域-应用归属的制作方法

域-应用归属


背景技术：

1.互联网的普及已经改变了工作场所。组织的信息技术(it)资源可以被托管在云服务上，云服务允许从任何位置、从不同类型的应用(例如，基于web的应用、移动应用、桌面应用)和从不同类型的设备(例如，移动电话、物联网(iot)、台式机、笔记本计算机等)进行访问。由于用户可以随时并且随地访问资源，云服务提高了工作场所的生产率。然而，这种提高的生产率和灵活性增加了保护网络资源所需的安全性的复杂性。仅验证用户的登录凭据不足以保护对网络资源的访问。以下情形将会引发安全问题：如果从不受组织it部门控制的位置请求访问，通过已知可疑的应用类型请求访问尝试，或者从被组织阻止的设备请求访问尝试。因此，需要在保护由云服务提供的资源的安全性与云服务的用户的生产率之间取得平衡。


技术实现要素：

2.提供本发明内容是为了以简化的形式介绍将在下面的详细描述中进一步描述的一些概念。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。
3.由代理服务器自动将云资源(例如，应用、库、设备、服务等)与域进行归属(attribute)，以便发起旨在以预期方式保护云资源的会话策略。代理服务器对接在用户与托管云资源的云服务之间。代理服务器包括安全模块，该安全模块监测用户在与云资源的用户会话期间执行的操作。安全模块建立安全会话，以应用会话策略来保护特定的云资源。会话策略是预先配置的自动操作，诸如阻止下载、阻止修改等。
4.当域先前未与云资源进行归属时，代理服务器自动地将域名与适当的云资源相关联。代理服务器将归属于云资源的域的特征与未归属域的特征进行比较。代理服务器利用统计技术来执行比较，并且确定最有可能归属于未归属域的云资源。然后，代理服务器可应用适当的会话策略来保护云资源。
5.通过阅读以下详细说明和审阅相关附图，这些以及其他特征和优点将显而易见。应当理解，前面的一般描述和下面的详细描述均只是解释性的，而不是对所要求保护的方面的限制。
附图说明
6.图1图示了用于自动将域与云资源进行归属的示例性系统。
7.图2是图示了将会话策略应用于归属的云资源的示例性方法的流程图。
8.图3是图示了用于基于多个域的特征的统计比较来确定要归属于域的最可能的云资源的示例性方法的流程图。
9.图4是图示了示例性操作环境的框图。
具体实施方式
10.概述
11.本文涉及域与云资源的归属。在一个方面，域与云资源的归属被用来发起保护云资源的动作。代理服务器对接在用户与托管资源的云服务之间。代理服务器包括与托管资源的云服务建立安全会话的安全模块。安全模块监测用户在与由云服务托管的资源进行用户会话期间执行的操作。安全模块应用会话策略，这些会话策略是用于保护特定云资源的预配置自动操作，诸如阻止下载、阻止修改等。
12.代理服务器接收去往云服务的网络流量。代理服务器将域名与特定云资源相关联或相归属，以便为访问请求提供服务。每个域名均归属于单个云资源。代理服务器保留域及其归属资源的日志。有时，可能会遇到域名与云资源未相关联或未相归属的请求。在这种情况下，安全模块无法保护目标云资源，并且无法触发可能需要保护云资源的会话策略。如果不对云资源利用适当的会话策略进行实时会话监测，则该云资源将无法防止数据被盗和数据丢失。
13.在一个方面，云资源是云应用，诸如软件程序(可执行代码、中间语言代码、源代码、库、组件等)。然而，本公开不限于云应用，并且可以应用于任何类型的网络可访问资源。
14.本公开提供了一种基于未归属域的特征与同特定云应用相归属的已知域的特征的相似性，自动将域与云应用相关联或相归属的技术。通过这种方式，会话策略在会话监测期间被应用于云应用，以便按照预期保护云应用。
15.现在，注意力转向对代码完成系统中所利用的系统、设备、组件和方法的进一步论述。
16.系统
17.图1图示了示例性系统100的框图，其中可实践本发明的各个方面。如图1所示，系统100包括通过代理服务器108通信地耦合到云服务104的一个或多个用户102，云服务104托管一个或多个云应用106。云服务104可以包括认证用户对云应用106的访问的身份提供方。云服务104可以包括关于云应用106的其他服务。
18.代理服务器108是位于用户的计算设备102与云服务104之间的中间设备，其阻止两个网络之间的直接访问。代理服务器108通过拦截发送方和接收方之间的网络业务来工作。所有传入数据均经由一个端口进入，并且经由另一端口转发到网络的其余部分。通过这种方式，黑客更难获取私有网络的内部地址和详细信息。
19.在一个方面，代理服务器108作为反向代理运行。反向代理提供对防火墙后面并且由云服务104使用的互联网资源的访问。然而，应当注意，代理服务器108还可以被利用作为在客户端设备上操作的转发代理，诸如通过web浏览器。
20.代理服务器108包括执行各种安全功能的安全模块122。其云应用被托管在云服务104上的组织可以按策略的形式提供指令，安全模块122使用这些策略来管理组织的云应用的访问。有条件访问策略112由组织设置以支持自动访问控制决策。安全模块122使用有条件访问策略112来基于组织设置的条件以允许对资源的访问。有条件访问策略112可以考虑寻求访问的设备的类型、生成访问请求的位置、用于执行访问请求的应用的类型和/或登录风险级别。有条件访问策略是一个或多个条件的定义，在这些条件下，将自动向云应用分配或拒绝访问。
21.安全模块122使用会话策略114在实时会话监测期间自动化操作。会话指多个设备之间的临时和交互式信息交换，诸如用户102与云应用106之间的信息交换。会话策略112是支持在会话期间自动控制用户动作的指令。示例性会话策略可以包括：监测用户在会话期间执行的活动、阻止下载、阻止特定活动以及在下载操作上保护文件。例如，当会话被监测时，会话策略可以允许用户有限地访问云应用，而不是完全允许访问或完全阻止访问。
22.安全模块122实现有条件访问策略112和会话策略114。当用户102请求访问由云服务托管的云应用时，请求110被路由到安全模块122。安全模块122为用户建立单个安全会话120。当用户在用户会话124a-124n中的任何用户会话期间参与云应用106中的任何云应用时，安全会话120存在。安全会话120用于监测用户动作是否符合为云应用配置的策略。
23.在一个方面，安全模块122从用户102接收用于访问云应用106的请求110。在一个方面，请求110是超文本传输协议(http)请求。http请求110包括具有域名的统一资源定位器(url)。域名是互联网上权威机构的标识符，并且域名标识一个或多个ip地址。安全模块122记录与特定应用相关联或相归属的域，以便支持域/应用数据库116中的会话监测。域名和归属云应用的组合被用于访问目标云应用并且调用适当的安全策略。域/应用数据库116包含用于访问特定云应用106的针对每个域名的条目。当在未登录到域/应用数据库116的http请求中遇到新域名时，安全模块无法为目标云应用来应用会话策略。因此，需要一种机制来将适当的云应用106与新域名相关联或相归属，以便应用适当的会话策略。
24.安全模块122使用域归属模型118来确定最有可能与未知或未归属域相关联的云应用。域归属模型118使用统计技术来确定最有可能归属于新域名的云应用。统计技术基于未知域的特征与同云应用相归属的域的特征之间的相似性。相似性基于概率，并且归属于具有最高概率的域的云应用被归属于未知域。
25.应当注意，图1示出了可实施本发明各个方面的环境的一个方面中的系统的组件。然而，可能不需要图1中所示的组件的确切配置来实践图1中所示的配置的各个方面和变化，并且可在不脱离本发明的精神或范围的情况下做出组件的类型。例如，本发明不限于云应用，并且可使用能够通过网络访问的任何资源(诸如但不限于设备)来实施，
26.方法。
27.现在，关注点转移到对使用本文所公开的系统和设备的各种示例性方法的描述。可参考各种示例性方法来进一步描述这些方面的操作。可理解，除非另有指示，否则代表性方法不一定必须以呈现的顺序或任何特定顺序执行。此外，关于所述方法描述的各种活动可按串行或并行方式来执行，或者按串行和并行操作的任意组合来执行。在一个或多个方面，该方法说明了本文所公开的系统和设备的操作。
28.图2示出了用于将云应用与域相归属或相关联的示例性方法200。参考图1和2，当用户102发起与托管目标云应用106的云服务104的用户会话时，安全会话120由安全模块122发起。安全会话120被利用以跟踪在用户102发起的与云服务104的每个用户会话124期间的用户动作。用户102通过发起包括域名的http请求110来请求对云应用的访问。安全模块122利用域-应用数据库116来针对请求确定适当的云应用。每个域名均与单个云应用相关联。
29.在新域名在http请求110中被引用的情况下，在域-应用数据库116中没有针对新域名的条目。安全模块122必须将云应用106与该新域名相关联，以便实现适当的会话策略
114。(统称为框202)。
30.安全模块122通过域归属模型118的应用来确定适当的云应用。域归属模型118基于统计技术，该统计技术通过将与云应用相归属的域的特征与未归属域的特征的比较，来预测未归属域名与特定云应用相关联的可能性(统称为框204)。
31.安全模块122分析从域归属模型生成的概率。具有最高概率的云应用106被选择为归属于未知域(框206)。安全模块122然后应用与归属云应用相关联的会话策略114(框208)。对代理服务器108遇到的每个新域名重复这些步骤(框202-208)。
32.转到图3，示出了用于生成概率的示例性方法，该概率用于确定与特定域相关联的最可能的云应用。该方法从获取域名列表开始。示例性域名是microsoft.com、ibm.com、google.com、wikipedia.com等。域名列表可以从域名系统服务器(dns)和/或国际互联网络信息中心(internic)数据库获取。在一个方面，域名列表可以是由利用云服务的特定组织的用户所访问的那些域名。这些域名可以在组织的防火墙或网关处被检测到(统称为框302)。
33.针对域列表中的每个域提取与域相关联的特征。特征是唯一描述域的域的特性，特征诸如但不限于一个或多个ip地址、一个或多个电子邮件地址、组织名称、邮寄地址、电话号码、传真号码等。这些特征可以从与域的注册相关联的dns记录中获取。此外，用于与代理服务器建立初始通信设置的安全套接字层/传输层安全(ssl/tls)证书包含通用名(cn)，它是web服务器的完全限定的域名。通用名也是域的特征。(统称为框302)。
34.此外，特征可以包括与域相关的其他域。该关系可以从ssl/tls证书确定，该证书可以包括附加域名。此外，url重定向或http重定向是对http请求的响应，url重定向或http重定向将请求重定向到包括另一域名的新url。这个新域名被认为是原始域名的特征。
35.(统称为框302)。
36.每个特征均包含值。例如，针对域名“microsoft.com”的特征的值“组织名称”是微软公司。当特征是名称服务器时，值可以是ns1:uniregistry-dns.com、ns2:uniregistry
–
dns.com或者ns-1187:awsdns20.org。(统称为框302)。
37.基于归属域的特征的值与未归属域的特征的值的比较，针对每个域计算预测概率。选择具有最高预测概率的归属域，并且将归属于该归属域的云应用归属于未知域。比较使用域归属模型，该模型使用以下计算来计算每个归属域的预测概率。
38.值预测概率vpp是特定特征的特定值与特定云应用相关联的概率。例如，对于特征通用名称(common name)的值“cmo-software.com”，值预测概率测量使用该值将导致针对给定域名的云应用的准确预测的可能性。vpp被计算为：与此特定云应用相关联的归属域匹配未知域的特征的值的次数与未知域的特征的值匹配归属于任何已知云应用的任何域的特征的值的次数之比
39.值精度度量vp是特征的特定值是良好归属度量的概率。vp是云应用与如下域相关联的次数的倒数，该域的特征的值与未归属域中相同特征的值相匹配。值精度度量是一种权重，它使常用特征的权重较小，使不常用特征的权重较大。
40.然后，值预测概率和值精度度量被用来确定云应用更有可能归属于未知域的概率。尽管域与单个应用相关联，但应用可能归属于多个域。每个域的特征的值的比较被用于基于其与具有最接近匹配特征值的域的关联来确定最可能的云应用。
41.预测概率公式在数学上被表示为如下：
42.假设a是云应用，并且a是云应用集合，a∈a，
43.f是域的特征，并且f是域集合中的特征集合，f∈f，
44.n是特征集合f中的特征的数目，
45.d是未归属域，
46.d(a)是归属于云应用的域的列表，
47.是归属域，
48.v(f,d)是未归属域d的特征f的值，并且
49.是归属域的特征f的值。
50.值预测概率vpp(a，v(f，d))是未归属域d的特征f的特定值表示归属于云应用a的概率。该概率基于n(f,d,a)和c(f,d)。计算n(f,d,a)表示未归属域d的特征的值与归属于云应用a的归属域的特征f的值相匹配的次数。计算c(f,d)表示未归属域d的特征的值与任何归属域中的特征的值匹配的次数。值预测概率是未归属域d的特征的值匹配归属域的特征的值的次数与未归属域的特征匹配归属域中的特征的次数之比。值预测概率在数学上表示未如下：
[0051][0052]
其中
[0053][0054]
值精度vp测量将应用归属于未归属域的特征的特定值的精度。它是一种权重，该权重被用于使较不常用或独特的特征比常用特征具有更大权重。值精度基于t(f,d)。t(f,d)表示归属于在未归属域中具有相同特征的值的域的应用的数目。通过使用t(f,d)的倒数，公共特征被加权得更少，而不常用的特征被加权得更多。值精度vp的数学表示如下：
[0055][0056]
其中
[0057]
未归属域归属于与非归属域的特征最紧密匹配的域相关联的云应用。确定一个域的特征与另一域的特征有多紧密地匹配的计算是预测概率p。预测概率可以基于单个特征或多个特征。
[0058]
特征概率fp(f，d，a)表示基于单个特征f的相似性将未归属域d归属于云应用a的概率。特征概率fp(f，d，a)是针对未归属域d、云应用a和特征f的值预测概率vpp(a，v(f，d))与值精度vp(v(f，d))的乘积。使用归一化因子n(f,d)在[0,1]范围内归一化特征概率，n(f,d)如下所示：
[0059][0060]
因此，特征概率fp(f,d,a)可在数学上表示如下：
[0061]
fp(f，da)＝vpp(a，v(f，d))*vp(v(f，d))*n(f，d)
ꢀꢀ
(7)
[0062]
在比较中使用n个特征的情况下，计算变为如下：
[0063][0064]
归属于未归属域d的云应用是与具有最大值p的域相归属的云应用a。
[0065]
回到图3，对于每个域，值预测概率vpp按照上面的等式(1)-(3)计算(框304)，并且值精度度量vp按照等式(4)-(5)计算(框306)。对于每个域，然后根据等式(6)-(8)确定针对归属域的预测概率(框308)。选择具有最高预测概率的域，并且将归属于该域的云应用确定为将被归属于未归属域的云应用(框310)。
[0066]
示例性操作环境
[0067]
现在，注意力转向对示例性操作环境的论述。图4示出了示例性操作环境400，其中一个或多个计算设备402被用来执行将域到云应用的归属。然而，应当注意，本文所公开的方面不限于设备的任何特定配置。计算设备402可以被配置作为执行针对云应用的安全服务的云服务。应当注意，操作环境不限于任何特定配置，并且其他配置也是可能的。
[0068]
计算设备402可以是任何类型的电子设备，诸如但不限于移动设备、个人数字助理、移动计算设备、智能电话、蜂窝电话、手持计算机、服务器、服务器阵列或服务器场、web服务器、网络服务器、刀片服务器、互联网服务器、工作站、微型计算机、大型计算机、超级计算机、网络设备、web设备、分布式计算系统、多处理器系统或其组合。操作环境400可以被配置在网络环境、分布式环境、多处理器环境或能够访问远程或本地存储设备的独立计算设备中。
[0069]
计算设备402可以包括一个或多个处理器404、一个或多个通信接口406、一个或多个存储设备408、一个或多个输入/输出设备412和存储器设备410。处理器404可以是任何商用或定制的处理器，并且可以包括双微处理器和多处理器架构。通信接口406支持计算设备402与其他设备之间的有线或无线通信。存储设备408可以是不包含传播信号(诸如通过载波传输的调制数据信号)的计算机可读介质。存储设备408的示例包括但不限于ram、rom、eeprom、闪存或其他存储技术、cd-rom、数字多功能盘(dvd)或其他光存储器、磁带、磁盘存储器装置，所有这些均不包含传播信号(诸如通过载波传输的调制数据信号)。在计算设备402中可以存在多个存储设备408。输入/输出设备412可以包括键盘、鼠标、笔、语音输入设备、触摸输入设备、显示器、扬声器、打印机等及其任意组合。
[0070]
存储器410可以是可以存储可执行过程、应用和数据的任何非暂态计算机可读存储介质。计算机可读存储介质不涉及传播信号，诸如通过载波传输的调制数据信号。它可以是不属于传播信号(诸如通过载波传输的调制数据信号)的任何类型的非暂态存储器装置(例如，随机存取存储器、只读存储器等)、磁存储器、易失性存储器、非易失性存储器、光存储器、dvd、cd、软盘驱动器等。存储器410还可以包括一个或多个外部存储设备或远程存储设备，其不涉及传播信号(诸如通过载波传输的调制数据信号)。存储器410可以包括操作系
统414、安全模块416、域/应用数据库418、域归属模型420以及其他应用和数据422。
[0071]
计算设备402可以被通信地耦合到网络424。网络424可以被配置为自组织网络、内联网、外联网、虚拟专用网(vpn)、局域网(lan)、无线lan(wlan)、广域网(wan)、无线wan(wwan)、城域网(man)、互联网、公共交换电话网(pstn)的一部分、普通旧电话服务(pots)网络、无线网络、网络或任何其他类型的网络或网络组合。
[0072]
网络424可以采用各种有线和/或无线通信协议和/或技术。网络可以采用的不同通信协议和/或技术的各种代(generation)可以包括但不限于：全球移动通信系统(gsm)、通用分组无线业务(gprs)、增强型数据gsm环境(edge)、码分多址(cdma)、宽带码分多址(w-cdma)、码分多址2000(cdma-2000)、高速下行分组接入(hsdpa)、长期演进(lte)、通用移动通信系统(umts)、演进数据优化(ev-do)、微波接入全球互操作性(wimax)、时分多址(tdma)、正交频分复用(ofdm)、超宽带(uwb)、无线应用协议(wap)、用户数据报协议(udp)、传输控制协议/互联网协议(tcp/ip)、开放系统互连(osi)模型协议的任何部分、会话启动协议/实时传输协议(sip/rtp)、短消息服务(sms)、彩信服务(mms)或任何其他通信协议和/或技术。
[0073]
结论
[0074]
公开了一种具有一个或多个处理器和存储器的系统。该系统还包括一个或多个程序。一个或多个程序被存储在存储器中，并且被配置为由一个或多个处理器执行，该一个或多个程序包括以下指令：利用代理服务器来发起安全会话，该安全会话监测对一个或多个云资源的用户访问，其中代理服务器依赖于与特定云资源相归属的域；检测来自未归属于云资源的第一域的请求；将第一域归属于云资源，该云资源被归属于第二域，其中归属基于第一域中的特征的至少一个值与第二域中的特征的至少一个值相匹配的相似性；以及在安全会话期间将至少一个安全策略应用于第一域的被归属的云资源。
[0075]
在一个或多个方面，一个或多个程序还包括在由一个或多个处理器执行时执行以下动作的指令：基于第二域的特征的特定值与第一域的特征的特定值的比较，生成针对第一域的值预测概率。
[0076]
在一个或多个方面，一个或多个程序还包括在由一个或多个处理器执行时执行以下动作的指令：生成针对第二域的值精度度量，该值精度度量使较不常用的特征比常用的特征具有更大权重。
[0077]
在一个或多个方面，一个或多个程序还包括在由一个或多个处理器执行时执行以下动作的指令：基于针对第二域的值预测概率和针对第二域的值精度度量，计算第二域与要归属于第一域的特定资源相关联的概率。
[0078]
在一个或多个方面，一个或多个程序还包括在由一个或多个处理器执行时执行以下动作的指令：基于来自多个域的多个特征的比较，确定第一域对云应用的归属，该云应用被归属于第二域。
[0079]
在一个或多个方面，一个或多个程序还包括在由一个或多个处理器执行时执行以下动作的指令：将针对多个归属域中的每个归属域的预测概率计算为与每个域相关联的特征概率的乘积，其中特征概率基于归属域的值预测概率和归属域的值精度度量。
[0080]
在一个或多个方面，云资源是云应用，并且代理服务器是反向代理。
[0081]
公开了一种方法，该方法包括在代理服务器处，将新域与被托管在云服务上的云
资源进行归属，其中代理服务器对接在云服务与网络之间，该网络接收用于访问被托管在云服务上的云资源的请求。归属包括：获取与云服务相关联的多个归属域，归属域具有一个或多个特征，特征具有至少一个值；获取多个归属域的多个特征；将多个归属域的每个特征的值与新域的每个特征的值进行比较；将新域与选择的云资源进行归属，选择的云资源被归属于选择的归属域，该选择的归属域具有新域的特征的最匹配的值；以及应用与选择的云资源相关联的安全功能。
[0082]
在一个或多个方面，该方法还包括：针对每个归属域确定值预测概率；针对每个归属域计算值精度度量；以及针对每个归属域，基于值预测概率和值精度度量，生成特征概率。
[0083]
在一个或多个方面，该方法还包括：选择具有最高特征概率的归属域；以及将新域与云资源进行归属，该云资源与具有最高特征概率的归属域相归属。
[0084]
在一个或多个方面，该方法还包括：基于一个特征的值的比较来计算最高特征概率。
[0085]
在一个或多个方面，该方法还包括：基于多个特征的值的比较来计算最高特征概率。
[0086]
在一个或多个方面，该方法还包括：从域名服务器、internic数据库、安全套接字层/传输层安全ssl/tls证书和/或超文本传输协议(http)重定向，获取多个归属域的多个特征。在一个或多个方面，代理服务器是反向代理。
[0087]
公开了一种具有至少一个处理器和至少一个存储设备的设备。至少一个处理器被配置为：发起监测对一个或多个云资源的用户访问的安全会话，其中安全会话针对被归属于特定云资源的域实施一个或多个安全策略；检测包括未归属于云资源的第一域的请求；将第一域归属于云资源，该云资源被归属于第二域，其中归属基于第一域中的特征的至少一个值与第二域中的特征的至少一个值相匹配的相似性；以及在安全会话期间将至少一个安全策略应用于第一域的被归属的云资源。
[0088]
在一个或多个方面，至少一个处理器还被配置为：利用特征概率来计算第二域具有与匹配第一域的特征的至少一个值相匹配的特征的至少一个值的概率，其中特征概率表示基于公共特征的至少一个值的相似性将第一域归属于云应用资源的概率，该云应用资源被归属于第二域。
[0089]
在一个或多个方面，特征概率是与云服务相关联的每个归属域的每个特征的值预测概率与值精度的乘积。在一个或多个方面，设备是前向代理服务器。在一个或多个方面，设备是反向代理服务器。
[0090]
尽管主题已经用特定于结构特征和/或方法行为的语言进行描述，但应当理解，所附权利要求中定义的主题不一定限于上述特定特征或动作。相反，上述特定特征和动作被公开为实施权利要求的示例形式。