一种探测云端服务异常的方法和装置制造方法

一种探测云端服务异常的方法和装置制造方法
【专利摘要】本发明实施例公开了一种探测云端服务异常的方法和装置，其中方法的实现包括：接收来自云安全系统客户端的查询请求，使用当前判断逻辑确定所述查询请求的查询对象是否为恶意对象，得到本次查询的查询结果；确定所述云安全系统客户端的客户端类型，所述客户端类型包括：白用户和黑用户，所述白用户和黑用户是以恶意操作数区分的客户端；若所述云安全系统客户端属于预定的样本集合，则记录所述云安全系统客户端对应的客户端类型的查询结果；若设定时间段内，所述样本集合内的各种客户端类型查询结果的统计结果符合预定义的告警逻辑，则确定云端服务异常。采用以上方案实现了云端服务器异常的自动探测，因此可以及时有效地发现云端服务的异常。
【专利说明】一种探测云端服务异常的方法和装置

【技术领域】
[0001] 本发明涉及通信【技术领域】，特别涉及一种探测云端服务异常的方法和装置。

【背景技术】
[0002] 互联网技术的快速发展给人们生活带来越来越多的便利。人们通过互联网可以方 便的分享和下载各类资料、获取各类重要信息、在线支付账单等。与此同时，互联网的安全 形势也不容乐观，各类木马病毒伪装成正常文件肆意传播，钓鱼网站模仿正常网站盗取用 户帐号密码愈演愈烈。
[0003] 近年来，随着云技术的不断发展，各大安全厂商纷纷推出基于云技术的安全软件。 采用云技术架构后，安装在用户侧的安全软件客户端在判断用户操作是否安全时，只需提 交查询请求到位于云端的服务器，由服务器完成复杂的鉴定逻辑后将判定结果返回给客户 端，客户端消耗资源很少。相比之下，传统的基于本地特征库的安全软件在鉴定用户操作是 否安全时需要在用户侧做大量匹配运算，消耗大量硬件资源，容易导致用户电脑"假死"，影 响用户对终端设备的正常使用。
[0004] 基于云技术的安全系统(简称云安全系统）在降低客户端负载的同时，也给服务端 的鉴定能力带来了巨大的挑战。当服务端鉴定逻辑的修改后，会即时影响到所有使用此系 统的用户群，而不需要用户进行任何客户端的升级操作。例如基于云技术的网址安全鉴定 服务，假定云端判定某网址http://www. example, com/为恶意网址，那么客户端将会拦截 全体用户对此网址的访问。
[0005] 云安全系统在运营过程中，通常会遇到两方面的挑战：误报和漏报。误报是指对用 户正常的操作做了错误拦截；而漏报则是指对用户危险的操作未做到有效拦截或提示。正 常情况下，云安全系统应该具有较低的漏报率和误报率。而当云端服务异常时，可能会导致 漏报率、误报率异常升高，引发严重的安全事故。
[0006] 为了保证可以及时覆盖最新出现的漏洞和安全攻击，云安全系统的服务端鉴定逻 辑会频繁进行更新发布。在每次发布后，对于云端服务可能出现的异常(例如修改后的逻 辑将某正常文件判定为病毒，或将某正常门户网站判定为恶意网站)，应该做到及时有效发 现，并快速回滚恢复到上一版本，尽量将服务异常带来的负面影响降到最低。
[0007] 目前探测云端服务异常的方案，通常采用人工分析的方法，比如手工测试一批正 常文件/网址是否会判定为安全，或者通过从用户侧收集到的申诉反馈案例来评估异常情 况。
[0008] 然而，采用人工分析的方案，由于技术人员的专业技术水平以及人工处理效率的 限制，并不能保证及时有效发现服务的异常。


【发明内容】

[0009] 本发明实施例提供了一种探测云端服务异常的方法和装置，用于及时有效地发现 云端服务的异常。
[0010] 一种探测云端服务异常的方法，包括：
[0011] 接收来自云安全系统客户端的查询请求，使用当前判断逻辑确定所述查询请求的 查询对象是否为恶意对象，得到本次查询的查询结果；
[0012] 确定所述云安全系统客户端的客户端类型，所述客户端类型包括：白用户和黑用 户，所述白用户和黑用户是以恶意操作数区分的客户端；若所述云安全系统客户端属于预 定的样本集合，则记录所述云安全系统客户端对应的客户端类型的查询结果；
[0013] 若设定时间段内，所述样本集合内的各种客户端类型查询结果的统计结果符合预 定义的告警逻辑，则确定云端服务异常。
[0014] 一种探测云端服务异常的装置，包括：
[0015] 接收单元，用于接收来自云安全系统客户端的查询请求；
[0016] 查询单元，用于使用当前判断逻辑确定所述接收单元接收的查询请求的查询对象 是否为恶意对象，得到本次查询的查询结果；
[0017] 类型确定单元，用于确定所述云安全系统客户端的客户端类型，所述客户端类型 包括：白用户和黑用户；所述白用户和黑用户是以恶意操作数区分的客户端；
[0018] 记录单元，用于若所述云安全系统客户端属于预定的样本集合，则记录所述云安 全系统客户端对应的客户端类型的查询结果；
[0019] 异常确定单元，用于若设定时间段内，所述样本集合内的各种客户端类型查询结 果的统计结果符合预定义的告警逻辑，则确定云端服务异常。
[0020] 从以上技术方案可以看出，本发明实施例具有以下优点：采用以上方案，通过对统 计样本集合内的各种客户端类型查询结果，然后样本集合内的各种客户端类型查询结果的 统计结果是否符合预定义的告警逻辑，来确定云端服务是否异常，实现了云端服务器异常 的自动探测，因此可以及时有效地发现云端服务的异常。

【专利附图】

【附图说明】
[0021] 为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使 用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本 领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其 他的附图。
[0022] 图1为本发明实施例方法流程示意图；
[0023] 图2为本发明实施例云安全系统的构架示意图；
[0024] 图3为本发明实施例探测云端服务异常的构架示意图；
[0025] 图4为本发明实施例方法流程示意图；
[0026] 图5为本发明实施例装置结构示意图；
[0027] 图6为本发明实施例装置结构示意图；
[0028] 图7为本发明实施例装置结构示意图。

【具体实施方式】
[0029] 为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进 一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施 例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的 所有其它实施例，都属于本发明保护的范围。
[0030] 本发明实施例提供了一种探测云端服务异常的方法，如图1所示，包括：
[0031] 101 :接收来自云安全系统客户端的查询请求，使用当前判断逻辑确定上述查询请 求的查询对象是否为恶意对象，得到本次查询的查询结果；
[0032] 查询结果中，恶意对象可以标记为黑，安全对象则可以标记为白，后续实施例将会 给出更详细的举例说明。
[0033] 进一步地，在上述101中，得到本次查询的查询结果之后还包括：向上述云安全系 统客户端发送上述本次查询的查询结果。
[0034] 102 :确定上述云安全系统客户端的客户端类型，上述客户端类型包括：白用户和 黑用户，上述白用户和黑用户是以恶意操作数区分的客户端；若上述云安全系统客户端属 于预定的样本集合，则记录上述云安全系统客户端对应的客户端类型的查询结果；
[0035] 可选地，本发明实施例还给出了白用户和黑用户如何区分的具体实现举例，上述 白用户和黑用户是以恶意操作数区分的客户端，包括：上述白用户是指预定时间段内存在 恶意操作次数高于第一阈值的云安全系统客户端，上述白用户是在预定时间段内存在的恶 意操作数低于第二阈值的云安全系统客户端。
[0036] 上述第一阈值一般要大于第二阈值，并且上述第一阈值会设置得较大，第二阈值 会设置得较小，优选地，第一阈值可以是1，第二阈值可以是〇。当然，将两个阈值均提升一 些也是可以的，本发明实施例对阈值的具体取值不予限定。
[0037] 可选地，上述查询请求携带有云安全系统客户端的全球唯一标识符；上述样本集 合记录有预定的作为样本的全球唯一标识符的集合；上述云安全系统客户端是否属于预定 的样本集合包括：
[0038] 上述云安全系统客户端的全球唯一标识符属于预定的作为样本的全球唯一标识 符的集合。
[0039] 本发明实施例还提供了云安全系统客户端的客户端类型的更新方案，如下：若上 述云安全系统客户端属于预定的样本集合，还包括：查询上述云安全系统客户端当前对应 的客户端类型，并确定下一预定时间段上述云安全系统客户端的客户端类型。
[0040] 103:若设定时间段内，上述样本集合内的各种客户端类型查询结果的统计结果符 合预定义的告警逻辑，则确定云端服务异常。
[0041] 采用以上方案，通过对统计样本集合内的各种客户端类型查询结果，然后样本集 合内的各种客户端类型查询结果的统计结果是否符合预定义的告警逻辑，来确定云端服务 是否异常，实现了云端服务器异常的自动探测，因此可以及时有效地发现云端服务的异常。
[0042] 进一步地，本发明实施例还提供了确定云端服务异常之后的可选处理方式，具体 如下：在确定云端服务异常之后还包括：
[0043] 将云端服务的判断逻辑回滚至前次使用的判断逻辑；和/或，发出告警提示。
[0044] 可选地，本发明实施例还提供给了以上实施例中预定义的告警逻辑的优选方案， 上述预定义的告警逻辑包括：白用户查询结果为恶意对象的数量超过第三阈值和/或黑用 户查询结果为恶意对象的数量小于第四阈值。需要说明的是，以上优选方案采用的预定义 的告警逻辑利用的是：通常黑用户在之后持续一段时间内仍然会继续进行恶意操作(例如， 黑用户可能电脑感染病毒后，又自动下载更多恶意文件)，而白用户在未来进行恶意操作的 概率则相对很低(例如，白用户习惯访问一些知名网站和从中下载资源)，这样的经验规律。 采用其他判断逻辑并不影响本发明实施例的实现，本发明实施例对此不予限定。
[0045] 作为一个举例，述预定义的告警逻辑可以是：比如当白用户每秒请求恶意操作超 过阈值1万次时，说明云端服务可能出现大规模误报，比如误将正常的访问量很大的网站 判为恶意了；或者当黑用户每秒请求恶意操作低于阈值100次时，说明云端服务可能出现 大规模漏报，比如大量之前鉴定为恶意的站点现在判为安全了。
[0046] 以下实施例将给出一个举例，具体说明本发明实施例方案的云安全系统的构架、 以及探测云端服务异常的构架。
[0047] 用户在电脑上所做的操作可以分为恶意操作和安全操作两类，恶意操作包括下载 和\或运行木马病毒，浏览钓鱼和\或挂马网站等各种损害用户利益的危险行为，与恶意操 作相对的其他则为安全操作。云安全系统的构架，如图2所示，图2中示意了 N个客户端以 及一个云端服务器。
[0048] 电脑上安装有云安全系统客户端后，用户的操作会发往云端的服务器进行查询 (比如当前下载文件的MD5 (Message Digest Algorithm5,消息摘要算法第五版)，浏览网址 的MD5等)，当云端返回查询结果为黑时（即此MD5对应的文件或网址为恶意)，可以及时弹 出警告框提示用户中止本次操作。
[0049] 探测云端服务异常的构架如图3所示，包含样本选取模块、事件记录模块以及判 定和预警模块三个。
[0050] 每一个安装在用户电脑上的云安全系统客户端都拥有唯一的⑶ID(Globally Unique Identifier,全球唯一标识符），用于标识和统计客户端的安装量和使用情况。当 客户端与云端进行网络通信时，会附带上自身的GUID，云端服务器在将查询结果返回给客 户端时，也会相应的在事件记录模块中记录本次响应事件，例如某个GUID在某个时间访问 了某个恶意网址。
[0051] 样本选取模块，用于定期筛选和更新一批黑白用户。这里黑用户是指过去一段 时间内有过恶意操作的客户端GUID，白用户是指过去一段时间内没有恶意操作的客户端 GUID。统计来看，通常黑用户在之后持续一段时间内仍然会继续进行恶意操作(例如，黑用 户可能电脑感染病毒后，又自动下载更多恶意文件)，而白用户在未来进行恶意操作的概率 则相对很低(例如，白用户习惯访问一些知名网站和从中下载资源)。
[0052] 事件记录模块，用户记录黑用户和白用户的操作。
[0053] 判定和预警模块，用于实时监控上述选定样本用户群的查询请求响应情况。当发 现样本用户的查询请求量出现异常变化时，可以及时向相关运营人员发送预警邮件或短 信，保证异常可以得到快速处理。
[0054] 基于以上实施例，本发明实施例的方法流程，请参阅图4,包括：
[0055] 401 :客户端发送查询请求到云端；
[0056] 402 :云端服务器响应请求，返回查询结果到客户端；
[0057] 403 :判定当前查询客户端是否在预先选定的样本用户GUID集合中，如果不在，本 次服务结束，否则进入404;
[0058] 404 :区分4类事件：A=(黑用户，恶意操作），B=(黑用户，安全操作），C=(白用户， 恶意操作），D=(白用户，安全操作），根据当前用户类型和查询结果，对相应的上述4类事 件之一的记录增加一次。例如当前请求的为白用户，云端返回的为恶意操作，则事件C的记 录增加一次。
[0059] 405 :自定义告警条件，比如当白用户每秒请求恶意操作超过阈值1万次时，说明 云端服务系统可能出现大规模误报，比如误将正常的访问量很大的网站判为恶意了；或者 当黑用户每秒请求恶意操作低于阈值1〇〇次时，说明云端服务系统可能出现大规模漏报， 比如大量之前鉴定为恶意的站点现在判为安全了。当告警条件满足时，系统自动发出告警 邮件或短信，通知相关负责人及时处理或直接自动回滚到上一次正常的服务逻辑。
[0060] 采用以上方案，通过对统计样本集合内的各种客户端类型查询结果，然后样本集 合内的各种客户端类型查询结果的统计结果是否符合预定义的告警逻辑，来确定云端服务 是否异常，实现了云端服务器异常的自动探测，因此可以及时有效地发现云端服务的异常。
[0061] 本发明实施例还提供了一种探测云端服务异常的装置，该装置可以是云端的服务 器设备，如图5所示，包括：
[0062] 接收单元501，用于接收来自云安全系统客户端的查询请求；
[0063] 查询单元502,用于使用当前判断逻辑确定上述接收单元501接收的查询请求的 查询对象是否为恶意对象，得到本次查询的查询结果；
[0064] 查询结果中，恶意对象可以标记为黑，安全对象则可以标记为白。
[0065] 类型确定单元503,用于确定上述云安全系统客户端的客户端类型，上述客户端类 型包括：白用户和黑用户；上述白用户和黑用户是以恶意操作数区分的客户端；
[0066] 记录单元504,用于若上述云安全系统客户端属于预定的样本集合，则记录上述云 安全系统客户端对应的客户端类型的查询结果；
[0067] 异常确定单元505,用于若设定时间段内，上述样本集合内的各种客户端类型查询 结果的统计结果符合预定义的告警逻辑，则确定云端服务异常。
[0068] 采用以上方案，通过对统计样本集合内的各种客户端类型查询结果，然后样本集 合内的各种客户端类型查询结果的统计结果是否符合预定义的告警逻辑，来确定云端服务 是否异常，实现了云端服务器异常的自动探测，因此可以及时有效地发现云端服务的异常。 [0069] 进一步地，本发明实施例还提供了确定云端服务异常之后的可选处理方式，具体 如下：如图6所示，上述装置，还包括：
[0070] 异常处理单元601，用于在上述异常确定单元505确定云端服务异常之后，将云端 服务的判断逻辑回滚至前次使用的判断逻辑；和/或，发出告警提示。
[0071] 可选地，本发明实施例还提供给了以上实施例中预定义的告警逻辑的优选方案， 上述异常确定单元505,具体用于若设定时间段内，上述样本集合内的各种客户端类型查询 结果的统计结果为白用户查询结果为恶意对象的数量超过第三阈值和/或黑用户查询结 果为恶意对象的数量小于第四阈值，则确定云端服务异常。需要说明的是，以上优选方案采 用的预定义的告警逻辑利用的是：通常黑用户在之后持续一段时间内仍然会继续进行恶意 操作(例如，黑用户可能电脑感染病毒后，又自动下载更多恶意文件)，而白用户在未来进行 恶意操作的概率则相对很低(例如，白用户习惯访问一些知名网站和从中下载资源)，这样 的经验规律。采用其他判断逻辑并不影响本发明实施例的实现，本发明实施例对此不予限 定。
[0072] 作为一个举例，述预定义的告警逻辑可以是：比如当白用户每秒请求恶意操作超 过阈值1万次时，说明云端服务可能出现大规模误报，比如误将正常的访问量很大的网站 判为恶意了；或者当黑用户每秒请求恶意操作低于阈值100次时，说明云端服务可能出现 大规模漏报，比如大量之前鉴定为恶意的站点现在判为安全了。
[0073] 可选地，本发明实施例还给出了白用户和黑用户如何区分的具体实现举例，上述 类型确定单元503,具体用于确定上述云安全系统客户端的客户端类型，上述客户端类型包 括：白用户和黑用户；上述白用户是指预定时间段内存在恶意操作次数高于第一阈值的云 安全系统客户端，上述白用户是在预定时间段内存在的恶意操作数低于第二阈值的云安全 系统客户端。
[0074] 上述第一阈值一般要大于第二阈值，并且上述第一阈值会设置得较大，第二阈值 会设置得较小，优选地，第一阈值可以是1，第二阈值可以是〇。当然，将两个阈值均提升一 些也是可以的，本发明实施例对阈值的具体取值不予限定。
[0075] 可选地，上述查询请求携带有云安全系统客户端的全球唯一标识符；上述样本集 合记录有预定的作为样本的全球唯一标识符的集合；
[0076] 上述记录单元504,具体用于若上述云安全系统客户端的全球唯一标识符属于预 定的作为样本的全球唯一标识符的集合，则记录上述云安全系统客户端对应的客户端类型 的查询结果。
[0077] 可选地，本发明实施例还提供了云安全系统客户端的客户端类型的更新方案，上 述类型确定单元503,还用于若上述云安全系统客户端属于预定的样本集合，查询上述云安 全系统客户端当前对应的客户端类型，并确定下一预定时间段上述云安全系统客户端的客 户端类型。
[0078] 进一步地，如图7所示，上述装置，还包括：
[0079] 发送单元701，用于在查询单元502得到本次查询的查询结果之后，向上述云安全 系统客户端发送上述本次查询的查询结果。
[0080] 值得注意的是，上述装置实施例中，所包括的各个单元只是按照功能逻辑进行划 分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体 名称也只是为了便于相互区分，并不用于限制本发明的保护范围。
[0081] 另外，本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤 是可以通过程序来指令相关的硬件完成，相应的程序可以存储于一种计算机可读存储介质 中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
[〇〇82] 以上仅为本发明较佳的【具体实施方式】，但本发明的保护范围并不局限于此，任何 熟悉本【技术领域】的技术人员在本发明实施例揭露的技术范围内，可轻易想到的变化或替 换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范 围为准。
【权利要求】
1. 一种探测云端服务异常的方法，其特征在于，包括： 接收来自云安全系统客户端的查询请求，使用当前判断逻辑确定所述查询请求的查询 对象是否为恶意对象，得到本次查询的查询结果； 确定所述云安全系统客户端的客户端类型，所述客户端类型包括：白用户和黑用户，所 述白用户和黑用户是以恶意操作数区分的客户端；若所述云安全系统客户端属于预定的样 本集合，则记录所述云安全系统客户端对应的客户端类型的查询结果； 若设定时间段内，所述样本集合内的各种客户端类型查询结果的统计结果符合预定义 的告警逻辑，则确定云端服务异常。
2. 根据权利要求1所述方法，其特征在于，在确定云端服务异常之后还包括： 将云端服务的判断逻辑回滚至前次使用的判断逻辑；和/或，发出告警提示。
3. 根据权利要求1所述方法，其特征在于，所述预定义的告警逻辑包括： 白用户查询结果为恶意对象的数量超过第三阈值和/或黑用户查询结果为恶意对象 的数量小于第四阈值。
4. 根据权利要求1所述方法，其特征在于，所述白用户和黑用户是以恶意操作数区分 的客户端，包括： 所述白用户是指预定时间段内存在恶意操作次数高于第一阈值的云安全系统客户端， 所述白用户是在预定时间段内存在的恶意操作数低于第二阈值的云安全系统客户端。
5. 根据权利要求1至4任意一项所述方法，其特征在于，所述查询请求携带有云安全系 统客户端的全球唯一标识符；所述样本集合记录有预定的作为样本的全球唯一标识符的集 合；所述云安全系统客户端是否属于预定的样本集合包括： 所述云安全系统客户端的全球唯一标识符属于预定的作为样本的全球唯一标识符的 集合。
6. 根据权利要求1至4任意一项所述方法，其特征在于，若所述云安全系统客户端属于 预定的样本集合，还包括： 查询所述云安全系统客户端当前对应的客户端类型，并确定下一预定时间段所述云安 全系统客户端的客户端类型。
7. 根据权利要求1至4任意一项所述方法，其特征在于，得到本次查询的查询结果之后 还包括： 向所述云安全系统客户端发送所述本次查询的查询结果。
8. -种探测云端服务异常的装置，其特征在于，包括： 接收单元，用于接收来自云安全系统客户端的查询请求； 查询单元，用于使用当前判断逻辑确定所述接收单元接收的查询请求的查询对象是否 为恶意对象，得到本次查询的查询结果； 类型确定单元，用于确定所述云安全系统客户端的客户端类型，所述客户端类型包括： 白用户和黑用户；所述白用户和黑用户是以恶意操作数区分的客户端； 记录单元，用于若所述云安全系统客户端属于预定的样本集合，则记录所述云安全系 统客户端对应的客户端类型的查询结果； 异常确定单元，用于若设定时间段内，所述样本集合内的各种客户端类型查询结果的 统计结果符合预定义的告警逻辑，则确定云端服务异常。
9. 根据权利要求8所述装置，其特征在于，还包括： 异常处理单元，用于在所述异常确定单元确定云端服务异常之后，将云端服务的判断 逻辑回滚至前次使用的判断逻辑；和/或，发出告警提示。
10. 根据权利要求8所述装置，其特征在于， 所述异常确定单元，具体用于若设定时间段内，所述样本集合内的各种客户端类型查 询结果的统计结果为白用户查询结果为恶意对象的数量超过第三阈值和/或黑用户查询 结果为恶意对象的数量小于第四阈值，则确定云端服务异常。
11. 根据权利要求8所述装置，其特征在于， 所述类型确定单元，具体用于确定所述云安全系统客户端的客户端类型，所述客户端 类型包括：白用户和黑用户；所述白用户是指预定时间段内存在恶意操作次数高于第一阈 值的云安全系统客户端，所述白用户是在预定时间段内存在的恶意操作数低于第二阈值的 云安全系统客户端。
12. 根据权利要求8至11任意一项所述装置，其特征在于，所述查询请求携带有云安全 系统客户端的全球唯一标识符；所述样本集合记录有预定的作为样本的全球唯一标识符的 集合； 所述记录单元，具体用于若所述云安全系统客户端的全球唯一标识符属于预定的作为 样本的全球唯一标识符的集合，则记录所述云安全系统客户端对应的客户端类型的查询结 果。
13. 根据权利要求8至11任意一项所述装置，其特征在于， 所述类型确定单元，还用于若所述云安全系统客户端属于预定的样本集合，查询所述 云安全系统客户端当前对应的客户端类型，并确定下一预定时间段所述云安全系统客户端 的客户端类型。
14. 根据权利要求8至11任意一项所述装置，其特征在于，还包括： 发送单元，用于在查询单元得到本次查询的查询结果之后，向所述云安全系统客户端 发送所述本次查询的查询结果。
【文档编号】H04L29/08GK104104666SQ201310130619
【公开日】2014年10月15日 申请日期:2013年4月15日 优先权日:2013年4月15日
【发明者】刘健, 邵付东 申请人:腾讯科技（深圳）有限公司