云数据安全访问控制方法、装置、电子装置及存储介质与流程

本申请涉及计算机技术领域，特别是涉及云数据安全访问控制方法、装置、电子装置及存储介质。

背景技术：

随着云计算的大力发展，建立云数据中心已经是大势所趋。在当前云计算领域，越来越海量的数据和越来越难以发现的病毒威胁，传统设备在保证性能要求的同时，往往难以兼顾安全要求。同时，现有的云安全产生虽然赋能云上安全能力，但相关技术中的云安全产品依旧遵循传统安全产品的架构逻辑，大多仅仅是做了虚拟化，且部署方式复杂，同时，相关技术中云数据中心缺乏动态监测防护能力、对未知病毒威胁难以预判防护。

目前针对相关技术中云数据中心缺乏动态监测防护能力、对未知病毒威胁难以预判防护的问题，尚未提出有效的解决方案。

技术实现要素：

本申请实施例提供了一种云数据安全访问控制方法、装置、电子装置及存储介质，以至少解决相关技术中云数据中心缺乏动态监测防护能力、对未知病毒威胁难以预判防护的问题。

第一方面，本申请实施例提供了一种云数据安全访问控制方法，包括：

接收会话请求，所述会话请求中携带待转发的数据包；

在本地服务器与预设安全分析模块建立管理隧道的情况下，通过所述预设安全分析模块中对所述数据包的数据流量进行分析检测，得到所述数据包的数据流量的安全评级结果；

在所述数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据所述预设转发策略将所述待转发的数据包转发。

在其中一些实施例中，在本地服务器与预设安全分析模块未建立管理隧道的情况下，所述控制方法包括：

通过本地服务器对所述数据包的数据流量进行分析检测，得到所述数据包的数据流量的安全评级结果。

在其中一些实施例中，通过所述预设安全分析模块中对所述数据包的数据流量进行分析检测，得到所述数据包的数据流量的安全评级结果包括：

所述预设安全分析模块获取所述数据包的数据流量的源目地址；

所述预设安全分析模块在所述源目地址中检测异常源目地址，并判断所述异常源目地址的数目是否大于预设阈值；

在判断到所述异常源目地址的数目大于预设阈值的情况下，确定所述数据包的数据流量为第一异常数据流量；

在判断到所述异常源目地址的数目小于预设阈值的情况下，确定所述数据包的数据流量为第二异常数据流量；

在未检出到所述异常源目地址的情况下，确定所述数据包的数据流量为正常流量。

在其中一些实施例中，所述预设安全分析模块在所述源目地址中检测异常源目地址包括：

所述预设安全分析模块检测基于所述源目地址进行tcp连接交互的c/s数据，获取外连行为数据，其中，所述外连行为数据包括基于tcp连接行为检测出的第一外连行为数据和基于tcp连接内容检测出的第二外连行为数据；

所述预设安全分析模块在每一所述源目地址产生的所述外连行为数据中检测异常外连行为，并在检测到所述外连行为数据中存在所述异常外连行为的情况下，确定所述源目地址为异常源目地址。

在其中一些实施例中，所述预设转发策略包括阻断数据流量转发，在所述数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据所述预设转发策略将所述待转发的数据包转发包括：在确定所述数据包的数据流量为第一异常数据流量的情况下，阻断所述待转发的数据包的数据流量转发。

在其中一些实施例中，在所述数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据所述预设转发策略将所述待转发的数据包转发包括：在确定所述数据包的数据流量为第二异常数据流量的情况下，将所述待转发数据包的数据流量转发，并执行通过所述预设安全分析模块中对所述数据包的数据流量进行分析检测，得到所述数据包的数据流量的安全评级结果，直至所述数据包的数据流量为第一异常数据流量或正常数据流量。

在其中一些实施例中，本地服务器与预设安全分析模块建立管理隧道包括：

所述本地服务器接收所述安全分析模块发送的发现请求响应报文，其中，所述发现请求响应报文中携带有所述本地服务器请求发现的所述预设安全分析模块；

所述本地服务器根据所述发现请求响应报文选定所述预设安全分析模块并发送请求建立连接报文；

所述本地服务器在接收到所述安全分析模块发送的加入回应报文中检测管理隧道创建结果，其中，所述加入回应报文中携带有所述本地服务器发送的所述请求建立连接报文中请求建立连接的所述预设安全分析模块；

所述本地服务器根据所述管理隧道创建结果确定所述本地服务器与所述预设安全分析模块是否建立管理隧道，其中，所述管理隧道创造结果包括创建失败和创建成功。

第二方面，本申请实施例提供了一种云数据安全访问控制装置，包括：接收模块，用于接收会话请求，所述会话请求中携带待转发的数据包；

安全分析模块，用于在本地服务器与预设安全分析模块建立管理隧道的情况下，通过所述预设安全分析模块中对所述数据包的数据流量进行分析检测，得到所述数据包的数据流量的安全评级结果；

处理模块，用于在所述数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据所述预设转发策略将所述待转发的数据包转发。

第三方面，本申请实施例提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行第一方面所述的云数据安全访问控制方法。

第三方面，本申请实施例提供了一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行第一方面所述的云数据安全访问控制方法。

相比于相关技术，本申请实施例提供的一种云数据安全访问控制方法、装置、电子装置及存储介质，通过接收会话请求，会话请求中携带待转发的数据包；在本地服务器与预设安全分析模块建立管理隧道的情况下，通过预设安全分析模块中对数据包的数据流量进行分析检测，得到数据包的数据流量的安全评级结果；在数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据预设转发策略将待转发的数据包转发。通过本申请，解决了相关技术中云数据中心缺乏动态监测防护能力、对未知病毒威胁难以预判防护的问题，实现了依靠云端特征及动态调整策略，对病毒威胁进行有效分析防护。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本发明实施例的云数据安全访问控制方法的终端的硬件结构框图；

图2是根据本申请实施例的云数据安全访问控制方法的流程图；

图3是根据本申请管理隧道建立的流程视图；

图4是根据本申请实施例执行云数据安全访问的系统架构图；

图5是根据本申请实施例的云数据安全访问控制方法检测装置的结构框图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

本申请中描述的各种技术可用于云计算领域的数据转发。

在对本申请的实施例进行描述和说明之前，先对本申请中使用的相关技术进行说明如下：

sdn控制器，是软件定义网络(sdn)中的应用程序，负责流量控制；sdn控制器是基于openflow协议，其作用在于告知交换机向哪里发送数据包。

传输控制协议(tcp,transmissioncontrolprotocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议。tcp在进行数据传输之前使用三次握手协议建立连接，主要的过程是：客户端发出同步序列编号(syn，synchronizesequencenumbers)连接请求后，服务端接收请求后应答syn+ack(acknowledgecharacter,确认字节符)，客户端收到服务端应答后应答ack。

tcp三次握手的过程如下：

客户端发送syn(seq＝x)报文给服务端，进入syn_send状态。

服务器端收到syn报文，回应一个syn(seq＝y)ack(ack＝x+1)报文，进入syn_recv状态。

客户端收到服务器端的syn报文，回应一个ack(ack＝y+1)报文，进入established状态。

本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例，图1是本发明实施例的云数据安全访问控制方法的终端的硬件结构框图。如图1所示，终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)和用于存储数据的存储器104，可选地，上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述终端的结构造成限定。例如，终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如本发明实施例中的云数据安全访问控制方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端的通信供应商提供的无线网络。在一个实例中，传输设备106包括一个网络适配器(networkinterfacecontroller，简称为nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备106可以为射频(radiofrequency，简称为rf)模块，其用于通过无线方式与互联网进行通讯。

本实施例提供了一种云数据安全访问控制方法，图2是根据本申请实施例的基于云数据安全访问控制方法的流程图，如图2所示，该流程包括如下步骤：

步骤s201，接收会话请求，该会话请求中携带待转发的数据包。

在本实施例中，接收会话请求的执行主体是虚拟机，虚拟机包括本地服务器、云安全实现模块和云安全管理模块，而会话请求中携带待转发的数据包是由业务层的数据流量，且业务层的数据流量按照虚拟交换核心层的sdn控制器通过流表下发至虚拟交换核心层内的虚拟交换机，之后，虚拟交换机将该数据流量装载在会话请求中发送至虚拟机。在本实施例中，业务层包括vm服务器(云主机)和云内vpc，当vm服务器发起链接时，将数据流量通过虚拟交换机转发至虚拟机中的云安全实现模块。

步骤s202，在本地服务器与预设安全分析模块建立管理隧道的情况下，通过预设安全分析模块中对数据包的数据流量进行分析检测，得到数据包的数据流量的安全评级结果。

在本实施例中，在数据包到达虚拟机之后，在本地服务器与预设安全分析模块建立管理隧道的情况下，本地服务器对接收到的会话请求进行保留，同时，将会话请求中的数据包镜像一份上传至预设安全分析模块。本地服务器通过管理隧道与预设安全分析模块进行数据传送。在预设安全分析模块在接收到数据包之后，预设安全分析模块对数据包的数据流量进行分析，获取数据流量的安全评级结果，该安全评级结果通过管理隧道返回至本地服务器。本实施例中的预设安全分析模块是部署在互联网的某个硬件网关设备上的，同时，预设安全分析模块通过实时更新的病毒特征及行为记录，使的预设安全分析模块能准确的检测不同数据包的数据流量的安全评级结果。

步骤s203，在数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据预设转发策略将待转发的数据包转发。

在本实施例中，本地服务器被部署为数量流量转发的审计节点，同时，本地服务器使用预设转发策略(策略路由)将云内外的数量流量均通过本地服务器转发到外部网络。在通过预设安全分析模块检测到数据包的数据流量的安全评级结果后，采用与安全评级结果对应的转发策略对数据包括的流量进行转发。在本实施例中，数据包的数据流量包括与安全评级结果对应的正常数据流量和异常数据流量，其中，对于正常的数据流量，按照现有技术中转发方式及转发节点(普通节点)进行转发，而对应异常数据流量则采用本地服务器通过预设的转发策略进行转发，预设的转发策略包括阻断数据流量转发和保持数据流量通过本地服务器进行转发并将数据包持续上传至预设安全分析模块进行检查，直到数据流量的检查结果为正常数据流量或阻断数据流量转发对应的数据流量情况，本实施例中，阻断数据流量转发对应的数据流量是指数据包中异常的数据流量超过预设的阈值。

通过上述步骤s201至步骤s203，采用接收会话请求，会话请求中携带待转发的数据包；在本地服务器与预设安全分析模块建立管理隧道的情况下，通过预设安全分析模块中对数据包的数据流量进行分析检测，得到数据包的数据流量的安全评级结果；在数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据预设转发策略将待转发的数据包转发，解决了云数据中心转发及安全设备负载压力大、对已知或未知病毒动态监测防护能力不够问题，实现了云端特征及动态调整策略，对病毒威胁进行有效分析防护的有益效果。

需要说明的是，本实施例本地服务器涉及有云安全实现模块、云安全管理模块，预设安全分析模块涉及有云安全分析模块，本地服务器与预设安全分析模块的数据交互涉及有管理隧道。

对上述的云安全实现模块、云安全管理模块、云安全分析模块及管理隧道的进一步说明如下：

云安全实现模块包括如下能力：第一，路由转发，根据数据包目的地址、路由策略等，将数据包转发到某个接口；第二，对接sdn控制器，具有对接sdn控制器的功能，通过与sdn控制器建立安全通道，进行openflow消息交互，实现表项下发、查询以及状态上报等功能；第三，连接云安全管理模块(审计节点)；同时，当云安全分析模块不可用时，在云安全实现模块本地对tcp连接进行分析，通过tcp报文首部判断通信连接状态，根据tcp携带的数据分析通信内容，对比本地特征库对连接情况进行判断。

云安全管理模块，根据云安全分析模块下发的分析结果，对云安全实现模块进行相应的自动化配置。同时，云安全管理模块通过管理隧道与云安全分析模块进行数据交互。

云安全分析模块，当云安全分析模块可用时，当数据流量经过云安全实现模块(审计节点)转发时，将转发的数据流量镜像一份上传到云安全分析模块进行分析，云安全分析模块根据分析结果设定不同等级标准，返回给云安全实现模块，云安全分析模块进行分析包括如下内容：

基于对行为的检测：云内的vm服务器感染病毒后，服务器与客户端的数据是通过tcp连接交互，而云安全分析模块的特征库实时对已知病毒的行为特征进行更新，根据特征库中的行为特征对匹配的tcp连接行进行检测，分析出已知病毒外连行为；同时，对于未知tcp连接行为，则根据时间特征、流量特征、频率特征为索引，参考已知病毒的相关特征进行分析，识别出未知的、伪装性强的病毒异常外连行为。

基于对内容的检测：正常的tcp连接三次握手完成后，云安全分析模块进行根据tcp报文首部判断通信连接状态和根据tcp携带的数据分析通信内容、外连的地址、端口，与云安全分析模块特征库中病毒程序外连交互数据内容进行对比，识别出病毒异常外连行为的检测。

管理隧道，云安全分析模块与云安全管理模块通过管理隧道进行通信，实现对云安全分析模块的管理及网络监测。

在其中一些实施例中，在本地服务器与预设安全分析模块未建立管理隧道的情况下，还包括如下步骤：通过本地服务器对数据包的数据流量进行分析检测，得到数据包的数据流量的安全评级结果。

在本实施例中，当预设安全分析模块不可用和/或管理隧道未建立的情况下，对数据包的数据流量进行分析检测转移到本地服务器，也就是转移到云安全实现模块执行。

在其中一些实施例中，通过预设安全分析模块中对数据包的数据流量进行分析检测，得到数据包的数据流量的安全评级结果包括如下步骤：

预设安全分析模块获取数据包的数据流量的源目地址。

预设安全分析模块在源目地址中检测异常源目地址，并判断异常源目地址的数目是否大于预设阈值。

在判断到异常源目地址的数目大于预设阈值的情况下，确定数据包的数据流量为第一异常数据流量。

在判断到异常源目地址的数目小于预设阈值的情况下，确定数据包的数据流量为第二异常数据流量。

在未检出到异常源目地址的情况下，确定数据包的数据流量为正常流量。

在本实施例中，预设安全分析模块对数据包的数据流量进行检测分析时，通过不同数据流量的源目地址进行检测，具体地，当数据包的数据流量的源目地址全部检测为正常时，则判断该数据包的数据流量为正常，当数据包的数据流量的源目地址有大于50％的检测为异常时，则判断该数据包的数据流量为第一异常数据流量，当数据包的数据流量的源目地址有小于50％的检测为异常时，则判断该数据包的数据流量为第二异常数据流量。

在其中一些实施例中，预设安全分析模块在源目地址中检测异常源目地址包括如下步骤：

预设安全分析模块检测基于源目地址进行tcp连接交互的c/s数据，获取外连行为数据，其中，外连行为数据包括基于tcp连接行为检测出的第一外连行为数据和基于tcp连接内容检测出的第二外连行为数据。

预设安全分析模块在每一所述源目地址产生的所述外连行为数据中检测异常外连行为，并在检测到外连行为数据中存在所述异常外连行为的情况下，确定所述源目地址为异常源目地址。

需要说明的是，在本实施例中，预设安全分析模块进行分析包括如下内容：

基于对行为的检测：云内的vm服务器感染病毒后，服务器与客户端的数据是通过tcp连接交互，而预设安全分析模块的特征库实时对已知病毒的行为特征进行更新，根据特征库中的行为特征对匹配的tcp连接行进行检测，分析出已知病毒外连行为；同时，对于未知tcp连接行为，则根据时间特征、流量特征、频率特征为索引，参考已知病毒的相关特征进行分析，识别出未知的、伪装性强的病毒异常外连行为。

基于对内容的检测：正常的tcp连接三次握手完成后，预设安全分析模块进行根据tcp报文首部判断通信连接状态和根据tcp携带的数据分析通信内容、外连的地址、端口，与预设安全分析模块的特征库中的病毒程序外连交互数据内容进行对比，识别出病毒异常外连行为的检测。

在其中一些实施例中，预设转发策略包括阻断数据流量转发，在数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据预设转发策略将待转发的数据包转发包括如下步骤：在确定数据包的数据流量为第一异常数据流量的情况下，阻断待转发的数据包的数据流量转发。

在其中一些实施例中，预设转发策略包括阻断数据流量转发，在数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据预设转发策略将待转发的数据包转发还包括如下步骤：在确定数据包的数据流量为第二异常数据流量的情况下，将待转发数据包的数据流量转发，并执行通过预设安全分析模块中对数据包的数据流量进行分析检测，得到数据包的数据流量的安全评级结果，直至数据包的数据流量为第一异常数据流量或正常数据流量。

在其中一些实施例中，本地服务器与预设安全分析模块建立管理隧道包括如下步骤：

本地服务器接收安全分析模块发送的发现请求响应报文，其中，发现请求响应报文中携带有本地服务器请求发现的预设安全分析模块。

本地服务器根据发现请求响应报文选定预设安全分析模块并发送请求建立连接报文。

本地服务器在接收到安全分析模块发送的加入回应报文中检测管理隧道创建结果，其中，加入回应报文中携带有本地服务器发送的请求建立连接报文中请求建立连接的预设安全分析模块。

本地服务器根据管理隧道创建结果确定本地服务器与预设安全分析模块是否建立管理隧道，其中，管理隧道创造结果包括创建失败和创建成功。

在本实施例中，如果预设安全分析模块在45s内未收到心跳报文，则进行告警处理，并将数据流量安全评级检测转到本地服务器(云安全实现模块)处理。

图3是根据本申请管理隧道建立的流程视图，如图3所示，管理隧道建立过程包括如下步骤：

本地服务器向预设安全分析模块发送discoveryrequest报文。

预设安全分析模块收到discoveryrequest报文后，对本地服务器进行回复discoveryresponse报文。

本地服务器收到预设安全分析模块的discoveryresponse报文后，根据报文中携带的内容，选择预设安全分析模块。

本地服务器向选择的预设安全分析模块发送joinrequest报文。

预设安全分析模块根据报文内容，检查是否为本地服务器提供服务，并回复joinresponse报文。

若本地服务器收到resultcode为失败的joinresponse报文，则不建立隧道；若本地服务器收到resultcode为成功的joinresponse报文，则本地服务器和预设安全分析模块成功建立隧道。

管理隧道建立后，每隔30s发送心跳报文，用于维护隧道状态。

图4是根据本申请实施例执行云数据安全访问的系统架构图。如图4所示，本申请一种利用该系统框架图执行的云数据安全访问控制方法包括如下步骤：

系统部署：在业务层设置有vpc和vm服务器，在虚拟交换核心层设置sdn控制器和虚拟交换机(vswitch),在硬件核心层设置交换设备a和交换设备b，同时，在交换设备a和交换设备b分别设置网关设备a和网关b，与互联网打通；其中，网关设备a与交换设备a被设为普通节点，交换设备b与网关设备b称为审计节点(对应本地服务器)，云安全实现模块与云安全管理模块部署在交换设备b的物理服务器中，也就是本地服务器；云安全分析模块(对应预设安全分析模块)位于互联网某节点；部署完成上述系统架构后，云安全管理模块(对应本地服务器)与云安全分析模块能够建立管理隧道。

sdn控制器下发流表至虚拟交换机(vswitch)，配置转发规则为所有数据流量默认从交换设备b侧转发。

交换设备b侧配置策略路由，将虚拟交换机(vswitch)发送的所有数据流量转发至云安全实现模块。

云内的vpc发起连接时，数据流量全部转发至云安全实现模块(对应本地服务器)，在管理隧道已建立的情况下，云安全实现模块对接受到的会话请求进行保留，同时将会话请求携带的待转发的数据包发送到云安全分析模块。

数据包到达云安全分析模块后，对数据包的数据流量进行分析，分析结果分为为三类，正常数据流量、第一异常数据流量、第二异常数据流量。将分析结果通过管理隧道返回至云安全管理模块(对应本地服务器)。

云安全管理模块(对应本地服务器)对接受到的不同数据包的数据流量的分析结果进行处理：当分析结果为正常数据流量时，调用sdn控制器的api，下发流表至虚拟交换机(vswitch)，并确定对应的数据流量转发路径为采用由网关设备a与交换设备a组成的普通节点进行转发；当分析结果为第一异常数据流量时，下发预设转发策略至本地服务器(对应本地服务器)，对该数据流量的转发进行阻断，并通过预设方式告知管理员；当分析结果为第二异常数据流量时，保持该数据流量本地服务器转发，并将数据持续上传至云安全分析模块，直至数据流量分析结果正常数据流量或第一异常数据流量，并通过预设方式告知管理员。

当管理隧道未建立时，在云安全实现模块(对应本地服务器)对数据流量进行分析，并按云安全分析模块对数据分析的处理步骤进行。

上述的步骤中云数据安全访问的控制方法，通过单独部署审计节点，减轻了采用普通节点转的负载压力，且不改变原有云数据中心网络架构；同时，采用依靠云端特征及动态调整策略，对已知及未知病毒威胁都能做到有效分析防护，防止病毒向原有普通节点上其他vpc内主机的扩散。

需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本实施例还提供了一种云数据安全访问控制装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图5是根据本申请实施例的云数据安全访问控制装置的结构框图，如图5所示，该装置包括：

接收模块51，用于接收会话请求，该会话请求中携带待转发的数据包。

安全分析模块52，与接收模块51耦合连接，用于在本地服务器与预设安全分析模块建立管理隧道的情况下，通过预设安全分析模块中对数据包的数据流量进行分析检测，得到数据包的数据流量的安全评级结果。

处理模块53，与安全分析模块52耦合连接，用于在数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据预设转发策略将待转发的数据包转发。

在其中一些实施例中，在本地服务器与预设安全分析模块未建立管理隧道的情况下，处理模块53还用于对数据包的数据流量进行分析检测，得到数据包的数据流量的安全评级结果。

在其中一些实施例中，安全分析模块52用于获取数据包的数据流量的源目地址；在源目地址中检测异常源目地址，并判断异常源目地址的数目是否大于预设阈值；在判断到异常源目地址的数目大于预设阈值的情况下，确定数据包的数据流量为第一异常数据流量；在判断到异常源目地址的数目小于预设阈值的情况下，确定数据包的数据流量为第二异常数据流量；在未检出到异常源目地址的情况下，确定数据包的数据流量为正常流量。

在其中一些实施例中，安全分析模块52用于基于源目地址进行tcp连接交互的c/s数据，获取外连行为数据，其中，外连行为数据包括基于tcp连接行为检测出的第一外连行为数据和基于tcp连接内容检测出的第二外连行为数据；在每一源目地址产生的外连行为数据中检测异常外连行为，并在检测到外连行为数据中存在异常外连行为的情况下，确定源目地址为异常源目地址。

在其中一些实施例中，预设转发策略包括阻断数据流量转发，处理模块53用于在确定数据包的数据流量为第一异常数据流量的情况下，阻断待转发的数据包的数据流量转发。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

本实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：

s1，接收会话请求，该会话请求中携带待转发的数据包。

s2，在本地服务器与预设安全分析模块建立管理隧道的情况下，通过预设安全分析模块中对数据包的数据流量进行分析检测，得到数据包的数据流量的安全评级结果。

s3，在数据包的数据流量的安全评级结果为异常数据流量的情况下，调用预设转发策略，并根据预设转发策略将待转发的数据包转发。

需要说明的是，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

另外，结合上述实施例中的云数据安全访问控制方法，本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种云数据安全访问控制方法。

本领域的技术人员应该明白，以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。