否有异常。

在本申请的实际应用过程中，在依据审计规则，对源日志数据的审计分析，形成的审计任务的源日志具有时间区，都是以最终离线数据为基础；可以依据审计规则将对应的行为风险日志进行规则分析；有效的行为日志上能识别出操作上下文；通过操作上下文+审计规则进行风险审计。

同样每一个审计任务均可以通过云平台数据接入的入口，由安全测评人员设置所要审计的云平台的基本信息，即审计任务的新建、删除、修改等操作；审计任务的启动、重启、停止等操作；审计任务的持久存储与检索；审计任务的配置，配置的内容至少包含审计任务所需要审计的相关规则和审计对象日志；可定制任务的启动时间，支持任务延时启动。

审计任务装置管理员通过浏览器点击启动审计任务，并交由子***任务中心服务端后台任务启动，在任务执行过程中进行数据分析及风险规则检验统计。

可选的，在本申请的另一实施例中，在得到分析报告之后，云服务商行为风险的分析方法的一种实施方式，还包括：确定分析报告中，预设个数的操作异常的操作行为，并生成异常操作行为标签；并展示所有异常操作行为标签。

由于，审计工作要有历史证据来支撑，操作行为追溯模块能够为安全测评人员提供所有的云平台操作行为回溯功能，包括数据中心操作行为、主机操作行为、虚拟机操作行为、网络操作行为和存储操作行为回溯。安全测评人员可以输入主机名称、行为类型、云管理员类型、云管理员名称、IP地址、时间段等检索条件的组合，由专门的操作行为追溯引擎进行处理，追踪用户、虚拟机、目标地址、硬件设备等信息。同时，支持通过图表方式显示异常行为，导出指定主机、虚拟机、IP、用户的操作行为信息。因此，在本申请的另一实施例中，云服务商行为风险的分析方法的一种实施方式，还包括：接收并响应测评人员输入的检索指令，得到追踪日志；其中，追踪日志可导出且可以以图表的方式进行展示；图表包括异常操作行为。

操作行为追溯应以操作行为事件为数据进行的追溯，包括：数据中心操作行为、主机操作行为、虚拟机操作行为、网络操作行为和存储操作行为回溯；全测评人员可以输入主机名称、行为类型、云管理员类型、云管理员名称、IP地址、时间段等检索条件的组合；支持大量数据并能进行快速检索的功能；具有追溯数据导出功能；支持通过图表方式展示异常行为。操作行为追溯管理通过浏览器操作后交由行为追溯服务处理检索引擎；云服务商行为审计装置用户追溯行为引擎对相关行为进行多维度组合分析、追溯、导出追溯数据。

在本申请的实际应用的过程中，还为安全测评人员提供***配置、用户权限管理等基础功能，具体功能如下：支持用户账号管理；支持角色管理；支持数据字典配置；支持密码修改，并支持密码复杂度校验；初始登陆必须修改密码；要求提供多用户基于角色的访问控制功能。

云服务商操作行为升级装置的***管理主要是提供给管理员对平台数据字典、用户账户、角色以及多用户角色访问控制等功能的管理使用和分配。主要包括：用户账户的新增、修改、删除、禁用、角色分配等；角色的新增、修改、删除、授权等；数据字典的新增、修改、删除、字典值的配置等；多用户的访问控制权限分配等。

***管理员通过浏览器点击用户账户管理、角色管理、数据字典配置、多用户角色的访问控制，使得不同用户通过角色访问控制不同的相关模块操作。

在本申请的实际应用的过程中，采用大数据用户画像技术，对云平台用户的操作行为进行长周期的数据存储和分析，总结行为数据中的统计规律，得到云服务商操作行为数据的标签，再通过检索画像中的标签、追溯其历史操作行为，并快速与之进行匹配分析，生成操作行为分析报告，检测用户操作行为有无异常时，其使用的装置由数据采集、数据存储、数据分析、管理与应用四大模块组成，具体架构如图5所示。

其中，采集层搜集OpenStack和vSphere云平台日志信息；数据存储层包括MySQL关系型数据库、非关系型数据库以及文件***；数据分析引擎由业界比较成熟的流及批处理框架组成，用户的行为画像结果存放在关系型数据中；管理与应用层一方面展示行为画像、评估报表和行为追溯日志，另一方面负责对***的基本配置和审计任务的增删改启停等操作。

其***采用前后端分离架构，前端用React框架技术完成UI功能交互；后端采用SpringBoot微服务架构。其中，主要功能包括***管理功能，审计任务管理功能，审计规则管理功能，数据采集配置管理，审计任务报告管理，管理员行为画像，以及对行为日志追溯等模块；通过统一Restful服务网关与前端进行交互。数据存储包括基础用户数据和日志分析数据；基础用户数据存储在Mysql关系型数据库，日志分析数据主要通过ElasticSearch数据库进行存储和分析检索。

微服务中采用统一Restful服务网关是为了在后台微服务组件与前端UI交互过程中起到一个承上启下的作用，避免UI程序直接与各微服务子***交互，微服务子***可以通过自身资源需求进行横向扩展，达到***的高可用。

采用ElasticSearch数据库存储行为风险事件，ElasticSearch在存储数据量级上满足我们大数据量的日志，同时在全文检索方面显著优点，另外也能大数据量下实现近实时的查询效率。操作行为审计***功能架构如图6所示。

其中，应用采用Docker模式来部署，分为WEB应用服务器，APP应用服务器，DB数据服务器；WEB应用服务器主要以部署UI前端服务，统一网关服务，微服务注册中心；APP应用服务以部署平台所需的***管理服务、JOB任务子***、采集模块、审计业务微服务等；DB数据服务器以部署ElasticSearch数据库，Mysql数据库，Mongo数据库，以及Kibana可视化分析模块。具体的可以参阅图7所示。

由以上方案可知，本申请提供一种云服务商行为风险的分析方法：首先，采集云服务商用户的操作日志数据；然后，基于预设的审计规则处理操作日志数据，得到行为事件数据；最终，根据行为事件数据生成分析结果；其中，行为分析结果为云服务用户的操作行为是否存在风险。从而达到准确发现云服务商操作行为是否存在风险，以有效地规避云服务商操作行为风险，保障云服务商平台的安全的目的。

本申请另一实施例提供了一种云服务商行为风险的分析装置，如图8所示，具体包括：

采集单元801，用于采集云服务商用户的操作日志数据。

可选的，在本申请的另一实施例中，采集单元801的一种实施方式，包括：

采集子单元，用于通过安全壳协议和/或超文本传输协议接口远程采集云服务商用户的操作日志数据。

获取单元，用于通过离线上传的方式获取云服务商用户的操作日志数据。

本申请上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，此处不再赘述。

处理单元802，用于基于预设的审计规则处理操作日志数据，得到行为事件数据。

可选的，在本申请的另一实施例中，处理单元802的一种实施方式，包括：

整合单元，用于对操作日志数据按照预设的审计规则进行整合，得到可预处理的数据映射。

转换单元，用于将数据映射进行转换，得到统一格式的行为事件数据。

本申请上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，如图2所示，此处不再赘述。

分析单元803，用于根据行为事件数据生成分析结果。其中，行为分析结果为云服务用户的操作行为是否存在风险。

本申请上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，如图1所示，此处不再赘述。

可选的，在本申请的另一实施例中，云服务商行为风险的分析装置的一种实施方式，还包括：

匹配单元，用于在云服务商用户的行为画像中匹配行为事件数据，得到匹配结果。

生成单元，用于根据匹配结果，生成分析报告。

其中，分析报告用于确定云服务商用户的操作行为是否有异常。

本申请上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，如图3所示，此处不再赘述。

可选的，在本申请的另一实施例中，行为画像的生成单元的一种实施方式，包括：

归类单元，用于将云服务商用户的历史行为事件数据进行为识别归类，得到多个类别的行为类型数据。

评分单元，用于针对每一个行为类型数据，利用审计规则对应的评分规则对行为类型数据进行评分，得到行为类型数据的分数。

行为画像的生成子单元，用于基于所有行为类型数据的分数，生成云服务商用户的行为画像。

本申请上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，如图4所示，此处不再赘述。

可选的，在本申请的另一实施例中，云服务商行为风险的分析装置的一种实施方式，还包括：

确定单元，用于确定分析报告中，预设个数的操作异常的操作行为，并生成异常操作行为标签。

展示单元，用于展示所有异常操作行为标签。

本申请上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，此处不再赘述。

可选的，在本申请的另一实施例中，云服务商行为风险的分析装置的一种实施方式，还包括：

接收单元，用于接收测评人员输入的检索指令；

第一响应单元，用于响应检索指令，得到追踪日志；其中，追踪日志可导出且可以以图表的方式进行展示；图表包括异常操作行为。

本申请上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，此处不再赘述。

可选的，在本申请的另一实施例中，云服务商行为风险的分析装置的一种实施方式，还包括：

第二响应单元，用于接收并响应审计规则管理指令。

本申请上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，此处不再赘述。

可选的，在本申请的另一实施例中，云服务商行为风险的分析装置的一种实施方式，还包括：

第三响应单元，用于接收并响应行为画像管理指令。

本申请上述实施例公开的单元的具体工作过程，可参见对应的方法实施例内容，此处不再赘述。

由以上方案可知，本申请提供一种云服务商行为风险的分析装置：首先，采集单元801采集云服务商用户的操作日志数据；然后，处理单元802基于预设的审计规则处理操作日志数据，得到行为事件数据；最终，分析单元803根据行为事件数据生成分析结果；其中，行为分析结果为云服务用户的操作行为是否存在风险。从而达到准确发现云服务商操作行为是否存在风险，以有效地规避云服务商操作行为风险，保障云服务商平台的安全的目的。

本申请另一实施例提供了一种服务器，如图9所示，包括：

一个或多个处理器901。

存储装置902，其上存储有一个或多个程序。

当所述一个或多个程序被所述一个或多个处理器901执行时，使得所述一个或多个处理器901实现如上述实施例中任意一项所述的云服务商行为风险的分析方法。

本申请另一实施例提供了一种计算机存储介质，其上存储有计算机程序，其中，计算机程序被处理器执行时实现如上述实施例中任意一项所述的云服务商行为风险的分析方法。

在本申请公开的上述实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本公开的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，直播设备，或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种云服务商行为风险的分析方法，其特征在于，包括：

采集云服务商用户的操作日志数据；

基于预设的审计规则处理所述操作日志数据，得到行为事件数据；所述审计规则是针对云服务商特有的安全问题对云服务商的危险程度较高的操作行为进行特征分析、归纳而形成的特有的审计规则，所述审计规则包括主机操作行为规则、数据中心操作行为规则、虚拟机操作行为规则、网络操作行为规则以及存储操作行为规则；

基于时间、地点、合规行为人、行为结果对所述行为事件数据进行整体分析，生成分析结果；其中，所述行为分析结果为所述云服务商用户的操作行为是否存在风险；

在所述云服务商用户的行为画像中匹配所述行为事件数据，得到匹配结果；所述行为画像是基于所述云服务商用户的各个类别的行为类型数据的分数确定的，所述各个类别的行为类型数据的分数是云服务商的历史行为事件数据和所述审计规则确定的；其中，不同用户对应的行为画像不同；

根据所述匹配结果，生成分析报告；其中，所述分析报告用于确定所述云服务商用户的操作行为是否有异常。

2.根据权利要求1所述的分析方法，其特征在于，所述采集云服务商用户的操作日志数据，包括：

通过安全壳协议和/或超文本传输协议接口远程采集云服务商用户的操作日志数据；

通过离线上传的方式获取云服务商用户的操作日志数据。

3.根据权利要求1所述的分析方法，其特征在于，所述基于预设的审计规则处理所操作日志数据，得到行为事件数据，包括：

对所述操作日志数据按照预设的审计规则进行整合，得到可预处理的数据映射；

将所述数据映射进行转换，得到统一格式的行为事件数据。

4.根据权利要求1所述的分析方法，其特征在于，所述行为画像的生成方法，包括：

将云服务商用户的历史行为事件数据进行为识别归类，得到多个类别的行为类型数据；

针对每一个所述行为类型数据，利用审计规则对应的评分规则对所述行为类型数据进行评分，得到所述行为类型数据的分数；

基于所有所述行为类型数据的分数，生成所述云服务商用户的行为画像。

5.根据权利要求1所述的分析方法，其特征在于，所述根据所述匹配结果，生成分析报告之后，还包括：

确定所述分析报告中，预设个数的操作异常的操作行为，并生成异常操作行为标签；

展示所有所述异常操作行为标签。

6.根据权利要求1所述的分析方法，其特征在于，还包括：

接收测评人员输入的检索指令；

响应所述检索指令，得到追踪日志；其中，所述追踪日志可导出且可以以图表的方式进行展示；所述图表包括异常操作行为。

7.根据权利要求1所述的分析方法，其特征在于，还包括

接收并响应审计规则管理指令。

8.根据权利要求1所述的分析方法，其特征在于，还包括

接收并响应行为画像管理指令。

9.一种云服务商行为风险的分析装置，其特征在于，包括：

采集单元，用于采集云服务商用户的操作日志数据；

处理单元，用于基于预设的审计规则处理所述操作日志数据，得到行为事件数据；所述审计规则是针对云服务商特有的安全问题对云服务商的危险程度较高的操作行为进行特征分析、归纳而形成的特有的审计规则，所述审计规则包括主机操作行为规则、数据中心操作行为规则、虚拟机操作行为规则、网络操作行为规则以及存储操作行为规则；

分析单元，用于基于时间、地点、合规行为人、行为结果对所述行为事件数据进行整体分析，生成分析结果；其中，所述行为分析结果为所述云服务商用户的操作行为是否存在风险；

匹配单元，用于在所述云服务商用户的行为画像中匹配所述行为事件数据，得到匹配结果；所述行为画像是基于所述云服务商用户的各个类别的行为类型数据的分数确定的，所述各个类别的行为类型数据的分数是云服务商的历史行为事件数据和所述审计规则确定的；其中，不同用户对应的行为画像不同；

生成单元，用于根据匹配结果，生成分析报告；其中，所述分析报告用于确定所述云服务商用户的操作行为是否有异常。