[发明专利]一种云计算系统中云应用攻击行为处理方法、装置及系统

权利要求书

1.一种云计算系统中云应用攻击行为的处理装置，其特征在于，包括：

安全分析器，安全处理器和策略管理器，其中：

所述策略管理器用于存储安全判断规则和恶意应用处理规则；

所述安全分析器用于接收云计算系统中的多个云主机中的至少一个云主机上的安全检测器发送的应用行为数据，根据所述应用行为数据以及所述策略管理器中存储的安全判断规则，确定所述至少一个云主机上运行的云应用是否存在攻击行为，并在确定所述至少一个云主机上运行的云应用存在攻击行为时，将所述云应用的初始信息发送给所述安全处理器，其中，所述初始信息用于标识所述云应用；其中，所述应用行为数据是所述安全检测器根据行为检测规则对所述云应用进行检测后得到的，且所述应用行为数据用于表示所述云应用的运行状态；

所述安全处理器，用于根据所述策略管理器中存储的恶意应用处理规则，调用所述云计算系统中的云控制器提供的接口对所述云应用进行处理，所述云控制器与所述至少一个云主机通信连接或集成于所述至少一个云主机，用于控制所述至少一个云主机上运行的云应用；

所述处理装置还包括：信息通知器；所述策略管理器中还存储有信息通知规则；

所述安全处理器还用于，根据所述云应用的初始信息查询所述云应用所属的用户信息，将所述用户信息和所述应用行为数据发送给所述信息通知器；

所述信息通知器用于，将接收到的应用行为数据和云应用所属的用户信息存储并按照所述策略管理器中存储的信息通知规则进行攻击信息通知处理。

2.根据权利要求1所述的装置，其特征在于，

所述策略管理器用于，将所述安全判断规则转化为所述行为检测规则，并将所述行为检测规则下发给所述至少一个云主机的安全检测器。

3.根据权利要求1或2所述的装置，其特征在于，所述恶意应用处理规则用于指示对不同类型恶意应用的处理方式，或者对不同危险程度的恶意应用的处理方式，其中，所述恶意应用为存在攻击行为的云应用；所述安全处理器，具体用于根据所述云应用的攻击行为的类型，以及所述恶意应用处理规则所指示的对该类型应用的处理方式，对所述云应用进行相应处理；或者所述安全处理器，具体用于根据所述云应用的攻击行为的危险程度，以及所述恶意应用处理规则所指示的对该危险程度的应用的处理方式，对所述云应用进行相应处理。

4.根据权利要求3所述的装置，其特征在于，所述攻击信息通知处理具体包括以下之一或其任意组合：产生告警信息、显示存在攻击行为的云应用以及该云应用所属的用户信息、以及将存在攻击行为的云应用所属的用户信息通知网警中心。

5.根据权利要求3所述的装置，其特征在于，所述云应用攻击行为处理装置集成于所述云控制器。

6.根据权利要求1或2所述的装置，其特征在于，所述安全判断规则、恶意应用处理规则和信息通知规则中的一项或多项是通过所述策略管理器的配置接口配置的，其中所述策略管理器的配置接口包括：配置界面和应用程序接口API中的至少一种。

7.根据权利要求1或2所述的装置，其特征在于，所述行为检测规则包括：进程检测规则或线程检测规则；

所述应用行为数据是所述安全检测器根据所述行为检测规则对所述云应用的进程或线程进行检测后得到的。

8.根据权利要求7所述的装置，其特征在于，所述安全分析器还用于在确定所述云应用不存在攻击行为时，丢弃所述应用行为数据。