一种云计算系统中云应用攻击行为处理方法、装置及系统.pdf

本发明公开了一种云计算系统中云应用攻击行为的处理装置，包括：安全分析器，安全处理器和策略管理器，其中：策略管理器用于存储安全判断规则和恶意应用处理规则；安全分析器用于接收安全检测器发送的应用行为数据，根据该应用行为数据以及安全判断规则，确定该云主机上运行的云应用是否存在攻击行为，并在确定该云主机上运行的云应用存在攻击行为时，将该应用行为数据发送给安全处理器；安全处理器，用于根据恶意应用处理规则，调用云计算系统中的云控制器提供的接口对存在攻击行为的云应用进行处理。本发明方案基于云计算应用级别进行安全防护，能防止同一个主机内部不同应用之间的相互攻击，同时减少对正常应用的影响。

权利要求书
1.  一种云计算系统中云应用攻击行为的处理装置，其特征在于，包括：
安全分析器，安全处理器和策略管理器，其中：
所述策略管理器用于存储安全判断规则和恶意应用处理规则；
所述安全分析器用于接收云计算系统中的多个云主机中的至少一个云主机上的安全检测器发送的应用行为数据，根据所述应用行为数据以及所述策略管理器中存储的安全判断规则，确定所述至少一个云主机上运行的云应用是否存在攻击行为，并在确定所述至少一个云主机上运行的云应用存在攻击行为时，将所述应用行为数据发送给所述安全处理器；其中，所述应用行为数据是所述安全检测器根据行为检测规则对所述云应用进行检测后得到的，且所述应用行为数据用于表示所述云应用的运行状态；
所述安全处理器，用于根据所述策略管理器中存储的恶意应用处理规则，调用所述云计算系统中的云控制器提供的接口对所述云应用进行处理，所述云控制器与所述至少一个云主机通信连接或集成于所述至少一个云主机，用于控制所述至少一个云主机上运行的云应用。

2.  根据权利要求1所述的装置，其特征在于，还包括：信息通知器；所述策略管理器中还存储有信息通知规则；
所述安全分析器还用于，当确定所述云应用存在攻击行为时，获取所述云应用的初始信息并发送给所述安全处理器，其中，所述初始信息用于标识所述云应用；
所述安全处理器还用于，根据所述云应用的初始信息查询所述云应用所属的用户信息，将所述用户信息和所述应用行为数据发送给所述信息通知器；
所述信息通知器用于，将接收到的应用行为数据和云应用所属的用户信息存储并按照所述策略管理器中存储的信息通知规则进行攻击信息通知处理。

3.  根据权利要求1或2所述的装置，其特征在于，
所述策略管理器用于，将所述安全判断规则转化为所述行为检测规则，并将所述行为检测规则下发给所述至少一个云主机的安全检测器。

4.  根据权利要求1至3任一项所述的装置，其特征在于，所述恶意应用处理规则用于指示对不同类型恶意应用的处理方式，或者对不同危险程度的恶意应用的处理方式，其中，所述恶意应用为存在攻击行为的云应用；所述安全处理器，具体用于根据所述云应用的攻击行为的类型，以及所述恶意应用处理规则所指示的对该类型应用的处理方式，对所述云应用进行相应处理；或者所述安全处理器，具体用于根据所述云应用的攻击行为的危险程度，以及所述恶意应用处理规则所指示的对该危险程度的应用的处理方式，对所述云应用进行相应处理。

5.  根据权利要求2至4任一项所述的装置，其特征在于，所述攻击信息通知处理具体包括以下之一或其任意组合：产生告警信息、显示存在攻击行为的云应用以及该云应用所属的用户信息、以及将存在攻击行为的云应用所属的用户信息通知网警中心。

6.  根据权利要求1至5任一项所述的装置，其特征在于，所述云应用攻击行为处理装置集成于所述云控制器。

7.  根据权利要求2至6任一项所述的装置，其特征在于，所述安全判断规则、恶意应用处理规则和信息通知规则中的一项或多项是通过所述策略管理器的配置接口配置的，其中所述策略管理器的配置接口包括：配置界面和应用程序接口API中的至少一种。

8.  根据权利要求1至6任一项所述的装置，其特征在于，所述行为检测规则包括：进程检测规则或线程检测规则；
所述应用行为数据是所述安全检测器根据所述行为检测规则对所述云应用的进程或线程进行检测后得到的。

9.  根据权利要求8所述的装置，其特征在于，所述安全分析器还用于在确定所述云应用不存在攻击行为时，丢弃所述应用行为数据。

10.  一种云应用攻击行为处理方法，用于包括多个云主机的云计算系统，其特征在于，包括：
接收所述多个云主机中的至少一个云主机上报的应用行为数据，其中，所述应用行为数据是所述至少一个云主机上的安全检测器根据行为检测规则对所述至少一个云主机上运行的云应用进行检测后得到的，且所述应用行为数据用于表示所述至少一个云主机上运行的云应用的运行状态；
根据所述应用行为数据以及安全判断规则，判断所述至少一个云主机上运行的云应用是否存在攻击行为；
如果判断所述至少一个云主机上运行的云应用存在攻击行为，则根据恶意应用处理规则，调用所述云计算系统中的云控制器提供的接口对存在攻击行为的云应用进行处理，其中所述云控制器与所述至少一个云主机通信连接或集成于所述至少一个云主机，用于控制所述至少一个云主机上运行的云应用。

11.  根据权利要求10所述的方法，其特征在于，还包括：
如果判断所述至少一个云主机上运行的云应用存在攻击行为，则根据所述存在攻击行为的云应用的初始信息查询所述云应用所属的用户信息，其中，所述初始信息用于标识所述云应用；
将所述存在攻击行为的云应用的应用行为数据和查询到的用户信息存储，并按照信息通知规则进行攻击信息通知处理。

12.  根据权利要求10或11所述的方法，其特征在于，还包括：
如果判断所述至少一个云主机上运行的云应用不存在攻击行为，则丢弃接收到的所述应用行为数据。

13.  根据权利要求10至12任一项所述的方法，其特征在于，所述恶意应用处理规则用于指示对不同类型恶意应用的处理方式，或者对不同危险程度的恶意应用的处理方式，其中，所述恶意应用为存在攻击行为的云应用；所述调用 云控制器提供的接口对将存在攻击行为的云应用进行相应处理，包括：根据所述云应用的攻击行为的类型，以及所述恶意应用处理规则所指示的对该类型应用的处理方式，对所述云应用进行相应处理；或者根据所述云应用的攻击行为的危险程度，以及所述恶意应用处理规则所指示的对该危险程度的应用的处理方式，对所述云应用进行相应处理。

14.  根据权利要求11至13任一项所述的方法，其特征在于，所述按照信息通知规则进行攻击信息通知处理包括以下之一或其任意组合：
产生告警信息、显示存在攻击行为的云应用以及该云应用所属的用户信息、以及将存在攻击行为的云应用所属的用户信息通知网警中心。

15.  根据权利要求10至14任一项所述的方法，其特征在于，还包括：将所述安全判断规则转化为所述行为检测规则，并将所述行为检测规则发送给所述安全检测器。

16.  根据权利要求10至15任一项所述的方法，其特征在于，所述安全判断规则、恶意应用处理规则和信息通知规则中的一项或多项是通过配置接口配置的；其中所述配置接口包括：配置界面和应用程序接口API中的至少一种。

17.  一种云应用安全防护系统，其特征在于，包括：云应用攻击行为处理装置、云控制器，以及多个安全检测器；其中，所述多个安全检测器分别部署于多个云主机上，且每一云主机对应于一个安全检测器；所述云控制器与所述多个云主机通信连接，用于管理和控制所述多个云主机，每一云主机上运行有一个或多个云应用；所述云应用攻击行为处理装置中存储有安全判断规则和恶意应用处理规则；
所述安全检测器用于，根据行为检测规则对一个或多个云应用进行检测，以得到应用行为数据，并将所述应用行为数据上报给所述云应用攻击行为处理装置；其中，所述一个或多个云应用运行于所述安全检测器对应的云主机上；
所述云应用攻击行为处理装置用于，接收所述多个云主机的至少一个云主机上的安全检测器上报的应用行为数据，根据所述应用行为数据以及所述安全判断规则，判断所述至少一个云主机上运行的云应用是否存在攻击行为；如果 判断所述至少一个云主机上运行的云应用存在攻击行为，则根据所述恶意应用处理规则，调用云控制器提供的接口对存在攻击行为的云应用进行相应处理。

18.  根据权利要求17所述的系统，其特征在于，所述云应用攻击行为处理装置还用于，将所述安全判断规则转化为所述行为检测规则，并将所述行为检测规则下发给各个云主机的安全检测器。

19.  根据权利要求17或18所述的系统，其特征在于，所述云应用攻击行为处理装置还用于，如果判断所述至少一个云主机上运行的云应用不存在攻击行为，则丢弃接收到的所述应用行为数据。

20.  根据权利要求17或18所述的系统，其特征在于，所述云应用攻击行为处理装置还用于，如果判断所述至少一个云主机上运行的云应用存在攻击行为，则显示存在攻击行为的云应用以及该云应用所属的用户信息、或者将存在攻击行为的云应用所属的用户信息通知网警中心。

21.  根据权利要求17至20任一项所述的系统，其特征在于，所述云应用攻击行为处理装置与所述云控制器通信连接，或者所述云应用攻击行为处理装置集成于所述云控制器上。

22.  根据权利要求17至21任一项所述的系统，其特征在于，所述恶意应用处理规则用于指示对不同类型恶意应用的处理方式，或者对不同危险程度的恶意应用的处理方式，其中，所述恶意应用为存在攻击行为的云应用；所述云应用攻击行为处理装置具体用于：根据所述云应用的攻击行为的类型，以及所述恶意应用处理规则所指示的对该类型应用的处理方式，对所述云应用进行相应处理；或者根据所述云应用的攻击行为的危险程度，以及所述恶意应用处理规则所指示的对该危险程度的应用的处理方式，对所述云应用进行相应处理。

说明书一种云计算系统中云应用攻击行为处理方法、装置及系统
技术领域
本发明涉及计算机技术领域，尤其涉及一种云计算系统中云应用攻击行为的处理方法、装置及系统。
背景技术
根据美国国家标准与技术研究院(National Institute of Standards and Technology，NIST)的定义，云计算有三大服务模式，分别是SaaS(software as a service,软件即服务)、PaaS(platform as a service平台即服务)和IaaS(infrastructure as a service,基础设施即服务)。其中PaaS是把服务器平台作为一种服务提供的商业模式。PaaS主要为云应用提供CPU、内存等硬件资源以及操作系统、程序依赖库等软件资源，云应用的开发者不必关心应用运行的软硬件环境，集中精力在开发应用程序本身。PaaS的出现，加快了云应用的开发和部署，因此在互联网时代，越来越多的云应用将会被部署到云计算系统中。
在云计算系统(可简称云系统)中，为了增加系统硬件资源的利用率，通常会将多个云应用运行在同一个云主机中(硬件主机或虚拟主机，不同的云计算系统有不同的实现)，云计算系统为云应用提供必要的系统资源隔离，保证运行在同一云主机中运行的云应用之间不会相互干扰。同时云计算系统还提供云主机内的虚拟网络以供云应用之间的通信。
在另一方面的网络安全领域，黑客们向目标机器发起攻击之前，为了隐藏自己的身份，通常会在网络上寻找肉鸡(可被控制的傀儡机)，然后通过肉鸡再来发起攻击。这样就算被攻击者检查到攻击，也只能查到肉鸡的地址，查不到黑客们的真实地址。在云计算系统兴起之后，网络黑客便可以不用再寻找肉鸡，而是直接将他们的攻击程序运行在云计算系统上，并且能够运行多份攻击程序的实例，形成一个大规模的攻击系统。在云计算系统中，黑客不仅能利用原有的攻击程序向目标进行攻击，并且可以利用云计算系统内部运行有大量的云应用程序这个特点，通过攻击程序攻击云计算系统内部不同云主机上的应用程序，甚至是同一云主机内部的其他应用程序。
现有技术中一般是通过流量检测与流量清洗方法解决云计算系统受到攻击的问题。如图1所示，在云计算系统内部新增流量检测装置，通过交换机与云计算系统的云主机连接，用以检测云计算系统内注入云主机的数据流，包括云计算系统外部的用户访问云应用的数据流，以及云计算系统内部各云主机之间相互交互的数据流。通过流量检测装置统计出预定时长内注入某一云主机的数据流流量大小，当统计得到的流量数值超过了预定的阈值时，就认为注入该云主机的流量发生异常。检测到流量发生异常后，流量检测装置会通知流量清洗装置启动，流量清洗装置将对注入该云主机的数据流量进行清洗，过滤掉攻击报文，再将清洗后的数据流发送给该云主机。
现有技术的方案只能防止云计算系统内部云主机之间的攻击，或者外部向云计算系统内部云主机的攻击，但是无法防止同一个云主机内部不同云应用之间的相互攻击，或者云主机内部对云主机本身进行的攻击。另外，现有技术方案以云主机为单位进行流量监控和清洗，会影响到目标云主机中的所有云应用。
发明内容
本发明实施例提供一种云计算系统中云应用攻击行为的处理方法、装置及系统，用于对云计算系统进行应用级别的安全防护，并且尽可能减少对云计算机系统内正常的云应用的影响。
第一方面，本发明实施例提供了一种云计算系统中云应用攻击行为的处理装置，包括：
安全分析器，安全处理器和策略管理器，其中：
策略管理器用于存储安全判断规则和恶意应用处理规则；
安全分析器用于接收云计算系统中的多个云主机中的至少一个云主机上的安全检测器发送的应用行为数据，根据该应用行为数据以及策略管理器中存储的安全判断规则，确定该云主机上运行的云应用是否存在攻击行为，并在确定该云主机上运行的云应用存在攻击行为时，将该应用行为数据发送给安全处理器；其中，该应用行为数据是该云主机上的安全检测器根据行为检测规则对该云应用进行检测后得到的，且该应用行为数据用于表示该云应用的运行状 态；
安全处理器，用于根据策略管理器中存储的恶意应用处理规则，调用云计算系统中的云控制器提供的接口对存在攻击行为的云应用进行处理，该云控制器与云计算系统中的云主机通信连接或集成于一个云主机上，用于控制云计算系统中的云主机上运行的云应用。
在第一方面的第一种可能的实现方式中，该装置还包括：信息通知器；策略管理器中还用于存储信息通知规则；
安全分析器还用于，当确定云应用存在攻击行为时，获取该云应用的初始信息并发送给安全处理器，其中，初始信息用于唯一标识云应用；
安全处理器还用于，根据云应用的初始信息查询该云应用所属的用户信息，将该用户信息和该云应用的应用行为数据发送给信息通知器；
信息通知器用于，将接收到的应用行为数据和用户信息存储并按照策略管理器中存储的信息通知规则进行攻击信息通知处理。
结合第一方面，或者第一方面第一种可能的实现方式，在第二种可能的实现方式中，
策略管理器用于，将安全判断规则转化为行为检测规则，并将该行为检测规则下发给各个云主机的安全检测器。
结合第一方面，或者第一方面第一至第二种任意一种可能的实现方式，在第三种可能的实现方式中，其中，所述恶意应用为存在攻击行为的云应用；所述安全处理器，具体用于根据所述云应用的攻击行为的类型，以及所述恶意应用处理规则所指示的对该类型应用的处理方式，对所述云应用进行相应处理；或者所述安全处理器，具体用于根据所述云应用的攻击行为的危险程度，以及所述恶意应用处理规则所指示的对该危险程度的应用的处理方式，对所述云应用进行相应处理。
结合第一方面第一至第三种任意一种可能的实现方式，在第四种可能的实现方式中，攻击信息通知处理具体包括以下之一或其任意组合：产生告警信息、显示存在攻击行为的云应用以及该云应用所属的用户信息、以及将存在攻击行为的云应用所属的用户信息通知网警中心。
结合第一方面，或者第一方面第一至第四种任意一种可能的实现方式，在第五种可能的实现方式中，云应用攻击行为处理装置集成于云控制器。
结合第一方面第一到第五种中任意一种可能的实现方式，在第六种可能的实现方式中，策略管理器的配置接口包括：配置界面和应用程序接口中的至少一种。
结合第一方面，或者第一方面第一至第五种任意一种可能的实现方式，在第七种可能的实现方式中，所述行为检测规则包括：进程检测规则或线程检测规则；应用行为数据是安全检测器根据该行为检测规则对所述云应用的进程或线程进行检测后得到的。
结合第一方面第七种可能的实现方式，在第八种可能的实现方式中，安全分析器还用于在确定云应用不存在攻击行为时，丢弃该云应用的行为数据。
结合第一方面上述所有可能的实现方式，在第九种可能的实现方式中，云主机可以为物理机，或者运行于物理机之上的虚拟机。
结合第一方面上述任意一种可能的实现方式，在第十种可能的实现方式中，运行于云主机上的应用程序为云应用，且一个云主机上上运行有一个或多个云应用，其中，每一个云应用用于实现相应的业务功能。
结合第一方面上述任意一种可能的实现方式，在第十一种可能的实现方式中，每一台云主机上部署有一安全检测器，该安全检测器用于依据行为检测规则对该云主机上运行的云应用的行为进行采集，并根据采集结果生成应用行为数据上报给安全分析器。
结合第一方面第十一种可能的实现方式，在第十二种可能的实现方式中，安全检测器将应用行为数据定期，或者基于请求，或者根据预先配置的上报策略上报给安全分析器。
结合第一方面上述任意一种可能的实现方式，在第十三种可能的实现方式中，安全判断规则用于定义云应用的何种行为为攻击行为，恶意应用处理规则用于定义对于存在攻击行为的云应用采取何种处理方式；行为检测规则用于指示对云应用进行检测的检测指标。
结合第一方面上述任意一种可能的实现方式，在第十四种可能的实现方式 中，将存在攻击行为的云应用定义为恶意应用。
结合第一方面第三种至第十四种可能的实现方式中的任一种，在第十五种可能的实现方式中，安全分析器或安全处理器用于根据云应用的行为数据，查询预先配置的应用特征库，以确定应用攻击行为的类型，其中，应用特征库用于描述应用的行为特征与应用的攻击行为类型的映射关系。
结合第一方面第十五种可能的实现方式，在第十六种可能的实现方式中，应用特征库是云计算系统中的一个独立的数据集或者是安全判断规则的子集；安全分析器在根据安全判断规则判断出某一云应用为恶意应用之后，进一步根据安全判断规则中包含的应用特征库，确定恶意应用的攻击行为类型。
结合第一方面第三种至第十六种可能的实现方式中的任一种，在第十七种可能的实现方式中，云应用的危险程度用于表征云应用对云计算系统的危害程度；安全分析器或安全处理器用于根据根据应用攻击行为的类型，通过查询映射表的方式确定应用的攻击行为的危险程度，其中，该映射表用于表征应用攻击行为的类型与其危险程度的对应关系。
结合第一方面的上述任意一种可能的实现方式，在第十八种可能的实现方式中，云应用的用户信息包括但不限于：用户名、用户邮箱或用户身份证号中的一项或多项。
结合第一方面的上述任意一种可能的实现方式，在第十九种可能的实现方式中，云应用的初始信息包括但不限于：进程ID和进程名称中一项或多项。
结合第一方面的上述任意一种可能的实现方式，在第二十种可能的实现方式中，调用云控制器对恶意进行处理包括以下之一或其任意组合：关闭恶意应用，或者将恶意应用迁移到隔离的云主机，以及禁止恶意应用的用户账户。
结合第一方面的上述任意一种可能的实现方式，在第二十一种可能的实现方式中，云应用攻击行为处理装置为云计算系统中的一台云主机，该云主机为运行在物理机上的虚拟机；该物理机包括硬件层，运行在硬件层之上的虚拟机监视器，以及运行在虚拟机监视器之上的宿主机和若干虚拟机，其中，硬件层包括处理器和存储器，该云主机上运行有可执行程序，该可执行程序包括：策略管理器模块、安全分析器模块、安全处理器模块以及信息通知器模块，其中 策略管理器模块用于实现上述任一可能的实现方式中的策略管理器的功能，安全分析器模块用于实现上述任一可能的实现方式中的安全分析器的功能，安全处理器模块用于实现上述任一可能的实现方式中的安全处理器的功能，信息通知器模块用于实现上述任一可能的实现方式中的信息通知器的功能。
结合第一方面，或者第一方面第一至第二十种任意一种可能的实现方式，，在第二十二种可能的实现方式中，云应用攻击行为处理装置包括：至少一个处理器，存储器，至少一个通信总线。通信总线用于实现这些组件之间的连接通信。存储器存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集:
操作系统，包含各种系统程序，用于实现各种基础业务以及处理基于硬件的任务；
应用程序模块，包含各种云应用，用于实现各种应用业务等。
应用程序模块包括实现策略管理器、安全分析器、安全处理器以及信息通知器的功能的模块。
第二方面，本发明实施例提供了一种云应用攻击行为处理方法，用于包括多个云主机的云计算系统，该方法包括：
接收该多个云主机中的至少一个云主机上报的应用行为数据，其中，该应用行为数据是该云主机上的安全检测器根据行为检测规则对所述该云主机上运行的云应用进行检测后得到的，且该应用行为数据用于表示该云主机上运行的云应用的运行状态；
根据该应用行为数据以及安全判断规则，判断该云主机上运行的云应用是否存在攻击行为；
如果判断该云主机上运行的云应用存在攻击行为，则根据恶意应用处理规则，调用云计算系统中的云控制器提供的接口对存在攻击行为的云应用进行处理，其中该云控制器连接该云主机或集成于该云主机，用于控制该云主机上运行的云应用。
在第二方面的第一种可能的实现方式中，该方法还包括：
如果判断该云主机上运行的云应用存在攻击行为，则根据该存在攻击行为 的云应用的初始信息查询该云应用所属的用户信息，其中，该初始信息用于标识该云应用；
将存在攻击行为的云应用的应用行为数据和查询到的用户信息存储，并按照信息通知规则进行攻击信息通知处理。
结合第二方面，或者第二方面第一种可能的实现方式，在第二种可能的实现方式中，该方法还包括：
如果判断该云主机上运行的云应用不存在攻击行为，则丢弃接收到的该应用行为数据。
结合第二方面，或者第二方面第一至第二种任意一种可能的实现方式，在第三种可能的实现方式中，其中，恶意应用为存在攻击行为的云应用；调用云控制器提供的接口对存在攻击行为的云应用进行相应处理，包括：根据云应用的攻击行为的类型，以及恶意应用处理规则所指示的对该类型应用的处理方式，对该云应用进行相应处理；或者根据该云应用的攻击行为的危险程度，以及恶意应用处理规则所指示的对该危险程度的应用的处理方式，对该云应用进行相应处理。
结合第二方面第一种可能的实现方式以及第三种可能的实现方式中的任意一种可能的实现方式，在第四种可能的实现方式中，按照信息通知规则进行攻击信息通知处理包括以下之一或其任意组合：
产生告警信息、显示存在攻击行为的云应用以及该云应用所属的用户信息、以及将存在攻击行为的云应用所属的用户信息通知网警中心。
结合第二方面，或者第二方面第一至第四种任意一种可能的实现方式，在第五种可能的实现方式中，该方法还包括：将安全判断规则转化为行为检测规则，并将该行为检测规则发送给安全检测器。
结合第二方面，或者第二方面第一至第五种任意一种可能的实现方式，在第六种可能的实现方式中，安全判断规则、恶意应用处理规则和信息通知规则中的一项或多项是通过配置接口配置的；其中所述配置接口包括：配置界面和应用程序接口中的至少一种。
结合第二方面上述所有可能的实现方式，在第七种可能的实现方式中，云 主机可以为物理机，或者运行于物理机之上的虚拟机。
结合第二方面上述所有可能的实现方式，在第八种可能的实现方式中，运行于云主机上的应用程序为云应用，且一个云主机上上运行有一个或多个云应用，其中，每一个云应用用于实现相应的业务功能。
结合第二方面上述所有可能的实现方式，在第九种可能的实现方式中，每一台云主机上部署有一安全检测器，该安全检测器用于依据行为检测规则对该云主机上运行的云应用的行为进行采集，并根据采集结果生成应用行为数据上报。
结合第二方面第九种可能的实现方式，在第十种可能的实现方式中，安全检测器将应用行为数据定期上报，或者基于请求上报，或者根据预先配置的上报策略上报。
结合第二方面上述所有可能的实现方式，在第十一种可能的实现方式中，安全判断规则用于定义云应用的何种行为为攻击行为，恶意应用处理规则用于定义对于存在攻击行为的云应用采取何种处理方式；行为检测规则用于指示对云应用进行检测的检测指标。
结合第二方面上述所有可能的实现方式，在第十二种可能的实现方式中，将存在攻击行为的云应用定义为恶意应用。
结合第二方面第三种至第十二种可能的实现方式，在第十三种可能的实现方式中，根据云应用的行为数据，查询预先配置的应用特征库，以确定应用攻击行为的类型，其中，应用特征库用于描述应用的行为特征与应用的攻击行为类型的映射关系。
结合第二方面第十三种可能的实现方式，在第十四种可能的实现方式中，应用特征库是云计算系统中的一个独立的数据集或者是安全判断规则的子集；在根据安全判断规则判断出某一云应用为恶意应用之后，进一步根据安全判断规则中包含的应用特征库，确定恶意应用的攻击行为类型。
结合第二方面第三种至第十四种可能的实现方式中的任一种，在第十五种可能的实现方式中，云应用的危险程度用于表征云应用对云计算系统的危害程度；根据根据应用攻击行为的类型，通过查询映射表的方式确定应用的攻击行 为的危险程度，其中，该映射表用于表征应用攻击行为的类型与其危险程度的对应关系。
结合第二方面的上述所有可能的实现方式，在第十六种可能的实现方式中，云应用的用户信息包括但不限于：用户名、用户邮箱或用户身份证号中的一项或多项。
结合第二方面的上述所有可能的实现方式，在第十七种可能的实现方式中，云应用的初始信息包括但不限于：进程ID和进程名称中一项或多项。
结合第二方面的上述所有可能的实现方式，在第十八种可能的实现方式中，调用云控制器对恶意进行处理包括以下之一或其任意组合：关闭恶意应用，或者将恶意应用迁移到隔离的云主机，以及禁止恶意应用的用户账户。
第三方面，本发明实施例提供了一种云应用安全防护系统，包括：云应用攻击行为处理装置、云控制器，以及多个安全检测器；其中，多个安全检测器分别部署于多个云主机上，且每一云主机对应于一个安全检测器；云控制器与多个云主机通信连接，用于管理和控制多个云主机，每一云主机上运行有一个或多个云应用；云应用攻击行为处理装置中存储有安全判断规则和恶意应用处理规则；
安全检测器用于，根据行为检测规则对一个或多个云应用进行检测，以得到应用行为数据，并将该应用行为数据上报给云应用攻击行为处理装置；其中，所述一个或多个云应用运行于该安全检测器对应的云主机上；
云应用攻击行为处理装置用于，接收多个云主机中的至少一个云主机上的安全检测器上报的应用行为数据，根据该应用行为数据以及安全判断规则，判断该云主机上运行的云应用是否存在攻击行为；如果判断该云主机上运行的云应用存在攻击行为，则根据恶意应用处理规则，调用云控制器提供的接口对存在攻击行为的云应用进行相应处理。
在第三方面的第一种可能的实现方式中，云应用攻击行为处理装置还用于，将安全判断规则转化为行为检测规则，并将该行为检测规则下发给各个云主机的安全检测器。
结合第三方面，或者第三方面第一种可能的实现方式，在第二种可能的实 现方式中，云应用攻击行为处理装置还用于，如果判断该云主机上运行的云应用不存在攻击行为，则丢弃接收到的该应用行为数据。
结合第三方面，或者第三方面第一种可能的实现方式，在第三种可能的实现方式中，云应用攻击行为处理装置还用于，如果判断该云主机上运行的云应用存在攻击行为，则显示存在攻击行为的云应用以及该云应用所属的用户信息、或者将存在攻击行为的云应用所属的用户信息通知网警中心。
结合第三方面，或者第三方面第一至第三种任意一种可能的实现方式，在第四种可能的实现方式中，应用攻击行为处理装置与云控制器通信连接，或者云应用攻击行为处理装置集成于云控制器上。
结合第三方面，或者第三方面第一至第四种任意一种可能的实现方式，在第五种可能的实现方式中，恶意应用为存在攻击行为的云应用；云应用攻击行为处理装置具体用于：根据云应用的攻击行为的类型，以及恶意应用处理规则所指示的对该类型应用的处理方式，对云应用进行相应处理；或者根据云应用的攻击行为的危险程度，以及恶意应用处理规则所指示的对该危险程度的应用的处理方式，对该云应用进行相应处理。结合第三方面，或者第三方面第一至第五种任意一种可能的实现方式，在第六种可能的实现方式中，安全判断规则、恶意应用处理规则和信息通知规则中的一项或多项是通过配置接口配置的；其中所述配置接口包括：配置界面和应用程序接口中的至少一种。
结合第三方面，或者第三方面第一至第六种任意一种可能的实现方式，在第七种可能的实现方式中，行为检测规则包括：进程检测规则或线程检测规则；应用行为数据是安全检测器根据该行为检测规则对云应用的进程或线程进行检测后得到的。
结合第三方面，或者第三方面第一至第七种任意一种可能的实现方式，在第八种可能的实现方式中，安全判断规则用于定义云应用的何种行为为攻击行为，恶意应用处理规则用于定义对于存在攻击行为的云应用采取何种处理方式；行为检测规则用于指示对云应用进行检测的检测指标。
结合第三方面，或者第三方面第一至第八种任意一种可能的实现方式，在第九种可能的实现方式中，应用攻击行为处理装置用于根据云应用的行为数 据，查询预先配置的应用特征库，以确定应用攻击行为的类型，其中，应用特征库用于描述应用的行为特征与应用的攻击行为类型的映射关系。
结合第三方面第九种可能的实现方式，在第十种可能的实现方式中，应用特征库是云计算系统中的一个独立的数据集或者是安全判断规则的子集；应用攻击行为处理装置用于根据安全判断规则判断出某一云应用为恶意应用之后，进一步根据安全判断规则中包含的应用特征库，确定恶意应用的攻击行为类型。
结合第三方面第五种至第十种可能的实现方式中的任一种，在第十一种可能的实现方式中，云应用的危险程度用于表征云应用对云计算系统的危害程度；应用攻击行为处理装置用于根据根据应用攻击行为的类型，通过查询映射表的方式确定应用的攻击行为的危险程度，其中，该映射表用于表征应用攻击行为的类型与其危险程度的对应关系。
本发明实施例提供的云应用攻击行为处理方法、装置及系统中，策略管理器下发行为检测规则给分布于各个云主机的安全检测器，安全检测器根据行为检测规则检测并上报应用的行为数据，安全分析器通过分析应用的行为数据，确定出存在攻击行为的应用，并调用云控制器进行相应处理，相比于现有技术中的安全方案，本发明实施例基于云计算应用级别进行安全防护，能满足云计算系统应用部署场景，防止同一个主机内部不同应用之间的相互攻击，或者主机内部对主机本身进行的攻击，同时减少对正常应用的影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
图1是现有技术中云计算系统攻击处理方法的原理示意图；
图2是本发明实施例提供的云计算系统架构图；
图3是本发明实施例提供的云应用攻击行为处理装置示意图；
图4是本发明实施例提供的云应用攻击行为处理装置示意图；
图5是本发明实施例提供的策略管理器结构示意图；
图6是本发明实施例提供的安全分析器的工作流程图；
图7是本发明实施例提供的安全处理器结构示意图；
图8是本发明实施例提供的信息通知器结构示意图；
图9是本发明实施例提供的云应用攻击行为处理方法流程图；
图10是本发明实施例提供的云应用攻击行为处理方法流程图；
图11是本发明实施例提供的云应用安全防护系统示意图；
图12是本发明实施例提供的云应用攻击行为处理装置示意图；
图13是本发明实施例提供的云应用攻击行为处理装置示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
本发明实施例提供的技术方案可典型地应用于云计算系统(可简称为云系统)中，云计算系统可看成是在通用硬件上进行分布式计算、存储及管理的一种集群系统，云计算系统可提供高吞吐量的数据访问，能够应用于大规模数据计算和存储。图2描述了云计算系统的物理架构，云计算系统通常包括通过交换机互联的多个物理计算机(可简称为物理机)，并且这些物理机可以通过汇聚交换机以及核心交换机与外部网络互联；其中，物理机具体可以为计算机或服务器等物理实体，在某些组网场景下，云计算系统的一台物理机可以称为一台云主机。随着云计算技术的发展，目前通过虚拟机软件，可以在一台物理计算机上模拟出一台或多台虚拟机，而这些虚拟机可以像真正的计算机那样进行工作，虚拟机上可安装操作系统、安装应用程序、访问网络资源等等。对于在虚拟机中运行的应用程序而言，就像是在真正的计算机中进行工作。因此，一个云计算系统可能包括成千上万个虚拟机，每个虚拟机上都可以独立运行应用程序，因此，在另一些更为通用的组网场景下，云计算系统中的虚拟机通常被 称为云主机或者虚拟云主机，而云主机上运行的应用程序称为云应用。故本发明所有实施例所描述的云主机，并不限制为是虚拟机或物理机，需要视具体的组网场景而定。另外，云计算系统还包括有云控制器，用于对云计算系统中的云主机进行控制和管理，云控制器可以是云计算系统包含的若干虚拟机中的一个，某些情形下，云控制器也可是一台独立的物理机，当然，云控制器可以有一个，也可以有多个；云控制器与云计算系统中的云主机通信连接或集成于一个云主机上，用于控制云计算系统中的多个云主机上运行的云应用。本发明实施例的方案具体可以由云计算系统中的云主机来实施，某些情形下，也可以有云控制器来实施。如果依据逻辑架构来划分，云计算系统通常分为基础设施与虚拟化层(IaaS层)、平台层(PaaS层)以及应用层(SaaS层)，本发明实施例的方案可以由云计算系统的平台层来实施，具体可以由平台层的云控制器或者另一单独的功能单元来实施。
本发明实施例提供一种云应用攻击行为处理装置，该处理装置可以应用于云计算系统中，以对云计算系统进行安全防护，图3为本发明实施例提供的云应用攻击行为处理装置的示意图，在一个具体的实施例中，该处理装置可以为云计算系统的一台云主机，或者作为云控制器中的一个功能单元，集成于云控制器中。根据图3，云计算系统包括云应用攻击行为处理装置20、云控制器206以及多台云主机(如图3中的云主机10、11和12)；其中，每一台云主机上运行有一个或多个云应用，且每一台云主机上部署有一安全检测器，负责依据云应用攻击行为处理装置20下发的行为检测规则，对该云主机上运行的云应用的行为进行采集，并将应用的应用行为数据上报给云应用攻击行为处理装置20，其中应用行为数据用于表示云应用的运行状态，比如云应用的TCP链接信息、网络流量信息、系统调用次数等等。可选的,云应用的应用行为数据上报可以是定期的或基于请求的。具体地，云应用攻击行为处理装置20包括：策略管理器201、安全分析器202、安全处理器203。
策略管理器201主要用于规则的存储、转化以及下发。具体地，策略管理器201中可存储安全判断规则和恶意应用处理规则；安全判断规则用于定义云应用的何种行为为攻击行为，恶意应用处理规则用于定义对于存在攻击行为的 云应用采取何种处理方式。在一个优选的实施例中，策略管理器201可以将安全判断规则转化为行为检测规则，行为检测规则用于定义对云应用的何种行为进行检测，即行为检测规则指示了对云应用进行检测的检测指标。通常行为检测规则和安全判断规则是密切联系的，因此可以互相转化。举例来说，如果安全判断规则为：云应用向外请求的TCP端口数量超过100则判断云应用有端口嗅探的行为；那么相应的行为检测规则就为：采集云应用请求不同TCP端口的个数。这样，云主机上的安全检测器就应该检测云应用请求不同TCP端口的个数并将检测结果上报给安全分析器202，安全分析器202就可以判断云应用是否有端口嗅探的行为。
安全分析器202主要用于接收云计算系统中的多个云主机中的至少一个云主机上的安全检测器上报的应用行为数据，然后根据策略管理器201中存储的安全判断规则，判断该云主机上的云应用是否存在攻击行为。如果确定云应用存在攻击行为，则将存在攻击行为的云应用的初始信息发送给安全处理器203；其中，云应用的初始信息用于唯一标识该云应用，比如，在一个具体的实施例中，初始信息可以为进程ID或进程名称，或者两者同时包含。可选的,安全检测器上报云应用的应用行为数据，可以是定期上报，也可以是基于请求上报，也可以是根据预先配置的上报策略来上报，本发明实施例不做特别限定。
安全处理器203主要用于在接收到安全分析器202发送的存在攻击行为的云应用的初始信息后，根据策略管理器201中存储的恶意应用处理规则，调用云控制器206提供的接口对该存在攻击行为的云应用(本发明实施例中将存在攻击行为的云应用统称为恶意应用)进行处理。在一个实施例中，安全处理器203可以对所有恶意应用采用统一处理方式，比如关闭恶意应用，或者将恶意应用迁移到隔离的云主机，或者禁止恶意应用的用户账户。可选地，安全处理器203也可以根据恶意应用攻击行为的类型或者攻击行为的危险程度，对恶意应用进行不同程度或不同类型的处理，比如，对于危险程度较低的恶意应用，可以采取迁移或隔离等方式处理，对于高危险的恶意应用，可以禁止该恶意应用的用户账户等等。可以理解的是，在这种情形下，为了判断恶意应用攻击行为的类型或者危险程度，安全分析器202需要将恶意应用的应用行为数据和初 始信息一并上报给安全处理器203，以便安全处理器203根据该恶意应用的行为数据来判断该恶意应用的攻击行为的类型或危险程度；当然，安全分析器202也可以自己根据应用的行为数据来判断应用攻击行为的类型或者危险程度，然后将分析结果反馈给安全处理器203，本发明实施例不做特别限定。比如，安全分析器202可以根据云应用的行为数据以及安全判断规则，区分出恶意应用和正常应用，然后安全分析器202或安全处理器可以进一步查询预先配置的应用特征库，以确定恶意应用的攻击行为的类型，例如为拒绝服务攻击，木马攻击或蠕虫攻击等等。又比如，在安全分析器202根据云应用的行为数据以及安全判断规则，确定出存在攻击行为的恶意应用之后，安全分析器202或安全处理器203可以根据云应用的行为数据，查询预先配置的应用特征库，以确定出应用攻击行为的类型，然后进一步根据应用攻击行为的类型，确定应用攻击行为的危险程度。其中，应用特征库用于描述应用的行为特征与应用的攻击行为类型的映射关系；可选地，应用特征库可以是云计算系统中的一个独立的数据集，在安全分析器202根据云应用的行为数据以及安全判断规则，确定出存在攻击行为的恶意应用之后，可以进一步查询该应用特征库以确定该恶意应用的攻击行为的类型；当然，应用特征库也可以是安全判断规则的子集，当安全分析器202根据安全判断规则判断出某一云应用为恶意应用之后，可以进一步根据安全判断规则中包含的应用特征库，确定恶意应用的攻击行为类型。可以理解的是，不同类型的攻击行为的危险程度是不同的，需要根据该攻击行为对系统的危害程度来确定，对云计算系统造成的危害越大的攻击行为，其危险程度也越高。通常可以配置一个映射表，用于表征应用攻击行为的类型与其危险程度的对应关系，这样根据根据应用攻击行为的类型，通过查表的方式就可以确定应用的攻击行为的危险程度。可选地，在另一个可选的实施例中，安全处理器203也可以根据云计算系统的安全级别来对恶意应用进行处理，不同的安全级别对应不同的处理方式。比如云计算系统的安全级别可以设置为“高”、“中”、“低”三个级别，当云计算系统的安全级别为“高”时，安全处理器203可以关闭恶意应用，同时禁止该恶意应用的用户账户；当云计算系统的安全级别为“低”时，安全处理器203可以将恶意应用迁移到特定的云主机进行隔离。最 后需要说明的是，安全处理器203对恶意应用的三种处理模式，即上述的统一处理方式，根据攻击行为类型或危险程度处理的方式，以及根据云计算系统安全级别的处理方式，可以通过恶意应用处理规则来指示，不同的处理模式对应有不同的恶意应用处理规则，且该恶意应用处理规则可以由管理员通过策略管理器201的配置接口来配置。例如，恶意应用处理规则可以用于指示对不同类型恶意应用的处理方式，或者对不同危险程度的恶意应用的处理方式，或者云计算系统的不同安全级别下对恶意应用的处理方式；这样，安全处理器203具体可以根据应用的攻击行为的类型，以及恶意应用处理规则所指示的对该类型应用的处理方式，对恶意应用进行相应处理；或者安全处理器203具体可以根据应用的攻击行为的危险程度，以及恶意应用处理规则所指示的对该危险程度的应用的处理方式，对恶意应用相应进行处理；或者安全处理器203具体可以根据云计算系统当前的安全级别，以及恶意应用处理规则所指示的该安全级别下对恶意应用的处理方式，对恶意应用进行相应处理。
本发明实施例提供的云应用攻击行为处理装置，策略管理器下发行为检测规则给分布于各个云主机的安全检测器，安全检测器根据行为检测规则检测并上报云应用的行为数据，安全分析器通过分析云应用的行为数据，确定出存在攻击行为的云应用，并调用云控制器进行相应处理，相比于现有技术中的安全方案，本发明实施例基于云计算应用级别进行安全防护，能满足云计算系统应用部署场景，防止同一个主机内部不同云应用之间的相互攻击，或者主机内部对主机本身进行的攻击，同时减少对正常云应用的影响。进一步地，恶意应用处理策略可配置，进而可根据不同安全级别或不同的攻击类型对恶意应用进行区别处理。
优选地，云应用攻击行为处理装置20还可以包括：信息通知器204；策略管理器201中还存储有信息通知规则；
安全处理器203还用于，根据存在攻击行为的云应用的初始信息查询该云应用所属的用户信息，将查询到的用户信息和该云应用的行为数据发送给信息通知器204；其中，云应用的用户信息包括但不限于：用户名、用户邮箱或用户身份证号。
信息通知器204用于，将接收到的应用行为数据和云应用所属的用户信息备份，并按照策略管理器中存储的信息通知规则进行攻击信息通知处理。其中，将应用行为数据和云应用所属的用户信息备份，具体可以是以表格、日志或文档等数据格式存储在可靠存储介质中，以便管理员查看。
具体地，在一个实施例中，信息通知器204进行攻击信息通知处理包括但不限于下列操作中的一项或多项：产生告警信息、显示存在攻击行为的云应用以及该云应用所属的用户信息、以及将存在攻击行为的云应用所属的用户信息通知网警中心。
优选地，在另一个实施例中，当安全分析器接收到安全检测器上报的应用行为数据后，根据安全判断规则确定云应用不存在攻击行为时，可以丢弃改应用行为数据。
优选地，在另一个实施例中，策略管理器201包括有配置接口，管理员可以通过该配置接口配置安全判断规则、恶意应用处理规则和信息通知规则中的一项或多项。其中，该配置接口可以为图形用户界面(GUI)、网页形式的配置界面或者应用程序接口(API)中的一种或多种。进一步地，在配置恶意应用处理规则的时候，可以根据恶意应用的攻击类型或者危险程度，配置不同的处理规则，以进行区别处理，从而实现安全防护的灵活性和可扩展性。当然，可以理解的是，这三种规则中的一种和多种也可以不需要管理员配置，由云计算系统按照默认规则自定义。
进一步地，为了实现更细粒度的安全防护，策略管理器下发给安全检测器的行为检测规则可以包括：进程检测规则或线程检测规则。这样，安全检测器可以对云应用进行进程或线程级别的检测，安全分析器可以基于安全检测器的检测结果，确定出存在攻击行为的进程或线程，然后安全处理器可以对存在攻击行为的进程或线程进行处理，进而可以实现进程或线程界别的安全防护。
下面结合具体的实例，进一步详细阐述本发明实施例提供的云应用攻击行为处理装置，如图4所示，该云应用攻击行为处理装置为一云主机30。云主机30的主要工作流程如下：
1.通过策略管理器201的配置接口配置用于判断应用攻击行为的安全判断 规则，其中配置动作可以由管理员或由运行于云计算系统的配置程序完成。在一个具体的例子中，该安全判断规则为：require different tcp port>100，即请求的TCP端口数目超过100个，该判断规则表示当云应用向外请求的TCP端口数量超过100，则判定该云应用有端口嗅探的行为；
2.策略管理器201将安全判断规则转换为行为检测规则：检测云应用请求TCP端口的个数，并将行为检测规则下发给部署于云主机10上的安全检测器205；
3.安全检测器205检测App A和App B的行为，例如，统计App A和App B请求TCP端口的数目，并生成应用行为数据上报给安全分析器202；
4.安全分析器202根据收集到的应用行为数据与安全判断规则，判断发现App B请求的TCP端口数超出了100，因此判断App B有攻击行为；
5.安全分析器202将App B的初始信息，比如进程ID，或进程名称，发送给安全处理器203；
6.安全处理器203根据App B的初始信息从云计算系统应用库查询App B的用户信息；
7.安全处理器203调用云控制器关闭App B，或将App B迁移到隔离的云主机，或者禁止App B的用户账户；
8.安全分析器将App B的用户信息通知信息通知器204，信息通知器204上报网警中心备案。
该示例中，云应用攻击行为处理装置成功的检测并处理了App B的端口嗅探行为，并且没有对App A造成严重影响。进一步地，安全分析器在发现App B有攻击行为之后，可以进一步根据App B的攻击行为的类型或者危险程度，对App采用不同的处理方式。其中，对恶意应用的处理方式可以由恶意应用处理规则来指示，且该恶意应用处理规则可以由管理员通过策略管理器201的配置接口来配置。其中，该配置接口可以为WEB界面或者API等等。
下面对云应用攻击行为处理装置20中的各个模块进行详细介绍：
(1)策略管理器201：策略管理器向管理员或自动配置程序提供配置接口，同时主要负责规则存储，规则转化，规则下发等操作。如图5所示，策略管理 器201包括有：配置接口2011，规则转化单元2012、规则下发单元2013和规则存储单元2014；其中配置接口2011包括但不限于：图形用户界面(GUI)、网页形式的配置界面或者应用程序接口(API)中的一种或多种。通过配置接口2011可配置的规则包括：安全判断规则、恶意应用处理规则、信息通知规则。规则存储单元2014将管理员通过配置接口2011配置的各种规则存储到对应的规则库中；规则转化单元2012可以将管理员配置的安全判断规则转化为行为检测规则，规则下发单元2013负责将行为检测规则下发至云主机上的安全检测器。
(2)安全分析器202：如图6所示，安全分析器主要负责接收安全检测器发送来的应用行为数据，然后根据策略管理器中存储的安全判断规则，判断云应用是否存在攻击行为。如果判断存在攻击行为，则将该云应用的初始信息(包括进程ID、进程名称等)发送给安全处理器。如果判断不存在攻击行为，则可以丢弃该应用行为数据。
(3)安全处理器203：安全处理器负责用恶意应用的处理。具体地，如图7所示，安全处理器203主要包括：应用信息接收单元2031，用户信息查询单元2032，应用处理单元2033，以及信息上报单元2034。应用信息接收单元2031接收安全分析器上报的恶意应用的初始信息，用户信息查询单元2032从云计算系统应用信息库中查询云应用所属的用户信息，包括但不限于用户名、用户邮箱、用户身份证等信息。然后用户信息查询单元2032将用户信息和恶意应用的行为信息通过信息上报单元2034上报给信息通知器，使得信息通知器按照策略管理器中存储的信息通知规则进行攻击信息通知处理。应用处理单元2033依据策略管理器中存储的恶意应用处理规则，调用云控制器提供的接口对恶意应用进行处理。处理方式包括但不限于：关闭应用、将应用迁移到隔离的云主机、禁止用户账户等。
(4)信息通知器204：如图8所示，信息通知器包括：应用信息接收单元2041，信息通知策略判断单元2042；其中，应用信息接收单元2041负责接收应用行为信息和云应用所属的用户信息；然后信息通知策略判断单元2042根据策略管理器中存储的信息通知规则进行攻击信息通知处理。具体地，信息通知策 略判断单元2042可以调用或触发告警产生单元2043产生告警信息，比如生成告警界面；可选地，信息通知策略判断单元2042可以调用或触发信息呈现单元2044在WEB页面以表格形式呈现恶意应用的信息；可选地，信息通知策略判断单元2042也可以调用或触发信息通知单元将恶意应用的信息上报网警中心。可以理解的是，信息通知器可以包括告警产生单元2043，信息呈现单元2044和信息通知单元2045中的某一个，也可以同时包含三者中的任意两个，也可以同时包含三者，需要视具体的应用场景需求来确定，本发明实施例不做特别限定。
本发明实施例提供的云应用攻击行为处理装置能够能满足云计算系统应用部署场景，基于云计算应用级别进行安全防护，防止同一个主机内部不同云应用之间的相互攻击，或者主机内部对主机本身进行的攻击，同时减少对正常云应用的影响。进一步地，恶意应用处理策略可配置，进而可根据不同安全级别或不同的攻击类型对恶意应用进行区别处理。
需要说明的是，本发明实施例提供的云应用攻击行为处理装置，具体可以为云计算系统中的一台云主机，该云主机可以为运行在物理机上的虚拟机。如图12所示，物理机1200包括硬件层100，运行在硬件层100之上的VMM(Virtual Machine Monitor，虚拟机监视器)110，以及运行在VMM 110之上的宿主机Host1201和若干虚拟机(VM，Virtual Machine)，其中，硬件层包括但不限于：I/O设备、CPU和memory。本发明实施例提供的云应用攻击行为处理装置具体可以为物理机1200中的一台虚拟机，比如VM 1202，VM 1202上运行有一个或多个云应用，其中，每一个云应用都用于实现相应的业务功能，比如数据库应用、地图应用等等，这些云应用可以由开发者开发然后部署到云计算系统中。此外VM1202还运行有可以执行程序，VM 1202通过运行该可执行程序，并在程序运行的过程中通过宿主机Host 1201来调用硬件层100的硬件资源，以实现云应用攻击行为处理装置的策略管理器、安全分析器、安全处理器以及信息通知器的功能，具体而言，策略管理器、安全分析器、安全处理器以及信息通知器可以以软件模块或函数的形式被包含在上述可执行程序中，比如该可执行程序可以包括：策略管理器模块、安全分析器模块、安全处理器模块以及信息通知器 模块，VM1202通过调用硬件层100中的CPU、Memory等资源，以运行该可执行程序，从而实现策略管理器、安全分析器、安全处理器以及信息通知器的功能。在另一种可能的场景下，本发明实施例提供的云应用攻击行为处理装置，也可以为云计算系统中的一台物理机，如图13所示，物理机1300包括：至少1个处理器1301，例如CPU，至少1个网络接口1304，存储器1305，至少一个通信总线1302。通信总线1302用于实现这些组件之间的连接通信。物理机1300可选的包含输入/输出设备1303，包括显示器，键盘或者点击设备(例如，鼠标，轨迹球(trackball)，触感板或者触感显示屏)。存储器1305可能包含高速RAM存储器，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器1305可选的可以包含至少一个位于远离前述处理器1301的存储装置。存储器1305存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集:
操作系统13051，包含各种系统程序，用于实现各种基础业务以及处理基于硬件的任务；
应用程序模块13052，包含各种云应用，用于实现各种应用业务，比如数据库应用、地图应用等等。
应用程序模块13052中包括但不限于实现云应用攻击行为处理装置的策略管理器、安全分析器、安全处理器以及信息通知器的功能的模块。
应用程序模块13052中各模块的具体实现可参见本发明装置及方法实施例，在此不赘述。
相应地，本发明实施例提供的安全检测器，可以为云计算系统中的云主机上的一个功能模块，例如，若云主机为虚拟机时，安全检测器可以为独立运行在该虚拟机上的一个应用程序，该应用程序在被该虚拟机执行的过程中，可以检测该虚拟机上运行的其它云应用的行为。若云主机为物理机时，安全检测器可以为存储于该物理机的存储器中的一个应用程序，该物理机的CPU通过读取并执行该应用程序，可以实现对该物理机上运行的其它云应用的行为检测的功能。
基于上述装置实施例，本发明实施例还提供一种应用于云计算系统中的云 应用攻击行为处理方法，其中，该云计算系统包含有多台云主机，云主机可以为物理机，也可以为虚拟机；云计算系统的多台云主机中至少有一台为云控制器，云控制器与云计算系统中的各个云主机通信连接或集成于某一云主机上，用于控制云计算系统中的多个云主机上运行的云应用；每一台云主机上运行有一个或多个云应用，且每一台云主机上部署有一安全检测器；安全检测器负责依据行为检测规则，对云主机上运行的云应用的行为进行检测。本发明实施例提供的云应用攻击行为处理方法可以由云计算系统中的一台云主机来执行，也可以由云控制器来执行，如图9所示，该方法包括：
S901：接收云计算系统中的多个云主机中的至少一个云主机上报的应用行为数据；该应用行为数据是该云主机上部署的安全检测器根据行为检测规则对该云主机上运行的云应用进行检测后得到的，且该应用行为数据用于表示该云主机上运行的云应用的运行状态；
S902：根据应用行为数据以及安全判断规则，判断该云主机上运行的云应用是否存在攻击行为；
S903：如果判断云主机上运行的云应用存在攻击行为，则根据恶意应用处理规则，调用云计算系统的云控制器提供的接口对存在攻击行为的云应用进行处理。
优选地，调用云控制器提供的接口对将存在攻击行为的云应用进行相应处理，包括：调用云控制器：关闭所述云应用、将所述云应用迁移到隔离的云主机、或者禁止所述云应用的用户账户。
优选地，在步骤S903中，如果判断云主机上运行的云应用存在攻击行为，还可以根据该存在攻击行为的云应用的初始信息查询该云应用所属的用户信息，然后将该存在攻击行为的云应用的应用行为数据和查询到的用户信息备份，并按照信息通知规则进行攻击信息通知处理；其中，云应用的初始信息用于唯一标识该云应用，初始信息可以为进程ID或进程名称，或者两者同时包含；云应用的用户信息包括但不限于：用户名、用户邮箱或用户身份证号。需要说明的是，将应用行为数据和云应用所属的用户信息备份，具体可以是以表格、日志或文档等数据格式存储在可靠存储介质中，以便管理员查看。
进一步地，进行攻击信息通知处理包括但不限于以下操作之一或其任意组合：产生告警信息、显示存在攻击行为的云应用以及该云应用所属的用户信息、或者将存在攻击行为的云应用所属的用户信息通知网警中心。
可选地，在步骤S903中，如果判断云主机上运行的云应用不存在攻击行为，则丢弃接收到的该云应用的应用行为数据。
需要说明的是，安全判断规则用于定义云应用的何种行为为攻击行为，恶意应用处理规则用于定义对于存在攻击行为的云应用采取何种处理方式，行为检测规则用于定义对云应用的何种行为进行检测，即行为检测规则指示了对云应用进行检测的检测指标。通常行为检测规则和安全判断规则是密切联系的，可以互相转化，因此在一个优选的实施例中，可以将安全判断规则转化为行为检测规则，然后下发给安全检测器。举例来说，如果安全判断规则为：云应用向外请求的TCP端口数量超过100则判断云应用有端口嗅探的行为；那么相应的行为检测规则就为：采集云应用请求不同TCP端口的个数。这样，云主机上的安全检测器就应该检测云应用请求不同TCP端口的个数并将检测结果。
可选地，在步骤S903中，可以对所有存在攻击行为的云应用(恶意应用)采用统一处理方式，比如关闭恶意应用，或者将恶意应用迁移到隔离的云主机，或者禁止恶意应用的用户账户。可选地，也可以根据恶意应用攻击行为的类型或者攻击行为的危险程度，对恶意应用进行不同程度或不同类型的处理，比如，对于危险程度较低的恶意应用，可以采取迁移或隔离等方式处理，对于高危险的恶意应用，可以禁止该应用的用户账户等等。可以理解的是，在这种情形下，为了判断恶意应用攻击行为的类型或者危险程度，需要根据恶意应用的行为数据来判断该恶意应用的攻击行为的类型或危险程度。比如，可以根据云应用的行为数据以及安全判断规则，区分出恶意应用和正常应用，然后可以进一步查询预先配置的应用特征库，以确定恶意应用的攻击行为的类型，例如为拒绝服务攻击，木马攻击或蠕虫攻击等等。又比如，在根据云应用的行为数据以及安全判断规则，确定出存在攻击行为的恶意应用之后，可以根据云应用的行为数据，查询预先配置的应用特征库，以确定出应用攻击行为的类型，然后进一步根据应用攻击行为的类型，确定应用攻击行为的危险程度。其中，应用特征库 用于描述应用的行为特征与应用的攻击行为类型的映射关系；可选地，应用特征库可以是云计算系统中的一个独立的数据集，在根据云应用的行为数据以及安全判断规则，确定出存在攻击行为的恶意应用之后，可以进一步查询该应用特征库以确定该恶意应用的攻击行为的类型；当然，应用特征库也可以是安全判断规则的子集，当根据安全判断规则判断出某一云应用为恶意应用之后，可以进一步根据安全判断规则中包含的应用特征库，确定恶意应用的攻击行为类型。可以理解的是，不同类型的攻击行为的危险程度是不同的，需要根据该攻击行为对系统的危害程度来确定，对云计算系统造成的危害越大的攻击行为，其危险程度也越高。通常可以配置一个映射表，用于表征应用攻击行为的类型与其危险程度的对应关系，这样根据根据应用攻击行为的类型，通过查表的方式就可以确定应用的攻击行为的危险程度。。可选地，也可以根据云计算系统的安全级别来对恶意应用进行处理，不同的安全级别对应不同的处理方式。比如云计算系统的安全级别可以设置为“高”、“中”、“低”三个级别，当云计算系统的安全级别为“高”时，关闭恶意应用，同时禁止该恶意应用的用户账户；当云计算系统的安全级别为“低”时，将恶意应用迁移到特定的云主机进行隔离。最后需要说明的是，对恶意应用的三种处理模式，即上述的统一处理方式，根据攻击行为类型或危险程度处理的方式，以及根据云计算系统安全级别的处理方式，可以通过恶意应用处理规则来指示，不同的处理模式对应有不同的恶意应用处理规则。
优选地，在另一个实施例中，管理员可以通过配置接口配置安全判断规则、恶意应用处理规则和信息通知规则中的一项或多项。其中，该配置接口可以为WEB界面或者API等等。进一步地，在配置恶意应用处理规则的时候，可以根据恶意应用的攻击类型或者危险程度，配置不同的处理规则，以进行区别处理，从而实现安全防护的灵活性和可扩展性。当然，可以理解的是，这三种规则中的一种和多种也可以不需要管理员配置，由云计算系统按照默认规则自定义。
可选地，为了实现更细粒度的安全防护，行为检测规则可以包括：进程检测规则或线程检测规则。这样，可以对应用进行进程或线程级别的检测，然后基于检测结果确定出存在攻击行为的进程或线程，对存在攻击行为的进程或线 程进行处理，进而可以实现进程或线程界别的安全防护。
本发明实施例提供的云应用攻击行为处理方法能够能满足云计算系统应用部署场景，基于云计算应用级别进行安全防护，防止同一个主机内部不同应用之间的相互攻击，或者主机内部对主机本身进行的攻击，同时减少对正常应用的影响。进一步地，恶意应用处理策略可配置，进而可根据不同安全级别或不同的攻击类型对恶意应用进行区别处理。
下面结合具体的实例，进一步详细阐述本发明实施例的云应用攻击行为处理方法，如图10所示，该云应用攻击行为处理方法包含主要工作流程如下：
1.通过配置接口配置用于判断应用攻击行为的安全判断规则，并存储至策略库；然后将安全判断规则转化为行为检测规则下发至云主机的安全检测器；
2.安全检测器根据行为检测规则检测云应用行为并生产应用行为数据上报；
3.根据收集到的应用行为数据与安全判断规则，确定存在攻击行为的恶意应用；
4.根据恶意应用的初始信息从云计算系统应用库查询恶意应用的用户信息；
5安调用云控制器关闭恶意应用，或将恶意应用迁移到隔离的云主机，或者禁止恶意应用的用户账户；
6.将恶意应用的用户信息通知或呈现给管理员或网警中心。
该示例中，云应用攻击行为处理装置成功的检测并处理了恶意应用，并且没有对正常应用造成严重影响。进一步地，在发现应用有攻击行为之后，可以进一步根据恶意应用的攻击行为的类型或者危险程度，对恶意应用采用不同的处理方式。其中，对恶意应用的处理方式可以由恶意应用处理规则来指示，且该恶意应用处理规则可以由管理员通过配置接口来配置。其中，该配置接口可以为图形用户界面(GUI)、网页形式的配置界面或者应用程序接口(API)等等。
本发明实施例提供的云应用攻击行为处理方法能够能满足云计算系统应用部署场景，基于云计算应用级别进行安全防护，防止同一个主机内部不同应 用之间的相互攻击，或者主机内部对主机本身进行的攻击，同时减少对正常应用的影响。进一步地，恶意应用处理策略可配置，进而可根据不同安全级别或不同的攻击类型对恶意应用进行区别处理。
如图11所示，本发明实施例还提供了一种云应用安全防护系统，应用于云计算系统中，用于实现上述云应用攻击行为处理方法，该云应用安全防护系统包括：云应用攻击行为处理装置20、云控制器206，以及多个安全检测器(以图11中的205为示例)；其中，多个安全检测器分别部署于多个云主机(如图11中的10、11、12和13)上，且每一云主机对应于一个安全检测器；云控制器206与多个云主机通信连接，或者集成于上述多个云主机中的一个云主机，用于管理和控制该多个云主机，每一云主机上运行有一个或多个云应用；云应用攻击行为处理装置20中存储有安全判断规则和恶意应用处理规则；
安全检测器205用于，根据行为检测规则对一个或多个云应用进行检测，以得到应用行为数据，并将应用行为数据上报给云应用攻击行为处理装置20；其中，该一个或多个云应用运行于安全检测器205对应的云主机10上；
云应用攻击行为处理装置20用于，接收多个云主机的至少一个云主机上的安全检测器205上报的应用行为数据，根据该应用行为数据以及安全判断规则，判断云主机10上运行的云应用是否存在攻击行为；如果判断存在攻击行为，则根据恶意应用处理规则，调用云控制器206对将存在攻击行为的云应用进行处理。
可选地，上述行为检测规则可以是由云应用攻击行为处理装置将安全判断规则转化后得到并下发给安全检测器的。
可选地，如果云应用攻击行为处理装置20判断云主机上运行的云应用存在攻击行为，还可以根据该存在攻击行为的云应用的初始信息查询该云应用所属的用户信息，然后将该存在攻击行为的云应用的应用行为数据和查询到的用户信息备份，并按照信息通知规则进行攻击信息通知处理；其中，云应用的初始信息用于唯一标识该云应用，初始信息可以为进程ID或进程，或者两者同时包含；云应用的用户信息包括但不限于：用户名、用户邮箱或用户身份证号。
需要说明的是，将应用行为数据和云应用所属的用户信息备份，具体可以 是以表格、日志或文档等数据格式存储在可靠存储介质中，以便管理员查看。
进一步地，进行攻击信息通知处理包括但不限于：产生告警信息、显示存在攻击行为的云应用以及该云应用所属的用户信息、或者将存在攻击行为的云应用所属的用户信息通知网警中心。
可选地，云应用攻击行为处理装置20与所述云控制器206通信连接，或者云应用攻击行为处理装置20集成于云控制器206上。
优选地，在另一个实施例中，云应用攻击行为处理装置20包括有配置接口，管理员或配置程序可以通过该配置接口配置安全判断规则、恶意应用处理规则和信息通知规则中的一项或多项。其中，该配置接口可以为图形用户界面(GUI)、网页形式的配置界面或者应用程序接口(API)等等。进一步地，在配置恶意应用处理规则的时候，可以根据恶意应用的攻击类型或者危险程度，配置不同的处理规则，以进行区别处理，从而实现安全防护的灵活性和可扩展性。当然，可以理解的是，这三种规则中的一种和多种也可以不需要管理员配置，由云计算系统按照默认规则自定义。
进一步地，为了实现更细粒度的安全防护，云应用攻击行为处理装置20下发给安全检测器的行为检测规则可以包括：进程检测规则或线程检测规则。这样，安全检测器可以对云应用进行进程或线程级别的检测，云应用攻击行为处理装置20可以基于安全检测器的检测结果，确定出存在攻击行为的进程或线程，然后对存在攻击行为的进程或线程进行处理，进而可以实现进程或线程界别的安全防护。
需要说明的是，本发明实施例的云应用安全防护系统所包含的云应用攻击行为处理装置20可以为前述任一装置实施例中所描述的云应用攻击行为处理装置，其具体实现细节可以参照前述装置及方法实施例，此处不再赘述。
本发明实施例提供的云应用攻击行为检测系统能够能满足云计算系统应用部署场景，基于云计算应用级别进行安全防护，防止同一个主机内部不同应用之间的相互攻击，或者主机内部对主机本身进行的攻击，同时减少对正常应用的影响。进一步地，恶意应用处理策略可配置，进而可根据不同安全级别或不同的攻击类型对恶意应用进行区别处理。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件(例如处理器)来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：ROM、RAM、磁盘或光盘等。
以上对本发明实施例所提供的云应用攻击行为处理方法、装置及系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。