JP4203809B2 - パケットログ記録装置 - Google Patents
パケットログ記録装置 Download PDFInfo
- Publication number
- JP4203809B2 JP4203809B2 JP2003396672A JP2003396672A JP4203809B2 JP 4203809 B2 JP4203809 B2 JP 4203809B2 JP 2003396672 A JP2003396672 A JP 2003396672A JP 2003396672 A JP2003396672 A JP 2003396672A JP 4203809 B2 JP4203809 B2 JP 4203809B2
- Authority
- JP
- Japan
- Prior art keywords
- recording
- packet
- tables
- storage means
- log recording
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークを伝播するパケットを記録するパケットログ記録装置に関し、特に、パケットの検索時間を短縮することが可能なパケットログ記録装置に関する。
従来のネットワークを伝播するパケットを記録するパケットログ記録装置に関連する先行技術文献としては次のようなものがある。
従来のインターネット上ではパケットを連続してターゲットに送信して当該ターゲットの提供するサービスを停止等させるDoS攻撃(Denial of Service attack:サービス停止攻撃:以下、単にDoSと呼ぶ。)が問題になっている。
特に、複数地点から一斉に一つのターゲットに対してDoS攻撃を行うDDoS(Distributed DoS:分散型DoS:以下、単にDDoSと呼ぶ。)が大きな問題になっている。
このため、このようなDDoS攻撃等を防止するため、不正なパケットの発信源を特定するパケット経路追跡システムが考案されている。
図7はこのような従来のパケット経路追跡システムの一例を示す構成ブロック図である。図7において1は攻撃者(アタッカー)が操作する端末、2はDDoS攻撃等のターゲットとなるサーバ、3及び4はISP(Internet Service Provider:インターネットサービス提供業者:以下、単にISPと呼ぶ。)、5,6,7及び8はルータ、9,10及び11は伝播するパケットの情報を記録するパケットログ記録装置である。
端末1はルータ5を介してISP3に接続され、ISP3はルータ6及びルータ7を介してISP4に接続される。また、サーバ2はルータ8を介してISP4に接続される。
さらに、端末1とルータ5との間の回線にはパケットログ記録装置9が接続され、ルータ6とルータ7との間の回線にはパケットログ記録装置10が接続され、サーバ2とルータ8との間の回線にはパケットログ記録装置11が接続される。
ここで、図7に示す従来のパケット経路追跡システムの動作を図8及び図9を用いて説明する。図8は攻撃者(アタッカー)の攻撃経路を示す説明図、図9はパケットの記録状況を説明する説明図である。
図8中”AT01”に示すように攻撃者(アタッカー)は端末1からISP3及びISP4を介してターゲットであるサーバ2に対してDoS攻撃等を行う。
一方、パケットログ記録装置9,10及び11は接続された回線を伝播するパケットを取得して記憶手段に順次記録して行く。
例えば、図9中”LG11”、”LG12”及び”LG13”に示すようにパケットログ記録装置9,10及び11はDoS攻撃のために伝播する不正なパケットを取得して記憶手段に順次記録する。
そして、DoS攻撃等を受けたサーバ2が受信した不正なパケットと、パケットログ記録装置9,10及び11にそれぞれ記録されたパケットを比較して当該不正なパケットが伝播した経路を特定する。
例えば、図8に示すDoS攻撃等に用いられた不正なパケットはパケットログ記録装置9,10及び11に記録されているので図8中”AT01”に示すような不正なパケットの伝播経路を特定することが可能になる。
但し、監視している回線に伝播するパケットの全ての情報を順次記録するために、記憶手段には膨大な記憶容量が必要になるため、効率良くパケットの情報を保持する方法が考案されている。
図10はこのようなパケットログ記録装置の具体例を示す構成ブロック図であり、12はCPU(Central Processing Unit)等の演算制御手段、13はRAM(Random Access Memory)等の記憶手段である。
観測点である回線からの入力は演算制御手段12に接続され、演算制御手段12の出力は記憶手段13に接続される。
ここで、図10に示すパケットログ記録装置の動作を図11を用いて説明する。図11は取得したパケットの記録方法を説明する説明図である。
図10中”LG21”に示すように観測点である回線から入力されたパケットは演算制御手段12に取り込まれ、IP(Internet Protocol)パケットの中で伝播中に不変である部分等を抽出する。
そして、演算制御手段12は抽出された情報をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段13のアドレスとみなして、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
例えば、演算制御手段12が、図11中”PI31”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図11中”HV31”に示すようなハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。
この場合、演算制御手段12は得られたハッシュ値(XXXXH)を記憶手段13のアドレスとみなして、”XXXXH”のアドレスに図11中”WD31”に示すようにデータを書き込む。
例えば、データの書込み方法としては”00000000B(8ビットデータ)”から”00000001B”等(ビットを立てる)に変更することによってある特定のパケットが伝播したことを記録する。
そして、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段13のアドレスにビットが立っていれば不正なパケットがパケットログ記録装置が接続された回線を伝播したことになる。
この結果、図10に示すパケットログ記録装置ではパケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録する(ビットを立てる)ことにより、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持することが可能である。
但し、図10に示すパケットログ記録装置では、時間の経過に伴い記憶手段13に立っているビット数が増加して、場合によっては全てのビットが立ってしまい、パケットログ記録装置が接続された回線を伝播したパケットの頻度(伝播数)を把握することができなくなってしまう。
このため、演算制御手段12は、記憶手段13に複数の記録テーブルを作成して一定周期毎に当該記録テーブルを順次切り換えて行くことにより、パケットログ記録装置が接続された回線を伝播したパケットの頻度(伝播数)を把握することが可能になる。
しかし、このような方法であっても時間の経過に伴い記録テーブルが増加することになり、高速ネットワークにパケットログ記録装置を適用した場合、記録テーブルの数が膨大になり、パケットの検索時間が極めて長くなってしまうと言った問題点があった。
さらに、記録テーブルの数が膨大になった場合、RAM等の高速の記憶手段に全ての記録テーブルを記憶させておくことは現実的ではなく、ハードディスク等の低速な記憶手段(2次記憶装置)に保管されざるを得ない。
この場合、ハードディスク等の低速な記憶手段はRAM等の高速の記憶手段と比較して、データの読み出し速度が格段に遅く、加えて、ディスクのシーク(目的のトラックにヘッドを移動させる動作)が行われると、1つの記録テーブルの検索に”ミリ秒”単位の時間がかかることになる。
例えば、記録テーブルの総数が”8000枚”、1つの記録テーブルの検索が”5〜10ミリ秒”であると想定すると、1つのパケットを検索するに要する時間”Ts”は、
Ts=(5〜10)×8000=40〜80秒 (1)
となってしまい、このような検索時間では実用に適さなくなってしまう。
従って本発明が解決しようとする課題は、パケットの検索時間を短縮することが可能なパケットログ記録装置を実現することにある。
Ts=(5〜10)×8000=40〜80秒 (1)
となってしまい、このような検索時間では実用に適さなくなってしまう。
従って本発明が解決しようとする課題は、パケットの検索時間を短縮することが可能なパケットログ記録装置を実現することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを伝播するパケットを記録するパケットログ記録装置において、
第1の記憶手段と、この第1の記憶手段よりもデータの読み出し速度が低速である第2の記憶手段と、取得したパケットの一部をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値をアドレスとみなして前記第1の記憶手段に形成された記録テーブルにビットを立て一定周期毎に前記記録テーブルを切り換えて順次記録すると共に前記第2の記憶手段に形成されたサマリテーブルの同一アドレスに複数の前記記録テーブルの値を積算する演算制御手段とを備えたことにより、パケットの検索時間を短縮することが可能になる。
ネットワークを伝播するパケットを記録するパケットログ記録装置において、
第1の記憶手段と、この第1の記憶手段よりもデータの読み出し速度が低速である第2の記憶手段と、取得したパケットの一部をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値をアドレスとみなして前記第1の記憶手段に形成された記録テーブルにビットを立て一定周期毎に前記記録テーブルを切り換えて順次記録すると共に前記第2の記憶手段に形成されたサマリテーブルの同一アドレスに複数の前記記録テーブルの値を積算する演算制御手段とを備えたことにより、パケットの検索時間を短縮することが可能になる。
請求項2記載の発明は、
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記サマリテーブルに積算する前記記録テーブルの最大の数である集約数毎に前記サマリテーブルを順次切り換えて複数の前記記録テーブルの値を順次積算することにより、パケットの検索時間を短縮することが可能になる。
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記サマリテーブルに積算する前記記録テーブルの最大の数である集約数毎に前記サマリテーブルを順次切り換えて複数の前記記録テーブルの値を順次積算することにより、パケットの検索時間を短縮することが可能になる。
請求項3記載の発明は、
請求項2記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
集約数毎に前記第1の記憶手段に形成された前記集約数と等しい枚数の前記記録テーブルをクリアすることにより、第1の記憶手段のコストを抑えることが可能になる。
請求項2記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
集約数毎に前記第1の記憶手段に形成された前記集約数と等しい枚数の前記記録テーブルをクリアすることにより、第1の記憶手段のコストを抑えることが可能になる。
請求項4記載の発明は、
請求項1乃至請求項3のいずれかに記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
複数の前記記録テーブルを分割してグループ化してグループ化された前記記録テーブルの値を前記サマリテーブルの対応するビットの値として積算することにより、パケットの伝播数を各グループ単位で把握することが可能になる。
請求項1乃至請求項3のいずれかに記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
複数の前記記録テーブルを分割してグループ化してグループ化された前記記録テーブルの値を前記サマリテーブルの対応するビットの値として積算することにより、パケットの伝播数を各グループ単位で把握することが可能になる。
請求項5記載の発明は、
請求項1乃至請求項4のいずれかに記載の発明であるパケットログ記録装置において、
パケット経路追跡システムに適用したことにより、パケットの検索時間を短縮することが可能になる。
請求項1乃至請求項4のいずれかに記載の発明であるパケットログ記録装置において、
パケット経路追跡システムに適用したことにより、パケットの検索時間を短縮することが可能になる。
本発明によれば次のような効果がある。
請求項1,2及び請求項5の発明によれば、取得したパケットの一部をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値をアドレスとみなして記録テーブルにビットを立て一定周期毎に記録テーブルを切り換えて順次記録すると共にサマリテーブルの同一アドレスに複数の記録テーブルの値を積算することにより、パケットの検索時間を短縮することが可能になる。
請求項1,2及び請求項5の発明によれば、取得したパケットの一部をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値をアドレスとみなして記録テーブルにビットを立て一定周期毎に記録テーブルを切り換えて順次記録すると共にサマリテーブルの同一アドレスに複数の記録テーブルの値を積算することにより、パケットの検索時間を短縮することが可能になる。
また、請求項3の発明によれば、サマリテーブルに積算する記録テーブルの最大の数である集約数毎に第1の記憶手段に形成された集約数と等しい枚数の記録テーブルをクリアすることにより、第1の記憶手段のコストを抑えることが可能になる。
また、請求項4の発明によれば、記録テーブルの値をグループ化してサマリテーブルに集約することにより、パケットの伝播数を各グループ単位で把握することが可能になる。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケットログ記録装置の一実施例を示す構成ブロック図である。図1において14はCPU等の演算制御手段、15はRAM等の読み出し速度が高速の記憶手段、16はハードディスク等の読み出し速度が低速の記憶手段である。
観測点である回線からの入力は演算制御手段14に接続され、演算制御手段14の入出力は記憶手段15に接続される。また、演算制御手段14の入出力は記憶手段16に接続される。
ここで、図1に示す実施例の動作を図2、図3及び図4を用いて説明する。但し、図11に示すパケットの記録方法と重複する部分の説明は省略する。図2は演算制御手段14の動作を説明するフロー図、図3及び図4は記録テーブルとサマリテーブルとの関係を説明する説明図である。
図2中”S001”において演算制御手段14は、取得したパケットに基づきハッシュ値を求める。
例えば、観測点である回線から入力されたパケットは演算制御手段14に取り込まれ、IPパケットの中で伝播中に不変である部分等を抽出し、抽出された情報をハッシュ関数を用いてハッシュ値に変換する。
そして、図2中”S002”において演算制御手段14は、求めたハッシュ値を記憶手段15に形成された記憶テーブルのアドレスとみなして、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
さらに、図2中”S003”において演算制御手段14は、求めたハッシュ値を記憶手段16に形成されたサマリテーブルのアドレスとみなして、該当するアドレスにビットを加算、言い換えれば、ビットを積算等してある特定のパケットが何回伝播したかを記録する。
例えば、記憶手段16に形成されたサマリテーブルの前記ハッシュ値が示すアドレスに既に”1(=00000001B:8ビットデータ)”が記憶されていれば、当該アドレスの値をインクリメント(データを1だけ増加させる)して”2(=00000010B:8ビットデータ)”とする。
具体的には、図3中”PT41”に示す記憶手段15に形成された記録テーブルのアドレス(ハッシュ値に相当)にビットが立った場合、図3中”AD41”に示すように記憶手段16に形成されたサマリテーブルの同一アドレス(ハッシュ値に相当)のデータをインクリメントする。
図2中”S004”において演算制御手段14は、予め設定されている一定周期を経過したか否かを判断し、もし、一定時間を経過していないと判断した場合には、図2中”S001”のステップに戻る。
もし、図2中”S004”において一定時間を経過したと判断した場合には、図2中”S005”において演算制御手段14は、記憶手段15に形成されている記録テーブルを切り換える。
具体的には、これまで記録してきた記録テーブルを退避させると共に新規の記録テーブルに対してハッシュ値をアドレスとみなして、ビットを立てる等してある特定のパケットが伝播したことを記録する。
例えば、図3中”RT41”、”RT42”,”RT43”及び”RT44”は記憶手段15に形成されている記録テーブルであり、一定時間の経過に伴い、図3中”RT41”、”RT42”、”RT43”及び”RT44”の順番で順次伝播したパケットが記録されて行く。
そして、図2中”S006"において演算制御手段14は、予め設定されたサマリテーブルの最大の集約数(例えば、128枚)に到達したか否かを判断し、もし、集約数に到達していない場合には図2中”S001”のステップに戻る。
もし、図2中”S006”において集約数に到達していると判断した場合には、図2中”S007”において演算制御手段14は、記憶手段16に形成されているサマリテーブルを切り換える。
具体的には、これまで記録してきたサマリテーブルを退避させると共に新規のサマリテーブルに対してハッシュ値をアドレスとみなして、ビットを加算、言い換えれば、ビットを積算等してある特定のパケットが何回伝播したかを記録する。
演算制御手段14が、図2に示すような動作を繰り返すことにより、時間の経過と共に図4中”ST51”、”ST52”及び”ST53”に示すようにサマリテーブルが順次作成されて行く。
すなわち、時間の経過と共に作成された図4中”RT51”、”RT52”、”RT53”及び”RT54”に示す記録テーブルの内容は図4中”ST51”に示すサマリテーブルに集約される。同様に、図4中”RT55”〜”RT56”及び”RT57”〜”RT58”の記録テーブルはそれぞれ図4中”ST52”及び”ST53”に示すサマリテーブルに集約されることになる。
このように、集約された1枚のサマリテーブルを検索することにより、集約された記録テーブルのうち何枚にパケットが記録されているのかを即座に把握することができる。
例えば、図4中”PT51”に示す記憶手段16に形成されたサマリテーブルのアドレス(ハッシュ値に相当)の値は”5”であり、このため、集約された記録テーブルのうち”5枚”の記録テーブルに、アドレス(ハッシュ値に相当)に対応するパケットが伝播したことが記録されていることが分かる。
同様に、例えば、図4中”PT52”及び”PT53”に示す記憶手段16に形成されたサマリテーブルのアドレス(ハッシュ値に相当)の値は”7”及び”0”であり、このため、集約された記録テーブルのうち”7枚”若しくは”0枚”の記録テーブルに、アドレス(ハッシュ値に相当)に対応するパケットが伝播したことが記録されていることが分かる。
さらに、集約された1枚のサマリテーブルを検索することにより、集約数分の記録テーブルを検索したのと同等の検索を行うことができるので、パケットの検索時間を短縮することが可能になる。
例えば、集約数を”128”とすれば、図4中”ST51”等に示すサマリテーブルを検索することにより、パケットの検索時間は”1/128”に短縮されることになる。
この結果、取得したパケットの一部をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値をアドレスとみなして記録テーブルにビットを立て一定周期毎に記録テーブルを切り換えて順次記録すると共にサマリテーブルの同一アドレスに複数の記録テーブルの値を積算し、集約数毎にサマリテーブルを順次切り換えて行くことにより、パケットの検索時間を短縮することが可能になる。
なお、図1に示す実施例では、集約数毎にサマリテーブルを順次切り換えながら記録テーブルの値をサマリテーブルに積算(集約)しているが、単純に全ての記録テーブルの値を1つのサマリテーブルに積算(集約)しても勿論構わない。
また、図1に示す実施例では、ただ単に、記録テーブルの値をサマリテーブルに積算(集約)しているが、集約数毎に記憶手段15に形成された集約数と等しい枚数の記録テーブルをクリア(処分)しても構わない。
この場合には、記憶手段15の記憶容量は集約数の等しい枚数の記録テーブルを格納するのに十分は容量で済むことになるので、全ての記録テーブルを保存することを想定した場合と比較して、記憶手段15のコストを抑えることが可能になる。
また、図1に示す実施例では、ただ単に、記録テーブルの値をサマリテーブルに積算(集約)しているが、記録テーブルの値をグループ化して集約しても構わない。図5は記録テーブルの値をサマリテーブルに積算した場合を示す説明図、図6は記録テーブルの値をグループ化して集約した場合を説明する説明図である。
集約数を”128”とした場合、図1に示す実施例では、図5中”RT61”、”RT62”、”RT63”及び”RT64”に示す128枚の記録テーブルは図5中”ST61”に示すサマリテーブルに集約される。
この際、図5中”SD61”に示すように集約された値は”7ビット(27 =128)”の値として積算される。
このように積算された値を検索した場合、1回の検索では、図5中”PT61”に示す記憶手段16に形成されたサマリテーブルのアドレス(ハッシュ値に相当)に対応するパケットの全体(記録テーブル128枚分)の伝播数は把握できるものの、どの時間帯の記録テーブルで記録されたものであるかまで把握することができない。
一方、図6は128枚の記録テーブルを8分割(16枚毎)してグループ化し、各グループを”4ビット(24 =16)”の値として集約している。
すなわち、図6中”RT71”、”RT72”、”RT73”及び”RT74”に示す16枚の記録テーブルは図6中”SG71”に示す4ビットに第1のグループとして集約される。
同様に、図6中”RT75”〜”RT76”に示す16枚の記録テーブルは図6中”SG72”に示す4ビットに第2のグループとして集約され、そして、図6中”RT77”〜”RT78”に示す16枚の記録テーブルは図6中”SG73”に示す4ビットに第8のグループとして集約される。
このように積算された値を検索した場合、1回の検索であっても、図6中”PT71”に示す記憶手段16に形成されたサマリテーブルのアドレス(ハッシュ値に相当)に対応するパケットの伝播数を、図6中”SG71”、”SG72”及び”SG73”に示す各グループ単位で把握することが可能になる。
1 端末
2 サーバ
3,4 ISP
5,6,7,8 ルータ
9,10,11 パケットログ記録装置
12,14 演算制御手段
13,15,16 記憶手段
2 サーバ
3,4 ISP
5,6,7,8 ルータ
9,10,11 パケットログ記録装置
12,14 演算制御手段
13,15,16 記憶手段
Claims (5)
- ネットワークを伝播するパケットを記録するパケットログ記録装置において、
第1の記憶手段と、
この第1の記憶手段よりもデータの読み出し速度が低速である第2の記憶手段と、
取得したパケットの一部をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値をアドレスとみなして前記第1の記憶手段に形成された記録テーブルにビットを立て一定周期毎に前記記録テーブルを切り換えて順次記録すると共に前記第2の記憶手段に形成されたサマリテーブルの同一アドレスに複数の前記記録テーブルの値を積算する演算制御手段と
を備えたことを特徴とするパケットログ記録装置。 - 前記演算制御手段が、
前記サマリテーブルに積算する前記記録テーブルの最大の数である集約数毎に前記サマリテーブルを順次切り換えて複数の前記記録テーブルの値を順次積算することを特徴とする
請求項1記載のパケットログ記録装置。 - 前記演算制御手段が、
前記集約数毎に前記第1の記憶手段に形成された前記集約数と等しい枚数の前記記録テーブルをクリアすることを特徴とする
請求項2記載のパケットログ記録装置。 - 前記演算制御手段が、
複数の前記記録テーブルを分割してグループ化してグループ化された前記記録テーブルの値を前記サマリテーブルの対応するビットの値として積算することを特徴とする
請求項1乃至請求項3のいずれかに記載のパケットログ記録装置。 - パケット経路追跡システムに適用したことを特徴とする
請求項1乃至請求項4のいずれかに記載のパケットログ記録装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003396672A JP4203809B2 (ja) | 2003-11-27 | 2003-11-27 | パケットログ記録装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003396672A JP4203809B2 (ja) | 2003-11-27 | 2003-11-27 | パケットログ記録装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005159794A JP2005159794A (ja) | 2005-06-16 |
| JP4203809B2 true JP4203809B2 (ja) | 2009-01-07 |
Family
ID=34722040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003396672A Expired - Fee Related JP4203809B2 (ja) | 2003-11-27 | 2003-11-27 | パケットログ記録装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4203809B2 (ja) |
-
2003
- 2003-11-27 JP JP2003396672A patent/JP4203809B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005159794A (ja) | 2005-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8050175B2 (en) | Distributed packet group identification for network testing | |
| Zou et al. | Routing worm: A fast, selective attack worm based on ip address information | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| US9071576B1 (en) | Application rate limiting without overhead | |
| US9973528B2 (en) | Two-stage hash based logic for application layer distributed denial of service (DDoS) attack attribution | |
| Chen et al. | Detecting amplification attacks with software defined networking | |
| US8787176B2 (en) | Switch that monitors for fingerprinted packets | |
| US8724473B2 (en) | Locating signatures in packets | |
| JP4203809B2 (ja) | パケットログ記録装置 | |
| KR100439170B1 (ko) | 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법 | |
| Ribeiro et al. | Content pollution mitigation for content-centric networking | |
| JP3750803B2 (ja) | パケットログ記録装置 | |
| Weekes et al. | Controlling your neighbour’s bandwidth for fun and for profit | |
| JP3889701B2 (ja) | パケット経路追跡システム | |
| JP3832412B2 (ja) | パケット経路追跡システム | |
| JP3826399B2 (ja) | パケットログ記録装置 | |
| Li et al. | A detection method for botnet based on behavior features | |
| JP2006262036A (ja) | パケット経路追跡システム | |
| JP3797308B2 (ja) | パケットログ記録装置 | |
| Tgavalekos et al. | Characterization of network behavior to detect changes: a cybersecurity perspective | |
| JP3922541B2 (ja) | 通信パケット処理装置とシステムおよび方法 | |
| JP2003298651A (ja) | パケットログ記録装置 | |
| Vijairaghavan et al. | Marking Technique to isolate boundary router and attacker | |
| JP4333341B2 (ja) | 通過パケット表示システム | |
| KR100714131B1 (ko) | IPv6 로컬 네트워크에서의 이웃 발견 서비스 거부 공격방지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060602 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080417 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080422 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080611 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080918 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081001 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111024 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121024 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131024 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |