JP2006517066A - サービス妨害攻撃の軽減 - Google Patents
サービス妨害攻撃の軽減 Download PDFInfo
- Publication number
- JP2006517066A JP2006517066A JP2005518848A JP2005518848A JP2006517066A JP 2006517066 A JP2006517066 A JP 2006517066A JP 2005518848 A JP2005518848 A JP 2005518848A JP 2005518848 A JP2005518848 A JP 2005518848A JP 2006517066 A JP2006517066 A JP 2006517066A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- filter
- network
- router
- border
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 230000000116 mitigating effect Effects 0.000 title claims description 21
- 238000001514 detection method Methods 0.000 claims description 30
- 238000000034 method Methods 0.000 claims description 8
- 238000001914 filtration Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000006424 Flood reaction Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
顧客ネットワークについてのサービス妨害攻撃および分散サービス妨害攻撃などのサービス攻撃は、顧客ネットワークにサービスするインターネットサービスプロバイダ(ISP)によって検出され、続いて軽減される。センサが、攻撃トラフィックとして顧客ネットワークに入っていくトラフィックを検査する。攻撃が検出された場合、センサは、ISPネットワーク内の攻撃を軽減するための解析エンジンに通知を行う。解析エンジンは、ISPネットワークのボーダルータおよびエッジルータに新しいルーティング情報を公示するようにフィルタルータを設定する。新しいルーティング情報は、顧客ネットワークに向けて送られることになっている攻撃トラフィックおよび非攻撃トラフィックをフィルタルータに経路変更するように、ボーダおよびエッジルータに指示する。フィルタルータでは、攻撃トラフィックおよび非攻撃トラフィックが自動的にフィルタリングされ、攻撃トラフィックが除去される。非攻撃トラフィックは、顧客ネットワークに向けて送るためにISPネットワーク上に返される。
Description
本発明は、一般に、通信ネットワーク上でのサービス妨害攻撃および分散サービス妨害攻撃(併せてDDos攻撃と呼ばれる)などのサービス攻撃を軽減することに関する。より詳細には、本発明は、エッジ/顧客ネットワークに向けられたDDos攻撃を検出すること、ならびに、サービスプロバイダネットワークにおけるDDosおよび非DDosトラフィックをリダイレクトし、次いで、DDosトラフィックがエッジ/顧客ネットワークに到達する前に選択的にそのトラフィックを除去することによってこのような攻撃を軽減することに関する。
サービス妨害(DoS)攻撃および分散サービス妨害(DDoS)攻撃は、インターネットにおいて引き続き増大しつつある懸念材料である。DoS攻撃では、大量の偽装したネットワークトラフィックによって、コンピュータが、ターゲットとするシステムにフラッディング(flood)を起こさせる。DDoS攻撃は、DoS攻撃に類似するがそれよりも大規模なものである。この場合、ハッカーは、クライアントコンピュータを使用して、通常はインターネットを介して地理的に分散している複数のエージェントコンピュータに侵入する。ハッカーは、エージェントにアクセスすると、ターゲットとするネットワークおよび/またはサーバを偽装したネットワークトラフィックによってフラッディングを起こすため、クライアントコンピュータによって制御され後で他のエージェントと連動してクライアントコンピュータによって使用されるソフトウェアモジュールをインストールする。DDoS攻撃は、DoS攻撃と比べて、より大量のトラフィックを発生させ、また多数のトラフィックのソースがあるため、攻撃を阻止することがより難しくなり、さらに破壊的なものとなる。
一般に、DoSおよびDDoS攻撃は、ターゲットのネットワークのバンド幅を消費し、ターゲットのサーバを酷使し、それによって、正当なトラフィック/ユーザが、ターゲットのネットワークおよびサーバにアクセスするのを妨害することを目的としている。このような攻撃は、TFN2K、およびStacheldraht(シュタッヒェルドラート)のようなインターネットから容易に入手可能な攻撃ツールを使用して比較的簡単に作り出すことができるため、今日では深刻な問題となっている。一般に、DoSおよびDDoS攻撃は、ネットワークの活動を停止させ、したがってビジネスの活動を数時間あるいは数日間も停止させるおそれがある。
DoSおよびDDoS攻撃(以下、DDoSを、DoS攻撃とDDoS攻撃の両方を指すものとして使用する)を検出し軽減するためにいくつかのシステムが開発された。これらのシステムは、1つのエンティティのネットワーク内にその全体が存在し、攻撃の検出と軽減の両方をこのネットワークにおいて(at this point)行う。図1は、具体的には、インターネット102、ISP(インターネットサービスプロバイダ)ネットワーク104、ISPネットワーク104のサービスを受けるエッジ/顧客ネットワーク106、ならびに複数のピアの自律システム108、110、および111を含む、例示的なネットワークを示す。インターネット102、ISPネットワーク104、およびピアの自律システム108、110、および112は、ボーダルータ114、116、118、120、122、124、126、および128によって相互接続され、ISPネットワーク104、および顧客ネットワーク106は、エッジルータ130、アクセスルータ132、およびアクセスリンク134によって相互接続されている。顧客ネットワーク106およびそのネットワーク内のサーバなどターゲットのネットワークに対するDDoS攻撃は、インターネット102、およびピアの自律システム108、110、および112に位置する複数のエージェントから発信される。従来のDDoS検出および軽減システムは、専用のハードウェアを備え、それは顧客ネットワーク106内に設けられる。これらのシステムは、ネットワークに入ってくるインターネットトラフィックを監視することにより、DDoS攻撃を軽減する。これらのシステムは、そのようなトラフィックを解析して、期待されるトラフィックプロファイルからの逸脱があるかどうかを決定し、または、ある種の攻撃に固有のシグネチャ(すなわち、各種のDDoS攻撃によって生成されたパケットは、攻撃の種類に応じて固有のパターンを有するが、そのパターンをシグネチャと呼ぶ)をトラフィックが有するかどうかを決定する。これらのシステムは、期待されるプロファイルに反し、または既知のシグネチャと一致するトラフィックを検出すると、1組のフィルタを設定してファイアウォールのように機能し、それにより悪意のあるトラフィックがさらにネットワーク106に入るのを防止する。
これらのシステムは、攻撃を検出し軽減することができるが、いくつかの欠点を有する。第1に、ISPによってサービスされる各顧客ネットワーク106では、攻撃を検出し軽減するための専用ハードウェアを購入する必要がある。専用ハードウェアは、大規模の顧客には選択肢となり得るが、このようなシステムを入手することができないSOHO(スモールオフィス/ホームオフィス)などのより小規模の顧客には、実行可能な解決策ではない。結果として、このようなより小規模な顧客は、DDoS攻撃の軽減をISPに依頼することになる。しかし、悪意のあるクライアント/エージェントは、IP(インターネットプロトコル)ソースアドレスのスプーフィング(spoofing)を用いて、その身元を隠すことが多いため、しばしばISPが攻撃を緩和することが困難となる。IPスプーフィングのため、ISPは、まず稼動中のルータにアクセスすることなく、悪意のあるトラフィックのネットワーク内への入口点を簡単に決定することはできず、その結果、悪意のあるトラフィックを除去するためにISPが適切なフィルタを設定することは容易ではないのである。このような従来のシステムの第2の欠点は、ターゲットにおいてDDoS攻撃を軽減することが難しいことである。上述したように、具体的には、DDoS攻撃が検出されると、トラフィックのフィルタリングは、顧客ネットワーク106において行われる。したがって、ISPネットワーク104は、続いて、エッジルータ130、アクセスルータ132、およびアクセスリンク134を介して顧客ネットワーク106において、悪意のあるトラフィックと有効なトラフィックの両方について集約して方向付けるが、そのアクセスリンクは、例えば、T−1、デジタル加入者線、またはISDN(総合デジタル通信サービス網)などの数百kbpsの比較的狭いバンド幅を有することがある。したがって、このような従来のシステムは、顧客ネットワーク106内からボトルネック(bottleneck)を除去する一方で、顧客ネットワークにアクセスするために使用される(エッジルータ、アクセスリンク、およびアクセスルータを含む)限られた資源は、引き続き、DDoS攻撃によって消費される可能性があり、したがって引き続き、DDoS攻撃によって、有効なネットワークトラフィックに対するボトルネックが作り出されることを阻止できない。その結果、顧客ネットワーク106を対象とする有効なネットワークトラフィックは、やはり悪意のあるトラフィックと競合しなければならなくなる。したがって、このような現行のシステムでは、攻撃が充分に軽減されないという問題がある。
したがって、従来のシステムの欠点を解消し、顧客ネットワークに対するDDoS攻撃を含めたサービス攻撃を検出し軽減する方法および装置を有することが望ましい。
具体的には、本発明によれば、ISPネットワークの各顧客ネットワークにセンサが関連付けられる。このセンサは、顧客ネットワークに入っていくネットワークトラフィックにアクセス可能で、DDoS攻撃を検出することを目的とする、複数のセンサフィルタを含むモジュールである。このセンサモジュールは、顧客ネットワークまたはISPネットワーク内に設置されたホストプラットフォーム上で実行される。このホストプラットフォームは、DDoSトラフィックを検出するために専用のものであるか、あるいは、顧客ネットワークまたはISPネットワーク内に既に設置され他の機能を担っている既存のプラットフォームである。センサは、攻撃を検出すると、攻撃を軽減するために、ISPネットワーク内に配置されている解析エンジンに通知を行う。
攻撃の通知を受け取ると、攻撃されている顧客ネットワークに基づいて、解析エンジンは、やはりISPネットワーク内に配置される1つまたは複数のフィルタルータを設定する。具体的には、各フィルタルータは、ISPネットワークを構成するボーダルータおよびエッジルータの全部または一部と共に、IP−in−IPトンネルを維持し、さらに、これらのIP−in−IPトンネルを介して、それにより接続された各ボーダおよびエッジルータと共に、外部ボーダゲートウェイプロトコル(external border gateway protocol)(eBGP)セッションを維持する。解析エンジンは、eBGPセッションを使用して、新しいルーティング情報をボーダおよびエッジルータに公示するように、フィルタルータを設定する。新しいルーティング情報は、ボーダおよびエッジルータに、攻撃を受ける顧客ネットワークに向けられているすべてのDDoSトラフィックおよび非DDoSトラフィックを経路変更し、IP−in−IPトンネルを使用してフィルタルータに向けて送るように指示する。
フィルタルータにおいて、IP−in−IPトンネルの入口ポートには、1組の予め設けられたトラフィックフィルタがある。ボーダおよびエッジルータからリダイレクトされたDDoSおよび非DDoSトラフィックは、自動的にこれらのフィルタを介して渡され、それによってDDoSトラフィックが除去される。DDoS以外のトラフィックは、ISPネットワークに送り返され、顧客ネットワークに向けて送られる。
本発明の独創的な検出および軽減システムの結果として、DDoSトラフィックは、まだISPネットワーク内にある間にハイエンドシステムによって除去され、集約されてカスタマネットワークに向け送られることはなく、したがって、DDoSでないトラフィックは、DDoS攻撃の影響を受けずに大部分が顧客ネットワークに向けて移動することが可能になる。さらに、本発明の独創的なシステムは、ISPネットワークが成長するのに伴い、追加のフィルタルータおよびボーダ/エッジルータを加えることにより、容易に拡張することができる。さらに、DDoSおよび非DDoSのトラフィックを、ボーダおよびエッジルータからフィルタルータにリダイレクトするためにIP−in−IPトンネルが使用されるので、ISPネットワークのコアを構成するルータを、攻撃を軽減するときに再設定する必要がない。結果として、本発明の独創的なシステムは、攻撃の対象となっていない顧客ネットワークに向けられたトラフィックに影響を与えない。最後に、本発明の独創的なシステムは、各顧客ネットワークに設置される専用/特別のハードウェアを必要としない。
図2は、エッジ/顧客ネットワーク204/206におけるDDoS攻撃を動的に検出しこれらの攻撃を軽減するための本発明の独創的なDDoS検出および軽減システムの、例示的な実施形態を示す図である。本発明の独創的なシステムの特徴は、顧客ネットワーク204/206に向けられたDDoS攻撃を検出し、ISPネットワーク202においてこれらの攻撃を軽減することである。重要な点は、本発明の独創的なシステムは、各顧客ネットワークにおいて特別な専用ハードウェアの設置を必要としないということである。さらに、本発明の独創的なシステムは、ISPネットワーク内においてDDoS攻撃を軽減するため、悪意のあるトラフィックは、エッジルータ226/228、アクセスルータ214/215、およびアクセスリンク216/217を介して顧客ネットワーク204/206に向けて送られることはなく、したがってDDoSでないトラフィックに対するDDoSトラフィックの影響が除去されるようになるという点が重要である。
具体的には、本発明の独創的なDDoS検出および軽減システムは、ボーダルータ220、222、および224、ならびにエッジルータ226、および228を含めたISPネットワーク202内の既存のインフラストラクチャを含み、さらにISPネットワーク内に配置された1つまたは複数のフィルタルータ230(図2には1つのフィルタルータのみを示す)、フィルタルータ230内に配置された複数のトラフィックルータ250、各ボーダおよびエッジルータから各フィルタルータへの予め設けられたIP−in−IPトンネル238、240、242、244、および246、ISPネットワーク内に配置された解析エンジン232、各顧客ネットワーク204/206に関連付けられたセンサ234/236、ならびに各センサ234/236に配置された複数のセンサフィルタ248を備える。ISPネットワーク202は、複数のコアネットワークルータおよび接続機器(connection)をさらに備え、これらのルータおよび接続機器は、解析エンジン232、フィルタルータ230、ならびにボーダおよびエッジルータ220、222、224、226、および228を相互に接続する。作図を容易にするため、図2には、このようなコアのルータおよび接続機器を示していない。
本発明によれば、センサ234/236は、ISPネットワーク202からエッジルータ226/228、アクセスリンク216/217、およびアクセルータ214/215を経由して顧客ネットワーク204/206に入るすべてのトラフィックを監視し、起こり得るDDoS攻撃に関してセンサフィルタ248を介して解析する。ネットワーク204などの顧客ネットワークに対するDDoS攻撃は、インターネット208、ピアの自律システム210および212、ならびに/またはISPネットワーク202からサービスを受ける他の顧客ネットワーク206から発信される可能性がある。センサ204などのセンサは、攻撃を検知し、解析エンジン232にその攻撃について伝える。このような攻撃の表示を受け取ると、解析エンジン232は、各ボーダルータ220、222、および224、ならびに各エッジルータ228に新しいルーティング情報を公示する(あるいは、2つ以上のフィルタルータが用いられる場合は、ボーダおよびエッジルータの一部に公示する)よう、1つまたは複数のフィルタルータ230を設定する。フィルタルータ230は、IP−in−IPトンネル238、240、244、および246を介して、この新しいルーティング情報をボーダおよびエッジルータに公示する。この新しいルーティング情報は、ボーダおよびエッジルータに、顧客ネットワークに向けられているすべてのDDoSおよび非DDoSトラフィックを経路変更し、IP−in−IPトンネル238、240、244、および246を使用してフィルタルータ230に送るように指示する。トラフィックフィルタ250は、IP−in−IPトンネル238、240、244、および246の入口ポートに予めプロビジョニングされており、ボーダおよびエッジルータからリダイレクトされたトラフィックを自動的にフィルタリングして、DDoSトラフィックを除去し、すべての非DDoSトラフィックをISPネットワーク202に送り返して顧客ネットワーク204に転送する。本発明の独創的な検出および軽減システムを使用した結果、DDoSトラフィックは、ISP202内にあるうちにハイエンドシステムによって除去され、エッジルータ226、アクセスリンク216、およびアクセスルータ214を介し顧客ネットワーク204に向けて集約され送られることがなくなり、したがって、これらの資源におけるボトルネックの発生が防止される。したがって、非DDoSトラフィックは、DDoS攻撃の影響を受けずに大部分が顧客ネットワーク204に向けて引き続き移動することが可能になる。
後にさらに説明するが、センサ234/236およびセンサフィルタ248は、顧客ネットワークおよび/またはISPネットワーク内の既存のハードウェアモジュール上に存在することが望ましく、それによって顧客ネットワーク内に専用の特別なハードウェアを設置する必要が回避される点も重要である。さらに、IP−in−IPトンネル238、240、242、244、および246が、ボーダおよびエッジルータ220、222、224、226、および228からフィルタルータ230にトラフィックをリダイレクトするために使用されることから、DDoS攻撃を軽減するためにISPネットワーク202を再設定する必要はなく、したがって他のトラフィック、および攻撃のターゲットでなくISPネットワーク202からサービスを受ける他の顧客ネットワークに対し発生する可能性のある影響が回避される。同様に、本発明の独創的なシステムは、攻撃を軽減するため、コアネットワークルータ、ならびにボーダおよびエッジルータを含めて稼動中のネットワークルータにアクセスする必要がない。
次に、本発明の独創的なDDoS検出および軽減システムを構成する各コンポーネントを詳細に説明する。センサ234/236は、ISPネットワーク202から顧客ネットワーク204/206に入るすべてのトラフィックに対して可視性を有する。センサは、(図2に示す)顧客ネットワークに、またはISPネットワーク202に対する顧客ネットワークのアクセスポイントに設置されたホストプラットフォーム上で(すなわち、顧客ネットワークに入るすべてのトラフィックに対してセンサが可視性を有する位置で)実行される。このホストプラットフォームは、DDoSトラフィックを検出するために専用のものか、または顧客ネットワークおよび/またはISPネットワーク内に既に設置され他の機能を担っている既存のプラットフォームである。センサ234/236を使用することに加え、本発明によるDDoS検出および軽減システムは、顧客ネットワーク内に設置されたサードパーティの侵入検知システムに組み込むこともできることに留意されたい。このようなシナリオでは、サードパーティの侵入検知システムは、上述のように、DDoS攻撃を検出し、それを解析エンジン232に通知して、攻撃を軽減する。同様に、本発明の独創的なシステムは、手動で活動状態にすることもでき、その場合、顧客ネットワークの管理者が、DDoS攻撃をISPに報告し、次いでISPが解析エンジン232を活動状態にする。
センサ234/236は、顧客ネットワークに入るすべてのトラフィックを監視し、顧客ネットワークに流れ込む現在のTCP(伝送制御プロトコル)、UDP(ユーザデータグラムプロトコル)、ICMP(インターネット制御メッセージプロトコル)、およびIPのパケットに関係するパケット種別の情報を、センサフィルタ248を介して追跡し、顧客ネットワークに入っていくビットレートに関係するレートの種別情報を追跡する。センサフィルタ248は、いくつかの種類を含む。第1組のセンサフィルタ248は、パケットに基づく情報を使用して、StacheldrahtおよびTFN2Kなど既知のDDoS攻撃ツールに対応するDDoSフラッディングトラフィックに対してシグネチャに基づく検出を実行する。第2組のセンサフィルタ248は、無効のフィールド値に関してパケットヘッダを解析する。具体的には、本発明者は、プロトコル標準に基づいて、様々なプロトコルについて様々なパケットヘッダフィールドでの有効な値の範囲を決定した。センサフィルタは、パケットヘッダを解析して、定義された有効値の範囲を越えたフィールド値を探し、無効なフィールド値が発見されたときにエラーを検出する。第3組のセンサフィルタは、ビットレート情報を使用して、設定可能な閾値に基づき、DDoSフラッディングトラフィックに対して量に基づく検出を実行する。DDoSフラッディングトラフィックのシグネチャに基づく検出は、既知の攻撃ツールを対象とし、パケットヘッダ検出は、定義されたプロトコル標準に基づいているが、量に基づく検出は、新しい/未知の種類のDDoS攻撃を検出することができる。
DDoS攻撃を検出することに加え、第4組のフィルタ248は、収集したパケット情報を使用して、DDoS制御トラフィックのシグネチャに基づく検出を実行する。制御トラフィックを検出することにより、センサフィルタは、対応する顧客ネットワーク内のホストが、DDoS攻撃元のクライアントまたはエージェントとしてアクセスされ利用されているかどうかを決定することができる。本発明によれば、上記以外の他の種類のセンサフィルタ248を、センサ234/236に設けることもできることに留意されたい。
DDoS制御トラフィックが検出されたかどうか、あるいは、DDoS攻撃が検出されたかどうかにかかわらず、センサ234/236は、このイベントの通知を解析エンジン232に送る。具体的には、センサ234/236がDDoS制御トラフィックを検出した場合、センサはDDoS制御シグネチャに基づく通知を解析エンジンに送る。センサがDDoS攻撃を検出した場合、センサはDDoS攻撃に基づく通知を解析エンジン232に送る。
センサ234/236と解析エンジン232の間の通知の通信は、任意の種類の通信チャネルを介して行うことができる。ただし、センサ234/236と解析エンジン232の間での通信は、IPSec(IPセキュリティ)トンネルを介して行われることが好ましく、このトンネルは手動または自動で確立することができる。さらに、通知は、侵入検知メッセージ交換フォーマット(Intrusion Detection Message Exchange Format)(IDMEF)を用いてフォーマットされることが好ましく、それにより、解析エンジンは、上述のようにサードパーティの侵入検知システムに容易に組み込むことができる。このようなデータフォーマットは、例えばXML(拡張マークアップ言語)を使用して実装することができる。
解析エンジン232は、例えばネットワークオペレーションセンタにおけるISPネットワーク202内に存在し、各顧客ネットワーク204および206に関連付けられた1つまたは複数のセンサ234および236にサービスする。先に示したように、本発明によれば、センサがDDoS制御トラフィックまたはDDoS攻撃を検出したとき、解析エンジンはセンサから自動通知を受け取る。解析エンジンは、DDoS制御に基づく通知を受け取ったとき、ISPポリシーマネージャ(policy manager)に通知を行う。解析エンジンは、DDoS攻撃に基づく通知を受け取ったとき、1つまたは複数のフィルタルータ230を設定することにより自動的に攻撃を軽減する。具体的には、解析エンジンは、新しいルーティング情報をボーダおよびエッジルータ220、222、224、226、および228に公示するようにフィルタルータを設定する。フィルタルータからの新しいルーティン情報は、攻撃を受ける顧客ネットワークに向けて送られることになっているすべてのDDoSおよび非DDoSトラフィックを経路変更してフィルタルータに送るようにボーダおよびエッジルータに指示する。
ISPネットワーク202により検出された攻撃を軽減することが可能となるが、これに加え、解析エンジン232は、本発明の独創的なDDoS検出および軽減システムの維持も行う。具体的には、解析エンジンは、フィルタエンジン230上にトラフィックフィルタ250のプロビジョニングを予め行い、また、センサ234/236上にセンサフィルタ248を予めプロビジョニングする。さらに、ISPネットワークの防御の姿勢/ポリシーに応じて、解析エンジンは、いくつかのトラフィックフィルタ250およびセンサフィルタ258を無効にすることによってフィルタルータ230およびセンサ234/236におけるフィルタリングの重大度を自動的に調節することができ、したがってマルチレベルのフィルタリングを作成することができる。
同様に、解析エンジン232、センサフィルタ248、およびトラフィックフィルタ250の更新も行う。DDoSフラッディングトラフィックおよびDDoS制御トラフィックを検出するために使用されるセンサフィルタ248は、既知の攻撃ツールのシグネチャに基づいている。新しい攻撃ツールが作り出されたときは、その新しいツールのシグネチャに対応する新しいセンサフィルタが必要とされる。したがって、解析エンジンは、必要とされる新しいセンサフィルタ248をダウンロードすることによって、定期的にセンサ234および236を更新することができる。同様に、フィルタルータ230にあるトラフィックフィルタ250は、既知の攻撃ツールのシグネチャに基づき、さらに、後述するように、ボーダルータを介した予測されるIPパケットの流れにも基づいている。新しい攻撃ツールが作り出され、またIPルーティング/フローを変更するネットワーク設定が変更されるのに応じ、やはり、解析エンジンは、必要とされる新しいトラフィックフィルタ250をダウンロードすることによって、フィルタルータ230を定期的に更新することができる。
最後に、解析エンジン232は、ISPネットワークのエッジにおいてDDoS攻撃を遮断するのを支援する。具体的には、トラフィックフィルタ250がパケットを廃棄していく際、解析エンジンは、各IP−in−IPトンネル238、240、242、244、および246についてフィルタルータ230によって維持されるパケット廃棄カウンタ(packet−drop−counter)に、定期的にポーリング(poll)することができる。どのフィルタがパケットを廃棄しているかを知ることにより、解析エンジンは、どのボーダおよび/またはエッジルータ220、222、224、226、および230がDDoSフラッディングを生成するために使用されているか、したがって、どのピア自律システム208、210、212、204、および206がDDoSフラッディングを生成するために使用されているかを決定することができる。これには、攻撃元を決定し遮断しようと試みる場合に、ボーダおよびエッジルータなど稼動中のネットワークルータにアクセスする必要がないという利点がある。
同様に、解析エンジン232は、DDoS攻撃がいつ完了したかを決定することができ、ネットワークをその元の状態に回復することができる。具体的には、フィルタルータ230によって維持されるパケット廃棄カウンタを定期的にポーリングすることにより、解析エンジン232は、いつカウンタがもはや増分されないかを決定することができる。解析エンジン232は、カウンタが増分を停止したときにDDoS攻撃が終了したと結論付けることができる。したがって、解析エンジン232は、DDoSおよび非DDoSトラフィックをもはやフィルタルータ240にリダイレクトしないようボーダおよびエッジルータに指示するeBGPルーティング情報を、ボーダおよびエッジルータに送るようにフィルタ240を設定することができ、したがってネットワークは元の状態に回復する。
図示されているフィルタルータ230を参照すると、それはISPネットワーク202内にある。ISPネットワークのサイズ、ならびに/またはISPネットワークからサービスを受ける顧客ネットワーク204および206の数およびサイズに応じて、本発明のシステムは、複数のフィルタルータを含むことができる。これらのフィルタルータは、本発明の独創的なトラフィックフィルタ250に対応する複数の特定のパケットフィルタを有し、パケットフィルタリングファイアウォール機能を有する、市販の入手可能なハイエンドルータである。またはこれに代えて、フィルタルータ230は、別個のハイエンドルータ、および別個のファイアウォールを有する2つの市販の入手可能なシステムを備えることができる。ここでは、本発明の独創的なトラフィックフィルタ250は、ファイアウォールコンポーネント内に組み込まれている。
解析エンジン232がアクセスして、上述のフィルタルータに事前に所定の値を設定し、および自動的に設定することが可能である。解析エンジンは、事前設定によって、予め定められたある時間に、トラフィックフィルタ250を、IP−in−IPトンネル238、240、242、244、および246の各入口ポートに設ける。さらに、解析エンジンは、トラフィックフィルタ250を必要に応じて更新することもできる。解析エンジンは、自動化設定によって、フィルタルータが、DDoS攻撃時に新しいルーティング情報を公示するように設定する。フィルタルータと解析エンジンの間での事前設定および自動化設定の通信は、IPSecトンネルなどのセキュアな通信を介して行われることが好ましい。
フィルタルータは、ISPネットワーク202内の各ボーダおよびエッジルータ220、222、224、226、および228と共に、予めプロビジョニングされたIP−in−IPトンネル238、240、242、244、および246を維持する。あるいは、複数のフィルタルータがISPネットワーク内に設置されている場合、各フィルタルータは、ボーダおよびエッジルータのうち一部だけに割り当てることができ、この場合は、IP−in−IPトンネルは、フィルタルータとそれが割り当てられたボーダ/エッジルータの間だけで維持される。各IP−in−IPトンネルを介して、フィルタルータ230は、その対応するボーダ/エッジルータと共にeBGPセッションを維持する。さらに、ボーダおよびエッジルータは、IP−in−IPトンネルを使用して、DDoS攻撃の際にDDoSおよび非DDoSトラフィックをフィルタルータにリダイレクトする。したがって、IP−in−IPトンネルにより、フィルタルータ、ボーダルータ、およびエッジルータの間は論理的に隣接していることを維持し、それによって、フィルタルータ、ならびにボーダおよびエッジルータが、ISPネットワーク202内で物理的に隔離されることが可能になる。IP−in−IPトンネルは、フィルタルータ/解析エンジンが起こり得るDDoS攻撃の通知を受けるのに先立って、ネットワーク設定の際に予めプロビジョニングれることに留意されたい。
本発明によれば、顧客ネットワーク204に関連付けられたセンサ234などのセンサが、DDoS攻撃を検出し、このイベントを解析エンジン232に通知したとき、解析エンジンは、フィルタルータ230を、新しいルーティング情報を公示するように設定する。フィルタルータは、それが各ボーダおよびエッジルータと共に維持するeBGPセッションを用いて、この新しいルーティング情報を公示する。フィルタルータによって公示された新しいルーティング情報は、顧客ネットワーク204に向けて送られることになっているすべてのDDoSおよび非DDoSトラフィックを、例えばIP−in−IPトンネルを介してフィルタルータ230に向けて送るように、ボーダおよびエッジルータに指示する。
ボーダおよびエッジルータが、前述のように再設定されると、フィルタルータ230は、IP−in−IPトンネル238、240、244、および246の入口ポイントでDDoSおよび非DDoSトラフィックの両方の受け取りを開始する。予め定められた/予め設けられたトラフィックフィルタ250のセットは、各IP−in−IPトンネル238、240、244、および246のフィルタルータの入口ポートにある。悪意のあるトラフィックを除去するため、ボーダ/エッジルータからリダイレクトされたトラフィックは、DDoS攻撃の際に自動的にこれらのフィルタに通される。トラフィックフィルタが、非DDoSトラフィックを通過させ、次いで、フィルタルータが、このトラフィックをエッジルータ226および顧客ネットワーク204に送るためにISPネットワーク202に送り返す。フィルタルータは、顧客ネットワーク204に非DDoSトラフィックを送るために、(顧客ネットワーク204が攻撃を受けていることを想定して)IP−in−IPトンネル242を使用しないことに留意されたい。
予め定められた/予め設けられたトラフィックフィルタ250については、本発明によるいくつかの種類がある。第1組のトラフィックフィルタ250は、StacheldrahtおよびTFN2Kなど既知のDDoS攻撃メカニズムのシグネチャと合致するトラフィックを除去する、シグネチャに基づくフィルタである。第2組のトラフィックフィルタ250は、様々なプロトコル標準で有効であると定義された範囲を越えるフィールド値を有するパケットを除去する。最後に、本発明によれば、第3組のトラフィックフィルタ250は、「入口ボーダルータフィルタ(ingress border router filter)」である。具体的には、ISPネットワーク202(またはISP顧客ネットワーク204/206)に割り振られずにISPネットワーク内の特定のIPアドレスに向けられる特定のIPアドレスブロックから到着するトラフィックは、ISPネットワーク202に隣接する特定のピア自律システム208、210、および212にマップすることができることを本発明者は発見した。言い換えれば、ISPネットワーク202の外部のアドレスから開始する任意のIPアドレスブロックからのトラフィックが与えられたとすると、どのピア自律システム210、212、または208から(すなわち、どのボーダルータ220、222、または224を介して)、そのトラフィックがISPネットワーク202に入るのかを予め定めることができる。あるIPアドレスブロックに関連する外部トラフィックは、予め定められたピア自律システムから発信されても、単にそのシステムを使用してISPネットワークに入ってもよいことに留意されたい。攻撃者がIPスプーフィングを用いて攻撃元のクライアントおよびエージェントを隠すことが多いので、この発見によりDDoS攻撃トラフィックをさらに除去することが可能となる。言い換えれば、DDoS攻撃の際に、隣接ピア自律システム210、212、または208/ボーダルータ220、222、または224からISP202に入ってくる悪意のあるトラフィックは、その隣接するピア自律システム/ボーダルータからISPネットワークに入る通常のトラフィックと一致しないソースIPアドレスをしばしば有する。したがって、通常は各ボーダルータを通過しISPネットワーク202に向けて送られる予定のIPアドレスブロックを知ることにより、フィルタルータ230に1組の「入口ボーダルータフィルタ」を予め設ける。所与のボーダルータからのIP−in−IPトンネルの入口ポート上に与えられた「入口ボーダルータフィルタ」は、そのボーダルータを介してISPネットワークに通常入るソースIPアドレスを有していないトラフィックを除去する。本発明によれば、フィルタルータ230に、上述の種類とは別の種類のトラフィックルータ250を設けることもできることに留意されたい。
ボーダおよびエッジルータ220、222、224、226、および228を参照すると、これらは、市販の入手可能な製品である。これらのシステムは、IP−in−IPトンネルを事前に設定する必要がある以外は、通常通りに動作し、DDoS攻撃を軽減するために解析エンジン232によるアクセスを必要としない。
本発明の独創的な、ボーダ/エッジルータ、IP−in−IPトンネル、解析エンジン、およびフィルタルータ/トラフィックフィルタの組み合わせは、いくつかの利点を有する。第1に、複数のフィルタルータが使用される場合、フィルタルータ間またはボーダルータ間での同期/調整が必要ではない。したがって、追加の顧客ネットワークがISPネットワーク202に追加され、かつ/または追加のピアネットワークがISPネットワークに組み込まれる場合、本発明の独創的なシステムは、追加のフィルタルータおよびボーダ/エッジルータを追加することによって容易に拡張される。第2に、攻撃を受けている顧客ネットワークに向けて送られる予定のDDoSおよび非DDoSトラフィックは、IP−in−IPトンネルを使用して、フィルタルータに経路変更されるため、ISPネットワーク202のコアを構成するルータは、攻撃を軽減するために再設定する必要がない。したがって、攻撃を受けていない顧客ネットワークに向けて送られるトラフィックは、影響を受けない。同様に、本発明の独創的なシステムは、攻撃を緩和するために、稼動中のネットワークルータにアクセスする必要がなく、このようなアクセスする必要がないネットワークルータには、コアネットワークルータが含まれ、さらに重要なことにボーダおよびエッジルータも含まれる。これらのボーダおよびエッジルータは、ISPネットワークの既存の機能/プロトコル(すなわちeBGP)を用いて再設定される。第3に、ハイエンドフィルタルータは、悪意のあるトラフィックを除去するので、エッジルータ226/228、アクセスリンク216/217、およびアクセスルータ214/215の限られた資源が、悪意のあるトラフィックによって、より多く費やされることがない。したがって、攻撃が緩和されたあと、非DDoSトラフィックの遅延は最小限になる。
図3A〜3Cは、本発明の独創的なDDoS検出および軽減システムの動作を示す簡略化されたネットワークを示す図である。図3Aでは、顧客ネットワーク204は、ピア自律システム210および212、ならびに顧客ネットワーク206から、悪意のあるDDoSトラフィック302、および所望の非DDoSトラフィック304を受け取っている(要素305は、DDoSおよび非DDoSトラフィックについての手掛かりを与えている)。図3Bに示すように、センサ234のセンサフィルタ248は、DDoS攻撃を検出し、センサは、攻撃通知306を解析エンジン232に発行する。解析エンジンは、矢印308で示すように、フィルタルータ230を、ボーダおよびエッジルータ220、222、および228に新しいルーティング情報を公示するように設定し、この新しいルーティング情報の公示は、矢印310、312、および314で示されている。フィルタルータは、それがボーダおよびエッジルータと共にIP−in−IPトンネル238、240、および244を介して維持するeBGPセッションによって、新しいルーティング情報を公示する。図3Cに示すように、新しいルーティング情報に応答して、ボーダおよびエッジルータは、顧客ネットワーク204を対象とするDDoSトラフィック302および非DDoSトラフィック304をリダイレクトして、(要素307は、リダイレクトされたDDoSおよび非DDoSトラフィックについての手掛かりを与えている)IP−in−IPトンネル238、240、および244を介してフィルタルータ230に送る。フィルタルータは、トラフィックフィルタ250によって、DDoSトラフィックを、IP−in−IPトンネルを介して受け取った着信トラフィックから除去し、非DDoSトラフィックを、矢印312で示すように、ISPネットワーク202上に返して顧客ネットワークに向けて渡す。
本発明の上述の実施形態は例示にすぎない。他の多数の実施形態は、本発明の趣旨および範囲を逸脱することなく当業者によって考案することができる。
頭字語の説明
DOS: サービス妨害(Denial of Service)
DDoS: 分散サービス妨害(Distributed Denial of Service)
DSL: デジタル加入者線(digital Subscriber Line)
eBGP: 外部ボーダゲートウェイプロトコル(External Border Gateway Protocol)
IMCP: インターネット制御メッセージプロトコル(Internet Control Message Protocol)
IDMEF: 侵入検知メッセージ交換フォーマット(Intrusion Detection Message Exchange Format)
IP: インターネットプロトコル(Internet Protocol)
IPSec: IPセキュリティ(IP Security)
ISDN: 総合デジタル通信サービス網(Integrated Services Digital Network)
ISP: インターネットサービスプロバイダ(Internet Service Provider)
SOHO: スモールオフィス/ホームオフィス(Small Office/Home Office)
TCP: 伝送制御プロトコル(Transmission Control Protocol)
UDP: ユーザデータグラムプロトコル(User Datagram Protocol)
XML: 拡張マークアップ言語(Extensible Markup Language)
DOS: サービス妨害(Denial of Service)
DDoS: 分散サービス妨害(Distributed Denial of Service)
DSL: デジタル加入者線(digital Subscriber Line)
eBGP: 外部ボーダゲートウェイプロトコル(External Border Gateway Protocol)
IMCP: インターネット制御メッセージプロトコル(Internet Control Message Protocol)
IDMEF: 侵入検知メッセージ交換フォーマット(Intrusion Detection Message Exchange Format)
IP: インターネットプロトコル(Internet Protocol)
IPSec: IPセキュリティ(IP Security)
ISDN: 総合デジタル通信サービス網(Integrated Services Digital Network)
ISP: インターネットサービスプロバイダ(Internet Service Provider)
SOHO: スモールオフィス/ホームオフィス(Small Office/Home Office)
TCP: 伝送制御プロトコル(Transmission Control Protocol)
UDP: ユーザデータグラムプロトコル(User Datagram Protocol)
XML: 拡張マークアップ言語(Extensible Markup Language)
Claims (18)
- 複数のボーダルータおよびエッジルータを含むインターネットサービスプロバイダ(ISP)ネットワークに接続された目標である特定のエッジネットワークに対するサービス攻撃を軽減するシステムであって、
前記ISPネットワーク内にあり、前記目標である特定のエッジネットワークに対するサービス攻撃が検出されると通知を受ける解析エンジンと、
前記フィルタルータに設けられる複数のトラフィックフィルタを含む、前記ボーダおよびエッジルータとは異なるフィルタルータと
を備え、
前記解析エンジンは、サービス攻撃を通知されると、新しいルーティング情報を前記ボーダおよびエッジルータのうちの1つまたは複数に公示するように前記フィルタルータを設定し、前記公示された新しいルーティング情報は、前記ボーダおよびエッジルータに、前記目標である特定のエッジネットワークを対象とする前記サービス攻撃およびサービス攻撃でないトラフィックのみを前記フィルタルータにリダイレクトするように指示し、前記トラフィックフィルタは、前記リダイレクトされたサービス攻撃トラフィックを前記ISPネットワークから除去し、前記リダイレクトされたサービス攻撃でないトラフィックが、前記目標である特定のエッジネットワークに進むことを可能にすることを特徴とするシステム。 - 前記目標である特定のエッジネットワークに入るトラフィックにアクセスすることができ、前記アクセスのトラフィックを解析して、前記目標である特定のエッジネットワークに対する前記サービス攻撃を検出する複数のセンサフィルタをさらに備えたことを特徴とする請求項1に記載のシステム。
- 前記センサフィルタおよび前記トラフィックフィルタは、前記トラフィックを構成するパケットのヘッダが、定義された範囲を越えるフィールド値を有するかどうかに基づいて、サービス攻撃の検出および除去をそれぞれ行うパケットヘッダに基づくフィルタを含むことを特徴とする請求項2に記載のシステム。
- 前記センサフィルタは、サービス攻撃によるフラッディングのトラフィックの量に基づく検出を行うボリュームベースのフィルタを含むことを特徴とする請求項2に記載のシステム。
- 前記トラフィックフィルタは、所与のパケットが、所与のボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合、前記所与のパケットを除去するフィルタを含むことを特徴とする請求項1に記載のシステム。
- 前記解析エンジンは、サービス攻撃に先立ち、前記センサフィルタおよび前記トラフィックフィルタを予めプロビジョニングすることができることを特徴とする請求項2に記載のシステム。
- 前記解析エンジンは、前記システムの前記検出の重大度を調節するため、1つまたは複数の設けられたトラフィックフィルタおよびセンサフィルタを無効にすることができることを特徴とする請求項6に記載のシステム。
- 各々が前記フィルタルータと、ボーダまたはエッジルータとの間に設けられた複数のIP−in−IPトンネルであって、前記リダイレクトされたサービス攻撃トラフィックおよびサービス攻撃でないトラフィックは、前記ボーダおよびエッジルータから前記IP−in−IPトンネルを介して前記複数のトラフィックフィルタを有する前記フィルタルータに向けて送られ、前記複数のトラフィックフィルタは、前記ボーダおよびエッジルータから離れた前記フィルタルータにおける各IP−in−IPトンネルの入口点に設けられているトンネルと、
前記フィルタルータにおいて各IP−in−IPトンネルごとに、次いでリダイレクトされたサービス攻撃およびサービス攻撃でないトラフィックから除去されたパケットをカウントするパケット廃棄カウンタと
をさらに備え、前記解析エンジンは、前記パケット廃棄カウンタをポーリングし、当該カウントを用いて、前記攻撃を発信している1つまたは複数のボーダまたはエッジルータを決定する機能を有することを特徴とする請求項1に記載のシステム。 - 前記サービス攻撃およびサービス攻撃でないトラフィックは、前記サービス攻撃トラフィックを除去するために自動的に前記トラフィックフィルタに通され、前記トラフィックフィルタは、所与のパケットが、所与のボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合に、前記所与のパケットを除去することを特徴とする請求項1に記載のシステム。
- 前記センサフィルタは、新しい種類のサービス攻撃を検出し軽減するために、自動的に更新することができることを特徴とする請求項2に記載のシステム。
- 前記トラフィックフィルタのうちの1つまたは複数を、前記システムの検出の重大度を調節するため、無効にする機能を有することを特徴とする請求項2に記載のシステム。
- 複数のボーダおよびエッジルータ、ならびに前記ボーダおよびエッジルータとは異なるフィルタルータを含むインターネットサービスプロバイダ(ISP)ネットワークに接続された目標である特定のエッジネットワークに対するサービス攻撃を軽減するための方法であって、
前記目標である特定のエッジネットワークに対するサービス攻撃を検出するステップと、
攻撃の通知を前記ISPネットワークに送るステップと、
前記攻撃通知に応答して、新しいルーティング情報を前記ボーダおよびエッジルータに公示するステップであって、前記ルーティング情報は、前記目標である特定のエッジネットワークに向けて送られることになっている前記サービス攻撃およびサービス攻撃でないトラフィックを前記フィルタルータにリダイレクトするという情報であるステップと、
前記サービス攻撃トラフィックを除去するために、前記フィルタルータによって、前記リダイレクトされたサービス攻撃およびサービス攻撃でないトラフィックをフィルタリングするステップと、
前記サービス攻撃でないトラフィックを前記目標である特定のエッジネットワークに転送するステップと
を備えたことを特徴とする方法。 - 前記サービス攻撃およびサービス攻撃でないトラフィックは、前記ボーダおよびエッジルータから前記フィルタルータにリダイレクトされIP−in−IPトンネルを介して送られることを特徴とする請求項12に記載の方法。
- 前記フィルタリングするステップは、前記ボーダおよびエッジルータとは異なる前記フィルタルータにおける複数のトラフィックフィルタによって行われることを特徴とする請求項12に記載の方法。
- 前記ボーダおよびエッジルータとは異なる前記フィルタルータにおける前記トラフィックフィルタは、所与のパケットが、あるボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ISPネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合に、前記所与のパケットを除去するフィルタを含むことを特徴とする請求項14に記載の方法。
- 前記検出の重大度を調節するため、前記トラフィックフィルタのうちの1つまたは複数を無効にするステップをさらに備えたことを特徴とする請求項14に記載の方法。
- 前記目標である特定のエッジネットワークに向けられたサービス攻撃制御トラフィックを検出するステップと、
サービス攻撃制御トラフィックの通知を、前記ISPネットワークに送るステップと
をさらに備えたことを特徴とする請求項12に記載の方法。 - サービス攻撃トラフィックが除去されるのに伴って、前記フィルタルータによって増分される複数のパケット廃棄カウンタを定期的にポーリングするステップと、
前記パケット廃棄カウンタを用いて、どの1つまたは複数のボーダまたはエッジルータによって、前記攻撃が発信されているのかを決定するステップと
をさらに備えたことを特徴とする請求項12に記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/353,527 US20040148520A1 (en) | 2003-01-29 | 2003-01-29 | Mitigating denial of service attacks |
PCT/US2004/002271 WO2004070535A2 (en) | 2003-01-29 | 2004-01-27 | Mitigating denial of service attacks |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006517066A true JP2006517066A (ja) | 2006-07-13 |
Family
ID=32736193
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005518848A Withdrawn JP2006517066A (ja) | 2003-01-29 | 2004-01-27 | サービス妨害攻撃の軽減 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20040148520A1 (ja) |
EP (1) | EP1588264A2 (ja) |
JP (1) | JP2006517066A (ja) |
CA (1) | CA2511997A1 (ja) |
WO (1) | WO2004070535A2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012226508A (ja) * | 2011-04-19 | 2012-11-15 | Internatl Business Mach Corp <Ibm> | 複数の産業制御システム間の通信を制御するシステム |
JP2014504111A (ja) * | 2010-12-29 | 2014-02-13 | アマゾン テクノロジーズ インコーポレイテッド | ソース付近のサービス妨害拒否から保護するための技術 |
WO2019159907A1 (ja) * | 2018-02-13 | 2019-08-22 | 日本電信電話株式会社 | DDoS対処装置、DDoS対処方法、及びプログラム |
Families Citing this family (241)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7137145B2 (en) * | 2002-04-09 | 2006-11-14 | Cisco Technology, Inc. | System and method for detecting an infective element in a network environment |
JP4354201B2 (ja) * | 2003-03-18 | 2009-10-28 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
US9118711B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118708B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Multi-path remediation |
US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
US9100431B2 (en) | 2003-07-01 | 2015-08-04 | Securityprofiling, Llc | Computer program product and apparatus for multi-path remediation |
US9118709B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US8984644B2 (en) * | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US20050066193A1 (en) * | 2003-09-22 | 2005-03-24 | Overby Linwood Hugh | Selectively responding to intrusions by computers evaluating intrusion notices based on local intrusion detection system policy |
US20050076236A1 (en) * | 2003-10-03 | 2005-04-07 | Bryan Stephenson | Method and system for responding to network intrusions |
KR100544900B1 (ko) * | 2003-10-09 | 2006-01-24 | 한국전자통신연구원 | 네트워크 교정 보안 방법 |
US7925766B2 (en) * | 2004-02-18 | 2011-04-12 | At&T Intellectual Property Ii, L.P. | Method for distributed denial-of-service attack mitigation by selective black-holing in MPLS VPNS |
US7444417B2 (en) | 2004-02-18 | 2008-10-28 | Thusitha Jayawardena | Distributed denial-of-service attack mitigation by selective black-holing in IP networks |
US7650635B2 (en) * | 2004-04-07 | 2010-01-19 | Cisco Technology, Inc. | Method and apparatus for preventing network attacks by authenticating internet control message protocol packets |
CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
EP1779345A2 (en) * | 2004-07-29 | 2007-05-02 | Intelli7, Inc. | System and method of characterizing and managing electronic traffic |
US7577737B2 (en) * | 2004-09-23 | 2009-08-18 | Cisco Technology, Inc. | Method and apparatus for controlling data to be routed in a data communications network |
US8479282B2 (en) * | 2004-10-12 | 2013-07-02 | Nippon Telegraph And Telephone Corporation | Denial-of-service attack defense system, denial-of-service attack defense method, and computer product |
US7715395B2 (en) * | 2004-11-24 | 2010-05-11 | Microsoft Corporation | System and method for expanding the range of a mesh network |
US20060184462A1 (en) | 2004-12-10 | 2006-08-17 | Hawkins Jeffrey C | Methods, architecture, and apparatus for implementing machine intelligence and hierarchical memory systems |
US7676217B2 (en) * | 2005-01-31 | 2010-03-09 | Theta Networks, Inc. | Method for malicious traffic recognition in IP networks with subscriber identification and notification |
US20060174001A1 (en) * | 2005-01-31 | 2006-08-03 | Shouyu Zhu | Responding to malicious traffic using separate detection and notification methods |
US8346960B2 (en) | 2005-02-15 | 2013-01-01 | At&T Intellectual Property Ii, L.P. | Systems, methods, and devices for defending a network |
US7606147B2 (en) | 2005-04-13 | 2009-10-20 | Zeugma Systems Inc. | Application aware traffic shaping service node positioned between the access and core networks |
US7719966B2 (en) | 2005-04-13 | 2010-05-18 | Zeugma Systems Inc. | Network element architecture for deep packet inspection |
US8839427B2 (en) * | 2005-04-13 | 2014-09-16 | Verizon Patent And Licensing Inc. | WAN defense mitigation service |
US20060272018A1 (en) * | 2005-05-27 | 2006-11-30 | Mci, Inc. | Method and apparatus for detecting denial of service attacks |
US7694338B1 (en) | 2005-06-03 | 2010-04-06 | Sprint Communications Company L.P. | Shared tap DOS-attack protection |
US7665135B1 (en) * | 2005-06-03 | 2010-02-16 | Sprint Communications Company L.P. | Detecting and addressing network attacks |
US7739208B2 (en) * | 2005-06-06 | 2010-06-15 | Numenta, Inc. | Trainable hierarchical memory system and method |
US7730536B2 (en) * | 2005-06-08 | 2010-06-01 | Verizon Business Global Llc | Security perimeters |
US8228818B2 (en) * | 2005-06-24 | 2012-07-24 | At&T Intellectual Property Ii, Lp | Systems, methods, and devices for monitoring networks |
US20060291446A1 (en) * | 2005-06-24 | 2006-12-28 | Donald Caldwell | Systems, methods, and devices for managing routing |
US8091131B2 (en) * | 2005-07-06 | 2012-01-03 | At&T Intellectual Property Ii, L.P. | Method and apparatus for communicating intrusion-related information between internet service providers |
US7757283B2 (en) * | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
EP1744516A1 (en) * | 2005-07-15 | 2007-01-17 | AT&T Corp. | Distributed denial-of-service attack mitigation by selective black-holing in IP networks |
US7987493B1 (en) * | 2005-07-18 | 2011-07-26 | Sprint Communications Company L.P. | Method and system for mitigating distributed denial of service attacks using centralized management |
US8407785B2 (en) * | 2005-08-18 | 2013-03-26 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media protecting a digital data processing device from attack |
US7719995B2 (en) | 2005-09-09 | 2010-05-18 | Zeugma Systems Inc. | Application driven fast unicast flow replication |
US7733891B2 (en) | 2005-09-12 | 2010-06-08 | Zeugma Systems Inc. | Methods and apparatus to support dynamic allocation of traffic management resources in a network element |
US7508764B2 (en) * | 2005-09-12 | 2009-03-24 | Zeugma Systems Inc. | Packet flow bifurcation and analysis |
US20070233880A1 (en) * | 2005-10-20 | 2007-10-04 | The Trustees Of Columbia University In The City Of New York | Methods, media and systems for enabling a consistent web browsing session on different digital processing devices |
US8280944B2 (en) * | 2005-10-20 | 2012-10-02 | The Trustees Of Columbia University In The City Of New York | Methods, media and systems for managing a distributed application running in a plurality of digital processing devices |
US20070245334A1 (en) * | 2005-10-20 | 2007-10-18 | The Trustees Of Columbia University In The City Of New York | Methods, media and systems for maintaining execution of a software process |
US8549646B2 (en) * | 2005-10-20 | 2013-10-01 | The Trustees Of Columbia University In The City Of New York | Methods, media and systems for responding to a denial of service attack |
KR100737527B1 (ko) * | 2005-12-08 | 2007-07-10 | 한국전자통신연구원 | 이더넷 폰에서 보안 채널 제어 방법 및 장치 |
US20080208966A1 (en) * | 2007-02-28 | 2008-08-28 | Numenta, Inc. | Hierarchical Temporal Memory (HTM) System Deployed as Web Service |
US20070192267A1 (en) * | 2006-02-10 | 2007-08-16 | Numenta, Inc. | Architecture of a hierarchical temporal memory based system |
US8732098B2 (en) | 2006-02-10 | 2014-05-20 | Numenta, Inc. | Hierarchical temporal memory (HTM) system deployed as web service |
US7941389B2 (en) | 2006-02-10 | 2011-05-10 | Numenta, Inc. | Hierarchical temporal memory based system including nodes with input or output variables of disparate properties |
US20070210909A1 (en) * | 2006-03-09 | 2007-09-13 | Honeywell International Inc. | Intrusion detection in an IP connected security system |
WO2007133178A2 (en) | 2006-04-21 | 2007-11-22 | The Trustees Of Columbia University In The City Of New York | Systems and methods for inhibiting attacks on applications |
US8001601B2 (en) * | 2006-06-02 | 2011-08-16 | At&T Intellectual Property Ii, L.P. | Method and apparatus for large-scale automated distributed denial of service attack detection |
US8245304B1 (en) * | 2006-06-26 | 2012-08-14 | Trend Micro Incorporated | Autonomous system-based phishing and pharming detection |
US8205252B2 (en) | 2006-07-28 | 2012-06-19 | Microsoft Corporation | Network accountability among autonomous systems |
US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
WO2008067326A2 (en) * | 2006-11-28 | 2008-06-05 | Numenta, Inc. | Group-based temporal pooling |
US8910275B2 (en) * | 2007-02-14 | 2014-12-09 | Hewlett-Packard Development Company, L.P. | Network monitoring |
WO2008106615A1 (en) * | 2007-02-28 | 2008-09-04 | Numenta, Inc. | Spatio-temporal learning algorithms in hierarchical temporal networks |
US7941392B2 (en) * | 2007-02-28 | 2011-05-10 | Numenta, Inc. | Scheduling system and method in a hierarchical temporal memory based system |
WO2008106623A2 (en) * | 2007-02-28 | 2008-09-04 | Numenta, Inc. | Episodic memory with a hierarchical temporal memory based system |
US8310923B1 (en) | 2007-03-27 | 2012-11-13 | Amazon Technologies, Inc. | Monitoring a network site to detect adverse network conditions |
US7773510B2 (en) | 2007-05-25 | 2010-08-10 | Zeugma Systems Inc. | Application routing in a distributed compute environment |
US8533821B2 (en) * | 2007-05-25 | 2013-09-10 | International Business Machines Corporation | Detecting and defending against man-in-the-middle attacks |
US8219507B2 (en) * | 2007-06-29 | 2012-07-10 | Numenta, Inc. | Hierarchical temporal memory system with enhanced inference capability |
US7991910B2 (en) | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
US8028090B2 (en) | 2008-11-17 | 2011-09-27 | Amazon Technologies, Inc. | Request routing utilizing client location information |
US7706291B2 (en) | 2007-08-01 | 2010-04-27 | Zeugma Systems Inc. | Monitoring quality of experience on a per subscriber, per session basis |
US8374102B2 (en) | 2007-10-02 | 2013-02-12 | Tellabs Communications Canada, Ltd. | Intelligent collection and management of flow statistics |
WO2009052407A1 (en) * | 2007-10-18 | 2009-04-23 | Numenta, Inc. | System and method for automatic topology determination in a hierarchical-temporal network |
US8443359B2 (en) * | 2007-11-06 | 2013-05-14 | International Business Machines Corporation | Method and system for providing a filter for a router |
KR100953712B1 (ko) | 2007-11-22 | 2010-04-19 | 고려대학교 산학협력단 | 센서 네트워크에서의 위조 데이터 삽입공격 방지 방법,장치 및 이에 사용되는 컴퓨터 판독가능 기록매체 |
US8175984B2 (en) * | 2007-12-05 | 2012-05-08 | Numenta, Inc. | Action based learning |
US7843918B2 (en) * | 2008-01-25 | 2010-11-30 | Cisco Technology, Inc. | Selectively forwarding traffic through tunnels in a computer network |
CA2714280A1 (en) * | 2008-02-08 | 2009-08-13 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for use in a communications network |
US8175985B2 (en) | 2008-03-19 | 2012-05-08 | Numenta, Inc. | Plugin infrastructure for hierarchical temporal memory (HTM) system |
US7983998B2 (en) * | 2008-03-21 | 2011-07-19 | Numenta, Inc. | Feedback in group based hierarchical temporal memory system |
US8533293B1 (en) | 2008-03-31 | 2013-09-10 | Amazon Technologies, Inc. | Client side cache management |
US8447831B1 (en) | 2008-03-31 | 2013-05-21 | Amazon Technologies, Inc. | Incentive driven content delivery |
US8606996B2 (en) | 2008-03-31 | 2013-12-10 | Amazon Technologies, Inc. | Cache optimization |
US7962597B2 (en) | 2008-03-31 | 2011-06-14 | Amazon Technologies, Inc. | Request routing based on class |
US8321568B2 (en) | 2008-03-31 | 2012-11-27 | Amazon Technologies, Inc. | Content management |
US8601090B1 (en) | 2008-03-31 | 2013-12-03 | Amazon Technologies, Inc. | Network resource identification |
US7970820B1 (en) | 2008-03-31 | 2011-06-28 | Amazon Technologies, Inc. | Locality based content distribution |
US8225400B2 (en) * | 2008-05-13 | 2012-07-17 | Verizon Patent And Licensing Inc. | Security overlay network |
CN101588246B (zh) * | 2008-05-23 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
US8407166B2 (en) * | 2008-06-12 | 2013-03-26 | Numenta, Inc. | Hierarchical temporal memory system with higher-order temporal pooling capability |
US9407681B1 (en) | 2010-09-28 | 2016-08-02 | Amazon Technologies, Inc. | Latency measurement in resource requests |
US9912740B2 (en) | 2008-06-30 | 2018-03-06 | Amazon Technologies, Inc. | Latency measurement in resource requests |
US8943200B2 (en) * | 2008-08-05 | 2015-01-27 | At&T Intellectual Property I, L.P. | Method and apparatus for reducing unwanted traffic between peer networks |
US8009559B1 (en) * | 2008-08-28 | 2011-08-30 | Juniper Networks, Inc. | Global flow tracking system |
US7924830B2 (en) * | 2008-10-21 | 2011-04-12 | At&T Intellectual Property I, Lp | System and method to route data in an anycast environment |
US8539576B2 (en) * | 2008-11-12 | 2013-09-17 | At&T Intellectual Property Ii, L.P. | System and method for filtering unwanted internet protocol traffic based on blacklists |
US8122098B1 (en) | 2008-11-17 | 2012-02-21 | Amazon Technologies, Inc. | Managing content delivery network service providers by a content broker |
US8073940B1 (en) | 2008-11-17 | 2011-12-06 | Amazon Technologies, Inc. | Managing content delivery network service providers |
US8732309B1 (en) | 2008-11-17 | 2014-05-20 | Amazon Technologies, Inc. | Request routing utilizing cost information |
US8195582B2 (en) * | 2009-01-16 | 2012-06-05 | Numenta, Inc. | Supervision based grouping of patterns in hierarchical temporal memory (HTM) |
US8756341B1 (en) | 2009-03-27 | 2014-06-17 | Amazon Technologies, Inc. | Request routing utilizing popularity information |
US8688837B1 (en) | 2009-03-27 | 2014-04-01 | Amazon Technologies, Inc. | Dynamically translating resource identifiers for request routing using popularity information |
US8412823B1 (en) | 2009-03-27 | 2013-04-02 | Amazon Technologies, Inc. | Managing tracking information entries in resource cache components |
US20100269162A1 (en) | 2009-04-15 | 2010-10-21 | Jose Bravo | Website authentication |
US8954725B2 (en) * | 2009-05-08 | 2015-02-10 | Microsoft Technology Licensing, Llc | Sanitization of packets |
US8782236B1 (en) | 2009-06-16 | 2014-07-15 | Amazon Technologies, Inc. | Managing resources using resource expiration data |
US8397073B1 (en) | 2009-09-04 | 2013-03-12 | Amazon Technologies, Inc. | Managing secure content in a content delivery network |
US20110072515A1 (en) * | 2009-09-22 | 2011-03-24 | Electronics And Telecommunications Research Institute | Method and apparatus for collaboratively protecting against distributed denial of service attack |
US8433771B1 (en) | 2009-10-02 | 2013-04-30 | Amazon Technologies, Inc. | Distribution network with forward resource propagation |
US8683609B2 (en) * | 2009-12-04 | 2014-03-25 | International Business Machines Corporation | Mobile phone and IP address correlation service |
US9495338B1 (en) | 2010-01-28 | 2016-11-15 | Amazon Technologies, Inc. | Content distribution network |
EP2548096B1 (en) | 2010-03-15 | 2017-10-25 | Numenta, Inc. | Temporal memory using sparse distributed representation |
US11651277B2 (en) | 2010-03-15 | 2023-05-16 | Numenta, Inc. | Sparse distributed representation for networked processing in predictive system |
US10958501B1 (en) | 2010-09-28 | 2021-03-23 | Amazon Technologies, Inc. | Request routing information based on client IP groupings |
US9003035B1 (en) | 2010-09-28 | 2015-04-07 | Amazon Technologies, Inc. | Point of presence management in request routing |
US10097398B1 (en) | 2010-09-28 | 2018-10-09 | Amazon Technologies, Inc. | Point of presence management in request routing |
US8577992B1 (en) | 2010-09-28 | 2013-11-05 | Amazon Technologies, Inc. | Request routing management based on network components |
US8468247B1 (en) | 2010-09-28 | 2013-06-18 | Amazon Technologies, Inc. | Point of presence management in request routing |
US9712484B1 (en) | 2010-09-28 | 2017-07-18 | Amazon Technologies, Inc. | Managing request routing information utilizing client identifiers |
US8452874B2 (en) | 2010-11-22 | 2013-05-28 | Amazon Technologies, Inc. | Request routing processing |
US20120174196A1 (en) * | 2010-12-30 | 2012-07-05 | Suresh Bhogavilli | Active validation for ddos and ssl ddos attacks |
US8838988B2 (en) | 2011-04-12 | 2014-09-16 | International Business Machines Corporation | Verification of transactional integrity |
US10467042B1 (en) | 2011-04-27 | 2019-11-05 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
US8955112B2 (en) * | 2011-08-18 | 2015-02-10 | At&T Intellectual Property I, L.P. | Dynamic traffic routing and service management controls for on-demand application services |
US8645291B2 (en) | 2011-08-25 | 2014-02-04 | Numenta, Inc. | Encoding of data for processing in a spatial and temporal memory system |
US8825565B2 (en) | 2011-08-25 | 2014-09-02 | Numenta, Inc. | Assessing performance in a spatial and temporal memory system |
US8504570B2 (en) | 2011-08-25 | 2013-08-06 | Numenta, Inc. | Automated search for detecting patterns and sequences in data using a spatial and temporal memory system |
US9432385B2 (en) * | 2011-08-29 | 2016-08-30 | Arbor Networks, Inc. | System and method for denial of service attack mitigation using cloud services |
JP2014526751A (ja) | 2011-09-15 | 2014-10-06 | ザ・トラスティーズ・オブ・コロンビア・ユニバーシティ・イン・ザ・シティ・オブ・ニューヨーク | リターン指向プログラミングのペイロードを検出するためのシステム、方法、および、非一時的コンピュータ可読媒体 |
US20130074181A1 (en) * | 2011-09-19 | 2013-03-21 | Cisco Technology, Inc. | Auto Migration of Services Within a Virtual Data Center |
US8949459B1 (en) * | 2011-10-06 | 2015-02-03 | Amazon Technologies, Inc. | Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers |
US20130198845A1 (en) * | 2012-01-26 | 2013-08-01 | Kiomars Anvari | Monitoring a wireless network for a distributed denial of service attack |
US10021179B1 (en) | 2012-02-21 | 2018-07-10 | Amazon Technologies, Inc. | Local resource delivery network |
CN103368858B (zh) * | 2012-04-01 | 2016-01-20 | 百度在线网络技术(北京)有限公司 | 多策略组合加载的流量清洗方法及装置 |
US10623408B1 (en) | 2012-04-02 | 2020-04-14 | Amazon Technologies, Inc. | Context sensitive object management |
US9154551B1 (en) | 2012-06-11 | 2015-10-06 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
US8917826B2 (en) | 2012-07-31 | 2014-12-23 | International Business Machines Corporation | Detecting man-in-the-middle attacks in electronic transactions using prompts |
US8646064B1 (en) | 2012-08-07 | 2014-02-04 | Cloudflare, Inc. | Determining the likelihood of traffic being legitimately received at a proxy server in a cloud-based proxy service |
US9323577B2 (en) | 2012-09-20 | 2016-04-26 | Amazon Technologies, Inc. | Automated profiling of resource usage |
US11050669B2 (en) | 2012-10-05 | 2021-06-29 | Aaa Internet Publishing Inc. | Method and system for managing, optimizing, and routing internet traffic from a local area network (LAN) to internet based servers |
US11838212B2 (en) | 2012-10-05 | 2023-12-05 | Aaa Internet Publishing Inc. | Method and system for managing, optimizing, and routing internet traffic from a local area network (LAN) to internet based servers |
US9985985B2 (en) * | 2012-10-05 | 2018-05-29 | Aaa Internet Publishing Inc. | Method of distributed denial of service (DDos) and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium |
US10917299B2 (en) | 2012-10-05 | 2021-02-09 | Aaa Internet Publishing Inc. | Method of using a proxy network to normalize online connections by executing computer-executable instructions stored on a non-transitory computer-readable medium |
US9614870B2 (en) * | 2014-06-04 | 2017-04-04 | Aaa Internet Publishing Inc. | Method of DDoS and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium |
USRE49392E1 (en) | 2012-10-05 | 2023-01-24 | Aaa Internet Publishing, Inc. | System and method for monitoring network connection quality by executing computer-executable instructions stored on a non-transitory computer-readable medium |
US9137205B2 (en) * | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9159021B2 (en) | 2012-10-23 | 2015-10-13 | Numenta, Inc. | Performing multistep prediction using spatial and temporal memory system |
JP6206940B2 (ja) * | 2012-12-06 | 2017-10-04 | Necプラットフォームズ株式会社 | 通信システム、サーバー、通信制御方法及びプログラム |
US10205698B1 (en) | 2012-12-19 | 2019-02-12 | Amazon Technologies, Inc. | Source-dependent address resolution |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9813433B2 (en) | 2013-02-22 | 2017-11-07 | Adaptive Mobile Security Limited | System and method for embedded mobile (EM)/machine to machine (M2M) security, pattern detection, mitigation |
EP2959658A1 (en) * | 2013-02-22 | 2015-12-30 | Adaptive Mobile Security Limited | Dynamic traffic steering system and method in a network |
EP2959397A4 (en) * | 2013-02-25 | 2016-10-26 | F5 Networks Inc | IP REFLECTION |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9722918B2 (en) | 2013-03-15 | 2017-08-01 | A10 Networks, Inc. | System and method for customizing the identification of application or content type |
US9912555B2 (en) | 2013-03-15 | 2018-03-06 | A10 Networks, Inc. | System and method of updating modules for application or content identification |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9838425B2 (en) | 2013-04-25 | 2017-12-05 | A10 Networks, Inc. | Systems and methods for network access control |
US9888028B2 (en) * | 2013-05-03 | 2018-02-06 | Centurylink Intellectual Property Llc | Combination of remote triggered source and destination blackhole filtering |
US20140341568A1 (en) * | 2013-05-20 | 2014-11-20 | Sodero Networks, Inc. | High-Throughput Network Traffic Monitoring through Optical Circuit Switching and Broadcast-and-Select Communications |
US9294391B1 (en) | 2013-06-04 | 2016-03-22 | Amazon Technologies, Inc. | Managing network computing components utilizing request routing |
US9294503B2 (en) * | 2013-08-26 | 2016-03-22 | A10 Networks, Inc. | Health monitor based distributed denial of service attack mitigation |
US9258210B2 (en) * | 2013-10-01 | 2016-02-09 | Juniper Networks, Inc. | Dynamic area filtering for link-state routing protocols |
US10318878B2 (en) | 2014-03-19 | 2019-06-11 | Numenta, Inc. | Temporal processing scheme and sensorimotor information processing |
US10038713B2 (en) * | 2014-05-06 | 2018-07-31 | Cisco Technology, Inc. | Predicted attack detection rates along a network path |
US9407646B2 (en) * | 2014-07-23 | 2016-08-02 | Cisco Technology, Inc. | Applying a mitigation specific attack detector using machine learning |
US10122630B1 (en) | 2014-08-15 | 2018-11-06 | F5 Networks, Inc. | Methods for network traffic presteering and devices thereof |
CN104202314B (zh) * | 2014-08-22 | 2018-04-20 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
WO2016039642A1 (en) | 2014-09-11 | 2016-03-17 | Pickles Samuel Geoffrey | A telecommunications defence system |
US9769202B2 (en) | 2014-09-12 | 2017-09-19 | Level 3 Communications, Llc | Event driven route control |
WO2016039643A1 (en) * | 2014-09-12 | 2016-03-17 | Pickles Samuel Geoffrey | A telecommunications defence system |
US9756071B1 (en) | 2014-09-16 | 2017-09-05 | A10 Networks, Inc. | DNS denial of service attack protection |
US9838421B2 (en) | 2014-10-01 | 2017-12-05 | Ciena Corporation | Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks |
US9537886B1 (en) | 2014-10-23 | 2017-01-03 | A10 Networks, Inc. | Flagging security threats in web service requests |
US10033627B1 (en) | 2014-12-18 | 2018-07-24 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
US10091096B1 (en) | 2014-12-18 | 2018-10-02 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
US10097448B1 (en) | 2014-12-18 | 2018-10-09 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
US9621575B1 (en) | 2014-12-29 | 2017-04-11 | A10 Networks, Inc. | Context aware threat protection |
US9584318B1 (en) | 2014-12-30 | 2017-02-28 | A10 Networks, Inc. | Perfect forward secrecy distributed denial of service attack defense |
US9900343B1 (en) | 2015-01-05 | 2018-02-20 | A10 Networks, Inc. | Distributed denial of service cellular signaling |
US9848013B1 (en) | 2015-02-05 | 2017-12-19 | A10 Networks, Inc. | Perfect forward secrecy distributed denial of service attack detection |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US10063591B1 (en) | 2015-02-14 | 2018-08-28 | A10 Networks, Inc. | Implementing and optimizing secure socket layer intercept |
US10225326B1 (en) | 2015-03-23 | 2019-03-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
US9887932B1 (en) | 2015-03-30 | 2018-02-06 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
US9819567B1 (en) | 2015-03-30 | 2017-11-14 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
US9887931B1 (en) | 2015-03-30 | 2018-02-06 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US9832141B1 (en) | 2015-05-13 | 2017-11-28 | Amazon Technologies, Inc. | Routing based request correlation |
US9621577B2 (en) | 2015-05-28 | 2017-04-11 | Microsoft Technology Licensing, Llc | Mitigation of computer network attacks |
US10097566B1 (en) | 2015-07-31 | 2018-10-09 | Amazon Technologies, Inc. | Identifying targets of network attacks |
US9787581B2 (en) | 2015-09-21 | 2017-10-10 | A10 Networks, Inc. | Secure data flow open information analytics |
US9774619B1 (en) * | 2015-09-24 | 2017-09-26 | Amazon Technologies, Inc. | Mitigating network attacks |
US9794281B1 (en) | 2015-09-24 | 2017-10-17 | Amazon Technologies, Inc. | Identifying sources of network attacks |
US9742795B1 (en) | 2015-09-24 | 2017-08-22 | Amazon Technologies, Inc. | Mitigating network attacks |
US10270878B1 (en) | 2015-11-10 | 2019-04-23 | Amazon Technologies, Inc. | Routing for origin-facing points of presence |
US10505984B2 (en) | 2015-12-08 | 2019-12-10 | A10 Networks, Inc. | Exchange of control information between secure socket layer gateways |
US10469594B2 (en) | 2015-12-08 | 2019-11-05 | A10 Networks, Inc. | Implementation of secure socket layer intercept |
US10049051B1 (en) | 2015-12-11 | 2018-08-14 | Amazon Technologies, Inc. | Reserved cache space in content delivery networks |
US10257307B1 (en) | 2015-12-11 | 2019-04-09 | Amazon Technologies, Inc. | Reserved cache space in content delivery networks |
US10348639B2 (en) | 2015-12-18 | 2019-07-09 | Amazon Technologies, Inc. | Use of virtual endpoints to improve data transmission rates |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
CN107026791B (zh) | 2016-01-29 | 2021-02-12 | 华为技术有限公司 | 虚拟专用网络vpn业务优化方法和设备 |
US10075551B1 (en) | 2016-06-06 | 2018-09-11 | Amazon Technologies, Inc. | Request management for hierarchical cache |
US10791088B1 (en) | 2016-06-17 | 2020-09-29 | F5 Networks, Inc. | Methods for disaggregating subscribers via DHCP address translation and devices thereof |
US10116634B2 (en) | 2016-06-28 | 2018-10-30 | A10 Networks, Inc. | Intercepting secure session upon receipt of untrusted certificate |
US10110694B1 (en) | 2016-06-29 | 2018-10-23 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
US10158666B2 (en) | 2016-07-26 | 2018-12-18 | A10 Networks, Inc. | Mitigating TCP SYN DDoS attacks using TCP reset |
US9992086B1 (en) | 2016-08-23 | 2018-06-05 | Amazon Technologies, Inc. | External health checking of virtual private cloud network environments |
US10033691B1 (en) | 2016-08-24 | 2018-07-24 | Amazon Technologies, Inc. | Adaptive resolution of domain name requests in virtual private cloud network environments |
US10110627B2 (en) * | 2016-08-30 | 2018-10-23 | Arbor Networks, Inc. | Adaptive self-optimzing DDoS mitigation |
US10855719B2 (en) * | 2016-09-22 | 2020-12-01 | Verisign, Inc. | Automated DDOS attack mitigation via BGP messaging |
US10469513B2 (en) | 2016-10-05 | 2019-11-05 | Amazon Technologies, Inc. | Encrypted network addresses |
US10305931B2 (en) | 2016-10-19 | 2019-05-28 | Cisco Technology, Inc. | Inter-domain distributed denial of service threat signaling |
US10887347B2 (en) * | 2016-10-27 | 2021-01-05 | Radware, Ltd. | Network-based perimeter defense system and method |
US10284589B2 (en) | 2016-10-31 | 2019-05-07 | Acentium Inc. | Methods and systems for ranking, filtering and patching detected vulnerabilities in a networked system |
US10412110B2 (en) | 2016-10-31 | 2019-09-10 | Acentium, Inc. | Systems and methods for multi-tier cache visual system and visual modes |
US10158654B2 (en) * | 2016-10-31 | 2018-12-18 | Acentium Inc. | Systems and methods for computer environment situational awareness |
US10831549B1 (en) | 2016-12-27 | 2020-11-10 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
US10372499B1 (en) | 2016-12-27 | 2019-08-06 | Amazon Technologies, Inc. | Efficient region selection system for executing request-driven code |
US10938884B1 (en) | 2017-01-30 | 2021-03-02 | Amazon Technologies, Inc. | Origin server cloaking using virtual private cloud network environments |
US11463404B2 (en) * | 2017-04-12 | 2022-10-04 | Avaya Inc. | Quarantined communications processing at a network edge |
US10503613B1 (en) | 2017-04-21 | 2019-12-10 | Amazon Technologies, Inc. | Efficient serving of resources during server unavailability |
US11075987B1 (en) | 2017-06-12 | 2021-07-27 | Amazon Technologies, Inc. | Load estimating content delivery network |
US10447648B2 (en) | 2017-06-19 | 2019-10-15 | Amazon Technologies, Inc. | Assignment of a POP to a DNS resolver based on volume of communications over a link between client devices and the POP |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11122083B1 (en) | 2017-09-08 | 2021-09-14 | F5 Networks, Inc. | Methods for managing network connections based on DNS data and network policies and devices thereof |
US10742593B1 (en) | 2017-09-25 | 2020-08-11 | Amazon Technologies, Inc. | Hybrid content request routing system |
US10592578B1 (en) | 2018-03-07 | 2020-03-17 | Amazon Technologies, Inc. | Predictive content push-enabled content delivery network |
US10944783B2 (en) | 2018-07-12 | 2021-03-09 | At&T Intellectual Property I, L.P. | Dynamic denial of service mitigation system |
US11050785B2 (en) * | 2018-08-25 | 2021-06-29 | Mcafee, Llc | Cooperative mitigation of distributed denial of service attacks originating in local networks |
US11438371B2 (en) * | 2018-11-09 | 2022-09-06 | Cisco Technology, Inc. | Distributed denial of service remediation and prevention |
US10862852B1 (en) | 2018-11-16 | 2020-12-08 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
US11025747B1 (en) | 2018-12-12 | 2021-06-01 | Amazon Technologies, Inc. | Content request pattern-based routing system |
CN109617913B (zh) * | 2019-01-15 | 2021-04-27 | 成都知道创宇信息技术有限公司 | 一种快速定位多用户共享节点DDoS攻击的管理方法 |
CN111787038B (zh) * | 2019-04-04 | 2022-05-17 | 华为云计算技术有限公司 | 一种提供边缘服务的方法、系统及计算设备 |
US11245678B2 (en) | 2019-06-05 | 2022-02-08 | Cisco Technology, Inc. | Root network device causing execution of network service operations on behalf of constrained wireless network device in a low power and lossy network |
TWI701920B (zh) * | 2019-08-07 | 2020-08-11 | 許富皓 | 封包傳送方法以及系統 |
US11681922B2 (en) | 2019-11-26 | 2023-06-20 | Numenta, Inc. | Performing inference and training using sparse neural network |
WO2021137182A1 (en) * | 2019-12-31 | 2021-07-08 | Edgehawk Security Ltd. | Techniques for disaggregated detection and mitigation of distributed denial-of-service attacks |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088804A (en) * | 1998-01-12 | 2000-07-11 | Motorola, Inc. | Adaptive system and method for responding to computer network security attacks |
US6499107B1 (en) * | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
US6519703B1 (en) * | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
US7032031B2 (en) * | 2000-06-23 | 2006-04-18 | Cloudshield Technologies, Inc. | Edge adapter apparatus and method |
WO2002019642A1 (en) * | 2000-08-30 | 2002-03-07 | Citibank, N.A. | Method and system for internet hosting and security |
US7124440B2 (en) * | 2000-09-07 | 2006-10-17 | Mazu Networks, Inc. | Monitoring network traffic denial of service attacks |
US6944673B2 (en) * | 2000-09-08 | 2005-09-13 | The Regents Of The University Of Michigan | Method and system for profiling network flows at a measurement point within a computer network |
US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
US7383574B2 (en) * | 2000-11-22 | 2008-06-03 | Hewlett Packard Development Company L.P. | Method and system for limiting the impact of undesirable behavior of computers on a shared data network |
JP3723076B2 (ja) * | 2000-12-15 | 2005-12-07 | 富士通株式会社 | 不正侵入防御機能を有するip通信ネットワークシステム |
US6996842B2 (en) * | 2001-01-30 | 2006-02-07 | Intel Corporation | Processing internet protocol security traffic |
US7444404B2 (en) * | 2001-02-05 | 2008-10-28 | Arbor Networks, Inc. | Network traffic regulation including consistency based detection and filtering of packets with spoof source addresses |
US7028179B2 (en) * | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
US7146428B2 (en) * | 2001-12-12 | 2006-12-05 | At&T Corp. | Secure in-band signaling method for mobility management crossing firewalls |
NZ516346A (en) * | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
-
2003
- 2003-01-29 US US10/353,527 patent/US20040148520A1/en not_active Abandoned
-
2004
- 2004-01-27 CA CA002511997A patent/CA2511997A1/en not_active Abandoned
- 2004-01-27 WO PCT/US2004/002271 patent/WO2004070535A2/en active Application Filing
- 2004-01-27 JP JP2005518848A patent/JP2006517066A/ja not_active Withdrawn
- 2004-01-27 EP EP04705677A patent/EP1588264A2/en not_active Withdrawn
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014504111A (ja) * | 2010-12-29 | 2014-02-13 | アマゾン テクノロジーズ インコーポレイテッド | ソース付近のサービス妨害拒否から保護するための技術 |
US8966622B2 (en) | 2010-12-29 | 2015-02-24 | Amazon Technologies, Inc. | Techniques for protecting against denial of service attacks near the source |
JP2012226508A (ja) * | 2011-04-19 | 2012-11-15 | Internatl Business Mach Corp <Ibm> | 複数の産業制御システム間の通信を制御するシステム |
WO2019159907A1 (ja) * | 2018-02-13 | 2019-08-22 | 日本電信電話株式会社 | DDoS対処装置、DDoS対処方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
WO2004070535A3 (en) | 2005-02-10 |
CA2511997A1 (en) | 2004-08-19 |
WO2004070535A2 (en) | 2004-08-19 |
WO2004070535B1 (en) | 2005-04-07 |
EP1588264A2 (en) | 2005-10-26 |
US20040148520A1 (en) | 2004-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2006517066A (ja) | サービス妨害攻撃の軽減 | |
US7389537B1 (en) | Rate limiting data traffic in a network | |
US9609018B2 (en) | System and methods for reducing impact of malicious activity on operations of a wide area network | |
Ioannidis et al. | Implementing pushback: Router-based defense against DDoS attacks | |
EP1284573B1 (en) | Method and apparatus for protecting Internet-connected sites from denial-of-service attacks | |
US6973040B1 (en) | Method of maintaining lists of network characteristics | |
KR100796996B1 (ko) | 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치 | |
EP2293513B1 (en) | Protecting Against Distributed Network Flood Attacks | |
US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
EP3846406A1 (en) | Dynamic security actions for network tunnels against spoofing | |
US20090013404A1 (en) | Distributed defence against DDoS attacks | |
Rengaraju et al. | Detection and prevention of DoS attacks in Software-Defined Cloud networks | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
Žagar et al. | Security aspects in IPv6 networks–implementation and testing | |
Arins | Firewall as a service in SDN OpenFlow network | |
US8281400B1 (en) | Systems and methods for identifying sources of network attacks | |
JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
Bossardt et al. | Enhanced Internet security by a distributed traffic control service based on traffic ownership | |
Kumar et al. | An analysis of tcp syn flooding attack and defense mechanism | |
Georgiev et al. | An Approach of Network Protection Against DDoS Attacks | |
US9628510B2 (en) | System and method for providing data storage redundancy for a protected network | |
Kabila | Network Based Intrusion Detection and Prevention Systems in IP-Level Security Protocols | |
CN115412300A (zh) | 一种基于边缘防火墙的DDoS攻击检测方法 | |
Alshehhi | Global DDoS Mitigation Using SDN Technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20070816 |