用于检测拒绝服务攻击的系统和方法技术方案

公开了用于检测拒绝服务攻击的系统和方法。这些可以包括：从多个网页服务器之一接收多个网络日志记录；从所述多个网络日志记录提取第一组特征；将第一机器学习技术应用于所述第一组特征；产生第一多个用户类别用于传输到所述网页服务器；从所述多个网络日志记录提取第二组特征；将第二机器学习技术应用于所述第二组特征；产生第二多个用户类别用于传输到所述网页服务器；至少基于所述多个网络日志记录来将所述第一多个用户类别传输到所述网页服务器；并且至少基于所述多个网络日志记录来将所述第二多个用户类别传输到所述网页服务器。

【技术实现步骤摘要】
【国外来华专利技术】
本公开通常涉及信息安全，并且尤其涉及检测计算机系统上的拒绝服务攻击。
技术介绍
随着数字存储的数据的无所不在和重要性继续上升，保持该数据安全的重要性相应地上升。在公司和个人寻求保护他们的数据的同时，其他个人、组织和企业寻求利用安全漏洞来访问该数据和/或在计算机系统本身上造成严重破坏。通常，寻求利用安全漏洞的不同类型的软件可以被称为“恶意软件”，并且可以被分类到包括病毒、蠕虫、广告软件、间谍软件等等的组中。可以由恶意软件执行的一种类型的攻击被称为“拒绝服务”攻击。当一个或多个电子设备尝试使另一个联网电子设备不可用时，会发生拒绝服务攻击。可以通过以下方式来执行这一类型的攻击:使诸如对于信息的非法请求的非法网络业务大量涌至目标电子设备，以使得目标设备被压垮，并且不能够对合法网络业务做出响应。随着网络扩展并且越来越多的电子设备能够彼此进行通信，拒绝服务攻击可以利用联网电子设备的增加的可用性。拒绝服务攻击的一种这样的适应是“分布式拒绝服务”(“DD0S”)攻击。由于DDOS攻击，大量电子设备可以一起工作以便使非法网络业务大量涌至目标电子设备，如上所述。DDOS攻击对由在世界各地的互联网服务提供方、大企业和政府提供的网络服务日益成为威胁。随着这些攻击继续上升，能够尽可能快地检测这些攻击并且尽可能彻底地保护易受攻击的电子设备变得日益重要。在DDOS中，大量攻击电子设备和相应的大量数据使检测和保护相应地变得困难。
技术实现思路
根据本公开的教导，可以改善、降低或消除与检测电子设备上的拒绝服务攻击相关联的缺点和问题。根据本公开的一个实施例，分布式拒绝服务(“DD0S”)检测引擎可通信地耦合到多个网页服务器(web server)，DDOS检测引擎包括网页服务器接口、第一 DDOS分析引擎和第二 DDOS分析引擎。网页服务器接口可以配置为:从网页服务器接收多个网络日志记录，所述网页服务器是多个网页服务器之一；至少基于所述多个网络日志记录来将第一多个用户类别传输到所述网页服务器；并且至少基于所述多个网络日志记录来将第二多个用户类别传输到所述网页服务器。所述第一 DDOS分析引擎可以配置为:从所述多个网络日志记录提取第一组特征；将第一机器学习技术应用于所述第一组特征；并且产生所述第一多个用户类别用于传输到所述网页服务器。所述第二 DDOS分析引擎可以配置为:从所述多个网络日志记录提取第二组特征；将第二机器学习技术应用于所述第二组特征；并且产生所述第二多个用户类别用于传输到所述网页服务器。根据本公开的另一实施例，公开一种用于检测包括多个网页服务器的联网系统上的分布式拒绝服务(“DD0S”)攻击的方法。所述方法包括:从网页服务器接收多个网络日志记录，所述网页服务器是多个网页服务器之一；从所述多个网络日志记录提取第一组特征；将第一机器学习技术应用于所述第一组特征；产生第一多个用户类别用于传输到所述网页服务器；从所述多个网络日志记录提取第二组特征；将第二机器学习技术应用于所述第二组特征；产生第二多个用户类别用于传输到所述网页服务器；至少基于所述多个网络日志记录来将所述第一多个用户类别传输到所述网页服务器；并且至少基于所述多个网络日志记录来将所述第二多个用户类别传输到所述网页服务器。【附图说明】通过参照结合附图的下面描述，可以获取针对当前实施例及其优点的更加完整的理解，在附图中相似的附图标记指示相似的特征，并且在附图中:图1说明了根据本公开某些实施例包括可通信地耦合到一个或多个网页服务器的分布式拒绝服务(“DD0S”)引擎的联网系统，所述一个或多个网页服务器分别可通信地耦合到一个或多个请求设备；图2说明了根据本公开某些实施例的DDOS检测引擎的高级图；图3说明了根据本公开某些实施例用于检测联网系统上的DDOS攻击的示例方法的流程图；图4说明了根据本公开某些实施例用于实时或接近实时地检测联网系统上的DDOS攻击的示例方法的流程图；以及图5说明了根据本公开某些实施例用于在更加延长的时间段内检测联网系统上的DDOS攻击的示例方法的流程图。【具体实施方式】参照图1到图5来更好地理解优选实施例及其优点，其中相似的附图标记用于指示相似和相对应的部件。出于本公开的目的，电子设备可以包括能够存储、处理、发送、接收、使用或处置以数字形式存储的数据，包括存储在计算机可读介质上的数据，的任何设备、子设备或设备和/或子设备的组合。计算机可读介质可以包括配置为存储数字数据的任何设备、子设备或设备和/或子设备的组合，在不具有限制的情况下包括硬盘驱动、闪存、只读存储器、随机存取存储器、光学存储器、固态存储器或用于存储数字数据的任何其它类型的可移动和/或固定介质。图1说明了根据本公开某些实施例包括可通信地耦合到一个或多个网页服务器104的分布式拒绝服务(“DD0S”)引擎102的联网系统100，所述一个或多个网页服务器中的每一个可通信地耦合到一个或多个请求设备108。在一些实施例中，请求设备108可以是配置为从一个或多个网页服务器104请求数据的电子设备。作为说明性示例，请求设备108可以是个人计算机、膝上型计算机、平板电脑、蜂窝电话、个人数字助理、服务器、计算机群集或配置为从一个或多个网页服务器104请求数据的任何其它电子设备。在一些实施例中，请求设备108可以经由任何适当的网络通信机制，包括无线互联网、有线互联网和/或内联网机制，可通信地耦合到一个或多个网页服务器104。在一些实施例中，网页服务器104可以是配置为经由适当的网络通信机制从一个或多个请求设备108接收数据请求的任何服务器，如上面更详细描述的。网页服务器104可以包括硬件和/或存储在计算机可读介质上以便由硬件执行的软件，该硬件和/或软件配置为经由网络通信机制将数据从一个或多个数据源传送到数据请求设备108。作为说明性示例，网页服务器104可以存储属于公司网站的数据和/或诸如SAP的某一企业软件的部分。在一些实施例中，联网系统100包括一个或多个网页服务器104。尽管图1说明了三个网页服务器104，但是联网系统100可以包括更多或更少的网页服务器104。在一个实施例中，联网系统100可以包括大量网页服务器104。作为说明性示例，联网系统100可以由云计算服务的提供方拥有和/或操作。在这一配置中，联网系统100可以向大量消费者提供网络托管服务，其中一些或者所有消费者要求多个网页服务器104。消费者可能出于多种原因，包括数据冗余性和/或高可用性，而要求多个网页服务器104。在一些配置中，联网系统100可以包括在许多不同的物理机上运行的数百个网页服务器。在这样的配置中，网页服务器104可以在服务器的群集上运行，作为在多个物理服务器上的虚拟机或托管大量网页服务器104的任何其它适当的装置。网页服务器104也可以可通信地耦合到联网系统100内的其它系统，包括数据库服务器、应用服务器和/或电子邮件服务器。在一些实施例中，这些其它服务器可以提供由请求设备108请求的数据。在其它实施例中，其它服务器可以提供向请求设备108提供数据所要求的某一后端处理。联网系统100还可以包括DDOS检测引擎102。如下面参照图2_图5更加详细描述的，DDOS检测引擎102可以包括硬件和/或存储在计算机可读介质本文档来自技高网...

【技术保护点】
一种能够通信地耦合到多个网页服务器的分布式拒绝服务(“DDOS”)检测引擎，所述DDOS检测引擎包括：网页服务器接口，配置为：从网页服务器接收多个网络日志记录，所述网页服务器是所述多个网页服务器之一；至少基于所述多个网络日志记录来将第一多个用户类别传输到所述网页服务器；并且至少基于所述多个网络日志记录来将第二多个用户类别传输到所述网页服务器；以及第一DDOS分析引擎，配置为：从所述多个网络日志记录提取第一组特征，其中，所述第一组特征表示在第一时间段内位于所述多个网页服务器上的网络业务；将第一机器学习技术应用于所述第一组特征；并且产生所述第一多个用户类别以用于实质上实时地传输到所述网页服务器；以及第二DDOS分析引擎，配置为：从所述多个网络日志记录提取第二组特征，其中，所述第二组特征表示在第二时间段内位于所述多个网页服务器上的网络业务，所述第二时间段大于所述第一时间段；将第二机器学习技术应用于所述第二组特征；并且产生所述第二多个用户类别以用于传输到所述网页服务器。

【技术特征摘要】
【国外来华专利技术】2011.10.21 US 13/278,5781.一种能够通信地耦合到多个网页服务器的分布式拒绝服务(“DDOS”)检测引擎，所述DDOS检测引擎包括: 网页服务器接口，配置为: 从网页服务器接收多个网络日志记录，所述网页服务器是所述多个网页服务器之一； 至少基于所述多个网络日志记录来将第一多个用户类别传输到所述网页服务器；并且 至少基于所述多个网络日志记录来将第二多个用户类别传输到所述网页服务器；以及 第一 DDOS分析引擎，配置为: 从所述多个网络日志记录提取第一组特征，其中，所述第一组特征表示在第一时间段内位于所述多个网页服务器上的网络业务； 将第一机器学习技术应用于所述第一组特征；并且 产生所述第一多个用户类别以用于实质上实时地传输到所述网页服务器；以及 第二 DDOS分析引擎，配置为: 从所述多个网络日志记录提取第二组特征，其中，所述第二组特征表示在第二时间段内位于所述多个网页服务器上的网络业务，所述第二时间段大于所述第一时间段； 将第二机器学习技术应用于所述第二组特征；并且 产生所述第二多个用户类别以用于传输到所述网页服务器。2.如权利要求1所述的DDOS检测引擎，其中，所述DDOS检测引擎进一步包括DDOS警告模块，所述DDOS警告模块配置为向所述多个网页服务器警告位于所述网页服务器上的DDOS攻击。3.如权利要求1所述的DDOS检测引擎，其中，所述第一机器学习技术包括对于所述多个网络日志记录的熵分析。4.如权利要求1所述的DDOS检测引擎，其中，所述第二机器学习技术包括对于所述多个网络日志记录的随机森林分析。5.如权利要求1所述的DDOS检测引擎，其中，所述第二机器学习技术包括对于所述多个网络日志记录的支持向量机分析。6.如权利要求1所述的DDOS检测引擎，其中，所述网页服务器接口进一步配置为将所述第一多个用户类别实质上实时地传输到所述多个网页服务器。7.如权利要求1所述的DDOS检测引擎，其中，所述第一组特征包括源互联网协议标识符。8.如权利要求1所述的DDOS检测引擎，其中，所述第一组特征包括统一资源指示符。9.如权利要求1所述的DDOS检测引擎，其中，所述第一组特征包括引用器指示符。10.如权利要求1所述的DDOS检测引擎，其中，所述第一组特征包括用户代理指示符。11.如权利要求1所述的DDOS检测引擎，其中，所述第一组特征包括源互联网协议标识符。12.如权利要求11所述的DDOS检测引擎，其中，所述第一组特征进一步包括由所述源互联网协议标识符发送的GET请求的总数量。13.如权利要求11所述的DDOS检测引擎，其中，所述第一组特征进一步包括由所述源互联网协议标识符发送的POST请求的总数量。14.如权利要求11所述的DDOS检测引擎，其中，所述第一组特征进一步包括由所述源互联网协议标识符发送的既不是GET请求也不是POST请求的请求的总数量。15.如权利要求11所述的DDOS检测引擎，其中，所述第一组特征进一步包括由所述源互联网协议标识符发送的返回标准化状态代码的请求的列表。16.如权利要求15所述的DDOS检测引擎，其中，所述第一组特征进一步包括对从由所述源互联网协议标识符发送的请求返回的单个标准化状态代码的总数与由所述源互联网协议标识符发送的返回所述标准化状态代码的请求的列表进行比较的多个比值。17.如权利要求11所述的DDOS检测引擎，其中，所述第一组特征进一步包括针对由所述源互联网协议标识符发送的请求所花费的时间的统计测度。18.如权利要求11所述的DDOS检测引擎，其中，所述第一组特征进一步包括针对由所述源互联网协议标识符发送的请求的尺寸的统计测度。19.如权利要求11所述的...

【专利技术属性】
技术研发人员：Y·唐，Z·钟，Y·何，
申请(专利权)人：迈克菲公司，
类型：发明
国别省市：美国;US