JP2010508598A - ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置 - Google Patents
ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置 Download PDFInfo
- Publication number
- JP2010508598A JP2010508598A JP2009535273A JP2009535273A JP2010508598A JP 2010508598 A JP2010508598 A JP 2010508598A JP 2009535273 A JP2009535273 A JP 2009535273A JP 2009535273 A JP2009535273 A JP 2009535273A JP 2010508598 A JP2010508598 A JP 2010508598A
- Authority
- JP
- Japan
- Prior art keywords
- string
- rule base
- matches
- representations
- requests
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
ストリング分析を利用して1つまたは複数のパケット・ネットワーク内で望まれないトラフィックを検出する方法および装置が提供される。悪意のある攻撃など、ターゲット犠牲者によって受信される望まれないトラフィックは、1つまたは複数のストリング表現を識別するルール・ベースを維持するステップと、ログ・ファイル内の1つまたは複数のエラー・エントリを分析するステップであって、ログ・ファイルが、ターゲット犠牲者によって受信される1つまたは複数の要求を含む、ステップと、1つまたは複数の要求がルール・ベース内のストリング表現のうちの1つまたは複数と一致するストリングを含むかどうかを判定するステップと、1つまたは複数の要求がルール・ベース内のストリング表現のうちの1つまたは複数と一致するストリングを含む場合に、告発メッセージを中央フィルタに送信するステップとによって検出される。ストリング表現は、たとえば、ストリングまたは正規表現を含むことができ、攻撃者がアクセスを試みる可能性がある1つまたは複数のリソースを表すことができる。
Description
本発明は、パケットベースの通信ネットワークのコンピュータ・セキュリティ技法に関し、より具体的には、そのようなパケットベースのネットワークでの、サービス拒否攻撃および他の悪意のある攻撃などの望まれないトラフィックを検出し、告発する方法および装置に関する。
サービス拒否DoS攻撃などの悪意のある攻撃は、コンピュータ・リソースをその所期のユーザから使用不能にすることを試みる。たとえば、ウェブ・サーバに対するDoS攻撃は、しばしば、ホスティングされるウェブ・ページを使用不能にする。
DoS攻撃は、限られたリソースが正当なユーザではなく攻撃者に割り振られる必要がある時に、かなりのサービス妨害を引き起こし得る。攻撃する機械は、通常、攻撃のターゲット犠牲者に向けられた多数のインターネット・プロトコルIPパケットをインターネットを介して送信することによって、損害を与える。たとえば、DoS攻撃は、ネットワークを「氾濫させ」、これによって、正当なネットワーク・トラフィックを妨げる試み、またはサーバが処理できるものより多数の要求を送信し、これによって1つまたは複数のサーバへのアクセスを妨げることによってサーバを一時不通にする試みを含み得る。
複数の技法が、そのような悪意のある攻撃に対して防御するために提案され、または提唱されてきた。たとえば、米国特許出願第11/197,842号、名称「Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self−Identification and Control」および米国特許出願第11/197,841号、名称「Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs」に、DoS攻撃を検出し、告発する技法が開示されている。
そのような悪意のある攻撃に対して防御するシステムは、通常、カスタマ・ネットワークを悪意のある攻撃から保護するために、カスタマ・ネットワークに関連するディテクタと、サービス・プロバイダのネットワーク内の中央フィルタとを使用する。一般に、ディテクタは、カスタマ・ネットワークに対する悪意のある攻撃を検出し、中央フィルタに1つまたは複数の告発メッセージまたは通知メッセージを送信する。悪意のある攻撃は、通常、1つまたは複数の事前定義のストリングについて、ターゲット犠牲者で受信されるパケットを点検することによって検出される。しかし、この事前定義のストリングは、ターゲット犠牲者にアクセスする正当な試みにしばしば一致する可能性がある。したがって、ディテクタは、アクセスを行うソース・エンドポイントに関する情報を保ちながら、潜在的に多数のアクセスおよび応答を点検しなければならない。さらに、そのようなパケット点検技法は、暗号化されたリンク上では働かず、しばしば、アクセスされる経路内に追加要素を追加することによってだまされ得る。
したがって、ストリング分析を利用して1つまたは複数のパケット・ネットワーク内で望まれないトラフィックを検出する改善された方法および装置の必要が存在する。
一般に、ストリング分析を利用して1つまたは複数のパケット・ネットワーク内で望まれないトラフィックを検出する方法および装置が提供される。本発明の一態様によれば、悪意のある攻撃など、ターゲット犠牲者によって受信される望まれないトラフィックは、1つまたは複数のストリング表現を識別するルール・ベースを維持するステップと、ログ・ファイル内の1つまたは複数のエラー・エントリを分析するステップであって、ログ・ファイルが、ターゲット犠牲者によって受信される1つまたは複数の要求を含む、ステップと、1つまたは複数の要求がルール・ベース内のストリング表現のうちの1つまたは複数と一致するストリングを含むかどうかを判定するステップと、1つまたは複数の要求がルール・ベース内のストリング表現のうちの1つまたは複数と一致するストリングを含む場合に、告発メッセージを中央フィルタに送信するステップとによって検出される。
ストリング表現は、たとえば、ストリングまたは正規表現を含むことができる。ストリング表現は、攻撃者がアクセスを試みる可能性がある1つまたは複数のリソースを表すことができる。エラー・エントリは、一般に、ターゲット犠牲者によって維持される1つまたは複数のリソースの格納された位置をプローブで探る、攻撃者による試みに対応する。ルール・ベースは、任意選択で、ストリング表現のそれぞれの対応するアクションを識別する。
本発明のより完全な理解ならびに本発明のさらなる特徴および利益は、次の詳細な説明および図面を参照することによって得られる。
本発明は、ストリング分析を利用して1つまたは複数のパケット・ネットワーク内で望まれないトラフィックを検出する改善された方法および装置を提供する。本発明の一態様によれば、サービス拒否攻撃または別の悪意のある攻撃など、ターゲット犠牲者で受信される望まれないトラフィックは、ウェブ・サービス・ログ・ファイルなどの1つまたは複数のログ・ファイルを分析することによって検出される。攻撃者は、通常、ターゲット・システム内の弱さを利用してそのシステムを危険にさらすことを試みる。たとえば、1つまたは複数の脆弱性を、ターゲット・システム上のファイルにアクセスすることによって利用することができる。通常、攻撃者は、ターゲット・ファイルがターゲット・システムのどこに格納され、またはどこをルートとするかを正確には知らず、したがって、複数の攻撃が、しばしば、ターゲット・ファイルへのアクセスを行うために行われ、これを、しばしば、「プローブ」と呼ぶ。
したがって、本発明の例示的実施形態は、1つまたは複数のログ・ファイルを分析して、ターゲット・システムへの各試みられたアクセスが成功であったかどうかを判定する。アクセスが成功であった(たとえば、その正しい位置でファイルにアクセスする試み)場合には、そのアクセスは、正当なアクセスと仮定され、そのエンドポイントによるさらなるアクセスが、許可される(それでも、本発明の一実施形態は、さらなる分析のために成功のアクセスを記録することを可能にし、後にブロックされ得る)。不成功のアクセスは、試みられた経路が、ターゲット・システムが保護を望むファイルに関連する1つまたは複数の事前定義のストリングと一致するかどうかを判定するために、さらに分析される。1つまたは複数の事前定義のストリングと一致する不成功の試みは、悪意のある攻撃と考えられ、告発メッセージが、中央フィルタに送信される。したがって、本発明は、最初の不成功のプローブを検出し、送信側がさらなるプローブを送信するのをブロックする。
図1に、本発明が動作することのできるネットワーク環境100を示す。図1に示されているように、企業ネットワーク150は、図3に関して下でさらに述べるディテクタ300を使用して、スパムまたは悪意のある攻撃などの望まれないトラフィックに対してそれ自体を保護する。企業ネットワーク150は、企業ユーザが、サービス・プロバイダ・ネットワーク120によってインターネットまたは別のネットワークにアクセスすることを可能にする。サービス・プロバイダ・ネットワーク120は、企業ネットワーク150のユーザにサービスを提供し、入ポート115によってさまざまなソースからパケットを受信し、これらを企業ネットワーク150内の示された宛先に送信する。
1つの例示的実施形態で、ディテクタ300は、図2に関して下でさらに述べる中央フィルタ200と協力して、悪意のある攻撃からそれ自体を保護する。一般に、下でさらに述べるように、ディテクタ300は、企業ネットワーク150に対する、サービス拒否攻撃などの悪意のある攻撃を検出し、サービス・プロバイダによって維持される中央フィルタ200に通知する。
中央フィルタ200は、サービス・プロバイダ・ネットワーク120によって企業ネットワーク150に達するトラフィックを制限するように働く。ディテクタ300は、通常、企業ネットワーク150のファイヤウォールの背後にあり、ディテクタ300は、通常、告発メッセージをISPの中央フィルタ200に送信する。ディテクタ300および中央フィルタ200は、本発明の特徴および機能を組み込むように本明細書で変更される、米国特許出願第11/197,842号、名称「Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self−Identification and Control」および米国特許出願第11/197,841号、名称「Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs」の教示に基づいて実施することができる。
ディテクタ300は、サービス拒否攻撃が企業ネットワーク150に対して行われつつあると判定した時に、1つまたは複数のソース/宛先IPアドレス対を中央フィルタ200に送信し、このソース/宛先IPアドレス対は、サービス・プロバイダ・ネットワーク120に、そのソースIPアドレスおよび宛先IPアドレスが送信されたソース/宛先IPアドレス対のいずれかのソースIPアドレスおよび宛先IPアドレスと一致するIPパケットの送信を制限させ(たとえば、ブロックさせるかレート制限させる)、これによって、企業ネットワーク150内の攻撃犠牲者への1つまたは複数のソース・デバイス110からのサービス拒否攻撃を制限する(または除去する)。ディテクタ300は、任意選択で、冗長接続135または主接続130の使用を伴って、ソース/宛先IPアドレス対を送信する。本発明の一態様によれば、ディテクタ300と中央フィルタ200との間の通信のために告発プロトコルが提供される。
したがって、サービス拒否攻撃の犠牲者は、攻撃者をそのサービス・プロバイダに告発することによって「押し戻す」ことができ、このサービス・プロバイダは、これに応答して、ブロックされなければならないソース/宛先IP対のテーブルを更新する。より具体的には、攻撃が行われつつあることを認識した時に、犠牲者(企業ネットワーク150)は、攻撃の一部と思われるパケットで指定されるソースIPアドレスおよび宛先IPアドレスの1つまたは複数の対を識別し、中央フィルタ200によるブロックのためにこれらのIPアドレス対をサービス・プロバイダに通信する。
図1に示されているように、加入者(企業ネットワーク150)宛のパケットは、一般に「よい」トラフィックおよび「悪い」トラフィックに対応するクラスに分類される。たとえば、それぞれ、カテゴリA 105−Aからのよいトラフィックは、配送され(許可され)、カテゴリB 105−BおよびカテゴリN 105−Nからの悪いトラフィックは、レート制限されるか捨てられる。企業ネットワーク150に関連する宛先アドレスにトラフィックを送信するソース・コンピューティング・デバイス110は、N個の例示的カテゴリのうちの1つに分類される。告発は、よいトラフィックと悪いトラフィックとの間の境界をシフトする。
ある種の例示的実施形態によれば、攻撃者(すなわち、1つまたは複数の識別されたソースIPアドレス)は、ネットワークから完全に排除される必要があるのではなく、パケットを犠牲者(すなわち、1つまたは複数の識別された宛先IPアドレス)に送信することだけを禁じられることに留意されたい。これは、特に、1つまたは複数の指定されたソースIPアドレスが、犠牲者に対する所与の攻撃のために乗っ取られた正当なユーザ(たとえば、ゾンビ)を表す場合に、有利である場合がある。したがって、乗っ取られた機械の所有者は、正当な目的にそのシステムを使用し続けることができるが、犠牲者に対して行われる攻撃(おそらくは、正当なユーザに未知の)は、それでも、有利に阻まれる。さらに、そのような例示的実施形態による技法が、所与の犠牲者による攻撃者の過度に熱心な識別からの保護をも有利に提供することに留意されたい。本発明の原理によれば、攻撃の識別は、明白な犠牲者の裁量に一任されるので、所与の犠牲者へのトラフィックだけが排除されまたは制限されていることが、明らかに有利である。
本発明は、1つまたは複数のログ・ファイルを分析することによって、悪意のある攻撃などの望まれないトラフィックを検出する、図7に関して下でさらに述べる、ストリング照合検出プロセス700を提供する。悪意のある攻撃を、変化する度合の単純さまたは洗練を有する1つまたは複数の追加アルゴリズムによって、犠牲者によって認識することもでき、これらのアルゴリズムは、本発明の範囲の外であるが、多数のアルゴリズムが、当業者に明白であろう。たとえば、本発明の1つの例示的実施形態によれば、アプリケーション・ログを検査することができ、攻撃を、単一の識別されたソースまたは複数の識別されたソースのいずれかからの非常に高いトラフィック・レベル(たとえば、高いパケット・レート)の存在だけに基づいて識別することができる。これが、サービス拒否攻撃の存在を識別する1つの従来の方法であり、当業者に馴染みのあるものであろうことに留意されたい。
しかし、他の実施態様では、パケット内容のアプリケーション・ベースの分析を実行して、たとえば、存在しないデータベース要素の頻繁なデータベース検索があったことを認識すること、1人の人が開始できるレートより高いレートで発生する、一見人間からの複数の要求があったことを認識すること、構文的に無効な要求を識別すること、および通常に発生するアクティビティの動作での特に敏感な時刻でのトラフィックの疑わしい量を識別することなど、疑わしい性質を有するパケットまたはパケットのシーケンスを識別することができる。後者のクラスの疑わしいパケットの例は、たとえば、株式取引ウェブ・サイトが、差し迫った株取引中の敏感な時に特に破壊的なトラフィックに気付く場合に、識別することができる。さらなる変形では、たとえば上で説明した状況のうちの1つまたは複数を含めることができる可能な攻撃の複数の異なるしるしを、より洗練された分析で有利に組み合わせて、攻撃の存在を識別することができる。
例示的な検出システムは、2つのモードのうちの1つで動作することができる。ゾーンが、「デフォルトドロップ」モードである時に、デフォルト挙動は、デフォルトドロップ上に明示的にリストされたトラフィックを除く、そのゾーン宛のすべてのトラフィックをフィルタリングすることである。一般に、デフォルトドロップ・モードでは、フィルタは、明示的に許可され(たとえば、事前定義の許可フィルタと一致し)ない限り、すべてのトラフィックを自動的に捨てる。その一方で、ゾーンがデフォルトアロウモードである時に、事前定義のドロップ・フィルタと明示的に一致するトラフィックを除いて、加入者へのすべてのトラフィックが、フィルタによって渡される。
図2は、本発明のプロセスを実施できる、図1の中央フィルタ・システム200の概略ブロック図である。図2に示されているように、メモリ230は、本明細書で開示されるサービス拒否フィルタリングの方法、ステップ、および機能を実施するようにプロセッサ220を構成する。メモリ230は、分散させまたはローカルとすることができ、プロセッサ220は、分散させまたは単一とすることができる。メモリ230は、電気メモリ、磁気メモリ、もしくは光学メモリ、またはこれらの任意の組合せ、あるいは他のタイプのストレージ・デバイスとして実施することができる。プロセッサ220を構成する各分散プロセッサが、一般に、それ自体のアドレス可能メモリ空間を含むことに留意されたい。コンピュータ・システム200の一部またはすべてを、特定用途向け集積回路または汎用集積回路に組み込むことができることにも留意されたい。
図2に示されているように、例示的なメモリ230は、サービス拒否フィルタ・ルール・ベース260と、図4に関して下でさらに述べる1つまたは複数のサービス拒否フィルタリング・プロセス400とを含む。一般に、例示的なサービス拒否フィルタ・ルール・ベース260は、中央フィルタ200によって制限されまたは許可されなければならないトラフィックに関連するソース/宛先アドレス対を含む従来のフィルタ・ベースである。サービス拒否フィルタリング・プロセス400は、本発明による、サービス拒否または他の攻撃に対して防御する例示的な方法である。
中央フィルタ200を、サービス・プロバイダ・ネットワーク120に含まれる独立型ボックスとして、またはその代わりに、ネットワーク120内に既に存在する他の点では通常のネットワーク要素に組み込まれた回線カードとして、実施することができる。さらに、ある種の例示的実施形態によれば、中央フィルタ200を、ネットワーク120内で攻撃起点に相対的に近い位置にキャリアによって有利に展開することができ、あるいは、中央フィルタ200を、当初に、プレミアム・カスタマを攻撃から有利に防御するように配置することができる。
図3は、本発明のプロセスを実施できる、図1のディテクタ300の概略ブロック図である。図3に示されているように、メモリ330は、本明細書で開示されるサービス拒否フィルタリングの方法、ステップ、および機能を実施するようにプロセッサ320を構成する。メモリ330は、分散させまたはローカルとすることができ、プロセッサ320は、分散させまたは単一とすることができる。メモリ330は、電気メモリ、磁気メモリ、もしくは光学メモリ、またはこれらの任意の組合せ、あるいは他のタイプのストレージ・デバイスとして実施することができる。プロセッサ320を構成する各分散プロセッサが、一般に、それ自体のアドレス可能メモリ空間を含むことに留意されたい。コンピュータ・システム300の一部またはすべてを、特定用途向け集積回路または汎用集積回路に組み込むことができることにも留意されたい。
図3に示されているように、例示的なメモリ330は、それぞれ下で図5から7までに関してさらに述べる、1つまたは複数のサービス拒否検出プロセス500、ディテクタ・ルール・ベース600、およびストリング照合検出プロセス700を含む。サービス拒否検出プロセス500は、本発明による、サービス拒否攻撃または他の攻撃を検出し、これに対して防御する例示的な方法である。ディテクタ・ルール・ベース600は、ターゲット・システムが保護を望むファイルに関連するストリングを記録する。ストリング照合検出プロセス700は、1つまたは複数のログ・ファイルを分析して、ディテクタ・ルール・ベース600からの1つまたは複数の事前定義のストリングと一致するターゲット・システムの1つまたは複数のファイルにアクセスする不成功の試みを識別する。
図4は、本発明の特徴を組み込むサービス拒否フィルタリング・プロセス400の例示的実施態様を説明する流れ図である。例示的なサービス拒否フィルタリング・プロセス400が、「デフォルトアロウ」モード用に実施されることに留意されたい。「デフォルトドロップ」モード用の実施態様は、当業者にたやすく明白になるはずである。一般に、サービス拒否フィルタリング・プロセス400は、本発明による、サービス拒否または他の攻撃に対して防御する例示的方法である。例示的なサービス拒否フィルタリング・プロセス400は、中央フィルタ200で実行され、ステップ410中に、企業ネットワーク150内の所与のターゲット犠牲者に対してサービス拒否攻撃または別の悪意のある攻撃が行われつつあることの表示をディテクタ300から受信することによって開始される。
その後、ステップ420中に、ネットワーク・キャリアが、サービス拒否攻撃を阻むためにブロックされなければならないIPパケットを表す1つまたは複数のソース/宛先IPアドレス対をディテクタ300から受信する。実例として、ソースIPアドレスは、攻撃する(たとえば、「ゾンビ」)コンピューティング・デバイス110のアドレスであり、宛先IPアドレスは、ターゲット犠牲者自体に関連するアドレスである。ディテクタ300からのメッセージは、下で述べるDPに従って送信される。
次に、ネットワーク・キャリアは、ステップ430中に、そのソースIPアドレスおよび宛先IPアドレスが受信されたソース/宛先IPアドレス対のソースIPアドレスおよび宛先IPアドレスと一致するIPパケットを識別するために、IPパケット・トラフィックを監視する。ステップ440中にテストを実行して、1つまたは複数のパケットが、サービス拒否フィルタ・ルール・ベース260内のアドレス対と一致するかどうかを判定する。
ステップ440中に、1つまたは複数のパケットがサービス拒否フィルタ・ルール・ベース260内のアドレス対と一致すると判定される場合には、ステップ460中に、そのパケットを捨てるか制限しなければならない。
ステップ440中に、1つまたは複数のパケットがサービス拒否フィルタ・ルール・ベース260内のアドレス対と一致しないと判定される場合には、ステップ470中に、そのパケットが、企業ネットワーク150への送信を許可される。
図5は、本発明の特徴を組み込むサービス拒否検出プロセス500の例示的実施態様を説明する流れ図である。一般に、サービス拒否検出プロセス500は、本発明による、サービス拒否または他の攻撃に対して防御する例示的方法である。例示的なサービス拒否検出プロセス500は、ディテクタ300によってターゲット犠牲者で実行され、ステップ510中に、受信されたIPパケットおよび/またはサーバ・ログの分析に基づいて、ターゲット犠牲者に対してサービス拒否攻撃または別の悪意のある攻撃が行われつつあることを判定することによって開始される。下で図7に関してさらに述べるように、本発明は、サーバ・ログ・ファイルに対してストリング照合動作を実行することによって攻撃を検出する例示的なストリング照合検出プロセス700を提供する。
次に、ステップ520中に、サービス拒否攻撃を阻むために、1つまたは複数のソース/宛先IPアドレス対を、ブロックされなければならないIPパケットを表すものとして識別する(実例として、ソースIPアドレスは、攻撃する「ゾンビ」機械110のアドレスであり、宛先IPアドレスは、ターゲット犠牲者自体に関連するアドレスである)。最後に、ステップ530中に、識別されたソース/宛先IPアドレス対を、犠牲者のキャリア・ネットワークの中央フィルタ200に送信して、キャリア・ネットワークが、一致するソースIPアドレスおよび宛先IPアドレスを有するIPパケットの送信をブロックできるようにする。
図6は、本発明の特徴を組み込んだディテクタ・ルール・ベース600の例示的実施態様を説明するサンプルのテーブルである。一般に、ディテクタ・ルール・ベース600は、ターゲット・システムが保護を望むファイルに関連するストリングを記録する。図6に示されるように、例示的なディテクタ・ルール・ベース600は、複数の異なるストリングと、そのストリングが検出された時に実行される対応するアクション(たとえば、捨てるまたは制限する)とを記録する。たとえば、1つの既知の悪意のある攻撃は、リモート・マシン上のコマンド・シェルへのアクセスを入手するために、「command.exe」をプローブで探る。したがって、例示的なディテクタ・ルール・ベース600は、ストリング「command.exe」を探すためのルールを含む。
図7は、本発明の特徴を組み込んだストリング照合検出プロセス700の例示的実施態様を説明する流れ図である。図7に示されているように、例示的なストリング照合検出プロセス700は、ステップ710中に、たとえばターゲット・システムへの試みられたアクセスごとおよびターゲットシステムによる応答ごとのエントリを含む、アプリケーション・ログを読み取ることによって開始される。
720中に、アプリケーション・ログ内の各エントリ内の要求を解析する。ステップ730中にテストを実行して、処理されつつある現在のエントリが、エラー・エントリであるかどうかを判定する。上で注記したように、成功のアクセス(たとえば、その正しい位置でファイルにアクセスする試み)は、正当なアクセスであると仮定され、そのエンドポイントによるさらなるアクセスが、許可される。
ステップ730中に、処理されつつある現在のエントリがエラー・エントリではないと判定される場合に、プログラム制御は、ステップ720に戻って、アプリケーション・ログ内の次のエントリを解析する。1つの例示的実施態様では、現在のエントリがエラー・エントリでない場合に、さらなる分析のために、下で述べるようにステップ770中にレコードを任意選択で保存することができる(このレコードを後の時にブロックすることができる)。しかし、ステップ730中に、処理されつつある現在のエントリがエラー・エントリであると判定される場合には、ステップ740中にさらなるテストを実行して、要求がルール・ベース600と一致するストリングを含むかどうかを判定する
ステップ740中に、要求がルール・ベース600と一致するストリングを含むと判定される場合には、ステップ750中に、告発メッセージを中央フィルタ200に送信する。しかし、ステップ740中に、要求がルール・ベース600と一致するストリングを含まないと判定される場合には、ステップ760中にさらなるテストを実行して、要求が正規表現と一致するストリングを含むかどうかを判定する。
ステップ760中に、要求が正規表現と一致するストリングを含むと判定される場合には、ステップ750中に、告発メッセージを中央フィルタ200に送信する。しかし、ステップ760中に、要求が正規表現と一致するストリングを含まないと判定される場合には、任意選択で、ステップ770中にさらなる分析のためにレコードを保存する。
本発明は、1つまたは複数の補足ツールと共に働くことができる。たとえば、そのようなツールに、活用されるサービス拒否攻撃の認識のためのインターネット・サーバ・プラグイン、さまざまなIDSシステム(侵入検出システム)へのリンク、ネットワーク診断用のデータベース(上の議論を参照されたい)、および所与のキャリアのインフラストラクチャ内のザッパ機能性の配置に関するガイダンスを提供する方法を含めることができる。これら補足ツールのうちのさまざまなツールを提供する本発明の例示的実施形態は、本明細書の開示に鑑みて、当業者に明白であろう。
システムおよび製造品の詳細
当技術分野で既知のとおり、本明細書で述べた方法および装置を、コンピュータ可読コード手段がその上で実施されたコンピュータ可読媒体をそれ自体が含む製造品として配布することができる。コンピュータ可読プログラム・コード手段は、コンピュータ・システムと共に、本明細書で述べた方法を実行するステップの一部またはすべてを実行するか本明細書で述べた装置を作成するように動作可能である。コンピュータ可読媒体は、記録可能媒体(たとえば、フロッピ・ディスク、ハード・ドライブ、コンパクト・ディスク、メモリ・カード、半導体デバイス、チップ、特定用途向け集積回路ASIC)とすることができ、あるいは伝送媒体(たとえば、光ファイバ、ワールド・ワイド・ウェブ、ケーブル、または時分割多元接続、符号分割多元接続もしくは他の無線周波数チャネルを使用する無線チャネルを含むネットワーク)とすることができる、コンピュータ・システムと共に使用するのに適切な情報を格納できる既知のまたはこれから開発されるすべての媒体を使用することができる。コンピュータ可読コード手段は、磁気媒体上の磁気変動またはコンパクト・ディスクの表面上の高さ変動など、コンピュータが命令およびデータを読み取ることを可能にするすべての機構である。
当技術分野で既知のとおり、本明細書で述べた方法および装置を、コンピュータ可読コード手段がその上で実施されたコンピュータ可読媒体をそれ自体が含む製造品として配布することができる。コンピュータ可読プログラム・コード手段は、コンピュータ・システムと共に、本明細書で述べた方法を実行するステップの一部またはすべてを実行するか本明細書で述べた装置を作成するように動作可能である。コンピュータ可読媒体は、記録可能媒体(たとえば、フロッピ・ディスク、ハード・ドライブ、コンパクト・ディスク、メモリ・カード、半導体デバイス、チップ、特定用途向け集積回路ASIC)とすることができ、あるいは伝送媒体(たとえば、光ファイバ、ワールド・ワイド・ウェブ、ケーブル、または時分割多元接続、符号分割多元接続もしくは他の無線周波数チャネルを使用する無線チャネルを含むネットワーク)とすることができる、コンピュータ・システムと共に使用するのに適切な情報を格納できる既知のまたはこれから開発されるすべての媒体を使用することができる。コンピュータ可読コード手段は、磁気媒体上の磁気変動またはコンパクト・ディスクの表面上の高さ変動など、コンピュータが命令およびデータを読み取ることを可能にするすべての機構である。
本明細書で説明したコンピュータ・システムおよびサーバのそれぞれは、本明細書で開示される方法、ステップ、および機能を実施するように関連するプロセッサを構成するメモリを含む。メモリは、分散させまたはローカルとすることができ、プロセッサは、分散させまたは単一とすることができる。メモリは、電気メモリ、磁気メモリ、もしくは光学メモリ、またはこれらの任意の組合せ、あるいは他のタイプのストレージ・デバイスとして実施することができる。さらに、用語「メモリ」は、関連するプロセッサによってアクセスされるアドレス可能空間内のアドレスから読み取るかこれに書き込むことができるすべての情報を含むのに十分に広義に解釈されなければならない。この定義を用いると、ネットワーク上の情報は、それでもメモリ内にある。というのは、関連するプロセッサが、ネットワークから情報を取り出すことができるからである。
図示され本明細書で説明された実施形態および変形形態が、単に本発明の原理を示すものであることと、本発明の範囲および趣旨から逸脱せずに当業者がさまざまな変更を実施できることとを理解されたい。
Claims (10)
- ターゲット犠牲者によって受信される望まれないトラフィックを検出する方法であって、前記ターゲット犠牲者が、1つまたは複数の宛先アドレスを有し、前記方法が、
1つまたは複数のストリング表現を識別するルール・ベースを維持するステップと、
ログ・ファイル内の1つまたは複数のエラー・エントリを分析するステップであって、前記ログ・ファイルが、前記ターゲット犠牲者によって受信される1つまたは複数の要求を含む、ステップと、
前記1つまたは複数の要求が前記ルール・ベース内の前記ストリング表現のうちの1つまたは複数と一致するストリングを含むかどうかを判定するステップと、
前記1つまたは複数の要求が前記ルール・ベース内の前記ストリング表現のうちの1つまたは複数と一致するストリングを含む場合に、告発メッセージを中央フィルタに送信するステップと
を含む、方法。 - 前記望まれないトラフィックが、悪意のある攻撃を含む、請求項1に記載の方法。
- 前記1つまたは複数のストリング表現が、ストリングおよび正規表現のうちの1つまたは複数を含む、請求項1に記載の方法。
- 前記1つまたは複数のストリング表現が、攻撃者がアクセスを試みる可能性がある1つまたは複数のリソースを表す、請求項1に記載の方法。
- 前記1つまたは複数のエラー・エントリが、前記ターゲット犠牲者によって維持される1つまたは複数のリソースの格納された位置をプローブで探るための攻撃者による試みに対応する、請求項1に記載の方法。
- 前記ルール・ベースが、前記ストリング表現ごとに対応するアクションを識別する、請求項1に記載の方法。
- さらなる分析のために前記ログ・ファイルから1つまたは複数の成功のアクセスを記録するステップをさらに含む、請求項1に記載の方法。
- ターゲット犠牲者によって受信される望まれないトラフィックを検出する装置であって、
メモリと、
前記メモリに結合され、
1つまたは複数のストリング表現を識別するルール・ベースを維持し、
前記ターゲット犠牲者によって受信される1つまたは複数の要求を含むログ・ファイル内の1つまたは複数のエラー・エントリを分析し、
前記1つまたは複数の要求が前記ルール・ベース内の前記ストリング表現のうちの1つまたは複数と一致するストリングを含むかどうかを判定し、
前記1つまたは複数の要求が前記ルール・ベース内の前記ストリング表現のうちの1つまたは複数と一致するストリングを含む場合に、告発メッセージを中央フィルタに送信する
ように動作可能な少なくとも1つのプロセッサと
を含む装置。 - 前記1つまたは複数のストリング表現が、ストリングおよび正規表現のうちの1つまたは複数を含む、請求項8に記載の装置。
- 前記1つまたは複数のエラー・エントリが、前記ターゲット犠牲者によって維持される1つまたは複数のリソースの格納された位置をプローブで探るための攻撃者による試みに対応する、請求項8に記載の装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/592,739 US8776217B2 (en) | 2006-11-03 | 2006-11-03 | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis |
| PCT/US2007/022445 WO2008063343A2 (en) | 2006-11-03 | 2007-10-23 | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010508598A true JP2010508598A (ja) | 2010-03-18 |
Family
ID=39361205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009535273A Pending JP2010508598A (ja) | 2006-11-03 | 2007-10-23 | ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8776217B2 (ja) |
| EP (1) | EP2095604B1 (ja) |
| JP (1) | JP2010508598A (ja) |
| KR (1) | KR101038387B1 (ja) |
| CN (1) | CN101529862A (ja) |
| WO (1) | WO2008063343A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7436758B1 (ja) | 2023-03-03 | 2024-02-22 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報処理システム、情報処理方法および情報処理プログラム |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082810B (zh) * | 2009-11-30 | 2014-05-07 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
| KR101145771B1 (ko) * | 2010-06-21 | 2012-05-16 | 한국전자통신연구원 | Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법 |
| CN102457475A (zh) * | 2010-10-15 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 网络安全数据集成与转换系统 |
| CN102073530B (zh) * | 2010-12-17 | 2015-04-29 | 国家计算机网络与信息安全管理中心 | 一种多条正则表达式的增量分组方法 |
| US10382509B2 (en) * | 2011-01-28 | 2019-08-13 | Amazon Technologies, Inc. | Audio-based application architecture |
| US9363278B2 (en) * | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
| CN102957550A (zh) * | 2011-08-23 | 2013-03-06 | 中兴通讯股份有限公司 | 基于日志检测的告警方法及系统 |
| CN102882869B (zh) * | 2012-09-25 | 2015-04-15 | 深圳中兴网信科技有限公司 | 网络业务控制系统和网络业务控制方法 |
| EP3062258A4 (en) * | 2013-10-24 | 2017-05-31 | Mitsubishi Electric Corporation | Information processing device, information processing method, and program |
| US9112898B2 (en) * | 2013-11-21 | 2015-08-18 | Verizon Patent And Licensing Inc. | Security architecture for malicious input |
| CN103701816B (zh) * | 2013-12-27 | 2017-07-11 | 北京奇安信科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
| US9665716B2 (en) * | 2014-12-23 | 2017-05-30 | Mcafee, Inc. | Discovery of malicious strings |
| US9674053B2 (en) | 2015-01-30 | 2017-06-06 | Gigamon Inc. | Automatic target selection |
| US10193899B1 (en) * | 2015-06-24 | 2019-01-29 | Symantec Corporation | Electronic communication impersonation detection |
| CN107230116B (zh) * | 2016-03-23 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 交易请求处理方法、装置以及分布式系统 |
| CN108563629B (zh) * | 2018-03-13 | 2022-04-19 | 北京仁和诚信科技有限公司 | 一种日志解析规则自动生成方法和装置 |
| CN109271783A (zh) * | 2018-09-20 | 2019-01-25 | 珠海市君天电子科技有限公司 | 一种病毒拦截方法、装置及电子设备 |
| EP3660716B1 (en) * | 2018-11-30 | 2020-12-23 | Ovh | Service infrastructure and methods of predicting and detecting potential anomalies at the service infrastructure |
| US11563765B2 (en) * | 2020-04-10 | 2023-01-24 | AttackIQ, Inc. | Method for emulating a known attack on a target computer network |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6487666B1 (en) * | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| JP2003067268A (ja) * | 2001-08-24 | 2003-03-07 | Toyo Commun Equip Co Ltd | 中間エージェントウェブサーバシステム。 |
| JP2003241989A (ja) * | 2002-02-15 | 2003-08-29 | Toshiba Corp | コンピュータウイルス発生検出装置、方法、およびプログラム |
| JP2005157650A (ja) * | 2003-11-25 | 2005-06-16 | Matsushita Electric Ind Co Ltd | 不正アクセス検知システム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030037141A1 (en) * | 2001-08-16 | 2003-02-20 | Gary Milo | Heuristic profiler software features |
| US7383577B2 (en) * | 2002-05-20 | 2008-06-03 | Airdefense, Inc. | Method and system for encrypted network management and intrusion detection |
| US7596809B2 (en) | 2004-06-14 | 2009-09-29 | Lionic Corporation | System security approaches using multiple processing units |
| US7783688B2 (en) * | 2004-11-10 | 2010-08-24 | Cisco Technology, Inc. | Method and apparatus to scale and unroll an incremental hash function |
| US8185955B2 (en) | 2004-11-26 | 2012-05-22 | Telecom Italia S.P.A. | Intrusion detection method and system, related network and computer program product therefor |
| CN100357900C (zh) | 2005-01-20 | 2007-12-26 | 上海复旦光华信息科技股份有限公司 | 基于模板的异构日志信息自动提取与分析方法 |
| US20060248588A1 (en) * | 2005-04-28 | 2006-11-02 | Netdevices, Inc. | Defending Denial of Service Attacks in an Inter-networked Environment |
-
2006
- 2006-11-03 US US11/592,739 patent/US8776217B2/en not_active Expired - Fee Related
-
2007
- 2007-10-23 CN CNA2007800401683A patent/CN101529862A/zh active Pending
- 2007-10-23 EP EP07870806.2A patent/EP2095604B1/en not_active Not-in-force
- 2007-10-23 WO PCT/US2007/022445 patent/WO2008063343A2/en active Application Filing
- 2007-10-23 JP JP2009535273A patent/JP2010508598A/ja active Pending
- 2007-10-23 KR KR1020097008985A patent/KR101038387B1/ko not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6487666B1 (en) * | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| JP2003067268A (ja) * | 2001-08-24 | 2003-03-07 | Toyo Commun Equip Co Ltd | 中間エージェントウェブサーバシステム。 |
| JP2003241989A (ja) * | 2002-02-15 | 2003-08-29 | Toshiba Corp | コンピュータウイルス発生検出装置、方法、およびプログラム |
| JP2005157650A (ja) * | 2003-11-25 | 2005-06-16 | Matsushita Electric Ind Co Ltd | 不正アクセス検知システム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7436758B1 (ja) | 2023-03-03 | 2024-02-22 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報処理システム、情報処理方法および情報処理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080109905A1 (en) | 2008-05-08 |
| KR101038387B1 (ko) | 2011-06-01 |
| CN101529862A (zh) | 2009-09-09 |
| WO2008063343A3 (en) | 2009-01-15 |
| KR20090087437A (ko) | 2009-08-17 |
| US8776217B2 (en) | 2014-07-08 |
| EP2095604A2 (en) | 2009-09-02 |
| WO2008063343A2 (en) | 2008-05-29 |
| EP2095604B1 (en) | 2017-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8776217B2 (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
| US10009361B2 (en) | Detecting malicious resources in a network based upon active client reputation monitoring | |
| JP4501280B2 (ja) | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 | |
| US9756017B2 (en) | Data leak protection in upper layer protocols | |
| JP4742144B2 (ja) | Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム | |
| US10616258B2 (en) | Security information and event management | |
| US7222366B2 (en) | Intrusion event filtering | |
| Fedynyshyn et al. | Detection and classification of different botnet C&C channels | |
| JP2020521383A (ja) | 相関関係駆動型脅威の評価と修復 | |
| US20150033336A1 (en) | Logging attack context data | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| US10135785B2 (en) | Network security system to intercept inline domain name system requests | |
| US20100235917A1 (en) | System and method for detecting server vulnerability | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| US20050027854A1 (en) | Method, program and system for automatically detecting malicious computer network reconnaissance | |
| US20190230097A1 (en) | Bot Characteristic Detection Method and Apparatus | |
| US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
| JP5153779B2 (ja) | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 | |
| KR100862321B1 (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 | |
| CN117955690A (zh) | 一种蜜庭防御方法、系统、装置及存储介质 | |
| JP2006227842A (ja) | セキュリティ監査における自動レポート生成方法及びプログラム並びに不正侵入検知装置 | |
| JP2006042183A (ja) | 監視方法、監視装置、通信制限システム及びコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120111 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120118 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120418 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120425 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120718 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120814 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150318 |