漏洞扫描方法及相关设备与流程

本发明涉及网络安全
技术领域：
：，具体涉及一种漏洞扫描方法、装置、计算机装置及计算机存储介质。
背景技术：
：：云计算管理平台(openstack)是一个旨在为虚拟公有云及虚拟私有云(virtualprivatecloud，vpc)的建设与管理提供软件的开源项目，可以运行于linux操作系统，基于云计算管理平台的虚拟公有云及vpc的建设可实现大规模的物理资源的充分利用。云计算管理平台的虚拟网络由网桥(bridge)组建，网桥是工作在链路层(linklayer)的虚拟交换机。为了保障云计算管理平台的安全运行，需要给云计算管理平台部署防火墙。云计算管理平台的防火墙可以通过在网桥上加载安全组件(securitygroup)iptables来实现。而iptables工作在网络层(networklayer，也称ip层)，可以对ip数据包进行安全检测，无法检测在链路层的数据包，使得防火墙存在网络安全的漏洞。针对相关技术中的问题，目前尚未提出有效的解决方案。技术实现要素：鉴于以上内容，有必要提出一种漏洞扫描方法、装置、计算机装置及计算机存储介质，其可以扫描目标虚拟主机的漏洞。本申请的第一方面提供一种漏洞扫描方法，所述方法包括：确定待扫描的目标虚拟主机；查找所述目标虚拟主机所属的目标节点，所述目标虚拟主机通过虚拟网桥与所述目标节点中的综合网桥连接；在所述目标节点上创建与所述虚拟网桥连接的扫描虚拟主机，所述扫描虚拟主机载有扫描工具；获取所述虚拟网桥对所述扫描虚拟主机的通信授权；调整所述虚拟网桥对所述综合网桥的通信授权，使所述虚拟网桥断开与所述综合网桥的连接；调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描。另一种可能的实现方式中，所述获取所述虚拟网桥对所述扫描虚拟主机的通信授权包括：根据所述扫描虚拟主机的mac地址生成授权网络控制列表；将所述授权网络控制列表下发至所述虚拟网桥，使所述虚拟网桥将所述授权网络控制列表存储至本地网络控制列表。另一种可能的实现方式中，所述调整所述虚拟网桥对所述综合网桥的通信授权包括：获取所述综合网桥的mac地址；根据所述综合网桥的mac地址生成禁权网络控制列表；将所述禁权网络控制列表下发至所述虚拟网桥，使所述虚拟网桥将所述禁权网络控制列表存储至本地网络控制列表。另一种可能的实现方式中，在所述获取所述虚拟网桥对所述扫描虚拟主机的通信授权之前，所述方法还包括：获取对所述目标虚拟主机进行扫描的权限。另一种可能的实现方式中，所述方法还包括：接收所述扫描虚拟主机返回的扫描日志。另一种可能的实现方式中，所述扫描虚拟主机包括远程控制接口，所述方法还包括：代理服务器通过所述远程控制接口调用所述扫描虚拟主机的扫描工具。另一种可能的实现方式中，在所述调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描之后，所述方法还包括：恢复所述虚拟网桥对所述综合网桥的通信授权。本申请的第二方面提供一种漏洞扫描装置，所述装置包括：确定模块，用于确定待扫描的目标虚拟主机；查找模块，用于查找所述目标虚拟主机所属的目标节点，所述目标虚拟主机通过虚拟网桥与所述目标节点中的综合网桥连接；创建模块，用于在所述目标节点上创建与所述虚拟网桥连接的扫描虚拟主机，所述扫描虚拟主机载有扫描工具；获取模块，用于获取所述虚拟网桥对所述扫描虚拟主机的通信授权；调整模块，用于调整所述虚拟网桥对所述综合网桥的通信授权，使所述虚拟网桥断开与所述综合网桥的连接；调用模块，用于调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描。另一种可能的实现方式中，所述获取所述虚拟网桥对所述扫描虚拟主机的通信授权包括：根据所述扫描虚拟主机的mac地址生成授权网络控制列表；将所述授权网络控制列表下发至所述虚拟网桥，使所述虚拟网桥将所述授权网络控制列表存储至本地网络控制列表。另一种可能的实现方式中，所述调整所述虚拟网桥对所述综合网桥的通信授权包括：获取所述综合网桥的mac地址；根据所述综合网桥的mac地址生成禁权网络控制列表；将所述禁权网络控制列表下发至所述虚拟网桥，使所述虚拟网桥将所述禁权网络控制列表存储至本地网络控制列表。本申请的第三方面提供一种计算机装置，所述计算机装置包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现所述漏洞扫描方法。本申请的第四方面提供一种计算机存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述漏洞扫描方法。本发明扫描了目标虚拟主机的漏洞，减小了扫描过程对网络的影响。附图说明图1是本发明实施例提供的漏洞扫描方法的流程图。图2是本发明实施例提供的漏洞扫描装置的结构图。图3是本发明实施例提供的计算机装置的示意图。具体实施方式为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施例对本发明进行详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。在下面的描述中阐述了很多具体细节以便于充分理解本发明，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的
技术领域：
：的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。优选地，本发明的漏洞扫描方法应用在一个或者多个计算机装置中。所述计算机装置是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(applicationspecificintegratedcircuit，asic)、可编程门阵列(field－programmablegatearray，fpga)、数字处理器(digitalsignalprocessor，dsp)、嵌入式设备等。所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。实施例一图1是本发明实施例一提供的漏洞扫描方法的流程图。所述漏洞扫描方法应用于网络中的代理服务器，所述网络包括一个或多个节点，每个节点上运行一个或多个虚拟主机，所述节点可以是计算节点(物理主机)、云服务器等。所述漏洞扫描方法扫描目标虚拟主机的漏洞。如图1所示，所述漏洞扫描方法包括：101，确定待扫描的目标虚拟主机。在一具体实施例中，可以接收代理服务器所在的网络中的节点发出的虚拟机扫描请求，将所述虚拟机扫描请求中的虚拟主机确定为所述目标虚拟主机。例如，可以接收所述代理服务器所在的网络中的节点a发出的虚拟机扫描请求，所述虚拟机扫描请求可以是udp(用户数据报协议，userdatagramprotocol)报文，将所述虚拟机扫描请求中的虚拟主机a确定为目标虚拟主机。所述虚拟机扫描请求也可以包括多个虚拟主机，以将多个虚拟主机确定为目标虚拟主机。所述代理服务器所在的网络中的节点可以在向所述虚拟机扫描请求中添加虚拟主机之前，验证预添加的虚拟主机停止执行运行于该虚拟主机的任务，使运行于该虚拟主机的任务避免受漏洞扫描的干扰。在另一实施例中，可以读取本地数据库中存储的虚拟主机信息，周期性地将所述虚拟主机信息中的虚拟机确定为所述目标主机。例如，读取本地数据库中存储的三个虚拟主机信息(虚拟主机b的mac(mediaaccesscontroladdress)地址、虚拟主机c的mac地址、虚拟主机d的虚拟主机号)，每间隔一天将虚拟主机b、虚拟主机c、虚拟主机d确定为所述目标主机。其中，mac地址可以是虚拟主机的唯一标识。102，查找所述目标虚拟主机所属的目标节点，所述目标虚拟主机通过虚拟网桥与所述目标节点中的综合网桥连接。所述综合网桥可以类比为交换机，交换机可以用于连接多个节点(计算节点、物理主机或服务器等)，所述综合网桥可以用于连接多个虚拟机。所述虚拟网桥可以用于连接所述综合网桥和多个虚拟机，且可以通过加载安全组件实现防火墙的功能。在一具体实施例中，可以通过所述目标虚拟主机的mac地址查找与所述目标虚拟主机连接的综合网桥，通过所述综合网桥查找所述目标节点。例如，在代理服务器所在的网络中广播目的地为目标虚拟主机a的mac地址的udp报文。接收返回的udp报文，从返回的udp报文中获取与目标虚拟主机a连接的综合网桥。获取综合网桥-目标节点映射表，通过查所述综合网桥-目标节点映射表查找与目标虚拟主机a连接的综合网桥对应的目标节点。在另一实施例中，可以通过存储的虚拟机的位置信息查找所述目标虚拟主机所属的目标节点。103，在所述目标节点上创建与所述虚拟网桥连接的扫描虚拟主机，所述扫描虚拟主机载有扫描工具。在一具体实施例中，可以根据所述虚拟网桥的配置信息和所述扫描虚拟主机的配置信息生成可运行脚本，将所述可运行脚本下发至所述目标节点，使所述目标节点执行所述可运行节点，以创建与所述虚拟网桥连接的扫描虚拟主机。在另一实施例中，可以通过调用所述目标节点的创建接口实现创建与所述虚拟网桥连接的扫描虚拟主机。104，获取所述虚拟网桥对所述扫描虚拟主机的通信授权。在对所述目标虚拟机进行扫描之前，需要获取所述虚拟网桥对所述扫描虚拟主机的通信授权，若所述虚拟网桥没有对所述扫描虚拟主机进行通信授权，所述扫描虚拟主机不能通过所述虚拟网桥与所述目标虚拟主机进行通信，所述扫描虚拟主机也就不能对所述目标虚拟机进行漏洞扫描。在一具体实施例中，所述获取所述虚拟网桥对所述扫描虚拟主机的通信授权包括：根据所述扫描虚拟主机的mac地址生成授权网络控制列表；将所述授权网络控制列表下发至所述虚拟网桥，使所述虚拟网桥将所述授权网络控制列表存储至本地网络控制列表。所述授权网络控制列表中记录了网络控制规则，所述虚拟网桥可以根据所述网络控制规则对所述虚拟网桥接收到的报文进行网络控制。例如，所述虚拟网桥根据所述本地网络控制列表对接收到的报文进行接收、转发、丢弃、广播等网络控制。例如，根据扫描虚拟主机的mac地址生成授权网络控制列表，扫描虚拟主机的mac地址为“123.125.71.60”，数据网络控制列表中记录的网络控制规则为“iptables-ainput-iveth_1-s123.125.71.60-ptcp-sport60-jaccept”。可以通过扫描虚拟主机的远程控制接口将授权网络控制列表下发至所述虚拟网桥。在另一实施例中，所述扫描虚拟主机包括扫描接口，所述扫描虚拟主机的mac地址可以是所述扫描接口的mac地址。105，调整所述虚拟网桥对所述综合网桥的通信授权，使所述虚拟网桥断开与所述综合网桥的连接。在对所述目标虚拟机进行扫描之前，可以断开所述虚拟网桥与所述综合网桥的连接，即使得所述虚拟网桥不能与综合网桥连接的其他虚拟主机和/或计算节点进行通信，避免对所述目标虚拟机的扫描过程对其他虚拟主机和/或计算节点产生干扰。所述调整所述虚拟网桥对所述综合网桥的通信授权包括：获取所述综合网桥的mac地址；根据所述综合网桥的mac地址生成禁权网络控制列表；将所述禁权网络控制列表下发至所述虚拟网桥，使所述虚拟网桥将所述禁权网络控制列表存储至本地网络控制列表。例如，通过向所述目标虚拟主机发送探测请求的方式接收所述目标虚拟主机的报文，从所述目标虚拟主机返回的报文中获取所述综合网桥的mac地址。根据扫描虚拟主机的mac地址生成授权网络控制列表，扫描虚拟主机的mac地址为“123.125.71.61”，数据网络控制列表中记录的网络控制规则为“iptables-ainput-iveth_1-s123.125.71.61-ptcp-sport62-jdrop”、“iptables-aout-iveth_1-s123.125.71.61-ptcp-sport62-jdrop”。可以通过扫描虚拟主机的远程控制接口将禁权网络控制列表下发至所述虚拟网桥。106，调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描。在一具体实施例中，可以通过扫描虚拟主机的远程控制接口调用所述扫描虚拟主机的扫描工具，所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描。可以获取所述扫描虚拟主机的扫描工具输出的扫描结果。所述扫描结果可以包括扫描到的所述目标虚拟主机的漏洞或所述目标虚拟主机无漏洞。实施例一扫描了目标虚拟主机的漏洞，减小了扫描过程对网络的影响。在另一实施例中，在所述获取所述虚拟网桥对所述扫描虚拟主机的通信授权之前，所述方法还包括：获取对所述目标虚拟主机进行扫描的权限。可以在所述获取所述虚拟网桥对所述扫描虚拟主机的通信授权之前，验证对所述目标虚拟主机进行扫描的权限；若没有对所述目标虚拟主机进行扫描的权限，向所述目标虚拟主机或所述目标节点请求对所述目标虚拟主机进行扫描的权限。在另一实施例中，所述方法还包括：接收所述扫描虚拟主机返回的扫描日志。所述扫描日志可以包括多次漏洞扫描过程中扫描到的所述目标虚拟主机的漏洞。在另一实施例中，所述扫描虚拟主机包括远程控制接口，所述代理服务器可以通过所述远程控制接口调用所述扫描虚拟主机的扫描工具。在另一实施例中，在所述调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描之后，所述方法还包括：恢复所述虚拟网桥对所述综合网桥的通信授权。恢复所述虚拟网桥对所述综合网桥的通信授权可以开启所述虚拟网桥与所述综合网桥的通信通道。实施例二图2是本发明实施例二提供的漏洞扫描装置的结构图。所述漏洞扫描装置20应用于网络中的代理服务器，所述网络包括一个或多个节点，每个节点上运行一个或多个虚拟主机，所述节点可以是计算节点(物理主机)、云服务器等。本装置的漏洞扫描是扫描目标虚拟主机的漏洞。如图2所示，所述漏洞扫描装置20可以包括确定模块201、查找模块202、创建模块203、获取模块204、调整模块205、调用模块206。确定模块201，用于确定待扫描的目标虚拟主机。在一具体实施例中，可以接收代理服务器所在的网络中的节点发出的虚拟机扫描请求，将所述虚拟机扫描请求中的虚拟主机确定为所述目标虚拟主机。例如，可以接收所述代理服务器所在的网络中的节点a发出的虚拟机扫描请求，所述虚拟机扫描请求可以是udp(用户数据报协议，userdatagramprotocol)报文，将所述虚拟机扫描请求中的虚拟主机a确定为目标虚拟主机。所述虚拟机扫描请求也可以包括多个虚拟主机，以将多个虚拟主机确定为目标虚拟主机。所述代理服务器所在的网络中的节点可以在向所述虚拟机扫描请求中添加虚拟主机之前，验证预添加的虚拟主机停止执行运行于该虚拟主机的任务，使运行于该虚拟主机的任务避免受漏洞扫描的干扰。在另一实施例中，可以读取本地数据库中存储的虚拟主机信息，周期性地将所述虚拟主机信息中的虚拟机确定为所述目标主机。例如，读取本地数据库中存储的三个虚拟主机信息(虚拟主机b的mac(mediaaccesscontroladdress)地址、虚拟主机c的mac地址、虚拟主机d的虚拟主机号)，每间隔一天将虚拟主机b、虚拟主机c、虚拟主机d确定为所述目标主机。其中，mac地址可以是虚拟主机的唯一标识。查找模块202，用于查找所述目标虚拟主机所属的目标节点，所述目标虚拟主机通过虚拟网桥与所述目标节点中的综合网桥连接。所述综合网桥可以类比为交换机，交换机可以用于连接多个节点(计算节点、物理主机或服务器等)，所述综合网桥可以用于连接多个虚拟机。所述虚拟网桥可以用于连接所述综合网桥和多个虚拟机，且可以通过加载安全组件实现防火墙的功能。在一具体实施例中，可以通过所述目标虚拟主机的mac地址查找与所述目标虚拟主机连接的综合网桥，通过所述综合网桥查找所述目标节点。例如，在代理服务器所在的网络中广播目的地为目标虚拟主机a的mac地址的udp报文。接收返回的udp报文，从返回的udp报文中获取与目标虚拟主机a连接的综合网桥。获取综合网桥-目标节点映射表，通过查所述综合网桥-目标节点映射表查找与目标虚拟主机a连接的综合网桥对应的目标节点。在另一实施例中，可以通过存储的虚拟机的位置信息查找所述目标虚拟主机所属的目标节点。创建模块203，用于在所述目标节点上创建与所述虚拟网桥连接的扫描虚拟主机，所述扫描虚拟主机载有扫描工具。在一具体实施例中，可以根据所述虚拟网桥的配置信息和所述扫描虚拟主机的配置信息生成可运行脚本，将所述可运行脚本下发至所述目标节点，使所述目标节点执行所述可运行节点，以创建与所述虚拟网桥连接的扫描虚拟主机。在另一实施例中，可以通过调用所述目标节点的创建接口实现创建与所述虚拟网桥连接的扫描虚拟主机。获取模块204，用于获取所述虚拟网桥对所述扫描虚拟主机的通信授权。在对所述目标虚拟机进行扫描之前，需要获取所述虚拟网桥对所述扫描虚拟主机的通信授权，若所述虚拟网桥没有对所述扫描虚拟主机进行通信授权，所述扫描虚拟主机不能通过所述虚拟网桥与所述目标虚拟主机进行通信，所述扫描虚拟主机也就不能对所述目标虚拟机进行漏洞扫描。在一具体实施例中，所述获取所述虚拟网桥对所述扫描虚拟主机的通信授权包括：根据所述扫描虚拟主机的mac地址生成授权网络控制列表；将所述授权网络控制列表下发至所述虚拟网桥，使所述虚拟网桥将所述授权网络控制列表存储至本地网络控制列表。所述授权网络控制列表中记录了网络控制规则，所述虚拟网桥可以根据所述网络控制规则对所述虚拟网桥接收到的报文进行网络控制。例如，所述虚拟网桥根据所述本地网络控制列表对接收到的报文进行接收、转发、丢弃、广播等网络控制。例如，根据扫描虚拟主机的mac地址生成授权网络控制列表，扫描虚拟主机的mac地址为“123.125.71.60”，数据网络控制列表中记录的网络控制规则为“iptables-ainput-iveth_1-s123.125.71.60-ptcp-sport60-jaccept”。可以通过扫描虚拟主机的远程控制接口将授权网络控制列表下发至所述虚拟网桥。在另一实施例中，所述扫描虚拟主机包括扫描接口，所述扫描虚拟主机的mac地址可以是所述扫描接口的mac地址。调整模块205，用于调整所述虚拟网桥对所述综合网桥的通信授权，使所述虚拟网桥断开与所述综合网桥的连接。在对所述目标虚拟机进行扫描之前，可以断开所述虚拟网桥与所述综合网桥的连接，即使得所述虚拟网桥不能与综合网桥连接的其他虚拟主机和/或计算节点进行通信，避免对所述目标虚拟机的扫描过程对其他虚拟主机和/或计算节点产生干扰。所述调整所述虚拟网桥对所述综合网桥的通信授权包括：获取所述综合网桥的mac地址；根据所述综合网桥的mac地址生成禁权网络控制列表；将所述禁权网络控制列表下发至所述虚拟网桥，使所述虚拟网桥将所述禁权网络控制列表存储至本地网络控制列表。例如，通过向所述目标虚拟主机发送探测请求的方式接收所述目标虚拟主机的报文，从所述目标虚拟主机返回的报文中获取所述综合网桥的mac地址。根据扫描虚拟主机的mac地址生成授权网络控制列表，扫描虚拟主机的mac地址为“123.125.71.61”，数据网络控制列表中记录的网络控制规则为“iptables-ainput-iveth_1-s123.125.71.61-ptcp-sport62-jdrop”、“iptables-aout-iveth_1-s123.125.71.61-ptcp-sport62-jdrop”。可以通过扫描虚拟主机的远程控制接口将禁权网络控制列表下发至所述虚拟网桥。调用模块206，用于调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描。在一具体实施例中，可以通过扫描虚拟主机的远程控制接口调用所述扫描虚拟主机的扫描工具，所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描。可以获取所述扫描虚拟主机的扫描工具输出的扫描结果。所述扫描结果可以包括扫描到的所述目标虚拟主机的漏洞或所述目标虚拟主机无漏洞。实施例二的漏洞扫描装置20扫描了目标虚拟主机的漏洞，减小了扫描过程对网络的影响。在另一实施例中，所述获取模块还用于在所述获取所述虚拟网桥对所述扫描虚拟主机的通信授权之前，获取对所述目标虚拟主机进行扫描的权限。可以在所述获取所述虚拟网桥对所述扫描虚拟主机的通信授权之前，验证对所述目标虚拟主机进行扫描的权限；若没有对所述目标虚拟主机进行扫描的权限，向所述目标虚拟主机或所述目标节点请求对所述目标虚拟主机进行扫描的权限。在另一实施例中，所述漏洞扫描装置20还可以包括：接收模块，用于接收所述扫描虚拟主机返回的扫描日志。所述扫描日志可以包括多次漏洞扫描过程中扫描到的所述目标虚拟主机的漏洞。在另一实施例中，所述扫描虚拟主机包括远程控制接口，所述调用模块还用于通过所述远程控制接口调用所述扫描虚拟主机的扫描工具。在另一实施例中，所述漏洞扫描装置20还可以包括：恢复模块，用于在所述调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描之后，恢复所述虚拟网桥对所述综合网桥的通信授权。恢复所述虚拟网桥对所述综合网桥的通信授权可以开启所述虚拟网桥与所述综合网桥的通信通道。实施例三本实施例提供一种计算机存储介质，该计算机存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述漏洞扫描方法实施例中的步骤，例如图1所示的101-106：101，确定待扫描的目标虚拟主机；102，查找所述目标虚拟主机所属的目标节点，所述目标虚拟主机通过虚拟网桥与所述目标节点中的综合网桥连接；103，在所述目标节点上创建与所述虚拟网桥连接的扫描虚拟主机，所述扫描虚拟主机载有扫描工具；104，获取所述虚拟网桥对所述扫描虚拟主机的通信授权；105，调整所述虚拟网桥对所述综合网桥的通信授权，使所述虚拟网桥断开与所述综合网桥的连接；106，调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描。或者，该计算机程序被处理器执行时实现上述装置实施例中各模块的功能，例如图2中的模块201-206：确定模块201，用于确定待扫描的目标虚拟主机；查找模块202，用于查找所述目标虚拟主机所属的目标节点，所述目标虚拟主机通过虚拟网桥与所述目标节点中的综合网桥连接；创建模块203，用于在所述目标节点上创建与所述虚拟网桥连接的扫描虚拟主机，所述扫描虚拟主机载有扫描工具；获取模块204，用于获取所述虚拟网桥对所述扫描虚拟主机的通信授权；调整模块205，用于调整所述虚拟网桥对所述综合网桥的通信授权，使所述虚拟网桥断开与所述综合网桥的连接；调用模块206，用于调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描。实施例四图3为本发明实施例四提供的计算机装置的示意图。所述计算机装置30包括存储器301、处理器302以及存储在所述存储器301中并可在所述处理器302上运行的计算机程序303，例如漏洞扫描程序。所述处理器302执行所述计算机程序303时实现上述漏洞扫描方法实施例中的步骤，例如图1所示的101-106：101，确定待扫描的目标虚拟主机；102，查找所述目标虚拟主机所属的目标节点，所述目标虚拟主机通过虚拟网桥与所述目标节点中的综合网桥连接；103，在所述目标节点上创建与所述虚拟网桥连接的扫描虚拟主机，所述扫描虚拟主机载有扫描工具；104，获取所述虚拟网桥对所述扫描虚拟主机的通信授权；105，调整所述虚拟网桥对所述综合网桥的通信授权，使所述虚拟网桥断开与所述综合网桥的连接；106，调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描。或者，该计算机程序被处理器执行时实现上述装置实施例中各模块的功能，例如图2中的模块201-206：确定模块201，用于确定待扫描的目标虚拟主机；查找模块202，用于查找所述目标虚拟主机所属的目标节点，所述目标虚拟主机通过虚拟网桥与所述目标节点中的综合网桥连接；创建模块203，用于在所述目标节点上创建与所述虚拟网桥连接的扫描虚拟主机，所述扫描虚拟主机载有扫描工具；获取模块204，用于获取所述虚拟网桥对所述扫描虚拟主机的通信授权；调整模块205，用于调整所述虚拟网桥对所述综合网桥的通信授权，使所述虚拟网桥断开与所述综合网桥的连接；调用模块206，用于调用所述扫描虚拟主机的扫描工具通过所述虚拟网桥对所述目标虚拟机进行漏洞扫描。示例性的，所述计算机程序303可以被分割成一个或多个模块，所述一个或者多个模块被存储在所述存储器301中，并由所述处理器302执行，以完成本方法。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序303在所述计算机装置30中的执行过程。例如，所述计算机程序303可以被分割成图2中的确定模块201、查找模块202、创建模块203、获取模块204、调整模块205、调用模块206，各模块具体功能参见实施例二。所述计算机装置30可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。本领域技术人员可以理解，所述示意图3仅仅是计算机装置30的示例，并不构成对计算机装置30的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述计算机装置30还可以包括输入输出设备、网络接入设备、总线等。所称处理器302可以是中央处理单元(centralprocessingunit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器302也可以是任何常规的处理器等，所述处理器302是所述计算机装置30的控制中心，利用各种接口和线路连接整个计算机装置30的各个部分。所述存储器301可用于存储所述计算机程序303，所述处理器302通过运行或执行存储在所述存储器301内的计算机程序或模块，以及调用存储在存储器301内的数据，实现所述计算机装置30的各种功能。所述存储器301可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据计算机装置30的使用所创建的数据等。此外，存储器301可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(smartmediacard，smc)，安全数字(securedigital，sd)卡，闪存卡(flashcard)、至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。所述计算机装置30集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-onlymemory)。在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。上述以软件功能模块的形式实现的集成的模块，可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他模块或步骤，单数不排除复数。系统权利要求中陈述的多个模块或装置也可以由一个模块或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。当前第1页12当前第1页12