JP2010529746A - サイバー攻撃に対するネットワークの保護方法ならびにシステム - Google Patents

サイバー攻撃に対するネットワークの保護方法ならびにシステム Download PDF

Info

Publication number
JP2010529746A
JP2010529746A JP2010510461A JP2010510461A JP2010529746A JP 2010529746 A JP2010529746 A JP 2010529746A JP 2010510461 A JP2010510461 A JP 2010510461A JP 2010510461 A JP2010510461 A JP 2010510461A JP 2010529746 A JP2010529746 A JP 2010529746A
Authority
JP
Japan
Prior art keywords
cyber
network
attack
coordinates
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010510461A
Other languages
English (en)
Inventor
ヴィクター・アイ・シェイモヴ
Original Assignee
インヴィクタ ネットワークス,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インヴィクタ ネットワークス,インコーポレイテッド filed Critical インヴィクタ ネットワークス,インコーポレイテッド
Publication of JP2010529746A publication Critical patent/JP2010529746A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ネットワーク化されたコンピュータ又は装置をサイバー攻撃から保護するための方法、システム、ならびに、装置であって、通信ネットワーク又はシステムのサイバー座標を周期的に変更し、対応又は相互関係を有するネットワークおよび/又は前記通信ネットワーク又はシステムの装置に、前記変更されたサイバー座標を伝達し、これにより、通信の維持を可能とし、サイバー攻撃を検出し、あるいは、前記対応又は相互関係を有するネットワークおよび/又はサイバー攻撃の装置から通知を受け、および、前記検出又は通知がなされると、前記ネットワーク又はシステムの前記サイバー座標を変更し、当該変更されたサイバー座標を、前記対応又は相互関係を有するネットワークおよび/又は装置に伝達する動作を含む。

Description

関連出願の表示
本発明は、2007年5月29日出願の“サイバー攻撃に対するネットワークの保護方法ならびにシステム”と題するシェイモフ(Sheymov)による米国仮特許出願番号60/924、705に基づく優先権の利益を主張し、その開示全体が、参照のため本願に取り込まれる。
本発明は、一般に、通信ネットワークの保護のためのシステムならびに方法に関し、より具体的には、サイバー攻撃(cyber attacks)等から通信ネットワークを保護するための改善されたシステムならびに方法に関する。
近年、ハッキング攻撃に対するコンピュータの継続的な脆弱性が、インターネットを使用するコンピュータ数の顕著な増加と相まって、サービス妨害(DoS)、特に、分散型サービス妨害(DDoS)等のサイバー攻撃の潜在力を増加させる原因となっている。かかる攻撃に対抗するため、保護システムならびに方法が採用されている。しかしながら、かかるシステムは、ネットワークあるいはシステムレベルでの保護を提供するが、大規模なDDoS攻撃によって潜在的に達成することが可能なレベルでのより強力な攻撃に対して有効ではない。
なし
したがって、サイバー攻撃からの保護方法及びシステムにより、上述のならびに他の問題を解決する方法、システム、ならびに装置についてのニーズがある。上述のならびに他のニーズは、サービス妨害(DoS)、特に、分散型サービス妨害(DDoS)等のサイバー攻撃に対してネットワークを保護するための方法、システム、ならびに装置を提供する本発明の例示的実施形態によって解決される。 これにより、本発明の例示的な側面において、通信ネットワーク又はシステムのサイバー座標(cyber coordinates)を周期的に変更するステップと、対応又は相互関係を有するネットワークおよび/又は前記通信ネットワーク又はシステムの装置に、前記変更されたサイバー座標を伝達し、これにより、通信の維持を可能にするステップと、サイバー攻撃を検出し、あるいは、前記対応又は相互関係を有するネットワークおよび/又はサイバー攻撃の装置から通知を受けるステップと、および、前記検出又は通知がなされると、前記ネットワーク又はシステムの前記サイバー座標を変更し、当該変更されたサイバー座標を、前記対応又は相互関係を有するネットワークおよび/又は装置に伝達するステップとを備えた、ネットワーク化されたコンピュータ又は装置をサイバー攻撃から保護する方法、システム、ならびに装置、を提供する。例えば、かかる防御の動きは、周期的、確定的、無作為的、および、サイバー攻撃を含む出来事に基づいて実行可能である。強力なDDoS攻撃に対する保護は、目標からアップストリームにシフトされ、ルーター等のより強力な通信装置に委ねられる。
本発明のその他の側面、特徴、ならびに、効果は、本発明を実行するために考えられる最良の形態を含む多くの例示的実施形態および実行例を示すだけで、以下の詳細な説明から直ちに理解される。本発明は、その他および異なる実施形態でも可能であり、そのいくつかの詳細は、全て本発明の精神および範囲から逸脱することなく、いろいろな点で変更可能である。したがって、図面および説明は、限定ではなく、例示の目的と考えられる。
本発明の実施形態は、限定のためではなく、例示目的で述べられており、添付された図面内において、同じ参照符号は同じ要素を示している。
図1は、インターネットプロトコルバージョン4(IPv4)アドレスの背景技術を示す。 図2は、サイバー攻撃に対し、ネットワークを保護するための例示的システムを示す。 図3は、サイバー攻撃に対し、ネットワークを保護するための別の例示的システムを示す。 図4は、サイバー攻撃に対してネットワークを保護するための例示的なプロセスを示す。
詳細な説明
本発明は、“フラッディング”型("flooding" type)のサービス妨害(DoS)、具体的には、分散型サービス妨害(DDoS)等のサイバー攻撃に対する、コンピュータの脆弱性は、その有効性を判断するためパケットを処理するために要求される時間が、サーバー攻撃に用いられる“ジャンク”パケットを生成する時間よりも長いという基本的前提に基づく、という認識を含んでいる。例えば、DDoS攻撃の場合、このことは、比較的遅い多数のコンピュータであっても、比較的処理能力の高いコンピュータが処理することができるよりも、多くのジャンクパケットを生成し送信できることを意味している。すなわち、かかるサイバー攻撃の防御側は、演算面で明らかに不利である。
インターネット接続されるコンピュータの数が急速に増加するにつれて、サイバー攻撃の防御側の演算面での不利はより顕著なものとなる。このことは、スキャダ(SCADA)等の、重要でしかも必須のシステム又はネットワークの脆弱性を次第に高めることになる。認証機能を実行する等によるコンピュータの従来の演算機能を単に向上させことだけでは、この脆弱さと根本的な演算面の不利益に対処することは、実現可能でないように思える。
ネットワーク又はシステムをアップストリームにするため可変サイバー座標(VCCs)の原理を採用することにより、例示的実施形態は、上述の問題ならびに他の問題を解決する。保護されたネットワークあるいはシステムにおいて採用された送信器および受信器のためのVCCsは、一定ではなく、むしろ絶えず急速に変化するものであり、新しいコーディネートは、認証済みの相手だけに通信される。前記サイバー座標は、いずれの適切な通信システムあるいはネットワーク等において採用された、いずれの適切なアドレス、例えば、コンピュータのIPアドレスまたはポート、電話番号、メディアアクセスコントロール(MAC)アドレス、イーサネット(商標)ハードウエアアドレス(EHA)等を含むことも可能である。本実施形態に基づいて、ネットワーク又はシステムをアップストリームにするためバリアブルサイバー座標(VCCs)の原理を採用することで、かかる防御メカニズムを”アップストリーム”に移動させ、攻撃検出アルゴリズムを単純化することにより、コンピュータを攻撃する多数のDDoS攻撃等を含む、サイバー攻撃によって生じる問題を軽減することが可能となる。
実際に攻撃を開始するため、攻撃側は、まず、目標のサイバー座標を知っていなければならない。かりに、かかる攻撃が1のコンピュータを目標とせず、ネットワークを目標とする場合であっても、攻撃側は、ゲートウエイ等のIPアドレスなどのネットワークのサーバーコーディネートを知らなければならない。例示的な保護方法およびシステムは、認証されたシステム又はネットワークだけにかかる情報を提供し、それを他の全てのシステムあるいはネットワークに提供することを拒否する。すなわち、当該例示的システムは、例えばIPアドレス等の、保護されたネットワークのサイバー座標の適切な部分を任意抽出し、例えば、暗号化様式によりそれらを認証済みの相手だけに通信する。したがって、かかるサイバー座標は、図1に示すIPバージョン4(IPv4)アドレス、IPバージョン6(IPv6)アドレス、あるいは、他のいずれの適切な通信プロトコル等を含んでもよい。また、かかるサイバー座標は、周期的に変化し、新しく現在有効なサイバー座標が、認証済みの相手だけに通信される。サイバー座標のかかる変化は、攻撃あるいは他の事件等の出来事に対応して、確定された、あるいは、不規則な(例えば、秒、分、時間、日、週、月、年毎、あるいは、その一部の)時間的基準を含む、いずれの適切な方法により実行することが可能である。
ここで、図面を参照すると、その図2は、サイバー攻撃からネットワークを保護するための例示的なシステム200を示している。図2において、かかるシステム200は、関与している二以上のインターネットサービスプロバイダ(ISP)216および218、および/又は、二以上の保護されたネットワーク又はシステム206から212のトラフィックを処理する電気通信事業者222および224を含んでもよい。例えば、保護されたネットワーク又はシステム206から212は、それぞれ、xビット214、IPv4のクラスCネットワークにおいては例えば8ビットがIPアドレス空間として割り当てられている。前記ネットワーク又はシステム206から212は、通常、当該ネットワーク又はシステム206から212の一以上のコンピュータ又は装置で採用されたIPアドレス空間に8ビットを割り当てる等により、これらxビット214を処理する。他方、前記ISP216および218は、パケットをネットワーク又はシステム206から212のゲートウエイに届け、通常は、IPアドレス空間内に割り当てられた、より高いyビット220の範囲内でいくつかのネットワーク又はシステムを処理する。したがって、ISP216および218は、自身のクライアント、すなわち、ネットワーク又はシステム206から212のためのIPアドレス空間の次のyビット220を処理する。通常、このことは、前記ネットワーク又はシステム206から212の帯域幅と帯域幅が同じくらい広い場合に生じる。前記ISP216および218は、当該ISP216および218のためのバックボーン(インターネットのバックボーン)サービスを取り扱う、それぞれの電気通信事業者222および224から、前記ネットワーク又はシステム206から212に割り当てられた帯域幅を有するパケットを受け取る。次に、ISP216および218は、それらに別個に割り当てられたyビット220内のパケットを処理(例えば、転送)する。これらのISPにより処理されたビット220である8又は9ビットは、バックボーンサービスを取り扱う電気通信事業者222および224用に残りのIPアドレス空間226(IPv4では15又は16ビット)を残す。
例示的実施形態においては、前記ISP216および218、前記電気通信事業者222および224、あるいは、クライアントのネットワーク又はシステムのトラフィックを取り扱うのに適した他のいずれの事業者が、上述のように、それらのIPアドレス空間226、220および214等の保護されたネットワークのサーバーコーディネートをランダム化し、それらを認証済みの関係者以外には秘密で配信することを含む、VCC機能を実行する。かかる機能は、例えば、それぞれのISP216および218のためのコントローラー228および330、および/又は、それぞれの電気通信事業者222および224のためのコントローラー232、234によって実行される。
インターネットの例において、彼らのクライアント206から212を保護する2つのISP216および218がある場合、安全な通信を行い、サイバー攻撃を防止することを可能にするため、彼らは、前記コントローラー228および330を介して、関係するクライアント206から212の現在有効なサーバーコーディネートを互いに知らせあう。このようにプログラムされたISP216および218のルーターおよびスイッチは、通信トラフィックを正しい目的地へと案内する。同様に、彼らのクライアント216から218を保護する2つの電気通信事業者222および224は、安全な通信を行い、サイバー攻撃を防止することを可能にするため、前記コントローラー232および234を介して、関係するクライアント216から218の現在有効なサーバーコーディネートを互いに知らせあう。このようにプログラムされた電気通信事業者222および224のルーターおよびスイッチは、通信トラフィックを正しい目的地へと案内する。
図3は、図2のサイバー攻撃に対するネットワーク保護システム200をさらに示している。図3において、一以上のネットワーク又はシステム302および304は、コントローラー314の指示に基づきIPアドレス316および318を提供する、ゲートウエイ306および308、ルーター310および312を介して、互いに通信を行う。一以上のネットワーク又はシステム302および304が、例えば、フラッディング攻撃等のサイバー攻撃を検出すると、コントローラー314は、ルーター310および312を介し、IPアドレス316および/又は318を、必要に応じてIPアドレス320および/又は322に変更することができ、フラッディングパケットを除去することが可能(can be dropped)となる。例示的な実施形態において、一以上のネットワーク又はシステム302および304のIPアドレスは、その時点でIPアドレスが変更可能であるサイバー攻撃が検出されるまで固定であってもよい。別の例示的実施形態において、IPアドレスは、例えば、いずれの適切な時間、出来事、パラメーター等に基づいて変更可能である。サイバー攻撃を検出可能なポッシブルシステム(possible system)302又は306の例は、invisiLANシステム(例えば、ワールドワイドウエッブ上のinvictanetworks.com/pdf/invisilantech.pdf において詳しく述べられている)等を含んでもよい。
したがって、当該例示的システム200では、目標のサイバー座標を知らずに、攻撃側が目標に対する攻撃を開始することが困難である。図4は、サイバー攻撃に対するネットワーク保護ための例示的なプロセス400を示している。図4においては、ステップ402で、サイバー座標が更新され、ステップ404において、更新されたサイバー座標を用いてトラフィックが転送される。しかし、攻撃側が、目標のサイバー座標を知らずに攻撃を開始しようとする場合、ステップ406に示すように、攻撃側は目標を“捉え”あるいは目標を外してしまう。外してしまった場合、ステップ408において、攻撃パケットを“除去”(アップストリーム”方向の高速環境において多量のトラフィックを取り扱うことが可能であり、これにより、例えば、ISPコントローラー、ルーター、スイッチ等により、通常は低速なクライアントのゲートウエイを保護)することが可能である。しかし、攻撃側が、目標とするネットワークの現在のサイバー座標を推測し、ステップ406に示すように目標を“捉え”た場合であっても、攻撃を検出し、ステップ402において(例えば、ISPのコントローラー、ルーターを介して)、当該ネットワークのサイバー座標を変更する(例えば、直ちに、あるいは、所定数の攻撃に基づいて、座標を変更する)ことが可能であり、ステップ408において、目標を外したパケットをアップストリーム位置で除去することが可能である。電気通信事業者322および324等の、いずれの適切なアドレス空間内で上述と同様のアプローチを用いることが可能である。
上述のように、ある例示的実施形態においては、ISP216および218、および/又は、電気通信事業者222および224の各セキュリティーコントローラー228から234は、保護されたネットワークのサーバーコーディネートの変更に基づき、ISP216および218、および/又は、電気通信事業者222および224のルーター、スイッチ等を更新することが可能である。ある例示的実施形態においては、反応速度を都合良く加速するため、事前通告なしでかかる攻撃パケットを除去するようコントローラー、スイッチ、ルーター等をプログラムすることが可能である。関連技術の当業者であれば理解するであろうが、かかる例示的実施形態は、関連する事業者が参加し、いずれの適切なアップストリームおよび/又はダウンストリーム位置において用いることが可能である。
前記例示的実施形態の上記装置ならびにサブシステムは、当該例示的実施形態の新しい構造にアクセス可能あるいはそれを用いることが可能な、例えば、いずれの適切なクライアント、ワークステーション、PC、ラップトップコンピュータ、PDA、インターネット機器、携帯端末、携帯電話、無線装置ならびに他の装置等によってアクセスされ、又は、そこに含めることが可能である。当該例示的実施形態のかかる装置ならびにサブシステムは、いずれの適切なプロトコルを用いて互いに通信可能であり、一以上のプログラム済みのコンピュータシステムあるいは装置を用いて実施することができる。
一以上のインターフェース機構を、例えばインターネット接続、いずれの適切な形態での電気通信(例えば、音声、モデム等)、無線通信媒体等、を含む前記例示的実施形態に用いることが可能である。例えば、採用された通信ネットワーク又はリンクは、一以上の無線通信ネットワーク、携帯通信ネットワーク、ケーブル通信ネットワーク、衛星通信ネットワーク、G3通信ネットワーク、公衆交換電話網(PSTN)、パケットデータネットワーク(PDN)、インターネット、イントラネット、ワイマックス(WiMax)ネットワーク、それらの組み合わせ等を含んでもよい。
関連技術の当業者であれば理解するように、前記例示的実施形態の上記装置ならびにサブシステムは、例示を目的としており、前記例示的実施形態の実施に用いられる特定のハードウエアについて多くのバリエーションが可能であることが理解される。例えば、前記例示的実施形態の一以上の上記装置ならびにサブシステムの機能性は、一以上のプログラム済みのコンピュータシステムあるいは装置を介して実施することが可能である。
他のバリエーションとともにかかるバリエーションを実施するため、前記例示的実施形態の一以上の上記装置ならびにサブシステムの専用機能を実施するよう、単一のコンピュータシステムをプログラムすることも可能である。他方、二以上のプログラム済みのコンピュータシステム又は装置を、前記例示的実施形態の上記装置ならびにサブシステムのいずれかの代わりにしてもよい。したがって、前記例示的実施形態の装置ならびにサブシステムの堅牢性ならびに性能を向上させるため、所望されるように、冗長性および複製性(replication)等の分散処理の原理ならびに利益を実行することが可能である。
前記例示的実施形態の上記装置ならびにサブシステムは、ここで説明する様々なプロセスに関する情報を記憶することが可能である。この情報は、前記例示的実施形態の装置ならびにサブシステムの、ハードディスク、光学ディスク、光磁気ディスク、RAM等の一以上のメモリ内に記憶することができる。前記例示的実施形態の装置ならびにサブシステムの一以上のデータベースは、本発明の前記例示的実施形態を実施するため用いられる情報を記憶することが可能である。前記データベースは、ここで述べられた一以上のメモリ又は記憶装置に含まれたデータ構造(例えば、レコード、テーブル、アレイ、フィールド、グラフ、ツリー、リスト等)を用いて構成することが可能である。前記例示的実施形態について述べられた前記プロセスは、前記例示的実施形態の装置ならびにサブシステムの処理によって収集され、および/又は、生成されたデータを、その一以上のデータベース内に記憶するための適切なデータ構造を含めることができる。
コンピュータおよびソフトウエア技術における当業者であれば理解するように、前記例示的実施形態の装置ならびにサブシステムの全部又は一部は、本発明の前記例示的実施形態の教示に基づいてプログラムされた、一以上の汎用コンピュータシステム、マイクロプロセッサ、デジタル信号プロセッサ、マイクロコントローラ等を用いて実施可能である。ソフトウエア技術における当業者であれば理解するように、前記例示的実施形態の教示に基づき、当業者であるプログラマーによって適切なソフトウエアをすぐに準備することができる。また、前記例示的実施形態の装置ならびにサブシステムは、ワールドワイドウエッブ上で実施可能である。さらに、電子技術における当業者であれば理解するように、前記例示的実施形態の装置ならびにサブシステムは、アプリケーションに特化した集積回路(application-specific integrated circuits)を準備し、あるいは、従来のコンポーネント回路の適切なネットワークを相互接続することにより実施可能である。したがって、前記例示的実施形態は、ハードウエア回路、および/又は、ソフトウエアの特定の組み合わせに限定されない。
いずれか1つ又はコンピュータ可読媒体の組み合わせ上に記憶することにより、本発明の前記例示的実施形態は、実施形態の前記システムおよびサブシステムが、人間のユーザー等と情報をやりとりすることを可能とするため、当該実施形態の前記システムおよびサブシステムを制御し、実施形態の前記システムおよびサブシステムを駆動するための、ソフトウエアを含めることができる。かかるソフトウエアは、それに限定されないが、装置のドライバー、ファームウエア、オペレーティングシステム、開発ツール、アプリケーションソフトウエア等を含むことも可能である。かかるコンピュータ可読媒体は、さらに、本発明を実施するにあたって実行される処理の全部又は一部(処理が分散されている場合)を実施するため、本発明の一実施形態であるコンピュータプログラム製品を含むことが可能である。本発明の前記例示的実施形態のコンピュータ符号装置は、これらに限定されないが、スクリプト、解釈可能なプログラム、ダイナミックリンクライブラリ(DLL)、Java(商標)クラスおよびアプレット(Java class and applets)、完全に実行可能なプログラム、コモンオブジェクトリクエストブローカーアーキテクチャ(CORBA)オブジェクト等を含む、いずれの解釈可能又は実行可能な符号メカニズムを含むことができる。また、より高いパフォーマンス、信頼性、コスト等のため、本発明の前記例示的実施形態の処理の一部を分散するようにしてもよい。
上述のように、前記実施形態の前記システムおよびサブシステムは、本発明の教示に基づきプログラムされた命令を保持し、データ構造、テーブル、レコード、および/又は、ここで述べられた他のデータを保持するためのコンピュータ可読媒体又はメモリを含むことも可能である。コンピュータ可読媒体は、実行のためプロセッサに対する命令の提供に関与する、いずれの適切な媒体を含むことが可能である。かかる媒体は、これに限定されないが、不揮発性媒体、揮発性媒体、通信媒体等を含む、多くの形式を採ることが可能である。不揮発性媒体は、例えば、光学又は磁器ディスク、光磁気ディスク等を含むことができる。揮発性媒体は、ダイナミックメモリ等を含むことが可能である。通信媒体は、同軸ケーブル、銅線、光ファイバー等を含むことができる。また、通信媒体は、無線(RF)通信、赤外線(IR)データ通信等において生成された、音声、光、電磁等の形態を採ることが可能である。コンピュータ可読媒体の共通の形態は、例えば、フロッピーディスク(商標)、フレキシブルディスク、ハードディスク、磁気テープ等のいずれの適切な磁気媒体、CD−ROM、CDRW、DVD等のいずれの適切な光学媒体、様々なパターンの孔又は他の光学的に識別可能な印(optically recognizable indicia)を有する、穿孔カード、紙テープ、光学マークシート等のいずれの適切な物理的媒体、RAM、PROM、EPROM、フラッシュ−EPROM等のいずれの適切なメモリーチップ又はカートリッジ、搬送波又はそこからコンピュータが読むことができるいずれの適切な媒体を含むことも可能である。
本発明は、多くの例示的実施形態および実行例との関連で説明されているが、本発明はそれらに限定されず、本発明の特許請求の範囲内に入るさまざまな変更、均等な構成をカバーするものである。

Claims (10)

  1. ネットワーク化されたコンピュータ又は装置をサイバー攻撃から保護する方法であって、
    通信ネットワーク又はシステムのサイバー座標を周期的に変更するステップと、
    対応又は相互関係を有するネットワークおよび/又は前記通信ネットワーク又はシステムの装置に、前記変更されたサイバー座標を伝達し、これにより、通信の維持を可能にするステップと、
    サイバー攻撃を検出し、あるいは、前記対応又は相互関係を有するネットワークおよび/又はサイバー攻撃の装置から通知を受けるステップと、および
    前記検出又は通知がなされると、前記ネットワーク又はシステムの前記サイバー座標を変更し、当該変更されたサイバー座標を、前記対応又は相互関係を有するネットワークおよび/又は装置に伝達するステップと、を備えること、
    を特徴とする方法。
  2. 請求項1の方法において、前記通信ネットワーク又はシステムは、インターネットサービスプロバイダーの通信ネットワーク又はシステムであること、
    を特徴とする方法。
  3. 請求項1の方法において、前記通信ネットワーク又はシステムは、インターネットバックボーンの通信ネットワーク又はシステムであること、
    を特徴とする方法。
  4. 請求項1の方法において、前記サイバー座標は、IPv4又はIPv6アドレス、あるいは、通信プロトコルのアドレスであること、
    を特徴とする方法。
  5. 請求項1の方法において、前記サイバー攻撃は、分散型サービス妨害(DDoS)攻撃を含むサービス妨害(DoS)攻撃であること、
    を特徴とする方法。
  6. 請求項1の方法において、前記サイバー座標の変更に基づく防御の動きは、周期的、確定的、不規則的のいずれか、および、サイバー攻撃を含む出来事に基づいて実行可能であること、
    を特徴とする方法。
  7. 請求項1の方法に対応するコンピュータシステム。
  8. コンピュータプログラム製品であって、請求項1の前記方法に対応する一以上のコンピュータ可読の命令を含むこと、
    を特徴とする製品。
  9. 請求項7のシステムであって、一以上のハードウエアおよびソフトウエアを備えたこと、
    を特徴とするシステム。
  10. 請求項7の前記システムに対応する一以上の装置。
JP2010510461A 2007-05-29 2008-05-28 サイバー攻撃に対するネットワークの保護方法ならびにシステム Pending JP2010529746A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US92470507P 2007-05-29 2007-05-29
PCT/US2008/064950 WO2008150786A2 (en) 2007-05-29 2008-05-28 Method and system for network protection against cyber attacks

Publications (1)

Publication Number Publication Date
JP2010529746A true JP2010529746A (ja) 2010-08-26

Family

ID=40094344

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010510461A Pending JP2010529746A (ja) 2007-05-29 2008-05-28 サイバー攻撃に対するネットワークの保護方法ならびにシステム

Country Status (5)

Country Link
US (1) US20100175131A1 (ja)
EP (1) EP2151094A2 (ja)
JP (1) JP2010529746A (ja)
CA (1) CA2688045A1 (ja)
WO (1) WO2008150786A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101005090B1 (ko) 2008-09-17 2010-12-30 한국항공대학교산학협력단 정적분석에 기반한 웹 응용프로그램 방화벽시스템 및 방화방법
JP2013255167A (ja) * 2012-06-08 2013-12-19 Nippon Telegraph & Telephone West Corp 中継装置

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011019662A2 (en) * 2009-08-10 2011-02-17 Invicta Networks, Inc. System and method for cyber object protection using variable cyber coordinates (vcc)
US9363278B2 (en) * 2011-05-11 2016-06-07 At&T Mobility Ii Llc Dynamic and selective response to cyber attack for telecommunications carrier networks
US8812689B2 (en) * 2012-02-17 2014-08-19 The Boeing Company System and method for rotating a gateway address
US10057290B2 (en) 2015-01-23 2018-08-21 International Business Machines Corporation Shared MAC blocking
US10044673B2 (en) * 2015-07-22 2018-08-07 Fastly, Inc. Protecting communication link between content delivery network and content origin server

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5805801A (en) * 1997-01-09 1998-09-08 International Business Machines Corporation System and method for detecting and preventing security
JP3967550B2 (ja) * 1999-05-17 2007-08-29 インヴィクタ ネットワークス インコーポレーテッド 通信装置を侵入から防御する方法及びシステム
US7941855B2 (en) * 2003-04-14 2011-05-10 New Mexico Technical Research Foundation Computationally intelligent agents for distributed intrusion detection system and method of practicing same
US7810149B2 (en) * 2005-08-29 2010-10-05 Junaid Islam Architecture for mobile IPv6 applications over IPv4

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101005090B1 (ko) 2008-09-17 2010-12-30 한국항공대학교산학협력단 정적분석에 기반한 웹 응용프로그램 방화벽시스템 및 방화방법
JP2013255167A (ja) * 2012-06-08 2013-12-19 Nippon Telegraph & Telephone West Corp 中継装置

Also Published As

Publication number Publication date
CA2688045A1 (en) 2008-12-11
EP2151094A2 (en) 2010-02-10
WO2008150786A2 (en) 2008-12-11
WO2008150786A3 (en) 2009-03-05
US20100175131A1 (en) 2010-07-08

Similar Documents

Publication Publication Date Title
Prasad et al. An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic
Tripathi et al. Hadoop based defense solution to handle distributed denial of service (ddos) attacks
US8561188B1 (en) Command and control channel detection with query string signature
Hussein et al. SDN security plane: An architecture for resilient security services
Arukonda et al. The innocent perpetrators: reflectors and reflection attacks
Seo et al. APFS: adaptive probabilistic filter scheduling against distributed denial-of-service attacks
JP2007521718A (ja) セキュリティブリーチ検知に対するネットワークのクオリティオブサービスを保護するシステムおよび方法
JP2010529746A (ja) サイバー攻撃に対するネットワークの保護方法ならびにシステム
Prasad et al. Discriminating DDoS attack traffic from flash crowds on Internet Threat Monitors (ITM) using entropy variations
Kessler Defenses against distributed denial of service attacks
Robinson et al. Evaluation of mitigation methods for distributed denial of service attacks
Xiao et al. A novel approach to detecting DDoS attacks at an early stage
Saad et al. Rule-based detection technique for ICMPv6 anomalous behaviour
Prasad et al. IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots
Kavisankar et al. Efficient syn spoofing detection and mitigation scheme for ddos attack
Kukreti et al. DDoS attack using SYN flooding: A case study
Dasari et al. Distributed denial of service attacks, tools and defense mechanisms
Kuppusamy et al. An effective prevention of attacks using gI time frequency algorithm under dDoS
EP3595257B1 (en) Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device
Muthurajkumar et al. UDP flooding attack detection using entropy in software-defined networking
Hamdani et al. Detection of DDOS attacks in cloud computing environment
Vadehra et al. Impact evaluation of distributed denial of service attacks using ns2
Sridaran An overview of DDoS attacks in cloud environment
Gairola et al. A review on dos and ddos attacks in cloud environment & security solutions
Kuppusamy et al. Prevention of attacks under dDoS using target customer behavior