JP2006510277A - 相関関数を用いてネットワーク攻撃を検出するネットワーク帯域異常検出装置及び方法 - Google Patents

相関関数を用いてネットワーク攻撃を検出するネットワーク帯域異常検出装置及び方法 Download PDF

Info

Publication number
JP2006510277A
JP2006510277A JP2004559506A JP2004559506A JP2006510277A JP 2006510277 A JP2006510277 A JP 2006510277A JP 2004559506 A JP2004559506 A JP 2004559506A JP 2004559506 A JP2004559506 A JP 2004559506A JP 2006510277 A JP2006510277 A JP 2006510277A
Authority
JP
Japan
Prior art keywords
data
traffic
waveform
data communication
communication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004559506A
Other languages
English (en)
Inventor
ローン マックアイザック ゲリー
Original Assignee
セタシア ネットワークス コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by セタシア ネットワークス コーポレイション filed Critical セタシア ネットワークス コーポレイション
Publication of JP2006510277A publication Critical patent/JP2006510277A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】データ通信システムにおける帯域異常を検出する方法を提供する。
【解決手段】通信システムにおける帯域異常を検出する方法が、この通信システムにおける第1方向のデータ量の時間分布を表わす第1トラフィック波形を受信するステップと、この第1トラフィック波形と基準波形との相関を表わす相関値を生成するステップと、この相関値が基準を満足する際にサービス拒否攻撃信号を発生するステップとを具えている。

Description

(発明の背景)
(発明の分野)
本発明は一般に、コンピュータネットワーク及びセキュリティ、分散サービス拒否(停止、不能)攻撃に関連するネットワーク帯域の乱用に関するものであり、特に、ネットワーク帯域異常検出装置、方法、信号及び媒体に関するものである。
(関連技術の説明)
個人用高速インターネット接続、及び商取引、娯楽及び教育用にワールド・ワイド・ウェブを利用することの急速な広がりは、世界的規模のユーザ・コミュニティ(共同社会)に大きな利益をもたらす。広く普及し、低コストで、常時利用可能なウェブベースの情報サービスは、新たなビジネスモデルから、行政及び教育サービスにアクセスするポータル(入口)、及びインターネット・コミュニティのすべてのメンバーによる高速かつ自由なアイデア及び情報の交換までにわたる開発を行わせてきた。
インターネットは公衆にとってこれほど広く利用可能なので、インターネットの動作にとって基本的なネットワーク・プロトコルの挙動における種々の悪意ある業によって壊されやすい。これらの悪意ある業は、特定のオペレーティングシステムまたはアプリケーションを狙って急速に伝播するコンピュータ・ウィルスの作成及び放出、パケット放送及びTCP/IP接続確立のようなネットワーク・プロトコルの特徴的機能の悪用、及びネットワークに接続されたコンピュータへの侵入を含む。
こうした悪意ある業の行為者は、システム構成におけるコンピュータのオペレーティングシステムの欠陥及び基本的な人間的誤り(ヒューマンエラー)、例えばアクセス制御パスワードの下手な選定を悪用することが多い。システム管理者及びユーザは、手続きを変更すること、ソフトウェア・パッチを当てる(修正を施す)こと、等によって、自分たちのコンピュータシステムの脆弱性を最小化する努力をすることができる。ソフトウェアのバグが出現し続けること、ユーザの構成エラーが生じること、及び攻撃者が以前に知られていなかったシステムの弱点を暴くこと、あるいは現在の攻撃ソフトウェアを新たな方法に手直しすることは不可避である。
安全性の高いコンピュータシステムでも、インターネット接続性(コネクティビティ)は壊されやすい。悪意あるインターネット活動の1つの種類は、インターネットのウェブサイトのユーザ、ドメインネーム(ドメイン名)サーバー、及び/またはコアルーター(核となるルーター)に重大な崩壊を生じさせることがあり、いわゆる「分散サービス拒否(DDoS:Distributed denial of service)攻撃」を含む。これらの攻撃に対する防御は難しい、というのは、これらの攻撃はインターネット自体の動作にとって基本的な機能を利用するからである。
Internet Engineering Task Force(IETF)RFC Standard 1122 DDoS攻撃は往々にして、インターネット上に分散している多くの異なるコンピュータシステムを手なずけること、及びこれと共に、これらの手なずけたコンピュータ上への挙動不正なソフトウェア・エージェントのインストールによって特徴付けられる。これらの手なずけられた攻撃システムは、何十、何百、あるいは何千もの数のコンピュータに及び得る。挙動不正なソフトウェア・エージェントは、手なずけられたコンピュータの各々に、同等の大量に氾濫するパケットを送出させる。これらのパケットは例えば、トランスミッション・コントロール・プロトコル(TCP:Transmission Control Protocol)、ユーザ・データグラム・プロトコル(UDP:User Datagram Protocol)、及び/またはインターネット・コントロール・メッセージ・プロトコル(ICMP:Internet Control Message Protocol)パケットの連続流から成り、そのすべてが目標システムに向けられる。これらのプロトコルはインターネット層及びトランスポート層で実現され、これらの層についてはInternet Engineering Task Force("IETF":インターネット特別技術調査委員会)のRFC Standard 1122規格書及びこれに関連するRFCの文献に記載されている。
手なずけられたコンピュータシステムによって発生されて到来するパケットの処理は、ターゲット(目標)コンピュータシステムのリソースを大量に消費して、これにより通常の要求に対するサービスが不能になる。この種のサービス拒否攻撃は長期間継続することが多く、攻撃の持続時間中に目標のサーバーを利用不能にする。さらに、すべてがターゲットシステム宛ての大量に氾濫するパケットは、ターゲットシステムの付近に位置するルーターのパケット処理能力を過負荷(オーバーロード)にし得る。従って、分散サービス拒否攻撃は、直接攻撃目標にされていないコンピュータシステムのユーザにも悪影響を与え得る。
DDoS攻撃は、その根源をたどることは非常に困難である。ほとんどすべての場合において、大量に氾濫するパケットに見出されるソース・インターネット・プロトコル(IP)アドレスは詐称され、即ち偽の値に改ざんされ、このため発生元のシステムの真の正体についての情報は提供されない。
Computer Emergency Response Team web site operated by the Carnegie-Mellon University Software Engineering Institute: "CRET Advisory CA-2000-0 1 Denial-of-Service Developments" 分散サービス拒否攻撃に用いられるソフトウェア・エージェントの詳細な説明は、Computer Emergency Response Team web site operated by the Carnegie-Mellon University Software Engineering Instituteの"CRET Advisory CA-2000-0 1 Denial-of-Service Developments"に見ることができる。
米国特許第5,606,668号 既知の挙動不正なエージェントの特徴を識別する手段、及び/または挙動不正なエージェントが攻撃に用いるパケットのソースアドレスを詐称する能力を制限する手段を提供することのできるシステムが一部に存在する。例えば米国特許第5,606,668号、1997年2月25日交付、発明の名称”System for Securing Inbound and Outbound Data Packet Flow in a Computer Network”に記載のようなパケット・フィルタリング(選別)ファイアウォールは、特定のパケットを特定のコンピュータまたはネットワークに到達する前に阻止(ブロック)するために用いることができる。パケット・フィルタリング・ファイアウォールは、ファイアウォールで受信した各パケットのヘッダの内容を検査して、一組の規則を適用して、これらのパケットをどう処理するかを決定する。より多数の規則をファイアウォールに適用するほど、その性能が低下してファイアウォールのメインテナンス(維持管理)が増加する。しかし、パケット・フィルタリング・ファイアウォールはDDoS攻撃に対する有効な防御を提供しない、というのは、ファイアウォール自体が到来するパケットに勝てないからである。
米国特許第6,088,804号 米国特許第5,892,903号 "Towards a Taxonomy of Intrusion-Detection Systems", Computer Networks 31:805-822 侵入検出システムを用いて、コンピュータシステムが手なずけられた時点を特定することができる。米国特許第6,088.804号、発明の名称"Adaptive System and Method for Responding to Computer Network Security Attacks"は、エージェント及び適応ニューラル・ネットワーク技術を用いて偽装攻撃の特徴(例えばウィルスのパターン)を学習するこうしたシステムの1つを記述している。このシステムの欠点は、現実の攻撃の特徴が偽装された特徴に似ていないことがあり、そして、それについての学習が行われていない新たな特徴が完全に未検出となり得る、ということである。米国特許第5,892,903号、発明の名称"Method and Apparatus for Detecting and Identifying Security Vulnerabilities in an Open Network Computer Communication System"に記載の他のシステムは、既知の弱点についてコンピュータ及びネットワーク構成要素をテストして、ネットワーク管理要員の行動についての報告を提供する。しかし、このシステムは、既知の弱点のデータベース及びコンピュータシステム特有の弱い構成要素の詳細記述を必要とする。さらに、これらの従来技術のシステムの実現は、システム特有及びパケットの内容特有の情報を操作して、手なずけられたコンピュータに対する攻撃の特徴を識別することに依存する。侵入検出システムの概要は、Debar他による文献:"Towards a Taxonomy of Intrusion-Detection Systems", Computer Networks 31:805-822(1999年)に記述されている。
手なずけられやすく、そして他のコンピュータシステムに対するDDoS攻撃を送出するために使用され得るインターネット・コンピュータシステムは常に存在する。こうした常に進展する環境では、侵入検出システムはその検出能力において自ずと遅れをとる。暗号化技術及び他の秘匿的な方法は、挙動不正なエージェントが検出されること、及び悪意あるユーザと、マスター・エージェントと、挙動不正なエージェントとの間の通信が傍受されることを回避するために、攻撃者が恒常的に用いている。
国際特許出願 WO/01/46807 現在、攻撃目標から攻撃の根源までの経路を見出す容易な方法は存在しない。根源のシステムの位置をつかむことは、システム及びルーターのログ(通信記録)の詳細な検査、広範囲の人間どうしの通信、及び影響を受けた当事者間で証拠を交換し合う協力を含む、時間を消費するプロセスである。この問題に応えようとする1つのシステムは、国際特許出願 WO/01/46807に記載されている。しかし、このシステムは、ルーターのソフトウェアの大幅な変更、及び複数のインターネット・サービスプロバイダー(ISP:Internet Service Provider)に属するルーターへの自動的なアクセスを必要とする。こうしたアクセスのレベルは、競争関係にあるISP間では実現しそうにない。
ネットワーク・セキュリティ及び侵入検出の分野における従来技術は、ネットワークの異常なデータトラフィックを識別するために、パケット内容の検査及び高レベルのプロトコル分析(例えばTCP層の接続のハンドシェイク及びフロー識別)に焦点を合わせたものである。これらのシステム及び方法は、データリンクを横断するすべてのパケットの注意深い検査を含み、そして相当量の処理及びメモリー・リソース、並びにネットワーク管理要員によるより複雑な構成を必要とする。
現流の方法は、DDoS攻撃の目標またはISPのコアルーターを保護することに焦点を合わせたものである。上述した方法は、根源の近くでの悪意ある帯域の消費の開始を迅速に検出することができず、そしてネットワークのトラフィックの異常な変化を、攻撃を仕掛けるために用いられるより上層のネットワーク・プロトコルとは無関係な自動的またはユーザ制御の方法で直ちに検出することができない。
(発明の概要)
本発明は、データ通信システムにおける帯域異常を検出する方法を提供することによって、上述した問題に応えるものである。この方法は、ネットワーク上の分散サービス拒否攻撃の結果として発生する種類の帯域異常を検出することができる。非常に基本的な形態では、この方法は、データ通信システムにおける第1方向の第1期間中のデータ量の時間分布を表わす第1トラフィック波形を受信するステップと、この第1トラフィック波形と基準波形との相関を表わす相関値を生成するステップと、この相関値が基準を満足する際にサービス拒否攻撃信号を発生するステップとを具えている。
前記サービス拒否攻撃信号を発生するステップは、前記相関値が基準値未満である際にサービス拒否攻撃信号を発生するステップを具えることができる。前記サービス拒否攻撃信号を発生するステップは、前記相関値が基準値未満であるか否かを判定するステップを具えることができる。
前記方法は、第1組のトラフィック測定値に応答して第1トラフィック波形を発生するステップを具えることができる。この第1トラフィック波形を発生するステップは、第1組のトラフィック測定値に離散ウェーブレット変換を施すステップを具えることができる。この離散ウェーブレット変換には、ハー(Harr)ウェーブレットフィルタを用いることができる。この離散ウェーブレット変換は、前記第1トラフィック波形を表わす第1成分を生成することができる。前記相関値を生成するステップは、前記第1成分と前記基準波形との相関をとるステップを具えることができる。
同じプロセッサ回路を用いて、前記第1トラフィック波形を発生して、この第1トラフィック波形と前記基準波形との相関をとることができる。
前記方法はさらに、前記第1方向のデータを監視し、このデータに応答して第1組のトラフィック測定値を生成するステップを含むことができる。
前記第1組のトラフィック測定値を生成するステップは、遠隔監視プロトコルにおけるイーサネット(登録商標)統計グループのプロパティ(特性、属性)を表現する値を生成するステップを具えることができる。
プロセッサ回路を用いて、前記第1トラフィック波形を発生し、通信インタフェースと通信して、イーサネット統計グループのプロパティを表現する値を受信することができる。
前記第1方向のデータを受信するステップは、この第1方向のパケット数を数えるステップ及びオクテット(8ビット)数を数えるステップの少なくとも一方を具えることができる。
前記第1トラフィック波形を発生すべく動作可能なプロセッサ回路は、パケットカウンタ(計数器)及びオクテットカウンタの少なくとも一方と通信して、前記第1組のトラフィック測定値を表わす値を受信すべく構成することができる。前記プロセッサ回路は、これらのパケットカウンタ及び/またはオクテットカウンタを実現すべく構成することができる。
前記方法はさらに、前記第1方向のデータを受動的に監視するステップを具えることができる。
前記方法はさらに、前記サービス拒否攻撃信号に応答してオペレータ(操作員)に信号で通知するステップを具えることができる。
前記方法はさらに、前記サービス拒否攻撃信号に応答して、ネットワークへのデータ送信及びネットワークからのデータ受信の少なくとも一方を制御するステップを具えることができる。
前記方法はさらに、データ通信システムにおける第2方向の第2期間中のデータ量の時間分布を表わす第2トラフィック波形を受信して、この第2トラフィック波形を基準波形として用いて前記相関値を生成するステップを具えることができる。
前記方法は、第1組及び第2組のトラフィック測定値に応答して、ネットワーク上のそれぞれ第1及び第2方向のトラフィックを表わす第1及び第2トラフィック波形を発生するステップを含むことができる。
前記第1及び第2トラフィック波形を発生するステップは、前記第1組及び第2組のトラフィック測定値のそれぞれに離散ウェーブレット変換を施すステップを具えることができる。この離散ウェーブレット変換にはハー・ウェーブレットフィルタ係数を用いることができる。この離散ウェーブレット変換は、前記第1トラフィック波形を表わす第1成分と前記第2トラフィック波形を表わす第2成分とを生成することができる。前記相関値を生成するステップは、これらの第1成分と第2成分との相関をとるステップを具えることができる。
前記方法は、前記トラフィック波形発生器を、前記相関値を生成するために用いるプロセッサ回路内で実現するステップを具えることができる。
前記方法は、前記第1及び第2方向のデータを監視して、これらのデータに応答してそれぞれ第1組及び第2組のトラフィック測定値を生成するステップを具えることができる。
前記トラフィック測定値を生成するステップは、前記第1及び第2方向の各々について、遠隔監視プロトコルにおけるイーサネット統計グループのプロパティを表現する値を生成するステップを具えることができる。
前記方法は、前記第1及び第2トラフィック波形を発生すべく動作可能なプロセッサ回路によって通信インタフェースと通信して、イーサネット統計グループのプロパティを表現する値を受信するステップを具えることができる。
前記監視するステップは、前記第1及び第2方向の各々のパケット数及びオクテット数の少なくとも一方を数えるステップを具えることができる。
前記方法は、前記第1及び第2トラフィック波形を発生すべく動作可能なプロセッサ回路によってパケットカウンタ及び/またはオクテットカウンタと通信して、前記第1組及び第2組のトラフィック測定値を受信するステップを具えることができる。
前記方法は、前記プロセッサ回路に、前記パケットカウンタ及び前記オクテットカウンタの少なくとも一方を実現させるステップを具えることができる。
前記方法は、前記第1及び第2方向のデータを受動的に監視するステップを具えることができる。
前記方法はさらに、前記サービス拒否攻撃信号に応答してオペレータに信号で通知するステップを具えることができる。
前記方法はさらに、前記サービス拒否攻撃信号に応答して、ネットワークへのデータ送信及びネットワークからのデータ受信の少なくとも一方を制御するステップを具えることができる。
前記第1及び/または第2トラフィック波形は、第1及び第2方向のデータ量のそれぞれ第1及び第2時間分布の統計的尺度を表現することができる。
本発明の他の態様によれば、データ通信システムにおける帯域異常を検出する装置が提供される。この装置は、データ通信システムにおける第1方向の第1期間中のデータ量の時間分布を表わす第1トラフィック波形を受信する手段と、この第1トラフィック波形と基準波形との相関を表わす相関値を生成する手段と、この相関値が基準を満足する際にサービス拒否攻撃信号を発生する手段とを具えている。
本発明の他の態様によれば、データ通信回路における帯域異常の検出をプロセッサ回路に命令するコードを符号化したコンピュータ可読媒体(コンピュータで読み取り可能な媒体)が提供され、この検出は、このプロセッサ回路に、前記データ通信システムにおける第1方向の第1期間中のデータ量の時間分布を表わす第1トラフィック波形を受信させて、前記第1トラフィック波形と基準波形との相関を表わす相関値を生成させて、この相関値が基準を満足する際にサービス拒否攻撃信号を発生させることによって行う。
本発明の他の態様によれば、データ通信回路における帯域異常の検出をプロセッサ回路に命令するコードを符号化したコンピュータ可読信号(コンピュータで読み取り可能な信号)が提供され、この検出は、このプロセッサ回路に、前記データ通信システムにおける第1方向の第1期間中のデータ量の時間分布を表わす第1トラフィック波形を受信させて、前記第1トラフィック波形と基準波形との相関を表わす相関値を生成させて、この相関値が基準を満足する際にサービス拒否攻撃信号を発生させることによって行う。
本発明の他の態様によれば、データ通信システムにおける帯域異常を検出する装置が提供される。この装置は、データ通信システムにおける第1方向の第1期間中のデータ量の時間分布を表わす第1トラフィック波形を受信して、前記第1トラフィック波形と基準波形との相関を表わす相関値を生成して、この相関値が基準を満足する際にサービス拒否攻撃信号を発生すべく構成されたプロセッサ回路を具えている。
このプロセッサ回路は、前記相関値が基準値未満であるか否かを判定して、この相関値が前記基準値未満である際にサービス拒否攻撃信号を発生すべく構成することができる。
前記装置はさらに、第1組のトラフィック測定値を受信して、これらの測定値に応答して前記第1トラフィック波形を発生すべく動作可能な第1トラフィック波形発生器を具えることができる。この第1トラフィック波形発生器は、前記第1組のトラフィック測定値に離散ウェーブレット変換を施すことによって前記第1トラフィック波形を発生すべく構成することができる。前記第1トラフィック波形発生器は、この離散ウェーブレット変換においてハー・ウェーブレットフィルタ係数を使用すべく構成することができ、そしてこの離散ウェーブレット変換によって前記第1トラフィック波形を表わす第1成分を生成すべく構成することができる。
前記プロセッサ回路は、前記第1成分と基準波形との相関をとることによって前記相関値を生成すべく構成することができる。
前記プロセッサ回路は、前記第1トラフィック波形発生器を実現すべく構成することができる。
前記装置はさらに、前記第1方向のデータを監視して、このデータに応答して前記第1組のトラフィック測定値を生成すべく動作可能な通信インタフェースを具えることができる。前記通信インタフェースは、遠隔監視プロトコルにおけるイーサネット統計グループのプロパティを表現する値を生成することができる。前記プロセッサ回路は、前記通信インタフェースと通信して、イーサネット統計グループのプロパティを表現する値、及び前記第1組のトラフィック測定値を表わす値を受信すべく構成することができる。
前記通信インタフェースは、パケットカウンタ及びオクテットカウンタの少なくとも一方を具えて、これに対応して前記第1方向のデータのパケット数またはオクテット数を数えることができる。前記プロセッサ回路は、前記通信インタフェースと通信して、前記パケットカウンタ及び前記オクテットカウンタの少なくとも一方が生成する値を受信すべく構成することができ、これらの値は前記第1組のネットワーク・トラフィック測定値を表わす。
前記プロセッサ回路は、前記通信インタフェースを実現すべく構成することができる。
前記装置はさらに、前記第1方向のデータを受動的に監視して、前記第1方向のデータのコピーを前記通信インタフェースに供給すべく動作可能な受動監視装置を具えることができる。
前記装置は、前記サービス拒否攻撃信号に応答してオペレータに信号で通知する信号装置を具えることができる。
前記装置は、前記サービス拒否攻撃信号に応答して、ネットワークへのデータ送信及びネットワークからのデータ受信の少なくとも一方を制御する通信制御装置を具えることができる。
前記プロセッサ回路は、データ通信ネットワークにおける第2方向の第2期間中のデータ量の時間分布を表わす第2トラフィック波形を受信して、この第2トラフィック波形を基準波形として用いて前記相関値を生成すべく構成することができる。
前記装置はさらに、前記第1組及び第2組のトラフィック測定値を受信して、これらの測定値に応答して前記第1及び第2トラフィック波形を発生するか、あるいは、独立した第1及び第2トラフィック波形発生器を用いて、前記第1組及び第2組のトラフィック測定値に応答してそれぞれ第1及び第2トラフィック波形を発生すべく動作可能なトラフィック波形発生器を具えることができる。
前記トラフィック波形発生器は、前記第1組及び第2組のトラフィック測定値に離散ウェーブレット変換を施すことによって、それぞれ前記第1及び第2トラフィック波形を発生すべく構成することができる。
前記トラフィック波形発生器は、離散ウェーブレット変換にハー・ウェーブレットフィルタ値を使用すべく構成することができ、そしてこの離散ウェーブレット変換によって前記第1トラフィック波形を表わす第1成分及び前記第2トラフィック波形を表わす第2成分を生成させることができる。
前記プロセッサ回路は、前記第1成分と前記第2成分との相関をとることによって前記相関値を生成すべく構成することができる。
前記プロセッサ回路は、前記トラフィック波形発生器を実現すべく構成することができる。
前記装置はさらに、前記第1及び第2方向のデータを監視して、これらのデータに応答してそれぞれ前記第1組及び第2組のトラフィック測定値を生成すべく動作可能な通信インタフェースを具えることができる。
前記通信インタフェースは、前記第1及び第2方向の各々について、遠隔監視プロトコルにおけるイーサネット統計グループのプロパティを表現する値を生成することができる。前記プロセッサ回路は、前記通信インタフェース回路と通信して、各方向についてイーサネット統計グループのプロパティを表現する値を受信すべく構成することができ、これらの値はそれぞれ前記第1組及び第2組のトラフィック測定値を表わす。
前記通信インタフェースは、前記第1及び第2方向の各々のデータのパケット数を数えるべく動作可能なパケットカウンタ及びこれらのデータのオクテット数を数えるべく動作可能なオクテットカウンタの少なくとも一方を具えることができる。前記プロセッサ回路は、前記通信インタフェースと通信して、前記パケットカウンタ及び前記オクテットカウンタの少なくとも一方が生成する値を受信すべく構成することができ、これらの値は前記第1組及び第2組のトラフィック測定値を表わす。
前記プロセッサ回路は、前記通信インタフェースを実現すべく構成することができる。
前記装置はさらに、前記第1及び第2方向のデータを受動的に監視して、これらのデータのコピーを前記通信インタフェースに供給すべく動作可能な受動監視装置を具えることができる。
前記装置は、前記サービス拒否攻撃信号に応答してオペレータに信号で通知する信号装置を具えることができる。
前記装置は、前記サービス拒否攻撃信号に応答して、ネットワークへのデータ送信及びネットワークからのデータ受信の少なくとも一方を制御する通信制御装置を具えることができる。
ある意味では、本発明は、データトラフィックをデータトラフィック波形として解釈して、このデータトラフィック波形の特性を分析することによって、伝送されるデータトラフィックの異常レベルの始まりを検出する方法を提供するものである。1つの好適例では、周波数及び量、即ち全二重コンピュータ・ネットワーク・リンク上の特定箇所で複数期間の各期間中に見られるデータトラフィックのデータユニット(データ単位)数を記録することによって、データトラフィック波形をサンプリング(標本化)することができる。
DDoS攻撃を検出し、これに続いてこの攻撃を無効にすることに1つの利益は、好適にはDDoSエージェントに感染した個々のコンピュータのレベルで、悪意あるネットワーク・トラフィックを生成するシステムの外部への通信を阻止することによって得られる。本明細書に記載の方法及び装置は、ソース(根源の)コンピュータ上の潜在的なDDoSエージェントに近いネットワーク端またはその付近における帯域使用を監視するために採用することができる。本発明による装置及び方法は、例えば、部門レベルのイーサネット・スイッチ、ルーター、あるいは個人用ファイアウォール・ハードウェア及びファイアウォール・ソフトウェアの構成要素として内蔵させることができる。
本発明の以上及び他の態様は、以下の図面を参照した特定実施例の説明より一層明らかになり、これらの図面は本発明の原理の例示に過ぎない。
(実施例の詳細な説明)
図1に、本発明の第1実施例によるシステムを示し、システム全体を10で表わす。システム10はコンピュータのネットワークを含み、ネットワーク全体を12で表わし、ネットワーク12はイントラネットまたはインターネットのようなデータ通信システム14、及び複数のノードを具えてその全体を16で示し、ノード16は例えば、パーソナル・コンピュータ18、第1サーバー・コンピュータ20、第2サーバー・コンピュータ22、及びネットワーク・サブシステム24のようなネットワーク接続された装置を含む。本実施例では、ネットワーク・サブシステム24は帯域異常検出器26及びネットワーク・ノード28を含み、ネットワーク・ノード28は、サブネットワーク及び/またはコンピュータ・ネットワークに通常接続される複数の装置のいずれをも含むことができる。こうした装置は例えば、サーバー・コンピュータ、クライアント・コンピュータ、ルーター、ブリッジ、マルチポート・ブリッジ(イーサネット・スイッチ)、ハブ、ATM(Asynchronous Transfer Mode:非同期転送モード)スイッチ、及び無線アクセスポイントを含むことができるが、これらに限定されない。データ通信システム14はサイトに対してローカルにすることも、従ってローカルエリア・ネットワーク(LAN:Local Area Network)を表わすことも、あるいは、例えばインターネットのようにグローバル(全地球的)にすることもできる。
システム10の通常動作中には、ネットワーク接続された装置16が互いに通信し合う。例えば、クライアント・コンピュータ18はサーバー・コンピュータ20または22、あるいはデータ通信システム14に接続された他のクライアント・コンピュータ18と通信することができる。すべての場合において、ネットワーク接続された装置16間の通信は、いくつかのデータ転送プロトコルの使用を含む。これらのプロトコルは例えば、ネットワーク・プロトコルのOSI(Open System Interconnection:開放型システムの相互接続)7階層モデルに従って分類することができる。これらのプロトコルは、例えばTCP/IPプロトコル組からのプロトコルを含むことができる。
Stallings High-speed Networks: "TCP/IP and ATM Design Principles", Prentice-Hall著 クライアント・コンピュータ18と、ネットワーク・サブシステム24に関連するワールド・ワイド・ウェブ・サーバーのようなサーバー・コンピュータ30との間の一般的な相互作用は、クライアント・コンピュータ18がサーバー・コンピュータ30とのプロトコル接続、即ちサーバー30に対する送信及び受信方向の接続を開始することを含む。これに続いて、クライアント・コンピュータ18とサーバー・コンピュータ30との間の複数のデータパケット転送が行われる。プロトコル接続は最終的に、クライアント・コンピュータ18かサーバー・コンピュータ30かのいずれかによって終了される。複数のクライアント・コンピュータと複数のサーバー・コンピュータとの間の複数のこうしたプロトコル接続は、ネットワーク上のパケット転送の集合体を生み出す。TCP/IPプロトコル組用のこのプロセスの詳細な説明は、Stallings High-speed Networks: "TCP/IP and ATM Design Principles", Prentice-Hall著, 1998年に見られる。一般に、ネットワーク接続された装置の各々がデータパケットを、他のネットワーク接続された装置に送信するためにデータ通信システム14に送信し、ネットワーク接続された各装置は、他のネットワーク接続された装置から発生するデータパケットをデータ通信システム14から受信すべく動作可能である。
1つのネットワーク接続された装置が他のネットワーク接続された装置と通信システム14上で行う通常の通信は、通常は送信及び受信方向で「バースト的」に出現する。分散サービス拒否攻撃によって発生する帯域異常は、「非バースト」あるいは固定的なデータ伝送として出現する。図2に、クライアント・コンピュータ18とサーバー30との間の通常の通信の例を送信方向について示し、通信全体を40で表わす。図2には、サービス拒否攻撃に関連する送信方向のデータ量の例も示し、その全体を41で表わす。受信方向には同様の動きは観測されない。
図1に示す実施例では、帯域異常検出器26は、ネットワーク・サブシステム24に対して少なくとも一方向に進むデータパケットを監視するために使用され、この方向の分散サービス拒否攻撃を検出するとサービス拒否攻撃信号を発生する。このサービス拒否攻撃信号は、オペレータに信号で通知する信号装置を作動させるため、及び/またはサービス拒否攻撃信号に応答してネットワークへのデータ送信及びネットワークからのデータ受信の少なくとも一方を制御する通信制御装置を作動させるために用いることができる。
図3に、好適な帯域異常検出器26の具体例を示し、本実施例では、データ通信システム14とネットワーク・ノード28との間の独立した装置として示す。帯域異常検出器26は、データ通信システム14内のあらゆる2つのネットワーク接続された装置間で伝送されるデータトラフィックをサンプリング可能ないずれの箇所にも配置することができる。しかし、帯域異常検出器26をネットワークの端またはその付近に配置すれば利益が得られ、例えばイーサネット・スイッチでは、潜在的な分散サービス拒否攻撃エージェントに近い部門レベルの通信室に配置する。
説明のために、データ通信システム14と帯域異常検出器26との間の第1リンク42を、第1送信データ線44及び第1受信データ線46を有するものとして表わす。同様に、第2リンク48を帯域異常検出器26とネットワーク・ノード28との間に設け、第2リンク48は第2送信データ線50及び第2受信データ線52を含む。第1受信データ線46は、データ通信システム14からネットワーク・ノード28宛てのデータを受信する。第2送信データ線50は、ネットワーク・ノード28によって送信される通信システム14宛てのデータを搬送する。
本実施例では、送信データ線44及び50上を進むデータをネットワーク上の第1(送信)方向に進むものと考え、受信データ線46及び52上を進むデータを第2(受信)方向に進むものと考える。
帯域異常検出器26は独立した装置として示すが、それ自体がネットワーク・ノードとして作用する装置に内蔵することもできる。帯域異常検出器は、例えばルーター、ブリッジ、マルチポート・ブリッジ、ハブ、無線アクセスポイント、ケーブル/DSL(Digital Subscriber Line:ディジタル加入者線)モデム、ファイアウォール、あるいはATMスイッチに内蔵することができる。
本実施例では、帯域異常検出器26は、第1リンク42との接続用のネットワーク側リンク接続62、及びネットワーク・ノード28との接続用のノード側接続64を有する受動監視装置60を具えている。受動監視装置60は、少なくとも1つの出力、本実施例では出力66も有し、出力66は、送信線50上に出現する各データユニットのコピーを供給すべく動作可能である。受動監視装置60は単に、少なくとも一方向、本実施例では送信方向にデータのコピーを出力する。一般に、受動監視装置60は、第1方向のデータを受動的に監視して、この第1方向のデータのコピーを作成して他の装置が利用可能にする、ということができる。この用途に使用可能な代表的な受動監視装置は、カリフォルニア州サニーベール(Sunnyvale)にあるNet Optics社によって提供されている。
帯域異常検出器26はさらに通信インタフェース70を具え、通信インタフェース70は、例えばイーサネット・インタフェースチップ、スイッチ・プロセッサ、セキュリティ・プロセッサのようなネットワーク・インタフェースチップを具えることができる。あるいはまた、通信インタフェース70は、例えば個別(ディスクリート)論理回路及び/またはプロセッサ回路を具えた他の構成要素によって実現することができる。
Internet Engineering Task Force EFC #3144 本実施例では、通信インタフェース70は、例えばInternet Engineering Task Force EFC #3144に記載されたイーサネット遠隔監視プロトコル規格のイーサネット統計グループのプロパティに応じた値を供給すべく動作可能なレジスタを有するイーサネット・インタフェースチップを具えている。特に、通信インタフェース70は、オクテットカウンタ73のオクテットレジスタ72及びパケットカウンタ75のパケットレジスタ74の少なくとも一方を具えている。通信インタフェース70は、受動監視装置60の出力66と通信する入力76を有して送信データ線50上のデータユニットのコピーを受信して、これらのデータユニット数を数え続けて、このデータユニットから、指定期間中のこうしたデータユニットに関連するオクテット数及びパケット数を測定し、本明細書ではこの指定期間をサンプリング時間と称する。本実施例では、通信インタフェース70は、1/1024秒の時間間隔が連続する間の送信データ線50上のオクテット数及びパケット数を数えて、各時間間隔の終わりに、オクテットレジスタ72及びパケットレジスタ74にそれぞれのカウント(計数)値をロードすべく(書き込むべく)設定されている。従って、オクテットレジスタ72及びパケットレジスタ74では、1/1024秒毎に新たなカウント値が利用可能である。従って、通信インタフェース70は、送信線上のデータをサンプリングすることによって第1方向のデータを監視してトラフィック測定値を生成すべく動作する。ある期間またはウィンドウ(時間窓)、例えば120秒にわたって集めたこれら複数のトラフィック測定値は、第1組のトラフィック測定値と称することができる。
帯域異常検出器26はさらに、これら第1組のトラフィック測定値を受信し、この測定値に応答して送信方向のデータ量の時間分布を表わす第1トラフィック波形を発生すべく動作可能なトラフィック波形発生器80を具えている。第1トラフィック波形発生器80は、これら第1組のトラフィック測定値に離散ウェーブレット変換を施すことによって前記第1トラフィック波形を発生すべく構成されている。
ウェーブレット分析は、ある範囲の時間スケールにわたる周波数の突発的な変化の検出を可能にする。離散ウェーブレット変換は、選択したウェーブレット関数を用いた連続的なローパス(低域通過)及びハイパス(高域通過)フィルタリング(フィルタ処理)を適用して、元のデータトラフィック信号の近似成分及び詳細成分を生成することを含む。本発明のこの目的に使用可能なウェーブレット関数の一例は、ハー(Harr)ウェーブレットである。MATLAB Wavelet Toolbox and User’s Guideを含む市販のソフトウェア・パッケージは、離散ウェーブレット変換による信号の汎用的な分析用のユーティリティ(有用なソフトウェア)を提供する。
この離散ウェーブレット変換には種々の異なる係数を使用することができ、そして本実施例では、離散ウェーブレット変換においてハー・ウェーブレットフィルタ係数を使用することによって、第1トラフィック波形発生器80が、前記第1組のトラフィック測定値の平滑かつ詳細な波形成分を生成することが判明している。本実施例では平滑な成分のみが重要であり、この平滑な成分が前記第1トラフィック波形を表わす。
図4に、前記平滑な成分を、120秒の時間間隔にわたる振幅対時間のプロットとして破線82で示す。図3に示す第1トラフィック波形発生器80は、前記第1トラフィック波形を、120秒のウィンドウ内のそれぞれの時刻に関連する複数の振幅値として表現し、このウィンドウ内でサンプルを取得して前記第1組のトラフィック測定値を生成する。従って、前記第1トラフィック波形は、データ通信システム14における第1方向の第1期間中のデータ量の時間分布を表わす。
図3に示すように、帯域異常検出器26はさらに、帯域異常を検出する検出器84を含む。この検出器26は、前記第1トラフィック波形及び基準波形を受信して、前記第1トラフィック波形と前記基準波形との相関を表わす相関値を生成すべく動作可能である。この相関値が基準を満足するとサービス拒否攻撃信号を発生する。
図3及び5に示すように、検出器84はプロセッサ回路69内に実現することができ、プロセッサ回路69は例えばパーソナル・コンピュータの一部とすることができる。プロセッサ回路69は、CPU71、RAM73、及びROM75を含むことができ、さらに、例えば通信インタフェース70を含むことができる。あるいはまた、プロセッサ回路69は、スイッチ、ルーター、ブリッジ、あるいはデータ通信システム14に接続可能な他のあらゆる装置のプロセッサ回路とすることができる。検出器84を実現する同じプロセッサ回路69を用いて、第1トラフィック波形発生器80及び通信インタフェース70を実現することができる。あるいはまた、通信インタフェース70、第1トラフィック波形発生器80、及び検出器84の任意の組み合わせを、広範な異なるプロセッサ回路の組み合わせを用いて実現することができる。検出器84を実現するプロセッサ回路69は、このプロセッサ回路が生成する相関値が基準値 未満であるか否かを判定して、この相関値がこの基準値未満である際にサービス拒否攻撃信号を発生すべく構成することができる。サービス拒否攻撃信号を発生するための追加的な基準を採用することができ、例えば、前記相関値がある期間中に前記基準値未満の値であり続けるか否か、あるいは、ある期間中に前記基準値未満の相関値が多数発生するか否かを判定することである。
前記第1トラフィック波形との相関に使用する基準波形は、事前記憶している波形とすることができ、あるいはまた、例えば受信データ線46上のような第2方向のデータユニットを監視することによって生成される第2組のトラフィック測定値に応答して発生される第2トラフィック波形とすることができる。本実施例では、受動監視装置60を、受信データ線46上に出現するデータユニットのコピーを通信インタフェース70に供給すべく動作可能な第2出力86を有するように構成することができる。これに加えて、通信インタフェース70は、所定番目の1/1024秒における、即ち送信方向のオクテット数及びパケット数を数える期間と同じ期間中の、受信データ線46上のオクテット数を表わすカウント値を保持するオクテットカウンタ89の第2イーサネット統計オクテットレジスタ88、及びパケット数を表わすカウント値を保持するパケットカウンタ91の第2イーサネット統計パケットレジスタ90を伴う構成にすることができる。あるいはまた、通信インタフェース70は、例えば独立したチップあるいはプロセッサ回路内に実現することができる。受信データ線46を監視することによって生成されるトラフィック測定値を第2組のトラフィック測定値に累積させて、この第2組のトラフィック測定値を、第1トラフィック波形発生器80と同じ第2トラフィック波形発生器92に供給して、図4に94で示す第2トラフィック波形を発生することができ、この波形は、前記第1トラフィック波形との相関をとる基準波形の役割をする。あるいはまた、前記第1組及び第2組のトラフィック測定値を概ね同じ期間にわたって累積し記憶して、第1波形発生器80に連続的に供給して、前記第1及び第2トラフィック波形を発生することができる(即ち、第1波形発生器を多重化することができる)。
前記第1及び第2トラフィック波形が与えられれば、検出器84は、前記第1トラフィック波形と前記第2トラフィック波形との相関、特に送信波形と受信波形との相関を表わす相関値、例えば図4に示す値0.69を生成する。そして検出器84は、この相関値0.69が例えば0.6のような所定値を上回るか否かを判定して、この所定値を上回ればサービス拒否攻撃信号を不活性に設定して、同じ期間の送信データ量と受信データ量との間に良好な相関が存在し、従ってサービス拒否攻撃が発生していないことを示すことができる。
しかし、前記第1及び第2トラフィック波形をそれぞれ図6に示す101及び102とすれば、検出器84は例えば0.12のような相関値を生成して、装置が、この相関値が所定値0.6未満であるものと判定し、従ってサービス拒否攻撃信号を活性に設定して、この相関がサービス拒否攻撃を発見したことに該当することを示すことができる。図3に戻って説明する。サービス拒否攻撃信号を用いて、例えばスイッチまたはネットワーク・ノード28内のプロセッサ回路に割り込みをかけて、スイッチまたはネットワーク・ノード28のデータ通信システム14へのアクセスを拒否して、サービス拒否攻撃を停止させることができる。その代わりに、あるいはこれに加えて、サービス拒否攻撃信号を警報、点滅光、可聴信号、あるいはオペレータが認識可能な他のあらゆる刺激の形でオペレータに提供して、サービス拒否攻撃が発生したことをオペレータに示すことができる。
図5に示すように、本明細書に記載のシステムの代案の実現は、異なるインタフェース100で実現することができる。このインタフェース100は単に、受動監視装置(60)から受信したデータユニットのプロセッサ回路69への経路を提供し、プロセッサ回路69自体は、送信及び受信線上のいずれかあるいは双方に出現するパケット数及び/またはオクテット数を数える機能を実行するために用いることができる。プロセッサ回路69にこれらのカウント機能の実行を命令するコードは、EPROMのようなコンピュータ可読媒体上で供給されるコンピュータ可読命令としてプロセッサ回路69に供給することができ、このEPROMはROM75の一部を形成することができ、あるいは、例えばコンパクトディスクまたはフロッピー(登録商標ディスク上でプロセッサ回路69に供給してプログラマブルROMに記憶することができ、このプログラマブルROMもROM75の一部を形成することができる。その代わりに、あるいはこれに加えて、本発明による機能の実行をプロセッサ69に命令するコードは、こうしたコードを符号化したコンピュータ可読信号によってプロセッサ回路69に供給することができ、例えば受信線上で受信したデータパケットを読み取ることによって供給することができる。
図7に、本発明のこうした代案実施例を実現するために使用可能なコードのブロックを示すブロックを含むフローチャートを示す。与えられたあらゆるブロックに示す機能を実現するために用いる実際のコードは、例えばC(言語)、C++、及び/またはアセンブラコードで記述することができる。
本実施例では、プロセッサ回路69はまず、ブロック130によって、オクテット及びパケットのカウントレジスタ、アレイ、インデックス(指標)、ステータス・インジケータ(状態表示)、フラグ、制御レジスタを含む種々のカウンタ及びレジスタを初期化するよう命令される。次にブロック131は、プロセッサ回路69に、受動監視装置60と通信して、受動監視装置60が送信及び受信線上のパケットを受動的に監視する動作をしているか否かを判定するよう命令する。そのように動作していなければ、プロセッサは処理を終了する。
受動監視装置60が動作していれば、ブロック132がプロセッサ回路69にカウンタを初期化するよう命令する。
ブロック129はプロセッサ回路69に、第1及び第2アレイをそれぞれ第1組及び第2組のトラフィック測定値で満たすよう命令する。このことを行うために、ブロック129は2つの主要な機能ブロックを含み、これらが協働してこれらのアレイを満たすループを実現する。第1機能ブロック133は、プロセッサ回路69に、インデックス値iが、事前設定値として計算された基準値、即ちWindowSize−1以下であるか否かを判定するよう命令し、ここにWindowSizeは第1組及び第2組のトラフィックデータ数を表わす。この値は2のべき乗であることが望ましい。最終的に、WindowSizeの値は、第1組及び第2組のトラフィックデータの取得期間長を表わす。
ブロック134はプロセッサ69に、現在のパケットまたはオクテットのカウント値、及びこれに関連するタイムスタンプ(時刻印)値を送信及び受信線について取得して前記第1及び第2アレイに記憶するよう命令して、インデックスiを増加させて、プロセッサの処理をブロック133に戻す。従って、前記第1及び第2アレイは数の対のアレイであり、第1の数は前記カウンタ値に関連する時間間隔を示し、第2の数はこの時間に関連するカウンタ値を示す。前記第1及び第2アレイはそれぞれ、WindowSizeの長さを有する第1及び第2パケットベクトル(PacketVector)ということができる。
ブロック135はプロセッサ回路69に、前記第1及び第2アレイを読み取って、これらのアレイ内のすべての値が0であるか否かを判定するよう命令する。すべての値が0であれば、プロセッサ回路69は、ブロック131に戻って、受動監視装置60がまだ動作しているか否かを判定して、カウント値の収集を再開するよう命令される。
ブロック136は、上述した波形発生器の機能を実現して、プロセッサ回路69に、前記第1及び第2パケットベクトルに離散ウェーブレット変換を用いたウェーブレット分析を施して、送信及び受信方向の各々についての近似値及び詳細値を生成するよう命令する。これらの近似値は、データトラフィック測定値の高スケール(尺度)、低周波数の成分を表わす。高スケールとは、より長い時間ウィンドウ(時間窓)にわたってデータトラフィック測定値を見られるように信号をフィルタリング(選別処理)するために用いるウェーブレットの「伸張(ストレッチ)」を称する。詳細値は、入力データトラフィック測定値の低スケール、高周波数の成分を表わす。低スケールとは、短い時間ウィンドウにわたってデータトラフィック測定値を見られるようにデータトラフィック測定値をフィルタリングするために用いるウェーブレットの「圧縮」を称する。
本実施例では、次にブロック137がプロセッサ回路69に、離散ウェーブレット変換によって生成される現在及び前の詳細値についての分散尺度を計算するよう命令する。利用可能な分散尺度の1つは例えば標準偏差である。分散尺度は、一組の詳細値の標準偏差を表わす単一の数である。
次にブロック138はプロセッサ回路69に、ブロック136で生成した近似値を、送信線上の通常のデータトラフィックについての近似値の上限を表わす値AppxThresholdと比較するよう命令する。
この近似値がAppxThresholdを超えれば、ブロック139はプロセッサ69に、DoSEventCountの値を0に設定するよう命令する。
図8に示すように、前記近似値がAppxThresholdの値以上であれば、ブロック141はプロセッサ回路69に、前記近似値、及び前記詳細値の分散尺度を記憶するよう命令する。
前記近似値及び前記詳細値の分散尺度の記憶は、これらの値、あるいはこれらの値の表現を累積する効果を有する。これらの値の組は、それぞれの期間内の、データ通信システムにおける第1及び第2方向の、データ量の時間分布の第1及び第2統計的尺度を表現するそれぞれ第1及び第2トラフィック波形を表わす。
Snedecor, G.W.及びW.G. Cochran著:"Statistical Methods" Earl Cox著:"The Fuzzy Systems Handbook (Second Edition)" ブロック142はプロセッサ69に、前記近似値がAppxThresholdの値以上である際にDoSEventCountの値を増加させるよう命令する。またブロック142はプロセッサ回路69に、記憶している近似値において第1方向についての近似値と第2方向についての近似値との相関をとって第1相関値(r1)を生成し、そして記憶している分散値において第1方向についての分散値と第2方向についての分散値との相関をとって第2相関値(r2)を生成するよう命令する。相関値計算の例は、Snedecor, G.W.及びW.G. Cochran著:"Statistical Methods"(1967年)に挙げられている。r1及びr2が、例えばこれらの一方または他方あるいは両方がある基準値を下回るというそれぞれの基準を満足すると、DoSEventCountの値を増加させる。例えば、送信線におけるt1からt2までの近似値と分散値との差の絶対値と、受信線におけるt1からt2までの近似値と分散値との差の絶対値との比率が安定な値を維持しているという他の基準も、DoSEventCountの値を増加させるべきか否かを示すために用いることができる。こうした安定な値は、ユーザが規定することも、通常のデータトラフィック波形が存在する期間中の履歴的な測定値にもとづくものとすることもできる。あるいはまた、例えば送信線のデータトラフィックと受信線のデータトラフィックとの相関の度合いを、Earl Cox著:"The Fuzzy Systems Handbook (Second Edition)"に記載のファジーセット・メンバシップ関数によって測定することができる。
前記詳細値に関連する分散の値が変動していることが通常のデータトラフィックを示すのに対し、送信線上のデータトラフィックから導出した前記詳細値の分散尺度が比較的一定に高止まりしていることは異常な帯域消費を示す。一般に、送信線データから導出した前記近似値及び前記詳細値の変動は、ほぼ同じ時間間隔にわたって受信線上で測定したデータから導出した前記近似値及び前記詳細値の変動と正の相関がある。
前記近似値及び前記詳細値の変動において、送信線についての変動と受信線についての変動との相関をとるに当たり、送信データと受信データとを同一時刻に測定する必要はない。前記近似値及び前記詳細値が平滑化された値であるので、これらのデータを同時に測定していなくても相関を検出することができる。しかし、送信線と受信線についてのデータカウント値のサンプルは、通常のネットワーク・トラフィックの活動期間中にこれらの平滑化された値において相関を検出するのに十分なだけ互いに近い時刻に取得すべきである。
ブロック142の後に、ブロック143はプロセッサ回路69に、DoSEventCountの値がDoSThresholdの値以上であるか否かを判定するよう命令して、DoSThresholdの値以上である場合には、ブロック145がプロセッサ回路69に、フラグまたは信号制御レジスタのようなステータス・インジケータを真または有効の値に設定して、サービス拒否攻撃信号を発生させるよう命令する。前記信号制御レジスタは、例えばサービス拒否攻撃信号を表現するディジタル信号の状態を制御すべく動作可能なレジスタとすることができ、あるいは、プロセッサ回路69内のルーチンを起動することができ、このルーチンは、プロセッサ回路69によってサービス拒否攻撃メッセージをプロセッサ回路、例えば制御コンピュータまたはスイッチ制御回路に送信する。前記制御コンピュータは例えば、オペレータに信号を送るか、あるいは、送信または受信線上のデータフローを中断させるかまたは利用可能な帯域幅を低減することによってサービス拒否攻撃を阻止する。
DoSEventCountの値がDoSThresholdの値以上でない場合には、プロセッサ回路69はブロック144に処理を移し、ブロック144はプロセッサ回路69に、前記ステータス・インジケータを偽または無効の値に設定させて、これによりサービス拒否攻撃信号は発生されない。前記しきい値はオペレータが規定するか、あるいは、(秒単位、分単位、時間単位、等で)指定した時間間隔にわたって測定した通常のデータトラフィック波形から導出した平均値にもとづくものとすることができる。例えばオペレータは、送信線の帯域異常を検出するために、AppxThresholdの値を6.0に、詳細値の分散のしきい値を0.30に、そしてDoSThresholdの値を5イベントに設定することができる。例えばAppxThresholdの値及びDoSThresholdの値のような、オペレータが構成可能なすべてのパラメータは、例えばホストコンピュータまたはCPU71自体が実行するユーザ・インタフェースによって送信されるメッセージを介して、図5に示すCPU71において受信される。
以上では本発明の特定実施例を説明及び図示してきたが、こうした実施例は本発明の例示に過ぎず、請求項に記載の本発明の範囲を限定するものではない。
本発明の一実施例による帯域異常検出器を採用したデータ通信システムの概略図である。 データ通信システムにおける第1方向のデータトラフィックを表わす第1組のトラフィック測定値を表わすグラフである。 図1に示す通信システムのネットワークサブシステムのブロック図である。 サービス拒否攻撃に関連しないデータについての、図1のデータ通信システム上の第1及び第2方向のデータ量の時間分布を表わすそれぞれ第1及び第2波形を表わすグラフである。 本発明の一実施例及び代案実施例によるプロセッサ回路のブロック図である。 サービス拒否攻撃に関連するデータについての、図1のデータ通信システム上の第1及び第2方向のデータ量の時間分布を表わすそれぞれ第1及び第2波形を表わすグラフである。 図5に示すプロセッサ回路が実行する方法のフロー図である。 図5に示すプロセッサ回路が実行する方法のフロー図である。

Claims (75)

  1. データ通信システムにおける帯域異常を検出する方法において、
    前記データ通信システムにおける第1方向の第1期間中のデータ量の時間分布を表わす第1トラフィック波形を受信するステップと;
    前記第1トラフィック波形と基準波形との相関を表わす相関値を生成するステップと;
    前記相関値が基準を満足する際にサービス拒否攻撃信号を発生するステップと
    を具えていることを特徴とする帯域異常検出方法。
  2. 前記サービス拒否攻撃信号を発生するステップが、前記相関値が基準値未満である際に前記サービス拒否攻撃信号を発生するステップを具えていることを特徴とする請求項1に記載の方法。
  3. 前記サービス拒否攻撃信号を発生するステップが、前記相関値が前記基準値未満であるか否かを判定するステップを具えていることを特徴とする請求項2に記載の方法。
  4. さらに、
    前記データ通信システムにおける第2方向の第2期間中のデータ量の時間分布を表わす第2トラフィック波形を受信するステップと;
    前記第2トラフィック波形を前記基準波形として用いて、前記相関値を生成するステップと
    を具えていることを特徴とする請求項1に記載の方法。
  5. さらに、第1組のトラフィック測定値に応答して、前記第1トラフィック波形を発生するステップを具えていることを特徴とする請求項1に記載の方法。
  6. 前記第1トラフィック波形を発生するステップが、前記第1組のトラフィック測定値に離散ウェーブレット変換を施すステップを具えていることを特徴とする請求項5に記載の方法。
  7. 前記第1組のトラフィック測定値に前記離散ウェーブレット変換を施すステップが、前記離散ウェーブレット変換においてハー・ウェーブレットフィルタ係数を使用するステップを具えていることを特徴とする請求項6に記載の方法。
  8. 前記第1トラフィック波形を発生するステップが、前記離散ウェーブレット変換によって、前記第1トラフィック波形を表現する第1成分を生成するステップを具えていることを特徴とする請求項6に記載の方法。
  9. 前記相関値を生成するステップが、前記第1成分と前記基準波形との相関をとるステップを具えていることを特徴とする請求項8に記載の方法。
  10. さらに、プロセッサ回路を用いて、前記第1トラフィック波形を発生して、前記第1トラフィック波形と前記基準波形との相関をとるステップを具えていることを特徴とする請求項8に記載の方法。
  11. 前記第1トラフィック波形が、前記第1方向のデータ量の時間分布の統計的尺度を表わすことを特徴とする請求項1に記載の方法。
  12. さらに、前記第1方向のデータを監視して、前記第1方向のデータに応答して前記第1組のトラフィック測定値を生成することを特徴とする請求項5に記載の方法。
  13. 前記第1組のトラフィック測定値を生成するステップが、遠隔監視プロトコルにおけるイーサネット(登録商標)統計グループのプロパティを表現する値を生成するステップを具えていることを特徴とする請求項12に記載の方法。
  14. さらに、前記第1トラフィック波形を発生すべく動作可能なプロセッサ回路を通信インタフェースと通信させて、前記イーサネット統計グループのプロパティを表現する値を受信するステップを具えていることを特徴とする請求項13に記載の方法。
  15. 前記第1方向のデータを監視するステップが、前記第1方向のパケットまたはオクテットの少なくとも一方を数えるステップを具えていることを特徴とする請求項12に記載の方法。
  16. さらに、前記第1トラフィック波形を発生すべく動作可能なプロセッサ回路を、パケットカウンタ及びオクテットカウンタの少なくとも一方と通信させて、前記第1組のトラフィック測定値を表わす値を受信するステップを具えていることを特徴とする請求項15に記載の方法。
  17. さらに、前記プロセッサ回路に、前記パケットカウンタ及び前記オクテットカウンタの少なくとも一方を実現させるステップを具えていることを特徴とする請求項16に記載の方法。
  18. さらに、前記第1方向のデータを受動的に監視するステップを具えていることを特徴とする請求項12に記載の方法。
  19. データ通信システムにデータを送信し前記データ通信システムからデータを受信するステップと、請求項12に記載の方法とを具え、さらに、前記サービス拒否攻撃信号に応答して、オペレータに信号で通知するステップを具えていることを特徴とするデータ通信方法。
  20. データ通信システムにデータを送信し前記データ通信システムからデータを受信するステップと、請求項12に記載の方法とを具え、さらに、前記サービス拒否攻撃信号に応答して、前記データ通信システムへのデータ送信及び前記データ通信システムからのデータ受信の少なくとも一方を制御するステップを具えていることを特徴とするデータ通信方法。
  21. さらに、前記データ通信システムにおける前記第1及び第2方向のトラフィックを表わすそれぞれ第1組及び第2組のトラフィック測定値に応答して、それぞれ前記第1及び第2トラフィック波形を発生するステップを具えていることを特徴とする請求項4に記載の方法。
  22. 前記第1及び第2トラフィック波形が、前記データ通信システムにおけるそれぞれ前記第1及び第2方向のデータ量のそれぞれ第1及び第2時間分布のそれぞれ第1及び第2の統計的尺度を表わすことを特徴とする請求項21に記載の方法。
  23. 前記第1及び第2トラフィック波形を発生するステップが、それぞれ前記第1組及び第2組のトラフィック測定値に離散ウェーブレット変換を施すステップを具えていることを特徴とする請求項21に記載の方法。
  24. 前記第1組及び第2組のトラフィック測定値に前記離散ウェーブレット変換を施すステップが、前記離散ウェーブレット変換においてハー・ウェーブレットフィルタ係数を使用するステップを具えていることを特徴とする請求項23に記載の方法。
  25. さらに、前記離散ウェーブレット変換によって、前記第1トラフィック波形を表わす第1成分及び前記第2トラフィック波形を表わす第2成分を生成することを特徴とする請求項23に記載の方法。
  26. 前記相関値が、前記第1成分と前記第2成分との相関から成ることを特徴とする請求項25に記載の方法。
  27. さらに、前記相関値を生成するために使用されるプロセッサ回路内にトラフィック波形発生器を実現するステップを具えていることを特徴とする請求項25に記載の方法。
  28. さらに、前記第1及び第2方向のデータを監視して、前記第1及び第2方向のデータに応答して、それぞれ第1組及び第2組のトラフィック測定値を生成するステップを具えていることを特徴とする請求項21に記載の方法。
  29. 前記第1組及び第2組のトラフィック測定値を生成するステップが、前記第1及び第2方向の各々について、遠隔監視プロトコルにおけるイーサネット統計グループのプロパティを表現する値を生成するステップを具えていることを特徴とする請求項28に記載の方法。
  30. さらに、前記第1及び第2トラフィック波形を発生すべく動作可能なプロセッサ回路によって通信インタフェースと通信して、前記イーサネット統計グループのプロパティを表現する値を受信するステップを具えていることを特徴とする請求項29に記載の方法。
  31. 前記データを監視するステップが、前記第1及び第2方向の各々において、パケットカウンタ及びオクテットカウンタの少なくとも一方を用いることを特徴とする請求項28に記載の方法。
  32. さらに、前記第1及び第2トラフィック波形を発生すべく動作可能なプロセッサ回路によってパケットカウンタ及びオクテットカウンタの少なくとも一方と通信して、前記第1組及び第2組のトラフィック測定値を表わす値を受信するステップを具えていることを特徴とする請求項28に記載の方法。
  33. さらに、前記プロセッサ回路に、前記パケットカウンタ及び前記オクテットカウンタの少なくとも一方を実現させるステップを具えていることを特徴とする請求項32に記載の方法。
  34. 前記第1及び第2方向のデータを受動的に監視するステップを具えていることを特徴とする請求項28に記載の方法。
  35. データ通信システムにデータを送信し前記データ通信システムからデータを受信するステップと、請求項1に記載の方法とを具えて、さらに、前記サービス拒否攻撃信号に応答してオペレータに信号で通知するステップを具えていることを特徴とするデータ通信方法。
  36. データ通信システムにデータを送信し前記データ通信システムからデータを受信するステップと、請求項1に記載の方法とを具えて、さらに、前記サービス拒否攻撃信号に応答して、前記データ通信システムへのデータ送信及び前記データ通信システムからのデータ受信の少なくとも一方を制御するステップを具えていることを特徴とするデータ通信方法。
  37. データ通信システムにおける帯域異常を検出する装置において、
    前記データ通信システムにおける第1方向の第1期間中のデータ量の時間分布を表わす第1トラフィック波形を受信する手段と;
    前記第1トラフィック波形と基準波形との相関を表わす相関値を生成する手段と;
    前記相関値が基準を満足する際にサービス拒否攻撃信号を発生する手段と
    を具えていることを特徴とする帯域異常検出装置。
  38. データ通信システムにおける帯域異常を検出することをプロセッサ回路に命令するコードを符号化したコンピュータ可読媒体において、この検出を、
    前記データ通信システムにおける第1方向の第1期間中のデータ量の時間分布を表わす第1トラフィック波形を受信して;
    前記第1トラフィック波形と基準波形との相関を表わす相関値を生成して;
    前記相関値が基準を満足する際にサービス拒否攻撃信号を発生する
    ことによって行うことを特徴とするコンピュータ可読媒体。
  39. データ通信システムにおける帯域異常を検出することをプロセッサ回路に命令するコードを符号化したコンピュータ可読信号において、この検出を、
    前記データ通信システムにおける第1方向の第1期間中のデータ量の時間分布を表わす第1トラフィック波形を受信して;
    前記第1トラフィック波形と基準波形との相関を表わす相関値を生成して;
    前記相関値が基準を満足する際に、サービス拒否攻撃信号を発生する
    ことによって行うことを特徴とするコンピュータ可読信号。
  40. データ通信システムにおける帯域異常を検出する装置において、この装置が、
    プロセッサ回路を具えて、該プロセッサ回路が、
    前記データ通信システムにおける第1方向の第1期間中のデータ量の時間分布を表わす第1トラフィック波形を受信して;
    前記第1トラフィック波形と基準波形との相関を表わす相関値を生成して;
    前記相関値が基準を満足する際にサービス拒否攻撃信号を発生すべく構成されている
    ことを特徴とする帯域異常検出装置。
  41. 前記プロセッサ回路が、前記相関値が基準値未満である際に、前記サービス拒否攻撃信号を発生すべく構成されていることを特徴とする請求項40に記載の装置。
  42. 前記プロセッサ回路が、前記相関値が前記基準値未満であるか否かを判定すべく構成されていることを特徴とする請求項41に記載の装置。
  43. 前記プロセッサ回路が、前記データ通信システムにおける第2方向の第2期間中のデータ量の時間分布の統計的尺度を表わす第2トラフィック波形を受信して、前記第2トラフィック波形を前記基準波形として用いて前記相関値を生成すべく構成されていることを特徴とする請求項40に記載の装置。
  44. さらに、第1組のトラフィック測定値を受信して、前記第1組のトラフィック測定値に応答して前記第1トラフィック波形を発生すべく動作可能な第1トラフィック波形発生器を具えていることを特徴とする請求項44に記載の装置。
  45. 前記第1トラフィック波形発生器が、前記第1組のトラフィック測定値に離散ウェーブレット変換を施すことによって前記第1トラフィック波形を発生すべく構成されていることを特徴とする請求項45に記載の装置。
  46. 前記第1トラフィック波形発生器が、前記離散ウェーブレット変換においてハー・ウェーブレットフィルタ係数を使用すべく構成されていることを特徴とする請求項45に記載の装置。
  47. 前記第1トラフィック波形発生器が、前記離散ウェーブレット変換によって、前記第1トラフィック波形を表わす第1成分を生成すべく構成されていることを特徴とする請求項45に記載の装置。
  48. 前記プロセッサ回路が、前記第1成分と前記基準波形との相関をとることによって前記相関値を生成すべく構成されていることを特徴とする請求項47に記載の装置。
  49. 前記プロセッサ回路が、前記第1トラフィック波形発生器を実現すべく構成されていることを特徴とする請求項44に記載の装置。
  50. 前記第1トラフィック波形が、前記第1方向のデータ量の時間分布の統計的尺度を表わすことを特徴とする請求項50に記載の装置。
  51. さらに、前記第1方向のデータを監視して、前記第1方向のデータに応答して前記第1組のトラフィック測定値を生成すべく構成されていることを特徴とする請求項44に記載の装置。
  52. 前記通信インタフェースが、遠隔監視プロトコルにおけるイーサネット統計グループのプロパティを表現する値を生成することを特徴とする請求項51に記載の装置。
  53. 前記プロセッサ回路が、前記通信インタフェースと通信して、前記イーサネット統計グループのプロパティを表現する値を受信すべく構成され、前記値が、前記第1組のトラフィック測定値を表わすことを特徴とする請求項52に記載の装置。
  54. 前記通信インタフェースが、前記第1方向のデータのパケット数を数えるべく動作可能なパケットカウンタ及び前記データのオクテット数を数えるべく動作可能なオクテットカウンタの少なくとも一方を具えていることを特徴とする請求項51に記載の装置。
  55. 前記プロセッサ回路が、前記通信インタフェースと通信して、前記パケットカウンタ及び前記オクテットカウンタの少なくとも一方が生成する値を受信すべく構成され、前記値が前記第1組のトラフィック測定値を表わすことを特徴とする請求項54に記載の装置。
  56. 前記プロセッサ回路が、前記通信インタフェースを実現すべく構成されていることを特徴とする請求項55に記載の装置。
  57. さらに、前記第1方向のデータを受動的に監視して、前記第1方向のデータのコピーを前記通信インタフェースに供給すべく動作可能な受動監視装置を具えていることを特徴とする請求項51に記載の装置。
  58. データ通信システムにデータを送信し前記データ通信システムからデータを受信すべく動作可能なデータ通信装置において、このデータ通信装置が、
    請求項51に記載の装置を具えて、さらに、前記サービス拒否攻撃信号に応答してオペレータに信号で通知する信号装置を具えていることを特徴とするデータ通信装置。
  59. データ通信システムにデータを送信し前記データ通信システムからデータを受信すべく動作可能なデータ通信装置において、このデータ通信装置が、
    請求項51に記載の装置を具えて、さらに、前記サービス拒否攻撃信号に応答して、前記データ通信システムへのデータ送信及び前記データ通信システムからのデータ受信の少なくとも一方を制御する通信制御装置を具えていることを特徴とするデータ通信装置。
  60. さらに、前記第1組及び第2組のトラフィック測定値を受信して、前記第1組及び第2組のトラフィック測定値に応答して、それぞれ前記第1及び第2トラフィック波形を生成すべく動作可能なトラフィック波形発生器を具えていることを特徴とする請求項43に記載の装置。
  61. 前記第1及び第2トラフィック波形が、前記データ通信システムにおけるそれぞれ前記第1及び第2方向のデータ量のそれぞれ第1及び第2時間分布のそれぞれ第1及び第2の統計的尺度を表わすことを特徴とする請求項60に記載の装置。
  62. 前記波形発生器が、前記第1組及び第2組のトラフィック測定値に離散ウェーブレット変換を施して、それぞれ第1及び第2トラフィック波形を発生すべく構成されていることを特徴とする請求項60に記載の装置。
  63. 前記トラフィック波形発生器が、前記離散ウェーブレット変換においてハー・ウェーブレットフィルタ係数を使用すべく構成されていることを特徴とする請求項62に記載の装置。
  64. 前記トラフィック波形発生器が、前記離散ウェーブレット変換によって、前記第1トラフィック波形を表わす第1成分及び前記第2トラフィック波形を表わす第2成分を生成すべく構成されていることを特徴とする請求項62に記載の装置。
  65. 前記プロセッサ回路が、前記第1成分と前記第2成分との相関をとることによって前記相関値を生成することを特徴とする請求項64に記載の装置。
  66. 前記プロセッサ回路が、前記トラフィック波形発生器を実現すべく構成されていることを特徴とする請求項64に記載の装置。
  67. さらに、前記第1及び第2方向のデータを監視して、前記第1及び第2方向のデータに応答してそれぞれ前記第1組及び第2組のトラフィック測定値を生成すべく動作可能な通信インタフェースを具えていることを特徴とする請求項60に記載の装置。
  68. 前記通信インタフェースが、前記第1及び第2方向の各々について、遠隔監視プロトコルにおけるイーサネット統計グループのプロパティを表現する値を生成することを特徴とする請求項67に記載の装置。
  69. 前記プロセッサ回路が、前記通信インタフェースと通信して、前記第1及び第2方向の各々について、前記イーサネット統計グループのプロパティを表現する値を受信すべく構成され、前記第1及び第2方向の各々についての前記値が、それぞれ前記第1組及び第2組のトラフィック測定値を表わすことを特徴とする請求項68に記載の装置。
  70. 前記通信インタフェースが、前記第1及び第2方向の各々のデータのパケット数を数えるべく動作可能なパケットカウンタ及び前記データのオクテット数を数えるべく動作可能なオクテットカウンタの少なくとも一方を具えていることを特徴とする請求項67に記載の装置。
  71. 前記プロセッサ回路が、前記通信インタフェースと通信して、前記パケットカウンタ及び前記オクテットカウンタの少なくとも一方が生成する値を受信すべく構成され、前記値が、前記第1組及び前記第2組のトラフィック測定値を表わすことを特徴とする請求項67に記載の装置。
  72. 前記プロセッサ回路が、前記通信インタフェースを実現すべく構成されていることを特徴とする請求項67に記載の装置。
  73. さらに、前記第1及び第2方向のデータを受動的に監視して、前記データのコピーを前記通信インタフェースに供給すべく動作可能な受動監視装置を具えていることを特徴とする請求項67に記載の装置。
  74. データ通信システムにデータを送信し前記データ通信システムからデータを受信すべく動作可能なデータ通信装置において、この装置が、
    請求項40に記載の装置を具えて、さらに、前記サービス拒否攻撃信号に応答してオペレータに信号で通知する信号装置を具えていることを特徴とするデータ通信装置。
  75. データ通信システムにデータを送信し前記データ通信システムからデータを受信すべく動作可能なデータ通信装置において、この装置が、
    請求項40に記載の装置を具えて、さらに、前記サービス拒否攻撃信号に応答して、前記データ通信システムへのデータ送信及び前記データ通信システムからのデータ受信の少なくとも一方を制御する通信制御装置を具えていることを特徴とするデータ通信装置。
JP2004559506A 2002-12-13 2003-05-14 相関関数を用いてネットワーク攻撃を検出するネットワーク帯域異常検出装置及び方法 Pending JP2006510277A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US43303202P 2002-12-13 2002-12-13
PCT/CA2003/000724 WO2004056063A1 (en) 2002-12-13 2003-05-14 Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function

Publications (1)

Publication Number Publication Date
JP2006510277A true JP2006510277A (ja) 2006-03-23

Family

ID=32595107

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004559506A Pending JP2006510277A (ja) 2002-12-13 2003-05-14 相関関数を用いてネットワーク攻撃を検出するネットワーク帯域異常検出装置及び方法

Country Status (7)

Country Link
US (1) US20040114519A1 (ja)
EP (1) EP1573999A1 (ja)
JP (1) JP2006510277A (ja)
KR (1) KR20050085604A (ja)
AU (1) AU2003229456B2 (ja)
CA (1) CA2499938C (ja)
WO (1) WO2004056063A1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007306186A (ja) * 2006-05-10 2007-11-22 Nec Corp ホームネットワーク監視方法、ホームネットワーク監視システム
JP2009171431A (ja) * 2008-01-18 2009-07-30 Oki Electric Ind Co Ltd トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
JP2010171527A (ja) * 2009-01-20 2010-08-05 Oki Electric Ind Co Ltd オーバレイトラヒック検出システム及びトラヒック監視・制御システム
JP2015204478A (ja) * 2014-04-11 2015-11-16 富士ゼロックス株式会社 不正通信検知装置及びプログラム
JP2016051189A (ja) * 2014-08-28 2016-04-11 日本電信電話株式会社 Web表示待ち時間推定装置、方法及びプログラム
JP2016225772A (ja) * 2015-05-29 2016-12-28 株式会社日立製作所 異常検出方法、異常検出装置、及びネットワークシステム

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8468234B1 (en) * 2003-04-16 2013-06-18 Verizon Corporate Services Group Inc. Methods and systems for tracking file routing on a network
US8423645B2 (en) * 2004-09-14 2013-04-16 International Business Machines Corporation Detection of grid participation in a DDoS attack
US7626940B2 (en) * 2004-12-22 2009-12-01 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention for domain name service
US7602731B2 (en) * 2004-12-22 2009-10-13 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention with policy enforcement
US8284679B1 (en) 2005-04-22 2012-10-09 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting service disruptions in a packet network
JP4523480B2 (ja) 2005-05-12 2010-08-11 株式会社日立製作所 ログ分析システム、分析方法及びログ分析装置
JP4089719B2 (ja) * 2005-09-09 2008-05-28 沖電気工業株式会社 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US8079080B2 (en) * 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
EP1881435A1 (fr) * 2006-07-18 2008-01-23 France Télécom Procédé et dispositif de detection d'attaques de réseau par déterminer des correlations temporelles de données
WO2008052291A2 (en) * 2006-11-03 2008-05-08 Intelliguard I.T. Pty Ltd System and process for detecting anomalous network traffic
US8724467B2 (en) 2011-02-04 2014-05-13 Cisco Technology, Inc. System and method for managing congestion in a network environment
US8630247B2 (en) 2011-02-15 2014-01-14 Cisco Technology, Inc. System and method for managing tracking area identity lists in a mobile network environment
US8891373B2 (en) * 2011-02-15 2014-11-18 Cisco Technology, Inc. System and method for synchronizing quality of service in a wireless network environment
KR101215326B1 (ko) * 2011-04-13 2012-12-26 한국전자통신연구원 모바일 단말에서의 분산서비스공격을 방어하기 위한 장치 및 방법
US8902815B2 (en) 2011-07-10 2014-12-02 Cisco Technology, Inc. System and method for subscriber mobility in a cable network environment
US9198209B2 (en) 2012-08-21 2015-11-24 Cisco Technology, Inc. Providing integrated end-to-end architecture that includes quality of service transport for tunneled traffic
US9177139B2 (en) * 2012-12-30 2015-11-03 Honeywell International Inc. Control system cyber security
US9774611B1 (en) * 2014-03-11 2017-09-26 Amazon Technologies, Inc. Dynamically deploying a network traffic filter
ES2784203T3 (es) 2014-07-11 2020-09-23 Deutsche Telekom Ag Método para detectar un ataque a un entorno de trabajo conectado a una red de comunicación
US9565204B2 (en) 2014-07-18 2017-02-07 Empow Cyber Security Ltd. Cyber-security system and methods thereof
US9892270B2 (en) 2014-07-18 2018-02-13 Empow Cyber Security Ltd. System and method for programmably creating and customizing security applications via a graphical user interface
WO2016089567A1 (en) * 2014-12-01 2016-06-09 Empow Cyber Security Ltd. A cyber-security system and methods thereof for detecting and mitigating advanced persistent threats
US10193919B2 (en) 2015-08-24 2019-01-29 Empow Cyber Security, Ltd Risk-chain generation of cyber-threats
US10021130B2 (en) * 2015-09-28 2018-07-10 Verizon Patent And Licensing Inc. Network state information correlation to detect anomalous conditions
US9973528B2 (en) 2015-12-21 2018-05-15 Fortinet, Inc. Two-stage hash based logic for application layer distributed denial of service (DDoS) attack attribution
US10237194B2 (en) * 2016-01-06 2019-03-19 Futurewei Technologies, Inc. Maximize network capacity policy with heavy-tailed traffic
US10432650B2 (en) 2016-03-31 2019-10-01 Stuart Staniford System and method to protect a webserver against application exploits and attacks
JP6613200B2 (ja) * 2016-04-18 2019-11-27 ファナック株式会社 生産管理装置からの指令に応じて製造セルを制御するセル制御装置
WO2017218636A1 (en) * 2016-06-14 2017-12-21 Sdn Systems, Llc System and method for automated network monitoring and detection of network anomalies
US10122762B2 (en) 2016-06-15 2018-11-06 Empow Cyber Security Ltd. Classification of security rules
US11228610B2 (en) 2016-06-15 2022-01-18 Cybereason Inc. System and method for classifying cyber security threats using natural language processing
US20180041533A1 (en) 2016-08-03 2018-02-08 Empow Cyber Security Ltd. Scoring the performance of security products
US10505953B2 (en) 2017-02-15 2019-12-10 Empow Cyber Security Ltd. Proactive prediction and mitigation of cyber-threats
US11509692B2 (en) 2017-07-13 2022-11-22 Cybereason Inc. Creation and optimization of security applications for cyber threats detection, investigation and mitigation
KR102309347B1 (ko) 2017-11-29 2021-10-05 재단법인대구경북과학기술원 네트워크공격검출시스템

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2654726B2 (ja) * 1991-09-11 1997-09-17 富士写真フイルム株式会社 レーザーダイオードポンピング固体レーザー
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5553081A (en) * 1994-04-08 1996-09-03 Echelon Corporation Apparatus and method for detecting a signal in a communications system
US5488715A (en) * 1994-08-01 1996-01-30 At&T Corp. Process for integrated traffic data management and network surveillance in communications networks
KR100278573B1 (ko) * 1995-12-13 2001-01-15 포만 제프리 엘 접속 승인 제어 방법 및 이를 수행하는 장치
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
CA2218218A1 (en) * 1996-11-08 1998-05-08 At&T Corp. Promiscuous network monitoring utilizing multicasting within a switch
CA2276526A1 (en) * 1997-01-03 1998-07-09 Telecommunications Research Laboratories Method for real-time traffic analysis on packet networks
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
US6298048B1 (en) * 1998-04-29 2001-10-02 Hughes Electronics Corporation TDMA system timer for maintaining timing to multiple satellite simultaneously
US6526022B1 (en) * 1998-06-30 2003-02-25 Sun Microsystems Detecting congestion by comparing successive loss of packets in windows to provide congestion control in reliable multicast protocol
US6836800B1 (en) * 1998-09-30 2004-12-28 Netscout Systems, Inc. Managing computer resources
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
DE60029776T2 (de) * 1999-05-12 2007-08-02 Medtronic, Inc., Minneapolis Überwachungsvorrichtung mit anwendung von wavelettransformationen zur herzrrhythmusanalyse
US6704289B1 (en) * 1999-10-01 2004-03-09 At&T Corp. Method for monitoring service availability and maintaining customer bandwidth in a connectionless (IP) data network
AU2001262958A1 (en) * 2000-04-28 2001-11-12 Internet Security Systems, Inc. Method and system for managing computer security information
KR100694034B1 (ko) * 2000-05-13 2007-03-12 삼성전자주식회사 데이터 전송률 자동 검출장치
US6665867B1 (en) * 2000-07-06 2003-12-16 International Business Machines Corporation Self-propagating software objects and applications
US7023818B1 (en) * 2000-07-27 2006-04-04 Bbnt Solutions Llc Sending messages to radio-silent nodes in ad-hoc wireless networks
US7475405B2 (en) * 2000-09-06 2009-01-06 International Business Machines Corporation Method and system for detecting unusual events and application thereof in computer intrusion detection
US6944673B2 (en) * 2000-09-08 2005-09-13 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement point within a computer network
US20040037317A1 (en) * 2000-09-20 2004-02-26 Yeshayahu Zalitzky Multimedia communications over power lines
AU2002220049A1 (en) * 2000-12-04 2002-06-18 Rensselaer Polytechnic Institute Fault detection and prediction for management of computer networks
US7027391B2 (en) * 2001-04-26 2006-04-11 Mitsubishi Electric Research Laboratories, Inc. Adaptive bandwidth allocation by wavelet decomposition and energy analysis of network traffic
US7206459B2 (en) * 2001-07-31 2007-04-17 Ricoh Co., Ltd. Enhancement of compressed images
AU2002214897A1 (en) * 2001-11-16 2003-06-10 Cetacea Networks Corporation Method and system for detecting and disabling sources of network packet flooding
US20030165134A1 (en) * 2001-12-26 2003-09-04 Michael Low Method and system for frame synchronization and burst pattern detection in a wireless communication system
US7743415B2 (en) * 2002-01-31 2010-06-22 Riverbed Technology, Inc. Denial of service attacks characterization
US7206359B2 (en) * 2002-03-29 2007-04-17 Scientific Research Corporation System and method for orthogonally multiplexed signal transmission and reception
US7370360B2 (en) * 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US20040017779A1 (en) * 2002-07-25 2004-01-29 Moxa Technologies Co., Ltd. Remote equipment monitoring system with active warning function
US7280623B2 (en) * 2002-08-02 2007-10-09 Hypres, Inc. Digital RF correlator for multipurpose digital signal processing
US7680086B2 (en) * 2002-09-09 2010-03-16 Siemens Canada Limited Wireless local area network with clients having extended freedom of movement
US7349498B2 (en) * 2002-10-07 2008-03-25 International Business Machines Corporation Method and system for data and edge detection with correlation tables
US20050060574A1 (en) * 2003-09-13 2005-03-17 Finisar Corporation Network analysis graphical user interface

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007306186A (ja) * 2006-05-10 2007-11-22 Nec Corp ホームネットワーク監視方法、ホームネットワーク監視システム
JP2009171431A (ja) * 2008-01-18 2009-07-30 Oki Electric Ind Co Ltd トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
JP2010171527A (ja) * 2009-01-20 2010-08-05 Oki Electric Ind Co Ltd オーバレイトラヒック検出システム及びトラヒック監視・制御システム
JP2015204478A (ja) * 2014-04-11 2015-11-16 富士ゼロックス株式会社 不正通信検知装置及びプログラム
JP2016051189A (ja) * 2014-08-28 2016-04-11 日本電信電話株式会社 Web表示待ち時間推定装置、方法及びプログラム
JP2016225772A (ja) * 2015-05-29 2016-12-28 株式会社日立製作所 異常検出方法、異常検出装置、及びネットワークシステム

Also Published As

Publication number Publication date
US20040114519A1 (en) 2004-06-17
AU2003229456B2 (en) 2008-08-14
CA2499938A1 (en) 2004-07-01
WO2004056063A1 (en) 2004-07-01
AU2003229456A1 (en) 2004-07-09
CA2499938C (en) 2007-07-24
KR20050085604A (ko) 2005-08-29
EP1573999A1 (en) 2005-09-14

Similar Documents

Publication Publication Date Title
CA2499938C (en) Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function
US7356689B2 (en) Method and apparatus for tracing packets in a communications network
Wang et al. Detecting SYN flooding attacks
Mirkovic et al. D-WARD: a source-end defense against flooding denial-of-service attacks
Wang et al. Syn-dog: Sniffing syn flooding sources
Shetty et al. Rogue access point detection by analyzing network traffic characteristics
US20020032871A1 (en) Method and system for detecting, tracking and blocking denial of service attacks over a computer network
CA2564615A1 (en) Self-propagating program detector apparatus, method, signals and medium
Amaral et al. Deep IP flow inspection to detect beyond network anomalies
US20040257999A1 (en) Method and system for detecting and disabling sources of network packet flooding
Zhu et al. Correlation-based traffic analysis attacks on anonymity networks
Chen et al. Detecting early worm propagation through packet matching
Ahmed et al. Filtration model for the detection of malicious traffic in large-scale networks
Siregar et al. Implementation of network monitoring and packets capturing using random early detection (RED) method
Rai et al. Distributed DoS attack detection and mitigation in software defined network (SDN)
Wong et al. An efficient distributed algorithm to identify and traceback ddos traffic
Matoušek et al. Security monitoring of iot communication using flows
Singh et al. Denial of service attack: analysis of network traffic anormaly using queuing theory
Iheagwara et al. Evaluation of the performance of id systems in a switched and distributed environment: the realsecure case study
Chan et al. A netflow based internet-worm detecting system in large network
Iheagwara et al. A comparative experimental evaluation study of intrusion detection system performance in a gigabit environment
Streilein et al. Detecting flood-based denial-of-service attacks with snmp/rmon
Niemelä Traffic analysis for intrusion detection in telecommunications networks
Muraleedharan Analysis of TCP flow data for traffic anomaly and scan detection
GB2418563A (en) Monitoring for malicious attacks in a communications network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060512

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20061221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080627

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080708

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081209