一种虚拟检测环境下的威胁检测方法及装置与流程

本申请涉及数据安全处理，尤其涉及一种虚拟检测环境下的威胁检测方法及装置。

背景技术：

1、在传统的网络威胁检测领域中，由于其检测目标为物理主机的相关网络通讯数据，所以一般只要将相关需要检测的主机交换接入网口纳入到交换机的观察口即可，但考虑到部署成本问题，通常只会将核心交换机的流量镜像到网络威胁流量监测设备，但如果组织的网络结构较为复杂，存在多层部署情况，则仅采用核心交换镜像的方式则完全无法获得不经过核心交换的横向通讯网络流量，这导致仅能对南北向流量的威胁进行检测和处理，而不能对东西向即横向移动的网络流量的威胁进行检测和处理。

技术实现思路

1、本申请提供一种虚拟检测环境下的威胁检测方法及装置，以解决相关技术中存在的问题。

2、第一方面，本发明提供一种虚拟检测环境下的威胁检测方法，包括从虚拟交换机引出虚拟环境内部流量至探针结点处；在所述探针结点处按照预设规则处理后，将处理后的数据发送至远端分布式分析结点，其中，在分布式分析结点识别是否存在威胁；如果存在威胁，通过管理控制节点向对应的探针结点下发控制命令，以由所述对应的探针结点向对应的虚拟交换机下发下线指令。

3、可选地，在所述探针结点处按照预设规则处理包括：在所述探针结点处基于预设过滤策略对所述虚拟环境内部流量进行过滤；对过滤后的流量进行会话重组后封装；将封装后的会话包进行大象流识别，并对识别出大象流的会话包采用不同的处理方式进行处理。

4、可选地，对过滤后的流量进行会话重组后封装包括：按照网络五元组进行会话重组；按照erspan约定的三层ip转发源地址、目的地址进行封装，其中，如果有配置租户id则将其封装在erspan ii、iii协议的保留字段，使用其中保留字段的三个字节。

5、可选地，对识别出大象流的会话包采用不同的处理方式进行处理包括：如果满足预设的丢弃规则，则丢弃所述会话包；对于不丢弃的会话包，确定与其相似的东西向会话流量数据；将相似的东西向会话流量数据导入至探针结点空闲cpu核上。

6、可选地，在采用不同的处理方式进行处理后还对待发送的会话包标识会话标识和会话序号，将标识放入会话包的尾部，并用erspan协议进行封装。

7、可选地，所述在分布式分析结点识别是否存在威胁包括：针对处理得到的会话包执行识别租户id标识并去除erspan协议头动作；按序进行协议层的重组；基于重组后的数据进行威胁识别。

8、第二方面，本发明提供一种虚拟检测环境下的威胁检测装置，包括流量探测单元，被配置成从虚拟交换机引出虚拟环境内部流量至探针结点处；探针结点处理单元，被配置成在所述探针结点处按照预设规则处理后，将处理后的数据发送至远端分布式分析结点，分布式分析结点处理单元，被配置成在分布式分析结点识别是否存在威胁；如果存在威胁，通过管理控制节点向对应的探针结点下发控制命令，以由所述对应的探针结点向对应的虚拟交换机下发下线指令。

9、可选地，在所述探针结点处按照预设规则处理包括：在所述探针结点处基于预设过滤策略对所述虚拟环境内部流量进行过滤；对过滤后的流量进行会话重组后封装；将封装后的会话包进行大象流识别，并对识别出大象流的会话包采用不同的处理方式进行处理。

10、第三方面，本发明提供一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面任一项所述的方法。

11、第四方面，本发明提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现第一方面提供的方法。

12、本发明公开了一种虚拟检测环境下的威胁检测方法及装置，其中方法包括从虚拟交换机引出虚拟环境内部流量至探针结点处；在所述探针结点处按照预设规则处理后，将处理后的数据发送至远端分布式分析结点，其中，在分布式分析结点识别是否存在威胁；如果存在威胁，通过管理控制节点向对应的探针结点下发控制命令，以由所述对应的探针结点向对应的虚拟交换机下发下线指令。通过使用探针、分布式分析结点以及集中管控结点三层结构，主要对虚拟化环境中的东西向流量进行分析，克服了相关技术中，无法对东西向网络流量的威胁进行检测和处理的缺陷。

技术特征：

1.一种虚拟检测环境下的威胁检测方法，其特征在于，包括：

2.根据权利要求1所述的虚拟检测环境下的威胁检测方法，其特征在于，在所述探针结点处按照预设规则处理包括：

3.根据权利要求2所述的虚拟检测环境下的威胁检测方法，其特征在于，对过滤后的流量进行会话重组后封装包括：

4.根据权利要求2所述的虚拟检测环境下的威胁检测方法，其特征在于，对识别出大象流的会话包采用不同的处理方式进行处理包括：

5.根据权利要求2或4所述的虚拟检测环境下的威胁检测方法，其特征在于，在采用不同的处理方式进行处理后还对待发送的会话包标识会话标识和会话序号，将标识放入会话包的尾部，并用erspan协议进行封装。

6.根据权利要求3所述的虚拟检测环境下的威胁检测方法，其特征在于，所述在分布式分析结点识别是否存在威胁包括：

7.一种虚拟检测环境下的威胁检测装置，其特征在于，包括：

8.根据权利要求7所述的虚拟检测环境下的威胁检测装置，其特征在于，在所述探针结点处按照预设规则处理包括：

9.一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述权利要求1～6任一项所述的方法。

10.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现上述权利要求1～6任一项所述的方法。

技术总结本发明公开了一种虚拟检测环境下的威胁检测方法及装置，其中方法包括从虚拟交换机引出虚拟环境内部流量至探针结点处；在所述探针结点处按照预设规则处理后，将处理后的数据发送至远端分布式分析结点，其中，在分布式分析结点识别是否存在威胁；如果存在威胁，通过管理控制节点向对应的探针结点下发控制命令，以由所述对应的探针结点向对应的虚拟交换机下发下线指令。通过使用探针、分布式分析结点以及集中管控结点三层结构，主要对虚拟化环境中的东西向流量进行分析，克服了相关技术中，无法对东西向网络流量的威胁进行检测和处理的缺陷。技术研发人员：袁泉,陈虎,王利宝,唐开达受保护的技术使用者：南京聚铭网络科技有限公司技术研发日：技术公布日：2024/8/1