一種探測云端服務異常的方法和裝置制造方法
【專利摘要】本發(fā)明實施例公開了一種探測云端服務異常的方法和裝置,其中方法的實現(xiàn)包括:接收來自云安全系統(tǒng)客戶端的查詢請求,使用當前判斷邏輯確定所述查詢請求的查詢對象是否為惡意對象,得到本次查詢的查詢結(jié)果;確定所述云安全系統(tǒng)客戶端的客戶端類型,所述客戶端類型包括:白用戶和黑用戶,所述白用戶和黑用戶是以惡意操作數(shù)區(qū)分的客戶端;若所述云安全系統(tǒng)客戶端屬于預定的樣本集合,則記錄所述云安全系統(tǒng)客戶端對應的客戶端類型的查詢結(jié)果;若設(shè)定時間段內(nèi),所述樣本集合內(nèi)的各種客戶端類型查詢結(jié)果的統(tǒng)計結(jié)果符合預定義的告警邏輯,則確定云端服務異常。采用以上方案實現(xiàn)了云端服務器異常的自動探測,因此可以及時有效地發(fā)現(xiàn)云端服務的異常。
【專利說明】一種探測云端服務異常的方法和裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信【技術(shù)領(lǐng)域】,特別涉及一種探測云端服務異常的方法和裝置。
【背景技術(shù)】
[0002] 互聯(lián)網(wǎng)技術(shù)的快速發(fā)展給人們生活帶來越來越多的便利。人們通過互聯(lián)網(wǎng)可以方 便的分享和下載各類資料、獲取各類重要信息、在線支付賬單等。與此同時,互聯(lián)網(wǎng)的安全 形勢也不容樂觀,各類木馬病毒偽裝成正常文件肆意傳播,釣魚網(wǎng)站模仿正常網(wǎng)站盜取用 戶帳號密碼愈演愈烈。
[0003] 近年來,隨著云技術(shù)的不斷發(fā)展,各大安全廠商紛紛推出基于云技術(shù)的安全軟件。 采用云技術(shù)架構(gòu)后,安裝在用戶側(cè)的安全軟件客戶端在判斷用戶操作是否安全時,只需提 交查詢請求到位于云端的服務器,由服務器完成復雜的鑒定邏輯后將判定結(jié)果返回給客戶 端,客戶端消耗資源很少。相比之下,傳統(tǒng)的基于本地特征庫的安全軟件在鑒定用戶操作是 否安全時需要在用戶側(cè)做大量匹配運算,消耗大量硬件資源,容易導致用戶電腦"假死",影 響用戶對終端設(shè)備的正常使用。
[0004] 基于云技術(shù)的安全系統(tǒng)(簡稱云安全系統(tǒng))在降低客戶端負載的同時,也給服務端 的鑒定能力帶來了巨大的挑戰(zhàn)。當服務端鑒定邏輯的修改后,會即時影響到所有使用此系 統(tǒng)的用戶群,而不需要用戶進行任何客戶端的升級操作。例如基于云技術(shù)的網(wǎng)址安全鑒定 服務,假定云端判定某網(wǎng)址http://www. example, com/為惡意網(wǎng)址,那么客戶端將會攔截 全體用戶對此網(wǎng)址的訪問。
[0005] 云安全系統(tǒng)在運營過程中,通常會遇到兩方面的挑戰(zhàn):誤報和漏報。誤報是指對用 戶正常的操作做了錯誤攔截;而漏報則是指對用戶危險的操作未做到有效攔截或提示。正 常情況下,云安全系統(tǒng)應該具有較低的漏報率和誤報率。而當云端服務異常時,可能會導致 漏報率、誤報率異常升高,引發(fā)嚴重的安全事故。
[0006] 為了保證可以及時覆蓋最新出現(xiàn)的漏洞和安全攻擊,云安全系統(tǒng)的服務端鑒定邏 輯會頻繁進行更新發(fā)布。在每次發(fā)布后,對于云端服務可能出現(xiàn)的異常(例如修改后的邏 輯將某正常文件判定為病毒,或?qū)⒛痴iT戶網(wǎng)站判定為惡意網(wǎng)站),應該做到及時有效發(fā) 現(xiàn),并快速回滾恢復到上一版本,盡量將服務異常帶來的負面影響降到最低。
[0007] 目前探測云端服務異常的方案,通常采用人工分析的方法,比如手工測試一批正 常文件/網(wǎng)址是否會判定為安全,或者通過從用戶側(cè)收集到的申訴反饋案例來評估異常情 況。
[0008] 然而,采用人工分析的方案,由于技術(shù)人員的專業(yè)技術(shù)水平以及人工處理效率的 限制,并不能保證及時有效發(fā)現(xiàn)服務的異常。
【發(fā)明內(nèi)容】
[0009] 本發(fā)明實施例提供了一種探測云端服務異常的方法和裝置,用于及時有效地發(fā)現(xiàn) 云端服務的異常。
[0010] 一種探測云端服務異常的方法,包括:
[0011] 接收來自云安全系統(tǒng)客戶端的查詢請求,使用當前判斷邏輯確定所述查詢請求的 查詢對象是否為惡意對象,得到本次查詢的查詢結(jié)果;
[0012] 確定所述云安全系統(tǒng)客戶端的客戶端類型,所述客戶端類型包括:白用戶和黑用 戶,所述白用戶和黑用戶是以惡意操作數(shù)區(qū)分的客戶端;若所述云安全系統(tǒng)客戶端屬于預 定的樣本集合,則記錄所述云安全系統(tǒng)客戶端對應的客戶端類型的查詢結(jié)果;
[0013] 若設(shè)定時間段內(nèi),所述樣本集合內(nèi)的各種客戶端類型查詢結(jié)果的統(tǒng)計結(jié)果符合預 定義的告警邏輯,則確定云端服務異常。
[0014] 一種探測云端服務異常的裝置,包括:
[0015] 接收單元,用于接收來自云安全系統(tǒng)客戶端的查詢請求;
[0016] 查詢單元,用于使用當前判斷邏輯確定所述接收單元接收的查詢請求的查詢對象 是否為惡意對象,得到本次查詢的查詢結(jié)果;
[0017] 類型確定單元,用于確定所述云安全系統(tǒng)客戶端的客戶端類型,所述客戶端類型 包括:白用戶和黑用戶;所述白用戶和黑用戶是以惡意操作數(shù)區(qū)分的客戶端;
[0018] 記錄單元,用于若所述云安全系統(tǒng)客戶端屬于預定的樣本集合,則記錄所述云安 全系統(tǒng)客戶端對應的客戶端類型的查詢結(jié)果;
[0019] 異常確定單元,用于若設(shè)定時間段內(nèi),所述樣本集合內(nèi)的各種客戶端類型查詢結(jié) 果的統(tǒng)計結(jié)果符合預定義的告警邏輯,則確定云端服務異常。
[0020] 從以上技術(shù)方案可以看出,本發(fā)明實施例具有以下優(yōu)點:采用以上方案,通過對統(tǒng) 計樣本集合內(nèi)的各種客戶端類型查詢結(jié)果,然后樣本集合內(nèi)的各種客戶端類型查詢結(jié)果的 統(tǒng)計結(jié)果是否符合預定義的告警邏輯,來確定云端服務是否異常,實現(xiàn)了云端服務器異常 的自動探測,因此可以及時有效地發(fā)現(xiàn)云端服務的異常。
【專利附圖】
【附圖說明】
[0021] 為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例描述中所需要使 用的附圖作簡要介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本 領(lǐng)域的普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其 他的附圖。
[0022] 圖1為本發(fā)明實施例方法流程示意圖;
[0023] 圖2為本發(fā)明實施例云安全系統(tǒng)的構(gòu)架示意圖;
[0024] 圖3為本發(fā)明實施例探測云端服務異常的構(gòu)架示意圖;
[0025] 圖4為本發(fā)明實施例方法流程示意圖;
[0026] 圖5為本發(fā)明實施例裝置結(jié)構(gòu)示意圖;
[0027] 圖6為本發(fā)明實施例裝置結(jié)構(gòu)示意圖;
[0028] 圖7為本發(fā)明實施例裝置結(jié)構(gòu)示意圖。
【具體實施方式】
[0029] 為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明作進 一步地詳細描述,顯然,所描述的實施例僅僅是本發(fā)明一部份實施例,而不是全部的實施 例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的 所有其它實施例,都屬于本發(fā)明保護的范圍。
[0030] 本發(fā)明實施例提供了一種探測云端服務異常的方法,如圖1所示,包括:
[0031] 101 :接收來自云安全系統(tǒng)客戶端的查詢請求,使用當前判斷邏輯確定上述查詢請 求的查詢對象是否為惡意對象,得到本次查詢的查詢結(jié)果;
[0032] 查詢結(jié)果中,惡意對象可以標記為黑,安全對象則可以標記為白,后續(xù)實施例將會 給出更詳細的舉例說明。
[0033] 進一步地,在上述101中,得到本次查詢的查詢結(jié)果之后還包括:向上述云安全系 統(tǒng)客戶端發(fā)送上述本次查詢的查詢結(jié)果。
[0034] 102 :確定上述云安全系統(tǒng)客戶端的客戶端類型,上述客戶端類型包括:白用戶和 黑用戶,上述白用戶和黑用戶是以惡意操作數(shù)區(qū)分的客戶端;若上述云安全系統(tǒng)客戶端屬 于預定的樣本集合,則記錄上述云安全系統(tǒng)客戶端對應的客戶端類型的查詢結(jié)果;
[0035] 可選地,本發(fā)明實施例還給出了白用戶和黑用戶如何區(qū)分的具體實現(xiàn)舉例,上述 白用戶和黑用戶是以惡意操作數(shù)區(qū)分的客戶端,包括:上述白用戶是指預定時間段內(nèi)存在 惡意操作次數(shù)高于第一閾值的云安全系統(tǒng)客戶端,上述白用戶是在預定時間段內(nèi)存在的惡 意操作數(shù)低于第二閾值的云安全系統(tǒng)客戶端。
[0036] 上述第一閾值一般要大于第二閾值,并且上述第一閾值會設(shè)置得較大,第二閾值 會設(shè)置得較小,優(yōu)選地,第一閾值可以是1,第二閾值可以是〇。當然,將兩個閾值均提升一 些也是可以的,本發(fā)明實施例對閾值的具體取值不予限定。
[0037] 可選地,上述查詢請求攜帶有云安全系統(tǒng)客戶端的全球唯一標識符;上述樣本集 合記錄有預定的作為樣本的全球唯一標識符的集合;上述云安全系統(tǒng)客戶端是否屬于預定 的樣本集合包括:
[0038] 上述云安全系統(tǒng)客戶端的全球唯一標識符屬于預定的作為樣本的全球唯一標識 符的集合。
[0039] 本發(fā)明實施例還提供了云安全系統(tǒng)客戶端的客戶端類型的更新方案,如下:若上 述云安全系統(tǒng)客戶端屬于預定的樣本集合,還包括:查詢上述云安全系統(tǒng)客戶端當前對應 的客戶端類型,并確定下一預定時間段上述云安全系統(tǒng)客戶端的客戶端類型。
[0040] 103:若設(shè)定時間段內(nèi),上述樣本集合內(nèi)的各種客戶端類型查詢結(jié)果的統(tǒng)計結(jié)果符 合預定義的告警邏輯,則確定云端服務異常。
[0041] 采用以上方案,通過對統(tǒng)計樣本集合內(nèi)的各種客戶端類型查詢結(jié)果,然后樣本集 合內(nèi)的各種客戶端類型查詢結(jié)果的統(tǒng)計結(jié)果是否符合預定義的告警邏輯,來確定云端服務 是否異常,實現(xiàn)了云端服務器異常的自動探測,因此可以及時有效地發(fā)現(xiàn)云端服務的異常。
[0042] 進一步地,本發(fā)明實施例還提供了確定云端服務異常之后的可選處理方式,具體 如下:在確定云端服務異常之后還包括:
[0043] 將云端服務的判斷邏輯回滾至前次使用的判斷邏輯;和/或,發(fā)出告警提示。
[0044] 可選地,本發(fā)明實施例還提供給了以上實施例中預定義的告警邏輯的優(yōu)選方案, 上述預定義的告警邏輯包括:白用戶查詢結(jié)果為惡意對象的數(shù)量超過第三閾值和/或黑用 戶查詢結(jié)果為惡意對象的數(shù)量小于第四閾值。需要說明的是,以上優(yōu)選方案采用的預定義 的告警邏輯利用的是:通常黑用戶在之后持續(xù)一段時間內(nèi)仍然會繼續(xù)進行惡意操作(例如, 黑用戶可能電腦感染病毒后,又自動下載更多惡意文件),而白用戶在未來進行惡意操作的 概率則相對很低(例如,白用戶習慣訪問一些知名網(wǎng)站和從中下載資源),這樣的經(jīng)驗規(guī)律。 采用其他判斷邏輯并不影響本發(fā)明實施例的實現(xiàn),本發(fā)明實施例對此不予限定。
[0045] 作為一個舉例,述預定義的告警邏輯可以是:比如當白用戶每秒請求惡意操作超 過閾值1萬次時,說明云端服務可能出現(xiàn)大規(guī)模誤報,比如誤將正常的訪問量很大的網(wǎng)站 判為惡意了;或者當黑用戶每秒請求惡意操作低于閾值100次時,說明云端服務可能出現(xiàn) 大規(guī)模漏報,比如大量之前鑒定為惡意的站點現(xiàn)在判為安全了。
[0046] 以下實施例將給出一個舉例,具體說明本發(fā)明實施例方案的云安全系統(tǒng)的構(gòu)架、 以及探測云端服務異常的構(gòu)架。
[0047] 用戶在電腦上所做的操作可以分為惡意操作和安全操作兩類,惡意操作包括下載 和\或運行木馬病毒,瀏覽釣魚和\或掛馬網(wǎng)站等各種損害用戶利益的危險行為,與惡意操 作相對的其他則為安全操作。云安全系統(tǒng)的構(gòu)架,如圖2所示,圖2中示意了 N個客戶端以 及一個云端服務器。
[0048] 電腦上安裝有云安全系統(tǒng)客戶端后,用戶的操作會發(fā)往云端的服務器進行查詢 (比如當前下載文件的MD5 (Message Digest Algorithm5,消息摘要算法第五版),瀏覽網(wǎng)址 的MD5等),當云端返回查詢結(jié)果為黑時(即此MD5對應的文件或網(wǎng)址為惡意),可以及時彈 出警告框提示用戶中止本次操作。
[0049] 探測云端服務異常的構(gòu)架如圖3所示,包含樣本選取模塊、事件記錄模塊以及判 定和預警模塊三個。
[0050] 每一個安裝在用戶電腦上的云安全系統(tǒng)客戶端都擁有唯一的⑶ID(Globally Unique Identifier,全球唯一標識符),用于標識和統(tǒng)計客戶端的安裝量和使用情況。當 客戶端與云端進行網(wǎng)絡(luò)通信時,會附帶上自身的GUID,云端服務器在將查詢結(jié)果返回給客 戶端時,也會相應的在事件記錄模塊中記錄本次響應事件,例如某個GUID在某個時間訪問 了某個惡意網(wǎng)址。
[0051] 樣本選取模塊,用于定期篩選和更新一批黑白用戶。這里黑用戶是指過去一段 時間內(nèi)有過惡意操作的客戶端GUID,白用戶是指過去一段時間內(nèi)沒有惡意操作的客戶端 GUID。統(tǒng)計來看,通常黑用戶在之后持續(xù)一段時間內(nèi)仍然會繼續(xù)進行惡意操作(例如,黑用 戶可能電腦感染病毒后,又自動下載更多惡意文件),而白用戶在未來進行惡意操作的概率 則相對很低(例如,白用戶習慣訪問一些知名網(wǎng)站和從中下載資源)。
[0052] 事件記錄模塊,用戶記錄黑用戶和白用戶的操作。
[0053] 判定和預警模塊,用于實時監(jiān)控上述選定樣本用戶群的查詢請求響應情況。當發(fā) 現(xiàn)樣本用戶的查詢請求量出現(xiàn)異常變化時,可以及時向相關(guān)運營人員發(fā)送預警郵件或短 信,保證異??梢缘玫娇焖偬幚?。
[0054] 基于以上實施例,本發(fā)明實施例的方法流程,請參閱圖4,包括:
[0055] 401 :客戶端發(fā)送查詢請求到云端;
[0056] 402 :云端服務器響應請求,返回查詢結(jié)果到客戶端;
[0057] 403 :判定當前查詢客戶端是否在預先選定的樣本用戶GUID集合中,如果不在,本 次服務結(jié)束,否則進入404;
[0058] 404 :區(qū)分4類事件:A=(黑用戶,惡意操作),B=(黑用戶,安全操作),C=(白用戶, 惡意操作),D=(白用戶,安全操作),根據(jù)當前用戶類型和查詢結(jié)果,對相應的上述4類事 件之一的記錄增加一次。例如當前請求的為白用戶,云端返回的為惡意操作,則事件C的記 錄增加一次。
[0059] 405 :自定義告警條件,比如當白用戶每秒請求惡意操作超過閾值1萬次時,說明 云端服務系統(tǒng)可能出現(xiàn)大規(guī)模誤報,比如誤將正常的訪問量很大的網(wǎng)站判為惡意了;或者 當黑用戶每秒請求惡意操作低于閾值1〇〇次時,說明云端服務系統(tǒng)可能出現(xiàn)大規(guī)模漏報, 比如大量之前鑒定為惡意的站點現(xiàn)在判為安全了。當告警條件滿足時,系統(tǒng)自動發(fā)出告警 郵件或短信,通知相關(guān)負責人及時處理或直接自動回滾到上一次正常的服務邏輯。
[0060] 采用以上方案,通過對統(tǒng)計樣本集合內(nèi)的各種客戶端類型查詢結(jié)果,然后樣本集 合內(nèi)的各種客戶端類型查詢結(jié)果的統(tǒng)計結(jié)果是否符合預定義的告警邏輯,來確定云端服務 是否異常,實現(xiàn)了云端服務器異常的自動探測,因此可以及時有效地發(fā)現(xiàn)云端服務的異常。
[0061] 本發(fā)明實施例還提供了一種探測云端服務異常的裝置,該裝置可以是云端的服務 器設(shè)備,如圖5所示,包括:
[0062] 接收單元501,用于接收來自云安全系統(tǒng)客戶端的查詢請求;
[0063] 查詢單元502,用于使用當前判斷邏輯確定上述接收單元501接收的查詢請求的 查詢對象是否為惡意對象,得到本次查詢的查詢結(jié)果;
[0064] 查詢結(jié)果中,惡意對象可以標記為黑,安全對象則可以標記為白。
[0065] 類型確定單元503,用于確定上述云安全系統(tǒng)客戶端的客戶端類型,上述客戶端類 型包括:白用戶和黑用戶;上述白用戶和黑用戶是以惡意操作數(shù)區(qū)分的客戶端;
[0066] 記錄單元504,用于若上述云安全系統(tǒng)客戶端屬于預定的樣本集合,則記錄上述云 安全系統(tǒng)客戶端對應的客戶端類型的查詢結(jié)果;
[0067] 異常確定單元505,用于若設(shè)定時間段內(nèi),上述樣本集合內(nèi)的各種客戶端類型查詢 結(jié)果的統(tǒng)計結(jié)果符合預定義的告警邏輯,則確定云端服務異常。
[0068] 采用以上方案,通過對統(tǒng)計樣本集合內(nèi)的各種客戶端類型查詢結(jié)果,然后樣本集 合內(nèi)的各種客戶端類型查詢結(jié)果的統(tǒng)計結(jié)果是否符合預定義的告警邏輯,來確定云端服務 是否異常,實現(xiàn)了云端服務器異常的自動探測,因此可以及時有效地發(fā)現(xiàn)云端服務的異常。 [0069] 進一步地,本發(fā)明實施例還提供了確定云端服務異常之后的可選處理方式,具體 如下:如圖6所示,上述裝置,還包括:
[0070] 異常處理單元601,用于在上述異常確定單元505確定云端服務異常之后,將云端 服務的判斷邏輯回滾至前次使用的判斷邏輯;和/或,發(fā)出告警提示。
[0071] 可選地,本發(fā)明實施例還提供給了以上實施例中預定義的告警邏輯的優(yōu)選方案, 上述異常確定單元505,具體用于若設(shè)定時間段內(nèi),上述樣本集合內(nèi)的各種客戶端類型查詢 結(jié)果的統(tǒng)計結(jié)果為白用戶查詢結(jié)果為惡意對象的數(shù)量超過第三閾值和/或黑用戶查詢結(jié) 果為惡意對象的數(shù)量小于第四閾值,則確定云端服務異常。需要說明的是,以上優(yōu)選方案采 用的預定義的告警邏輯利用的是:通常黑用戶在之后持續(xù)一段時間內(nèi)仍然會繼續(xù)進行惡意 操作(例如,黑用戶可能電腦感染病毒后,又自動下載更多惡意文件),而白用戶在未來進行 惡意操作的概率則相對很低(例如,白用戶習慣訪問一些知名網(wǎng)站和從中下載資源),這樣 的經(jīng)驗規(guī)律。采用其他判斷邏輯并不影響本發(fā)明實施例的實現(xiàn),本發(fā)明實施例對此不予限 定。
[0072] 作為一個舉例,述預定義的告警邏輯可以是:比如當白用戶每秒請求惡意操作超 過閾值1萬次時,說明云端服務可能出現(xiàn)大規(guī)模誤報,比如誤將正常的訪問量很大的網(wǎng)站 判為惡意了;或者當黑用戶每秒請求惡意操作低于閾值100次時,說明云端服務可能出現(xiàn) 大規(guī)模漏報,比如大量之前鑒定為惡意的站點現(xiàn)在判為安全了。
[0073] 可選地,本發(fā)明實施例還給出了白用戶和黑用戶如何區(qū)分的具體實現(xiàn)舉例,上述 類型確定單元503,具體用于確定上述云安全系統(tǒng)客戶端的客戶端類型,上述客戶端類型包 括:白用戶和黑用戶;上述白用戶是指預定時間段內(nèi)存在惡意操作次數(shù)高于第一閾值的云 安全系統(tǒng)客戶端,上述白用戶是在預定時間段內(nèi)存在的惡意操作數(shù)低于第二閾值的云安全 系統(tǒng)客戶端。
[0074] 上述第一閾值一般要大于第二閾值,并且上述第一閾值會設(shè)置得較大,第二閾值 會設(shè)置得較小,優(yōu)選地,第一閾值可以是1,第二閾值可以是〇。當然,將兩個閾值均提升一 些也是可以的,本發(fā)明實施例對閾值的具體取值不予限定。
[0075] 可選地,上述查詢請求攜帶有云安全系統(tǒng)客戶端的全球唯一標識符;上述樣本集 合記錄有預定的作為樣本的全球唯一標識符的集合;
[0076] 上述記錄單元504,具體用于若上述云安全系統(tǒng)客戶端的全球唯一標識符屬于預 定的作為樣本的全球唯一標識符的集合,則記錄上述云安全系統(tǒng)客戶端對應的客戶端類型 的查詢結(jié)果。
[0077] 可選地,本發(fā)明實施例還提供了云安全系統(tǒng)客戶端的客戶端類型的更新方案,上 述類型確定單元503,還用于若上述云安全系統(tǒng)客戶端屬于預定的樣本集合,查詢上述云安 全系統(tǒng)客戶端當前對應的客戶端類型,并確定下一預定時間段上述云安全系統(tǒng)客戶端的客 戶端類型。
[0078] 進一步地,如圖7所示,上述裝置,還包括:
[0079] 發(fā)送單元701,用于在查詢單元502得到本次查詢的查詢結(jié)果之后,向上述云安全 系統(tǒng)客戶端發(fā)送上述本次查詢的查詢結(jié)果。
[0080] 值得注意的是,上述裝置實施例中,所包括的各個單元只是按照功能邏輯進行劃 分的,但并不局限于上述的劃分,只要能夠?qū)崿F(xiàn)相應的功能即可;另外,各功能單元的具體 名稱也只是為了便于相互區(qū)分,并不用于限制本發(fā)明的保護范圍。
[0081] 另外,本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述各方法實施例中的全部或部分步驟 是可以通過程序來指令相關(guān)的硬件完成,相應的程序可以存儲于一種計算機可讀存儲介質(zhì) 中,上述提到的存儲介質(zhì)可以是只讀存儲器,磁盤或光盤等。
[〇〇82] 以上僅為本發(fā)明較佳的【具體實施方式】,但本發(fā)明的保護范圍并不局限于此,任何 熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明實施例揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替 換,都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應該以權(quán)利要求的保護范 圍為準。
【權(quán)利要求】
1. 一種探測云端服務異常的方法,其特征在于,包括: 接收來自云安全系統(tǒng)客戶端的查詢請求,使用當前判斷邏輯確定所述查詢請求的查詢 對象是否為惡意對象,得到本次查詢的查詢結(jié)果; 確定所述云安全系統(tǒng)客戶端的客戶端類型,所述客戶端類型包括:白用戶和黑用戶,所 述白用戶和黑用戶是以惡意操作數(shù)區(qū)分的客戶端;若所述云安全系統(tǒng)客戶端屬于預定的樣 本集合,則記錄所述云安全系統(tǒng)客戶端對應的客戶端類型的查詢結(jié)果; 若設(shè)定時間段內(nèi),所述樣本集合內(nèi)的各種客戶端類型查詢結(jié)果的統(tǒng)計結(jié)果符合預定義 的告警邏輯,則確定云端服務異常。
2. 根據(jù)權(quán)利要求1所述方法,其特征在于,在確定云端服務異常之后還包括: 將云端服務的判斷邏輯回滾至前次使用的判斷邏輯;和/或,發(fā)出告警提示。
3. 根據(jù)權(quán)利要求1所述方法,其特征在于,所述預定義的告警邏輯包括: 白用戶查詢結(jié)果為惡意對象的數(shù)量超過第三閾值和/或黑用戶查詢結(jié)果為惡意對象 的數(shù)量小于第四閾值。
4. 根據(jù)權(quán)利要求1所述方法,其特征在于,所述白用戶和黑用戶是以惡意操作數(shù)區(qū)分 的客戶端,包括: 所述白用戶是指預定時間段內(nèi)存在惡意操作次數(shù)高于第一閾值的云安全系統(tǒng)客戶端, 所述白用戶是在預定時間段內(nèi)存在的惡意操作數(shù)低于第二閾值的云安全系統(tǒng)客戶端。
5. 根據(jù)權(quán)利要求1至4任意一項所述方法,其特征在于,所述查詢請求攜帶有云安全系 統(tǒng)客戶端的全球唯一標識符;所述樣本集合記錄有預定的作為樣本的全球唯一標識符的集 合;所述云安全系統(tǒng)客戶端是否屬于預定的樣本集合包括: 所述云安全系統(tǒng)客戶端的全球唯一標識符屬于預定的作為樣本的全球唯一標識符的 集合。
6. 根據(jù)權(quán)利要求1至4任意一項所述方法,其特征在于,若所述云安全系統(tǒng)客戶端屬于 預定的樣本集合,還包括: 查詢所述云安全系統(tǒng)客戶端當前對應的客戶端類型,并確定下一預定時間段所述云安 全系統(tǒng)客戶端的客戶端類型。
7. 根據(jù)權(quán)利要求1至4任意一項所述方法,其特征在于,得到本次查詢的查詢結(jié)果之后 還包括: 向所述云安全系統(tǒng)客戶端發(fā)送所述本次查詢的查詢結(jié)果。
8. -種探測云端服務異常的裝置,其特征在于,包括: 接收單元,用于接收來自云安全系統(tǒng)客戶端的查詢請求; 查詢單元,用于使用當前判斷邏輯確定所述接收單元接收的查詢請求的查詢對象是否 為惡意對象,得到本次查詢的查詢結(jié)果; 類型確定單元,用于確定所述云安全系統(tǒng)客戶端的客戶端類型,所述客戶端類型包括: 白用戶和黑用戶;所述白用戶和黑用戶是以惡意操作數(shù)區(qū)分的客戶端; 記錄單元,用于若所述云安全系統(tǒng)客戶端屬于預定的樣本集合,則記錄所述云安全系 統(tǒng)客戶端對應的客戶端類型的查詢結(jié)果; 異常確定單元,用于若設(shè)定時間段內(nèi),所述樣本集合內(nèi)的各種客戶端類型查詢結(jié)果的 統(tǒng)計結(jié)果符合預定義的告警邏輯,則確定云端服務異常。
9. 根據(jù)權(quán)利要求8所述裝置,其特征在于,還包括: 異常處理單元,用于在所述異常確定單元確定云端服務異常之后,將云端服務的判斷 邏輯回滾至前次使用的判斷邏輯;和/或,發(fā)出告警提示。
10. 根據(jù)權(quán)利要求8所述裝置,其特征在于, 所述異常確定單元,具體用于若設(shè)定時間段內(nèi),所述樣本集合內(nèi)的各種客戶端類型查 詢結(jié)果的統(tǒng)計結(jié)果為白用戶查詢結(jié)果為惡意對象的數(shù)量超過第三閾值和/或黑用戶查詢 結(jié)果為惡意對象的數(shù)量小于第四閾值,則確定云端服務異常。
11. 根據(jù)權(quán)利要求8所述裝置,其特征在于, 所述類型確定單元,具體用于確定所述云安全系統(tǒng)客戶端的客戶端類型,所述客戶端 類型包括:白用戶和黑用戶;所述白用戶是指預定時間段內(nèi)存在惡意操作次數(shù)高于第一閾 值的云安全系統(tǒng)客戶端,所述白用戶是在預定時間段內(nèi)存在的惡意操作數(shù)低于第二閾值的 云安全系統(tǒng)客戶端。
12. 根據(jù)權(quán)利要求8至11任意一項所述裝置,其特征在于,所述查詢請求攜帶有云安全 系統(tǒng)客戶端的全球唯一標識符;所述樣本集合記錄有預定的作為樣本的全球唯一標識符的 集合; 所述記錄單元,具體用于若所述云安全系統(tǒng)客戶端的全球唯一標識符屬于預定的作為 樣本的全球唯一標識符的集合,則記錄所述云安全系統(tǒng)客戶端對應的客戶端類型的查詢結(jié) 果。
13. 根據(jù)權(quán)利要求8至11任意一項所述裝置,其特征在于, 所述類型確定單元,還用于若所述云安全系統(tǒng)客戶端屬于預定的樣本集合,查詢所述 云安全系統(tǒng)客戶端當前對應的客戶端類型,并確定下一預定時間段所述云安全系統(tǒng)客戶端 的客戶端類型。
14. 根據(jù)權(quán)利要求8至11任意一項所述裝置,其特征在于,還包括: 發(fā)送單元,用于在查詢單元得到本次查詢的查詢結(jié)果之后,向所述云安全系統(tǒng)客戶端 發(fā)送所述本次查詢的查詢結(jié)果。
【文檔編號】H04L29/08GK104104666SQ201310130619
【公開日】2014年10月15日 申請日期:2013年4月15日 優(yōu)先權(quán)日:2013年4月15日
【發(fā)明者】劉健, 邵付東 申請人:騰訊科技(深圳)有限公司