一种安全审计的方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,特别涉及一种安全审计的方法及装置。
【背景技术】
[0002]云计算具有资源池化、虚拟化、高可靠性及高可用性等特点,将多个用户集中到一个区域中。随着云计算的崛起,虚机技术也得到了快速发展,在一台物理主机上可能会存在多个虚机。随着虚机的广泛应用,网络结构日益复杂,网络安全问题也越来越受到重视。
[0003]传统的网络安全设施对物理主机的外部流量进行监控,通过分析物理主机与外部网络的数据交互情况来确定当前物理主机的安全状态。
[0004]通过上述描述可见,现有技术中将物理主机作为一个整体,通过物理主机与外部网络的交互数据来确定整个物理主机的安全状况,而物理主机内部的虚机的安全状况无法审计。
【发明内容】
[0005]有鉴于此,本发明提供了一种安全审计的方法及装置,能够对虚机进行安全审计。
[0006]一方面,本发明提供了一种安全审计的方法,包括:预先设置用于保存比对特征的训练集;
[0007]S1:获取虚机的网络流量彳目息;
[0008]S2:对所述网络流量信息进行特征提取,得到待审计特征;
[0009]S3:将所述待审计特征与所述训练集中的所述比对特征进行匹配,获得与所述待审计特征相匹配的匹配比对特征,根据所述匹配比对特征确定所述网络流量信息是否正常。
[0010]进一步地,在所述SI之前,还包括:预先设置开放虚拟交换组件Open vSwitch组件;
[0011]所述SI,包括:通过所述Open vSwitch组件获取虚机的网络流量信息。
[0012]进一步地,所述通过所述Open vSwitch组件获取虚机的网络流量信息,包括:
[0013]通过所述Open vSwitch组件对经过所述Open vSwitch组件的网络流量进行镜像,根据镜像得到的网络流量,获得所述网络流量信息。
[0014]进一步地,在所述SI之前,还包括:预先设置数据采集规则,其中,所述数据采集规则包括:采集频率、采集源地址、采集目的地址中的一个或多个;
[0015]当所述数据采集规则包括所述采集频率时,所述SI,包括:根据所述采集频率获取所述网络流量信息;
[0016]当所述数据采集规则包括所述采集源地址时,所述SI,包括:获取所述采集源地址发出的网络流量对应的网络流量信息;
[0017]当所述数据采集规则包括所述采集目的地址时,所述SI,包括:获取所述采集目的地址接收的网络流量对应的网络流量信息。
[0018]进一步地,还包括:通过获取的网络流量信息对所述训练集进行维护,将所述网络流量信息对应的待审计特征作为所述训练集中的比对特征添加到所述训练集中;
[0019]和/ 或,
[0020]还包括:
[0021]获取系统日志、防火墙日志,根据所述系统日志、所述防火墙日志获取所述网络流量信息对应的每个数据包的信息。
[0022]另一方面,本发明提供了一种安全审计的装置,包括:
[0023]第一设置单元,用于设置用于保存比对特征的训练集;
[0024]获取单兀,用于获取虚机的网络流量彳目息;
[0025]特征提取单元,用于对所述网络流量信息进行特征提取,得到待审计特征;
[0026]审计单元,用于将所述待审计特征与所述训练集中的所述比对特征进行匹配,获得与所述待审计特征相匹配的匹配比对特征,根据所述匹配比对特征确定所述网络流量信息是否正常。
[0027]进一步地,还包括:
[0028]第二设置单元,用于设置开放虚拟交换组件Open vSwitch组件;
[0029]所述获取单元,用于通过所述Open vSwitch组件获取虚机的网络流量信息。
[0030]进一步地,所述获取单元,用于通过所述Open vSwitch组件对经过所述OpenvSwitch组件的网络流量进行镜像,根据镜像得到的网络流量,获得所述网络流量信息。
[0031]进一步地,还包括:第三设置单元,用于设置数据采集规则,其中,所述数据采集规则包括:采集频率、采集源地址、采集目的地址中的一个或多个;
[0032]所述获取单元,用于当所述数据采集规则包括所述采集频率时,根据所述采集频率获取所述网络流量信息,当所述数据采集规则包括所述采集源地址时,获取所述采集源地址发出的网络流量对应的网络流量信息,当所述数据采集规则包括所述采集目的地址时,获取所述采集目的地址接收的网络流量对应的网络流量信息。
[0033]进一步地,还包括:维护单元,用于通过获取的网络流量信息对所述训练集进行维护,将所述网络流量信息对应的待审计特征作为所述训练集中的比对特征添加到所述训练集中;
[0034]和/ 或,
[0035]还包括:日志单元,用于获取系统日志、防火墙日志,根据所述系统日志、所述防火墙日志获取所述网络流量信息中每个数据包的信息。
[0036]本发明提供了一种安全审计的方法及装置,获取虚机的网络流量信息,提取网络流量信息的特征,得到待审计特征,将待审计特征与预先设置的比对特征进行匹配,根据相匹配的匹配比对特征确定网络流量信息是否正常,进而确定虚机是否安全,通过对虚机的网络流量信息的获取和匹配,实现对虚机的安全审计。
【附图说明】
[0037]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0038]图1是本发明一实施例提供的一种安全审计的方法的流程图;
[0039]图2是本发明一实施例提供的另一种安全审计的方法的流程图;
[0040]图3是本发明一实施例提供的一种安全审计的装置的示意图;
[0041]图4是本发明一实施例提供的另一种安全审计的装置的示意图。
【具体实施方式】
[0042]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0043]如图1所示,本发明实施例提供了一种安全审计的方法,该方法可以包括以下步骤:
[0044]SO:预先设置用于保存比对特征的训练集;
[0045]S1:获取虚机的网络流量彳目息;
[0046]S2:对所述网络流量信息进行特征提取,得到待审计特征;
[0047]S3:将所述待审计特征与所述训练集中的所述比对特征进行匹配,获得与所述待审计特征相匹配的匹配比对特征,根据所述匹配比对特征确定所述网络流量信息是否正常。
[0048]通过本发明实施例提供的一种安全审计的方法,获取虚机的网络流量信息,提取网络流量信息的特征,得到待审计特征,将待审计特征与预先设置的比对特征进行匹配,根据相匹配的匹配比对特征确定网络流量信息是否正常,进而确定虚机是否安全,通过对虚机的网络流量信息的获取和匹配,实现对虚机的安全审计。
[0049]虚机之间的数据交换可以通过Open vSwitch组件来实现,进而可以通过OpenvSwitch组件来获取虚机的网络流量信息。在一种可能的实现方式中,还包括:预先设置Open vSwitch组件(开放虚拟交换组件);
[0050]所述SI,包括:通