[发明专利]一种探测云端服务异常的方法和装置

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种探测云端服务异常的方法和装置。

背景技术

互联网技术的快速发展给人们生活带来越来越多的便利。人们通过互联网可以方便的分享和下载各类资料、获取各类重要信息、在线支付账单等。与此同时，互联网的安全形势也不容乐观，各类木马病毒伪装成正常文件肆意传播，钓鱼网站模仿正常网站盗取用户帐号密码愈演愈烈。

近年来，随着云技术的不断发展，各大安全厂商纷纷推出基于云技术的安全软件。采用云技术架构后，安装在用户侧的安全软件客户端在判断用户操作是否安全时，只需提交查询请求到位于云端的服务器，由服务器完成复杂的鉴定逻辑后将判定结果返回给客户端，客户端消耗资源很少。相比之下，传统的基于本地特征库的安全软件在鉴定用户操作是否安全时需要在用户侧做大量匹配运算，消耗大量硬件资源，容易导致用户电脑“假死”，影响用户对终端设备的正常使用。

基于云技术的安全系统（简称云安全系统）在降低客户端负载的同时，也给服务端的鉴定能力带来了巨大的挑战。当服务端鉴定逻辑的修改后，会即时影响到所有使用此系统的用户群，而不需要用户进行任何客户端的升级操作。例如基于云技术的网址安全鉴定服务，假定云端判定某网址http://www.example.com/为恶意网址，那么客户端将会拦截全体用户对此网址的访问。

云安全系统在运营过程中，通常会遇到两方面的挑战：误报和漏报。误报是指对用户正常的操作做了错误拦截；而漏报则是指对用户危险的操作未做到有效拦截或提示。正常情况下，云安全系统应该具有较低的漏报率和误报率。而当云端服务异常时，可能会导致漏报率、误报率异常升高，引发严重的安全事故。

为了保证可以及时覆盖最新出现的漏洞和安全攻击，云安全系统的服务端鉴定逻辑会频繁进行更新发布。在每次发布后，对于云端服务可能出现的异常（例如修改后的逻辑将某正常文件判定为病毒，或将某正常门户网站判定为恶意网站），应该做到及时有效发现，并快速回滚恢复到上一版本，尽量将服务异常带来的负面影响降到最低。

目前探测云端服务异常的方案，通常采用人工分析的方法，比如手工测试一批正常文件/网址是否会判定为安全，或者通过从用户侧收集到的申诉反馈案例来评估异常情况。

然而，采用人工分析的方案，由于技术人员的专业技术水平以及人工处理效率的限制，并不能保证及时有效发现服务的异常。

发明内容

本发明实施例提供了一种探测云端服务异常的方法和装置，用于及时有效地发现云端服务的异常。

一种探测云端服务异常的方法，包括：

接收来自云安全系统客户端的查询请求，使用当前判断逻辑确定所述查询请求的查询对象是否为恶意对象，得到本次查询的查询结果；

确定所述云安全系统客户端的客户端类型，所述客户端类型包括：白用户和黑用户，所述白用户和黑用户是以恶意操作数区分的客户端；若所述云安全系统客户端属于预定的样本集合，则记录所述云安全系统客户端对应的客户端类型的查询结果；

若设定时间段内，所述样本集合内的各种客户端类型查询结果的统计结果符合预定义的告警逻辑，则确定云端服务异常。

一种探测云端服务异常的装置，包括：

接收单元，用于接收来自云安全系统客户端的查询请求；

查询单元，用于使用当前判断逻辑确定所述接收单元接收的查询请求的查询对象是否为恶意对象，得到本次查询的查询结果；

类型确定单元，用于确定所述云安全系统客户端的客户端类型，所述客户端类型包括：白用户和黑用户；所述白用户和黑用户是以恶意操作数区分的客户端；

记录单元，用于若所述云安全系统客户端属于预定的样本集合，则记录所述云安全系统客户端对应的客户端类型的查询结果；

异常确定单元，用于若设定时间段内，所述样本集合内的各种客户端类型查询结果的统计结果符合预定义的告警逻辑，则确定云端服务异常。

从以上技术方案可以看出，本发明实施例具有以下优点：采用以上方案，通过对统计样本集合内的各种客户端类型查询结果，然后样本集合内的各种客户端类型查询结果的统计结果是否符合预定义的告警逻辑，来确定云端服务是否异常，实现了云端服务器异常的自动探测，因此可以及时有效地发现云端服务的异常。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。