[发明专利]用于在基于云的机器上将可疑IP地址分类为非目标攻击源的非协议特定系统和方法

权利要求书

1.一种用于检测由第一机器对第二机器的非目标攻击的系统，其中所述第二机器在服务提供方的服务器计算机中被实现，所述系统包括：

处理器；

存储器；以及

被存储在所述存储器中并包括指令的应用，所述指令由所述处理器可执行并被配置为：

提取与所述第一机器和所述第二机器之间的业务流对应的网络数据，其中所述第二机器在基于云的网络中被实现，

基于所述网络数据来确定第一可疑外部因特网协议地址，

计算针对所述第一可疑外部因特网协议地址的多个特征，其中所述多个特征包括探索类型特征和开发类型特征，

基于预定示例和所述多个特征来训练分类器，以生成和更新模型，

基于所述模型和所述多个特征中的至少一些特征，来对所述第一可疑外部因特网协议地址分类，以及

如果通过对所述第一可疑外部因特网协议地址分类而被提供的分类指示所述第一可疑外部因特网协议地址与对所述第二机器的恶意攻击相关联，则执行应对措施。

2.根据权利要求1所述的系统，其中：

所述网络数据包括因特网协议流信息导出数据；并且

所述指令被配置为基于所述因特网协议流信息导出数据来确定所述第一可疑外部因特网协议地址。

3.根据权利要求1所述的系统，其中所述指令还被配置为：

基于所述网络数据来标识多个外部因特网协议地址；以及

预过滤所述多个外部因特网协议地址，以至少提供所述第一可疑外部因特网协议地址。

4.根据权利要求1所述的系统，其中所述指令还被配置为：

标识所述第一可疑外部因特网协议地址和一个或多个内部因特网协议地址之间的多个交互是短交互还是长交互，其中所述一个或多个内部因特网协议地址是所述基于云的网络中的一个或多个机器的内部因特网协议地址，并且其中所述一个或多个机器包括所述第二机器；以及

基于将所述多个交互标识为短交互或长交互，来将所述第一可疑外部因特网协议地址标识为待分类的地址。

5.根据权利要求4所述的系统，其中所述指令还被配置为：

基于所述网络数据来标识多个外部因特网协议地址；

预过滤所述多个外部因特网协议地址，以提供包括所述第一可疑外部因特网协议地址的多个可疑外部因特网协议地址；

基于将所述多个交互标识为短交互或长交互，来过滤所述多个可疑外部因特网协议地址以提供子集；以及

基于将所述多个交互标识为短交互或长交互，来将所述子集中的所述可疑外部因特网协议地址分类。

6.根据权利要求1所述的系统，其中：

所述多个特征的第一部分与探索交互相关联；

所述多个特征的第二部分与开发交互相关联；并且

对所述第一可疑外部因特网协议地址的所述分类基于所述第一部分和所述第二部分。

7.根据权利要求1所述的系统，其中所述指令还被配置为：

标识包括所述第一可疑外部因特网协议地址的多个可疑外部因特网协议地址；

滤除具有少于第一预定数目的短交互或少于第二预定数目的长交互的外部因特网协议地址，以提供第一子集；

滤除所述第一子集中的每个如下外部因特网协议地址，以提供第二子集：对应的所述外部因特网协议地址和一个或多个内部因特网协议地址之间的预定数目或百分比的交互不经由所述第一机器的单个端口；以及

将所述第二子集中的所述可疑外部因特网协议地址分类。