1.一種應用于云審計系統的網絡審計子系統，其特征在于，包括：

網絡審計處理引擎，用于審計從云數據中采集到的網絡中虛擬機流量和物理機流量；主機流量采集代理，用于采集虛擬機流量并分發至網絡審計處理引擎；網絡流量采集代理，用于采集物理機流量并分發至網絡審計處理引擎；

所述的網絡審計處理引擎還包括：

網絡數據處理模塊，用于采用分布式實時在線分析系統對網絡數據進行分布式處理，首先訂閱特征向量主題，將數據從kafka中讀取出來，并進行預處理，將數據序列化為avro形式，然后進行特征向量處理，最后寫入kafka與HDFS；

網絡數據規則匹配模塊，用于通過特征向量的深度包檢測技術標識判斷網絡數據是否為非真實性網絡協議、通過對特征向量與網絡訪問基線進行匹配判斷網絡數據是否為網絡異常、通過對特征向量與服務器外聯基線進行匹配判斷網絡數據是否為服務器違規外聯、通過對特征向量與開放端口基線進行匹配判斷網絡數據是否為異常服務；當任一判斷為異常時，發生報警信息；

網絡數據索引模塊，用于對分布式存儲的數據生成分布式索引；

策略數據庫，用于存儲審計策略、抓包過濾策略、定向抓包策略；

所述的主機流量采集代理還包括：

抓包模塊，用于對外接虛擬機流量源的網絡流量進行抓取并按照過濾策略進行過濾；

協議識別模塊，用于識別出網絡流量的源ip、目的ip、源端口、目的端口、網絡層協議、應用層協議；

通用特征向量解析模塊，用于按包提取網絡層、傳輸層的信息、提取流信息；對于tcp協議的會話，解析并上報syn包的特征向量；對于udp協議的會話，解析并上報第一個包；對基于流的特征向量進行解析；

分發模塊，用于把數據包分發到緩存隊列中；緩存隊列的個數根據配置文件建立，和創建的深度特征向量解析線程匹配，每個深度特征向量解析線程分別對應一個緩存隊列；同一個數據流上的數據包放在同一個緩存隊列中，新建數據流上的數據包在各個緩存隊列中輪流進行選擇；

深度特征向量解析模塊，用于啟動一個以上的深度特征向量解析線程，根據數據包的應用類型動態選擇對應的深度特征向量解析插件進行解析；

策略接收模塊，用于從策略數據庫讀取抓包過濾策略、從策略數據庫讀取定向抓包策略；并在設定時間間隔更新抓包過濾策略及定向抓包策略；

定向抓包模塊，用于執行上位系統發送的定向抓包命令，將抓取的數據包通過數據上報模塊反饋至所述上位系統；

數據上報模塊，用于將抓取的數據包通過數據通道反饋到上位系統；把通用特征向量通過數據通道上報給上位系統；把深度特征向量通過數據通道上報上位機；把定向包以pcap文件的形式通過數據通道上報給上位系統，或者以文件的形式存在本地；

所述的網絡流量采集代理結構與主機流量采集代理相同，抓包的采集對象為外接的物理機流量源；

所述的網絡數據索引模塊由兩個輸入源，第一輸入源是由網絡數據處理模塊將網絡數據提取出特征向量后寫入HDFS，再通過Zookeeper通知索引建立程序進行索引建立，將HDFS中的特征向量寫入索引；第二輸入源是網絡數據規則匹配模塊將報警數據寫入kafka，再由索引建立程序讀kafka建立索引；

所述的深度特征向量解析插件包括http插件、smtp/pop3插件、ftp插件、dns插件、ssh插件、telnet插件。