JP2009504099A - IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 - Google Patents
IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 Download PDFInfo
- Publication number
- JP2009504099A JP2009504099A JP2008525147A JP2008525147A JP2009504099A JP 2009504099 A JP2009504099 A JP 2009504099A JP 2008525147 A JP2008525147 A JP 2008525147A JP 2008525147 A JP2008525147 A JP 2008525147A JP 2009504099 A JP2009504099 A JP 2009504099A
- Authority
- JP
- Japan
- Prior art keywords
- addresses
- source
- determining
- packets
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
攻撃のターゲット被害者が、攻撃の存在を認識し、攻撃のソースを識別し、識別されたソースから被害者へのパケットの送信を制限する(例えば、ブロックする)ようにそのキャリアネットワークに自動的に指示する、DoS攻撃に対して防御する方法及び装置。被害者は、そのサイトのインフラストラクチャ内で判定されるさまざまな判断基準に基づいて攻撃の存在を識別することができ、イベント相関技法を使用して判定を行うことができる。次に、被害者は1以上のソース/宛先IPアドレス対を通信事業者に通信し、次に、この通信事業者は指定された宛先IPアドレスから対応するソースIPアドレスへのパケットの送信を制限する。被害者はセキュリティシグネチャを使用し、輻輳したネットワーク条件の下であっても配送を保証するためにキャリアネットワークへの冗長接続を使用することによってソース/宛先IPアドレス対を有利に通信することができる。
Description
本発明は、概略としてインターネットプロトコル(IP)ネットワークなどのパケットベースの通信ネットワークでのコンピュータセキュリティの分野に関し、具体的には、ターゲット被害者自体がサービス拒否(DoS)攻撃の存在を認識し、攻撃のソースを識別し、それに関連するキャリアネットワークによる悪意のあるパケットのルーティングの制御を要求する、そのようなネットワークでのDoS攻撃に対する防御の方法及び装置に関する。
毎日、数千台の新しい「ゾンビ」が、ハイジャックされたPC(パーソナルコンピュータ)のプールに加わり、電子メールユーザにスパムを送信し、e−コマース・サイト、政府リソース、及び他のネットワーク・インフラストラクチャに対してDoS攻撃を開始する。実際に、170000台もの多数のゾンビマシンが、毎日インターネットに追加されると推定されている。DoS攻撃は、特に、限られたリソースが合法的ユーザではなく攻撃者に割り振られる必要がある時に、サービス混乱の主要な原因になり得る。そのような攻撃は、暦年2004年に26000000ドルを超える損失をもたらしたと推定されている。攻撃するマシンは、通常、リモート・マスタによって制御された、危険にさらされたゾンビマシンであり、通常、インターネットを介して攻撃のターゲット被害者宛に膨大な個数のIP(インターネットプロトコル)パケットを送信することによって損害を負わせる。そのような攻撃を始める犯罪者は、小さい会社を停止させることを目指すティーンエージャーから、大企業に金銭を要求することを試みる国際犯罪組織までの範囲にわたる。
現在、そのようなDoS攻撃に対する防御の一般的に使用される2つの手法があり、一方は主に手動であり、もう一方は自動化されている。第1の手法は、エンド・ユーザ(すなわち、ターゲット被害者)による攻撃の存在の手動識別、並びにその後の被害者のサービスプロバイダ(すなわち通信事業者)への攻撃の手動の(たとえば電話による)報告と、通信事業者が報告された攻撃のソースを識別し、その攻撃の一部であるパケットがネットワークを介して被害者に達するのを防ぐために保護バリヤを始めることの要求との組合せを必要とする。最も通常、そのような手法は、通信事業者が違反するパケットのソースを識別することと、その後にそのソースからのすべてのパケット(あるいは、少なくとも、攻撃の存在を識別し、報告した特定の攻撃被害者宛の、そのソースからのすべてのパケット)の受け入れを拒否することをもたらす。
そのようなDoS攻撃に対する防御の第2の手法は、サービスプロバイダが、保護されるエンドユーザ宛の各すべてのパケットがそれを通過しなければならない洗練された「パケット・ウォッシャ(packet washer)」又は「スクラバ」フィルタを含めることを必要とする、より自動化されたプロセスを提供する。すなわち、インターネット・ルーティング・テーブルに対して変更が行われ、その結果、所与のエンドユーザのトラフィックのすべてが、そのようなフィルタを介してルーティングされるようになり、このフィルタは、パケットが悪意のあるものであるか否かを判断することを試みて各パケットを検査する。パケットは、悪意のあるものと思われない場合に、エンドユーザに転送されるが、悪意のあるものと思われる場合には、フィルタ・アウトされ、破棄される。
しかし、これらの手法のそれぞれが、重大な制限を有する。第1の手法は、かなりの手動介入を必要とし、しばしば、重大な損害が既に生じるまで、攻撃の問題に対処することができない可能性がある。また、第2の手法は、しばしば、ターゲットだけがパケットのデータ内容を抽出でき、したがって分析できるので、パケットのアプリケーション分析を活用することができない(たとえば、暗号プロトコルが使用される場合に、符号化されたパケットデータを復号できるのは、通常はパケットの最終的な宛先だけである)。さらに、被害者のアプリケーションに対して活用される攻撃は、過度な帯域幅だけに基づくのではなく、あるタイプの機能的要求から生じる場合がある。したがって、攻撃が迅速に認識され、識別され、(好ましくは手動介入なしで)停止される、DoS攻撃の問題に対する解決策が必要である。
米国特許出願第______号、「Method And Apparatus For Defending Against Denial Of Service Attacks In IP Networks Based On Specified Source/Destination IP Address Pairs」
我々は、DoS攻撃の存在を認識する最適の場所が、ターゲット被害者(それ自体に対する攻撃を識別し、対処する最終的な動機づけを有する)であるが、攻撃に対して防御する最適の場所が、ネットワーク内(すなわち、通信事業者のネットワーク内)であることを認識した。したがって、本発明の原理によれば、2つの前述の従来技術の手法のそれぞれの利益を、対応する不利益なしに有利に実現することができる。具体的に言うと、本発明は、攻撃のターゲット被害者が攻撃の存在を認識し、攻撃のソースを識別し、そのキャリアネットワークに、識別されたソースからターゲット被害者へのパケットの送信を制限するように自動的に指示する、DoS攻撃に対して防御する方法及び装置を提供する。
より具体的には、本発明は、キャリアネットワークに基づいてインターネットプロトコル(IP)によるサービスを提供されるターゲット被害者によってDoS攻撃に対して防御する方法及び装置であって、1以上のソースIPアドレスから受信されるIPパケットの分析に基づいてDoS攻撃が行われつつあることを判定するステップ(又は手段)と、そのようなソースIPアドレスの1つ及び宛先IPアドレス(ターゲット被害者に関連するIPアドレスの1つ)とをそれぞれが含むIPアドレスの1以上の対を識別するステップ(又は手段)と、IPアドレスの識別された対の1つのソースIPアドレス及び宛先IPアドレスに一致するソースIPアドレス及び宛先IPアドレスを有するIPパケットの送信をキャリアネットワークが制限する(たとえば、ブロックする)ことを可能にするためにIPアドレスの前記識別された対をキャリアネットワークに送信するステップ(又は手段)を含む、方法及び装置を提供する。
本発明の例示的実施形態によれば、ゾンビ攻撃プロセッサ(以下では「ザッパ」)が、DoS攻撃の被害者が攻撃者をその通信事業者に告発することによって「押しのける」ことを可能にする新しいタイプのセキュリティデバイスを提供し、この通信事業者は、これに応答して、ブロックされなければならないソース/宛先IPアドレス対のテーブルを更新する。より具体的には、攻撃が行われていることを認識した時に、被害者は、攻撃の一部であると思われるパケットで指定されるソースIPアドレス及び宛先IPアドレスの1以上の対を識別し、これらのIPアドレス対を、ブロックのためにその通信事業者に通信する。
本発明のある例示的な実施形態によれば、攻撃者(すなわち、識別された1以上のソースIPアドレス)は、ネットワークから完全に排除される必要があるのではなく、被害者(すなわち、識別された1以上の宛先IPアドレス)にパケットを送信することだけを禁止されるものとすることができることに留意されたい。これは、特に1以上の識別されたソースIPアドレスが、被害者に対する所与の攻撃のために乗っ取られた合法的ユーザ(すなわち、ゾンビ)を表す場合に、有利である可能性がある。したがって、乗っ取られたマシンの所有者が、合法的目的にそのシステムを使い続けることができると同時に、被害者(合法的ユーザには未知)に対して行われる攻撃は、それでも有利に阻まれる。さらに、本発明のそのような例示的実施形態による技法が、所与の被害者による攻撃者の過度に熱狂的な識別からの保護をも有利に提供することに留意されたい。本発明の原理によれば、攻撃の識別は、明白な被害者の裁量に任されるので、所与の被害者へのトラフィックだけが排除され又は制限されることが、明らかに有利である。
有利なことに、告発プロトコルに、セキュリティシグネチャを含めることができ、その結果、ザッパ・インフラストラクチャ自体が、DoS攻撃の開始に使用できなくなる。さらに、このプロトコルは、キャリアネットワークへの冗長接続及び冗長UDP(ユーザ・データグラム・プロトコル)を有利に利用して、輻輳したネットワーク状態の下であっても配送を保証することができる(UDPは、当業者が十分に馴染んでいるIP通信プロトコルである)。ネットワークプロセッサ及びメモリの進歩は、有利なことに被害者又は通信事業者のいずれによる手動介入をも必要とせずに(したがって極端にタイムリーな応答が可能である)潜在的に多数の攻撃者(以前のルータの容量をはるかに超える)までそのような防御をスケーリングすることを可能にする。
本発明のさまざまな例示的実施形態によれば、そのようなザッパ・フィルタリング・エンジンは、キャリアネットワークに含まれる独立型ボックスとして、又はその代わりにネットワーク内に既に存在するそれ以外の点では通常のネットワーク要素に組み込まれる回線カードとしてのいずれかとして実施することができる。さらに、本発明のある例示的実施形態によれば、ザッパ・フィルタを、ネットワーク内で攻撃起点に比較的近い位置に通信事業者によって有利に展開することができ、あるいは、当初に、プレミアム・カスタマを攻撃から有利に防御するために配置することができる。
本発明のさまざまな例示的実施形態によれば、ブロックされるIPアドレス対エントリは、タイム・アウトする(すなわち、所定の経過した時間期間の後に自動的に除去される)か、その代わりに、明示的に発行された執行猶予によってクリアできるかのいずれかとすることができる。この形で、ネットワークは、ガーベッジ・コレクション・アルゴリズムを使用する必要なしに、クリーンな状態に有利に戻る。例示的に、告発者(すなわち、攻撃を識別し、攻撃に対して保護することを可能にされている、キャリアネットワークのカスタマ)には、たとえば、限られた数、たとえば数十万個程度の「証文」(入力されブロックされるソース/宛先IPアドレス対)を与えることができ、この個数は、たとえば、所与のカスタマが所与のサービスプロバイダ(すなわち通信事業者)を用いて行うビジネスの量に比例して基づくものとすることができる。
さらに、本発明のある例示的実施形態によれば、ネットワーク診断を、たとえばあるパケットがブロックされるソース/宛先IPアドレス対を含むものとして識別されたので捨てられる時に必ずある所定の確率で、例示的ザッパにICMP(インターネット制御メッセージプロトコル、当業者が十分に馴染んでいる)到達不能メッセージを返させることによって、有利に提供することができる。そのようなエラー・リターンは、本発明の1つの例示的実施形態によれば、ブロックされたパケットの送信者がそのようなパケットに対するブロック要求を行った人及びおそらくはそのような要求の理由に関する詳細についてデータベースに照会することを可能にするコードを含む。
また、本発明のある例示的実施形態によれば、補足ツールも有利に提供することができる。たとえば、そのようなツールに、活用されたDoS攻撃を認識するインターネット・サーバ・プラグイン、さまざまなIDSシステム(侵入検出システム)へのリンク、ネットワーク診断用のデータベース(上の議論を参照されたい)、及び所与の通信事業者のインフラストラクチャ内のザッパ機能性の配置に関するガイダンスを提供する方法を含めることができる。これらの補足ツールのうちのさまざまな補足ツールを提供する本発明の例示的実施形態は、本明細書の開示に鑑みて、当業者に明白であろう。
本発明のある例示的実施形態によるザッパ・フィルタリング機構の動作が、潜在的に多数(たとえば、数百万個)の非常に単純なルールに基づいて動作することを除いて、従来のファイヤウォールの動作に似ていることに留意されたい。具体的に言うと、ザッパ・ルールは、「所与のパケットのソースIPアドレスがa.b.c.dであり、そのパケットの宛先IPアドレスがw.x.y.zである場合に、そのパケットをブロックせよ(すなわち、捨てよ)」という形で表すことができる。
また、本発明の他の例示的実施形態によれば、所与のソースIPアドレス及び宛先IPアドレスを有するパケットの送信を禁止するのではなく、ザッパ・フィルタは、そのようなパケットの優先順位を下げることができる。すなわち、このフィルタリング機構は、そのようなパケットに低い優先順位を割り当てるか、そのようなパケットに対するパケットレート制限を実施するかのいずれかを行うことができる。どちらの場合でも、所与のソースIPアドレス及び宛先IPアドレスを有するパケットは、トラフィックに対する大きい影響を有することができず、したがって、もはや被害者に対する成功のDoS攻撃をもたらさない。
本発明のさまざまな例示的実施形態によれば、攻撃検出を、被害者によって、多数が当業者に明白である、さまざまな単純さ又は洗練の度合のアルゴリズムによって有利に認識することができる。たとえば、本発明の1つの例示的実施形態によれば、アプリケーション・ログを検査することができ、攻撃を、単一の識別されたソース又は複数の識別されたソースのいずれかからの非常に高いトラフィックレベル(たとえば、高いパケットレート)の存在だけに基づいて識別することができる(これが、DoS攻撃の存在を識別する1つの従来の方法であり、当業者に馴染みのあるものであることに留意されたい)。
しかし、本発明のもう1つの例示的実施形態によれば、たとえば、存在しないデータベース要素に関する頻繁なデータベース検索があったことを認識すること、ある人が開始できるものより高いレートで発生する、見かけは人間からの複数の要求があったことを認識すること、構文的に無効な要求を識別すること、及び通常発生するアクティビティの動作において特に敏感な時間のトラフィックの疑わしい量を識別することなど、パケット内容のアプリケーションベースの分析を実行して、疑わしい性質を有するパケット又はパケットのシーケンスを識別することができる(疑わしいパケットの後者のクラスの例は、たとえば、株式取引ウェブサイトが差し迫った株取引中の敏感な時に特に妨害的なトラフィックに気付く場合に、識別することができる)。また、本発明の他の例示的実施形態によれば、たとえば上で説明した情況のうちの1以上を含めることができる、可能な攻撃の複数の異なるしるしを、より洗練された分析で有利に組み合わせて、攻撃の存在を識別することができる。
図1に、本発明の例示的実施形態によるDoS攻撃に対して防御する例示的装置が使用されるネットワーク環境を示す。この図には、ターゲット被害者11(たとえば、銀行又は他の金融機関とすることができる)が示されている。ターゲット被害者11が、それに関連する1以上のIPアドレス(図示せず)を有すると仮定されることに留意されたい。また、ターゲット被害者11には、本発明の原理に従って、攻撃ディテクタ12が関連付けられ、この攻撃ディテクタ12は、本発明の例示的実施形態に従って動作して、DoS攻撃がターゲット被害者11に対して行われつつあることを判定する。
キャリアネットワーク13、すなわちターゲット被害者11にサービスを提供するネットワーク通信事業者は、さまざまなソースからIPパケットを受信し、これらをターゲット被害者11に送信する。この図に示されているように、被害者に送信されるIPパケットは、実際に、その被害者に対するDoS攻撃に関連し、多数のゾンビマシン14によって送信されつつある。キャリアネットワーク13には、ザッパ15も含まれ、このザッパ15は、本発明の例示的実施形態に従って、DoS攻撃に対して有利に防御する。
より具体的には、動作中に、本発明の例示的実施形態に従って、攻撃ディテクタ12は、DoS攻撃がターゲット被害者11に対して行われつつあると判定した時に、1以上のソース/宛先IPアドレス対をザッパ15に送信し、ザッパ15は、そのソースIPアドレス及び宛先IPアドレスが送信されたソース/宛先IPアドレス対のいずれかのソースIPアドレス及び宛先IPアドレスと一致するIPパケットの送信をキャリアネットワーク13に制限させ(たとえば、ブロックさせ)、これによって、ターゲット被害者11へのゾンビ14からのDoS攻撃を制限する(又は除去する)。攻撃ディテクタ12が、冗長接続17を使用することによってソース/宛先IPアドレス対を有利に送信することに留意されたい。また、ゾンビ14から無関係のサーバ16に送信されるIPパケットは、有利に、影響を受けないことに留意されたい。
図2に、本発明の例示的実施形態によるDoS攻撃に対して防御する方法の流れ図を示す。図2の例示的方法は、ターゲット被害者の側で実行され、受信されたIPパケットの分析に基づいて、DoS攻撃がそれに対して行われつつあることを判定することによって開始される(ブロック21に示されているように)。次に(ブロック22に示されているように)、1以上のソース/宛先IPアドレス対が、DoS攻撃を阻むためにブロックされなければならないIPパケットを表すものとして識別される(例示的に、ソースIPアドレスは、攻撃する「ゾンビ」マシンのIPアドレスであり、宛先IPアドレスは、ターゲット被害者自体に関連するIPアドレスである)。最後に(ブロック23に示されているように)、識別されたソース/宛先IPアドレス対が、被害者のキャリアネットワークに送信されて、キャリアネットワークが、一致するソースIPアドレス及び宛先IPアドレスを有するIPパケットの送信をブロックすることを可能にする。
詳細な説明に対する追加
前の議論のすべてが、単に、本発明の全般的な原理を例示することに留意されたい。当業者が、本明細書で明示的に説明されず、図示されてはいないが、本発明の原理を実施し、本発明の趣旨及び範囲に含まれるさまざまな他の配置を考案できることを了解されたい。たとえば、本発明を、インターネットプロトコル(IP)ネットワークに関して具体的に説明したが、使用される特定の通信プロトコルが、本発明の原理に関係せず、したがって、本発明を、関連するソースアドレス及び宛先アドレスを有するパケットがネットワークを介して送信されるすべてのデータパケットベースのネットワークの文脈で同一の形で使用できることが、当業者には明白であろう。
前の議論のすべてが、単に、本発明の全般的な原理を例示することに留意されたい。当業者が、本明細書で明示的に説明されず、図示されてはいないが、本発明の原理を実施し、本発明の趣旨及び範囲に含まれるさまざまな他の配置を考案できることを了解されたい。たとえば、本発明を、インターネットプロトコル(IP)ネットワークに関して具体的に説明したが、使用される特定の通信プロトコルが、本発明の原理に関係せず、したがって、本発明を、関連するソースアドレス及び宛先アドレスを有するパケットがネットワークを介して送信されるすべてのデータパケットベースのネットワークの文脈で同一の形で使用できることが、当業者には明白であろう。
さらに、本明細書で列挙されたすべての例及び条件の言語が、主に、当技術を促進するために本発明人によって貢献される本発明の原理及び概念を読者が理解するのを助けるために明示的に教育学的目的だけを意図されており、そのような具体的に列挙された例及び条件に限定されないものとして解釈されなければならない。さらに本発明の原理、態様、及び実施形態並びに本発明の特定の例を列挙する本明細書のすべての言説は、その構造的同等物と機能的同等物との両方を含むことが意図されている。また、そのような同等物が、現在既知の同等物と将来に開発される同等物すなわち、構造にかかわりなく、同一の機能を実行する開発されるすべての要素との両方を含むことが意図されている。
Claims (10)
- ターゲット被害者に対するサービス拒否(DoS)攻撃に対して防御する完全に自動化された方法であって、該方法が前記ターゲット被害者の側で実施され、前記ターゲット被害者が、前記ターゲット被害者にインターネットプロトコル(IP)パケットを送信するIPベースのキャリアネットワークによってサービスを提供され、前記ターゲット被害者が、1以上のIPアドレスを関連付けられ、前記方法が、
1以上のソースIPアドレスから受信されたIPパケットの分析に基づいて、DoS攻撃が前記ターゲット被害者に対して行われつつあることを判定するステップ、
IPアドレスの1以上の対を識別するステップであって、IPアドレスの前記対のそれぞれがソースIPアドレス及び宛先IPアドレスを含み、前記ソースIPアドレスが前記IPパケットのうちの1つがそこから受信された前記ソースIPアドレスのうちの1つであり、前記宛先IPアドレスが前記ターゲット被害者に関連する前記IPアドレスのうちの1つである、ステップ、及び
前記キャリアネットワークに送信されたIPアドレスの識別された対の1つに含まれる前記ソースIPアドレス及び前記宛先IPアドレスと等しいソースIPアドレス及び宛先IPアドレスを有するIPパケットの送信を前記キャリアネットワークが制限することを可能にするためにIPアドレスの前記1以上の識別された対を前記キャリアネットワークに送信するステップ
からなる方法。 - 請求項1記載の方法において、前記DoS攻撃が前記ターゲット被害者に対して行われつつあることを判定するステップが、前記1以上のソースIPアドレスから受信される前記IPパケットのパケットレートが所定の閾値を超えることを判定するステップからなる方法。
- 請求項1記載の方法において、前記DoS攻撃が前記ターゲット被害者に対して行われつつあることを判定するステップは、前記1以上のソースIPアドレスから受信された前記IPパケットのうちの複数が、存在しないデータベース要素に関するデータベース検索を実行する要求を含むことを判定するステップであって、存在しないデータベース要素に関するデータベース検索を実行するそのような要求を含む前記IPパケットのうちの前記複数の受信のレートが所定の閾値を超える、ステップからなる方法。
- 請求項1記載の方法において、前記DoS攻撃が前記ターゲット被害者に対して行われつつあることを判定するステップは、前記1以上のソースIPアドレスから受信された前記IPパケットのうちの複数が、その称するところでは人間からである要求を含むことを判定するステップであって、その称するところでは人間からである要求を含む前記IPパケットのうちの前記複数の受信のレートが所定の閾値を超える、ステップからなる方法。
- 請求項1記載の方法において、前記DoS攻撃が前記ターゲット被害者に対して行われつつあることを判定するステップは、前記1以上のソースIPアドレスから受信された前記IPパケットのうちの複数が、構文的に無効な要求を含むことを判定するステップであって、構文的に無効な要求を含む前記IPパケットのうちの前記複数の受信のレートが所定の閾値を超える、ステップからなる方法。
- 請求項1記載の方法において、前記DoS攻撃が前記ターゲット被害者に対して行われつつあることを判定するステップは、前記1以上のソースIPアドレスから受信された前記IPパケットのうちの複数が、前記ターゲット被害者の敏感な動作中に所定の閾値を超えるレートで受信されることを判定するステップからなる方法。
- 請求項1記載の方法において、前記DoS攻撃が前記ターゲット被害者に対して行われつつあることを判定するステップが、条件の所定の組のうちの少なくとも2つが満足されることを判定するステップからなり、条件の前記組が、
前記1以上のソースIPアドレスから受信される前記IPパケットのパケットレートが所定の閾値を超えることを判定するステップ、
前記1以上のソースIPアドレスから受信された前記IPパケットのうちの複数が、存在しないデータベース要素に関するデータベース検索を実行する要求を含むことを判定するステップであって、存在しないデータベース要素に関するデータベース検索を実行するそのような要求を含む前記IPパケットのうちの前記複数の受信のレートが所定の閾値を超える、判定するステップ、
前記1以上のソースIPアドレスから受信された前記IPパケットのうちの複数が、その称するところでは人間からである要求を含むことを判定するステップであって、その称するところでは人間からである要求を含む前記IPパケットのうちの前記複数の受信のレートが所定の閾値を超える、判定するステップ、
前記1以上のソースIPアドレスから受信された前記IPパケットのうちの複数が、構文的に無効な要求を含むことを判定するステップであって、構文的に無効な要求を含む前記IPパケットのうちの前記複数の受信のレートが所定の閾値を超える、判定するステップ、及び
前記1以上のソースIPアドレスから受信された前記IPパケットのうちの複数が、前記ターゲット被害者の敏感な動作中に所定の閾値を超えるレートで受信されることを判定するステップ
のうちの複数を含む方法。 - 請求項1記載の方法において、前記IPアドレスの前記1以上の識別された対を前記キャリアネットワークに送信するステップが、セキュリティシグネチャを使用して、IPアドレスの前記1以上の識別された対を前記キャリアネットワークに送信するステップからなる方法。
- 請求項1記載の方法において、前記IPアドレスの前記1以上の識別された対を前記キャリアネットワークに送信するステップが、前記キャリアネットワークへの冗長接続を使用して、IPアドレスの前記1以上の識別された対を前記キャリアネットワークに送信するステップからなる方法。
- 請求項1記載の方法において、前記IPアドレスの前記1以上の識別された対を前記キャリアネットワークに送信するステップが、冗長通信プロトコルを使用して、IPアドレスの前記1以上の識別された対を前記キャリアネットワークに送信するステップからなる方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/197,842 | 2005-08-05 | ||
| US11/197,842 US20070033650A1 (en) | 2005-08-05 | 2005-08-05 | Method and apparatus for defending against denial of service attacks in IP networks by target victim self-identification and control |
| PCT/US2006/030063 WO2007035207A1 (en) | 2005-08-05 | 2006-08-02 | Method for defending against denial of service attacks in ip networks by target victim self-identification and control |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009504099A true JP2009504099A (ja) | 2009-01-29 |
| JP4768020B2 JP4768020B2 (ja) | 2011-09-07 |
Family
ID=37433745
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008525147A Expired - Fee Related JP4768020B2 (ja) | 2005-08-05 | 2006-08-02 | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20070033650A1 (ja) |
| EP (1) | EP1911241B9 (ja) |
| JP (1) | JP4768020B2 (ja) |
| KR (1) | KR101067781B1 (ja) |
| CN (1) | CN101213813A (ja) |
| WO (1) | WO2007035207A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012109996A (ja) * | 2006-11-03 | 2012-06-07 | Alcatel-Lucent Usa Inc | 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7747244B2 (en) * | 2003-01-23 | 2010-06-29 | Research In Motion Limited | Methods and apparatus for re-establishing communication for a wireless communication device after a communication loss in a wireless communication network |
| US8775521B2 (en) * | 2006-06-30 | 2014-07-08 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting zombie-generated spam |
| US8768961B2 (en) * | 2007-03-09 | 2014-07-01 | At&T Labs, Inc. | System and method of processing database queries |
| US7937586B2 (en) * | 2007-06-29 | 2011-05-03 | Microsoft Corporation | Defending against denial of service attacks |
| US8943200B2 (en) * | 2008-08-05 | 2015-01-27 | At&T Intellectual Property I, L.P. | Method and apparatus for reducing unwanted traffic between peer networks |
| KR101013274B1 (ko) * | 2008-09-11 | 2011-02-09 | 주식회사 케이티 | 무선 데이터 통신 환경에서 이상호 차단 방법 및 시스템 |
| EP2382575A4 (en) * | 2009-01-29 | 2013-05-22 | Hewlett Packard Development Co | SECURITY MANAGEMENT IN A NETWORK |
| US8644177B2 (en) * | 2010-12-16 | 2014-02-04 | Blackberry Limited | Methods and apparatus for use in controlling data traffic for a wireless mobile terminal using a wireless access point (AP) |
| CN102904971B (zh) | 2011-07-26 | 2015-11-25 | 华为终端有限公司 | 获取目的ip地址的方法及装置 |
| US9148440B2 (en) | 2013-11-25 | 2015-09-29 | Imperva, Inc. | Coordinated detection and differentiation of denial of service attacks |
| EP3319287A1 (en) * | 2016-11-04 | 2018-05-09 | Nagravision SA | Port scanning |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002025402A2 (en) * | 2000-09-20 | 2002-03-28 | Bbnt Solutions Llc | Systems and methods that protect networks and devices against denial of service attacks |
| WO2003001333A2 (en) * | 2001-06-20 | 2003-01-03 | Arbor Networks, Inc., | Detecting network misuse |
| WO2003005666A2 (en) * | 2001-07-03 | 2003-01-16 | Intel Corporation | An apparatus and method for secure, automated response to distributed denial of service attacks |
| US20030037141A1 (en) * | 2001-08-16 | 2003-02-20 | Gary Milo | Heuristic profiler software features |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| JP2004120498A (ja) * | 2002-09-27 | 2004-04-15 | Nippon Telegr & Teleph Corp <Ntt> | 違法トラヒック防止システムおよびサーバおよびエッジルータ |
| JP2004356915A (ja) * | 2003-05-28 | 2004-12-16 | Chiba Inst Of Technology | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 |
| JP2005151039A (ja) * | 2003-11-13 | 2005-06-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット防御システム |
| JP2005210601A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5198607A (en) * | 1992-02-18 | 1993-03-30 | Trw Inc. | Laser anti-missle defense system |
| US6611521B1 (en) * | 1998-07-14 | 2003-08-26 | International Business Machines Corporation | Data link layer extensions to a high latency wireless MAC protocol |
| SE518422C2 (sv) * | 2000-03-10 | 2002-10-08 | Ericsson Telefon Ab L M | Förfarande och anordning för punkt-till-punktförbindelser i ett kommunikationsnät |
| AU2001288640A1 (en) * | 2000-09-01 | 2002-03-13 | Tut Systems, Inc. | A method and system to pre-compile configuration information for a data communications device |
| US7188366B2 (en) * | 2000-09-12 | 2007-03-06 | Nippon Telegraph And Telephone Corporation | Distributed denial of service attack defense method and device |
| US7694128B2 (en) * | 2002-03-08 | 2010-04-06 | Mcafee, Inc. | Systems and methods for secure communication delivery |
| CA2379090A1 (en) * | 2002-03-27 | 2003-09-27 | Ibm Canada Limited-Ibm Canada Limitee | Efficient server handling of multiple requests from a web browser |
| US7472421B2 (en) * | 2002-09-30 | 2008-12-30 | Electronic Data Systems Corporation | Computer model of security risks |
| GB0315156D0 (en) * | 2003-06-28 | 2003-08-06 | Ibm | Identification system and method |
| US8171562B2 (en) * | 2003-08-26 | 2012-05-01 | Oregon Health & Science University | System and methods for protecting against denial of service attacks |
| US7436770B2 (en) * | 2004-01-21 | 2008-10-14 | Alcatel Lucent | Metering packet flows for limiting effects of denial of service attacks |
-
2005
- 2005-08-05 US US11/197,842 patent/US20070033650A1/en not_active Abandoned
-
2006
- 2006-08-02 WO PCT/US2006/030063 patent/WO2007035207A1/en active Application Filing
- 2006-08-02 JP JP2008525147A patent/JP4768020B2/ja not_active Expired - Fee Related
- 2006-08-02 EP EP06789176.2A patent/EP1911241B9/en not_active Not-in-force
- 2006-08-02 CN CNA2006800237434A patent/CN101213813A/zh active Pending
- 2006-08-02 KR KR1020077030524A patent/KR101067781B1/ko active IP Right Grant
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002025402A2 (en) * | 2000-09-20 | 2002-03-28 | Bbnt Solutions Llc | Systems and methods that protect networks and devices against denial of service attacks |
| WO2003001333A2 (en) * | 2001-06-20 | 2003-01-03 | Arbor Networks, Inc., | Detecting network misuse |
| WO2003005666A2 (en) * | 2001-07-03 | 2003-01-16 | Intel Corporation | An apparatus and method for secure, automated response to distributed denial of service attacks |
| US20030037141A1 (en) * | 2001-08-16 | 2003-02-20 | Gary Milo | Heuristic profiler software features |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| JP2004120498A (ja) * | 2002-09-27 | 2004-04-15 | Nippon Telegr & Teleph Corp <Ntt> | 違法トラヒック防止システムおよびサーバおよびエッジルータ |
| JP2004356915A (ja) * | 2003-05-28 | 2004-12-16 | Chiba Inst Of Technology | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 |
| JP2005151039A (ja) * | 2003-11-13 | 2005-06-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット防御システム |
| JP2005210601A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012109996A (ja) * | 2006-11-03 | 2012-06-07 | Alcatel-Lucent Usa Inc | 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1911241A1 (en) | 2008-04-16 |
| US20070033650A1 (en) | 2007-02-08 |
| EP1911241B9 (en) | 2013-06-12 |
| EP1911241B1 (en) | 2012-10-03 |
| CN101213813A (zh) | 2008-07-02 |
| WO2007035207A1 (en) | 2007-03-29 |
| KR20080026122A (ko) | 2008-03-24 |
| KR101067781B1 (ko) | 2011-09-27 |
| JP4768020B2 (ja) | 2011-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| JP4768021B2 (ja) | IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| US11824875B2 (en) | Efficient threat context-aware packet filtering for network protection | |
| US9628511B2 (en) | System and method for identification and blocking of unwanted network traffic | |
| Wheeler et al. | Techniques for cyber attack attribution | |
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| KR101231975B1 (ko) | 차단서버를 이용한 스푸핑 공격 방어방법 | |
| JP5153779B2 (ja) | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 | |
| CN114024731B (zh) | 报文处理方法及装置 | |
| CA2456902A1 (en) | Method, data carrier, computer system and computer programme for the identification and defence of attacks on server systems of network service providers and operators | |
| EP4080822B1 (en) | Methods and systems for efficient threat context-aware packet filtering for network protection | |
| Mishra et al. | A systematic survey on DDoS attack and data confidentiality issue on cloud servers | |
| Searls | Identifying Originating Traffic to Anonymity Networks | |
| Chen et al. | NETWORK TERM PROJECT SONY HACK OR DDOS | |
| Rubin | A Report to the Federal Trade Commission on Reponses to their Request For Information on Establishing a National Do Not E-mail Registry | |
| ZA200400908B (en) | Method, data-carrier, computer system and computer programme for the identification and defence of attacks on server systems of network service providers and operators. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090615 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110119 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110523 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110615 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4768020 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140624 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |