JP2011523314A - パケットベースのネットワークを攻撃から保護する方法、およびセキュリティボーダーノード - Google Patents

パケットベースのネットワークを攻撃から保護する方法、およびセキュリティボーダーノード Download PDF

Info

Publication number
JP2011523314A
JP2011523314A JP2011512925A JP2011512925A JP2011523314A JP 2011523314 A JP2011523314 A JP 2011523314A JP 2011512925 A JP2011512925 A JP 2011512925A JP 2011512925 A JP2011512925 A JP 2011512925A JP 2011523314 A JP2011523314 A JP 2011523314A
Authority
JP
Japan
Prior art keywords
message
session
information
session control
border node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011512925A
Other languages
English (en)
Other versions
JP5175975B2 (ja
Inventor
バール,シユテフアン
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2011523314A publication Critical patent/JP2011523314A/ja
Application granted granted Critical
Publication of JP5175975B2 publication Critical patent/JP5175975B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

本発明は、以下を備える、パケットベースのネットワークを攻撃から保護するためのセキュリティボーダーノード2aに関する:異常検出、具体的には統計分析、をセッション制御メッセージ11、具体的にはセキュリティボーダーノード2aで受信されたパケットストリーム5に含まれるSIPメッセージ、に実行するための異常検出装置10。このセキュリティボーダーノードはさらに、少なくとも1つのセッション制御メッセージ11を、そのセッション制御メッセージ11、11aから11fが帰属させられるクライアント22および/またはセッション23に関連するメッセージ文脈情報12、17、24と共に異常検出装置10に提供するためのメッセージ文脈プロビジョニング装置13を備える。本発明はまた、攻撃からパケットベースのネットワークを保護する方法、コンピュータプログラム製品、およびパケットベースのネットワークに関する。

Description

本発明は、セッション制御メッセージ、具体的にはネットワークのセキュリティボーダーノードで受信されるパケットストリームに含まれるセッション開始プロトコル(SIP)メッセージ、の異常検出、具体的には統計分析、を実行するステップを備える、攻撃からパケットベースのネットワークを保護する方法、ならびに、その方法を実行するように構成されたコンピュータプログラム製品に関する。本発明はさらに、セッション制御メッセージ、具体的にはセキュリティボーダーノードで受信されるパケットストリームに含まれるSIPメッセージ、の異常検出、具体的には統計分析、を実行するための異常検出装置を備える、攻撃からパケットベースのネットワークを保護するためのセキュリティボーダーノード、ならびに、少なくとも1つのかかるセキュリティボーダーノードを備えるパケットベースのネットワークに関する。
本発明は、任意の種類の攻撃に対する、通信/コンピュータネットワークなどのパケットベースのネットワーク、具体的にはコアネットワーク、の保護に関する。コアネットワークは、1人または複数の参加者とのセッションを作成、修正および終了するためのセッション開始プロトコル(SIP)などのセッション/アプリケーション層制御(シグナリング)プロトコルを使用する3GPP/IMS(IPマルチメディアサブシステム)による各次世代ネットワーク(NGN)アーキテクチャ、ETSI/TISPAN(Telecoms & Internet converged Services & Protocols for Advanced Networks)を使用して実装されることができる。かかるコアネットワークでは、攻撃は異なる層(IP、トランスポートからアプリケーション層まで)で生じることがあり、攻撃形式も異なり得る。具体的には、コアネットワークのボーダーノード内のアプリケーション/セッションプロトコルスタックは、高い危険にさらされており、したがって、特に正しく行動するユーザ/デバイスのために、システム全体の所要の高い可用性を実現するための保護機構を必要とする。本発明は、SIPシグナリングによるNGN/IMS/TISPANネットワークに限定されず、たとえばSOAP(シンプルオブジェクトアクセスプロトコル)、H.323などの他のタイプのシグナリングプロトコルを使用するすべてのタイプのIPネットワークに関することが、理解される。
前述のタイプのコアネットワーク1が図1に示されている。コアネットワーク1は、それら自体がエンドユーザ機器4に接続されているアクセスネットワーク3にコアネットワーク1を接続するための複数の(セキュリティ)ボーダーノード2aから2fを有する。ボーダーノード2aから2fのうちのいくつかは、コアネットワーク1を他のコアネットワーク(非表示)に接続するために使用されることもできる。ボーダーノード2aから2f内で、潜在的に危険なトラフィックから有効なものを直ちに識別するセキュリティポリシーが適用される必要があり、識別された不正なトラフィックは遮断される必要がある。この目的のために、(OSIモデルの)第3層/第4層で動作するファイアウォールおよびシグネチャ解析機能が、ネットワークを保護するために適用される。これらの解決法は、攻撃の形式が事前に知られていることを必要とする。しかし、新しい形式を適用するこれから起こる攻撃は、これらの保護方法を通過することができる。したがって、「ゼロデイ」(即ち、初めて出現する)攻撃は識別されることができず、深刻な障害につながり得る。
したがって、SIPアプリケーション/セッション制御層上に、異なるタイプの攻撃に対処する異なるタイプの保護技術も存在する:SIPメッセージ構文攻撃は、ABNF(拡張バッカスナウア記法)チェッカなどの技法で明らかにされ、対処されることができる。一方、SIPメッセージ攻撃は正しい構文を示し、それらが不正であると識別するための知られているシグネチャは存在しない。これらの種類の攻撃を識別するために、異常検出形式は、バイトストリームの2進および可変長の(nグラム)シーケンスを調査して新しい種類の攻撃シナリオを検出する。(たとえば「Language Models for Detection of Unknown Attacks in Network Traffic」、K.Rieck、P.Laskov著、Fraunhofer FIRST、http://www.springerlink.comを参照)。これらの機構は、バイトストリーム内の「ゼロデイ」攻撃を検出することができる。しかし、これらの機構は、第nシーケンスを第(n+m)シーケンスと関連付けることによってのみ可視になることができる攻撃を検出するための(シーケンス)メモリをもたない。したがって、特定の相関(たとえば、シーケンス番号、時間依存性、ソース/宛先依存性、およびこれらの任意の組合せなど)で構成されるそれらのすべてのSIPメッセージ攻撃は、今日の技法では識別されることができない。
「Language Models for Detection of Unknown Attacks in Network Traffic」、K.Rieck、P.Laskov著、Fraunhofer FIRST、http://www.springerlink.com
本発明の目的は、以下を提供することである:前述の方法で異常検出を実行することによって明らかにされることができない攻撃を識別することをそれらすべてが可能にする、方法、コンピュータプログラム製品、セキュリティボーダーノード、およびパケットベースのネットワーク。
この目的は、さらに以下を備える前述の方法によって達成される:少なくとも1つのセッション制御メッセージに、ならびにそのセッション制御メッセージが帰属させられるクライアントおよび/またはセッションに関連するセッション制御メッセージについてのメッセージ文脈情報に、異常検出を実行するステップ。各SIP(要求)メッセージはクライアント(ユーザエージェント)に関連付けられ、SIPメッセージはたとえばユーザエージェントを登録するためなどに使用される(REGISTER)。各SIPメッセージは、通常は、セッションにも関連付けられる(たとえば、セッションを開始するための(INVITE)、セッションを終了するための(BYE)など)。そのクライアントおよびセッションに関連する文脈情報は、それぞれ、文脈情報と共にSIPメッセージの内容を検査するためにSIPメッセージと共に異常検出に提供される。この目的のために、異常検出装置は、文脈情報と共に複数のサンプルメッセージを異常検出装置に提供し、異常検出の所望の出力を生成するために、フィードバックを実行することによって異常検出アルゴリズムを適合させることによって、SIPメッセージと文脈情報の組合せで攻撃を検出するように訓練されることができる。
かかる方法では、メッセージ文脈(クライアントおよび/またはセッション情報)が考慮されることができ、本発明は、メッセージ履歴および/またはクライアント行動が相関性がある(たとえばINVITEフラッディングなど)場合にのみ明らかにされることができる高度な攻撃が検出されることができるように、SIPベースのアプリケーションのための(最先端の)異常検出システム(ADS)の機能を拡張する。新しい機能は以下のとおりである:セッションおよびメッセージプロトコル異常の検出(即ち、攻撃がいくつかのSIPメッセージを検査するときにのみ可視になる)、スパムオーバーインターネットテレフォニー(SPIT、Spam Over Internet Telephony)検出、および異なるソースから生成されるメッセージレート異常の検出。
好ましい一変形形態では、本方法はさらに、メッセージ文脈情報をセッション制御メッセージに含めるステップを備える。含めることによって、即ちメッセージ文脈情報を異常検出に提供されるSIPメッセージのメッセージテキストに追加または添付することによって、文脈情報およびSIPメッセージが異常検出装置によっていつも同時に検査されることが保証される。かかる方法では、SIPメッセージと同時に文脈情報を提供するために追加のインタフェースは必要なく、異常検出を実行するために求められるコンポーネントの再設計も必要とされない。異常検出の後およびSIPスタック内のSIPメッセージの処理の前に、文脈情報が取り除かれるべきであることは理解されよう。
好ましい一変形形態では、本方法はさらに以下を備える:セッション制御メッセージに含まれる情報、具体的にはクライアントID、セッションID、ソースIPアドレスおよび/またはメッセージタイプ、を使用するメッセージ文脈情報を格納し、取り出すためのデータベースにアドレスするステップ。通常は、異常検出に提供されることになる各SIPメッセージについて、クライアントID(クライアントアドレス)およびセッションID(もし既に存在すれば)がデータベースにアドレスするために使用される。メッセージタイプ(INVITE、OPTION、BYEなど)、ソースIPアドレスなどの、追加の情報は、データベースにアドレスするためにおよび/またはデータベースに文脈情報として格納されるために提供されることができる。この目的のために、データベースは、クライアントおよびセッション記録を動的に挿入し、抽出するように構成されることができる。クライアント記録は、ツリーの根にクライアントが保持するセッションの葉を構築する。SIPメッセージに含まれる情報でデータベースにアドレスした後、データベースは、そのメッセージが属するセッション/クライアントの記録に関連する補足(文脈)情報を提供する。適切な補足情報の選択が、どの(追加の)異常が異なる層で異常検出によって検出されることができるかを決定する。
好ましい一変形形態では、以下で構成されるグループからメッセージ文脈情報が選択される:セッション履歴またはセッション状態の情報、具体的にはメッセージシーケンスおよび/または許可された次のメッセージタイプに関するもの、メッセージ到着時間間隔、ならびにクライアント履歴情報。セッション履歴情報は、現在のセッションの状態についての情報が異常検出に利用可能になることができるように、メッセージシーケンスを含むことができる。各セッション状態に関して、限られた数の許可された次のメッセージタイプのみが存在し、セッション状態/メッセージシーケンスに関する情報か許可された次のメッセージタイプに関する情報のどちらかが文脈情報として異常検出に提供されることができる。たとえば、たとえそのセットアップ/更新が異なるセッションに属しても、特定のクライアントのセッションセットアップ/更新がキャンセルされたか数回完了されなかったとき、検査を受けようとするSIPメッセージが帰属するセッション/クライアントのメッセージのメッセージ到着時間間隔の提供が、セッション内のまたは(クライアント)セッションを横切るプロトコル異常に隠れた攻撃を検出することを可能にすることができる。さらに、異常検出は、メッセージ到着時間間隔情報で拡張されるセッション制御メッセージを与えられるとき、メッセージレート攻撃検出を黙示的に実行することができる。クライアント履歴情報、即ち過去のそのクライアントの行動に関する統計、が、SIPメッセージに添付される補足情報の量を適合させるために使用されることができる。
前述の方法は、前述のすべてのステップを実行するように構成されたコード手段を備えるコンピュータプログラム製品に実装されることができる。このコンピュータプログラム製品は、適切なソフトウェアまたはハードウェア、具体的には書替え可能ゲートアレイ(FPGA)または特定用途向け集積回路(ASIC)、に実装されることができる。
本発明はまた、そのセッション制御メッセージが帰属するクライアントおよび/またはセッションに関連するメッセージ文脈情報と共に異常検出装置に少なくとも1つのセッション制御メッセージを提供するためのメッセージ文脈プロビジョニング装置をさらに備える前述のタイプのセキュリティボーダーノードにも実装される。
別個のインタフェースが、セッション制御メッセージと共に異常検出装置に文脈情報を提供するためのメッセージ文脈プロビジョニング装置に配備されることができる。
好ましくは、メッセージ文脈プロビジョニング装置は、メッセージ文脈情報をセッション制御メッセージに含めるように構成される。かかる方法では、メッセージ文脈プロビジョニング装置から異常検出装置への追加のインタフェースは必要とされない。メッセージ文脈は通常は、異常検出の前に各入力セッション制御メッセージに添付され、異常検出が終了した後にセッション制御メッセージから取り除かれる。かかる方法では、異常検出は、追加の−以前は不可視の−情報を取得し、追加の情報かこの情報とセッション制御メッセージ内容の組合せのどちらかに隠された攻撃を識別することができる。
好ましい一実施形態では、セキュリティボーダーノードは、メッセージ文脈情報を格納し、取り出すためのデータベースと、セッション制御メッセージに含まれる情報、具体的にはクライアントID、セッションID、ソースIPアドレスおよび/またはメッセージタイプ、を使用してデータベースにアドレスするメッセージ文脈プロビジョニング装置とをさらに備える。適切な文脈情報は、必須のおよび適応可能な記録で構成されることができる。必須の記録は、たとえば、クライアントおよびサーバアドレス(同一クライアントへの/からの前のメッセージを形成する)と、要求またはメッセージタイプの履歴(INVITE、OPTIONS、200 OK、ACK、BYEなど)と、同一セッションまたは要求に属するタイムスタンプとを備えることができる。メッセージ文脈プロビジョニング装置は、セッション制御メッセージに含まれる情報でデータベースにアドレスし、そのセッション制御メッセージが属するセッションおよび/またはクライアントに関連する文脈情報を取り出す。データベース入力に割り当てられることができないメッセージが着信する場合、それは、文脈情報プロビジョニング装置自体によってドロップするかまたは(ドロップ)指示入力がそのメッセージに追加される。さらに、メッセージレートまたはセッションセットアップレートが観測されることができ、準じた値は、異常検出がこの値にも応じてその決定を行うことができるように、メッセージに挿入されることができる。
好ましくは、データベースは、以下から構成されるグループから選択されるメッセージ文脈情報を格納するように構成される:セッション履歴またはセッション状態情報、具体的にはメッセージシーケンスおよび/または許可された次のメッセージタイプに関するもの、メッセージ到着時間間隔、ならびにクライアント履歴情報。前述のように、これらのすべてのタイプの文脈情報は、セッションおよび/またはクライアント履歴を考慮することによってのみ検出されることができる攻撃を検出するのに役立つ。しかし、以下にさらに説明するように、他のタイプの情報の提供もまたこの目的に役立つことができるので、文脈情報は前述の例に限定されないことが、理解される。
非常に好ましい一実施形態では、メッセージ文脈プロビジョニング装置は、データベースにセッション制御メッセージのタイムスタンプを提供するように構成される。タイムスタンプは、メッセージ到着時間間隔を判定するために使用されることができ、したがって、特定のクライアントのメッセージレートを計算することおよび単位時間当たりのメッセージの増加数に基づいて攻撃を識別することを可能にする(たとえば、INVITEフラッディング)。
もう1つの好ましい実施形態では、セキュリティボーダーノードは、異常検出の結果に基づいてセッション制御メッセージがドロップされなければならないかまたは転送されなければならないかを決定するための決定装置を備え、この決定装置は好ましくはデータベースにその決定の結果に関する文脈情報を提供し、そして/またはセッション制御メッセージからメッセージ文脈情報を取り除く。決定装置は、異常検出装置の決定、即ち異常検出装置から受信されたセッション制御メッセージをドロップするかそれをセッション制御メッセージスタック、通常はSIPスタック、に転送するかの決定、を実行するように構成される。後者の場合、文脈情報がセッション制御メッセージのテキストに追加されているとき、決定装置は先ずセッション制御メッセージから文脈情報を取り除く。さらに、決定の結果に関する文脈情報は複数状態情報でもよく、即ち必ずしも2進情報ではなく、したがって、セッションおよび/またはクライアントについての異なる信頼のレベルおよびいずれの方向も表す。かかる方法では、いくつかの前のメッセージに実行された異常検出の決定が異常に近かった場合、これらの決定の累積が最終的に「ドロップする」決定につながり得る。
もう1つの好ましい実施形態では、セキュリティボーダーノードは、データベースへのメッセージ文脈情報として処理の結果に関する情報を提供するように好ましくは構成された、セッション制御メッセージを処理するためのセッション制御メッセージスタック、具体的にはSIPスタック、をさらに備える。かかる方法では、具体的にはその処理中の異常または許可された次のメッセージタイプに関連する、メッセージの処理からのフィードバックがデータベースに提供されることができる。
非常に好ましい1つの開発では、セキュリティボーダーノードは、同一のクライアントおよび/またはセッションに帰属する前のセッション制御メッセージの処理の結果に関する決定および/または情報の結果に関するメッセージ文脈情報に応じた異なる方法でセッション制御メッセージを処理するためのメッセージ処理装置をさらに備える。メッセージ処理装置は、攻撃セッションまたは攻撃クライアントとして識別されたセッションまたはクライアントに属するメッセージをドロップすることができる。さらに、メッセージ処理装置は、クライアント履歴がそのクライアントが正しく行動しており、即ちいかなる攻撃も生成したことがなく、異常検出活動が費やされる必要がないことを示しているため、このメッセージから攻撃は何ら予期されない場合に、異常検出を実行することなく(即ち、異常検出をバイパスして)、決定装置にまたはSIPスタックに直接メッセージを転送することができる。しかしながら、SIPスタックからのネガティブフィードバックは、メッセージ処理装置に特定のクライアントからのメッセージの異常検出をもはやバイパスしないようにさせることができると理解されたい。別法としてまたは追加で、メッセージ処理装置は、具体的には疑わしいメッセージを低い優先順位に帰属させてそして/またはそれらを(低い)優先順位の行列に帰属させることによって、ある特定のメッセージへの異常検出の実行を遅らせることができる。メッセージ処理装置はまた、メッセージ文脈プロビジョニング装置に、これらのメッセージが追加のセキュリティインスタンスに送り込まれる必要があることを示す疑わしいメッセージにヘッダを追加させることもできる。
本発明のさらなる一態様は、少なくとも1つの前述のようなセキュリティボーダーノードを備え、パケットベースのネットワークに実装されることができる。パケットベースのネットワークにかかるセキュリティボーダーノードを備えることによって、以前に識別されていない攻撃からのパケットベースのネットワークの効率的な保護が可能である。
さらなる特徴および利点は、重要な詳細を示す図面を参照して、例示的な実施形態の以下の説明において述べられ、特許請求の範囲によって定義される。個々の特徴は、単独で個々に実装されることができ、または、それらのうちのいくつかが任意の所望の組合せで実装されることができる。
例示的な実施形態が図表に示され、以下の記載で説明される。
いくつかのセキュリティボーダーノードを有する本発明によるパケットベースのネットワークの実施形態の概略図である。 メッセージ文脈情報を考慮した、セッション制御メッセージに異常検出を実行するための本発明によるセキュリティボーダーノードの実施形態を示す図である。 図2のセキュリティボーダーノードに配置されたデータベースの動作を示す図である。
図2は、図1のコアネットワーク1のセキュリティボーダーノード2aを示し、簡潔性を目的としてすべてのコンポーネントは示されていない。アクセスネットワーク3からのパケットストリーム5が、セキュリティボーダーノード2aの処理経路6に提供される。パケットストリーム5は最初に、当該技術分野で知られている、したがって本明細書でさらに詳しく説明される必要のない方法で第3層(ネットワーク層)/第4層(トランスポート層)攻撃に対処するファイアウォール7に送り込まれる。ファイアウォール7に続くABNF(拡張バッカスナウア記法)チェッカ8が、パケットストリーム5に含まれるセッション制御(SIP)メッセージの構文チェックを実行するために使用される。ファイアウォール7およびABNFチェッカ8は、パケット/メッセージが攻撃として識別される場合にそれらをドロップするように構成される。処理経路5内のABNFチェッカ8に続くシグネチャチェッカ9は、パケットストリーム5のパケットのシグネチャを以前に識別された攻撃の1セットのシグネチャと比較し、以前に識別された攻撃のシグネチャがパケットストリーム5内に見つかった場合にはパケット/メッセージをドロップする。シグネチャチェッカ9に続くのは、本例においてSIPメッセージの形態で配備されるパケットストリーム5に含まれるセッション制御メッセージ11に統計分析(nグラム分析)を実行するための、異常検出モジュール(ADM)とも称される、異常検出装置10である。異常検出装置10は、セッションまたはSIPメッセージ/要求について何も知らず、したがってセッションの現在の状態に関するいかなる情報も格納せず、それはSIPメッセージのシーケンスで構成される攻撃を識別することができない。
かかる攻撃を検出するために、SIPメッセージ11が、現在検査されようとしているセッション制御メッセージに関するメッセージ文脈情報12と共に異常検出装置10に送り込まれ、このメッセージ文脈情報12はそのセッション制御メッセージ11が属するクライアントおよび/またはセッションに関連する。メッセージ文脈情報12を使用することを目的として、3つの追加の装置が異常検出装置10の周りに配置される:異常検出装置10にメッセージ文脈情報12と共にセッション制御メッセージ11を提供するためのメッセージ文脈プロビジョニング装置13と、メッセージ文脈情報を格納し、取り出すためのデータベース14と、異常検出の結果に基づいてセッション制御メッセージがドロップされるべきかまたはSIPスタック16に転送されるべきかを決定するための決定装置15。この決定装置15はまたデータベース14に決定の結果に関する文脈情報17を提供する。以下に、3つの装置13、14、15についてさらに詳しく説明する。
セキュリティボーダーノード2aのメッセージ文脈プロビジョニング装置13は、データベース14から取り出されたメッセージ文脈情報12を、異常検出装置10による検査をその後に受けることになるSIPメッセージ11に含めるように構成される。この目的のために、メッセージ文脈プロビジョニング装置13は、以下に詳述するように、SIPメッセージ11から情報18を、具体的にはユーザエージェントのクライアントIDおよび現在のセッションのコールIDを抽出し、その情報18を、特定のクライアントIDおよびコールIDに関連するデータベース14の記録に保存された文脈情報12を取り出すための、かかる記録を動的に挿入し、抽出するように構成された、データベース14に提供する。メッセージ文脈プロビジョニング装置13はまたSIPメッセージ11からメッセージタイプを抽出し、メッセージタイプに関する情報もまたデータベース14に提供され、後者は同一のセッションおよびクライアントに帰属するその後のSIPメッセージ11についての文脈情報として使用される。さらに、メッセージ文脈プロビジョニング装置13は、現在処理されているSIPメッセージ11にタイムスタンプを提供するように構成されたクロック発振器19を備え、そのタイムスタンプはまたデータベース14にも提供され、同一のクライアントまたはセッションに帰属するその後のSIPメッセージ11についての追加的な文脈情報として使用されることができる。
データベース14から受信された現在処理されているSIPメッセージ11に関連する文脈情報12は、たとえば、セッション履歴情報、具体的にはメッセージシーケンスおよび/または許可された次のメッセージタイプに関する情報、メッセージ到着時間間隔、ならびにクライアント履歴情報、具体的には同一のクライアントによって要求される単位時間当たりのコールの数を示すコールレートに関する情報、として選択されることができる。
以下に示される文脈情報プロビジョニング装置13内で受信されるBYEタイプのSIPメッセージのテキストに関して以下に説明されるように、文脈情報プロビジョニング装置13は、メッセージ文脈情報を直接SIPメッセージ11のテキストに含めるように構成される:
Figure 2011523314
メッセージ文脈プロビジョニング装置13は次に、SIPメッセージ11が帰属するクライアントのコールレートに関連するメッセージ文脈情報、ならびにセッションの以前に交換されたメッセージに関する情報を追加し、本例では、INVITE、200 OK、およびACKメッセージが、メッセージテキストへのメッセージ到着時間間隔と共に、以下のメッセージテキスト内の角括弧内に表示される:
Figure 2011523314
図2の破線矢印によって示されるように、別個のインタフェースを使用する異常検出装置10に、検査を受けようとするSIPメッセージ11と同時にメッセージ文脈情報12を提供することも可能となり得るので、メッセージ文脈プロビジョニング装置13がメッセージ文脈情報12を直接SIPメッセージ11に含める必要はないことが理解されよう。SIPメッセージ11に含まれるメッセージ文脈情報12を考慮するために、いずれの場合にも、文脈情報と共に非常に多数のサンプルSIPメッセージを事前に異常検出装置10に提供することによって訓練が実行されることができ、異常検出装置は結合されたメッセージ内容および文脈情報に異常検出を実行する方法を学習することができる。
異常検出が実行された後に、決定装置15は、攻撃を検出したか否かの異常検出の結果に応じて、検査を受けたSIPメッセージをドロップするかそれらをSIPスタック16に転送するかのどちらかを行う。メッセージ文脈情報がSIPメッセージ11に直接含まれる場合、決定装置15が、メッセージをSIPスタック16に転送する前に、メッセージからメッセージ文脈情報を取り除くことが理解されよう。
さらに、決定装置15は、その決定の結果に関する文脈情報17をデータベース14に提供する。この文脈情報17は、メッセージ文脈プロビジョニング装置13に、さらに具体的にはその中に配置されたメッセージ処理装置13aに、クライアント/セッションのその後のメッセージが異常検出装置10に送り込まれるべきかどうかを決定する情報を提供するために使用されることができる複数状態情報でもよい。具体的には、文脈情報17は、そのセッション/クライアントが攻撃するセッション/クライアントとして識別された場合に、クライアント/セッションの次の個別のすべてのメッセージがドロップされるべきであることを指示することができる。そのクライアントが過去に正しく行動していた場合、文脈情報17は、ある特定のクライアント/セッションに帰属するSIPメッセージ11は、バイパス20を使用して、それぞれ決定装置15またはSIPスタック16に直接転送されるべきであることを指示することができる。別法としてまたは追加で、文脈情報17は、ある特定のクライアント/セッションのSIPメッセージ11は、追加条件が満たされるときに、異常検出装置10にのみ提供されるべきであることを指示することができる。かかる方法では、信頼の異なるレベルの属性が、それぞれ、セッションまたはクライアントに与えられることができる。
メッセージ処理装置20によってメッセージをドロップする代わりに、SIPメッセージ11が最後に決定装置15でドロップされるように、ドロップされるべきSIPメッセージ11に文脈情報を含めることが可能であり、これは異常検出装置11内の攻撃検出につながることが理解されよう。さらに、メッセージ処理装置20は、疑わしいメッセージに表示、たとえばヘッダ、を追加し、これらのメッセージが追加のセキュリティインスタンス(非表示)に送り込まれるべきであることを指示することができる。メッセージ処理装置20はまた、たとえば疑わしいメッセージを低い優先順位に帰属させることによって、そして、それらを(低い)優先順位の行列に帰属させることによって、ある特定のメッセージへの異常検出の実行を遅らせることもできる。
以下では、クライアントおよびセッションごとの補足(文脈)情報を格納するクライアント/コールデータベース14が、図3に関して、さらに詳しく説明される。データベース14は、動的に記録、クライアントかセッションのどちらかを表す記録、を挿入および抽出することを可能にする。クライアント記録は、ツリーの根に、クライアントが保持するセッションに対応するツリーの葉/枝を構築する。データベース14内でクライアントの記録が何も入手可能でない場合、クライアントはそれまでに登録されていない。この場合には、メッセージ文脈プロビジョニング装置13がデータベース14にREGISTERタイプのSIPメッセージ11aに関する情報を提供する場合に、記録コンストラクタ21が新しいクライアント記録22(以下、クライアントという)を作成する。クライアント22のメッセージレートまたはセッションセットアップレートはクライアントコンストラクタ21で観測されることができ、準じた値は、前述の方法でそれをメッセージ文脈プロビジョニング装置13に提供するために、文脈情報22aとしてクライアント記録22に追加されることができ、異常検出装置10はこの値を考慮してその決定を行うことができる。
クライアント記録22が生成された後は、以下においてセッションとも称される新しいセッション記録23が、INVITEタイプのSIPメッセージ11bを受信したときに生成されることになる。セッション23のINVITEメッセージ11bおよびそれに続くSIPメッセージ11cから11fについては、セッション23に関連する文脈情報23aが継続的に更新され、したがって、メッセージ履歴、即ちセッション23のメッセージシーケンス11bから11fおよびメッセージ到着時間間隔ΔTをメッセージ文脈プロビジョニング装置13に利用可能にする。さらに、決定装置15からの追加文脈情報はまた、セッション23の文脈情報23aまたはクライアント22の文脈情報22aに追加されることができる。さらに、SIPスタック16はまた、メッセージ文脈情報24としてのSIPメッセージ11の処理中の異常に関する情報もデータベース14に提供することができる(図2を参照)。
SIPメッセージ11が、データベース入力、たとえばクライアント記録に帰属させられることができないそしてREGISTERタイプではないSIPメッセージ、に割り当てられることができないメッセージ文脈プロビジョニング装置13内に到達する場合、それはメッセージ文脈プロビジョニング装置13自体によってドロップされるか、そのSIPメッセージ11に(ドロップする)指示入力が追加される。クライアント記録22およびセッション記録23の両方に帰属させられることができるSIPメッセージにも同じことが適用されるが、そのメッセージタイプは、たとえばINVITEメッセージがACKメッセージの後に受信されるとき、または同一メッセージタイプの2つ以上のSIPメッセージがメッセージ文脈プロビジョニング装置13で繰返して受信されるとき、セッション23のSIPメッセージ11bから11fの許可されたシーケンスに準拠していない。かかる方法では、メッセージ文脈プロビジョニング装置は、許可されたメッセージタイプ、即ちシーケンス11bから11f内の特定のセッション状態について予期されるメッセージタイプ、であるそれらのSIPメッセージ11のみを異常検出装置10に提供することができる。
異常検出に提供される文脈情報は前述のタイプに限定されず、適切な文脈情報の選択が
どの(追加の)異常を異常検出装置10が異なる層で検出することができるかを決定することが、当業者には理解されよう。具体的には、過去のクライアントの行動に関する統計値が、そのクライアントのSIPメッセージ11に含まれる補足情報の量を適合させるために使用されることができる。さらに、メッセージ文脈プロビジョニング装置13、決定装置15および/またはSIPスタック16からデータベース14に提供される文脈情報は、たとえばメッセージ履歴からセッションの次のメッセージについての許可されたメッセージタイプを判定することによって、修正された文脈情報を形成するためにデータベース14内でさらに処理されることができ、この情報をメッセージ文脈プロビジョニング装置13にのみ提供する。別法として、メッセージ文脈プロビジョニング装置13は、データベース14によって提供される文脈情報を処理し、修正された文脈情報を異常検出装置10に提供するように構成されることができる。
前述の説明はセッション制御メッセージの一例としてSIPメッセージに関して与えられているが、前述の手法が他のプロトコルタイプ、たとえばH.323プロトコルタイプ、のメッセージにも適用されることができることが、当業者には理解されよう。要約すれば、前述の方法では、これらのメッセージについての異常検出アルゴリズムの「ゼロデイ」攻撃検出機能は、連鎖メッセージまたは連結セッション内に隠された攻撃に対してネットワークをより効率的に保護することを可能にするシグナリング状態アウェアネスへと拡張される。
好ましい実施形態の前述の説明は、例として与えられている。与えられた開示から、当業者は本発明およびそれに付随する利点を理解するだけでなく、開示された構造および方法の明白な様々な変更形態および修正形態もまた見つけるであろう。したがって、本出願人は、添付の特許請求の範囲によって定義される本発明の趣旨および範囲に含まれるようなすべてのかかる変更形態および修正形態、ならびにその同等のものを包含することを求める。

Claims (14)

  1. 攻撃からパケットベースのネットワーク(1)を保護する方法であって、
    ネットワーク(1)のセキュリティボーダーノード(2a)で受信されたパケットストリーム(5)に含まれるセッション制御メッセージ(11、11aから11f)に異常検出を実行するステップを備える方法において、
    セッション制御メッセージ(11、11aから11f)が帰属させられるセッション(23)に関連するセッション制御メッセージ(11、11aから11f)に関するメッセージ文脈情報(12、17、22a、23a、24)と共に少なくとも1つのセッション制御メッセージ(11、11aから11f)に異常検出を実行し、そのメッセージ文脈情報(12、17、22a、23a、24)がセッション履歴情報を備える
    ことを特徴とする、方法。
  2. メッセージ文脈情報(12、17、22a、23a、24)をセッション制御メッセージ(11、11aから11f)に含めるステップをさらに備える、請求項1に記載の方法。
  3. セッション制御メッセージ(11、11aから11f)に含まれる情報(18)、具体的にはクライアントID、セッションID、ソースIPアドレスおよび/またはメッセージタイプ、を使用してメッセージ文脈情報(12、17、22a、23a、24)を格納し、取り出すためのデータベース(14)にアドレスするステップをさらに備える、請求項1に記載の方法。
  4. 追加のメッセージ文脈情報(12、22a、23a)が、セッション状態情報、具体的にはメッセージシーケンスおよび/または許可された次のメッセージタイプに関する情報、メッセージ到着時間間隔、ならびにクライアント履歴情報で構成されるグループから選択される、請求項1に記載の方法。
  5. 攻撃からパケットベースのネットワーク(1)を保護するためのセキュリティボーダーノード(2a)であって、
    セキュリティボーダーノード(2a)で受信されたパケットストリーム(5)に含まれるセッション制御メッセージ(11、11aから11f)に異常検出を実行するための異常検出装置(10)を備えるセキュリティボーダーノードにおいて、
    セッション制御メッセージ(11、11aから11f)が帰属させられるセッション(23)に関連するメッセージ文脈情報(12、17、22a、23a、24)と共に、異常検出装置(10)に少なくとも1つのセッション制御メッセージ(11、11aから11f)を提供するためのメッセージ文脈プロビジョニング装置(13)であって、そのメッセージ文脈情報(12、17、22a、23a、24)がセッション履歴情報を備える
    文脈プロビジョニング装置を特徴とする、セキュリティボーダーノード。
  6. メッセージ文脈プロビジョニング装置(13)がメッセージ文脈情報(12、17、22a、23a、24)をセッション制御メッセージ(11、11aから11f)に含めるように構成された、請求項5に記載のセキュリティボーダーノード。
  7. メッセージ文脈情報(12、17、22a、23a、24)を格納し、取り出すためのデータベース(14)をさらに備え、メッセージ文脈プロビジョニング装置(13)がセッション制御メッセージ(11、11aから11f)に含まれる情報(18)、具体的にはクライアントID、セッションID、ソースIPアドレス、および/またはメッセージタイプ、を使用してデータベース(14)にアドレスする、請求項5に記載のセキュリティボーダーノード。
  8. データベース(14)が、セッション履歴またはセッション状態情報、具体的にはメッセージシーケンスおよび/または許可された次のメッセージタイプに関するもの、メッセージ到着時間間隔、ならびにクライアント履歴情報からなるグループから選択されるメッセージ文脈情報(22a、23a)を格納するように構成された、請求項7に記載のセキュリティボーダーノード。
  9. メッセージ文脈プロビジョニング装置(13)がデータベース(14)にセッション制御メッセージ(11、11aから11f)のタイムスタンプを提供するように構成された、請求項7に記載のセキュリティボーダーノード。
  10. 異常検出の結果に基づいてセッション制御メッセージ(11、11aから11f)がドロップされなければならないかまたは転送されなければならないかを決定するための、好ましくはデータベース(14)にその決定の結果に関する文脈情報(17)を提供し、さらに/またはセッション制御メッセージ(11、11aから11f)からメッセージ文脈情報(12、17、22a、23a、24)を取り除く、決定装置(15)をさらに備える、請求項5に記載のセキュリティボーダーノード。
  11. セッション制御メッセージ(11、11aから11f)を処理するための、好ましくはデータベース(14)にメッセージ文脈情報(24)として処理の結果に関する情報を提供するように構成された、セッション制御メッセージスタック、具体的にはSIPスタック(16)、をさらに備える、請求項7に記載のセキュリティボーダーノード。
  12. 決定の結果に関するメッセージ文脈情報(17)および/または同一のクライアント(22)および/またはセッション(23)に帰属させられた以前のセッション制御メッセージ(11、11aから11f)の処理の結果に関する情報に応じた異なる方法でセッション制御メッセージ(11、11aから11f)を処理するためのメッセージ処理装置(13a)をさらに備える、請求項10または11のいずれか一項に記載のセキュリティボーダーノード。
  13. 請求項5に記載のセキュリティボーダーノード(2a)を少なくとも1つ備える、パケットベースのネットワーク(1)。
  14. 請求項1に記載の方法のステップをすべて実行するように構成されたコード手段を備える、コンピュータプログラム製品。
JP2011512925A 2008-06-12 2009-05-27 パケットベースのネットワークを攻撃から保護する方法、およびセキュリティボーダーノード Expired - Fee Related JP5175975B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP08290549.8 2008-06-12
EP08290549.8A EP2134057B1 (en) 2008-06-12 2008-06-12 Method for protecting a packet-based network from attacks, as well as security border node
PCT/EP2009/056430 WO2009150049A1 (en) 2008-06-12 2009-05-27 Method for protecting a packet-based network from attacks, and security border node

Publications (2)

Publication Number Publication Date
JP2011523314A true JP2011523314A (ja) 2011-08-04
JP5175975B2 JP5175975B2 (ja) 2013-04-03

Family

ID=40342159

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011512925A Expired - Fee Related JP5175975B2 (ja) 2008-06-12 2009-05-27 パケットベースのネットワークを攻撃から保護する方法、およびセキュリティボーダーノード

Country Status (6)

Country Link
US (1) US8365284B2 (ja)
EP (1) EP2134057B1 (ja)
JP (1) JP5175975B2 (ja)
KR (1) KR101202540B1 (ja)
CN (2) CN101605072A (ja)
WO (1) WO2009150049A1 (ja)

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010114870A (ja) 2008-10-06 2010-05-20 Nec Corp 通信システム及び通信制御方法
JP5381087B2 (ja) * 2008-10-06 2014-01-08 日本電気株式会社 通信システム及び通信制御方法
JP5381086B2 (ja) * 2008-10-06 2014-01-08 日本電気株式会社 通信システム及び通信制御方法
EP2369529A1 (en) * 2010-03-24 2011-09-28 Alcatel Lucent A method of detecting anomalies in a message exchange, corresponding computer program product, and data storage device therefor
NO332222B1 (no) * 2010-07-26 2012-07-30 Cisco Tech Inc Fremgangsmate og samhandlingsserver for a overfore en samhandlingssesjon, samt et multimedieendepunkt
JP5088403B2 (ja) * 2010-08-02 2012-12-05 横河電機株式会社 不正通信検出システム
KR20130017333A (ko) * 2011-08-10 2013-02-20 한국전자통신연구원 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법
CN104641686A (zh) * 2012-07-18 2015-05-20 感觉媒体 VVoIP通话转移
JP5716712B2 (ja) * 2012-07-24 2015-05-13 横河電機株式会社 パケット転送装置及び方法
US9398055B2 (en) * 2012-09-28 2016-07-19 Avaya Inc. Secure call indicator mechanism for enterprise networks
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
US11496531B2 (en) * 2013-10-02 2022-11-08 Avaya Inc. System and method to identify secure media streams to conference watchers in SIP messaging
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
EP3285248B1 (en) * 2016-08-16 2019-07-03 Alcatel Lucent Blockchain-based security threat detection method and system
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10348650B2 (en) 2017-04-17 2019-07-09 At&T Intellectual Property I, L.P. Augmentation of pattern matching with divergence histograms
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
CN109995566B (zh) * 2017-12-31 2022-05-10 中国移动通信集团辽宁有限公司 网络故障定位方法、装置、设备及介质
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
CN109040126B (zh) * 2018-09-18 2020-10-30 中国人民解放军战略支援部队信息工程大学 Ims网络sip洪泛攻击的检测装置及方法
CN109818970B (zh) * 2019-03-07 2021-04-30 腾讯科技(深圳)有限公司 一种数据处理方法及装置
CN110794811B (zh) * 2019-11-07 2021-02-26 浙江工业大学 一种带有量化的网络化运动控制系统的安全控制方法
US11533373B2 (en) * 2021-02-26 2022-12-20 Trackerdetect Ltd. Global iterative clustering algorithm to model entities' behaviors and detect anomalies

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007200323A (ja) * 2006-01-27 2007-08-09 Nec Corp Sipベースのアプリケーションを保護する方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE515761C2 (sv) * 1998-06-03 2001-10-08 Ericsson Telefon Ab L M Anordning, system och förfarande relaterande till data/ telekommunikation för att hantera information om kommunikationsvägar mellan processmedel
US20030120813A1 (en) * 2001-12-21 2003-06-26 Ishita Majumdar Apparatus and method for optimizing message sizes of textual protocols used in multimedia communications
EP1501257A1 (en) * 2003-07-25 2005-01-26 Hewlett-Packard Development Company, L.P. Improvements in or relating to fault tolerant systems
JP4956892B2 (ja) * 2003-10-31 2012-06-20 沖電気工業株式会社 サービス提供システム
US7526803B2 (en) * 2003-11-17 2009-04-28 Alcatel Lucent Detection of denial of service attacks against SIP (session initiation protocol) elements
US8194640B2 (en) * 2004-12-31 2012-06-05 Genband Us Llc Voice over IP (VoIP) network infrastructure components and method
WO2007019583A2 (en) * 2005-08-09 2007-02-15 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in voip networks
US7716729B2 (en) * 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
US20070168537A1 (en) * 2006-01-18 2007-07-19 Archan Misra Method for intelligent and automated transmission of local context in converged signaling
US8464329B2 (en) * 2006-02-21 2013-06-11 Watchguard Technologies, Inc. System and method for providing security for SIP-based communications
US7441429B1 (en) * 2006-09-28 2008-10-28 Narus, Inc. SIP-based VoIP traffic behavior profiling
FR2909823B1 (fr) * 2006-12-06 2012-12-14 Soc Fr Du Radiotelephone Sfr Procede et systeme de gestion de sessions multimedia, permettant de controler l'etablissement de canaux de communication
EP1986391A1 (en) * 2007-04-23 2008-10-29 Mitsubishi Electric Corporation Detecting anomalies in signalling flows
US8522344B2 (en) * 2007-06-29 2013-08-27 Verizon Patent And Licensing Inc. Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
US8302186B2 (en) * 2007-06-29 2012-10-30 Verizon Patent And Licensing Inc. System and method for testing network firewall for denial-of-service (DOS) detection and prevention in signaling channel
CN101330449B (zh) * 2007-07-02 2011-07-13 中兴通讯股份有限公司 一种ip多媒体子系统业务交互的实现方法
US8200797B2 (en) * 2007-11-16 2012-06-12 Nec Laboratories America, Inc. Systems and methods for automatic profiling of network event sequences
EP2081356A1 (en) * 2008-01-18 2009-07-22 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Method of and telecommunication apparatus for SIP anomaly detection in IP networks
US8375453B2 (en) * 2008-05-21 2013-02-12 At&T Intellectual Property I, Lp Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network
CN101854340B (zh) * 2009-04-03 2015-04-01 瞻博网络公司 基于访问控制信息进行的基于行为的通信剖析

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007200323A (ja) * 2006-01-27 2007-08-09 Nec Corp Sipベースのアプリケーションを保護する方法

Also Published As

Publication number Publication date
EP2134057A1 (en) 2009-12-16
KR20110030575A (ko) 2011-03-23
CN101605072A (zh) 2009-12-16
KR101202540B1 (ko) 2012-11-19
JP5175975B2 (ja) 2013-04-03
US20090313698A1 (en) 2009-12-17
US8365284B2 (en) 2013-01-29
EP2134057B1 (en) 2013-05-01
WO2009150049A1 (en) 2009-12-17
CN104767755A (zh) 2015-07-08

Similar Documents

Publication Publication Date Title
JP5175975B2 (ja) パケットベースのネットワークを攻撃から保護する方法、およびセキュリティボーダーノード
US9769276B2 (en) Real-time network monitoring and security
JP5320458B2 (ja) パケットベースのネットワークのための攻撃保護
JP4906504B2 (ja) インテリジェント統合ネットワークセキュリティ装置
US8356332B2 (en) Extensible protocol validation
EP4340298A2 (en) Efficient packet capture for cyber threat analysis
EP2056559B1 (en) Method and system for network simulation
EP1853035A1 (en) Switching network employing server quarantine functionality
US10904288B2 (en) Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation
Xuan et al. Detecting application denial-of-service attacks: A group-testing-based approach
US8085763B2 (en) Method for protecting SIP-based applications
US20090290492A1 (en) Method and apparatus to index network traffic meta-data
Ibrahim et al. VoIP evidence model: A new forensic method for investigating VoIP malicious attacks
JP6962374B2 (ja) ログ分析装置、ログ分析方法及びプログラム
EP3718284A1 (en) Extending encrypted traffic analytics with traffic flow data
CN113596037A (zh) 一种基于网络全流量中事件关系有向图的apt攻击检测方法
EP2819365A1 (en) Network traffic inspection
JP2022541250A (ja) インラインマルウェア検出
Szczypiorski et al. Network steganography in the DNS protocol
Apostol et al. Hiding cloud network access patterns for enhanced privacy
CN108881044A (zh) 一种报文处理方法和装置
CN111953702B (zh) 一种网络访问的控制方法及相关装置
CN112152970A (zh) 限制恶意应用使用网络的方法和装置、路由器和介质
FR2917556A1 (fr) Detection d'anomalie dans le trafic d'entites de service a travers un reseau de paquets
WIENS et al. STICKY WORMS OR: RESPONDING TO A DISTRIBUTED DENIAL OF SERVICE ATTACK WITH A SELECTIVE TARPIT

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120813

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130107

R150 Certificate of patent or registration of utility model

Ref document number: 5175975

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees