(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210906674.2 (22)申请日 2022.07.29 (71)申请人 天翼云科技有限公司 地址 100007 北京市东城区青龙胡同甲1 号、 3号2幢2层20 5-32室 (72)发明人 肖玮勇　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 陈刚 (51)Int.Cl. H04L 9/40(2022.01) H04L 49/00(2022.01) H04L 69/22(2022.01) (54)发明名称 云平台中的泛洪攻击的识别方法、 装置、 设 备及存储介质 (57)摘要 本申请是关于一种云平台中的泛洪攻击的 识别方法、 装置、 设备及存储介质， 涉及网络安全 领域。 所述方法由设置于云平台中的控制器执 行， 所述方法包括： 接收所述云平台中的不同虚 拟交换机发送的网络报文的解析结果； 在当前的 统计周期内， 对来自于所述不同虚拟交换机的网 络报文的解析结果进行分析， 得到对应于同一解 析结果的计数值； 在所述计数值超 过阈值的情况 下， 识别出所述云平台内存在泛洪攻击。 一方面， 将网络报文的解析工作、 泛洪攻击的判断工作分 别分给虚拟交换机、 控制器来执行， 另一方面， 由 于虚拟交换机在云平台中是分布式部署的， 每台 虚拟交换机需要分析的网络报文的数量不多， 可 以降低泛洪攻击的识别过程中对设备的性能要 求。 权利要求书2页 说明书9页 附图3页 CN 115484047 A 2022.12.16 CN 115484047 A 1.一种云平台中的泛洪攻击的识别方法， 其特征在于， 所述方法由设置于云平台中的 控制器执 行， 所述方法包括： 接收所述云平台 中的不同虚拟交换机发送的网络报文的解析 结果； 在当前的统计周期内， 对来自于所述不同虚拟交换机的网络报文的解析结果进行分 析， 得到对应于同一 解析结果的计数值； 在所述计数值超过阈值的情况 下， 识别出 所述云平台 内存在泛洪攻击 。 2.根据权利要求1所述的方法， 其特 征在于， 所述 解析结果中包括如下字段： 源网络地址IP； 目的IP； 传输控制协议TCP端口； 同步序列编号SYN 等于1。 3.根据权利要求1所述的方法， 其特 征在于， 所述网络报文包括： 所述云平台中的用户虚机通过所述虚拟交换机的转发， 向所述云平台中的其它用户虚 机发送的网络报文； 或， 所述云平台中的用户虚机通过所述虚拟交换机的转发， 向所述云平台中的物 理机发送 的网络报文； 或， 所述云平台中的用户虚机通过所述虚拟交换机的转发， 向所述云平台外的互联网发送 的网络报文； 所述云平台中的物理机通过所述虚机交换机的转发， 向所述云平台中的用户虚机发送 的网络报文； 或， 所述云平台外的互联网通过所述虚机交换机的转发， 向所述云平台中的用户虚机发送 的网络报文。 4.一种云平台中的泛洪攻击的识别方法， 其特征在于， 所述方法由设置于云平台中的 虚拟交换机执 行， 所述方法包括： 采集流经所述虚拟交换机的网络报文； 对所述网络报文 进行解析， 得到所述网络报文的解析 结果； 向所述云平台中的控制器发送所述网络报文的解析结果， 以使得所述控制器在 当前的 统计周期内， 对来自于不同虚拟交换机的网络报文的解析结果进行分析， 得到对应于同一 解析结果的计数值， 并在所述计数值超过阈值的情况下， 识别出所述云平台内存在泛洪攻 击。 5.根据权利要求 4所述的方法， 其特 征在于， 所述 解析结果中包括如下字段： 源网络地址IP； 目的IP； 传输控制协议TCP端口； 同步序列编号SYN 等于1。 6.根据权利要求 4所述的方法， 其特 征在于， 所述网络报文包括：权　利　要　求　书 1/2 页 2 CN 115484047 A 2所述云平台中的用户虚机通过所述虚拟交换机的转发， 向所述云平台中的其它用户虚 机发送的网络报文； 或， 所述云平台中的用户虚机通过所述虚拟交换机的转发， 向所述云平台中的物 理机发送 的网络报文； 或， 所述云平台中的用户虚机通过所述虚拟交换机的转发， 向所述云平台外的互联网发送 的网络报文； 所述云平台中的物理机通过所述虚机交换机的转发， 向所述云平台中的用户虚机发送 的网络报文； 或， 所述云平台外的互联网通过所述虚机交换机的转发， 向所述云平台中的用户虚机发送 的网络报文。 7.一种云平台 中的泛洪攻击的识别装置， 其特 征在于， 所述装置包括： 解析结果接收模块， 用于接收所述云平台中的不同虚拟交换机发送的网络报文的解析 结果； 统计模块， 用于在当前的统计周期内， 对来自于所述不同虚拟交换机的网络报文的解 析结果进行分析， 得到对应于同一 解析结果的计数值； 泛洪攻击识别模块， 用于在所述计数值超过阈值的情况下， 识别出所述云平台内存在 泛洪攻击 。 8.一种云平台 中的泛洪攻击的识别装置， 其特 征在于， 所述装置包括： 网络报文采集模块， 用于采集 流经所述虚拟交换机的网络报文； 解析模块， 用于对所述网络报文 进行解析， 得到所述网络报文的解析 结果； 解析结果发送模块， 用于向所述云平台中的控制器发送所述网络报文的解析结果， 以 使得所述控制器在当前的统计周期内， 对来自于不同虚拟交换机的网络报文的解析结果进 行分析， 得到对应于同一解析结果的计数值， 并在所述计数值超过阈值的情况下， 识别出所 述云平台 内存在泛洪攻击 。 9.一种控制器， 其特征在于， 所述控制器中包含处理器和存储器， 所述存储器中存储有 至少一条指 令、 至少一段程序、 代码集 或指令集， 所述至少一条指 令、 至少一段程序、 代码集 或指令集由所述处理器加载并执行以实现如权利要求1至3任一所述的云平台中的泛洪攻 击的识别方法。 10.一种虚拟交换机， 其特征在于， 所述虚拟交换机中包含处理器和存储器， 所述存储 器中存储有至少一条指令、 至少一段程序、 代码集或指令集， 所述至少一条指令、 至少一段 程序、 代码集或指 令集由所述处理器加载并执行以实现如权利要求4至6任一所述的云平台 中的泛洪攻击的识别方法。权　利　要　求　书 2/2 页 3 CN 115484047 A 3