(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(10)申请公布号CNCN103918222103918222A(43)申请公布日2014.07.09(21)申请号201280053833.3代理人王英张立达(22)申请日2012.10.17(51)Int.Cl.(30)优先权数据H04L12/26(2006.01)13/278,5782011.10.21USH04L12/22(2006.01)(85)PCT国际申请进入国家阶段日2014.04.30(86)PCT国际申请的申请数据PCT/US2012/0605702012.10.17(87)PCT国际申请的公布数据WO2013/059287EN2013.04.25(71)申请人迈克菲公司地址美国加利福尼亚(72)发明人Y·唐Z·钟Y·何(74)专利代理机构永新专利商标代理有限公司72002权权利要求书3页利要求书3页说明书16页说明书16页附图3页附图3页(54)发明名称用于检测拒绝服务攻击的系统和方法(57)摘要公开了用于检测拒绝服务攻击的系统和方法。这些可以包括：从多个网页服务器之一接收多个网络日志记录；从所述多个网络日志记录提取第一组特征；将第一机器学习技术应用于所述第一组特征；产生第一多个用户类别用于传输到所述网页服务器；从所述多个网络日志记录提取第二组特征；将第二机器学习技术应用于所述第二组特征；产生第二多个用户类别用于传输到所述网页服务器；至少基于所述多个网络日志记录来将所述第一多个用户类别传输到所述网页服务器；并且至少基于所述多个网络日志记录来将所述第二多个用户类别传输到所述网页服务器。CN103918222ACN103982ACN103918222A权利要求书1/3页1.一种能够通信地耦合到多个网页服务器的分布式拒绝服务(“DDOS”)检测引擎，所述DDOS检测引擎包括：网页服务器接口，配置为：从网页服务器接收多个网络日志记录，所述网页服务器是所述多个网页服务器之一；至少基于所述多个网络日志记录来将第一多个用户类别传输到所述网页服务器；并且至少基于所述多个网络日志记录来将第二多个用户类别传输到所述网页服务器；以及第一DDOS分析引擎，配置为：从所述多个网络日志记录提取第一组特征，其中，所述第一组特征表示在第一时间段内位于所述多个网页服务器上的网络业务；将第一机器学习技术应用于所述第一组特征；并且产生所述第一多个用户类别以用于实质上实时地传输到所述网页服务器；以及第二DDOS分析引擎，配置为：从所述多个网络日志记录提取第二组特征，其中，所述第二组特征表示在第二时间段内位于所述多个网页服务器上的网络业务，所述第二时间段大于所述第一时间段；将第二机器学习技术应用于所述第二组特征；并且产生所述第二多个用户类别以用于传输到所述网页服务器。2.如权利要求1所述的DDOS检测引擎，其中，所述DDOS检测引擎进一步包括DDOS警告模块，所述DDOS警告模块配置为向所述多个网页服务器警告位于所述网页服务器上的DDOS攻击。3.如权利要求1所述的DDOS检测引擎，其中，所述第一机器学习技术包括对于所述多个网络日志记录的熵分析。4.如权利要求1所述的DDOS检测引擎，其中，所述第二机器学习技术包括对于所述多个网络日志记录的随机森林分析。5.如权利要求1所述的DDOS检测引擎，其中，所述第二机器学习技术包括对于所述多个网络日志记录的支持向量机分析。6.如权利要求1所述的DDOS检测引擎，其中，所述网页服务器接口进一步配置为将所述第一多个用户类别实质上实时地传输到所述多个网页服务器。7.如权利要求1所述的DDOS检测引擎，其中，所述第一组特征包括源互联网协议标识符。8.如权利要求1所述的DDOS检测引擎，其中，所述第一组特征包括统一资源指示符。9.如权利要求1所述的DDOS检测引擎，其中，所述第一组特征包括引用器指示符。10.如权利要求1所述的DDOS检测引擎，其中，所述第一组特征包括用户代理指示符。11.如权利要求1所述的DDOS检测引擎，其中，所述第一组特征包括源互联网协议标识符。12.如权利要求11所述的DDOS检测引擎，其中，所述第一组特征进一步包括由所述源互联网协议标识符发送的GET请求的总数量。13.如权利要求11所述的DDOS检测引擎，其中，所述第一组特征进一步包括由所述源互联网协议标识符发送的POST请求的总数量。14.如权利要求11所述的DDOS检测引擎，其中，所述第一组特征进一步包括由所述源2CN103918222A权利要求书2/3页互联网协议标识符发送的既不是GET请求也不是POST请求的请求的总数量。15.如权利要求11所述的DDOS检测引擎，其中，所述第一组特征进一步包括由所述源互联网协议标识符发送的返回标准化状态代码的请求的列表。1