一种云平台的安全管理方法、装置、电子设备及存储介质与流程

1.本发明涉及信息安全技术领域，尤其涉及一种云平台的安全管理方法、装置、电子设备及存储介质。


背景技术：

2.云计算平台(cloud computing platform)也称为云平台，是提供计算和存储服务，实现数据共享和移动办公，为政府和企业提供了巨大的便利，尤其是在今年的疫情期间，实现网上办公和网上课堂，发挥了巨大的作用。
3.与此同时，云平台也成为攻击者青睐的对象。云平台中存在多种类型的实体，如主机、用户、软件、网络、虚拟机、虚拟机监视器等，这些实体会受到不同类型的攻击，如内部攻击、网络攻击、测信道攻击、虚拟机攻击、漏洞利用等，而且随着攻击技术和攻击工具的快速发展，攻击行为也越来越隐蔽，如apt(英文：advanced persistent threat，简称apt，中文：高级可持续威胁攻击)攻击，需要经过前期侦查、建立据点、漏洞利用、提升权限、横向移动、实现攻击、保持据点等一系列操作，具有复杂性、多步骤性和不确定性，要发现该种攻击行为仅仅依赖于单一的实体检测技术很难实现，极大地增加了实体攻击检测难度。


技术实现要素：

4.本发明提供一种云平台的安全管理方法、装置、电子设备及存储介质，用以解决云平台现有技术中关联分析过于简单难以从包含大量误报的告警中发现真正威胁的问题，实现云平台的安全管理。
5.本发明提供一种云平台的安全管理方法，包括：
6.采集云平台中各实体的预设数据；
7.根据所述预设数据构建实体关联图，所述实体关联图表示云平台的各实体之间的关联关系；
8.根据所述实体关联图构建云平台威胁模型，所述云平台威胁模型为云平台中攻击者为达到攻击目标所采用的攻击策略；
9.基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体。
10.根据本发明提供的一种云平台的安全管理方法，所述预设数据包括以下一种或多种组合：
11.登录登出日志，所述登录登出日志记录各实体的登录登出信息；
12.操作日志，所述操作日志记录各实体的操作行为信息；
13.网络访问日志，所述网络访问日志记录各实体的网络访问信息；
14.进程日志，所述进程日志记录各实体的进程信息；
15.流量日志，所述流量日志记录各实体的网络交互信息；
16.资产日志，所述资产日志记录所有网络设备的基本信息；
17.告警日志，所述告警日志记录各种安全系统检测到的告警信息。
18.根据本发明提供的一种云平台的安全管理方法，所述采集云平台中各实体的预设数据之后，包括：
19.对所述预设数据进行预处理，所述预处理的步骤包括删除冗余、格式规范化及日志富化的一种或多种组合；
20.其中，所述删除冗余是删除重复、冗余的数据，所述格式规范化是将数据处理为统一的结构化格式，所述日志富化是将信息不完整的数据结合各类日志实现数据的完整性。
21.根据本发明提供的一种云平台的安全管理方法，所述根据所述预设数据构建实体关联图，包括：
22.以时间周期t为基本单位分别建立不同类型的实体集合；
23.基于所述实体集合，统计各类型实体数量以及生成相应数量的节点，并根据实体编号生成对应节点编号；
24.基于所述预设数据构建实体关系，所述周期t内实体交互的信息流实现实体之间的连接，所述预设数据记录所述信息流。
25.根据本发明提供的一种云平台的安全管理方法，所述根据所述实体关联图构建云平台威胁模型，包括：
26.基于统计时间周期t内各实体的告警日志信息，根据实体告警级别和告警数量标记实体为正常或异常标识；
27.基于统计时间周期t内各实体的告警日志信息，根据实体告警发生时间提取实体序列；
28.采用预设算法学习所述实体序列的实体向量表达，并训练得到所述实体向量表达矩阵。
29.根据本发明提供的一种云平台的安全管理方法，所述根据所述实体关联图构建云平台威胁模型，还包括：
30.根据所述实体向量表达矩阵，通过计算实体向量之间的余弦相似性，分析实体之间的内在联系；
31.根据所述余弦相似性，定义相似性邻居函数，并根据所述相似性邻居函数选择实体向量在时间周期t内n个关联最密切的实体；
32.将多次出现且包含有异常实体的实体链标记为异常实体攻击链；
33.将所述异常实体攻击链加入到所述云平台威胁模型中；
34.其中，所述异常实体攻击链表示异常实体之间的内在联系。
35.根据本发明提供的一种云平台的安全管理方法，所述基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体，包括：
36.将同类型的异常实体向量分别进行聚类分析，如果实体与云平台威胁模型的同类型异常实体聚成一类，则表示实体存在异常，否则表示实体告警存在误报并对所述实体告警进行更正；
37.将同类型的正常实体向量与云平台威胁模型中同类型的异常实体向量进行聚类分析，如果所述正常实体与所述异常实体为一类，表示所述正常实体向量表达与所述异常实体向量表达的相似度高，则对所述正常实体的实体行为进行深度学习以识别所述正常实体是否为未知恶意实体，否则表示所述实体为正常实体。
38.本发明还提供一种云平台的安全管理装置，包括：
39.数据采集模块，用于采集云平台中各实体的预设数据；
40.实体关联图模块，用于根据所述预设数据构建实体关联图，所述实体关联图表示云平台的各实体之间的关联关系；
41.云平台威胁模型模块，用于根据所述实体关联图构建云平台威胁模型，所述云平台威胁模型为云平台中攻击者为达到攻击目标所采用的攻击策略；
42.检测模块，用于基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体。
43.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述云平台的安全管理方法的步骤。
44.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述云平台的安全管理方法的步骤。
45.本发明提供的一种云平台的安全管理方法、装置、电子设备及存储介质，通过构建实体关联图，找到异常实体攻击链，构建出由所述异常实体攻击链构成的云平台威胁模型，并基于所述云平台威胁模型过滤误报异常实体或/和发现未知异常实体，以实现云平台的安全管理。
附图说明
46.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
47.图1是本发明提供的云平台的安全管理方法的流程示意图；
48.图2是本发明提供的数据预处理的流程示意图；
49.图3是本发明提供的预设数据的框图示意图；
50.图4是本发明提供的构建实体关联图的流程示意图；
51.图5是本发明提供的实体关联图的示意图；
52.图6是本发明提供的对实体处理的流程示意图；
53.图7是本发明提供的cbow算法的原理示意图；
54.图8是本发明提供的实体向量表达矩阵的示意图；
55.图9是本发明提供的构建云平台威胁模型的流程示意图；
56.图10是本发明所述异常实体链的示意图；
57.图11是本发明提供的云平台的安全管理方法的流程示意图之一；
58.图12是本发明提供的云平台的安全管理方法的流程示意图之二；
59.图13是本发明提供的云平台的安全管理装置的结构示意图；
60.图14是本发明提供的电子设备的结构示意图。
具体实施方式
61.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
62.为了抵御多方面对云平台的安全威胁，现有技术部署了各种安全设备，如防火墙、入侵检测系统、漏洞扫描系统、防病毒系统、终端检测系统等。然而这些安全设备无法产生协同效应，形成了一个个安全防御孤岛，使得安全防御的效果大大降低。
63.之后，现有技术又提出了siem(安全信息与事件管理)系统。siem最初是基于传统的日志收集和管理，实现日志数据的长期存储，随着时间的发展，siem吸收整合sim(安全信息管理)系统和sem(安全事件管理)系统的优点，将日志与威胁情报相结合，聚合、关联来自不同安全设备的安全事件，实现威胁监控和事件响应。
64.siem最新定义为：siem为来自企业和组织中所有it资产(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、历史分析，对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告，实现it资源合规性管理的目标，同时提升企业和组织的安全运营、威胁管理和应急响应能力。
65.与此同时，结合人力、物力、财力等投入，实现持续的运营、维护和优化，以siem为核心的安全运营中心soc也应运而生。siem和soc在安全产品的基础上构建了一个一体化的安全管理平台，是所有安全产品的集大成者。它们的出现极大程度地解决了以往安全设备信息孤岛的问题，强化了安全设备和网络管理能力，提高了多源异构数据的存储和处理能力，对各种安全事件进行分析、统计和关联，及时发布预警，提供快速响应能力。
66.siem和soc的出现改变了过去多种安全设备各自为政的局面，提高了安全信息管理水平，然而siem和soc安全日志和安全事件分析能力还处于初级阶段。比如，现有平台中关联分析模块，仅依据简单的告警关联功能实现对安全事件的统计分析。这存在以下几个问题：
67.第一、云平台的攻击或威胁是一个逐渐渗透、控制各类实体的过程，仅仅依赖告警日志进行关联分析，针对复杂的攻击，如apt攻击，难以发现攻击的真实意图，发现真正的威胁。
68.第二、各类安全产品或系统产生的告警日志中存在大量的误报信息，如果综合这些误报信息进行关联分析，关联结果会存在极大程度的偏差。
69.第三、各类安全产品或系统产生的告警主要是基于已知的威胁特征，对于变种的威胁或新的攻击缺乏检测能力，存在大量的漏报信息。
70.第四、关联规则的制定需要依据很强的安全背景知识，依赖于专家经验，需要花费大量的人工成本和时间成本。
71.因此，上述所述soc/siem等安全运维系统仅支持简单的告警关联功能，既不能有效过滤误报告警，也难以及时发现真正威胁。
72.为此，本发明提供了一种云平台的安全管理方法、装置、电子设备及存储介质，通过构建实体关联图，找到异常实体攻击链，构建出由所述异常实体攻击链构成的云平台威胁模型，并基于所述云平台威胁模型过滤误报异常实体或/和发现未知异常实体，以实现云
平台的安全管理。
73.下面结合图1-图14对本发明所述云平台的安全管理方法、装置、电子设备及存储介质进行描述。
74.图1是本发明提供的云平台的安全管理方法的流程示意图，如图所示。一种云平台的安全管理方法，包括：
75.步骤100，采集云平台中各实体的预设数据。
76.可选的，所述云平台中的实体包括但不限于以下类型：
77.主机、用户、软件、虚拟机、虚拟机监视器等。
78.可选的，所述预设数据包括以下一种或多种组合：
79.登录登出日志，所述登录登出日志记录各实体的登录登出信息；
80.操作日志，所述操作日志记录各实体的操作行为信息；
81.网络访问日志，所述网络访问日志记录各实体的网络访问信息；
82.进程日志，所述进程日志记录各实体的进程信息；
83.流量日志，所述流量日志记录各实体的网络交互信息；
84.资产日志，所述资产日志记录所有网络设备的基本信息；
85.告警日志，所述告警日志记录各种安全系统检测到的告警信息。
86.上述各实体之间的交互信息存在于多种类型日志中，如审计日志、流量日志、告警日志、资产信息等(如图3所示)。由于不同企业或组织系统管理不尽相同，日志类型及字段定义也存在千差万别，以下日志数据作为预设数据仅为本发明实体关联所需数据信息，但本发明并不限于上述日志数据。
87.其中，登录登出日志记录了主机、用户、软件、虚拟机、虚拟机监视器等实体的登录登出信息，例如何种用户于何时何地登录登出了何种设备，需要但不限于以下信息：登录者id，登录者名称，登录者角色，登录设备id，登录设备名称，登录设备ip，登陆时间，登陆状态，登出时间，登出状态。
88.其中，操作日志记录了主机、用户、软件、虚拟机、虚拟机监视器等实体的操作行为信息，例如何种用户于何时何地进行了何种操作，需要但不限于以下信息：操作者id，操作者名称，操作者角色，操作设备id，操作设备名称，操作设备ip，操作时间，操作类型，操作状态。
89.其中，网络访问日志记录了主机、用户、软件、虚拟机、虚拟机监视器等实体的网络访问信息，例如何种用户于何时何地访问了何种网络，需要但不限于以下信息：操作者id，操作者名称，操作者角色，操作设备id，操作设备名称，操作设备ip，访问ip或url，访问端口，访问时间，访问状态。
90.其中，进程日志记录了主机、用户、软件、虚拟机、虚拟机监视器等实体的进程信息，例如何种用户于何时何地运行了何种程序，需要但不限于以下信息：操作者id，操作者名称，操作者角色，操作设备id，操作设备名称，操作设备ip，进程id，端口号，运行时间。
91.其中，流量日志记录了主机、用户、软件、虚拟机、虚拟机监视器等实体之间的网络交互信息。需要但不限于以下信息：源ip，目的ip，源mac(英文：media access control address，中文：媒体存储控制位址)地址，目的mac地址，源端口，目的端口，开始时间，结束时间，协议类型,上行包数量，下行包数量。
92.其中，资产日志记录了所有it设备的基本信息。需要但不限于以下信息：资产id，资产名称，资产类型，资产ip，资产入库时间，资产负责人。
93.其中，告警日志记录了各种安全系统(如防火墙，漏扫系统，入侵检测系统等)检测到的告警信息。需要但不限于以下信息：告警id，告警ip，告警时间，告警类型，告警端口，告警级别，告警描述。
94.步骤102，根据所述预设数据构建实体关联图，所述实体关联图表示云平台的各实体之间的关联关系。
95.可选的，所述实体关联图用于捕捉、刻画时间周期t内云平台现有各实体之间的关联关系，包括但不限于空间关系、拓扑关系(比如主机之间的物理连接关系)、逻辑连接关系(比如用户登录了主机连接了主机和用户)、时序关系以及附属关系等。
96.可选的，本发明实施例是通过动态性、周期性的构建所述实体关联图。
97.步骤104，根据所述实体关联图构建云平台威胁模型，所述云平台威胁模型为云平台中攻击者为达到攻击目标所采用的攻击策略。
98.首先，基于所述实体关联图实现实体标识策略，即通过统计时间周期t内各实体的告警日志信息，根据实体告警级别和告警数量标记实体正常或异常标识。
99.其次，基于所述实体关联图实现异常实体序列提取策略，即通过统计时间周期t内各实体的告警日志信息，根据实体告警发生时间实现实体序列提取。
100.再次，采用word2vec方法挖掘实体之间的关联关系，训练实体的向量表达，相比于现有技术的关联规则，无需背景知识，降低了人工成本和时间成本。
101.word2vec(英文：word to vector)，属于深度学习技术领域，是一群用来产生词向量的相关模型，应用于自然语言处理方面。所述模型为浅而双层的神经网络，用来训练以重新建构语言学之词文本。网络以词表现，并且需猜测相邻位置的输入词，在word2vec中词袋模型假设下，词的顺序是不重要的。训练完成之后，word2vec模型可用来映射每个词到一个向量，可用来表示词对词之间的关系，所述向量为神经网络的隐藏层。
102.步骤106，基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体。
103.可选的，所述云平台威胁模型用于挖掘异常实体之间的内在联系，找到异常实体攻击链。所述云平台威胁模型是攻击者采取的攻击策略，其表现形式是异常实体攻击链，这个异常实体攻击链会存在不同模式，比如：用户-主机-虚拟机，用户-虚拟机-vmm，这两种是不同类型的云平台威胁模型。
104.具体的，通过计算实体向量余弦相似性，统计经常同时出现的实体组合，对于多次出现且含有异常实体的实体链标记为异常实体攻击链，加入到所述云平台威胁模型中，以实现所述云平台威胁模型的构建，所述云平台威胁模型是异常实体攻击链的集合的统称。
105.可选的，基于所述云平台威胁模型过滤误报异常实体，即通过对相同类型的异常实体进行聚类，能够与云平台威胁模型中的异常实体聚为一类的实体不存在误报情况，而离群点为正常实体误报为异常实体，对误报告警进行过滤。
106.可选的，基于所述云平台威胁模型检测未知异常实体，即提取异常实体链中的正常实体，与同类型异常实体进行聚类分析，若正常实体与异常实体聚为一类，则表明该实体存在异常，为未知异常实体，深度分析该实体行为数据。
107.图2是本发明提供的数据预处理的流程示意图，如图所示。所述采集云平台中各实
体的预设数据之后，包括：
108.步骤200，对所述预设数据进行预处理。
109.根据上述数据描述可知，由于数据种类繁多，来源广泛，具有多源性和异构性。这不仅影响数据的处理速度，而且可能存在同一字段不同表述的问题，增加日志间实体关联的难度。为此数据预处理是必不可少的步骤，所述预处理的步骤包括但不限于以下一种或多种组合：
110.步骤201，删除冗余。
111.删除冗余是指删除重复的、没有意义的数据。基于时间属性删除一定程度的数据冗余，将数据信息按照时间顺序排序，将除时间属性不一致，其他属性完全相同的多条数据合并为一条，减少数据量。
112.步骤202，格式规范化。
113.格式规范化指的是将数据处理为统一的结构化格式，统一字段含义，避免字段不统一带来的关联问题，加快数据处理速度。
114.步骤203，日志富化。
115.日志富化指的是日志数据中存在信息不完整的情况，如字段仅仅存在符号标识，不能明确符号代表的完整含义。在这种情况下，结合上述各类审计日志和资产信息，可丰富数据的语义，实现数据的完整性。
116.图4是本发明提供的构建实体关联图的流程示意图，如图所示。实体关联图可体现云平台与各实体之间的关联关系。根据上述数据需求描述可知，云平台中存在多种类型的实体，如主机、用户、软件、虚拟机、虚拟机监视器vmm等。各实体之间的关系也具有多样性，如主机之间有物理连接关系，有相互访问的逻辑关系；主机与用户之间存在登录、登出、管理、访问等逻辑关系；用户与软件存在启动、关闭等关系；虚拟机和虚拟机监视器是被管理与管理的关系等等。而且随着时间发展，各实体类型、数量、关系也处于动态变化过程中。为了能够更细致、准确的捕捉刻画实体关联关系，本发明实施例提出了一种周期性、动态性构建实体关联图的方法，以时间周期t为基本时间单位构建实体关联图。
117.上述所述根据所述预设数据构建实体关联图，包括：
118.步骤400，以时间周期t为基本单位分别建立不同类型的实体集合。
119.可选的，构建实体关联图的第一步是实体信息提取。为此本发明实施例以时间周期t为基本单位分别建立不同类型的实体集合：
120.主机实体集合、用户实体集合、软件实体集合、虚拟机实体集合、虚拟机监视器实体集合，如下所示：
121.主机实体集合：host＝{h1,h2,
…
,h
n
}；
122.用户实体集合：user＝{u1,u2,
…
,u
n
}；
123.软件实体集合：software＝{s1,s2,
…
,s
n
}；
124.虚拟机实体集合：vm＝{vm1,vm2,
…
,vm
n
}；
125.虚拟机监视器实体集合：vmm＝{vmm1,vmm2,
…
,vmm
n
}。
126.步骤402，基于所述实体集合，统计各类型实体数量以及生成相应数量的节点，并根据实体编号生成对应节点编号。
127.可选的，构建实体关联图的第二步是实体节点生成，即基于上述的实体集合统计
各类型实体数量，生成相应数量的节点，并根据实体编号生成对应节点编号。
128.步骤404，基于所述预设数据构建实体关系，所述周期t内实体交互的信息流实现实体之间的连接，所述预设数据记录所述信息流。
129.可选的，构建实体关联图的第三步也是关键的一步是实体关系构建，即使基于时间周期t内实体交互的信息流实现实体之间的连接。实体之间的信息流体现在上述的数据需求描述中，如通过登录登出日志可以实现用户与主机、用户与虚拟机、虚拟机与虚拟机监视器等的关联；通过操作日志和网络访问日志可以实现主机、用户、软件、虚拟机、虚拟机监视器之间多对多的关联；通过进程日志可以实现各实体与进程之间的关联；通过流量日志可以实现主机与主机之间的关联，通过资产日志可以查询资产的基本信息，实现日志数据富化。通过顺序处理各类日志实现实体之间的连接，形成实体关联图(如图5所示)。
130.图6是本发明提供的对实体处理的流程示意图，如图所示。所述根据所述实体关联图构建攻击者的云平台威胁模型，包括：
131.步骤600，基于统计时间周期t内各实体的告警日志信息，根据实体告警级别和告警数量标记实体为正常或异常标识。
132.实体关联图体现了各实体之间的物理连接关系和逻辑连接关系。那么如何体现实体关联图中各实体正常或异常标记？
133.本发明实施例是通过实体告警得以实现，依据实体上告警的严重级别和告警数量标记实体正常或异常，具体实现方式如下所示：
134.基于告警日志统计时间周期t内各实体产生的告警信息，并按照告警发生时间进行排序，形成各实体的告警链。
135.因为一个实体对应一条告警链信息，存在一个或多个告警信息，告警的严重级别各有不同，为此我们设定了以下策略实现实体标记：如果实体上存在严重级别的告警，则实体标记为异常；如果实体上不存在严重级别的告警，但中等级别的告警占大多数，则实体标记为异常；如果实体上多为低级别告警，则暂时标记为正常实体。如果实体不存在告警信息。则标记为正常实体。
136.步骤602，基于统计时间周期t内各实体的告警日志信息，根据实体告警发生时间提取实体序列。
137.此外，如何将实体关联图转换为实体序列形式？本发明实施例是依据实体告警发生时间提取实体序列。
138.可选的，上述实体标记完成后，依据实体上告警发生时间提取实体序列。因为一个实体对应一条告警链，存在一个或多个告警信息，告警发生时间存在一定差异，这里存在多种策略看实现实体序列提取，具体如下所示：
139.依据第一条告警发生的时间；依据最后一条告警发生的时间；依据最严重级别告警发生的时间。依据其中一种或多种策略提取实体，生成实体序列。
140.步骤604，采用预设算法学习所述实体序列的实体向量表达，并训练得到所述实体向量表达矩阵。
141.词嵌入是一种将文本中的词转换成数字向量的方法。词嵌入技术因能学习上下文之间的内在联系，将单词表达为语义上有意义的密集实值向量，解决one-hot(独热编码)向量稀疏性和不能学习上下文关联的问题，被广泛应用于自然语言处理中，如词性标注、命名
实体识别、文本分类、情感分析、文档聚类与生成、问答系统等方向。为了学习云平台中上下文实体之间的内在联系，发现各实体在攻击路径中扮演的角色，本发明实施例采用word2vec方法学习云平台各实体的实体向量表达。
142.独热编码即one-hot编码，又称一位有效编码，其方法是使用n位状态寄存器来对n个状态进行编码，每个状态都有它独立的寄存器位，并且在任意时候，其中只有一位有效。
143.word2vec中包含两个著名算法：连续词袋算法cbow和跳字模型算法skip-gram。与skip-gram相比，cbow模型对于给定单词能接受更多的上下文信息，为此本发明实施例采用cbow算法学习实体序列的实体向量表达。cbow通过依据上下文单词预测目标单词的方式训练学习词向量，具体原理如下图7所示。
144.cbow模型分为三层：输入层，隐藏层和输出层。输入层由one-hot编码的上下文组成，其中窗口大小为c，词汇表大小为v。隐藏层是n维的向量，由输入层经过w1矩阵变换得到。输出层是v维的向量，用于预测输出向量，由隐藏层经过w2矩阵变换得到。cbow模型的目标函数为：
[0145][0146]
通过不断优化目标函数，训练得到w1实体向量表达矩阵(如图8所示)。
[0147]
图9是本发明提供的构建云平台威胁模型的流程示意图，如图所示。所述根据所述实体关联图构建云平台威胁模型，还包括：
[0148]
步骤900，根据所述实体向量表达矩阵，通过计算实体向量之间的余弦相似性，分析实体之间的内在联系。
[0149]
所述云平台威胁模型是指云平台中攻击者为了达到攻击目标所采用的具有一定规律可循的攻击策略。如apt(高级可持续威胁攻击)攻击，攻击者需要经过前期侦查、建立据点、漏洞利用、提升权限、横向移动、实现攻击、保持据点等一系列操作步骤。所述攻击步骤不仅具有关联性，而且具有潜伏性和分散性，发生在不同类型实体上，因此攻击步骤涉及的异常实体也存在一定的关联关系，所述云平台威胁模型用于挖掘异常实体之间的内在联系，找到异常实体攻击链。
[0150]
为实现上述目标，本发明实施例根据上述学习到的实体向量表达矩阵，通过计算实体向量之间的余弦相似性，分析发现实体之间的内在联系，具体计算方式如下所示：
[0151][0152]
所述计算结果用于衡量实体向量之间的相似性，在区间[0,1]中有界。具有相同方向的两个向量的余弦相似性为1(最相似)，两个相对定向为90
°
的向量的相似性为0(不相似)。
[0153]
步骤902，根据所述余弦相似性，定义相似性邻居函数，并根据所述相似性邻居函数选择实体向量在时间周期t内n个关联最密切的实体。
[0154]
云平台实体攻击链中的异常实体具有关联性，会多次同时出现。为了识别云平台中的异常实体攻击链，根据相似性指标，定义相似性邻居的函数，具体计算方式如下所示：
[0155][0156]
上述计算结果可以选择出实体向量在时间周期t内n个关联最密切的实体。
[0157]
步骤904，将多次出现且包含有异常实体的实体链标记为异常实体攻击链。所述异常实体攻击链表示异常实体之间的内在联系。
[0158]
如果相同模式的实体链多次出现且实体链中包含异常实体，则表示该实体链存在异常，如图10所述的异常实体链：
[0159]
u
→
s
→
vm
→
vmm
→
h。
[0160]
比如：假设用户攻击主机步骤：用户1攻击主机2，用户3攻击主机1，是同种威胁模型。
[0161]
通过计算余弦相似性和相似性邻居两个指标，本发明实施例可以分析构建出云平台威胁模型，就可以过滤误报异常实体或/和发现未知异常实体。
[0162]
步骤906，将所述异常实体攻击链加入到所述云平台威胁模型中。
[0163]
图11是本发明提供的云平台的安全管理方法的流程示意图之一，如图所示。所述基于云平台威胁模型，过滤误报异常实体，包括：
[0164]
步骤1100，将同类型的异常实体向量分别进行聚类分析。
[0165]
步骤1102，判断实体与云平台威胁模型的同类型异常实体是否聚成一类？如果是，执行步骤1104，否则执行步骤1106。
[0166]
步骤1104，如果实体与云平台威胁模型的同类型异常实体聚成一类，则表示实体确实存在异常。
[0167]
步骤1106，如果实体与云平台威胁模型的同类型异常实体不是聚成一类，则表示实体告警存在误报并对所述实体告警进行更正。
[0168]
为解决现有各类安全产品或系统存在大量误报告警问题，本发明实施例可基于平台威胁模型过滤误报异常实体，具体如下所示：
[0169]
云平台中有主机、用户、软件、虚拟机、虚拟机监视器等实体类型。同类型的异常实体向量分别进行聚类分析，设定合理的阈值，如果实体与云平台威胁模型的同类型异常实体聚成一类，则表明实体确实存在异常，否则表明实体告警存在误报情况，对实体告警进行更正。
[0170]
图12是本发明提供的管理云平台的安全管理方法的流程示意图之二，如图所示。所述基于云平台威胁模型，发现未知异常实体，包括：
[0171]
步骤1200，将同类型的正常实体向量与所述云平台威胁模型中同类型的异常实体向量进行聚类分析。
[0172]
步骤1202，判断所述正常实体与所述异常实体是否为一类？如果是，则执行步骤1204，否则执行步骤1206。
[0173]
步骤1204，如果所述正常实体与所述异常实体为一类，表示所述正常实体向量表达与所述异常实体向量表达的相似度更高，则所述正常实体极有可能是未知恶意实体，则对所述实体行为进行深度分析。
[0174]
步骤1206，如果所述正常实体与所述异常实体不是一类，则表示所述实体为正常实体。
[0175]
针对云平台中存在异常的未产生告警的实体，本发明实施例可基于平台威胁模型检测未知异常实体，具体如下所示：
[0176]
云平台中有主机、用户、软件、虚拟机、虚拟机监视器等实体类型。同类型的正常实体向量与云平台威胁模型中同类型的异常实体向量进行聚类分析，设定合理的阈值，如果正常实体与异常实体聚为一类，说明正常实体向量表达与异常实体向量表达相似性更高，则该正常实体极有可能是未知恶意实体，则对该实体行为进行深度分析，否则表明实体正常。
[0177]
下面对本发明提供的云平台的安全管理装置进行描述，下文描述的云平台的安全管理装置与上文描述的云平台的安全管理方法可相互对应参照。
[0178]
图13是本发明提供的云平台的安全管理装置的结构示意图，如图所示。本发明所述一种云平台的安全管理装置1300，包括数据采集模块1301、实体关联图模块1302、云平台威胁模块1303以及识别模块1304。其中，
[0179]
数据采集模块1301，用于采集云平台中各实体的预设数据；
[0180]
实体关联图模块1302，用于根据所述预设数据构建实体关联图，所述实体关联图表示云平台的各实体之间的关联关系；
[0181]
云平台威胁模型模块1303，用于根据所述实体关联图构建云平台威胁模型，所述云平台威胁模型为云平台中攻击者为达到攻击目标所采用的攻击策略；
[0182]
检测模块1304，用于基于云平台威胁模型，过滤误报异常实体或/和发现未知异常实体。
[0183]
图14示例了一种电子设备的实体结构示意图，如图14所示，该电子设备可以包括：处理器(processor)810、通信接口(communications interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令，以执行上述所述云平台的安全管理方法的步骤。
[0184]
此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0185]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的所述云平台的安全管理方法的步骤。
[0186]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述所提供的所述云平台的安全管理方法的步骤。
[0187]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0188]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0189]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。