云内安全威胁检测方法、装置、计算设备及存储介质

摘要

本发明实施例涉及云计算技术领域，公开了一种云内安全威胁检测方法、装置、计算设备及存储介质，该方法包括：根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；获取通过宿主机以异步方式对租户的云主机的通信数据进行DPI解析后的数据包信息；通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制。通过上述方式，本发明实施例能够在安全厂商尚未提供有效解决方案时，在不降低云租户网络质量的前提下，及时有效地发现从租户层面发起的针对资源池内部网络的安全威胁并处理。

说明书

技术领域

本发明实施例涉及云计算技术领域，具体涉及一种云内安全威胁检测方法、装置、计算设备及存储介质。

背景技术

公有云通常指第三方提供商为非特定用户提供的，可以通过互联网直接访问的计算能力、存储能力、网络能力、数据库能力等共享资源服务。私有云则是为一个客户单独使用而构建的计算、存储、网络、数据库等专有资源。随着云计算概念的普及，越来越多的企业将应用系统部署在云上。部分企业采用自建私有云的方式上云，部分企业则直接将系统部署在公有云上。大量应用系统上云，使得公有云、私有云也成为了黑客攻击的重要目标。

云计算环境的特殊性，也使得黑客攻击方式相比于传统IT系统有了极大的差异。目前云计算环境的攻击可以简单归纳为直接面向云平台服务的攻击、直接面向租户系统的攻击以及通过租户面向云平台内网的攻击三类。

对于通过租户面向云平台内网的攻击，目前业界的检测与防护手段相对较少，主要是通过对内网流量应用深度包解析(Deep Packet Inspection，DPI)技术，将数据包内容与安全防护特征库进行比对，如果跟已知的某种安全威胁特征一致，则判定为攻击，并对攻击流量进行阻断。该方法能够在一定程度上识别通过租户系统向云平台内网发起的攻击行为，但仍存在一定的局限性：对于0day攻击(表示针对尚未公布的漏洞进行的攻击)，安全厂商往往不能在第一时间发现攻击特征，从而无法有效防范0day攻击；该方法的前提是可以在解析出的数据包中发现具有明显攻击行为的特征，但对于某些模拟用户行为(东西流量的非授权访问)的攻击方式则缺乏有效的检测手段；并且该方法需要同步对所有数据包进行解析识别，以便进行实时阻断，势必带来租户数据通信的延迟。

发明内容

鉴于上述问题，本发明实施例提供了一种云内安全威胁检测方法、装置、计算设备及存储介质，克服了上述问题或者至少部分地解决了上述问题。

根据本发明实施例的一个方面，提供了一种云内安全威胁检测方法，所述方法包括：根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；获取通过宿主机以异步方式对租户的云主机的通信数据进行DPI解析后的数据包信息；通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制。

在一种可选的方式中，所述授信信息包括：租户的业务级授信数据、租户的业务订购信息、租户的云主机分布信息以及租户的虚拟扩展局域网标识信息，所述根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型，包括：从云管理平台同步获取的租户的所述业务级授信数据、所述业务订购信息、所述云主机分布信息以及所述虚拟扩展局域网标识信息，并进行变更；根据变更的所述业务订购数据、所述业务级授信数据以及所述虚拟扩展局域网标识信息新建或更新所述租户授信模型；根据所述云主机分布信息将新建或更新的所述租户授信模型下发至宿主机。

在一种可选的方式中，所述授信信息还包括：不受所述租户授信模型限制的授信信息，记录为白名单，所述根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型，还包括：在所述白名单发生变化时，根据所述云主机分布信息将更新的所述白名单下发至宿主机。

在一种可选的方式中，所述通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录，包括：通过所述宿主机将所述数据包信息与所述租户授信模型进行匹配，如果匹配失败，则确定本次通信为疑似非授权访问；响应所述宿主机的请求重新下发更新的所述租户授信模型以通过所述宿主机对所述数据包信息与更新的所述租户授信模型进行二次匹配，确定二次匹配失败的非授权访问记录。

在一种可选的方式中，所述根据所述非授权访问记录制定处置策略，包括：所述非授权访问记录较少时，通过对所述非授权访问记录中记录的地址、端口进行限制的方式制定所述处置策略；所述非授权访问记录较多时，通过对所述租户授信模型中记录的地址、端口进行授权的方式制定所述处置策略。

在一种可选的方式中，所述根据所述非授权访问记录制定处置策略，还包括：所述租户授信模型发生更新时，核对更新的所述租户授信模型与当前的所述处置策略，取消针对新增授信数据的所述处置策略。

在一种可选的方式中，所述方法还包括：将所述处理策略根据预设规则以短信、邮件的方式向管理人员发送安全威胁处置告警；将所述处置策略通过所述云管理平台通知租户。

根据本发明实施例的另一个方面，提供了一种云内安全威胁检测装置，所述装置包括：授信模型管理单元，用于根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；信息获取单元，用于获取通过宿主机以异步方式对租户的云主机的通信数据进行DPI解析后的数据包信息；安全分析单元，用于通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；处置单元，用于根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制。

根据本发明实施例的另一方面，提供了一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述云内安全威胁检测方法的步骤。

根据本发明实施例的又一方面，提供了一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使所述处理器执行上述云内安全威胁检测方法的步骤。

本发明实施例通过根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；获取通过宿主机以异步方式对租户的云主机的通信数据进行DPI解析后的数据包信息；通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制，能够在安全厂商尚未提供有效解决方案时，在不降低云租户网络质量的前提下，及时有效地发现从租户层面发起的针对资源池内部网络的安全威胁并处理。

上述说明仅是本发明实施例技术方案的概述，为了能够更清楚了解本发明实施例的技术手段，而可依照说明书的内容予以实施，并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的云内安全威胁检测装置的实现架构示意图；

图2示出了本发明实施例提供的云内安全威胁检测方法的流程示意图；

图3示出了本发明实施例提供的云内安全威胁检测方法的租户授信模型下发示意图；

图4示出了本发明实施例提供的云内安全威胁检测方法的数据包信息与租户授信模型匹配的示意图；

图5示出了本发明实施例提供的云内安全威胁检测装置的结构示意图；

图6示出了本发明实施例提供的计算设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

图1示出了本发明实施例提供的云内安全威胁检测方法的实现架构示意图。如图1所示，云内安全威胁检测装置10从云管理平台20同步获取租户的授信信息。租户在云管理平台20上选择订购所需云产品，云管理平台20将租户的授信信息，即订购关系相关信息，同步至云内安全威胁检测装置10。云内安全威胁检测装置10根据云业务间的授信关系，建立该租户的租户授信模型，并将租户授信模型下发至租户的云主机ECS所在宿主机30的智能引擎。授信信息包括：租户的业务级授信数据、租户的业务订购信息、租户的云主机分布信息以及租户的虚拟扩展局域网标识信息。云内安全威胁检测装置10从云管理平台同步获取的租户的业务级授信数据、业务订购信息、云主机分布信息以及虚拟扩展局域网标识信息，并进行变更；根据变更的业务订购数据、业务级授信数据以及虚拟扩展局域网标识信息新建或更新租户授信模型；进而根据云主机分布信息将新建或更新的租户授信模型下发至宿主机。

智能引擎监控租户的云主机ECS发起的网络通信情况，将从租户的云主机ECS发起的访问资源池内部网络的通信数据与该租户的云主机ECS的租户授信模型进行匹配，并将异常通信反馈云内安全威胁检测装置10。具体地，租户的云主机ECS对外通信时，部署在宿主机上的智能引擎通过网络通信管理软件开发工具包(Software Development Kit，SDK)以异步方式对租户的云主机的通信数据进行DPI解析，获取DPI解析后的数据包信息。网络通信管理SDK完成对不同操作系统网络通信相关系统命令、API的复写(如linux系统数据包发送函数ndo_start_xmit)，通过异步方式获取由云主机发起的内网通信目的地址、协议及端口等关键信息。在本发明实施例中，解析后的数据包信息包括租户Vxlan标识、发起方地址、接收方地址及端口信息。宿主机30的智能引擎将解析后的数据包信息与所述租户授信模型进行，成功则该数据包处理流程结束。如果失败，则确定本次通信为疑似非授权访问。如果失败，宿主机30向云内安全威胁检测装置10请求重新下发更新的所述租户授信模型，进而对所述数据包信息与更新的所述租户授信模型进行二次，则确定本次通信为非授权访问。应用相同的方法根据云主机ECS的通信记录确定二次失败的非授权访问记录并反馈云内安全威胁检测装置10。

云内安全威胁检测装置10通过分析该租户的云主机ECS的历史行为，形成处置策略，并下发至相应网元完成策略配置。具体地，所述非授权访问记录较少时，通过对所述非授权访问记录中记录的地址、端口进行限制的方式制定所述处置策略；所述非授权访问记录较多时，通过对所述租户授信模型中记录的地址、端口进行授权的方式制定所述处置策略。处置策略制定之后，云内安全威胁检测装置10将所述处理策略下发处置网元以对存在安全威胁的云主机ECS进行访问控制；同时将所述处理策略根据预设规则以短信、邮件的方式向管理人员发送安全威胁处置告警；还将所述处置策略通过所述云管理平台20通知租户。云管理平台20可以是公有云管理平台，也可以是私有云管理平台。

图2示出了本发明实施例提供的云内安全威胁检测方法的流程示意图。如图2所示，云内安全威胁检测方法包括：

步骤S11：根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型。

所述授信信息包括：租户的业务级授信数据、租户的业务订购信息、租户的云主机分布信息以及租户的虚拟扩展局域网(Virtual Extensible LAN，Vxlan)标识信息。业务级授信数据表示租户办理某类云业务以后，可授权访问的相关业务内网地址及端口。业务级授信数据同步由云管理平台触发，主要发生在新增云产品、云产品依赖关系发生变化或者云产品后台组件部署发生变化时。在步骤S11中，同步从云管理平台获取对应云产品的授信信息变化情况，完成授信信息的变更。以表1中的业务级授信数据为例，第一条记录表示：租户办理负载均衡产品以后，该租户订购的云主机可访问该租户的虚拟负载均衡器对应的内网IP地址/段的1111端口(注：该内网IP地址/段属于系统自动为租户的虚拟负载均衡器分配，租户不知晓、不可见、不可直接访问，只用于系统后台通信)；第三条记录表示：租户办理虚拟私有云(Virtual Private Cloud，VPC)产品以后，该租户订购的云主机可访问VPC服务对应局域网IP地址/段的任意(any)端口(注：租户订购VPC时，会同时人为设定该VPC的局域网IP地址段，位于该VPC中的云主机将自动生成该地址段的一个地址)。

表1业务级授信数据

在本发明实施例中，租户的业务订购信息同步发生在租户订购、变更或退订云产品时。参见表2，租户订购了2台云主机(主机IP为192.168.1.2、192.168.1.3)、一个VPC(局域网地址段设定为192.168.1.0/24)、一个负载均衡(后台虚拟负载均衡器的地址为172.111.222.23)、一个漏洞扫描(后台虚拟漏洞扫描器的地址为10.118.118.118)。

表2租户的业务订购信息

租户的云主机分布信息记录云主机与宿主机的对应关系,同步发生在新建虚拟机、删除虚拟机、虚拟机IP地址发生变化，以及虚拟机迁移至其他宿主机时。例如，租户的云主机分布信息如表3所示。

表3租户的云主机分布信息

租户的Vxlan标识信息记录每个租户Vxlan网络的唯一标识，是IP报文中关联云主机与租户的唯一信息，同步发生在新建VPC、删除VPC时。例如，租户的Vxlan标识信息如表4所示。

表4租户的Vxlan标识信息

在步骤S11中，从云管理平台同步获取租户的业务订购信息、业务订购信息以及Vxlan标识信息，完成租户的业务订购信息、业务订购信息以及Vxlan标识信息的变更；根据变更的所述业务订购数据、所述业务级授信数据以及所述虚拟扩展局域网标识信息新建或更新所述租户授信模型；根据所述云主机分布信息将新建或更新的所述租户授信模型下发至宿主机。

表5租户授信模型

举例说明，根据表1-表4的授信信息得到的租户授信模型参见表5。根据业务级授信数据，负载均衡业务授信云主机访问1111端口(表1中第一条记录)。分析发现，该租户同时购买了负载均衡和云主机两类产品，因此租户的两台云主机(192.168.1.2和192.168.1.3)被授权访问租户的虚拟负载均衡器(172.111.222.23)的1111端口(表5中前两条记录)。

在本发明实施例中，租户授信模型生成之后，根据云主机分布信息对租户授信模型按宿主机进行拆分下发。如图3所示，在更新的授信模型中，仅涉及一位租户，租户编号(ID)为a1b2c3d4。结合更新的授信模型和云主机分布信息进行分析发现，租户授信模型中有三条记录是用于向部署在宿主机192.1.1.2上的云主机192.168.1.2授权的，另外三条记录是用于向部署在宿主机192.1.1.3上的云主机192.168.1.3授权的，如图3中的两张按宿主机拆分授信表，便分别向两台宿主机下发对应的三条记录的授信表，进而宿主机可以通过智能引擎完成各自授信模型的更新。

在本发明实施例中，所述授信信息还包括：不受所述租户授信模型限制的授信信息，记录为白名单。步骤S11中，在所述白名单发生变化时，还根据所述云主机分布信息将更新的所述白名单下发至宿主机。

步骤S12：获取通过宿主机以异步方式对租户的云主机的通信数据进行DPI解析后的数据包信息。

在步骤S12中，租户的云主机对外通信时，通过部署在宿主机上的智能引擎通过网络通信管理SDK以异步方式对租户的云主机的通信数据进行DPI解析，获取DPI解析后的数据包信息，包括租户Vxlan标识、发起方地址、接收方地址及端口信息。

步骤S13：通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录。

在步骤S13中，通过所述宿主机将所述数据包信息与所述租户授信模型进行匹配，如果匹配失败，则确定本次通信为疑似非授权访问；响应所述宿主机的请求重新下发更新的所述租户授信模型以通过所述宿主机对所述数据包信息与更新的所述租户授信模型进行二次匹配，确定二次匹配失败的非授权访问记录。

具体地，如图4所示，通过宿主机将解析后的数据包信息与下发至宿主机的租户授信模型进行匹配。匹配成功，则该数据包处理流程结束。匹配失败，则判定本次通信为疑似非授权访问。匹配失败时，响应宿主机的请求重新下发对应该宿主机的更新的租户授信模型，进而通过宿主机对数据包信息与更新的租户授信模型进行二次匹配，如果二次匹配失败，则确定本次通信为非授权访问。应用相同的匹配方法根据云主机的通信记录确定云主机的非授权访问记录。

本发明实施例结合云业务特点与租户的购买行为，自动建立租户对云环境内部网络的租户授信模型，通过识别租户面向资源池内部网络的访问请求的关键信息要素，并与租户授信模型进行匹配，实现云内安全威胁的判定，可及时有效发现模拟用户行为(东西流量的非授权访问)的恶意攻击。本发明实施例采用类似流量镜像的方式对数据包进行异步解析，，不影响数据通信效率，无需进行流量重定向，与软件定义网络(SoftwareDefinedNetwork，SDN)不存在兼容性风险。

步骤S14：根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制。

在步骤S14中，分析云主机的历史行为，制定处置策略。具体地，所述非授权访问记录较少时，通过对所述非授权访问记录中记录的地址、端口进行限制的方式制定所述处置策略。以图4中的疑似非授权访问表为例，处置策略为地址为192.168.1.2的云主机不允许访问地址为10.10.10.10的主机的22端口。所述非授权访问记录较多时，通过对所述租户授信模型中记录的地址、端口进行授权的方式制定所述处置策略。以图4中的宿主机授信表为例，处置策略为地址为192.168.1.2的云主机只能访问地址为172.111.222.23的主机的1111端口、地址为10.118.118.118的主机的2222端口及地址段192.168.1.0/24中任一主机的任意端口。在本发明实施例中，所述租户授信模型发生更新时，核对更新的所述租户授信模型与当前的所述处置策略，取消针对新增授信数据的所述处置策略。

在本发明实施例中，将制定的处置策略下发处置网元以对存在安全威胁的云主机进行访问控制。还将所述处理策略根据预设规则以短信、邮件的方式向管理人员发送安全威胁处置告警。还将所述处置策略通过所述云管理平台通知租户或展示给租户。

在本发明实施例中，仅在发现非授权访问后才对相关云主机进行策略控制，而不是事前对所有云主机进行策略控制，一是因为控制策略过多将造成极大的网络开销；二是因为全量控制策略在云环境下极可能超出处置网元的容量上限；三是因为安全威胁属于概率事件，应平衡检测处置效果与管理成本。

本发明实施例通过根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；获取通过宿主机以异步方式对租户云主机通信数据进行DPI解析后的数据包信息；通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制，能够在安全厂商尚未提供有效解决方案时，在不降低云租户网络质量的前提下，及时有效地发现从租户层面发起的针对资源池内部网络的安全威胁并处理。

图5示出了本发明实施例的云内安全威胁检测装置的结构示意图。如图5所示，该云内安全威胁检测装置包括：授信模型管理单元501、信息获取单元502、安全分析单元503以及处置单元504。其中：

授信模型管理单元501用于根据从云管理平台同步获取的租户的授信信息建立或更新租户授信模型；信息获取单元502用于获取通过宿主机以异步方式对租户的云主机的通信数据进行DPI解析后的数据包信息；安全分析单元503用于通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；处置单元504用于根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制。

在一种可选的方式中，所述授信信息包括：租户的业务级授信数据、租户的业务订购信息、租户的云主机分布信息以及租户的虚拟扩展局域网标识信息，授信模型管理单元501用于：从云管理平台同步获取的租户的所述业务级授信数据、所述业务订购信息、所述云主机分布信息以及所述虚拟扩展局域网标识信息，并进行变更；根据变更的所述业务订购数据、所述业务级授信数据以及所述虚拟扩展局域网标识信息新建或更新所述租户授信模型；根据所述云主机分布信息将新建或更新的所述租户授信模型下发至宿主机。

在一种可选的方式中，所述授信信息还包括：不受所述租户授信模型限制的授信信息，记录为白名单，授信模型管理单元501用于：在所述白名单发生变化时，根据所述云主机分布信息将更新的所述白名单下发至宿主机。

在一种可选的方式中，安全分析单元503用于：通过所述宿主机将所述数据包信息与所述租户授信模型进行匹配，如果匹配失败，则确定本次通信为疑似非授权访问；响应所述宿主机的请求重新下发更新的所述租户授信模型以通过所述宿主机对所述数据包信息与更新的所述租户授信模型进行二次匹配，确定二次匹配失败的非授权访问记录。

在一种可选的方式中，处置单元504用于：所述非授权访问记录较少时，通过对所述非授权访问记录中记录的地址、端口进行限制的方式制定所述处置策略；所述非授权访问记录较多时，通过对所述租户授信模型中记录的地址、端口进行授权的方式制定所述处置策略。

在一种可选的方式中，处置单元504还用于：所述租户授信模型发生更新时，核对更新的所述租户授信模型与当前的所述处置策略，取消针对新增授信数据的所述处置策略。

在一种可选的方式中，处置单元504还用于：将所述处理策略根据预设规则以短信、邮件的方式向管理人员发送安全威胁处置告警；将所述处置策略通过所述云管理平台通知租户。

本发明实施例通过根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；获取通过宿主机以异步方式对租户云主机通信数据进行DPI解析后的数据包信息；通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制，能够在安全厂商尚未提供有效解决方案时，在不降低云租户网络质量的前提下，及时有效地发现从租户层面发起的针对资源池内部网络的安全威胁并处理。

本发明实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的云内安全威胁检测方法。

可执行指令具体可以用于使得处理器执行以下操作：

根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；

获取通过宿主机以异步方式对租户的云主机的通信数据进行DPI解析后的数据包信息；

通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；

根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制。

在一种可选的方式中，所述授信信息包括：租户的业务级授信数据、租户的业务订购信息、租户的云主机分布信息以及租户的虚拟扩展局域网标识信息，所述可执行指令使所述处理器执行以下操作：

从云管理平台同步获取的租户的所述业务级授信数据、所述业务订购信息、所述云主机分布信息以及所述虚拟扩展局域网标识信息，并进行变更；

根据变更的所述业务订购数据、所述业务级授信数据以及所述虚拟扩展局域网标识信息新建或更新所述租户授信模型；

根据所述云主机分布信息将新建或更新的所述租户授信模型下发至宿主机。

在一种可选的方式中，所述授信信息还包括：不受所述租户授信模型限制的授信信息，记录为白名单，所述可执行指令使所述处理器执行以下操作：

在所述白名单发生变化时，根据所述云主机分布信息将更新的所述白名单下发至宿主机。

在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：

通过所述宿主机将所述数据包信息与所述租户授信模型进行匹配，如果匹配失败，则确定本次通信为疑似非授权访问；

响应所述宿主机的请求重新下发更新的所述租户授信模型以通过所述宿主机对所述数据包信息与更新的所述租户授信模型进行二次匹配，确定二次匹配失败的非授权访问记录。

在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：

所述非授权访问记录较少时，通过对所述非授权访问记录中记录的地址、端口进行限制的方式制定所述处置策略；

所述非授权访问记录较多时，通过对所述租户授信模型中记录的地址、端口进行授权的方式制定所述处置策略。

在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：

所述租户授信模型发生更新时，核对更新的所述租户授信模型与当前的所述处置策略，取消针对新增授信数据的所述处置策略。

在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：

将所述处理策略根据预设规则以短信、邮件的方式向管理人员发送安全威胁处置告警；

将所述处置策略通过所述云管理平台通知租户。

本发明实施例通过根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；获取通过宿主机以异步方式对租户云主机通信数据进行DPI解析后的数据包信息；通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制，能够在安全厂商尚未提供有效解决方案时，在不降低云租户网络质量的前提下，及时有效地发现从租户层面发起的针对资源池内部网络的安全威胁并处理。

本发明实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任意方法实施例中的云内安全威胁检测方法。

可执行指令具体可以用于使得处理器执行以下操作：

根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；

获取通过宿主机以异步方式对租户的云主机的通信数据进行DPI解析后的数据包信息；

通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；

根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制。

在一种可选的方式中，所述授信信息包括：租户的业务级授信数据、租户的业务订购信息、租户的云主机分布信息以及租户的虚拟扩展局域网标识信息，所述可执行指令使所述处理器执行以下操作：

从云管理平台同步获取的租户的所述业务级授信数据、所述业务订购信息、所述云主机分布信息以及所述虚拟扩展局域网标识信息，并进行变更；

根据变更的所述业务订购数据、所述业务级授信数据以及所述虚拟扩展局域网标识信息新建或更新所述租户授信模型；

根据所述云主机分布信息将新建或更新的所述租户授信模型下发至宿主机。

在一种可选的方式中，所述授信信息还包括：不受所述租户授信模型限制的授信信息，记录为白名单，所述可执行指令使所述处理器执行以下操作：

在所述白名单发生变化时，根据所述云主机分布信息将更新的所述白名单下发至宿主机。

在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：

通过所述宿主机将所述数据包信息与所述租户授信模型进行匹配，如果匹配失败，则确定本次通信为疑似非授权访问；

响应所述宿主机的请求重新下发更新的所述租户授信模型以通过所述宿主机对所述数据包信息与更新的所述租户授信模型进行二次匹配，确定二次匹配失败的非授权访问记录。

在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：

所述非授权访问记录较少时，通过对所述非授权访问记录中记录的地址、端口进行限制的方式制定所述处置策略；

所述非授权访问记录较多时，通过对所述租户授信模型中记录的地址、端口进行授权的方式制定所述处置策略。

在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：

所述租户授信模型发生更新时，核对更新的所述租户授信模型与当前的所述处置策略，取消针对新增授信数据的所述处置策略。

在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：

将所述处理策略根据预设规则以短信、邮件的方式向管理人员发送安全威胁处置告警；

将所述处置策略通过所述云管理平台通知租户。

本发明实施例通过根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；获取通过宿主机以异步方式对租户云主机通信数据进行DPI解析后的数据包信息；通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制，能够在安全厂商尚未提供有效解决方案时，在不降低云租户网络质量的前提下，及时有效地发现从租户层面发起的针对资源池内部网络的安全威胁并处理。

图6示出了本发明实施例提供的计算设备的结构示意图，本发明具体实施例并不对设备的具体实现做限定。

如图6所示，该计算设备可以包括：处理器(processor)602、通信接口(Communications Interface)604、存储器(memory)606、以及通信总线608。

其中：处理器602、通信接口604、以及存储器606通过通信总线608完成相互间的通信。通信接口604，用于与其它设备比如客户端或其它服务器等的网元通信。处理器602，用于执行程序610，具体可以执行上述云内安全威胁检测方法实施例中的相关步骤。

具体地，程序610可以包括程序代码，该程序代码包括计算机操作指令。

处理器602可能是中央处理器CPU，或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或各个集成电路。设备包括的一个或各个处理器，可以是同一类型的处理器，如一个或各个CPU；也可以是不同类型的处理器，如一个或各个CPU以及一个或各个ASIC。

存储器606，用于存放程序610。存储器606可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

程序610具体可以用于使得处理器602执行以下操作：

根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；

获取通过宿主机以异步方式对租户的云主机的通信数据进行DPI解析后的数据包信息；

通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；

根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制。

在一种可选的方式中，所述授信信息包括：租户的业务级授信数据、租户的业务订购信息、租户的云主机分布信息以及租户的虚拟扩展局域网标识信息，所述程序610使所述处理器执行以下操作：

从云管理平台同步获取的租户的所述业务级授信数据、所述业务订购信息、所述云主机分布信息以及所述虚拟扩展局域网标识信息，并进行变更；

根据变更的所述业务订购数据、所述业务级授信数据以及所述虚拟扩展局域网标识信息新建或更新所述租户授信模型；

根据所述云主机分布信息将新建或更新的所述租户授信模型下发至宿主机。

在一种可选的方式中，所述授信信息还包括：不受所述租户授信模型限制的授信信息，记录为白名单，所述程序610使所述处理器执行以下操作：

在所述白名单发生变化时，根据所述云主机分布信息将更新的所述白名单下发至宿主机。

在一种可选的方式中，所述程序610使所述处理器执行以下操作：

通过所述宿主机将所述数据包信息与所述租户授信模型进行匹配，如果匹配失败，则确定本次通信为疑似非授权访问；

响应所述宿主机的请求重新下发更新的所述租户授信模型以通过所述宿主机对所述数据包信息与更新的所述租户授信模型进行二次匹配，确定二次匹配失败的非授权访问记录。

在一种可选的方式中，所述程序610使所述处理器执行以下操作：

所述非授权访问记录较少时，通过对所述非授权访问记录中记录的地址、端口进行限制的方式制定所述处置策略；

所述非授权访问记录较多时，通过对所述租户授信模型中记录的地址、端口进行授权的方式制定所述处置策略。

在一种可选的方式中，所述程序610使所述处理器执行以下操作：

所述租户授信模型发生更新时，核对更新的所述租户授信模型与当前的所述处置策略，取消针对新增授信数据的所述处置策略。

在一种可选的方式中，所述程序610使所述处理器执行以下操作：

将所述处理策略根据预设规则以短信、邮件的方式向管理人员发送安全威胁处置告警；

将所述处置策略通过所述云管理平台通知租户。

本发明实施例通过根据从云管理平台同步获取的租户的授信信息新建或更新租户授信模型；获取通过宿主机以异步方式对租户云主机通信数据进行DPI解析后的数据包信息；通过宿主机对所述租户授信模型和所述数据包信息进行匹配分析获取非授权访问记录；根据所述非授权访问记录制定处置策略并下发处置网元以对存在安全威胁的云主机进行访问控制，能够在安全厂商尚未提供有效解决方案时，在不降低云租户网络质量的前提下，及时有效地发现从租户层面发起的针对资源池内部网络的安全威胁并处理。

在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。