2.一種云環境異常行為檢測裝置，其特征在于包括：異常行為檢測代理，所述異常行為檢測代理包括虛擬網絡設備異常行為檢測代理、虛擬計算設備異常行為檢測代理、虛擬存儲設備異常行為檢測代理；

所述虛擬網絡設備異常行為檢測代理，能夠檢測DDoS攻擊；

所述虛擬計算設備異常行為檢測代理，能夠進行Web應用的XSS攻擊檢測、郵箱的垃圾郵件檢測、SSH與Telnet的口令猜測攻擊檢測；

虛擬存儲設備異常行為檢測代理，能夠檢測SQL注入攻擊；

云規則庫信息包括DDoS攻擊檢測云規則庫、XSS攻擊檢測云規則庫、垃圾郵件檢測云規則庫、口令猜測攻擊檢測云規則庫、SQL注入攻擊檢測云規則庫，其中DDoS攻擊檢測云規則庫信息包括目的IP地址、源IP地址的熵值、載荷片段熵值的標準差，XSS攻擊檢測云規則庫包括XSS測試用例、垃圾郵件與口令猜測攻擊檢測云規則庫包括攻擊閾值、SQL注入攻擊檢測云規則庫包括SQL測試用例與特征值；

異常行為檢測代理自學習檢測規則、同步到云規則庫，并基于云檢測規則檢測DDoS攻擊、XSS攻擊、垃圾郵件、SSH與Telnet的口令猜測攻擊、SQL注入攻擊；所述的異常行為檢測代理自學習檢測規則、同步到云規則庫，并基于云檢測規則檢測DDoS攻擊具體包括如下過程：

獲取DDoS攻擊云規則模板；

捕獲網絡包并解析DDoS攻擊檢測所需信息；

針對每個目的IP地址，計算源IP地址熵值與載荷片段熵值標準差；

若云規則模板值為零，則賦值采樣點規則并上傳云規則庫，否則；

若源IP地址熵值與載荷片段熵值標準差小于云規則模板值，則更新采樣點規則并上傳云規則庫，否則；

若源IP地址熵值與載荷片段熵值標準差大于云規則模板值3倍，則告警；

DDoS攻擊檢測所需信息包括目的IP地址、源IP地址、載荷信息。