[发明专利]云服务安全防御方法、装置、设备及介质

说明书

本发明公开了一种云服务安全防御方法，涉及网络安全技术领域，旨在实现结合业务功能检测攻击行为，并进行云服务安全防御，实现精准防御。该方法包含以下步骤：获取云平台的网络状态信息；分析所述网络状态信息，检测与业务功能强相关的异常网络流量，生成网络报文采样策略，根据所述网络报文采样策略采集网络报文；分析所述网络报文，确定可疑IP或可疑报文，生成防御策略；执行所述防御策略。本发明还公开了一种云服务安全防御装置、电子设备和计算机存储介质。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种云服务安全防御方法、装置、设备及介质。

背景技术

目前在云服务领域，针对DOS类型的网络攻击，基本只通过高性能防火墙对流入云平台的全部网络报文进行分析，对存在威胁的网络报文进行流量清洗，从而实现云服务的安全防御。但是这种方式在应用过程中存在以下几个问题：

第一，需要采购高性能硬件的防火墙或者公有云平台的流量清洗产品，价格非常高，因此导致实现安全防御的成本非常高。

第二，因为所有流入云平台的网络报文均需要经过防火墙的分析和处理，增加了系统延时，且如果出现误判的情况会直接影响系统的可靠性。

第三，防火墙设备不了解业务逻辑，只能从网络报文的行为判断是否存在攻击，防御不够精准。

第四，目前的防火墙设备和机制不适合混合云架构，使得安全防御的应用场景存在限制。

发明内容

为了克服现有技术的不足，本发明的目的之一在于提供一种云服务安全防御方法，基于被动响应，在检测到与业务功能强相关的异常网络流量时，执行防御策略，实现结合业务功能进行云服务安全防御，达到精准防御的效果，具有分析成本低、高可用的优点。

本发明的目的之一采用以下技术方案实现：

一种云服务安全防御方法，包括以下步骤：

获取云平台的网络状态信息；

分析所述网络状态信息，检测与业务功能强相关的异常网络流量，生成网络报文采样策略；

根据所述网络报文采样策略采集网络报文；

分析所述网络报文，确定可疑IP或可疑报文，生成防御策略；

执行所述防御策略。

进一步地，获取云平台的网络状态信息，包括：监控采集渠道，从采集渠道获取云平台的网络状态信息，所述采集渠道包括公有云服务器的数据API、存储云平台的业务报警信息的数据库、存储客户端反馈的可用性报警信息的数据库、平台日志系统中任意一种或任意组合。

进一步地，所述网络状态信息包括网络流量和业务报警信息。

进一步地，分析所述网络状态信息，检测与业务功能强相关的异常网络流量，生成网络报文采样策略，包括：

判断在相同的时间段内，所述网络状态信息中是否同时存在异常网络流量和业务报警信息，若同时存在，则根据所述异常网络流量和所述业务报警信息，生成网络报文采样策略。

进一步地，根据所述异常网络流量和所述业务报警信息，生成网络报文采样策略，包括：

根据所述异常网络流量所在的服务器，确定采样服务器；

根据所述业务报警信息，确定采样端口；

根据所述采样服务器和采样端口生成网络抓包规则，得到网络报文采样策略。

进一步地，所述防御策略包括黑名单或限制访问流量，执行所述防御策略，包括：

将所述可疑IP或发送所述可疑报文的IP加入黑名单；

或，