JP2009504100A - IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法 - Google Patents
IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法 Download PDFInfo
- Publication number
- JP2009504100A JP2009504100A JP2008525173A JP2008525173A JP2009504100A JP 2009504100 A JP2009504100 A JP 2009504100A JP 2008525173 A JP2008525173 A JP 2008525173A JP 2008525173 A JP2008525173 A JP 2008525173A JP 2009504100 A JP2009504100 A JP 2009504100A
- Authority
- JP
- Japan
- Prior art keywords
- address
- source
- destination
- addresses
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000005540 biological transmission Effects 0.000 claims abstract description 16
- 238000004891 communication Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 2
- 238000001914 filtration Methods 0.000 abstract description 4
- 238000013459 approach Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 3
- 230000003203 everyday effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000000153 supplemental effect Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
攻撃の標的被害者が攻撃の存在を認識しそのソースを識別しているDoS攻撃から防御する方法及び装置を提供する。サービスを被害者に提供するキャリアネットワークが、被害者から1以上のIP(インターネットプロトコル)ソース/宛先IPアドレス対を自動的に受信し、次いで、識別されたソースアドレスから識別された宛先アドレスへのパケットの送信を制限(例えば、遮断)する。キャリアは、ネットワークに含まれた独立型ボックスとして、又はそうでない場合はネットワークにすでに存在する従来のネットワーク要素に組み込まれた線カードとして、このフィルタリング能力を実施することが可能である。遮断されるべきソース/宛先アドレス対は、輻輳ネットワーク条件下においても受信を保証するために、セキュリティ署名を使用して、及び被害者からの冗長接続を使用して、被害者からキャリアネットワークに通信されることが可能であることが有利である。
Description
本出願は、本出願と同日にE.Grosse及びT.Wooによって出願され、かつ本発明の譲受人に譲渡された同時係属の米国特許出願番号_「Method And Apparatus For Defending Against Denial Of Service Attacks In IP Networks By Target Victim Self−Identification And Control」に関する。
本発明は、概略として、インターネットプロトコル(IP)ネットワークなどのパケットベース通信におけるコンピュータセキュリティの分野に関し、具体的には、そのようなネットワークにおいてサービス不能(DoS)攻撃から防御する方法及び装置に関し、標的被害者のキャリアネットワークサービス・プロバイダが、悪意のあるパケットを識別するために、標的被害者自体から自動的に受信されたソース/宛先IPアドレス対の仕様に基づいて、悪意のあるパケットの経路指定を制御する。
毎日、数千の新しい「ゾンビ」が、ハイジャックされたPC(パーソナルコンピュータ)のプールを接合し、スパムをeメールユーザに送り、e商取引サイト、政府リソース、及び他のネットワーク・インフラストラクチャに対してDoS攻撃を開始する。実際、毎日170,000もの多数のゾンビマシンが、インターネットに追加されていると推定されている。具体的には、制限されたリソースが、合法的使用の代わりに攻撃者に割り付けられることが必要であるとき、DoS攻撃により、主要なサービスが混乱することがある。そのような攻撃は、暦年2004年において$26,000,000を超える損失に至ったと推定されている。攻撃マシンは、通常、遠隔マスタによって制御された欠陥ゾンビマシンであり、通常、攻撃の標的被害者を対象とした膨大な数のIP(インターネットプロトコル)パケットをインターネット上で送信することによって損傷を与える。そのような攻撃を企てる犯人は、小規模ビジネスを解体することを狙う10代の若者から、大企業から金を強奪することを狙う国際犯罪組織にわたる。
現在、そのようなDoS攻撃から防御する2つの一般的に使用されている手法があり、1つはほぼ手動であり、1つは自動である。第1の手法は、エンドユーザ(すなわち、標的被害者)が攻撃の存在を手動で識別し、続いて、キャリアが、報告された攻撃のソースを識別し、かつ攻撃の一部であるパケットがネットワークを経て被害者に到達するのを防止するために保護障壁を開始する要求と組み合わせて、攻撃を被害者のサービス・プロバイダ(すなわち、キャリア)に攻撃に手動(たとえば、電話)で報告することを必要とする。最も一般的には、そのような手法により、キャリアは、厄介なパケットのソースを識別し、続いて、そのソースからあらゆるパケット(又は、攻撃の存在を識別及び報告した特定の攻撃被害者を宛先とするそのソースからの少なくともあらゆるパケット)を受け取ることを拒否する。
そのようなDoS攻撃から防御する第2の手法は、サービスプロバイダが、保護されるエンドユーザを宛先とするすべてのパケットが通過しなければならない精巧な「パケット・ウォッシャ」又は「スクラバ」フィルタを含むことを必要とする、より自動的なプロセスを提供する。すなわち、所与のエンドユーザのトラフィックのすべてが、パケットが悪意のあるものであるか否かを判定する試行において各パケットを調査するそのようなフィルタを経て経路指定されるように、インターネットのルーティングテーブルに対して変更が行われる。パケットが悪意のあるものではなさそうな場合、エンドユーザに順方向に送られるが、悪意のあるものでありそうな場合、フィルタ処理されて破棄される。
米国特許出願番号_「Method And Apparatus For Defending Against Denial Of Service Attacks In IP Networks By Target Victim Self−Identification And Control」
しかし、これらの手法のそれぞれは、著しい制限を有する。第1の手法は、実質的な手動介入を必要とし、しばしば、著しい損傷がすでに行われるまで、攻撃の問題に対処することができない可能性がある。また、第2の手法は、パケットのアプリケーション分析を強化することができないが、その理由はしばしば、標的のみが、パケットのデータ内容を抽出し、したがって分析することができるからである(たとえば、暗号プロトコルが使用される場合、通常、符号化されたパケットデータを復号することができるパケットの唯一の最終宛先である)。さらに、被害者のアプリケーションに対する強化された攻撃は、過剰な大域幅のみに基づかない可能性があり、むしろあるタイプの機能要求の結果である可能性がある。したがって、攻撃が即座に認識、識別、及び(好ましくは手動介入せずに)停止されるDoS攻撃の問題に対する解決法が必要である。
私は、DoS攻撃の存在を認識するのに最適な場所は、標的被害者(自身に対する攻撃を識別し、かつ攻撃に対処する究極的な動機を有する)においてであるが、攻撃から防御するのに最適な場所は、ネットワークの内部(すなわち、キャリアのネットワークにおいて)であることを認識した。したがって、本発明の原理によれば、2つの上述された従来の技術の手法のそれぞれの利益が、対応する欠点を有さずに実現されることが可能であることが有利である。具体的には、本発明は、DoS攻撃から防御する方法及び装置を提供し、所与の標的被害者にサーブするキャリアネットワークが、ソースから標的被害者へ悪意のあるパケットを送信することを制限する標的被害者からの自動命令に基づいて、そのように実施する。具体的には、標的被害者は、攻撃の存在を認識し、攻撃のソースを識別し、特定のソース/宛先IPアドレス対に基づいて悪意のあるパケットをどのように識別するかをキャリアネットワークに自動的に指示したと想定される。
より具体的には、本発明は、標的被害者に対するDoS攻撃から防御する方法及び装置を提供し、これは、パケットベース通信サービスを被害者に提供するインターネットプロトコル(IP)ベース・キャリアネットワークにおいて実施される。本発明の方法(又は装置)は、DoS攻撃が行われていることを申し立てる被害者からの自動示唆を受信するステップ(又は手段)と、ソースIPアドレス及び宛先IPアドレス(宛先IPアドレスが、被害者に関連付けられたIPアドレスの1つである場合)を備えるIPアドレスの1以上の対を被害者から受信するステップ(又は手段)と、被害者から受信されたIPアドレスの対の1つのソースIPアドレス及び宛先IPアドレスと整合するソースIPアドレス及び宛先IPアドレスを有するIPパケットを識別するために、ネットワークを通るIPパケットトラフィックを監視するステップ(又は手段)と、識別されたIPパケット(すなわち、前記被害者から受信されたIPアドレスの対の1つのソースIPアドレス及び宛先IPアドレスと整合するソースIPアドレス及び宛先IPアドレスを有するもの)の送信を制限(たとえば、遮断)するステップ(又は手段)とを備える。
本発明の例示的な実施形態によれば、ゾンビ攻撃プロセッサ(これ以後、「ザッパ」)が、新しいタイプのセキュリティデバイスを提供し、これにより、DoS攻撃の被害者が、攻撃者を非難することによって被害者のキャリアに「押し戻す」ことが可能になり、キャリアは、応答して、遮断されるべきであるソース/宛先IPアドレス対の表を更新する。より具体的には、攻撃が行われていることを認識すると、被害者は、攻撃の一部であると見なされるパケットにおいて特定されるソースIPアドレス及び宛先IPアドレスの1以上の対を識別し、遮断するためにそれらのIPアドレス対を被害者のキャリアに連絡する。
本発明のある例示的な実施形態によれば、攻撃者(すなわち、1以上の識別されたソースIPアドレス)は、ネットワークから完全に切り離される必要はなく、むしろパケットを被害者(すなわち、1以上の識別された宛先IPアドレス)に送ることのみが禁止されることが可能であることに留意されたい。これは、1以上の識別されたソースIPアドレスが、被害者に対する所与の攻撃について引き継がれた合法的ユーザ(すなわち、ゾンビ)を表す場合、有利である可能性がある。したがって、引き継がれたマシンの所有者は、合法的目的でシステムを使用し続けることが可能であり、一方、被害者に対して行われている攻撃(合法的ユーザには知られていない)は、それにもかかわらず、妨害されることが有利である。さらに、本発明のそのような例示的な実施形態による技法はまた、所与の被害者が攻撃者を過度に熱心に識別することから保護することを提供することが有利であることにも留意されたい。本発明の原理によれば、攻撃の識別は見かけの被害者の裁量に委ねられているので、所与の被害者へのトラフィックのみが切り離される、又は制約されることが明らかに有利である。
非難プロトコルは、DoS攻撃を開始するためにザッパ・インフラストラクチャ自体を使用することができないように、セキュリティ署名を含むことができることが有利である。さらに、プロトコルは、輻輳ネットワーク条件下においてさえ送達を保証するために、キャリアネットワークへの冗長接続、並びに冗長UDP(ユーザ・データグラム・プロトコル)を利用することが可能であることが有利である(UDPは、当業者には完全に熟知されているIP通信プロトコルである)。ネットワークプロセッサ及びメモリの進歩により、有利には被害者又はキャリアによる手動介入を必要とせずに、以前のルータの能力をはるかに超えて、そのような防御を潜在的に多数の攻撃者に規模変更することが可能になり、したがって極めて時宜を得た応答をすることができる。
本発明の様々な例示的な実施形態によれば、そのようなザッパ・フィルタリングエンジンが、キャリアネットワークに含まれる独立型ボックスとして、又は代替として、ネットワークにすでに存在する従来のネットワーク要素に組み込まれた線カードとして実施されることが可能である。さらに、本発明のある例示的な実施形態によれば、ザッパ・フィルタは、攻撃者の起点に比較的近い位置においてネットワーク内にキャリアによって配備されることが可能であることが有利であり、又は上等な顧客を攻撃から有利に防御するように当初配置されることが可能である。
本発明の様々な例示的な実施形態によれば、遮断されるIPアドレス対のエントリは、時間切れとなる(すなわち、所定の時間期間が経過した後、自動的に除去される)ことが可能であり、又は代替として、明示的に出された猶予だけ消去されることが可能である。このようにして、ネットワークは、不要情報収集アルゴリズムの使用を必要とせずに、クリア状態に戻ることが有利である。例として、たとえば、非難者(すなわち、攻撃を識別し、かつ攻撃から保護することが可能であるキャリアネットワークの顧客)が、制限数の「チット」(入力されて遮断されるソース/宛先IPアドレス対)を与えられることが可能であり、これは、たとえば10万の大きさなど、所与の顧客が所与のサービスプロバイダ(すなわち、キャリア)で行うビジネスの量に比例して基づくことが可能である。
さらに、本発明のある例示的な実施形態によれば、パケットが、遮断ソース/宛先IPアドレス対を備えると識別されたのでドロップされるときはいつでも、たとえばある所定の確率で例示的なザッパにICMP(当業者には完全に熟知されているインターネット制御メッセージプロトコル)不到達メッセージを戻させることによって、ネットワーク診断が提供されることが可能であることが有利である。本発明の1つの例示的な実施形態によれば、そのようなエラーの戻しは、遮断されたパケットの送信者が、誰がそのようなパケットに対して遮断要求を出したか、及びおそらくはそのような要求の理由に関して詳細をデータベースに問い合わせることを可能にするコードを含むことが可能である。
また、本発明のある例示的な実施形態によれば、補足ツールが、同様に提供されることが可能であることが有利である。たとえば、そのようなツールは、様々なIDSシステム(進入検出システム)に対して強化DoS攻撃を認識するためのインターネット・サーバ・プラグイン、様々なIDSシステム(進入検出システム)へのリンク、ネットワーク診断のデータベース(上記の議論参照)、及び所与のキャリアのインフラストラクチャ内にザッパ機能を配置するためのガイダンスを提供する方法を含むことが可能である。これらの補足ツールの様々なツールを提供する本発明の例示的な実施形態は、本明細書の開示を考慮すると当業者には明らかになるであろう。
本発明のある例示的な実施形態によるザッパ・フィルタリング機構の動作は、従来のファイアウォールと同様であるが、潜在的に多数(たとえば、数百万)の非常に簡単な規則に基づいて動作する点が異なることに留意されたい。具体的には、ザッパ規則は、「所与のパケットのソースIPアドレスパケットがa.b.c.dであり、そのパケットの宛先IPアドレスがw.x.y.zである場合、パケットを遮断(すなわちドロップ)する」という形態で表されることが可能である。
また、本発明の他の例示的な実施形態によれば、所与のソース及び宛先IPアドレスを有するパケットの送信を禁止するのではなく、ザッパ・フィルタは、そのようなパケットの優先順位を下げることが可能である。すなわち、フィルタリング機構は、そのようなパケットに低い経路指定優先順位を割り当てる、又はそのようなパケットに対してパケット率の限度を課すことが可能である。どちらの場合でも、所与のソース及び宛先IPアドレスを有するパケットは、トラフィックに対して著しい影響を有することはできず、したがってもはや被害者に対するDoS攻撃は成功しない。
本発明の他の例示的な実施形態によれば、攻撃の検出は、多くが当業者には明らかである簡単さ又は精巧さの程度が異なるアルゴリズムにより、被害者によって認識されることが可能であることが有利である。たとえば、本発明の1つの例示的な実施形態によれば、アプリケーションログが調査されることが可能であり、攻撃が、単一の識別されたソース又は複数の識別されたソースからの非常に高いトラフィックレベル(たとえば、高いパケット率)のみに基づいて識別されることが可能である(これは、DoS攻撃の存在を識別する1つの従来の方法であり、当業者には熟知されていることに留意されたい)。
しかし、本発明の他の例示的な実施形態によれば、パケット内容のアプリケーションベース分析が、疑わしい性質を有するパケット又はパケットの配列を識別するために実施されることが可能であり、たとえば、存在しないデータベース要素について頻繁にデータベースが探索されたかを認識する、個人が要求を開始することができる率より高い率において行われる複数の要求が明らかに人からのものであったことを認識する、構文的に無効な要求を識別する、及び通常行われる活動の動作において特に微妙な時間における疑わしい量のトラフィックを識別する、などである(たとえば、株取引ウエブサイトが、緊急株トランザクション中の微妙な時間において特に破壊的なトラフィックに気付く場合、疑わしいパケットの後者のクラスの例が、識別されることが可能である)。また、本発明の他の例示的な実施形態によれば、たとえば上述された状況の1つ又は複数を含むことが可能である可能な攻撃のいくつかの異なる指標が、攻撃の存在を識別するために、より洗練された分析において組み合わされることが可能であることが有利である。
図1は、本発明の例示的な実施形態によるDoS攻撃から防御するための例示的な装置が使用されるネットワーク環境を示す。図は、標的被害者11(たとえば、銀行又は他の金融機関とすることが可能である)を示す。標的被害者11は、それに関連付けられた1以上のIPアドレス(図示せず)を有すると想定されることに留意されたい。また、標的被害者11には、本発明の原理によれば、攻撃検出器12が関連付けられ、これは、本発明の例示的な実施形態によれば、DoS攻撃が標的被害者11に対して行われていることを判定するように動作する。
サービスを標的被害者11に提供するネットワークキャリアであるキャリアネットワーク13が、様々なソースからIPパケットを受信し、それらを標的被害者11に送信する。図に示されたように、被害者に送信されているIPパケットは、実際には、被害者に対するDoS攻撃に関連付けられ、多数のゾンビマシン14によって送信されている。キャリアネットワーク13はまた、ザッパ15を含み、これは、本発明の例示的案実施形態によれば、DoS攻撃から防御することが有利である。
より具体的には、動作時及び本発明の例示的な実施形態によれば、ザッパ15は、DoS攻撃が標的被害者11に対して行われていると判定すると、1以上のソース/宛先IPアドレス対を攻撃検出器12から受信する。その結果、キャリアネットワーク13は、ソースIPアドレス及び宛先IPアドレスが受信ソース/宛先IPアドレス対のいずれかのものと整合するIPパケットの送信を制限し(たとえば、遮断し)、それにより、ゾンビ14から攻撃被害者11へのDoS攻撃を制限する(又は排除する)ことが有利である。ザッパ15は、冗長接続17を経て攻撃検出器12からソース/宛先IPアドレス対を受信することが有利であることに留意されたい。また、ゾンビ14から無関係のサーバ16に送信されたIPパケットが影響を受けないことが有利であることにも留意されたい。
図2は、本発明の例示的な実施形態によるDoS攻撃から防御する方法のフローチャートを示す。図2の例示的な方法は、所与の標的被害者にサーブするネットワークキャリアにおいて実施され、DoS攻撃が所要の標的被害者に対して行われているという指示を受信することによって開始される(ブロック21に示されるように)。次いで(ブロック22に示されるように)、ネットワークキャリアは、DoS攻撃を妨害するために遮断されるべきであるIPパケットを表す1以上のソース/宛先IPアドレス対を受信する(例として、ソースIPアドレスは、攻撃「ゾンビ」マシンのものであり、宛先IPアドレスは、標的被害者自体に関連付けられたものである)。次に(ブロック23に示されるように)、ネットワークキャリアは、ソースIPアドレス及び宛先IPアドレスが受信ソース/宛先IPアドレス対の1つと整合するIPパケットを識別するために、IPパケットトラフィックを監視する。最後に(ブロック24に示されるように)ネットワークキャリアは、識別されたIPパケットを遮断し、それにより、標的被害者に対するDoS攻撃を妨害する。
詳細な記述に対する補足
以上の議論のすべては、本発明の一般的な原理を単に示すことに留意されたい。当業者なら、本明細書では明示的には記述されていない、又は示されていないが、本発明の原理を実現し、かつその精神及び範囲内に含まれる様々な他の構成を工夫することができることが理解されるであろう。たとえば、本発明は、特にインターネットプロトコル(IP)ネットワークに関して記述されたが、当業者には、使用される特定の通信プロトコルは、本発明の原理に関連せず、したがって、本発明は、関連付けられたソース及び宛先アドレスを有するパケットがネットワークを経て送信される任意のデータ・パケットベース・ネットワークにおいて同一の方式で使用することができることが明らかになるであろう。
以上の議論のすべては、本発明の一般的な原理を単に示すことに留意されたい。当業者なら、本明細書では明示的には記述されていない、又は示されていないが、本発明の原理を実現し、かつその精神及び範囲内に含まれる様々な他の構成を工夫することができることが理解されるであろう。たとえば、本発明は、特にインターネットプロトコル(IP)ネットワークに関して記述されたが、当業者には、使用される特定の通信プロトコルは、本発明の原理に関連せず、したがって、本発明は、関連付けられたソース及び宛先アドレスを有するパケットがネットワークを経て送信される任意のデータ・パケットベース・ネットワークにおいて同一の方式で使用することができることが明らかになるであろう。
さらに、本明細書において列挙されたすべての例及び条件付き言語は、当技術分野を推進するために、本発明者によって寄与される本発明の原理及び概念を読者が理解するのを補助するために、明確に単に教育的な目的であることを主に意図し、そのような具体的に列挙された例及び条件に制限されないと解釈されるべきである。さらに、本発明の原理、態様、及び実施形態、並びにその具体的な例を列挙する本明細書のすべての記述は、その構造的投下物及び機能的等価物の両方を包含することを意図する。また、そのような等価物は、現在既知の等価物、並びに将来開発される等価物、すなわち、構造に関係なく、同じ機能を実施する任意の開発された要素の両方を含むことも意図する。
Claims (10)
- 標的被害者に対するサービス不能(DoS)攻撃から防御する完全に自動化された方法であって、該方法が、IPパケットを該標的被害者に送信することによってパケットベース通信サービスを前記標的被害者に提供するパケットベース・キャリアネットワークにおいて実施され、前記標的被害者がそれに関連付けられた1以上のIPアドレスを有する方法において、
DoS攻撃が前記標的被害者に対して行われていることを申し立てる自動指示を前記標的被害者から受信するステップ、
前記標的被害者から、送信が制限されるべきであるIPパケットを表すIPアドレスの1以上の対を受信するステップであって、IPアドレスの前記対のそれぞれがソースIPアドレス及び宛先IPアドレスを備え、前記宛先IPアドレスが前記標的被害者に関連付けられた前記IPアドレスの1つであるステップ、
前記標的被害者から受信されたIPアドレスの前記対の1つを構成する前記ソースIPアドレス及び前記宛先IPアドレスに等しいソースIPアドレス及び宛先IPアドレスを有するIPパケットを識別するために、前記キャリアネットワークの少なくとも一部を通るIPパケットのトラフィックを監視するステップ、及び
前記標的被害者から受信されたIPアドレスの前記対の前記1つを構成する前記ソースIPアドレス及び前記宛先IPアドレスに等しいソースIPアドレス及び宛先IPアドレスを有し、かつ送信が制限されるべきであるIPパケットを表す前記識別されたIPパケットの送信を制限するステップ
からなる方法。 - 請求項1記載の方法において、前記標的被害者から受信されたIPアドレスの前記対の1つを構成する前記ソースIPアドレス及び前記宛先IPアドレスに等しいソースIPアドレス及び宛先IPアドレスを有する前記識別されたIPパケットの送信を制限するステップが、前記識別されたIPパケットの前記送信を防止するステップからなる方法。
- 請求項1記載の方法において、前記標的被害者から受信されたIPアドレスの前記対の1つを構成する前記ソースIPアドレス及び前記宛先IPアドレスに等しいソースIPアドレス及び宛先IPアドレスを有する前記識別されたIPパケットの送信を制限するステップが、前記識別されたIPパケットの経路指定優先順位を下げるステップからなる方法。
- 請求項1記載の方法において、前記標的被害者から受信されたIPアドレスの前記対の1つを構成する前記ソースIPアドレス及び前記宛先IPアドレスに等しいソースIPアドレス及び宛先IPアドレスを有する前記識別されたIPパケットの送信を制限するステップが、所定のパケット率を超えないように前記識別されたIPパケットの送信を制限するステップからなる方法。
- 請求項1記載の方法において、前記IPアドレスの1以上の対を前記標的被害者から受信するステップが、セキュリティ署名を使用してIPアドレスの1以上の対を前記標的被害者から受信するステップからなる方法。
- 請求項1記載の方法において、前記IPアドレスの1以上の対を前記標的被害者から受信するステップが、前記標的被害者からの冗長接続を使用してIPアドレスの1以上の対を前記標的被害者から受信するステップからなる方法。
- 請求項1記載の方法において、前記IPアドレスの1以上の対を前記標的被害者から受信するステップが、冗長通信プロトコルを使用してIPアドレスの1以上の対を前記標的被害者から受信するステップからなる方法。
- 請求項1記載の方法であって、さらに、IPアドレスの前記対の前記1つが前記標的被害者から受信されてから所定の時間期間が経過した後、前記標的被害者から受信されたIPアドレスの前記対の前記1つを構成する前記ソースIPアドレス及び前記宛先IPアドレスに等しいソースIPアドレス及び宛先IPアドレスを有する前記識別されたIPパケットの1以上の送信を制限することを終了するステップからなる方法。
- 請求項1記載の方法であって、さらに、
送信がもはや制限されないIPパケットを表すIPアドレスの1以上の対を前記標的被害者から受信するステップ、及び
前記標的被害者から受信され、かつ送信がもはや制限されないIPパケットを表すIPアドレスの前記対の前記1つを構成する前記ソースIPアドレス及び前記宛先IPアドレスに等しいソースIPアドレス及び宛先IPアドレスを有する前記IPパケットの前記送信を制限することを中断するステップ
からなる方法。 - 請求項1記載の方法であって、さらに、前記標的被害者から受信され、かつ送信がもはや制限されないIPパケットを表すIPアドレスの前記対の1つを構成する前記ソースIPアドレス及び前記宛先IPアドレスに等しいソースIPアドレス及び宛先IPアドレスを有する前記識別されたIPパケットの1以上の前記ソースIPアドレスに、不到着メッセージを送り返すステップからなる方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/197,841 US7889735B2 (en) | 2005-08-05 | 2005-08-05 | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs |
| US11/197,841 | 2005-08-05 | ||
| PCT/US2006/030207 WO2007019213A1 (en) | 2005-08-05 | 2006-08-02 | Method for defending against denial of service attacks in ip networks by target victim self-identification and control |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2009504100A true JP2009504100A (ja) | 2009-01-29 |
| JP2009504100A5 JP2009504100A5 (ja) | 2009-08-20 |
| JP4768021B2 JP4768021B2 (ja) | 2011-09-07 |
Family
ID=37440673
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008525173A Expired - Fee Related JP4768021B2 (ja) | 2005-08-05 | 2006-08-02 | IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7889735B2 (ja) |
| EP (1) | EP1911243B1 (ja) |
| JP (1) | JP4768021B2 (ja) |
| KR (1) | KR101217647B1 (ja) |
| CN (1) | CN101213812B (ja) |
| AT (1) | ATE544283T1 (ja) |
| WO (1) | WO2007019213A1 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7747244B2 (en) * | 2003-01-23 | 2010-06-29 | Research In Motion Limited | Methods and apparatus for re-establishing communication for a wireless communication device after a communication loss in a wireless communication network |
| US7661136B1 (en) * | 2005-12-13 | 2010-02-09 | At&T Intellectual Property Ii, L.P. | Detecting anomalous web proxy activity |
| US8327297B2 (en) | 2005-12-16 | 2012-12-04 | Aol Inc. | User interface system for handheld devices |
| US20070157316A1 (en) * | 2005-12-30 | 2007-07-05 | Intel Corporation | Managing rogue IP traffic in a global enterprise |
| US8646038B2 (en) * | 2006-09-15 | 2014-02-04 | Microsoft Corporation | Automated service for blocking malware hosts |
| US8898276B1 (en) * | 2007-01-11 | 2014-11-25 | Crimson Corporation | Systems and methods for monitoring network ports to redirect computing devices to a protected network |
| JP4877107B2 (ja) * | 2007-07-06 | 2012-02-15 | ブラザー工業株式会社 | 情報配信システムにおける端末装置及び情報処理プログラム、並びに端末装置の情報処理方法 |
| US8588056B1 (en) * | 2009-04-15 | 2013-11-19 | Sprint Communications Company L.P. | Elimination of unwanted packets entering a restricted bandwidth network |
| US9148376B2 (en) | 2010-12-08 | 2015-09-29 | AT&T Intellectual Property I, L.L.P. | Method and system for dynamic traffic prioritization |
| US8644177B2 (en) | 2010-12-16 | 2014-02-04 | Blackberry Limited | Methods and apparatus for use in controlling data traffic for a wireless mobile terminal using a wireless access point (AP) |
| US8966622B2 (en) * | 2010-12-29 | 2015-02-24 | Amazon Technologies, Inc. | Techniques for protecting against denial of service attacks near the source |
| CN105741510A (zh) * | 2016-03-17 | 2016-07-06 | 云丁网络技术(北京)有限公司 | 一种基于无线信号的智能报警方法及其智能报警系统 |
| US11750622B1 (en) | 2017-09-05 | 2023-09-05 | Barefoot Networks, Inc. | Forwarding element with a data plane DDoS attack detector |
| US11108812B1 (en) | 2018-04-16 | 2021-08-31 | Barefoot Networks, Inc. | Data plane with connection validation circuits |
| CN110535844B (zh) * | 2019-08-20 | 2021-09-28 | 北京网思科平科技有限公司 | 一种恶意软件通讯活动检测方法、系统及存储介质 |
| CN115514501B (zh) * | 2021-06-03 | 2024-07-02 | 中国移动通信集团四川有限公司 | 一种封堵网络攻击的方法和装置 |
| CN113452692A (zh) * | 2021-06-24 | 2021-09-28 | 北京卫达信息技术有限公司 | 一种防御网络攻击的方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001057554A (ja) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | クラッカー監視システム |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| WO2002025402A2 (en) * | 2000-09-20 | 2002-03-28 | Bbnt Solutions Llc | Systems and methods that protect networks and devices against denial of service attacks |
| WO2003005666A2 (en) * | 2001-07-03 | 2003-01-16 | Intel Corporation | An apparatus and method for secure, automated response to distributed denial of service attacks |
| US20030037141A1 (en) * | 2001-08-16 | 2003-02-20 | Gary Milo | Heuristic profiler software features |
| JP2003134156A (ja) * | 2001-10-30 | 2003-05-09 | Sony Corp | 通信処理装置、および通信処理方法、並びにコンピュータ・プログラム |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| JP2005130190A (ja) * | 2003-10-23 | 2005-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット防御システム |
| JP2005151039A (ja) * | 2003-11-13 | 2005-06-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット防御システム |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5198607A (en) * | 1992-02-18 | 1993-03-30 | Trw Inc. | Laser anti-missle defense system |
| US5907485A (en) * | 1995-03-31 | 1999-05-25 | Sun Microsystems, Inc. | Method and apparatus for flow control in packet-switched computer system |
| US6611521B1 (en) * | 1998-07-14 | 2003-08-26 | International Business Machines Corporation | Data link layer extensions to a high latency wireless MAC protocol |
| US6594268B1 (en) * | 1999-03-11 | 2003-07-15 | Lucent Technologies Inc. | Adaptive routing system and method for QOS packet networks |
| SE518422C2 (sv) | 2000-03-10 | 2002-10-08 | Ericsson Telefon Ab L M | Förfarande och anordning för punkt-till-punktförbindelser i ett kommunikationsnät |
| CN1592898A (zh) * | 2000-09-01 | 2005-03-09 | Tut系统公司 | 一种为数据通信设备预编译配置信息的方法和系统 |
| US20020032793A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic |
| US7188366B2 (en) * | 2000-09-12 | 2007-03-06 | Nippon Telegraph And Telephone Corporation | Distributed denial of service attack defense method and device |
| US7301899B2 (en) * | 2001-01-31 | 2007-11-27 | Comverse Ltd. | Prevention of bandwidth congestion in a denial of service or other internet-based attack |
| US8402129B2 (en) * | 2001-03-21 | 2013-03-19 | Alcatel Lucent | Method and apparatus for efficient reactive monitoring |
| AU2002312567A1 (en) | 2001-06-20 | 2003-01-08 | Arbor Networks, Inc. | Detecting network misuse |
| US7197009B1 (en) * | 2002-03-06 | 2007-03-27 | Sprint Communications Company L.P. | Delay variation based routing in communication systems |
| US7472421B2 (en) | 2002-09-30 | 2008-12-30 | Electronic Data Systems Corporation | Computer model of security risks |
| KR100523483B1 (ko) * | 2002-10-24 | 2005-10-24 | 한국전자통신연구원 | 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 |
| GB0315156D0 (en) | 2003-06-28 | 2003-08-06 | Ibm | Identification system and method |
| US8171562B2 (en) * | 2003-08-26 | 2012-05-01 | Oregon Health & Science University | System and methods for protecting against denial of service attacks |
| KR100502068B1 (ko) * | 2003-09-29 | 2005-07-25 | 한국전자통신연구원 | 네트워크 노드의 보안 엔진 관리 장치 및 방법 |
| KR100609684B1 (ko) * | 2003-12-26 | 2006-08-08 | 한국전자통신연구원 | 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법 |
| US7436770B2 (en) * | 2004-01-21 | 2008-10-14 | Alcatel Lucent | Metering packet flows for limiting effects of denial of service attacks |
| US7523499B2 (en) * | 2004-03-25 | 2009-04-21 | Microsoft Corporation | Security attack detection and defense |
| US7725708B2 (en) * | 2004-10-07 | 2010-05-25 | Genband Inc. | Methods and systems for automatic denial of service protection in an IP device |
| US7936682B2 (en) * | 2004-11-09 | 2011-05-03 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
-
2005
- 2005-08-05 US US11/197,841 patent/US7889735B2/en not_active Expired - Fee Related
-
2006
- 2006-08-02 WO PCT/US2006/030207 patent/WO2007019213A1/en active Application Filing
- 2006-08-02 CN CN2006800237398A patent/CN101213812B/zh not_active Expired - Fee Related
- 2006-08-02 AT AT06789264T patent/ATE544283T1/de active
- 2006-08-02 JP JP2008525173A patent/JP4768021B2/ja not_active Expired - Fee Related
- 2006-08-02 EP EP06789264A patent/EP1911243B1/en not_active Not-in-force
- 2006-08-02 KR KR1020077030525A patent/KR101217647B1/ko not_active IP Right Cessation
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001057554A (ja) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | クラッカー監視システム |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| WO2002025402A2 (en) * | 2000-09-20 | 2002-03-28 | Bbnt Solutions Llc | Systems and methods that protect networks and devices against denial of service attacks |
| WO2003005666A2 (en) * | 2001-07-03 | 2003-01-16 | Intel Corporation | An apparatus and method for secure, automated response to distributed denial of service attacks |
| US20030037141A1 (en) * | 2001-08-16 | 2003-02-20 | Gary Milo | Heuristic profiler software features |
| JP2003134156A (ja) * | 2001-10-30 | 2003-05-09 | Sony Corp | 通信処理装置、および通信処理方法、並びにコンピュータ・プログラム |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| JP2005130190A (ja) * | 2003-10-23 | 2005-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット防御システム |
| JP2005151039A (ja) * | 2003-11-13 | 2005-06-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット防御システム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070030850A1 (en) | 2007-02-08 |
| KR20080028381A (ko) | 2008-03-31 |
| EP1911243A1 (en) | 2008-04-16 |
| JP4768021B2 (ja) | 2011-09-07 |
| US7889735B2 (en) | 2011-02-15 |
| KR101217647B1 (ko) | 2013-01-02 |
| CN101213812A (zh) | 2008-07-02 |
| EP1911243B1 (en) | 2012-02-01 |
| CN101213812B (zh) | 2011-08-03 |
| ATE544283T1 (de) | 2012-02-15 |
| WO2007019213A1 (en) | 2007-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4768021B2 (ja) | IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| US9628511B2 (en) | System and method for identification and blocking of unwanted network traffic | |
| US8776217B2 (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| EP1616258A2 (en) | System and method for network quality of service protection on security breach detection | |
| KR102501372B1 (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
| Dakhane et al. | Active warden for TCP sequence number base covert channel | |
| JP5153779B2 (ja) | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 | |
| KR102267101B1 (ko) | 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법 | |
| JP2006501527A (ja) | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム | |
| Amran et al. | Metrics for network forensics conviction evidence | |
| Mavrommatis | Confronting and intrusion detection techniques of cyber-attacks in wired and wireless communication networks | |
| Mishra et al. | A systematic survey on DDoS attack and data confidentiality issue on cloud servers | |
| Gupta et al. | Distributed Denial of Service (DDOS) Attacks in Cloud Computing: A Survey | |
| Chen et al. | NETWORK TERM PROJECT SONY HACK OR DDOS | |
| Yousif et al. | A Proposed Firewall For Viruses | |
| JP2005217692A (ja) | 侵入箇所特定システム | |
| Peuhkuri | Network provider Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090630 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090630 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110119 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110523 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110615 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140624 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |