DE60314813T2 - Verfahren und Vorrichtung zur Erkennung von Denial-of-Service-Angriffen mittels Frequenzbereichanalyse - Google Patents

Verfahren und Vorrichtung zur Erkennung von Denial-of-Service-Angriffen mittels Frequenzbereichanalyse Download PDF

Info

Publication number
DE60314813T2
DE60314813T2 DE60314813T DE60314813T DE60314813T2 DE 60314813 T2 DE60314813 T2 DE 60314813T2 DE 60314813 T DE60314813 T DE 60314813T DE 60314813 T DE60314813 T DE 60314813T DE 60314813 T2 DE60314813 T2 DE 60314813T2
Authority
DE
Germany
Prior art keywords
power spectrum
attack
samples
frequency
frequency power
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60314813T
Other languages
English (en)
Other versions
DE60314813D1 (de
Inventor
Scott David K2B 7T1 D'SOUZA
Paul K2K 2K7 KIERSTEAD
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Canada Inc
Original Assignee
Alcatel Canada Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Canada Inc filed Critical Alcatel Canada Inc
Application granted granted Critical
Publication of DE60314813D1 publication Critical patent/DE60314813D1/de
Publication of DE60314813T2 publication Critical patent/DE60314813T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Testing, Inspecting, Measuring Of Stereoscopic Televisions And Televisions (AREA)

Description

  • Diese Erfindung betrifft Kommunikationssysteme und insbesondere Verfahren und Vorrichtungen zum Erfassen von mit der Sicherheit zusammenhängenden Angriffen, wie Angriffen zur Verhinderung von Diensten, in Kommunikationssystemen.
  • Angriffe auf Webseiten führten in jüngeren Jahren zu schwerer Unterbrechung in Netzwerkdiensten. Diese Angriffe können irgendeine einer Anzahl von Formen annehmen, einschließlich dem Flooding bzw. Überschwemmen mit Synchronisationssignalen (SYN), aber nicht darauf beschränkt.
  • Bei einem SYN-Flooding-Angriff überlastet der Angreifer die Site eines Opfers bis zu dem Punkt, an dem es mit dem eingehenden Verkehr nicht fertig wird. Ein solcher Angriff konzentriert sich typischerweise auf ein inhärentes Merkmal von auf TCP basierenden Diensten.
  • Im wesentlichen stützen sich TCP-Dienste beim Verbindungsaufbau auf ein Drei-Wege-Quittungsprotokoll. Ein Client, der den Aufbau einer Verbindung mit einem Host wünscht, sendet ein Synchronisationssignal (SYN) an den Host und der Host antwortet dem Client mit einer Antwort der SYN-Bestätigung (ACK). Der Client gibt dann eine Bestätigung zurück und die Verbindung wird aufgebaut.
  • Bei Beendigung einer Verbindung leitet der Client ein Abschlusspaket (FIN-Paket) weiter an den Host, das angibt, es wird keine an den Host gerichteten weiteren Daten oder Pakete geben und die Verbindung wird danach beendet.
  • Bei einem SYN-Flooding-Angriff benutzt der Angreifer typischerweise eine falsche oder ungültige Quellenadresse, so dass, wenn der Host die SYN/ACK-Nachricht zurückgibt, sie keinen gültigen Client erreicht. Unter dem TCP-Protokoll speichert der Host halb geöffnete Verbindungen, d.h. Verbindungen, für welche das dritte Bein des Drei-Wege-Protokolls noch nicht abgeschlossen ist, für eine festgesetzte Zeitdauer oder bis ein System-Zeitlimit auftritt. Wenn während dieses Zeitintervalls mehrfache neue halb geöffnete Verbindungen auf der Host-Site aufgebaut werden, wird der Speicher, der zum Beibehalten solcher Verbindungen zugewiesen ist, überschwemmt und schließlich unfähig noch mehr SYN-Pakete zu empfangen. In diesem Zustand stürzt der Server oder Host ab oder antwortet nicht auf irgendwelche neuen Verbindungen und die Site geht außer Dienst. Weil der Host nicht in der Lage ist, weitere Daten zu empfangen, war der Angreifer beim Erzeugen dessen erfolgreich, was als Angriff zur Verhinderung von Diensten bekannt ist. Angriffe zur Verhinderung von Diensten (DoS) wurden eine zunehmend vorherrschende Form einer Bedrohung der Sicherheit und das Problem war bisher ziemlich schwierig zu lösen. Verschiedene Gegenmaßnahmen wurden vorgeschlagen und können als Firewall- und Router-Filterung, Betriebssystemverbesserungen, Protokollverbesserungen und Erfassung eines Eindringens charakterisiert werden.
  • Im Wesentlichen bedeutet ein Angriff zur Verhinderung von Diensten ein Blockieren der Fähigkeit von jemandem, irgendeinen Dienst auf einem Netz zu nutzen. Als solches sind Angriffe zur Verhinderung von Diensten über das Internet alltäglich, wobei täglich viele auf verschiedene Ziele gestartet werden. Viele der Angriffe schließen speziell aufgebaute Datenpakete ein, die so gestaltet sind, dass sie entweder aus den vorher genannten Schwächen in der Software Vorteil ziehen oder Ressourcen in Einrichtungen binden (Angriffe durch Überschwemmen mit Datenpaketen).
  • Es wurden verschiedene Verfahren zum Erfassen von Angriffen durch Arten der Überschwemmung mit Datenpaketen vorgeschlagen.
  • In einer Abhandlung mit dem Titel Detecting SYN Flooding Attacks, Proc. Infocom 2002, von H. Wang, D. Zhang und K.G. Shin wurden Paketzählalgorithmen vorgeschlagen. Diese Algorithmen versuchen, Angriffe zu erfassen, indem sie nach einer Asymmetrie zwischen Paketströmen suchen. Beispielsweise werden in der Abhandlung, auf die oben verwiesen wurde, TCP/IP-SYN-Flooding-Angriffe erfasst, indem nach Unterschieden zwischen der Anzahl von SYN- (Verbindung starten) und FIN-Paketen (Verbindung beenden) gesucht wird.
  • Nach der Abhandlung von Wang et al. stützt sich das Erfassungsverfahren auf ein Zählargument auf den SYN- und FIN-Paketen der TCP-Verbindungen. Jene Pakete sollten bei jeglichen sich wohl verhaltenden Verbindungen paarweise gehen. Somit sollte die Anzahl von SYN-Paketen grob zur Anzahl von FIN-Paketen passen. Die Einfachheit dieses Verfahrens liegt in dem zustandsfreien und geringen Rechenoverhead, der den Erfassungsmechanismus selbst gegenüber Flooding-Angriffen immun macht. Diese Einfachheit gestattet, dass die Erfassung in den Blatt-Routern ausgeführt wird, die Endhosts mit dem Internet verbinden.
  • In einer noch zu veröffentlichenden Abhandlung mit dem Titel SYN Flood Attacks: Last Mile Routers Detection von S. D'Souza, B. Howard, P. Kierstead, J.M. Robert ist die Lösung von Wang et al. dazu erweitert, die Pakete strenger zu prüfen, wobei die Richtung berücksichtigt wird. Im Wesentlichen verbessert diese Abhandlung den in der Abhandlung von Wang et al. beschriebenen Zählalgorithmus, indem auf ein bidirektionales Verfahren zum Zählen von SYN- und FIN-Paketen geschaut wird.
  • Da die Lösungen auf dem Stand der Technik auf symmetrischen Transaktionen beruhen, können sie nur für Situationen geeignet sein, in denen Symmetrie zwischen den übertragenen Paketen (beispielsweise SYN-FIN) gefunden werden kann. Diese Technik ist vielleicht nicht für Angriffe, wie ICMP(Internet Control Message Protocol)-Echofluten (Ping-Angriffe).
  • Die WO 01/80480A offenbart eine Firewall, die in heuristischer Weise auf Regeln basierende Systeme und lernende/neuronale Systeme kombiniert, um die Analyse von Paketen hierarchisch zu organisieren, um ein möglicherweise schädliches Paket zu erfassen. Zu diesem Zweck verwendet sie Konfidenzfaktoren und -niveaus, wobei sie Pakete, wenn sie angekommen sind, in Abhängigkeit von einem Konfidenzniveau sortiert und dann entsprechend dem Konfidenzniveau verschiedene Filtertechniken anwendet. Wobei die sichersten und zeitaufwendigsten Filter nur auf Pakete mit schlechtem Konfidenzniveau angewendet werden.
  • Ein Überblick über bekannte Techniken der Transformation auf Frequenzgebiet: Fourier, DFT, FFT ist in "Grundlagen der dynamischen Signalanalyse, XP 002311935" zu finden. Diese Druckschrift befasst sich mit wohlbekannten Problemen des Abtastens und insbesondere des diskreten Abtastens und der Wahl der Abtastfrequenz.
  • Eine Aufgabe der vorliegenden Erfindung ist es, ein Neues zum Erfassen eines Angriffs durch Überschwemmen mit Datenpaketen auf einem System in einem Kommunikationsnetz bereitzustellen, das geeignet ist, einen größeren Bereich von Angriffen zu erfassen.
  • Genauer stellt die vorliegende Erfindung ein Verfahren zum Erfassen eines Angriffs durch Überschwemmen mit Datenpaketen auf einem System in einem Kommunikationsnetz bereit, wobei das Verfahren die Schritte umfasst:
    • a) Abtasten, in regelmäßigen Intervallen über eine vorher festgelegte Zeitdauer, der Ankunft eines vorher ausgewählten Pakettyps während einer Zeitdauer, die im Wesentlichen kürzer als die regelmäßigen Intervalle ist;
    • b) Berechnen eines Frequenzleistungsspektrums der Abtastungen aus den Abtastungen;
    • c) Berechnen einer durchschnittlichen Leistung des Frequenzleistungsspektrums; und
    • d) Bestimmen in Antwort auf das Leistungsspektrum bei einer Frequenz, die wesentlich größer als die durchschnittliche Leistung des Frequenzleistungsspektrums ist, dass ein Angriff durch Überflutung mit Paketen aufgetreten ist.
  • Somit beruht, anders als der Stand der Technik, die vorliegende Erfindung nicht auf Beziehungen zwischen verschiedenen Pakettypen, sondern konzentriert sich auf einen Pakettyp, z.B. SYN-Pakete. Dies macht das Verfahren zum Erfassen eines größeren Bereichs von Angriffen geeignet. Auf bestimmten Pakettypen, die mit periodischer Beschaffenheit ankommen, wird eine Frequenzanalyse ausgeführt. Ein Frequenzleistungsspektrum, das beispielsweise über eine Fouriertransformation erhalten wurde, zeigt, ob das Leistungsniveau irgendeiner bestimmten Frequenz größer als das durchschnittliche Leistungsspektrum ist. Die Erfassung eines Leistungsniveaus höher als durchschnittlich ist ein Hinweis, dass ein Angriff im Gange ist.
  • Die hier bereitgestellte Lösung weist verschiedene Vorteile gegenüber den Lösungen aus dem Stand der Technik auf. Die Verwendung von nur einem Ereignis für die Analyse macht den Ansatz auf mehr Angriffe anwendbar, als die Algorithmen vom Zähltyp, die im oben genannten Stand der Technik erörtert werden. Es gibt keine Notwendigkeit, für die Analyse Symmetrien zwischen zwei Ereignissen zu finden.
  • Zweitens kann aus der Frequenzanalyse mehr Information über die Art des Angriffs gewonnen werden als aus dem Zählen. Einzelheiten über die Rate des Angriffs können verwendet werden, um die Bandbreitenkapazität des Angreifers festzustellen, und unter Verwendung von Information über die Frequenz des Angriffs kann ein Reagieren auf einen Angriff möglich sein.
  • Zusammengefasst kann die Fähigkeit, DoS-Angriffe zu erfassen, für Betreiber von Netzdiensten von großem Wert sein. DoS-Erfassungsmechanismen, wie jene, die hier beschrieben werden, können sich als wertsteigernde Unterscheidungsmerkmale auf dem Netzausrüstungsmarkt erweisen.
  • Eine weitere Aufgabe der vorliegenden Erfindung ist es, eine Vorrichtung zum Erfassen eins Angriffs durch Überschwemmen mit Datenpaketen auf einem System in einem Kommunikationsnetz bereitzustellen, welche umfasst:
    • a) Mittel zum Abtasten, in regelmäßigen Intervallen über eine vorher festgelegte Zeitdauer, der Ankunft eines vorher ausgewählten Pakettyps während einer Zeitdauer, die im Wesentlichen kürzer als die regelmäßigen Intervalle ist;
    • b) Mittel zum Berechnen eines Frequenzleistungsspektrums der Abtastungen aus den Abtastungen;
    • c) Mittel zum Berechnen einer durchschnittlichen Leistung des Frequenzleistungsspektrums; und
    • d) Mittel zum Bestimmen in Antwort auf das Leistungsspektrum bei einer Frequenz, die größer als die durchschnittliche Leistung des Frequenzleistungsspektrums ist, dass ein Angriff durch Überflutung mit Paketen aufgetreten ist.
  • Die Erfindung wird nun unter Bezugnahme auf die beigefügten Zeichnungen ausführlicher beschrieben, in welchen:
  • 1 den Algorithmus der Fourier-Transformation darstellt, um ein Zeitbereichssignal in eine seine Frequenzbereichsabbildung zu übertragen;
  • 2 das Frequenzspektrum von rechtmäßigem Verkehr darstellt;
  • 3 das Frequenzspektrum von rechtmäßigem Verkehr und das Frequenzspektrum von Angriffsverkehr darstellt; und
  • 4 ein Blockdiagramm des Angriffserfassungsprotokolls zeigt.
  • Typische Software für die Überschwemmung mit Datenpaketen besteht aus irgendeinem Code, um einen speziellen Pakettyp zu erzeugen und dann einer Schleife zum Senden des Pakets an irgendein Opfer. Schleifen dieser Art sind im Allgemeinen deterministisch, d.h. die Ausführungszeit variiert nicht sehr von Iteration zu Iteration. Das Ergebnis dessen ist eine Folge von "Pulsen", die jeweils um eine vorhersagbare Zeitspanne getrennt zum Opfer hin laufen.
  • Vom Standpunkt des Opfers aus kommen Pakete normalerweise in einer im Allgemeinen zufälligen Weise an (wenn die Zeit der Verwendung vernachlässigt wird). Bei einem Angriff durch Überschwemmen mit Datenpaketen sieht das Opfer eine Anzahl von Paketen ankommen, einige vom Angreifer (Signal) und andere rechtmäßiger Verkehr (Rauschen). Die Schwierigkeit wird darin gefunden, einen Angriff durch Überschwemmung mit Datenpaketen von einem beschäftigten Netz zu unterscheiden.
  • Bei Signalverarbeitungsanwendungen wird oft eine Frequenzbereichsanalyse verwendet, um Signale zu erfassen, die in einem Rauschspektrum eingebettet ist, und die vorliegende Erfindung mach von dieser Technik für die Erfassung von Angriffen durch Überschwemmen mit Datenpaketen Gebrauch.
  • Unter Verwendung einer Frequenzanalyse kann ein periodisches Datensignal erfasst werden, das ansonsten nicht ersichtlich sein könnte. Wie in 1 gezeigt wird eine Fourier-Transformation verwendet, um ein Zeitbereichssignal in seine Frequenzbereichsabbildung zu transformieren. Die Diskrete Fourier-Transformation (DFT) transformiert eine Menge von diskreten Abtastungen eines Zeitbereichssignals in eine Menge von Abtastungen, die das Frequenspektrum der Abtastung darstellen. Eine schnelle Fourier-Transformation ist ein häufig verwendeter Algorithmus für eine schnellere Berechnung der DFT.
  • Gemäß der vorliegenden Erfindung werden Erscheinungen eines Eingangsereignisses (beispielsweise SYN-Pakete) an einem Sicherheitskontrollpunkt in einem regelmäßigen Intervall abgetastet. Nachdem ein bestimmtes Fenster vergangen ist, wird auf der Abtastung eine diskrete Fourier-Transformation ausgeführt. Wie oben erwähnt, kann eine schnelle Fourier-Transformation (FFT), eine Implementierung der DFT mit höherer Leistung, verwendet werden, um die Rechenzeit zu verbessern.
  • Die DFT (FFT) erzeugt das Frequenzleistungsspektrum für die Eingangsabtastung. Die Signalleistung von Ereignissen, die zufällig auftreten (Rauschen) sind gleichmäßig über das Frequenzspektrum verteilt. Ein Frequenzspektrum von rechtmäßigem Verkehr (Rauschen) ist in 2 gezeigt. Andererseits treten periodische Signale, wie sie bei einem Flooding-Angriff auftreten würden, als ausgeprägte Linie auf dem Frequenzspektrum, die über dem Rauschen erfasst werden kann. 3 zeigt das Frequenzspektrum eines Flooding-Angriffs dem Frequenzspektrum von rechtmäßigem Verkehr überlagert. Wenn das Leistungsspektrum bei einer bestimmten Frequenz viel höher als die durchschnittliche Leistung ist, wie in 3 gezeigt, wurde ein Angriff erfasst.
  • Signalwindowingtechniken können verwendet werden, um die Genauigkeit des Frequenzspektrums zu verbessern und die Artefakte zu überwinden, die von der endlichen Abtastungsdauer erzeugt werden.
  • 4 ist ein Blockdiagramm des Angriffserfassungsprotokolls. Wie gezeigt wird aus dem Verkehrsstrom bei einem Sicherheitskontrollpunkt eine Paketklassifikation erhalten. Für einen vorher ausgewählten Pakettyp werden in einem regelmäßigen Intervall Datenabtastungen gesammelt. Aus den Datenabtastungen wird unter Verwendung einer Fourier-Transformation ein Frequenzleistungsspektrum hergeleitet. Ein Angriff wird ermittelt, indem das Leistungsspektrum bei jeder Frequenz mit dem durchschnittlichen Leistungsspektrum verglichen wird. Wenn es ein höheres Leistungsspektrum bei irgendeiner Frequenz gibt, dann wurde ein Angriff erfasst. Ein Alarm oder eine andere Mitteilung der Erfassung wird ausgegeben. Der vorher ausgewählte Pakettyp beinhaltet SYN- und ICMP-Pakete. Es ist jedoch selbstverständlich, dass die vorliegende Erfindung die Abtastung irgendwelcher Ereignisse mit regelmäßigem Intervall betrifft.
  • Obwohl besondere Ausführungsformen der Erfindung beschrieben und dargestellt wurden, ist für einen Fachmann auf dem Gebiet offensichtlich, dass zahlreiche Änderungen implementiert werden können, ohne vom grundlegenden Konzept abzuweichen. Es ist jedoch selbstverständlich, dass solche Änderungen in den vollen Umfang der Erfindung fallen, wie er durch die beigefügten Ansprüche definiert ist.

Claims (10)

  1. Verfahren zum Erfassen eines Angriffs durch Überschwemmen mit Datenpaketen auf einem System in einem Kommunikationsnetz, dadurch gekennzeichnet, dass es die Schritte umfasst: a) Abtasten, in regelmäßigen Intervallen über eine vorher festgelegte Zeitdauer, der Ankunft eines vorher ausgewählten Pakettyps während einer Zeitdauer, die im Wesentlichen kürzer als die regelmäßigen Intervalle ist; b) Berechnen eines Frequenzleistungsspektrums der Abtastungen aus den Abtastungen; c) Berechnen einer durchschnittlichen Leistung des Frequenzleistungsspektrums; und d) Bestimmen in Antwort auf das Leistungsspektrum bei einer Frequenz, die größer als die durchschnittliche Leistung des Frequenzleistungsspektrums ist, dass ein Angriff durch Überflutung mit Paketen aufgetreten ist.
  2. Verfahren nach Anspruch 1, bei dem Schritt b) das Ausführen einer diskreten Fourier-Transformation auf den Abtastungen umfasst.
  3. Verfahren nach Anspruch 1, bei dem Schritt b) das Ausführen einer schnellen Fourier-Transformation auf den Abtastungen umfasst.
  4. Verfahren nach einem der Ansprüche 1 bis 3, bei dem Schritt a) das Normieren der Abtastungen für auf einem Pakettyp gefundene Verkehrsmuster umfasst, die mit einer periodischen Eigenschaft ankommen.
  5. Verfahren nach einem der Ansprüche 1 bis 4, bei dem der vorher ausgewählte Pakettyp Ereignisse beinhaltet, die ein regelmäßiges Intervall aufweisen.
  6. Verfahren nach einem der Ansprüche 1 bis 5, bei dem der vorher ausgewählte Pakettyp ICMP-Pakete des Internetprotokolls beinhaltet.
  7. Vorrichtung zum Erfassen eines Angriffs durch Überschwemmen mit Datenpaketen auf einem System in einem Kommunikationsnetz, dadurch gekennzeichnet, dass sie umfasst: a) Mittel zum Abtasten, in regelmäßigen Intervallen über eine vorher festgelegte Zeitdauer, der Ankunft eines vorher ausgewählten Pakettyps während einer Zeitdauer, die im Wesentlichen kürzer als die regelmäßigen Intervalle ist; b) Mittel zum Berechnen eines Frequenzleistungsspektrums der Abtastungen aus den Abtastungen; c) Mittel zum Berechnen einer durchschnittlichen Leistung des Frequenzleistungsspektrums; und d) Mittel zum Bestimmen in Antwort auf das Leistungsspektrum bei einer Frequenz, die größer als die durchschnittliche Leistung des Frequenzleistungsspektrums ist, dass ein Angriff durch Überflutung mit Paketen aufgetreten ist.
  8. Vorrichtung nach Anspruch 7, bei der das Mittel zum Berechnen eines Frequenzleistungsspektrums dafür ausgelegt ist, eine diskrete Fourier-Transformation zu erzeugen.
  9. Vorrichtung nach Anspruch 7, bei der das Mittel zum Berechnen eines Frequenzleistungsspektrums dafür ausgelegt ist, eine schnelle Fourier-Transformation zu erzeugen.
  10. Vorrichtung nach einem der Ansprüche 7 bis 9, die Mittel aufweist, um einen Alarm bereitzustellen, wenn ein Angriff erfasst wurde.
DE60314813T 2002-08-21 2003-08-12 Verfahren und Vorrichtung zur Erkennung von Denial-of-Service-Angriffen mittels Frequenzbereichanalyse Expired - Fee Related DE60314813T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US224507 1988-07-25
US10/224,507 US7283461B2 (en) 2002-08-21 2002-08-21 Detection of denial-of-service attacks using frequency domain analysis

Publications (2)

Publication Number Publication Date
DE60314813D1 DE60314813D1 (de) 2007-08-23
DE60314813T2 true DE60314813T2 (de) 2008-03-20

Family

ID=31187973

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60314813T Expired - Fee Related DE60314813T2 (de) 2002-08-21 2003-08-12 Verfahren und Vorrichtung zur Erkennung von Denial-of-Service-Angriffen mittels Frequenzbereichanalyse

Country Status (4)

Country Link
US (1) US7283461B2 (de)
EP (1) EP1392037B1 (de)
AT (1) ATE367042T1 (de)
DE (1) DE60314813T2 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8356350B2 (en) 2004-11-29 2013-01-15 Telecom Italia S.P.A. Method and system for managing denial of service situations
US7515926B2 (en) * 2005-03-30 2009-04-07 Alcatel-Lucent Usa Inc. Detection of power-drain denial-of-service attacks in wireless networks
US7865954B1 (en) * 2007-08-24 2011-01-04 Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. Method to detect SYN flood attack
JP6793524B2 (ja) * 2016-11-01 2020-12-02 株式会社日立製作所 ログ解析システムおよびその方法
US10447713B2 (en) * 2017-04-26 2019-10-15 At&T Intellectual Property I, L.P. Internet traffic classification via time-frequency analysis
CN112738136A (zh) * 2021-01-29 2021-04-30 湖南大学 一种基于hss算法的慢速拒绝服务攻击检测方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6296612B1 (en) * 1999-07-09 2001-10-02 General Electric Company Method and apparatus for adaptive wall filtering in spectral Doppler ultrasound imaging
GB2358558B (en) * 2000-01-18 2003-10-15 Mitel Corp Packet loss compensation method using injection of spectrally shaped noise
US6519703B1 (en) 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US7398317B2 (en) * 2000-09-07 2008-07-08 Mazu Networks, Inc. Thwarting connection-based denial of service attacks
US7072297B2 (en) * 2001-04-30 2006-07-04 Networks Physics, Inc. Method for dynamical identification of network congestion characteristics
US7940794B2 (en) * 2004-12-22 2011-05-10 Atheros Communications, Inc. Dynamic channel bandwidth management

Also Published As

Publication number Publication date
EP1392037A3 (de) 2005-03-02
US20040037229A1 (en) 2004-02-26
ATE367042T1 (de) 2007-08-15
EP1392037A2 (de) 2004-02-25
US7283461B2 (en) 2007-10-16
EP1392037B1 (de) 2007-07-11
DE60314813D1 (de) 2007-08-23

Similar Documents

Publication Publication Date Title
DE60307581T2 (de) Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz
DE60311185T2 (de) Statistische Methoden zur Detektion von Angriffen durch Überflutung mittels TCP SYN Paketen
DE60313529T2 (de) Hashing der TCP SYN/FIN-Korrespondenz
DE60310056T2 (de) Verringerung von Denial-of-service Angriffen mittels Frequenzbereichstechniken
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
DE10394008B4 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
AU2003229456B2 (en) Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function
DE60308260T2 (de) Verfahren und Vorrichtung zum effizienten Vergleich von Antworten auf vorher vermittelte Anforderungen durch einen Netzknoten
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
Mirkovic et al. Source-end DDoS defense
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
DE60121133T2 (de) Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten
DE112018004408B4 (de) Identifikation von angriffsströmen in einer mehrschichtigen netzwerktopologie
DE602004002198T2 (de) Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
DE60314813T2 (de) Verfahren und Vorrichtung zur Erkennung von Denial-of-Service-Angriffen mittels Frequenzbereichanalyse
DE102020201988A1 (de) Vorrichtung zur Verarbeitung von Daten mit wenigstens zwei Datenschnittstellen und Betriebsverfahren hierfür
DE102022202878A1 (de) Verwendung einer datenverarbeitungseinheit als vorprozessor für maschinelles lernen auf der basis einer grafikverarbeitungseinheit
DE60217859T2 (de) Verfahren und Vorrichtung zur Detektierung von Tonsignalen
Thangavel et al. Detection and trace back of low and high volume of distributed denial‐of‐service attack based on statistical measures
Yang et al. A clustering-partitioning algorithm to find TCP packet round-trip time for intrusion detection
DE102019210227A1 (de) Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk
DE69325359T2 (de) Verfahren und mittel für automatische detektion und korrektur eines polaritätsfehlers in einem aus verdrillten paaren bestehenden medium
DE69115560T2 (de) Verfahren zur Verhinderung von Blockierungen bei asynchronen Modemen

Legal Events

Date Code Title Description
8339 Ceased/non-payment of the annual fee