JP2006517066A - サービス妨害攻撃の軽減 - Google Patents

サービス妨害攻撃の軽減 Download PDF

Info

Publication number
JP2006517066A
JP2006517066A JP2005518848A JP2005518848A JP2006517066A JP 2006517066 A JP2006517066 A JP 2006517066A JP 2005518848 A JP2005518848 A JP 2005518848A JP 2005518848 A JP2005518848 A JP 2005518848A JP 2006517066 A JP2006517066 A JP 2006517066A
Authority
JP
Japan
Prior art keywords
traffic
filter
network
router
border
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005518848A
Other languages
English (en)
Inventor
タルペード ラジェシュ
マドハニ スニル
ムーチャタリス ペトロス
ウォン ラリー
Original Assignee
テルコーディア テクノロジーズ インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テルコーディア テクノロジーズ インコーポレイテッド filed Critical テルコーディア テクノロジーズ インコーポレイテッド
Publication of JP2006517066A publication Critical patent/JP2006517066A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

顧客ネットワークについてのサービス妨害攻撃および分散サービス妨害攻撃などのサービス攻撃は、顧客ネットワークにサービスするインターネットサービスプロバイダ(ISP)によって検出され、続いて軽減される。センサが、攻撃トラフィックとして顧客ネットワークに入っていくトラフィックを検査する。攻撃が検出された場合、センサは、ISPネットワーク内の攻撃を軽減するための解析エンジンに通知を行う。解析エンジンは、ISPネットワークのボーダルータおよびエッジルータに新しいルーティング情報を公示するようにフィルタルータを設定する。新しいルーティング情報は、顧客ネットワークに向けて送られることになっている攻撃トラフィックおよび非攻撃トラフィックをフィルタルータに経路変更するように、ボーダおよびエッジルータに指示する。フィルタルータでは、攻撃トラフィックおよび非攻撃トラフィックが自動的にフィルタリングされ、攻撃トラフィックが除去される。非攻撃トラフィックは、顧客ネットワークに向けて送るためにISPネットワーク上に返される。

Description

本発明は、一般に、通信ネットワーク上でのサービス妨害攻撃および分散サービス妨害攻撃(併せてDDos攻撃と呼ばれる)などのサービス攻撃を軽減することに関する。より詳細には、本発明は、エッジ/顧客ネットワークに向けられたDDos攻撃を検出すること、ならびに、サービスプロバイダネットワークにおけるDDosおよび非DDosトラフィックをリダイレクトし、次いで、DDosトラフィックがエッジ/顧客ネットワークに到達する前に選択的にそのトラフィックを除去することによってこのような攻撃を軽減することに関する。
サービス妨害(DoS)攻撃および分散サービス妨害(DDoS)攻撃は、インターネットにおいて引き続き増大しつつある懸念材料である。DoS攻撃では、大量の偽装したネットワークトラフィックによって、コンピュータが、ターゲットとするシステムにフラッディング(flood)を起こさせる。DDoS攻撃は、DoS攻撃に類似するがそれよりも大規模なものである。この場合、ハッカーは、クライアントコンピュータを使用して、通常はインターネットを介して地理的に分散している複数のエージェントコンピュータに侵入する。ハッカーは、エージェントにアクセスすると、ターゲットとするネットワークおよび/またはサーバを偽装したネットワークトラフィックによってフラッディングを起こすため、クライアントコンピュータによって制御され後で他のエージェントと連動してクライアントコンピュータによって使用されるソフトウェアモジュールをインストールする。DDoS攻撃は、DoS攻撃と比べて、より大量のトラフィックを発生させ、また多数のトラフィックのソースがあるため、攻撃を阻止することがより難しくなり、さらに破壊的なものとなる。
一般に、DoSおよびDDoS攻撃は、ターゲットのネットワークのバンド幅を消費し、ターゲットのサーバを酷使し、それによって、正当なトラフィック/ユーザが、ターゲットのネットワークおよびサーバにアクセスするのを妨害することを目的としている。このような攻撃は、TFN2K、およびStacheldraht(シュタッヒェルドラート)のようなインターネットから容易に入手可能な攻撃ツールを使用して比較的簡単に作り出すことができるため、今日では深刻な問題となっている。一般に、DoSおよびDDoS攻撃は、ネットワークの活動を停止させ、したがってビジネスの活動を数時間あるいは数日間も停止させるおそれがある。
DoSおよびDDoS攻撃(以下、DDoSを、DoS攻撃とDDoS攻撃の両方を指すものとして使用する)を検出し軽減するためにいくつかのシステムが開発された。これらのシステムは、1つのエンティティのネットワーク内にその全体が存在し、攻撃の検出と軽減の両方をこのネットワークにおいて(at this point)行う。図1は、具体的には、インターネット102、ISP(インターネットサービスプロバイダ)ネットワーク104、ISPネットワーク104のサービスを受けるエッジ/顧客ネットワーク106、ならびに複数のピアの自律システム108、110、および111を含む、例示的なネットワークを示す。インターネット102、ISPネットワーク104、およびピアの自律システム108、110、および112は、ボーダルータ114、116、118、120、122、124、126、および128によって相互接続され、ISPネットワーク104、および顧客ネットワーク106は、エッジルータ130、アクセスルータ132、およびアクセスリンク134によって相互接続されている。顧客ネットワーク106およびそのネットワーク内のサーバなどターゲットのネットワークに対するDDoS攻撃は、インターネット102、およびピアの自律システム108、110、および112に位置する複数のエージェントから発信される。従来のDDoS検出および軽減システムは、専用のハードウェアを備え、それは顧客ネットワーク106内に設けられる。これらのシステムは、ネットワークに入ってくるインターネットトラフィックを監視することにより、DDoS攻撃を軽減する。これらのシステムは、そのようなトラフィックを解析して、期待されるトラフィックプロファイルからの逸脱があるかどうかを決定し、または、ある種の攻撃に固有のシグネチャ(すなわち、各種のDDoS攻撃によって生成されたパケットは、攻撃の種類に応じて固有のパターンを有するが、そのパターンをシグネチャと呼ぶ)をトラフィックが有するかどうかを決定する。これらのシステムは、期待されるプロファイルに反し、または既知のシグネチャと一致するトラフィックを検出すると、1組のフィルタを設定してファイアウォールのように機能し、それにより悪意のあるトラフィックがさらにネットワーク106に入るのを防止する。
これらのシステムは、攻撃を検出し軽減することができるが、いくつかの欠点を有する。第1に、ISPによってサービスされる各顧客ネットワーク106では、攻撃を検出し軽減するための専用ハードウェアを購入する必要がある。専用ハードウェアは、大規模の顧客には選択肢となり得るが、このようなシステムを入手することができないSOHO(スモールオフィス/ホームオフィス)などのより小規模の顧客には、実行可能な解決策ではない。結果として、このようなより小規模な顧客は、DDoS攻撃の軽減をISPに依頼することになる。しかし、悪意のあるクライアント/エージェントは、IP(インターネットプロトコル)ソースアドレスのスプーフィング(spoofing)を用いて、その身元を隠すことが多いため、しばしばISPが攻撃を緩和することが困難となる。IPスプーフィングのため、ISPは、まず稼動中のルータにアクセスすることなく、悪意のあるトラフィックのネットワーク内への入口点を簡単に決定することはできず、その結果、悪意のあるトラフィックを除去するためにISPが適切なフィルタを設定することは容易ではないのである。このような従来のシステムの第2の欠点は、ターゲットにおいてDDoS攻撃を軽減することが難しいことである。上述したように、具体的には、DDoS攻撃が検出されると、トラフィックのフィルタリングは、顧客ネットワーク106において行われる。したがって、ISPネットワーク104は、続いて、エッジルータ130、アクセスルータ132、およびアクセスリンク134を介して顧客ネットワーク106において、悪意のあるトラフィックと有効なトラフィックの両方について集約して方向付けるが、そのアクセスリンクは、例えば、T−1、デジタル加入者線、またはISDN(総合デジタル通信サービス網)などの数百kbpsの比較的狭いバンド幅を有することがある。したがって、このような従来のシステムは、顧客ネットワーク106内からボトルネック(bottleneck)を除去する一方で、顧客ネットワークにアクセスするために使用される(エッジルータ、アクセスリンク、およびアクセスルータを含む)限られた資源は、引き続き、DDoS攻撃によって消費される可能性があり、したがって引き続き、DDoS攻撃によって、有効なネットワークトラフィックに対するボトルネックが作り出されることを阻止できない。その結果、顧客ネットワーク106を対象とする有効なネットワークトラフィックは、やはり悪意のあるトラフィックと競合しなければならなくなる。したがって、このような現行のシステムでは、攻撃が充分に軽減されないという問題がある。
したがって、従来のシステムの欠点を解消し、顧客ネットワークに対するDDoS攻撃を含めたサービス攻撃を検出し軽減する方法および装置を有することが望ましい。
具体的には、本発明によれば、ISPネットワークの各顧客ネットワークにセンサが関連付けられる。このセンサは、顧客ネットワークに入っていくネットワークトラフィックにアクセス可能で、DDoS攻撃を検出することを目的とする、複数のセンサフィルタを含むモジュールである。このセンサモジュールは、顧客ネットワークまたはISPネットワーク内に設置されたホストプラットフォーム上で実行される。このホストプラットフォームは、DDoSトラフィックを検出するために専用のものであるか、あるいは、顧客ネットワークまたはISPネットワーク内に既に設置され他の機能を担っている既存のプラットフォームである。センサは、攻撃を検出すると、攻撃を軽減するために、ISPネットワーク内に配置されている解析エンジンに通知を行う。
攻撃の通知を受け取ると、攻撃されている顧客ネットワークに基づいて、解析エンジンは、やはりISPネットワーク内に配置される1つまたは複数のフィルタルータを設定する。具体的には、各フィルタルータは、ISPネットワークを構成するボーダルータおよびエッジルータの全部または一部と共に、IP−in−IPトンネルを維持し、さらに、これらのIP−in−IPトンネルを介して、それにより接続された各ボーダおよびエッジルータと共に、外部ボーダゲートウェイプロトコル(external border gateway protocol)(eBGP)セッションを維持する。解析エンジンは、eBGPセッションを使用して、新しいルーティング情報をボーダおよびエッジルータに公示するように、フィルタルータを設定する。新しいルーティング情報は、ボーダおよびエッジルータに、攻撃を受ける顧客ネットワークに向けられているすべてのDDoSトラフィックおよび非DDoSトラフィックを経路変更し、IP−in−IPトンネルを使用してフィルタルータに向けて送るように指示する。
フィルタルータにおいて、IP−in−IPトンネルの入口ポートには、1組の予め設けられたトラフィックフィルタがある。ボーダおよびエッジルータからリダイレクトされたDDoSおよび非DDoSトラフィックは、自動的にこれらのフィルタを介して渡され、それによってDDoSトラフィックが除去される。DDoS以外のトラフィックは、ISPネットワークに送り返され、顧客ネットワークに向けて送られる。
本発明の独創的な検出および軽減システムの結果として、DDoSトラフィックは、まだISPネットワーク内にある間にハイエンドシステムによって除去され、集約されてカスタマネットワークに向け送られることはなく、したがって、DDoSでないトラフィックは、DDoS攻撃の影響を受けずに大部分が顧客ネットワークに向けて移動することが可能になる。さらに、本発明の独創的なシステムは、ISPネットワークが成長するのに伴い、追加のフィルタルータおよびボーダ/エッジルータを加えることにより、容易に拡張することができる。さらに、DDoSおよび非DDoSのトラフィックを、ボーダおよびエッジルータからフィルタルータにリダイレクトするためにIP−in−IPトンネルが使用されるので、ISPネットワークのコアを構成するルータを、攻撃を軽減するときに再設定する必要がない。結果として、本発明の独創的なシステムは、攻撃の対象となっていない顧客ネットワークに向けられたトラフィックに影響を与えない。最後に、本発明の独創的なシステムは、各顧客ネットワークに設置される専用/特別のハードウェアを必要としない。
図2は、エッジ/顧客ネットワーク204/206におけるDDoS攻撃を動的に検出しこれらの攻撃を軽減するための本発明の独創的なDDoS検出および軽減システムの、例示的な実施形態を示す図である。本発明の独創的なシステムの特徴は、顧客ネットワーク204/206に向けられたDDoS攻撃を検出し、ISPネットワーク202においてこれらの攻撃を軽減することである。重要な点は、本発明の独創的なシステムは、各顧客ネットワークにおいて特別な専用ハードウェアの設置を必要としないということである。さらに、本発明の独創的なシステムは、ISPネットワーク内においてDDoS攻撃を軽減するため、悪意のあるトラフィックは、エッジルータ226/228、アクセスルータ214/215、およびアクセスリンク216/217を介して顧客ネットワーク204/206に向けて送られることはなく、したがってDDoSでないトラフィックに対するDDoSトラフィックの影響が除去されるようになるという点が重要である。
具体的には、本発明の独創的なDDoS検出および軽減システムは、ボーダルータ220、222、および224、ならびにエッジルータ226、および228を含めたISPネットワーク202内の既存のインフラストラクチャを含み、さらにISPネットワーク内に配置された1つまたは複数のフィルタルータ230(図2には1つのフィルタルータのみを示す)、フィルタルータ230内に配置された複数のトラフィックルータ250、各ボーダおよびエッジルータから各フィルタルータへの予め設けられたIP−in−IPトンネル238、240、242、244、および246、ISPネットワーク内に配置された解析エンジン232、各顧客ネットワーク204/206に関連付けられたセンサ234/236、ならびに各センサ234/236に配置された複数のセンサフィルタ248を備える。ISPネットワーク202は、複数のコアネットワークルータおよび接続機器(connection)をさらに備え、これらのルータおよび接続機器は、解析エンジン232、フィルタルータ230、ならびにボーダおよびエッジルータ220、222、224、226、および228を相互に接続する。作図を容易にするため、図2には、このようなコアのルータおよび接続機器を示していない。
本発明によれば、センサ234/236は、ISPネットワーク202からエッジルータ226/228、アクセスリンク216/217、およびアクセルータ214/215を経由して顧客ネットワーク204/206に入るすべてのトラフィックを監視し、起こり得るDDoS攻撃に関してセンサフィルタ248を介して解析する。ネットワーク204などの顧客ネットワークに対するDDoS攻撃は、インターネット208、ピアの自律システム210および212、ならびに/またはISPネットワーク202からサービスを受ける他の顧客ネットワーク206から発信される可能性がある。センサ204などのセンサは、攻撃を検知し、解析エンジン232にその攻撃について伝える。このような攻撃の表示を受け取ると、解析エンジン232は、各ボーダルータ220、222、および224、ならびに各エッジルータ228に新しいルーティング情報を公示する(あるいは、2つ以上のフィルタルータが用いられる場合は、ボーダおよびエッジルータの一部に公示する)よう、1つまたは複数のフィルタルータ230を設定する。フィルタルータ230は、IP−in−IPトンネル238、240、244、および246を介して、この新しいルーティング情報をボーダおよびエッジルータに公示する。この新しいルーティング情報は、ボーダおよびエッジルータに、顧客ネットワークに向けられているすべてのDDoSおよび非DDoSトラフィックを経路変更し、IP−in−IPトンネル238、240、244、および246を使用してフィルタルータ230に送るように指示する。トラフィックフィルタ250は、IP−in−IPトンネル238、240、244、および246の入口ポートに予めプロビジョニングされており、ボーダおよびエッジルータからリダイレクトされたトラフィックを自動的にフィルタリングして、DDoSトラフィックを除去し、すべての非DDoSトラフィックをISPネットワーク202に送り返して顧客ネットワーク204に転送する。本発明の独創的な検出および軽減システムを使用した結果、DDoSトラフィックは、ISP202内にあるうちにハイエンドシステムによって除去され、エッジルータ226、アクセスリンク216、およびアクセスルータ214を介し顧客ネットワーク204に向けて集約され送られることがなくなり、したがって、これらの資源におけるボトルネックの発生が防止される。したがって、非DDoSトラフィックは、DDoS攻撃の影響を受けずに大部分が顧客ネットワーク204に向けて引き続き移動することが可能になる。
後にさらに説明するが、センサ234/236およびセンサフィルタ248は、顧客ネットワークおよび/またはISPネットワーク内の既存のハードウェアモジュール上に存在することが望ましく、それによって顧客ネットワーク内に専用の特別なハードウェアを設置する必要が回避される点も重要である。さらに、IP−in−IPトンネル238、240、242、244、および246が、ボーダおよびエッジルータ220、222、224、226、および228からフィルタルータ230にトラフィックをリダイレクトするために使用されることから、DDoS攻撃を軽減するためにISPネットワーク202を再設定する必要はなく、したがって他のトラフィック、および攻撃のターゲットでなくISPネットワーク202からサービスを受ける他の顧客ネットワークに対し発生する可能性のある影響が回避される。同様に、本発明の独創的なシステムは、攻撃を軽減するため、コアネットワークルータ、ならびにボーダおよびエッジルータを含めて稼動中のネットワークルータにアクセスする必要がない。
次に、本発明の独創的なDDoS検出および軽減システムを構成する各コンポーネントを詳細に説明する。センサ234/236は、ISPネットワーク202から顧客ネットワーク204/206に入るすべてのトラフィックに対して可視性を有する。センサは、(図2に示す)顧客ネットワークに、またはISPネットワーク202に対する顧客ネットワークのアクセスポイントに設置されたホストプラットフォーム上で(すなわち、顧客ネットワークに入るすべてのトラフィックに対してセンサが可視性を有する位置で)実行される。このホストプラットフォームは、DDoSトラフィックを検出するために専用のものか、または顧客ネットワークおよび/またはISPネットワーク内に既に設置され他の機能を担っている既存のプラットフォームである。センサ234/236を使用することに加え、本発明によるDDoS検出および軽減システムは、顧客ネットワーク内に設置されたサードパーティの侵入検知システムに組み込むこともできることに留意されたい。このようなシナリオでは、サードパーティの侵入検知システムは、上述のように、DDoS攻撃を検出し、それを解析エンジン232に通知して、攻撃を軽減する。同様に、本発明の独創的なシステムは、手動で活動状態にすることもでき、その場合、顧客ネットワークの管理者が、DDoS攻撃をISPに報告し、次いでISPが解析エンジン232を活動状態にする。
センサ234/236は、顧客ネットワークに入るすべてのトラフィックを監視し、顧客ネットワークに流れ込む現在のTCP(伝送制御プロトコル)、UDP(ユーザデータグラムプロトコル)、ICMP(インターネット制御メッセージプロトコル)、およびIPのパケットに関係するパケット種別の情報を、センサフィルタ248を介して追跡し、顧客ネットワークに入っていくビットレートに関係するレートの種別情報を追跡する。センサフィルタ248は、いくつかの種類を含む。第1組のセンサフィルタ248は、パケットに基づく情報を使用して、StacheldrahtおよびTFN2Kなど既知のDDoS攻撃ツールに対応するDDoSフラッディングトラフィックに対してシグネチャに基づく検出を実行する。第2組のセンサフィルタ248は、無効のフィールド値に関してパケットヘッダを解析する。具体的には、本発明者は、プロトコル標準に基づいて、様々なプロトコルについて様々なパケットヘッダフィールドでの有効な値の範囲を決定した。センサフィルタは、パケットヘッダを解析して、定義された有効値の範囲を越えたフィールド値を探し、無効なフィールド値が発見されたときにエラーを検出する。第3組のセンサフィルタは、ビットレート情報を使用して、設定可能な閾値に基づき、DDoSフラッディングトラフィックに対して量に基づく検出を実行する。DDoSフラッディングトラフィックのシグネチャに基づく検出は、既知の攻撃ツールを対象とし、パケットヘッダ検出は、定義されたプロトコル標準に基づいているが、量に基づく検出は、新しい/未知の種類のDDoS攻撃を検出することができる。
DDoS攻撃を検出することに加え、第4組のフィルタ248は、収集したパケット情報を使用して、DDoS制御トラフィックのシグネチャに基づく検出を実行する。制御トラフィックを検出することにより、センサフィルタは、対応する顧客ネットワーク内のホストが、DDoS攻撃元のクライアントまたはエージェントとしてアクセスされ利用されているかどうかを決定することができる。本発明によれば、上記以外の他の種類のセンサフィルタ248を、センサ234/236に設けることもできることに留意されたい。
DDoS制御トラフィックが検出されたかどうか、あるいは、DDoS攻撃が検出されたかどうかにかかわらず、センサ234/236は、このイベントの通知を解析エンジン232に送る。具体的には、センサ234/236がDDoS制御トラフィックを検出した場合、センサはDDoS制御シグネチャに基づく通知を解析エンジンに送る。センサがDDoS攻撃を検出した場合、センサはDDoS攻撃に基づく通知を解析エンジン232に送る。
センサ234/236と解析エンジン232の間の通知の通信は、任意の種類の通信チャネルを介して行うことができる。ただし、センサ234/236と解析エンジン232の間での通信は、IPSec(IPセキュリティ)トンネルを介して行われることが好ましく、このトンネルは手動または自動で確立することができる。さらに、通知は、侵入検知メッセージ交換フォーマット(Intrusion Detection Message Exchange Format)(IDMEF)を用いてフォーマットされることが好ましく、それにより、解析エンジンは、上述のようにサードパーティの侵入検知システムに容易に組み込むことができる。このようなデータフォーマットは、例えばXML(拡張マークアップ言語)を使用して実装することができる。
解析エンジン232は、例えばネットワークオペレーションセンタにおけるISPネットワーク202内に存在し、各顧客ネットワーク204および206に関連付けられた1つまたは複数のセンサ234および236にサービスする。先に示したように、本発明によれば、センサがDDoS制御トラフィックまたはDDoS攻撃を検出したとき、解析エンジンはセンサから自動通知を受け取る。解析エンジンは、DDoS制御に基づく通知を受け取ったとき、ISPポリシーマネージャ(policy manager)に通知を行う。解析エンジンは、DDoS攻撃に基づく通知を受け取ったとき、1つまたは複数のフィルタルータ230を設定することにより自動的に攻撃を軽減する。具体的には、解析エンジンは、新しいルーティング情報をボーダおよびエッジルータ220、222、224、226、および228に公示するようにフィルタルータを設定する。フィルタルータからの新しいルーティン情報は、攻撃を受ける顧客ネットワークに向けて送られることになっているすべてのDDoSおよび非DDoSトラフィックを経路変更してフィルタルータに送るようにボーダおよびエッジルータに指示する。
ISPネットワーク202により検出された攻撃を軽減することが可能となるが、これに加え、解析エンジン232は、本発明の独創的なDDoS検出および軽減システムの維持も行う。具体的には、解析エンジンは、フィルタエンジン230上にトラフィックフィルタ250のプロビジョニングを予め行い、また、センサ234/236上にセンサフィルタ248を予めプロビジョニングする。さらに、ISPネットワークの防御の姿勢/ポリシーに応じて、解析エンジンは、いくつかのトラフィックフィルタ250およびセンサフィルタ258を無効にすることによってフィルタルータ230およびセンサ234/236におけるフィルタリングの重大度を自動的に調節することができ、したがってマルチレベルのフィルタリングを作成することができる。
同様に、解析エンジン232、センサフィルタ248、およびトラフィックフィルタ250の更新も行う。DDoSフラッディングトラフィックおよびDDoS制御トラフィックを検出するために使用されるセンサフィルタ248は、既知の攻撃ツールのシグネチャに基づいている。新しい攻撃ツールが作り出されたときは、その新しいツールのシグネチャに対応する新しいセンサフィルタが必要とされる。したがって、解析エンジンは、必要とされる新しいセンサフィルタ248をダウンロードすることによって、定期的にセンサ234および236を更新することができる。同様に、フィルタルータ230にあるトラフィックフィルタ250は、既知の攻撃ツールのシグネチャに基づき、さらに、後述するように、ボーダルータを介した予測されるIPパケットの流れにも基づいている。新しい攻撃ツールが作り出され、またIPルーティング/フローを変更するネットワーク設定が変更されるのに応じ、やはり、解析エンジンは、必要とされる新しいトラフィックフィルタ250をダウンロードすることによって、フィルタルータ230を定期的に更新することができる。
最後に、解析エンジン232は、ISPネットワークのエッジにおいてDDoS攻撃を遮断するのを支援する。具体的には、トラフィックフィルタ250がパケットを廃棄していく際、解析エンジンは、各IP−in−IPトンネル238、240、242、244、および246についてフィルタルータ230によって維持されるパケット廃棄カウンタ(packet−drop−counter)に、定期的にポーリング(poll)することができる。どのフィルタがパケットを廃棄しているかを知ることにより、解析エンジンは、どのボーダおよび/またはエッジルータ220、222、224、226、および230がDDoSフラッディングを生成するために使用されているか、したがって、どのピア自律システム208、210、212、204、および206がDDoSフラッディングを生成するために使用されているかを決定することができる。これには、攻撃元を決定し遮断しようと試みる場合に、ボーダおよびエッジルータなど稼動中のネットワークルータにアクセスする必要がないという利点がある。
同様に、解析エンジン232は、DDoS攻撃がいつ完了したかを決定することができ、ネットワークをその元の状態に回復することができる。具体的には、フィルタルータ230によって維持されるパケット廃棄カウンタを定期的にポーリングすることにより、解析エンジン232は、いつカウンタがもはや増分されないかを決定することができる。解析エンジン232は、カウンタが増分を停止したときにDDoS攻撃が終了したと結論付けることができる。したがって、解析エンジン232は、DDoSおよび非DDoSトラフィックをもはやフィルタルータ240にリダイレクトしないようボーダおよびエッジルータに指示するeBGPルーティング情報を、ボーダおよびエッジルータに送るようにフィルタ240を設定することができ、したがってネットワークは元の状態に回復する。
図示されているフィルタルータ230を参照すると、それはISPネットワーク202内にある。ISPネットワークのサイズ、ならびに/またはISPネットワークからサービスを受ける顧客ネットワーク204および206の数およびサイズに応じて、本発明のシステムは、複数のフィルタルータを含むことができる。これらのフィルタルータは、本発明の独創的なトラフィックフィルタ250に対応する複数の特定のパケットフィルタを有し、パケットフィルタリングファイアウォール機能を有する、市販の入手可能なハイエンドルータである。またはこれに代えて、フィルタルータ230は、別個のハイエンドルータ、および別個のファイアウォールを有する2つの市販の入手可能なシステムを備えることができる。ここでは、本発明の独創的なトラフィックフィルタ250は、ファイアウォールコンポーネント内に組み込まれている。
解析エンジン232がアクセスして、上述のフィルタルータに事前に所定の値を設定し、および自動的に設定することが可能である。解析エンジンは、事前設定によって、予め定められたある時間に、トラフィックフィルタ250を、IP−in−IPトンネル238、240、242、244、および246の各入口ポートに設ける。さらに、解析エンジンは、トラフィックフィルタ250を必要に応じて更新することもできる。解析エンジンは、自動化設定によって、フィルタルータが、DDoS攻撃時に新しいルーティング情報を公示するように設定する。フィルタルータと解析エンジンの間での事前設定および自動化設定の通信は、IPSecトンネルなどのセキュアな通信を介して行われることが好ましい。
フィルタルータは、ISPネットワーク202内の各ボーダおよびエッジルータ220、222、224、226、および228と共に、予めプロビジョニングされたIP−in−IPトンネル238、240、242、244、および246を維持する。あるいは、複数のフィルタルータがISPネットワーク内に設置されている場合、各フィルタルータは、ボーダおよびエッジルータのうち一部だけに割り当てることができ、この場合は、IP−in−IPトンネルは、フィルタルータとそれが割り当てられたボーダ/エッジルータの間だけで維持される。各IP−in−IPトンネルを介して、フィルタルータ230は、その対応するボーダ/エッジルータと共にeBGPセッションを維持する。さらに、ボーダおよびエッジルータは、IP−in−IPトンネルを使用して、DDoS攻撃の際にDDoSおよび非DDoSトラフィックをフィルタルータにリダイレクトする。したがって、IP−in−IPトンネルにより、フィルタルータ、ボーダルータ、およびエッジルータの間は論理的に隣接していることを維持し、それによって、フィルタルータ、ならびにボーダおよびエッジルータが、ISPネットワーク202内で物理的に隔離されることが可能になる。IP−in−IPトンネルは、フィルタルータ/解析エンジンが起こり得るDDoS攻撃の通知を受けるのに先立って、ネットワーク設定の際に予めプロビジョニングれることに留意されたい。
本発明によれば、顧客ネットワーク204に関連付けられたセンサ234などのセンサが、DDoS攻撃を検出し、このイベントを解析エンジン232に通知したとき、解析エンジンは、フィルタルータ230を、新しいルーティング情報を公示するように設定する。フィルタルータは、それが各ボーダおよびエッジルータと共に維持するeBGPセッションを用いて、この新しいルーティング情報を公示する。フィルタルータによって公示された新しいルーティング情報は、顧客ネットワーク204に向けて送られることになっているすべてのDDoSおよび非DDoSトラフィックを、例えばIP−in−IPトンネルを介してフィルタルータ230に向けて送るように、ボーダおよびエッジルータに指示する。
ボーダおよびエッジルータが、前述のように再設定されると、フィルタルータ230は、IP−in−IPトンネル238、240、244、および246の入口ポイントでDDoSおよび非DDoSトラフィックの両方の受け取りを開始する。予め定められた/予め設けられたトラフィックフィルタ250のセットは、各IP−in−IPトンネル238、240、244、および246のフィルタルータの入口ポートにある。悪意のあるトラフィックを除去するため、ボーダ/エッジルータからリダイレクトされたトラフィックは、DDoS攻撃の際に自動的にこれらのフィルタに通される。トラフィックフィルタが、非DDoSトラフィックを通過させ、次いで、フィルタルータが、このトラフィックをエッジルータ226および顧客ネットワーク204に送るためにISPネットワーク202に送り返す。フィルタルータは、顧客ネットワーク204に非DDoSトラフィックを送るために、(顧客ネットワーク204が攻撃を受けていることを想定して)IP−in−IPトンネル242を使用しないことに留意されたい。
予め定められた/予め設けられたトラフィックフィルタ250については、本発明によるいくつかの種類がある。第1組のトラフィックフィルタ250は、StacheldrahtおよびTFN2Kなど既知のDDoS攻撃メカニズムのシグネチャと合致するトラフィックを除去する、シグネチャに基づくフィルタである。第2組のトラフィックフィルタ250は、様々なプロトコル標準で有効であると定義された範囲を越えるフィールド値を有するパケットを除去する。最後に、本発明によれば、第3組のトラフィックフィルタ250は、「入口ボーダルータフィルタ(ingress border router filter)」である。具体的には、ISPネットワーク202(またはISP顧客ネットワーク204/206)に割り振られずにISPネットワーク内の特定のIPアドレスに向けられる特定のIPアドレスブロックから到着するトラフィックは、ISPネットワーク202に隣接する特定のピア自律システム208、210、および212にマップすることができることを本発明者は発見した。言い換えれば、ISPネットワーク202の外部のアドレスから開始する任意のIPアドレスブロックからのトラフィックが与えられたとすると、どのピア自律システム210、212、または208から(すなわち、どのボーダルータ220、222、または224を介して)、そのトラフィックがISPネットワーク202に入るのかを予め定めることができる。あるIPアドレスブロックに関連する外部トラフィックは、予め定められたピア自律システムから発信されても、単にそのシステムを使用してISPネットワークに入ってもよいことに留意されたい。攻撃者がIPスプーフィングを用いて攻撃元のクライアントおよびエージェントを隠すことが多いので、この発見によりDDoS攻撃トラフィックをさらに除去することが可能となる。言い換えれば、DDoS攻撃の際に、隣接ピア自律システム210、212、または208/ボーダルータ220、222、または224からISP202に入ってくる悪意のあるトラフィックは、その隣接するピア自律システム/ボーダルータからISPネットワークに入る通常のトラフィックと一致しないソースIPアドレスをしばしば有する。したがって、通常は各ボーダルータを通過しISPネットワーク202に向けて送られる予定のIPアドレスブロックを知ることにより、フィルタルータ230に1組の「入口ボーダルータフィルタ」を予め設ける。所与のボーダルータからのIP−in−IPトンネルの入口ポート上に与えられた「入口ボーダルータフィルタ」は、そのボーダルータを介してISPネットワークに通常入るソースIPアドレスを有していないトラフィックを除去する。本発明によれば、フィルタルータ230に、上述の種類とは別の種類のトラフィックルータ250を設けることもできることに留意されたい。
ボーダおよびエッジルータ220、222、224、226、および228を参照すると、これらは、市販の入手可能な製品である。これらのシステムは、IP−in−IPトンネルを事前に設定する必要がある以外は、通常通りに動作し、DDoS攻撃を軽減するために解析エンジン232によるアクセスを必要としない。
本発明の独創的な、ボーダ/エッジルータ、IP−in−IPトンネル、解析エンジン、およびフィルタルータ/トラフィックフィルタの組み合わせは、いくつかの利点を有する。第1に、複数のフィルタルータが使用される場合、フィルタルータ間またはボーダルータ間での同期/調整が必要ではない。したがって、追加の顧客ネットワークがISPネットワーク202に追加され、かつ/または追加のピアネットワークがISPネットワークに組み込まれる場合、本発明の独創的なシステムは、追加のフィルタルータおよびボーダ/エッジルータを追加することによって容易に拡張される。第2に、攻撃を受けている顧客ネットワークに向けて送られる予定のDDoSおよび非DDoSトラフィックは、IP−in−IPトンネルを使用して、フィルタルータに経路変更されるため、ISPネットワーク202のコアを構成するルータは、攻撃を軽減するために再設定する必要がない。したがって、攻撃を受けていない顧客ネットワークに向けて送られるトラフィックは、影響を受けない。同様に、本発明の独創的なシステムは、攻撃を緩和するために、稼動中のネットワークルータにアクセスする必要がなく、このようなアクセスする必要がないネットワークルータには、コアネットワークルータが含まれ、さらに重要なことにボーダおよびエッジルータも含まれる。これらのボーダおよびエッジルータは、ISPネットワークの既存の機能/プロトコル(すなわちeBGP)を用いて再設定される。第3に、ハイエンドフィルタルータは、悪意のあるトラフィックを除去するので、エッジルータ226/228、アクセスリンク216/217、およびアクセスルータ214/215の限られた資源が、悪意のあるトラフィックによって、より多く費やされることがない。したがって、攻撃が緩和されたあと、非DDoSトラフィックの遅延は最小限になる。
図3A〜3Cは、本発明の独創的なDDoS検出および軽減システムの動作を示す簡略化されたネットワークを示す図である。図3Aでは、顧客ネットワーク204は、ピア自律システム210および212、ならびに顧客ネットワーク206から、悪意のあるDDoSトラフィック302、および所望の非DDoSトラフィック304を受け取っている(要素305は、DDoSおよび非DDoSトラフィックについての手掛かりを与えている)。図3Bに示すように、センサ234のセンサフィルタ248は、DDoS攻撃を検出し、センサは、攻撃通知306を解析エンジン232に発行する。解析エンジンは、矢印308で示すように、フィルタルータ230を、ボーダおよびエッジルータ220、222、および228に新しいルーティング情報を公示するように設定し、この新しいルーティング情報の公示は、矢印310、312、および314で示されている。フィルタルータは、それがボーダおよびエッジルータと共にIP−in−IPトンネル238、240、および244を介して維持するeBGPセッションによって、新しいルーティング情報を公示する。図3Cに示すように、新しいルーティング情報に応答して、ボーダおよびエッジルータは、顧客ネットワーク204を対象とするDDoSトラフィック302および非DDoSトラフィック304をリダイレクトして、(要素307は、リダイレクトされたDDoSおよび非DDoSトラフィックについての手掛かりを与えている)IP−in−IPトンネル238、240、および244を介してフィルタルータ230に送る。フィルタルータは、トラフィックフィルタ250によって、DDoSトラフィックを、IP−in−IPトンネルを介して受け取った着信トラフィックから除去し、非DDoSトラフィックを、矢印312で示すように、ISPネットワーク202上に返して顧客ネットワークに向けて渡す。
本発明の上述の実施形態は例示にすぎない。他の多数の実施形態は、本発明の趣旨および範囲を逸脱することなく当業者によって考案することができる。
頭字語の説明
DOS: サービス妨害(Denial of Service)
DDoS: 分散サービス妨害(Distributed Denial of Service)
DSL: デジタル加入者線(digital Subscriber Line)
eBGP: 外部ボーダゲートウェイプロトコル(External Border Gateway Protocol)
IMCP: インターネット制御メッセージプロトコル(Internet Control Message Protocol)
IDMEF: 侵入検知メッセージ交換フォーマット(Intrusion Detection Message Exchange Format)
IP: インターネットプロトコル(Internet Protocol)
IPSec: IPセキュリティ(IP Security)
ISDN: 総合デジタル通信サービス網(Integrated Services Digital Network)
ISP: インターネットサービスプロバイダ(Internet Service Provider)
SOHO: スモールオフィス/ホームオフィス(Small Office/Home Office)
TCP: 伝送制御プロトコル(Transmission Control Protocol)
UDP: ユーザデータグラムプロトコル(User Datagram Protocol)
XML: 拡張マークアップ言語(Extensible Markup Language)
本発明の独創的なDDoS検出および軽減システムを適用することができる従来技術の例示的ネットワークであって、ISPネットワーク、ISPネットワークからサービスを受ける顧客ネットワーク、および、ISPネットワークに対してピアの複数の自律システムを含むネットワークを示す図である。 図1に示すネットワークに適用される本発明の独創的なDDoS検出および軽減システムの例示的実施形態を示す図であり、本発明の独創的なシステムは、顧客ネットワークに向けられたDDoS攻撃を検出するためのセンサを含み、さらに、ISPネットワーク内に、検出された攻撃を軽減するための、解析エンジン、フィルタルータ、ボーダ/エッジルータ、およびIP−in−IPトンネルを含む図である。図である。 図2に示す本発明のDDoS検出および軽減システムの動作の実例を示し、顧客ネットワークがDDoSおよび非DDoSトラフィックを受け取ることを示す図である。 図2に示す本発明のDDoS検出および軽減システムの動作の実例を示し、顧客ネットワークに関連付けられたセンサが、解析エンジンに攻撃について通知することを示し、さらに、解析エンジンが、顧客ネットワークに向かう予定のトラフィックについての新しいルーティング情報を、IP−in−IPトンネルを介してボーダおよびエッジルータに公示するように、フィルタルータを設定することを示す図である。 図2に示す本発明のDDoS検出および軽減システムの動作の実例を示し、DDoSおよび非DDoSトラフィックが、ボーダおよびエッジルータによってリダイレクトされ、IP−in−IPトンネルを介してフィルタルータに送られること、ならびに、フィルタルータが、DDoSトラフィックを除去し、非DDoSトラフィックを、顧客ネットワークに送るためにISPネットワーク上に返すことを示す図である。

Claims (18)

  1. 複数のボーダルータおよびエッジルータを含むインターネットサービスプロバイダ(ISP)ネットワークに接続された目標である特定のエッジネットワークに対するサービス攻撃を軽減するシステムであって、
    前記ISPネットワーク内にあり、前記目標である特定のエッジネットワークに対するサービス攻撃が検出されると通知を受ける解析エンジンと、
    前記フィルタルータに設けられる複数のトラフィックフィルタを含む、前記ボーダおよびエッジルータとは異なるフィルタルータと
    を備え、
    前記解析エンジンは、サービス攻撃を通知されると、新しいルーティング情報を前記ボーダおよびエッジルータのうちの1つまたは複数に公示するように前記フィルタルータを設定し、前記公示された新しいルーティング情報は、前記ボーダおよびエッジルータに、前記目標である特定のエッジネットワークを対象とする前記サービス攻撃およびサービス攻撃でないトラフィックのみを前記フィルタルータにリダイレクトするように指示し、前記トラフィックフィルタは、前記リダイレクトされたサービス攻撃トラフィックを前記ISPネットワークから除去し、前記リダイレクトされたサービス攻撃でないトラフィックが、前記目標である特定のエッジネットワークに進むことを可能にすることを特徴とするシステム。
  2. 前記目標である特定のエッジネットワークに入るトラフィックにアクセスすることができ、前記アクセスのトラフィックを解析して、前記目標である特定のエッジネットワークに対する前記サービス攻撃を検出する複数のセンサフィルタをさらに備えたことを特徴とする請求項1に記載のシステム。
  3. 前記センサフィルタおよび前記トラフィックフィルタは、前記トラフィックを構成するパケットのヘッダが、定義された範囲を越えるフィールド値を有するかどうかに基づいて、サービス攻撃の検出および除去をそれぞれ行うパケットヘッダに基づくフィルタを含むことを特徴とする請求項2に記載のシステム。
  4. 前記センサフィルタは、サービス攻撃によるフラッディングのトラフィックの量に基づく検出を行うボリュームベースのフィルタを含むことを特徴とする請求項2に記載のシステム。
  5. 前記トラフィックフィルタは、所与のパケットが、所与のボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合、前記所与のパケットを除去するフィルタを含むことを特徴とする請求項1に記載のシステム。
  6. 前記解析エンジンは、サービス攻撃に先立ち、前記センサフィルタおよび前記トラフィックフィルタを予めプロビジョニングすることができることを特徴とする請求項2に記載のシステム。
  7. 前記解析エンジンは、前記システムの前記検出の重大度を調節するため、1つまたは複数の設けられたトラフィックフィルタおよびセンサフィルタを無効にすることができることを特徴とする請求項6に記載のシステム。
  8. 各々が前記フィルタルータと、ボーダまたはエッジルータとの間に設けられた複数のIP−in−IPトンネルであって、前記リダイレクトされたサービス攻撃トラフィックおよびサービス攻撃でないトラフィックは、前記ボーダおよびエッジルータから前記IP−in−IPトンネルを介して前記複数のトラフィックフィルタを有する前記フィルタルータに向けて送られ、前記複数のトラフィックフィルタは、前記ボーダおよびエッジルータから離れた前記フィルタルータにおける各IP−in−IPトンネルの入口点に設けられているトンネルと、
    前記フィルタルータにおいて各IP−in−IPトンネルごとに、次いでリダイレクトされたサービス攻撃およびサービス攻撃でないトラフィックから除去されたパケットをカウントするパケット廃棄カウンタと
    をさらに備え、前記解析エンジンは、前記パケット廃棄カウンタをポーリングし、当該カウントを用いて、前記攻撃を発信している1つまたは複数のボーダまたはエッジルータを決定する機能を有することを特徴とする請求項1に記載のシステム。
  9. 前記サービス攻撃およびサービス攻撃でないトラフィックは、前記サービス攻撃トラフィックを除去するために自動的に前記トラフィックフィルタに通され、前記トラフィックフィルタは、所与のパケットが、所与のボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合に、前記所与のパケットを除去することを特徴とする請求項1に記載のシステム。
  10. 前記センサフィルタは、新しい種類のサービス攻撃を検出し軽減するために、自動的に更新することができることを特徴とする請求項2に記載のシステム。
  11. 前記トラフィックフィルタのうちの1つまたは複数を、前記システムの検出の重大度を調節するため、無効にする機能を有することを特徴とする請求項2に記載のシステム。
  12. 複数のボーダおよびエッジルータ、ならびに前記ボーダおよびエッジルータとは異なるフィルタルータを含むインターネットサービスプロバイダ(ISP)ネットワークに接続された目標である特定のエッジネットワークに対するサービス攻撃を軽減するための方法であって、
    前記目標である特定のエッジネットワークに対するサービス攻撃を検出するステップと、
    攻撃の通知を前記ISPネットワークに送るステップと、
    前記攻撃通知に応答して、新しいルーティング情報を前記ボーダおよびエッジルータに公示するステップであって、前記ルーティング情報は、前記目標である特定のエッジネットワークに向けて送られることになっている前記サービス攻撃およびサービス攻撃でないトラフィックを前記フィルタルータにリダイレクトするという情報であるステップと、
    前記サービス攻撃トラフィックを除去するために、前記フィルタルータによって、前記リダイレクトされたサービス攻撃およびサービス攻撃でないトラフィックをフィルタリングするステップと、
    前記サービス攻撃でないトラフィックを前記目標である特定のエッジネットワークに転送するステップと
    を備えたことを特徴とする方法。
  13. 前記サービス攻撃およびサービス攻撃でないトラフィックは、前記ボーダおよびエッジルータから前記フィルタルータにリダイレクトされIP−in−IPトンネルを介して送られることを特徴とする請求項12に記載の方法。
  14. 前記フィルタリングするステップは、前記ボーダおよびエッジルータとは異なる前記フィルタルータにおける複数のトラフィックフィルタによって行われることを特徴とする請求項12に記載の方法。
  15. 前記ボーダおよびエッジルータとは異なる前記フィルタルータにおける前記トラフィックフィルタは、所与のパケットが、あるボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ISPネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合に、前記所与のパケットを除去するフィルタを含むことを特徴とする請求項14に記載の方法。
  16. 前記検出の重大度を調節するため、前記トラフィックフィルタのうちの1つまたは複数を無効にするステップをさらに備えたことを特徴とする請求項14に記載の方法。
  17. 前記目標である特定のエッジネットワークに向けられたサービス攻撃制御トラフィックを検出するステップと、
    サービス攻撃制御トラフィックの通知を、前記ISPネットワークに送るステップと
    をさらに備えたことを特徴とする請求項12に記載の方法。
  18. サービス攻撃トラフィックが除去されるのに伴って、前記フィルタルータによって増分される複数のパケット廃棄カウンタを定期的にポーリングするステップと、
    前記パケット廃棄カウンタを用いて、どの1つまたは複数のボーダまたはエッジルータによって、前記攻撃が発信されているのかを決定するステップと
    をさらに備えたことを特徴とする請求項12に記載の方法。
JP2005518848A 2003-01-29 2004-01-27 サービス妨害攻撃の軽減 Withdrawn JP2006517066A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/353,527 US20040148520A1 (en) 2003-01-29 2003-01-29 Mitigating denial of service attacks
PCT/US2004/002271 WO2004070535A2 (en) 2003-01-29 2004-01-27 Mitigating denial of service attacks

Publications (1)

Publication Number Publication Date
JP2006517066A true JP2006517066A (ja) 2006-07-13

Family

ID=32736193

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005518848A Withdrawn JP2006517066A (ja) 2003-01-29 2004-01-27 サービス妨害攻撃の軽減

Country Status (5)

Country Link
US (1) US20040148520A1 (ja)
EP (1) EP1588264A2 (ja)
JP (1) JP2006517066A (ja)
CA (1) CA2511997A1 (ja)
WO (1) WO2004070535A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012226508A (ja) * 2011-04-19 2012-11-15 Internatl Business Mach Corp <Ibm> 複数の産業制御システム間の通信を制御するシステム
JP2014504111A (ja) * 2010-12-29 2014-02-13 アマゾン テクノロジーズ インコーポレイテッド ソース付近のサービス妨害拒否から保護するための技術
WO2019159907A1 (ja) * 2018-02-13 2019-08-22 日本電信電話株式会社 DDoS対処装置、DDoS対処方法、及びプログラム

Families Citing this family (241)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7137145B2 (en) * 2002-04-09 2006-11-14 Cisco Technology, Inc. System and method for detecting an infective element in a network environment
JP4354201B2 (ja) * 2003-03-18 2009-10-28 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
US9118711B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US8984644B2 (en) * 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US20050066193A1 (en) * 2003-09-22 2005-03-24 Overby Linwood Hugh Selectively responding to intrusions by computers evaluating intrusion notices based on local intrusion detection system policy
US20050076236A1 (en) * 2003-10-03 2005-04-07 Bryan Stephenson Method and system for responding to network intrusions
KR100544900B1 (ko) * 2003-10-09 2006-01-24 한국전자통신연구원 네트워크 교정 보안 방법
US7925766B2 (en) * 2004-02-18 2011-04-12 At&T Intellectual Property Ii, L.P. Method for distributed denial-of-service attack mitigation by selective black-holing in MPLS VPNS
US7444417B2 (en) 2004-02-18 2008-10-28 Thusitha Jayawardena Distributed denial-of-service attack mitigation by selective black-holing in IP networks
US7650635B2 (en) * 2004-04-07 2010-01-19 Cisco Technology, Inc. Method and apparatus for preventing network attacks by authenticating internet control message protocol packets
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
EP1779345A2 (en) * 2004-07-29 2007-05-02 Intelli7, Inc. System and method of characterizing and managing electronic traffic
US7577737B2 (en) * 2004-09-23 2009-08-18 Cisco Technology, Inc. Method and apparatus for controlling data to be routed in a data communications network
US8479282B2 (en) * 2004-10-12 2013-07-02 Nippon Telegraph And Telephone Corporation Denial-of-service attack defense system, denial-of-service attack defense method, and computer product
US7715395B2 (en) * 2004-11-24 2010-05-11 Microsoft Corporation System and method for expanding the range of a mesh network
US20060184462A1 (en) 2004-12-10 2006-08-17 Hawkins Jeffrey C Methods, architecture, and apparatus for implementing machine intelligence and hierarchical memory systems
US7676217B2 (en) * 2005-01-31 2010-03-09 Theta Networks, Inc. Method for malicious traffic recognition in IP networks with subscriber identification and notification
US20060174001A1 (en) * 2005-01-31 2006-08-03 Shouyu Zhu Responding to malicious traffic using separate detection and notification methods
US8346960B2 (en) 2005-02-15 2013-01-01 At&T Intellectual Property Ii, L.P. Systems, methods, and devices for defending a network
US7606147B2 (en) 2005-04-13 2009-10-20 Zeugma Systems Inc. Application aware traffic shaping service node positioned between the access and core networks
US7719966B2 (en) 2005-04-13 2010-05-18 Zeugma Systems Inc. Network element architecture for deep packet inspection
US8839427B2 (en) * 2005-04-13 2014-09-16 Verizon Patent And Licensing Inc. WAN defense mitigation service
US20060272018A1 (en) * 2005-05-27 2006-11-30 Mci, Inc. Method and apparatus for detecting denial of service attacks
US7694338B1 (en) 2005-06-03 2010-04-06 Sprint Communications Company L.P. Shared tap DOS-attack protection
US7665135B1 (en) * 2005-06-03 2010-02-16 Sprint Communications Company L.P. Detecting and addressing network attacks
US7739208B2 (en) * 2005-06-06 2010-06-15 Numenta, Inc. Trainable hierarchical memory system and method
US7730536B2 (en) * 2005-06-08 2010-06-01 Verizon Business Global Llc Security perimeters
US8228818B2 (en) * 2005-06-24 2012-07-24 At&T Intellectual Property Ii, Lp Systems, methods, and devices for monitoring networks
US20060291446A1 (en) * 2005-06-24 2006-12-28 Donald Caldwell Systems, methods, and devices for managing routing
US8091131B2 (en) * 2005-07-06 2012-01-03 At&T Intellectual Property Ii, L.P. Method and apparatus for communicating intrusion-related information between internet service providers
US7757283B2 (en) * 2005-07-08 2010-07-13 Alcatel Lucent System and method for detecting abnormal traffic based on early notification
EP1744516A1 (en) * 2005-07-15 2007-01-17 AT&T Corp. Distributed denial-of-service attack mitigation by selective black-holing in IP networks
US7987493B1 (en) * 2005-07-18 2011-07-26 Sprint Communications Company L.P. Method and system for mitigating distributed denial of service attacks using centralized management
US8407785B2 (en) * 2005-08-18 2013-03-26 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
US7719995B2 (en) 2005-09-09 2010-05-18 Zeugma Systems Inc. Application driven fast unicast flow replication
US7733891B2 (en) 2005-09-12 2010-06-08 Zeugma Systems Inc. Methods and apparatus to support dynamic allocation of traffic management resources in a network element
US7508764B2 (en) * 2005-09-12 2009-03-24 Zeugma Systems Inc. Packet flow bifurcation and analysis
US20070233880A1 (en) * 2005-10-20 2007-10-04 The Trustees Of Columbia University In The City Of New York Methods, media and systems for enabling a consistent web browsing session on different digital processing devices
US8280944B2 (en) * 2005-10-20 2012-10-02 The Trustees Of Columbia University In The City Of New York Methods, media and systems for managing a distributed application running in a plurality of digital processing devices
US20070245334A1 (en) * 2005-10-20 2007-10-18 The Trustees Of Columbia University In The City Of New York Methods, media and systems for maintaining execution of a software process
US8549646B2 (en) * 2005-10-20 2013-10-01 The Trustees Of Columbia University In The City Of New York Methods, media and systems for responding to a denial of service attack
KR100737527B1 (ko) * 2005-12-08 2007-07-10 한국전자통신연구원 이더넷 폰에서 보안 채널 제어 방법 및 장치
US20080208966A1 (en) * 2007-02-28 2008-08-28 Numenta, Inc. Hierarchical Temporal Memory (HTM) System Deployed as Web Service
US20070192267A1 (en) * 2006-02-10 2007-08-16 Numenta, Inc. Architecture of a hierarchical temporal memory based system
US8732098B2 (en) 2006-02-10 2014-05-20 Numenta, Inc. Hierarchical temporal memory (HTM) system deployed as web service
US7941389B2 (en) 2006-02-10 2011-05-10 Numenta, Inc. Hierarchical temporal memory based system including nodes with input or output variables of disparate properties
US20070210909A1 (en) * 2006-03-09 2007-09-13 Honeywell International Inc. Intrusion detection in an IP connected security system
WO2007133178A2 (en) 2006-04-21 2007-11-22 The Trustees Of Columbia University In The City Of New York Systems and methods for inhibiting attacks on applications
US8001601B2 (en) * 2006-06-02 2011-08-16 At&T Intellectual Property Ii, L.P. Method and apparatus for large-scale automated distributed denial of service attack detection
US8245304B1 (en) * 2006-06-26 2012-08-14 Trend Micro Incorporated Autonomous system-based phishing and pharming detection
US8205252B2 (en) 2006-07-28 2012-06-19 Microsoft Corporation Network accountability among autonomous systems
US8510834B2 (en) * 2006-10-09 2013-08-13 Radware, Ltd. Automatic signature propagation network
WO2008067326A2 (en) * 2006-11-28 2008-06-05 Numenta, Inc. Group-based temporal pooling
US8910275B2 (en) * 2007-02-14 2014-12-09 Hewlett-Packard Development Company, L.P. Network monitoring
WO2008106615A1 (en) * 2007-02-28 2008-09-04 Numenta, Inc. Spatio-temporal learning algorithms in hierarchical temporal networks
US7941392B2 (en) * 2007-02-28 2011-05-10 Numenta, Inc. Scheduling system and method in a hierarchical temporal memory based system
WO2008106623A2 (en) * 2007-02-28 2008-09-04 Numenta, Inc. Episodic memory with a hierarchical temporal memory based system
US8310923B1 (en) 2007-03-27 2012-11-13 Amazon Technologies, Inc. Monitoring a network site to detect adverse network conditions
US7773510B2 (en) 2007-05-25 2010-08-10 Zeugma Systems Inc. Application routing in a distributed compute environment
US8533821B2 (en) * 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks
US8219507B2 (en) * 2007-06-29 2012-07-10 Numenta, Inc. Hierarchical temporal memory system with enhanced inference capability
US7991910B2 (en) 2008-11-17 2011-08-02 Amazon Technologies, Inc. Updating routing information based on client location
US8028090B2 (en) 2008-11-17 2011-09-27 Amazon Technologies, Inc. Request routing utilizing client location information
US7706291B2 (en) 2007-08-01 2010-04-27 Zeugma Systems Inc. Monitoring quality of experience on a per subscriber, per session basis
US8374102B2 (en) 2007-10-02 2013-02-12 Tellabs Communications Canada, Ltd. Intelligent collection and management of flow statistics
WO2009052407A1 (en) * 2007-10-18 2009-04-23 Numenta, Inc. System and method for automatic topology determination in a hierarchical-temporal network
US8443359B2 (en) * 2007-11-06 2013-05-14 International Business Machines Corporation Method and system for providing a filter for a router
KR100953712B1 (ko) 2007-11-22 2010-04-19 고려대학교 산학협력단 센서 네트워크에서의 위조 데이터 삽입공격 방지 방법,장치 및 이에 사용되는 컴퓨터 판독가능 기록매체
US8175984B2 (en) * 2007-12-05 2012-05-08 Numenta, Inc. Action based learning
US7843918B2 (en) * 2008-01-25 2010-11-30 Cisco Technology, Inc. Selectively forwarding traffic through tunnels in a computer network
CA2714280A1 (en) * 2008-02-08 2009-08-13 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for use in a communications network
US8175985B2 (en) 2008-03-19 2012-05-08 Numenta, Inc. Plugin infrastructure for hierarchical temporal memory (HTM) system
US7983998B2 (en) * 2008-03-21 2011-07-19 Numenta, Inc. Feedback in group based hierarchical temporal memory system
US8533293B1 (en) 2008-03-31 2013-09-10 Amazon Technologies, Inc. Client side cache management
US8447831B1 (en) 2008-03-31 2013-05-21 Amazon Technologies, Inc. Incentive driven content delivery
US8606996B2 (en) 2008-03-31 2013-12-10 Amazon Technologies, Inc. Cache optimization
US7962597B2 (en) 2008-03-31 2011-06-14 Amazon Technologies, Inc. Request routing based on class
US8321568B2 (en) 2008-03-31 2012-11-27 Amazon Technologies, Inc. Content management
US8601090B1 (en) 2008-03-31 2013-12-03 Amazon Technologies, Inc. Network resource identification
US7970820B1 (en) 2008-03-31 2011-06-28 Amazon Technologies, Inc. Locality based content distribution
US8225400B2 (en) * 2008-05-13 2012-07-17 Verizon Patent And Licensing Inc. Security overlay network
CN101588246B (zh) * 2008-05-23 2012-01-04 成都市华为赛门铁克科技有限公司 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统
US8407166B2 (en) * 2008-06-12 2013-03-26 Numenta, Inc. Hierarchical temporal memory system with higher-order temporal pooling capability
US9407681B1 (en) 2010-09-28 2016-08-02 Amazon Technologies, Inc. Latency measurement in resource requests
US9912740B2 (en) 2008-06-30 2018-03-06 Amazon Technologies, Inc. Latency measurement in resource requests
US8943200B2 (en) * 2008-08-05 2015-01-27 At&T Intellectual Property I, L.P. Method and apparatus for reducing unwanted traffic between peer networks
US8009559B1 (en) * 2008-08-28 2011-08-30 Juniper Networks, Inc. Global flow tracking system
US7924830B2 (en) * 2008-10-21 2011-04-12 At&T Intellectual Property I, Lp System and method to route data in an anycast environment
US8539576B2 (en) * 2008-11-12 2013-09-17 At&T Intellectual Property Ii, L.P. System and method for filtering unwanted internet protocol traffic based on blacklists
US8122098B1 (en) 2008-11-17 2012-02-21 Amazon Technologies, Inc. Managing content delivery network service providers by a content broker
US8073940B1 (en) 2008-11-17 2011-12-06 Amazon Technologies, Inc. Managing content delivery network service providers
US8732309B1 (en) 2008-11-17 2014-05-20 Amazon Technologies, Inc. Request routing utilizing cost information
US8195582B2 (en) * 2009-01-16 2012-06-05 Numenta, Inc. Supervision based grouping of patterns in hierarchical temporal memory (HTM)
US8756341B1 (en) 2009-03-27 2014-06-17 Amazon Technologies, Inc. Request routing utilizing popularity information
US8688837B1 (en) 2009-03-27 2014-04-01 Amazon Technologies, Inc. Dynamically translating resource identifiers for request routing using popularity information
US8412823B1 (en) 2009-03-27 2013-04-02 Amazon Technologies, Inc. Managing tracking information entries in resource cache components
US20100269162A1 (en) 2009-04-15 2010-10-21 Jose Bravo Website authentication
US8954725B2 (en) * 2009-05-08 2015-02-10 Microsoft Technology Licensing, Llc Sanitization of packets
US8782236B1 (en) 2009-06-16 2014-07-15 Amazon Technologies, Inc. Managing resources using resource expiration data
US8397073B1 (en) 2009-09-04 2013-03-12 Amazon Technologies, Inc. Managing secure content in a content delivery network
US20110072515A1 (en) * 2009-09-22 2011-03-24 Electronics And Telecommunications Research Institute Method and apparatus for collaboratively protecting against distributed denial of service attack
US8433771B1 (en) 2009-10-02 2013-04-30 Amazon Technologies, Inc. Distribution network with forward resource propagation
US8683609B2 (en) * 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
US9495338B1 (en) 2010-01-28 2016-11-15 Amazon Technologies, Inc. Content distribution network
EP2548096B1 (en) 2010-03-15 2017-10-25 Numenta, Inc. Temporal memory using sparse distributed representation
US11651277B2 (en) 2010-03-15 2023-05-16 Numenta, Inc. Sparse distributed representation for networked processing in predictive system
US10958501B1 (en) 2010-09-28 2021-03-23 Amazon Technologies, Inc. Request routing information based on client IP groupings
US9003035B1 (en) 2010-09-28 2015-04-07 Amazon Technologies, Inc. Point of presence management in request routing
US10097398B1 (en) 2010-09-28 2018-10-09 Amazon Technologies, Inc. Point of presence management in request routing
US8577992B1 (en) 2010-09-28 2013-11-05 Amazon Technologies, Inc. Request routing management based on network components
US8468247B1 (en) 2010-09-28 2013-06-18 Amazon Technologies, Inc. Point of presence management in request routing
US9712484B1 (en) 2010-09-28 2017-07-18 Amazon Technologies, Inc. Managing request routing information utilizing client identifiers
US8452874B2 (en) 2010-11-22 2013-05-28 Amazon Technologies, Inc. Request routing processing
US20120174196A1 (en) * 2010-12-30 2012-07-05 Suresh Bhogavilli Active validation for ddos and ssl ddos attacks
US8838988B2 (en) 2011-04-12 2014-09-16 International Business Machines Corporation Verification of transactional integrity
US10467042B1 (en) 2011-04-27 2019-11-05 Amazon Technologies, Inc. Optimized deployment based upon customer locality
US8955112B2 (en) * 2011-08-18 2015-02-10 At&T Intellectual Property I, L.P. Dynamic traffic routing and service management controls for on-demand application services
US8645291B2 (en) 2011-08-25 2014-02-04 Numenta, Inc. Encoding of data for processing in a spatial and temporal memory system
US8825565B2 (en) 2011-08-25 2014-09-02 Numenta, Inc. Assessing performance in a spatial and temporal memory system
US8504570B2 (en) 2011-08-25 2013-08-06 Numenta, Inc. Automated search for detecting patterns and sequences in data using a spatial and temporal memory system
US9432385B2 (en) * 2011-08-29 2016-08-30 Arbor Networks, Inc. System and method for denial of service attack mitigation using cloud services
JP2014526751A (ja) 2011-09-15 2014-10-06 ザ・トラスティーズ・オブ・コロンビア・ユニバーシティ・イン・ザ・シティ・オブ・ニューヨーク リターン指向プログラミングのペイロードを検出するためのシステム、方法、および、非一時的コンピュータ可読媒体
US20130074181A1 (en) * 2011-09-19 2013-03-21 Cisco Technology, Inc. Auto Migration of Services Within a Virtual Data Center
US8949459B1 (en) * 2011-10-06 2015-02-03 Amazon Technologies, Inc. Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers
US20130198845A1 (en) * 2012-01-26 2013-08-01 Kiomars Anvari Monitoring a wireless network for a distributed denial of service attack
US10021179B1 (en) 2012-02-21 2018-07-10 Amazon Technologies, Inc. Local resource delivery network
CN103368858B (zh) * 2012-04-01 2016-01-20 百度在线网络技术(北京)有限公司 多策略组合加载的流量清洗方法及装置
US10623408B1 (en) 2012-04-02 2020-04-14 Amazon Technologies, Inc. Context sensitive object management
US9154551B1 (en) 2012-06-11 2015-10-06 Amazon Technologies, Inc. Processing DNS queries to identify pre-processing information
US8917826B2 (en) 2012-07-31 2014-12-23 International Business Machines Corporation Detecting man-in-the-middle attacks in electronic transactions using prompts
US8646064B1 (en) 2012-08-07 2014-02-04 Cloudflare, Inc. Determining the likelihood of traffic being legitimately received at a proxy server in a cloud-based proxy service
US9323577B2 (en) 2012-09-20 2016-04-26 Amazon Technologies, Inc. Automated profiling of resource usage
US11050669B2 (en) 2012-10-05 2021-06-29 Aaa Internet Publishing Inc. Method and system for managing, optimizing, and routing internet traffic from a local area network (LAN) to internet based servers
US11838212B2 (en) 2012-10-05 2023-12-05 Aaa Internet Publishing Inc. Method and system for managing, optimizing, and routing internet traffic from a local area network (LAN) to internet based servers
US9985985B2 (en) * 2012-10-05 2018-05-29 Aaa Internet Publishing Inc. Method of distributed denial of service (DDos) and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium
US10917299B2 (en) 2012-10-05 2021-02-09 Aaa Internet Publishing Inc. Method of using a proxy network to normalize online connections by executing computer-executable instructions stored on a non-transitory computer-readable medium
US9614870B2 (en) * 2014-06-04 2017-04-04 Aaa Internet Publishing Inc. Method of DDoS and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium
USRE49392E1 (en) 2012-10-05 2023-01-24 Aaa Internet Publishing, Inc. System and method for monitoring network connection quality by executing computer-executable instructions stored on a non-transitory computer-readable medium
US9137205B2 (en) * 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9159021B2 (en) 2012-10-23 2015-10-13 Numenta, Inc. Performing multistep prediction using spatial and temporal memory system
JP6206940B2 (ja) * 2012-12-06 2017-10-04 Necプラットフォームズ株式会社 通信システム、サーバー、通信制御方法及びプログラム
US10205698B1 (en) 2012-12-19 2019-02-12 Amazon Technologies, Inc. Source-dependent address resolution
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9813433B2 (en) 2013-02-22 2017-11-07 Adaptive Mobile Security Limited System and method for embedded mobile (EM)/machine to machine (M2M) security, pattern detection, mitigation
EP2959658A1 (en) * 2013-02-22 2015-12-30 Adaptive Mobile Security Limited Dynamic traffic steering system and method in a network
EP2959397A4 (en) * 2013-02-25 2016-10-26 F5 Networks Inc IP REFLECTION
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9722918B2 (en) 2013-03-15 2017-08-01 A10 Networks, Inc. System and method for customizing the identification of application or content type
US9912555B2 (en) 2013-03-15 2018-03-06 A10 Networks, Inc. System and method of updating modules for application or content identification
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9838425B2 (en) 2013-04-25 2017-12-05 A10 Networks, Inc. Systems and methods for network access control
US9888028B2 (en) * 2013-05-03 2018-02-06 Centurylink Intellectual Property Llc Combination of remote triggered source and destination blackhole filtering
US20140341568A1 (en) * 2013-05-20 2014-11-20 Sodero Networks, Inc. High-Throughput Network Traffic Monitoring through Optical Circuit Switching and Broadcast-and-Select Communications
US9294391B1 (en) 2013-06-04 2016-03-22 Amazon Technologies, Inc. Managing network computing components utilizing request routing
US9294503B2 (en) * 2013-08-26 2016-03-22 A10 Networks, Inc. Health monitor based distributed denial of service attack mitigation
US9258210B2 (en) * 2013-10-01 2016-02-09 Juniper Networks, Inc. Dynamic area filtering for link-state routing protocols
US10318878B2 (en) 2014-03-19 2019-06-11 Numenta, Inc. Temporal processing scheme and sensorimotor information processing
US10038713B2 (en) * 2014-05-06 2018-07-31 Cisco Technology, Inc. Predicted attack detection rates along a network path
US9407646B2 (en) * 2014-07-23 2016-08-02 Cisco Technology, Inc. Applying a mitigation specific attack detector using machine learning
US10122630B1 (en) 2014-08-15 2018-11-06 F5 Networks, Inc. Methods for network traffic presteering and devices thereof
CN104202314B (zh) * 2014-08-22 2018-04-20 中国联合网络通信集团有限公司 一种阻止ddos攻击的方法及装置
WO2016039642A1 (en) 2014-09-11 2016-03-17 Pickles Samuel Geoffrey A telecommunications defence system
US9769202B2 (en) 2014-09-12 2017-09-19 Level 3 Communications, Llc Event driven route control
WO2016039643A1 (en) * 2014-09-12 2016-03-17 Pickles Samuel Geoffrey A telecommunications defence system
US9756071B1 (en) 2014-09-16 2017-09-05 A10 Networks, Inc. DNS denial of service attack protection
US9838421B2 (en) 2014-10-01 2017-12-05 Ciena Corporation Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks
US9537886B1 (en) 2014-10-23 2017-01-03 A10 Networks, Inc. Flagging security threats in web service requests
US10033627B1 (en) 2014-12-18 2018-07-24 Amazon Technologies, Inc. Routing mode and point-of-presence selection service
US10091096B1 (en) 2014-12-18 2018-10-02 Amazon Technologies, Inc. Routing mode and point-of-presence selection service
US10097448B1 (en) 2014-12-18 2018-10-09 Amazon Technologies, Inc. Routing mode and point-of-presence selection service
US9621575B1 (en) 2014-12-29 2017-04-11 A10 Networks, Inc. Context aware threat protection
US9584318B1 (en) 2014-12-30 2017-02-28 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack defense
US9900343B1 (en) 2015-01-05 2018-02-20 A10 Networks, Inc. Distributed denial of service cellular signaling
US9848013B1 (en) 2015-02-05 2017-12-19 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack detection
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US10063591B1 (en) 2015-02-14 2018-08-28 A10 Networks, Inc. Implementing and optimizing secure socket layer intercept
US10225326B1 (en) 2015-03-23 2019-03-05 Amazon Technologies, Inc. Point of presence based data uploading
US9887932B1 (en) 2015-03-30 2018-02-06 Amazon Technologies, Inc. Traffic surge management for points of presence
US9819567B1 (en) 2015-03-30 2017-11-14 Amazon Technologies, Inc. Traffic surge management for points of presence
US9887931B1 (en) 2015-03-30 2018-02-06 Amazon Technologies, Inc. Traffic surge management for points of presence
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9832141B1 (en) 2015-05-13 2017-11-28 Amazon Technologies, Inc. Routing based request correlation
US9621577B2 (en) 2015-05-28 2017-04-11 Microsoft Technology Licensing, Llc Mitigation of computer network attacks
US10097566B1 (en) 2015-07-31 2018-10-09 Amazon Technologies, Inc. Identifying targets of network attacks
US9787581B2 (en) 2015-09-21 2017-10-10 A10 Networks, Inc. Secure data flow open information analytics
US9774619B1 (en) * 2015-09-24 2017-09-26 Amazon Technologies, Inc. Mitigating network attacks
US9794281B1 (en) 2015-09-24 2017-10-17 Amazon Technologies, Inc. Identifying sources of network attacks
US9742795B1 (en) 2015-09-24 2017-08-22 Amazon Technologies, Inc. Mitigating network attacks
US10270878B1 (en) 2015-11-10 2019-04-23 Amazon Technologies, Inc. Routing for origin-facing points of presence
US10505984B2 (en) 2015-12-08 2019-12-10 A10 Networks, Inc. Exchange of control information between secure socket layer gateways
US10469594B2 (en) 2015-12-08 2019-11-05 A10 Networks, Inc. Implementation of secure socket layer intercept
US10049051B1 (en) 2015-12-11 2018-08-14 Amazon Technologies, Inc. Reserved cache space in content delivery networks
US10257307B1 (en) 2015-12-11 2019-04-09 Amazon Technologies, Inc. Reserved cache space in content delivery networks
US10348639B2 (en) 2015-12-18 2019-07-09 Amazon Technologies, Inc. Use of virtual endpoints to improve data transmission rates
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
CN107026791B (zh) 2016-01-29 2021-02-12 华为技术有限公司 虚拟专用网络vpn业务优化方法和设备
US10075551B1 (en) 2016-06-06 2018-09-11 Amazon Technologies, Inc. Request management for hierarchical cache
US10791088B1 (en) 2016-06-17 2020-09-29 F5 Networks, Inc. Methods for disaggregating subscribers via DHCP address translation and devices thereof
US10116634B2 (en) 2016-06-28 2018-10-30 A10 Networks, Inc. Intercepting secure session upon receipt of untrusted certificate
US10110694B1 (en) 2016-06-29 2018-10-23 Amazon Technologies, Inc. Adaptive transfer rate for retrieving content from a server
US10158666B2 (en) 2016-07-26 2018-12-18 A10 Networks, Inc. Mitigating TCP SYN DDoS attacks using TCP reset
US9992086B1 (en) 2016-08-23 2018-06-05 Amazon Technologies, Inc. External health checking of virtual private cloud network environments
US10033691B1 (en) 2016-08-24 2018-07-24 Amazon Technologies, Inc. Adaptive resolution of domain name requests in virtual private cloud network environments
US10110627B2 (en) * 2016-08-30 2018-10-23 Arbor Networks, Inc. Adaptive self-optimzing DDoS mitigation
US10855719B2 (en) * 2016-09-22 2020-12-01 Verisign, Inc. Automated DDOS attack mitigation via BGP messaging
US10469513B2 (en) 2016-10-05 2019-11-05 Amazon Technologies, Inc. Encrypted network addresses
US10305931B2 (en) 2016-10-19 2019-05-28 Cisco Technology, Inc. Inter-domain distributed denial of service threat signaling
US10887347B2 (en) * 2016-10-27 2021-01-05 Radware, Ltd. Network-based perimeter defense system and method
US10284589B2 (en) 2016-10-31 2019-05-07 Acentium Inc. Methods and systems for ranking, filtering and patching detected vulnerabilities in a networked system
US10412110B2 (en) 2016-10-31 2019-09-10 Acentium, Inc. Systems and methods for multi-tier cache visual system and visual modes
US10158654B2 (en) * 2016-10-31 2018-12-18 Acentium Inc. Systems and methods for computer environment situational awareness
US10831549B1 (en) 2016-12-27 2020-11-10 Amazon Technologies, Inc. Multi-region request-driven code execution system
US10372499B1 (en) 2016-12-27 2019-08-06 Amazon Technologies, Inc. Efficient region selection system for executing request-driven code
US10938884B1 (en) 2017-01-30 2021-03-02 Amazon Technologies, Inc. Origin server cloaking using virtual private cloud network environments
US11463404B2 (en) * 2017-04-12 2022-10-04 Avaya Inc. Quarantined communications processing at a network edge
US10503613B1 (en) 2017-04-21 2019-12-10 Amazon Technologies, Inc. Efficient serving of resources during server unavailability
US11075987B1 (en) 2017-06-12 2021-07-27 Amazon Technologies, Inc. Load estimating content delivery network
US10447648B2 (en) 2017-06-19 2019-10-15 Amazon Technologies, Inc. Assignment of a POP to a DNS resolver based on volume of communications over a link between client devices and the POP
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof
US10742593B1 (en) 2017-09-25 2020-08-11 Amazon Technologies, Inc. Hybrid content request routing system
US10592578B1 (en) 2018-03-07 2020-03-17 Amazon Technologies, Inc. Predictive content push-enabled content delivery network
US10944783B2 (en) 2018-07-12 2021-03-09 At&T Intellectual Property I, L.P. Dynamic denial of service mitigation system
US11050785B2 (en) * 2018-08-25 2021-06-29 Mcafee, Llc Cooperative mitigation of distributed denial of service attacks originating in local networks
US11438371B2 (en) * 2018-11-09 2022-09-06 Cisco Technology, Inc. Distributed denial of service remediation and prevention
US10862852B1 (en) 2018-11-16 2020-12-08 Amazon Technologies, Inc. Resolution of domain name requests in heterogeneous network environments
US11025747B1 (en) 2018-12-12 2021-06-01 Amazon Technologies, Inc. Content request pattern-based routing system
CN109617913B (zh) * 2019-01-15 2021-04-27 成都知道创宇信息技术有限公司 一种快速定位多用户共享节点DDoS攻击的管理方法
CN111787038B (zh) * 2019-04-04 2022-05-17 华为云计算技术有限公司 一种提供边缘服务的方法、系统及计算设备
US11245678B2 (en) 2019-06-05 2022-02-08 Cisco Technology, Inc. Root network device causing execution of network service operations on behalf of constrained wireless network device in a low power and lossy network
TWI701920B (zh) * 2019-08-07 2020-08-11 許富皓 封包傳送方法以及系統
US11681922B2 (en) 2019-11-26 2023-06-20 Numenta, Inc. Performing inference and training using sparse neural network
WO2021137182A1 (en) * 2019-12-31 2021-07-08 Edgehawk Security Ltd. Techniques for disaggregated detection and mitigation of distributed denial-of-service attacks
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US7032031B2 (en) * 2000-06-23 2006-04-18 Cloudshield Technologies, Inc. Edge adapter apparatus and method
WO2002019642A1 (en) * 2000-08-30 2002-03-07 Citibank, N.A. Method and system for internet hosting and security
US7124440B2 (en) * 2000-09-07 2006-10-17 Mazu Networks, Inc. Monitoring network traffic denial of service attacks
US6944673B2 (en) * 2000-09-08 2005-09-13 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement point within a computer network
US7707305B2 (en) * 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
US7383574B2 (en) * 2000-11-22 2008-06-03 Hewlett Packard Development Company L.P. Method and system for limiting the impact of undesirable behavior of computers on a shared data network
JP3723076B2 (ja) * 2000-12-15 2005-12-07 富士通株式会社 不正侵入防御機能を有するip通信ネットワークシステム
US6996842B2 (en) * 2001-01-30 2006-02-07 Intel Corporation Processing internet protocol security traffic
US7444404B2 (en) * 2001-02-05 2008-10-28 Arbor Networks, Inc. Network traffic regulation including consistency based detection and filtering of packets with spoof source addresses
US7028179B2 (en) * 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks
US7146428B2 (en) * 2001-12-12 2006-12-05 At&T Corp. Secure in-band signaling method for mobility management crossing firewalls
NZ516346A (en) * 2001-12-21 2004-09-24 Esphion Ltd A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014504111A (ja) * 2010-12-29 2014-02-13 アマゾン テクノロジーズ インコーポレイテッド ソース付近のサービス妨害拒否から保護するための技術
US8966622B2 (en) 2010-12-29 2015-02-24 Amazon Technologies, Inc. Techniques for protecting against denial of service attacks near the source
JP2012226508A (ja) * 2011-04-19 2012-11-15 Internatl Business Mach Corp <Ibm> 複数の産業制御システム間の通信を制御するシステム
WO2019159907A1 (ja) * 2018-02-13 2019-08-22 日本電信電話株式会社 DDoS対処装置、DDoS対処方法、及びプログラム

Also Published As

Publication number Publication date
WO2004070535A3 (en) 2005-02-10
CA2511997A1 (en) 2004-08-19
WO2004070535A2 (en) 2004-08-19
WO2004070535B1 (en) 2005-04-07
EP1588264A2 (en) 2005-10-26
US20040148520A1 (en) 2004-07-29

Similar Documents

Publication Publication Date Title
JP2006517066A (ja) サービス妨害攻撃の軽減
US7389537B1 (en) Rate limiting data traffic in a network
US9609018B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
Ioannidis et al. Implementing pushback: Router-based defense against DDoS attacks
EP1284573B1 (en) Method and apparatus for protecting Internet-connected sites from denial-of-service attacks
US6973040B1 (en) Method of maintaining lists of network characteristics
KR100796996B1 (ko) 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
EP2293513B1 (en) Protecting Against Distributed Network Flood Attacks
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
EP3846406A1 (en) Dynamic security actions for network tunnels against spoofing
US20090013404A1 (en) Distributed defence against DDoS attacks
Rengaraju et al. Detection and prevention of DoS attacks in Software-Defined Cloud networks
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
Žagar et al. Security aspects in IPv6 networks–implementation and testing
Arins Firewall as a service in SDN OpenFlow network
US8281400B1 (en) Systems and methods for identifying sources of network attacks
JP2006067078A (ja) ネットワークシステムおよび攻撃防御方法
Bossardt et al. Enhanced Internet security by a distributed traffic control service based on traffic ownership
Kumar et al. An analysis of tcp syn flooding attack and defense mechanism
Georgiev et al. An Approach of Network Protection Against DDoS Attacks
US9628510B2 (en) System and method for providing data storage redundancy for a protected network
Kabila Network Based Intrusion Detection and Prevention Systems in IP-Level Security Protocols
CN115412300A (zh) 一种基于边缘防火墙的DDoS攻击检测方法
Alshehhi Global DDoS Mitigation Using SDN Technology

Legal Events

Date Code Title Description
A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20070816