云平台中的泛洪攻击的识别方法、装置、设备及存储介质与流程

1.本发明涉及网络安全领域，具体涉及一种云平台中的泛洪攻击的识别方法、装置、设备及存储介质。


背景技术：

2.传输控制协议(transmission control protocol，tcp)同步序列编号(synchronize sequence numbers，syn)泛洪攻击是影响网络安全的一种泛洪攻击方式。
3.相关技术中，通过在云平台的网络出口处设置边界防火墙，利用边界防火墙统一对经过网络出口处的网络报文是否在进行tcpsyn泛洪攻击进行识别。此时，如果网络报文的流量过大，则对边界防火墙的性能压力较大。


技术实现要素：

4.本技术提供了一种云平台中的泛洪攻击的识别方法、装置、设备及存储介质，该技术方案如下。
5.一方面，提供了一种云平台中的泛洪攻击的识别方法，所述方法由设置于云平台中的控制器执行，所述方法包括：
6.接收所述云平台中的不同虚拟交换机发送的网络报文的解析结果；
7.在当前的统计周期内，对来自于所述不同虚拟交换机的网络报文的解析结果进行分析，得到对应于同一解析结果的计数值；
8.在所述计数值超过阈值的情况下，识别出所述云平台内存在泛洪攻击。
9.一方面，提供了一种云平台中的泛洪攻击的识别方法，所述方法由设置于云平台中的虚拟交换机执行，所述方法包括：
10.采集流经所述虚拟交换机的网络报文；
11.对所述网络报文进行解析，得到所述网络报文的解析结果；
12.向所述云平台中的控制器发送所述网络报文的解析结果，以使得所述控制器在当前的统计周期内，对来自于不同虚拟交换机的网络报文的解析结果进行分析，得到对应于同一解析结果的计数值，并在所述计数值超过阈值的情况下，识别出所述云平台内存在泛洪攻击。
13.又一方面，提供了一种云平台中的泛洪攻击的识别装置，所述装置包括：
14.解析结果接收模块，用于接收所述云平台中的不同虚拟交换机发送的网络报文的解析结果；
15.统计模块，用于在当前的统计周期内，对来自于所述不同虚拟交换机的网络报文的解析结果进行分析，得到对应于同一解析结果的计数值；
16.泛洪攻击识别模块，用于在所述计数值超过阈值的情况下，识别出所述云平台内存在泛洪攻击。
17.在一种可能的实现方式中，所述解析结果中包括如下字段：
18.源ip；
19.目的ip；
20.tcp端口；
21.syn等于1。
22.在一种可能的实现方式中，所述网络报文包括：
23.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台中的其它用户虚机发送的网络报文；
24.或，
25.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台中的物理机发送的网络报文；
26.或，
27.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台外的互联网发送的网络报文；
28.所述云平台中的物理机通过所述虚机交换机的转发，向所述云平台中的用户虚机发送的网络报文；
29.或，
30.所述云平台外的互联网通过所述虚机交换机的转发，向所述云平台中的用户虚机发送的网络报文。
31.又一方面，提供了一种云平台中的泛洪攻击的识别装置，所述装置包括：
32.网络报文采集模块，用于采集流经所述虚拟交换机的网络报文；
33.解析模块，用于对所述网络报文进行解析，得到所述网络报文的解析结果；
34.解析结果发送模块，用于向所述云平台中的控制器发送所述网络报文的解析结果，以使得所述控制器在当前的统计周期内，对来自于不同虚拟交换机的网络报文的解析结果进行分析，得到对应于同一解析结果的计数值，并在所述计数值超过阈值的情况下，识别出所述云平台内存在泛洪攻击。
35.在一种可能的实现方式中，所述解析结果中包括如下字段：
36.源ip；
37.目的ip；
38.tcp端口；
39.syn等于1。
40.在一种可能的实现方式中，所述网络报文包括：
41.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台中的其它用户虚机发送的网络报文；
42.或，
43.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台中的物理机发送的网络报文；
44.或，
45.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台外的互联网发送的网络报文；
46.所述云平台中的物理机通过所述虚机交换机的转发，向所述云平台中的用户虚机发送的网络报文；
47.或，
48.所述云平台外的互联网通过所述虚机交换机的转发，向所述云平台中的用户虚机发送的网络报文。
49.再一方面，提供了一种控制器，所述控制器中包含处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现上述的云平台中的泛洪攻击的识别方法。
50.再一方面，提供了一种虚拟交换机，所述虚拟交换机中包含处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现上述的云平台中的泛洪攻击的识别方法。
51.又一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述至少一条指令由处理器加载并执行以实现上述的云平台中的泛洪攻击的识别方法。
52.再一方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述的云平台中的泛洪攻击的识别方法。
53.本技术提供的技术方案可以包括以下有益效果：
54.利用在云平台中的虚拟交换机，由虚拟交换机对流经的网络报文进行解析，并将网络报文的解析结果上报给云平台中的控制器，由控制器基于对同一解析结果统计得到的计数值，对当前云平台中是否存在泛洪攻击进行判断。一方面，将网络报文的解析工作、泛洪攻击的判断工作分别分给虚拟交换机、控制器来执行，另一方面，由于虚拟交换机在云平台中是分布式部署的，每台虚拟交换机需要分析的网络报文的数量不多，因此，极大地降低了泛洪攻击的识别过程中对设备的性能要求。
附图说明
55.为了更清楚地说明本技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
56.图1是根据一示例性实施例示出的一种云平台的架构示意图。
57.图2是根据一示例性实施例示出的云平台中的泛洪攻击的识别方法的方法流程图。
58.图3是根据一示例性实施例示出的一种云平台中的泛洪攻击的识别装置的结构方框图。
59.图4是根据一示例性实施例示出的一种云平台中的泛洪攻击的识别装置的结构方框图。
60.图5是根据本技术一示例性实施例提供的一种控制器的示意图。
61.图6是根据本技术一示例性实施例提供的一种虚机交换机的示意图。
具体实施方式
62.下面将结合附图对本技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
63.应理解，在本技术的实施例中提到的“指示”可以是直接指示，也可以是间接指示，还可以是表示具有关联关系。举例说明，a指示b，可以表示a直接指示b，例如b可以通过a获取；也可以表示a间接指示b，例如a指示c，b可以通过c获取；还可以表示a和b之间具有关联关系。
64.在本技术实施例的描述中，术语“对应”可表示两者之间具有直接对应或间接对应的关系，也可以表示两者之间具有关联关系，也可以是指示与被指示、配置与被配置等关系。
65.本技术实施例中，“预定义”可以通过在设备(例如，包括终端设备和网络设备)中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现，本技术对于其具体的实现方式不做限定。
66.在对本技术所示的各个实施例进行说明之前，首先对本技术涉及到的概念进行介绍。
67.tcp syn泛洪攻击：是利用tcp协议三次握手的特性的一种攻击。
68.其发生在开放系统互联(open system interconnection，osi)第四层，这种攻击利用tcp协议三次握手的特性，攻击者发送tcp syn以进行tcp连接，syn是tcp三次握手中的第一个数据包，当服务器返回ack后，该攻击者不对其进行再确认，那这个tcp连接就处于挂起状态，也就是所谓的半连接状态。服务器在收不到再确认的情况下，还会重复发送ack给攻击者，这样更加会浪费服务器的资源。
69.攻击者对服务器发送非常大量的这种tcp连接，由于每一个tcp连接都没法完成三次握手，所以在服务器上，这些tcp连接会因为处于挂起状态而消耗中央处理器(central processing unit，cpu)和内存，导致最后服务器可能死机，从而无法为正常用户提供服务。
70.针对云平台中的tcp syn泛洪攻击，相关技术中，通过在云平台的网络出口处设置边界防火墙，利用边界防火墙统一对经过网络出口处的网络报文是否在进行tcpsyn泛洪攻击进行识别。此时，如果网络报文的流量过大，则对边界防火墙的性能压力较大。
71.针对如上问题，本技术实施例中提供了一种泛洪攻击的识别方法，利用在云平台中的虚拟交换机，由虚拟交换机对流经的网络报文进行解析，并将网络报文的解析结果上报给云平台中的控制器，由控制器基于对同一解析结果统计得到的计数值，对当前云平台中是否存在泛洪攻击进行判断。一方面，将网络报文的解析工作、泛洪攻击的判断工作分别分给虚拟交换机、控制器来执行，另一方面，由于虚拟交换机在云平台中是分布式部署的，每台虚拟交换机需要分析的网络报文的数量不多，因此，极大地降低了泛洪攻击的识别过程中对设备的性能要求。
72.下面，结合如下实施例对本技术所提供的技术方案进行说明。
73.结合参考图1，其示出了云平台的架构示意图。在云平台中，包括：多台虚拟交换机以及一台控制器。
74.其中，虚拟交换机分布于云平台中的每台计算服务器，是一种将计算服务器下的用户虚机与物理网络连接在一起的虚拟网元。
75.具体地，虚拟交换机为虚拟化提供网络转发能力，是连接用户虚机与物理网络或者用户虚机与用户虚机之间的桥梁，比如：用户虚机通过虚拟交换机与物理网络通信，用户虚机通过虚拟交换机与其他用户虚机通信。
76.在本技术实施例中，在虚拟交换机中内嵌一个流量分析模块，该流量分析模块主要负责如下两个功能：1)对采集到的网络报文进行解析，生成解析结果；2)将解析结果上报给控制器。
77.其中，控制器是在云平台中集中部署的一个设备，用于进行tcp syn泛洪攻击的分析与判断。
78.在本技术实施例中，虚拟交换机与控制器之间可以通过云平台中的管理网进行通信。云平台中的虚拟交换机通过管理网，定时向控制器上报网络报文的解析结果，以使得控制器基于接收到的来自不同虚拟交换机的网络报文的解析结果，进行tcp syn泛洪攻击的分析与判断。
79.图2是根据一示例性实施例示出的云平台中的泛洪攻击的识别方法的方法流程图。该方法由云平台中的控制器和虚拟交换机执行。如图2所示，该泛洪攻击的识别方法可以包括如下步骤：
80.步骤210：虚拟交换机采集流经该虚拟交换机的网络报文。
81.在云平台中，一台虚机交换机连接有至少一台用户虚机，该虚拟交换机用于承接这些用户虚拟的网络报文的转发工作。因此，在用户虚机发送网络报文，或者向这些用户虚机发送网络报文时，用户报文会流经虚拟交换机，并由虚机交换机采集到这些网络报文。
82.在一种可能的实现方式中，虚拟交换机采集的是云平台中的用户虚机通过虚拟交换机的转发，向云平台中的其它用户虚机发送的网络报文。
83.在一种可能的实现方式中，虚拟交换机采集的是云平台中的用户虚机通过虚拟交换机的转发，向云平台中的物理机发送的网络报文。
84.在一种可能的实现方式中，虚拟交换机采集的是云平台中的用户虚机通过虚拟交换机的转发，向云平台外的互联网发送的网络报文。
85.在一种可能的实现方式中，虚拟交换机采集的是云平台中的物理机通过虚机交换机的转发，向云平台中的用户虚机发送的网络报文。
86.在一种可能的实现方式中，虚拟交换机采集的是云平台外的互联网通过虚机交换机的转发，向云平台中的用户虚机发送的网络报文。
87.应理解的是，针对云平台内的用户虚机与用户虚机之间的网络报文的通信，或者云平台内的用户虚机与物理机之间的通信，由于流量不会经过网络出口，因此，基于相关技术中所采用的使用边界防火墙对流经网络出口的网络报文进行采集的技术方案，并不会采集到上述类型的网络报文。
88.而在本技术实施例中，通过利用虚拟交换机进行网络报文的采集，使得用户虚机对云平台内的其他用户虚机发送的网络报文、云平台内的用户虚机与物理机之间发送的网
络报文也可以被采集到，以保证后续在云平台内的泛洪攻击也能够被识别到，从而提供在同一云平台内的用户虚机与用户虚机之间的安全防护。
89.步骤220：虚拟交换机对网络报文进行解析，得到网络报文的解析结果。
90.在采集到网络报文后，虚拟交换机支持对网络报文进行解析，从而得到网络报文的解析结果。
91.在一种可能的实现方式中，解析结果中包括如下字段：源网络地址(internet protocol，ip)、目的ip、tcp端口、syn等于1。也即，虚拟交换机在进行解析时，以源ip、目的ip、tcp端口、syn等于1这些字段进行信息的采集与统计。
92.步骤230：虚拟交换机向云平台中的控制器发送网络报文的解析结果。
93.相应的，控制器接收虚拟交换机发送的网络报文的解析结果。应理解的是，云平台中一般分布式地部署多台虚拟交换机，因此，这些虚机交换机均向云平台中的控制器发送网络报文的解析结果。
94.示例性的，在虚拟交换机与控制器通过管理网建立连接的情况下，虚拟交换机通过管理网，向云平台中的控制器发送网络报文的解析结果。
95.示例性的，虚拟交换机对应有上报周期，虚拟交换机定时地向云平台中的控制器发送上报周期内采集到的网络报文的解析结果。
96.步骤240：在当前的统计周期内，控制器对来自于不同虚拟交换机的网络报文的解析结果进行分析，得到对应于同一解析结果的计数值。
97.在解析结果中包括如下字段：源ip、目的ip、tcp端口、syn等于1的情况下，控制器在当前的统计周期内，将对应于同一组源ip、目的ip、tcp端口、syn等于1的网络报文进行计数，从而得到对应于同一解析结果的计数值。
98.步骤250：控制器在计数值超过阈值的情况下，识别出云平台内存在泛洪攻击。
99.在控制器统计得到对应于同一解析结果的计数值之后，控制器将计数值与阈值进行比较，并当计数值超过阈值时，判定云平台内存在泛洪攻击。
100.示例性的，阈值是预设的，或者，是控制器通过机器学习的方式得到的。
101.示例性的，在识别出云平台内存在泛洪攻击后，控制器可以调用告警接口，从而发出告警：当前云平台内存在泛洪攻击。
102.综上所述，本实施例提供的泛洪攻击的识别方法，利用在云平台中的虚拟交换机，由虚拟交换机对流经的网络报文进行解析，并将网络报文的解析结果上报给云平台中的控制器，由控制器基于对同一解析结果统计得到的计数值，对当前云平台中是否存在泛洪攻击进行判断。一方面，将网络报文的解析工作、泛洪攻击的判断工作分别分给虚拟交换机、控制器来执行，另一方面，由于虚拟交换机在云平台中是分布式部署的，每台虚拟交换机需要分析的网络报文的数量不多，因此，极大地降低了泛洪攻击的识别过程中对设备的性能要求。
103.此外，利用虚拟交换机对云平台内部的流量进行分布式的流量采集，在云平台内部的流量理解为横向流量的情况下，本技术方案的横向可扩展性高。
104.此外，本实施例提供的泛洪攻击的识别方法，通过利用虚拟交换机进行网络报文的采集，使得用户虚机对云平台内的其他用户虚机发送的网络报文、云平台内的用户虚机与物理机之间发送的网络报文也可以被采集到，以保证后续在云平台内的泛洪攻击也能够
被识别到，从而提供在同一云平台内的用户虚机与用户虚机之间的安全防护。
105.需要说明的是，上述方法实施例可以单独实施例，也可以组合实施，本技术对此不加以限制。
106.图3是根据一示例性实施例示出的一种云平台中的泛洪攻击的识别装置的结构方框图。所述装置包括：
107.解析结果接收模块301，用于接收所述云平台中的不同虚拟交换机发送的网络报文的解析结果；
108.统计模块302，用于在当前的统计周期内，对来自于所述不同虚拟交换机的网络报文的解析结果进行分析，得到对应于同一解析结果的计数值；
109.泛洪攻击识别模块303，用于在所述计数值超过阈值的情况下，识别出所述云平台内存在泛洪攻击。
110.在一种可能的实现方式中，所述解析结果中包括如下字段：
111.源ip；
112.目的ip；
113.tcp端口；
114.syn等于1。
115.在一种可能的实现方式中，所述网络报文包括：
116.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台中的其它用户虚机发送的网络报文；
117.或，
118.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台中的物理机发送的网络报文；
119.或，
120.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台外的互联网发送的网络报文；
121.所述云平台中的物理机通过所述虚机交换机的转发，向所述云平台中的用户虚机发送的网络报文；
122.或，
123.所述云平台外的互联网通过所述虚机交换机的转发，向所述云平台中的用户虚机发送的网络报文。
124.图4是根据一示例性实施例示出的一种云平台中的泛洪攻击的识别装置的结构方框图。所述装置包括：
125.网络报文采集模块401，用于采集流经所述虚拟交换机的网络报文；
126.解析模块402，用于对所述网络报文进行解析，得到所述网络报文的解析结果；
127.解析结果发送模块403，用于向所述云平台中的控制器发送所述网络报文的解析结果，以使得所述控制器在当前的统计周期内，对来自于不同虚拟交换机的网络报文的解析结果进行分析，得到对应于同一解析结果的计数值，并在所述计数值超过阈值的情况下，识别出所述云平台内存在泛洪攻击。
128.在一种可能的实现方式中，所述解析结果中包括如下字段：
129.源ip；
130.目的ip；
131.tcp端口；
132.syn等于1。
133.在一种可能的实现方式中，所述网络报文包括：
134.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台中的其它用户虚机发送的网络报文；
135.或，
136.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台中的物理机发送的网络报文；
137.或，
138.所述云平台中的用户虚机通过所述虚拟交换机的转发，向所述云平台外的互联网发送的网络报文；
139.所述云平台中的物理机通过所述虚机交换机的转发，向所述云平台中的用户虚机发送的网络报文；
140.或，
141.所述云平台外的互联网通过所述虚机交换机的转发，向所述云平台中的用户虚机发送的网络报文。
142.需要说明的是：上述实施例提供的云平台中的泛洪攻击的识别装置，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的装置与方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
143.请参阅图5，其是根据本技术一示例性实施例提供的一种控制器的示意图，所述控制器包括存储器和处理器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，实现上述的云平台中的泛洪攻击的识别方法。
144.其中，处理器可以为中央处理器(central processing unit，cpu)。处理器还可以为其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。
145.存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施方式中的方法对应的程序指令/模块。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施方式中的方法。
146.存储器可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器可选包括相对于处理器远程
设置的存储器，这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
147.请参阅图6，其是根据本技术一示例性实施例提供的一种虚拟交换机的示意图，所述虚拟交换机包括存储器和处理器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，实现上述的云平台中的泛洪攻击的识别方法。
148.其中，处理器可以为中央处理器(central processing unit，cpu)。处理器还可以为其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。
149.存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施方式中的方法对应的程序指令/模块。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施方式中的方法。
150.存储器可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
151.在一示例性实施例中，还提供了一种计算机可读存储介质，用于存储有至少一条计算机程序，所述至少一条计算机程序由处理器加载并执行以实现上述方法中的全部或部分步骤。例如，该计算机可读存储介质可以是只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、只读光盘(compact disc read-only memory，cd-rom)、磁带、软盘和光数据存储设备等。
152.本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本技术的真正范围和精神由下面的权利要求指出。
153.应当理解的是，本技术并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求来限制。