CN101213813A - 借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法 - Google Patents

借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法 Download PDF

Info

Publication number
CN101213813A
CN101213813A CNA2006800237434A CN200680023743A CN101213813A CN 101213813 A CN101213813 A CN 101213813A CN A2006800237434 A CNA2006800237434 A CN A2006800237434A CN 200680023743 A CN200680023743 A CN 200680023743A CN 101213813 A CN101213813 A CN 101213813A
Authority
CN
China
Prior art keywords
address
source
grouping
victim
large amount
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2006800237434A
Other languages
English (en)
Inventor
艾瑞克·亨利·格罗斯
托马斯·Y·伍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Lucent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucent Technologies Inc filed Critical Lucent Technologies Inc
Publication of CN101213813A publication Critical patent/CN101213813A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

防御服务拒绝攻击的方法和设备,其中攻击的目标受害者标识攻击的存在、识别该攻击的源、和自动地指令它的电信公司网络,限制(例如阻断)分组从被识别源到受害者的传输。受害者可以依据受害者站址的基础结构内确定的各种判据,识别攻击的存在,并可以采用事件相关技术进行该确定。然后,受害者把一对或多对源/目的地的IP(互联网协议)地址对,通知电信公司,于是,电信公司将限制分组从指定目的地的IP地址到对应源的IP地址的传输。为确保甚至在拥挤网络条件下的传送,受害者可以有利地利用安全签名和利用冗余连接,把该源/目的地IP地址对,通知电信公司网络。

Description

借助目标受害者的自识别和控制,防御IP网络中服务拒绝攻击的方法
交叉参考相关申请
本申请与共同未决美国专利申请序列No._______“MethodAnd Apparatus For Defending Against Denial Of Service Attacks InIP Networks Based On Specified Source/Destination IP AddressPairs”有关,该申请由E.Grosse与本发明一道在相同日期提交并共同转让给本发明的受让人。
技术领域
本发明一般涉及基于通信网络的,诸如互联网协议(IP)网络的分组中的计算机安全领域,尤其涉及在该网络中防御服务拒绝攻击的方法和设备,其中,目标受害者自身标识这种攻击的存在、识别攻击的源、和请求与之有关的电信公司网络(carrier network),控制恶意分组的路由。
背景技术
每天都有好几千新的“僵尸(zombie)”加入被劫持的PC(个人计算机)联盟,向电子邮件用户发送垃圾邮件,并向电子商业站址、政府资源、及其他网络基础结构,发动服务拒绝(Denial of Service,DoS)攻击。事实上,每日估计有多达170,000僵尸机器添加到互联网。当有限的资源必须分配给攻击者而不是合法的使用时,服务拒绝(DoS)攻击尤其能导致主要服务的中断。这类攻击在日历年2004年,估计已经造成超过$26,000,000的损失。进行攻击的机器一般牵涉受远程主机控制的僵尸机器,且通常借助在互联网上发送指向攻击目标受害者的巨量IP(互联网协议)分组,进行破坏。唆使这种攻击的嫌疑犯,从意在欺骗点小钱的十几岁少年,到试图诈骗大公司钱财的国际犯罪组织。
目前,有两条通用的途径,用于防御这种服务拒绝攻击-其一是大量人工的,另一是自动的。第一途径要求终端用户(即目标受害者)人工识别攻击的存在,接着向该受害者的服务提供商(即电信公司)通过人工(如电话)报告受到的攻击,结合请求电信公司识别被报告的攻击源并怂恿建立保护壁垒,以阻止通过网络到达受害者的攻击一部分的分组。最为典型的是,这样的途径将导致电信公司识别犯法的分组的源,随后由它拒绝从该源接受任何分组(或至少来自该源指向特定的攻击受害者的任何分组,而该受害者识别并报告存在攻击)。
第二条防御这种服务拒绝攻击的途径,是提供更为自动的处理过程,该过程要求服务提供商包括复杂的“分组洗涤器”或“清洁器”的过滤器,每一或任何指向受保护的终端用户的分组,必须通过该过滤器。就是说,改变互联网的路由表,使所有给定终端用户的业务,通过这样的过滤器路由,该过滤器逐个检查每一分组,尝试决定该分组是否为恶意的。如果它不像是恶意的,则被转发到终端用户,但如果它看来是恶意的,则被滤除并作废。
但是,这些途径的每一个都有颇大的限制。第一途径基本上要求人工干预,且常常不能解决受攻击的问题,直到已经造成颇大的破坏为止。而第二途径不能启动分组的应用程序分析,因为常常只有目标能抽取分组,从而分析分组的数据内容。(例如,如果使用加密协议,通常只有分组的最终目的地,才能把编码分组的数据进行解码)。此外,在受害者应用程序上已启动的攻击,不一定只靠超大的带宽,而可以靠某种功能请求。因此,需要一种解决服务拒绝攻击问题的方案,其中的攻击被及时标识、识别、和(最好是不用人工干预)制止。
发明内容
我们已经认识到,虽然标识服务拒绝攻击的最佳地方,是在目标受害者上(它有识别并解决自身所受攻击的最终动机),但防御攻击的最佳地方,是在网络内(即在电信公司网络内)。因此,按照本发明的原理,两条上述现有技术途径的每一条的利益,可以有利地实施而没有对应的缺点。尤其是,本发明提供一种防御服务拒绝的方法和设备,其中攻击的目标受害者标识攻击的存在、识别攻击的源、和自动地指令它的电信公司网络,限制从已标识源到目标受害者的分组的传输。
更具体地说,本发明借助基于电信公司网络的互联网协议(IP),为被提供服务的目标受害者,提供一种防御服务拒绝的方法和设备,该方法(或设备)包括的步骤(或装置)有:根据从一个或多个源IP地址接收的IP分组的分析,确定服务拒绝攻击正在恶劣地发送;识别一对或多对IP地址对,各包括该源IP地址之一和目的地IP地址(该目的地IP地址是与目标受害者关联的IP地址之一);和向电信公司网络发送已被识别的IP地址对,使该电信公司网络能限制(如阻断)源IP地址和目的地IP地址与所述已被识别的IP地址对之一匹配的源IP地址和目的地IP地址间IP分组的传输。
附图说明
图1画出一种网络环境,在该环境中,采用按照本发明示例性实施例的防御服务拒绝攻击的设备。
图2按照本发明示例性实施例,画出防御服务拒绝攻击的方法流程图。
具体实施方式
按照本发明示例性实施例,一种僵尸攻击处理器(Zombie AttackProcessor,下面以“Zapper”表示)提供一种新型的装置,它能使服务拒绝攻击的受害者,凭借向电信公司通告攻击者而“击退”,电信公司作为回应,将更新源/目的地IP地址对的表,包含攻击者的IP地址对将被阻断。更准确地说,在认识攻击正在发生时,受害者将识别一对或多对源和目的地IP地址对,这些地址对按认为分组中包含攻击的一部分而被指定,并把这些IP地址对通知电信公司,以便阻断。
应当指出,按照本发明的某些示例性实施例,攻击者(即已标识的源IP地址)不一定完全与网络断开,只是禁止向受害者(即已标识的目的地IP地址)发送分组。这样做是有利的,尤其是在被识别的源IP地址代表合法用户的情形,该合法用户已经被接管(即成为僵尸)而向受害者发动给定的攻击。因此,已被接管机器的拥有者可以继续把系统用于合法的目的,尽管仍在恶劣地发到受害者的攻击(不为合法用户所知)还是不能有效地遏制。此外,应当指出,按照本发明这样示例性实施例的技术,还有利地提供对被给定受害者过分积极地识别的攻击者的保护。因为,按照本发明的原理,攻击者的识别,是留给未必真正的受害者自由处理的,显然,有利的做法是,只有到达给定受害者的业务被断开或被限制。
有利的做法是,通告协议可以包括安全签名,这样,不能利用Zapper(僵尸攻击处理器)的基础结构本身来发动服务拒绝攻击。此外,该协议可以有利地利用与电信公司的冗余连接,以及冗余UDP(用户数据报协议,User Datagram Protocol),以确保甚至在拥挤网络条件下的传送。(UDP是本领域熟练人员完全熟悉的IP通信协议)。网络处理器和储存器的进步,能使这种防御按比例增大到潜在的大量攻击者-远超出更早的路由器的能力-有利地不要求通过受害者或电信公司的人工干预,从而能极其及时地作出响应。
按照本发明示例性的各个实施例,这种Zapper过滤引擎,可以作为包括在电信公司网络中独立应用的盒实施,或者作为线路卡实施,该线路卡被纳入现有网络中别的常规网络单元内。此外,按照本发明某些示例性实施例,Zapper过滤器可以由电信公司有利地部署在网络内相对接近攻击的发端位置,也可以在开始时放置,以有利地保卫高级客户免受攻击。
按照本发明示例性的各个实施例,要被阻断的IP地址对的条目,可以有时限(即在预定时间周期过去后,自动撤除),也可以被明确发布的暂缓执行所清除。在该方式中,网络将有利地返回归零状态,不需要使用垃圾收集算法。举例说,通告者(即,电信公司网络的客户,使他们能识别攻击并得到保护,免受攻击)例如可以给出有限数量的“便条(chit)”(要输入并阻断的源/目的地IP地址对)-举例说,约十万的量级-该数量可以根据给定客户与给定服务提供商(即电信公司)的营业量按比例变化。
此外,按照本发明某些示例性实施例,可以有利地提供网络诊断,使示例性的Zapper发回ICMP(Internet Control Message Protocol,互联网控制消息协议,本领域一般的熟练人员完全熟悉)未送达消息,该消息例如按一些预定的概率,任何时候某一分组已被识别为包括受阻断的源/目的地IP地址对时,舍弃该分组。这种错误回复,按照本发明示例性一个实施例,可以包括能让被阻断的分组发送者询问数据库,是谁设置阻断该分组的请求,并在可能的情况下,说明该请求的理由。
又,按照本发明某些示例性实施例,还可以有利地提供补充的工具。例如,这些工具可以包括:用于标识已启动的服务拒绝攻击的互联网服务器插头;链接到各种IDS系统(Intrusion Detection System,侵入检测系统)的链路;用于网络诊断(见上面的讨论)的数据库;和为在给定电信公司的基础结构内设置Zapper功能提供指导的方法。提供各种补充工具的本发明示例性实施例,本领域熟练人员借助本文公开的内容,是容易明白的。
应当指出,按照本发明某些示例性实施例的Zapper过滤机构的操作,除了它根据潜在的大量(如数百万)非常简单的规则外,类似于常规的防火墙。尤其是,Zapper规则可以用如下形式表达:“如果给定分组的源IP地址是a、b、c、d,而该分组的目的地IP地址是w、x、y、z,则阻断(即舍弃)该分组”。
又,按照本发明其他示例性实施例,不是禁止有给定源和目的地IP地址的分组的传输,Zapper过滤器可以取消这种分组的按优先顺序排列。就是说,过滤机构或者指配该分组一个低的路由优先权,或者强加于该分组一个分组速率极限。无论哪一种情形,有给定源和目的地IP地址的分组,将不能在业务上有显著影响,从而不再向受害者造成成功的服务拒绝攻击。
按照本发明各个示例性实施例,攻击检测可以有利地被受害者通过不同程度简单的或复杂的算法标识,许多这些算法,本领域熟练人员是熟悉的。例如,按照本发明一个示例性实施例,可以考察应用程序登录,而攻击可以孤立地根据来自单个已标识源,或来自多个已标识源的非常高的业务等级(如高的分组速率)而识别。(应当指出,这是一种识别存在服务拒绝攻击的常规方法,本领域熟练人员是熟悉的)。
按照本发明另一个示例性实施例,基于分组内容分析的应用程序,可以进行分组的识别或有可疑本性的分组序列的识别,例如,标识出不存在的数据库单元遭遇频繁的数据库搜索;标识出有明显来自某人的许多请求,此人能用比个人更高的速率发出这种请求;识别句法上无效的请求;和识别正常发生的活动操作中,在特别敏感时间上可疑的业务量。(后一类可疑分组的例子是可以识别的,例如,如果股票买卖网站在逼近股票交易期间的敏感时刻,特殊地通知中断业务)。又,按照本发明其他示例性实施例,可以包括许多关于可能攻击的不同标记,例如,一种或多种上面说明的情况,可以有利地在更为复杂的分析中组合,用于识别攻击的存在。
图1画出一种网络环境,在该环境中,采用按照本发明示例性实施例的防御服务拒绝攻击的设备。图上画出目标受害者11(它例如可以是银行或其他金融机构)。应当指出,假定目标受害者11有一个或多个与之关联的IP地址(未画出)。按照本发明的原理,与目标受害者11结合的还有攻击检测器12,该检测器按照本发明一个示例性实施例,确定服务拒绝攻击正在恶劣地加于目标受害者11。
电信公司网络13,向目标受害者11提供服务的该电信公司网络,从各种源接收IP分组,并把它们发送到目标受害者11。如图中所示,正在向目标受害者11发送的分组,事实是其上有服务拒绝攻击,并正在被大量僵尸机器14发送。电信公司网络13还包括Zapper 15,该Zapper 15按照本发明一个示例性实施例,有利地防御服务拒绝攻击。
更准确地说,操作中并按照本发明该示例性实施例,攻击检测器12在确定服务拒绝攻击正在恶劣地加于目标受害者11后,向Zapper15发送一对或多对源/目的地IP地址对,使电信公司网络13限制(如阻断)源IP地址和目的地IP地址与那些已发送的源/目的地IP地址对任一匹配的IP分组的传输,从而限制(或消除)从僵尸14到攻击受害者11的服务拒绝攻击。应当指出,攻击检测器12有利地利用冗余链接17发送该源/目的地IP地址对。还应当指出,从僵尸14到不相关服务器16的IP分组的传输,有利地不受影响。
图2按照本发明示例性实施例,画出防御服务拒绝攻击的方法流程图。图2的示例性方法,是在目标受害者上执行,并开始于(如在方框21中所示)根据接收的IP分组的分析,确定服务拒绝攻击正在恶劣地加于目标受害者11上。然后(如在方框22中所示),一对或多对源/目的地IP地址对,被识别为应当阻断的IP分组的代表,以便遏制服务拒绝攻击。(举例说,源IP地址是那些进行攻击的“僵尸”机器,而目的地IP地址与那些受害者自身关联)。最后(如在方框23中所示),把已被识别的源/目的地IP地址对,向受害者的电信公司网络发送,使电信公司网络能阻断有匹配的源和目的地IP地址间的IP分组的传输。
具体实施方式补遗
应当指出,所有前面的讨论,仅仅表明本发明的一般的原理。显然,本领域熟练人员能够设计各种各样其他安排,这些安排虽然没有在本文明显说明或画出,但体现本发明的原理,因而包括在本发明的精神和范围内。例如,虽然已经专门就互联网协议(IP)网络说明本发明,但显而易见,本领域一般的熟练人员明白,本发明原理不涉及使用的特定通信协议,因此,本发明能够按相同方式,在各个方面用于以网络为基础的任何数据的分组,在该网络中,通过网络发送与源和目的地地址关联的分组。
另外,本文列举的所有例子和条件语句,主要地应当清楚地认为,只是为了教学法的目的,以帮助读者理解本发明人为了促进本技术而给出的本发明的原理和概念,从而应当看作不受该具体地列举的例子和条件的限制。此外,本文记载的本发明原理、方面、和实施例的所有叙述,连同其特定例子,意图涵盖其结构的和功能两方面的等价内容。同样要指出的是,这种等价的叙述,包括当前已知的等价内容以及未来发展的等价内容-就是说,不论其结构,凡执行相同功能的任何发展的单元。

Claims (10)

1.一种全自动的防御对目标受害者的服务拒绝攻击的方法,该方法在目标受害者上实施,其中,该目标受害者由基于电信公司网络的互联网协议(IP)提供,该互联网协议(IP)向该目标受害者发送IP分组,该目标受害者有与其关联的一个或多个IP地址,该方法包括的步骤有:
根据从一个或多个源IP地址接收的IP分组的分析,确定服务拒绝攻击正在恶劣地加于所述目标受害者;
识别一对或多对IP地址对,每一对所述IP地址对,包括源IP地址和目的地IP地址,其中的源IP地址是所述源IP地址之一,所述IP分组之一就是从它接收的,且其中所述目的地IP地址是与目标受害者关联的所述IP地址之一;和
向所述电信公司网络发送所述一对或多对已被识别的IP地址对,使电信公司网络能限制源IP地址和目的地IP地址等同于所述已被识别IP地址对之一的源IP地址和目的地IP地址间IP分组的传输,该分组已经向该目的地IP地址发送。
2.按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣地加于所述目标受害者的所述步骤,包括确定从所述一个或多个源IP地址接收的所述IP分组的分组速率,超过预定的阈值。
3.按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣地加于所述目标受害者的所述步骤,包括确定从所述一个或多个源IP地址接收的大量所述IP分组,包含为不存在的数据库单元请求执行数据库搜索,其中包含这种为不存在的数据库单元请求执行数据库搜索的所述大量所述IP分组的接收速率,超过预定的阈值。
4.按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣地加于所述目标受害者的所述步骤,包括确定从所述一个或多个源IP地址接收的所述大量所述IP分组,包含据称来自某人的请求,其中包含据称来自某人的请求的所述大量所述IP分组的接收速率,超过预定的阈值。
5.按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣地加于所述目标受害者的所述步骤,包括确定从所述一个或多个源IP地址接收的大量所述IP分组,包含句法上无效的请求,其中包含句法上无效请求的所述大量所述IP分组的接收速率,超过预定的阈值。
6.按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣地加于所述目标受害者的所述步骤,包括确定从所述一个或多个源IP地址接收的大量所述IP分组,是在所述目标受害者敏感操作期间,以超过预定阈值的速率接收的。
7.按照权利要求1的方法,其中,确定服务拒绝攻击正在恶劣地加于所述目标受害者的所述步骤,包括确定至少满足两组预定条件组,其中的条件组包括如下的两项或更多:
确定从所述一个或多个源IP地址接收的所述IP分组速率,超过预定的阈值;
确定从所述一个或多个源IP地址接收的大量所述IP分组,包括为不存在的数据库单元请求执行数据库搜索,其中包含这种为不存在的数据库单元执行数据库搜索请求的所述大量所述IP分组的接收速率,超过预定的阈值;
确定从所述一个或多个源IP地址接收的大量所述IP分组,包含据称来自某人的请求,其中包含据称来自某人的请求的所述大量所述IP分组的接收速率,超过预定的阈值;
确定从所述一个或多个源IP地址接收的大量所述IP分组,包含句法上无效的请求,其中包含句法上无效请求的所述大量所述IP分组的接收速率,超过预定的阈值;和
确定从所述一个或多个源IP地址接收的大量所述IP分组,是在所述目标受害者敏感操作期间,以超过预定阈值的速率接收的。
8.按照权利要求1的方法,其中,向所述电信公司网络发送所述一对或多对已被识别的IP地址对的所述步骤,包括使用安全签名,向所述电信公司网络发送所述一对或多对已被识别的IP地址对。
9.按照权利要求1的方法,其中,向所述电信公司网络发送所述一对或多对已被识别的IP地址对的所述步骤,包括使用与所述电信公司网络的冗余连接,向所述电信公司网络发送所述一对或多对已被识别的IP地址对。
10.按照权利要求1的方法,其中,向所述电信公司网络发送所述一对或多对已被识别的IP地址对的所述步骤,包括使用冗余通信协议,向所述电信公司网络发送所述一对或多对已被识别的IP地址对。
CNA2006800237434A 2005-08-05 2006-08-02 借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法 Pending CN101213813A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/197,842 2005-08-05
US11/197,842 US20070033650A1 (en) 2005-08-05 2005-08-05 Method and apparatus for defending against denial of service attacks in IP networks by target victim self-identification and control

Publications (1)

Publication Number Publication Date
CN101213813A true CN101213813A (zh) 2008-07-02

Family

ID=37433745

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2006800237434A Pending CN101213813A (zh) 2005-08-05 2006-08-02 借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法

Country Status (6)

Country Link
US (1) US20070033650A1 (zh)
EP (1) EP1911241B9 (zh)
JP (1) JP4768020B2 (zh)
KR (1) KR101067781B1 (zh)
CN (1) CN101213813A (zh)
WO (1) WO2007035207A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9537817B2 (en) 2011-07-26 2017-01-03 Huawei Device Co., Ltd. Method and apparatus for obtaining destination IP address

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7747244B2 (en) * 2003-01-23 2010-06-29 Research In Motion Limited Methods and apparatus for re-establishing communication for a wireless communication device after a communication loss in a wireless communication network
US8775521B2 (en) * 2006-06-30 2014-07-08 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting zombie-generated spam
US8914885B2 (en) * 2006-11-03 2014-12-16 Alcatel Lucent Methods and apparatus for delivering control messages during a malicious attack in one or more packet networks
US8768961B2 (en) * 2007-03-09 2014-07-01 At&T Labs, Inc. System and method of processing database queries
US7937586B2 (en) * 2007-06-29 2011-05-03 Microsoft Corporation Defending against denial of service attacks
US8943200B2 (en) 2008-08-05 2015-01-27 At&T Intellectual Property I, L.P. Method and apparatus for reducing unwanted traffic between peer networks
KR101013274B1 (ko) * 2008-09-11 2011-02-09 주식회사 케이티 무선 데이터 통신 환경에서 이상호 차단 방법 및 시스템
CN102369532B (zh) * 2009-01-29 2015-05-20 惠普开发有限公司 管理网络中的安全性
US8644177B2 (en) * 2010-12-16 2014-02-04 Blackberry Limited Methods and apparatus for use in controlling data traffic for a wireless mobile terminal using a wireless access point (AP)
US9148440B2 (en) 2013-11-25 2015-09-29 Imperva, Inc. Coordinated detection and differentiation of denial of service attacks
EP3319287A1 (en) * 2016-11-04 2018-05-09 Nagravision SA Port scanning

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5198607A (en) * 1992-02-18 1993-03-30 Trw Inc. Laser anti-missle defense system
US6611521B1 (en) * 1998-07-14 2003-08-26 International Business Machines Corporation Data link layer extensions to a high latency wireless MAC protocol
SE518422C2 (sv) * 2000-03-10 2002-10-08 Ericsson Telefon Ab L M Förfarande och anordning för punkt-till-punktförbindelser i ett kommunikationsnät
AU2001288640A1 (en) * 2000-09-01 2002-03-13 Tut Systems, Inc. A method and system to pre-compile configuration information for a data communications device
US7188366B2 (en) * 2000-09-12 2007-03-06 Nippon Telegraph And Telephone Corporation Distributed denial of service attack defense method and device
WO2002025402A2 (en) * 2000-09-20 2002-03-28 Bbnt Solutions Llc Systems and methods that protect networks and devices against denial of service attacks
US8509086B2 (en) * 2001-06-20 2013-08-13 Arbor Networks, Inc. Detecting network misuse
US7028179B2 (en) * 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks
US20030037141A1 (en) * 2001-08-16 2003-02-20 Gary Milo Heuristic profiler software features
US7694128B2 (en) * 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
CA2379090A1 (en) * 2002-03-27 2003-09-27 Ibm Canada Limited-Ibm Canada Limitee Efficient server handling of multiple requests from a web browser
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
JP2004120498A (ja) 2002-09-27 2004-04-15 Nippon Telegr & Teleph Corp <Ntt> 違法トラヒック防止システムおよびサーバおよびエッジルータ
US7472421B2 (en) * 2002-09-30 2008-12-30 Electronic Data Systems Corporation Computer model of security risks
JP4259183B2 (ja) * 2003-05-28 2009-04-30 学校法人千葉工業大学 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
GB0315156D0 (en) * 2003-06-28 2003-08-06 Ibm Identification system and method
US8171562B2 (en) * 2003-08-26 2012-05-01 Oregon Health & Science University System and methods for protecting against denial of service attacks
JP3784799B2 (ja) * 2003-11-13 2006-06-14 日本電信電話株式会社 攻撃パケット防御システム
US7436770B2 (en) * 2004-01-21 2008-10-14 Alcatel Lucent Metering packet flows for limiting effects of denial of service attacks
JP2005210601A (ja) * 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> 不正侵入検知装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9537817B2 (en) 2011-07-26 2017-01-03 Huawei Device Co., Ltd. Method and apparatus for obtaining destination IP address

Also Published As

Publication number Publication date
US20070033650A1 (en) 2007-02-08
JP4768020B2 (ja) 2011-09-07
KR20080026122A (ko) 2008-03-24
JP2009504099A (ja) 2009-01-29
WO2007035207A1 (en) 2007-03-29
EP1911241B1 (en) 2012-10-03
EP1911241A1 (en) 2008-04-16
KR101067781B1 (ko) 2011-09-27
EP1911241B9 (en) 2013-06-12

Similar Documents

Publication Publication Date Title
CN101213812B (zh) 用于根据指定的源/目的地ip地址对,在ip网络中防御服务拒绝攻击的方法和设备
CN101213813A (zh) 借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法
RU2668710C1 (ru) Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике
CN100530208C (zh) 适于病毒防护的网络隔离技术
KR101689299B1 (ko) 보안이벤트 자동 검증 방법 및 장치
AU2004289001B2 (en) Method and system for addressing intrusion attacks on a computer system
Seufert et al. Machine learning for automatic defence against distributed denial of service attacks
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
CN105915532A (zh) 一种失陷主机的识别方法及装置
US7469418B1 (en) Deterring network incursion
JP2007325293A (ja) 攻撃検知システムおよび攻撃検知方法
CN101536456A (zh) 用于超驰一个或多个分组网络中不期望业务量的通告废除的方法和设备
KR102546068B1 (ko) 위협 요소의 정량 분석 기반 이메일 보안 진단 장치 및 그 동작 방법
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
KR100613904B1 (ko) 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
CN115987531A (zh) 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法
Rm et al. A comprehensive approach for network security
KR100870871B1 (ko) 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法
Turukmane et al. Cyber Quantum Computing (Security) Using Rectified Probabilistic Packet Mark for Big Data
JP2007312414A (ja) 攻撃検知システムおよび攻撃検知方法
Dave et al. Application profiling based on attack alert aggregation
El-Keissi et al. IP TRACEBACK OF DENIAL OF SERVICE (DOS) ATTACKS USING MOBILE AGENTS-TRACEABILITY IN E-SERVICES

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20080702