JP2005293550A - パブリックネットワークからの攻撃に対してプライベートネットワークを監視保護する方法およびシステム - Google Patents
パブリックネットワークからの攻撃に対してプライベートネットワークを監視保護する方法およびシステムInfo
- Publication number
- JP2005293550A JP2005293550A JP2005028422A JP2005028422A JP2005293550A JP 2005293550 A JP2005293550 A JP 2005293550A JP 2005028422 A JP2005028422 A JP 2005028422A JP 2005028422 A JP2005028422 A JP 2005028422A JP 2005293550 A JP2005293550 A JP 2005293550A
- Authority
- JP
- Japan
- Prior art keywords
- detection system
- attack
- attack detection
- data packet
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000012544 monitoring process Methods 0.000 title claims abstract description 10
- 238000001514 detection method Methods 0.000 claims abstract description 87
- 238000012546 transfer Methods 0.000 claims description 13
- 238000005538 encapsulation Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000013519 translation Methods 0.000 claims description 3
- 230000032258 transport Effects 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000007429 general method Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】 パブリックネットワークからの、特にインターネット(6)からの攻撃に対してネットワーク(1)を監視および保護する方法を提供する。
【解決手段】 ネットワークは、ファイアウォール(5)と、ファイアウォールの保護側にある攻撃検出システム(7)とを含む。攻撃検出システム(7)は、ファイアウォール(5)を通過するデータパケットを検査し、攻撃を表すデータパケットを検出した場合に、ポリシをファイアウォール(5)にインストールする。変化する攻撃状況への高いフレキシビリティおよび迅速な適応可能性に関して、本方法は、攻撃を表すデータパケットに関する情報が、さらなる分析のために攻撃検出システム(7)または攻撃検出システムと協働するシステムに提供されるように、ファイアウォール(5)が攻撃検出システム(7)によって設定されることを特徴とする。
【選択図】 図1
【解決手段】 ネットワークは、ファイアウォール(5)と、ファイアウォールの保護側にある攻撃検出システム(7)とを含む。攻撃検出システム(7)は、ファイアウォール(5)を通過するデータパケットを検査し、攻撃を表すデータパケットを検出した場合に、ポリシをファイアウォール(5)にインストールする。変化する攻撃状況への高いフレキシビリティおよび迅速な適応可能性に関して、本方法は、攻撃を表すデータパケットに関する情報が、さらなる分析のために攻撃検出システム(7)または攻撃検出システムと協働するシステムに提供されるように、ファイアウォール(5)が攻撃検出システム(7)によって設定されることを特徴とする。
【選択図】 図1
Description
本発明は、パブリックネットワークからの攻撃、特にインターネットからの攻撃に対してネットワークを監視および保護する方法およびシステムに関する。ここで、ネットワークは、ファイアウォールと、ファイアウォールの保護側に配置された攻撃検出システムとを含む。攻撃検出システムは、ファイアウォールを通過するデータパケットを検査し、攻撃を表すデータパケットを観測した場合、ネットワークを保護するためのポリシをファイアウォールにインストールする。
インターネットからプライベートネットワークあるいはローカルネットワークに対する攻撃に対してネットワークを監視および保護する一般的な方法は実際には周知であるが、このような攻撃が急増していることから、それらの重要性はますます高まっている。
インターネットのインフラストラクチャの中核は、組織および個人が自己のネットワークおよび装置を接続しているパブリックネットワークである。一般に、これらのネットワークおよび装置は閉じたユニット(以下、プライベートネットワークという)を形成し、通常、ファイアウォールによって、インターネットからの望ましくないトラフィックに対して保護される。
ファイアウォールは、入来データパケットをフィルタリングすることによって、プライベートネットワークの正常な動作を保護する。ファイアウォールは、ファイアウォールを通過しようとする各データパケットを検査し、あらかじめ設定された多数のポリシに照らしてデータパケットをチェックする。ポリシは、例えば、ネットワーク管理者によって規定されることが可能であり、特別の状況に適応させることが可能である。ファイアウォールに設定された実際のポリシに基づいて、ファイアウォールは、データパケットの通過を許可する。データパケットの内容または構造が、設定されたポリシと矛盾する場合、ファイアウォールはそのデータパケットを廃棄するので、そのデータパケットは、保護されるべきネットワークに入ることができない。
今日では、プライベートネットワークに対するインターネットからの攻撃の増大および複雑さに対処することができるようにするため、ネットワークおよび装置の正常動作に対する多数のさまざまな攻撃を検出することができる攻撃検出システムが用いられる。このような攻撃としては、ウィルス、ワーム、無権限の侵入およびサービス拒否(DoS)攻撃がある。DoS攻撃は、基本的にアクセス可能なサービスをアクセス不能にすることを意図している。
第1世代の攻撃検出システムはファイアウォールに統合されていた。このようなシステムは、ファイアウォールに到着するすべてのトラフィックを観測し、それに従ってファイアウォールのポリシを変更することにより、検出された攻撃を遮断する。
今日の攻撃検出システムは、多数の非常に複雑な作業を実行する。したがって、これらのシステムは、多大で無視し得ない程度の計算能力を必要とする。さらに、システムは、攻撃の変種の新たな展開に反応することができるためには、頻繁に更新されなければならない。これらの理由から、今日では通常、ファイアウォールと攻撃検出システムを別々の側に分離することが好ましい。攻撃検出システムは、好ましくは、ファイアウォールとは独立に装備および更新が可能な独立の装置として設計される。
実用上の理由から、攻撃検出システムは、ファイアウォールの保護側に設置される。一方では、このような構成によれば、攻撃検出システムは、ファイアウォールを通過したデータパケットのみを観測すればよく、インストールされたポリシによって既に遮断されたデータパケットを観測する必要がないので、計算能力が大幅に節約される。さらに、攻撃検出システムがファイアウォールの非保護側に配置されるとすると、どのデータパケットがファイアウォールによって遮断され、どのデータパケットが通過を許可されるかを確かめることが非常に困難になるであろう。
攻撃検出システムは、攻撃を検出すると、ファイアウォールへ設定メッセージを送信する。設定メッセージは、検出された攻撃を遮断することによりプライベートネットワークを保護するのに適当な1つまたは複数のポリシを含む。
ネットワークに対する攻撃の典型例として、いわゆるサービス拒否攻撃がある。このような攻撃は、保護されたネットワーク内のサーバに大量の要求を送信することを特徴とする。これらの要求は一般に、無用あるいは不法であり、それらの種類および個数によってサーバを過負荷にすることにより、正規ユーザが特定のサービスをほとんど利用できなくすることのみを目的としている。
このような攻撃において、攻撃パケットがただ1つの装置から発信されることがあるが、その場合には、他の正規パケットに悪影響を及ぼさずにそれらを遮断することは比較的容易である。しかし、攻撃パケットが多数の異なる装置から発信される場合、攻撃パケットを正規パケットから区別することができないということが起こり得る。この場合、攻撃検出システムは、ファイアウォール内にポリシをインストールする。これは、正規パケットが攻撃パケットと共通点を有する場合には、正規パケットも遮断されてしまうという作用を有する。最悪の場合、サーバの過負荷を避けるために、インターネット全体からの、ある特定のサービスに属するすべてのパケットが遮断される。
このような状況において、攻撃の終了を証明することは困難である。攻撃の終了を疑いの余地なく検出することができる場合に限り、その攻撃を遮断するためにあらかじめファイアウォールにインストールされた遮断ポリシを取り除き、それにより、遮断されていたサービスを再び利用可能にすることができる。そうでない場合には、サービスは、最初の攻撃の後には、もはや利用可能とならない。
上記のように、攻撃検出システムは通常、ファイアウォールの保護側に配置され、ファイアウォールを正しく通過したパケットのみを検査する。攻撃を遮断するためのポリシが、攻撃に属するすべてのパケットがファイアウォールで遮断されるように定義されている場合、攻撃検出システムは、ファイアウォールのポリシが有効になるとすぐに、攻撃に属するパケットをそれ以上観測しなくなる。このため、インターネットからの攻撃に対してネットワークを制御および保護する既知の方法では、攻撃の終了を確認することができない。実際、攻撃が発見され、それに従って保護ポリシがファイアウォールにインストールされた後には、むしろ人間の管理者が、ファイアウォールのパブリック側で入来パケットを定期的に監視する必要がある。管理者は、攻撃に分類し得るパケットをもはや観測することができない場合、インストールされたポリシをファイアウォールから削除し、それにより、遮断されていたサービスを再び利用可能にすることができる。人間の管理者が必要であることは、一方では、今日までに知られている方法を高価なものにし、他方では、それらの方法のフレキシビリティを極めて低いものとしている。
本発明は、ネットワークを監視し、パブリックネットワークからの、特にインターネットからの前述のような攻撃に対して簡単な手段でネットワークを保護する方法を実施し、高いフレキシビリティを備え、変化する攻撃状況の迅速な検出が可能となるように当該方法を改良するという課題に基づくものである。
本発明による一般的方法は、請求項1に記載の構成によって上記課題を解決する。これによれば、このような方法は、攻撃を表すデータパケットに関する情報が、さらなる分析のために攻撃検出システムまたはそれと協働するシステムに提供されることが可能となるように、ファイアウォールが攻撃検出システムによって設定されることを特徴とする。
また、本発明による、パブリックネットワークからの攻撃に対してネットワークを監視および保護するシステムは、ファイアウォールと、前記ファイアウォールの保護側に配置され、前記ファイアウォールを通過するデータパケットを検査し、攻撃データパケットを検出した場合、前記ネットワークを保護するポリシを前記ファイアウォールにインストールする攻撃検出システムと、を含み、攻撃を表すデータパケットに関する情報が、さらなる分析のために前記攻撃検出システムまたは該攻撃検出システムと協働するシステムに提供されるように、前記ファイアウォールが前記攻撃検出システムによって設定されることを特徴とする。
本発明によれば、まず認識されたこととして、ネットワークを監視および保護する場合、ファイアウォールにインストールされたポリシによって攻撃パケットを遮断するのでは十分でない。というのは、場合によっては、重要な情報が失われ、ネットワークの効率的動作が妨げられるからである。本発明によれば、攻撃に属するデータパケットに関する情報が、さらなる分析のために攻撃検出システムに送信されるように、攻撃検出システムがファイアウォールを設定することがむしろ提案される。別法では、情報は、攻撃検出システムと協働するシステムに送信される。提供された情報により、本発明による方法は、変化する攻撃状況を迅速に検出することができる。さらに、本発明による方法は、実施が容易であり、少ない労力で実現可能であり、攻撃の際の人間の介在の必要性がかなり削減される。
攻撃の検出だけでなく、攻撃の終了の確認が極めて重要であることが多いので、攻撃検出システムまたはそれと協働するシステムからの情報が、攻撃の終了を確認することに特に注目して分析されるようにすることができる。これらの手段により、攻撃の終了を、人手の助けを借りずにファイアウォールの保護側で検出することができる。
特に好ましい実施形態では、攻撃検出システムまたはそれと協働するシステムに提供される情報に応じて、ファイアウォールにインストールされプライベートネットワークを保護するポリシを適応させ、および/または削除することができるような、フィードバックが提供される。すなわち、攻撃検出システムに提供される情報が攻撃の終了を示すとすぐに、ファイアウォールは、通常の、弱い保護の動作状態に自動的に再設定されることが可能である。特に、終了した攻撃に対する防御だけのために提供されたポリシは、ファイアウォールから削除することができる。攻撃に対する保護としてファイアウォールに提供されたポリシの自動削除の可能性は、インストールされたポリシがその攻撃だけでなく正規のデータトラフィックも遮断している場合には特に有利である。このようにして、パケットの遮断をできるだけ早く取り消すことによって、サービスの利用可能性が向上する。
実施が非常に容易な一特定実施形態では、プライベートネットワークに対する攻撃のデータパケットを完全に攻撃検出システムまたはそれと協働するシステムへ送信するように、ファイアウォールが攻撃検出システムによって設定されることが可能である。データトラフィックが不必要に増加することを避けるため、データパケット全体の代わりに攻撃データパケットのあらかじめ選択された部分のみを転送することも可能である。例えば、パケットの発信元、宛先およびサイズのような、通常関連性のある情報を含むデータパケットのヘッダのみを転送することが考えられる。
一特定実施形態では、データパケットまたはその一部の転送は、宛先アドレスのネットワークアドレス変換によって実行することができる。この場合、パケットのヘッダ内の宛先アドレスが、攻撃検出システムまたはそれと協働するシステムの宛先アドレスによって置き換えられる。
攻撃パケットのもとの宛先アドレスを保存するため、攻撃パケットをトランスポートするパケット内に攻撃パケットをカプセル化することが極めて有利である。こうすることにより、攻撃パケットに含まれる情報全体が変更されずに保持される。このようなカプセル化により、攻撃検出システムでのインターネットアドレスの予約(これは、ネットワークアドレス変換の場合には必要である)は不要となる。したがって、攻撃パケットが任意のポート番号でTCP、UDPおよびICMP(Internet Control Message Protocol)のようないくつかのトランスポートプロトコルを用いている可能性がある場合でも、それらは、攻撃検出システムによるさらなる通信のために用いることができる。
最も簡単な場合は、IP−over−IPカプセル化によるカプセル化である。この場合、攻撃検出システムまたはそれと協働するシステムのアドレスを宛先アドレスとして示す追加ヘッダが、各攻撃パケットに付加される。
IP−over−IPカプセル化の代わりに、データパケットまたはその一部の転送は、1つまたは複数のUDP(User Datagram Protocol)データパケット内へのカプセル化によって実行することも可能である。この場合、転送されるパケットは、合意済のUDPポート番号で、攻撃検出システムまたはそれと協働するシステムの選択された目的アドレスに送達される。
特に好ましいのは、TCP(Transmission Control Protocol)データストリーム内へのカプセル化である。というのは、この方式ではフロー制御メカニズムを利用することができるからである。したがって、あまりに多数の転送パケットによる攻撃検出システムの一時的過負荷は、適当な対策を施すことによって効果的に対処することができる。さらに、TCPデータストリームを用いることにより、トランスポート中にパケットを喪失した場合にその発信元または宛先でその喪失を認識しないということが防止される。
転送の別法として多くのものが考えられる。情報は、イーサネットフレーム(「イーサネット」は登録商標)として、攻撃検出システムまたはそれと協働するシステムへ送信されることが可能である。TCPまたはUDPトランスポートプロトコルを使用する代わりに、SCTP(Stream Control Transmission Protocol)やDCCP(Datagram Congestion Control Protocol)のような多くの他のトランスポートプロトコルもまた使用可能である。
大量攻撃の場合、保護されるべきネットワークに対する(多数の転送された攻撃パケットによる)過大な負荷を避けるために、この目的だけのために予約された別個の物理回線を通じて転送を実行することが有益である。別個のネットワーク接続を用いることにより、追加的負荷によってネットワークおよび正規のネットワークトラフィックに影響を及ぼす攻撃パケットが、保護されるべきネットワークに現れなくなる。
後のデータ量をさらに削減するため、パケットは、転送前に、有利な方法で圧縮される。これは、データを圧縮するための既知のいかなる方法で行うことも可能である。
攻撃検出システムまたはそれと協働するシステムでの分析により、誤って攻撃パケットであるとみなされたパケットが実はそのような攻撃パケットではないことが分かった場合、当該パケットはもとの宛先アドレスへ送信されるようにすることができる。こうすることにより、通常のデータトラフィックに対する影響および制限は最小限となる。
必要な資源に関して非常に効率的な一実施形態では、攻撃を表すパケットがファイアウォールで遮断され、攻撃検出システムまたはそれと協働するシステムが、ファイアウォールで遮断された正確なパケット数について通知されるように、ファイアウォールは攻撃検出システムによって設定される。さらに、遮断される各データパケットのサイズに関する情報および/またはすべての遮断されたデータパケットのサイズの総和に関する情報を送信することができる。実用上の理由から、サイズに関する情報は、設定可能な、好ましくは定期的な時間間隔で送信される。この方法は多くの場合に良好な選択である。というのは、一定期間あたりに遮断されるパケット数だけで攻撃の終了が示されるような多くの種類の攻撃が存在するからである。このような方法を用いることは、資源が限定されているためにデータ量が重要なファクタとなる場合には特に良好な選択である。というのは、この方法により生じる負荷は、パケットを攻撃検出システムへ転送することにより生じる負荷よりも大幅に少ないからである。さらに、パケットおよびデータ量のカウンタを定期的に観測することは、攻撃パケット自体を連続的に検査するよりもはるかに労力が少ない。
高いフレキシビリティに関して、攻撃検出システムまたはそれと協働するシステムに提供される情報は、設定可能な、特に変更可能で調整可能なパラメータの助けを借りて分析されるようにすることができる。いくつかの特定の攻撃については、攻撃のソースの判定に関して提供された情報を分析することが有利となり得る。さらに、分析された情報に基づいて、攻撃の統計を作成することができる。これは、一方では攻撃のより深い理解につながり、他方ではより広範囲に及ぶ防御戦略の開発につながり得る。
本発明の教示を有利に実施し、さらに改良する方法にはいくつかの可能性がある。この目的のためには、一方では、請求項1に従属する請求項を参照し、他方では、図面に示された本発明の実施形態の好ましい実施例に関する以下の説明を参照されたい。図面による本発明の実施形態の好ましい実施例の説明に関しては、本教示の好ましい実施形態およびさらなる改良形態が一般的に説明される。
図1は本発明によるネットワーク監視保護方法の一実施例を実装したシステムの構成図である。保護されるべきネットワーク1は、多くのハードウェアシステムを備え、詳細には、例えば、サーバ2、簡単なデスクトップコンピュータ3またはノートブック4を備える。ネットワーク1は、さらに、保護されるべきネットワーク1をパブリックインターネット6から分離するファイアウォール5を備える。ファイアウォール5の保護側には、ファイアウォール5を通過するデータパケットを検査し、攻撃を表すデータパケットを検出した場合には、ファイアウォール5にネットワーク1を保護するポリシをインストールする攻撃検出システム7がある。
ファイアウォール5は、さらなる分析のために、攻撃の可能性を表すパケットに関する情報が攻撃検出システム7に提供されるように、攻撃検出システム7によって設定される。この情報は、例えば、データパケット全体、パケットのソース、宛先およびサイズを示すデータパケットのヘッダ、データ量、またはパケット数であってもよい。この情報に応じて、攻撃検出システム7は、ファイアウォール5にインストールされる、ネットワーク1を保護するポリシを適応させ、および/または削除することができる。攻撃検出システム7によるファイアウォール5のこの設定は、図中では、Cと記した矢印で示されている。攻撃検出システム7は、例えば、攻撃の終了を検出した後、適応した状態が考慮されるように、特に、終了した攻撃を防御するために用いられたポリシ要素のみがファイアウォール5から削除されるように、ファイアウォール5においてネットワーク1を保護するポリシを自動的に適応させることができる。
最後に、図1に示す実施例は、単に本発明を説明するためのものであり、何ら本発明を当該実施例に限定するものでないことを特に指摘しておく。
1 ネットワーク
2 サーバ
3 デスクトップコンピュータ
4 ノートブック
5 ファイアウォール
6 インターネット
7 攻撃検出システム
2 サーバ
3 デスクトップコンピュータ
4 ノートブック
5 ファイアウォール
6 インターネット
7 攻撃検出システム
Claims (20)
- パブリックネットワークからの、特にインターネットからの攻撃に対してネットワークを監視および保護する方法であって、該ネットワークは、ファイアウォールと、該ファイアウォールの保護側に配置された攻撃検出システムと、を含み、該攻撃検出システムは、前記ファイアウォールを通過するデータパケットを検査し、攻撃データパケットを検出した場合、前記ネットワークを保護するポリシを前記ファイアウォールにインストールし、
攻撃を表すデータパケットに関する情報が、さらなる分析のために前記攻撃検出システムまたは該攻撃検出システムと協働するシステムに提供されるように、前記ファイアウォールが前記攻撃検出システムによって設定されることを特徴とするネットワークを監視および保護する方法。 - 前記攻撃検出システムまたは該攻撃検出システムと協働するシステムに提供される情報が、攻撃の終了を検出するために分析されることを特徴とする請求項1に記載の方法。
- 前記ファイアウォールにインストールされ前記ネットワークを保護する前記ポリシが、前記攻撃検出システムまたは該攻撃検出システムと協働するシステムに提供される情報に応じて適応させられ、および/または削除されることを特徴とする請求項1または2に記載の方法。
- 攻撃を表すデータパケットが、前記攻撃検出システムまたは該攻撃検出システムと協働するシステムへ完全に転送されるように、前記ファイアウォールが前記攻撃検出システムによって設定されることを特徴とする請求項1〜3のいずれか1項に記載の方法。
- 攻撃を表すデータパケットのあらかじめ選択された部分、好ましくは該データパケットのヘッダのみが、前記攻撃検出システムまたは該攻撃検出システムと協働するシステムへ転送されるように、前記ファイアウォールが前記攻撃検出システムによって設定されることを特徴とする請求項1〜3のいずれか1項に記載の方法。
- 前記データパケットまたは前記データパケットの部分の前記転送が、該データパケットの宛先アドレスのネットワークアドレス変換によって実行されることを特徴とする請求項4または5に記載の方法。
- 前記データパケットまたは前記データパケットの部分の前記転送が、IP(Internet Protocol)トンネルを通じての伝送によって実行されることを特徴とする請求項4または5に記載の方法。
- 前記データパケットまたは前記データパケットの部分の前記転送が、1つまたは複数のUDP(User Datagram Protocol)データパケット内へのカプセル化によって実行されることを特徴とする請求項4または5に記載の方法。
- 前記データパケットまたは前記データパケットの部分の前記転送が、TCP(Transmissions Control Protocol)データストリーム内へのカプセル化によって実行されることを特徴とする請求項4または5に記載の方法。
- 前記データパケットまたは前記データパケットの部分の前記転送が、イーサネットフレーム(「イーサネット」は登録商標)としての伝送によって、またはSCTP(Stream Control Transmission Protocol)、DCCP(Datagram Congestion Control Protocol)もしくは類似のトランスポートプロトコルによって実行されることを特徴とする請求項4または5に記載の方法。
- 前記データパケットまたは前記データパケットの部分の前記転送が、この目的のために予約された別個の物理回線を通じての伝送によって実行されることを特徴とする請求項4または5に記載の方法。
- 前記データパケットが転送前に圧縮されることを特徴とする請求項4〜11のいずれか1項に記載の方法。
- 攻撃を表さないデータパケットが、前記攻撃検出システムまたは該攻撃検出システムと協働するシステムによって、該データパケットを分析した後に該データパケットのもとの宛先アドレスへ送信されることを特徴とする請求項1〜12のいずれか1項に記載の方法。
- 攻撃を表すデータパケットが前記ファイアウォールによって遮断され、遮断されたデータパケットの個数に関する情報が前記攻撃検出システムまたは該攻撃検出システムと協働するシステムへ送信されるように、前記ファイアウォールが前記攻撃検出システムによって設定されることを特徴とする請求項1〜3のいずれか1項に記載の方法。
- それぞれの遮断されたデータパケットのサイズに関する情報、および/またはすべての遮断されたデータパケットのサイズの総和に関する情報が、前記攻撃検出システムまたは該攻撃検出システムと協働するシステムに提供されることを特徴とする請求項14に記載の方法。
- 設定可能な、好ましくは定期的な時間間隔で、前記情報が前記攻撃検出システムまたは該攻撃検出システムと協働するシステムに提供されることを特徴とする請求項15に記載の方法。
- 前記攻撃検出システムまたは該攻撃検出システムと協働するシステムに提供される前記情報が、設定可能なパラメータに従って分析されることを特徴とする請求項15または16に記載の方法。
- 前記攻撃検出システムまたは該攻撃検出システムと協働するシステムに提供される前記情報が、攻撃のソースを識別するために分析されることを特徴とする請求項1〜17のいずれか1項に記載の方法。
- 前記攻撃検出システムまたは該攻撃検出システムと協働するシステムに提供される前記情報が、攻撃統計を生成するために用いられることを特徴とする請求項1〜18のいずれか1項に記載の方法。
- パブリックネットワークからの、特にインターネットからの攻撃に対してネットワークを監視および保護するシステムにおいて、
ファイアウォールと、
前記ファイアウォールの保護側に配置され、前記ファイアウォールを通過するデータパケットを検査し、攻撃データパケットを検出した場合、前記ネットワークを保護するポリシを前記ファイアウォールにインストールする攻撃検出システムと、
を含み、攻撃を表すデータパケットに関する情報が、さらなる分析のために前記攻撃検出システムまたは該攻撃検出システムと協働するシステムに提供されるように、前記ファイアウォールが前記攻撃検出システムによって設定されることを特徴とするネットワークを監視および保護するシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102004016582A DE102004016582A1 (de) | 2004-03-31 | 2004-03-31 | Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005293550A true JP2005293550A (ja) | 2005-10-20 |
Family
ID=35062199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005028422A Abandoned JP2005293550A (ja) | 2004-03-31 | 2005-02-04 | パブリックネットワークからの攻撃に対してプライベートネットワークを監視保護する方法およびシステム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20050251859A1 (ja) |
| JP (1) | JP2005293550A (ja) |
| DE (1) | DE102004016582A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7979575B2 (en) | 2006-09-06 | 2011-07-12 | Fujitsu Limited | Attack detecting system and attack detecting method |
| JP2011221993A (ja) * | 2010-04-12 | 2011-11-04 | Wins Technet Co Ltd | Nat網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム及びその制御方法 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0518578D0 (en) * | 2005-09-13 | 2005-10-19 | Qinetiq Ltd | Communications systems firewall |
| US8424075B1 (en) * | 2008-12-31 | 2013-04-16 | Qurio Holdings, Inc. | Collaborative firewall for a distributed virtual environment |
| EP3618358B1 (en) * | 2014-04-22 | 2024-05-29 | Orckit IP, LLC | A method for deep packet inspection in software defined networks |
| CN104580168B (zh) * | 2014-12-22 | 2019-02-26 | 华为技术有限公司 | 一种攻击数据包的处理方法、装置及系统 |
| US11310246B2 (en) | 2018-08-10 | 2022-04-19 | Cisco Technology, Inc. | Endpoint-assisted inspection of encrypted network traffic |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6226748B1 (en) * | 1997-06-12 | 2001-05-01 | Vpnet Technologies, Inc. | Architecture for virtual private networks |
| US7389537B1 (en) * | 2001-10-09 | 2008-06-17 | Juniper Networks, Inc. | Rate limiting data traffic in a network |
| JP3893937B2 (ja) * | 2001-10-19 | 2007-03-14 | セイコーエプソン株式会社 | ヘッドユニットの組立装置および組立方法、並びに液滴吐出ヘッドの位置決め装置および位置決め方法 |
| US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| DE10241974B4 (de) * | 2002-09-11 | 2006-01-05 | Kämper, Peter | Überwachung von Datenübertragungen |
-
2004
- 2004-03-31 DE DE102004016582A patent/DE102004016582A1/de not_active Ceased
-
2005
- 2005-02-04 JP JP2005028422A patent/JP2005293550A/ja not_active Abandoned
- 2005-03-31 US US11/094,448 patent/US20050251859A1/en not_active Abandoned
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7979575B2 (en) | 2006-09-06 | 2011-07-12 | Fujitsu Limited | Attack detecting system and attack detecting method |
| JP2011221993A (ja) * | 2010-04-12 | 2011-11-04 | Wins Technet Co Ltd | Nat網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム及びその制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050251859A1 (en) | 2005-11-10 |
| DE102004016582A1 (de) | 2005-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9825990B2 (en) | System and method for software defined behavioral DDoS attack mitigation | |
| US9584531B2 (en) | Out-of band IP traceback using IP packets | |
| US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
| JP4072150B2 (ja) | ホストベースのネットワーク侵入検出システム | |
| US7610624B1 (en) | System and method for detecting and preventing attacks to a target computer system | |
| US20100309800A1 (en) | Network Monitoring And Intellectual Property Protection Device, System, And Method | |
| JP2006517066A (ja) | サービス妨害攻撃の軽減 | |
| JP2010268483A (ja) | 能動的ネットワーク防衛システム及び方法 | |
| US7617533B1 (en) | Self-quarantining network | |
| EP1540921B1 (en) | Method and apparatus for inspecting inter-layer address binding protocols | |
| CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
| CN101340275B (zh) | 数据卡及其数据处理和传输方法 | |
| JP4620070B2 (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| CN103561001A (zh) | 一种安全防护方法及路由设备 | |
| JP4284248B2 (ja) | アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム | |
| CN107018116B (zh) | 监控网络流量的方法、装置及服务器 | |
| Saad et al. | A study on detecting ICMPv6 flooding attack based on IDS | |
| JP2005293550A (ja) | パブリックネットワークからの攻撃に対してプライベートネットワークを監視保護する方法およびシステム | |
| JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
| JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
| KR20110027386A (ko) | 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법 | |
| JP2008178100A (ja) | コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム | |
| JP4322179B2 (ja) | サービス拒絶攻撃防御方法およびシステム | |
| CN120051980A (zh) | 用于对传入流量流进行分析的系统和方法 | |
| KR20100048105A (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20060328 |