CN1898923B - 拒绝服务攻击检测系统及拒绝服务攻击检测方法 - Google Patents
拒绝服务攻击检测系统及拒绝服务攻击检测方法 Download PDFInfo
- Publication number
- CN1898923B CN1898923B CN2005800014107A CN200580001410A CN1898923B CN 1898923 B CN1898923 B CN 1898923B CN 2005800014107 A CN2005800014107 A CN 2005800014107A CN 200580001410 A CN200580001410 A CN 200580001410A CN 1898923 B CN1898923 B CN 1898923B
- Authority
- CN
- China
- Prior art keywords
- service
- attack
- denial
- information
- communication equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5009—Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0888—Throughput
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
监视装置(5)监视发送给作为拒绝服务攻击对象的通信设备(3)的分组,并且检测表示由发给通信设备(3)的分组造成的业务异常性的业务异常性信息。性能测量装置(7)测量所述通信设备(3)的性能,并且检测表示所述通信设备(3)的处理能力的异常性的性能异常性信息。攻击判断装置(8)根据业务异常性信息和性能异常性信息,判断所述通信设备(3)是否受到拒绝服务攻击。
Description
技术领域
本发明涉及通过对发送给作为拒绝服务攻击对象的通信设备的分组进行监视的监视装置、测量该通信设备的性能的性能测量装置、以及与监视装置和性能测量装置进行通信的攻击判断装置、来检测对于该通信设备的拒绝服务攻击的拒绝服务攻击检测系统及拒绝服务攻击检测方法,特别涉及可通过提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击的拒绝服务攻击检测系统及拒绝服务攻击检测方法。
背景技术
以往,作为通过网络进行的攻击,公知有通过发送大量的分组来麻痹网络和服务器设备(以下称为“通信设备”)的拒绝服务攻击(包括分布型拒绝服务攻击)。难以通过使用了分组的特征量的方法来检测这种拒绝服务攻击,所以基于利用了业务(量)的异常性的方法的拒绝服务攻击检测系统得到了广泛应用。
该拒绝服务攻击检测系统预先以手动或自动方式计算通过在预定期间内测量发给作为攻击对象的通信设备的业务而求出的定常业务。然后,当正在监视的业务与该定常业务乖离时视为攻击,从而检测拒绝服务攻击(例如,参照专利文献1)。
专利文献1:日本特开2003-283555号公报
发明内容
但是,在这种拒绝服务攻击中,根据攻击规模、网络及通信设备的处理能力之间的关系,存在很多即使业务表现出了异常性,对通信设备所提供的服务也没有实际危害的情况。在这种情况下,即使上述的拒绝服务攻击检测系统检测为攻击,也不需要进行具体处理,所以与误检没有任何差别。
拒绝服务攻击检测系统的主要用途是保护通信设备不受造成拒绝服务的攻击,基于这种考虑,与提高鉴别业务异常性是否是攻击的精度相比,重要的是尽早发现引起性能恶化的业务的异常性。但是,在现有的拒绝服务攻击检测系统中,要在没有考虑通信设备的处理能力等的情况下,只根据业务的异常性来检测攻击,存在与性能恶化无关的业务异常性的检测、换言之不需要处理的状况的检测(广义上的误检)较多的课题。
本发明就是为了解决上述的现有技术所产生的问题而提出的,其目的在于,提供可以通过提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击的拒绝服务攻击检测系统及拒绝服务攻击检测方法。
为了解决上述的课题、达到目的,本发明的拒绝服务攻击检测系统,通过监视发送给作为拒绝服务攻击对象的通信设备的分组的监视装置、测量所述通信设备的性能的性能测量装置、以及与所述监视装置及所述性能测量装置进行通信的攻击判断装置,检测对于所述通信设备的拒绝服务攻击,其特征在于,所述监视装置具有业务异常性检测单元,其检测表示由所述分组对于所述通信设备造成的业务异常性的业务异常性信息,所述性能测量装置具有性能异常性检测单元,其检测表示所述通信设备的处理能力的异常性的性能异常性信息,所述攻击判断装置具有影响判断单元,其根据所述业务异常性信息和所述性能异常性信息,判断是否是拒绝服务攻击。
根据本发明,由监视装置检测表示由分组对于通信设备造成的业务异常性的业务异常性信息,由性能测量装置检测表示通信设备的处理能力的异常性的性能异常性信息,由攻击判断装置根据业务异常性信息和性能异常性信息判断是否是拒绝服务攻击,所以不只使用业务异常性信息、还使用性能异常性信息,根据这些异常性信息之间的关联,判断是否是拒绝服务攻击,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
并且,本发明的特征在于,在上述发明中,所述监视装置还具有向所述攻击判断装置发送所述业务异常性信息的业务异常性信息发送单元。
根据本发明,由监视装置向攻击判断装置发送业务异常性信息,所以攻击判断装置不参照监视装置的业务异常性信息即可高效地获取业务异常性信息,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
并且,本发明的特征在于,在上述发明中,所述性能测量装置还具有向所述攻击判断装置发送所述性能异常性信息的性能异常性信息发送单元。
根据本发明,由性能测量装置向攻击判断装置发送性能异常性信息,所以攻击判断装置不参照性能测量装置的性能异常性信息即可高效地获取性能异常性信息,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
并且,本发明的特征在于,在上述发明中,所述业务异常性检测单元根据预先设定的预定的攻击检测条件,检测所述业务异常性信息。
根据本发明,根据预先设定的预定的攻击检测条件检测业务异常性信息,所以监视装置能够高效地检测业务异常性信息,并且通过变更攻击检测条件,可以容易地处理攻击模式不同的新的攻击。
并且,本发明的特征在于,在上述发明中,所述业务异常性检测单元根据所述攻击检测条件,生成表示进行对于所述通信设备的攻击的分组的特征的签名,生成包含所述签名的所述业务异常性信息。
根据本发明,根据攻击检测条件生成表示进行对于通信设备的攻击的分组的特征的签名,生成包含该签名的业务异常性信息,所以通过生成反映了进行攻击的分组的特征的业务异常性信息,可以提高业务异常性信息的可靠性。
并且,本发明的特征在于,在上述发明中,所述业务异常性检测单元根据表示发给所述通信设备的所述分组的平均业务的定常业务,检测所述业务异常性信息。
根据本发明,根据表示发给通信设备的分组的平均业务的定常业务来检测业务异常性信息,所以可根据所检测出的业务和定常业务之间的乖离状况,简单地生成业务异常性信息。
并且,本发明的特征在于,在上述发明中,所述性能异常性检测单元根据预先设定的预定的性能异常性检测条件,检测所述性能异常性信息。
根据本发明,根据预先设定的预定的性能异常性检测条件检测性能异常性信息,所以性能测量装置能够高效地检测性能异常性信息,并且通过变更性能异常性检测条件,可以容易地处理作为检测对象的通信设备的性能的差异和性能的变化。
并且,本发明的特征在于,在上述发明中,所述性能异常性检测条件包括:从向所述通信设备发送响应请求消息到接收到与所述响应请求消息对应的响应消息为止的响应时间、以及所述响应时间超过预定的阈值的次数。
根据本发明,包括:从向通信设备发送响应请求消息到接收到与响应请求消息对应的响应消息为止的响应时间、以及响应时间超过预定的阈值的次数,所以可根据通信设备的响应时间,简单地生成性能异常性信息。
并且,本发明的特征在于,在上述发明中,所述性能异常性检测单元根据表示所述通信设备的平均性能特性的定常性能,检测所述性能异常性信息。
根据本发明,根据表示通信设备的平均性能特性的定常性能来检测性能异常性信息,所以可根据所检测出的性能和定常性能特性之间的乖离状况,简单地生成性能异常性信息。
并且,本发明的特征在于,在上述发明中,在根据所述业务异常性信息和所述性能异常性信息中所包含的异常发生时刻而判断为因该业务异常性信息或该性能异常性信息中的任意一个异常性信息而产生了另一个异常性信息时,所述影响判断单元判断为拒绝服务攻击。
根据本发明,在根据业务异常性信息和性能异常性信息中所包含的异常发生时刻、判断为因业务异常性信息或性能异常性信息中的任意一个异常性信息而产生了另一个异常性信息时,判断为拒绝服务攻击,所以不只使用业务异常性信息、还使用性能异常性信息,根据这些异常性信息之间的关联,判断是否是拒绝服务攻击,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
并且,本发明的特征在于,在上述发明中,在由所述影响判断单元判断为拒绝服务攻击时,由所述攻击判断装置向操作者通知用装置发送该判断所使用的所述业务异常性信息和所述性能异常性信息。
根据本发明,在判断为拒绝服务攻击时,由攻击判断装置向操作者通知用装置发送判断所使用的业务异常性信息和性能异常性信息,所以操作者能够根据这些性能异常性信息进行合适的处理。
并且,本发明的特征在于,在上述发明中,所述影响判断单元进行基于所述业务异常性信息和所述性能异常性信息中所包含的证书的验证后,判断是否是拒绝服务攻击。
根据本发明,进行基于业务异常性信息和性能异常性信息中所包含的证书的验证后,判断是否是拒绝服务攻击,所以能够高效地防止使用了非正规装置的欺骗(spoofing)。
并且,本发明的拒绝服务攻击检测方法,通过监视发送给作为拒绝服务攻击对象的通信设备的分组的监视装置、测量所述通信设备的性能的性能测量装置、以及与所述监视装置及所述性能测量装置进行通信的攻击判断装置,检测对于所述通信设备的拒绝服务攻击,其特征在于,包括:业务异常性检测步骤,由所述监视装置检测表示由所述分组对于所述通信设备造成的业务异常性的业务异常性信息;性能异常性检测步骤,由所述性能测量装置检测表示所述通信设备的处理能力的异常性的性能异常性信息;以及影响判断步骤,由所述攻击判断装置根据所述业务异常性信息和所述性能异常性信息,判断是否是拒绝服务攻击。
根据本发明,由监视装置检测表示由分组对于通信设备造成的业务异常性的业务异常性信息,由性能测量装置检测表示通信设备的处理能力的异常性的性能异常性信息,由攻击判断装置根据业务异常性信息和性能异常性信息判断是否是拒绝服务攻击,所以不只使用业务异常性信息、还使用性能异常性信息,根据这些异常性信息之间的关联,判断是否是拒绝服务攻击,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
并且,本发明的特征在于,在上述发明中,还包括业务异常性信息发送步骤,由所述监视装置向所述攻击判断装置发送所述业务异常性信息。
根据本发明,由监视装置向攻击判断装置发送业务异常性信息,所以攻击判断装置不参照监视装置的业务异常性信息即可高效地获取业务异常性信息,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
并且,本发明的特征在于,在上述发明中,还包括性能异常性信息发送步骤,由所述性能测量装置向所述攻击判断装置发送所述性能异常性信息。
根据本发明,由性能测量装置向攻击判断装置发送性能异常性信息,所以攻击判断装置不参照性能测量装置的性能异常性信息即可高效地获取性能异常性信息,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
根据本发明,由监视装置检测表示由分组对于通信设备造成的业务异常性的业务异常性信息,由性能测量装置检测表示通信设备的处理能力的异常性的性能异常性信息,由攻击判断装置根据业务异常性信息和性能异常性信息判断是否是拒绝服务攻击,所以不只使用业务异常性信息、还使用性能异常性信息,根据这些异常性信息之间的关联,判断是否是拒绝服务攻击,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
并且,根据本发明,由监视装置向攻击判断装置发送业务异常性信息,所以攻击判断装置不参照监视装置的业务异常性信息即可高效地获取业务异常性信息,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
并且,根据本发明,由性能测量装置向攻击判断装置发送性能异常性信息,所以攻击判断装置不参照性能测量装置的性能异常性信息即可高效地获取性能异常性信息,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
并且,根据本发明,根据预先设定的预定的攻击检测条件检测业务异常性信息,所以监视装置能够高效地检测业务异常性信息,并且通过变更攻击检测条件,可以容易地处理攻击模式不同的新的攻击。
并且,根据本发明,根据攻击检测条件生成表示进行对于通信设备的攻击的分组的特征的签名,生成包含该签名的业务异常性信息,所以通过生成反映了进行攻击的分组的特征的业务异常性信息,可以提高业务异常性信息的可靠性。
并且,根据本发明,根据表示发给通信设备的分组的平均业务的定常业务来检测业务异常性信息,所以可根据所检测出的业务和定常业务之间的乖离状况,简单地生成业务异常性信息。
并且,根据本发明,根据预先设定的预定的性能异常性检测条件来检测性能异常性信息,所以性能测量装置能够高效地检测性能异常性信息,并且通过变更性能异常性检测条件,可以容易地处理作为检测对象的通信设备的性能的差异和性能的变化。
并且,根据本发明,包括:从向通信设备发送响应请求消息到接收到与响应请求消息对应的响应消息为止的响应时间、以及响应时间超过预定的阈值的次数,所以可根据通信设备的响应时间,简单地生成性能异常性信息。
并且,根据本发明,根据表示通信设备的平均性能特性的定常性能来检测性能异常性信息,所以可根据所检测出的性能和定常性能之间的乖离状况,简单地生成性能异常性信息。
并且,根据本发明,在根据业务异常性信息和性能异常性信息中所包含的异常发生时刻、判断为因业务异常性信息或性能异常性信息中的任意一个异常性信息而产生了另一个异常性信息时,判断为拒绝服务攻击,所以不只使用业务异常性信息、还使用性能异常性信息,根据这些异常性信息之间的关联,判断是否是拒绝服务攻击,由此可以提高拒绝服务攻击的检测精度而只检测需要处理的拒绝服务攻击。
并且,根据本发明,在判断为拒绝服务攻击时,由攻击判断装置向操作者通知用装置发送判断所使用的业务异常性信息和性能异常性信息,所以操作者能够根据这些性能异常性信息进行合适的处理。
并且,根据本发明,进行基于业务异常性信息和性能异常性信息中所包含的证书的验证后,判断是否是拒绝服务攻击,所以能够高效地防止使用了非正规装置的欺骗。
附图说明
图1是表示本实施例的拒绝服务攻击检测系统的结构的方框图。
图2是表示图1所示的监视装置的结构的方框图。
图3是表示攻击检测条件的一例的图。
图4是表示图1所示的性能测量装置的结构的方框图。
图5是表示性能异常性检测条件的一例的图。
图6是表示图1所示的攻击判断装置的结构的方框图。
图7是表示图2所示的监视装置的动作的流程图。
图8是表示图4所示的性能测量装置的动作的流程图。
图9是表示图6所示的攻击判断装置的动作的流程图。
符号说明
1拒绝服务攻击检测系统;2LAN;3通信设备;4WAN;5监视装置;6、9通信线路;7性能测量装置;8攻击判断装置;10业务异常性检测部;11业务异常性信息发送部;12签名生成部;13、14、18、19、22通信接口;15交换机;16性能异常性检测部;17性能异常性信息发送部;20影响判断部;21警报发送部
具体实施方式
以下,参照附图详细说明本发明的拒绝服务攻击检测系统及拒绝服务攻击检测方法的优选的实施方式。
实施例
图1是表示本实施例的拒绝服务攻击检测系统1的结构的方框图。该图所示的拒绝服务攻击检测系统1是使用监视装置5、性能测量装置7以及攻击判断装置8,检测对通信设备3的拒绝服务攻击的系统。具体讲,如果LAN(Local Area Network,局域网)2上的监视装置5检测到由发给通信设备3的分组所造成的业务异常(图1的步骤1),则向攻击判断装置8发送表示该业务异常的内容的业务异常性信息(图1的步骤2)。
并且,如果WAN(Wide Area Network,广域网)4上的性能测量装置7检测到通信设备3的性能异常(图1的步骤3),则向攻击判断装置8发送表示该性能异常的内容的性能异常性信息(图1的步骤4)。然后,LAN 2上的攻击判断装置8接收到业务异常性信息和性能异常性信息后,根据这些异常性信息,判断是否是对于通信设备3的拒绝服务攻击(图1的步骤5)。
以往,在检测以通信设备3作为攻击对象的拒绝服务攻击时,通过在预定的期间内测量发给作为攻击对象的通信设备3的业务,预先计算出定常业务,当正在监视的业务与该定常业务乖离时视为攻击,检测出拒绝服务攻击。但是,根据拒绝服务攻击的攻击规模、网络及通信设备的处理能力之间的关系,存在很多即使业务表现出了异常性,对通信设备3所提供的服务也没有实际危害的情况。因此,在检测为拒绝服务攻击的情况下,实际上也经常不需要任何处理,产生了实质上与误检没有任何差别的状况。
在本实施例中,由监视装置5进行业务异常性的检测,由性能测量装置7进行通信设备3的性能异常性的检测,进而由攻击判断装置8进行基于业务异常性和性能异常性的攻击判断。因此,根据本实施例,能够进行不只基于业务异常性、还基于通信设备3的性能异常性的攻击判断,所以可通过拒绝服务攻击的检测精度提高来高效地只检测需要处理的拒绝服务攻击。
另外,在图1中,图示出监视装置5和攻击判断装置8与通信设备3连接在同一个LAN 2上,性能测量装置7连接在WAN 4上的情况,但不限定连接各个装置(监视装置5、性能测量装置7以及攻击判断装置8)的线路。
下面,说明该拒绝服务攻击检测系统1的系统结构。如图1所示,该拒绝服务攻击检测系统1具有:监视装置5,其设在中小企业内的LAN2上,监视通过主干网等的WAN 4发送给连接在LAN 2上的至少一个通信设备3的分组;性能测量装置7,其设在WAN 4上,通过WAN 4测量通信设备3的性能;以及攻击判断装置8,其设在LAN 2上,通过通信线路9与监视装置5和性能测量装置7连接。另外,图1所示出的拒绝服务攻击检测系统1的结构仅示出了一例,本发明的拒绝服务攻击检测系统也可以构成为具有多个性能测量装置7,还可以构成为使这些性能测量装置7的一部分或全部使用由他人提供的Web(World Wide Web,万维网)站点性能测量服务。
监视装置5通过构成LAN 2的路由器构成。另外,监视装置5也可以通过设在LAN 2上的防火墙等构成。
图2是表示图1所示的监视装置5的结构的方框图。监视装置5具有:业务异常性检测部10,其检测由发送给通信设备3的分组造成的业务的异常性;业务异常性信息发送部11,其向攻击判断装置8发送所检测出的业务异常性信息;签名生成部12,其生成表示进行对于通信设备3的攻击的分组的特征的签名;通信接口13、14,其用于分别与设在WAN4和LAN 2上的、包括攻击判断装置8在内的各个装置进行通信;以及用于对分组进行路由选择的交换机15。
业务异常性检测部10是根据预先设定的攻击检测条件检测攻击的处理部。图3是表示攻击检测条件的一例的图。在图3中,攻击检测条件通过由检测属性、检测阈值以及检测时间的组构成的两组记录构成。检测属性表示作为检测对象的分组的属性,检测阈值表示作为检测对象的分组的传输速率的阈值,检测时间表示作为检测对象的分组的传输速率超过检测阈值的时间的阈值。
例如,第1个检测条件以发送目标的地址信息是192.168.1.1(Dst=192.168.1.1/32)、传输层的协议是TCP(Transmission Control Protocol,传输控制协议)(Protocol=TCP)、TCP端口号是80(Port=80)的分组作为检测对象,在该检测对象分组的传输速率超过300kbps的状态持续达10秒以上时,检测为检测对象分组所造成的业务异常性。
同样,第2个检测条件以发送目标的地址信息是192.168.1.2(Dst=192.168.1.2/32)的分组作为检测对象,在该检测对象分组的传输速率超过100kbps的状态持续达10秒以上时,检测为检测对象分组所造成的业务异常性。
这样,由业务异常性检测部10检测到检测对象分组所进行的攻击时,签名生成部12生成表示检测对象分组的特征的签名。例如,在检测到与图3中的攻击检测条件的第1个检测条件相符的攻击时,签名生成部12生成表示发送目标地址信息是192.168.1.1、传输层协议是TCP、TCP端口号是80的分组的签名。
上述的方法是预先设定出用于判断为攻击的条件的方法,但也可以使用测量平均业务而作为定常业务进行存储、根据与该定常业务之间的乖离来判断为攻击的方法。
业务异常性信息发送部11是向攻击判断装置8发送业务异常性信息的处理部,该业务异常性信息包含由签名生成部12生成的签名,表示检测到业务的异常性。并且,该业务异常性信息发送部11将表示本装置是正规的监视装置5的证书包含在上述的业务异常性信息中进行发送。这样,通过在业务异常性信息中包含证书,可以防止非正规装置进行的欺骗。
另外,业务异常性信息发送部11也可以通过与收发分组的传输路径6不同的路径发送业务异常性信息。并且,在本实施例中,向攻击判断装置8发送业务异常性信息,但也可以使攻击判断装置8参照监视装置5的业务异常性信息。
图1所示的性能测量装置7由执行测量互联网站的响应时间的程序的计算机构成。
图4是表示图1所示的性能测量装置7的结构的方框图。该性能测量装置7具有:性能异常性检测部16,其根据预先设定的性能异常性检测条件检测性能的异常性;性能异常性信息发送部17,其向攻击判断装置8发送所检测出的性能异常性信息;以及用于分别与攻击判断装置8和各个装置进行测量性能用的通信的通信接口18、19。
图5是表示性能异常性检测条件的一例的图。在图5中,性能异常性检测条件通过由性能属性、检测阈值以及检测次数的组构成的两组记录构成。性能属性表示测量性能的步骤,检测阈值表示来自通信设备3的响应时间的阈值,检测次数表示测量次数和测量次数中的超过响应时间阈值的次数。
例如,第1个性能异常性检测条件是测量按照HTTP访问www.abc.com、到返回来字符串“hello”为止的响应时间的条件。并且,在3次测量中有两次或以上的响应时间是大于等于5秒时,检测为通信设备3的性能异常。
同样,第2个性能异常性检测条件在按照HTTP、利用参数“search?hl=ja&ie=UTF一8&q=x+Y&lr=”访问www.def.com,到返回来字符串“検索結果”(检索结果)为止的响应时间只要有一次是大于等于5秒时,即检测为通信设备3的性能异常。
这样,性能异常性检测部16检测通信设备3的性能异常时,性能异常性信息发送部17向攻击判断装置8发送表示检测到性能的异常性的性能异常性信息。并且,该性能异常性信息发送部17将表示本装置是正规的性能测量装置7的证书包含在上述的性能异常性信息中进行发送。这样,通过在性能异常性信息中包含证书,可以防止非正规装置进行的欺骗。另外,在本实施例中,向攻击判断装置8发送性能异常性信息,但也可以使攻击判断装置8参照性能测量装置7的性能异常性信息。
上述的方法是预先设定出用于检测性能异常性的条件的方法,但也可以使用测量平均性能特性而作为定常性能进行存储、根据与该定常性能之间的乖离来检测性能异常性的方法。
图6是表示图1所示的攻击判断装置8的结构的方框图。该攻击判断装置8具有:影响判断部20,其根据从监视装置5发送来的业务异常性信息、以及从性能测量装置7发送来的性能异常性信息,判断是否是由所检测出的业务异常引起了所检测出的性能异常;将判断结果通知给操作者等的警报发送部21;以及用于分别与监视装置5、性能测量装置7及操作者通知用装置进行通信的通信接口22。
例如,假设www.abc.com的主机地址是192.168.1.1。并且,假设在某个时刻t,接收到表示发给192.168.1.1的TCP端口号为80的业务为异常的业务异常性信息,然后在时刻t+α的时间点,接收到表示产生了www.abc.com的通信设备3的响应时间异常的性能异常性信息。在这种状况中,在与各个异常性信息相关的异常的发生时间接近的情况下(例如,α在1分钟以内),判断为由业务的异常性引起www.abc.com的响应恶化的可能性较大,通过警报发送部21将该情况传达给操作者,催促其进行处理。
这样,由影响判断部20判断为拒绝服务攻击时,警报发送部21向操作者通知用装置发送该判断所使用的业务异常性信息和性能异常性信息。另外,在本实施例中,向操作者通知用装置发送这种业务异常性信息和性能异常性信息,但也可以通过使攻击判断装置8具有显示装置等,将这些异常性信息通知给操作者。
并且,该影响判断部20也可以根据从监视装置5发送来的业务异常性信息、以及从性能测量装置7发送来的性能异常性信息中所包含的证书进行验证后,判断是否是拒绝服务攻击。这样,可以排除由伪造的业务异常性信息或性能异常性信息造成的影响。
使用图7~图9说明如上所述构成的拒绝服务攻击检测系统1的动作。图7是表示图2所示的监视装置5的动作的流程图。
首先,业务异常性检测部10根据攻击检测条件、检测到由发送给通信设备3的分组进行的攻击时(步骤S1),通过签名生成部12生成表示检测到攻击的分组的特征的签名(步骤S2),通过业务异常性信息发送部11将包含所生成的签名的业务异常性信息发送给攻击判断装置8(步骤S3)。
图8是表示图4所示的性能测量装置7的动作的流程图。首先,性能异常性检测部16根据性能异常检测条件检测到通信设备3的响应时间的异常性时(步骤S11),生成包含所检测出的信息的性能异常性信息(步骤S12),通过性能异常性信息发送部17将所生成的性能异常性信息发送给攻击判断装置8(步骤S13)。
图9是表示图6所示的攻击判断装置8的动作的流程图。从监视装置5发送来业务异常性信息时(步骤S21),从此前接收到的性能异常性信息中,检索认为是由该业务异常性引起的性能异常性信息(步骤S22),找到时,向操作者通知用装置发送该业务异常性信息和性能异常性信息(步骤S23)。
并且,从性能测量装置7发送来性能异常性信息时(步骤S24),从此前接收到的业务异常性信息中,检索认为是该性能异常性的原因的业务异常性信息(步骤S25),找到时,向操作者通知用装置发送该业务异常性信息和性能异常性信息(步骤S23)。
如上所述,根据拒绝服务攻击检测系统1,检测业务异常性和性能异常性,判断这些异常性之间的关联,由此可以只检测引起性能异常的业务异常,所以可通过提高拒绝服务攻击的检测精度而只检测需要运用者的处理的拒绝服务攻击。
另外,上述实施例所示的监视装置、性能测量装置以及攻击判断装置通过在计算机上加载程序并执行来发挥作用。具体讲,在监视装置的计算机的ROM(Read Only Memory,只读存储器)等中存储包括检测发给通信设备的分组的业务异常性的例程的程序,并且在性能测量装置的计算机的ROM等中存储包括检测通信设备的性能异常性的例程的程序,并且在攻击判断装置的计算机的ROM等中存储包括判断业务异常性信息和性能异常性信息之间的关联的例程的程序,各个装置把这些程序加载到CPU上而执行,由此可以形成本发明的监视装置、性能测量装置以及攻击判断装置。
工业上的可利用性
如上所述,本发明的拒绝服务攻击检测系统和拒绝服务攻击检测方法适合于检测对通信设备的拒绝服务攻击的情况。
Claims (14)
1.一种拒绝服务攻击检测系统(1),用于检测对于通信设备(3)的拒绝服务攻击,所述拒绝服务攻击检测系统(1)包括:
监视装置(5),其监视发送给作为拒绝服务攻击对象的通信设备(3)的分组;
性能测量装置(7),其测量所述通信设备(3)的性能;以及
攻击判断装置(8),其与所述监视装置(5)及所述性能测量装置(7)进行通信,其中,
所述监视装置(5)具有业务异常性检测单元(10),其检测表示由所述分组对于所述通信设备(3)造成的业务异常性的业务异常性信息,
所述性能测量装置(7)具有性能异常性检测单元(16),该性能异常性检测单元(16)检测表示所述通信设备(3)的处理能力的异常性的性能异常性信息,并且,所述性能测量装置(7)根据性能异常性检测条件,检测所述性能异常性信息,该性能异常性检测条件包括从向所述通信设备(3)发送响应请求消息到接收到与所述响应请求消息对应的响应消息为止的响应时间,
所述攻击判断装置(8)经由通信线路与所述监视装置(5)和所述性能测量装置(7)连接,并且,所述攻击判断装置(8)具有影响判断单元(20),该影响判断单元(20)根据所述业务异常性信息和所述性能异常性信息,判断所述通信设备(3)是否受到拒绝服务攻击。
2.根据权利要求1所述的拒绝服务攻击检测系统(1),其中,
所述监视装置(5)还具有业务异常性信息发送单元(11),其向所述攻击判断装置(8)发送所述业务异常性信息。
3.根据权利要求1或2所述的拒绝服务攻击检测系统(1),其中,
所述性能测量装置(7)还具有性能异常性信息发送单元(17),其向所述攻击判断装置(8)发送所述性能异常性信息。
4.根据权利要求1所述的拒绝服务攻击检测系统(1),其中,
所述业务异常性检测单元(10)根据预先设定的预定的攻击检测条件,检测所述业务异常性信息。
5.根据权利要求4所述的拒绝服务攻击检测系统(1),其中,
所述监视装置还具有签名生成单元(12),其根据所述攻击检测条件生成表示攻击所述通信设备(3)的分组的特征的签名,并且
所述业务异常性信息包含所述签名。
6.根据权利要求1所述的拒绝服务攻击检测系统(1),其中,
所述业务异常性检测单元(10)根据表示发给所述通信设备(3)的所述分组的平均业务的定常业务,检测所述业务异常性信息。
7.根据权利要求1所述的拒绝服务攻击检测系统(1),其中,
所述性能异常性检测条件还包括所述响应时间超过预定的阈值的次数。
8.根据权利要求1所述的拒绝服务攻击检测系统(1),其中,
所述性能异常性检测单元(16)根据表示所述通信设备(3)的平均性能特性的定常性能,检测所述性能异常性信息。
9.根据权利要求1所述的拒绝服务攻击检测系统(1),其中,
在根据所述业务异常性信息和所述性能异常性信息中所包含的异常发生时刻、判断为因所述业务异常性信息和所述性能异常性信息中的一个产生了所述业务异常性信息和所述性能异常性信息中的另一个时,所述影响判断单元(20)判断为所述通信设备(3)受到拒绝服务攻击。
10.根据权利要求1所述的拒绝服务攻击检测系统(1),其中,
在所述影响判断单元(20)判断为所述通信设备(3)受到拒绝服务攻击时,所述攻击判断装置(8)向操作者通知用装置发送该判断所使用的所述业务异常性信息和所述性能异常性信息。
11.根据权利要求1所述的拒绝服务攻击检测系统(1),其中,
所述业务异常性信息和所述性能异常性信息各包含证书,并且
所述影响判断单元(20)在基于所述证书执行验证后,判断所述通信设备(3)是否受到拒绝服务攻击。
12.一种检测拒绝服务攻击的方法,利用对发送给作为拒绝服务攻击对象的通信设备的分组进行监视的监视装置、测量所述通信设备的性能的性能测量装置、以及经由通信线路与所述监视装置和所述性能测量装置连接而与所述监视装置和所述性能测量装置进行通信的攻击判断装置,检测对于通信设备的拒绝服务攻击,所述方法包括:
业务异常性检测步骤,由所述监视装置检测表示由所述分组对于所述通信设备造成的业务异常性的业务异常性信息;
性能异常性检测步骤,由所述性能测量装置根据性能异常性检测条件,检测表示所述通信设备的处理能力的异常性的性能异常性信息,该性能异常性检测条件包括从向所述通信设备发送响应请求消息到接收到与所述响应请求消息对应的响应消息为止的响应时间;以及
影响判断步骤,由所述攻击判断装置根据所述业务异常性信息和所述性能异常性信息,判断所述通信设备是否受到拒绝服务攻击。
13.根据权利要求12所述的方法,还包括:
业务异常性信息发送步骤,由所述监视装置向所述攻击判断装置发送所述业务异常性信息。
14.根据权利要求12或13所述的方法,还包括:
性能异常性信息发送步骤,由所述性能测量装置向所述攻击判断装置发送所述性能异常性信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP313284/2004 | 2004-10-28 | ||
| JP2004313284 | 2004-10-28 | ||
| PCT/JP2005/015156 WO2006046345A1 (ja) | 2004-10-28 | 2005-08-19 | サービス不能攻撃検知システムおよびサービス不能攻撃検知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1898923A CN1898923A (zh) | 2007-01-17 |
| CN1898923B true CN1898923B (zh) | 2010-09-29 |
Family
ID=36227597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005800014107A Active CN1898923B (zh) | 2004-10-28 | 2005-08-19 | 拒绝服务攻击检测系统及拒绝服务攻击检测方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7636942B2 (zh) |
| EP (1) | EP1806888B1 (zh) |
| JP (1) | JP4709160B2 (zh) |
| KR (1) | KR100777752B1 (zh) |
| CN (1) | CN1898923B (zh) |
| WO (1) | WO2006046345A1 (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1804446B1 (en) | 2004-10-12 | 2014-10-22 | Nippon Telegraph And Telephone Corporation | Denial-of-service attack protecting system, method, and program |
| JP2008278272A (ja) * | 2007-04-27 | 2008-11-13 | Kddi Corp | 電子システム、電子機器、中央装置、プログラム、および記録媒体 |
| EP2040435B1 (en) * | 2007-09-19 | 2013-11-06 | Alcatel Lucent | Intrusion detection method and system |
| US8261351B1 (en) | 2008-01-22 | 2012-09-04 | F5 Networks, Inc. | DNS flood protection platform for a network |
| US8255997B2 (en) | 2008-09-29 | 2012-08-28 | At&T Intellectual Property I, L.P. | Contextual alert of an invasion of a computer system |
| US10721269B1 (en) | 2009-11-06 | 2020-07-21 | F5 Networks, Inc. | Methods and system for returning requests with javascript for clients before passing a request to a server |
| US9009293B2 (en) * | 2009-11-18 | 2015-04-14 | Cisco Technology, Inc. | System and method for reporting packet characteristics in a network environment |
| US9015318B1 (en) | 2009-11-18 | 2015-04-21 | Cisco Technology, Inc. | System and method for inspecting domain name system flows in a network environment |
| US11140178B1 (en) | 2009-11-23 | 2021-10-05 | F5 Networks, Inc. | Methods and system for client side analysis of responses for server purposes |
| US9148380B2 (en) * | 2009-11-23 | 2015-09-29 | Cisco Technology, Inc. | System and method for providing a sequence numbering mechanism in a network environment |
| US8792495B1 (en) | 2009-12-19 | 2014-07-29 | Cisco Technology, Inc. | System and method for managing out of order packets in a network environment |
| JP2013523043A (ja) | 2010-03-22 | 2013-06-13 | エルアールディシー システムズ、エルエルシー | ソースデータセットの完全性を識別及び保護する方法 |
| CN101917445B (zh) * | 2010-08-27 | 2013-02-13 | 电子科技大学 | 软交换平台下号码段的拒绝服务攻击检测方法 |
| CN101917309B (zh) * | 2010-08-27 | 2012-11-07 | 电子科技大学 | 软交换平台下公共服务号码的拒绝服务攻击检测方法 |
| US10296653B2 (en) | 2010-09-07 | 2019-05-21 | F5 Networks, Inc. | Systems and methods for accelerating web page loading |
| US8787303B2 (en) | 2010-10-05 | 2014-07-22 | Cisco Technology, Inc. | Methods and apparatus for data traffic offloading at a router |
| US9003057B2 (en) | 2011-01-04 | 2015-04-07 | Cisco Technology, Inc. | System and method for exchanging information in a mobile wireless network environment |
| US8792353B1 (en) | 2011-06-14 | 2014-07-29 | Cisco Technology, Inc. | Preserving sequencing during selective packet acceleration in a network environment |
| US8737221B1 (en) | 2011-06-14 | 2014-05-27 | Cisco Technology, Inc. | Accelerated processing of aggregate data flows in a network environment |
| US8948013B1 (en) | 2011-06-14 | 2015-02-03 | Cisco Technology, Inc. | Selective packet sequence acceleration in a network environment |
| US8743690B1 (en) | 2011-06-14 | 2014-06-03 | Cisco Technology, Inc. | Selective packet sequence acceleration in a network environment |
| US8613089B1 (en) | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
| JP5987627B2 (ja) * | 2012-10-22 | 2016-09-07 | 富士通株式会社 | 不正アクセス検出方法、ネットワーク監視装置及びプログラム |
| US9705914B2 (en) * | 2014-07-23 | 2017-07-11 | Cisco Technology, Inc. | Signature creation for unknown attacks |
| JP6067195B2 (ja) | 2014-09-08 | 2017-01-25 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
| JP6476853B2 (ja) * | 2014-12-26 | 2019-03-06 | 富士通株式会社 | ネットワーク監視システム及び方法 |
| US10476992B1 (en) | 2015-07-06 | 2019-11-12 | F5 Networks, Inc. | Methods for providing MPTCP proxy options and devices thereof |
| US10313396B2 (en) * | 2016-11-15 | 2019-06-04 | Cisco Technology, Inc. | Routing and/or forwarding information driven subscription against global security policy data |
| CN108377670A (zh) * | 2016-11-28 | 2018-08-07 | 华为技术有限公司 | 一种处理业务的方法、业务节点、控制节点和分布式系统 |
| JP6715751B2 (ja) * | 2016-11-30 | 2020-07-01 | Kddi株式会社 | 通信監視装置、通信監視方法及び通信監視プログラム |
| JP6698507B2 (ja) * | 2016-12-05 | 2020-05-27 | Kddi株式会社 | 通信監視装置、通信監視方法及び通信監視プログラム |
| JP6629174B2 (ja) * | 2016-12-05 | 2020-01-15 | Kddi株式会社 | 通信監視装置、通信監視方法及び通信監視プログラム |
| US11100506B2 (en) * | 2017-05-09 | 2021-08-24 | Fair Isaac Corporation | Fraud score manipulation in self-defense of adversarial artificial intelligence learning |
| CN109150649B (zh) * | 2018-06-07 | 2021-04-23 | 武汉思普崚技术有限公司 | 网络性能测试方法及系统 |
| CN111431942B (zh) * | 2020-06-10 | 2020-09-15 | 杭州圆石网络安全技术有限公司 | 一种cc攻击的检测方法、装置及网络设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040064738A1 (en) * | 2002-09-26 | 2004-04-01 | Kabushiki Kaisha Toshiba | Systems and methods for protecting a server computer |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2410522C (en) * | 2000-06-30 | 2010-01-26 | Andrea Soppera | Packet data communications |
| WO2002019642A1 (en) * | 2000-08-30 | 2002-03-07 | Citibank, N.A. | Method and system for internet hosting and security |
| US7171688B2 (en) * | 2001-06-25 | 2007-01-30 | Intel Corporation | System, method and computer program for the detection and restriction of the network activity of denial of service attack software |
| JP3609381B2 (ja) | 2002-03-22 | 2005-01-12 | 日本電信電話株式会社 | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
| JP4159814B2 (ja) | 2002-06-26 | 2008-10-01 | 株式会社エヌ・ティ・ティ・データ | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム |
| AU2003247700A1 (en) * | 2002-07-02 | 2004-01-23 | Netscaler, Inc | System, method and computer program product to avoid server overload by controlling http denial of service (dos) attacks |
| KR100523483B1 (ko) | 2002-10-24 | 2005-10-24 | 한국전자통신연구원 | 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 |
| JP4354201B2 (ja) | 2003-03-18 | 2009-10-28 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
| US7310684B2 (en) * | 2004-05-21 | 2007-12-18 | Bea Systems, Inc. | Message processing in a service oriented architecture |
| US7634813B2 (en) * | 2004-07-21 | 2009-12-15 | Microsoft Corporation | Self-certifying alert |
-
2005
- 2005-08-19 KR KR20067009761A patent/KR100777752B1/ko active IP Right Grant
- 2005-08-19 CN CN2005800014107A patent/CN1898923B/zh active Active
- 2005-08-19 WO PCT/JP2005/015156 patent/WO2006046345A1/ja active Application Filing
- 2005-08-19 US US10/578,868 patent/US7636942B2/en active Active
- 2005-08-19 JP JP2006542260A patent/JP4709160B2/ja active Active
- 2005-08-19 EP EP20050772694 patent/EP1806888B1/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040064738A1 (en) * | 2002-09-26 | 2004-04-01 | Kabushiki Kaisha Toshiba | Systems and methods for protecting a server computer |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100777752B1 (ko) | 2007-11-19 |
| WO2006046345A1 (ja) | 2006-05-04 |
| KR20060097036A (ko) | 2006-09-13 |
| JPWO2006046345A1 (ja) | 2008-05-22 |
| EP1806888A4 (en) | 2010-10-27 |
| CN1898923A (zh) | 2007-01-17 |
| EP1806888B1 (en) | 2012-04-25 |
| US20070067839A1 (en) | 2007-03-22 |
| EP1806888A1 (en) | 2007-07-11 |
| JP4709160B2 (ja) | 2011-06-22 |
| US7636942B2 (en) | 2009-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1898923B (zh) | 拒绝服务攻击检测系统及拒绝服务攻击检测方法 | |
| US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| CN101741633B (zh) | 一种海量日志关联分析方法及系统 | |
| CN109787859B (zh) | 基于网络拥塞探测的智能限速方法、装置及存储介质 | |
| RU2538292C1 (ru) | Способ обнаружения компьютерных атак на сетевую компьютерную систему | |
| US20040111531A1 (en) | Method and system for reducing the rate of infection of a communications network by a software worm | |
| JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
| US20060224886A1 (en) | System for finding potential origins of spoofed internet protocol attack traffic | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| CN102255910B (zh) | 一种测试入侵防御产品性能的方法和装置 | |
| CN110166480A (zh) | 一种数据包的分析方法及装置 | |
| JP4484663B2 (ja) | 不正情報検知システム及び不正攻撃元探索システム | |
| CN106534068A (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| CN110061998A (zh) | 一种攻击防御方法及装置 | |
| CN108040039A (zh) | 一种识别攻击源信息的方法、装置、设备及系统 | |
| CN109981603A (zh) | Arp攻击监测系统及方法 | |
| CN1578231A (zh) | 检测拒绝服务攻击的方法 | |
| CN105939321B (zh) | 一种dns攻击检测方法及装置 | |
| CN108759920B (zh) | 一种基于物联网的仓库安全监测系统 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| US20060067220A1 (en) | Port tracking on dynamically negotiated ports | |
| JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
| JP2004030287A (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| CN109729084A (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
| TW201029412A (en) | Network attack detection systems and methods, and computer program products thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |