JP2007074734A - 悪意あるネットワーク・メッセージのソースを識別するためのシステム、方法、およびプログラム - Google Patents

悪意あるネットワーク・メッセージのソースを識別するためのシステム、方法、およびプログラム Download PDF

Info

Publication number
JP2007074734A
JP2007074734A JP2006242153A JP2006242153A JP2007074734A JP 2007074734 A JP2007074734 A JP 2007074734A JP 2006242153 A JP2006242153 A JP 2006242153A JP 2006242153 A JP2006242153 A JP 2006242153A JP 2007074734 A JP2007074734 A JP 2007074734A
Authority
JP
Japan
Prior art keywords
source
subset
network
destination
networks
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006242153A
Other languages
English (en)
Other versions
JP4808573B2 (ja
Inventor
Brian M O'connell
ブライアン・マーシャル・オコネル
Herbert D Pearthree
ハーバート・ディ・パースリー
Richard Elderkin Nesbitt
リチャード・エルダーキン・ネスビット
Kevin E Vaughan
ケヴィン・エドワード・ヴォーン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2007074734A publication Critical patent/JP2007074734A/ja
Application granted granted Critical
Publication of JP4808573B2 publication Critical patent/JP4808573B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/668Internet protocol [IP] address subnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】 多数のソース・ネットワークのサブセットを識別するためのシステム、方法、およびプログラムを提供することにある。
【解決手段】 多数のソース・ネットワークのそれぞれについて、ソース・ネットワークから1つの宛先位置への介在ホップ数の方が、ソース・ネットワークから複数の宛先位置のうちの他の宛先位置への介在ホップ数より少ないかどうかの判定が行われる。そうである場合、そのソース・ネットワークはそのサブセットに含まれる。そうではない場合、そのソース・ネットワークはそのサブセットに含まれない。本発明の応用例の1つは、サービス妨害攻撃のソースを識別することである。サブセットが識別された後、サブセット内のそれぞれのソース・ネットワークからのメッセージをブロックするためのフィルタを順次適用して、サブセット内のどのソース・ネットワークがメッセージを送信しているかを判定することができる。
【選択図】 図1

Description

本発明は、一般に、コンピュータおよびネットワークに関し、詳細には、ネットワークにより送信された悪意あるメッセージのソースを識別するための技法に関する。
イントラネット、エクストラネット、およびインターネットなどのネットワークは、今日、周知のものである。コンピュータおよびその他の装置は、それぞれのネットワーク上に存在する。(ファイアウォール内には、スクリーニング機能ならびにルーティング機能を実行するいくつかのルータが含まれている。)ある「ソース」ネットワーク上のコンピュータが他の「宛先」ネットワーク上のコンピュータにアドレス指定されたメッセージを送信すると、そのメッセージは、宛先ネットワークに到達するまで、あるルータから次のルータに転送される。メッセージを宛先コンピュータに転送するために、宛先ネットワーク用のインターネット・サービス・プロバイダ(「ISP:Internet Service Provider」)と、宛先ネットワークの「サイト」ルータが存在する可能性がある。したがって、異なるネットワーク上のコンピュータおよびその他の電子装置は互いに通信することができる。
各メッセージは、既知のインターネット・プロトコル(IP)規格による伝送およびルーティングのためにパケットに分割される。各パケットはヘッダとペイロードとを含む。ヘッダは宛先ホストのIPアドレスを含み、ルータはそのIPアドレスを使用して、メッセージをどこに転送すべきかを把握する。ペイロードは要求または情報などのデータを含む。ペイロードは、要求されたサービスを提供するためのアプリケーション・ポートなどの情報も含み、サイト・ルータはこの情報のすべてを使用して、ネットワーク内のどのコンピュータがメッセージ・パケットを受信し処理すべきかを決定する。
ほとんどのホストは、それぞれの固有のIPアドレスを有する。ソース・ホストは、各メッセージ・パケットのヘッダ内に宛先ホストのIPアドレスを埋め込む。ソース・ネットワークがメッセージ・パケットを送信する場合、宛先ネットワークまでの途上にあるルータは、メッセージ・パケットが宛先ホストに到達するまで、そのメッセージ・パケットをルータからルータに(「ホップ(hop)」として)転送する。「マルチネット」アーキテクチャでは、同じIPアドレスをブロードキャストする2つ以上のサイト・ネットワークまたは宛先ネットワーク(典型的には、同じ企業によって所有される)が存在する。このようなサイトは、それぞれ異なる物理的位置と、異なるサイト・ルータと、異なるMACアドレス(それぞれのサイト・ルータを表す)とを有する。また、マルチネット内の各宛先ネットワークごとに、1つまたは複数のISPが宛先ネットワーク用のサイト・ルータとインターネット(そのルータを含む)との間に論理的に挿入されている。ソース・ネットワークは、各メッセージ・パケット内にマルチネットのIPアドレスを埋め込む(おそらく、宛先がマルチネットであることに気づいていない)。ソース・ネットワークがメッセージ・パケットを送信する場合、マルチサイトまでの途上にあるルータは、後述の通り、最少ホップ数のパスに沿ってマルチネット用のISP(複数も可)のうちの1つにメッセージを送信する。
多くの場合、ソース・ネットワークと宛先ネットワーク(またはサイト・ルータ)との間に複数の可能なパスまたはルートが存在する。ルータは、ルータ間で進行中のルータおよびネットワーク「トポロジ」情報の交換に基づいて、様々なパスを把握する。典型的には、各ルータは、メッセージ・パケットがその宛先ネットワークに到達するために使用すべき最短(使用可能)パスを決定し、そのメッセージ・パケットをパス内の次の(ダウンストリーム)ルータ/ホップに転送することになる。経路指定情報プロトコル(「RIP:Routing Information Protocol」)、開放型最短経路優先(「OSPF:Open Shortest Path First」)、および境界ゲートウェイ・プロトコル(「BGP:Border Gateway Protocol」)など、宛先ネットワークまでの最短パスを識別するために各ルータが使用できる種々の規格/プロトコルが存在する。「BGP」プロトコルでは、各ルータは、他のルータまたは「ノード」を介して、宛先ネットワークに到着するためにそれが使用するパスを他のルータにブロードキャストする。たとえば、ルータBは、ネットワークDに到着するためにルータCを使用することをブロードキャストする可能性があり、ルータGは、ネットワークDに到着するためにルータCを使用することをブロードキャストする可能性があり、ルータIは、ネットワークDに到着するためにルータF、G、およびCを使用することをブロードキャストする可能性があり、ルータEは、ネットワークDに到着するためにルータE、F、G、およびCを使用することをブロードキャストする可能性がある。このようなブロードキャストに基づいて、ルータFは、ネットワークDへのその最短パスがルータGおよびCを介するものであることを決定し、ネットワークDにアドレス指定されたメッセージ・パケットをルータGに転送することができる。次に、ルータGは、これらのメッセージ・パケットをルータCに転送することになり、ルータCは、これらのメッセージ・パケットをネットワークDに転送することになる。OSPFプロトコルでは、「隣接(adjacent)」ルータ同士がトポロジ情報を交換する。典型的には、各LAN上の1つのルータは近隣(neighboring)ルータとトポロジ情報を交換する。OSPFプロトコルでは、各ルータがその状態およびネットワーク・ルーティング「コスト」を提供するメッセージをその「隣接」ルータに送信することを規定している。次に、隣接ルータは、すべての近隣ルータに完全なルーティング・トポロジをブロードキャストする。近隣ルータはこの情報を使用して、どのパスがネットワーク・トラフィックを送信するために最良であるかを決定する。
残念ながら、「ハッカ」によって操作された多くのコンピュータは、典型的にはインターネットを介して、他のコンピュータに「悪意ある」メッセージを送信する。あるタイプの悪意あるメッセージは「サービス妨害(denial of service)」攻撃を形成する可能性がある。サービス妨害攻撃では、個々のメッセージは宛先コンピュータからの通常のサービスを要求する可能性があるが、そのメッセージは宛先コンピュータまたは通過ネットワークのリソースを当惑させるほど多数である。これにより、適合ユーザ/カスタマ用の宛先コンピュータまたはネットワークのパフォーマンス/応答時間が劣化し、極端なケースでは、宛先コンピュータを完全にシャットダウンする可能性がある。
サービス妨害攻撃が発生すると、悪意あるものと疑われるメッセージをそのソース・ネットワークまでトレースバックすることが知られていた。このトレースバックは、受信メッセージ・ヘッダ内のソース・ネットワーク・アドレスを調べることにより実行された。ソース・ネットワークまでメッセージをトレースバックした後、このソース・ネットワークのIPアドレスからの後続メッセージをブロックするためにファイアウォールまたはサイト・ルータ内にフィルタを適用することが知られていた。しかし、悪意あるメッセージを識別することは容易ではない。また、その正体を隠すために、ハッカの中には、送信するメッセージ・パケット内に偽のソースIPアドレスを埋め込むものもいる。これは一般に、ソースIPアドレスの「送信偽装(spoofing)」と呼ばれる。その結果として、宛先ネットワークがこれらのメッセージ・パケットを受信すると、宛先ネットワーク(およびその管理者)は、悪意あるメッセージが識別され、そのヘッダが検査されても、悪意あるメッセージの実ソースを識別することはできない。
もう1つの既知の解決策は、サービス妨害攻撃にさらされているネットワーク用のファイアウォールまたはサイト・ルータでフィルタを順次適用することである。各フィルタは、異なる個別ソースIPアドレスまたは複数ソースIPアドレスのグループをブロックし、その後、悪意あるトラフィックがブロックされるかどうかをチェックする。残念ながら、典型的にはブロックすべきソースIPアドレスが多数存在するので、これは時間のかかるプロセスである。また、テストの過程で、いくつかの善意のメッセージがブロックされて失われるか、または容認できないほど遅延される可能性がある。
RFC2328 RFC1771
本発明の一目的は、マルチネットに送信された悪意あるメッセージのソースの識別を容易にすることにある。
本発明の一目的は、メッセージ・パケットにリストされた悪意あるメッセージのソースIPアドレスが「送信偽装」されたときに、マルチネット環境に送信された悪意あるメッセージのソースの識別を容易にすることにある。
本発明のさらに他の目的は、悪意あるメッセージがサービス妨害攻撃を構成する場合に、マルチネットに送信された悪意あるメッセージのソースの識別を容易にすることにある。
本発明は、多数のソース・ネットワークのサブセットを識別するためのシステム、方法、およびプログラムにある。このサブセットは、同じIPアドレスを有する複数の宛先位置のうちの1つにメッセージを送信した1つまたは複数のソース・ネットワークを含む。多数のソース・ネットワークのそれぞれについて、ソース・ネットワークから1つの宛先位置への介在ホップ数の方が、ソース・ネットワークから複数の宛先位置のうちの他の宛先位置への介在ホップ数より少ないかどうかの判定が行われる。そうである場合、そのソース・ネットワークはそのサブセットに含まれる。そうではない場合、そのソース・ネットワークはそのサブセットに含まれない。本発明の応用例の1つは、サービス妨害攻撃のソースを識別することである。
本発明の特徴の1つによれば、サブセットが識別された後、サブセット内のそれぞれのソース・ネットワークからのメッセージをブロックするためのフィルタが順次適用され、サブセット内のどのソース・ネットワークがメッセージを送信しているかが判定される。
本発明の他の特徴によれば、ソース・ネットワークから1つの宛先位置への介在ホップ数の方が、ソース・ネットワークから複数の宛先位置のうちの他の宛先位置への介在ホップ数より少ないかどうかの判定は、部分的に、多数のソース・ネットワークのそれぞれから複数の宛先位置のそれぞれへのルーティング・パスを示す情報をルータから収集することによって行われる。ルータ・パスにより、多数のソース・ネットワークのそれぞれから複数の宛先位置のそれぞれへのホップ数が決定される。
次に、図面に関連して本発明について詳細に説明する。図1は、物理的位置またはサイト71のネットワーク11上のサーバ・コンピュータ9および10と、物理的位置またはサイト74のネットワーク14上のサーバ・コンピュータ12および13と、物理的位置またはサイト77のネットワーク17上のサーバ・コンピュータ15および16とを示している。この例では、ネットワーク11、14、および17のそれぞれは、それぞれのサイト・ルータ41、44、および47を有し、そのそれぞれがインターネット20に接続されている。この例では、インターネット・サービス・プロバイダ(「ISP」)50および51はサイト・ルータ41とインターネットとの間に論理的に挿入されており、ISP50および52はサイト・ルータ44とインターネットとの間に論理的に挿入されており、ISP51および52はサイト・ルータ47とインターネットとの間に論理的に挿入されている。この例では、ISPの1つに障害が発生した場合にワークロードを共用するために、2つのISPがネットワーク11、14、および17のそれぞれに供応している。以下のシナリオでは、すべてのコンピュータ9、10、12、13、15、および16用のネットワーク11、14、および17は同じIPアドレスを有しており(すなわち、「マルチネット」)、そうでなければ、このIPアドレスはインターネット内で固有のものである。異なるサイト・ルータ用の異なる物理的位置が存在し、異なるIPアドレスがそれぞれのサイト・ルータを表している。ソース・ネットワークがマルチネットの共通IPアドレスにメッセージ・パケットを送信すると、サイト・ルータへの途上のインターネット内のルータ「R」は、BGPまたはOSPFなどの周知のルーティング・プロトコルの1つにより、それに対してメッセージ・パケットを送信すべきマルチネット11、14、および17の最も近いサイト・ルータを選択する。
図1は、ネットワーク23上のコンピュータ22と、ネットワーク25上のコンピュータ24と、ネットワーク27上のコンピュータ26も示している。ネットワーク23、25、および27は、インターネット20に接続され、以下のシナリオではソース・ネットワークである。ネットワーク23、25、および27のそれぞれは、単一の固有のIPアドレスを有する。以下のシナリオでは、コンピュータ22は、悪意あるものであり、ネットワーク11、14、および17用の共通IPアドレスにデータ要求、エコー要求、タイムスタンプ要求、または発信元などの多数のメッセージを送信している。コンピュータ22の意図は、「サービス妨害」攻撃などの多数のメッセージで、ネットワーク11、14、および17内の1つまたは複数のコンピュータ9、10、12、13、15、または16、あるいはこれらの組み合わせ、インターネット20内のルータおよびネットワーク、あるいはパス内の任意の他のネットワーク装置を当惑させ、それにより、コンピュータ24および26などの適合または「友好的」要求元に対するパフォーマンスを低下させることである。コンピュータ24および26がアプリケーション30に送信しているメッセージの量はそれよりかなり少なく、コンピュータ24および26からのメッセージは適切に意図されたものである。
インターネットは、ソース・コンピュータ22、24、および26のそれぞれと宛先サーバ9、10、12、13、15、および16のそれぞれとの間のルータ(図1で「R」と表示されている)を含む。ルータは、多方向性であり、すなわち、以下のシナリオでは、メッセージはコンピュータ22、24、および26からコンピュータ9、10、12、13、15、および16に流れるが、コンピュータ9、10、12、13、15、16、22、24、および26の任意の対の間で両方向にメッセージを経路指定することができる。
任意のコンピュータ22、24、または26がメッセージを送信したいと希望する場合、そのコンピュータは、UDP、ICMP、およびTCPなどの既知のインターネット・プロトコルにより、メッセージをパケットに分割する。各パケットは、ソースIPアドレスおよび宛先IDアドレスを有するヘッダと、要求または情報などのデータを含むペイロードとを含む。ペイロードは、要求されたサービスを提供するためのアプリケーションのポートなどの情報も含み、サイト・ルータはこの情報を使用して、ネットワーク内のどのコンピュータがメッセージ・パケットを受信し処理すべきかを決定する。理想的には、ソースIPアドレスは、メッセージのソース・ネットワークの実ソースIPアドレスである。しかし、ハッカの中には、自分のメッセージ・パケット・ヘッダに異なるソースIPアドレスを組み込んで自分のソース・ネットワークを隠し、悪意あるメッセージ内のソースIPアドレスに対して設定されたIPフィルタなどの何らかの対策を阻もうと、自分のソース・コンピュータをプログラミングするものもいる。ソース・コンピュータは、ソース・コンピュータが存在するネットワーク用のそのISP、ゲートウェイ・ルータ、またはサイト・ルータ(ファイアウォール内に含まれる可能性がある)に各メッセージ・パケットを送信する。ISP、サイト・ルータ、ならびにインターネット内のその他のルータ「R」は、それらが実施するルーティング・プロトコルに基づいて、宛先ネットワークへの途上にあるその他のルータのトポロジに関する情報を有する。たとえば、既知のOSPFプロトコルでは、ルータは、自分の存在(および暗にそれ自体と関連リンクの生存能力)、それらが接続されている他のルータに関する情報、および宛先ネットワークへのルータ・パスを、他のルータおよびIPSにブロードキャストする。他のルータから各ISPおよびルータによって収集された情報により、各ルータは、隣接ルータ、ネットワーク、およびネットワークへのルータ・パスのトポロジをコンパイルする。この情報により、各ルータおよびISPは、少なくとも、宛先サーバへの最短パスのネクスト・ホップ(next hop)を決定することができる。OSPFに関する詳細についてはRFC2328に記載されている可能性があり、その文書は本発明の一部として本明細書に関係する。既知のBGPプロトコルでは、各ルータは、様々なネットワークに到着するためにそれが使用するルータ・パスをISPおよび他のルータにブロードキャストする。たとえば、ルータBは、ネットワークDに到着するためにルータCを使用することをブロードキャストする可能性があり、ルータGは、ネットワークDに到着するためにルータCを使用することをブロードキャストする可能性があり、ルータIは、ネットワークDに到着するためにルータF、G、およびCを使用することをブロードキャストする可能性があり、ルータEは、ネットワークDに到着するためにルータE、F、G、およびCを使用することをブロードキャストする可能性がある。このようなブロードキャストに基づいて、ルータFは、ネットワークDへのその最短パスがルータGおよびCを介するものであることを決定し、ネットワークDにアドレス指定されたメッセージ・パケットをルータGに転送することになる。次に、ルータGは、これらのメッセージ・パケットをルータCに転送することになり、ルータCは、これらのメッセージ・パケットをネットワークDに転送することになる。他のルータから得られたトポロジ情報により、各ISPおよびルータは、少なくとも、宛先サーバへの最短パスのネクスト・ホップを決定することができる。宛先ネットワークへのルーティング・パスを指定する、他のルータから各ルータおよびISPが受信した情報は、ルーティング・テーブル内の項目を形成する。BGPに関する詳細についてはRFC1771に記載されている可能性があり、その文書は本発明の一部として本明細書に関係する。どのルーティング・プロトコルが使用されるかにかかわらず、各ルーティング・プロトコルの目標および効果は、最短ルーティング・パス、典型的には、宛先ネットワークへの介在ルータまたは「ホップ」が最少であるパスを使用することである。したがって、これらの既知のプロトコルでは、ソース・コンピュータ22、24、または26が(マルチネット)ネットワーク11、14、および17の共通IPアドレスにアドレス指定されたメッセージを送信する場合、そのメッセージは、マルチネットの最も近い(すなわち、一般に、最少ホップ数の)サイト・ルータ41、44、または47用のISPに到達するまで、あるルータから次のルータに転送される。次に、ISPはそれぞれのサイト・ルータにパケットを転送し、サイト・ルータは宛先コンピュータにメッセージを転送する。
図2は、それぞれの宛先ネットワーク11、14、および17のISP50,51、50,52、および51,52におけるBGP(またはその他のこのような)ルータ・テーブルの受信および集約を示している。ISP50および51がインターネット・ルータ「R」からルーティング・テーブルを受信した後、ISP50および51はゲートウェイ・ルータ41内のルーティング・テーブル・コレクタ・プログラム61にルーティング・テーブルを転送する。同様に、ISP50および52がインターネット・ルータ「R」からルーティング・テーブルを受信した後、ISP50および52はゲートウェイ・ルータ44内のルーティング・テーブル・コレクタ・プログラム64にルーティング・テーブルを転送する。同様に、ISP51および52がインターネット・ルータ「R」からルーティング・テーブルを受信した後、ISP51および52はゲートウェイ・ルータ47内のルーティング・テーブル・コレクタ・プログラム67にルーティング・テーブルを転送する。定期的に、ルーティング・テーブル・コレクタ・プログラム61、64、および67のそれぞれは、マルチサイト・ルータ・テーブル・アグリゲータ・プログラム70にそれぞれのルーティング・テーブルを転送する。図3にさらに図示されている通り、プログラム70がルーティング・テーブル・コレクタ・プログラム61、64、および67からルータ・テーブルを受信すると(ステップ80)、プログラム70は、ルーティング・テーブルを転送したISPと、ルーティング・テーブル内の各ルーティング・パスに関連するルータ41、44、および47ならびに宛先ネットワークの物理的位置とに、各受信ルータ・テーブルを関連付ける(ステップ82)。次に、プログラム70は、ステップ82で生成された情報を集約し、各ソース・ネットワークからマルチネット内の各宛先ネットワーク11、14、および17へのルータ・ホップの数をカウントして記録する(ステップ84)。以下の表1は、ルーティング・テーブルの一例である。
Figure 2007074734
実際には、通常、多くの、あるいは、より多くのソース・ネットワークがテーブル内に表されるが、以下の表2は、ルーティング・テーブルから生成された、各ソース・ネットワークからマルチネット内の各宛先ネットワークへのホップ数のレコードの一例である。
Figure 2007074734
管理者がサービス妨害攻撃などの悪意ある攻撃に気づいた場合、管理者は、ソース・ネットワーク候補識別プログラム100を呼び出して、プログラム70によってコンパイルされた表1などのルーティング・テーブルと表2などのホップ数テーブルとに部分的に基づいて、そこから悪意あるメッセージが送信されたソース・ネットワークの推定サブセットを決定する。表2の例では、1列目は、マルチネットにメッセージを送信したソース・ネットワーク23、25、および27のそれぞれに関する行/項目を有する(ただし、典型的には、より多くの、あるいは、数千ものソース・ネットワークが存在することになる)。2列目は、宛先位置71を表しており、各ソース・ネットワークから宛先位置71へのホップ数に関する行/項目を有する。3列目は、宛先位置74を表しており、各ソース・ネットワークから宛先位置74へのホップ数に関する行/項目を有する。4列目は、宛先位置77を表しており、各ソース・ネットワークから宛先位置77へのホップ数に関する行/項目を有する。
一例として、位置77は、サービス妨害攻撃として大量の悪意あるメッセージを受信している。管理者は、表2をチェックして、どのソース・ネットワーク23、25、または27(および任意のその他のソース・ネットワーク)で位置71または74(または任意のその他の宛先ネットワーク)へのホップ数より位置77へのホップ数の方が少ないかを決定するプログラム100を呼び出す。表2の例では、ネットワーク23では位置74へのホップ数(すなわち、3)より位置77へのホップ数(すなわち、4)の方が多く、ネットワーク25では位置71へのホップ数(すなわち、6)または位置74へのホップ数(すなわち、7)より位置77へのホップ数(すなわち、2)の方が少なく、ネットワーク27では位置71へのホップ数(すなわち、2)より位置77へのホップ数(すなわち、3)の方が多い。したがって、位置77への悪意あるメッセージについて見込みのあるソースは、ソース・ネットワーク25からになる。その推論は以下の通りである。すべての位置71、74、および77は同じIPアドレスを有し、インターネット・ルータ「R」のルーティング・プロトコルはソース・ネットワークから宛先ネットワークへのホップ数を最小限にしようと試みる。ソース・ネットワーク23が(ソース・ネットワーク25の代わりに)悪意あるメッセージを送信した場合、それが最少介在ルータ・ホップ数を有するので、悪意あるメッセージは位置74に到着しているものと考えられる。ソース・ネットワーク27が(ソース・ネットワーク25の代わりに)悪意あるメッセージを送信した場合、それが最少介在ルータ・ホップ数を有するので、悪意あるメッセージは位置71に到着しているものと考えられる。
図4は、ソース・ネットワーク候補識別プログラム100の使用法および機能をより詳細に示す流れ図である。ステップ200では、プログラム100は、システム管理者が悪意あるサービス妨害攻撃を検出した後など、ある企業のシステム管理者がプログラム100を呼び出すのを待つ。プログラム100を呼び出すときに、管理者は、ネットワーク11、14、および17から公示された宛先アドレスと、攻撃を受けている物理的位置とをプログラム100に対して識別する。この例の場合、位置77が攻撃を受けているものと想定する。呼び出されると、プログラム100は、位置77のISP51および52に関する空の「推定ソース・ネットワーク候補リスト」201を作成する。次に、プログラム100は、表2の第1のソース・ネットワーク行から、すなわち、ネットワーク23から位置77へのホップ数を決定する(ステップ204)。次に、プログラム100は、(表2の第1のソース・ネットワーク行において)ネットワーク23から位置71へのホップ数を決定する(ステップ206)。次に、プログラム100は、(表2の第1のソース・ネットワーク行において)ネットワーク23から位置74へのホップ数を決定する(ステップ206)。次に、プログラム100は、ソース・ネットワーク23から位置77へのホップ数の方がソース・ネットワーク23から位置71へのホップ数およびソース・ネットワーク23から位置74へのホップ数より少ないかどうかを判定する(判断208)。そうである場合(判断208のYES分岐)、プログラム100は、ソース・ネットワーク23が「推定ソース・ネットワーク候補リスト」上の候補であることを記録する(ステップ210)。図示されている例では、ソース・ネットワーク23からのホップ数は、宛先位置77へのホップ数より宛先位置74へのホップ数の方が少なく(判断208のNO分岐)、したがって、プログラム100は、ソース・ネットワーク23を推定ソース・ネットワーク候補リスト上の候補として記録しない。次に、プログラム100は、表2に他の行、すなわち、おそらく位置77への悪意あるメッセージのソースと見なすべき他のソース・ネットワークが存在すると判断する(判断220のYES分岐)。したがって、プログラム100は、表2内の次の行、すなわち、ソース・ネットワーク25に関する項目について、ステップ204、206、および208を繰り返す。ステップ204のこの反復中に、プログラム100は、ソース・ネットワーク25から宛先位置77へのホップ数が2であると判断する。また、ステップ206のこの反復中に、プログラム100は、ソース・ネットワーク25から宛先位置71へのホップ数が6であり、ソース・ネットワーク25から宛先位置74へのホップ数が7であると判断する。次に、判断208のこの反復中に、プログラムは、ソース・ネットワーク25では宛先位置71または74へのホップ数より宛先位置77へのホップ数の方が少ないと判断する。したがって、判断208およびステップ210のこの反復中に、プログラム100は推定ソース・ネットワーク候補リストにソース・ネットワーク25を入力する。次に、プログラム100は、表2に他の行、すなわち、おそらく悪意あるメッセージのソースと見なすべき他のソース・ネットワークが存在すると判断する(判断220のYES分岐)。したがって、プログラム100は、表2内の次の行、すなわち、ソース・ネットワーク27に関する項目について、ステップ204、206、および208を繰り返す。ステップ204のこの最終反復中に、プログラム100は、ソース・ネットワーク27から宛先位置77へのホップ数が3であると判断する。また、ステップ206のこの最終反復中に、プログラム100は、ソース・ネットワーク27から宛先位置71へのホップ数が2であり、ソース・ネットワーク27から宛先位置74へのホップ数が5であると判断する。次に、判断208のこの最終反復中に、プログラムは、ソース・ネットワーク27では宛先位置77へのホップ数より宛先位置71へのホップ数の方が少ないと判断する。したがって、判断208のこの最終反復中に、プログラム100は「推定ソース・ネットワーク候補リスト」にソース・ネットワーク27を入力しない。ステップ204〜210の最終反復後に、推定ソース・ネットワーク候補リスト内には項目が1つだけ存在しており、したがって、プログラム100は、ソース・ネットワーク25が悪意あるメッセージの推定ソースであることをシステム管理者に通知する(ステップ230)。応答として、ISP51または52のシステム管理者は、ソース・ネットワーク25に接続するそれぞれのルータ・インターフェース上に悪意あるトラフィック・タイプに関するレート制限フィルタ(rate limiting filter)をインストールすることができる(ステップ240)。ネットワーク25に接続するインターフェースのみにレート制限フィルタを適用することにより、良性トラフィックはブロックされず、悪意あるトラフィックがブロックされる。プログラム100は、推定ソース・ネットワーク候補の識別の際に、位置77によって受信されたメッセージに含まれるソースIPアドレスに基づかないので、このようなメッセージ内の間違った(または「送信偽装された」)ソースIPアドレスによって欺されることはない。
典型的なネットワーク環境では、表2は、位置77に接続している数千の、あるいは、数十万ものソース・ネットワークを表す数千の、あるいは、数十万もの行を有することになる。(表2内のすべての行について)ステップ204〜210のすべての反復が完了した後、推定ソース・ネットワーク候補リストには平均してX/N個の候補が存在することになり、その場合、「X」は位置77に接続しているソース・ネットワークの総数に等しく、「N」はISPを通過する宛先ネットワークの総数に等しい。図示されている例では、このような宛先ネットワークが3つ存在し、したがって、プログラム100は平均してソース・ネットワークの2/3を詳細検討から排除することになり、それらは悪意あるメッセージのソースではない。その場合、ステップ240では、ISPのシステム管理者または自動プログラム機能は、推定ソース・ネットワーク候補リスト上のソース・ネットワークに接続するISPルータ内にレート制限フィルタ(一度に1つのインターフェース)をインストールすることになる。このような場合、プログラム100は悪意あるメッセージのソースとして単一ソース・ネットワークを識別せず、プログラム100は候補の数を大幅に低減している。これにより、悪意あるメッセージを識別し、次にそれをブロックしようとするためにインストールすべきフィルタの数が大幅に低減されている。
上記に基づいて、そこから悪意あるメッセージが送信されたソース・ネットワークのリストを決定するためのシステム、方法、およびプログラムが開示されている。しかし、本発明の範囲から逸脱せずに多数の変更および代替態様が可能である。したがって、本発明は制限のためではなく例証のために開示されており、本発明の範囲を決定するためには特許請求の範囲を参照しなければならない。
インターネットと、本発明が組み込まれるマルチネット環境とを含む、種々のネットワークのブロック図である。 図1のマルチネット環境のより詳細なブロック図である。 本発明によって使用されるマルチネット・アグリゲータ・プログラムの流れ図である。 本発明を実施するソース・ネットワーク候補識別プログラムの流れ図である。
符号の説明
9:コンピュータ
10:コンピュータ
11:ネットワーク
12:コンピュータ
13:コンピュータ
14:ネットワーク
15:コンピュータ
16:コンピュータ
17:ネットワーク
20:インターネット
22:悪意あるコンピュータ
23:ネットワーク
24:友好的コンピュータ
25:ネットワーク
26:友好的コンピュータ
27:ネットワーク
30:アプリケーション
41:サイト・ルータ
44:サイト・ルータ
47:サイト・ルータ
50:ISP
51:ISP
52:ISP
71:地理的サイト
74:地理的サイト
77:地理的サイト

Claims (18)

  1. 多数のソース・ネットワークのサブセットを識別するためのコンピュータにおける方法であって、前記サブセットが、同じIPアドレスを有する複数の宛先位置のうちの1つにメッセージを送信した1つまたは複数のソース・ネットワークを含み、前記方法が、
    前記多数のソース・ネットワークのそれぞれについて、前記それぞれのソース・ネットワークから前記1つの宛先位置への介在ホップ数の方が、前記それぞれのソース・ネットワークから前記複数の宛先位置のうちの他の宛先位置への介在ホップ数より少ないかどうかを判定するステップと、
    少ないという判定の場合に、前記それぞれのソース・ネットワークを前記サブセットに含まれるものとして識別するステップと、
    少なくないという判定の場合に、前記それぞれのソース・ネットワークを前記サブセットに含まれるものとして識別しないステップと、
    を含む方法。
  2. 前記サブセット内の前記ソース・ネットワークのうちの1つが前記1つの宛先位置に前記メッセージを送信しており、前記メッセージが悪意あるものである、請求項1に記載の方法。
  3. 1つまたは複数のソース・ネットワークが前記1つの宛先位置にメッセージを送信し続けており、前記サブセット内のそれぞれのソース・ネットワークからのメッセージをブロックするためのフィルタを順次適用して、前記サブセット内のどのソース・ネットワークが前記メッセージを送信しているかを判定するステップをさらに含む、請求項1に記載の方法。
  4. 前記1つの宛先位置が、サービス妨害攻撃の一部として、前記サブセット内のソース・ネットワークから多くのメッセージを受信している、請求項1に記載の方法。
  5. 前記判定ステップが、
    前記多数のソース・ネットワークのそれぞれから前記複数の宛先位置のそれぞれへのルーティング・パスを示す情報をルータから収集するステップ
    を含む、請求項1に記載の方法。
  6. 前記判定ステップが、
    前記多数のソース・ネットワークのそれぞれから前記複数の宛先位置のそれぞれへのホップ数を前記ルーティング・パスから決定するステップ
    をさらに含む、請求項5に記載の方法。
  7. 多数のソース・ネットワークのサブセットを識別するためのシステムであって、前記サブセットが、同じIPアドレスを有する複数の宛先位置のうちの1つにメッセージを送信した1つまたは複数のソース・ネットワークを含み、前記システムが、
    前記多数のソース・ネットワークのそれぞれについて、前記それぞれのソース・ネットワークから前記1つの宛先位置への介在ホップ数の方が、前記それぞれのソース・ネットワークから前記複数の宛先位置のうちの他の宛先位置への介在ホップ数より少ないかどうかを判定するための手段と、
    前記それぞれのソース・ネットワークから前記1つの宛先位置への介在ホップ数の方が、前記それぞれのソース・ネットワークから前記複数の宛先位置のうちの他の宛先位置への介在ホップ数より少ないという判定に応答して、前記それぞれのソース・ネットワークを前記サブセットに含まれるものとして識別し、前記それぞれのソース・ネットワークから前記1つの宛先位置への介在ホップ数の方が、前記それぞれのソース・ネットワークから前記複数の宛先位置のうちの他の宛先位置への介在ホップ数より少なくないという判定に応答して、前記それぞれのソース・ネットワークを前記サブセットに含まれるものとして識別しないための手段と、
    を含むシステム。
  8. 前記サブセット内の前記ソース・ネットワークのうちの1つが前記1つの宛先位置に前記メッセージを送信しており、前記メッセージが悪意あるものである、請求項7に記載のシステム。
  9. 1つまたは複数のソース・ネットワークが前記1つの宛先位置にメッセージを送信し続けており、前記サブセット内のそれぞれのソース・ネットワークからのメッセージをブロックするためのフィルタを順次適用して、前記サブセット内のどのソース・ネットワークが前記メッセージを送信しているかを判定するための手段をさらに含む、請求項7に記載のシステム。
  10. 前記1つの宛先位置が、サービス妨害攻撃の一部として、前記サブセット内のソース・ネットワークから多くのメッセージを受信している、請求項7に記載のシステム。
  11. 前記判定手段が、
    前記多数のソース・ネットワークのそれぞれから前記複数の宛先位置のそれぞれへのルーティング・パスを示す情報をルータから収集するための手段
    を含む、請求項7に記載のシステム。
  12. 前記判定手段が、
    前記多数のソース・ネットワークのそれぞれから前記複数の宛先位置のそれぞれへのホップ数を前記ルーティング・パスから決定するための手段
    をさらに含む、請求項11に記載のシステム。
  13. 多数のソース・ネットワークのサブセットを識別するためのコンピュータ・プログラムであって、前記サブセットが、同じIPアドレスを有する複数の宛先位置のうちの1つにメッセージを送信した1つまたは複数のソース・ネットワークを含み、前記コンピュータ・プログラムが、
    前記多数のソース・ネットワークのそれぞれについて、前記それぞれのソース・ネットワークから前記1つの宛先位置への介在ホップ数の方が、前記それぞれのソース・ネットワークから前記複数の宛先位置のうちの他の宛先位置への介在ホップ数より少ないかどうかを判定するための第1のプログラム命令と、
    前記それぞれのソース・ネットワークから前記1つの宛先位置への介在ホップ数の方が、前記それぞれのソース・ネットワークから前記複数の宛先位置のうちの他の宛先位置への介在ホップ数より少ないという判定に応答して、前記それぞれのソース・ネットワークを前記サブセットに含まれるものとして識別し、前記それぞれのソース・ネットワークから前記1つの宛先位置への介在ホップ数の方が、前記それぞれのソース・ネットワークから前記複数の宛先位置のうちの他の宛先位置への介在ホップ数より少なくないという判定に応答して、前記それぞれのソース・ネットワークを前記サブセットに含まれるものとして識別しないための第2のプログラム命令と、
    を含み、
    前記第1および第2のプログラム命令がコンピュータによって実行される、コンピュータ・プログラム。
  14. 前記サブセット内の前記ソース・ネットワークのうちの1つが前記1つの宛先位置に前記メッセージを送信しており、前記メッセージが悪意あるものである、請求項12に記載のコンピュータ・プログラム。
  15. 1つまたは複数のソース・ネットワークが前記1つの宛先位置にメッセージを送信し続けており、前記サブセット内のそれぞれのソース・ネットワークからのメッセージをブロックするためのフィルタを順次適用して、前記サブセット内のどのソース・ネットワークが前記メッセージを送信しているかを判定するための第3のプログラム命令であって、コンピュータによって実行される第3のプログラム命令をさらに含む、請求項12に記載のコンピュータ・プログラム。
  16. 前記1つの宛先位置が、サービス妨害攻撃の一部として、前記サブセット内のソース・ネットワークから多くのメッセージを受信している、請求項12に記載のコンピュータ・プログラム。
  17. 前記第1のプログラム命令が、
    前記多数のソース・ネットワークのそれぞれから前記複数の宛先位置のそれぞれへのルーティング・パスを示す情報をルータから収集するための第4のプログラム命令であって、コンピュータによって実行される第4のプログラム命令
    を含む、請求項12に記載のコンピュータ・プログラム。
  18. 前記第1のプログラム命令が、
    前記多数のソース・ネットワークのそれぞれから前記複数の宛先位置のそれぞれへのホップ数を前記ルータ・パスから決定するための第5のプログラム命令であって、コンピュータによって実行される第5のプログラム命令
    をさらに含む、請求項17に記載のコンピュータ・プログラム。
JP2006242153A 2005-09-08 2006-09-06 悪意あるネットワーク・メッセージのソースを識別するためのシステム、方法、およびプログラム Expired - Fee Related JP4808573B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/221,619 US9191396B2 (en) 2005-09-08 2005-09-08 Identifying source of malicious network messages
US11/221619 2005-09-08

Publications (2)

Publication Number Publication Date
JP2007074734A true JP2007074734A (ja) 2007-03-22
JP4808573B2 JP4808573B2 (ja) 2011-11-02

Family

ID=37859201

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006242153A Expired - Fee Related JP4808573B2 (ja) 2005-09-08 2006-09-06 悪意あるネットワーク・メッセージのソースを識別するためのシステム、方法、およびプログラム

Country Status (3)

Country Link
US (2) US9191396B2 (ja)
JP (1) JP4808573B2 (ja)
CN (1) CN100531061C (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9191396B2 (en) 2005-09-08 2015-11-17 International Business Machines Corporation Identifying source of malicious network messages
US7881199B2 (en) * 2006-01-04 2011-02-01 Alcatel Lucent System and method for prioritization of traffic through internet access network
DE102006018281B4 (de) * 2006-04-20 2017-12-28 Merten Gmbh Verfahren zum Installieren eines Funksystems in einem Gebäude
JP5158369B2 (ja) * 2006-05-09 2013-03-06 日本電気株式会社 通信システム、ノード、端末、通信方法、およびプログラム
ES2605371T3 (es) * 2007-03-15 2017-03-14 Auspex Pharmaceuticals, Inc. D9-Venlafaxina deuterada
US8982887B2 (en) * 2007-05-18 2015-03-17 International Business Machines Corporation System, method and program for making routing decisions
JP4827972B2 (ja) * 2007-09-28 2011-11-30 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US8943200B2 (en) 2008-08-05 2015-01-27 At&T Intellectual Property I, L.P. Method and apparatus for reducing unwanted traffic between peer networks
CN102111394B (zh) * 2009-12-28 2015-03-11 华为数字技术(成都)有限公司 网络攻击防护方法、设备及系统
JP5938139B2 (ja) * 2012-03-20 2016-06-22 レイセオン カンパニー 通信ネットワークのデータパケットのルーティング
WO2015145508A1 (ja) * 2014-03-27 2015-10-01 日本電気株式会社 通信端末
US9537789B2 (en) 2014-10-31 2017-01-03 Raytheon Company Resource allocating in a network
CA2982827A1 (en) 2015-04-17 2016-10-20 Level 3 Communications, Llc Illicit route viewing system and method of operation
US10326794B2 (en) * 2016-12-21 2019-06-18 Verisign, Inc. Anycast-based spoofed traffic detection and mitigation
US10796316B2 (en) * 2017-10-12 2020-10-06 Oath Inc. Method and system for identifying fraudulent publisher networks
CN108959914A (zh) * 2018-07-18 2018-12-07 四川师范大学 基于云安全的恶意软件自动追踪方法
US11016793B2 (en) * 2018-11-26 2021-05-25 Red Hat, Inc. Filtering based containerized virtual machine networking

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6185619B1 (en) * 1996-12-09 2001-02-06 Genuity Inc. Method and apparatus for balancing the process load on network servers according to network and serve based policies
US6735702B1 (en) * 1999-08-31 2004-05-11 Intel Corporation Method and system for diagnosing network intrusion
WO2004051946A1 (ja) * 2002-12-02 2004-06-17 Fujitsu Limited 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム
US6820133B1 (en) * 2000-02-07 2004-11-16 Netli, Inc. System and method for high-performance delivery of web content using high-performance communications protocol between the first and second specialized intermediate nodes to optimize a measure of communications performance between the source and the destination
US20050135274A1 (en) * 2003-12-19 2005-06-23 Telefonaktiebolaget Lm Ericsson (Publ) Centralized link-scope configuration of an internet protocol (IP) network

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3603524B2 (ja) * 1997-02-05 2004-12-22 株式会社日立製作所 ネットワーキング方法
US6131123A (en) * 1998-05-14 2000-10-10 Sun Microsystems Inc. Efficient message distribution to subsets of large computer networks using multicast for near nodes and unicast for far nodes
US6646989B1 (en) * 1998-06-29 2003-11-11 Lucent Technologies Inc. Hop-by-hop routing with node-dependent topology information
US6061331A (en) 1998-07-28 2000-05-09 Gte Laboratories Incorporated Method and apparatus for estimating source-destination traffic in a packet-switched communications network
US6611874B1 (en) * 1998-09-16 2003-08-26 International Business Machines Corporation Method for improving routing distribution within an internet and system for implementing said method
US6725047B1 (en) * 1999-06-09 2004-04-20 Tantivy Communications, Inc. Floating IP address for roaming internet connected subscriber units
US7065042B1 (en) * 2000-08-15 2006-06-20 Nortel Networks Limited Aggregating filters
US7302705B1 (en) * 2000-08-30 2007-11-27 International Business Machines Corporation Method and apparatus for tracing a denial-of-service attack back to its source
US7539664B2 (en) 2001-03-26 2009-05-26 International Business Machines Corporation Method and system for operating a rating server based on usage and download patterns within a peer-to-peer network
US7200120B1 (en) * 2001-05-21 2007-04-03 At&T Corp. Packet-switched network topology tracking method and system
US7360245B1 (en) * 2001-07-18 2008-04-15 Novell, Inc. Method and system for filtering spoofed packets in a network
US7007302B1 (en) * 2001-08-31 2006-02-28 Mcafee, Inc. Efficient management and blocking of malicious code and hacking attempts in a network environment
US20030084321A1 (en) * 2001-10-31 2003-05-01 Tarquini Richard Paul Node and mobile device for a mobile telecommunications network providing intrusion detection
US6791958B2 (en) * 2002-02-06 2004-09-14 Motorola, Inc. Method of routing control information and bearer traffic between a wireless communications device and infrastructure equipment
US7254633B2 (en) 2002-02-07 2007-08-07 University Of Massachusetts Amherst Probabilistic packet marking
JP2003258854A (ja) * 2002-02-27 2003-09-12 Toshiba Corp ルータ装置及びインターネットサービスプロバイダ選択方法
US20030188189A1 (en) * 2002-03-27 2003-10-02 Desai Anish P. Multi-level and multi-platform intrusion detection and response system
JP2003333092A (ja) 2002-05-14 2003-11-21 Mitsubishi Electric Corp ネットワークシステム、攻撃パケット追跡方法および攻撃パケット防御方法
US7529943B1 (en) * 2003-04-16 2009-05-05 Juniper Networks, Inc. Systems and methods for end-to-end resource reservation authentication
US7409712B1 (en) * 2003-07-16 2008-08-05 Cisco Technology, Inc. Methods and apparatus for network message traffic redirection
US7376087B2 (en) * 2003-08-13 2008-05-20 Tropos Networks, Inc. Method and apparatus for monitoring and displaying routing metrics of a network
US7287278B2 (en) * 2003-08-29 2007-10-23 Trend Micro, Inc. Innoculation of computing devices against a selected computer virus
US7530112B2 (en) * 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
US7593988B2 (en) * 2003-10-23 2009-09-22 Microsoft Corporation Systems and methods for multiparty session invite
US7487541B2 (en) * 2003-12-10 2009-02-03 Alcatel Lucent Flow-based method for tracking back single packets
US7676595B2 (en) * 2003-12-29 2010-03-09 Intel Corporation Anycast addressing for internet protocol version six
US7814546B1 (en) * 2004-03-19 2010-10-12 Verizon Corporate Services Group, Inc. Method and system for integrated computer networking attack attribution
US7649834B2 (en) * 2004-09-15 2010-01-19 At&T Intellectual Property Ii, L.P. Method and apparatus for determining neighboring routing elements and rerouting traffic in a computer network
US7725708B2 (en) * 2004-10-07 2010-05-25 Genband Inc. Methods and systems for automatic denial of service protection in an IP device
US7990967B2 (en) * 2005-01-06 2011-08-02 Rockwell Automation Technologies, Inc. Firewall method and apparatus for industrial systems
US7676217B2 (en) * 2005-01-31 2010-03-09 Theta Networks, Inc. Method for malicious traffic recognition in IP networks with subscriber identification and notification
US7573811B2 (en) * 2005-03-28 2009-08-11 Alcatel-Lucent Usa Inc. Network transparent OSPF-TE failover
US9191396B2 (en) 2005-09-08 2015-11-17 International Business Machines Corporation Identifying source of malicious network messages

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6185619B1 (en) * 1996-12-09 2001-02-06 Genuity Inc. Method and apparatus for balancing the process load on network servers according to network and serve based policies
US6735702B1 (en) * 1999-08-31 2004-05-11 Intel Corporation Method and system for diagnosing network intrusion
US6820133B1 (en) * 2000-02-07 2004-11-16 Netli, Inc. System and method for high-performance delivery of web content using high-performance communications protocol between the first and second specialized intermediate nodes to optimize a measure of communications performance between the source and the destination
WO2004051946A1 (ja) * 2002-12-02 2004-06-17 Fujitsu Limited 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム
US20050135274A1 (en) * 2003-12-19 2005-06-23 Telefonaktiebolaget Lm Ericsson (Publ) Centralized link-scope configuration of an internet protocol (IP) network

Also Published As

Publication number Publication date
US9191396B2 (en) 2015-11-17
US20070064697A1 (en) 2007-03-22
CN1929404A (zh) 2007-03-14
US20160044053A1 (en) 2016-02-11
JP4808573B2 (ja) 2011-11-02
US9455995B2 (en) 2016-09-27
CN100531061C (zh) 2009-08-19

Similar Documents

Publication Publication Date Title
JP4808573B2 (ja) 悪意あるネットワーク・メッセージのソースを識別するためのシステム、方法、およびプログラム
Burch Tracing anonymous packets to their approximate source
Stone {CenterTrack}: An {IP} Overlay Network for Tracking {DoS} Floods
US7925766B2 (en) Method for distributed denial-of-service attack mitigation by selective black-holing in MPLS VPNS
US8661544B2 (en) Detecting botnets
US8949459B1 (en) Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers
Abliz Internet denial of service attacks and defense mechanisms
US9060019B2 (en) Out-of band IP traceback using IP packets
JP4955811B2 (ja) 構造化ピアツーピア・ネットワークにおいて悪意のあるピアを検出するためのプロクタ・ピア
US11968174B2 (en) Systems and methods for blocking spoofed traffic
US20050108415A1 (en) System and method for traffic analysis
US9654493B2 (en) Network accountability among autonomous systems
CN102263788A (zh) 一种用于防御指向多业务系统的DDoS攻击的方法与设备
US20130298220A1 (en) System and method for managing filtering information of attack traffic
US7773540B1 (en) Methods, system and apparatus preventing network and device identification
François et al. Network security through software defined networking: a survey
US8964763B2 (en) Inter-router communication method and module
US10581802B2 (en) Methods, systems, and computer readable media for advertising network security capabilities
EP4231589A1 (en) Method and system for network topology obfuscation
Chen et al. Improving network security by dynamically changing path identifiers in future Internet
JP4326423B2 (ja) 管理装置および不正アクセス防御システム
Burch Measuring an IP network in situ
Zhang et al. Internet-scale malware mitigation: combining intelligence of the control and data plane
Marechal et al. Targeted Attack through Network Fingerprinting
Al-Duwairi et al. Victim-assisted mitigation technique for TCP-based reflector DDoS attacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090427

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101201

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110125

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110513

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110705

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110809

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110817

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140826

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees