一种面向云租户的隐私数据保护方法及系统
阅读:302发布:2020-05-13
专利汇可以提供一种面向云租户的隐私数据保护方法及系统专利检索,专利查询,专利分析的服务。并且本 发明 涉及一种面向 云 租户的隐私数据保护方法及系统,其特征在于,所述方法至少包括:分析 请求 信息的事件句柄信息和/或行为特征信息并确定执行模式,选取无行为特征图的至少一个 节点 执行所述租户请求并记录执行结果,基于所述执行结果生成行为特征图,和基于所述行为特征图动态检测安全敏感行为。本发明基于行为特征图保证了云服务处理安全敏感数据过程中的数据安全,防止攻击者利用漏洞绕过安全限制实施恶意操作。特别对于无特征图的情况,选择多个节点处理事件句柄,基于行为特征图动态保护隐私数据,对安全敏感行为提供细粒度保护,从而保证数据安全同时维持较小的性能开销。,下面是一种面向云租户的隐私数据保护方法及系统专利的具体信息内容。
1.一种面向云租户的隐私数据保护方法,其特征在于,所述方法至少包括:
分析请求信息的事件句柄信息和/或行为特征信息并确定执行模式,选取无行为特征图的至少一个节点执行所述租户请求并记录执行结果,基于所述执行结果生成行为特征图,和
基于所述行为特征图动态检测安全敏感行为,
其中,所述行为特征图指的是处理事件句柄过程中的函数调用图、控制流图以及操作参数整合分析生成的图,
所述基于所述执行结果生成行为特征图的方法包括:
提取至少一个所述执行节点处理事件句柄的行为特征,
将至少一个所述行为特征构建为行为特征图,
标记所述行为特征图中的安全敏感行为,和
分析危险节点对执行结果的错误原因并结合分析结果修复所述危险节点。
2.如权利要求1所述的隐私数据保护方法,其特征在于,所述分析租户请求的事件句柄信息和/或行为特征信息并确定执行模式的方法包括:
分解所述租户请求为事件句柄序列信息,
检索与所述事件句柄序列信息对应的至少一个行为特征图,和
基于所述行为特征图的检索结果确定执行模式。
3.如前述权利要求之一所述的隐私数据保护方法,其特征在于,所述选取无行为特征图的至少一个节点执行所述租户请求并记录运行结果的方法包括:
确定需要完成事件句柄的节点数量并随机选择至少一个执行节点,
记录至少一个所述执行节点处理事件句柄的过程信息以及执行结果,和选取大于比例阈值的所述执行结果为正确执行结果并标记安全节点和/或危险节点。
4.如权利要求1所述的隐私数据保护方法,其特征在于,所述基于所述行为特征图动态检测安全敏感行为的方法包括:
基于单节点选择原则选择节点并处理事件句柄,
在处理程序运行至安全敏感行为节点时提取当前运行语境,
对比所述当前运行语境与所述行为特征图中标记的安全敏感行为的运行语境的匹配结果,
在所述当前运行语境与对应的所述行为特征图的运行语境不匹配的情况下进行预警分析,并发出重新选择节点的指示。
5.如权利要求4所述的隐私数据保护方法,其特征在于,所述基于所述行为特征图动态检测安全敏感行为的方法还包括:
基于所述行为特征图监控处理程序的运行,并且在处理程序运行至安全敏感行为节点时发出执行语境提取指示。
6.一种面向云租户的隐私数据保护系统,其特征在于,所述系统至少包括:
请求信息分析模块,用于分析请求信息的事件句柄信息和/或行为特征信息并确定执行模式,
节点选择模块,用于选取无行为特征图的至少一个节点执行所述租户请求并记录执行结果,
行为特征图生成模块,用于基于所述执行结果生成行为特征图,和
动态行为检测模块,用于基于所述行为特征图动态检测安全敏感行为,其中,所述行为特征图指的是处理事件句柄过程中的函数调用图、控制流图以及操作参数整合分析生成的图,
所述基于所述执行结果生成行为特征图的方法包括:
提取至少一个所述执行节点处理事件句柄的行为特征,
将至少一个所述行为特征构建为行为特征图,
标记所述行为特征图中的安全敏感行为,和
分析危险节点对执行结果的错误原因并结合分析结果修复所述危险节点。
7.如权利要求6所述的隐私数据保护系统,其特征在于,所述请求信息分析模块包括:
事件句柄分析模块,用于分解所述请求信息为事件句柄序列信息并进行分析,行为特征分析模块,用于检索与所述事件句柄序列信息对应的至少一个行为特征图,和
执行决策模块,用于基于所述行为特征图的检索结果确定执行模式。
8.如权利要求6至7之一所述的隐私数据保护系统,其特征在于,所述节点选择模块包括:
节点统计模块,用于确定需要完成事件句柄的节点数量并随机选择至少一个执行节点,
记录模块,用于记录至少一个所述执行节点处理事件句柄的过程信息以及执行结果,和
执行结果分析模块,选取大于比例阈值的所述执行结果为正确执行结果并标记安全节点和/或危险节点。
一种面向云租户的隐私数据保护方法及系统
技术领域
[0001] 本发明属于云计算安全领域,更具体地,涉及一种面向云租户的隐私数据保护方法及系统。
背景技术
[0002] 云计算高效、节能和稳定的优点使其成为产业的发展方向,尤其在政府、金融、电信和能源等行业。但云计算在给人们带来巨大便利的同时,也带来不可忽视的安全问题。一旦云计算平台被攻击,则会产生严重的安全后果,如用户隐私数据外泄等。云计算平台通常通过云服务来管理用户实例。作为目前部署最为广泛的云操作系统,OpenStack平台应用云服务处理租户请求,云服务之间共同合作完成用户请求,包括运行或更新计算实例、管理存储资源、调度计算资源等。目前OpenStack已经不仅仅包括基础的计算服务(Nova)、存储服务(Cinder、Swift)以及网络服务(Neutron),还包括诸如数据库服务(Trove)、大数据服务(Sahara)、容器编排服务(Magnum)等。
[0003] 但OpenStack的安全性仍然存在诸多问题,目前已发现超过150种漏洞,包括DoS、资源滥用和绕过身份验证等。攻击者可以利用这些漏洞窃取其他用户的隐私数据。例如,用户A利用镜像服务的漏洞操作用户B的镜像列表,在其中插入自己包括恶意行为的虚拟机镜像,而用户B在不知情的情况下可能以该镜像创建虚拟机;用户A向云请求新卷时可以利用存储服务的漏洞,绕过对用户B返还的旧卷的数据消除操作,从而得到用户B用过的旧卷,以此来获取用户B的隐私数据。诸如此类的漏洞还有很多,对于安全策略的执行、数据的机密性、完整性造成一定威胁。攻击者甚至可以利用漏洞进一步控制运行服务的主机,并且,OpenStack各种服务之间相互信任,任意一个云节点被入侵后,攻击者都可以通过该节点伪造请求发动各种类型的攻击,引发的安全威胁影响着整个云环境的安全。作为目前部署最为广泛的云操作系统之一,基于OpenStack的租户数据安全保障方法的研究将会大大有利于安全云环境的构建,为租户提供安全可信的云服务。
[0004] 首先,目前针对上述云服务漏洞的解决方法有限。OpenStack提出对服务间通信进行保护,并减少用户权限,但这些措施并不能阻止已被入侵的节点执行恶意行为。其次,当前解决上述问题的方法主要是强制访问策略、权限控制策略、隔离等安全策略,旨在限制攻击范围。最后,关于云环境下数据保护的研究主要集中在数据加密、数据密封等手段,在管理域不可信情况下隔离安全敏感数据以及数据泄露检测机制等,这些策略虽然能够保护数据的机密性以及完整性,但是主要针对没有数据访问权限的一方在未经授权的情况下非法访问数据这一安全威胁。但云服务本身对数据具有访问权限,攻击者可以利用这一点在租户不知情的情况下访问租户的隐私数据,造成数据泄露的严重后果。
[0005] 综上所述,现有的方案存在如下不足:(1)现有方法主要限制攻击传播范围,缺少对节点的恶意行为检测方法,即在漏洞尚未发现时,不能阻止已被入侵的节点利用漏洞窃取隐私数据。(2)许多云环境数据保护的方法基于云服务可信设计,但是云服务本身存在很多安全漏洞,且云服务之间的互相信任会导致攻击传播至整个云环境,缺少云服务不可信时保护数据的方法。
[0006] 《云环境中租户数据隐私保护机制研究》(湖北民族学院学报(自然科学版);沈济南)公开了一种租户数据隐私保护机制研究框架,包括:(1)基于安全等级的静态数据加密存储策略研究,针对不同租户对不同类型数据采用不同强度的加密策略,在保证数据机密的同时保证云平台性能的整体高效;(2)静态数据细粒度的访问控制机制研究,通过支持细粒度的加密算法、利用浏览器端服务技术等技术,保护用户数据隐私;(3)基于安全等级的动态数据分割存储策略研究,根据安全等级为不同级别的租户数据提供分片存储并采用不同强度的加密策略,保证数据的机密性;(4)动态数据安全搜索机制研究,在不向云平台泄露数据信息的前提下,为用户提供数据的安全搜索服务.该文章并没有建立基于行为特征图的动态行为检测模型来为云租户的隐私数据提供动态保护。虽然该文章公开了云环境下通用的数据保护框架,主要通过不同强度的加密策略保障数据存储安全,但没有考虑到云服务处理数据过程中的数据安全问题,也不能防止攻击者利用漏洞实施未授权的恶意操作。
[0007] 本发明与该文章的应用场景完全不同。本发明基于行为特征图保证了云服务处理安全敏感数据过程中的数据安全,防止攻击者利用漏洞绕过安全限制实施恶意操作。在保护云环境隐私数据方面,本发明与该文章公开的数据保护方案侧重点不同,结合应用则数据保护更为全面。
发明内容
[0008] 针对现有技术之不足,本发明提供一种面向云租户的隐私数据保护方法,其特征在于,所述方法至少包括:分析请求信息的事件句柄信息和/或行为特征信息并确定执行模式,选取无行为特征图的至少一个节点执行所述租户请求并记录执行结果,基于所述执行结果生成行为特征图,和基于所述行为特征图动态检测安全敏感行为。
[0009] 根据一个优选实施方式,所述分析租户请求的事件句柄信息和/或行为特征信息并确定执行模式的方法包括:分解所述租户请求为事件句柄序列信息,检索与所述事件句柄序列信息对应的至少一个行为特征图,和基于所述行为特征图的检索结果确定执行模式。
[0010] 根据一个优选实施方式,所述选取无行为特征图的至少一个节点执行所述租户请求并记录运行结果的方法包括:确定需要完成事件句柄的节点数量并随机选择至少一个执行节点,记录至少一个所述执行节点处理事件句柄的过程信息以及执行结果,和选取大于比例阈值的所述执行结果为正确执行结果并标记安全节点和/或危险节点。
[0011] 根据一个优选实施方式,所述基于所述执行结果生成行为特征图的方法包括:提取至少一个所述执行节点处理事件句柄的行为特征,将至少一个所述行为特征构建为行为特征图,标记所述行为特征图中的安全敏感行为。
[0012] 根据一个优选实施方式,所述基于所述执行结果生成行为特征图的方法还包括:分析危险节点对执行结果的错误原因并结合分析结果修复所述危险节点。
[0013] 根据一个优选实施方式,所述基于所述行为特征图动态检测安全敏感行为的方法包括:基于单节点选择原则选择节点并处理事件句柄,在处理程序运行至安全敏感行为节点时提取当前运行语境,对比所述当前运行语境与所述行为特征图中标记的安全敏感行为的运行语境的匹配结果,在所述当前运行语境与对应的所述行为特征图的运行语境不匹配的情况下进行预警分析,并发出重新选择节点的指示。
[0014] 根据一个优选实施方式,所述基于所述行为特征图动态检测安全敏感行为的方法还包括:基于所述行为特征图监控处理程序的运行,并且在处理程序运行至安全敏感行为节点时发出执行语境提取指示。
[0015] 根据一个优选实施方式,所述行为特征至少包括处理事件句柄过程中的触发点、控制流、函数调用序列、上下文关系和/或操作参数。
[0016] 根据一个优选实施方式,所述行为特征图的每个节点表示函数,每条边标识函数间的调用关系。
[0017] 本发明通过在无行为特征图对应的时候,选择多个节点处理事件句柄,以及基于行为特征图动态保护隐私数据,使得本发明能够保证执行结果的安全性。为了确保行为特征图的准确性,本发明提出在第一次处理请求时选择多个节点同时执行,并根据多个节点的处理流程生成行为特征图,供后续节点处理过程参考。在有行为特征图的情况下,每次选择一个较为安全的节点处理事件句柄,依据行为特征图保证处理过程中的安全性。
[0018] 针对攻击者利用OpenStack漏洞绕过OpenStack原本的安全保障机制,如访问控制策略、身份验证机制等,使得原本的安全保障机制没有正确执行,导致共享同一云服务的租户隐私数据泄露,对于云租户的数据安全造成极大威胁的问题,本发明基于行为特征图监控访问控制、身份验证等安全敏感行为的执行过程,确保安全敏感行为安全完成,以此保障云租户的隐私数据。
[0019] 本发明还提供一种面向云租户的隐私数据保护系统,其特征在于,所述系统至少包括:请求信息分析模块,用于分析请求信息的事件句柄信息和/或行为特征信息并确定执行模式,节点选择模块,用于选取无行为特征图的至少一个节点执行所述租户请求并记录执行结果,行为特征图生成模块,用于基于所述执行结果生成行为特征图,和动态行为检测模块,用于基于所述行为特征图动态检测安全敏感行为。
[0020] 根据一个优选实施方式,所述请求信息分析模块包括:
[0021] 事件句柄分析模块,用于分解所述请求信息为事件句柄序列信息并进行分析,行为特征分析模块,用于检索与所述事件句柄序列信息对应的至少一个行为特征图,和执行决策模块,用于基于所述行为特征图的检索结果确定执行模式。
[0022] 根据一个优选实施方式,所述节点选择模块包括:节点统计模块,用于确定需要完成事件句柄的节点数量并随机选择至少一个执行节点,记录模块,用于记录至少一个所述执行节点处理事件句柄的过程信息以及执行结果,和执行结果分析模块,选取大于比例阈值的所述执行结果为正确执行结果并标记安全节点和/或危险节点。
[0023] 根据一个优选实施方式,所述行为特征图生成模块包括:行为特征提取模块,用于提取至少一个所述执行节点处理事件句柄的行为特征,行为特征图构建模块,用于将至少一个所述行为特征构建为行为特征图,标记模块,用于标记所述行为特征图中的安全敏感行为。
[0024] 根据一个优选实施方式,所述行为特征图生成模块还包括:分析修复模块,用于分析危险节点对执行结果的错误原因并结合分析结果修复所述危险节点。
[0025] 根据一个优选实施方式,所述动态行为检测模块包括:单节点选择模块,用于基于单节点选择原则选择节点并处理事件句柄,执行语境提取模块,用于在处理程序运行至安全敏感行为节点时提取当前运行语境,行为预警匹配模块,用于对比所述当前运行语境与所述行为特征图中标记的安全敏感行为的运行语境的匹配结果,警报分析模块,用于在所述当前运行语境与对应的所述行为特征图的运行语境不匹配的情况下进行预警分析,并发出使所述单节点选择单元重新选择节点的指示。
[0026] 根据一个优选实施方式,所述动态行为检测模块还包括:监控模块,用于基于所述行为特征图监控处理程序的运行,并且在处理程序运行至安全敏感行为节点时发出执行语境提取指示。
[0027] 根据一个优选实施方式,所述行为特征至少包括处理事件句柄过程中的触发点、控制流、函数调用序列、上下文关系和/或操作参数。
[0028] 根据一个优选实施方式,所述行为特征图的每个节点表示函数,每条边标识函数间的调用关系。
[0029] 根据一个优选实施方式,所述安全敏感行为至少包括调用安全敏感函数的行为和/或导致节点执行结果错误的安全相关行为。
[0030] 本发明还提供一种面向云租户的隐私数据保护系统,其特征在于,所述系统至少包括:客户端,用于发出请求信息,请求信息分析模块,用于分析请求信息的事件句柄信息和/或行为特征信息并确定执行模式,节点选择模块,用于选取无行为特征图的至少一个节点执行所述租户请求并记录执行结果,行为特征图生成模块,用于基于所述执行结果生成行为特征图,和动态行为检测模块,用于基于所述行为特征图动态检测安全敏感行为,其中,
[0031] 针对存在行为特征图的事件句柄,所述动态行为检测模块基于所述行为特征图以比较具有安全敏感行为标记的执行语境与对应的当前执行语境是否匹配的方式动态检测安全敏感行为。
[0032] 本发明的有益技术效果:
[0033] (1)细粒度的安全保护:本发明通过生成行为特征图的方式对云服务处理租户请求过程中的安全敏感行为进行了分析和定位,有针对性地对安全敏感行为提供细粒度的安全保护;
[0034] (2)实时性:本发明可以在处理租户请求时实时地检测到偏离行为特征图的恶意行为,一旦检测到异常,立即重新选择节点完成请求,不会造成云服务长时间的不可用;
[0036] 图1是本发明的方法的总流程图;
[0037] 图2是未生成行为特征图时事件句柄处理流程的示意图;
[0038] 图3是已生成行为特征图时事件句柄处理流程的示意图;和
[0039] 图4是本发明的系统的逻辑模块示意图;
[0040] 图5是本发明的系统的其中一种优选的逻辑模块示意图。
[0041] 附图标记列表
[0042] 10:客户端 20:请求信息分析模块
[0043] 30:节点选择模块 40:行为特征图生成模块
[0044] 50:动态行为检测模块 60:行为特征图库
[0045] 21:事件句柄分析模块 22:行为特征分析模块
[0046] 23:执行决策模块 31:节点统计模块
[0047] 32:记录模块 33:执行结果分析模块
[0048] 41:行为特征提取模块 42:行为特征图构建模块
[0049] 43:标记模块 51:单节点选择模块
[0050] 52:执行语境提取模块 53:行为预警匹配模块
[0051] 54:警报分析模块 55:监控模块
具体实施方式
[0052] 下面结合附图进行详细说明。
[0053] 为了便于理解,在可能的情况下,使用相同附图标记来表示各附图中共同的相似元件。
[0054] 如在整篇本申请中所使用的那样,词语“可以”系容许含义(即,意味着有可能的)而不是强制性含义(即,意味着必须的)。类似地,词语“包括”意味着包括但不限于。
[0055] 短语“至少一个”、“一个或多个”以及“和/或”系开放式表达,它们涵盖操作中的关联与分离两者。例如,表述“A、B和C中的至少一个”、“A、B或C中的至少一个”、“A、B和C中的一个或更多个”、“A、B或C”和“A、B和/或C”中的每个分别指单独A、单独B、单独C、A和B一起、A和C一起、B和C一起或A、B和C一起。
[0056] 术语“一种”或“一个”实体指的是该实体中的一个或多个。这样,术语“一”(或“一”)、“一个或多个”以及“至少一个”在本文中可以交换地使用。还应该注意,术语“包括”、“包含”和“具有”可以交换地使用。
[0057] 如本文中所使用的那样,术语“自动的”及其变型是指当执行过程或操作时在没有实质性人工输入的情况下完成的任何过程或操作。然而,如果在执行该过程或操作之前接收到该输入,则该过程或操作可以是自动的,即使该过程或操作的执行使用了实质性或非实质性的人工输入。如果这样的输入影响该过程或操作的执行方式,则该人工输入被认为是实质性的。准予执行该过程或操作的人工输入不被视为“实质性的”。
[0059] 针对现有技术的缺陷或改进需求,本发明基于云服务节点不可信的前提,在云服务处理租户请求时,首先根据大量节点处理请求的流程记录生成行为特征图,然后依据行为特征图判断安全敏感行为的发生语境是否正确,确保租户提交的每个请求能够安全可信的完成。由此解决攻击者利用OpenStack漏洞在执行租户请求时窃取云租户隐私数据的问题。
[0060] 本发明提供的一种面向云租户的隐私数据保护方法,其特征在于,该方法至少包括:
[0061] S1:分析请求信息的事件句柄信息和/或行为特征信息并确定执行模式。
[0062] 例如,客户端10发出租户的请求信息。将租户请求信息分解为一组事件句柄{e1,e2,e3,…,en}。每个云服务器对应处理一个事件句柄ei(1≤i≤n)。在云服务器开始处理ei时,在其行为特征图库60中搜索是否存在与ei对应的行为特征图,并根据搜索结果选择对应的执行模式。执行模式包括无行为特征图的节点选择执行模式和有行为特征图的动态行为检测执行模式。
[0063] S2:选取无行为特征图的至少一个节点执行租户请求并记录执行结果。
[0064] 对于未检索到行为特征图的请求信息,选择多节点同时执行请求信息。将多数节点的执行结果作为最终结果保证此次操作的安全性。同时记录请求执行过程的信息,用于生成行为特征图。
[0065] S3:基于执行结果生成行为特征图。
[0066] 行为特征图是用于表现事件句柄的行为特征的集合,能够准确定位安全敏感行为,记录安全敏感行为的运行语境。
[0067] S4:基于行为特征图动态检测安全敏感行为。
[0068] 此处行为特征图包括通过检索获得的行为特征图和生成的行为特征图。根据行为特征图对用户的请求信息的运行进行动态检测,检测其中的安全敏感行为并且确保涉及的安全敏感操作能够安全地执行。对安全敏感行为进行监控,只有当前运行语境符合行为特征图时才能继续运行。
[0069] 优选的,如图1所示,分析租户请求的事件句柄信息和/或行为特征信息并确定执行模式的方法包括:
[0070] S11:分解租户请求为事件句柄序列信息。
[0071] 例如,分析服务类型信息。请求信息内包括事件句柄信息和行为特征信息。将每个租户的请求信息分解为一组事件句柄,按照顺序依次选择对应的云服务器处理每个事件句柄。
[0072] S12:检索与事件句柄序列信息对应的至少一个行为特征图。
[0073] 例如:对于每个事件句柄,在相关云服务器的行为特征图库60中检索其对应的行为特征图。
[0074] S13:基于行为特征图的检索结果确定执行模式。
[0075] 例如:若根据事件句柄检索到对应的行为特征图,则基于行为特征图进行动态行为检测。若根据事件句柄未检索到对应的行为特征图,则基于无行为特征的节点选择至少一个对应的节点进行事件句柄的处理和程序运行。
[0076] 即若存在行为特征图,则进入动态行为检测执行模式。即若不存在行为特征图,则进入节点选择执行模式。
[0077] 优选的,如图2所示,选取无行为特征图的至少一个节点执行租户请求并记录运行结果的方法包括:
[0078] S20:开始。
[0079] S21:确定需要完成事件句柄的节点数量并随机选择至少一个执行节点。
[0080] S211:首先计算需要的要完成事件句柄的节点数量。根据云服务器中总节点数与危险节点数计算并确定处理事件句柄需要的节点数目,记为N。被选中的节点需要足够多,能够保证最终正确的执行结果多于错误结果。但由于详细记录节点执行状态需要极大开销,因此在保证最终结果正确的同时也要选择尽可能少的节点。因此,节点数量不是越多越好。
[0081] S212:从云服务器节点中随机选择N个节点处理事件句柄。
[0082] S22:记录至少一个执行节点处理事件句柄的过程信息以及执行结果。
[0083] S221:记录至少一个执行节点处理事件句柄的执行结果。
[0084] S222:记录至少一个执行节点处理事件句柄的过程信息,即执行流程。
[0085] 在处理事件句柄的同时,收集并详细记录各个节点的处理事件句柄中的状态变化以及执行结果,包括函数调用顺序及其参数。
[0086] S23:选取大于比例阈值的执行结果为正确执行结果并标记安全节点和/或危险节点。
[0087] 例如,少数服从多数原则,则例阈值为50%。选择多数节点的执行结果作为正确的执行结果,即选择比例大于50%的执行结果作为正确的执行结果。对于执行结果错误的服务节点,将其标记为危险节点。将正确执行结果的服务节点,标记为安全节点。优选的,可以只标记危险节点,也可以只标记安全节点,也可以将危险节点和安全节点分别进行标记。
[0088] 优选的,比例阈值的大小不限于50%,可以根据需要来进行调整。
[0089] S24:从结果正确的节点中选择一个节点的执行结果作为最终结果。
[0090] S25:结束。
[0091] 优选的,如图2所示,基于执行结果生成行为特征图的方法包括:
[0092] S31:提取至少一个执行节点处理事件句柄的行为特征。
[0093] 根据获取的节点操作记录中安全节点处理事件句柄的执行流程,对安全节点的行为特征进行提取分析,生成行为特征图。
[0094] 通过提取安全节点与危险节点的行为特征,行为特征图能够更加准确和高效的描述处理事件句柄过程中的安全敏感行为。最后将事件句柄ei及其行为特征图记录在各个云服务器的行为特征图库60中。
[0095] 优选的,行为特征至少包括处理事件句柄过程中的触发点、控制流、函数调用序列、上下文关系和/或操作参数。
[0096] S32:将至少一个行为特征构建为行为特征图。
[0097] 即将至少一个行为特征连接从而构建生成行为特征图。行为特征图指的是处理事件句柄过程中的函数调用图、控制流图以及操作参数整合分析生成的图。例如只有一个行为特征,则行为特征图与行为特征相同。若具有两个或两个以上的行为特征,则将行为特征中的函数标识为节点,调用关系表示为边,构建成行为特征图。优选的,行为特征图可以在线下生成。
[0098] 优选的,行为特征图中的每个节点代表函数,每条边代表函数间的调用关系。
[0099] 优选的,基于执行结果生成行为特征图的方法还包括:
[0100] S5:标记行为特征图中的安全敏感行为。
[0101] 对节点在处理事件句柄的过程中发生的安全敏感行为,或者行为特征图中的安全敏感行为进行标记。优选的,安全敏感行为至少包括调用安全敏感函数的行为和/或导致节点执行结果错误的安全相关行为。
[0102] 优选的,基于执行结果生成行为特征图的方法还包括:S6:分析危险节点对执行结果的错误原因并结合分析结果修复危险节点。
[0104] S62:结合分析的错误原因修复危险节点,使得危险节点转变为安全节点,从而提高云服务器的安全程度。
[0105] S7:将行为特征图存储于对应的云服务器的行为特征库中。
[0106] 优选的,如图3所示,基于行为特征图动态检测安全敏感行为的方法包括:首先在行为特征图库60中找到事件句柄ei(1≤i≤n)的行为特征图。依据行为特征图对执行过程中的安全敏感行为进行细粒度监控,确保安全敏感行为的运行语境符合行为特征图,保障数据安全性的同时维持了较小的性能开销。
[0107] 具体的步骤S4包括:
[0108] S41:基于单节点选择原则选择节点并处理事件句柄。
[0109] 单节点选择原则为同一用户提交的请求信息尽量在同一节点执行。
[0110] S42:在处理程序运行至安全敏感行为节点时提取当前运行语境。
[0111] 根据检索到的行为特征图,当运行程序发生安全敏感行为时,暂停运行,提取当前程序执行的语境。
[0112] S43:对比当前运行语境与行为特征图中标记的安全敏感行为的运行语境的匹配结果。
[0113] S44:在当前运行语境与对应的行为特征图的运行语境不匹配的情况下进行预警分析,并发出重新选择节点的指示。
[0114] 具体地,将当前执行语境与行为特征图中安全敏感行为的上下文进行比较。
[0115] S45:若两者匹配,则允许发生安全敏感行为,程序继续运行。
[0116] S451:继续检测是否运行至安全敏感行为标记。若是,继续提取当前运行语境。若否,在i=n时结束。在i≠n时继续提取下一个事件句柄的行为特征。
[0117] S46:两者不匹配,则发送警报,暂停程序运行。
[0118] S47:结束。
[0119] 若警报发生,分析安全敏感行为运行语境不匹配的原因,判断是否存在恶意行为。
[0120] 优选的,基于行为特征图动态检测安全敏感行为的方法还包括:基于行为特征图监控处理程序的运行,并且在处理程序运行至安全敏感行为节点时发出执行语境提取指示。
[0121] 具体地,监控安全敏感行为的发生有助于准确确定提取执行语境的时间,避免忽略安全敏感行为的发生。
[0122] 本发明以实际应用场景为例对本发明的方法进行说明。
[0123] 以漏洞CVE-2015-7546为例,该漏洞发现于OpenStack身份认证模块KeyStone。该漏洞发生在使用PKI或者PKIZ提供的令牌时,令牌认证过程不能正确执行,攻击者可以利用该漏洞绕过访问控制等安全限制,或者应用已过期的令牌执行未授权操作。按照本发明提出的方法,在首次进行令牌验证时选择多个节点执行操作,若存在节点验证结果不同的情况,则少数服从多数,对于产生少数异常结果的节点进行分析。上述过程对于发现新漏洞有一定效果。另外,根据多数节点处理令牌验证操作的流程生成令牌验证行为的行为特征图。此后在处理令牌验证请求时选择一个节点执行,基于行为特征图确保令牌验证过程的完整性,即保证攻击者没有对令牌验证程序运行的控制流进行改变。以此达到保护云租户隐私数据的目的。
[0124] 安全敏感行为则根据OpenStack模块功能及现已发现的漏洞分析得出。举例说明,OpenStack身份认证模块KeyStone的主要服务类型为认证服务、令牌服务、策略服务和目录服务。根据各服务的功能及CVE已公布的漏洞,认证服务的安全敏感行为为密码管理相关操作。令牌服务的安全敏感行为包括令牌的发放、验证过程。策略服务的安全敏感行为指的是各模块安全策略执行行为。目录服务只提供租户可访问的服务目录,因此不涉及安全敏感行为。动态行为检测执行模式能够有效保证安全敏感行为安全的执行。首先定位各个服务中的安全敏感行为。当检测到程序运行到安全敏感行为时,将程序执行流程与行为特征图比对,避免不符合行为特征图的操作发生,确保程序信息流的完整性。
[0125] 实施例2
[0126] 本实施例是对实施例1的进一步改进,重复的内容不再赘述。
[0127] 如图4所示,本实施例提供一种面向云租户的隐私数据保护系统。
[0128] 本实施例提供的面向云租户的隐私数据保护系统,至少包括:请求信息分析模块20,用于分析请求信息的事件句柄信息和/或行为特征信息并确定执行模式。节点选择模块
30,用于选取无行为特征图的至少一个节点执行租户请求信息并记录执行结果。行为特征图生成模块40,用于基于执行结果生成行为特征图。动态行为检测模块50,用于基于行为特征图动态检测安全敏感行为。
30,用于选取无行为特征图的至少一个节点执行租户请求信息并记录执行结果。行为特征图生成模块40,用于基于执行结果生成行为特征图。动态行为检测模块50,用于基于行为特征图动态检测安全敏感行为。
[0129] 优选的,针对存在行为特征图的事件句柄,动态行为检测模块50基于行为特征图以比较具有安全敏感行为标记的执行语境与对应的当前执行语境是否匹配的方式动态检测安全敏感行为。
[0130] 优选的,请求信息分析模块20包括专用集成芯片、处理器、服务器和服务器组中的一种或多种。该专用集成芯片、处理器、服务器或服务器组被配置为对客户端发出的请求信息的事件句柄信息和/或行为特征信息进行分析,确定执行模式。
[0131] 节点选择模块30包括专用集成芯片、处理器、服务器和服务器组中的一种或多种。该专用集成芯片、处理器、服务器和服务器组被配置为选取执行任务的节点以执行请求信息的任务并记录执行结果。
[0132] 行为特征图生成模块40包括专用集成芯片、处理器、服务器和服务器组中的一种或多种。即专用集成芯片、处理器、服务器或服务器组被配置为将执行请求信息过程中的行为特征整理生成为行为特征图。
[0133] 动态行为检测模块50包括专用集成芯片、处理器、服务器和服务器组中的一种或多种。即专用集成芯片、处理器、服务器和服务器组被配置为基于行为特征图来动态检测安全敏感行为。
[0134] 根据一个优选实施方式,如图5所示,请求信息分析模块不限于单独的部件,还可以是多种部件的组合。
[0135] 例如,请求信息分析模块20包括:事件句柄分析模块21、行为特征分析模块22和执行决策模块23。事件句柄分析模块21,用于分解请求信息为事件句柄序列信息并进行分析。行为特征分析模块22,用于检索与事件句柄序列信息对应的至少一个行为特征图。执行决策模块23,用于基于行为特征图的检索结果确定执行模式。
[0136] 优选的,事件句柄分析模块包括CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。优选的,事件句柄分析模块为专用集成芯片,其被配置为用于分解请求信息为事件句柄序列信息并进行分析。
[0137] 行为特征分析模块包括CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。优选的,行为特征分析模块为专用集成芯片,其被配置为用于检索与事件句柄序列信息对应的至少一个行为特征图。
[0138] 执行决策模块包括CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。优选的,执行决策模块为专用集成芯片,其被配置为用于基于行为特征图的检索结果确定执行模式。
[0139] 将事件句柄分析模块21、行为特征分析模块22和执行决策模块23均优选为专用集成芯片的优势在于,在不减少功能和工作效率的情况下,充分缩小请求信息分析模块的占用空间和重量。
[0140] 根据一个优选实施方式,节点选择模块30不限于单独的部件,还可以是多种部件的组合。
[0141] 如图5所示,节点选择模块30包括:节点统计模块31、记录模块32和执行结果分析模块33。
[0142] 节点统计模块31,用于确定需要完成事件句柄的节点数量并随机选择至少一个执行节点。记录模块32,用于记录至少一个执行节点处理事件句柄的过程信息以及执行结果。执行结果分析模块33,用于选取大于比例阈值的执行结果为正确执行结果并标记安全节点和/或危险节点。
[0143] 优选的,节点统计模块31包括被配置为确定需要完成事件句柄的节点数量并随机选择至少一个执行节点的CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。
[0144] 记录模块32包括被配置为记录至少一个执行节点处理事件句柄的过程信息以及执行结果的存储器、磁盘、存储芯片中的一种或几种。
[0145] 执行结果分析模块33被配置为具有选取大于比例阈值的执行结果为正确执行结果并标记安全节点和/或危险节点的功能的CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。
[0146] 优选的,节点统计模块31、记录模块32和执行结果分析模块33分别为具有相应功能的专用集成芯片。这样有利于缩小节点选择模块的空间体积和质量,并且提高节点选择模块的处理效率。
[0147] 根据一个优选实施方式,行为特征图生成模块40不限于单独的部件,还可以是多种部件的组合。
[0148] 行为特征图生成模块40包括:行为特征提取模块41、行为特征图构建模块42和标记模块43。行为特征提取模块41,用于提取至少一个执行节点处理事件句柄的行为特征。行为特征图构建模块42,用于将至少一个行为特征构建为行为特征图。标记模块43,用于标记行为特征图中的安全敏感行为。
[0149] 行为特征提取模块41包括具有提取至少一个执行节点处理事件句柄的行为特征功能的CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。行为特征图构建模块42包括具有构建为行为特征图功能的CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。标记模块43包括具有标记行为特征图中的安全敏感行为的功能的CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。
[0150] 优选的,行为特征图生成模块40还包括:分析修复模块44,用于分析危险节点对执行结果的错误原因并结合分析结果修复危险节点。
[0151] 优选的,分析修复模块44包括CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。优选的,分析修复模块为专用集成芯片。该专用集成芯片被配置为分析危险节点对执行结果的错误原因并结合分析结果修复危险节点。
[0152] 优选的,动态行为检测模块50包括:单节点选择模块51、执行语境提取模块52、行为预警匹配模块53和警报分析模块54。单节点选择模块51,用于基于单节点选择原则选择节点并处理事件句柄。执行语境提取模块52,用于在处理程序运行至安全敏感行为节点时提取当前运行语境。行为预警匹配模块53,用于对比当前运行语境与行为特征图中标记的安全敏感行为的运行语境的匹配结果。警报分析模块54,用于在当前运行语境与对应的行为特征图的运行语境不匹配的情况下进行预警分析,并发出使单节点选择单元重新选择节点的指示。
[0153] 优选的,单节点选择模块51包括CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。优选的,单节点选择模块为微处理器。该微处理器被配置为基于单节点选择原则选择节点并处理事件句柄。
[0154] 执行语境提取模块52包括CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。优选的,执行语境提取模块为专用集成芯片。该专用集成芯片被配置为在安全敏感行为发生时提取当前运行语境。
[0155] 行为预警匹配模块53包括CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。优选的,行为预警匹配模块为专用集成芯片。该专用集成芯片被配置为基于行为特征图中标记的安全敏感行为的运行语境匹配当前运行语境。
[0156] 警报分析模块54包括CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。优选的,警报分析模块为微处理器。该微处理器被配置为对匹配失败的情况进行分析和发出预警指令。优选的,警报分析模块连接有预警装置。预警装置可以是播放器、振动器、闪烁灯等等。
[0157] 优选的,动态行为检测模块50还包括:监控模块55,用于基于行为特征图监控处理程序的运行,并且在处理程序运行至安全敏感行为节点时发出执行语境提取指示。
[0158] 监控模块55包括CPU、微处理器、单片机、服务器、专用集成芯片中的一种或几种。优选的,监控模块为专用集成芯片。
[0159] 虽然已经详细描述了本发明,但是在本发明的精神和范围内的修改对于本领域技术人员将是显而易见的。这样的修改也被认为是本公开的一部分。鉴于前面的讨论、本领域的相关知识以及上面结合背景讨论的参考或信息(均通过引用并入本文),进一步的描述被认为是不必要的。此外,应该理解,本发明的各个方面和各个实施例的各部分均可以整体或部分地组合或互换。而且,本领域的普通技术人员将会理解,前面的描述仅仅是作为示例,并不意图限制本发明。
[0160] 已经出于示例和描述的目的给出了本公开的前述讨论。这并不意图将本公开限制于本文公开的形式。在前述的具体实施方式中,例如,为了简化本公开的目的,本公开的各种特征在一个或多个实施例、配置或方面中被组合在一起。实施例、配置或方面的特征可以以除上面讨论的那些之外的替代实施例、配置或方面组合。本公开的该方法不应被解释为反映本公开需要比每个权利要求中明确记载的更多特征的意图。相反,如以下权利要求所反映的,创造性方面在于少于单个前述公开的实施例、配置或方面的所有特征。因此,以下权利要求由此被并入本具体实施方式中,其中每个权利要求其自身作为本公开的单独实施例。
[0161] 而且,虽然本公开的描述已经包括对一个或多个实施例、配置或方面以及某些变型和修改的描述,但是其他变型、组合和修改也在本公开的范围内,例如在本领域技术人员的技能和知识范围内,在理解了本公开之后。旨在获得在允许的程度上包括替代实施例、配置或方面的权利,所述权利包括那些要求保护的替代的、可互换的和/或等效的结构、功能、范围或步骤的权利,无论这种替代的、可互换的和/或等效的结构、功能、范围或步骤是否在本文中公开,并且无意公开奉献任何可专利的主题。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种可验证的安卓恶意软件检测系统及方法 | 2020-05-11 | 119 |
| 一种基于受限集的程序语义缺陷自动修复方法 | 2020-05-13 | 249 |
| 一种基于硬件特性的代码复用攻击检测系统及方法 | 2020-05-13 | 231 |
| 用于在GPU上生成动态踪迹数据的装置和方法 | 2020-05-14 | 2 |
| 一种基于相似度分析的源代码版本演化注释复用方法 | 2020-05-08 | 797 |
| 一种基于独立路径的测试数据自动生成方法 | 2020-05-15 | 740 |
| 一种基于函数层编码的App克隆检测方法及系统 | 2020-05-13 | 449 |
| 一种面向数据流的测试用例生成方法 | 2020-05-15 | 438 |
| 一种代码漏洞检测方法、装置、介质及设备 | 2020-05-16 | 493 |
| 软件更改影响域分析辅助方法 | 2020-05-08 | 112 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
控制流图热门专利
QQ群二维码
意见反馈
意见反馈