(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111588025.4 (22)申请日 2021.12.23 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融街31号 (72)发明人 朱旭　黄晓荣　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 李琴 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/5007(2022.01) (54)发明名称 异常网际互联协议IP地址的确定方法及装 置 (57)摘要 本公开提供异常网际互联协议IP地址的确 定方法及装置。 包括： 每隔第一指定时长， 获取所 述第一指定时长内与所述云网融合系统中其他 云平台传输的数据包的总字节数； 基于所述总字 节数， 确定所述第一指定时长内是否发生数据传 输异常； 若是， 则根据与所述数据包对应的IP地 址， 得到导致数据传输异常的目标IP地址； 利用 预设的IP地址和异常类型的对应关系， 确定与所 述目标IP地址相对应的异常类型； 若所述异常类 型满足指定 条件， 则确定所述目标IP地址为异常 IP地址。 故此， 本公开可以确定出导致数据传输 异常的目标IP地址的异常类型， 并通过异常类型 是否满足指定条件来确定出目标IP地址是否异 常IP地址， 提高了识别异常IP地址的准确率。 权利要求书4页 说明书16页 附图4页 CN 114389855 A 2022.04.22 CN 114389855 A 1.一种异常网际互联协议IP地址的确定方法， 其特征在于， 应用于云网融合系统中的 云平台， 所述方法包括： 每隔第一指定时长， 获取所述第 一指定时长内与 所述云网融合系统中其他云平台传输 的数据包的总字节数； 基于所述总字节数， 确定所述第一指定时长内是否发生数据传输异常； 若是， 则根据与所述数据包 对应的IP地址， 得到导 致数据传输异常的目标IP地址； 利用预设的IP地址和异常类型的对应关系， 确定与所述目标IP地址相对应的异常类 型； 若所述异常类型满足指定条件， 则确定所述目标IP地址为异常IP地址 。 2.根据权利要求1所述的方法， 其特 征在于， 所述指定条件 包括下列中的部分或全部： 条件1： 所述异常类型为第一类型病毒和/或暴力破解； 条件2： 所述异常类型为第 二类型病毒， 且所述第 二类型病毒的置信度 大于第一指定阈 值； 其中， 所述第一类型病毒为使所述云平台执行异常操作的病毒， 所述第二类型病毒为 使所述云平台的指定参数发生异常的病毒。 3.根据权利要求1所述的方法， 其特征在于， 所述若利用预设的IP地址和异常类型的对 应关系， 确定所述目标IP地址不存在相对应的异常类型， 所述方法还 包括： 利用多个虚拟机访 问所述目标IP地址， 得到所述多个虚拟机分别对应的各异常行为； 其中， 所述各异常行为包括异常行为特 征和特征值； 遍历各虚拟机， 针对 任意一个遍历到的虚拟机， 执 行以下操作： 利用预先设置的第 一类型病 毒和异常行为特征的对应关系， 确定所述虚拟机的各异常 行为特征是否存在对应的第一类型病毒； 其中， 所述第一类型病毒为使所述云平台执行异 常操作的病毒； 若存在， 且第一特征值大于第二指定阈值， 则将确定出的所述第一类型病毒确定为所 述目标IP地址的异常类型， 并确定所述目标IP地址为异常IP地址后， 结束对所述各虚拟机 的遍历； 其中， 所述第一特征值为所述虚拟机的第一目标异常行为特征所对应的特征值， 且 所述第一目标异常行为特 征是基于所述虚拟机所对应的第一类型病毒确定出的； 若不存在， 则返回遍历各虚拟机的步骤， 直至确定出目标IP地址的异常类型或不存在 需要进行遍历的虚拟机 。 4.根据权利要求3所述的方法， 其特征在于， 所述异常行为特征包括第 一类型的异常行 为特征和第二类型 的异常行为特征， 其中， 所述第一类型 的异常行为特征为与所述第一类 型病毒对应的异常操作， 所述第二类型 的异常行为特征为与第二类型病毒对应指定参数， 且所述第二类型病毒为使所述云平台的指定参数发生异常的病毒； 若确定所述各虚拟机不存在对应的第一类型病毒， 所述方法还 包括： 针对各异常行为特征中任意一个第 二类型的异常行为特征， 基于所述多个虚拟机的第 二类型的异常行为特 征分别对应的特 征值， 得到异常行为特 征值； 针对任意一个预先设置的第二类型病毒， 根据各目标异常行为特征值， 分别得到各第 二目标异常行为特征 的子置信度； 其中， 所述各目标异常行为特征值分别为各第二 目标异 常行为特征的特征值， 且所述各第二目标异常行为特征为与所述第二类型病毒相对应的第权　利　要　求　书 1/4 页 2 CN 114389855 A 2二类型的各异常行为特 征； 并， 通过所述各第 二目标异常行为特征的子置信度， 得到所述目标IP地址传播所述第二类 型病毒的置信度； 将第二类型病毒所对应的置信度中置信度最高的第二类型病毒确定为所述目标IP地 址的异常类型， 并确定所述目标IP地址为异常IP地址 。 5.根据权利要求2所述的方法， 其特征在于， 所述若利用预设的IP地址和异常类型的对 应关系， 确定所述目标IP地址不存在相对应的异常类型， 所述方法还 包括： 获取第二指定时长内所述目标IP地址在目标虚拟机中登录失败的次数； 其中， 所述目 标虚拟机的IP地址与所述云平台自身的IP地址相同； 将所述登录失败的次数与第三指定阈值进行比对； 若所述登录失败的次数大于所述第 三指定阈值， 则将所述目标IP地址的异常类型确定 为所述暴力破解， 并将所述目标IP地址确定为异常IP地址 。 6.根据权利要求1所述的方法， 其特征在于， 所述基于所述总字节数， 确定所述第一指 定时长内是否发生数据传输异常， 包括： 将所述总字节数与 上一第一指定时长内传输的数据包的总字节数进行比对， 得到总字 节数差值； 将所述总字节数差值与第四指定阈值进行比对； 若确定所述总字节数差值大于所述第四指定阈值， 则确定所述第 一指定时长 内发生数 据传输异常。 7.根据权利要求1～6任一所述的方法， 其特征在于， 所述根据与所述数据包分别对应 的IP地址， 得到导 致数据传输异常的目标IP地址， 包括： 根据各数据包分别对应的各IP地址， 得到所述各IP地址的数量； 将所述各IP地址中数量 最大的IP地址确定为所述目标IP地址 。 8.一种异常网际互联协议IP地址的确定装置， 其特征在于， 应用于云网融合系统中的 云平台， 所述装置包括： 总字节数确定模块， 用于每隔第一指定时长， 获取所述第一指定时长内与所述云网融 合系统中其 他云平台传输的数据包的总字节数； 判断模块， 用于基于所述总字节数， 确定所述第一指定时长内是否发生数据传输异常； 目标IP地址确定模块， 用于若是， 则根据与所述数据包对应的IP地址， 得到导致数据传 输异常的目标IP地址； 异常类型确定模块， 用于利用预设的IP地址和异常类型的对应关系， 确定与所述目标 IP地址相对应的异常类型； 第一异常IP地址确定模块， 用于若所述异常类型满足指定条件， 则确定所述目标IP地 址为异常IP地址 。 9.根据权利要求8所述的装置， 其特 征在于， 所述指定条件 包括下列中的部分或全部： 条件1： 所述异常类型为第一类型病毒和/或暴力破解； 条件2： 所述异常类型为第 二类型病毒， 且所述第 二类型病毒的置信度 大于第一指定阈 值； 其中， 所述第一类型病毒为使所述云平台执行异常操作的病毒， 所述第二类型病毒为权　利　要　求　书 2/4 页 3 CN 114389855 A 3