JP2013183458A - ネットワーク攻撃を感知する移動通信端末機およびその感知方法 - Google Patents
ネットワーク攻撃を感知する移動通信端末機およびその感知方法 Download PDFInfo
- Publication number
- JP2013183458A JP2013183458A JP2013039690A JP2013039690A JP2013183458A JP 2013183458 A JP2013183458 A JP 2013183458A JP 2013039690 A JP2013039690 A JP 2013039690A JP 2013039690 A JP2013039690 A JP 2013039690A JP 2013183458 A JP2013183458 A JP 2013183458A
- Authority
- JP
- Japan
- Prior art keywords
- socket
- network
- data packet
- attack
- connection history
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5603—Access techniques
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
【課題】本発明は、ネットワーク攻撃を感知する移動通信端末機およびその感知方法を提供する。
【解決手段】一実施形態に係る無線端末でネットワーク攻撃を感知する方法は、ソケットデータパケットのタイプを示す複数の制御ビットを使用して決定される攻撃パターンに関する情報をパターンデータベースに格納し、少なくとも1つのソケットデータパケットを特定する無線通信インターフェースを介して接続される対象のソケットデータパケットを受信し、少なくとも1つのソケットデータパケットを用いてソケットデータパケットのタイプを示す前記複数の制御ビットを抽出することによりソケット接続ヒストリーを生成し、攻撃パターンに関する情報とソケット接続ヒストリーとに基づいて、ネットワークに攻撃が存在するか否かを判定すること、を含む
【選択図】図2
【解決手段】一実施形態に係る無線端末でネットワーク攻撃を感知する方法は、ソケットデータパケットのタイプを示す複数の制御ビットを使用して決定される攻撃パターンに関する情報をパターンデータベースに格納し、少なくとも1つのソケットデータパケットを特定する無線通信インターフェースを介して接続される対象のソケットデータパケットを受信し、少なくとも1つのソケットデータパケットを用いてソケットデータパケットのタイプを示す前記複数の制御ビットを抽出することによりソケット接続ヒストリーを生成し、攻撃パターンに関する情報とソケット接続ヒストリーとに基づいて、ネットワークに攻撃が存在するか否かを判定すること、を含む
【選択図】図2
Description
本発明は、ネットワーク攻撃を感知する移動通信端末機およびその感知方法に関する。
最近、無線ネットワークの迅速な発展による広帯域サービスのサポートおよびスマートフォンなどを介した多様なアプリケーション(Application)の設置および起動が可能になることにより、無線網環境における悪性コードによるネットワーク攻撃(Network Attack)が頻繁に発生している。ネットワーク攻撃の一例としてDoS(Denial of Service)攻撃が挙げられ、DoS攻撃とは、ネットワークまたはサーバから提供されるサービスを妨害するための悪意のある攻撃である。最近、DoS攻撃は、ボットネット(botnet)によって数千台のゾンビPCを利用するDDoS(Distributed Denial of Service)攻撃にまで強化されている。DDoS攻撃を防御するために多くの防御メカニズムが提案されたが、最近ではその攻撃が正常なトラフィックと類似しており、防御に困難を来たしている。
しかし、悪性コードを発見するためのプログラムは、既に知られている悪性コードのみを検出するため、実際のネットワークテロ攻撃時に対処できないことがある。また、ワクチンプログラムは、一般的にネットワーク接続許可をプログラム単位で設定するため、ユーザの認識がない状況において、不特定のサイト(site)に対する活性化したアプリケーションを介したネットワークテロ攻撃を防ぐことは難しい。
本発明は、ネットワーク攻撃を感知する端末を提供する。
本発明は、ネットワーク攻撃を感知する方法を提供する。
本発明の一実施形態に係るネットワーク攻撃を感知する装置は、ネットワーク攻撃パターンを格納するパターンデータベースと、受信されたソケットデータパケットのソケット接続ヒストリーを生成する生成部と、前記ソケット接続ヒストリーと前記ネットワーク攻撃パターンの少なくとも1つとが一致するかを判定するプロセッサと、を備える。
本発明の一実施形態に係るネットワーク攻撃を感知するパケットドライバは、ソケットデータの接続フロー情報を格納するモニタリング部と、前記接続フロー情報に基づいてネットワークに攻撃が存在しているかを確認する検出部と、ネットワークに攻撃が存在していると確認された場合に、前記ソケットデータの送信を遮断する遮断部と、ネットワークに攻撃が存在していると確認された場合に、前記ソケットデータに関する情報を送信する情報送信部と、を備える。
本発明の一実施形態に係る無線端末でネットワーク攻撃を感知する方法は、ネットワーク攻撃の攻撃パターン制御ビットを受信し、ソケットデータパケットの制御ビットが前記攻撃パターン制御ビットに一致するかどうかを確認し、前記ソケットデータパケットの制御ビットが前記攻撃パターン制御ビットに一致している場合、前記ソケットデータパケットの送信を遮断すること、を含む。
本発明の一実施形態に係る無線端末でネットワーク攻撃を感知する方法は、サーバからネットワーク攻撃パターンを受信し、ソケットデータパケットを受信し、前記ソケットデータパケットのソケット接続ヒストリーを生成し、前記ソケット接続ヒストリーが前記ネットワーク攻撃パターンに一致するかどうかを確認し、前記ソケット接続ヒストリーが前記ネットワーク攻撃パターンに一致する場合、無線端末から前記ソケットデータパケットの送信を遮断し、前記ソケットデータパケットに関する情報を収集し、収集した前記ソケットデータパケットに関する情報をサーバに伝達すること、を含む。
本発明の一実施形態に係る無線端末でネットワーク攻撃を感知する方法は、ソケットデータパケットのタイプを示す複数の制御ビットを使用して決定される攻撃パターンに関する情報をパターンデータベースに格納し、少なくとも1つのソケットデータパケットを特定する無線通信インターフェースを介して接続される対象のソケットデータパケットを受信し、前記少なくとも1つのソケットデータパケットを用いて前記ソケットデータパケットのタイプを示す前記複数の制御ビットを抽出することによりソケット接続ヒストリーを生成し、前記攻撃パターンに関する情報と前記ソケット接続ヒストリーとに基づいて、ネットワークに攻撃が存在するか否かを判定すること、
を含む
を含む
上述した一般的な記載および以下の詳細な記載が、例示的、注釈的であること、請求さえる本発明のさらなる説明を意図するものであることが理解されるべきである。その他の特徴や態様は、以下の詳細な記載、図面および特許請求の範囲から明らかとなるだろう。
本発明の一実施形態によれば、送受信ソケットデータパケットに含まれた制御ビットを利用して生成したソケット接続ヒストリーの情報とネットワークアクセスパターンデータベースに格納された情報を比較してモバイルデバイス自体で自己防御機能を実行することにより、ウイルスなどのようなネットワーク攻撃による被害を事前に防ぐことができ、無線上で発生する無線ネットワーク資源枯渇とバッテリ消耗によるサービス拒否(DoS)攻撃形態を効果的に防ぐことができる。
本発明の一実施形態によれば、少なくとも1つのソケットデータパケットに含まれた制御ビットの時間順序としての履歴情報であるソケットアクセスヒストリーをサーチングウィンドウによってスキャンして従来の攻撃パターンと比較することにより、ネットワーク攻撃による同時間帯の複数の接続攻撃による無線網の不安定性を防ぐことができる。
本発明の一実施形態によれば、ソケット接続ヒストリーの情報とネットワークアクセスパターンデータベースに格納された情報との比較結果に基づいてネットワークアダプタに該当ソケットデータパケットの送信遮断を要請することによって攻撃時点でネットワーク攻撃を遮断してネットワーク攻撃を防ぐことができ、ネットワーク攻撃に起因した不当なデータ使容量の増加によって不当に料金が付加されることを防ぐことができる。
本発明の一実施形態によれば、ネットワーク攻撃と判断されるソケットデータパケットを要請したアプリケーションのプロセッサIDを把握してネットワーク攻撃と関連する接続子情報およびアプリケーション情報をネットワーク攻撃防止のための管理サーバに提供することにより、ネットワーク攻撃当時の加担者に対する即時的な追跡および集中的な管理が可能になる。
本発明のさらなる理解を与えるために含まれ、本明細書に組み込まれ、一部を構成する添付の図面は、本発明の実施形態を示し、その記述とともに本発明の原理を説明するのに役立つ。
以下、本発明に係る実施形態について、図面を参照しながら詳細に説明する。本発明は、しかしながら、多くの異なる形態で具現され、ここに記載される実施形態に限定するように解釈されるべきではない。むしろ、これらの実施形態は、本開示が完全なものとなるように、本発明の範囲を当業者に完全に伝えるだろう。図面において、構成の相対的な大きさや描写は、明確さのために強調されることがある。各図面に提示された同じ参照符号は同じ部材を示す。
ある構成が他の構成に「接続されている(connected to)」と述べられているとき、他の構成に直接又は別の構成を介して接続されていると理解される。一方、ある構成が別の構成又は層に「上に直接(directly on)」又は「直接接続されている(directly connected to)」と述べられているとき、他の構成又は層は介在しない。本開示の目的のために、「X、Y及びZの少なくとも1つ」は、Xだけ、Yだけ、Zだけ、またはX、Y及びZの2つ以上のアイテムの何れかの組合せ(例えば、XYZ、XYY、YZ、ZZ)として解釈できる。
図1は、本発明の一実施形態に係るオープンソースモバイルアプリケーションプラットフォームの構造を示す図である。
図1を参照すると、プラットフォーム100は、例えば、ダルビック(dalvik)仮想マシーンなどを介してジャバで作成されたアプリケーション(Application)を別途のプロセッサで実行する構造を有してもよい。開発者は、ソフトウェア開発キット(Software Development Kit:SDK)を使用してモバイル端末で動作するアプリケーションを作成してもよい。アプリケーションはジャバプログラミング言語で作成され、ダルビック仮想マシーン上で実行されてもよい。
プラットフォーム100は、リナックス(登録商標)カーネル(Linux(登録商標) Kernel)110、ライブラリ(Library)120、アプリケーションフレームワーク(Application Framework)130、およびアプリケーション(Application)140を含んでもよい。
リナックス(登録商標)カーネル110は、メモリ管理、プロセス管理、ネットワークスタックなどのハードウェア管理をサポートする。
ライブラリ120は、プラットフォーム100で使用されるC/C++ライブラリをサポートし、プラットフォーム100の基本的な機能を提供する構成要素を含む。
アプリケーションフレームワーク130は、アプリケーション開発時に必要なAPI(Application Programming Interface)を提供する。アプリケーションフレームワーク130は、アプリケーションが生成されるために必要な構成要素を含む。
アプリケーション140は、イーメールクライアント、SMS(Short Message Service)プログラム、カレンダー、地図、ブラウザなどのように基本的に提供されるアプリケーションを含む。
この他にも、プラットフォーム100は、アンドロイド実行環境における動作のためにアンドロイドランタイム150を含んでもよい。アンドロイドランタイム150は、ダルビック仮想マシーンとアンドロイド実行環境のためのコアライブラリを含んでもよい。プラットフォーム100は、リナックス(登録商標)カーネル110、ライブラリ120、アプリケーションフレームワーク130、アプリケーション140のような順序で実行されてもよい。
図2は、本発明の一実施形態に係るオープンソースモバイルアプリケーションプラットフォーム200を示す図である。
図2を参照すると、オープンソースモバイルアプリケーションプラットフォームは、リナックス(登録商標)カーネル210、ライブラリ220、アプリケーションフレームワーク230、アプリケーション240、モデム1及びモデム2を含んでもよい。一実施形態に係る無線端末でネットワーク攻撃を感知する方法は、リナックス(登録商標)カーネル210内に位置したパケットドライバ(Packet Driver)250によって実行されてもよい。しかし、このようなパケットドライバ250の位置はこれに限定されることはなく、リナックス(登録商標)カーネル210以外にもライブラリ220、アプリケーションフレームワーク230、およびアプリケーション240など、必要に応じて多様な場所に位置してもよい。
図3は、本発明の一実施形態に係る無線端末でネットワーク攻撃を感知する方法を示したフローチャートである。図3は、図1の特徴を参照して説明されるが、実施形態はこれに限定されるわけではない。
図3を参照すると、無線端末でネットワーク攻撃を感知する装置(以下、「検出装置」)は、ソケットデータパケットの種類を示す複数の制御ビットによって決定される少なくとも1つの攻撃パターンをパターンデータベース(Pattern DB)(以下、ネットワーク攻撃アクセスパターンデータベース(network attack access DB))に格納する(301)。少なくとも1つの攻撃パターンは、無線端末が複数の制御ビットを利用して直接決定あるいは確認されてもよく、中央管理サーバなどから受信されたものであってもよい。複数の制御ビットについては、図4を参照しながら後述する。
検出装置は、無線通信インターフェースを介して接続しようとする対象の少なくとも1つのソケットデータパケットを受信する(303)。
検出装置は、少なくとも1つのソケットデータパケットに含まれた複数の制御ビットを利用してソケット接続ヒストリー(Socket Access History)を生成する(305)。検出装置は、少なくとも1つのソケットデータパケットのデスティネーション(destination)のアドレスおよびポートに基づいて受信された少なくとも1つのソケットデータパケットを識別し、識別された少なくとも1つのソケットデータパケットを利用してソケットデータパケットの種類を示す複数の制御ビットを抽出してソケット接続ヒストリーを生成してもよい。
検出装置がソケット接続ヒストリーを生成する方法は、次のとおりである。
検出装置は、後述する図6のように、少なくとも1つのデスティネーションそれぞれ(より詳しくは、デスティネーションそれぞれのアドレスおよびポート)に基づいて識別された少なくとも1つのソケットデータパケットに含まれた複数の制御ビットを分離してもよい。その後、検出装置は、分離した複数の制御ビットの時間順序による履歴に基づいてソケット接続ヒストリーを生成してもよい。
検出装置は、パターンデータベースおよびソケット接続ヒストリーを利用してネットワーク攻撃が存在するか否かを判断する。より具体的に、検出装置は、少なくとも1つのリファレンスサーチングウィンドウ(reference searching window)を利用してソケット接続ヒストリーのリファレンス領域(reference area)をスキャンしてもよい(307)。検出装置は1つ以上のサーチングウィンドウを利用してもよい。このとき、検出装置は、少なくとも1つのリファレンスサーチングウィンドウのサイズおよび移動方向を調節し、サイズおよび移動方向が調節された少なくとも1つのリファレンスサーチングウィンドウに基づいてソケット接続ヒストリーのリファレンス領域をスキャンしてもよい。
すなわち、検出装置は、サーチングウィンドウのサイズを「4」から「6」に調節して制御ビットのより広い領域に該当するソケット接続ヒストリーをスキャンしてもよく、サーチングウィンドウを現在の位置からソケット接続ヒストリーにおける制御ビットの左側または右側に移動させてソケット接続ヒストリーの互いに異なる領域をスキャンしてもよい。また、検出装置は、2つのサーチングウィンドウを使用してソケット接続ヒストリーのリファレンス領域をスキャンしてもよい。例えば、検出装置は、2つのサーチングウィンドウをリファレンス領域からリファレンス領域の外側に一定位置だけ移動させた領域をスキャンしてもよく、リファレンス領域の外側からリファレンス領域の内側に一定位置だけ移動させた領域をスキャンしてもよい。
この後、検出装置は、ソケット接続ヒストリーのスキャンされたリファレンス領域に対応する制御ビットのパターンに関する情報をパターンデータベースに格納された少なくとも1つの攻撃パターンと比較してもよい(309)。このとき、ソケット接続ヒストリーのスキャンされたリファレンス領域に対応する制御ビットのパターンに関する情報がパターンデータベースに格納された少なくとも1つの攻撃パターンと一致すれば、検出装置はネットワーク攻撃が存在すると判断してもよい(311)。例えば、正常な制御ビットのパターンがPSH(push)、ACK(acknowledge)、PSH、ACK、PSHのようなパターンであり、パターンデータベースに格納された少なくとも1つの攻撃パターンがPSH、PSH、PSH、ACKであるとする。このとき、ソケット接続ヒストリーに含まれた制御ビットのパターンがPSH、PSH、PSH、ACKのようなパターンを有すれば、検出装置はネットワーク攻撃が存在すると判断してもよい。制御ビットのパターンについては、図4を参照して詳しく後述する。
ソケット接続ヒストリーに含まれた制御ビットのパターンに関する情報がパターンデータベースに格納された少なくとも1つの攻撃パターンと一致しなければ、検出装置はネットワーク攻撃が存在しないと判断して、検出装置は該当制御ビットのパターンに関する情報をソケット接続ヒストリーから消去(315)した後、動作を終了してもよい。
検出装置は、311において、ソケット接続ヒストリーに含まれた制御ビットのパターンに関する情報がパターンデータベースに格納された攻撃パターンと一致する場合にネットワーク攻撃が存在していると判断して、ネットワークアダプタに少なくとも1つのデスティネーションアドレスへのソケットデータパケットの送信を遮断することを要請してもよい(313)。このとき、検出装置は、少なくとも1つのデスティネーションアドレスへのソケットデータパケットの送信を要請したアプリケーションのプロセスIDを特定し、ネットワークアダプタに該当アプリケーションのプロセスIDを含む情報を送信してもよい。ここで、アプリケーションのプロセスIDは、プロセッサなどによってアプリケーションが駆動される場合に該当アプリケーションに割り当てられるIDを意味する。
この他にも、検出装置は、アプリケーションに関する情報およびソケットデータパケットに対するネットワーク攻撃に関連する情報を収集し、収集された情報を端末のユーザおよび管理サーバに送信することによってネットワーク攻撃に対する集中的な管理を可能にしてもよい。
図4は、本発明の一実施形態に係るソケットデータパケットの構造を示す図である。ソケットデータパケットは、無線端末でネットワーク攻撃を感知する方法において、送受信に利用される。
図4を参照すると、ソケットデータパケット400は、IPヘッダ(IP Header)フィールド410およびIPデータ(IP Data)フィールド450を含む。IPヘッダフィールド410は、プロトコル(Protocol)411、ソースアドレス(Source Address)413、およびデスティネーションアドレス(Destination Address)415を含む。
プロトコル411は、IPソケット(IP socket)に対する上位プロトコルを表示する。例えば、プロトコル411は、TCP、UDPなどのような上位プロトコルを表示してもよい。
ソースアドレス413は、ネットワーク網から無線端末に付与された無線端末のIPアドレス(IP Address)である。
デスティネーションアドレス415は、アプリケーションのネットワークデータが実際に送信されることを所望するIPアドレス、すなわち、ターゲットIPアドレス(Target IP Address)である。
IPデータフィールド450は、TCPヘッダ430およびTCPデータ440を含む。IPデータフィールド450は、TCPに関連することが述べられたが、実施の形態はこれに限定されず、例えば、ヘッダ430及びデータ440はUDPヘッダ及びUDPデータであってもよい。
TCPヘッダ430は、ソースポート(Source Port)431、デスティネーションポート(Destination Port)433、および複数の制御ビット435を含む。
ソースポート431は全体で16ビット長を有し、該当TCP/IPソース(source)側のIPポート番号を示す。例えば、Port80はHTTP(Hypertext Transfer Protocol)を、Port21はFTP(File Transfer Protocol)を示してもよい。ソースポート431は16ビット長を有すると述べたが、これに限定されず、いかなるビットであってもよい。
デスティネーションポート433は、該当TCP/IPデスティネーション(Destination)側のIPポート番号である。
複数の制御ビット435は、以下のビットを含む。しかしながら、複数の制御ビット435は、以下に挙げるビットに限定されない。TCPは、これらのビットをパケットの目標及びコンテンツを明らかにするために使用してもよい。
URG(Urgent)ビットは、緊急ポインタ優先パケット(Urgent Pointer Priority Packet)を示す。すなわち、URGビットが「1」に設定されれば、緊急ポインタ優先パケットにおける項目(item)又はデータが既存のバイトストリーム、すなわち、データ交換あるいはアプリケーションプロセスの制御のために送信されるメッセージあるいはデータであってもよい。
ACK(Acknowledge)ビットは、ACK番号値を示し、「1」に設定されれば、確認応答のための番号項目にACK番号値が入力されていることを示す。
PSH(Push)ビットは、TCPに受信されたデータを即時に上位階層のプロセッサに伝達しなければならないときに利用される。
RST(Reset)ビットは、TCP接続を特定エラーあるいはユーザの命令によって再設定するために使用される。すなわち、RSTビットは、セッション(Session)成立後の非正常動作による強制終了をしなければならないときに使用される。
SYN(Synchronize)ビットは、デスティネーションホスト(Destination Host)側にパケット送信作業接続を要請するために利用される。すなわち、SYNビットが「1」に設定されれば、TCP接続のための要請がなされたと理解される。
FIN(Finish)ビットは、接続の終了のための要請を示す。すなわち、FINビットは、デスティネーションホスト側にパケット送信作業の終結を通知するために利用される。
図5は、本発明の一実施形態に係る無線端末でネットワーク攻撃を感知する方法が実行されるパケットドライバの構造を示す図である。
図5を参照すると、パケットドライバは、モニタリング部510、検出部520、遮断部530、情報収集部540、および情報送信部550を含んでもよい。
510は、上位アプリケーション(Application)から要請した、所望する接続対象のサーバ(Server)あるいはウェブサイト、URLアドレスに対応するターゲット(Target)IPに対する送受信ソケットデータをモニタリングする。このとき、モニタリングされたソケットデータの接続フローと関連する情報(接続フロー情報ともいう)は、ターゲットIP別に格納されてもよい。
検出部520は、ターゲットIP別にモニタリング部510に格納されたソケットデータの接続フロー情報に準じてネットワーク攻撃が発生したか否かを確認する。
検出部520は、ネットワーク攻撃が発生したことが確認されれば、これを遮断部530に知らせ、ネットワーク攻撃が発生したソケットデータの送信を遮断するように要請する。検出部520は、ネットワーク攻撃が発生していないと確認されれば、現時点までのターゲットIP別に分類した情報を整理し、選択されたネットワークアダプタ(Network Adapter)を介して通常のソケットデータパケットの処理と同じ過程によってソケットデータを処理する。
遮断部530は、検出部520によってネットワーク攻撃があると確認されたターゲットIPのソケットデータパケットのネットワークアダプタ側へのソケットデータの送信動作をブロックする。ここで、遮断部530は、該当ソケットデータパケットを要請したアプリケーションに関する情報を情報収集部540に伝達してもよい。
情報収集部540は、遮断部530から受信したネットワーク攻撃タイプまたは攻撃パターンについての情報を収集および整理する。
このとき、情報収集部540は、ソケットデータパケットに基づいてネットワーク攻撃に関する情報を収集し、モニタリング部510に保管されたデータおよびアプリケーション登録情報を介し、ソケットデータパケットに対するネットワーク攻撃を要請するアプリケーションに関連する情報を収集してもよい。ネットワークに関連する情報は、目標であるIP、ネットワーク攻撃が試みられた時点、ソケットデータパケットの送信が遮断された時点を含んでもよい。アプリケーションに関連する情報は、該当アプリケーションの名前、インストールされたアプリケーションのバージョンなどを含んでもよい。
情報送信部550は、別途のソケットデータパケットを利用して収集された情報を指定された中央管理サーバに送信してもよい。情報送信部550は、ネットワーク攻撃の有無を通報してもよい。収集された情報は、ユーザにネットワーク攻撃が通知されるように、無線端末の画面に表示されてもよい。
パケットドライバはアプリケーションソケットデータ送信/受信部と、ネットワークアダプタの状態及びネットワークアダプタの送信/受信ソケットデータを確認するためのプロセッシング部を含んでもよい。アプリケーションソケットデータ送信/受信部は、アプリケーションソケットデータを送受信してもよい。プロセッシング部は、ネットワークアダプタの状態を確認してもよく、ネットワークアダプタの送信及び受信ソケットデータを確認してもよい。
図6は、図5のモニタリング部の動作を説明するための図である。図6は、図5に示したモニタリング部510及び図2のパケットドライバを参照して説明されるが、本発明の実施形態はこれに限定されない。
図6を参照すると、モニタリング部510は、図2のパケットドライバ250によって送受信されるソケットデータパケットを各ターゲットIP別にモニタリングする。ここで、モニタリング部510は、IPヘッダに含まれたデスティネーションアドレスとデスティネーションポートに基づいて送受信ソケットデータパケットのTCP制御ビットを各ターゲットIP別に分離する。
その後、モニタリング部510は、分離された複数の制御ビットの時間順序による履歴情報を別途のファイル形態で格納してもよい。ここで、複数の制御ビットの時間順序による履歴情報は、デスティネーションアドレス及びデスティネーションポート別に区分して格納されてもよく、「ソケット接続ヒストリー(Socket Access History)」と呼ばれてもよい。
図7は、本発明の一実施形態によるネットワーク攻撃を感知する方法を説明するための図である。図7は図5の特徴を参照して説明されるが、実施の形態はこれに限定されない。
図7を参照すると、検出部520は、モニタリング部510によって格納されたソケット接続ヒストリー(Socket Access History)をパターンデータベースと比較してネットワークが攻撃されているのか否かを確認または判断してもよい(710)。
このとき、検出部520は、少なくとも1つのリファレンスサーチングウィンドウ(reference searching window)を利用してソケット接続ヒストリーのリファレンス領域をスキャンしてもよい。また、検出部520は、ソケット接続ヒストリーのスキャンされたリファレンス領域に対応する制御ビットのパターンに関する情報をパターンデータベースに格納された攻撃パターンと比較することによってネットワークが攻撃されているか否かを判断してもよい。
例えば、正常な制御ビットのパターンがPSH、ACK、PSH、ACK、PSHのようなパターンであり、パターンデータベースに格納された少なくとも1つの攻撃パターンがPSH、PSH、PSH、ACKであるとする。このとき、ソケット接続ヒストリーに含まれた制御ビットのパターンがPSH、PSH、PSH、ACKのようなパターンを有すれば、検出部520はネットワーク攻撃が存在すると判断してもよい。
ここで、「サーチングウィンドウ(searching window)」とは、一定の時間間隔または制御ビットの個数を意味してもよく、予め格納された攻撃パターンと比較される一定の領域(refernce area)の大きさに対応してもよい。
検出部520は、ソケット接続ヒストリーのスキャンされた領域に対する検出結果に基づいて、予め格納された攻撃パターンを含まない領域に関連するデータをソケット接続ヒストリーから消去してもよい(720)。
ソケット接続ヒストリーのスキャンされた領域において該当パターンデータベースと一致するパターンが観察されると、遮断部530は、該当デスティネーションアドレスへのソケットデータパケットに対して検出部520にネットワークアダプタ側へのデータ送信行為を停止することを要請し、実際にデスティネーションアドレスに該当ソケットデータパケットが伝達されないようにする(730)。
遮断部530は、ネットワーク攻撃に関する情報を情報収集部540に伝達してもよい(740)。ここで、ネットワーク攻撃に関する情報は、例えば、ネットワーク攻撃タイプ、あるいは攻撃パターンやネットワーク攻撃が試みられた時間などのような情報であってもよい。
また、遮断部530は、該当デスティネーションアドレスへのソケットデータパケットの送信サービスを要請したアプリケーションのプロセスIDを確保して情報収集部540に伝達してもよい(750)。
情報収集部540は、ネットワーク攻撃に関する情報を収集および整理してもよい。情報収集部540は、例えば、ActivityManager.RunningAppProcessInfoなどのようなアンドロイド関数によって集められたアプリケーションに関する情報を取得してもよい。ここで、アプリケーションに関する情報には、アプリケーションのバージョン情報や最終アップデート時間などが含まれてもよい。
ここで、情報収集部540は、遮断部530から受信したアプリケーションのプロセスIDを利用して上述した情報を収集してもよい。
情報収集部540は、遮断部530から受信したネットワーク攻撃に関連する情報およびアプリケーションに関する情報を収集して格納してもよい。アプリケーションに関する情報は、該当アプリケーションの最終的な情報であってもよい。ネットワーク攻撃に関する情報は、ネットワーク攻撃に関連する最終的な情報であってもよい。
このとき、集められた情報を、ネットワーク攻撃防止情報(Network Attack Preventing Information)と呼んでもよい。
情報収集部540は、ネットワーク攻撃防止情報を情報送信部550に伝達してもよい。
情報送信部550は、ネットワーク攻撃防止情報を、例えば、法的機関やその他のエンティティ、あるいは別途のネットワーク攻撃防止対策中央管理サーバなどにソケットデータパケットの形態で送信してもよい。情報送信部550は、ユーザがネットワーク攻撃防止情報を閲覧することができるように、ユーザ端末の画面などを介してネットワーク攻撃防止情報を表示してもよい。
図8は、本発明の一実施形態に係る無線端末でネットワーク攻撃を感知する装置のブロック図である。図8を参照すると、装置800は、パターンデータベース810、ネットワークモジュール830、生成部850、およびプロセッサ870を含んでもよい。
パターンデータベース810は、ソケットデータパケットの種類を示す複数の制御ビットによって決定される少なくとも1つの攻撃パターンを含む。このとき、少なくとも1つの攻撃パターンは、無線端末が複数の制御ビットを利用して直接決定あるいは把握されてもよく、中央管理サーバなどから受信されたものであってもよい。
ネットワークモジュール830は、無線通信インターフェースを介して少なくとも1つのソケットデータパケットを受信する。
生成部850は、ネットワークモジュール830で受信された少なくとも1つのソケットデータパケットを識別し、識別されたソケットデータパケットを利用してそのソケットデータパケットの種類を示す複数の制御ビットを抽出してソケット接続ヒストリーを生成する。
複数の制御ビットは、データ交換あるいはアプリケーションプロセスの制御のために送信されるデータであることを示すURGビット、確認応答のためのACK番号値を示すACKビット、受信されるデータを即時に上位階層のプロセスに伝達することを示すPSHビット、接続を特定エラーあるいはユーザの命令によって再設定するために使用するRSTビット、接続要請を示すSYNビット、接続終了を要請するFINビットのうちの少なくとも1つを含んでもよい。
生成部850は、ソケットデータパケットのアドレス及び少なくとも1つのデスティネーションそれぞれのポートに基づいて前記少なくとも1つのソケットデータパケットを識別してもよい。
生成部850は、分離手段853および生成手段856を含んでもよい。
分離手段853は、少なくとも1つのデスティネーションそれぞれに基づいて識別された少なくとも1つのソケットデータパケットに含まれた複数の制御ビットを分離してもよい。生成手段856は、分離された複数の制御ビットの時間順序による履歴に基づいてソケット接続ヒストリーを生成してもよい。
プロセッサ870は、パターンデータベース810および少なくとも1つのソケットデータパケットに含まれた複数の制御ビットのパターンに関する情報を利用してネットワーク攻撃が存在するか否かを判断する。
プロセッサ870は、スキャン部873、比較部876、および判断部879を含んでもよい。
スキャン部873は、少なくとも1つのリファレンスサーチングウィンドウ(reference searching window)を利用してソケット接続ヒストリーのリファレンス領域をスキャンしてもよい。
スキャン部873は、少なくとも1つのリファレンスサーチングウィンドウのサイズおよび移動方向を調節し、調節された少なくとも1つのリファレンスサーチングウィンドウの調節されたサイズおよび調節された移動方向に基づいてソケット接続ヒストリーのリファレンス領域をスキャンしてもよい。
比較部876は、ソケット接続ヒストリーのスキャンされたリファレンス領域に対応する制御ビットのパターンに関する情報をパターンデータベースに格納された少なくとも1つの攻撃パターンと比較してもよい。
判断部879は、比較部876の比較結果に基づいてネットワーク攻撃が存在するか否かを判断してもよい。
プロセッサ870は、判断部879による判断結果に基づき、ネットワークアダプタに少なくとも1つのデスティネーションのアドレスへのソケットデータパケットの送信を遮断することを要請してもよい。
図9は、本発明の一実施形態に係る汎用的な装置でネットワーク攻撃を感知する方法を示したフローチャートである。図9を参照すると、一実施形態に係る汎用的な装置(以下、「汎用装置」)は、ソケットデータパケットの種類を示す複数の制御ビットを用いて決定される少なくとも1つの攻撃パターンをパターンデータベースに格納する(901)。汎用装置は、ネットワークに接続できるいかなる装置であってもよく、携帯電話、スマートフォン、タブレット型コンピュータ、ノートパソコン、パソコン、ゲーム機などであってもよい。汎用装置は、1つ以上の攻撃パターンを格納してもよい。
少なくとも1つの攻撃パターンは、汎用装置が複数の制御ビットを利用して直接決定あるいは把握されてもよく、中央管理サーバなどから受信されたものであってもよい。
汎用装置は、アプリケーションが接続を要請する対象から少なくとも1つの対象データパケットを受信する(903)。
汎用装置は、対象データパケットのディスティネーションアドレスおよび少なくとも1つのデスティネーションそれぞれのポートに基づいて少なくとも1つの対象データパケットを識別する(905)。
汎用装置は、複数の制御ビットを利用して接続ヒストリーを生成する(907)。このとき、汎用装置は、ディスティネーションアドレスおよび少なくとも1つのデスティネーションそれぞれのポートに基づいて少なくとも1つの対象データパケットに含まれた複数の制御ビットを分離し、分離された複数の制御ビットの時間順序による履歴に基づいてソケット接続ヒストリーを生成してもよい。
汎用装置は、パターンデータベースおよび接続ヒストリーを利用してネットワーク攻撃が存在するか否かを判断する(909)。
より具体的には、汎用装置は、少なくとも1つのリファレンスサーチングウィンドウを利用して接続ヒストリーのリファレンス領域をスキャンし、接続ヒストリーのスキャンしたリファレンス領域に対応する制御ビットのパターンに関する情報をパターンデータベースに格納された少なくとも1つの攻撃パターンと比較することにより、ネットワーク攻撃が存在するか否かを判断してもよい。
汎用装置が接続ヒストリーのリファレンス領域をスキャンする方法は、次のとおりである。
汎用装置は、少なくとも1つのリファレンスサーチングウィンドウのサイズおよび移動方向を調節し、調節された少なくとも1つのサーチングウィンドウの調節されたサイズおよび調節された移動方向に基づいて接続ヒストリーのリファレンス領域をスキャンしてもよい。
また、汎用装置は、接続ヒストリーのスキャンされたリファレンス領域に対応する制御ビットのパターンに関する情報をパターンデータベースに格納された少なくとも1つの攻撃パターンと比較し、その比較結果に基づいてネットワーク攻撃が存在するか否かを判断してもよい。ここで、パターンデータベースは、図7に示すように、現在までに確認されたネットワーク攻撃のTCP/IP接続試行行為に関する制御ビットの情報を形態別に整理した情報(例えば、Patternい、Patternろ…)を格納してもよい。
サイバー捜査隊(cyber terror response center)やネットワーク関連サーバなどは従来のネットワーク攻撃で使用されたパターンを汎用装置に提供し、汎用装置は該当パターンをネットワーク攻撃パターンデータベースに格納することにより、既存のネットワーク攻撃で使用されたパターンに対する防御を可能にする。
上述した方法は多様な、コンピュータ手段によって実行されるプログラム命令形態で実現され、コンピュータで読み取り可能な記録媒体に記録されてもよい。前記コンピュータで読み取り可能な記録媒体は、プログラム命令、データファイル、データ構造などを単独または組み合わせて含んでもよい。前記媒体に記録されるプログラム命令は、本発明のために特別に設計されて構成されたものや、コンピュータソフトウェア当業者に公示されて使用可能なものであってもよい。コンピュータ読み取り可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク、および磁気テープのような磁気媒体(magnetic media)、CD−ROM、DVDのような光気録媒体(optical media)、フロプティカルディスク(floptical disk)のような磁気−光媒体(magneto−optical media)、およびROM、RAM、フラッシュメモリなどのようなプログラム命令を格納して実行するように特別に構成されたハードウェア装置が含まれる。プログラム命令の例としては、コンパイラによって生成されるような機械語コードだけではなく、インタープリタなどを使用してコンピュータによって実行される高級言語コードを含む。上述したハードウェア装置は、本発明の動作を実行するために1つ以上のソフトウェアモジュールとして作動するように構成されてもよく、その逆も同じであってもよい。
上述したように、本発明は限定された実施形態と図面によって説明されたが、本発明が上述した実施形態に限定されることはなく、本発明が属する分野において通常の知識を有する者であれば、このような記載から多様な修正および変形が可能である。
したがって、本発明の範囲は上述した実施形態に限定されて定められてはならず、添付の特許請求の範囲だけでなく、この特許請求の範囲と均等なものによって定められなければならない。
510:モニタリング部
520:検出部
530:遮断部
540:情報収集部
550:情報送信部
520:検出部
530:遮断部
540:情報収集部
550:情報送信部
Claims (20)
- ネットワーク攻撃パターンを格納するパターンデータベースと、
受信されたソケットデータパケットのソケット接続ヒストリーを生成する生成部と、
前記ソケット接続ヒストリーと前記ネットワーク攻撃パターンの少なくとも1つとが一致するかを判定するプロセッサと、
を備えるネットワーク攻撃を感知する装置。 - 前記生成部は、
ディスティネーションアドレス及び制御ビットのディスティネーションポートに基づいてソケットデータパケットの前記制御ビットを分離する分離手段と、
分離された前記制御ビットに基づいて前記ソケット接続ヒストリーを生成する生成手段と、
を含む請求項1に記載の装置。 - 前記プロセッサは、リファレンスサーチングウィンドウを用いて前記ソケット接続ヒストリーをスキャンし、スキャンされた前記ソケット接続ヒストリーと前記ネットワーク攻撃パターンとを比較して前記ソケット接続ヒストリーが前記ネットワーク攻撃パターンに一致するかを判定することを特徴とする請求項1に記載の装置。
- ソケットデータの接続フロー情報を格納するモニタリング部と、
前記接続フロー情報に基づいてネットワークに攻撃が存在しているかを確認する検出部と、
ネットワークに攻撃が存在していると確認された場合に、前記ソケットデータの送信を遮断する遮断部と、
ネットワークに攻撃が存在していると確認された場合に、前記ソケットデータに関する情報を送信する情報送信部と、
を備えるネットワーク攻撃を感知するパケットドライバ。 - ネットワークに攻撃が存在していると確認された場合に、前記ソケットデータに関する情報を収集する情報収集部をさらに備える請求項4に記載のパケットドライバ。
- 前記検出部は、ソケット接続ヒストリーを生成し、前記ソケット接続ヒストリーがネットワーク攻撃パターンに一致するかどうかを確認することにより、接続フロー情報に基づいて、ネットワーク攻撃が存在しているかを確認することを特徴とする請求項4に記載のパケットドライバ。
- 前記検出部は、サーチングウィンドウに基づいて前記ソケット接続ヒストリーの一部と前記ネットワーク攻撃パターンとを比較することにより、前記ソケット接続ヒストリーが前記ネットワーク攻撃パターンに一致するかを確認することを特徴とする請求項6に記載のパケットドライバ。
- 前記モニタリング部は、制御ビットのディスティネーションアドレス及びディスティネーションポートに基づいて前記ソケットデータの前記制御ビットを分類することを特徴とする請求項4に記載のパケットドライバ。
- 前記検出部は、ネットワーク攻撃が存在しないと確認された場合、前記ソケット接続ヒストリーを消去することを特徴とする請求項6に記載のパケットドライバ。
- ネットワーク攻撃の攻撃パターン制御ビットを受信し、
ソケットデータパケットの制御ビットが前記攻撃パターン制御ビットに一致するかどうかを確認し、
前記ソケットデータパケットの制御ビットが前記攻撃パターン制御ビットに一致している場合、前記ソケットデータパケットの送信を遮断すること、
を含む無線端末でネットワーク攻撃を感知する方法。 - 前記ソケットデータパケットの前記制御ビットからソケット接続ヒストリーを生成し、
リファレンスサーチングウィンドウを用いて前記ソケット接続ヒストリーをスキャンすること、
をさらに含み、
前記ソケットデータパケットの前記制御ビットが前記攻撃パターン制御ビットに一致する場合、前記確認することは、スキャンされた前記ソケット接続ヒストリーが前記攻撃パターン制御ビットに一致するかどうかを確認することを含むころを特徴とする請求項10に記載の方法。 - 前記ソケット接続ヒストリーを生成することは、
ディスティネーションアドレス及びディスティネーションポートに基づいて前記制御ビットを分類すること、を含むことを特徴とする請求項11に記載の方法。 - 前記制御ビットは、URGビット、ACKビット、PSHビット、RSTビット及びSYNビットのうち少なくとも1つを含むことを特徴とする請求項10に記載の方法。
- 前記ソケットデータパケットの前記制御ビットが前記攻撃パターン制御ビットに一致しない場合、前記ソケット接続ヒストリーを消去すること、
をさらに含む請求項11に記載の方法。 - 前記ソケットデータパケットの前記制御ビットが前記攻撃パターン制御ビットに一致する場合、ネットワーク攻撃の情報を伝達すること、
をさらに含む請求項10に記載の方法。 - 前記ソケットデータパケットの前記制御ビットが前記攻撃パターン制御ビットに一致する場合、前記ソケットデータパケットを要請したアプリケーションに関連する情報を伝達すること、
をさらにふくむ請求項10に記載の方法。 - サーバからネットワーク攻撃パターンを受信し、
ソケットデータパケットを受信し、
前記ソケットデータパケットのソケット接続ヒストリーを生成し、
前記ソケット接続ヒストリーが前記ネットワーク攻撃パターンに一致するかどうかを確認し、
前記ソケット接続ヒストリーが前記ネットワーク攻撃パターンに一致する場合、
無線端末から前記ソケットデータパケットの送信を遮断し、
前記ソケットデータパケットに関する情報を収集し、
収集した前記ソケットデータパケットに関する情報をサーバに伝達すること、
を含む無線端末でネットワーク攻撃を感知する方法。 - リファレンスサーチングウィンドウを用いて前記ソケット接続ヒストリーをスキャンし、
前記ソケット接続ヒストリーが前記ネットワーク攻撃パターンに一致する場合、前記確認することは、スキャンされた前記ソケット接続ヒストリーが前記ネットワーク攻撃パターンに一致するかどうかを確認することを含むことを特徴とする請求項17に記載の方法。 - 前記ソケット接続ヒストリーが前記ネットワーク攻撃パターンに一致しない場合、前記ソケット接続ヒストリーを消去すること、
をさらに含む請求項17に記載の方法。 - ソケットデータパケットのタイプを示す複数の制御ビットを使用して決定される攻撃パターンに関する情報をパターンデータベースに格納し、
少なくとも1つのソケットデータパケットを特定する無線通信インターフェースを介して接続される対象のソケットデータパケットを受信し、
前記少なくとも1つのソケットデータパケットを用いて前記ソケットデータパケットのタイプを示す前記複数の制御ビットを抽出することによりソケット接続ヒストリーを生成し、
前記攻撃パターンに関する情報と前記ソケット接続ヒストリーとに基づいて、ネットワークに攻撃が存在するか否かを判定すること、
を含む無線端末でネットワーク攻撃を感知する方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2012-0020841 | 2012-02-29 | ||
| KR1020120020841A KR101414959B1 (ko) | 2012-02-29 | 2012-02-29 | 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013183458A true JP2013183458A (ja) | 2013-09-12 |
Family
ID=47355822
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013039690A Withdrawn JP2013183458A (ja) | 2012-02-29 | 2013-02-28 | ネットワーク攻撃を感知する移動通信端末機およびその感知方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20130227687A1 (ja) |
| EP (1) | EP2634989A1 (ja) |
| JP (1) | JP2013183458A (ja) |
| KR (1) | KR101414959B1 (ja) |
| CN (1) | CN103297972A (ja) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6330814B2 (ja) * | 2013-08-21 | 2018-05-30 | 日本電気株式会社 | 通信システム、制御指示装置、通信制御方法及びプログラム |
| JP6528448B2 (ja) | 2015-02-19 | 2019-06-12 | 富士通株式会社 | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム |
| KR101649828B1 (ko) | 2015-07-30 | 2016-08-19 | 엘에스산전 주식회사 | 이더넷 프레임 감지 장치 그의 동작 방법 |
| US9992212B2 (en) * | 2015-11-05 | 2018-06-05 | Intel Corporation | Technologies for handling malicious activity of a virtual network driver |
| CN106330550B (zh) * | 2016-08-29 | 2019-06-28 | 天脉聚源(北京)传媒科技有限公司 | 一种应对海量并发访问的方法及装置 |
| US10601845B2 (en) | 2016-09-06 | 2020-03-24 | Radware, Ltd. | System and method for predictive attack sequence detection |
| TWI610196B (zh) * | 2016-12-05 | 2018-01-01 | 財團法人資訊工業策進會 | 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品 |
| CN109005181B (zh) * | 2018-08-10 | 2021-07-02 | 深信服科技股份有限公司 | 一种dns放大攻击的检测方法、系统及相关组件 |
| US11743135B2 (en) | 2019-07-23 | 2023-08-29 | Vmware, Inc. | Presenting data regarding grouped flows |
| US11321213B2 (en) | 2020-01-16 | 2022-05-03 | Vmware, Inc. | Correlation key used to correlate flow and con text data |
| CN111800409B (zh) * | 2020-06-30 | 2023-04-25 | 杭州数梦工场科技有限公司 | 接口攻击检测方法及装置 |
| US11991187B2 (en) | 2021-01-22 | 2024-05-21 | VMware LLC | Security threat detection based on network flow analysis |
| US11785032B2 (en) * | 2021-01-22 | 2023-10-10 | Vmware, Inc. | Security threat detection based on network flow analysis |
| CN113507455B (zh) * | 2021-06-25 | 2022-06-24 | 湖州瑞云信息科技有限公司 | 基于大数据的网络安全检测方法及系统 |
| US11997120B2 (en) | 2021-07-09 | 2024-05-28 | VMware LLC | Detecting threats to datacenter based on analysis of anomalous events |
| US11831667B2 (en) | 2021-07-09 | 2023-11-28 | Vmware, Inc. | Identification of time-ordered sets of connections to identify threats to a datacenter |
| US11792151B2 (en) | 2021-10-21 | 2023-10-17 | Vmware, Inc. | Detection of threats based on responses to name resolution requests |
| US12015591B2 (en) | 2021-12-06 | 2024-06-18 | VMware LLC | Reuse of groups in security policy |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005124055A (ja) * | 2003-10-20 | 2005-05-12 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク攻撃の防御装置 |
| JP2006506853A (ja) * | 2002-11-07 | 2006-02-23 | ティッピングポイント テクノロジーズ インコーポレイテッド | 能動的ネットワーク防衛システム及び方法 |
| WO2007116605A1 (ja) * | 2006-03-30 | 2007-10-18 | Nec Corporation | 通信端末装置、ルール配布装置およびプログラム |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6725377B1 (en) * | 1999-03-12 | 2004-04-20 | Networks Associates Technology, Inc. | Method and system for updating anti-intrusion software |
| US20030051026A1 (en) * | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
| KR100427179B1 (ko) * | 2001-11-22 | 2004-04-14 | 한국전자통신연구원 | 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템 |
| US7266754B2 (en) * | 2003-08-14 | 2007-09-04 | Cisco Technology, Inc. | Detecting network denial of service attacks |
| KR20050063477A (ko) * | 2003-12-22 | 2005-06-28 | 백남균 | 네트워크 정보에 대한 보안 시스템 및 그 방법 |
| US7752670B2 (en) * | 2004-09-23 | 2010-07-06 | Xiangrong Cai | Detecting an attack of a network connection |
| KR100613904B1 (ko) * | 2004-11-04 | 2006-08-21 | 한국전자통신연구원 | 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법 |
| US7936682B2 (en) * | 2004-11-09 | 2011-05-03 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
| US7434262B2 (en) * | 2004-12-08 | 2008-10-07 | At&T Intellectual Property I, L.P. | Methods and systems that selectively resurrect blocked communications between devices |
| US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
| US7609625B2 (en) * | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
| US7685627B2 (en) * | 2005-12-30 | 2010-03-23 | Microsoft Corporation | Unified networking diagnostics |
| JP2011053893A (ja) * | 2009-09-01 | 2011-03-17 | Hitachi Ltd | 不正プロセス検知方法および不正プロセス検知システム |
| KR20110028106A (ko) * | 2009-09-11 | 2011-03-17 | 한국전자통신연구원 | 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법 |
| US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
-
2012
- 2012-02-29 KR KR1020120020841A patent/KR101414959B1/ko not_active IP Right Cessation
- 2012-10-23 US US13/658,170 patent/US20130227687A1/en not_active Abandoned
- 2012-11-22 EP EP12193824.5A patent/EP2634989A1/en not_active Withdrawn
- 2012-11-30 CN CN2012105061799A patent/CN103297972A/zh active Pending
-
2013
- 2013-02-28 JP JP2013039690A patent/JP2013183458A/ja not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006506853A (ja) * | 2002-11-07 | 2006-02-23 | ティッピングポイント テクノロジーズ インコーポレイテッド | 能動的ネットワーク防衛システム及び方法 |
| JP2005124055A (ja) * | 2003-10-20 | 2005-05-12 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク攻撃の防御装置 |
| WO2007116605A1 (ja) * | 2006-03-30 | 2007-10-18 | Nec Corporation | 通信端末装置、ルール配布装置およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103297972A (zh) | 2013-09-11 |
| EP2634989A1 (en) | 2013-09-04 |
| US20130227687A1 (en) | 2013-08-29 |
| KR101414959B1 (ko) | 2014-07-09 |
| KR20130101672A (ko) | 2013-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2013183458A (ja) | ネットワーク攻撃を感知する移動通信端末機およびその感知方法 | |
| CN101009607B (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
| US8935419B2 (en) | Filtering device for detecting HTTP request and disconnecting TCP connection | |
| US10038715B1 (en) | Identifying and mitigating denial of service (DoS) attacks | |
| CN100361452C (zh) | 响应拒绝服务攻击的方法和设备 | |
| JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| TW201642618A (zh) | 用於威脅驅動安全性政策控制之系統及方法 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| JP2010015513A (ja) | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム | |
| KR101964148B1 (ko) | 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 | |
| CN114145004A (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
| KR101173810B1 (ko) | 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법 | |
| KR101210622B1 (ko) | Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템 | |
| JP7102780B2 (ja) | 不正通信対処システム及び方法 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
| CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 | |
| JP6497782B2 (ja) | 試験装置、試験方法および試験プログラム | |
| US20090063684A1 (en) | Wpar halted attack introspection stack execution detection | |
| WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| JP5957211B2 (ja) | コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法、システム及びコンピュータ読み取り可能な記録媒体 | |
| KR101511474B1 (ko) | 에이전트 프로그램을 이용한 인터넷 접속 차단 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140123 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140225 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140522 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140527 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140624 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141021 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20141111 |