JP2009534001A - 悪質な攻撃の検出システム及びそれに関連する使用方法 - Google Patents

悪質な攻撃の検出システム及びそれに関連する使用方法 Download PDF

Info

Publication number
JP2009534001A
JP2009534001A JP2009506697A JP2009506697A JP2009534001A JP 2009534001 A JP2009534001 A JP 2009534001A JP 2009506697 A JP2009506697 A JP 2009506697A JP 2009506697 A JP2009506697 A JP 2009506697A JP 2009534001 A JP2009534001 A JP 2009534001A
Authority
JP
Japan
Prior art keywords
function
malicious attack
internet protocol
address
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009506697A
Other languages
English (en)
Inventor
リ・ホジェ
インドラ・グナワン・ハリジョノ
プルドヴィ・ナド・ヌーニー
ヨン・ウオヨル
Original Assignee
株式会社コネクトテクノロジーズ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社コネクトテクノロジーズ filed Critical 株式会社コネクトテクノロジーズ
Publication of JP2009534001A publication Critical patent/JP2009534001A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Abstract

悪質な攻撃を検出するシステム及びそれに関連する使用方法が開示される。これは、データパケットのヘッダフレームを受信して解析し、ヘッダ情報とインターネットプロトコル(IP又はTCP/IP)アドレスを得て、潜在的な悪質な攻撃の条件についてヘッダ情報を調べ、もし存在するときに制約フィルタ結果が生成され、インターネットプロトコル(IP)アドレスを比較して、インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断し、制約フィルタ結果の数を判断して、所定の閾期間中にインクリメントされたカウントが所定の閾値を超えたかどうかを判断し、その判断に基づいて、少なくとも1つのデータパケットを除くことを含む。好ましくは、しかし必須ではないが、工程は、新しいデータパケットが到達したときに、先のデータパケットに関する上述した全ての処理が完了していることを意味するワイヤスピードで実行される。

Description

本発明は、サーバの保護に関し、特に、インターネットなどのグローバルなコンピュータネットワークを利用するサーバのためにサービス拒否(DoS:Denial of Service)及びポートスキャンなどの悪質な攻撃を検出して防ぐための技術であって、好ましくは、しかし必ずしもではないが、ワイヤスピードで実現する改良された技術に関する。
企業などの多くのエンティティ(entities)は、情報を共有するためにそれらのコンピュータをネットワーク接続する。さらに、これらのエンティティは、通常、コンピュータを用いて、それらのネットワークの外で、インターネットなどのグローバルなコンピュータネットワークを使用して、典型的にはウェブサイトにより、少なくともいくつかの情報を共有することを望む。このネットワークの外での情報の共有は、インターネットなどのグローバルなコンピュータネットワークにネットワーク接続するための通信手段を外部コンピュータに提供するコンピュータサーバを用いて成し遂げられる。
不運にも、悪質なコンピュータのユーザは、インターネットの通信手段を利用して、インターネットを通してネットワーク通信を混乱させ、秘密データへのアクセスを取得し、又はデータを消去することが可能である。このような攻撃の一例として、アタッカがあるリソースへの犠牲のアクセス(victim's access)を拒否するように試みる、サービス拒否(DoS)攻撃がある。サービス拒否(DoS)攻撃は、サーバのプロセッサ(例えば、CPU、メモリ、及びネットワークの通信手段)を消費し且つ使いつくすことを含む、種々の方法により達成されうる。
ネットワーク接続を確立するため、外部コンピュータとサーバとの間で、双方向通信又はハンドシェイク処理を行わなければならない。基本的な概要のネットワークの全体が、図1に図示されるように、符号1で示されている。例えば、外部(クライアント)コンピュータ2は、グローバルコンピュータネットワークなどのネットワーク6により、サービスについての要求をサーバに送信する。この要求に応えて、サーバはメモリ空間と処理時間を割り当て、コンピュータに応答を送り返し、コンピュータの応答を待つ。悪質な意図を持つ外部コンピュータ4、すなわち、アタッカは、サービスについての非常に多くの要求をサーバ3に送信できる。しかし、サーバに応答を返すことはない。外部コンピュータは、正当に見える又は信頼できるソース(コンピュータ)から来たように見えるIPアドレスを挿入する「IPアドレスのなりすまし(IPアドレススプーフィング)」9と呼ばれる一般技術を利用する。IPアドレススプーフィング9は、サーバ3に、非常に多くの(多数の)接続が確立されることを要求されていると信じさせる。サーバ3は、メモリと処理時間を確保し及び消費しながら、決して受信しない応答を待つ。追加のデータパケットを待ち、受信している間、サーバ3は、メモリ、処理空間、又はネットワークへの通信手段を使い尽くしうる。非常の多くのメモリを消費する結果、サーバ3は、他の正当な外部コンピュータ2からのさらなる正当な要求11を取り扱うのを拒否する。最終的に、要求が非常に多くなると、サーバ3が正当なユーザへの接続を提供できないだけでなく、ネットワーク全体を氾濫させ妨害できるようになり、インターネットを用いたサーバの通信が本質的に遮断する(8)。これにより、Eメール、インターネットのアクセス、及び/又はウェブサーバの機能を失う結果となる。
悪質なアタッカが、正当な外部コンピュータ又はユーザ2の要求を満たす(正当な)サーバ5として動作するふりをするとき、他の複雑な事態がさらに発生する。(正当な)サーバ5として動作するふりをする悪質なアタッカは、消耗(及びビジー)の理由で、もはや応答しない。アタッカ7は、他の正当なコンピュータ又はユーザ2から秘密データ12を要求できる。正当なコンピュータ又はユーザ2は、図1に示されるように、偽サーバ5により攻撃される(7)ことに必ずしも気付いていない。
これらの攻撃の他の例は、ネットワークの利用可能な帯域幅の全てを消費するために、多量のデータパケットでサーバを氾濫させ、正当なユーザによるネットワークへのアクセスを拒否し、又は、サーバに非常に多くのプログラム又はスクリプトを実行させることにより、利用できるディスクの空き容量を使いつくすことを含む。
さらに悪質なコンピュータのユーザは、ネットワーク通信ポートについての情報を取得する(例えば、ポートが開放されているか又は閉鎖されているか、又は、どのサービス又はプログラムがポートを使用しているかを調べる)ためにポートスキャンを利用できる。アタッカは、ポートを用いたサービスの脆弱性について調べ、それらを利用して、システムへのアクセスを獲得することができる。そこで、アタッカは、データを消去し、又は他の悪質な行為を実行することができる。
高速なネットワークトラフィックにおいて、悪質な攻撃を検出し、タイミングの良い適切な方法でシステムが攻撃されることを防ぐことは、企業にとって重要であることが分かる。ワイヤスピードでの攻撃の検出は、適切なタイミングで攻撃を検出するだけでなく、最速の可能な検出時間で攻撃(さらに攻撃されること)を防ぐ場合に非常に役に立つ。適切なタイミングで的確な検出が行われない場合、攻撃は、システムに侵入して主要なサービスの拒否(DoS)攻撃を引き起こすことができるだけでなく、永久的なデータの紛失を引き起こすこともできる。
本発明は、上述した1以上の問題を克服することを対象とする。
本発明の一態様において、本発明は、サービス拒否攻撃及び/又はポートスキャンの検出システムを含む。検出システムは、インターネットのデータパケット(TCP/IP又はIP)を受信し、パケットがサービス拒否攻撃又はポートスキャンの試みであると判断した場合に、サーバからそのパケットを除く。パケットは、好ましくは、しかし必ずしもではないが、ワイヤスピードで除かれる。ワイヤスピードは、(TCP/IP又はIP)データパケット処理速度として定義される。ワイヤスピードは、サービス拒否(DoS)又はポートスキャンの攻撃を検出するために必要な時間であり、個々の(TCP/IP又はIP)データパケットがシステムに入力してから、次の(TCP/IP又はIP)データパケットがシステムに入るまでに、必要とされる時間以下である。言い換えると、次の(直後の)(TCP/IP又はIP)データパケットがサービス拒否(DoS)及び/又はポートスキャンの処理に到達するときまでに、前の(TCP/IP又はIP)データパケットについての検出が、既存のワイヤスピードの条件で、うまく完了していなければならない。このような攻撃の検出は、好ましくは、入ってくるインターネットパケットの発信元と送信先のアドレスが、以前に格納されたパケットの発信元と送信先のアドレスに合致しているかどうかを調べるシステムを含む。システムは、特定の時間閾値において、同一の発信元又は送信先のIPアドレスからのパケットの数をカウントし、カウントが所定の閾値を越えた場合に、システムからパケットを除くことにより攻撃を防ぐ。
ワイヤスピードでのサービス拒否(DoS)及び/又はポートスキャンの検出器を有することが、必須ではないが、好ましい。この場合、サーバは、「サーバファーム」構成などの、高い帯域幅と高いスループットの環境を提供するように配置される。ワイヤスピードでの検出がない場合、多くのアタッカが(一般の及び従来の)検出技術を回避することを可能にし、また、アタッカは検出システム自身を使い尽くすことができ、又は検出システムは、重大なパケットの紛失と遅延を引き起こす進入(TCP/IP又はIP)データパケットを除かざるを得なくなる。
本発明の他の態様において、悪質な攻撃の検出システムが開示される。そのシステムは、データパケットのヘッダフレームを受信して解析し、ヘッダ情報とインターネットプロトコル(IP)アドレスを得るヘッダ解析機能と、潜在的な悪質な攻撃の条件についてヘッダ情報を調べ、潜在的な悪質な攻撃の条件が存在するとき、制約フィルタ結果を生成する制約フィルタ機能と、インターネットプロトコル(IP)アドレスを比較してインターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断する比較機能と、比較機能がインターネットプロトコル(IP)アドレスが以前に受信されたものであると判断した場合に、制約フィルタ結果がカウントをインクリメントしたことを判断し、且つ、カウントが所定の閾期間中に所定の閾値を超えたかどうかを判断する検出機能と、検出機能が所定の閾期間中にカウントが所定の閾値を超えたと判断したときに、システムから少なくとも1つのデータパケットを除く制御信号を出力する制御機能と、ヘッダ解析機能、制約フィルタ機能、検出機能、及び制御機能を実現する、少なくとも1つのプロセッサと、を有する。
本発明のさらに他の態様において、悪質な攻撃の検出システムが開示される。そのシステムは、ワイヤスピードでデータパケットのヘッダフレームを受信して解析し、ヘッダ情報とインターネットプロトコル(IP)アドレスを得るヘッダ解析機能と、ワイヤスピードで潜在的な悪質な攻撃の条件についてヘッダ情報を調べ、潜在的な悪質な攻撃の条件が存在するとき、制約フィルタ結果を生成する制約フィルタ機能と(潜在的な悪質な攻撃の条件は、サービス拒否(DoS)攻撃又はポートスキャンからなる群から選択され、制約フィルタ機能は、選択的にアクティブにできる複数の制約条件を含み)、インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断するために、ワイヤスピードで、インターネットプロトコル(IP)アドレスを比較する比較機能と、ワイヤスピードで動作して、比較機能がインターネットプロトコル(IP)アドレスが以前に受信されたものであると判断した場合に、制約フィルタ結果がカウントをインクリメントしたことを判断し、且つ、所定の閾期間中にカウントが所定の閾値を越えたかどうかを判断する、検出機能と(検出機能は、複数のカウンタと、対応する複数の閾カウンタ値比較と、複数の時間間隔を備えた関連する時間間隔フィルタ機能と、対応する複数の閾時間間隔値と、を含み)、ワイヤスピードで動作して、検出機能が所定の閾期間中にカウントが所定の閾値を超えたと判断したときに、システムから少なくとも1つのデータパケットを除く制御信号を出力する制御機能と、ヘッダ解析機能、制約フィルタ機能、検出機能、及び制御機能を実現する少なくとも1つのプロセッサと、少なくとも1つのプロセッサに関連付けられて制約フィルタ機能及び制御機能の制御を提供するインターフェースと、を有する。
本発明のさらに他の態様において、少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法が開示される。その方法は、データパケットのヘッダフレームを受信して解析し、ヘッダ情報とインターネットプロトコル(IP)アドレスを得るステップと、潜在的な悪質な攻撃の条件について、ヘッダ情報を調べ、潜在的な悪質な攻撃の条件が存在するとき、制約フィルタ結果を生成するステップと、インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断するためにインターネットプロトコル(IP)アドレスを比較するステップと、インターネットプロトコル(IP)アドレスの比較ステップ中に、インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断するステップと、制約フィルタ結果の数を判断し、インクリメントされたカウントが、所定の閾期間中に所定の閾値を越えたかどうかを判断するステップと、検出機能が所定の閾期間中にカウントが所定の閾値を越えたと判断したときに、システムから少なくとも1つのデータパケットを除くステップと、を有する。
本発明のさらに他の態様において、少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法が開示される。その方法は、ワイヤスピードでデータパケットのヘッダフレームを受信して解析し、ヘッダ情報とインターネットプロトコル(IP)アドレスを得るステップと、ワイヤスピードで潜在的な悪質な攻撃の条件についてヘッダ情報を調べ、潜在的な悪質な攻撃の条件が存在するとき、複数の制約条件の選択的なアクティブ化により、制約フィルタ結果を生成するステップと(潜在的な悪質な攻撃の条件は、サービス拒否(DoS)攻撃又はポートスキャンからなる群から選択され)、インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断するためにワイヤスピードでインターネットプロトコル(IP)アドレスを比較するステップと、ワイヤスピードでインターネットプロトコル(IP)アドレスの比較ステップ中に、インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断するステップと、ワイヤスピードで制約フィルタ結果の数を判断し、インクリメントされたカウントが所定の閾期間中に所定の閾値を越えたかどうかを判断するステップと、複数のカウンタと、対応する複数の閾カウンタ値比較と、複数の時間間隔と、対応する複数の閾時間間隔値と、を用いて、検出機能が所定の閾期間中にカウントが所定の閾値を越えたと判断したときに、ワイヤスピードで、システムから少なくとも1つのデータパケットを除くステップと、を有する。
これらは、本発明の無数の態様の中のほんのいくつかであって、本発明に関連する無数の態様の全てを含むリストと見なされるべきではない。これら及び他の態様は、下記の明細と添付の図面に照らすことにより、当業者によれば明らかとなる。
下記の詳細な記述において、本発明の徹底的な理解を提供するために、多数の具体的な詳細について説明する。しかしながら、当業者であれば、本発明は、これらの具体的な詳細がなくても実施できることが理解されうる。他の例では、周知の方法、手順、及び構成要素は本発明をわかりにくくするため、詳細は記述されない。
添付の図を参照すると、図1は、本発明による、サービス拒否(DoS)及びポートスキャンなどの悪質な攻撃の検出システム(全体が符号10で示される。)の概略図を示している。本発明において、ヘッダフレーム、例えば、一般的にイーサネットフレームに関連するL2フレーム(符号15により示される。)が受信され、先入れ/先出し(FIFO)メモリバッファ(符号104により全体を示される。)に渡される。
また、このヘッダフレームは、同時に、ヘッダフレームを受信する解析ブロック20に渡される。ヘッダフレームは、解析ブロック20内で解析され、ヘッダフレーム(例えば、L2)の種類が識別され、(TCP/IPデータパケットに対して同意語である)他のヘッダフレーム(例えば、インターネットプロトコル(IP)ヘッダに関連するL3ヘッダ及び伝送制御プロトコル(TCP)ヘッダに関連するL4ヘッダ)の第1のバイトが探し出される。また、解析ブロック20は、伝送制御プロトコル(TCP)フラグとタイミング情報などの他のヘッダ情報を検索する。送信先インターネットプロトコルアドレス(DIP)及び発信元インターネットプロトコルアドレス(SIP)52は、検出ブロック(符号50で全体を示される。)に送信される。検出ブロック50において、送信先インターネットプロトコルアドレス(DIP)及び発信元インターネットプロトコルアドレス(SIP)52は、インターネットプロトコル(IP)アドレス記憶ブロック54に送信される。
L2及び/又はL3及び/又はL4ヘッダフレームなどの残りのヘッダ情報22は、伝送制御プロトコル(TCP)フラグとタイミング情報と同様に、制約フィルタブロック(符号30で示される。)に送信される。制約フィルタブロック30は、サービス拒否(DoS)及びポートスキャンなどの潜在的な悪質な攻撃について、残りのヘッダ情報22を調べる。制約フィルタブロック30は、実例となる制約1(符号32で示される。)、実例となる制約2(符号34で示される。)、及び実例となる制約N(符号36で示される。)などの複数の制約を含むことができる。第1の制約フィルタブロック30において、フィルタの条件は、プロセッサインターフェースブロック(符号40で示される。)により、検出の種類によってアクティブ化及び非アクティブ化される。1又はそれ以上の条件が検出されるとき、制約フィルタ結果66が生成される。制約フィルタ結果66は、状態機械制御ブロック68とカウント累積比較ブロック(符号72で全体を示される。)に送信される。
フィルタの条件は、差し迫った悪質な攻撃の各種類、すなわち、サービス拒否(DoS)及びポートスキャンを調べるのに利用される。プロセッサインターフェースブロック40は、制約フィルタブロック30に電気的に接続されており、検出種類に従って、フィルタの条件をアクティブ及び非アクティブにする。検出ブロック50は、電気的に、ヘッダ解析ブロック20、制約フィルタブロック30、及びプロセッサインターフェースブロック40に接続されている。検出ブロック50は、ヘッダ解析ブロック20から受信される発信元及び送信先インターネットプロトコル(IP)アドレスを受信し格納する。また、検出ブロック50は、制約フィルタブロック30から制約フィルタ結果を受け取り、閾攻撃カウントが超えたかどうか又は攻撃間の閾時間間隔が超えたかどうかを判断する。
好ましくは、検出ブロック50は、連想メモリ(CAM)検索ブロック64を含む。CAM検索ブロック64は、ヘッダ解析ブロック20に電気的に接続され、発信元及び送信先インターネットプロトコル(IP)アドレス52を受信し、それらを検索し、それらが既にCAM検索ブロック64に格納されているかどうかを判断する。連想メモリ(CAM)は、高速でリストを検索し、対応する結果を提供することが可能な集積回路である。連想メモリ(CAM)は、そのコンテンツにより索引を付けられる位置に情報を格納することを可能にする非常に密集した集積デジタル回路に対する特有のメモリ構造を有する。コンテンツの検索は、単にコンテンツを必要とするだけである。従って、連結リスト及びハッシュテーブルなどの任意の従来の検索技術と比較すると、論理アレイに実現される場合、コンテンツの検索は二つのサイクルを必要とするだけである。その特性により、CAMは情報検索処理を加速するのに非常に役に立ち、高速で、例えばワイヤスピードで、サービス拒否(DoS)及びポートスキャンの攻撃に気付くのに利用されうる。CAM検索ブロック64は、セレクタエントリのリストで構成される。これらのセレクタエントリは、情報を含むコンテンツに関連している。各セレクタエントリは、対応する結果を持つ。CAM検索ブロック64は入力セレクタを受信したとき、合致について、セレクタエントリのリストを検索する。検索は、各セレクタエントリを入力セレクタと同時に比較することにより、高速で達成される。
検索処理の結果が否定的な場合、インターネットプロトコル(IP)アドレスは、以前に受信されていない。検索処理の結果が肯定的であると、合致しており、インターネットプロトコル(IP)アドレスが以前に受信されている。いずれの場合にも、合致結果70が、インターネットプロトコル(IP)記憶制御ブロック56とカウント累積/比較ブロック72に送信される。
合致結果70と制約フィルタ結果66は、カウント累積/比較ブロック72により受信される。複数のカウンタ(例えば、実例となるカウンタ1(符号74により示される。)、実例となるカウンタ2(符号78により示される。)、及び実例となるカウンタN(符号82により示される。)まで)がある。各カウンタは、閾比較値(例えば、実例となる閾値比較1(符号76により示される。)、実例となる閾値比較2(符号80により示される。)、及び実例となる閾値比較N(符号84により示される。))に関連している。この閾攻撃カウントの値は、インターフェースブロック40により設定される。カウント累積/比較ブロック72は、電気的に制御され、プロセッサインターフェースブロック40内に設けられた攻撃/企ての種類毎のカウント閾値制御44に接続される。
複数の時間間隔値(例えば、実例となる時間間隔値1(符号92により示される。)、実例となる時間間隔値2(符号96により示される。)、実例となる時間間隔N(符号100により示される。)まで)を有する時間間隔フィルタブロック(符号90により示される。)がある。各時間間隔値92、96、及び100は、閾比較値(例えば、実例となる閾値比較1(符号94により示される。)、実例となる閾値比較2(符号98により示される。)、実例となる閾値比較N(符号102により示される。)まで)に関連している。時間間隔フィルタブロック90は、電気的に制御され、プロセッサインターフェースブロック40内に設けられた攻撃/企ての種類毎の時間間隔閾値制御46に接続される。
第1の制約フィルタ結果66は、時間間隔フィルタブロック90の制約の種類に従って、カウント累積/比較ブロック72内で、カウントのインクリメントを開始し、インクリメントされたカウントが所定の時間間隔内においてカウント閾値を超えたかどうかを判断する。インクリメントされたカウンタが閾値を超えた場合、比較結果及び検出した種類86が生成され、フレーム(例えば、ヘッダフレーム「L2」)読み出し制御ブロック88と検出された種類の報告生成器48に送信される。
フレーム(例えば、ヘッダフレーム「L2」)読み出し制御88は、以前に参照された先入れ/先出し(FIFO)メモリバッファ104から受信してフレーム除去ブロック106内にある関連するデータパケットを除く動作をする読み出し制御機能89を生成する。「L2」などの関連するヘッダフレームを有するデータパケットが除かれると、検出されたフレームの報告生成器49が、「L2」などの特定のヘッダフレームを備えたデータパケットが除かれたことを示す読み出し108と共に、アクティブにされる。
以前に参照されたインターネットプロトコル(IP)アドレス記憶ブロック56は、CAM検索ブロック64から合致結果70を受信する。インターネットプロトコル(IP)アドレス記憶ブロック56は、所定のアルゴリズム(例えば、連結リスト)に基づいて、インターネットプロトコル(IP)アドレスを格納するための所定の且つ潜在的に制限された数のビン(bins)を、検出ブロック50内のビンと共有するように制御する。インターネットプロトコル(IP)アドレス記憶ブロック56は、割り当てられたインターネットプロトコル(IP)アドレス57(検出ブロック50内で調べられる。)を生成する。CAM検索ブロック64からの合致結果70が肯定的であるとき、インターネットプロトコル(IP)アドレスが以前に受信されたことを意味し、割り当てられたインターネットプロトコル(IP)アドレス57は同一のままとなる。CAM検索ブロック64からの合致結果70が否定的であるとき、インターネットプロトコル(IP)アドレスが以前に受信されなかったことを意味し、割り当てられたアドレス57の値は新しい値を含むようにインクリメントされる。
インターネットプロトコル(IP)アドレス記憶ブロック56は、割り当てられたインターネットプロトコル(IP)アドレス57により提供されるアドレス位置に、受信したインターネットプロトコル(IP)アドレスを格納する。この割り当てられたインターネットプロトコル(IP)アドレス57は、以前に参照されたインターネットプロトコル(IP)アドレス記憶ブロック54に提供される。状態の後半中、更新/リセットアドレス生成ブロック58は、インターネットプロトコル(IP)アドレスを消去する指令60又はインターネットプロトコル(IP)アドレスを更新する指令62と共に、CAM検索ブロック64内のコンテンツをリセット及び更新するアドレスを生成する。
状態機械制御ブロック68は、制約フィルタブロック30に電気的に接続され、制約フィルタ結果66を受信する。また、状態機械制御ブロック68は、電気的に接続されて、CAM検索ブロック64、IPアドレス記憶制御ブロック56、インターネットプロトコル(IP)アドレス記憶ブロック54、更新/リセットアドレス生成ブロック58、カウント累積/比較ブロック72、時間間隔フィルタブロック90、及びフレーム読み出し制御ブロック88を作動させる所定の状態を生成する。
検出ブロック50は、受信した発信元及び送信先インターネットプロトコル(IP)アドレス間の合致を調べ、制約フィルタ結果66に基づいてカウントを増加させる。カウント閾値が時間間隔閾値内において超えられたとき、検出ブロック50は、サーバネットワークからインターネットフレームを除く信号を生成する。
ヘッダ解析ブロック20がインターネットデータパケットを受信しているとき、このデータパケットは、フレーム受信ブロック104により受信される。フレーム受信ブロック104は、先入れ/先出しメモリバッファとして動作し、検出工程中、インターネットフレームを格納する。フレーム受信ブロック104は、フレーム除去制御ブロック106に電気的に接続される。フレーム除去制御ブロック106は、フレーム受信ブロック104からインターネットデータパケットを受信する。また、フレーム除去制御ブロック106は、フレーム(例えば、ヘッダフレーム「L2」)読み出し制御ブロック88により検出ブロック50に電気的に接続され、読み出し制御信号89を受信する。検出ブロック50は、サービス拒否(DoS)又はポートスキャンの攻撃が検出されたかどうかに基づいて、コンピュータネットワーク(例えば、グローバルコンピュータネットワーク上のサーバネットワーク)に、フレーム除去制御ブロック106がインターネットフレームを除去すべきか又は送信すべきかを伝達する。これにより、攻撃を防止する。
ここで図3を参照する。図3は、好ましくは、しかし必須ではないが、ワイヤスピードで発生する、サービス拒否(DoS)攻撃又はポートスキャンの検出工程(符号200により全体を示される。)の概略図である。フローチャートに関する記載において、山括弧<nnn>内の符号が付いた機能説明は、その数を有するフローチャートのブロックを参照する。
総体的な動作がステップ<202>で開始する。図2にも示されるように、ヘッダフレームは、解析ブロック20内で解析され(ステップ<204>により示される。)、ヘッダフレーム(例えば、L2)の種類を識別し、他のヘッダフレーム(「TCP/IP」データパケットに対し同意語である。例えば、インターネットプロトコル(IP)ヘッダに関連付けられたL3ヘッダと伝送制御プロトコル(TCP)ヘッダに関連付けられたL4ヘッダ)の第1のバイトを検索する。また、解析ブロック20は、伝送制御プロトコル(TCP)フラグとタイミング情報などの他のヘッダ情報を検索する。このヘッダ情報22(例えば、L2及び/又はL3及び/又はL4ヘッダフレーム)は、伝送制御プロトコル(TCP)フラグとタイミング情報と同様に解析され(工程ステップ<206>により示される。)、制約フィルタブロック(符号30により示される。)に送信される(図2に示され、且つ、図3の工程ステップ<208>である。)。
ポートスキャン又はサービス拒否(DoS)攻撃などの悪質な攻撃が検出されたかどうかを判断する(符号<212>で示される)。この検出が否定的な場合、処理は工程の始め(工程ステップ<202>により示される。)に戻る。
1以上の条件が検出されて、検出が肯定的な場合、制約フィルタ結果66が生成され、制約フィルタ結果66が状態機械制御ブロック68に送信される(図2に示され、且つ、図3の工程ステップ<216>である)。これらの制約フィルタ結果は、カウント累積比較ブロック72に送信される(図2に示され、且つ、図3の工程ステップ<220>である。)。
同時に、工程ステップ<206>から、解析された送信先インターネットプロトコルアドレス(DIP)及び発信元インターネットプロトコルアドレス(SIP)52が、検出ブロック(図2において符号50で全体を示される。)に送信される(図3の工程ステップ<210>により示される)。検出ブロック50において、送信先インターネットプロトコルアドレス(DIP)と発信元インターネットプロトコルアドレス(SIP)52は、インターネットプロトコル(IP)アドレス記憶ブロック54に送信される。好ましくは、検出ブロック50は、連想メモリ(CAM)検索ブロック64を含む。図2に示されるように、CAM検索ブロック64は、発信元及び送信先インターネットプロトコル(IP)アドレス52を受信し、それらを検索し、CAM検索ブロック64のメモリに既に格納されているかどうかを判断する。CAM検索が否定的な場合、工程は、工程の始め(、図3において工程ステップ<202>で示される。)に戻る。図2に示されるように、CAM検索が肯定的な場合、インターネットプロトコル(IP)アドレス記憶ブロック56は受信したインターネットプロトコル(IP)アドレスを、割り当てられたインターネットプロトコル(IP)アドレス57により提供されるアドレス位置に格納する。この割り当てられたインターネットプロトコル(IP)アドレス57は、先に参照したインターネットプロトコル(IP)アドレス記憶ブロック54に提供される。状態の後半中、更新/リセットアドレス生成ブロック58は、アドレスを生成し、インターネットプロトコル(IP)アドレスを消去する指令60又はインターネットプロトコル(IP)アドレスを更新する指令62により、CAM検索ブロック64のコンテンツをリセット及び更新する。この工程ステップは、図4の<218>により示されている。それから、これらのCAM検索結果は、カウント累積比較ブロック72に送信される(図2に示され、且つ、図3の工程ステップ<220>で示される)。
それから、制約フィルタ結果がカウント累積比較ブロック72に送信され(図2に示される。)、その後、CAM検索結果がカウント累積比較ブロック72に送信される(図2に示される。)(両者とも図3の工程ステップ<220>により示される。)。
検出ブロック50が制約フィルタブロック30からの制約フィルタ結果を受信したかどうかを判断し、閾値攻撃カウントが超えられたかどうか、又は、攻撃間の閾時間間隔が超えられたかどうかを判断する(図2に示され、且つ、図3の工程ステップ<222>である。)。この判断が否定的な場合、工程は、工程ステップ<202>で示される工程の始めに戻る。この判断が肯定的な場合、報告機能が、検出された種類の報告生成器48及び/又は検出されたフレームの報告生成器49を用いて、すなわち、プロセッサインターフェースブロック40により、アクティブにされる(図2に示され、且つ、図3の工程ステップ<224>である。)。
フレーム受信ブロック104は、図2に示されるように、検出工程中、インターネットフレームを格納する先入れ/先出しメモリバッファとして動作する。フレーム受信ブロック104は、フレーム除去制御ブロック106に電気的に接続される。フレーム除去制御ブロック106は、フレーム受信ブロック104からインターネットデータパケットを受信する。また、フレーム除去制御ブロック106は、フレーム(例えば、ヘッダフレーム“L2”)読み出し制御ブロック88により検出ブロック50に電気的に接続され、読み出し制御信号89を受信する。検出ブロック50は、サービス拒否(DoS)又はポートスキャンの攻撃が検出されたかどうかに基づいて、フレーム除去制御ブロック106がインターネットフレームを除去すべきか又はコンピュータネットワーク(例えばグローバルコンピュータネットワーク上のサーバネットワーク)に送信すべきかを知らせ、これにより攻撃を防ぐ(図2に示される。フレームは通過するか又は除去される<224>)。それから、新しい“L2”ヘッダフレームが受信され、工程が工程の始め(工程ステップ<202>として、図3に示される)に戻る。好ましくは、しかし必須ではないが、これはワイヤスピードで発生する。
新しい発明の種々の実施形態が示され記述された。上述のものから明らかなように、本発明のある態様は、ここで説明した詳細な例に限定されない。それ故、他の変形及び応用又はそれと同等のものが当業者であれば思い浮かぶことが考えられる。上述の明細書内で使用される用語「有する」(“have”、“having”、“includes”、“including”)及び同様の文言は、“任意に(optional)”又は“有してもよい(may include)”の意味で及び“必須(required)”としてではなく用いられる。しかし、多くの変更、修正、変形、及び他の利用と本構成の応用が、本明細書及び添付の図面を考慮して、当業者に明らかとなる。本発明の精神と範囲から離れることのない、全てのこのような変更、修正、変形、及び他の利用と応用は、特許請求の範囲のみによって限定される本発明により保護されると見なされる。
本発明のより良い理解のため、添付の図面について言及する。
DoS攻撃、(IP)インターネットプロトコルアドレススプーフィング、偽サーバ、及び従来から知られている他の種類の悪質な攻撃の概念を示す、コンピュータネットワークの一般の図 本発明における、差し迫った悪質な攻撃、すなわち、サービス拒否及びポートスキャンの検出システムの概略図 本発明における、差し迫った悪質な攻撃、すなわち、サービス拒否及びポートスキャンの検出システムに関連する工程のフローチャート

Claims (26)

  1. データパケットのヘッダフレームを受信して解析し、ヘッダ情報とインターネットプロトコル(IP)アドレスを得るヘッダ解析機能と、
    潜在的な悪質な攻撃の条件について前記ヘッダ情報を調べ、潜在的な悪質な攻撃の条件が存在するとき、制約フィルタ結果を生成する制約フィルタ機能と、
    インターネットプロトコル(IP)アドレスを比較して、インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断する比較機能と、
    前記比較機能がインターネットプロトコル(IP)アドレスが以前に受信されたものであると判断した場合に、前記制約フィルタ結果がカウントをインクリメントしたことを判断し、それから所定の閾期間中に前記カウントが所定の閾値を超えたかどうかを判断する検出機能と、
    前記検出機能が所定の閾期間中に前記カウントが所定の閾値を超えたと判断したときに、前記システムから少なくとも1つのデータパケットを除く制御信号を出力する制御機能と、
    前記ヘッダ解析機能、前記制約フィルタ機能、前記検出機能、及び前記制御機能を実現する少なくとも1つのプロセッサと、
    を有する悪質な攻撃の検出システム。
  2. 前記潜在的な悪質な攻撃の条件はサービス拒否(DoS)攻撃を含む、請求項1に記載の悪質な攻撃の検出システム。
  3. 前記潜在的な悪質な攻撃の条件はポートスキャンを含む、請求項1に記載の悪質な攻撃の検出システム。
  4. 前記ヘッダ解析機能、前記制約フィルタ機能、前記検出機能、及び前記制御機能のうち少なくとも一つはワイヤスピードで実行される、請求項1に記載の悪質な攻撃の検出システム。
  5. 前記制約フィルタ機能は選択的にアクティブにできる複数の制約条件を含む、請求項1に記載の悪質な攻撃の検出システム。
  6. 前記検出機能は、複数のカウンタと、対応する複数の閾カウンタ値比較と、複数の時間間隔を備えた関連する時間間隔フィルタ機能と、対応する複数の閾時間間隔値と、を含む、請求項1に記載の悪質な攻撃の検出システム。
  7. 前記ヘッダ情報は、少なくとも1つの先入れ/先出しメモリバッファにより受信される、請求項1に記載の悪質な攻撃の検出システム。
  8. 前記少なくとも1つのプロセッサにより実現されるものであって、前記比較機能により利用されるインターネットプロトコル(IP)アドレスのリストを修正する、更新記憶機能をさらに有する、請求項1に記載の悪質な攻撃の検出システム。
  9. 前記比較機能は少なくとも1つの連想メモリ(CAM)を利用する、請求項1に記載の悪質な攻撃の検出システム。
  10. 前記少なくとも1つのプロセッサにより実現されるものであって、前記システムから少なくとも1つのデータパケットを除く前に、差し迫った悪質な攻撃の種類の報告を出力する報告機能をさらに有し、前記悪質な攻撃の種類は、サービス拒否(DoS)攻撃又はポートスキャンからなる群から選択される、請求項1に記載の悪質な攻撃の検出システム。
  11. 前記少なくとも1つのプロセッサにより実現されるものであって、前記システムから除かれた少なくとも1つのデータパケットを知らせるのに利用されうる報告機能をさらに有する、請求項1に記載の悪質な攻撃の検出システム。
  12. 前記少なくとも1つのプロセッサにより実現されるものであって、前記システムから除かれた少なくとも1つのデータパケットの表示を提供する出力機能をさらに有する、請求項1に記載の悪質な攻撃の検出システム。
  13. 前記少なくとも1つのプロセッサに関連付けられたものであって、前記制約フィルタ機能及び前記検出機能の制御を提供するインターフェースをさらに有する、請求項1に記載の悪質な攻撃の検出システム。
  14. 前記少なくとも1つのプロセッサに関連付けられたものであって、前記制約フィルタ機能と、前記制御機能と、前記システムから少なくとも1つのデータパケットを除く前の差し迫った悪質な攻撃の種類についての第1の報告機能を実現する第1の報告機能と、前記システムから除かれた少なくとも1つのデータパケットを知らせるのに利用されうる第2の報告機能と、についての制御を提供するインターフェースをさらに有し、
    前記悪質な攻撃の種類は、サービス拒否(DoS)攻撃又はポートスキャンからなる群から選択され、
    前記第1の報告機能と前記第2の報告機能は、前記少なくとも1つのプロセッサにより実現されうる、請求項1に記載の悪質な攻撃の検出システム。
  15. ワイヤスピードで、データパケットのヘッダフレームを受信して解析し、ヘッダ情報とインターネットプロトコル(IP)アドレスを得るヘッダ解析機能と、
    ワイヤスピードで、潜在的な悪質な攻撃の条件について前記ヘッダ情報を調べ、潜在的な悪質な攻撃の条件が存在するとき、制約フィルタ結果を生成する制約フィルタ機能と、
    前記潜在的な悪質な攻撃の条件は、サービス拒否(DoS)攻撃又はポートスキャンからなる群から選択され、
    前記制約フィルタ機能は、選択的にアクティブにできる複数の制約条件を含み、
    ワイヤスピードで、インターネットプロトコル(IP)アドレスを比較して、インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断する比較機能と、
    ワイヤスピードで動作して、前記比較機能がインターネットプロトコル(IP)アドレスが以前に受信されたものであると判断した場合に、前記制約フィルタ結果がカウントをインクリメントしたことを判断し、且つ、所定の閾期間中に前記カウントが所定の閾値を超えたかどうかを判断する検出機能と、
    前記検出機能は、複数のカウンタと、対応する複数の閾カウンタ値比較と、複数の時間間隔を備えた関連する時間間隔フィルタ機能と、対応する複数の閾時間間隔値と、を含み、
    ワイヤスピードで動作して、前記検出機能が所定の閾期間中に前記カウントが所定の閾値を超えたと判断したときに、前記システムから少なくとも1つのデータパケットを除く制御信号を出力する制御機能と、
    前記ヘッダ解析機能、前記制約フィルタ機能、前記検出機能、及び前記制御機能を実現する、少なくとも1つのプロセッサと、
    前記少なくとも1つのプロセッサに関連付けられて、前記制約フィルタ機能及び前記制御機能の制御を提供するインターフェースと、
    を有する悪質な攻撃の検出システム。
  16. データパケットのヘッダフレームを受信して解析し、ヘッダ情報とインターネットプロトコル(IP)アドレスを得るステップと、
    潜在的な悪質な攻撃の条件について、前記ヘッダ情報を調べ、潜在的な悪質な攻撃の条件が存在するとき、制約フィルタ結果を生成するステップと、
    インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断するために、インターネットプロトコル(IP)アドレスを比較するステップと、
    前記インターネットプロトコル(IP)アドレスの比較ステップ中に、インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断するステップと、
    前記制約フィルタ結果の数を判断し、インクリメントされたカウントが、所定の閾期間中に所定の閾値を越えたかどうかを判断するステップと、
    検出機能が、所定の閾期間中に前記カウントが所定の閾値を越えたと判断したときに、前記システムから少なくとも1つのデータパケットを除くステップと、
    を有する、少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
  17. 前記潜在的な悪質な攻撃の条件はサービス拒否(DoS)攻撃を含む、請求項16に記載の少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
  18. 前記潜在的な悪質な攻撃の条件はポートスキャンを含む、請求項16に記載の少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
  19. 前記少なくとも1つのプロセッサを用いて悪質な攻撃を検出するステップは、ワイヤスピードで起こる、請求項16に記載の少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
  20. 前記制約フィルタ結果の数を判断するステップの後、複数の制約条件を選択的にアクティブにするステップをさらに含む、請求項16に記載の少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
  21. 前記制約フィルタ結果の数を判断して、インクリメントされたカウントが所定の閾期間中に所定の閾値を越えたかどうかを判断するステップは、複数のカウンタと、対応する複数の閾カウンタ値比較と、複数の時間間隔と、対応する複数の閾時間間隔値と、を利用することを含む、請求項16に記載の少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
  22. 少なくとも1つの先入れ/先出しメモリバッファにより前記ヘッダ情報を受信するステップをさらに含む、請求項16に記載の少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
  23. インターネットプロトコル(IP)アドレスのリストを更新し記憶するステップをさらに含む、請求項16に記載の少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
  24. インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断するために前記インターネットプロトコル(IP)アドレスを比較するステップは、少なくとも1つの連想メモリ(CAM)を利用することを含む、請求項16に記載の少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
  25. 前記システムから少なくとも1つのデータパケットを除く前に、悪質な攻撃の種類の第1の報告を生成するステップと、前記システムから除かれた少なくとも1つのデータパケットを示す第2の報告を生成するステップと、前記システムから除かれた少なくとも1つのデータパケットを示す出力とのうち、少なくとも1つをさらに含む、請求項15に記載の少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
  26. ワイヤスピードで、データパケットのヘッダフレームを受信して解析し、ヘッダ情報とインターネットプロトコル(IP)アドレスを得るステップと、
    ワイヤスピードで、潜在的な悪質な攻撃の条件について、前記ヘッダ情報を調べ、潜在的な悪質な攻撃の条件が存在するとき、複数の制約条件の選択的なアクティブ化により、制約フィルタ結果を生成するステップと、
    前記潜在的な悪質な攻撃の条件は、サービス拒否(DoS)攻撃又はポートスキャンからなる群から選択され、
    インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断するために、ワイヤスピードで、インターネットプロトコル(IP)アドレスを比較するステップと、
    ワイヤスピードで、前記インターネットプロトコル(IP)アドレスの比較ステップ中に、インターネットプロトコル(IP)アドレスが以前に受信されたかどうかを判断するステップと、
    ワイヤスピードで、前記制約フィルタ結果の数を判断し、インクリメントされたカウントが、所定の閾期間中に所定の閾値を越えたかどうかを判断するステップと、
    複数のカウンタと、対応する複数の閾カウンタ値比較と、複数の時間間隔と、対応する複数の閾時間間隔値とを用いて、検出機能が所定の閾期間中に前記カウントが所定の閾値を越えたと判断したときに、ワイヤスピードで、前記システムから少なくとも1つのデータパケットを除くステップと、
    を有する、少なくとも1つのプロセッサを用いて悪質な攻撃を検出する方法。
JP2009506697A 2006-04-17 2007-04-13 悪質な攻撃の検出システム及びそれに関連する使用方法 Pending JP2009534001A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/279,979 US20070245417A1 (en) 2006-04-17 2006-04-17 Malicious Attack Detection System and An Associated Method of Use
PCT/US2007/066645 WO2007121361A2 (en) 2006-04-17 2007-04-13 Malicious attack detection system and an associated method of use

Publications (1)

Publication Number Publication Date
JP2009534001A true JP2009534001A (ja) 2009-09-17

Family

ID=38606408

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009506697A Pending JP2009534001A (ja) 2006-04-17 2007-04-13 悪質な攻撃の検出システム及びそれに関連する使用方法

Country Status (7)

Country Link
US (1) US20070245417A1 (ja)
EP (1) EP2036060A2 (ja)
JP (1) JP2009534001A (ja)
KR (1) KR20090006838A (ja)
CN (1) CN101460983A (ja)
TW (1) TW200741504A (ja)
WO (1) WO2007121361A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017022645A1 (ja) * 2015-08-05 2017-02-09 日本電気株式会社 通信システム、通信装置、通信方法及びプログラム
WO2017022646A1 (ja) * 2015-08-05 2017-02-09 日本電気株式会社 通信システム、通信制御装置、通信制御方法、及び通信プログラム

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7411957B2 (en) * 2004-03-26 2008-08-12 Cisco Technology, Inc. Hardware filtering support for denial-of-service attacks
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
JP4734223B2 (ja) * 2006-11-29 2011-07-27 アラクサラネットワークス株式会社 トラヒック分析装置および分析方法
KR100942795B1 (ko) 2007-11-21 2010-02-18 한국전자통신연구원 악성프로그램 탐지장치 및 그 방법
CN101222513B (zh) * 2008-01-28 2012-06-20 杭州华三通信技术有限公司 一种防止重复地址检测攻击的方法及网络设备
US8146151B2 (en) * 2008-02-27 2012-03-27 Microsoft Corporation Safe file transmission and reputation lookup
US8769702B2 (en) 2008-04-16 2014-07-01 Micosoft Corporation Application reputation service
DE202008017947U1 (de) * 2008-08-25 2011-02-10 Searchteq Gmbh Netz-Servereinrichtung zum Erkennen eines unerwünschten Zugriffs
CN101415000B (zh) * 2008-11-28 2012-07-11 中国移动通信集团四川有限公司 一种业务支撑系统防Dos攻击的方法
TWI397286B (zh) * 2009-10-28 2013-05-21 Hon Hai Prec Ind Co Ltd 路由器及tcp埠防禦方法
US8296130B2 (en) * 2010-01-29 2012-10-23 Ipar, Llc Systems and methods for word offensiveness detection and processing using weighted dictionaries and normalization
US9098700B2 (en) 2010-03-01 2015-08-04 The Trustees Of Columbia University In The City Of New York Systems and methods for detecting attacks against a digital circuit
US9372991B2 (en) 2012-03-06 2016-06-21 International Business Machines Corporation Detecting malicious computer code in an executing program module
US10130872B2 (en) 2012-03-21 2018-11-20 Sony Interactive Entertainment LLC Apparatus and method for matching groups to users for online communities and computer simulations
US10186002B2 (en) 2012-03-21 2019-01-22 Sony Interactive Entertainment LLC Apparatus and method for matching users to groups for online communities and computer simulations
US20130249928A1 (en) * 2012-03-21 2013-09-26 Sony Computer Entertainment America Llc Apparatus and method for visual representation of one or more characteristics for each of a plurality of items
US8640243B2 (en) 2012-03-22 2014-01-28 International Business Machines Corporation Detecting malicious computer code in an executing program module
US8832832B1 (en) * 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
CN105262712A (zh) * 2014-05-27 2016-01-20 腾讯科技(深圳)有限公司 网络入侵检测方法及装置
US10187402B2 (en) * 2015-11-25 2019-01-22 Echostar Technologies International Corporation Network intrusion mitigation
CN106131050B (zh) * 2016-08-17 2022-12-09 裴志永 数据包快速处理系统
US10110627B2 (en) * 2016-08-30 2018-10-23 Arbor Networks, Inc. Adaptive self-optimzing DDoS mitigation
US10630700B2 (en) * 2016-10-28 2020-04-21 Hewlett Packard Enterprise Development Lp Probe counter state for neighbor discovery
US10320817B2 (en) * 2016-11-16 2019-06-11 Microsoft Technology Licensing, Llc Systems and methods for detecting an attack on an auto-generated website by a virtual machine
JP6743778B2 (ja) * 2017-07-19 2020-08-19 株式会社オートネットワーク技術研究所 受信装置、監視機及びコンピュータプログラム
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
KR102254197B1 (ko) * 2019-03-28 2021-05-21 네이버클라우드 주식회사 웹페이지 취약점 진단 방법, 장치 및 컴퓨터 프로그램
DE102019210224A1 (de) * 2019-07-10 2021-01-14 Robert Bosch Gmbh Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
CN111200605B (zh) * 2019-12-31 2022-05-03 网络通信与安全紫金山实验室 一种基于Handle系统的恶意标识防御方法及系统
US11558362B2 (en) 2020-06-02 2023-01-17 Bank Of America Corporation Secure communication for remote devices
US11271919B2 (en) 2020-06-02 2022-03-08 Bank Of America Corporation Network security system for rogue devices
US11343097B2 (en) 2020-06-02 2022-05-24 Bank Of America Corporation Dynamic segmentation of network traffic by use of pre-shared keys
US11265255B1 (en) 2020-08-11 2022-03-01 Bank Of America Corporation Secure communication routing for remote devices
CN114978561B (zh) * 2021-02-26 2023-11-07 中国科学院计算机网络信息中心 一种实时高速网络tcp协议旁路批量主机阻断方法及系统
CN113141376B (zh) * 2021-05-08 2023-06-27 四川英得赛克科技有限公司 一种恶意ip扫描检测方法、装置、电子设备及存储介质
CN114760216B (zh) * 2022-04-12 2023-12-05 国家计算机网络与信息安全管理中心 一种扫描探测事件确定方法、装置及电子设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW453072B (en) * 1999-08-18 2001-09-01 Alma Baba Technical Res Lab Co System for montoring network for cracker attacic
US7426634B2 (en) * 2003-04-22 2008-09-16 Intruguard Devices, Inc. Method and apparatus for rate based denial of service attack detection and prevention
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
US7580351B2 (en) * 2005-07-12 2009-08-25 Cisco Technology, Inc Dynamically controlling the rate and internal priority of packets destined for the control plane of a routing device
US7522521B2 (en) * 2005-07-12 2009-04-21 Cisco Technology, Inc. Route processor adjusting of line card admission control parameters for packets destined for the route processor

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017022645A1 (ja) * 2015-08-05 2017-02-09 日本電気株式会社 通信システム、通信装置、通信方法及びプログラム
WO2017022646A1 (ja) * 2015-08-05 2017-02-09 日本電気株式会社 通信システム、通信制御装置、通信制御方法、及び通信プログラム
JPWO2017022646A1 (ja) * 2015-08-05 2018-06-28 日本電気株式会社 通信システム、通信制御装置、通信制御方法、及び通信プログラム
US11129053B2 (en) 2015-08-05 2021-09-21 Nec Corporation Communication system, communication control apparatus, communication control method, and communication program

Also Published As

Publication number Publication date
KR20090006838A (ko) 2009-01-15
CN101460983A (zh) 2009-06-17
TW200741504A (en) 2007-11-01
WO2007121361A2 (en) 2007-10-25
WO2007121361A3 (en) 2008-04-17
EP2036060A2 (en) 2009-03-18
US20070245417A1 (en) 2007-10-18

Similar Documents

Publication Publication Date Title
JP2009534001A (ja) 悪質な攻撃の検出システム及びそれに関連する使用方法
US7936682B2 (en) Detecting malicious attacks using network behavior and header analysis
US8677473B2 (en) Network intrusion protection
US7426634B2 (en) Method and apparatus for rate based denial of service attack detection and prevention
US7966658B2 (en) Detecting public network attacks using signatures and fast content analysis
JP3993092B2 (ja) サービス拒否攻撃を防ぐための方法
US20060053295A1 (en) Methods and systems for content detection in a reconfigurable hardware
EP1365556B1 (en) Method and apparatus for efficiently matching responses to requests previously passed by a network node
US7830898B2 (en) Method and apparatus for inter-layer binding inspection
US11811733B2 (en) Systems and methods for operating a networking device
US20230283631A1 (en) Detecting patterns in network traffic responses for mitigating ddos attacks
WO2023040303A1 (zh) 网络流量控制方法以及相关系统
Boppana et al. Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks
US20080235792A1 (en) Prefix matching algorithem
US20050289245A1 (en) Restricting virus access to a network
US20050147037A1 (en) Scan detection
KR102046612B1 (ko) Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법
US20230319078A1 (en) System and method for detecting and mitigating port scanning attacks
WO2023060881A1 (zh) 报文源地址识别方法及装置
US20230367875A1 (en) Method for processing traffic in protection device, and protection device
US20230164176A1 (en) Algorithmically detecting malicious packets in ddos attacks
Dai et al. DAmpADF: A framework for DNS amplification attack defense based on Bloom filters and NAmpKeeper
CN106131050B (zh) 数据包快速处理系统
Johnson Building a High-Performance Unified Threat Management appliance Part I: Hardware issues