[发明专利]用于在基于云的机器上将可疑IP地址分类为非目标攻击源的非协议特定系统和方法

说明书

提供了用于检测由第一机器对第二机器的非目标攻击的系统。系统包括应用，应用包括指令，指令被配置为：提取与第一机器和第二机器之间的业务流对应的网络数据，其中第二机器在基于云的网络中被实现；基于网络数据来标识第一可疑外部IP地址；计算针对第一可疑外部IP地址的特征，其中特征包括探索类型特征和开发类型特征；基于预定示例和特征来训练分类器，以生成并更新模型；基于模型和特征中的至少一些特征，对第一可疑外部IP地址分类；以及如果从对第一可疑外部IP地址分类被提供的分类指示第一可疑外部IP地址与对第二机器的恶意攻击相关联，则执行应对措施。

技术领域

本公开涉及安全应用，并且更具体地涉及检测基于云的机器上的非目标攻击。

背景技术

本文提供的背景描述是为了总体上呈现本公开的上下文。在该背景技术部分中所描述的工作范围内，以及在申请时可能无法视为现有技术的描述的各方面，均未明确或暗含承认当前发明人的工作为现有技术。

基于云的网络允许在满足数据安全访问要求的同时将计算机处理和存储需求从本地网络移动到混合云或完全基于云的网络。基于云的网络可以包括物理机(PM)和虚拟机(VM)。可以经由PM和/或VM来实现云应用。可以从远程位置处的组织的客户站来访问云应用。

发明内容

提供用于检测第一机器对第二机器的非目标攻击的系统。第二机器在服务提供方的服务器计算机中被实现。系统包括处理器、存储器和被存储在存储器中的应用。应用包括可由处理器执行的指令，指令被配置为：提取与第一机器和第二机器之间的业务流对应的网络数据，其中第二机器在基于云的网络中被实现；基于网络数据来标识第一可疑外部因特网协议地址；以及计算第一可疑外部因特网协议地址的特征，其中特征包括探索类型特征和开发类型特征。指令还被配置为：基于预定示例和特征来训练分类器，以生成并更新模型；基于模型和特征中的至少一些特征，对第一可疑外部因特网协议地址分类；以及如果对第一可疑外部因特网协议地址分类提供的分类指示第一可疑外部因特网协议地址与第二机器上的恶意攻击相关联，则执行应对措施(countermeasure)。

在其他特征中，提供了用于检测第一机器对第二机器的攻击的系统。第二机器在服务提供方的服务器计算机中被实现。系统包括处理器、存储器以及被存储在存储器中并包括指令的应用，指令可由处理器执行并且被配置为：提取与第一机器和第二机器之间的业务流对应的网络数据，其中第二机器在基于云的环境中实现网络；以及基于网络数据来确定第一可疑外部因特网协议地址。指令还被配置为：计算第一可疑外部因特网协议地址的特征，其中特征包括探索类型特征和开发类型特征；基于模型和特征中的至少一些特征对第一可疑外部因特网协议地址分类，其中模型基于预定示例，并且预定示例中的每个预定示例具有相应的特征集；以及如果可疑因特网协议地址的分类指示可疑因特网协议地址与第二机器上的恶意攻击相关联，则执行应对措施。

在其他特征中，存储指令的非暂时性有形计算机可读介质，指令可由处理器执行来检测第一机器对第二机器的攻击。第二机器在服务器计算机中被实现。服务器计算机在服务提供方的基于云的网络中被实现。指令用于：提取与第一机器和第二机器之间的业务流对应的网络数据，其中第二机器在基于云的网络中被实现；基于网络数据来确定第一可疑外部因特网协议地址；以及计算第一可疑外部因特网协议地址的特征，其中特征包括探索类型特征和开发类型特征。指令还用于：基于模型和特征中的至少一些特征来对第一可疑外部因特网协议地址分类，其中模型基于预定示例，并且预定示例中的每个预定示例具有相应的特征集；以及如果可疑因特网协议地址的分类指示可疑因特网协议地址与第二机器上的恶意攻击相关联，则执行应对措施。

通过详细描述、权利要求和附图，本公开的其他应用领域将变得显而易见。详细描述和特定示例仅旨在用于图示，并不旨在限制本公开的范围。

附图说明

图1是根据本公开的一个实施例的包括安全应用的安全系统的一个示例的功能框图。

图2是根据本公开的一个实施例的客户端计算机的一个示例的功能框图。