JP2008066945A - 攻撃検出システム及び攻撃検出方法 - Google Patents
攻撃検出システム及び攻撃検出方法 Download PDFInfo
- Publication number
- JP2008066945A JP2008066945A JP2006241287A JP2006241287A JP2008066945A JP 2008066945 A JP2008066945 A JP 2008066945A JP 2006241287 A JP2006241287 A JP 2006241287A JP 2006241287 A JP2006241287 A JP 2006241287A JP 2008066945 A JP2008066945 A JP 2008066945A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- address
- attack
- destination
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】IPS202は、内部網200と外部網100との間で授受される通信パケットを検査して特定の条件に合致する特定パケットを検出する。ここで、内部網200から送られてきた特定パケットを検出したときには、該特定パケットの送信元を検出する依頼を含んでおり仮想サーバ300のアドレス(仮想アドレス)を宛先にした検出依頼メッセージを作成してSLB201へ送信する。RIP検出装置303は、SLB201によって宛先が仮想アドレスから特定パケットの送信元であるサーバ(301a若しくは301b)の実アドレスへと書き換えられた検出依頼メッセージを受け取ったときに、該検出依頼メッセージに宛先として示されている実アドレスを抽出する。
【選択図】図1
Description
組織体によって使用されているITシステムを守るための代表的な装置であるファイアウォールは、組織外の通信網(外部網)と組織内の通信網(内部網)との接続点に設置して、外部網からの接続を許可するサービス(ポート)を制限することで、不正アクセスから内部網を防御するものである。しかし、悪意のあるコードが、接続を許可しているサービスに対してのアクセスに埋め込まれている場合には、このコードをファイアウォールが検出できないという問題がある。IPSは、このような悪意のあるコードを検出して内部網を防御する機能を有している装置である。
SLBは、外部網上のクライアント端末から内部網に設置されているサーバへの接続要求を一元的に管理して、同等の機能を持つ内部網上の複数のサーバに要求を転送する装置である。例えば、ユーザからのアクセスが一台のWebサーバの処理能力に比して過大であると、Webサーバは過負荷となってユーザへの応答速度が遅くなってしまう。SLBは、ユーザからの要求を分散して複数のなるべく多くのサーバに送信することで、各サーバが快適な応答速度を保てるようにする。また、SLBは、ダウンしたサーバに対しては接続要求を割り振らないようにする機能を有しているので、SLBを使用することで、Webサーバに対する耐故障性を向上させるという効果も得られる。
図16において、外部網100に存在するクライアント端末101a、101b、…のうちのクライアント端末101aが、http://www.a.comへリクエストを発行した場合を想定する。なお、クライアント端末101aのIPアドレスは、172.16.10.55であるとする。
次に、図16に構成を示した通信網において、前述したIPSを設置して外部網100からの不正アクセスより内部網200を防御することを考える。このためには、図17に示すように、IPS202は、外部網100と内部網200との境界、すなわち、外部網100とSLB201との間に通常設置される。また、図17には図示していないが、内部網200の防御のために、外部網100とIPS202との間にファイアウォールを設置する場合もある。
本発明は上述した問題に鑑みてなされたものであり、その解決しようとする課題は、通信網における内部網から外部網への攻撃の検出を低廉に実現することである。
また、前述した本発明に係る攻撃検出システムにおいて、検出依頼メッセージ作成部は、検出依頼メッセージとして、TCPプロトコルにおけるRSTパケットであって特定パケットの伝送に使用されているコネクションを強制切断させるものであり、且つ該特定パケットの送信元を検出する依頼を示す情報をデータグラムとして含んでいるものを作成するように構成することもできる。
なお、この構成において、アドレス変換装置によって宛先が仮想アドレスから特定パケットの送信元であるサーバ装置の実アドレスへと書き換えられた検出依頼メッセージであるRSTパケットを宛先抽出部が受け取ったときに、該RSTパケットからデータグラムのみを削除したものを該実アドレスで特定されるサーバ装置へ宛てて送信する強制切断メッセージ送信部を更に有するように構成することもできる。
なお、この構成において、組織外通信網に存在する端末装置から送られてきたTCPプロトコルにおけるRSTパケットをパケット検査部が検出したときに、該RSTパケットを、該RSTパケットに含まれていたデータグラムのみを自身のデータグラムとして含んでおり且つ送信元及び宛先を該RSTパケットと同一にしたTCPパケットと、該RSTパケットから該データグラムのみを削除したRSTパケットとに分離してアドレス変換装置へ送信するRSTパケット分離部を更に有するように構成することもできる。
また、前述した本発明に係る攻撃検出システムにおいて、パケット検査部は、該パケット検査部で検出された特定パケットに関する情報である特定パケット情報を所定の管理用端末装置へ送信する特定パケット情報送信部を有しており、宛先抽出部は、該宛先抽出部で抽出された実アドレスに関する情報を管理用端末装置へ送信する実アドレス情報送信部を有している、ように構成することもできる。
なお、この構成において、検出依頼メッセージには、特定パケット情報についての識別情報が含まれており、実アドレス情報送信部は、アドレス変換装置から受け取った検出依頼メッセージに含まれていた識別情報を実アドレスに関する情報に付加して送信する、ように構成することもできる。
また、この構成において、検出依頼メッセージには、管理用端末装置を特定するアドレス情報が含まれており、実アドレス情報送信部は、アドレス変換装置から受け取った検出依頼メッセージに含まれていたアドレス情報を宛先として実アドレスに関する情報を送信する、ように構成することもできる。
なお、上述した本発明に係る攻撃検出システムにおいて使用されている攻撃検出方法も本発明に係るものであり、本発明に係る攻撃検出システムと同様の作用・効果を奏するので、前述した課題が解決される。
まず図1について説明する。同図は、本発明を実施する攻撃検出システムを含む通信網の構成例を示している。同図に示す構成においては、IPS202とRIP検出装置303とからなる攻撃検出システムにより本発明が実施される。なお、この構成では、RIP検出装置303を他の装置から独立したものとしているが、この代わりに、RIP検出装置303によって提供される全ての機能をSLB201が提供するように構成して、IPS202とSLB201とからなる攻撃検出システムにより本発明を実施することも可能である。また、本発明の実施においては、必要に応じて管理者用端末203が使用される。
IPS202は、内部網200と外部網100との間で授受される通信パケットを検査して、特定の条件に合致するもの(特定パケット)を検出する。ここで、特定パケットとして前述した攻撃パケットが検出された場合には、この攻撃パケットの検出及び廃棄を行うと共に、攻撃があった旨の通知を管理者用端末202へ行う。特に、IPS202は、仮想サーバ300(すなわち、サーバ301a若しくは301b)から外部網100のクライアント端末101a、101b、…への攻撃パケットを検出した場合には、宛先IPアドレスを「VIP」にした(すなわち、仮想サーバ300宛ての)RSTパケットにデータグラムとしてRIP検出依頼を含ませたものを作成してSLB201へ送信する。このRIP検出依頼付きのRSTパケット(このRSTパケットを「検出依頼メッセージ」とも称することとする)は、IPS202で検出された攻撃パケットの送信元のサーバの検出と、この攻撃パケットに対応するTCPコネクションの強制的な切断とを、RIP検出装置303に依頼するためのものであり、本発明特有の検出依頼メッセージである。更に、IPS202は、攻撃パケットの解析によって判明した攻撃先のIPアドレス(攻撃パケットの宛先IPアドレス)と攻撃の内容を示す情報(攻撃種別)とを含む通信パケット(図1における「攻撃通知A」)を管理者用端末203へ送信する。
図2に示すように、このIPパケットには、データグラムとしてRIP検出依頼の情報が含まれており、既知であるIPヘッダ及びTCPヘッダがこの情報に付されて構成されている。例えば、IPS202が発行するRIP検出依頼付きのRSTパケット(検出依頼メッセージ)には、攻撃パケットの宛先(すなわち攻撃先)のIPアドレスが送信元のIPアドレスとして、また、仮想アドレス「VIP」が宛先のIPアドレスとして、それぞれIPヘッダに格納されており、更に、TCPヘッダ中のコードビットフィールドにおけるRSTビットが“1”にセットされている。
図5及び図6に示したシステムは、管理者用端末203が不図示ではあるが、図1に示したものと同様の構成である。
この図7の処理は、SLB201から専用の通信インタフェースを介して送られてきた通信パケットを、RIP検出装置303が受信する度に開始される。
既知のTCPパケットでは、IPヘッダ及びTCPヘッダのヘッダ長はそれぞれ20オクテットである。従って、この両者のヘッダ長の和である40オクテットよりもパケットサイズが大きいTCPパケットには、データグラムとして何らかのデータを有している。ところが、図1に示した攻撃検出システムにおけるIPS202は、クライアント端末101a、101b、…から送られてきたRSTパケットに対し前述したRSTパケットの分離処理を施しているので、ここでパケットサイズが40オクテットよりも大きいと判定されるRSTパケットは、RIP検出依頼付きのRSTパケットのみである。つまり、このS102の処理は、SLB201から受け取ったRSTパケットが検出依頼メッセージであるか否かを、該RSTパケットのパケットサイズに基づいて判定する処理、すなわち検出依頼メッセージ判定処理なのである。
まず、図8に示したIPS202の機能構成について説明する。
第二通信部311は、内部網200用の通信インタフェースを備えており、内部網200に対する通信パケットの送受信の処理を行う。
・サーバ301aの実アドレス :AA.BB.CC.D1
・サーバ301bの実アドレス :AA.BB.CC.D2
・仮想サーバ300の仮想アドレス :WW.XX.YY.ZZ
・RIP検出装置303のアドレス :AA.BB.CC.E1
・クライアント端末101aのアドレス:FF.GG.HH.II
・管理者用端末203のアドレス :JJ.KK.LL.MM
・IPS202のアドレス :NN.OO.PP.QQ
以下、図10A及び図10Bに記した項番号に従って各通信パケットの授受の様子を説明する。
(2)上記(1)のパケットは、送信元IPアドレスがSLB201によって仮想サーバ300の仮想アドレスに変換された後、RIP検出装置303を通過してIPS202で受信される。
以下、図13A及び図13Bに記した項番号に従って各通信パケットの授受の様子を説明する。
(4)上記(3)のTCPパケットは、SLB201によるアドレス変換処理が施された後、RIP検出装置303で受信される。なお、ここでは、SLB201によるアドレス変換によって、このTCPパケットの宛先IPアドレスがサーバ301bの実アドレスに変換されるものとする。
(7)一方、上記(2)で分離された通信パケットのうち、データグラムが空のRSTパケットは、データグラムのみのTCPパケットに続いてSLB201で受信される。
以上のように、図1の通信網では、クライアント端末101aが送信した正常な(悪意のない)データをデータグラムとして含むRSTパケットを上述したようにして分離しているが、サーバ301bは、このRSTパケットで指示されている内容に応じた処理を適切に実行する。
なお、上記した実施の形態から次のような構成の技術的思想が導かれる。
前記組織内通信網と前記組織外通信網との間で授受される通信パケットを検査して特定の条件に合致する特定パケットを検出するパケット検査部と、
前記パケット検査部が前記組織内通信網から送られてきた前記特定パケットを検出したときに、該特定パケットの送信元を検出する依頼を含んでおり前記仮想アドレスを宛先にした検出依頼メッセージを作成して前記アドレス変換装置へ送信する検出依頼メッセージ作成部と、
前記アドレス変換装置によって宛先が前記仮想アドレスから前記特定パケットの送信元であるサーバ装置の実アドレスへと書き換えられた前記検出依頼メッセージを受け取ったときに、該検出依頼メッセージに宛先として示されている実アドレスを抽出する宛先抽出部と、
を有することを特徴とする攻撃検出システム。
前記宛先抽出部は、該宛先抽出部で抽出された実アドレスに関する情報を前記管理用端末装置へ送信する実アドレス情報送信部を有している、
ことを特徴とする付記1に記載の攻撃検出システム。
前記実アドレス情報送信部は、前記アドレス変換装置から受け取った前記検出依頼メッセージに含まれていた識別情報を実アドレスに関する情報に付加して送信する、
ことを特徴とする付記7に記載の攻撃検出システム。
前記実アドレス情報送信部は、前記アドレス変換装置から受け取った前記検出依頼メッセージに含まれていたアドレス情報を宛先として前記実アドレスに関する情報を送信する、
ことを特徴とする付記7に記載の攻撃検出システム。
前記組織内通信網と前記組織外通信網との間で授受される通信パケットを検査して特定の条件に合致する特定パケットを検出し、
前記組織内通信網から送られてきた前記特定パケットを検出したときに、該特定パケットの送信元を検出する依頼を含んでおり前記仮想アドレスを宛先にした検出依頼メッセージを作成して前記アドレス変換装置へ送信し、
前記アドレス変換装置によって宛先が前記仮想アドレスから前記特定パケットの送信元であるサーバ装置の実アドレスへと書き換えられた前記検出依頼メッセージを受け取ったときに、該検出依頼メッセージに宛先として示されている実アドレスを抽出する、
ことを特徴とする攻撃検出方法。
前記実アドレスの抽出を行ったときに、抽出された実アドレスに関する情報を前記管理用端末装置へ送信する、
ことを特徴とする付記10に記載の攻撃検出方法。
前記実アドレスに関する情報を送信するときには、前記アドレス変換装置から受け取った前記検出依頼メッセージに含まれていた識別情報を実アドレスに関する情報に付加して送信する、
ことを特徴とする付記16に記載の攻撃検出方法。
前記実アドレスに関する情報を送信するときには、前記アドレス変換装置から受け取った前記検出依頼メッセージに含まれていたアドレス情報を宛先として該実アドレスに関する情報を送信する、
ことを特徴とする付記16に記載の攻撃検出方法。
101a、101b クライアント端末
200 内部網
201 SLB(サーバ負荷分散装置)
202、302 IPS(不正侵入検出システム)
203 管理者用端末
204 管理者
211 第一通信部
212 攻撃検出機能部
213 第一受信パケット判断部
214 パケット分離部
215 第二受信パケット判断部
216 従来処理
217 攻撃検出ID付与部
218 管理者用端末IPアドレス保持部
219 RIP検出依頼作成部
220 攻撃先IPアドレス抽出部
221 攻撃通知A作成部
300 仮想サーバ
301a、301b、301c、301d サーバ
303 RIP検出装置
311 第二通信部
312 第三受信パケット判断部
313 RIP検出依頼解析部
314 攻撃元IPアドレス抽出部
315 攻撃通知B作成部
316 RIP検出依頼削除部
Claims (10)
- ある組織内の通信網に存在しており各自固有の実アドレスに加えてアドレス変換装置によって共通の仮想アドレスが割り当てられている複数のサーバ装置のうちのいずれかから該組織外の通信網に存在する端末装置への攻撃を検出する攻撃検出システムであって、
前記組織内通信網と前記組織外通信網との間で授受される通信パケットを検査して特定の条件に合致する特定パケットを検出するパケット検査部と、
前記パケット検査部が前記組織内通信網から送られてきた前記特定パケットを検出したときに、該特定パケットの送信元を検出する依頼を含んでおり前記仮想アドレスを宛先にした検出依頼メッセージを作成して前記アドレス変換装置へ送信する検出依頼メッセージ作成部と、
前記アドレス変換装置によって宛先が前記仮想アドレスから前記特定パケットの送信元であるサーバ装置の実アドレスへと書き換えられた前記検出依頼メッセージを受け取ったときに、該検出依頼メッセージに宛先として示されている実アドレスを抽出する宛先抽出部と、
を有することを特徴とする攻撃検出システム。 - 前記特定パケットの伝送に使用されているコネクションを強制切断させるメッセージを、前記宛先抽出部が抽出した実アドレスで特定されるサーバ装置へ宛てて送信する強制切断メッセージ送信部を更に有することを特徴とする請求項1に記載の攻撃検出システム。
- 前記検出依頼メッセージ作成部は、前記検出依頼メッセージとして、TCPプロトコルにおけるRSTパケットであって前記特定パケットの伝送に使用されているコネクションを強制切断させるものであり、且つ該特定パケットの送信元を検出する依頼を示す情報をデータグラムとして含んでいるものを作成することを特徴とする請求項1に記載の攻撃検出システム。
- 前記アドレス変換装置によって宛先が前記仮想アドレスから前記特定パケットの送信元であるサーバ装置の実アドレスへと書き換えられた前記検出依頼メッセージであるRSTパケットを前記宛先抽出部が受け取ったときに、該RSTパケットからデータグラムのみを削除したものを該実アドレスで特定されるサーバ装置へ宛てて送信する強制切断メッセージ送信部を更に有することを特徴とする請求項3に記載の攻撃検出システム。
- 前記組織外通信網に存在する端末装置から送られてきたTCPプロトコルにおけるRSTパケットを前記パケット検査部が検出したときに、該RSTパケットを、該RSTパケットに含まれていたデータグラムのみを自身のデータグラムとして含んでおり且つ送信元及び宛先を該RSTパケットと同一にしたTCPパケットと、該RSTパケットから該データグラムのみを削除したRSTパケットとに分離して前記アドレス変換装置へ送信するRSTパケット分離部を更に有することを特徴とする請求項4に記載の攻撃検出システム。
- 前記宛先抽出部は、前記アドレス変換装置から受け取ったRSTパケットが前記検出依頼メッセージであるか否かを、該RSTパケットのパケットサイズに基づいて判定する検出依頼メッセージ判定部を有することを特徴とする請求項5に記載の攻撃検出システム。
- 前記パケット検査部は、該パケット検査部で検出された特定パケットに関する情報である特定パケット情報を所定の管理用端末装置へ送信する特定パケット情報送信部を有しており、
前記宛先抽出部は、該宛先抽出部で抽出された実アドレスに関する情報を前記管理用端末装置へ送信する実アドレス情報送信部を有している、
ことを特徴とする請求項1に記載の攻撃検出システム。 - 前記検出依頼メッセージには、前記特定パケット情報についての識別情報が含まれており、
前記実アドレス情報送信部は、前記アドレス変換装置から受け取った前記検出依頼メッセージに含まれていた識別情報を実アドレスに関する情報に付加して送信する、
ことを特徴とする請求項7に記載の攻撃検出システム。 - 前記検出依頼メッセージには、前記管理用端末装置を特定するアドレス情報が含まれており、
前記実アドレス情報送信部は、前記アドレス変換装置から受け取った前記検出依頼メッセージに含まれていたアドレス情報を宛先として前記実アドレスに関する情報を送信する、
ことを特徴とする請求項7に記載の攻撃検出システム。 - ある組織内の通信網に存在しており各自固有の実アドレスに加えてアドレス変換装置によって共通の仮想アドレスが割り当てられている複数のサーバ装置のうちのいずれかから該組織外の通信網に存在する端末装置への攻撃を検出する攻撃検出方法であって、
前記組織内通信網と前記組織外通信網との間で授受される通信パケットを検査して特定の条件に合致する特定パケットを検出し、
前記組織内通信網から送られてきた前記特定パケットを検出したときに、該特定パケットの送信元を検出する依頼を含んでおり前記仮想アドレスを宛先にした検出依頼メッセージを作成して前記アドレス変換装置へ送信し、
前記アドレス変換装置によって宛先が前記仮想アドレスから前記特定パケットの送信元であるサーバ装置の実アドレスへと書き換えられた前記検出依頼メッセージを受け取ったときに、該検出依頼メッセージに宛先として示されている実アドレスを抽出する、
ことを特徴とする攻撃検出方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006241287A JP4664257B2 (ja) | 2006-09-06 | 2006-09-06 | 攻撃検出システム及び攻撃検出方法 |
US11/700,449 US7979575B2 (en) | 2006-09-06 | 2007-01-31 | Attack detecting system and attack detecting method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006241287A JP4664257B2 (ja) | 2006-09-06 | 2006-09-06 | 攻撃検出システム及び攻撃検出方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008066945A true JP2008066945A (ja) | 2008-03-21 |
JP4664257B2 JP4664257B2 (ja) | 2011-04-06 |
Family
ID=39153324
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006241287A Expired - Fee Related JP4664257B2 (ja) | 2006-09-06 | 2006-09-06 | 攻撃検出システム及び攻撃検出方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7979575B2 (ja) |
JP (1) | JP4664257B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018500830A (ja) * | 2014-12-22 | 2018-01-11 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 攻撃データパケット処理のための方法、装置、及びシステム |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8347383B2 (en) * | 2007-09-28 | 2013-01-01 | Nippon Telegraph And Telephone Corporation | Network monitoring apparatus, network monitoring method, and network monitoring program |
US8369343B2 (en) * | 2008-06-03 | 2013-02-05 | Microsoft Corporation | Device virtualization |
JP2011015095A (ja) * | 2009-06-30 | 2011-01-20 | Fujitsu Ltd | 通信装置、アドレス設定方法およびアドレス設定プログラム |
CN102045307B (zh) * | 2009-10-10 | 2014-08-13 | 中兴通讯股份有限公司 | 一种网络设备管理的方法及相应的网络系统 |
KR101109669B1 (ko) * | 2010-04-28 | 2012-02-08 | 한국전자통신연구원 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
US8891532B1 (en) * | 2011-05-17 | 2014-11-18 | Hitachi Data Systems Engineering UK Limited | System and method for conveying the reason for TCP reset in machine-readable form |
CN103051677A (zh) * | 2012-11-30 | 2013-04-17 | 中国电信股份有限公司云计算分公司 | 网络服务能力的提供方法及设备 |
US10165004B1 (en) | 2015-03-18 | 2018-12-25 | Cequence Security, Inc. | Passive detection of forged web browsers |
CN104811383B (zh) * | 2015-03-19 | 2018-01-09 | 新华三技术有限公司 | 一种报文转发方法和设备 |
US11418520B2 (en) * | 2015-06-15 | 2022-08-16 | Cequence Security, Inc. | Passive security analysis with inline active security device |
US9787641B2 (en) | 2015-06-30 | 2017-10-10 | Nicira, Inc. | Firewall rule management |
US11018970B2 (en) | 2016-10-31 | 2021-05-25 | Nicira, Inc. | Monitoring resource consumption for distributed services |
US10567440B2 (en) * | 2016-12-16 | 2020-02-18 | Nicira, Inc. | Providing application visibility for micro-segmentation of a network deployment |
US11258681B2 (en) | 2016-12-16 | 2022-02-22 | Nicira, Inc. | Application assessment and visibility for micro-segmentation of a network deployment |
US11233809B2 (en) * | 2017-03-03 | 2022-01-25 | Nippon Telegrape And Telephone Corporation | Learning device, relearning necessity determination method, and relearning necessity determination program |
US10742673B2 (en) | 2017-12-08 | 2020-08-11 | Nicira, Inc. | Tracking the dynamics of application-centric clusters in a virtualized datacenter |
US11296960B2 (en) | 2018-03-08 | 2022-04-05 | Nicira, Inc. | Monitoring distributed applications |
US11176157B2 (en) | 2019-07-23 | 2021-11-16 | Vmware, Inc. | Using keys to aggregate flows at appliance |
US11288256B2 (en) | 2019-07-23 | 2022-03-29 | Vmware, Inc. | Dynamically providing keys to host for flow aggregation |
US11743135B2 (en) | 2019-07-23 | 2023-08-29 | Vmware, Inc. | Presenting data regarding grouped flows |
US10911335B1 (en) | 2019-07-23 | 2021-02-02 | Vmware, Inc. | Anomaly detection on groups of flows |
US11340931B2 (en) | 2019-07-23 | 2022-05-24 | Vmware, Inc. | Recommendation generation based on selection of selectable elements of visual representation |
US11188570B2 (en) | 2019-07-23 | 2021-11-30 | Vmware, Inc. | Using keys to aggregate flow attributes at host |
US11349876B2 (en) | 2019-07-23 | 2022-05-31 | Vmware, Inc. | Security policy recommendation generation |
US11140090B2 (en) | 2019-07-23 | 2021-10-05 | Vmware, Inc. | Analyzing flow group attributes using configuration tags |
US11398987B2 (en) | 2019-07-23 | 2022-07-26 | Vmware, Inc. | Host-based flow aggregation |
US11436075B2 (en) | 2019-07-23 | 2022-09-06 | Vmware, Inc. | Offloading anomaly detection from server to host |
US11588854B2 (en) | 2019-12-19 | 2023-02-21 | Vmware, Inc. | User interface for defining security groups |
US11321213B2 (en) | 2020-01-16 | 2022-05-03 | Vmware, Inc. | Correlation key used to correlate flow and con text data |
US11991187B2 (en) | 2021-01-22 | 2024-05-21 | VMware LLC | Security threat detection based on network flow analysis |
US11785032B2 (en) | 2021-01-22 | 2023-10-10 | Vmware, Inc. | Security threat detection based on network flow analysis |
US11997120B2 (en) | 2021-07-09 | 2024-05-28 | VMware LLC | Detecting threats to datacenter based on analysis of anomalous events |
US11831667B2 (en) | 2021-07-09 | 2023-11-28 | Vmware, Inc. | Identification of time-ordered sets of connections to identify threats to a datacenter |
US11792151B2 (en) | 2021-10-21 | 2023-10-17 | Vmware, Inc. | Detection of threats based on responses to name resolution requests |
US11683286B2 (en) | 2021-11-18 | 2023-06-20 | Cisco Technology, Inc. | Anonymizing server-side addresses |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003348113A (ja) * | 2002-05-22 | 2003-12-05 | Takeshi Hosohara | スイッチおよびlan |
JP2004282364A (ja) * | 2003-03-14 | 2004-10-07 | Ntt Data Corp | パケット追跡方法およびパケット追跡プログラム |
JP2005204027A (ja) * | 2004-01-15 | 2005-07-28 | Nippon Telegr & Teleph Corp <Ntt> | パケット転送装置、パケット転送方法、プログラムおよび記録媒体 |
JP2006217039A (ja) * | 2005-02-01 | 2006-08-17 | Canon Inc | ネットワーク中継装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
US7664963B2 (en) * | 2002-11-04 | 2010-02-16 | Riverbed Technology, Inc. | Data collectors in connection-based intrusion detection |
DE102004016582A1 (de) | 2004-03-31 | 2005-10-27 | Nec Europe Ltd. | Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz |
EP1798890B1 (en) * | 2005-12-15 | 2009-03-18 | Nokia Corporation | Methods, device and computer program product for maintaining mapping relationship |
-
2006
- 2006-09-06 JP JP2006241287A patent/JP4664257B2/ja not_active Expired - Fee Related
-
2007
- 2007-01-31 US US11/700,449 patent/US7979575B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003348113A (ja) * | 2002-05-22 | 2003-12-05 | Takeshi Hosohara | スイッチおよびlan |
JP2004282364A (ja) * | 2003-03-14 | 2004-10-07 | Ntt Data Corp | パケット追跡方法およびパケット追跡プログラム |
JP2005204027A (ja) * | 2004-01-15 | 2005-07-28 | Nippon Telegr & Teleph Corp <Ntt> | パケット転送装置、パケット転送方法、プログラムおよび記録媒体 |
JP2006217039A (ja) * | 2005-02-01 | 2006-08-17 | Canon Inc | ネットワーク中継装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018500830A (ja) * | 2014-12-22 | 2018-01-11 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 攻撃データパケット処理のための方法、装置、及びシステム |
US10742682B2 (en) | 2014-12-22 | 2020-08-11 | Huawei Technologies Co., Ltd. | Attack data packet processing method, apparatus, and system |
Also Published As
Publication number | Publication date |
---|---|
US7979575B2 (en) | 2011-07-12 |
US20080059596A1 (en) | 2008-03-06 |
JP4664257B2 (ja) | 2011-04-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4664257B2 (ja) | 攻撃検出システム及び攻撃検出方法 | |
US10033696B1 (en) | Identifying applications for intrusion detection systems | |
US9634943B2 (en) | Transparent provisioning of services over a network | |
EP2612488B1 (en) | Detecting botnets | |
US7020783B2 (en) | Method and system for overcoming denial of service attacks | |
CN105099821B (zh) | 基于云的虚拟环境下流量监控的方法和装置 | |
JP5826920B2 (ja) | 遮断サーバを用いたスプーフィング攻撃に対する防御方法 | |
US7474655B2 (en) | Restricting communication service | |
JP4829982B2 (ja) | ピアツーピア通信の検出及び制御 | |
US20110154477A1 (en) | Dynamic content-based routing | |
IL151522A (en) | Firewall with fast filtering of information packets | |
US11005813B2 (en) | Systems and methods for modification of p0f signatures in network packets | |
KR101281160B1 (ko) | 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 | |
KR20200109875A (ko) | 유해 ip 판단 방법 | |
US20230367875A1 (en) | Method for processing traffic in protection device, and protection device | |
EP1294141A2 (en) | Method and apparatus for transferring packets in network | |
CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 | |
EP2204953A1 (en) | Method, apparatus and system for realizing dynamic correlation of control plane traffic rate | |
JP2012014437A (ja) | データ転送装置及びアクセス解析方法 | |
JP2006222662A (ja) | 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム | |
JP2006165877A (ja) | 通信システム、通信方法および通信プログラム | |
JP3917546B2 (ja) | ネットワーク攻撃防止方法、ネットワーク攻撃防止装置、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 | |
KR100520102B1 (ko) | 네트워크 유해 트래픽 방역 시스템 및 그 방법 | |
CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
JP2005117100A (ja) | 侵入検知システムおよびトラヒック集約装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090512 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101213 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101228 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110106 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140114 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |