使用云资源管理日志的威胁检测的制作方法

背景技术：

1、云资源部署为应用开发者提供了接触用户的机会。云资源部署为攻击方提供了在其他设置中不可用的攻击向量。因此，云资源安全可以从特定于云资源部署和访问的威胁检测和防范中受益。

技术实现思路

1、一种用于云资源安全管理的方法、设备或机器可读介质可以改进用于云资源安全管理的现有技术。该方法、设备或机器可读介质可以在组织级别上，而不是用户、用户组或资源级别上，提供用户对云资源的操作的视图。组织级别考虑用户组和相应的云资源组。由该方法、设备或机器可读介质提供的组织视图可以帮助检测先前技术无法检测到的异常行为。

2、该方法、设备或机器可读介质可以包括操作，该操作包括获取云资源管理日志，该云资源管理日志详细说明在云门户中由云资源的用户执行的动作。每个动作可以包括条目，该条目包括以下中的至少两项：该用户中的一个用户的用户标识(id)、对该云资源中的一个云资源执行的操作中的一个操作、作为该操作的目标的该云资源中的一个云资源的统一资源标识符(uri)、或该操作被执行的时间。该操作可以包括确定针对云资源管理日志中的每个动作的相应的分数。该操作可以包括将相应的分数与指定的标准进行比较。该操作可以包括响应于确定相应的分数满足指定的标准，提供异常动作的指示。

3、确定该分数可以包括使用协同过滤。确定该相应的分数包括组合针对以下中的至少两项的协同过滤分数：(i)用户id和操作、(ii)用户id和资源、(iii)操作和资源、或(iv)用户id和时间。

4、该操作还包括生成二分图，二分图包括(i)用户中的各个用户和云资源中的各个云资源作为节点以及表示各个用户是否访问各个云资源的各个边；(ii)用户中的各个用户和操作中的各个操作为节点以及表示各个用户是否执行各个操作的各个边；或(iii)操作中的各个操作和云资源中的各个云资源作为节点以及表示各个操作是否对各个云资源来执行的各个边，并且其中协同过滤基于表示所生成的图的数据来执行。该操作可以还包括在确定相应的分数之前，过滤云资源管理日志以仅包括由攻击方执行的操作，并且其中相应的分数基于过滤后的云资源管理日志来确定。由攻击方执行的操作包括运行命令、安装自定义脚本、更改防火墙规则、列出密钥、添加用户、或更改权限。提供异常动作的指示包括提供电子邮件、弹出消息、或文本消息，来指示与异常动作相对应的管理日志的动作。

技术特征：

1.一种用于云资源安全管理方法，所述方法包括：

2.根据权利要求1所述的方法，其中确定所述分数包括使用协同过滤。

3.根据权利要求2所述的方法，其中确定所述相应的分数包括组合针对以下中的至少两项的协同过滤分数：(i)所述用户id和所述操作、(ii)所述用户id和所述资源、(iii)所述操作和所述资源、或(iv)所述用户id和所述时间。

4.根据权利要求3所述的方法，还包括生成二分图，所述二分图包括(i)所述用户中的各个用户和所述云资源中的各个云资源作为节点以及表示所述各个用户是否访问所述各个云资源的各个边；(ii)所述用户中的各个用户和所述操作中的各个操作为节点以及表示所述各个用户是否执行所述各个操作的各个边；或(iii)所述操作中的各个操作和所述云资源中的各个云资源作为节点以及表示所述各个操作是否对所述各个云资源来执行的各个边，并且其中所述协同过滤基于表示所生成的图的数据来执行。

5.根据权利要求1所述的方法，还包括在确定所述相应的分数之前，过滤所述云资源管理日志以仅包括由攻击方执行的操作，并且其中所述相应的分数基于过滤后的所述云资源管理日志来确定。

6.根据权利要求5所述的方法，由所述攻击方执行的所述操作包括运行命令、安装自定义脚本、更改防火墙规则、列出密钥、添加用户、或更改权限。

7.根据权利要求1所述的方法，其中提供异常动作的所述指示包括提供电子邮件、弹出消息、或文本消息，来指示与所述异常动作相对应的所述管理日志的所述动作。

8.一种计算设备，包括：

9.根据权利要求8所述的设备，其中确定所述分数包括使用协同过滤。

10.根据权利要求9所述的设备，其中确定所述相应的分数包括组合针对以下中的至少两项的协同过滤分数：(i)所述用户id和所述操作、(ii)所述用户id和所述资源、(iii)所述操作和所述资源、或(iv)所述用户id和所述时间。

11.根据权利要求10所述的设备，还包括生成二分图，所述二分图包括(i)所述用户中的各个用户和所述云资源中的各个云资源作为节点以及表示所述各个用户是否访问所述各个云资源的各个边；(ii)所述用户中的各个用户和所述操作中的各个操作为节点以及表示所述各个用户是否执行所述各个操作的各个边；或(iii)所述操作中的各个操作和所述云资源中的各个云资源作为节点以及表示所述各个操作是否对所述各个云资源来执行的各个边，并且其中所述协同过滤基于表示所生成的图的数据来执行。

12.根据权利要求8所述的设备，还包括在确定所述相应的分数之前，过滤所述云资源管理日志以仅包括由攻击方执行的操作，并且其中所述相应的分数基于过滤后的所述云资源管理日志来确定。

13.根据权利要求12所述的设备，由所述攻击方执行的所述操作包括运行命令、安装自定义脚本、更改防火墙规则、列出密钥、添加用户、或更改权限。

14.根据权利要求8所述的设备，其中提供异常动作的所述指示包括提供电子邮件、弹出消息、或文本消息，来指示与所述异常动作相对应的所述管理日志的所述动作。

15.一种机器可读介质，包括指令，当由机器执行时，使得所述机器执行用于云资源安全管理的操作，所述操作包括权利要求1-7中任一项所述的方法。

技术总结
本文一般讨论的是用于改进云资源安全性的设备、系统和方法。该方法可以包括获取云资源管理日志，该云资源管理日志详细说明在云门户中由云资源的用户执行的动作，该动作包括条目，该条目包括以下中的至少两项：该用户中的一个用户的用户标识(ID)、对该云资源中的一个云资源执行的操作中的一个操作、作为该操作的目标的该云资源中的一个云资源的统一资源标识符(URI)、或该操作被执行的时间。该方法可以包括确定针对云资源管理日志中的每个动作的相应的分数，将相应的分数与指定的标准进行比较，以及响应于确定相应的分数满足指定的标准，提供异常动作的指示。

技术研发人员：R·莱文,R·H·普利斯金,J·S·西蒙
受保护的技术使用者：微软技术许可有限责任公司
技术研发日：
技术公布日：2024/2/1