[发明专利]一种安全审计的方法及装置

说明书

技术领域

本发明涉及计算机技术领域，特别涉及一种安全审计的方法及装置。

背景技术

云计算具有资源池化、虚拟化、高可靠性及高可用性等特点，将多个用户集中到一个区域中。随着云计算的崛起，虚机技术也得到了快速发展，在一台物理主机上可能会存在多个虚机。随着虚机的广泛应用，网络结构日益复杂，网络安全问题也越来越受到重视。

传统的网络安全设施对物理主机的外部流量进行监控，通过分析物理主机与外部网络的数据交互情况来确定当前物理主机的安全状态。

通过上述描述可见，现有技术中将物理主机作为一个整体，通过物理主机与外部网络的交互数据来确定整个物理主机的安全状况，而物理主机内部的虚机的安全状况无法审计。

发明内容

有鉴于此，本发明提供了一种安全审计的方法及装置，能够对虚机进行安全审计。

一方面，本发明提供了一种安全审计的方法，包括：预先设置用于保存比对特征的训练集；

S1：获取虚机的网络流量信息；

S2：对所述网络流量信息进行特征提取，得到待审计特征；

S3：将所述待审计特征与所述训练集中的所述比对特征进行匹配，获得与所述待审计特征相匹配的匹配比对特征，根据所述匹配比对特征确定所述网络流量信息是否正常。

进一步地，在所述S1之前，还包括：预先设置开放虚拟交换组件Open vSwitch组件；

所述S1，包括：通过所述Open vSwitch组件获取虚机的网络流量信息。

进一步地，所述通过所述Open vSwitch组件获取虚机的网络流量信息，包括：

通过所述Open vSwitch组件对经过所述Open vSwitch组件的网络流量进行镜像，根据镜像得到的网络流量，获得所述网络流量信息。

进一步地，在所述S1之前，还包括：预先设置数据采集规则，其中，所述数据采集规则包括：采集频率、采集源地址、采集目的地址中的一个或多个；

当所述数据采集规则包括所述采集频率时，所述S1，包括：根据所述采集频率获取所述网络流量信息；

当所述数据采集规则包括所述采集源地址时，所述S1，包括：获取所述采集源地址发出的网络流量对应的网络流量信息；

当所述数据采集规则包括所述采集目的地址时，所述S1，包括：获取所述采集目的地址接收的网络流量对应的网络流量信息。

进一步地，还包括：通过获取的网络流量信息对所述训练集进行维护，将所述网络流量信息对应的待审计特征作为所述训练集中的比对特征添加到所述训练集中；

和/或，

还包括：

获取系统日志、防火墙日志，根据所述系统日志、所述防火墙日志获取所述网络流量信息对应的每个数据包的信息。

另一方面，本发明提供了一种安全审计的装置，包括：

第一设置单元，用于设置用于保存比对特征的训练集；

获取单元，用于获取虚机的网络流量信息；

特征提取单元，用于对所述网络流量信息进行特征提取，得到待审计特征；

审计单元，用于将所述待审计特征与所述训练集中的所述比对特征进行匹配，获得与所述待审计特征相匹配的匹配比对特征，根据所述匹配比对特征确定所述网络流量信息是否正常。

进一步地，还包括：

第二设置单元，用于设置开放虚拟交换组件Open vSwitch组件；

所述获取单元，用于通过所述Open vSwitch组件获取虚机的网络流量信息。

进一步地，所述获取单元，用于通过所述Open vSwitch组件对经过所述Open vSwitch组件的网络流量进行镜像，根据镜像得到的网络流量，获得所述网络流量信息。

进一步地，还包括：第三设置单元，用于设置数据采集规则，其中，所述数据采集规则包括：采集频率、采集源地址、采集目的地址中的一个或多个；

所述获取单元，用于当所述数据采集规则包括所述采集频率时，根据所述采集频率获取所述网络流量信息，当所述数据采集规则包括所述采集源地址时，获取所述采集源地址发出的网络流量对应的网络流量信息，当所述数据采集规则包括所述采集目的地址时，获取所述采集目的地址接收的网络流量对应的网络流量信息。

进一步地，还包括：维护单元，用于通过获取的网络流量信息对所述训练集进行维护，将所述网络流量信息对应的待审计特征作为所述训练集中的比对特征添加到所述训练集中；

和/或，