[发明专利]用于检测网络上的容量耗尽攻击的方法和系统

权利要求书

1.一种用于检测网络上的容量耗尽攻击的方法，包括：

针对给定时隙，收集针对所述网络的使用数据，其中所述网络包括托管多个服务的多个分布式机器，其中所述使用数据包括到所述网络的网络业务；

将所述使用数据采样到多个组中，其中采样所述使用数据包括：

将所述使用数据采样在第一组中，所述第一组包括到网络整体上的所述网络业务；以及

将所述使用数据采样到第二组中，所述第二组包括与所述多个分布式机器的子集相关联的所述网络业务，所述多个分布式机器的所述子集基于分组参数而被确定；

针对所述给定时隙，将针对所述多个组中的每个组的采样的所述使用数据与预测使用量相比较以产生差；

将所述差与阈值相比较；以及

当所述差超过所述阈值时，将安全措施应用到所述网络。

2.根据权利要求1所述的方法，其中所述预测使用量基于历史使用数据而被创建。

3.根据权利要求2所述的方法，其中所述历史使用数据在训练时段期间被收集。

4.根据权利要求1所述的方法，其中所述阈值基于所述预测使用量的百分比。

5.根据权利要求1所述的方法，其中观察器通过以设定时间间隔采样经由所述网络的网关到所述网络中托管的机器的多个连接，来收集针对所述网络的使用数据。

6.根据权利要求1所述的方法，其中所述安全措施包括以下至少一项：

锁定账户；

限制对所述账户的访问；

阻止网络端口；以及

将在所述网络内托管的机器移动到新地址。

7.根据权利要求1所述的方法，其中先前时隙基于包括一天中的时间和以下至少一项的周期而被确定为等效所述给定时隙：

一周中的一天；

一月中的一周；以及

一年中的一月。

8.根据权利要求7所述的方法，还包括：当所述给定时隙落在假日时，基于所述周期覆盖所述预测使用量的选择，并且基于针对所述假日的历史使用数据替代假日预测使用量。

9.根据权利要求2所述的方法，还包括：

其中所述预测使用量针对所述网络中所托管的机器的子集；

其中所述历史使用数据针对所述子集；以及

其中被应用到所述网络的所述安全措施针对所述子集。

10.根据权利要求1所述的方法，其中采样所述使用数据包括：基于被实现以负载平衡所述网络的所述网络业务的分组流协议，采样所述使用数据。

11.根据权利要求1所述的方法，其中所述分组参数包括以下至少一项：从源被接收、被传输到目的地、使用协议、以及在预定大小之上、之处或之下。

12.根据权利要求1所述的方法，还包括：

将所述使用数据采样到第三组中，所述第三组包括到所述网络的一个分布式机器的所述网络业务。