JP2008507222A5 - - Google Patents

Download PDF

Info

Publication number
JP2008507222A5
JP2008507222A5 JP2007521949A JP2007521949A JP2008507222A5 JP 2008507222 A5 JP2008507222 A5 JP 2008507222A5 JP 2007521949 A JP2007521949 A JP 2007521949A JP 2007521949 A JP2007521949 A JP 2007521949A JP 2008507222 A5 JP2008507222 A5 JP 2008507222A5
Authority
JP
Japan
Prior art keywords
leaf
packet
packets
slot
tcp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007521949A
Other languages
English (en)
Other versions
JP4743901B2 (ja
JP2008507222A (ja
Filing date
Publication date
Priority claimed from US10/896,733 external-priority patent/US7957372B2/en
Priority claimed from US10/896,680 external-priority patent/US7669240B2/en
Application filed filed Critical
Priority claimed from PCT/EP2005/053518 external-priority patent/WO2006008307A1/en
Publication of JP2008507222A publication Critical patent/JP2008507222A/ja
Publication of JP2008507222A5 publication Critical patent/JP2008507222A5/ja
Application granted granted Critical
Publication of JP4743901B2 publication Critical patent/JP4743901B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Claims (19)

  1. ネットワーク上の不正なスキャンニングを検出するための方法であって、
    (a)ネットワーク・デバイス内で受信したトラフィックを監視するステップと、
    (b)前記トラフィック内のパケットの予め定めたサブセットを検出するステップと、
    (c)予め定めた統計的特徴を有する疑いのあるパケットを検出するために、パケットの前記予め定めたサブセットを分析するステップとを含む方法。
  2. 前記予め定めた統計的特徴を有するパケットの検出を示すアラームを鳴動するステップをさらに含む、請求項1に記載の方法。
  3. パケットの前記サブセットが、TCP/IPセットからのTCPパケット内にセット(SYN,RST,FIN)されているTCPヘッダの3つのビットのうちの少なくとも2つを含む、請求項1または2に記載の方法。
  4. 前記ネットワークと結合しているデバイス内にルックアップ構造を提供するステップであって、前記ルックアップ構造が、ツリー構造と動作可能に結合している少なくとも1つのスロットを含む複数のスロットに分割されている第1の部分を有するサーチ・ツリーと論理的に等価であるステップと、
    前記デバイス内でネットワーク・トラフィックを受信するステップと、
    予め定めた統計的特徴を有するTCP/IPパケットを検出するために、プログラムされたCPUにより前記ネットワーク・トラフィックを分析するステップと、
    このように検出した各TCP/IPパケットに対して、ソース・アドレス(SA)および宛先アドレス(DA)からハッシュした値を生成するために、前記プログラムされたCPUを使用するステップと、
    スロット内に索引するために前記ハッシュした値を使用するステップと、
    ポインタを探して前記スロットをチェックするステップと、
    ポインタを発見できなかった場合に、新しいリーフの識別子であるSAおよびDAを有する前記リーフを挿入するステップと、
    前記リーフ内に、前記各TCP/IPパケット内に含まれている宛先ポート(DP)に対するアドレスを格納するステップと、
    前記スロット内に、前記リーフをポイントしているポインタを生成するステップとをさらに含む、前記請求項の何れか1項に記載の方法。
  5. ポインタが前記スロット内に位置している場合に、リーフにアクセスするために前記ポインタを使用するステップと、
    その中に記録している宛先ポート(DP)のアドレスを検出するために、前記リーフの内容をチェックするステップと、
    このように検出したアドレスの数をしきい値と比較するステップと、
    アドレスの数が前記しきい値以上である場合に、第2の階層ルックアップを行うステップとをさらに含む、請求項4に記載の方法。
  6. 前記リーフ内のアドレスの数が前記しきい値より小さい場合に、前記リーフにDAを追加するステップをさらに含む、請求項5に記載の方法。
  7. ネットワーク上のスキャンニングを検出するためのシステムであって、
    メモリと、
    前記メモリ内で動作可能に構成されているルックアップ・データ構造と、
    予め定めた統計的特徴を有する予め定めたパケットを検出し、疑いのあるパケットを検出する目的でパケットの前記予め定めたサブセットを分析するために、予め定めたパケットを前記ルックアップ・データ構造と関連付ける一組のアルゴリズムを実行するプロセッサとを含むシステム。
  8. 前記予め定めた統計的特徴を有するパケットの検出を知らせるアラームを鳴動するための手段をさらに備える、請求項7に記載のシステム。
  9. パケットの前記サブセットが、TCP/IPセットからのTCPパケット内にセット(SYN,RST,FIN)されているTCPヘッダの3つのビットのうちの少なくとも2つを含む、請求項7または8に記載のシステム。
  10. 前記ネットワークと結合しているデバイス内のルックアップ構造であって、ツリー構造と動作可能に結合している少なくとも1つのスロットを含む複数のスロットに分割されている第1の部分を有するサーチ・ツリーと論理的に等価であるルックアップ構造と、
    前記デバイス内でネットワーク・トラフィックを受信するための手段と、
    予め定めた統計的特徴を有するTCP/IPパケットを検出するために、プログラムされたCPUで前記ネットワーク・トラフィックを分析するための手段と、
    前記プログラムされたCPUを使用して、このように検出した各TCP/IPパケットに対して、ソース・アドレス(SA)および宛先アドレス(DA)からハッシュした値を生成するための手段と、
    前記ハッシュした値を使用してスロット内に索引するための手段と、
    ポインタを探して前記スロットをチェックするための手段と、
    ポインタを発見できなかった場合に、新しいリーフの識別子であるSAおよびDAを有する前記リーフを挿入するための手段と、
    前記リーフ内に、前記各TCP/IPパケット内に含まれている宛先ポート(DP)に対するアドレスを格納するための手段と、
    前記リーフをポイントしている前記各スロット内でポインタを生成するための手段とをさらに備える、請求項7〜8の何れか1項に記載のシステム。
  11. ポインタが前記スロット内に位置している場合に、前記ポインタを使用してリーフにアクセスするための手段と、
    その中に記録している宛先ポート(DP)のアドレスを検出するために、前記リーフの内容をチェックするための手段と、
    このように検出したアドレスの数をしきい値と比較するための手段と、
    アドレスの数が前記しきい値以上である場合に、第2の階層ルックアップを行うための手段とをさらに備える、請求項10に記載のシステム。
  12. 前記リーフ内のアドレスの数が前記しきい値より小さい場合に、前記リーフにDAを追加するための手段をさらに備える、請求項11に記載のシステム。
  13. コンピュータ・ネットワーク上で有害なパケットを検出するための方法であって、
    a)受信したパケットをスキャンニングする少なくとも1つのアルゴリズムを提供するステップと、
    b)1つのソース・アドレス(SA)と、N個の宛先アドレス(DA)と、M個の宛先ポート(DP)とを含む予め定めたフォーマットを有するパケットを識別するステップとを含む方法。
  14. 許容DPのリストを提供するステップと、
    識別したパケット内のDPを許容DPの前記リストと比較するステップと、
    一致するDPを有する前記識別したパケットを廃棄するステップとをさらに含む、請求項13に記載の方法。
  15. コンピュータ・ネットワーク内で有害なコードを含むパケットを検出するためのシステムであって、
    メモリおよび少なくとも1つの処理素子とを含むネットワーク・プロセッサと、
    前記メモリ内に位置する有害なコードを含むパケットのビット・パターン類似のビット・パターンを含む少なくとも1つの規則を格納している少なくとも1つのパトリシア・ツリー配置を含むデータ構造と、
    前記少なくとも1つの処理素子上に展開していて、実行した場合に、前記処理素子に、予め定めたパケット内の予め定めたフィールドからキーを生成させ、1つのSA(ソース・アドレス)、1つのDP(宛先ポート)および多くのDA(宛先アドレス)を有するパケットを識別するために、前記キーを前記規則と関連付けるコンピュータ・プログラムとを含むシステム。
  16. 前記処理素子が、直接テーブル(DT)のスロット内に索引するために、予め定めたパケットのハッシュしたSAおよびDPを使用する、請求項15に記載のシステム。
  17. 前記スロットがエントリを有さない場合に、前記プロセッサが前記スロット内にポインタを挿入するために第2のプログラムを実行する、請求項16に記載のシステム。
  18. 前記スロットが、リーフSA、DPを、予め定めたパケット内のSA、DPと比較する1つのリーフをポイントしている情報を含み、SA、DP上で一致が起こった場合に、前記リーフ内のDAが前記パケット内のDAと比較され、一致しない場合には、前記パケットDAが前記リーフ内のDAの許容DPのリストに追加される、請求項16に記載のシステム。
  19. コンピュータ・プログラムであって、請求項1−6、13および14の何れか1項に記載の方法のステップをコンピュータに実行させるためのコンピュータ・プログラム。
JP2007521949A 2004-07-22 2005-07-20 ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム Expired - Fee Related JP4743901B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US10/896,733 US7957372B2 (en) 2004-07-22 2004-07-22 Automatically detecting distributed port scans in computer networks
US10/896,680 2004-07-22
US10/896,733 2004-07-22
US10/896,680 US7669240B2 (en) 2004-07-22 2004-07-22 Apparatus, method and program to detect and control deleterious code (virus) in computer network
PCT/EP2005/053518 WO2006008307A1 (en) 2004-07-22 2005-07-20 Method, system and computer program for detecting unauthorised scanning on a network

Publications (3)

Publication Number Publication Date
JP2008507222A JP2008507222A (ja) 2008-03-06
JP2008507222A5 true JP2008507222A5 (ja) 2008-07-24
JP4743901B2 JP4743901B2 (ja) 2011-08-10

Family

ID=35058515

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007521949A Expired - Fee Related JP4743901B2 (ja) 2004-07-22 2005-07-20 ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム

Country Status (3)

Country Link
JP (1) JP4743901B2 (ja)
TW (1) TWI364190B (ja)
WO (1) WO2006008307A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009171431A (ja) * 2008-01-18 2009-07-30 Oki Electric Ind Co Ltd トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
TWI387259B (zh) * 2008-08-01 2013-02-21 Kathy T Lin 監控網站應用程式使用情境安全性之系統、方法、監控程式產品及電腦可讀取記錄媒體
US8842590B2 (en) 2009-07-21 2014-09-23 Htc Corporation Mobile device and data connection method thereof
CN102591965B (zh) * 2011-12-30 2014-07-09 奇智软件(北京)有限公司 一种黑链检测的方法及装置
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
KR101499666B1 (ko) * 2013-08-08 2015-03-06 주식회사 시큐아이 네트워크 스캔 탐지 방법 및 장치
CN105306436B (zh) 2015-09-16 2016-08-24 广东睿江云计算股份有限公司 一种异常流量检测方法
GB2583114B (en) * 2019-04-17 2022-09-21 F Secure Corp Preventing UDP hole punching abuse

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW453072B (en) * 1999-08-18 2001-09-01 Alma Baba Technical Res Lab Co System for montoring network for cracker attacic
JP2002124996A (ja) * 2000-10-13 2002-04-26 Yoshimi Baba 高速パケット取得エンジン・セキュリティ
US20030200441A1 (en) * 2002-04-19 2003-10-23 International Business Machines Corporation Detecting randomness in computer network traffic
US7269850B2 (en) * 2002-12-31 2007-09-11 Intel Corporation Systems and methods for detecting and tracing denial of service attacks
US7356587B2 (en) * 2003-07-29 2008-04-08 International Business Machines Corporation Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram

Similar Documents

Publication Publication Date Title
US9288220B2 (en) Methods and systems for malware detection
JP2008507222A5 (ja)
Bagui et al. Using machine learning techniques to identify rare cyber‐attacks on the UNSW‐NB15 dataset
US7571477B2 (en) Real-time network attack pattern detection system for unknown network attack and method thereof
US7596810B2 (en) Apparatus and method of detecting network attack situation
US7669240B2 (en) Apparatus, method and program to detect and control deleterious code (virus) in computer network
US9602522B2 (en) Methods and systems for full pattern matching in hardware
US20140047543A1 (en) Apparatus and method for detecting http botnet based on densities of web transactions
CN101529862A (zh) 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置
Lambion et al. Malicious DNS tunneling detection in real-traffic DNS data
CN113114694A (zh) 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法
US20130246352A1 (en) System, method, and computer program product for generating a file signature based on file characteristics
JP4743901B2 (ja) ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム
US20080134331A1 (en) Method and apparatus for generating network attack signature
US10291632B2 (en) Filtering of metadata signatures
US20180083990A1 (en) Network Security Device and Application
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
KR101308085B1 (ko) 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
JP2002124996A (ja) 高速パケット取得エンジン・セキュリティ
JP2007074339A (ja) 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
Almousa et al. Identification of ransomware families by analyzing network traffic using machine learning techniques
KR100554172B1 (ko) 네트워크 보안성을 강화한 무결성 관리 시스템, 이를구비한 무결성 네트워크 시스템 및 그 방법
KR101123846B1 (ko) 트래픽 로그 저장 및 검색 방법 및 이를 이용한 방화벽 시스템
KR100951930B1 (ko) 부적절한 패킷의 분류 방법 및 장치
CN114301689B (zh) 校园网络安全防护方法、装置、计算设备及存储介质