JP2014053004A - 動的に構成されるネットワークにおいて端末を防御する方法およびシステム - Google Patents

動的に構成されるネットワークにおいて端末を防御する方法およびシステム Download PDF

Info

Publication number
JP2014053004A
JP2014053004A JP2013179004A JP2013179004A JP2014053004A JP 2014053004 A JP2014053004 A JP 2014053004A JP 2013179004 A JP2013179004 A JP 2013179004A JP 2013179004 A JP2013179004 A JP 2013179004A JP 2014053004 A JP2014053004 A JP 2014053004A
Authority
JP
Japan
Prior art keywords
response
network
address
dhcp
responses
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013179004A
Other languages
English (en)
Other versions
JP5878501B2 (ja
Inventor
Somers Jonathan
サマーズ,ジョナサン
Yasushi Kudo
クドウ,ヤスシ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ALEXEO CORP
Original Assignee
ALEXEO CORP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ALEXEO CORP filed Critical ALEXEO CORP
Publication of JP2014053004A publication Critical patent/JP2014053004A/ja
Application granted granted Critical
Publication of JP5878501B2 publication Critical patent/JP5878501B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】動的に構成されるネットワークにおいて安全性の高いネットワーククライアント端末を実装する。
【解決手段】本明細書記載のシステムと方法は、ダイナミック・ホスト・コンフィグレーション・プロトコル(DHCP)に関連し、より安全性の高いネットワーククライアント端末を実装するためのものである。構成情報を含んで到来するDHCPオファーパケットは一時的に収集される。全ての到来するオファーが受信されたと一旦判定されると、オファーが採点され、最良のオファーが選択される。最良のオファーは端末のネットワークスタックを構成するために利用される。
【選択図】図1

Description

近代のTCP/IPネットワークにおけるセキュリティ上最大の脆弱性の一つにダイナミック・ホスト・コンフィグレーション・プロトコル(DHCP)への依存が挙げられる。DHCPが存在しない場合、ネットワークに接続しようとする計算機の利用者はネットワーク管理者の人間を見つけ出す必要があり、IPアドレス、サブネットマスク、ドメイン名サービス(DNS)サーバのアドレスや、その他ネットワーク構成情報を要求すると共に、利用者はこれらの構成情報を利用するために計算機のネットワーク層の環境を手動で設定しなくてはならない。
このような手動設定によるアプローチはほぼ非現実的で、ときには不可能であり、DHCPがかわりに使われることがある。DHCPを使うことにより、ネットワークに接続しようとするクライアント計算機は、DHCPディスカバリー要求パケットをブロードキャストして、適切なDHCPサーバを特定する要求をアナウンスする。これに対してネットワーク上のDHCPサーバはDHCPオファーパケットによって返信することが一般的であり、このパケットには提案するネットワークアドレス、サブネットマスク、ゲートウェイルータやDNSサーバといった追加資源のアドレス情報などの項目など、そのクライアントのためのネットワークコンフィグレーション情報が含まれる。そしてクライアントは受信したオファーのなかから選択し、その選択したオファーのコンフィグレーションを予約するための要求を返信する。そしてそれをオファーしたDHCPサーバはこの予約情報について最終決定をしてそれに沿ってアドレステーブルを更新する。
上述の要領でのDHCPの使用には特定の脆弱な部分が含まれ、ネットワーク内で特定の安全面において問題を潜在的に引き起こすことがありうる。まず第一に、そのネットワークまたはサブネットにおいてどのホストがDHCPサーバとして実行するかを制限せず、DHCPプロトコルはネットワークやサブネットにおいて断定的はおろか推奨としてどのサーバがDHCPサーバなのかを指定する手段を提供しない。その結果、ネットワークにおいてどのDHCPサーバが正しいのか、そしてネットワーク上のいずれかのDPCPサーバが安全面で脅威となりうるのかについて、ふたつまたはそれ以上のDHCPからオファーを受信したクライアントそれぞれで判断しなくてはならない。第2に、多くのクライアントに搭載されているネットワーク処理スタックは最初のDHCPオファー応答を単に受け入れる。その理由として、(1)多くのネットワークではただ一つのDHCPサーバが存在することが典型的であることと、(2)多くのクライアント端末はネットワークに可能な限り早く接続したがることと、(3)ネットワークとサブネット上にいくつのDHCPサーバがあるのかを事前に知ることはできず、故にいくつDHCPオファーを受信することを期待できるのかわからない。したがって、多くのクライアントにあっては、例えばDHCPオファー応答がネットワーク上での正しいあるいは認定されたDHCPサーバから受信したものなのか、ネットワークにたまたま挿入されたかDHCPサービスを提供するように不本意に設定されたDHCPサーバではなかったか、あるいは潜在的な悪意の意図をもったハッカーに操作されている悪いDHCPサーバから受信したものかを判定するための努力をしない。
例えば、悪意をもつDHCPサーバが、ネットワーク上の脆弱なコンフィグレーションを提供すべく、インターネットカフェといった事業者の公衆ネットワークにハッカーによって挿入されていることがある。DHCP情報のためのクライアントデバイスの要求に応じて、ハッカーの不正なDHCPサーバは、ネットワーク上の正当なDHCPサーバの前にクライアントに応答することができる。場合によっては、通常DHCPサーバによって提供されるクライアントのゲートウェイやDNSサーバあるいはその他のネットワーク情報をクライアントはこの悪意をもったDHCPサーバによるオファーに基づいて設定するよう指示することができる。このように、ハッカーは偽造ウェブサイトや、アカウント名とパスワードを傍受できるサーバそしてクライアントからの検出を事実上不可能とするその他極悪非道な動作をする危険なネットワーク資源へクライアントを誘導できる。
本実施例によれば、ハッカーが悪意を持つDHCPサーバをネットワークに設置した後、携帯電話をもつ顧客がネットワークへの接続を試みる。携帯電話がDHCPティスカバリ要求をブロードキャストすると、その携帯電話はDHCPオファーへの応答をネットワーク上にある正当なルータとハッカーの悪意をもつサーバから受け取ることがある。もしハッカーの悪意をもつサーバからの応答が顧客に先に受信されると、携帯電話はそのハッカーから提供された情報に基づいてネットワーク情報を設定する可能性が高い。
本実施例によれば、ハッカーの悪意をもつDHCPサーバはそのネットワーク上の正当なDNSサーバのとは異なるアドレスを割り振ることができる。もしその携帯電話がハッカーにとって興味のないウェブサイトを訪問する場合は、そのハッカーのDNSサーバはその要求を正当なDNSサーバに転送し、また応答を受信することにより顧客の携帯電話は何か異常が生じていることに気づくことなく要求したウェブページを閲覧できる。
しかしながら、もし携帯電話の利用者がハッカーが標的とする特定のウェブサイトを訪問しようと判断した場合、そのハッカーの悪意をもつDHCPサーバにより設定された無効なDNSサーバによってIPアドレスを直接返答することができ、そのIPアドレスは偽造あるいは「フィッシング詐欺」サイトのアドレスを指す可能性がある。その後、携帯電話の利用者のウェブブラウザは、ネットワーク上の正当なホストサーバから受信したと信じてウェブページのロードを試みるが、実際にそのときにはハッカーにより運営される偽装ウェブサイトからページがダウンロードされているかもしれない。もしそのページが利用者により要求された実際のウェブページと酷似している場合、利用者は、実際には潜在的に危険なウェブサイトであるときにそのウェブサイトに正しくたどり着いたと信じることがありうる。こういった構成によって、利用者が偽造ウェブサイトに入ることにより例えば利用者の属性情報(例えばユーザ名やパスワード)を獲得することなど、さまざまな危険なあるいは安全性に欠く操作を実施できる。
したがって、獲得されるDHCPオファーを不正なDHCPサーバから供給することにより、ハッカーは、実質的にあらゆる目的のためにあらゆるホストまたはサーバに被害者を誘導できる。そして、盲目的に不正なDHCPオファー応答を受け入れることによって、顧客はそれにしたがってネットワークトラフィック全体をそのようなあらゆるハッカーや極悪な団体により管理され、追跡され、そして操作されることになる。
したがって、悪意のあるDHCPサーバからクライアント側で防御できる信頼できる手段をネットワーククライアント端末で提供する必要がある。
本明細書で言及した全ての刊行物、特許および特許出願は、個々の刊行物、特許、または特許出願が具体的であるかのように同程度に、本明細書に参考として援用かつ個別に参考として援用されるように示されている。
本発明の新規な特徴は、添付の特許請求の範囲に詳細に記載されている。本発明の特徴および利点のより良い理解は、記載の本発明の原理が利用される例示的な実施形態を、以下の詳細な説明を参照することによって得られるであろう。
図1に本実施例におけるシステムと方式を示すべく構成変更可能なDHCP防御モジュールに関するブロック図を示す。 図2に本実施例におけるシステムと方式を示すべく構成変更可能な保護端末に対応できる環境システムを図示する。
本発明は、ネットワークセキュリティを向上するためのシステムと方式に関し、より詳細には、DHCPオファーの妥当性を評価するための方法およびプロセスに関する。本明細書に記載の本発明の種々の態様を以下に記載する特定のアプリケーションのいずれにも適用可能である。本発明の異なる態様をまとめて、個別に評価されて、又は互いに組み合わせにすることができることとする。
本発明によるダイナミック・ホスト・コンフィグレーション・プロトコル(DHCP)を用いたネットワーククライアント端末を示す。図1では、DHCP防御モジュール(100)が組み込まれたネットワーククライアント端末によって構成可能なシステムと方式を実装する一実施例を示す。本明細書で参照されるネットワーク・クライアント端末は、DHCPを使用することにより、例えばネットワーク接続用に構成することができる任意のネットワーク接続デバイスを含むことができ、これにはコンピュータネットワークや他の通信ネットワークと通信可能なあらゆる端末が含まれ、例えば移動型、セルラー型、または「スマート」携帯端末(例:iPhone, BlackBerry, Android, Treo)があり、ワイヤレス電子メール端末といったワイヤレス端末や、タブレットやPalmやWindows(登録商標) CE端末を基にしたパーソナル・デジタル・アシスタント(PDA)端末がある。端末にはさらにネットワーク・ハードウェア機器が含まれ、これには中継あるいは他のネットワーク制御端末たとえばネットワークサーバ、ルータまたはスイッチが含まれ、ここに記載する方式とシステムを実装すべく構成可能である。
本明細書で参照されるネットワーク・クライアント・デバイスは、プロセッサとオペレーティングシステム(OS)およびネットワークスタックの実装を格納することができるメモリを有することができる。これは、ネットワーククライアント装置のメモリが非リムーバブルメモリや着脱可能なメモリを含み得ることを理解されたい。非リムーバブルメモリはRAM、ROM、ハードディスク、または他の周知のメモリ・ストレージ技術で構成できる。着脱可能なメモリは 、GSM(登録商標)通信システムで知られている加入者識別モジュール(SIM)カードや、他の周知のメモリ記憶技術として”スマートカード”またはフラッシュメモリと基にしたメモリから構成されてもよい。
ネットワーク・クライアント・デバイスは、ネットワーク・クライアント・デバイスで送受信されるネットワークパケットの要求と応答を処理するネットワーク・スタック(102)を含むことができる。これは、ネットワーク・クライアント・デバイスのネットワーク・スタック(102)はIPv4またはIPv6プロトコル、またはその両方を実装してもよいことと理解され、本発明は、IPv4またはIPv6プロトコルのいずれかもしくは両方を使用して不正なDHCPサーバに対して防御するように構成できる。さらに、いくつかの実施形態では、DHCP防御モジュールが直接DHCPプロトコルを実装したり、DHCPの直接的な機能を提供しないかもしれないが、それは潜在的に非合法DHCPオファーと潜在的に正当なDHCPオファーを区別しようとしないことが理解されなければならない。
いくつかの実施形態において、ここにおいて説明されるシステムおよび方法は、物理層(101)とネットワーク・スタック(102)の論理層との間の中間層(シム)として実装できる。いくつかの実施形態では、DHCP防御モジュール(100)は、代わりに個別のモジュールで、ネットワークスタックソフトウェアに又はOSに統合されてもよい。いくつかの実施形態では、DHCP防御モジュール(100)は、その製品の特徴の一つ又は成分として、ファイアウォール、侵入検知システム、侵入防止システム、又は同様のセキュリティ製品に統合することができる。いくつかの実施形態では、DHCP防衛モジュール(100)は、離散から、または直接組み込む、クライアントデバイス内の1つまたは複数のネットワークインタフェースコントローラ(NIC)に、ハードウェアに実装されてもよい。他の実施形態も可能である。
受信機ロジックモジュール(103)によって、本発明の一態様では、着信パケットを調べてもよいし、さらなる処理のために分類してもよい。パケットは、受信機ロジックモジュール(103)によってネットワークトラフィックが傍受され、ネットワークスタックの論理層(102)と物理層(101)との間のインバウンドおよびアウトバウンドの両方向にDHCPパケットを調べてもよい。
例えば、物理層(101)からくるインバウンドパケットは一つまたはそれ以上の受信機ロジックモジュール(103)を通ることによりパケットがIPパケットかどうか、UDPパケットかどうか、保護される端末に向けられているのかどうか、DHCPオファーパケットかどうか、既に受信したオファーの複製かどうか、さらにはパケットがブラックリストに登録されているかを判定できる。いくつかの実施例においては、インバウンドパケットが保護される端末へのDHCPオファーではない場合、通常処理のためにネットワークスタック(102)に転送される。いくつかの実施例においては、インバウンドパケットが保護される端末へのDHCPオファーである場合、パケットは一時保管プール(105)に置かれる。
ネットワーククライアント端末は、DHCPサーバがネットワーク上にいくつ存在するか事前にわからないことがあり、いくつのオファーを受信することを予測すべきかもわからない。また、ネットワークの状態が変化するなかでオファーを受信するまでに必要な時間もわからない。従って、有効なオファーすべてが到来したかを判断することが困難となる。一実施例によると、保護される端末が最初のDHGP発見パケットの発信する時にタイマー(106)を起動する。タイマー(106)は、一定の時間間が経過した時点で無効になるように設定することができ、または、構成情報によって指定された時間間隔にて動作するよう設定することができる。例えば、タイマーは利用者によって制御することができ、または中央管理とサービス局(230)から制御できる。タイマー(106)が動作中に到来したオファーはDHCP推奨候補保管プール(105)に保管できる。一実施例によると、タイマーが無効になるとき、全てのオファーが到来したとみなされ、採点プロセスが始まる。
実施例によると、再ロード可能なタイマーがタイマー(106)に利用できる。そのタイマーは、上述のように最初のDHCP発見パケットが発信された時に起動する。また、タイマーは上述のように固定値あるいは設定可能な値をもつことができる。DHCPオファーパケットを受信した際にもしまだタイマーが無効になっていない場合、タイマーは初期値にリセットされる。もし、追加のオファーを受信せずにこの再ロード可能なタイマーが無効になった場合、有効なすべてのオファーを受信したとみなす。
実施例によると、送信演算処理部(104)は、もしタイマー(106)が動作中のときに追加のDHCP発見リクエストを送信することから保護対象端末を防ぐことができる。これにより、DHCP防御モジュール(100)は重複したDHCPオファー応答を受信することを防ぐことに貢献できる。
一旦全てのDHCPオファーを受信して保管プール(105)に集まったと判断すると、採点部(107)は各オファーを評価して、オファーの属性値そして/またはそれらのオファーが発信された場所に基づいて点数を付ける。すると、DHCP防御モジュール(100)は、採点されたDHCPオファーから選択されたオファーを通常の処理のためにネットワークスタックに転送する。実施例によると、選択されなかった全てのDHCPオファーは無視されたりそのまま破棄されたりすることにより、保管プール(105)が空にされる。もし選択されたそのオファーが唯一のオファーである場合、標準のDHCP手順に基づいてクライアント端末のネットワーク設定を完了する。
一実施例によると、採点部(107)はDHCPオファーの一つもしくはそれ以上の属性に基づいて各DHCPオファーに点数を設定する。実施例によると、各属性は採点のための演算において独立して利用され、また各属性は演算アルゴリズムにおける重要度に基づいて重み付けがされることがある。例えば、採点部(107)は、受信した各DHCPオファーに関連して次の一つあるいは複数の特徴について配慮したアルゴリズムに基づいて採点できる。即ちそれは、クライアントIPアドレス、サブネットマスク、DHCPサーバのIPアドレス、DHCPサーバのMACアドレス、DHCPサーバのMACアドレスにOrganizationally Unique Identifier (「OUI」)の存在するかあるいはその値、一つもしくは複数のDNSサーバのIPアドレス、またはネットワークゲートウェイのIPアドレスがある。この場合、たとえば採点部(107)はDHCPサーバのIPアドレスに関連した点数により高い重み付けをする一方、クライアントIPアドレスに関連した点数について低い重み付けするアルゴリズムを使うことができる。従って、採点部(107)はまず最初に考慮すべき各属性について点数を算出し、それに続いて、各属性に設定された重み付けが反映された方程式に基づいてそれらの点数の合算することができる。最終的に合算した重み付け反映済み点数がそのDHCPオファーに対応付けられる。採点部(107)は受信した全てのDHCPオファーに対して同様の演算をする。実施例によると、DHCPオファーに関連づけられた属性について、例えば属性リスト(110)に含まれる一つまたは複数の属性に対してクロス・チェックすることがある。
実施例によると、採点部(107)はDHCPオファーの属性が潜在的に信用のおける発信元かどうかを特定できるかによって重み付けをして祭典することがある。例えば、OUIがDHCPオファーの発信元の第2層MACアドレスに含まれるかを採点部(107)は判定し、有効なOUIに関連付けられたDHCPオファーにより高い採点をできることがある。実施例によれば、DHCP防御モジュール(100)は特定のメーカや他の同様の情報をOUIから特定したり抽出したりできる。これにより、採点部(107)はメーカが特定可能か、そして/あるいは特定されたメーカについてDHCPオファーが有効的に発信された信用のおける発信元として扱えるかどうかによって、OUI属性に対して高い点数あるいは低い点数を設定できる。例えば、もし、あるDHCPオファーのOUIが信用のおけるネットワーク機器メーカに付与されたと知られている場合、そういったネットワーク機器から受信したDHCPオファーはモバイル機器から受信したオファーの場合と比較してより有効であることから、そのOUI属性に対応したDHCPオファーの点数は高いことがある。
実施例によると、DHCPオファーに含まれるネットワーク構成情報に基づいてDHCPオファーが採点されることがある。例えば、ネットワーク構成情報に含まれているネットワークのゲートウェイアドレスがネットワーク上のいずれのDNSサーバのIPアドレスとも等しくないかに基づいて、DHCPオファーが採点されることがある。ネットワークによっては、そのネットワークのためのDNSサーバがネットワークパケットのルーティングの責任をもつアクセスポイントではないことが典型であり、そのような性質の存在が潜在的に悪意を示すことがある。実施例によっては、もし関連したネットワーク構成情報にDNSサーバのアドレスがたった一つだけ提供されている場合に、それがまた別の潜在的な悪意をもつ環境を示しているとして、DHCPオファーについて低く採点することがある。
実施例によれば、DHCP防御部(100)は一つまたは複数の属性リストを保持して利用するように設定でき、その保管されている属性リスト(110)はDHCPオファーに関連する特定の属性値を維持できる。実施例によると、一つあるいは複数の保管属性リスト(110)は承認されたかあるいは許可された属性値や、拒絶されたかあるいは不安全とされた属性値のリストが含まれている。実施例によると、保管属性リスト(110)は属性について唯一の特定の型として設定されていたり、属性に対して特に許可された値のリストが提供されることがある。同様に、保存属性リスト(110)は、特定の属性の型について、制限されたか、不安全とされたか、あるいは信用できないとされた値を保管するよう設定できる。実施例によると、信用できる発信元を示す保管属性リストにあるか、または信用できない発信元を示す保存属性リストにあるかによって、それぞれ特定の属性に対してより高い点数や低い点数を付与できる。
例えば、DHCP防御モジュールは保管属性リスト(110)を利用し、それには許可可能な、あるいは信用できるOUIの一覧が含まれていて、さらに、信用できないOUIの一覧が含まれる保管属性リスト(110)を維持する。実施例によると、DHCPオファーは、それに関連したOUIが信用できるOUI保管属性リスト(110)に一つもしくは複数存在する場合にのみ選択可能なオファーとして有効とされる。例えば、既知のルータやアクセスポイントの機器メーカの一覧といったように、信用しうる製造元の保管属性リストにDHCPオファーのOUIが含まれていることを必須とすることで、それ以外のものはオファーとして選択できないようにする。さらなる例として、採点部(107)はDHCPオファーのOUIが信用可能なもしくは信用できない保存属性リスト(110)にあるかによってより高い点やより低い点を付与すると共に、いずれの保存属性リストにもその関連するOUIが見つからない場合においても、オファーとして選択しうる。実施例によれば、OUI属性は、一つもしくは複数の保存属性リスト(110)に保存されることができるいくつかの属性の一つであり、DHCPオファーをランキングする目的で重み付けをするために利用できる。
保存属性リスト(110)は、ネットワーク装置のメモリに記憶することができるか、または設定ファイルまたはその他の永続的な媒体から読み取られてもよいことを理解すべきである。実施例によれば、保存属性リスト(110)は、それぞれのシステム環境(200)に関連したサービス局(230)のような外部の手段により更新できる。
実施例によると、受信した複数のDHCPオファーから一つの最良のDHCPオファーを選択する段階において、最適ではない「最良の」オファーを選択することがあり得る。例えば、もし保護される端末が常に固定された採点ルールに基づいて最良のオファーを選択する場合、ハッカーはそういったルールについて推論し、それらに対して適切な攻略を企てる。さらに、悪意をもつDHCPサーバがうっかり設置されていた企業ネットワークにおいては、悪意をもつDHCPサーバの方が正当なサーバによるオファーよりも高く採点される場合があり得る。
実施例によると、採点部(107)は、単に最高得点を得たオファーを選択するのではなく、受信したオファーのなかからランダムに選択してそれを最良のオファーとすることもある。実施例によれば、採点部(107)は、オファーが選択される確率が採点部(107)からの点数に比例することができるように、ランダム比例選択するアプローチをとることがある。例えば、保護された端末が点数が8のオファーAと、点数が24のオファーBの2つのオファーを受信したとする。このとき、オファーAが選択される確率8/(8+24)即ち0.25と、オファーBが選択される確率0.75に基づいて最良なオファーをランダムに選択することが有効な場合がある。
これにはいくつかの利点がある。第一に、選択プロセスに予測できない要素を追加することによって、機構や採点の重み付けなどを推測するために、ハッカーが本発明により保護された端末の動作について学習することがより困難になる。第二に、コードのリバース・エンジニアリングやネットワークのトラフィックに関する学習や他の学習をいかにハッカーが実施しようと、ある特定のオファー属性のセットにより確実に最良とされることを保証できない。第三に、もし、システム環境(200)におかれて保護された端末が、与えられた状況にてすべて同一の動作をしない場合、このランダム選択により得られたそれぞれ異なる結果をサービス局(23)にて科学鑑定技術(例えば、DHCPプロセス直後にDHCPプロセスとネットワーク上のパケットを分析すること)をつかって比較できる。これらの科学鑑定結果はオファー属性に対する重み付け効果を向上させるために用いることができ、新たなオファー属性を分析するために付与したり、DHCPの乗っ取りハイジャックや他の種類の攻撃に対して全く新たな防御策を開発できる。このアプローチが上述したこれらの利点の例を超えてさらなる利点を提供しうることを理解すべきである。
図2は、本実施例に基づくシステムと方式により構成されて保護された端末をサポートすべく構成されたシステム環境(200)を図示している。システム環境(200)は、特定の管理、構成そして/あるいはアグリゲーション・サービスを提供可能な一つあるいは複数の中央サービス局(23)が含まれる。実施例によれば、システム環境(200)はただ一つの分離されたネットワークに対応する。実施例によれば、システム(200)は複数のネットワークにわたり保護された端末を包含し、保護された端末がその同じシステム環境(200)の範囲内に留まりつつも一つのネットワークから他のネットワークに移ることができる。実施例によれば、保護された端末は同一のシステム環境(200)の一部にある複数のネットワークに同時に接続できる。例えば、ここに記載したモバイル端末(210)は、セルラネットワーク(25)と802.11無線ネットワーク(260)の両方に接続するように構成でき、モバイル端末(210)は本明細書に記載のそれぞれのネットワークへの接続を通じて、さらに本明細書に記載するサービス局(230)を介してシステム環境(200)に参加できる。
実施例によれば、システム環境(200)は、ネットワークに参加しているいくつかの端末のみが本明細書記載のシステムと方式を実装するよう構成されている場合も包含する。例えば、802.11無線ネットワーク(260)上に本明細書記載のセキュリティ保護の構成がなされておらずシステム環境(200)に参加していないラップトップ端末(220)が含まれていることがある。実施例によれば、ここで参照されたネットワーククライアント端末は、本明細書に記載されたシステムと方式が実装されているもののシステム環境に全く接続していないことがある。
実施例によれば、システム環境(200)にあり保護された端末は、同様あるいは同一の採点方法を実行するよう構成されていることがある。例えば、いくつかの実施例によれば、システム環境(200)における全ての保護された端末がDHCPオファーをランダム比例で選択するよう設定されていることがある。実施例によれば、システム環境(200)における保護された端末はランダム比例によりDHCPオファーの選択をするよう設定されていることがあり得、あるいは端末はランダム比例による選択を定期的にのみ実行することがある。例えば、ある保護された端末において、複数のオファーを受信する際におそらく5つのうち1つについてランダム比例による選択を用いて、それぞれ5つのうち4つについては最高得点に基づく決定論的手法に基づく選択をする。実施例によると、どの端末がランダム比例に基づく選択をしなくてはならないかは、サービス局(230)を介して設定することがある。
実施例によれば、最良のオファーが選択されたときに、劣る全てのオファーを破棄することに加えて、それらの劣るオファーそれぞれの送信元を送信演算処理部(104)によりブラックリスト(108)に追加することがある。ブラックリスト(108)は、特段DHCPに関連しない他の種類の攻撃からネットワーククライアント端末を保護するために用いられる。DHCPオファーの送信元が敵意のある送信元と一旦判断されると、同じ送信元からの他の種類のトラフィックについても敵意があるといえる。
実施例によれば、保管プール(105)に複数のDHCPオファーを挿入することにより、それらのオファーに関して記録しかつ関連した全てのネットワークパケットをログファイル(109)に記録する処理を起動する。ログファイル(109)は定期的に回収でき、システム環境(200)にある例えばサービス局(230)といった管理部により分析でき、採点や他の処理部の動作を統括するパラメータを改善し、ひいては向上された安全性を提供する。
ログファイル(109)は、後の収集と活用のために数々の種類の情報を記録するために使われる。例えば、特筆すべきイベントや行為のログ記録はログファイル(109)に記録でき、採点部(107)が(DHCP乗っ取りハイジャック行為が試されたことを示す)複数の競合するオファーを受信したことを判断した行為や、あるいは採点部(107)が特定のオファーを選択して他のオファーを破棄する行為がある。実施例によれば、イベントと行為はそれぞれで受信した点数についての情報と共にログ記録される。特定のネットワーク動作についても、全体あるいは一部についてログファイル(109)に記録されることがある。例えば、もし複数のDHCPオファーが受信された場合、各オファーに関する実際のIPパケットが一部あるいはそれら全体について記録できる。実施例によれば、各DHCPオファーのIPパケット全体がログファイル(109)に記録でき、もし破棄したオファーを発信したネットワークホストから追加でパケットを受信した場合には、それらのネットワークパケットについても部分的に記録されることがある。これは、ハッカーがまず被害者に対してDHCPによる乗っ取りハイジャックを試みてそれが失敗した場合に、その後、他の攻撃を仕掛けてきた場合に対して役立つことがある。その後のパケットの部分を記録することにより、同様の状態でハッカーがとるであろう次の手段を断定することが可能になる。
実施例によると、ログファイル(109)は目的とする端末の永続的ファイル保管システムに実在するファイルとして存在し、例えばフラッシュメモリや時期保存ドライブ、SDやMMCカード、またはいくつかの同様の種類の永続記憶上に存在しうる。他の実施例では、ログファイル(109)は端末の揮発性メモリのバッファ内、例えば、静的または動的メモリ上に存在しうる。他の実施例では、ログファイル(109)は従来の意味合いにおける実際のファイルとしては存在せず、ネットワークパケットのペイロード領域を構成するメモリブロック内に存在し得て、対応するネットワークヘッダフィールドやチェックサムなどを完成させてそのパケットを中央サービス局(230)に対してその他の中間的な保存形態が無い状態で単に送信することでログファイル(109)全体を送信できる。
いくつかの実施例によると、ログファイル(109)の内容は中央のサービス局(230)によってネットワーク端末から定期的に回収できる。例えば、ログファイル(109)が特定の大きさや最大あるいは設計上の容量に達したとき、あるいはいくつかの同様のしきい値を超えた場合、その保護された端末はログファイル(109)の内容を中央のサービス局(230)にプッシュ送信できる。他の実施例によれば、例えば攻撃を示す複数のDHCPオファーを受信した時やこういった攻撃が特定の件数発生した場合等、十分にクリティカルな状態と判断される状態になった場合には、保護された端末はログファイル(109)を中央のサービス局(230)にプッシュ送信できる。
いくつかの実施例によると、もし例えばネットワーク上に今、敵意のある機器が存在すると見受けられるなどの場合、保護された端末は中央のサービス局(230)への情報通信を遅らせることを選択することがある。こういった場合、保護された端末は、その端末自身がその潜在的に侵入を受けたネットワークから他の安全なネットワークに移るまで通信を遅らせることがある。例えば無線ローカル・エリアネットワークとセルラ広域ネットワークといったように、もし保護された端末が複数のネットワークに参加できる場合、その保護された端末が一つのネットワークにおいて攻撃の試みが発生したことを検出すると、もう一方のネットワークにある中央のサービス局(230)に連絡することを選ぶことがある。
いくつかの実施例によると、クライアント端末の利用者は、潜在的に敵意のあるDHCPオファーについて通知を受けたり、最良なDHCPオファーの選択処理に参加できる。例えば、一時保管プール(105)にて複数のDHCPオファーパケットを受信した場合、ネットワーク端末の利用者は端末の一つあるいは複数のユーザ・インターフェースを介して通知を受けることがある。これには端末の表示、スピーカーそして/あるいはバイブレータが利用される。これによって、利用者は潜在的に敵意のあるネットワーク上の行為について知らされることができ、同時にネットワークに接続することを拒否する機会も与えられる。いくつかの実施例では、複数のDHCPオファーについてユーザ・インターフェース手段を介して端末の利用者に提供して、さらに受信したDHCPオファーから利用者によって手動で選択することを許可できる。
本明細書記載のシステムと方式はネットワークセキュリティのインフラやシステム環境(200)において数々の利用目的のために有効であることを理解すべきである。例えば、本発明による保護された複数の端末が一つあるいは複数のログファイル(109)を中央のサービス局(230)に発信するとき、それは事実上その中央のサービス局(230)と通信する保護された端末による一つのシステム環境(200)を形成する。中央のサービス局(230)へのそれら端末による参加によって、参加する全ての端末での防衛能力が効果的に向上することになる。さらに、例えば、多数の保護された端末からログファイル(109)を入手することによって、中央のサービス局(230)は数多くのネットワーク環境下において付与された点数を分析でき、その結果、他の採点パラメータや重み付けが参加する全ての保護された端末をより効果的に保護することにつながるかを判断できる。
多くのDHCPサーバをネットワーク管理者によって広い範囲で構成管理できる。状況によっては、正当なDHCPサーバがネットワーク上のクライアントに対してDNSサービスをも提供することがあり、DHCPオファーの一部としてDNSサーバのアドレスをただ一つだけ記載するようにできる。採点部の実装に関連して、こういったサーバでは他のDHCPサーバと比較して低く採点することがあり、ハッカーにより容易に破られることになる。しかしながら、これらサーバの他の属性(例えば発行されるIPアドレスの範囲、それら自身のIPアドレス、あるいはそれらの応答時間)を利用することにより、ここで算出されるこれらのDHCPオファーに対する採点を改善できる。採点属性の重み付けを調整することにより、サービス局(230)の実装はこれらのサーバを正当なサーバとして選択する可能性を向上させ、これらの正当なサーバに対して競合するハッカーを拒絶できる。こういった動作により、調整されたこれらの重み付けがシステム環境(200)下にある保護されたすべての端末に配布された場合、そのシステム環境(200)全体にとって利益となる。
他の例として、もしサービス局(230)が特定のメーカー製の正当なDHCPサーバから受信した全てのオファーについて、そのサーバ自身が付与した唯一のDNSサーバのアドレスを提供しかつ、その同じメーカのMACアドレスが有効なOUIを含むことを発見した場合、そのOUIは許可済みOUIとして内部リストに追加でき、端末の比較点数を向上できる。実施例によれば、サービス局(230)により維持されるこのリストは、システム環境(230)にあるすべての端末に配布されることにより、推奨される本発明の共同利用に基づいてシステム環境(200)全体により強固な保護を提供する。
本明細書記載の方式は、たとえばサービス局(230)レベルで処理されることができるといったように、ネットワークのトラフィックに関する特定の科学鑑定分析をする上で価値を提供する。たとえば、潜在的な攻撃を検出したときに、その後のネットワークパケットの内容をその後の分析のためにログファイル(109)に記録できる。一つもしくは複数のログファイル(109)は数々の端末からサービス局(230)に回収され、手作業あるいは自動化されたツールあるいはそれらの両方の組み合わせによってネットワークの挙動パターンを明らかにできる。例えば、DHCP乗っ取りハイジャックが企てられた際のオファーについて、それを発信した端末が特定の製造メーカそして/あるいは型番であることをOUIが指し示しているなど、DHCPオファーから共通の要素やパターンを見出すことがあり得る。あるいは、企てられた乗っ取りハイジャックに関するいくつかのオファーから、それが特定の日付や、特定の地域で特定の時間帯、もしくは特定の種類のネットワーク(例えば特定の小売店により運営されている加盟店舗にある無料WiFiネットワーク)で作成されたことが判明することがあり得る。たとえば法の執行機関やDHCP乗っ取りハイジャックや他の種類の攻撃に対する防衛を向上させることなど、こういった科学鑑定情報はハッカーの場所を特定したり見分けるために非常に貴重になりうる。
本発明の好ましい実施形態を図示し説明したが、このような実施形態は単なる例として提供されていることは当業者には明らかであろう。多くの変形、変更、および置換が、本発明から逸脱することなく当業者には想起されるであろう。なお、本明細書に記載された本発明の実施形態に対する様々な代替が本発明を実施する際に用いることができることを理解すべきである。なお、以下の特許請求の範囲は本発明の範囲を定義し、これらの請求項およびその均等物の範囲内の方法及び構造は、それによって網羅されることが意図されている。

Claims (28)

  1. ネットワーククライアント端末の安全性向上のための計算機実装方法であって、
    ネットワーク構成情報の要求に対する一つあるいは複数の応答を受信することと、
    それぞれの応答を採点することと、
    最良の応答を選択することと、
    前記最良の応答を前記ネットワーククライアント端末のネットワークスタックに供給すること、とを含む計算機実装方法。
  2. 請求項1に記載の計算機実装方法において、一つあるいは複数の応答を受信することが、設定可能な時間にわたって応答を受信し、かつ受信した応答を記憶することを含む、計算機実装方法。
  3. 請求項2に記載の計算機実装方法において、一つあるいは複数の応答を受信することは、リセット可能なタイマに基づいて行うことを特徴とする計算機実装方法。
  4. 請求項1に記載の計算機実装方法において、受信した一つあるいは複数の応答がDHCPオファー応答であることを特徴とする計算機実装方法。
  5. 請求項1に記載の計算機実装方法において、前記ネットワーク構成情報がDHCPサーバにより提供される情報により構成され、
    その情報が、
    クライアントのIPアドレス、
    サブネットマスク、
    DHCPサーバのIPアドレス、
    DHCPサーバのMACアドレス、
    一つあるいは複数のDNSサーバのIPアドレス、および
    ネットワークゲートウェイのIPアドレス、のうちの一つあるいは複数を含むことを特徴とする計算機実装方法。
  6. 請求項1に記載の計算機実装方法において、応答を採点することは、それぞれの応答に埋め込まれている、あるいは関連する、一つあるいは複数の属性の全てあるいは一部に基づいて行うことを特徴とする計算機実装方法。
  7. 請求項6に記載の計算機実装方法において、それぞれの応答に埋め込まれている、あるいは関連する一つあるいは複数の属性は、
    クライアントのIPアドレス、
    サブネットマスク、
    DHCPサーバのIPアドレス、
    DHCPサーバのMACアドレス、
    DHCPサーバのMACアドレス内のOUIの存在および値の少なくとも一方、
    一つあるいは複数のDNSサーバのIPアドレス、および
    ネットワークゲートウェイのIPアドレス、のうちの一つあるいは複数に該当することを特徴とする計算機実装方法。
  8. 請求項1に記載の計算機実装方法において、応答の採点は、それぞれの応答に関連するDHCPサーバに関連する一つあるいは複数の属性に基づくことを特徴とする計算機実装方法。
  9. 請求項8に記載の計算機実装方法において、属性値が記憶された属性リストに存在するか否かに基づいて属性を採点することを特徴とする計算機実装方法。
  10. 請求項1に記載の計算機実装方法において、応答の採点が、応答を受信する順序に全てあるいは一部基づくことを特徴とする計算機実装方法。
  11. 請求項1に記載の計算機実装方法において、応答の採点が、ネットワーク構成情報の要求を発信してからネットワーク構成情報に関する応答を受信するまでに経過した時間に全てあるいは一部基づくことを特徴とする計算機実装方法。
  12. 請求項1に記載の計算機実装方法において、最良の応答は、応答の得点に基づいて選択されることを特徴とする計算機実装方法。
  13. 請求項12に記載の計算機実装方法において、最良の応答は、最高得点をもつ応答であることを特徴とする計算機実装方法。
  14. 請求項12に記載の計算機実装方法において、最良の応答は、重み付けをしたランダム選択に基づいて、受信した一つあるいは複数の応答からランダムに選択されることを特徴する計算機実装方法。
  15. ネットワーククライアント端末の安全性を実装するためのシステムであって、
    プロセッサと、
    前記プロセッサに結合されたメモリを備え、
    前記メモリは、プロセッサで実行可能なプログラム命令を保持し、
    前記命令は、
    ネットワーク構成情報の要求に対する一つあるいは複数の応答を受信することと、
    それぞれの応答を採点することと、
    最良の応答を選択することと、
    前記ネットワーククライアント端末のネットワークスタックに前記最良の応答を供給することを含むことを特徴とするシステム。
  16. 請求項15に記載のシステムにおいて、一つあるいは複数の応答を受信することが、設定可能な時間にわたって応答を受信し、かつ受信した応答を記憶することを含むシステム。
  17. 請求項16に記載のシステムにおいて、一つあるいは複数の応答を受信することは、リセット可能なタイマに基づいて行うことを特徴とするシステム。
  18. 請求項15に記載のシステムにおいて、受信した一つあるいは複数の応答がDHCPオファー応答であることを特徴とするシステム。
  19. 請求項15に記載のシステムにおいて、ネットワーク構成情報がDHCPサーバにより提供される情報により構成され、
    その情報が、
    クライアントのIPアドレス、
    サブネットマスク、
    DHCPサーバのIPアドレス、
    DHCPサーバのMACアドレス、
    一つあるいは複数のDNSサーバのIPアドレス、および
    ネットワークゲートウェイのIPアドレス、のうちの一つあるいは複数を含むことを特徴とするシステム。
  20. 請求項15に記載のシステムにおいて、応答を採点することは、それぞれの応答に埋め込まれている、あるいは関連する一つあるいは複数の属性の全てあるいは一部に基づいて行うことを特徴とするシステム。
  21. 請求項20に記載のシステムにおいて、それぞれの応答に埋め込まれている、あるいは関連する一つあるいは複数の属性は、
    クライアントのIPアドレス、
    サブネットマスク、
    DHCPサーバのIPアドレス、
    DHCPサーバのMACアドレス、
    DHCPサーバのMACアドレス内のOUIの存在および値の少なくとも一方、
    一つあるいは複数のDNSサーバのIPアドレス、および
    ネットワークゲートウェイのIPアドレス、のうちの一つあるいは複数に該当することを特徴とするシステム。
  22. 請求項15に記載のシステムにおいて、応答の採点は、それぞれの応答に関連するDHCPサーバに関連する一つあるいは複数の属性に基づくことを特徴とするシステム。
  23. 請求項22に記載のシステムにおいて、性値が記憶された属性リストに存在するか否かに基づいて属性を採点することを特徴とするシステム。
  24. 請求項15に記載のシステムにおいて、応答の採点が、応答を受信する順序に全てあるいは一部基づくことを特徴とするシステム。
  25. 請求項15に記載のシステムにおいて、応答の採点が、ネットワーク構成情報の要求を発信してからネットワーク構成情報に関する応答を受信するまでに経過した時間に全てあるいは一部基づくことを特徴とするシステム。
  26. 請求項15に記載のシステムにおいて、最良の応答は、応答の得点に基づいて選択されることを特徴とするシステム。
  27. 請求項26に記載のシステムにおいて、最良の応答は、最高得点をもつ応答であることを特徴とするシステム。
  28. 請求項26に記載のシステムにおいて、最良の応答は、重み付けをしたランダム選択に基づいて、受信した一つあるいは複数の応答からランダムに選択されることを特徴するシステム。
JP2013179004A 2012-09-04 2013-08-30 動的に構成されるネットワークにおいて端末を防御する方法およびシステム Expired - Fee Related JP5878501B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/603,246 US8910282B2 (en) 2012-09-04 2012-09-04 System and method for protecting devices on dynamically configured network
US13/603,246 2012-09-04

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2015085147A Division JP2015212939A (ja) 2012-09-04 2015-04-17 動的に構成されるネットワークにおいて端末を防御する方法およびシステム

Publications (2)

Publication Number Publication Date
JP2014053004A true JP2014053004A (ja) 2014-03-20
JP5878501B2 JP5878501B2 (ja) 2016-03-08

Family

ID=49111018

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2013179004A Expired - Fee Related JP5878501B2 (ja) 2012-09-04 2013-08-30 動的に構成されるネットワークにおいて端末を防御する方法およびシステム
JP2015085147A Pending JP2015212939A (ja) 2012-09-04 2015-04-17 動的に構成されるネットワークにおいて端末を防御する方法およびシステム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2015085147A Pending JP2015212939A (ja) 2012-09-04 2015-04-17 動的に構成されるネットワークにおいて端末を防御する方法およびシステム

Country Status (3)

Country Link
US (1) US8910282B2 (ja)
EP (1) EP2704395A3 (ja)
JP (2) JP5878501B2 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9436620B2 (en) * 2013-03-05 2016-09-06 Google Inc. Methodology for detecting problematic connections with peripheral devices
US9021574B1 (en) * 2013-03-12 2015-04-28 TrustPipe LLC Configuration management for network activity detectors
US9191209B2 (en) * 2013-06-25 2015-11-17 Google Inc. Efficient communication for devices of a home network
US10506053B2 (en) * 2014-03-07 2019-12-10 Comcast Cable Communications, Llc Location aware security system
JP2016062232A (ja) * 2014-09-17 2016-04-25 株式会社リコー 情報処理システム、情報処理装置、プログラム及び情報処理方法
WO2016064930A1 (en) * 2014-10-21 2016-04-28 Proofpoint, Inc. Systems and methods for application security analysis
EP4155984A1 (en) 2014-10-31 2023-03-29 Proofpoint, Inc. Systems and methods for privately performing application security analysis
US10200342B2 (en) * 2015-07-31 2019-02-05 Nicira, Inc. Dynamic configurations based on the dynamic host configuration protocol
WO2017091744A1 (en) * 2015-11-25 2017-06-01 Lantronix, Inc. Bridging with web manager access
CN107547668B (zh) * 2016-06-24 2022-03-15 中兴通讯股份有限公司 报文处理方法及装置、dhcp服务器
US11075880B2 (en) * 2017-04-27 2021-07-27 Huawei Technologies Co., Ltd. Data service implementation method and apparatus, and terminal
US10389681B2 (en) * 2017-05-19 2019-08-20 Dell Products L.P. Auto discovery of network elements by defining new extension in DHCP options for management server IP addresses
CN110650070B (zh) * 2018-06-26 2021-12-03 九阳股份有限公司 一种家电设备网络配置方法以及WiFi模块
CN111431912B (zh) * 2020-03-30 2021-12-28 上海尚往网络科技有限公司 用于检测dhcp劫持的方法和设备
US11558277B2 (en) 2020-05-08 2023-01-17 Bank Of America Corporation System for generating and signing cryptographically generated addresses using computing network traffic
JP2023170691A (ja) * 2022-05-19 2023-12-01 株式会社日立システムズ アクセス制御システム、アクセス制御方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11154978A (ja) * 1997-11-21 1999-06-08 Komatsu Ltd ネットワークシステム及びdhcpサーバ選択方法
JP2001136194A (ja) * 1999-11-02 2001-05-18 Matsushita Electric Ind Co Ltd リモートアクセスサーバ装置
JP2004104199A (ja) * 2002-09-05 2004-04-02 Ricoh Co Ltd ネットワーク端末装置
US20050071480A1 (en) * 2003-09-30 2005-03-31 International Business Machines Corporation Method and system for restricting DHCP servers
US7200678B1 (en) * 2002-09-04 2007-04-03 Cisco Technology, Inc. Selecting network address offered by a plurality of servers based on server identification information
US7231660B1 (en) * 1999-11-25 2007-06-12 International Business Machines Corporation Method and system for preventing unauthorized server interference in an internet protocol network
JP2010533399A (ja) * 2007-07-11 2010-10-21 インターナショナル・ビジネス・マシーンズ・コーポレーション 最善のdhcpサーバを見出すためのルータの動的な構成
JP2010239591A (ja) * 2009-03-31 2010-10-21 Nec Corp ネットワークシステム、中継装置、およびネットワーク制御方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1073244A1 (en) 1999-07-29 2001-01-31 International Business Machines Corporation Method and system for monitoring dynamic host configuration protocol (DHCP) service in an internet protocol network
US7096495B1 (en) * 2000-03-31 2006-08-22 Intel Corporation Network session management
WO2005116851A2 (en) * 2004-05-25 2005-12-08 Postini, Inc. Electronic message source information reputation system
US7734632B2 (en) * 2005-10-28 2010-06-08 Disney Enterprises, Inc. System and method for targeted ad delivery
US8041785B2 (en) * 2007-01-17 2011-10-18 Microsoft Corporation Programmatically choosing a router configuration provider
US8189584B2 (en) * 2009-07-27 2012-05-29 Media Patents, S. L. Multicast traffic management in a network interface
US8560616B1 (en) * 2010-09-27 2013-10-15 Amazon Technologies, Inc. IP management for outbound E-mails

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11154978A (ja) * 1997-11-21 1999-06-08 Komatsu Ltd ネットワークシステム及びdhcpサーバ選択方法
JP2001136194A (ja) * 1999-11-02 2001-05-18 Matsushita Electric Ind Co Ltd リモートアクセスサーバ装置
US7231660B1 (en) * 1999-11-25 2007-06-12 International Business Machines Corporation Method and system for preventing unauthorized server interference in an internet protocol network
US7200678B1 (en) * 2002-09-04 2007-04-03 Cisco Technology, Inc. Selecting network address offered by a plurality of servers based on server identification information
JP2004104199A (ja) * 2002-09-05 2004-04-02 Ricoh Co Ltd ネットワーク端末装置
US20050071480A1 (en) * 2003-09-30 2005-03-31 International Business Machines Corporation Method and system for restricting DHCP servers
JP2010533399A (ja) * 2007-07-11 2010-10-21 インターナショナル・ビジネス・マシーンズ・コーポレーション 最善のdhcpサーバを見出すためのルータの動的な構成
JP2010239591A (ja) * 2009-03-31 2010-10-21 Nec Corp ネットワークシステム、中継装置、およびネットワーク制御方法

Also Published As

Publication number Publication date
EP2704395A2 (en) 2014-03-05
US20140068720A1 (en) 2014-03-06
US8910282B2 (en) 2014-12-09
JP5878501B2 (ja) 2016-03-08
EP2704395A3 (en) 2014-04-23
JP2015212939A (ja) 2015-11-26

Similar Documents

Publication Publication Date Title
JP5878501B2 (ja) 動的に構成されるネットワークにおいて端末を防御する方法およびシステム
US10084791B2 (en) Evaluating a questionable network communication
US10382436B2 (en) Network security based on device identifiers and network addresses
Pa et al. IoTPOT: A novel honeypot for revealing current IoT threats
Beitollahi et al. Analyzing well-known countermeasures against distributed denial of service attacks
Kargl et al. Protecting web servers from distributed denial of service attacks
Jafarian et al. Spatio-temporal address mutation for proactive cyber agility against sophisticated attackers
US11902320B2 (en) Moving target defense systems and methods
KR20160044524A (ko) 의문스런 네트워크 통신 평가
Ghafir et al. Tor-based malware and Tor connection detection
Gilad et al. Off-Path Attacking the Web.
US10397225B2 (en) System and method for network access control
JP2009504099A (ja) IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法
Hudaib et al. DNS advanced attacks and analysis
Jeyanthi Internet of things (iot) as interconnection of threats (iot)
Nirmal et al. Maximizing online security by providing a 3 factor authentication system to counter-attack'Phishing'
JP6780838B2 (ja) 通信制御装置及び課金方法
Singh et al. A detailed survey of ARP poisoning detection and mitigation techniques
US9712556B2 (en) Preventing browser-originating attacks
Goncalves et al. WIDIP: Wireless distributed IPS for DDoS attacks
Antrosiom et al. Malware defense using network security authentication
Tiwari et al. Alternative (ab) uses for {HTTP} Alternative Services
Abu‐Nimeh et al. Circumventing security toolbars and phishing filters via rogue wireless access points
Ouseph et al. Prevention of MITM attack caused by rogue router advertisements in IPv6
Lindqvist et al. Protecting privacy with protocol stack virtualization

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140903

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141202

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20141217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150417

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20150616

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20150731

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160128

R150 Certificate of patent or registration of utility model

Ref document number: 5878501

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees