用于檢測拒絕服務攻擊的系統(tǒng)和方法
【專利摘要】公開了用于檢測拒絕服務攻擊的系統(tǒng)和方法。這些可以包括:從多個網(wǎng)頁服務器之一接收多個網(wǎng)絡日志記錄;從所述多個網(wǎng)絡日志記錄提取第一組特征;將第一機器學習技術應用于所述第一組特征;產(chǎn)生第一多個用戶類別用于傳輸?shù)剿鼍W(wǎng)頁服務器;從所述多個網(wǎng)絡日志記錄提取第二組特征;將第二機器學習技術應用于所述第二組特征;產(chǎn)生第二多個用戶類別用于傳輸?shù)剿鼍W(wǎng)頁服務器;至少基于所述多個網(wǎng)絡日志記錄來將所述第一多個用戶類別傳輸?shù)剿鼍W(wǎng)頁服務器;并且至少基于所述多個網(wǎng)絡日志記錄來將所述第二多個用戶類別傳輸?shù)剿鼍W(wǎng)頁服務器。
【專利說明】用于檢測拒絕服務攻擊的系統(tǒng)和方法
【技術領域】
[0001]本公開通常涉及信息安全,并且尤其涉及檢測計算機系統(tǒng)上的拒絕服務攻擊。
【背景技術】
[0002]隨著數(shù)字存儲的數(shù)據(jù)的無所不在和重要性繼續(xù)上升,保持該數(shù)據(jù)安全的重要性相應地上升。在公司和個人尋求保護他們的數(shù)據(jù)的同時,其他個人、組織和企業(yè)尋求利用安全漏洞來訪問該數(shù)據(jù)和/或在計算機系統(tǒng)本身上造成嚴重破壞。通常,尋求利用安全漏洞的不同類型的軟件可以被稱為“惡意軟件”,并且可以被分類到包括病毒、蠕蟲、廣告軟件、間諜軟件等等的組中??梢杂蓯阂廛浖?zhí)行的一種類型的攻擊被稱為“拒絕服務”攻擊。當一個或多個電子設備嘗試使另一個聯(lián)網(wǎng)電子設備不可用時,會發(fā)生拒絕服務攻擊??梢酝ㄟ^以下方式來執(zhí)行這一類型的攻擊:使諸如對于信息的非法請求的非法網(wǎng)絡業(yè)務大量涌至目標電子設備,以使得目標設備被壓垮,并且不能夠?qū)戏ňW(wǎng)絡業(yè)務做出響應。
[0003]隨著網(wǎng)絡擴展并且越來越多的電子設備能夠彼此進行通信,拒絕服務攻擊可以利用聯(lián)網(wǎng)電子設備的增加的可用性。拒絕服務攻擊的一種這樣的適應是“分布式拒絕服務”(“DD0S”)攻擊。由于DDOS攻擊,大量電子設備可以一起工作以便使非法網(wǎng)絡業(yè)務大量涌至目標電子設備,如上所述。DDOS攻擊對由在世界各地的互聯(lián)網(wǎng)服務提供方、大企業(yè)和政府提供的網(wǎng)絡服務日益成為威脅。
[0004]隨著這些攻擊繼續(xù)上升,能夠盡可能快地檢測這些攻擊并且盡可能徹底地保護易受攻擊的電子設備變得日益重要。在DDOS中,大量攻擊電子設備和相應的大量數(shù)據(jù)使檢測和保護相應地變得困難。
【發(fā)明內(nèi)容】
[0005]根據(jù)本公開的教導,可以改善、降低或消除與檢測電子設備上的拒絕服務攻擊相關聯(lián)的缺點和問題。
[0006]根據(jù)本公開的一個實施例,分布式拒絕服務(“DD0S”)檢測引擎可通信地耦合到多個網(wǎng)頁服務器(web server),DDOS檢測引擎包括網(wǎng)頁服務器接口、第一 DDOS分析引擎和第二 DDOS分析引擎。網(wǎng)頁服務器接口可以配置為:從網(wǎng)頁服務器接收多個網(wǎng)絡日志記錄,所述網(wǎng)頁服務器是多個網(wǎng)頁服務器之一;至少基于所述多個網(wǎng)絡日志記錄來將第一多個用戶類別傳輸?shù)剿鼍W(wǎng)頁服務器;并且至少基于所述多個網(wǎng)絡日志記錄來將第二多個用戶類別傳輸?shù)剿鼍W(wǎng)頁服務器。所述第一 DDOS分析引擎可以配置為:從所述多個網(wǎng)絡日志記錄提取第一組特征;將第一機器學習技術應用于所述第一組特征;并且產(chǎn)生所述第一多個用戶類別用于傳輸?shù)剿鼍W(wǎng)頁服務器。所述第二 DDOS分析引擎可以配置為:從所述多個網(wǎng)絡日志記錄提取第二組特征;將第二機器學習技術應用于所述第二組特征;并且產(chǎn)生所述第二多個用戶類別用于傳輸?shù)剿鼍W(wǎng)頁服務器。
[0007]根據(jù)本公開的另一實施例,公開一種用于檢測包括多個網(wǎng)頁服務器的聯(lián)網(wǎng)系統(tǒng)上的分布式拒絕服務(“DD0S”)攻擊的方法。所述方法包括:從網(wǎng)頁服務器接收多個網(wǎng)絡日志記錄,所述網(wǎng)頁服務器是多個網(wǎng)頁服務器之一;從所述多個網(wǎng)絡日志記錄提取第一組特征;將第一機器學習技術應用于所述第一組特征;產(chǎn)生第一多個用戶類別用于傳輸?shù)剿鼍W(wǎng)頁服務器;從所述多個網(wǎng)絡日志記錄提取第二組特征;將第二機器學習技術應用于所述第二組特征;產(chǎn)生第二多個用戶類別用于傳輸?shù)剿鼍W(wǎng)頁服務器;至少基于所述多個網(wǎng)絡日志記錄來將所述第一多個用戶類別傳輸?shù)剿鼍W(wǎng)頁服務器;并且至少基于所述多個網(wǎng)絡日志記錄來將所述第二多個用戶類別傳輸?shù)剿鼍W(wǎng)頁服務器。
【專利附圖】
【附圖說明】
[0008]通過參照結(jié)合附圖的下面描述,可以獲取針對當前實施例及其優(yōu)點的更加完整的理解,在附圖中相似的附圖標記指示相似的特征,并且在附圖中:
[0009]圖1說明了根據(jù)本公開某些實施例包括可通信地耦合到一個或多個網(wǎng)頁服務器的分布式拒絕服務(“DD0S”)引擎的聯(lián)網(wǎng)系統(tǒng),所述一個或多個網(wǎng)頁服務器分別可通信地耦合到一個或多個請求設備;
[0010]圖2說明了根據(jù)本公開某些實施例的DDOS檢測引擎的高級圖;
[0011]圖3說明了根據(jù)本公開某些實施例用于檢測聯(lián)網(wǎng)系統(tǒng)上的DDOS攻擊的示例方法的流程圖;
[0012]圖4說明了根據(jù)本公開某些實施例用于實時或接近實時地檢測聯(lián)網(wǎng)系統(tǒng)上的DDOS攻擊的示例方法的流程圖;以及
[0013]圖5說明了根據(jù)本公開某些實施例用于在更加延長的時間段內(nèi)檢測聯(lián)網(wǎng)系統(tǒng)上的DDOS攻擊的示例方法的流程圖。
【具體實施方式】
[0014]參照圖1到圖5來更好地理解優(yōu)選實施例及其優(yōu)點,其中相似的附圖標記用于指示相似和相對應的部件。
[0015]出于本公開的目的,電子設備可以包括能夠存儲、處理、發(fā)送、接收、使用或處置以數(shù)字形式存儲的數(shù)據(jù),包括存儲在計算機可讀介質(zhì)上的數(shù)據(jù),的任何設備、子設備或設備和/或子設備的組合。計算機可讀介質(zhì)可以包括配置為存儲數(shù)字數(shù)據(jù)的任何設備、子設備或設備和/或子設備的組合,在不具有限制的情況下包括硬盤驅(qū)動、閃存、只讀存儲器、隨機存取存儲器、光學存儲器、固態(tài)存儲器或用于存儲數(shù)字數(shù)據(jù)的任何其它類型的可移動和/或固定介質(zhì)。
[0016]圖1說明了根據(jù)本公開某些實施例包括可通信地耦合到一個或多個網(wǎng)頁服務器104的分布式拒絕服務(“DD0S”)引擎102的聯(lián)網(wǎng)系統(tǒng)100,所述一個或多個網(wǎng)頁服務器中的每一個可通信地耦合到一個或多個請求設備108。在一些實施例中,請求設備108可以是配置為從一個或多個網(wǎng)頁服務器104請求數(shù)據(jù)的電子設備。作為說明性示例,請求設備108可以是個人計算機、膝上型計算機、平板電腦、蜂窩電話、個人數(shù)字助理、服務器、計算機群集或配置為從一個或多個網(wǎng)頁服務器104請求數(shù)據(jù)的任何其它電子設備。在一些實施例中,請求設備108可以經(jīng)由任何適當?shù)木W(wǎng)絡通信機制,包括無線互聯(lián)網(wǎng)、有線互聯(lián)網(wǎng)和/或內(nèi)聯(lián)網(wǎng)機制,可通信地耦合到一個或多個網(wǎng)頁服務器104。
[0017]在一些實施例中,網(wǎng)頁服務器104可以是配置為經(jīng)由適當?shù)木W(wǎng)絡通信機制從一個或多個請求設備108接收數(shù)據(jù)請求的任何服務器,如上面更詳細描述的。網(wǎng)頁服務器104可以包括硬件和/或存儲在計算機可讀介質(zhì)上以便由硬件執(zhí)行的軟件,該硬件和/或軟件配置為經(jīng)由網(wǎng)絡通信機制將數(shù)據(jù)從一個或多個數(shù)據(jù)源傳送到數(shù)據(jù)請求設備108。作為說明性示例,網(wǎng)頁服務器104可以存儲屬于公司網(wǎng)站的數(shù)據(jù)和/或諸如SAP的某一企業(yè)軟件的部分。
[0018]在一些實施例中,聯(lián)網(wǎng)系統(tǒng)100包括一個或多個網(wǎng)頁服務器104。盡管圖1說明了三個網(wǎng)頁服務器104,但是聯(lián)網(wǎng)系統(tǒng)100可以包括更多或更少的網(wǎng)頁服務器104。在一個實施例中,聯(lián)網(wǎng)系統(tǒng)100可以包括大量網(wǎng)頁服務器104。作為說明性示例,聯(lián)網(wǎng)系統(tǒng)100可以由云計算服務的提供方擁有和/或操作。在這一配置中,聯(lián)網(wǎng)系統(tǒng)100可以向大量消費者提供網(wǎng)絡托管服務,其中一些或者所有消費者要求多個網(wǎng)頁服務器104。消費者可能出于多種原因,包括數(shù)據(jù)冗余性和/或高可用性,而要求多個網(wǎng)頁服務器104。在一些配置中,聯(lián)網(wǎng)系統(tǒng)100可以包括在許多不同的物理機上運行的數(shù)百個網(wǎng)頁服務器。在這樣的配置中,網(wǎng)頁服務器104可以在服務器的群集上運行,作為在多個物理服務器上的虛擬機或托管大量網(wǎng)頁服務器104的任何其它適當?shù)难b置。
[0019]網(wǎng)頁服務器104也可以可通信地耦合到聯(lián)網(wǎng)系統(tǒng)100內(nèi)的其它系統(tǒng),包括數(shù)據(jù)庫服務器、應用服務器和/或電子郵件服務器。在一些實施例中,這些其它服務器可以提供由請求設備108請求的數(shù)據(jù)。在其它實施例中,其它服務器可以提供向請求設備108提供數(shù)據(jù)所要求的某一后端處理。
[0020]聯(lián)網(wǎng)系統(tǒng)100還可以包括DDOS檢測引擎102。如下面參照圖2_圖5更加詳細描述的,DDOS檢測引擎102可以包括硬件和/或存儲在計算機可讀介質(zhì)上以便由硬件執(zhí)行的軟件,該硬件和/或軟件配置為分析來自網(wǎng)頁服務器104的大量數(shù)據(jù),以便確定聯(lián)網(wǎng)系統(tǒng)100是否在來自某組請求設備108的DDOS攻擊之下。在一些實施例中,DDOS檢測引擎102可以配置為經(jīng)由任何適當?shù)耐ㄐ艡C制從一個或多個網(wǎng)頁服務器104接收表示網(wǎng)絡業(yè)務的信息。作為說明性示例,DDOS檢測引擎102可以經(jīng)由無線互聯(lián)網(wǎng)、有線互聯(lián)網(wǎng)和/或內(nèi)聯(lián)網(wǎng)機制、硬件總線、電纜或任何其它適當?shù)耐ㄐ艡C制可通信地耦合到網(wǎng)頁服務器104。在一些實施例中,DDOS檢測引擎102可以與一個或多個網(wǎng)頁服務器104存在于相同的物理機上。
[0021]盡管圖1說明了可通信地耦合到DDOS檢測引擎102的三個網(wǎng)頁服務器104,但是聯(lián)網(wǎng)系統(tǒng)100可以包括一個或多個DDOS檢測引擎102,在一些實施例中,該一個或多個DDOS檢測引擎102可通信地耦合到彼此。在一個實施例中,聯(lián)網(wǎng)系統(tǒng)100可以包括配置為支持大量網(wǎng)頁服務器104的多個DDOS檢測引擎102。作為說明性示例,聯(lián)網(wǎng)系統(tǒng)100可以由云計算服務的提供方擁有和/或操作。在這一配置中,聯(lián)網(wǎng)系統(tǒng)100可以向大量消費者提供網(wǎng)絡托管服務,其中一些或所有消費者要求多個網(wǎng)頁服務器104。消費者可能出于多種原因,包括數(shù)據(jù)冗余性和/或高可用性,而要求多個網(wǎng)頁服務器104。在一些配置中,聯(lián)網(wǎng)系統(tǒng)100可以包括在許多不同的物理機上運行的數(shù)百個網(wǎng)頁服務器。在這樣的配置中,配置多個DDOS檢測引擎102以便支持大量所要求的網(wǎng)頁服務器104是必要或期望的。在這樣的配置中,DDOS檢測引擎102可以存在于服務器的群集上,作為多個物理服務器上的虛擬機或者托管DDOS檢測引擎102的任何其它適當?shù)难b置。
[0022]在操作中,多個請求設備108可以通過網(wǎng)絡從一個或多個網(wǎng)頁服務器104請求數(shù)據(jù)。網(wǎng)頁服務器104可以接著將表示這一網(wǎng)絡業(yè)務的信息傳輸?shù)紻DOS檢測引擎102。DDOS檢測引擎102可以接著分析這一信息以便確定聯(lián)網(wǎng)系統(tǒng)100是否正在經(jīng)歷DDOS攻擊,如下面參照圖2-圖5更加詳細描述的。在一個實施例中,大量請求設備通過網(wǎng)絡從大量網(wǎng)頁服務器104請求數(shù)據(jù)。作為說明性示例,數(shù)萬個計算機(請求設備108)可以在接入互聯(lián)網(wǎng)的一般過程中與數(shù)千個網(wǎng)頁服務器104進行通信。這些數(shù)萬個計算機中的某一部分(請求設備108的某一部分)可以接著嘗試通過使大量非法網(wǎng)絡業(yè)務大量涌至一個或多個網(wǎng)頁服務器104來關閉一個或多個網(wǎng)頁服務器104,以便防止剩余計算機(剩余請求設備108)以合法網(wǎng)絡業(yè)務接入一個或多個網(wǎng)頁服務器104。如下面參照圖2-圖5更加詳細描述的,DDOS檢測引擎102可以接著分析表示來自數(shù)萬個計算機(請求設備108)的網(wǎng)絡業(yè)務的信息以便確定DDOS攻擊的源、程度和類型。
[0023]如下面參照圖2-圖5更加詳細描述的,在一些實施例中,DDOS檢測引擎102可以實時地嘗試確定DDOS攻擊是否正在進行。DDOS檢測引擎102也可以更加詳細地分析表示網(wǎng)絡業(yè)務的信息以便確定DDOS攻擊是否正在進行。
[0024]圖2說明了根據(jù)本公開某些實施例的DDOS檢測引擎102的高級圖。在一些實施例中,DDOS檢測引擎102可以包括一個或多個網(wǎng)頁服務器接口 202、第一 DDOS分析引擎204和第二 DDOS分析引擎206。在一些實施例中,網(wǎng)頁服務器接口 202、第一 DDOS分析引擎204和第二 DDOS分析引擎206可以是硬件、固件和/或存儲在計算機可讀介質(zhì)上并且由硬件和/或固件可執(zhí)行的軟件。在一些實施例中,網(wǎng)頁服務器接口 202、第一 DDOS分析引擎204和第二 DDOS分析引擎206可以是單獨的硬件和/或軟件模塊。在其它實施例中,網(wǎng)頁服務器接口 202、第一 DDOS分析引擎204和第二 DDOS分析引擎206可以是存儲在計算機可讀介質(zhì)上并且由硬件和/或固件可執(zhí)行的較大軟件程序的部分、函數(shù)、例程、子例程或其它子集。在又一些其它實施例中,網(wǎng)頁服務器接口 202、第一 DDOS分析引擎204和第二 DDOS分析引擎206可以存在于諸如服務器的一個或多個電子設備上。
[0025]盡管圖2說明了一個網(wǎng)頁服務器接口 202,但是DDOS檢測引擎102可以包括一個或多個網(wǎng)頁服務器接口 202。在一些實施例中,DDOS檢測引擎102可以與多個網(wǎng)頁服務器104通過接口進行連接,如上面參照圖1描繪的。多個網(wǎng)頁服務器104可以經(jīng)由一個或多個網(wǎng)頁服務器接口 202與DDOS檢測引擎102通過接口連接。在一些實施例中,網(wǎng)頁服務器接口 202可以配置為接收表示位于請求設備108和網(wǎng)頁服務器104之間的網(wǎng)絡業(yè)務的信息。作為說明性示例,表示網(wǎng)絡業(yè)務的信息可以包括來自從請求設備108到網(wǎng)頁服務器104的數(shù)據(jù)請求的網(wǎng)絡日志記錄。這些記錄可以包括指示從請求設備108到網(wǎng)頁服務器104的特定數(shù)據(jù)請求的性質(zhì)和質(zhì)量的多個數(shù)據(jù)點。
[0026]在一些實施例中,經(jīng)過多種途徑來分析網(wǎng)絡日志記錄以便確定聯(lián)網(wǎng)系統(tǒng)100是否正在經(jīng)歷DDOS攻擊是必要或期望的,以變化的確定性程度考慮可能例如要求不同的數(shù)據(jù)負荷和/或不同的處理資源(包括時間)來完成的方案。在一些實施例中,執(zhí)行表示網(wǎng)絡業(yè)務的某些信息的第一級分析以便確定DDOS攻擊是否正在進行是必要或期望的。這一分析可以能夠大致識別網(wǎng)絡業(yè)務的給定集合是否以第一級確定性被分類為惡意或良性。在一些配置中,盡可能快地執(zhí)行這一第一級分析以便例如減輕由DDOS攻擊引起的任何潛在損壞是必要或期望的。在這樣的配置中,實時或接近實時地執(zhí)行分析可以為聯(lián)網(wǎng)系統(tǒng)100提供在確定DDOS攻擊是否正在進行時有用的信息。如下面進一步描述的,這一第一級分析可能不是充分的、獨立的,而不能確定DDOS攻擊是否正在進行。然而,當與其它信息(例如,外部指示符、來自其它DDOS檢測引擎102的分析)組合時,可以使足夠的信息可用。
[0027]在相同或可選的實施例中,具有較高級確定性的更加詳細分析是必要或期望的。取決于給定配置的要求,可以使用相同或不同的分析技術來處理更多的數(shù)據(jù)以便允許更加詳細的分析。如果額外的時間和其它處理資源可用,則更加詳細的分析可以能夠考慮更多的數(shù)據(jù)和/或在較長的時間段內(nèi)考慮數(shù)據(jù)。除了提供較高程度的確定性,更加詳細分析在分析歷史數(shù)據(jù)、趨勢數(shù)據(jù)、辯論數(shù)據(jù)和/或在DDOS攻擊的未來防止和/或歷史分析中感興趣的其它數(shù)據(jù)挖掘技術時是必要或期望的。
[0028]再次參照圖2,DDOS檢測引擎102可以包括第一 DDOS分析引擎204和第二 DDOS分析引擎206。在一些實施例中,第一 DDOS分析引擎204可以負責執(zhí)行第一級分析,嘗試將網(wǎng)絡業(yè)務分類為惡意或良性并且實時或接近實時地確定DDOS攻擊是否正在進行。在相同或可選的實施例中,第二 DDOS分析引擎204可以負責執(zhí)行更加詳細的分析,嘗試將網(wǎng)絡業(yè)務分類為惡意或良性(和/或?qū)⒕W(wǎng)絡業(yè)務分類到多個惡意業(yè)務分類中的一個或多個中)并且以較高程度的確定性確定DDOS攻擊是否正在進行。在所說明的實施例中,DDOS分析引擎102被描繪為具有單個第一 DDOS檢測引擎204和單個第二 DDOS檢測引擎206。在相同或可選的實施例中,在不偏離本公開的范圍的情況下,給定的DDOS分析引擎102可以具有第一或第二 DDOS檢測引擎204、206中的多個。此外,僅出于容易描述的目的,第一 DDOS檢測引擎204和第二 DDOS檢測引擎206被描繪為單獨的模塊。在一些實施例中,第一和第二DDOS檢測引擎204、206可以被實現(xiàn)為單獨的、集成的和/或部分集成的硬件、軟件和/或固件。進而,第一和第二 DDOS檢測引擎204、206可以存在于相同或不同的電子設備上。例如,在其中第二 DDOS檢測引擎206負責更加詳細的DDOS分析的配置中,一個第二 DDOS檢測引擎206收集來自多個聯(lián)網(wǎng)系統(tǒng)100的多個第一 DDOS檢測引擎204的數(shù)據(jù)是必要或期望的。
[0029]在一些實施例中,第一 DDOS檢測引擎204可以實時或接近實時地執(zhí)行表示網(wǎng)絡業(yè)務的信息的第一級分析,以便將網(wǎng)絡業(yè)務分類為惡意或良性。下面的表1列出了可以由DDOS檢測引擎102使用的一組說明性數(shù)據(jù)點。盡管表1列出了一組說明性數(shù)據(jù)點,但是在不偏離本公開的范圍的情況下,DDOS檢測引擎102可以使用更多或更少的數(shù)據(jù)點。
[0030]表1
【權利要求】
1.一種能夠通信地耦合到多個網(wǎng)頁服務器的分布式拒絕服務(“DDOS”)檢測引擎,所述DDOS檢測引擎包括: 網(wǎng)頁服務器接口,配置為: 從網(wǎng)頁服務器接收多個網(wǎng)絡日志記錄,所述網(wǎng)頁服務器是所述多個網(wǎng)頁服務器之一; 至少基于所述多個網(wǎng)絡日志記錄來將第一多個用戶類別傳輸?shù)剿鼍W(wǎng)頁服務器;并且 至少基于所述多個網(wǎng)絡日志記錄來將第二多個用戶類別傳輸?shù)剿鼍W(wǎng)頁服務器;以及 第一 DDOS分析引擎,配置為: 從所述多個網(wǎng)絡日志記錄提取第一組特征,其中,所述第一組特征表示在第一時間段內(nèi)位于所述多個網(wǎng)頁服務器上的網(wǎng)絡業(yè)務; 將第一機器學習技術應用于所述第一組特征;并且 產(chǎn)生所述第一多個用戶類別以用于實質(zhì)上實時地傳輸?shù)剿鼍W(wǎng)頁服務器;以及 第二 DDOS分析引擎,配置為: 從所述多個網(wǎng)絡日志記錄提取第二組特征,其中,所述第二組特征表示在第二時間段內(nèi)位于所述多個網(wǎng)頁服務器上的網(wǎng)絡業(yè)務,所述第二時間段大于所述第一時間段; 將第二機器學習技術應用于所述第二組特征;并且 產(chǎn)生所述第二多個用戶類別以用于傳輸?shù)剿鼍W(wǎng)頁服務器。
2.如權利要求1所述的DDOS檢測引擎,其中,所述DDOS檢測引擎進一步包括DDOS警告模塊,所述DDOS警告模塊配置為向所述多個網(wǎng)頁服務器警告位于所述網(wǎng)頁服務器上的DDOS攻擊。
3.如權利要求1所述的DDOS檢測引擎,其中,所述第一機器學習技術包括對于所述多個網(wǎng)絡日志記錄的熵分析。
4.如權利要求1所述的DDOS檢測引擎,其中,所述第二機器學習技術包括對于所述多個網(wǎng)絡日志記錄的隨機森林分析。
5.如權利要求1所述的DDOS檢測引擎,其中,所述第二機器學習技術包括對于所述多個網(wǎng)絡日志記錄的支持向量機分析。
6.如權利要求1所述的DDOS檢測引擎,其中,所述網(wǎng)頁服務器接口進一步配置為將所述第一多個用戶類別實質(zhì)上實時地傳輸?shù)剿龆鄠€網(wǎng)頁服務器。
7.如權利要求1所述的DDOS檢測引擎,其中,所述第一組特征包括源互聯(lián)網(wǎng)協(xié)議標識符。
8.如權利要求1所述的DDOS檢測引擎,其中,所述第一組特征包括統(tǒng)一資源指示符。
9.如權利要求1所述的DDOS檢測引擎,其中,所述第一組特征包括引用器指示符。
10.如權利要求1所述的DDOS檢測引擎,其中,所述第一組特征包括用戶代理指示符。
11.如權利要求1所述的DDOS檢測引擎,其中,所述第一組特征包括源互聯(lián)網(wǎng)協(xié)議標識符。
12.如權利要求11所述的DDOS檢測引擎,其中,所述第一組特征進一步包括由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的GET請求的總數(shù)量。
13.如權利要求11所述的DDOS檢測引擎,其中,所述第一組特征進一步包括由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的POST請求的總數(shù)量。
14.如權利要求11所述的DDOS檢測引擎,其中,所述第一組特征進一步包括由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的既不是GET請求也不是POST請求的請求的總數(shù)量。
15.如權利要求11所述的DDOS檢測引擎,其中,所述第一組特征進一步包括由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的返回標準化狀態(tài)代碼的請求的列表。
16.如權利要求15所述的DDOS檢測引擎,其中,所述第一組特征進一步包括對從由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的請求返回的單個標準化狀態(tài)代碼的總數(shù)與由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的返回所述標準化狀態(tài)代碼的請求的列表進行比較的多個比值。
17.如權利要求11所述的DDOS檢測引擎,其中,所述第一組特征進一步包括針對由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的請求所花費的時間的統(tǒng)計測度。
18.如權利要求11所述的DDOS檢測引擎,其中,所述第一組特征進一步包括針對由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的請求的尺寸的統(tǒng)計測度。
19.如權利要求11所述的DDOS檢測引擎,其中,所述第一組特征進一步包括針對由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的請求的會話活動的統(tǒng)計測度。
20.如權利要求11所述的DDOS檢測引擎,其中,所述第一組特征進一步包括針對所述源互聯(lián)網(wǎng)協(xié)議標識符請求被請求的統(tǒng)一資源的概率的統(tǒng)計測度。
21.一種用于檢測位于包括多個網(wǎng)頁服務器的聯(lián)網(wǎng)系統(tǒng)上的分布式拒絕服務(“DD0S”)攻擊的方法,所述方法包括: 從網(wǎng)頁服務器接收多 個網(wǎng)絡日志記錄,所述網(wǎng)頁服務器是所述多個網(wǎng)頁服務器之一; 從所述多個網(wǎng)絡日志記錄提取第一組特征,其中,所述第一組特征表示在第一時間段內(nèi)位于所述多個網(wǎng)頁服務器上的網(wǎng)絡業(yè)務; 將第一機器學習技術應用于所述第一組特征; 產(chǎn)生第一多個用戶類別以用于實質(zhì)上實時地傳輸?shù)剿鼍W(wǎng)頁服務器; 從所述多個網(wǎng)絡日志記錄提取第二組特征,其中,所述第二組特征表示在第二時間段內(nèi)位于所述多個網(wǎng)頁服務器上的網(wǎng)絡業(yè)務,所述第二時間段大于所述第一時間段; 將第二機器學習技術應用于所述第二組特征; 產(chǎn)生第二多個用戶類別以用于傳輸?shù)剿鼍W(wǎng)頁服務器; 至少基于所述多個網(wǎng)絡日志記錄來將所述第一多個用戶類別傳輸?shù)剿鼍W(wǎng)頁服務器;以及 至少基于所述多個網(wǎng)絡日志記錄來將所述第二多個用戶類別傳輸?shù)剿鼍W(wǎng)頁服務器。
22.如權利要求21所述的方法,進一步包括向所述多個網(wǎng)頁服務器警告位于所述網(wǎng)頁服務器上的DDOS攻擊。
23.如權利要求21所述的方法,其中,所述第一機器學習技術包括對于所述多個網(wǎng)絡日志記錄的熵分析。
24.如權利要求21所述的方法,其中,所述第二機器學習技術包括對于所述多個網(wǎng)絡日志記錄的隨機森林分析。
25.如權利要求21所述的方法,其中,所述第二機器學習技術包括對于所述多個網(wǎng)絡日志記錄的支持向量機分析。
26.如權利要求21所述的方法,其中,將所述第一多個用戶類別傳輸?shù)剿龆鄠€網(wǎng)頁服務器是實質(zhì)上實時地發(fā)生的。
27.如權利要求21所述的方法,其中,所述第一組特征包括源互聯(lián)網(wǎng)協(xié)議標識符。
28.如權利要求21所述的方法,其中,所述第一組特征包括統(tǒng)一資源指示符。
29.如權利要求21所述的方法,其中,所述第一組特征包括引用器指示符。
30.如權利要求21所述的方法,其中,所述第一組特征包括用戶代理指示符。
31.如權利要求21所述的方法,其中,所述第一組特征包括源互聯(lián)網(wǎng)協(xié)議標識符。
32.如權利要求31所述的方法,其中,所述第一組特征進一步包括由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的GET請求的總數(shù)量。
33.如權利要求31所述的方法,其中,所述第一組特征進一步包括由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的POST請求的總數(shù)量。
34.如權利要求31所述的方法,其中,所述第一組特征進一步包括由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的既不是GET請求也不是POST請求的請求的總數(shù)量。
35.如權利要求31所述的方法,其中,所述第一組特征進一步包括由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的返回標準化狀態(tài)代碼的請求的列表。
36.如權利要求35所述的方法,其中,所述第一組特征進一步包括對從由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的請求返回的單個標準化狀態(tài)代碼的總數(shù)與由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的返回所述標準化狀態(tài)代碼的請求的列表進行比較的多個比值。
37.如權利要求31所述的方法,其中,所述第一組特征進一步包括針對由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的請求所花費的時間的統(tǒng)計測度。
38.如權利要求31所述的方法,其中,所述第一組特征進一步包括針對由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的請求的尺寸的統(tǒng)計測度。
39.如權利要求31所述的方法,其中,所述第一組特征進一步包括針對由所述源互聯(lián)網(wǎng)協(xié)議標識符發(fā)送的請求的會話活動的統(tǒng)計測度。
40.如權利要求31所述的方法,其中,所述第一組特征進一步包括針對所述源互聯(lián)網(wǎng)協(xié)議標識符請求被請求的統(tǒng)一資源的概率的統(tǒng)計測度。
【文檔編號】H04L12/26GK103918222SQ201280053833
【公開日】2014年7月9日 申請日期:2012年10月17日 優(yōu)先權日:2011年10月21日
【發(fā)明者】Y·唐, Z·鐘, Y·何 申請人:邁克菲公司