JP2009500936A - 早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法 - Google Patents

早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法 Download PDF

Info

Publication number
JP2009500936A
JP2009500936A JP2008520026A JP2008520026A JP2009500936A JP 2009500936 A JP2009500936 A JP 2009500936A JP 2008520026 A JP2008520026 A JP 2008520026A JP 2008520026 A JP2008520026 A JP 2008520026A JP 2009500936 A JP2009500936 A JP 2009500936A
Authority
JP
Japan
Prior art keywords
traffic flow
traffic
suspicious
state
rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008520026A
Other languages
English (en)
Inventor
ロベルト、ジャン=マルク
コスク、フランソア、ジェイ.,エヌ.
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2009500936A publication Critical patent/JP2009500936A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

通信ネットワークにおける異常なトラフィックを検出する方法及びシステムは、危険及び状態のカテゴリーでトラフィックを分類し、各ノードにおける各サービスに対するこの情報を有するサービス状態テーブルを保持することに基づいている。危険カテゴリーは、各サービスに対して認識された、既知のソフトウェアの脆弱性に基づいて初期に確立される。早期通知子は、マルウェアの伝播が疑われているサービスを、さらに処理することができるようにする。状態カテゴリーは、「攻撃中状態」と「非攻撃中」状態のトラフィックを区別することができるため、各ノードにおける侵入検知システムは、「攻撃中」トラフィックのみを処理できるようになる。この方法では、侵入検知システムによって行われる処理の時間および量を大幅に減少することができる。
【選択図】 図1

Description

本発明は、通信ネットワークに関し、より詳しくは、早期通知に基づいて異常なトラフィックを検出するための方法及びシステムに関する。
インターネットのような、全世界に基盤を置いた通信ネットワークは、制限されたアクセスを有する初期の調査基盤システムから、何百万ものユーザを有する実質的に世界的なネットワークとして発展してきた。初期のネットワークプロトコルであるTCP/IPは、システムのユーザが、完全に合法的な目的のためにネットワークに接続するということに基づいて設計された。したがって、保安問題に対する特別な配慮はなされていなかった。ところが最近は、インターネットに対する悪意のある攻撃が驚くべき割合で増加している。インターネットの匿名性のため、インターネット・プロトコル(IP)は、ソースが知られることを望んでない場合には、任意の特定のデータグラム及びそれによる任意の特定のフローの実質的なソースを正確に識別することを極めて困難にしている。これらの攻撃は多様な形態で行われ、しばしば、標的にされた被害者に対するサービスを完全に中断させることになる。
破壊工作ソフト(マルウェア)(フラッディング、ワーム、ウィルス等のような、システムを損傷するために特別に設計されたソフトウェア)の伝播は、分散型ネットワークにおいて非常に破壊的であり得る。任意の特定の装備(たとえば、コンピュータ、サーバ、ルータ)上のワームまたはウィルスの影響が、非常に多くの場合に害のないものだとしても、マルウェアをできるだけ早く他の装備へ拡散させる、数万の感染した装置の累積効果は、破滅的なものとなり得る。そのような場合、ネットワークは、輻輳によって、それらのユーザへの効果的なサービスの提供を中止してしまう恐れがある。
そのような1つの攻撃は、被害者のサーバが処理することのできない膨大なトラフィックで被害者をフラッディングし、若しくは、より低いレートで、非常に効果的かつ悪意のあるパケットで被害者をフラッディングするという構想に基づいている。ネットワークユーザへのサービスを拒否させる別の方法は、ウィルスである。コンピュータウィルスは、多様な方法でネットワークを通してそれ自身を複製するプログラムまたはプログラミング・コードである。ウィルスは、DoS(サービス拒否)攻撃として見なすことができ、この場合一般的に、被害者は特別に標的にされたわけではなく、単に、不幸にもウィルスに感染したホストである。特別なウィルスによっては、サービスの妨害が相当悪化するまでにほとんど感知されないこともある。
電子メールの添付ファイルとしてあるいはネットワーク・メッセージの一部として自分自身を再伝送することにより自らを複製するウィルスが、ワームとして知られている。これらは一般的に、それらの制御できない複製がシステム・リソースを消費したり、若しくは、他のタスクを遅延させたり中止させたりするときにのみ認知される。ワームは、アプリケーション及びシステムソフトウェアにおいて既に知られているか事前に知られていないソフトウェアの脆弱性を用いることで作動し、ネットワークを介して素早く伝播される。多くの国際的な承認下で運営されているウェブサーバ、メール伝送エージェント及びログインサーバのような、信頼性のあるアプリケーションをハイジャッキングすることにより、ワームは、システム・リソースへ完全にアクセスすることができ、完全なシステム障害を発生させる。
ネットワークインフラを保護するために、マルウェアの伝播をできるだけ早く検出し、ネットワークの内部において進行中の攻撃について効果的に反応する能力が、ネットワーク運営者に求められる実際の課題となっている。これは、特に、広い分散型のネットワークに関係する。そのようなネットワークにおいて、インフラを構成するネットワーク装備(ルータ、スイッチ)は、マルウェアの伝播を制限するのに重要な役割を果たさなければならない。現在、企業では、自らのネットワーク及びシステムを保護するために階層化防御モデルを配置しているが、これには、ファイアウォール、アンチウィルス・システム、アクセス管理及び侵入検知システム(IDS)などが含まれる。防御モデルは、長年の間存在してきたにも関わらず、未だ、少ない関連コストで、かつ手間をかけずに全ての攻撃に対する完全な保護を提供するという究極の目的を達成したモデルはない。
たとえば、SP−800−31としてNIST Special Publicationウェブサイトで利用可能である、非特許文献1では、IDSの現状について記載している。この論文に記載された技術の一部は、電話通信ネットワークインフラにおけるマルウェアの伝播を検出するために特別に設計されたものである。それらは、2つの主要なカテゴリー、すなわち、フロー基盤分析とディープパケット(Deep-packet)分析とに分けることができる。フロー基盤分析は、一般的ではないパターンを検出するために、電話通信インフラ内においてトラフィックフローを分析することにより、IPパケットの悪意のある連続フローを追跡する方法を含む。これは、通常、ルータに実装された、Netflow、IPFix及びRTFMのような技術に依存する。そのような技術の一例が、リンク分析・テロ対策・プライバシーに関するワークショップ(Workshop on Link Analysis, Counter-terrorism, and Privacy, April 2004)で発行された、非特許文献2に記載されている。ディープパケット分析方法論は、既知の特徴、あるいはよく見られるパターンのうちのいずれかを検出するために各パケットを分析することにより、1つの悪意のあるIPパケットを逆追跡する方法を含んでいる。そのような技術の一例は、非特許文献3に記載されている。連続フローを追跡する方法のいくつかは、たとえば、上述したiTrace方法と同様に、単一パケットを逆追
跡することに用いることもできる。しかしながら、その所要コストが非常に莫大である。
これまでに利用可能だったソリューションは、DoS攻撃を十分早くに検出することも、また止めることもできなかったにもかかわらず、非常に高コストである。現在のIDSは、多数の構成要素、すなわち、ルータ、ファイアウォール、侵入/異常検出システムに基づいているという事実も、応答性に影響を与える。危険状況において、これらのシステムは、通信することに、また、要求された対応策を調整することに困難を有するようになる恐れもある。ハイエンド・ルータを通過するすべてのパケットのモニタリング及び分析は、現在の技術ではパケットを遅延及び損失させずに行うことは不可能であり、各IDSの効率性に影響を与える。ハイエンド・ルータを通過するすべてのパケットをモニタリングして分析することは、特殊なハードウェアまたはルータと連結された追加の装備を必要とし、これは、インフラの複雑性及びコストの増加に繋がる。たとえ、そうするとしても、依然としてこれは有効性の問題を有し得る。
さらに、通常のインライン・侵入防止システム(IPS)は、ネットワークにおける悪意のある活動を検出して防止するため、特徴及びフローを測定することに依存しており、したがって、それらの能力は、ゼロデイ・ワーム(zero-day worm)を防止するのに限界を有する。また、それらの検出アルゴリズムが、統計的な観察(たとえば、フローの帯域幅、ホスト当たりの活動ポートの個数など)に基づく場合、IPSシステムがワーム防止を開始できるまでに多少時間がかかるということもあり得る。この時間の空白により、企業には、ワームの拡散に対する責任が負荷される可能性がある。また、攻撃が発生するまでは、悪意のあるソフトウェアを認識するポリシー(policy)を設定することは実行不可能であるため、特徴及び行為をモニタリングする技術は、新しいワームが初めてインターネットを介して拡散する場合には非効果的である。特徴及びポリシーは周期的に更新することができるが、それはワームまたは他の悪意のあるソフトウェアが認知されて、研究された後のことである。特徴のモニタリング技術は、新しいワームがインターネットを介して拡散する場合には非効果的である。また、「良い」及び「悪い」コードの識別または行為を区別することは、非常に難しい。これは、多くの防止システムの目的を、それらを保護することではなく事象を検出することだけに限定する「誤検出(false positives)」を多く発生させる。
また、特徴及び行為をモニタする技術は、攻撃の開始及びその検出の間に時間間隔を許容するため、運営するアプリケーションの行為をモニタリングすることにより破壊的な行為を検出するまでに、該アプリケーションは既にコンプロマイズされ、悪意のあるコードが既に作動するようになる。この時間間隔は、攻撃されたアクセスリンク上で運営されるネットワークの脆弱性を意味する。
また、ファイアウォールは、すべてのものを止めることはできず、それらは、ある種類または形態のデータを、防御されているネットワークに通過させるように構成される。ファイアウォールを通じて許容されるサービスを用いたすべての悪意のある行動は、成功的に拡散するはずである。結果的に、ファイアウォールは、ウィルス、システム侵入、なりすまし(スプーフィング)、データ及びネットワークの破壊、また、ファイアウォールにより許容されたプロトコルでの脆弱性を用いたサービス拒否攻撃から、企業のネットワークをもはや十分に保護することができなくなるかもしれない。
Rebecca Bace及びPeter Mellによる「侵入検知システム(Intrusion Detection System)」(2001年11月付) C. Abadらによる「ネットフロー・システム及び侵入検出のためのネットワーク・ビューの間の相関関係(Correlation Between Netflow System and Network Views for Intrusion Detection)」 S. Dharmapurikarらによる「パラレル・ブルーム・フィルタを用いたディープパケットの検査(Deep Packet Inspection Using Parallel Bloom Filters)」(IEEE Micro Jan, 2004)
IPネットワークの信頼性及び安全性は、コンピュータネットワークが、エンティティ内及びエンティティ間通信ならびにトランザクションに重要な要素となるところでは、必須である。実際のIDS技術では、ハイエンド・ルータに求められる適切な性能レベルを提供していない。このような問題点を解決するために、現在、新しい技術の研究が行なわれている。これは、テレコム産業における主な課題であって、多数の部分的な解決策が、現在まで提案されている。それに伴って、設置及びメンテナンスが容易であり、ネットワークにおける悪意のある活動(たとえば、インターネットワーム)を確認して検出することができるシステムに対する要求がある。
本発明の目的は、早期通知に基づいて異常なトラフィックを検出するための方法及びシステムを提供することにある。
したがって、本発明は、IDS/IPSが装備された通信ネットワークのノードにおいて異常なトラフィックを検出する方法であって、トラフィックフローが、不審なデータトラフィックを運搬しているかどうかを確認するために、トラフィックフローにおけるデータトラフィックの重要なサブセットのみを観察することにより、ノードに入力されたトラフィックフローの状態をモニタリングするステップと、トラフィックフローの状態が不審な場合、早期通知を発生して、そのトラフィックフローを不審なトラフィックフローとして印をつけるステップと、を含む方法を提供する。
さらに詳しくは、本発明は、 侵入検知/防止システム(IDS/IPS)が装備された通信ネットワークのネットワークノードにおいて異常なトラフィックを検出する方法に関する。この方法は、a)ネットワークノードに入力されたそれぞれのトラフィックフローに対する状態を有するサービス状態テーブルを保持するステップと、b)それぞれのトラフィックフローに割り当てられた危険クラスに基づいて、「不審な」若しくは「不審ではない」としてトラフィックフローの状態を評価するステップと、c)トラフィックフローの状態を「不審ではない」状態から「不審な」状態に変更する度にサービス状態テーブルを更新して、そのトラフィックフローを不審なトラフィックフローとして印をつけるステップと、d)「攻撃中」状態または「非攻撃中」状態を識別するために、不審なトラフィックフローの状態をさらに評価するステップと、e)その不審なトラフィックフローの状態を「攻撃中」状態としてさらに更新し、その不審なトラフィックフローを攻撃中トラフィックフローとして印をつけるステップと、f)攻撃中トラフィックフローを、IDS/IPSにルーティングするステップと、を備える。
他の態様によると、本発明は、早期通知で異常なトラフィックを検出(ATDEN)するためのシステムであって、通信ノードに入力されたそれぞれのトラフィックフローに対するサービス状態を有するサービス状態テーブルを保持するサービス状態手段と、トラフィックフローの状態を評価して、トラフィックフローの状態が変化する度にサービス状態テーブルを更新するモニタと、トラフィックフローを、トラフィックフローが「不審な」状態を有する場合はモニタに、トラフィックフローが「攻撃中」状態を有する場合は侵入検知/防止システム(IDS/IPS)に、システムの出力にルーティングするトラフィック弁別手段(18)と、を備えたシステムを提供する。
上述したように、IDS技術はテレコム産業の主な課題である。本発明の方法は、有利に、トラフィック分析に対する目標化された手法及び攻撃軽減作用を利用し、それにより、ネットワークの性能を強化する。
本発明のまた別の長所は、マルウェアの検出のために処理されるトラフィックの量を相当減少して、特定のトラフィックが攻撃中という判断を、既存のシステムよりも速く行うことができるということである。既存のIDS/IPSと組み合わせる場合に、非常に多様な攻撃に対する効果的な検出能力及び反応能力が大きく増大する。
さらに、トラフィックの一部分だけが本発明によるシステムによって分析されることになるため、本発明のシステムのハードウェア及び演算時間が、以前のソリューションよりも一層効果的に用いられるようになる。
本発明の上述したような、また、さらなる目的、特徴及び長所は、添付の図面に示されているように、以下の好ましい実施形態の詳細な説明によって明確になるだろう。
本発明のシステムは、従来の侵入検知システム(IDS)または侵入防止システム(IPS)技術が装備されたノードに設置され、特に、加入者端末(CE:customer equipment)及び境界ルータアプリケーションに効果的である。しかし、いずれのルータも、他の拡張においてこの方法から利益が得られる。
本発明は、マルウェア攻撃の既知の特性を用いて「不審な」トラフィックを迅速に識別することができる、早期通知メカニズムを提案する。また、本発明のシステムは、ハイエンド・ルータへのIDS/IPS技術の統合を容易にする目的で、ネットワークノードを通過するトラフィックの一部分に対してのみ、コストのかかるIDS/IPSの作動を起こさせる。
図1は、本発明に係わる、早期通知に基づいて異常なトラフィックを検出(ATDEN)するためのシステムのブロック図を示しており、これは、参照符号5として記載されている。ATDENシステム5は、ホストノード(ルータ、CE)に入力されたそれぞれのトラフィックフロー(サービス)に対する状態を有する状態サービステーブルを保持するサービス状態ユニット14と、それぞれのトラフィックフローのサービス状態を確認し、それに応じて状態サービステーブルを更新するモニタ25と、入力されたトラフィックフローを出力に、つまり、モニタ25に、または侵入検知/防止ブロック20にルーティングするためのトラフィック弁別手段18とを備える。この弁別手段は、サービス状態に基づいてルーティングを行うものであるが、すなわち「不審な」状態を有するトラフィックは再びモニタリングを受けるようになり、「攻撃中」状態を有するトラフィックは、ブロック20において緩和処置が行われるようになる。
システム5はさらに、サービス(TCP/UDPポート)を、それぞれのトラフィックフローにより用いられたプロトコルに対して認識されたソフトウェアの脆弱性に基づいてサービスクラス別に分類する手段15を用いる。好ましくは、2つのサービスクラスが認識されるが、すなわち「危険状態」クラスと、「非危険状態」クラスである。
ユニット14のサービス状態テーブルは、対象となるポート/サービスに対するサービス情報を含み、これは、ユニット15によって提供された情報を用いて、起動の際に初期化される。テーブルには、少なくとも、ポート識別番号、トラフィックによって使用されたそれぞれのプロトコル、サービスのクラス(危険状態または非危険状態)、及び各サービスの現在の状態が含まれる。1つのポートが1つ以上のサービスをサポートする場合に、各個別サービスの状態がテーブルにリストアップされるということに注意しなければならない。そのテーブルは、勿論、サービス/ポートが攻撃中か、あるいは不審なトラフィックを運搬している各場合に対するエントリー、サービス状態のそれぞれの変更時の日付及び時間などのような、ATDENシステム5の作動中に集められた付加的な情報を含んでいてもよい。動的テーブルを用いることもできるが、その場合それはオーバーフローされる場合に自ら更新を行う。また、ハッシュ・テーブル(Hash table)をより一層精巧なシステムにおいて用いることもできる。
攻撃中トラフィックの検出は、2つの区別されたステージで行われる。第1ステージでは、モニタ25が、各サービスに対するトラフィックの重要なサブセットに対してのみ観察を行うことで、マルウェア伝播の第1の兆候を検出する。マルウェア伝播の兆候が検出された場合は、それぞれのトラフィックフローの状態は、「不審な」に更新され、そうでなければ更新されない。トラフィックフローが「不審な」状態とされた場合に、早期通知13がサービス状態ユニット14にトリガーされ、それによってトラフィック弁別手段18を制御して、「不審な」トラフィックを、そのサービスの状態をさらに評価するためにモニタ25にルーティングする。このステージ中では、トラフィックの一部分のみをモニタリングするため、早期通知13は、トラフィックフロー内のすべてのパケットをモニタリングする場合よりも速くトリガーされる。
好ましくは、モニタ25は、第1ステージにおいて、トラフィックのサブセットとしてICMPパケットを用いる。ICMPは、インターネット・コントロール・メッセージ・プロトコル(Internet Control Messages Protocol)を意味し、ルータとホストとの間で制御メッセージを伝送するために用いられる。たとえば、ICMPパケットは、ルータが輻輳しているか、あるいは目的のホストが利用できなくなったときに、伝送されてもよい。ICMPパケットは、ICMPヘッダーがIPヘッダーに従うが、レイヤ4ヘッダー(Layer 4 header)としては見なされないという点で、データパケット(情報を有するパケット)とは若干異なる構造を有する。ICMPメッセージは、タイプ及びコード領域で提供され、その数値は、特定のICMPメッセージを表わす。IPのすべてのベンダーの実行は、ICMPを含むことが要求される。
モニタ25は、ユニット10で分離したICMPパケットを、データトラフィックから受信するICMPレートモニタ12を含む。ICMPレートモニタ12は、2つの異なる閾値を用いて、サービスクラスに応じて「不審な」ものとして、あるいはそうではないものとしてトラフィックフローを分類する。たとえば、「危険状態」のトラフィックに対する閾値は、Th1であり得る。「非危険状態」のトラフィックに対する閾値は、Th2であり得る。好ましくは、「危険状態」のトラフィックに対する安全性の要求が「非危険状態」のトラフィックに対するそれよりも高いことから、Th1はTh2より小さい。また、「不審な」トラフィック状態について、2つのレベルよりも多数のレベルで評価する必要があるときには、より多くの閾値を用いることもでき、それぞれの伝送プロトコルによって、異なる閾値を異なるトラフィックフローに対して用いることもできる。閾値のうちのいずれかが、それぞれのトラフィックフローにおけるICMPレートによって違反される場合に、ICMPレートモニタは、それぞれのトラフィックフローが不審であるという旨を示す、「早期トラフィック状態通知子」13を発する。11で見られるように、ICMPトラフィックは、データトラフィック内に再挿入される。
第1ステージの結果は、サービス状態ユニット14が、サービス状態テーブルにおけるポートサービス状態を更新して、どのポートが「不審なトラフィック」を運搬しているかをトラフィック弁別手段18に通知することである。図1に示されているように、トラフィック弁別手段18は、不審ではないトラフィック(ICMPモニタ12によって「不審なトラフィック」としてタグ付けされていない「危険状態」及び「非危険状態」のトラフィック)を入力からシステム5の出力にルーティングする。
第2ステージでは、さらに、各サービスが攻撃中かどうかを識別するために、特定化されたトラフィック・パラメータのモニタリングが行われる。好ましくは、このパラメータはトラフィックレートであるが、このステージでは、他の形態のモニタリングが用いられてもよい。図1の実施形態において、トラフィック弁別手段18は、「不審な」としてサービス状態ユニット14によりタグ付けされたトラフィックを、トラフィックレートモニタ16にルーティングする。トラフィックレートモニタ16は、不審なサービスに対するトラフィックのレートを測定して、これが第3の閾値(Th3)を超過するかどうかを検出し、「不審な」トラフィックを出力へと方向変更させる。代替として、(図1の点線で示されるように)不審なトラフィックが、トラフィック弁別手段18の入力に戻るようにルーティングしてもよい。この代替実施形態は、それぞれのトラフィックフローの状態が「不審な」から「攻撃中」に最終的に変更されるまでは、悪意のあるパケットが、その間隔中に出力に到逹しないようにすることを保証するものである。
トラフィックレートがTh3に達する(cross)場合、トラフィックレートモニタ16は「攻撃中トラフィック通知子」17を生成して、サービス状態ユニット14へ伝送し、サービス状態テーブルでこの情報を更新する。次に、ユニット14は、モニタリングした不審なトラフィックが実際に攻撃中であることをトラフィック弁別手段18に通知する。有利に、このステージでは、不審なトラフィックのみがモニタリングされるため、そのトラフィックが攻撃中かどうかを判断するのに必要な時間が相対的に速く、不審ではないサービスに対するトラフィックには、全然影響を与えることがない。
「攻撃中」トラフィックは、さらに、トラフィック弁別手段18から侵入検知/防止ブロック20にルーティングされる。ブロック20は、侵入検知システム(IDS)及び/または侵入防止システム(IPS)21を含み、ここで、周知のワーム、ウィルスから集められた攻撃特徴22、若しくは、異常行為特徴などに基づいて攻撃の形態の判断を行う。攻撃が特定化されると、ブロック20は、従来のフィルタリング機構23を用いることにより、この攻撃の衝撃を緩和させることを試みる。このような方法で、システム5は、ルータを通過するトラフィックの一部分に対してのみ高コストのIDS/IPS技術をトリガーし、それによって、プロセッシングリソース及びブロック20の作動時間が大幅に減少される。
図2は、入力トラフィックの一部分のみが侵入検知/防止ブロック20を通過する方法を示す、ATDENシステムの作動方法のブロック図を示している。ステップS1において、サービス状態テーブルは、各サービスに対し、既知のSWの脆弱性に基づいて初期化される。このステージにおいて、ポート/サービスは、「危険状態」クラス及び「非危険状態」クラスに分離される。その後、トラフィックが、それぞれのホストルータまたはCEの入力で受信されると(ステップS2)、モニタ25は、ステップS3において示されているようにそれぞれのトラフィックフローのサービス状態を判断する。これは、トラフィッククラスによって、上述した2つのステージにおいて行われる。
次いで、モニタ25は、ステップS4に示されているように、現状態を反映するためにそれぞれのトラフィックフローの状態を更新する。サービス状態ユニット14から受信した状態情報に基づいて、弁別手段18が「攻撃中」トラフィックを孤立させて、決定ブロックS5の「YES」に移動することで、図示されているとおり処理のためにそれを侵入検知/防止ブロック20にルーティングする。「非攻撃中」状態のトラフィックは、決定ブロックS5の「NO」に移動することで、図示されているとおり出力にルーティングされる。侵入検知/防止ブロック20は、ウィルスの攻撃特徴22に対する攻撃を特定化し、フィルタリング機構23を用いて、攻撃の衝撃を緩和しようと試みる(ステップS6)。その後、トラフィックは、出力にルーティングされ、あるいは、修正不可能なものは廃棄されることになる。整理すると、図2は、システム5が、ルータを通過するトラフィックの選択された部分に対してのみ、ブロック20の作動をトリガーする方法を説明している。
図3a及び図3bは、トラフィックフローのサービス状態を評価するための2つのステージについて説明するフローチャートである。図3aは、第1ステージを示したものであり、ここでモニタ25は、「不審な」若しくはそうではないものとして各サービスを特徴付ける(ステップS11)。ステップS12において、トラフィックが不審なときは、決定ブロックの「YES」に移動し(S11)、モニタが早期通知13をサービス状態ユニット14にトリガーするようにする。上述したように、トラフィックのインテグリティ特性はサービスの形態及び危険レベルによって異なるため、このステージの中で、モニタ25はそれぞれのトラフィッククラスに対して異なる閾値を用いる。その後、ステップS13において示されているように、サービス状態ユニット14はそれに応じて状態テーブルを更新する。不審なトラフィックだけではなく、その残りのトラフィックはその後、弁別手段18によって出力にルーティングされる(図2のフローチャートのステップS7)。
図3bは、第2ステージを説明するものであり、ここでモニタリングシステムは、それぞれのサービスのレートをモニタリングすることにより、不審なサービスのみを攻撃中若しくはそうではないものとして特徴付ける。「不審な」トラフィックフローにおいてトラフィックレートの閾値よりも高いということは、決定ブロックS16の「NO」に示されているとおり、各サービスが実際に攻撃中である旨を示す。この場合、サービス状態ユニット14は、これに応じて状態テーブルを更新する(ステップS17)。トラフィックレートモニタ16の出力におけるトラフィックは、弁別手段18の入力に戻り、ここで、トラフィックサービス状態に応じてルーティングが行われる(図2のフローチャートのステップS5)。不審なトラフィックのレートが閾値を下回ると(決定ブロックS16の「YES」)、各サービスは、図2のステップS7に示されているとおり、出力にルーティングされる。
本発明の実施形態に係わる、早期通知で異常なトラフィックを検出(ATDEN)するためのシステムのブロック図である。 トラフィックの一部分のみに侵入検知/防止処理を実行する方法を示す、ATDENシステムの作動方法のフローチャートである。 トラフィックのサービス状態を評価するための第1ステージを説明するフローチャートである。 トラフィックのサービス状態を評価するための第2ステージを説明するフローチャートである。

Claims (23)

  1. IDS/IPSが装備された通信ネットワークのノードにおいて異常なトラフィックを検出する方法であって、
    トラフィックフローが不審なデータトラフィックを運搬しているかどうかを確認するために、前記トラフィックフローにおけるデータトラフィックの重要なサブセットのみを観察することにより、前記ノードに入力されたトラフィックフローの状態をモニタリングするステップと、
    前記トラフィックフローの状態が不審な場合、早期通知をトリガーして、前記トラフィックフローを不審なトラフィックフローとして印をつけるステップと、
    を含む、方法。
  2. 前記トラフィックフローが攻撃中であるかどうかを判断するために、前記不審なトラフィックフローの特定化したパラメータを観察することにより前記不審なトラフィックフローの状態を追加的にモニタリングし、それに応じて、前記トラフィックフローの状態を「不審な」から「攻撃中」に更新し、前記不審なトラフィックフローを攻撃中トラフィックフローとして印をつけるステップと、
    攻撃中トラフィックフローについてのみ、IDS/IPSで軽減作用を行うステップと、
    をさらに含む、請求項1に記載の方法。
  3. 前記トラフィックデータの重要なサブセットは、前記トラフィックフロー内にICMPパケットを含む、請求項1に記載の方法。
  4. 前記モニタリングするステップは、
    前記トラフィックフローに危険クラスを割り当てることと、
    前記トラフィックフロー内のICMPパケットのレートを測定することと、
    前記危険カテゴリーに応じて、確認されたそれぞれの閾値をICMPパケットのレートと比較することと、
    を含む、請求項3に記載の方法。
  5. 前記モニタリングするステップは、前記トラフィックフローの危険クラスによって複数の閾値を用いて実行する、請求項1に記載の方法。
  6. 前記第1及び第2の閾値は、前記トラフィックフローにより用いられる伝送プロトコルに応じて選択される、請求項5に記載の方法。
  7. 前記特定化されたパラメータは、前記不審なトラフィックフローのレートである、請求項2に記載の方法。
  8. 前記追加的なモニタリングを行うステップは、
    前記不審なトラフィックフローのレートを測定することと、
    前記不審なトラフィックフローが実際に「攻撃中」かどうかを確認するために、前記不審なトラフィックフローのレートを他の閾値と比較することと、
    を含む、請求項7に記載の方法。
  9. 侵入検知/防止システム(IDS/IPS)が装備された通信ネットワークのネットワークノードにおいて異常なトラフィックを検出する方法であって、
    a)前記ネットワークノードに入力された各トラフィックフローに対する状態を有するサービス状態テーブルを保持するステップと、
    b)前記各トラフィックフローに割り当てられた危険クラスに基づいて、「不審な」若しくは「不審ではない」としてトラフィックフローの状態を評価するステップと、
    c)前記トラフィックフローの状態を「不審ではない」状態から「不審な」状態に変更する度に前記サービス状態テーブルを更新して、前記トラフィックフローを不審なトラフィックフローとして印をつけるステップと、
    d)「攻撃中」状態または「非攻撃中」状態を識別するために、前記不審なトラフィックフローの状態をさらに評価するステップと、
    e)「攻撃中」状態として前記不審なトラフィックフローの状態をさらに更新し、前記不審なトラフィックフローを攻撃中トラフィックフローとして印をつけるステップと、
    f)前記攻撃中トラフィックフローを、前記IDS/IPSにルーティングするステップと、
    を含む、方法。
  10. 前記ステップa)は、前記トラフィックフローにより用いられたプロトコルに対して認識されたソフトウェアの脆弱性に基づいて、それぞれのトラフィックフローを「危険状態」クラスと「非危険状態」クラスとに分類することを含む、請求項9に記載の方法。
  11. 前記ステップb)は、
    b1)前記各トラフィックフローに対して、全てのインターネット・コントロール・メッセージ・プロトコル(ICMP)パケットを分離することと、
    b2)各トラフィックフローのサービスクラスに基づいて、前記ICMPパケットをレートモニタリングすることと、
    b3)前記トラフィックフローの状態が「不審な」に変更されると、早期トラフィック状態通知子を生成することと、
    b4)前記ICMPパケットを、前記トラフィックフロー内に戻して併合することと、
    を含む、請求項9に記載の方法。
  12. 前記ステップb2)は、
    前記トラフィックフローが「危険状態」クラスに属すると、前記ICMPパケットのレートを第1の閾値と比較することと、
    前記トラフィックフローが「非危険状態」クラスに属すると、前記ICMPパケットのレートを第2の閾値と比較することと、
    を含む、請求項11に記載の方法。
  13. 前記ステップb3)は、前記ICMPレートが、前記第1及び第2の閾値のうちのそれぞれの1つを違反する度に前記早期トラフィック状態通知子を生成することを含む、請求項12に記載の方法。
  14. 前記ステップd)は、
    d1)不審な前記トラフィックフローのレートを測定することと、
    d2)前記不審なトラフィックフローのレートを第3の閾値と比較することと、
    d3)不審なトラフィックフローのレートが前記第3の閾値を違反する度に攻撃中トラフィック通知子を生成することと、
    を含む、請求項9に記載の方法。
  15. 前記第3の閾値は、前記トラフィックフローにより用いられる伝送プロトコルに応じて選択される、請求項14に記載の方法。
  16. 前記ステップf)は、攻撃の形態を識別することと、その攻撃形態に基づいて前記トラフィックフローにそれぞれの軽減作用を実行することと、を含む、請求項9に記載の方法。
  17. 前記軽減作用は、i)前記トラフィックフローの全てを廃棄すること、ii)前記トラフィックフローのレートをレート制限すること、iii)攻撃特徴と一致する前記トラフィックフローでパケットをレート制限すること、iv)パケット検証を通じて発見されたパケットをレート制限すること、のうちの1つである、請求項16に記載の方法。
  18. 通信ノードに入力された各トラフィックフローに対するサービス状態を有するサービス状態テーブルを保持するサービス状態手段と、
    トラフィックフローの状態を評価して、前記トラフィックフローの状態が変化する度に前記サービス状態テーブルを更新するモニタと、
    前記トラフィックフローを、前記トラフィックフローが「不審な」状態を有する場合は前記モニタに、前記トラフィックフローが「攻撃中」状態を有する場合は侵入検知/防止システム(IDS/IPS)に、前記システムの出力にルーティングするトラフィック弁別手段(18)と、
    を備える、早期通知で異常なトラフィックを検出する(ATDEN)システム。
  19. 前記トラフィックフローを、前記トラフィックフローにより用いられるプロトコルに対して認識されたソフトウェアの脆弱性に基づいて、少なくとも「危険状態」と「非危険状態」とに分類する手段をさらに備える、請求項18に記載のシステム。
  20. 前記モニタは、
    全てのインターネット・コントロール・メッセージ・プロトコル(ICMP)パケットを前記トラフィックフローから分離する手段と、
    前記クラスに基づいて前記トラフィックフローの状態を決定し、「不審な」に変更された状態を前記サービス状態手段へ通知するICMPレートモニタと、
    前記ICMPパケットを、前記トラフィックフロー内に戻して併合する手段と、
    を備える、請求項19に記載のシステム。
  21. 前記ICMPレートモニタは、前記「危険状態」クラスに関する第1の閾値に対して、さらに、前記「非危険状態」クラスに関する第2の閾値に対して分離するために、前記手段から受信した前記ICMPパケットのレートを測定する、請求項20に記載のシステム。
  22. 前記ICMPレートモニタは、前記ICMPパケットのレートが前記第1及び第2の閾値のうちのいずれかに達する度に、前記サービス状態手段に早期トラフィック状態通知子を生成する、請求項19に記載のシステム。
  23. 前記モニタは、第3の閾値に対する前記トラフィックフローのレートを測定し、前記トラフィックフローのレートが前記第3の閾値に達する度に、前記サービス状態手段に「攻撃中」通知子を生成するトラフィックレートモニタをさらに備える、請求項22に記載のシステム。
JP2008520026A 2005-07-08 2006-07-04 早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法 Pending JP2009500936A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/176,237 US7757283B2 (en) 2005-07-08 2005-07-08 System and method for detecting abnormal traffic based on early notification
PCT/IB2006/003116 WO2007020534A1 (en) 2005-07-08 2006-07-04 System and method for detecting abnormal traffic based on early notification

Publications (1)

Publication Number Publication Date
JP2009500936A true JP2009500936A (ja) 2009-01-08

Family

ID=37607801

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008520026A Pending JP2009500936A (ja) 2005-07-08 2006-07-04 早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法

Country Status (5)

Country Link
US (1) US7757283B2 (ja)
EP (1) EP1905197B1 (ja)
JP (1) JP2009500936A (ja)
CN (1) CN1946077B (ja)
WO (1) WO2007020534A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101560534B1 (ko) 2013-12-31 2015-10-16 주식회사 윈스 행위 기반 분석 기술을 이용한 지능적 지속 공격 탐지 및 대응 시스템 및 방법
JP2019165493A (ja) * 2019-05-28 2019-09-26 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法
US11399034B2 (en) 2016-06-22 2022-07-26 Huawei Cloud Computing Technologies Co., Ltd. System and method for detecting and preventing network intrusion of malicious data flows

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006013737A (ja) * 2004-06-24 2006-01-12 Fujitsu Ltd 異常トラヒック除去装置
KR100639969B1 (ko) * 2004-12-02 2006-11-01 한국전자통신연구원 이상 트래픽 제어 장치 및 그 제어 방법
US7877803B2 (en) * 2005-06-27 2011-01-25 Hewlett-Packard Development Company, L.P. Automated immune response for a computer
US7698548B2 (en) * 2005-12-08 2010-04-13 Microsoft Corporation Communications traffic segregation for security purposes
GB2432934B (en) * 2006-03-14 2007-12-19 Streamshield Networks Ltd A method and apparatus for providing network security
GB2432933B (en) * 2006-03-14 2008-07-09 Streamshield Networks Ltd A method and apparatus for providing network security
US8434148B2 (en) * 2006-03-30 2013-04-30 Advanced Network Technology Laboratories Pte Ltd. System and method for providing transactional security for an end-user device
US9112897B2 (en) * 2006-03-30 2015-08-18 Advanced Network Technology Laboratories Pte Ltd. System and method for securing a network session
US9258327B2 (en) 2006-04-27 2016-02-09 Invention Science Fund I, Llc Multi-network virus immunization
US8539581B2 (en) * 2006-04-27 2013-09-17 The Invention Science Fund I, Llc Efficient distribution of a malware countermeasure
US8966630B2 (en) * 2006-04-27 2015-02-24 The Invention Science Fund I, Llc Generating and distributing a malware countermeasure
US8613095B2 (en) * 2006-06-30 2013-12-17 The Invention Science Fund I, Llc Smart distribution of a malware countermeasure
US8117654B2 (en) * 2006-06-30 2012-02-14 The Invention Science Fund I, Llc Implementation of malware countermeasures in a network device
US8234706B2 (en) * 2006-09-08 2012-07-31 Microsoft Corporation Enabling access to aggregated software security information
US9147271B2 (en) 2006-09-08 2015-09-29 Microsoft Technology Licensing, Llc Graphical representation of aggregated data
US8112801B2 (en) * 2007-01-23 2012-02-07 Alcatel Lucent Method and apparatus for detecting malware
US8250645B2 (en) * 2008-06-25 2012-08-21 Alcatel Lucent Malware detection methods and systems for multiple users sharing common access switch
US20080295173A1 (en) * 2007-05-21 2008-11-27 Tsvetomir Iliev Tsvetanov Pattern-based network defense mechanism
US8302197B2 (en) 2007-06-28 2012-10-30 Microsoft Corporation Identifying data associated with security issue attributes
US8250651B2 (en) * 2007-06-28 2012-08-21 Microsoft Corporation Identifying attributes of aggregated data
US9088605B2 (en) * 2007-09-19 2015-07-21 Intel Corporation Proactive network attack demand management
US9779235B2 (en) * 2007-10-17 2017-10-03 Sukamo Mertoguno Cognizant engines: systems and methods for enabling program observability and controlability at instruction level granularity
US8316448B2 (en) * 2007-10-26 2012-11-20 Microsoft Corporation Automatic filter generation and generalization
US8122436B2 (en) * 2007-11-16 2012-02-21 Microsoft Corporation Privacy enhanced error reports
US8225404B2 (en) * 2008-01-22 2012-07-17 Wontok, Inc. Trusted secure desktop
US8918865B2 (en) * 2008-01-22 2014-12-23 Wontok, Inc. System and method for protecting data accessed through a network connection
US8181249B2 (en) * 2008-02-29 2012-05-15 Alcatel Lucent Malware detection system and method
US8341740B2 (en) * 2008-05-21 2012-12-25 Alcatel Lucent Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware
US8381298B2 (en) 2008-06-30 2013-02-19 Microsoft Corporation Malware detention for suspected malware
US8464341B2 (en) * 2008-07-22 2013-06-11 Microsoft Corporation Detecting machines compromised with malware
US8925039B2 (en) * 2009-12-14 2014-12-30 At&T Intellectual Property I, L.P. System and method of selectively applying security measures to data services
US20120110665A1 (en) * 2010-10-29 2012-05-03 International Business Machines Corporation Intrusion Detection Within a Distributed Processing System
US8499348B1 (en) * 2010-12-28 2013-07-30 Amazon Technologies, Inc. Detection of and responses to network attacks
CA2827941C (en) * 2011-02-24 2017-09-12 The University Of Tulsa Network-based hyperspeed communication and defense
US8533834B1 (en) * 2011-04-22 2013-09-10 Juniper Networks, Inc. Antivirus intelligent flow framework
NL2007180C2 (en) * 2011-07-26 2013-01-29 Security Matters B V Method and system for classifying a protocol message in a data communication network.
CN102495795B (zh) * 2011-11-25 2013-04-24 中国人民解放军总参谋部第五十四研究所 一种基于中间语言分析的软件脆弱性测试方法
CN102420825B (zh) * 2011-11-30 2014-07-02 北京星网锐捷网络技术有限公司 一种网络攻击防御检测方法及系统
US20150058985A1 (en) * 2012-04-30 2015-02-26 Hewlett-Packard Development Company, L.P. Network Access Apparatus Having a Control Module and a Network Access Module
US9172633B2 (en) * 2012-10-26 2015-10-27 Google Inc. Traffic engineering system for preventing demand deadlock and achieving uniform link utilization
US9553794B1 (en) 2013-01-10 2017-01-24 Google Inc. Traffic engineering for network usage optimization
EP2785009A1 (en) 2013-03-29 2014-10-01 British Telecommunications public limited company Method and apparatus for detecting a multi-stage event
EP2785008A1 (en) 2013-03-29 2014-10-01 British Telecommunications public limited company Method and apparatus for detecting a multi-stage event
US9692775B2 (en) * 2013-04-29 2017-06-27 Telefonaktiebolaget Lm Ericsson (Publ) Method and system to dynamically detect traffic anomalies in a network
TW201505411A (zh) * 2013-07-31 2015-02-01 Ibm 用於規則式安全防護設備之規則解譯方法及設備
JP2015075808A (ja) * 2013-10-07 2015-04-20 富士通株式会社 ネットワークフィルタリング装置及びネットワークフィルタリング方法
US9467362B1 (en) * 2014-02-10 2016-10-11 Google Inc. Flow utilization metrics
US9800592B2 (en) * 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US9088509B1 (en) 2014-09-22 2015-07-21 Level 3 Communications, Llc Adaptive network function chaining
US9661011B1 (en) 2014-12-17 2017-05-23 Amazon Technologies, Inc. Techniques for data routing and management using risk classification and data sampling
US9836599B2 (en) * 2015-03-13 2017-12-05 Microsoft Technology Licensing, Llc Implicit process detection and automation from unstructured activity
CN107534646A (zh) 2015-08-28 2018-01-02 慧与发展有限责任合伙企业 用于确定dns分组是否为恶意的提取数据分类
WO2017039593A1 (en) * 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Identification of a dns packet as malicious based on a value
CN105391646A (zh) * 2015-10-19 2016-03-09 上海斐讯数据通信技术有限公司 一种链路层设备预警处理的方法和装置
US10382466B2 (en) * 2017-03-03 2019-08-13 Hitachi, Ltd. Cooperative cloud-edge vehicle anomaly detection
US11194909B2 (en) 2017-06-21 2021-12-07 Palo Alto Networks, Inc. Logical identification of malicious threats across a plurality of end-point devices
US10601849B2 (en) * 2017-08-24 2020-03-24 Level 3 Communications, Llc Low-complexity detection of potential network anomalies using intermediate-stage processing
US11095670B2 (en) * 2018-07-09 2021-08-17 Cisco Technology, Inc. Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane
US11386197B1 (en) 2021-01-11 2022-07-12 Bank Of America Corporation System and method for securing a network against malicious communications through peer-based cooperation
US11641366B2 (en) 2021-01-11 2023-05-02 Bank Of America Corporation Centralized tool for identifying and blocking malicious communications transmitted within a network

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US20020093527A1 (en) * 2000-06-16 2002-07-18 Sherlock Kieran G. User interface for a security policy system and method
US20040103315A1 (en) * 2001-06-07 2004-05-27 Geoffrey Cooper Assessment tool
US7743415B2 (en) 2002-01-31 2010-06-22 Riverbed Technology, Inc. Denial of service attacks characterization
WO2004015922A2 (en) 2002-08-09 2004-02-19 Netscout Systems Inc. Intrusion detection system and network flow director method
US7540028B2 (en) * 2002-10-25 2009-05-26 Intel Corporation Dynamic network security apparatus and methods or network processors
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US20040148520A1 (en) * 2003-01-29 2004-07-29 Rajesh Talpade Mitigating denial of service attacks

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101560534B1 (ko) 2013-12-31 2015-10-16 주식회사 윈스 행위 기반 분석 기술을 이용한 지능적 지속 공격 탐지 및 대응 시스템 및 방법
US11399034B2 (en) 2016-06-22 2022-07-26 Huawei Cloud Computing Technologies Co., Ltd. System and method for detecting and preventing network intrusion of malicious data flows
JP2019165493A (ja) * 2019-05-28 2019-09-26 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法

Also Published As

Publication number Publication date
CN1946077B (zh) 2011-05-11
US20070011741A1 (en) 2007-01-11
WO2007020534A1 (en) 2007-02-22
EP1905197B1 (en) 2012-09-05
US7757283B2 (en) 2010-07-13
CN1946077A (zh) 2007-04-11
EP1905197A1 (en) 2008-04-02

Similar Documents

Publication Publication Date Title
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US10097578B2 (en) Anti-cyber hacking defense system
KR101045362B1 (ko) 능동 네트워크 방어 시스템 및 방법
Gupta et al. An ISP level solution to combat DDoS attacks using combined statistical based approach
US9253153B2 (en) Anti-cyber hacking defense system
Bavani et al. Statistical approach based detection of distributed denial of service attack in a software defined network
Fakeeh An overview of DDoS attacks detection and prevention in the cloud
Rahman et al. A novel cloud computing security model to detect and prevent DoS and DDoS attack
Abbas et al. Subject review: Intrusion Detection System (IDS) and Intrusion Prevention System (IPS)
Tiruchengode Dynamic approach to defend against distributed denial of service attacks using an adaptive spin lock rate control mechanism
Ogunleye et al. Securing and monitoring of Bandwidth usage in multi-agents denial of service environment
Haris et al. TCP SYN flood detection based on payload analysis
Hariri et al. Quality-of-protection (QoP)-an online monitoring and self-protection mechanism
Sachdeva et al. A comprehensive survey of distributed defense techniques against DDoS attacks
Varma et al. A review of DDoS attacks and its countermeasures in cloud computing
Desai et al. Denial of service attack defense techniques
Ji et al. Botnet detection and response architecture for offering secure internet services
Kuldeep et al. Enhancing Network Security by implementing preventive mechanism using GNS3
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
Kochar et al. INTRUSION DETECTION SYSTEM USING CLOUD COMPUTING
Singh Intrusion detection system (IDS) and intrusion prevention system (IPS) for network security: a critical analysis
Raashid et al. Detection Methods for Distributed Denial of Services (DDOS) Attacks
Sumant et al. Overview of Denial-Of-Service Attack and statistical detection Techniques
Haris et al. Packet analysis using packet filtering and traffic monitoring techniques
Cisar et al. Intrusion detection-one of the security methods