JP2007006490A - 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法 - Google Patents

通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法 Download PDF

Info

Publication number
JP2007006490A
JP2007006490A JP2006171389A JP2006171389A JP2007006490A JP 2007006490 A JP2007006490 A JP 2007006490A JP 2006171389 A JP2006171389 A JP 2006171389A JP 2006171389 A JP2006171389 A JP 2006171389A JP 2007006490 A JP2007006490 A JP 2007006490A
Authority
JP
Japan
Prior art keywords
communication device
packet
denial
rate
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006171389A
Other languages
English (en)
Other versions
JP4638839B2 (ja
Inventor
Sachin Garg
ガルグ セシン
Navjot Singh
サイン ナヴジョット
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Avaya Technology LLC
Original Assignee
Avaya Technology LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Avaya Technology LLC filed Critical Avaya Technology LLC
Publication of JP2007006490A publication Critical patent/JP2007006490A/ja
Application granted granted Critical
Publication of JP4638839B2 publication Critical patent/JP4638839B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

【課題】サービス拒否攻撃から通信機器を保護するための装置および方法を提供すること。
【解決手段】全ての正当なパケットが通信機器へと転送されるのを可能にするパケット分類規則ベースを有する前記通信機器において、サービス拒否攻撃の影響を防止しまたは制限するための方法であって、状態がサービス拒否攻撃の存在を示しているかどうかを判定するために、前記通信機器への入力パケットを監視する工程を含む方法。サービス拒否攻撃が存在する場合は、通信機器における複数の動作状態の内の1つの現動作状態に基づいて、複数の規則ベース・サブセットから、パケット分類規則ベースの1つの規則ベース・サブセットが選択される。
【選択図】図2

Description

本発明は、通信機器におけるサービス拒否攻撃に対抗するための装置および方法に関し、詳細には、ボイス・オーバ・インターネット・プロトコルを配備する機器に関する。
ボイス・オーバ・インターネット・プロトコル(VoIP)は、データ形式のパケット交換ネットワーク、すなわちインターネットを介する音声または会話の伝送に関するものである。VoIPの利点は、典型的には電話を掛けるユーザがインターネット・アクセス料金以外では課金されないことであり、それにより、VoIPが長距離電話の魅力的な選択肢となっている。典型的なVoIPの配備は、メディア・ゲートウェイ、メディア・ゲートウェイ・コントローラ、エンド・ユーザ通信デバイス、および例えばDNS、DHCP、FTPなど他の多くのサポート・サーバを含む。メディア・ゲートウェイ、メディア・ゲートウェイ・コントローラ、およびVoIPエンド・デバイスは、VoIPシグナリング/制御およびメディア・パケットを交換する。多くの様々なタイプのエンド・ユーザ通信機器は、従来型電話ハンドセット、会議用ユニット、携帯電話、携帯情報端末(PDA)、ならびにデスクトップ型および携帯型コンピュータを含むVoIPを実装している。
サービス拒否攻撃は、実行可能なVoIPの配備においての懸念となってきている。不特定型のウイルス、ワーム、トロイの木馬、ならびにVoIPターゲット型のサービス拒否(DoS)攻撃は、IPエンド・ポイントならびに/あるいはメディア・サーバおよびゲートウェイのパフォーマンスを低下させ、あるいはそれらを全滅させることにより、サービスを破壊する可能性がある。悪意のあるパケット・フラッドは、上記のVoIPインフラストラクチャの諸要素に到達すると、ホスト・デバイスが正当なパケットを処理できなくなり、サービスが破壊されるに至るまで、中央処理装置(CPU)やメモリなどのネットワークおよび/またはホスト資源を消費する。特に、VoIPの配備された電話機(「IP電話」)および他の軽量デバイスは、ネットワークおよびプロセッサ資源における固有の不均衡の故に、かかる攻撃の影響を受けやすい。例えば、あるIP電話では、ネットワーク・インターフェイスは、典型的には10/100Mbpsイーサネット(登録商標)であり、CPUは、組込みシステム向けのARM(Advanced RISC Machine)またはMIPS(Microprocessor without Interlocked Pipeline Stages)タイプのプロセッサである。コストを抑えるために、これらのCPUは、極めて低い馬力(すなわち、低い処理能力)しか有していない。
最近は、悪意のあるパケットがサーバおよびエンド・ポイントに到達するのを防止し、かつ/またはそのレート制限(rate−limit)を行うために、ネットワーク・インフラストラクチャでは多くの場合、ネットワークの周辺でファイアウォールが使用されている(この技法は境界防御(perimeter protection)と呼ばれている)。しかし、DoS攻撃は、VoIPエンド・ポイントを破壊するにはほんの僅かなネットワーク・トラフィックしか要さず、ファイアウォール単独では、VoIPに対するDoS攻撃を防止するには十分でない。また、ネットワークの境界での帯域幅制限を非常に低いレベルに設定することも、正当なトラフィックがデバイスに到達することを妨げる。したがって、相補的かつ実行可能な手法は、ネットワーク境界に加えて、デバイス自体でも不正なトラフィックをフィルタリングすることである。言い換えれば、各デバイスは、フラッディング・ベースのDoS攻撃に対して耐性のある(resilient)効率的な組込み型のファイアウォールを必要とする。どのようなファイアウォールであれコアとなるものは、パケット分類エンジンである。パケット分類器のパフォーマンスには、2つの対立する次元、すなわち時間と空間とが存在する。大部分の研究が、パケット分類問題における時間複雑性と空間複雑性の間のトレード・オフを理解することを扱っている。典型的なパケット分類は、パケット内の制限された1組のヘッダ・フィールドに関して行われる。ヘッダ・フィールド、関連する値、およびファイアウォールの活動(破棄/転送)は、分類エンジンが入力として受け取る規則として指定される。
パケット分類は、ルータ、スイッチ、ファイアウォールなど、インフラストラクチャの諸要素において使用されるコア技術である。これらの要素の目標は、バックプレーン容量に達するまで、ワイヤ・スピードで可能な限り多くのトラフィックを処理/転送することである。言い換えれば、パケット分類の効率は、パケット転送の際のボトルネックとなることなく、依然として多数の規則をサポートできるようなものであるべきである。
したがって、パケット分類器を対象とする主要な設計目標は、必要とされるメモリ空間とトレード・オフの関係にある拡張性およびスピードとされてきた。単純な線形探索は、O(n)のストレージを要し、それ自体の時間複雑性もO(n)であるが、多数の規則の効率的な処理には適さない。効率的なパケット分類向けの技法は、アルゴリズム型、ヒューリスティック型、ハードウェア支援型、および特殊ケース型の4つのカテゴリに大別することができる。
本発明の一目的は、サービス拒否攻撃から通信機器を保護するための装置および方法を提供することである。
通信機器が単位サイクル・デバイスであり、このデバイスがピーク有効負荷を処理するのにXサイクルを必要とすると仮定すると、全ての到着パケットを分類しフィルタリングするのに、1−Xサイクルが残ることになる。分類およびフィルタリング機構が、1−Xサイクル内の進入パケット・レートに関する上界以下のパケット・レートを正しく処理し得ることが保証される場合、通信機器は、ネットワーク・パイプの限界に達するまでは、どんなフラッディング・ベースのDoS攻撃にも耐えることができる。したがって、本発明の他の目的は、フラッディング・ベースのDoS攻撃に耐えるための上記の条件を満たす、デバイス・ベースの効率的なファイアウォールを設計することである。
この目的は、全ての正当なパケットが通信機器へと転送されるのを可能にするパケット分類規則ベースを有する前記通信機器において、サービス拒否攻撃の影響を防止しまたは制限するための方法であって、状態がサービス拒否攻撃の存在を示しているかどうかを判定するために、前記通信機器への入力パケットを監視する工程と、前記状態がサービス拒否攻撃の存在を示していると判定された場合は、前記通信機器における複数の動作状態の内の1つの現動作状態に基づいて、複数の規則ベース・サブセットから前記パケット分類規則ベースの1つの規則ベース・サブセットを選択する工程とを含む方法によって達成される。
状態がサービス拒否要求の存在を示しているかどうかの判定は、進入のレートが閾値レートを超えているかどうかを判定する工程を含む。通信機器は、正当なパケットの最大進入レートが異なる、複数の動作状態を有していてもよい。閾値レートは、通信機器の現動作状態に基づいて変更されてもよい。閾値レートはさらに、受信トラフィックが周期的であるかどうか、通信機器によって使用される諸機能、送信元から送信される固有のパケット・レート、ならびに/あるいはネットワーク遅延およびジッタに依存してもよい。
また、本発明の目的は、全ての正当なパケットが通信機器へと転送されるのを可能にするパケット分類規則ベースを有する前記通信機器において、サービス拒否攻撃の影響を防止しまたは制限するための方法であって、根拠のない応答(gratuitous reply)を含むパケットを拒否する工程を含む方法によっても達成される。
ファイアウォールは、通信機器内に配置され、上述の方法を実施するように構成されてもよい。通信機器は、IP電話、会議ユニット、コンピュータ、またはVoIP通信の可能な他の任意の機器でよい。
本発明の他の目的および特徴は、以下の詳細な説明を添付の図面と併せて考察することによって、明らかとなるであろう。しかし、添付の図面は単に例示のために示されるにすぎず、本発明の範囲を定義するものではなく、本発明の範囲については添付の特許請求の範囲が参照されるべきであることを理解されたい。さらに、添付の図面は、必ずしも縮尺通りには示されておらず、別段の指示がない限り、単に本明細書に記載の構造および手順を概念的に示すことが意図されるにすぎないことが理解されるべきである。
現在のVoIPシステムは、独自プロトコル、あるいはH.323とセッション開始プロトコル(SIP)の2つの標準の1つを使用する。本発明の実装形態を、H.323ベースのIP電話の例を使用して以下で説明する。しかし、以下で説明する一般的なソリューションは、様々なVoIPシステムの内の任意のVoIPシステム内の通信機器に実装することができる。
H.323標準は、国際電気通信連合(International Telecommunication Union)(電気通信部門:Telecommunications Sector)によって規定されている。H.323ネットワーク10の例が、図1に示されている。H.323ネットワーク10は、端末または通信機器12a〜12nと接続されている。図1には3つの機器が示されているが、H.323ネットワークは、1つまたは複数の機器を有することができる。通信機器12a〜12nは、従来型電話ハンドセットと、会議用ユニットと、携帯電話と、デスクトップ型または携帯型コンピュータ(「ソフトフォン」)とを備えることができる。
H.323ネットワーク10は、例えばISDNまたはPSTNなどの非H.323ネットワーク16にH.323ネットワークを接続する、ゲートウェイ14とも接続されている。ゲートキーパ18は、H.323ネットワーク10と接続された機器12a〜12nを対象とするアドレス変換および帯域幅制御を行う。バック・エンド・サービス(BES)20は、ゲートキーパと接続され、許可、サービス、および構成を含めた機器12a〜12nに関するデータを維持するデータベースを備える。マルチ・ポイント制御ユニット(MCU)22は、3つ以上の端末間での通信を容易にする、H.323ネットワークの光学素子である。
ゲートウェイ14は、1つまたは複数のメディア・ゲートウェイ(MG)14aと、メディア・ゲートウェイ・コントローラ(MGC)14bとに分解することもできる。MGC 14bは、MG 14aとゲートキーパ18など他のネットワーク・コンポーネントとの間のデータ・シグナリング、またはSS7シグナリング・ゲートウェイへのデータ・シグナリングを処理する。MG 14aは、オーディオ信号の変換機能に焦点を置く。
ファイアウォール24は、その機器へのサービス拒否(DoS)攻撃を防止するために、通信機器12a〜12n内に組み込まれている。ファイアウォールは、ゲートウェイ14へのDoS攻撃も同様に防止するために、ゲートウェイ14内にも組み込まれている。各ファイアウォール24は、通信機器において受信されたパケットをフィルタリングするためのパケット分類エンジンを含む。ファイアウォール24は、パケット分類規則ベース26内の規則を利用して、通信機器12a〜12nにそれぞれ入力パケットを転送すべきかどうかを判定する。したがって、ファイアウォールは、悪意のあるパケットが通信機器に到達するのを防止し、かつ/または悪意のあるパケットが通信機器に到達するレートを制限する。
以下でより詳細に説明するように、パケット分類規則ベース26は、ネットワーク管理者によって管理される。図1に示されるように、パケット分類規則ベース26は、各通信機器12a〜12nと直接接続することができる。別法として、中央のパケット分類規則ベース26aを、全てのファイアウォール24からアクセス可能なH.323ネットワークと接続することもできる。
図2には、本発明による通信機器を対象とするパケットの効率的なフィルタリングのための全般的な方法が示されている。この方法は、ファイアウォール24内で実装されるソフトウェアであってよい。さらに、ファイアウォール24全体が、通信機器のプロセッサを利用して実装されるソフトウェアであってもよい。別法として、ファイアウォール24は、通信機器と接続されたそれ自体のプロセッサを有する別個のハードウェア・コンポーネントを備えていてもよい。本発明によれば、図2に示されるように、ファイアウォール24への各パケットの到着が、工程S100の1つのイベントを表す。工程S102で、各パケットの到着毎に、単純な時間ベースまたはパケット・カウント・ベースの条件が評価される。工程S102の条件が満たされた場合は、工程S104で、パケット進入レートが計算される。工程S106で、計算された進入レートが所定の閾値よりも高いと判定され、DoS攻撃の検出条件が満たされたと判定された場合は、工程S108で、人間のオペレータによって管理されるポリシー規則107に従って、ファイアウォール24の利用する規則が変更される。工程S106の2つの条件のいずれかが満足されない場合は、制御フローが初期状態に戻る。工程S108で規則ベースが変更されると、ポリシー規則によって決定された極めて重要なトラフィックだけが、通信機器に到達することを許可される。残りのトラフィックは、廃棄される。工程S108における規則ベースの更新により、各パケットに適用される規則の数が減少し、それによって、通信機器のCPUを過負荷状態に陥らせることなく、通信機器12がDoSフラッディング攻撃に耐えることが可能になる。この低下状態(degraded state)では、工程S109で、後続パケットの到着が監視され、工程S110で、進入レートが判定され、工程S112で、DoS侵入がいつ終了するかが判定される。パケット進入レートが確立された閾値を下回ると、工程S114で、規則ベースがその元の状態にリセットされ、全ての正当なトラフィックが通信機器に到達することを許可される。次いで、制御フローは初期状態に戻る。
工程S102およびS106における検出条件のパラメータは、単純なヒューリスティックに基づいていてもよく、その1つの例を、H.323ベースのIP電話における通常のイン・コール状態について以下で説明する。H.323ベースのIP電話のイン・コール状態の間は、リアルタイム転送プロトコル(RTP)、リアルタイム制御プロトコル(RTCP)、およびIP電話とサーバの間のH.225(呼シグナリング(call signaling))ハートビートが、IP電話において受信される周期的なトラフィックを構成し、ここでは、RTPフローがこのトラフィックの帯域幅を最も多く消費する。パケット毎に20ミリ秒のオーディオ・ペイロードがあると仮定すると、G.711用コーデックを使用するパケットの周期的なストリーム(ITU−T推奨は64kbpsのオーディオ・コーディング)は、毎秒50パケットの受信レートを生み出す。これらのパケットが輸送中に行列に投入されその後放出されようにし、人為的に、限定された期間の間、レートが50パケット/秒を超えるようにすることが可能である。進入レートの測定に関する粒度を決定する際、および規則ベースを更新することによってフィルタリング・ポリシーをいつ有効化するかを決定する際は、このことが考慮に入れられなければならない。パケットが受信されるたびにその都度進入レートを計算することも可能であるが、そのような計算頻度は、CPU能力を大きく消耗させる。しかし、ある数毎の受信されたパケットについてだけ進入レートを計算すると、何らかの正確さに欠けることになるはずである。VoIPトラフィックのQoSガイドラインは、進入レートを計算する最適間隔を決定するのに役立つ。G.711コーデックは、典型的には150ミリ秒未満の遅延および2%未満の損失の許容可能な呼の品質をもたらすことができる。このことは、150ミリ秒未満しか持続しないどんな侵入も、呼の品質に知覚可能な影響を与えないことを暗示している。言い換えれば、適切なレート監視間隔は、150ミリ秒未満である。同様に、パケット進入レートが確立された閾値よりも高いと判定されても、呼の品質が損なわれる前にフィルタリング・ポリシーが有効になるまでに、(攻撃の開始から)150ミリ秒を要してもよいことになる。したがって、合理的なヒューリスティックは、50ミリ秒毎に監視を行い、ファイアウォールの規則ベースが更新される前に閾値を超えた連続する3つの測定値を有することかもしれない。
上記の例では、図2の方法の工程S102は、パケット進入レートに関する最後の計算以降、50ミリ秒が経過したかどうかを判定する工程を含む。この間隔が50ミリ秒未満である場合は、制御は初期状態に戻る。上記の例では、工程S106は、現在の進入レートが閾値を超えているかどうか、およびその進入レートが連続する3つの時間にわたり、すなわち150ミリ秒にわたり超えているかどうかを判定する。
本発明は、通信機器におけるパケット分類およびフィルタリングの設計要件と、ルータやスイッチなど大規模なネットワーク要素における分類およびフィルタリングの設計要件との間の差異を認識している。
第1の差異は、コンピュータ機器が、小セットのIPアドレスとの間でしか正当にトラフィックの送受信を行わない点である。例えば、図1に示されるH.323ネットワーク内のIP電話12aは通話中、MGC 14b(RASおよびH.248プロトコルを使用)と、MG 14a(RTPおよびRTCPプロトコルを使用)と、別のIP電話との通信チャネルを確立する。会議および多者間通話については、RTPストリームは、ゲートウェイ14を介して送られるのであって、各IP電話の個々の各IPアドレスへと送られるのではない。この電話機が通信する可能性のある他の典型的なIPアドレスとしては、RTCPデータを監視するための監視ツール(例えば、VMON)や、簡易ネットワーク管理プロトコル(SNMP)マネージャなどの管理デバイスが挙げられる。通常は、12個未満のよく知られたIPアドレスが終始、IP電話12aとのメッセージ交換に関わる。一方、エンタープライズ向けルータ/スイッチは通常、数多くのIPアドレスおよび範囲とのメッセージ交換に関わる。
コンピュータ機器とネットワーク要素との間の第2の差異は、コンピュータ機器が、本格的なIPスタックを有し、コンピュータ機器の使用するプロトコルの数が、ネットワーク要素の使用するプロトコルの総計よりも小さい点である。例えば、H.323ベースのIP電話12aは、RTP、RTCP、H.323スイート、SNMP、TFTP、およびHTTPプロトコルを使用する。IP電話12aは、IPデータグラム、任意のUDPパケット、または上記のプロトコルに属さないTCPパケットを受信することなど予期してはいない。図3は、IP電話12aによって使用されるポートおよびプロトコルを示す表である。ルータおよびスイッチは、この限定されたプロトコル使用特性を有していない。
通信機器とネットワーク要素との間のさらなる差異は、通信機器が互いに異なる複数の動作状態を有することである。ルータやスイッチなどのネットワーク要素は、かかる互いに異なる動作状態を有していない。例えば、図4に示されるように、IP電話は起動されると、互いに異なる4つの動作状態を有する。第1の動作状態には、構成データを検索するための動的ホスト構成プロトコル(DHCP)が関与する。第2の動作状態は、最新のファームウェアおよび設定を更新するための簡易ファイル転送プロトコル(TFTP)交換を使用することを含む。通信デバイスがこの状態にあるときは、受信される他のどんな通信プロトコルのパケットも、不正と見なされる可能性がある。第3の状態には、H.323の発見および登録手続きが関与する。この状態では、IP電話12aは、よく知られた特定のIPアドレスおよびポート上でのMGC 14bとの通信しか行わない。最後の状態は、オン・フック(on−hook)とオフ・フック(off−hook)状態とにさらに細分化され得る動作状態である。各状態において使用される1組のIPアドレス、ポート、およびプロトコルは、互いに異なる。この通信機器の特性を使用して、図2の工程S108において使用される縮小版(reduced)規則ベースを案出することができる。
通信機器の特性と、通信機器におけるフラッディング・ベースのDoS攻撃に対する防御に使用され得る他のネットワーク要素の特性における別の重要な差異は、通信機器が終始受信する正当なトラフィック・レートには、通信機器におけるネットワーク接続の容量よりも遥かに低い既知値によって上界が与えられることである。引き続きこのIP電話の例では、RTPストリームが、通常の動作中にIP電話によって受信される最もレートの集中するパケットである。パケット毎に20ミリ秒のオーディオ・ペイロードがあると仮定すれば、G.711コーデックを使用すると、パケットは毎秒50フレームのレートで受信される。したがって、より高いレートで受信されるパケットは、不正であると判定され得る。場合によっては、許容し得るパケット進入レートを決定する際に、ネットワーク遅延およびジッタによってもたらされる可能性のある、ある種の特質を考慮に入れる必要がある。
通信機器と、特にIP電話とネットワーク要素との間の上述した差異は、図2で開示されるような通信機器におけるDoS攻撃を防止するための一般的な方法の実装において使用することができる。通信機器が互いに異なる複数の動作状態を有することにより、パケット分類規則ベース内の規則を、各サブセットが通信機器の特定の動作状態に適用される規則を含む、規則ベース・サブセットにセグメント化しまたはパーティション化することが可能になる。規則のパーティション化は、エンジンが任意のどの時間にも一致している必要のある規則の数が、大幅に減少することを意味する。たとえば、IP電話は再起動された後、DHCPおよびTFTP交換シーケンスを経て、構成データおよびファームウェア更新を取得する。この状態の間は、DHCPおよびTFTPパケットだけが許可されることになる。言い換えれば、他のプロトコルに属するどんな不正なパケットも廃棄するには、既知のTFTPサーバのIPアドレスと共に、DHCPおよびTFTPプロトコルもマッチさせる2つの規則があれば十分なはずである。以下では、H.323 IP電話に特有の動作状態別に、規則のパーティション化を詳細に説明する。図5は、IP電話の互いに異なる4つの動作状態を示す。この電話機の通常の動作状態は、オン・フックとオフ・フック状態とに細分化されている。
IP電話が起動した後で、ネットワーク・スタックが初期化されると、IP電話は、IPアドレスを有していない状態になる(IPアドレスの静的な構成のために、DHCP段階がバイパスされることもある)。IP電話は、DHCPブロードキャスト要求を開始する。この状態では、図2の工程S108の縮小版規則ベースは、DHCP応答以外のどんなパケットも、ブロックすべき不正なパケットと見なす。いずれにせよ、IPアドレスがない場合は、どのIP層の通信も無意味である。この状態では、拒否をデフォルトとする単一の許容規則が、働いているはずである。IP電話は、DHCP手続きを解してIPアドレスを取得すると、TFTP交換状態を始動して、更新されたファームウェアがあればこれを取得する。この状態の間は、縮小版規則ベースにより、メッセージをTFTP交換に関連付けることが可能になり、SNMPおよびICMPが、正当なソースへの問合せを行う。TFTPサーバのIPアドレスは、それ以前のDHCP交換においてIP電話に知らされているので、TFTPサーバは、入力TFTPパケット内で許可される唯一のソースIPアドレスとなる。図5は、工程S108で実装されるIP電話の互いに異なる状態のそれぞれに関連する、様々な縮小版規則のリスト(ポート、プロトコル)の概要を示す表を開示する。
図2の工程S104における進入パケット・レートの閾値に関する判定は、ルータ、スイッチ内のファイアウォールのコア機能と、通信機器内に組み込まれたファイアウォールのコア機能との間の差異に基づいていてもよい。前者の主要な機能は、正当なネットワーク・パケットのスループットを容量限界に達するまで最大化しながらも、求められていないトラフィックはブロックすることである。一方、後者の場合では、不正なパケットをブロックするという要件は同じであるが、上述したように、通信機器がパケットを受信する正当なトラフィック・レートが通信機器へのネットワーク接続の容量よりも低い故に、ネットワーク容量に達するまでスループットを最大化することは、問題にならない。
引き続きIP電話の例では、通常の動作中にIP電話が受信する、最も集中的なネットワーク・トラフィックは、通話中のRTPパケットである。160バイトのパケットを用いてG.711コーデックが使用されている場合は、RTPストリームのデータ帯域幅は、64kbpsである。パケット毎に20ミリ秒のオーディオがあると仮定すると、これは、イーサネット(登録商標)層では87.2kbpsに相当することになる。これは、IP電話の全二重10Mbpsイーサネット(登録商標)・ポートの容量よりも3桁以上低い容量である。したがって、IP電話におけるパケット進入レートが87.2kbpsのレートを超えた場合は、いくつかのパケットは、不正なものであるはずである。言い換えれば、パケット進入レートの監視は、侵入検出の強力な対策である。
図6の表は、様々な動作状態の間にIP電話によって経験される、予期される平均進入レートを示す。表から分かるように、TFTP交換を除く動作状態のそれぞれにおいて、予期される平均最大進入パケット・レートは、10Mbpsのネットワーク容量よりも遥かに低いものとなっている。平均最大進入レートを超えるレートが測定されたときは、極めて重要なパケットだけが通過を許可され、残りのパケットが破棄されるように(極めて重要なパケットの判定は、上記で詳細に説明した)、上述の通り規則ベースを減少させることができる。この電話機の通常のオフ・フック状態では、例えば、IP電話とメディア・サーバの間のH.225ハートビートが、タイムアウトおよび再登録サイクルを回避するのに極めて重要なものと見なされる。同様に、この電話機のオン・コール状態では、H.225ハートビートに加えて、RTPおよびRTCPトラフィックが、極めて重要なものと見なされる。パケットの重要度は、パケット分類スピードと規則の数との間のトレード・オフが関与するポリシー決定である。より多くの数の規則が構成されている場合に、より多くのタイプのトラフィック(H.225およびRTPに加えて、SNMP get、ICMPなど)を許可すると、パケット処理に掛かる時間が長くなる。よりトラフィック・レートの低い正当なパケットの処理にCPUのボトルネックが影響を及ぼすことになる点では、DoS耐性が低くなる。CPUが、高いパケット・レートで多数の規則を処理するには十分な能力を有していないので、DoS攻撃が進行している間でも、パケット分類に必要とされるファイアウォール規則の数を大幅に減少させることにより、正当なトラフィックのいくつかを削減しなければならない。DoS攻撃は、進入レートが予期される最大レートを超えることによって検出される。許可されるべきトラフィックの量および種類は、システム管理者によって構成されるポリシーの問題である。システム管理者は、ビジネス目標および機器の使用可能なCPU容量に基づいて、その優先度および量を決定する。ポリシーが指定され、工程S106で監視されたレートが既知上界を超えた場合は、工程S108で、ポリシーへの反映のために規則が更新される。工程S110で、引き続きレートの監視が続けられる。工程S112で進入レートが上界を下回ると、工程S114で、極めて重要なものだけでなく全ての正当なトラフィックを許可するために、規則ベースは再び、その元の規則ベースに更新される。
上記で説明したように、比較用の上界は、システム管理者によって慎重に決定される必要がある。この値に影響を及ぼす要因としては、機器の状態、トラフィックが周期的であるのかそれとも非周期的であるのか、サイレンス抑制などの機能が使用されているかどうか、送信元から送信される固有のパケット・レート、ならびにネットワークの(輸送中の)遅延およびジッタが挙げられる。最後の要因を除く全てのこれらの要因は、コンピュータ機器の進入ポートにおいて認められるトラフィック・ボリュームに対して、決定論的な効果を有する。一方、ネットワーク遅延、ジッタ、および損失は、様々なポイントでのランダム行列(random queuing)および損失を生じさせ、パケットがRTPのような周期的なトラフィックとは異なる可変到着レートで輸送されることになる可能性がある。輸送中の過度の輻輳は、過剰行列(excessive queuing)を生じさせる可能性がある。異常状態の下では、不要なパケットを速やかに取り除くことにより、短期間の内にパケットがエンド・ポイントに到着し、そのため、人為的に高い到着レートが生み出される可能性もある。
以下では、DoS攻撃の影響を低減するための追加の方法を説明する。上述したように、通信機器(すなわち、端末またはエンド・ポイント)は、小セットのプロトコルによって実行される特定の専用タスクを実施する。機器、メディア・ゲートウェイおよびサーバ、ならびにエンド・ポイント自体の間でのメッセージ交換は、しばしば1対1のペアリングによって特徴付けられる「要求/応答」タイプのメッセージを使用する。特定のクラスのDoS攻撃では、何らの要求も発行されていないときに根拠のない応答が送信される。多くの場合では、かかる応答に対する通信機器の挙動は、指定されず、実装に依存する。VoIPシステムの古典的な悪用手口は、任意のIPアドレスを対象とする媒体アクセス制御(MAC)アドレスが、攻撃者のMACアドレスに変更される、「根拠のないアドレス解決プロトコル(ARP)応答」の送信である。「ARP応答」が受信されると、通信機器がそれ自体のARPテーブルを更新し、その結果、通話ハイジャックが起こり、あるいは電話機がメディア・サーバとの通信を行うことができなくなる。
本発明は、通信機器がそれに対応する要求を発行していないどんな根拠のない応答も効果的に無視する、メッセージ・ペアリング規則を実装している。要求/応答メッセージの他の例としては、DHCP要求/応答、およびH.323スイートにおけるゲートキーパ・リクエスト/ゲートキーパ・コンファメーション(GRQ−GCF)が挙げられる。この実施形態によれば、通信機器のファイアウォールは、回答のない要求のリストを格納している。このリストは、パケット分類規則ベースの一部として格納されてもよい。応答を含むパケットが受信されると、通信機器は、その応答が回答のない要求のいずれかに対応しているかどうかを判定する。応答が回答のない要求の1つに対応している場合は、その応答は、通信機器へと転送される。そうでない場合は、その応答は、廃棄される。
かくして、基本的な本発明の新規な諸特徴を、本発明の好ましい実施形態に適用されるものとして図示し、記載し、指摘してきたが、当業者なら、ここに例示される各デバイスの形態および詳細ならびにそれらの動作には、本発明の趣旨から逸脱することなく、様々な省略および置換えならびに変更を加えることもできることが理解されるであろう。例えば、これらの要素の全ての組合せ、および/または同じ結果を実現するために実質的に同じやり方で実質的に同じ機能を果たす方法工程は特に、本発明の範囲内にあることが企図されている。さらに、本発明における開示のいずれかの形態または実施形態に関して図示および/または記載される構造および/または要素および/または方法工程は、設計選択における一般的な材料として、他のいずれかの開示または記載あるいは提案される形態または実施形態に組み込むこともできることが理解されるべきである。したがって、本明細書に添付の特許請求の範囲によって示される形でしか限定されないことが意図されている。
本発明を実装し得るネットワークの概略図である。 本発明の一実施形態による方法の流れ図である。 IP電話によって使用されるポートおよびプロトコルのリスト表である。 IP電話の様々な動作状態を示す図である。 IP電話のそれぞれの動作状態において使用されるポートおよびプロトコルのリスト表である。 IP電話のそれぞれの動作状態中における平均パケット進入レートのリスト表である。

Claims (43)

  1. 全ての正当なパケットが通信機器へと転送されるのを可能にするパケット分類規則ベースを有する前記通信機器において、サービス拒否攻撃の影響を防止しまたは制限するための方法であって、
    状態がサービス拒否攻撃の存在を示しているかどうかを判定するために、前記通信機器への入力パケットを監視する工程と、
    前記状態がサービス拒否攻撃の存在を示していると判定された場合は、前記通信機器における複数の動作状態の内の1つの現動作状態に基づいて、複数の規則ベース・サブセットから前記パケット分類規則ベースの1つの規則ベース・サブセットを選択する工程と
    を含む方法。
  2. 状態がサービス拒否要求の存在を示しているかどうかを判定する前記工程は、進入のレートが閾値レートを超えているかどうかを判定する工程を含む、請求項1に記載の方法。
  3. 状態がサービス拒否要求の存在を示しているかどうかを判定する前記工程は、進入のレートが所定の期間にわたって閾値レートを超えているかどうかを判定する工程を含む、請求項2に記載の方法。
  4. 周期的な間隔でパケットの進入のレートを検査する工程をさらに含む、請求項2に記載の方法。
  5. 状態がサービス拒否要求の存在を示しているかどうかを判定する前記工程は、進入のレートが所定の数の連続する時間にわたり閾値レートを超えているかどうかを判定する工程を含む、請求項4に記載の方法。
  6. 前記通信機器は、複数の動作状態を有し、前記閾値レートは、前記通信機器の現動作状態に基づいて可変である、請求項2に記載の方法。
  7. 前記閾値レートは、受信トラフィックが周期的であるかどうかにさらに依存する、請求項6に記載の方法。
  8. 前記閾値レートは、前記通信機器によって使用される機能にさらに依存する、請求項6に記載の方法。
  9. 前記閾値レートは、送信元から送信される固有のパケット・レートにさらに依存する、請求項6に記載の方法。
  10. 前記閾値レートは、ネットワーク遅延とジッタとにさらに依存する、請求項6に記載の方法。
  11. 更新された前記パケット分類規則ベースは、第1のパケット分類規則ベースよりも少ない、請求項1に記載の方法。
  12. 前記選択された規則ベース・サブセットは、前記状態がサービス拒否攻撃の存在を示していると判定された場合に、極めて重要なパケットだけが前記通信機器へと転送されるのを可能にする、請求項1に記載の方法。
  13. 前記規則ベース・サブセットは、前記動作状態のそれぞれの間に使用されるプロトコルに基づいて、極めて重要なパケットだけが前記通信機器へと転送されるのを可能にする規則を含む、請求項12に記載の方法。
  14. 前記規則ベース・サブセットは、根拠のない応答を拒否する規則を含む、請求項12に記載の方法。
  15. 前記第1のパケット分類規則ベースは、根拠のない応答を拒否する規則を含む、請求項1に記載の方法。
  16. 前記通信機器は、IP電話を備える、請求項1に記載の方法。
  17. 前記IP電話は、H.323ベースのIP電話である、請求項16に記載の方法。
  18. 全ての正当なパケットが通信機器へと転送されるのを可能にするパケット分類規則ベースを有する前記通信機器において、サービス拒否攻撃の影響を防止しまたは制限するための方法であって、根拠のない応答を含むパケットを拒否する工程を含む方法。
  19. パケットの形で受信された応答が前記通信機器によって行われた回答のない要求に対応しているかどうかを判定する工程をさらに含み、前記応答が前記通信機器によって行われた回答のない要求に対応していない場合は、前記拒否する工程が、前記パケットを拒否する工程を含む、請求項18に記載の方法。
  20. 状態がサービス拒否攻撃の存在を示しているかどうかを判定するために、前記通信機器への入力パケットを監視する工程と、前記状態がサービス拒否攻撃の存在を示していると判定された場合は、前記通信機器における複数の動作状態の内の1つの現動作状態に基づいて、複数の規則ベース・サブセットから前記パケット分類規則ベースの1つの規則ベース・サブセットを選択する工程とをさらに含む、請求項18に記載の方法。
  21. 通信機器におけるサービス拒否攻撃の影響を防止しまたは制限するための装置であって、状態がサービス拒否攻撃の存在を示しているかどうかを判定するために、前記通信機器への入力パケットを監視し、前記状態がサービス拒否攻撃の存在を示していると判定された場合は、前記通信機器における複数の動作状態の内の1つの現動作状態に基づいて、パケット分類規則ベース内の複数の規則ベース・サブセットから1つの規則ベース・サブセットを選択するように配置され構成されるファイアウォールを備える装置。
  22. 前記パケット分類規則ベースをさらに備える、請求項21に記載の装置。
  23. 前記パケット分類規則ベースは、前記通信機器内に配置される、請求項22に記載の装置。
  24. 前記パケット分類規則ベースは、通信ネットワークを介して前記通信機器に接続される、請求項22に記載の装置。
  25. 前記ファイアウォールは、パケットの進入のレートが閾値レートを超えているかどうかを判定するように配置され構成される、請求項21に記載の装置。
  26. 前記ファイアウォールは、パケットの進入のレートが所定の期間にわたって閾値レートを超えているかどうかを判定するように配置され構成される、請求項21に記載の装置。
  27. 前記ファイアウォールは、周期的な間隔でパケットの進入のレートを検査するように配置され構成される、請求項21に記載の装置。
  28. 前記ファイアウォールは、進入のレートが所定の数の連続する時間にわたり閾値レートを超えているかどうかを判定するように配置され構成される、請求項21に記載の装置。
  29. 前記閾値レートは、前記通信機器の現動作状態に基づいて可変である、請求項25に記載の装置。
  30. 前記閾値レートは、受信トラフィックが周期的であるかどうかにさらに依存する、請求項29に記載の装置。
  31. 前記閾値レートは、前記通信機器によって使用される機能にさらに依存する、請求項29に記載の装置。
  32. 前記閾値レートは、送信元から送信される固有のパケット・レートにさらに依存する、請求項29に記載の装置。
  33. 前記閾値レートは、ネットワーク遅延とジッタとにさらに依存する、請求項29に記載の装置。
  34. 選択された規則ベース・サブセットは、前記パケット分類規則ベースよりも少ない、請求項21に記載の装置。
  35. 前記選択された規則ベース・サブセットは、前記状態がサービス拒否攻撃の存在を示していると判定された場合に、極めて重要なパケットだけが前記通信機器へと転送されるのを可能にする、請求項21に記載の装置。
  36. 前記規則ベース・サブセットは、前記動作状態のそれぞれの間に使用されるプロトコルに基づいて、極めて重要なパケットだけが前記通信機器へと転送されるのを可能にする規則を含む、請求項35に記載の装置。
  37. 前記規則ベース・サブセットは、根拠のない応答を拒否する規則を含む、請求項35に記載の装置。
  38. 前記第1のパケット分類規則ベースは、根拠のない応答を拒否する規則を含む、請求項22に記載の装置。
  39. 前記通信機器は、IP電話を備える、請求項21に記載の装置。
  40. 前記IP電話は、H.323ベースのIP電話である、請求項39に記載の装置。
  41. 通信機器におけるサービス拒否攻撃の影響を防止しまたは制限するための装置であって、根拠のない応答を含むパケットを拒否するように配置され構成されるファイアウォールを備える装置。
  42. 前記ファイアウォールは、パケットの形で受信された応答が前記通信機器によって行われた回答のない要求に対応しているかどうかを判定し、前記応答が前記通信機器によって行われた回答のない要求に対応していない場合は、前記パケットを拒否するようにさらに配置され構成される、請求項41に記載の装置。
  43. 前記ファイアウォールは、状態がサービス拒否攻撃の存在を示しているかどうかを判定するために、前記通信機器への入力パケットを監視し、前記状態がサービス拒否攻撃の存在を示していると判定された場合は、前記通信機器における複数の動作状態の内の1つの現動作状態に基づいて、パケット分類規則ベースの複数の規則ベース・サブセットから1つの規則ベース・サブセットを選択するように配置され構成される、請求項41に記載の装置。
JP2006171389A 2005-06-21 2006-06-21 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法 Expired - Fee Related JP4638839B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/157,880 US20060288411A1 (en) 2005-06-21 2005-06-21 System and method for mitigating denial of service attacks on communication appliances

Publications (2)

Publication Number Publication Date
JP2007006490A true JP2007006490A (ja) 2007-01-11
JP4638839B2 JP4638839B2 (ja) 2011-02-23

Family

ID=37036954

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006171389A Expired - Fee Related JP4638839B2 (ja) 2005-06-21 2006-06-21 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法

Country Status (5)

Country Link
US (1) US20060288411A1 (ja)
EP (1) EP1737189B1 (ja)
JP (1) JP4638839B2 (ja)
KR (1) KR100790331B1 (ja)
DE (1) DE602006013752D1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015062292A (ja) * 2008-03-31 2015-04-02 ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィMitsubishi Electric R&D Centre Europe B.V. テキストベースのプロトコルによる受信データメッセージのハンドリング
JP2017147558A (ja) * 2016-02-16 2017-08-24 日本電信電話株式会社 攻撃検知装置、攻撃検知システムおよび攻撃検知方法

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7684317B2 (en) * 2001-06-14 2010-03-23 Nortel Networks Limited Protecting a network from unauthorized access
US20030009561A1 (en) 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
US8707419B2 (en) * 2006-06-29 2014-04-22 Avaya Inc. System, method and apparatus for protecting a network or device against high volume attacks
US20090094671A1 (en) * 2004-08-13 2009-04-09 Sipera Systems, Inc. System, Method and Apparatus for Providing Security in an IP-Based End User Device
US9531873B2 (en) * 2004-08-13 2016-12-27 Avaya Inc. System, method and apparatus for classifying communications in a communications system
US7933985B2 (en) * 2004-08-13 2011-04-26 Sipera Systems, Inc. System and method for detecting and preventing denial of service attacks in a communications system
US8582567B2 (en) * 2005-08-09 2013-11-12 Avaya Inc. System and method for providing network level and nodal level vulnerability protection in VoIP networks
US7860006B1 (en) * 2005-04-27 2010-12-28 Extreme Networks, Inc. Integrated methods of performing network switch functions
JP4557815B2 (ja) * 2005-06-13 2010-10-06 富士通株式会社 中継装置および中継システム
US7609625B2 (en) * 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US8510833B2 (en) * 2005-10-27 2013-08-13 Hewlett-Packard Development Company, L.P. Connection-rate filtering using ARP requests
CN100563246C (zh) * 2005-11-30 2009-11-25 华为技术有限公司 一种基于ip的语音通信边界安全控制系统及方法
US8255996B2 (en) 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation
US7796590B1 (en) * 2006-02-01 2010-09-14 Marvell Israel (M.I.S.L.) Ltd. Secure automatic learning in ethernet bridges
US8024804B2 (en) * 2006-03-08 2011-09-20 Imperva, Inc. Correlation engine for detecting network attacks and detection method
WO2007117582A2 (en) * 2006-04-06 2007-10-18 Smobile Systems Inc. Malware detection system and method for mobile platforms
US20070300304A1 (en) * 2006-06-26 2007-12-27 Nokia Corporation SIP washing machine
US8086732B1 (en) * 2006-06-30 2011-12-27 Cisco Technology, Inc. Method and apparatus for rate limiting client requests
WO2008008856A2 (en) * 2006-07-12 2008-01-17 Sipera Systems, Inc. System, method and apparatus for securely exchanging security keys and monitoring links in an ip communications network
WO2008008863A2 (en) 2006-07-12 2008-01-17 Sipera Systems, Inc. System, method and apparatus for troubleshooting an ip network
EP1947800B1 (en) * 2007-01-19 2009-11-18 Alcatel Lucent Broadcast of service information to user equipments connected to a PSTN, using NGN infrastructure
US8286244B2 (en) * 2007-01-19 2012-10-09 Hewlett-Packard Development Company, L.P. Method and system for protecting a computer network against packet floods
KR100838811B1 (ko) * 2007-02-15 2008-06-19 한국정보보호진흥원 안전한 VoIP 서비스를 위한 보안 세션 제어 장치
US8533821B2 (en) * 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks
JP5114565B2 (ja) * 2007-08-21 2013-01-09 エヌイーシー ヨーロッパ リミテッド マルチメディアシステムへの攻撃を検知する方法および攻撃検知機能を備えたマルチメディアシステム
US8037532B2 (en) * 2007-12-11 2011-10-11 International Business Machines Corporation Application protection from malicious network traffic
EP2081356A1 (en) * 2008-01-18 2009-07-22 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Method of and telecommunication apparatus for SIP anomaly detection in IP networks
US8375453B2 (en) * 2008-05-21 2013-02-12 At&T Intellectual Property I, Lp Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network
US8413250B1 (en) * 2008-06-05 2013-04-02 A9.Com, Inc. Systems and methods of classifying sessions
US20100269162A1 (en) 2009-04-15 2010-10-21 Jose Bravo Website authentication
US8683609B2 (en) * 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
US9202049B1 (en) 2010-06-21 2015-12-01 Pulse Secure, Llc Detecting malware on mobile devices
KR101107741B1 (ko) * 2010-09-02 2012-01-20 한국인터넷진흥원 Sip 기반 비정상 트래픽 차단 시스템 및 그 차단 방법
CN102088368A (zh) * 2010-12-17 2011-06-08 天津曙光计算机产业有限公司 一种通过软件管理硬件中的报文分类规则生存期的方法
US8838988B2 (en) 2011-04-12 2014-09-16 International Business Machines Corporation Verification of transactional integrity
JP6024664B2 (ja) * 2011-09-13 2016-11-16 日本電気株式会社 通信システム、制御装置および通信方法
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US8726338B2 (en) 2012-02-02 2014-05-13 Juniper Networks, Inc. Dynamic threat protection in mobile networks
US8917826B2 (en) 2012-07-31 2014-12-23 International Business Machines Corporation Detecting man-in-the-middle attacks in electronic transactions using prompts
US9722918B2 (en) 2013-03-15 2017-08-01 A10 Networks, Inc. System and method for customizing the identification of application or content type
WO2014176461A1 (en) 2013-04-25 2014-10-30 A10 Networks, Inc. Systems and methods for network access control
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US9621575B1 (en) 2014-12-29 2017-04-11 A10 Networks, Inc. Context aware threat protection
US9787581B2 (en) 2015-09-21 2017-10-10 A10 Networks, Inc. Secure data flow open information analytics
US10021130B2 (en) * 2015-09-28 2018-07-10 Verizon Patent And Licensing Inc. Network state information correlation to detect anomalous conditions
US10834110B1 (en) * 2015-12-18 2020-11-10 F5 Networks, Inc. Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof
US10812348B2 (en) 2016-07-15 2020-10-20 A10 Networks, Inc. Automatic capture of network data for a detected anomaly
US10341118B2 (en) 2016-08-01 2019-07-02 A10 Networks, Inc. SSL gateway with integrated hardware security module
CN109246134B (zh) * 2016-08-25 2021-04-06 杭州数梦工场科技有限公司 一种报文控制方法和装置
US10382562B2 (en) 2016-11-04 2019-08-13 A10 Networks, Inc. Verification of server certificates using hash codes
US10250475B2 (en) 2016-12-08 2019-04-02 A10 Networks, Inc. Measurement of application response delay time
US10397270B2 (en) 2017-01-04 2019-08-27 A10 Networks, Inc. Dynamic session rate limiter
US10187377B2 (en) 2017-02-08 2019-01-22 A10 Networks, Inc. Caching network generated security certificates
US11038869B1 (en) 2017-05-12 2021-06-15 F5 Networks, Inc. Methods for managing a federated identity environment based on application availability and devices thereof
US11050650B1 (en) 2019-05-23 2021-06-29 Juniper Networks, Inc. Preventing traffic outages during address resolution protocol (ARP) storms
US11284330B2 (en) 2019-06-24 2022-03-22 Comcast Cable Communications, Llc Systems, methods, and apparatuses for device routing management
US11349981B1 (en) 2019-10-30 2022-05-31 F5, Inc. Methods for optimizing multimedia communication and devices thereof
US20230343193A1 (en) * 2022-04-21 2023-10-26 Motorola Solutions, Inc. Generation of follow-up action based on information security risks

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000286896A (ja) * 1999-03-11 2000-10-13 Lucent Technol Inc パケットルーティング装置、パケットルーティング方法及びパケットルータ
JP2002141936A (ja) * 2000-10-30 2002-05-17 Fujitsu Ltd ネットワークアクセス制御方法及びそれを用いたネットワークシステム及びそれを構成する装置
JP2002222123A (ja) * 2001-01-25 2002-08-09 Ibm Japan Ltd 接続受付システム、受付サーバ、クライアント端末、接続受付管理方法、記憶媒体、コンピュータプログラム
JP2004164553A (ja) * 2002-09-26 2004-06-10 Toshiba Corp サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
JP2004248185A (ja) * 2003-02-17 2004-09-02 Nippon Telegr & Teleph Corp <Ntt> ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
JP2004266483A (ja) * 2003-02-28 2004-09-24 Nec Corp 不正アクセス防止方法、装置、プログラム
JP2004341922A (ja) * 2003-05-16 2004-12-02 Canon Inc 受信装置、設定装置、接続要求装置、方法、及び、プログラム
JP2004356953A (ja) * 2003-05-29 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> パケット転送装置、ネットワーク制御サーバ、およびパケット通信ネットワーク

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
US20020138643A1 (en) * 2000-10-19 2002-09-26 Shin Kang G. Method and system for controlling network traffic to a network computer
JP4067757B2 (ja) * 2000-10-31 2008-03-26 株式会社東芝 プログラム配布システム
JP4330342B2 (ja) * 2001-02-19 2009-09-16 富士通株式会社 通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム
GB0113902D0 (en) * 2001-06-07 2001-08-01 Nokia Corp Security in area networks
US7684317B2 (en) * 2001-06-14 2010-03-23 Nortel Networks Limited Protecting a network from unauthorized access
US7047303B2 (en) * 2001-07-26 2006-05-16 International Business Machines Corporation Apparatus and method for using a network processor to guard against a “denial-of-service” attack on a server or server cluster
US7526803B2 (en) * 2003-11-17 2009-04-28 Alcatel Lucent Detection of denial of service attacks against SIP (session initiation protocol) elements
US7536573B2 (en) * 2005-07-29 2009-05-19 Hewlett-Packard Development Company, L.P. Power budgeting for computers

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000286896A (ja) * 1999-03-11 2000-10-13 Lucent Technol Inc パケットルーティング装置、パケットルーティング方法及びパケットルータ
JP2002141936A (ja) * 2000-10-30 2002-05-17 Fujitsu Ltd ネットワークアクセス制御方法及びそれを用いたネットワークシステム及びそれを構成する装置
JP2002222123A (ja) * 2001-01-25 2002-08-09 Ibm Japan Ltd 接続受付システム、受付サーバ、クライアント端末、接続受付管理方法、記憶媒体、コンピュータプログラム
JP2004164553A (ja) * 2002-09-26 2004-06-10 Toshiba Corp サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
JP2004248185A (ja) * 2003-02-17 2004-09-02 Nippon Telegr & Teleph Corp <Ntt> ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
JP2004266483A (ja) * 2003-02-28 2004-09-24 Nec Corp 不正アクセス防止方法、装置、プログラム
JP2004341922A (ja) * 2003-05-16 2004-12-02 Canon Inc 受信装置、設定装置、接続要求装置、方法、及び、プログラム
JP2004356953A (ja) * 2003-05-29 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> パケット転送装置、ネットワーク制御サーバ、およびパケット通信ネットワーク

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"EC時代のセキュリティ対策", 日経インターネットテクノロジー 第39号 NIKKEI INTERNET TECHNOLOGY, JPN6009056325, 22 September 2000 (2000-09-22), JP, pages 32 - 37, ISSN: 0001453056 *
山本 篤範 ATSUNORI YAMAMOTO: "送受信パケットの照合によるDRDos攻撃の検知 Detecting DRDoS Attacks with Bidirectional Packet Co", 電子情報通信学会技術研究報告 VOL.104 NO.277 IEICE TECHNICAL REPORT, vol. 第104巻, JPN6009056328, 27 August 2004 (2004-08-27), JP, pages 7 - 12, ISSN: 0001453057 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015062292A (ja) * 2008-03-31 2015-04-02 ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィMitsubishi Electric R&D Centre Europe B.V. テキストベースのプロトコルによる受信データメッセージのハンドリング
JP2017147558A (ja) * 2016-02-16 2017-08-24 日本電信電話株式会社 攻撃検知装置、攻撃検知システムおよび攻撃検知方法

Also Published As

Publication number Publication date
US20060288411A1 (en) 2006-12-21
JP4638839B2 (ja) 2011-02-23
DE602006013752D1 (de) 2010-06-02
KR20060133921A (ko) 2006-12-27
KR100790331B1 (ko) 2008-01-02
EP1737189A2 (en) 2006-12-27
EP1737189B1 (en) 2010-04-21
EP1737189A3 (en) 2007-03-21

Similar Documents

Publication Publication Date Title
JP4638839B2 (ja) 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法
US11496497B2 (en) Protecting networks from cyber attacks and overloading
Walsh et al. Challenges in securing voice over IP
US7764612B2 (en) Controlling access to a host processor in a session border controller
CN101019405B (zh) 用于在通信网络中缓解拒绝服务的方法和系统
US7809128B2 (en) Methods and systems for per-session traffic rate policing in a media gateway
EP1805616B1 (en) Methods and systems for automatic denial of service protection in an ip device
JP5512832B2 (ja) Sipセッションを確立する要求を選別するための方法および装置
Reynolds et al. Secure IP Telephony using Multi-layered Protection.
JP2006517066A (ja) サービス妨害攻撃の軽減
US9491302B2 (en) Telephone call processing method and apparatus
US20150026793A1 (en) Session initiation protocol denial of service attack throttling
WO2008054952A2 (en) Method and apparatus for providing network based end-device protection
JP4602158B2 (ja) サーバ装置保護システム
EP2141885B1 (en) Embedded firewall at a telecommunications endpoint
Chen Aegis: An active-network-powered defense mechanism against ddos attacks
Reynolds Enabling secure ip telephony in enterprise networks
Farley et al. Disabling a computer by exploiting softphone vulnerabilities: threat and mitigation
Sun et al. Possibilities of Voice Resource DoS Attacks Based on H. 323 Protocol in Softswitch Network
Garg et al. Reducing the recovery time of IP-Phones in an h. 323 based VoIP system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070912

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091102

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100119

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100616

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100927

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20101018

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101104

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101126

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131203

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees