[发明专利]基于速度事件检测对于云应用的未授权访问的方法和系统

权利要求书

1.一种用于检测对托管在云计算平台中的云应用的未授权访问的方法，包括：

由被管理代理设备标识在第一时间且从第一位置对第一云应用的第一访问尝试，其中所述被管理代理设备被连接在客户端设备与托管多个云应用的所述云计算平台之间；

由所述被管理代理设备标识在第二时间且从第二位置对云应用的第二访问尝试，其中所述云应用是托管在所述云计算平台中的所述多个云应用中除了所述第一云应用之外的任何云应用；

基于所述第一时间、所述第二时间、所述第一位置以及所述第二位置，计算所述第一访问尝试与所述第二访问尝试之间的速度；

检查计算出的所述速度是否大于速度阈值；以及

当计算出的所述速度大于所述速度阈值时，生成速度事件，其中所述速度事件指示访问尝试是未授权的。

2.根据权利要求1所述的方法，其中所述速度阈值基于在所述第一时间与所述第二时间之间的差内从所述第一位置行进到所述第二位置所要求的速度。

3.根据权利要求2所述的方法，还包括：

在确定所要求的所述速度不大于所述速度阈值时，确定所述第二访问尝试是授权的。

4.根据权利要求1所述的方法，还包括：

确定所述速度事件是否是假肯定。

5.根据权利要求4所述的方法，还包括：

在确定所述速度事件是假肯定时，确定所述第二访问尝试是授权的；以及

在确定所述速度事件不是假肯定时，确定访问尝试是未授权的。

6.根据权利要求5所述的方法，其中确定所述速度事件是否是假肯定还包括：

使用决策树计算风险得分，其中对所述速度事件是假肯定的所述确定基于所述风险得分。

7.根据权利要求6所述的方法，其中所述决策树至少基于与由用户的合法访问尝试有关的信息而被生成，其中所述决策树在由所述用户的合法访问尝试被检测到时被更新。

8.根据权利要求1所述的方法，还包括：

在生成所述速度事件时，基于至少一个规则激活至少一个保护措施。

9.根据权利要求8所述的方法，其中每个保护措施是以下任一项：阻止访问、提升安全警报、忽略所述速度事件、授予有限访问、以及登出由发起所述第一访问尝试和所述第二访问尝试的相同用户名指定的用户。

10.一种非瞬态计算机可读介质，其上存储有指令，所述指令用于使一个或多个处理单元执行用于检测对托管在云计算平台中的云应用的未授权访问的过程，所述过程包括：

由被管理代理设备标识在第一时间且从第一位置对第一云应用的第一访问尝试，其中所述被管理代理设备被连接在客户端设备与托管多个云应用的所述云计算平台之间；

由所述被管理代理设备标识在第二时间且从第二位置对云应用的第二访问尝试，其中所述云应用是托管在所述云计算平台中的所述多个云应用中除了所述第一云应用之外的任何云应用；

基于所述第一时间、所述第二时间、所述第一位置以及所述第二位置，计算所述第一访问尝试与所述第二访问尝试之间的速度；

检查计算出的所述速度是否大于速度阈值；以及

当计算出的所述速度大于所述速度阈值时，生成速度事件，其中所述速度事件指示访问尝试是未授权的。