[发明专利]一种云平台虚拟网络行为检测方法

权利要求书

1.一种云平台虚拟网络行为检测方法，其特征在于：所述的方法是采集虚拟网络端口的数据流特征；并与设定的安全规则集进行对比；如果符合安全规则，则确认其安全；否则，认定为不安全行为。

2.根据权利要求1所述的方法，其特征在于：所述方法具体包括如下步骤：

(1)在虚拟网络端口采集数据流特征并存储到数据流特征库中；

(2)网络组件服务中获取当前虚拟网络上端口的安全规则集；

(3)在数据流特征库中获取该端口最近一段时间内的特征记录集；

(4)依次遍历特征记录集并检查每条记录是否符合安全规则集，如果不符合，则该端口通信的数据流有可疑的不安全行为。

3.根据权利要求2所述的方法，其特征在于，所述

(1)所述的虚拟网络端口是虚拟交换机上的一个端口，其端口支持云平台上容器、虚拟机等网卡通信；

(2)所述的虚拟网络端口采集的数据流特征包含源IP、目的地址IP、源端口、目的IP端口、协议类型、出(入)方向；

(3)数据流特征采用时间序列的形式存储到数据库中，存储到数据库中的记录项包含了时间特征，可以精确到毫秒级别。

4.根据权利要求2所述的方法，其特征在于，所述

(1)安全规则集中包含了安全规则，其安全规则定义了允许访问源的IP、目的IP、目的端口、出或入方向等数据项；

(2)网络组件上存储了应用于某个虚拟端口的安全规则集，其对外提供API获取。

5.根据权利要求3所述的方法，其特征在于，所述

(1)安全规则集中包含了安全规则，其安全规则定义了允许访问源的IP、目的IP、目的端口、出或入方向等数据项；

(2)网络组件上存储了应用于某个虚拟端口的安全规则集，其对外提供API获取。

6.根据权利要求2至5任一项所述的方法，其特征在于，所述数据流特征库中获取特征记录集是：

(1)在获取的数据流特征数据库中查询指定端口和指定时间段的记录集；

(2)满足特定端口的指定，和获取安全规则集的端口一致；

(3)查询的时间段和当前获取安全规则集的时间段一致。

7.根据权利要求2至5任一项所述的方法，其特征在于，

(1)特征记录包含的特征项，源IP、源端口、目的IP地址、目的端口、出或入方向以及协议；跟安全规则集中各个规则中源IP、源端口、目的IP地址、目的端口，协议、出货方向等相应数据项进行匹配；

(2)如果安全规则记录中没有某数据项要求，则表示该数据项不进行匹配，表示该数据项满足；如果某数据项匹配失败，则表示该条特征记录和该条安全规则记录项匹配不成功；

(3)如果有特征集不匹配安全规则集中的任何一项，则表示该虚拟端口通信有可疑的不安全行为。

8.根据权利要求6所述的方法，其特征在于，

(1)特征记录包含的特征项，源IP、源端口、目的IP地址、目的端口、出或入方向以及协议；跟安全规则集中各个规则中源IP、源端口、目的IP地址、目的端口，协议、出货方向等相应数据项进行匹配；

(2)如果安全规则记录中没有某数据项要求，则表示该数据项不进行匹配，表示该数据项满足；如果某数据项匹配失败，则表示该条特征记录和该条安全规则记录项匹配不成功；

(3)如果有特征集不匹配安全规则集中的任何一项，则表示该虚拟端口通信有可疑的不安全行为。