安全防护策略的生成方法、装置、设备及存储介质和程序产品与流程

本公开涉及大数据领域，更具体地涉及一种安全防护策略的生成方法、装置、设备、存储介质和程序产品。

背景技术：

1、服务网格（service mesh）是实现云原生应用的关键基础设施之一。随着微服务架构和容器化部署的广泛应用，服务网格开始在各种云原生场景中大量使用。在服务网格运行过程中，可能会面临某些异常操作，从而会影响服务网格的安全运行，异常操作例如可以是零日漏洞攻击、内部恶意行为等。

2、在实现本公开构思的过程中，发明人发现相关技术中至少存在如下问题：当前服务网格的安全防护大都是静态和被动的，通常是被动等待异常操作出现后再作响应，因此无法对动态变化的网格流量、拓扑和异常操作做出主动、实时的响应和预判。现有安全防护策略通常为基于人工经验预先配置的固定规则，缺乏对复杂环境和新型异常操作的适应能力。

技术实现思路

1、鉴于上述问题，本公开提供了安全防护策略的生成方法、装置、设备、介质和程序产品。

2、根据本公开的第一个方面，提供了一种安全防护策略的生成方法，包括：采集n个历史时间窗口内的、针对待分析服务网格的n组服务运行数据；确定n组服务运行数据的行为模式和数据分布规律，数据分布规律包括n组服务运行数据在第一时段的第一数据分布规律，以及n组服务运行数据在第二时段的第二数据分布规律，其中，待分析服务网格在第一时段的业务量大于等于第一阈值，待分析服务网格在第二时段的业务量小于等于第二阈值，第一阈值大于第二阈值；基于行为模式、第一数据分布规律、第二数据分布规律，生成运行行为参考基线；基于运行行为参考基线，以及与目标时间窗口对应的目标服务运行数据，确定异常运行数据；基于异常运行数据，生成针对待分析服务网格的安全防护策略。

3、根据本公开的实施例，基于异常运行数据，生成针对待分析服务网格的安全防护策略包括：获取待分析服务网格架构信息；将异常运行数据、待分析服务网格架构信息输入决策引擎，输出多条初始安全防护策略；确定多条初始安全防护策略之间的关联关系，关联关系用于表征多条初始安全防护策略之间是否存在冲突；基于多条初始安全防护策略之间的关联关系，生成针对待分析服务网格的安全防护策略。

4、根据本公开的实施例，基于多条初始安全防护策略之间的关联关系，生成针对待分析服务网格的安全防护策略包括：在多条初始安全防护策略之间存在冲突的情况下，从多条初始安全防护策略中筛选出至少一条候选安全防护策略；基于至少一条候选安全防护策略，生成针对待分析服务网格的安全防护策略。

5、根据本公开的实施例，基于多条初始安全防护策略之间的关联关系，生成针对待分析服务网格的安全防护策略包括：在多条初始安全防护策略之间不存在冲突的情况下，基于多条初始安全防护策略，生成针对待分析服务网格的安全防护策略。

6、根据本公开的实施例，确定n组服务运行数据的行为模式和数据分布规律包括：将n组服务运行数据输入行为分析模型，输出行为模式和数据分布规律。

7、根据本公开的实施例，基于运行行为参考基线，以及与目标时间窗口对应的目标服务运行数据，确定异常运行数据包括：从数据库中读取历史异常运行数据；将历史异常运行数据、运行行为参考基线以及与目标时间窗口对应的目标服务运行数据输入异常识别模型，输出异常运行数据。

8、根据本公开的实施例，安全防护策略的生成方法还包括：将安全防护策略下发至待分析服务网格的策略执行组件，以使得策略执行组件执行安全防护策略。

9、根据本公开的实施例，安全防护策略的生成方法还包括：获取安全防护策略执行结果数据；基于安全防护策略执行数据，更新安全防护策略。

10、本公开的第二方面提供了一种安全防护策略的生成装置，包括：采集模块，用于采集n个历史时间窗口内的、针对待分析服务网格的n组服务运行数据；第一确定模块，确定n组服务运行数据的行为模式和数据分布规律，数据分布规律包括n组服务运行数据在第一时段的第一数据分布规律，以及n组服务运行数据在第二时段的第二数据分布规律，其中，待分析服务网格在第一时段的业务量大于等于第一阈值，待分析服务网格在第二时段的业务量小于等于第二阈值，第一阈值大于第二阈值；第一生成模块，用于基于行为模式、第一数据分布规律、第二数据分布规律，生成运行行为参考基线；第二确定模块，基于运行行为参考基线，以及与目标时间窗口对应的目标服务运行数据，确定异常运行数据；第二生成模块，基于异常运行数据，生成针对待分析服务网格的安全防护策略。

11、本公开的第三方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个计算机程序，其中，上述一个或多个处理器执行上述一个或多个计算机程序以实现上述方法的步骤。

12、本公开的第四方面还提供了一种计算机可读存储介质，其上存储有计算机程序或指令，上述计算机程序或指令被处理器执行时实现上述方法的步骤。

13、本公开的第五方面还提供了一种计算机程序产品，包括计算机程序或指令，上述计算机程序或指令被处理器执行时实现上述方法的步骤。

14、根据本公开的实施例，同时基于行为模式、第一数据分布规律、第二数据分布规律，生成运行行为参考基线确定运行行为参考基线，可以全面、综合挖掘服务运行数据的变化规律，并且可以识别服务运行数据在特定时段的正常波动，从而准确区分服务运行数据的正常周期性变化和真正的异常运行数据，避免了将正常周期性变化误判为异常操作的情况，从而可以构建更为精确的运行行为参考基线；基于检测到的异常运行数据，确定针对该异常运行数据的安全防护策略，而非直接采用基于人工经验预先配置的安全防护策略，可以动态生成安全防护策略，以适应未知异常操作，提高了安全防护效果。所以至少部分地克服了现有安全防护方法仅能被动等待异常操作出现后再作响应，并且现有安全防护策略往往仅依赖人工经验配置的固定规则，缺乏对复杂环境和新型攻击方式的适应能力的技术问题，进而达到了可以及时、主动发现异常操作，动态生成安全防护策略以适应未知异常操作，提高安全防护效果的技术效果。

技术特征：

1.一种安全防护策略的生成方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述基于所述异常运行数据，生成针对所述待分析服务网格的安全防护策略包括：

3.根据权利要求2所述的方法，其特征在于，所述基于所述多条初始安全防护策略之间的关联关系，生成针对所述待分析服务网格的安全防护策略包括：

4.根据权利要求2所述的方法，其特征在于，所述基于所述多条初始安全防护策略之间的关联关系，生成针对所述待分析服务网格的安全防护策略包括：

5.根据权利要求1所述的方法，其特征在于，所述确定所述n组服务运行数据的行为模式和数据分布规律包括：

6.根据权利要求1所述的方法，其特征在于，所述基于所述运行行为参考基线，以及与目标时间窗口对应的目标服务运行数据，确定异常运行数据包括：

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：

9.一种安全防护策略的生成装置，其特征在于，所述装置包括：

10.一种电子设备，包括：

11.一种计算机可读存储介质，其上存储有计算机程序或指令，其特征在于，所述计算机程序或指令被处理器执行时实现根据权利要求1~8中任一项所述方法的步骤。

12.一种计算机程序产品，包括计算机程序或指令，其特征在于，所述计算机程序或指令被处理器执行时实现根据权利要求1~8中任一项所述方法的步骤。

技术总结本公开提供了一种安全防护策略的生成方法，可以应用于大数据技术领域。该安全防护策略的生成方法包括：采集N个历史时间窗口内的、针对待分析服务网格的N组服务运行数据；确定N组服务运行数据的行为模式和数据分布规律，数据分布规律包括N组服务运行数据在第一时段的第一数据分布规律，以及N组服务运行数据在第二时段的第二数据分布规律；基于行为模式、第一数据分布规律、第二数据分布规律，生成运行行为参考基线；基于运行行为参考基线，以及与目标时间窗口对应的目标服务运行数据，确定异常运行数据；基于异常运行数据，生成针对待分析服务网格的安全防护策略。本公开还提供了一种安全防护策略的生成装置、设备、存储介质和程序产品。技术研发人员：李强受保护的技术使用者：中国建设银行股份有限公司技术研发日：技术公布日：2024/12/2