[发明专利]一种基于云环境的安全访问控制方法、装置及系统

权利要求书

1.一种基于云环境的安全访问控制方法，其特征在于，应用于云安全审计虚拟机，包括：

通过云管平台的api在虚拟网络层获取业务虚拟机的镜像流量；

对所述镜像流量进行审计；

当所述镜像流量异常时，调用所述云管平台的api，向异常的所述镜像流量所对应的业务虚拟机所处网络空间下发安全组策略，以通过所述安全组策略控制所述业务虚拟机的流量。

2.根据权利要求1所述的方法，其特征在于，所述云安全审计虚拟机设置于单独的逻辑隔离网络空间。

3.根据权利要求2所述的方法，其特征在于，所述通过云管平台的api在虚拟网络层获取业务虚拟机的镜像流量包括：

当所述业务虚拟机对外发起链接时，通过云管平台的api在虚拟网络层获取业务虚拟机的镜像流量。

4.根据权利要求3所述的方法，其特征在于，所述对所述镜像流量进行审计包括：

调用设置于所述云安全审计虚拟机中的特征库，以所述业务虚拟机对外发起链接时的连接行为特征为索引，对所述镜像流量进行审计。

5.根据权利要求4所述的方法，其特征在于，所述连接行为特征包括以下任意一项或任意组合：

时间特征、流量特征、频率特征。

6.根据权利要求3所述的方法，其特征在于，所述对所述镜像流量进行审计包括：

调用设置于所述云安全审计虚拟机中的特征库，以所述业务虚拟机对外发起链接后发出的数据内容为索引，对所述镜像流量进行审计。

7.根据权利要求6所述的方法，其特征在于，所述数据内容包括以下任意一项或任意组合：

报文首部、外连的地址、端口。

8.根据权利要求1所述的方法，其特征在于，所述当所述镜像流量异常时，调用所述云管平台的api，向异常的所述镜像流量所对应的业务虚拟机所处网络空间下发安全组策略，以通过所述安全组策略控制所述业务虚拟机的流量包括：

当所述镜像流量处于第一状态时，保持所述业务虚拟机对外发起的链接；

当所述镜像流量处于第二状态时，调用所述云管平台的api，向所述第二状态的所述镜像流量所对应的业务虚拟机所处网络空间下发安全组策略，以通过所述安全组策略阻断所述业务虚拟机发出的流量数据；

当所述镜像流量处于第三状态时，重复至所述对所述镜像流量进行审计的步骤，直至所述镜像流量处于所述第一状态或所述第二状态。

9.一种基于云环境的安全访问控制装置，其特征在于，应用于云安全审计虚拟机，包括：

获取模块，用于通过云管平台的api在虚拟网络层获取业务虚拟机的镜像流量；

审计模块，用于对所述镜像流量进行审计；

控制模块，用于当所述镜像流量异常时，调用所述云管平台的api，向异常的所述镜像流量所对应的业务虚拟机所处网络空间下发安全组策略，以通过所述安全组策略控制所述业务虚拟机的流量。

10.一种基于云环境的安全访问控制系统，其特征在于，包括云管平台、云安全审计虚拟机以及业务虚拟机，所述云管平台与所述云安全审计虚拟机通信连接，所述云管平台与所述业务虚拟机通信连接；

所述云安全审计虚拟机用于：

通过所述云管平台的api在虚拟网络层获取所述业务虚拟机的镜像流量；

对所述镜像流量进行审计；

当所述镜像流量异常时，调用所述云管平台的api，向异常的所述镜像流量所对应的业务虚拟机所处网络空间下发安全组策略，以通过所述安全组策略控制所述业务虚拟机的流量。