CN116028938A - 提供安全服务的方法及装置、电子设备及计算机存储介质 - Google Patents

提供安全服务的方法及装置、电子设备及计算机存储介质 Download PDF

Info

Publication number
CN116028938A
CN116028938A CN202111258008.4A CN202111258008A CN116028938A CN 116028938 A CN116028938 A CN 116028938A CN 202111258008 A CN202111258008 A CN 202111258008A CN 116028938 A CN116028938 A CN 116028938A
Authority
CN
China
Prior art keywords
security
host
information
tenant
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111258008.4A
Other languages
English (en)
Inventor
沈宁敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Suzhou Software Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202111258008.4A priority Critical patent/CN116028938A/zh
Priority to PCT/CN2022/127338 priority patent/WO2023072057A1/zh
Publication of CN116028938A publication Critical patent/CN116028938A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本公开提供了一种提供安全服务的方法及装置、电子设备及计算机存储介质,所述方法包括:在规范化语句的约束下创建主机安全模型;获取租户下的主机信息;其中,所述主机信息至少包括:主机的订购信息以及所述主机的资产信息;将所述主机信息输入到所述安全模型,得到所述安全模型输出的安全服务信息;基于所述安全服务信息,向所述租户的主机提供对应的安全服务;通过规范化语句的约束创建安全模型,并且利用安全模型输出的安全服务信息向租户的所有主机提供对应的全局化的安全服务,进行相应的安全预防和加固。

Description

提供安全服务的方法及装置、电子设备及计算机存储介质
技术领域
本公开涉及计算机技术领域,具体涉及提供安全服务的方法及装置、电子设备及计算机存储介质。
背景技术
随着计算机的普及,网络入侵、病毒爆发、信息泄露等安全事件问题也日益突出,计算机终端安全问题一直受到安全领域各类厂商、云服务中心的密切关注,现有的关于对于租户下的多个资源池的多个节点的安全维护是针对单个资源池进行单独安全服务,这使得租户需要针对不同的资源池重复订购多次安全服务,并且无法提供与资源池对应且合适的安全服务。
因此,需要一种能进行提供全局服务且能按需提供安全服务的装置。
发明内容
本公开提供一种提供安全服务的方法及装置、电子设备及计算机存储介质。
本公开第一方面提供了一种提供安全服务的方法,所述方法包括:
在规范化语句的约束下创建主机安全模型;
获取租户下的主机信息;其中,所述主机信息至少包括:主机的订购信息以及所述主机的资产信息;
将所述主机信息输入到所述安全模型,得到所述安全模型输出的安全服务信息;
基于所述安全服务信息,向所述租户的主机提供对应的安全服务。
可选地,所述将所述主机信息输入到所述安全模型,包括:
将以第一规范化语句表示的订购信息输入到所述安全模型;
和/或,
将以第二规范化语句表示的资产信息输入到所述安全模型。
可选地,所述订购信息至少包括:
约束租户是否订购全局服务的GO取值:若所述GO取值为第一值,指示所述租户订购的是安全服务;若所述GO取值为第二值,指示所述租户未订购的安全服务;
约束租户订购的安全服务等级的Ln的值;n表示租户订购的安全服务属于第n个等级,所述n用于确定提供所述安全服务的模块类别数量。
可选地,所述资产信息包括:
待维护的多个主机的资产的集合。
可选地,所述将所述主机信息输入到所述安全模型,得到所述安全模型输出的安全服务信息,还包括:
将所述主机信息输入到所述安全模型,得到所述安全模型以第三规范化语句输出的安全服务信息。
可选地,所述基于所述安全服务信息,向所述租户的主机提供对应的安全服务,包括:
基于所述安全服务信息,得到在所述租户有订购全局服务时的安全服务时的安全服务模块类别数量组合;
根据所述安全服务模块类别数量组合,向所述租户的主机提供对应的安全服务。
本公开第二方面提供一种提供安全服务的装置,所述装置包括:
创建模块,用于在规范化语句的约束下创建主机安全模型;
获取模块,用于获取租户下的主机信息;其中,所述主机信息至少包括:主机的订购信息以及所述主机的资产信息;
确定模块,用于将所述主机信息输入到所述安全模型,得到所述安全模型输出的安全服务信息;
提供模块,用于基于所述安全服务信息,向所述租户的主机提供对应的安全服务。
可选地,所述确定模块用于将所述主机信息输入到所述安全模型,包括:
将以第一规范化语句表示的订购信息输入到所述安全模型;
和/或,
将以第二规范化语句表示的资产信息输入到所述安全模型。
本公开第三方面提供一种电子设备,所述电子设备包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,
所述处理器运行所述计算机程序时,执行本公开第一方面的提供安全服务的方法的步骤。
本公开第四方面提供一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现如本公开第一方面所述的提供安全服务的方法。
本公开的实施例提供的技术方案可以包括以下有益效果:本公开实施例提供安全服务的方法,包括:在规范化语句的约束下创建主机安全模型;将主机信息输入到安全模型,得到安全模型输出的安全服务信息;基于安全服务信息,向租户的主机提供对应的安全服务;与现有技术单个资源池单次订购安全服务,单个资源池独立且没有统计的安全能力,无法按需提供合适的全局化安全服务相比,本公开实施例中的安全模型可以基于租户的主机的订购信息和资产信息输出安全服务信息,可以按需向所述租户的主机提供对应的安全服务。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
图1为一示例性实施例示出的提供安全服务的方法的流程示意图;
图2为一示例性实施例示出的提供安全服务的方法的流程示意图;
图3为一示例性实施例示出的提供安全服务的方法的流程示意图;
图4为一示例性实施例示出的云安全中心载体服务下的主机安全统一检测模型示意图;
图5为一示例性实施例示出的云资源主机安全架构图;
图6为一示例性实施例示出的基于多节点下主机终端安全防护模型;
图7为一示例性实施例示出的租户使用云中心载体服务模块关系图;
图8为一示例性实施例示出的租户安全服务流程示意图;
图9为一示例性实施例示出的提供给租户的安全报告定向推送字段结构示意图;
图10为一示例性实施例示出的提供安全服务的装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。
本公开实施例提供了一种提供安全服务的方法,结合图1所示,所述方法包括:
步骤S101,在规范化语句的约束下创建主机安全模型;
步骤S102,获取租户下的主机信息;其中,所述主机信息至少包括:主机的订购信息以及所述主机的资产信息;
步骤S103,将所述主机信息输入到所述安全模型,得到所述安全模型输出的安全服务信息;
步骤S104,基于所述安全服务信息,向所述租户的主机提供对应的安全服务。
本公开实施例中,设定T(Tenant)为租户,CSC(Cloud Security carrier)为云安全载体,GO(Global Order)为全局订购,CH(Cloud Host)为云上主机,H(Hosts)为自定义主机,SM(Security Model)为安全能力模块,L(Level)为安全能力服务等级,P(Pools)为资源池节点,SS((Security Service)为安全服务)。
本公开实施例,步骤S101中在规范化语句的约束下创建主机安全模型;会对使用上述T、CSC、GO、CH、H、SM、L、P、SS针对安全模型制定规范化语句。
本公开实施例中,使用一阶逻辑的谓词表示规范化语句。一阶逻辑也称一阶谓词演算,允许量化陈述的公式,是一种形式***,一阶逻辑是区别与高阶逻辑的梳理逻辑,不允许量化性质;性质是一个物体的特性。采用符号∧表示合取,∨表示析取,符号
Figure BDA0003324720520000051
表示全称量词,
Figure BDA0003324720520000052
表示存在量词,符号→表示蕴涵,
Figure BDA0003324720520000053
表示双条件。
本公开实施例中,云安全中心载体向租户下的资源池主机提供安全服务,基于资源池节点下及租户自定义类别的主机资产为目标,将一个租户下所有资产进行统一管理。在集成多类不同类别,不同能力的安全模块能力,以租户为粒度,对主机资产进行状态管理、基于不同的安全事件进行相应的处理,并且统一上报租户及发出对应的告警。在载体服务中心,对所有租户的数据进行统一采集、存储及日志上报,而租户只需简单的订购一次注册载体服务,实现与资源池节点的解耦,按需使用对应的安全能力,具体示意图参见图4所示的云安全中心载体服务下的主机安全统一检测模型。
本公开实施例中,如图4所示,租户一次订购全局服务之后,云安全中心载体会获取云上主机和/或云下主机的资产,并根据主机的资产变化,同步更新主机的资产信息至云安全中心载体。
本公开实施例中,在规范化语句的约束下创建主机安全模型,规范化语句指示用户的主机信息。主机信息所包括的订购信息以及资产信息输入至安全模型后,会生成主机信息的规范化语句的表示,安全模型根据规范化的语句的表示,输出安全服务信息。云安全中心载体基于安全服务信息,向所述租户的主机提供对应的安全服务。
本公开实施例中,在步骤S101中的安全模型的具体含义为租户在全局化订购的条件下,云上主机以及云下主机资产所具备的预防及加固对应的安全服务等级的安全集合,针对云上主机资产,包括多个资源池节点下所有主机应具备的安全能力汇总,即单个或多个安全子能力在单个或多个主机上形成对应的安全服务关联;针对云下主机资产,在租户自定义管理的前提下,与对应安全子能力形成服务映射关系。
本公开实施例中,在步骤S102中,主机的订购信息包括但不限于是:租户为主机订购的安全服务的等级,以及租户是否为主机订购了全局服务。
本公开实施例中,安全服务的等级越高,说明安全服务的类别数量越多。
本公开实施例中,安全服务的类别数量包括但不限于:针对暴力破解、异常登录的检测和告警、对于WEB后门安全性的维护、病毒查杀、云蜜罐数据的维护、异常告警、基线修复、漏洞修复、病毒隔离等措施,并生成安全日志和安全报告。
本公开实施例中,在步骤S103中,将主机信息包括的订购信息和资产信息输入到所述安全模型后,得到所述安全模型输出的安全服务信息。这里,安全服务信息指示租户是否订购了全局服务,若租户订购了全局服务,则在订购的全局服务下对待维护的资产,输出租户选择的安全服务模块的组合。
本公开实施例中,在步骤S104中,基于所述安全服务信息,向所述租户的主机提供对应的安全服务,是基于与安全模型输出的安全服务,向租户的主机提供对应的安全服务的类别。
本公开实施例中,在规范化语句的约束下创建主机安全模型;将主机信息输入到安全模型,得到安全模型输出的安全服务信息;基于安全服务信息,向租户的主机提供对应的安全服务;与现有技术单个资源池单次订购安全服务,单个资源池独立且没有统计的安全能力,无法按需提供合适的全局化安全服务相比,本公开实施例中的安全模型可以基于租户的主机的订购信息和资产信息输出安全服务信息,可以按需向所述租户的主机提供对应的安全服务。
本公开实施例中,所述将所述主机信息输入到所述安全模型,包括:
将以第一规范化语句表示的订购信息输入到所述安全模型;
和/或,
将以第二规范化语句表示的资产信息输入到所述安全模型。
本公开实施例中,第一规范化语句表示订购信息中的订购服务的等级以及是否订购全局服务。
本公开实施例中,第一规范化语句对属性特征L,GO值域关系约定,Li表示为第i个等级,其等级按大小顺序排列,且
Figure BDA0003324720520000071
为第j个等级包含第i个等级的安服能力模块。GO0/1表示租户是否订购全局服务,0为未订购,1为订购。
本公开实施例中,第二规范化语句表示资产信息的组合。
本公开实施例中,多个节点下的云上主机资产及云下主机资产组合成租户下所有的主机资产,可以用P1∧P2∧P3...Pp(p>0)∈CH+H,CH∪H,Pp表示第p个节点下对应的云上主机资产。
本公开实施例中,通过上述第一规范化语句表示订购信息,上述第二规范化语句表示资产信息,并且将以第一规范化语句表示的订购信息输入到所述安全模型,将以第二规范化语句表示的资产信息输入到安全模型,可以综合租户的订购信息和资产信息,按租户的实际需求对租户提供安全服务。
本公开实施例中,所述订购信息至少包括:
约束租户是否订购全局服务的GO取值:若所述GO取值为第一值,指示所述租户订购的是安全服务;若所述GO取值为第二值,指示所述租户未订购的安全服务;
约束租户订购的安全服务等级的Ln的值;n表示租户订购的安全服务属于第n个等级,所述n用于确定提供所述安全服务的模块类别数量。
本公开实施例中,约束租户是否订购全局服务的GO取值:若GO取值为第一值,指示所述租户订购的是安全服务;若所述GO取值为第二值,指示所述租户未订购的安全服务;这里,第一值与第二值不同,并且,若租户未订购全局化的安全服务,则无法使用云安全中心载体提供的全局化的安全服务。
本公开实施例中,第一值可以取值为1,第二值可以取值为0。
本公开实施例中,约束租户订购的安全服务等级的Ln的值;n表示租户订购的安全服务属于第n个等级,所述n用于确定提供所述安全服务的模块类别数量;这里,等级n是按照大小顺序排列的,等级越高,n值越大,对应的安全服务的模块类别数量就越多。
在一个实施例中,n=i时,安全服务等级为Li;n=j时,安全服务等级为Lj。且
Figure BDA0003324720520000081
为第j个等级的安全服务的模块包含第i个等级的安全服务的模块。
本公开实施例中,通过GO值表示租户是否订购全局服务,通过Ln的值表示租户订购的安全服务的等级,进而表示租户需要订购的安全服务的模块,可以按租户的需求确定是否提供全局服务,以及在全局服务下根据租户的等级确定租户选择的安全服务的模块类别。如此,通过规范化语句约束表示租户的订购信息的属性,可以为按需为租户提供安全服务。
本公开实施例中,所述资产信息包括:
待维护的多个主机的资产的集合。
本公开实施例中,资产信息是指租户下的多个节点对应的云上主机资产信息以及云下主机资产信息,用PP表示第p个节点下对应的主机资产。
本公开实施例中,待维护的多个主机的资产的集合用符号P1∧P2∧P3…Pp(p>0)∈CH+H,CH∪H。表示多个节点的主机资产的合取组成多个主机的资产的集合CH+H。
本公开实施例中,关于多个主机的资产的合取,即使组合成集合,每个主机都是相互独立标注,便于之后针对多个主机进行分辨和识别,以及提供安全服务。
本公开实施例中,需要确定主机的资产信息,才能确定安全服务对主机的维护对象,便于对主机下的这些资产进行安全服务的检测和维护,如此,能为主机提供对应的安全服务。
本公开实施例中,结合图2所示,所述将所述主机信息输入到所述安全模型,得到所述安全模型输出的安全服务信息,还包括:
步骤S1031将所述主机信息输入到所述安全模型,得到所述安全模型以第三规范化语句输出的安全服务信息。
本公开实施例中,第三规范化语句是指:不同类型的安全能力组成安全模块,多个安全模块在能力编排下形成安全服务,符号表示(SM1∧SM2∧SM3∧SM…SMt)→SSl|l>0,t>0,SMsm为指定安全模块类别下的第sm个安全子能力。上述符号表示多个安全子能力的合取组成的集构成第L等级的安全服务SSl的模块。
本公开实施例中,对于不同的租户,根据是否进行全局订购具有不同的安全能力服务,
Figure BDA0003324720520000091
表示在l>0的条件下,第l等级的安全服务SSl包含第l-1的安全子能力模块,依次类推,等级越高的安全服务模块包含等级低的安全服务模块。
本公开实施例中,将主机信息输入到安全模型,得到安全模型以第三规范化语句输出的安全服务信息,也即是,将主机信息指示的订购信息和资产信息输入到安全模型,安全模型通过第三规范化语句表示对租户提供的对应的安全服务模块的类别组合作为安全模型以第三规范化语句输出的安全服务信息。如此,能为租户提供需要且对应的安全服务。
本公开实施例中,结合图3所示,所述基于所述安全服务信息,向所述租户的主机提供对应的安全服务,包括:
步骤S1041,基于所述安全服务信息,得到在所述租户有订购全局服务时的安全服务时的安全服务模块类别数量组合;
步骤S1042,根据所述安全服务模块类别数量组合,向所述租户的主机提供对应的安全服务。
本公开实施例中,安全模型具体的模型公式为:
Figure BDA0003324720520000101
T代表租户,l代表对于的安全服务等级,GO=1代表租户进行了全局订购,CH代表云上主机,P为资源池节点数量,H代表云下主机资产,SM代表安全服务子能力,sm代表多个安全子能力的数量。
在上述模型公式中的具体含义为租户T在订购了全局服务(GO=1)的条件下,云上主机CH以及云下主机H的资产所对应的安全服务等级l对应的安全服务模块的集合SSl
本公开实施例中,在上述模型公式中,
Figure BDA0003324720520000102
表示租户T在订购了全局服务下的安全服务、
Figure BDA0003324720520000103
表示1到p的节点下所属的主机资产的集合、
Figure BDA0003324720520000104
表示1到sm个安全子能力服务SM的集合、
Figure BDA0003324720520000105
表示存在安全服务等级l大于0,1到sm个安全子能力的集合属于安全服务等级l对应的安全服务,综合而言,上述安全模型公式的含义是指,租户T需要的安全服务SS是在订购了全局化服务,在存在安全服务等级L大于0,且1到sm个安全子能力的集合属于安全服务等级l对应的安全服务的条件下,根据1到p个节点下的主机资产的集合CH+H下的安全服务模块类别数量组合,形成向租户T提供与等级L对应的安全服务SSl
本公开实施例中,通过根据所述安全服务模块类别数量组合,向所述租户的主机提供对应的安全服务,可以向租户提供租户需要的安全服务。
本公开实施例中,云安全中心载体会根据租户下的主机的资产变化,将主机资产同步更新到云安全中心载体,对主机资产同步完成后,云安全中心载体会利用安全模型,对输入的安全服务等级以及对应的安全服务模块,结合租户下主机的资产生成与租户对应的安全服务SS。
本公开实施例中,在确定提供给租户对应的安全服务SS之后,云安全中心载体会生成租户唯一标识的终端引擎组件安装命令,下发到各个主机,进行自动或手动安装,安装完成后,主机的后端线程与安全中心载体自动建立通信链路。在启动安全服务之后,安全中心载体启动安全引擎线程首先对主机***状态、安全配置、防火墙进行检测,并且从中心载体服务中获取基线、漏洞、风险、病毒等规则库,基于规则信息进行安全检测,若检测出相应的风险项,基于风险项的低危、中危及高危级别,结合默认配置的修复措施或租户在平台设定的标准觉得是否修复以实现安全加固,同时自动触发告警,及时通知租户相关数据信息,需要加固的依赖文件或安全配置在中心载体服务自动拉取。
本公开实施例中,安全引擎线程在相应安全规则定义下,可自动监听外部入侵流量,如暴力破解、异常登录等,针对非租户自身发起的主机终端操作形成一套虚拟的安全墙,实现终端安全预防。
本公开实施例中,租户登录到云安全中心载体,对全局服务性的安全服务进行订购,并且获取对应规格的能力服务,如此,可以实现对租户下的多节点的主机进行全局化、中心化的安全检测及加固;并且,根据租户下的主机的订购信息和资产信息,根据租户的需求,向租户提供对应且合适的安全服务。
结合上述实施例提供以下示例:
示例1:一种提供安全服务的方法。
现有技术中,随着计算机的使用在人类生活中各类普及,网络入侵、病毒爆发、信息泄露等安全事件问题也日益突出,计算机终端安全问题一直受到安全领域各类厂商、云服务中心的密切关注。计算机终端安全问题其本质是其在所运行的环境下,包括物理环境、网络环境或虚拟环境下,受到外界攻击事件的入侵或自身组件漏洞的影响导致终端部分服务或整体服务不可用状态。针对终端安全问题在解决方案中,基于客户粒度大小的不同可分为单体终端或云终端安全防护,而在公有云市场的环境下,在考虑用户所属地域的差异及服务性能的影响,针对云上服务的客户主机提供了异地多套安全防护,每个资源池归属主机对应的安全检测及加固建议在不同的节点均有体现。如图5所示的云资源主机安全架构图,基于部署节点的个数及网络带宽的影响下,每个资源池均存在相同的、独立的、无统计的安全能力。
对于单资源池云主机安全的安全检测、防护及加固在提供服务上,是基于用户主机资产分布的特点进行定向服务,同一个租户或用户在申请资产防护时,需进行多次订购、多次资源操作,在云安全能力使用上具有一定的重复性事件,在安全加固上也需针对单点资源池主机资产进行独立处理,如图6所示的基于多节点下主机终端安全防护模型。对于云安全能力提供者,在安全能力输出层面,需要同时部署多个地域性的安全核心集群对应租户下所涵盖的所有资源节点。同时,在安全能力侧,若同一个安全厂商不具备强安全防护能力,如防病毒中的病毒检测或云查杀、暴力破解、异常登录、反弹shell、云平台配置、病毒查杀等,则需针对不同的安全模块能力进行独立、隔离提供。
现有的多资源池节点主机终端安全模型中,用户主机资产与资源池节点对应、安全能力提供与资源池节点关联,而主机终端安全又存在一个或多个独立的安全客户端,这样形成租户在使用云安全防护能力时,具有主机资产的隔断性、产品订购的重复性、安全能力终端防护进程的多样性。这是一种基于节点分布的安全能力架构模型,在资源部署和安全数据分析上,具有资源节点独立性,是一种非全局的统一模型。
现有的基于多节点下主机终端安全防护在使用上有如下缺点:
缺点1、单租户在对主机资产进行安全检测、防护及加固上,只能以资源池节点为单位,进行逐一产品功能订购及使用,使得租户在安全能力使用上具有重复性和冗余性,若用户需使用不同的终端安全防护能力,需在具体的主机资产上进行手动拉起多个进程,其在用户操作具备一定的复杂性且用户体验较差。
缺点2、用户在统计主机资产安全状况时,针对同一安全事件报告,在多个资源池节点均有上报,不能集中检测及处理,若需针对攻击事项设定告警阈值或安全白名单,也需维护多个阈值或多个白名单列表,对用户主机资产的安全预防及加固很难达到一致性处理。
缺点3、在多节点安全防护能力中,针对云安全能力提供者,针对租户资产数据不能集中管理,且安全能力集群中心在每个独立资源池节点均有资源部署,对集群资源的统一管理及服务运行状态的统一监控添加了多倍的运维成本,同时在处理安全检测数据时,不能以租户的维度进行统一安全处理及安全报告统计。
本公开实施例,实现一种针对租户主机资产的全局化、中心化、云处理的安全检测及加固方法,使得所有的安全事件处理统一以租户为粒度,对新增资源池节点、新增主机资产、新增安全防护能力均具备动态扩展的能力,租户在无需重复订购或操作相关产品,可以对全资源池节点下的所有主机资产进行统一安全检测。同时,对云安全能力侧,提供一个安全能力中心集群,纳管所有租户的主机资产状态,对安全数据进行统一分析处理,使得主机安全状态检测、加固及告警保持一致性。同时在资源管理也减少集群管理的复杂度,降低运维人员的维护成本。并且按照租户的需求提供对应的安全服务。
本公开实施例提出一种云安全中心载体服务下的主机安全统一检测。该方法是基于资源池节点下及用户自定义类别的主机资产为目标,将一个租户下所有主机资产进行统一管理。在集成多类不同类别,不同能力的安全模块能力,以租户为粒度,对主机资产进行状态管理、基于不同的安全事件进行相应的处理,并统一上报租户及发出对应的告警。在载体服务中心,对所有租户的数据进行相应的统一采集、存储及日志上报,而租户只需简单的订购一次注册载体服务,实现与资源池节点的解耦,按需使用对应的安全能力,具体模型操作如图4所示的云安全中心载体服务下的主机安全统一检测模型。
设定T(Tenant)为租户,CSC(Cloud Security carrier)为云安全载体,GO(GlobalOrder)为全局订购,CH(Cloud Host)为云上主机,H(Hosts)为自定义主机,SM(SecurityModel)为安全能力模块,L(Level)为安全能力服务等级,P(Pools)为资源池节点,SS(Security Service)为安全服务。下面针对统一访问模型制定一些语义约束性规范,规范采用一阶谓词逻辑表示,符号∧,∨表示合取、析取,符号
Figure BDA0003324720520000141
Figure BDA0003324720520000142
表示全称量词、存在量词,符号→表示蕴涵。具体约定规范如下:
规范1:对属性特征L,GO值域及关系约定,Li(i>0)为第i个等级,其等级按大小顺序排列,且
Figure BDA0003324720520000143
为第j个等级包含第i个等级的安服能力模块。GO0/1表示租户是否订购全局服务,0为未订购,1为订购。
规范2:多个节点下的云主机资产及云下主机组合成租户下所有的主机资产,符号表示P1∧P2∧P3...Pp(p>0)∈CH+H,CH∪H,Pp表示第p个节点下对应的云上主机资产。
规范3:不同类型的安全能力组合成安全模块,多个安全模块在能力编排下形成安全服务,符号表示(SM1∧SM2∧SM3…SMt)→SSl|l>0,t>0,SMsm为指定安全模块类别下的第sm个安全子能力。对于不同的租户,根据是否进行全局订购具有不同的安全能力服务,
Figure BDA0003324720520000144
基于上述定义的规则1-3,实现多租户在云中心载体服务中对不同节点、不同自定义主机资产进行云安全能力检测及加固,其具体模型公式为:
Figure BDA0003324720520000145
其中T代表租户,l代表对应的服务等级,GO=1表示租户进行了全局订购,CH代表云上主机,p为资源池节点数量,H代表云下主机资产,SM代表安全服务子能力,sm表示多个安全子能力数量。
上述公式模型具体含义为租户在全局化订购的条件下云上主机及云下主机资产所具备的预防及加固对应服务等级的安全集合,针对云上主机资产,包括多个资源池节点下所有的主机应具备的安全能力汇总,即单个或多个安全子能力在单个或多个主机上形成对应的安全服务关联;针对云下主机资产,在租户自定义管理的前提下,与对应安全子能力形成服务映射关系。
当云中心载体服务中对租户的主机资产已同步完成后,中心服务对安全服务等级及对应的安全子能力进行分析统计生成租户唯一标识的终端引擎组件安装命令,通过公网或代理服务形式自动下发到各个终端进行自动安装或租户从平台侧手动获取自行安装,安装完成后端线程与中心载体服务自动建立通信链路。线程在启动之后首先对主机***状态、安全配置、防火墙等,并从中心载体服务中获取基线、漏洞、风险、病毒等规则库,线程自动基于规则信息进行安全检测,若检测出相应的风险项,基于风险项的低危、中危及高危级别,结合默认配置的修复措施或租户在平台设定的标准觉得是否修复以实现安全加固,同时自动触发告警,及时通知租户相关数据信息,需要加固的依赖文件或安全配置在中心载体服务自动拉取。针对主机安全预防,安全引擎线程在相应安全规则定义下,可自动监听外部入侵流量,如暴力破解、异常登录等,针对非租户自身发起的主机终端操作形成一套虚拟的安全墙,实现终端安全预防。
租户订购登录到云平台,对云能力产品进行全局订购,获取对应规格的能力服务,即可对多节点的云上主机及云下主机进行全局化、中心化的安全检测及加固,如图7所示的租户使用云中心载体服务模块关系图。
具体使用服务的具体步骤对应的租户安全服务流程图如图8所示:
1、租户登录云中台平台,认证通过;
2、选择对应满足条件的安全服务,进行服务等级确定;
3、对云上主机及云下主机进行预先采集,形成初始状态下的租户主机资产清单,当主机信息发生改变或主机资源退订,需要及时对主机资产数据进行更新、后期资产变动进行定期同步;
4、建立主机终端与云中心载体服务互访的链路,进行安全服务模块启动;
5、云中心载体服务对所有节点主机安全数据进行统一采集及监控,输出告警、自动加固、提供修复建议;
6、针对全量租户、全部资产的安全监测数据形成统一的安全报告,定期推送并运维人员查看。
租户通过云中台使用云中心载体服务时,会产生大量的安全日志。基于租户资产运行状态及事件分析,形成标准的推送通知及安全统计报告,以便租户在有状态感知的前提下提前进行预防。如图9所示,定义定向推送的字段,租户ID,主机数,不同规格加固主机数,检测时间。
本公开实施例中,基于全局化、中心化概念提出了一种基于云中心载体服务的主机安全检测及加固模型,利用规范化语义对模型进行相关定义及约束,实现单租户对多节点、自定义主机类别进行安全检测、数据采集、安全加固,同时可动态扩展租户主机数量和类别,对主机安全进行统一纳管及检测。
本公开实施例中,对安全模块子能力、安全能力类别进行统一编排,按规格等级依次扩展,将安全服务能力在云中心载体中进行融合管理,维护管理对应的等级权限实现安全能力对外的统一服务,可动态对其它类别的主机安全能力进行增、删,具备服务能力的横向扩容。
本公开实施例中,在载体服务提供中,具备中心化、全局化,使得服务能力集群在资源管理上具备统一管理、状态统一监控。同时定义了租户安全报告相应的统计分析字段,实现运维侧对全量租户的安全数据进行处理分析,也为租户实现安全报告定期推送。
本公开实施例的的优点如下:
优点1,利用形成化语义定义,设计云安全中心载体服务下的主机安全统一检测模型,租户仅需配置一次规格权限,即可使用对应的云中心能力服务,且支持多节点下的主机资产及租户自定义主机资产,对资产统计可动态延伸及缩减。
优点2,通过对安全子能力模块进行能力编排,对外提供一个统一的能力输出,在安全能力服务可提供按需使用,根据租户主机本身安全状态进行相应的安全预防及安全加固。
优点3,在云中心载体服务管理中,对资源管理、安全数据管理及租户资源安全报告生成均统一中心集群维护,可实现多节点动态资产扩容及中心服务的横向扩展。
本公开实施例中,结合图10,提供一种提供安全服务的装置200,所述装置200包括:
创建模块201,用于在规范化语句的约束下创建主机安全模型;
获取模块202,用于获取租户下的主机信息;其中,所述主机信息至少包括:主机的订购信息以及所述主机的资产信息;
确定模块203,用于将所述主机信息输入到所述安全模型,得到所述安全模型输出的安全服务信息;
提供模块204,用于基于所述安全服务信息,向所述租户的主机提供对应的安全服务。
本公开实施例中,所述确定模块用于将所述主机信息输入到所述安全模型,包括:
将以第一规范化语句表示的订购信息输入到所述安全模型;
和/或,
将以第二规范化语句表示的资产信息输入到所述安全模型。
本公开实施例中,所述订购信息至少包括:
约束租户是否订购全局服务的GO取值:若所述GO取值为第一值,指示所述租户订购的是安全服务;若所述GO取值为第二值,指示所述租户未订购的安全服务;
约束租户订购的安全服务等级的Ln的值;n表示租户订购的安全服务属于第n个等级,所述n用于确定提供所述安全服务的模块类别数量。
本公开实施例中,所述资产信息包括:
待维护的多个主机的资产的集合。
本公开实施例中,所述确定模块,还配置为:
用于将所述主机信息输入到所述安全模型,得到所述安全模型以第三规范化语句输出的安全服务信息。
本公开实施例中,所述提供模块,还配置为:
用于基于所述安全服务信息,得到在所述租户有订购全局服务时的安全服务时的安全服务模块类别数量组合;
用于根据所述安全服务模块类别数量组合,向所述租户的主机提供对应的安全服务。
在本公开实施例中,提供一种电子设备,所述电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中所述处理器用于运行所述计算机服务时,实现上述所述的提供安全服务的方法中的步骤。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本公开实施例中,提供一种计算机存储介质,所述存储介质中有计算机可执行指令,所述计算机可执行指令被处理器执行实现上述所述的提供安全服务的方法中的步骤。
或者,本发明实施例上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种提供安全服务的方法,其特征在于,所述方法包括:
在规范化语句的约束下创建主机安全模型;
获取租户下的主机信息;其中,所述主机信息至少包括:主机的订购信息以及所述主机的资产信息;
将所述主机信息输入到所述安全模型,得到所述安全模型输出的安全服务信息;
基于所述安全服务信息,向所述租户的主机提供对应的安全服务。
2.根据权利要求1所述的提供安全服务的方法,其特征在于,所述将所述主机信息输入到所述安全模型,包括:
将以第一规范化语句表示的订购信息输入到所述安全模型;
和/或,
将以第二规范化语句表示的资产信息输入到所述安全模型。
3.根据权利要求2所述的提供安全服务的方法,其特征在于,所述订购信息至少包括:
约束租户是否订购全局服务的GO取值:若所述GO取值为第一值,指示所述租户订购的是安全服务;若所述GO取值为第二值,指示所述租户未订购的安全服务;
约束租户订购的安全服务等级的Ln的值;n表示租户订购的安全服务属于第n个等级,所述n用于确定提供所述安全服务的模块类别数量。
4.根据权利要求1所述的提供安全服务的方法,其特征在于,所述资产信息包括:
待维护的多个主机的资产的集合。
5.根据权利要求1所述的提供安全服务的方法,其特征在于,所述将所述主机信息输入到所述安全模型,得到所述安全模型输出的安全服务信息,还包括:
将所述主机信息输入到所述安全模型,得到所述安全模型以第三规范化语句输出的安全服务信息。
6.根据权利要求5所述的提供安全服务的方法,其特征在于,所述基于所述安全服务信息,向所述租户的主机提供对应的安全服务,包括:
基于所述安全服务信息,得到在所述租户有订购全局服务时的安全服务时的安全服务模块类别数量组合;
根据所述安全服务模块类别数量组合,向所述租户的主机提供对应的安全服务。
7.一种提供安全服务的装置,其特征在于,所述装置包括:
创建模块,用于在规范化语句的约束下创建主机安全模型;
获取模块,用于获取租户下的主机信息;其中,所述主机信息至少包括:主机的订购信息以及所述主机的资产信息;
确定模块,用于将所述主机信息输入到所述安全模型,得到所述安全模型输出的安全服务信息;
提供模块,用于基于所述安全服务信息,向所述租户的主机提供对应的安全服务。
8.根据权利要求7所述的提供安全服务的装置,其特征在于,所述确定模块用于将所述主机信息输入到所述安全模型,包括:
将以第一规范化语句表示的订购信息输入到所述安全模型;
和/或,
将以第二规范化语句表示的资产信息输入到所述安全模型。
9.一种电子设备,其特征在于,所述电子设备包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,
所述处理器运行所述计算机程序时,执行权利要求1至6任一项所述提供安全服务的方法的步骤。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现如权利要求1至6任一项所述的提供安全服务的方法。
CN202111258008.4A 2021-10-27 2021-10-27 提供安全服务的方法及装置、电子设备及计算机存储介质 Pending CN116028938A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202111258008.4A CN116028938A (zh) 2021-10-27 2021-10-27 提供安全服务的方法及装置、电子设备及计算机存储介质
PCT/CN2022/127338 WO2023072057A1 (zh) 2021-10-27 2022-10-25 提供安全服务的方法及装置、电子设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111258008.4A CN116028938A (zh) 2021-10-27 2021-10-27 提供安全服务的方法及装置、电子设备及计算机存储介质

Publications (1)

Publication Number Publication Date
CN116028938A true CN116028938A (zh) 2023-04-28

Family

ID=86069426

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111258008.4A Pending CN116028938A (zh) 2021-10-27 2021-10-27 提供安全服务的方法及装置、电子设备及计算机存储介质

Country Status (2)

Country Link
CN (1) CN116028938A (zh)
WO (1) WO2023072057A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8769622B2 (en) * 2011-06-30 2014-07-01 International Business Machines Corporation Authentication and authorization methods for cloud computing security
CN102937901B (zh) * 2012-10-17 2015-07-29 武汉钢铁(集团)公司 多租户架构设计方法
CN108337260B (zh) * 2016-05-11 2019-04-23 甲骨文国际公司 多租户身份和数据安全性管理云服务
CN108932121B (zh) * 2018-05-22 2021-12-07 哈尔滨工业大学(威海) 一种面向多租户分布式服务组件研发的模块及方法
CN112688899A (zh) * 2019-10-17 2021-04-20 ***通信集团重庆有限公司 云内安全威胁检测方法、装置、计算设备及存储介质

Also Published As

Publication number Publication date
WO2023072057A1 (zh) 2023-05-04

Similar Documents

Publication Publication Date Title
US11870795B1 (en) Identifying attack behavior based on scripting language activity
US10097531B2 (en) Techniques for credential generation
Zamfir et al. Systems monitoring and big data analysis using the elasticsearch system
CN102937930B (zh) 应用程序监控***及方法
Ficco Security event correlation approach for cloud computing
US10140453B1 (en) Vulnerability management using taxonomy-based normalization
EP1934818B1 (en) Template based management of services
US7316016B2 (en) Homogeneous monitoring of heterogeneous nodes
US8181069B2 (en) Method and system for problem determination using probe collections and problem classification for the technical support services
US20170102933A1 (en) Systems and methods of monitoring a network topology
US9246777B2 (en) Computer program and monitoring apparatus
US20060282886A1 (en) Service oriented security device management network
CN109902072A (zh) 一种日志处理***
US20140223555A1 (en) Method and system for improving security threats detection in communication networks
CN107733863B (zh) 一种分布式hadoop环境下的日志调试方法和装置
US10476752B2 (en) Blue print graphs for fusing of heterogeneous alerts
US20200328985A1 (en) Distributed policy enforcement with optimizing policy transformations
US20070168349A1 (en) Schema for template based management system
Ficco et al. A generic intrusion detection and diagnoser system based on complex event processing
US10904278B2 (en) Detection system for network security threats
CN113424157A (zh) IoT设备行为的多维周期性检测
US20110035781A1 (en) Distributed data search, audit and analytics
CN110661811A (zh) 一种防火墙策略管理方法及装置
Wang et al. A centralized HIDS framework for private cloud
US20230090132A1 (en) State-based detection of anomalous api calls within a real-time data stream

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination