一种云服务安全分析方法、监控设备及分析系统与流程

1.本发明涉及计算机技术领域，特别是一种云服务安全分析方法、监控设备及分析系统。


背景技术：

2.当前数字化已经渗入人们日常的衣食住行、工作生活、生产服务等方方面面，将数字化和云服务深度融合，使得服务办理可以实现数字云服务，能够打破时间和地域限制，提高服务交互的灵活性，然而，随着数字云服务规模的激增，其引发的信息安全问题不容忽视。


技术实现要素：

3.为了解决现有技术中系统异常重启会导致缓存中脏数据丢失的技术问题，本发明提出的云服务安全分析方法，其特征在于, 云服务安全分析方法包括如下步骤：s1、基于登录监控模型进行用户登录行为验证，如果验证合格，进入s2，否则，拒绝用户登录，进入s4；s2、获取用户的访问数据，基于异常信息数据库进行安全验证，如果验证合格，进入s3，否则，阻止访问数据的传播，进入s4；s3、解析所述访问数据，获得用户的操作类型和操作涉及的数据，基于所述操作类型、所述操作涉及的数据以及所述登录监控模型输出的安全风险值进行安全验证；s4、结束安全分析。
4.优选的，在所述s1中，从服务日志数据库中提取多个访问日志，从用户数据库中获取用户的信息数据，将获取的信息作为训练样本，通过逻辑回归算法对逻辑回归模型进行训练学习，输出所述登录监控模型，将用户的登录行为输入到所述登录监控模型中进行安全评估，获取所述登录监控模型输出的安全风险值，若所述安全风险值大于第一阈值，则认为可能存在异常，将根据用户的信息数据编辑多个二次验证问题，基于用户的回答进行最终的判断。
5.优选的，在所述s1中，从所述多个访问日志中提取第一用户特征，从用户的信息数据中提取第二用户特征，对所述第一用户特征和所述第二用户特征分别进行特征离散处理，得到多个单一特征，基于用户的可信度对多个单一特征进行组合，得到组合特征，根据所述多个单一特征以及所述组合特征，通过逻辑回归算法对逻辑回归模型进行训练学习，在得到最优化参数时输出所述登录监控模型。
6.优选的，在所述s3中，所述操作类型包括数据读取操作和数据修改操作，所述操作涉及的数据包括敏感数据和非敏感数据。
7.优选的，在所述s3中，当所述操作类型为数据修改操作，所述操作涉及的数据为敏感数据时，将所述访问数据输入云服务系统中的模拟运行环境，使得所述访问数据在所述模拟运行环境中运行，监控运行过程中的具体操作，判断是否存在特定行为，如果存在特定
行为，则所述访问数据为非常规异常数据，将所述访问数据的md5值存入所述异常信息数据库。
8.优选的，在所述s3中，当所述操作类型为数据修改操作，所述操作涉及的数据为非敏感数据时，对所述访问数据进行简单的反汇编，判断是否出现特定的指令，以及是否出现特定的函数调用序列，如果出现，则所述访问数据为非常规异常数据，将所述访问数据的md5值存入所述异常信息数据库。
9.优选的，在所述s3中，当所述操作类型为数据读取操作，操作涉及的数据为敏感数据时，若所述安全风险值大于第二阈值，对所述访问数据进行简单的反汇编，判断是否出现特定的指令，以及是否出现特定的函数调用序列，如果出现，则所述访问数据为非常规异常数据，将所述访问数据的md5值存入异常信息数据库，若所述安全风险值小于等于第二阈值，将所述访问数据加载到云服务系统中的安全隔离内存，去除所述访问数据可能存在的外壳，将所述访问数据还原为真实的数据，基于所述异常信息数据库进行安全验证，若验证不合格，将所述访问数据的md5值存入所述异常信息数据库。
10.优选的，在所述s3中，当所述操作类型为数据读取操作，所述操作涉及的数据为非敏感数据时，若所述安全风险值大于第二阈值，将所述访问数据加载到云服务系统中的安全隔离内存，去除所述访问数据可能存在的外壳，将所述访问数据还原为真实的数据，基于所述异常信息数据库进行安全验证，若验证不合格，将所述访问数据的md5值存入所述异常信息数据库，若安全风险值小于等于第二阈值，直接认定所述访问数据是安全的。
11.本发明提出的云服务安全监控设备包括处理器和存储器，所述存储器中存储有异常信息数据库、登录监控模型以及计算机程序，所述处理器通过运行所述计算机程序能够实现上述云服务安全分析方法。
12.本发明提出的云服务安全分析系统包括用户登录验证模块、常规异常信息验证模块、非常规异常信息验证模块，所述用户登录验证模块基于登录监控模型进行用户登录行为验证，所述常规异常信息验证模块获取用户的访问数据，基于异常信息数据库进行安全验证，所述非常规异常信息验证模块解析用户的访问数据，获得用户的操作类型和操作涉及的数据，基于用户的操作类型、操作涉及的数据以及登录监控模型输出的安全风险值进行安全验证。
13.相对于现有技术，本发明具有如下有益效果：将用户登录验证、特征码查杀、内存查杀、主动防御式病毒查杀有机地结合在一起，通过用户登录验证和特征码查杀保证基本的安全防护效果，基于用户的操作类型、操作涉及的数据以及登录监控模型输出的安全风险值合理地选择内存查杀和主动防御式病毒查杀，针对特定的场景采取特定的分析方法，在进一步保证安全防护效果的同时降低系统功耗。
附图说明
14.图1是本发明云服务安全分析方法的流程图。
具体实施方式
15.为了对本发明的技术特征、目的和效果有更加清楚的理解，现对照附图说明本发
明的具体实施方式。
16.如图1所示，本发明提出的云服务安全分析方法具体包括如下步骤：s1、基于登录监控模型进行用户登录行为验证，如果验证合格，进入s2，否则，拒绝用户登录，进入s4，具体地，从服务日志数据库中提取多个访问日志，日志内容包括用户、操作、资源及上下文，操作包括操作类型和调用的函数，资源包括存储资源、机器资源等，上下文包括访问时间、登录ip地址等，从用户数据库中获取用户的信息数据，信息数据包括用户常用的登录设备、用户常用的ip地址、用户常用的操作类型、用户的可信度等信息，将获取的信息作为训练样本，从多个访问日志中提取第一用户特征，从用户的信息数据中提取第二用户特征，对第一用户特征和第二用户特征分别进行特征离散处理，得到多个单一特征，基于用户的可信度对多个单一特征进行组合，得到组合特征，根据多个单一特征以及组合特征，通过逻辑回归算法对逻辑回归模型进行训练学习，在得到最优化参数时输出登录监控模型，将用户的登录行为输入到登录监控模型中进行安全评估，获取登录监控模型输出的安全风险值，安全风险值表示存在安全问题的概率，数值范围为0-100%，安全风险值越高说明存在安全问题的可能性越大，若安全风险值大于第一阈值，则认为可能存在异常，将根据用户的信息数据编辑多个二次验证问题，例如登录时经常使用的设备是什么，通常在什么时间进行登录，通常在什么地点进行登录等，将多个二次验证问题发送给用户，基于用户的回答进行最终的判断。
17.s2、获取用户的访问数据，基于异常信息数据库进行安全验证，如果验证合格，进入s3，否则，阻止访问数据的传播，进入s4，具体地，异常信息数据库包括病毒防御库和本地异常字段库，病毒防御库存储常规病毒的特征码，大数据平台会周期性地更新病毒防御库，本地异常字段库存储云服务系统在运行过程中发现的非常规异常数据的特征值，将非常规异常数据的md5值作为特征值存入本地异常字段库。
18.s3、解析用户的访问数据，获得用户的操作类型和操作涉及的数据，基于用户的操作类型、操作涉及的数据以及登录监控模型输出的安全风险值进行安全验证，具体的，用户的操作类型包括数据读取操作和数据修改操作，操作涉及的数据包括敏感数据和非敏感数据，当用户的操作类型为数据修改操作，操作涉及的数据为敏感数据时，将访问数据输入云服务系统中的模拟运行环境，模拟运行环境与正常业务运行环境通过防火墙进行安全隔离，使得访问数据在模拟运行环境中运行，监控运行过程中的具体操作，判断是否存在特定行为，特定行为包括自删除、自启动、释放文件、调用敏感的dll等，如果存在特定行为，则访问数据为非常规异常数据，将用户当前的访问数据的md5值存入异常信息数据库中的本地异常字段库，当用户的操作类型为数据修改操作，操作涉及的数据为非敏感数据时，对访问数据进行简单的反汇编，查找、匹配是否出现特定的指令或函数调用序列，如果出现，则访问数据为非常规异常数据，将用户当前的访问数据的md5值存入异常信息数据库中的本地异常字段库，当用户的操作类型为数据读取操作，操作涉及的数据为敏感数据时，若安全风险值大于第二阈值，第二阈值小于第一阈值，对访问数据进行简单的反汇编，查找、匹配是否出现特定的指令或函数调用序列，如果出现，则访问数据为非常规异常数据，将用户当前的访问数据的md5值存入异常信息数据库中的本地异常字段库，若安全风险值小于等于第二阈值，将访问数据加载到云服务系统中的安全隔离内存，安全隔离内存与正常使用的内存通过防火墙进行安全隔离，去除访问数据可能存在的外壳，将访问数据还原为真实的数
据，基于异常信息数据库进行安全验证，若验证不合格，将用户当前的访问数据的md5值存入异常信息数据库中的本地异常字段库，当用户的操作类型为数据读取操作，操作涉及的数据为非敏感数据时，若安全风险值大于第二阈值，将访问数据加载到云服务系统中的安全隔离内存，去除访问数据可能存在的外壳，将访问数据还原为真实的数据，基于异常信息数据库进行安全验证，若验证不合格，将用户当前的访问数据的md5值存入异常信息数据库中的本地异常字段库，若安全风险值小于等于第二阈值，直接认定用户当前的访问数据是安全的。
19.s4、结束安全分析。
20.本发明提出的云服务安全监控设备包括处理器和存储器，存储器中存储有异常信息数据库、登录监控模型以及计算机程序，处理器通过运行计算机程序能够实现上述云服务安全分析方法。
21.本发明提出的云服务安全分析系统包括用户登录验证模块、常规异常信息验证模块、非常规异常信息验证模块，用户登录验证模块基于登录监控模型进行用户登录行为验证，常规异常信息验证模块获取用户的访问数据，基于异常信息数据库进行安全验证，非常规异常信息验证模块解析用户的访问数据，获得用户的操作类型和操作涉及的数据，基于用户的操作类型、操作涉及的数据以及登录监控模型输出的安全风险值进行安全验证。
22.相对于现有技术，本发明具有如下有益效果：将用户登录验证、特征码查杀、内存查杀、主动防御式病毒查杀有机地结合在一起，通过用户登录验证和特征码查杀保证基本的安全防护效果，基于用户的操作类型、操作涉及的数据以及登录监控模型输出的安全风险值合理地选择内存查杀和主动防御式病毒查杀，针对特定的场景采取特定的分析方法，在进一步保证安全防护效果的同时降低系统功耗。
23.以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围。应当指出，对于本技术领域的技术人员，在不脱离本发明设计结构及原理的前提下对本发明方案所作的等同变化都视作本发明的保护范围。