虚拟化环境下支付应用的合规性检测方法

摘要

本发明提供一种虚拟化环境下支付应用的合规性检测方法，属于支付应用安全技术领域。该检测方法用于针对PCIDSS隔离要求的合规性检测，该检测方法可以从数据流量分析当前的虚拟机域以及其连接状况来判断是否合规，也可以分析虚拟机的网络流量的纯净性状况来判断是否合规。该检测方法适用于虚拟化环境并在在虚拟环境下合规性检测准确，有助于保障支付应用的安全性。

说明书

技术领域

本发明属于支付应用安全技术领域，尤其涉及虚拟化环境下针对支付应用的PCI DSS隔离要求的合规性检测。

背景技术

近年来虚拟化和云计算技术发展迅速，很多组织和企业开始将虚拟化技术应用到自己的信息系统建设中。支付卡行业（Payment Card Industry，PCI）安全标准委员会在2010年的新版数据安全标准（Data Security Standard，DSS）v2.0中指出：“PCI DSS合规性评估的系统组件包括所有的虚拟化组件”，在条款2.2.1中也有“虚拟化”的明确字样出现，这些更新明确了虚拟化技术可以被用于持卡人数据环境（Cardholder Data Environment，CDE）。委员会的虚拟化小组也出台了PCI DSS虚拟化指南，这也为在支付应用建设中使用虚拟化技术提供了依据。

支付应用为持卡人提供多样化的支付服务手段，由于其业务数据的传输内容涉及用户的银行卡号、口令等敏感信息，所以，对于用户而言，支付应用的安全性显得非常重要。为尽可能地减少数据外泄的可能性，商家、收单方等执行支付应用的实体必须执行PCI的安全审计程序，以确保遵守PCI DSS的要求，也即进行合规性检测。根据相关法律法规和行业准则，研究新环境下（特别是虚拟化环境下）的合规性检测方法，能够帮助企业或实体及时发现当前存在的不合规状态，保障虚拟化环境下支付应用的安全性，更好地保护持卡人数据安全。

但是，现有的合规性检测方法主要是针对传统的信息系统架构进行设计的，其系统组件中并没有考虑虚拟化组件；随着虚拟化技术的快速发展，在同一台物理机上可以部署多台虚拟机，在提高资源利用率的同时也带来了新的安全风险，对PCI DSS的合规性也产生了相应的影响。PCI DSS隔离要求主要是需要设置防火墙和路由器配置来限制非受信网络与持卡人数据环境系统组件的连接，由于虚拟化环境的复杂性，虚拟网络连接可能存在于主机内部或者主机之间，持卡人数据环境中虚拟机之间的通信可能根本不经过物理网络；此外，受信网络与非受信网络的边界可能是动态变化的。所以，原有的合规性检测方法在虚拟化环境下可能不再适用。

发明内容

本发明的目的在于，提供一种适用于虚拟化环境下的针对PCI DSS隔离要求的支付应用的合规性检测方法。

为实现以上目的或者其他目的，本发明提供以下技术方案。

按照本发明的一方面，提供一种虚拟化环境下支付应用的合规性检测方法，其用于针对PCI DSS隔离要求的合规性检测，其包括以下步骤：

采集物理机之间以及虚拟化环境下的虚拟机之间的网络流量；

对于所述网络流量进行流量预处理以确定其中对应连接两个不同的虚拟机的每个数据流；

根据所有所述数据流，至少确定一支付应用所对应的虚拟机域D（VM），并进一步确定该虚拟机域D（VM）中M个虚拟机中的每个虚拟机VMi所对应连接的其他虚拟机的连接集合C（VMi），其中，M大于或等于2，1≤i≤M；

将该支付应用的虚拟机域D（VM）与该支付应用的对应的预定虚拟机域D'（VM）进行比较，其中预定虚拟机域D'（VM）为该支付应用在合规状态下所对应的虚拟机的集合；

如果D（VM）等于D'（VM），判断虚拟机域D(VM)中每个虚拟机的连接集合C（VMi）与预定虚拟机域D'(VM)中的每个虚拟机VM_f的连接集合C'（VMf）是否对应相等，如果判断为“是”，则判断为合规状态，其中f为大于或等于2的整数；

如果D（VM）不等于D'（VM）或者C（VMi）不等于C'（VMf），则判断当前的虚拟机域D（VM）为不合规状态。

根据本发明一实施例的合规性检测方法，其中，

在判断为不合规状态后，进一步确定D（VM）中的虚拟机在D'（VM）对应找不到的虚拟机集合D_Diff（VM），并且确定D'（VM）中在D（VM）对应找不到的虚拟机集合D_Diff '（VM）；

确定D（VM）与D'（VM）的交集的虚拟机集合D_j（VM）；

判断D_Diff（VM）和D_Diff '（VM）中的每个虚拟机的连接集合C_Diff（VM）在D_j（VM）中的每个虚拟机的连接集合C_j（VM）中是否都能找到对应相等的连接集合；

如果判断“是”，则更新判断为合规状态。

根据本发明一实施例的合规性检测方法，优选地，其中，

如果D_Diff（VM）和D_Diff '（VM）中的每个虚拟机的连接集合C_Diff（VM）在D_j（VM）中的每个虚拟机的连接集合C_j（VM）中不能都找到对应相等的连接集合，则从D_Diff（VM）中去除能够在D_j（VM）中的每个虚拟机的连接集合C_j（VM）中能找到对应相等的连接集合的虚拟机，从而等到D'_Diff（VM），并且从D_Diff '（VM）中去除能够在D_j（VM）中的每个虚拟机的连接集合C_j（VM）中能找到对应相等的连接集合的虚拟机，从而等到D'_Diff '（VM）；

判断该D_Diff '（VM）和D'_Diff '（VM）的中的每个虚拟机的连接集合是否能从预定虚拟机域D'(VM)中找到一对应相等的虚拟机的连接集合；

如果判断为“是”，则更新判断为合规状态，否则继续保持为不合规状态。

优选地，采集物理机之间的网络流量时，在控制物理机之间通信访问的物理网络安全设备的出入口处设置旁路探测器对跨物理机的网络流量进行镜像捕获。

优选地，采集虚拟机之间的网络流量时，在多个虚拟机所处的同一台物理机中对应设置检测虚拟机，该检测虚拟机将检测虚拟机的虚拟网络端口作为其他虚拟网络端口的镜像端口，并通过该镜像端口采集该物理机中的多个虚拟机之间的网络流量。

具体地，所述流量预处理步骤中，以<源IP地址、源端口号、目的IP地址、目的端口好、传输协议>五元组为标识，提取所述网络流量中的数据流。

优选地，根据IP地址和虚拟网络端口号确定虚拟化环境下的每一台虚拟机，从而确定连接两个不同的虚拟机的每个所述数据流。

按照本发明的又一方面，提供一种虚拟化环境下支付应用的合规性检测方法，其用于针对PCI DSS隔离要求的合规性检测，其包括以下步骤：

采集物理机之间以及虚拟化环境下的虚拟机之间的网络流量；

对于所述网络流量进行流量预处理以确定其中对应连接两个不同的虚拟机的每个数据流；

根据所述数据流的应用层负载对所述数据流进行识别，以判断其是否属于支付应用所对应的支付应用流；

计算机所述支付应用流占所有所述数据流的百分比；

判断该百分比是否小于或等于预定值；

如果判断为“是”，则判断为不合规状态，如果判断为“否”，判断为合规状态。

根据本发明一实施例的合规性检测方法，其中，如果所述数据流的应用层负载匹配于支付应用的负载特征，则判断其属于支付应用所对应的支付应用流。

根据本发明一实施例的合规性检测方法，其中，如果所述数据流的应用层负载不匹配于支付应用的负载特征，则判断其是否匹配于支付应用的加密数据流特征，如果判断为“是”，则判断其属于支付应用所对应的支付应用流。

优选地，在所述识别步骤之前，包括提取支付应用的负载特征的步骤，其中，所述支付应用负载特征根据支付应用的支付协议对所有数据流来提取。

优选地，被提取的所述负载特征包括标识性的特征字段及其在应用层负载中所处的位置。

具体地，所述特征字段包括支付应用名称、版本信息、字段标识和交易类型。

优选地，在所述识别步骤之前，包括提取加密数据流特征的步骤，其中，所述加密数据流特征是对无法提取支付应用负载特征的所有数据流来提取。

具体地，被提取的所述加密数据流特征包括上行包数、下行包数、上行包长均值、下行包长均值、持续时间。

在之前所述任一实施例的合规性检测方法中，优选地，采集物理机之间的网络流量时，在控制物理机之间通信访问的物理网络安全设备的出入口处设置旁路探测器对跨物理机的网络流量进行镜像捕获。

在之前所述任一实施例的合规性检测方法中，优选地，采集虚拟机之间的网络流量时，在多个虚拟机所处的同一台物理机中对应设置检测虚拟机，该检测虚拟机将检测虚拟机的虚拟网络端口作为其他虚拟网络端口的镜像端口，并通过该镜像端口采集该物理机中的多个虚拟机之间的网络流量。

优选地，所述流量预处理步骤中，以<源IP地址、源端口号、目的IP地址、目的端口好、传输协议>五元组为标识，提取所述网络流量中的数据流。

在之前所述任一实施例的合规性检测方法中，优选地，根据IP地址和虚拟网络端口号确定虚拟化环境下的每一台虚拟机，从而确定连接两个不同的虚拟机的每个所述数据流。

按照本发明的还一方面，提供一种虚拟化环境下支付应用的合规性检测方法，其用于针对PCI DSS隔离要求的合规性检测，其包括以下步骤：

采集物理机之间以及虚拟化环境下的虚拟机之间的网络流量；

对于所述网络流量进行流量预处理以确定其中对应连接两个不同的虚拟机的每个数据流；以及

数据流分析检测步骤；

其中，所述数据流分析检测步骤包括以下步骤：

根据所有所述数据流，至少确定一支付应用所对应的虚拟机域D（VM），并进一步确定该虚拟机域D（VM）中M个虚拟机中的每个虚拟机VMi所对应连接的其他虚拟机的连接集合C（VMi），其中，M大于或等于2，1≤i≤M；

将该支付应用的虚拟机域D（VM）与该支付应用的对应的预定虚拟机域D'（VM）进行比较，其中预定虚拟机域D'（VM）为该支付应用在合规状态下所对应的虚拟机的集合；

如果D（VM）等于D'（VM），判断虚拟机域D(VM)中每个虚拟机的连接集合C（VMi）与预定虚拟机域D'(VM)中的每个虚拟机VM_f的连接集合C'（VMf）是否对应相等，如果判断为“是”，则判断为合规状态，其中f为大于或等于2的整数；

如果D（VM）不等于D'（VM）或者C（VMi）不等于C'（VMf），则判断当前的虚拟机域D（VM）为不合规状态；

其中，所述数据流分析检测步骤还包括以下步骤：

根据所述数据流的应用层负载对所述数据流进行识别，以判断其是否属于支付应用所对应的支付应用流；

计算机所述支付应用流占所有所述数据流的百分比；

判断该百分比是否小于或等于预定值；

如果判断为“是”，则判断为不合规状态，如果判断为“否”，判断为合规状态。

本发明的技术效果是，本发明的支付应用的合规性检测方法可以适用于虚拟机环境下应用，可以方便判断其是否符合PCI DSS的隔离要求，保障支付应用在虚拟环境下的安全性。

附图说明

从结合附图的以下详细说明中，将会使本发明的上述和其他目的及优点更加完整清楚，其中，相同或相似的要素采用相同的标号表示。

图1是按照本发明一实施例的合规性检测方法的流程示意图。

图2是按照本发明又一实施例的合规性检测方法的流程示意图。

图3是按照本发明还一实施例的合规性检测方法的流程示意图。

具体实施方式

下面介绍的是本发明的多个可能实施例中的一些，旨在提供对本发明的基本了解，并不旨在确认本发明的关键或决定性的要素或限定所要保护的范围。容易理解，根据本发明的技术方案，在不变更本发明的实质精神下，本领域的一般技术人员可以提出可相互替换的其他实现方式。因此，以下具体实施方式以及附图仅是对本发明的技术方案的示例性说明，而不应当视为本发明的全部或者视为对本发明技术方案的限定或限制。

在本发明中，虚拟化环境也即采用虚拟技术的包括虚拟机的网络环境，其其运行支付应用。通常地，执行支付应用的云环境为私有云环境，也即为本发明所定义的虚拟化环境。以下以私有云环境为示例进行说明。

在本文中，“虚拟机”与“物理机”是相对的概念，一个“物理机”中可以存在一个或多个可以相互连接的虚拟机。

图1所示为按照本发明一实施例的合规性检测方法的流程示意图。以下结合图1所示进行详细说明。

首先，示例说明检测的场景。

针对私有云环境，按照支付应用的不同使用VLAN进行划分，一个VLAN就是一个安全域，可以用来处理一种支付应用。VLAN之间的访问行为将受到控制，控制点在各个VLAN的网关。

同时，在虚拟化环境中，一种支付应用可能分布在一台物理机的多个虚拟机上，也可能分布在多台物理机中，也有可能出现多台物理机承载了多个应用且每个应用均分布在多台物理机中的复杂情况；支付应用在虚拟环境中的具体分布情况不是限制性的。对不同物理机上虚拟机之间的通信，可以采用高性能的物理网络安全设备实现访问控制策略；对同一台物理机上虚拟机之间的通信，由虚拟网络安全设备来完成访问控制。在部署虚拟机时，优选地，将虚拟机的网络接口通过桥接的方式（或类似桥接的方式），将其网关直接指向物理网络安全设备。

通常地，支付应用支持的交易类型是有限的，并且处理支付信息流的方式和流程是一定的。交易报文都是根据用户输入的交易信息自动产生，报文格式遵循一定的业务规范，并承载在特定的交易协议之上。

进一步，如图1所示，执行网络流量采集步骤S110。

具体地，在采集网络流量时，可以在交换机、路由器等物理网络安全设备的出入口应用旁路探测器，通过旁路探测器对跨物理机的网络流量进行镜像捕获，从而采集物理机之间的网络流量。对于同一物理机中的多个虚拟机之间的网络流量的采集，在该物理机上部署一台虚拟机，即检测虚拟机，利用虚拟网络安全设备的镜像功能，将该检测虚拟机的虚拟网络端口作为其他虚拟机的虚拟网络端口的镜像端口，通过镜像端口采集同一台物理机上的虚拟机之间的网络流量。

进一步，如图1所示，执行流量预处理步骤S120。

在该实施例中，可以采用以下子步骤来执行流量预处理。

（1）以五元组<源IP地址、源端口号、目的IP地址、目的端口号、传输协议>为标识，提取采集的网络流量中的数据流，这样，每个数据流被唯一标识。

（2）在虚拟化环境中，根据IP地址和虚拟网络端口号可以确定每台虚拟机，据此标记每个数据流两端的所连接的虚拟机，虚拟机用虚拟机编号标识，虚拟机编号在虚拟化环境中具有全局唯一性，在这里，用VMi来表示虚拟机i（假设编号i为整数，从1开始逐一增大）。这样，连接两个不同的虚拟机的数据流可以确定。

进一步，如图1所示，执行步骤S130：获取某一支付应用的虚拟机域D(VM)、以及该D(VM)中的虚拟机VMi所对应的连接集合C(VMi)。

在该实施例中，通过对数据流分析拉获取某一支付应用的虚拟机域。具体地，在数据流两端的连接的虚拟机被确定的情况下，如果虚拟机VMi和VMj之间有数据流，那么它们之间就存在连接情况，用connection(VMi,VMj)表示；用L表示所有连接的集合（即指在某一支付应用的虚拟机域中，所有存在的虚拟机连接的集合），统计L中出现过的虚拟机的集合，即为支付应用的虚拟机域，用D(VM)表示。在该实施例中，D(VM)中包括M台不同的虚拟机，其所包括的所有虚拟机并不是一定在同一物理机，也可以是跨物理机的虚拟集合，进一步统计D(VM)中每台虚拟机所对应与其他（M-1）虚拟机的连接集合，例如，用C(VMi)表示所有与虚拟机VMi相连接的虚拟机的集合。其中，M为大于或等于2的整数，1≤i≤M。

进一步，如图1所示，执行步骤S140：判断D(VM)与D'(VM)是否相等。

在该实施例中，其中，D'(VM)为预定虚拟机域，其可以为该支付应用在合规状态下所对应的虚拟机的集合，D' (VM)可以在系统中预先设计确定。 步骤S130通过统计分析数据流得到了D(VM)，类似的方法，也可以预先地用来得到预定虚拟机域D' (VM)。 比较当前虚拟机域D(VM)与预定虚拟机域D'(VM)。

进一步，如图1所示，如果判断为“是”，则进入步骤S150，判断虚拟机域D(VM)中每个虚拟机VMi的连接集合C（VMi）与预定虚拟机域D'(VM)中的每个虚拟机VMi的连接集合C'（VMf）是否对应相等，即C（VMi）是否等于C'（VMf）。

如果C（VMi）= C'（VMf），说明当前的虚拟机域与合规状态下的虚拟机域是一致的，这时判定当前支付应用虚拟机域为合规状态，即步骤S151则判断为合规状态。

如果D(VM)≠D'(VM)，或者如果C（VMi）≠C'（VMf）（即如果当前虚拟机域D(VM)中至少存在一台虚拟机的当前的连接集合C（VMi）与其在合规状态下的连接集合C'（VMf）不相等），均进入步骤S160，判断当前虚拟机域D(VM)为不合规状态。

进一步，如图1所示，在判断为不合规状态的情况下，为更准确地判断当前的不合规状态是否准确，进一步进行判断，也即进入步骤S161。

在该步骤S161中，分别确定D（VM）中的虚拟机在D'（VM）对应找不到的虚拟机集合D_Diff（VM）、确定D'（VM）中在D（VM）对应找不到的虚拟机集合D_Diff'（VM），也即通过分别通过以下公式（1）和（2）计算。

D_Diff（VM）  = D(VM)  - D'(VM)      （1）

D_Diff '（VM） = D'(VM)  - D(VM)      （2）

进一步，如图1所示，进入步骤S162，确定 D(VM)与 D'(VM)的交集的虚拟机集合D_j(VM)，即D_j(VM)= D(VM)∩D'(VM)。

进一步，如图1所示，进入步骤S163，判断D_Diff（VM）和D_Diff '（VM）中的每个虚拟机的连接集合C_Diff（VM）(即D_Diff（VM）中的其中一个虚拟机与该D_Diff（VM）中的其他虚拟机的连接的集合)在D_j（VM）中的每个虚拟机的连接集合C_j（VM）（即D_Diff（VM）中的其中一个虚拟机与D_Diff '（VM）中的其他虚拟机的连接的集合）中是否都能找到对应相等的连接集合，也即判断C_Diff(VM)                                                C_j(VM)。 

如果判断为“是”，那么可以认为在支付信息流的某些处理节点，根据负载的情况关闭了原有的一些虚拟机或新开启了一些虚拟机，之前的判断出现因此出现了偏差,因此，更新之前的不合规状态为合规状态，否则进入步骤S163。

进一步，如图1所示，步骤S164，在D_Diff(VM)和D_Diff '(VM)中分别去除满足该条件的虚拟机得到D'_Diff(VM)和D'_Diff '(VM)。

进一步，如图1所示，步骤S165，判断D_Diff '（VM）和D'_Diff'（VM）的虚拟机的连接集合C'_Diff '(VM) 与合规状态下的D'(VM)的连接集合C'（VMf）是否对应相等

如果判断为“是”，那么可以认为支付信息流的某个处理节点可能由于宕机的原因，原有合规状态下的虚拟机被当前状态下新开启的虚拟机所取代，更新之前的不合规状态为合规状态，否则进入步骤S166，判断为不合规状态。当然，该步骤S165中并没有考虑两台以上虚拟机同时宕机的情况。

至此，该实施例的合规性检测判断完成，明显地，该检测方法不但适用于虚拟化环境，而且可以准确地检测私有云环境下的支付应用当前的虚拟机域以及其连接状况，从而判断支付应用是否符合PCI DSS的隔离机制要求。这样能帮助管理员或者合规性评测员及时掌握支付应用当前是否遵从行业标准PCI DSS的安全隔离要求，从而保障支付应用的安全性，更好的保护持卡人数据。

图2所示为按照本发明又一实施例的合规性检测方法的流程示意图。在该实施例的检测方法中，其检测场景、步骤S110、步骤S120与图1所示实施例对应相同，在此不再赘述。

如图2所示，步骤S230，提取支付应用负载特征。

在该实施例中，支付应用所采用的支付协议可能存在仅对应用层负载中涉及的敏感信息字段进行加密的环节，具体可以利用Wireshark工具分析流量数据包提取应用层负载特征。在提取分析的过程中，重点关注数据包应用层负载中是否具有标识性的特征字段以及其在应用层负载中所处的位置信息。例如，标识性的特征字段可以但不限于包括支付应用名称、版本信息、字段标识（如“AccountNumber”、“PIN”）、交易类型（如“BalanceEnquiry”、“Purchase”）等。

进一步，如图2所示，执行步骤S240，提取加密数据流特征。

在该实施例中，在支付信息流处理过程中，还有些环节会对整个应用层负载进行加密以更好地保护传输的数据。加密后的数据流在应用层负载内容层面不会表现出有规律的特征，无法通过应用层负载特征进行识别，也即无法在步骤S230中提取支付应用负载特征。对这部分数据流，可以通过统计来提取流特征，选取的流特征可以但不限于包括上行包数、下行包数、上行包长均值、下行包长均值、持续时间。

 需要理解的是，以上步骤S230和步骤S240的执行顺序不限于以上实施例，在其他实施例中，两个步骤可以同时执行，也可以先执行步骤S240再执行步骤S230。

进一步，如图2所示，执行步骤S250，判断数据流的应用层负载是否匹配支付应用负载特征。如果判断为“是”，则判断其属于支付应用所对应的支付应用流，即进入步骤S270；否则，进入步骤S260。

进一步，如图2所示，执行步骤S260，判断数据流的应用层负载是否匹配于支付应用的加密数据流特征。如果判断为“是”，则判断其属于支付应用所对应的支付应用流即进入步骤S270；否则，进入步骤S271，将其归类为与支付应用无关的网络流量。

这样，根据数据流的应用层负载对数据流进行了识别，把不属于支付应用流的数据流排除了出来。

进一步，如图2所示，执行步骤S280，计算支付应用流占总数据流的百分比值C%。

进一步，如图2所示，执行步骤S290，判断C%是否小于预定值。该预定值可以事先地在系统中设定，其反映了数据流中在合规状态下可以包容的与支付应用无关的网络流量的比例。如果判断为“是”，则进入步骤S291，将其判断为合规状态，即符合针对PCI DSS隔离要求的合规性检测；否则，进入步骤S292，将其判断为不合规状态。

至此，该实施例的合规性检测方法基本结束。其可以通过虚拟机的网络流量的纯净性状况，来判断虚拟环境下的支付应用是否PCI DSS的隔离机制要求，能帮助管理员或者合规性评测员及时掌握支付应用当前是否遵从行业标准PCI DSS的安全隔离要求，从而保障支付应用的安全性，更好的保护持卡人数据。

图3所示为按照本发明还一实施例的合规性检测方法的流程示意图。在该实施例中，同时采用了如图1和图2所示实施例的两种合规性检测方法，图2中的步骤S291合并至步骤S151，步骤S292合并至步骤S166。其中，步骤S230至步骤S290与图2所示的步骤S230至步骤S290对应相同，步骤S130至S160与图1所示的步骤S130至S160对应相同，在此不再一一赘述。

因此，图3所示实施例的检测方法可以从虚拟机域和/或流量纯净性两方面来检测，合规性检测相对更加准确可靠；其中，单一流量纯净性方面的检测相对单一虚拟机域方面的检测。

以上例子主要说明了本发明的虚拟化环境下支付应用的合规性检测方法。尽管只对其中一些本发明的实施方式进行了描述，但是本领域普通技术人员应当了解，本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此，所展示的例子与实施方式被视为示意性的而非限制性的，在不脱离如所附各权利要求所定义的本发明精神及范围的情况下，本发明可能涵盖各种的修改与替换。