JP4083747B2 - DoS攻撃の検出及び追跡を行うシステム及び方法 - Google Patents
DoS攻撃の検出及び追跡を行うシステム及び方法 Download PDFInfo
- Publication number
- JP4083747B2 JP4083747B2 JP2004565594A JP2004565594A JP4083747B2 JP 4083747 B2 JP4083747 B2 JP 4083747B2 JP 2004565594 A JP2004565594 A JP 2004565594A JP 2004565594 A JP2004565594 A JP 2004565594A JP 4083747 B2 JP4083747 B2 JP 4083747B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- attack
- initialization
- acknowledgment
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Description
[技術分野]
本発明は、一般にDoS攻撃を処理するコンピュータ化されたシステム及び方法に関し、より詳細には、攻撃の検出及び攻撃元の探知に関する。
[著作権通知/許可]
本特許文献の開示の一部は、著作権保護に従うコンテンツを含む。著作権所有者は、それが特許庁の特許ファイルまたはレコードに開示されたときには、何れの人による当該特許文献及び特許開示のファクシミリによる再生に異論はないが、そうでない場合には、すべての特許権を留保する。「Copyright 2002,Intel Corporation.All Rights Reserved」の告知は、以下及び図面に開示されるソフトウェア及びデータに適用される。
[背景]
ビジネス及び個人的理由の両方に対するコンピュータネットワーク、特にインターネットの利用は、急激なペースで成長し続けている。例えば、ユーザはビジネス及び個人的通信、商取引及びあらゆる種類の情報の配布及び収集に対して、インターネットにますます依存しつつある。しかしながら、この依存性の増大により、ネットワークの機能停止により生ずる損害に対する脆弱性もまた増大している。
本発明は、一般にDoS攻撃を処理するコンピュータ化されたシステム及び方法に関し、より詳細には、攻撃の検出及び攻撃元の探知に関する。
[著作権通知/許可]
本特許文献の開示の一部は、著作権保護に従うコンテンツを含む。著作権所有者は、それが特許庁の特許ファイルまたはレコードに開示されたときには、何れの人による当該特許文献及び特許開示のファクシミリによる再生に異論はないが、そうでない場合には、すべての特許権を留保する。「Copyright 2002,Intel Corporation.All Rights Reserved」の告知は、以下及び図面に開示されるソフトウェア及びデータに適用される。
[背景]
ビジネス及び個人的理由の両方に対するコンピュータネットワーク、特にインターネットの利用は、急激なペースで成長し続けている。例えば、ユーザはビジネス及び個人的通信、商取引及びあらゆる種類の情報の配布及び収集に対して、インターネットにますます依存しつつある。しかしながら、この依存性の増大により、ネットワークの機能停止により生ずる損害に対する脆弱性もまた増大している。
悪意あるユーザがこの脆弱性を利用する方法の1つは、DoS(Denial−of−Service)攻撃を通じたものである。DoS攻撃は、システムがもはや正当なリクエストをタイムリーに処理することが不可能となる程の大量のデータにより繰り返しシステムを標的にすることにより、インターネットなどのネットワークに接続されるシステムの過重負荷またはクラッシュを発生させようとするものである。実際、Dos攻撃は、システムをそれがクラッシュする程度まで圧倒することが可能である。このような攻撃は、その犠牲者が攻撃元を特定するのに時間を要する必要があるため、経済的な損害を発生させ、犠牲者に攻撃が行われなかった場合に得られる販売を損失させるかもしれない。
時間の経過と共に、DoS攻撃はより巧妙化してきている。これの一例は、分散DoS(DDoS)があげられる。初期のDoS攻撃は、典型的には、1つのシステムから行われていた。DDoS攻撃では、複数のシステムを用いて、標的となるシステムにリクエストをあふれさせる。しばしばこのDDoSに加わるシステムは、攻撃を行うウイルスにシステムが感染する場合と同様に、自らが参加していることを認識さえしていない。
DoS及びDDoS攻撃により生じる損害を軽減するため、このような攻撃を早期に検出すると共に、その攻撃元を探知することが望ましい。しかしながら、攻撃が複数の攻撃元から行われる場合、現在の検出システムがこの攻撃を複数の攻撃元まで追跡することは困難である。
上記問題点を鑑み、本発明による技術が必要とされる。
[詳細な説明]
以下の本発明の実施例の詳細な説明では、それの一部を構成する添付された図面が参照され、図解により本発明が実現される具体的実施例が示される。これらの実施例は、当業者が本発明を実現することを可能にするのに十分詳細に説明され、他の実施例が利用可能であり、本発明の範囲から逸脱することなく、論理的、機械的、電気的及び他の変更が可能であるということは理解されるべきである。従って、以下の詳細な説明は限定的な意味にとられるべきでない。
[詳細な説明]
以下の本発明の実施例の詳細な説明では、それの一部を構成する添付された図面が参照され、図解により本発明が実現される具体的実施例が示される。これらの実施例は、当業者が本発明を実現することを可能にするのに十分詳細に説明され、他の実施例が利用可能であり、本発明の範囲から逸脱することなく、論理的、機械的、電気的及び他の変更が可能であるということは理解されるべきである。従って、以下の詳細な説明は限定的な意味にとられるべきでない。
図面を通じて、複数の図面に現れる同一の構成要素を参照するのに、同一の参照番号が使用される。信号及び接続は、同一の参照番号または記号により参照され、実際の意味は説明の文脈におけるそれの利用から明らかとなるであろう。さらに、同一の構成要素グループの動作または特徴を一般的に参照するとき、同一の基礎参照番号(例えば、150など)が明細書及び図面に用いられる。同一の構成要素グループの特定の構成要素がある動作を行ったり、あるいはある特徴を有する場合、小数点により導かれる数値インデックス(例えば、150.1など)が用いられる。
詳細な説明は複数のセクションに分割される。第1セクションでは、本発明の異なる実施例のシステム及びソフトウェア動作環境が説明される。第2セクションでは、本発明の各種実施例による方法が説明される。最終セクションでは、結論が与えられる。
システム及びソフトウェア動作環境
図1は、本発明の各種実施例を組み込むシステム及びソフトウェア環境100のブロック図である。本発明のシステム及び方法は、ネットワーキングをサポートする任意のハードウェアまたはソフトウェアシステム上に設けられてもよい。典型的には、そのようなハードウェアは、スイッチ、ルータ、ゲートウェイ、ハブ、ブリッジ、パーソナルコンピュータ、サーバコンピュータ、メインフレームコンピュータ、ラップトップコンピュータ、携帯コンピュータ、携帯情報端末(PDA)、ネットワーク対応携帯電話、及び上記装置の組み合わせを含む。本発明の一部の実施例では、動作環境100は、犠牲者システム102、攻撃検出モジュール104、ブローカーモジュール106及び攻撃者システム150から構成される。この動作環境におけるシステムは、1以上のネットワーク130により通信可能に接続されてもよい。この動作環境上で実行されるソフトウェアコンポーネントは、典型的には、機械可読媒体から読み出され、オペレーティングシステムの制御の下で実行され、当該オペレーティングシステムとインタフェースをとる。このような機械可読媒体の例として、ハードディスク、フロッピー(登録商標)ディスク、CD−ROMやDVD−ROMがあげられる。さらに、機械可読媒体には、ネットワークを介し伝送される有線及び無線信号が含まれる。オペレーティングシステムの例として、マイクロソフトコーポレイションによるWindows(登録商標)95、Windows(登録商標)98、Windows(登録商標)ME、Windows(登録商標)CE、Windows(登録商標)NT、Windows(登録商標)2000及びWindows(登録商標)XPがあげられる。しかしながら、本発明は、何れかの特定のオペレーティングシステムに限定されるものではなく、他の実施例では、ソフトウェアコンポーネントはPalm Inc.からのPalmOS(登録商標)、UNIX(登録商標)及びLinuxオペレーティングシステムの亜種及び携帯電話オペレーティングシステム内部で機能するようにしてもよい。
図1は、本発明の各種実施例を組み込むシステム及びソフトウェア環境100のブロック図である。本発明のシステム及び方法は、ネットワーキングをサポートする任意のハードウェアまたはソフトウェアシステム上に設けられてもよい。典型的には、そのようなハードウェアは、スイッチ、ルータ、ゲートウェイ、ハブ、ブリッジ、パーソナルコンピュータ、サーバコンピュータ、メインフレームコンピュータ、ラップトップコンピュータ、携帯コンピュータ、携帯情報端末(PDA)、ネットワーク対応携帯電話、及び上記装置の組み合わせを含む。本発明の一部の実施例では、動作環境100は、犠牲者システム102、攻撃検出モジュール104、ブローカーモジュール106及び攻撃者システム150から構成される。この動作環境におけるシステムは、1以上のネットワーク130により通信可能に接続されてもよい。この動作環境上で実行されるソフトウェアコンポーネントは、典型的には、機械可読媒体から読み出され、オペレーティングシステムの制御の下で実行され、当該オペレーティングシステムとインタフェースをとる。このような機械可読媒体の例として、ハードディスク、フロッピー(登録商標)ディスク、CD−ROMやDVD−ROMがあげられる。さらに、機械可読媒体には、ネットワークを介し伝送される有線及び無線信号が含まれる。オペレーティングシステムの例として、マイクロソフトコーポレイションによるWindows(登録商標)95、Windows(登録商標)98、Windows(登録商標)ME、Windows(登録商標)CE、Windows(登録商標)NT、Windows(登録商標)2000及びWindows(登録商標)XPがあげられる。しかしながら、本発明は、何れかの特定のオペレーティングシステムに限定されるものではなく、他の実施例では、ソフトウェアコンポーネントはPalm Inc.からのPalmOS(登録商標)、UNIX(登録商標)及びLinuxオペレーティングシステムの亜種及び携帯電話オペレーティングシステム内部で機能するようにしてもよい。
攻撃者システム150は、DoS攻撃を実行可能なコンピュータシステムから構成される。DoS攻撃は、当該技術分野では既知である、SYNフラッド、pingフラッド、「ping of death」フラッド、あるいはポートスキャンであるかもしれない。本発明は、DoS攻撃の何れか特定のタイプの処理に限定されるものではない。
犠牲者システム102は、1以上の攻撃者システム150の標的となるシステムから構成される。犠牲者システム102は、サーバ、パーソナルコンピュータ、メインフレームコンピュータ、ルータ、ブリッジ、スイッチまたは他のネットワークに接続されたシステムを含む任意のタイプのコンピュータシステムであってもよい。
犠牲者システム102と攻撃者システム150は、1以上のネットワーク130により通信可能に接続されてもよい。ネットワーク130は、任意のタイプの有線または無線ネットワークであってもよく、本発明は何れか特定のタイプのネットワークに限定されるものではない。本発明の一部の実施例では、ネットワークプロトコルはIP(インターネットプロトコル)である。本発明のさらなる実施例では、ネットワークプロトコルは、TCIP/IP(Transmission Control Protocol/Internet Protocol)である。さらなる他の実施例では、ネットワークプロトコルは、UDP/IP(User Datagram Protocol/Internet Protocol)である。しかしながら、本発明は、何れか特定タイプのネットワークプロトコルに限定されるものではない。さらに本発明の一部の実施例では、ネットワーク130の1以上はインターネットから構成される。本発明のさらなる他の実施例では、ネットワーク130の1以上は企業のイントラネットから構成される。
攻撃検出モジュール104は、ネットワーク130の入口と出口におけるネットワークトラフックの監視及び/または操作するネットワーク130に通信可能に接続された装置から構成される。攻撃検出モジュール104は、それを通過するネットワークトラフィックに関する情報をキャッシュするよう動作し、さらにネットワークトラフィックに関する統計を維持するよう動作する。一部の実施例では、攻撃検出モジュール104は、様々なタイプのDoS攻撃に対応するシグネチャを検出するため、キャッシュされた情報を解析する。本発明の一部の実施例では、攻撃検出モジュール104は、インテルコーポレイションから入手可能なSmartLinkデバイスである。攻撃検出モジュール104は、ブローカーモジュール106から設定データを受信するようにしてもよい。このような設定データは、当該技術分野では知られているように、ポリシーベースのものであってもよい。
ブローカーモジュール106は、1以上の攻撃検出モジュール104からDoS攻撃の表示を受信するよう動作する。このような表示を受信すると、ブローカーモジュール106は、攻撃検出モジュールから攻撃インスタンスデータを受信するよう動作し、この攻撃インスタンスデータをピアブローカーモジュール106に通信するようにしてもよい。
上述のシステムの動作は、TCP/IP SYN攻撃の例を参照することにより説明される。しかしながら、後述されるシステムの動作は、他のタイプのDoS攻撃にもまた適用される。本発明の各種実施例の動作に関するさらなる詳細は、以下の方法のセクションにおいて提供される。
図2は、TCP/IP環境におけるネットワーク接続初期化トラフィックを示す図である。TCP/IP環境における接続プロセスは、一般にはスリーウェイハンドシェイク(three−way handshake)と呼ばれる。典型的にはクライアントシステム202である、他のシステムとの接続を所望するシステムが、典型的にはサーバシステム204である、第2システムにSYNパケット210を送信すると、接続が開始される。その後、サーバシステム204は、SNY/ACKパケット212により応答する。最後に、クライアントシステム202は、ACKパケット214により応答する。上述の接続プロセスがピア・ツー・ピアシステム及びマルチタイアシステムにおいて等しく動作するということは、当業者には理解されるであろう。
典型的なSYNフラッドDoS攻撃では、攻撃側システム202は、SYNパケット210を発行するが、ACKパケット214による引き続く処理は行わない。このことはサーバシステム202をACKパケット214を待機する「half−open」状態に留める。このhalf−open状態では、サーバシステム204は、そうでない場合に正当な接続に利用可能となるメモリリソース及び/またはプロセッサを確保しておかねばならなくなる。十分なhalf−open接続が生成される場合、サーバ204では、リソースが不足するようになり、さらなる接続の試行を処理することができなくなり、これにより、正当なクライアントがサービスを拒絶されることになる。
図1に戻って、攻撃者システム150.1及び150.2が犠牲者システム102に対しDoS攻撃を開始すると仮定する。本発明の不明瞭化を回避するため、図1にはDDoSに対し2つの攻撃元のみが示される。典型的なDDoSにおける攻撃者システムの実際の個数は可変であり、3以上でなりうるということは、当業者には認識されるであろう。
攻撃者システム150.1からの攻撃は、ネットワーク130.4、130.5及び130.1を含むパスに従う。攻撃者システム150.2からの攻撃は、ネットワーク130.3、130.6及び130.1を含むパスに従う。攻撃検出モジュール104.1は、可能性のあるDoS攻撃を示す異常なトラフィックを検出する。攻撃検出モジュール104.1は、ブローカーモジュール106.1に警告を送信するようにしてもよい。ここで、攻撃検出モジュール104はまた、収集したキャッシュ情報をピアブローカーモジュール106に送信するようにしてもよい。攻撃検出モジュール104.1により発生された警告に基づき、ブローカーモジュール106.1は、当該攻撃の可能な攻撃元をフィルタリングするため、キャッシュの情報を解析するようにしてもよい。各攻撃は、典型的には、自らのシグネチャを有し、ブローカーモジュール106.1は攻撃シグネチャに基づき該当するエントリをフィルタリングするようにしてもよい。
例えば、上述のTCP SYNフラッド攻撃の場合、ブローカーモジュール106.1は、キャッシュを用いてTCPトラフィックを表すキャッシュデータを決定し、不完全な接続確立を有する、すなわち、当該プロトコルがTCPを示し、SYNビットセットを有するが、ACKビットセットは含まないソースアドレスのショートリストを検出するであろう。一部の実施例では、ブローカーモジュールはさらに、SYN−ACKビットセットを有するキャッシュの対応するリバースエントリのキャッシュをチェックする。これは、サーバがSYN−ACKにより応答するが、クライアントがハンドシェークを完了していない接続試行を示す。
ポートスキャニング攻撃の場合、ブローカーモジュール106.1は、同一の送信元アドレスと送信先アドレスを有するが、異なるポート番号を有し、パケット数やパケットサイズが比較的小さなキャッシュエントリを検索する。
ブローカーモジュール106.1が当該攻撃の可能性のある攻撃元を特定すると、ブローカーモジュール106.1は、この可能性のある攻撃元と攻撃タイプを特定する攻撃インスタンスデータを生成するようにしてもよい。その後、ブローカーモジュール106.1は、それのボーダー(border)攻撃検出モジュール104.2、104.5及び104.6からキャッシュ情報を取得するようにしてもよい。その後、ブローカー106.1は、可能性のある攻撃元のIPアドレスの何れがボーダー攻撃検出モジュール104.2、104.5及び104.6の何れかにより確認されたか判断するため、それのキャッシュデータを解析するようにしてもよい。本例では、攻撃検出モジュールにより確認された送信元アドレスの一部はショートリストのアドレスと一致するであろう。ブローカーモジュール106.1は、ブローカーモジュール106.3(及び攻撃検出モジュール104.6により確認されたトラフィックに寄与するドメインの他の何れかのピアブローカー)と通信し、攻撃検出モジュール104.1と104.6により確認されたキャッシュエントリのリストを送信するようにしてもよい。同様に、攻撃インスタンスデータは、攻撃検出モジュール104.1と104.5に共通のエントリのリストによりブローカー106.4に送信されてもよい。ここで、攻撃検出モジュール104.2は、それのネットワーク130.2がDoS攻撃のパスにないため、情報に寄与しない可能性が高い。
ブローカー106.3と106.5は、攻撃元を特定するため、各自のドメイン内で同様の解析を行うことが可能である。攻撃元が決定されると、ブローカー106により各自のドメインの内部において攻撃を抑えるためのアクションがとられうる。これらのアクションには、以下に限定されるものではないが、攻撃を行うマシーンをオフにしたり、犠牲者を標的とするマシーンから送られるトラフィックを停止したり、マスタコントローラを調査及び特定するため、攻撃するマシーン(攻撃元)とのやりとりのトラフィックパターンを解析したりすることが含まれる。
本発明の一部の実施例では、ブローカーモジュール106は、各自の攻撃検出モジュール104から受信したキャッシュ情報を保持する。保持されたデータは、それらが受信された時間や保持されるデータ量の上限に依存させることが可能である。保持されるデータは、ポスト攻撃解析の予測のため利用されてもよい。
本セクションは、DoS攻撃の検出及び当該攻撃の探知を行うシステムにおける各種論理モジュールを説明した。上記モジュールを実現するソフトウェアが当該技術分野では既知である、以下に限定されるものではないが、C/C++、Java(登録商標)、Visual Basic、Smalltalk、Pascal、Adaおよび同様のプログラミング言語を含む何れかのプログラミング言語により記述可能であるということは、当業者には理解されるであろう。本発明は、実現のため何れか特定のプログラミング言語に限定されるものではない。
本発明の実施例の方法
前のセクションでは、本発明の各種実施例を含む一例となるハードウェア及びソフトウェア環境の動作のシステムレベルの概要が説明された。本セクションでは、一例となる実施例を実行する動作環境により実行される本発明の方法が、図3A、3B及び4に示されるフローチャートを参照することにより説明される。本動作環境により実行される方法は、コンピュータ実行可能な指示から構成されるコンピュータプログラムから構成される。フローチャートを参照することにより本方法を説明することにより、当業者は適切なコンピュータ(コンピュータ可読媒体からの命令を実行するコンピュータのプロセッサ)上で本方法を実行するための指示を含むプログラムを開発することが可能となる。図3A、3B及び4に示される方法は、本発明の一実施例を実行する動作環境により実行される動作を含む。
前のセクションでは、本発明の各種実施例を含む一例となるハードウェア及びソフトウェア環境の動作のシステムレベルの概要が説明された。本セクションでは、一例となる実施例を実行する動作環境により実行される本発明の方法が、図3A、3B及び4に示されるフローチャートを参照することにより説明される。本動作環境により実行される方法は、コンピュータ実行可能な指示から構成されるコンピュータプログラムから構成される。フローチャートを参照することにより本方法を説明することにより、当業者は適切なコンピュータ(コンピュータ可読媒体からの命令を実行するコンピュータのプロセッサ)上で本方法を実行するための指示を含むプログラムを開発することが可能となる。図3A、3B及び4に示される方法は、本発明の一実施例を実行する動作環境により実行される動作を含む。
図3Aは、本発明の一実施例によるDoS攻撃の検出及び追跡を行うための方法を示すフローチャートである。本方法は、ブローカーモジュール106などのシステムが攻撃検出モジュール104から状態の更新を受信すると開始される(ブロック302)。この状態の更新は、DoS攻撃により開始されてもよいし、あるいは定期的な更新であってもよい。
次に、本システムは可能性のある攻撃が侵入したかどうか判断する(ブロック304)。攻撃が検出されない場合、本方法はブロック302に戻り、次の状態更新を待機する。しかしながら、可能性のある攻撃が示されると、本システムは1以上の通信可能に接続される攻撃検出モジュール104からキャッシュ情報を抽出する(ブロック306)。ネットワークプロトコルがTCIP/IPプロトコルである一部の実施例では、キャッシュされている情報は送信元IPアドレス、送信先IPアドレス、送信元ポート、送信先ポート及び接続フローのプロトコルを含むものであるかもしれない。本発明の他の実施例では、キャッシュされたデータはさらに、バイトカウント、パケットカウント、ファーストパケットタイム及びラストパケットタイムに関する統計を含む。さらなる他の実施例では、キャッシュされたデータは、接続状態(確立済み、切断済み、half−openなど)を示すTCPフラグを含む。
その後、本システムは、1以上の攻撃検出モジュール104から収集したキャッシュデータを解析し、攻撃シグネチャが存在するか判断する(ブロック308)。攻撃タイプに応じて、各種攻撃シグネチャタイプが可能である。例えば、SYNフラッド攻撃では、これらのシグネチャは、キャッシュされたデータの多数のhalf−open接続から構成されてもよい。ポートスキャンの場合には、攻撃シグネチャは同一の送信元アドレスから連続的にポートをオープンさせる多数の試行から構成されるかもしれない。
攻撃シグネチャを特定した後、攻撃インスタンスデータが生成され、ピアブローカーモジュール106に送信される(ブロック310)。攻撃インスタンスデータは、特定の攻撃の攻撃元とそのタイプを特定するのに用いられてもよい。
次に、一部の実施例では、本システムは、ピアブローカーモジュール106からの通信を待機する(ブロック312)。この通信は、攻撃の確認であってもよいし、あるいはピアブローカーモジュール106が攻撃を確認していないということを示す情報であってもよい。この情報は、可能性のある攻撃元を絞り込むのに利用することができる。
図3Bは、本発明の一実施例によるDoS攻撃を追跡する方法のさらなる詳細を提供するフローチャートである。図3Bで詳述される動作は、他のピアブローカー106から可能性のある攻撃を通知された後、ピアブローカーモジュール106により実行されてもよい。本方法は、ブローカーモジュール106がピアブローカーモジュール106から攻撃インスタンスデータを受信すると開始される(ブロック320)。
次に、本システムは、ブローカーモジュール106と同じネットワークドメインのボーダー攻撃検出モジュールからキャッスデータを抽出する(ブロック322)。収集されたキャッシュデータは、上述のように可能性のある攻撃シグネチャを決定するため解析されてもよい。その後、この可能性のある攻撃シグネチャは解析され、攻撃インスタンスデータと比較されてもよい(ブロック324)。
一致が存在する場合(ブロック326)、本発明の一部の実施例では、攻撃対処策が開始されるようにしてもよい(ブロック328)。この攻撃対処策には、攻撃インスタンスデータから特定された攻撃元からのパケットのフィルタリング、疑わしい攻撃元のオフ、あるいは攻撃のネットワークコンソールへの通知が含まれるかもしれない。
図4は、本発明の一実施例によるDoS攻撃を検出するための方法を示すフローチャートである。本方法は、DoS攻撃を検出することを所望するシステムがネットワークパケットの到着を待機すると開始される(ブロック402)。パケットの受信後(ブロック404)、パケットタイプがチェックされる。本発明の一部の実施例では、パケットが初期化パケットであるか確認するためチェックが行われる(ブロック406)。一部の実施例では、初期化パケットはSYNパケットである。
パケットが初期化パケットである場合、当該パケットに関するデータがメモリにキャッシュ処理(格納)される(ブロック408)。一部の実施例では、このデータには、送信元アドレス、送信元ポート、送信先アドレス、送信先ポート、パケットタイプ及びタイムスタンプが含まれる。制御はブロック402に移行し、他のパケットの到着を待機する。
そうでない場合には、パケットが初期化アクノリッジメントパケットであるか確認するチェックが行われる(ブロック410)。一部の実施例では、この初期化アクノリッジメントパケットは、SYN/ACKパケットとなるであろう。パケットが初期化アクノリッジメントパケットである場合、本発明の一部の実施例は、当該パケットの送信元アドレス、送信元ポート、送信先アドレス、送信先ポート、パケットタイプ及びタイムスタンプを記録する。その後、制御はブロック402に移行し、次のパケットが到着するのを待機する。
そうでない場合、パケットが初期化アクノリッジメントパケットでない場合、本発明の一部の実施例は、当該パケットがアクノリッジメントパケットであるか判断するため当該パケットをチェックする(ブロック412)。パケットがアクノリッジメントパケットでない場合、制御はブロック402に移行し、次のパケットを待機する。
一部の実施例では、パケットがアクノリッジメントパケットである場合、当該アクノリッジメントパケットが対応する初期化パケットの後に到着したか判断するためチェックされる(ブロック414)。本発明の一部の実施例では、このアクノリッジメントパケットはACKパケットとなるであろう。アクノリッジメントパケットが以前に発行された初期化パケットに対応していない場合、制御はブロック402に戻り、次のパケットを待機する。
しかしながら、本発明の一部の実施例では、アクノリッジメントパケットが以前に発行されたパケットと対応していない場合、当該アクノリッジメントパケットが対応する初期化アクノリッジメントパケットの後に到着したか判断するチェックが行われる(ブロック416)。それが対応する初期化アクノリッジメントパケットの後に到着した場合、制御はブロック402に戻り、次のパケットを待機する。この場合、接続はフルにオープンされ、正当な接続である可能性が最も高い。
しかしながら、アクノリッジメントパケットが対応する初期化アクノリッジメントパケットの前に到着している場合、本システムは、可能性のあるDoS攻撃を示す(ブロック418)。TCPの場合には、可能性のあるSYNフラッド攻撃が示される。このケースは、攻撃側がパケットのタイミング関係を判断しようとすることなく、アクノリッジメントレスポンスと初期化リクエストの個数を単にカウントするスプーフシステムに試行している状況を表す。
さらに、本方法の任意の時点において、本システムは、ブロック408及び410において収集されたデータを精査し、対応するアクノリッジメントパケットなしにいくつの初期化パケットが生成されたか示すカウントを決定するようにしてもよい(ブロック420)。このカウントが設定可能な閾値または所定の閾値を上回る場合、本システムがDoS攻撃を受けているという表示が生成されてもよい。
結論
DoS攻撃を検出し、当該攻撃の攻撃元を探知するシステム及び方法が開示された。本発明の実施例は、従来システムに対する効果を提供する。例えば、開示されたシステム及び方法は、DoS攻撃の早期かつ正確な検出を提供する。さらに、本システム及び方法は、DoS攻撃の攻撃元を自動的に探知し、人手による介入を軽減または解消することができる。これにより、攻撃元の早期の特定が可能となる。
DoS攻撃を検出し、当該攻撃の攻撃元を探知するシステム及び方法が開示された。本発明の実施例は、従来システムに対する効果を提供する。例えば、開示されたシステム及び方法は、DoS攻撃の早期かつ正確な検出を提供する。さらに、本システム及び方法は、DoS攻撃の攻撃元を自動的に探知し、人手による介入を軽減または解消することができる。これにより、攻撃元の早期の特定が可能となる。
ここでは具体的な実施例が図示及び説明されたが、同一の目的を達成するのに計算される任意の構成が図示された具体的な実施例の代わりに利用可能であるということは、当業者には理解されるであろう。本出願は、本発明の任意の適応または変形をカバーするものとする。
本出願で用いられた用語は、上記環境のすべてを含むことを意図したものである。上記説明は例示的なものであり、限定的なものではないと理解されるべきである。上記説明を参照することにより、他の多数の実施例が当業者には明らかとなるであろう。従って、本発明は以下の請求項とその均等物によってのみ限定されるということが明らかに意図される。
Claims (6)
- ネットワークプロトコルを有するネットワーク上のネットワークソースから初期化パケットを受信するステップと、
前記初期化パケットに応答して、初期化アクノリッジメントパケットを送信するステップと、
前記初期化アクノリッジメントパケットに関する初期化アクノリッジメントパケット時間を含む情報をキャッシュ処理するステップと、
前記ネットワークソースから、関連するアクノリッジメント到着時間を有するアクノリッジメントパケットを受信するステップと、
前記アクノリッジメント到着時間と前記初期化アクノリッジメントパケット時間を比較するステップと、
前記アクノリッジメント到着時間が前記初期化アクノリッジメントパケット時間より以前のものである場合、可能性のあるDoS攻撃を示すステップと、
を有する方法。 - 請求項1記載の方法であって、
前記ネットワークプロトコルは、IPネットワークプロトコルを含む方法。 - 請求項1記載の方法であって、
前記ネットワークプロトコルは、TCP/IPネットワークプロトコルを含み、
前記初期化パケットは、SYNパケットを有し、
前記初期化アクノリッジメントパケットは、SYN/ACKパケットを有し、
前記アクノリッジメントパケットは、ACKパケットを有する方法。 - ネットワークプロトコルを有するネットワーク上のネットワークソースから初期化パケットを受信するステップと、
前記初期化パケットに応答して、初期化アクノリッジメントパケットを送信するステップと、
前記初期化アクノリッジメントパケットに関する初期化アクノリッジメントパケット時間を含む情報をキャッシュ処理するステップと、
前記ネットワークソースからアクノリッジメント到着時間を有するアクノリッジメントパケットを受信するステップと、
前記アクノリッジメント到着時間と前記初期化アクノリッジメントパケット時間を比較するステップと、
前記アクノリッジメント到着時間が前記初期化アクノリッジメントパケット時間より以前のものである場合、可能性のあるDoS攻撃を示すステップと、
を有する方法を実行するマシーン実行可能な命令を有するマシーン可読媒体。 - 請求項4記載のマシーン可読媒体であって、
前記ネットワークプロトコルは、IPネットワークプロトコルを含むマシーン可読媒体。 - 請求項4記載のマシーン可読媒体であって、
前記ネットワークプロトコルは、TCP/IPネットワークプロトコルを含み、
前記初期化パケットは、SYNパケットを有し、
前記初期化アクノリッジメントパケットは、SYN/ACKパケットを有し、
前記アクノリッジメントパケットは、ACKパケットを有する、マシーン可読媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/335,197 US7269850B2 (en) | 2002-12-31 | 2002-12-31 | Systems and methods for detecting and tracing denial of service attacks |
| PCT/US2003/040595 WO2004062232A1 (en) | 2002-12-31 | 2003-12-18 | Systems and methods for detecting and tracing denial of service attacks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006512856A JP2006512856A (ja) | 2006-04-13 |
| JP4083747B2 true JP4083747B2 (ja) | 2008-04-30 |
Family
ID=32655288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004565594A Expired - Fee Related JP4083747B2 (ja) | 2002-12-31 | 2003-12-18 | DoS攻撃の検出及び追跡を行うシステム及び方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7269850B2 (ja) |
| JP (1) | JP4083747B2 (ja) |
| AU (1) | AU2003301130A1 (ja) |
| DE (1) | DE10394008B4 (ja) |
| GB (1) | GB2411076B (ja) |
| HK (1) | HK1075147A1 (ja) |
| WO (1) | WO2004062232A1 (ja) |
Families Citing this family (60)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2852754B1 (fr) * | 2003-03-20 | 2005-07-08 | At & T Corp | Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service |
| US7436770B2 (en) * | 2004-01-21 | 2008-10-14 | Alcatel Lucent | Metering packet flows for limiting effects of denial of service attacks |
| US7391725B2 (en) * | 2004-05-18 | 2008-06-24 | Christian Huitema | System and method for defeating SYN attacks |
| US7957372B2 (en) * | 2004-07-22 | 2011-06-07 | International Business Machines Corporation | Automatically detecting distributed port scans in computer networks |
| TWI364190B (en) * | 2004-07-22 | 2012-05-11 | Ibm | Method, system and program for automatically detecting distributed port scans in computer networks |
| US8423645B2 (en) * | 2004-09-14 | 2013-04-16 | International Business Machines Corporation | Detection of grid participation in a DDoS attack |
| CN1906905B (zh) * | 2004-10-12 | 2012-08-22 | 日本电信电话株式会社 | 拒绝服务攻击防御系统、拒绝服务攻击防御方法 |
| US7703138B2 (en) * | 2004-12-29 | 2010-04-20 | Intel Corporation | Use of application signature to identify trusted traffic |
| US8489846B1 (en) * | 2005-06-24 | 2013-07-16 | Rockwell Collins, Inc. | Partition processing system and method for reducing computing problems |
| US7987493B1 (en) * | 2005-07-18 | 2011-07-26 | Sprint Communications Company L.P. | Method and system for mitigating distributed denial of service attacks using centralized management |
| US20070083927A1 (en) * | 2005-10-11 | 2007-04-12 | Intel Corporation | Method and system for managing denial of services (DoS) attacks |
| US7610622B2 (en) * | 2006-02-06 | 2009-10-27 | Cisco Technology, Inc. | Supporting options in a communication session using a TCP cookie |
| US7675854B2 (en) * | 2006-02-21 | 2010-03-09 | A10 Networks, Inc. | System and method for an adaptive TCP SYN cookie with time validation |
| JP4126707B2 (ja) * | 2006-07-28 | 2008-07-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報システムの状態を解析する技術 |
| US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
| US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
| US8584199B1 (en) | 2006-10-17 | 2013-11-12 | A10 Networks, Inc. | System and method to apply a packet routing policy to an application session |
| WO2008047141A1 (en) * | 2006-10-18 | 2008-04-24 | British Telecommunications Public Limited Company | Method and apparatus for monitoring a digital network |
| US20080240140A1 (en) * | 2007-03-29 | 2008-10-02 | Microsoft Corporation | Network interface with receive classification |
| US20080307526A1 (en) * | 2007-06-07 | 2008-12-11 | Mi5 Networks | Method to perform botnet detection |
| US8085681B2 (en) * | 2008-10-21 | 2011-12-27 | At&T Intellectual Property I, Lp | Centralized analysis and management of network packets |
| US9960967B2 (en) * | 2009-10-21 | 2018-05-01 | A10 Networks, Inc. | Determining an application delivery server based on geo-location information |
| US9215275B2 (en) | 2010-09-30 | 2015-12-15 | A10 Networks, Inc. | System and method to balance servers based on server load status |
| US9609052B2 (en) | 2010-12-02 | 2017-03-28 | A10 Networks, Inc. | Distributing application traffic to servers based on dynamic service response time |
| US8897154B2 (en) | 2011-10-24 | 2014-11-25 | A10 Networks, Inc. | Combining stateless and stateful server load balancing |
| US9386088B2 (en) | 2011-11-29 | 2016-07-05 | A10 Networks, Inc. | Accelerating service processing using fast path TCP |
| US9094364B2 (en) | 2011-12-23 | 2015-07-28 | A10 Networks, Inc. | Methods to manage services over a service gateway |
| US10044582B2 (en) | 2012-01-28 | 2018-08-07 | A10 Networks, Inc. | Generating secure name records |
| US8782221B2 (en) | 2012-07-05 | 2014-07-15 | A10 Networks, Inc. | Method to allocate buffer for TCP proxy session based on dynamic network conditions |
| US9106561B2 (en) | 2012-12-06 | 2015-08-11 | A10 Networks, Inc. | Configuration of a virtual service network |
| US9843484B2 (en) | 2012-09-25 | 2017-12-12 | A10 Networks, Inc. | Graceful scaling in software driven networks |
| US10021174B2 (en) | 2012-09-25 | 2018-07-10 | A10 Networks, Inc. | Distributing service sessions |
| WO2014052099A2 (en) | 2012-09-25 | 2014-04-03 | A10 Networks, Inc. | Load distribution in data networks |
| US10002141B2 (en) | 2012-09-25 | 2018-06-19 | A10 Networks, Inc. | Distributed database in software driven networks |
| US9338225B2 (en) | 2012-12-06 | 2016-05-10 | A10 Networks, Inc. | Forwarding policies on a virtual service network |
| US9531846B2 (en) | 2013-01-23 | 2016-12-27 | A10 Networks, Inc. | Reducing buffer usage for TCP proxy session based on delayed acknowledgement |
| US9900252B2 (en) | 2013-03-08 | 2018-02-20 | A10 Networks, Inc. | Application delivery controller and global server load balancer |
| US9992107B2 (en) | 2013-03-15 | 2018-06-05 | A10 Networks, Inc. | Processing data packets using a policy based network path |
| WO2014179753A2 (en) | 2013-05-03 | 2014-11-06 | A10 Networks, Inc. | Facilitating secure network traffic by an application delivery controller |
| US10027761B2 (en) | 2013-05-03 | 2018-07-17 | A10 Networks, Inc. | Facilitating a secure 3 party network session by a network device |
| US10230770B2 (en) | 2013-12-02 | 2019-03-12 | A10 Networks, Inc. | Network proxy layer for policy-based application proxies |
| US10020979B1 (en) | 2014-03-25 | 2018-07-10 | A10 Networks, Inc. | Allocating resources in multi-core computing environments |
| US9942152B2 (en) | 2014-03-25 | 2018-04-10 | A10 Networks, Inc. | Forwarding data packets using a service-based forwarding policy |
| US9942162B2 (en) | 2014-03-31 | 2018-04-10 | A10 Networks, Inc. | Active application response delay time |
| US9806943B2 (en) | 2014-04-24 | 2017-10-31 | A10 Networks, Inc. | Enabling planned upgrade/downgrade of network devices without impacting network sessions |
| US9906422B2 (en) | 2014-05-16 | 2018-02-27 | A10 Networks, Inc. | Distributed system to determine a server's health |
| US10129122B2 (en) | 2014-06-03 | 2018-11-13 | A10 Networks, Inc. | User defined objects for network devices |
| US9986061B2 (en) | 2014-06-03 | 2018-05-29 | A10 Networks, Inc. | Programming a data network device using user defined scripts |
| US9992229B2 (en) | 2014-06-03 | 2018-06-05 | A10 Networks, Inc. | Programming a data network device using user defined scripts with licenses |
| US9800592B2 (en) * | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
| US10581976B2 (en) | 2015-08-12 | 2020-03-03 | A10 Networks, Inc. | Transmission control of protocol state exchange for dynamic stateful service insertion |
| US10243791B2 (en) | 2015-08-13 | 2019-03-26 | A10 Networks, Inc. | Automated adjustment of subscriber policies |
| US10318288B2 (en) | 2016-01-13 | 2019-06-11 | A10 Networks, Inc. | System and method to process a chain of network applications |
| US10673893B2 (en) | 2016-08-31 | 2020-06-02 | International Business Machines Corporation | Isolating a source of an attack that originates from a shared computing environment |
| US10389835B2 (en) | 2017-01-10 | 2019-08-20 | A10 Networks, Inc. | Application aware systems and methods to process user loadable network applications |
| US11030308B2 (en) * | 2017-08-09 | 2021-06-08 | Nec Corporation | Inter-application dependency analysis for improving computer system threat detection |
| CN112154635B (zh) * | 2018-05-22 | 2023-08-08 | 上海诺基亚贝尔股份有限公司 | Sfc覆盖网络中的攻击源追踪 |
| FR3086821A1 (fr) * | 2018-09-28 | 2020-04-03 | Orange | Procedes de collaboration et de demande de collaboration entre services de protection associes a au moins un domaine, agents et programme d’ordinateur correspondants. |
| US11038902B2 (en) | 2019-02-25 | 2021-06-15 | Verizon Digital Media Services Inc. | Systems and methods for providing shifting network security via multi-access edge computing |
| CN113573317A (zh) * | 2021-07-29 | 2021-10-29 | 咪咕文化科技有限公司 | 网络奇异系统在卫星系统中的滤波器设计方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6487666B1 (en) * | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| US7461402B1 (en) | 1999-07-14 | 2008-12-02 | Symantec Corporation | System and method for preventing detection of a selected process running on a computer |
| US7062782B1 (en) | 1999-12-22 | 2006-06-13 | Uunet Technologies, Inc. | Overlay network for tracking denial-of-service floods in unreliable datagram delivery networks |
| EP1319296B1 (en) | 2000-09-01 | 2007-04-18 | Top Layer Networks, Inc. | System and process for defending against denial of service attacks on networks nodes |
| US7043759B2 (en) * | 2000-09-07 | 2006-05-09 | Mazu Networks, Inc. | Architecture to thwart denial of service attacks |
| US20020032871A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
| US20020035698A1 (en) * | 2000-09-08 | 2002-03-21 | The Regents Of The University Of Michigan | Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time |
-
2002
- 2002-12-31 US US10/335,197 patent/US7269850B2/en not_active Expired - Fee Related
-
2003
- 2003-12-18 GB GB0511258A patent/GB2411076B/en not_active Expired - Fee Related
- 2003-12-18 JP JP2004565594A patent/JP4083747B2/ja not_active Expired - Fee Related
- 2003-12-18 AU AU2003301130A patent/AU2003301130A1/en not_active Abandoned
- 2003-12-18 DE DE10394008T patent/DE10394008B4/de not_active Expired - Fee Related
- 2003-12-18 WO PCT/US2003/040595 patent/WO2004062232A1/en active Application Filing
-
2005
- 2005-08-22 HK HK05107259A patent/HK1075147A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| AU2003301130A1 (en) | 2004-07-29 |
| HK1075147A1 (en) | 2005-12-02 |
| JP2006512856A (ja) | 2006-04-13 |
| US7269850B2 (en) | 2007-09-11 |
| WO2004062232A1 (en) | 2004-07-22 |
| GB0511258D0 (en) | 2005-07-06 |
| DE10394008B4 (de) | 2010-03-18 |
| DE10394008T5 (de) | 2008-10-16 |
| GB2411076A (en) | 2005-08-17 |
| US20040128550A1 (en) | 2004-07-01 |
| GB2411076B (en) | 2006-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4083747B2 (ja) | DoS攻撃の検出及び追跡を行うシステム及び方法 | |
| US10097578B2 (en) | Anti-cyber hacking defense system | |
| Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
| Wagner et al. | Experiences with worm propagation simulations | |
| US20170257339A1 (en) | Logical / physical address state lifecycle management | |
| US8423645B2 (en) | Detection of grid participation in a DDoS attack | |
| US20060282893A1 (en) | Network information security zone joint defense system | |
| Chapade et al. | Securing cloud servers against flooding based DDoS attacks | |
| KR101156005B1 (ko) | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 | |
| US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
| JP2007521718A (ja) | セキュリティブリーチ検知に対するネットワークのクオリティオブサービスを保護するシステムおよび方法 | |
| KR20180052324A (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
| US11223635B2 (en) | Inception of suspicious network traffic for enhanced network security | |
| Tritilanunt et al. | Entropy-based input-output traffic mode detection scheme for dos/ddos attacks | |
| Arafat et al. | A practical approach and mitigation techniques on application layer DDoS attack in web server | |
| Xiao et al. | A novel approach to detecting DDoS attacks at an early stage | |
| JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
| Gonzalez et al. | The impact of application-layer denial-of-service attacks | |
| KR20200109875A (ko) | 유해 ip 판단 방법 | |
| WO2009064114A2 (en) | Protection method and system for distributed denial of service attack | |
| JP4304249B2 (ja) | スキャン攻撃不正侵入防御装置 | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| KR20110027386A (ko) | 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법 | |
| JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
| US20050147037A1 (en) | Scan detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070220 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070518 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070525 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070620 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070627 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070720 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070814 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20071114 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20071121 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080115 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080213 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110222 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |