JP4794197B2 - ネットワーク増幅攻撃の軽減 - Google Patents

ネットワーク増幅攻撃の軽減 Download PDF

Info

Publication number
JP4794197B2
JP4794197B2 JP2005114426A JP2005114426A JP4794197B2 JP 4794197 B2 JP4794197 B2 JP 4794197B2 JP 2005114426 A JP2005114426 A JP 2005114426A JP 2005114426 A JP2005114426 A JP 2005114426A JP 4794197 B2 JP4794197 B2 JP 4794197B2
Authority
JP
Japan
Prior art keywords
packet
credit
intermediate node
received
candidate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005114426A
Other languages
English (en)
Other versions
JP2005318578A (ja
Inventor
グナワーデナ ダイアナ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2005318578A publication Critical patent/JP2005318578A/ja
Application granted granted Critical
Publication of JP4794197B2 publication Critical patent/JP4794197B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/52Queue scheduling by attributing bandwidth to queues
    • H04L47/527Quantum based scheduling, e.g. credit or deficit based scheduling or token bank
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は一般にネットワークインフラストラクチャに関し、より詳細には、ネットワーク増幅攻撃の軽減に関する。
インターネットサイトにおけるサービス拒否(DoS)攻撃は、あまりにも頻繁に発生しており、影響を受けるコンピュータシステムへの悪意的損害の特定の形態を引き起こしている。一般に、DoS攻撃は、正当なユーザがこのようなシステム上のコンピュータサービスにアクセスすることを妨げることを目的とする。例えば、ある会社のウェブサイトのネットワーク帯域幅を圧迫することによって、悪意のあるコンピュータ(またはコンピュータのグループ)は、他のユーザがその会社のウェブサイトにアクセスして注文を出したり、サービスを得ることを妨げることができる。このような攻撃の理由は、さまざまであるが、最近はゆすり(a protection racket)に類似した脅迫メール(blackmail)の試みがある。いくつかの状況では、DoS攻撃は、コンピュータシステムを所有する会社で「ピケを張る(picketing)」ことに似ている場合もある。
加害者は、DoS攻撃をいくつかの方法で発生させることができる。以下の3つの基本的な攻撃の分野があるが、他の攻撃が使用される場合もある。
(1)帯域幅、ディスクスペースまたはCPU時間など、制限されたリソースの消費、
(2)ルーティング情報またはレジストリエントリなど、構成情報の改ざん、および、
(3)ネットワーキングコンポーネントの物理的な破壊。
リソースへの攻撃はますます多くなってきており、主に、インターネットを介して過剰な、または偽のパケットデータによりネットワークを「フラッディング(flood)」させる試みを通じて行われ、それによりウェブサイトへの正当なトラフィックを妨げる。分散サービス拒否(DDoS)攻撃では、多数のコンピュータが連携してターゲットシステムを攻撃する。
いくつかのDDoS攻撃は、分散された中間デバイスをネットワークエンドポイント(すなわち、エンドシステム)に対して使用する。潜在的に信用できないか、または敵意のあるマスタコントローラは、多くの中間スレーブエージェント(例えば、ルーターまたはプロキシ)に、過剰なネットワークトラフィック(すなわち、攻撃トラフィック)をネットワーク内のエンドシステムへ送信するように(またはそうでない場合は、そのエンドシステムのあるリソースを過剰に使用するように)命令する能力を有する。各スレーブから発生した攻撃トラフィックの負荷が、不良なマスタコントローラまたは「加害者」によってスレーブに投入されたトラフィック負荷より大きい場合、この攻撃は「ネットワーク増幅攻撃(network amplification attack)」と呼ばれる。
本明細書で説明および主張する実施態様は、ネットワーク増幅攻撃を軽減するための改良されたネットワークプロトコルを提供することによって、上述の問題に対処する。一時的な分散攻撃のいずれも引き起こす可能性のある絶対ネットワーク負荷またはリソース負荷は、リソースクレジッティングスキーム(resource crediting scheme)に基づいて制限される。いくつかの実施態様では、このような攻撃の時間フレームもまた、リソースクレジッティングスキームに適用された時間制限を使用して制限される。
いくつかの実施態様では、製造品は、コンピュータプログラム製品として提供される。コンピュータプログラム製品の一実施態様は、コンピュータシステムによって読取り可能なコンピュータプログラム記憶媒体を提供し、コンピュータプログラムをエンコードする。コンピュータプログラム製品のもう1つの実施態様は、コンピューティングシステムによって搬送波に具現化されたコンピュータデータ信号において提供され、コンピュータプログラムをエンコードする。
コンピュータプログラム製品は、コンピュータシステム上で実行するコンピュータプロセスのためのコンピュータプログラムをエンコードする。コンピュータプロセスは、ネットワーク内のエンドシステム上のコントローラノードによる増幅攻撃を軽減する。ネットワーク内の中間ノードによって受信された、1または複数の候補攻撃要求パケットを検出する。中間ノードからエンドシステムに通信された応答パケットの応答トラフィックは、コントローラノードから中間ノードに通信された候補攻撃要求パケットから導出されたクレジットによって制限される。
もう1つの実施態様では、ネットワーク内のエンドシステム上のコントローラノードによる増幅攻撃を軽減する方法が提供される。ネットワーク内の中間ノードによって受信された、1または複数の候補攻撃要求パケットが検出される。中間ノードからエンドシステムに通信された応答パケットの応答トラフィックは、コントローラノードから中間ノードに通信され、検出された候補攻撃要求パケットから導出されたクレジットによって制限される。中間ノードからエンドシステムに送信された各応答パケットは、クレジットを引き出す(draw on)。
もう1つの実施態様では、ネットワーク内のエンドシステム上のコントローラノードによる増幅攻撃を軽減するためのアプリケーションが提供される。ネットワーク要求プロセッサは、ネットワーク内の中間ノードによって受信された、1または複数の候補攻撃要求パケットを検出する。送信スケジューラは、中間ノードからエンドシステムに通信された応答パケットの応答トラフィックを、コントローラノードから中間ノードに通信された候補攻撃要求パケットから導出されたクレジットによって制限する。
さらにもう1つの実施態様では、ネットワーク内のエンドシステム上のコントローラノードによる増幅攻撃を軽減するためのネットワーキングサブシステムが提供される。ネットワーク要求プロセッサは、ネットワーク内の中間ノードによって受信された、1または複数の候補攻撃要求パケットを検出する。送信スケジューラは、中間ノードからエンドシステムに通信された応答パケットの応答トラフィックを、コントローラノードから中間ノードに通信された候補攻撃要求パケットから導出されたクレジットによって制限する。
他の実施態様もまた本明細書で説明および列挙される。
ネットワーク増幅攻撃を軽減するための改良されたネットワークプロトコルが提供される。一時的な分散攻撃のいずれも引き起こす可能性のある絶対ネットワーク負荷またはリソース負荷は、リソースクレジッティングスキームに基づいて制限される。このプロトコルは、「クレジット」を、候補攻撃要求パケットの受信および検出の上で累積し、応答パケットを送信するとき、そのクレジットを引き出す(draw against)。いくつかの実施態様では、このような攻撃の時間フレームを、リソースクレジッティングスキームに適用された時間制限を使用して制限する。
図1は、コントローラノード102、複数の中間ノード104および106(例えば、プロキシサーバなど)、および、電子商取引サイトまたは企業の他のリソースサーバなどのエンドシステム108を含む、ネットワーク構成100を示す。例示的増幅攻撃シナリオでは、コントローラノード102(または「加害者」)は、大量の攻撃要求トラフィック110を中間ノード104および106へ、ネットワーク112を介して送信する。このトラフィックには攻撃要求パケットが含まれ、各攻撃要求パケットは、個々の中間ノード104および106に、攻撃応答パケット114をエンドノード108に送信させるように構成される。従って、攻撃応答データの量が攻撃要求データの量より大きい場合、「増幅された」レベルの攻撃応答トラフィック114がエンドシステム108に通信される(すなわち、攻撃要求トラフィックのレベルに対して)。
例えば、不良コントローラノード102は、大量のHTTP GET要求トラフィックを中間ノード104および106に送信することができる。ある種の攻撃では、HTTP GET要求トラフィックは、犠牲者(すなわち、エンドノード108)のなりすましされた(spoofed)ソースアドレスを含む、攻撃要求パケットを含む。中間ノードは、一連のHTTP RESPONSEパケットを攻撃トラフィックのソースアドレスに送信することによって、HTTP GET要求パケットに応答するようになる。このような応答トラフィックは、しばしば、挿入されたHTTP GET要求トラフィックよりも大きい。従って、中間ノードは、不良コントローラノード102から受信されたトラフィックを増加させ、中間ノードが「増幅された」応答トラフィックをエンドノード108における攻撃として送信するようになる。複数の中間ノード104および106の使用は、さらにこの影響を増幅させる。このような増幅された攻撃トラフィックは、エンドノード108の使用可能な帯域幅および他のリソースを圧迫し、結果としてエンドノード108における「サービス拒否」攻撃となる可能性がある。中間ノード104および106ならびにエンドシステム108の操作は、このような攻撃によって損なわれる可能性がある。
中間ノードによって受信されたすべてのパケットが必ずしも攻撃要求パケットを構成するとは限らないことを理解されたい。多数のシナリオでは、任意のコントローラノードは、エンドシステムへのアクセスのために、攻撃を構成することなく、正当な要求をプロキシサーバに送信することができる。例えば、中間ノードは正当なHTTP GET要求に対して、その要求が攻撃の一部となることなく、受信および応答することができる。それにもかかわらず、コントローラノードは、攻撃要求パケットをプロキシサーバに、増幅攻撃の一部として送信することもできる。個々の正当な要求パケットと攻撃要求パケットの間の差異を認識することは、攻撃要求パケットの良くない性質が、しばしば個々のパケットごとに明白ではないので、問題になる可能性がある。
加えて、一実施態様では、信頼関係がコントローラノードと中間ノードの間に存在する可能性があり、信頼関係の中で受信されたパケットは、安全または「非攻撃」パケットと見なされる場合がある。従って、いくつかの実施態様では、このようなパケットを、攻撃要求パケットの「候補」として考慮することから除外する場合がある。しかし、信頼関係の中で通信されたトラフィックでさえ攻撃要求パケットを含む場合があり、従って、他の実施態様では、このようなパケットは、なお潜在的アタッカーと見なされることを理解されたい。ネットワーク管理者は、信頼されたパケットが候補攻撃要求パケットと見なされるかどうかについて、中間ノードを設定することができる。それにもかかわらず、候補攻撃要求パケットは、実際には攻撃要求パケットである場合もそうでない場合もある。
よって、「候補攻撃要求パケット」は、コントローラノードによるモニタリングされたリソースの量を暗示しまたは指定し、中間ノードによってその上で実行された場合、結果として、エンドシステムでのそのモニタリングされたリソースの応答量の消費(または、その消費のための要求)となる、コントローラ要求パケットを指す。応答量は、要求された量より大きい場合も、それより小さい場合も、あるいはそれに等しい場合もある。このような候補攻撃要求パケットは、結果として、可能な増幅を有する分散サービス拒否攻撃となる場合がある。リソースの「暗示された」量の一例は、ネットワーク帯域幅であり、ネットワーク帯域幅は、要求パケットトラフィックの量によって暗示される場合がある。対照的に、ストレージ要求は、コントローラノードによって要求されたストレージの量を指定することができる。
候補攻撃要求パケットの一例には、ウェブプロキシによって受信および検出されるコントローラからのHTTP要求が含まれ、ウェブプロキシは、別のサーバ(例えば、URLまたはネクストホップのプロキシによって示唆されたサーバ)にプロキシ要求を行うことによってのみ、この要求を満たすことができる。また、いくつかの実施態様では、候補攻撃要求パケットを、中間ノードとコントローラノードの間に存在する以前の信頼/身元関係に依拠することなく、ネットワーク内の中間ノードによって軽減されたフレームワーク内で通常に処理することができる。
攻撃要求パケットを受信する可能性が与えられると、各中間ノード104および106は、このようなパケットに応答して引き起こされる可能性のある損害を軽減する機能を組み込む。このために、中間ノード104および106は、候補攻撃要求パケットを検出し、起こりうる攻撃応答パケットの出力トラフィックを、入力された候補攻撃要求パケットのトラフィックに基づいて制限することができる。一実施態様では、増幅率(所与のソースから受信された要求パケットと各中間ノードを通じて送信された応答パケットの間の)は、わずか1:1に過ぎない比率(例えば1:「≦1」)に制限される。他の実施態様では、受け入れ可能な増幅率は、1:1の比率の近接(例えば、1:「≦1.1」、1:「≦2」、または、ネットワーク管理者によって受け入れ可能と見なされる、より大きい定義済みの比率)に制限される場合がある。1:1より大きい比率は、コントローラのためのより短い充電サイクルを与える。それにもかかわらず、ネットワーク管理者は、この受け入れ可能なトレードオフを発見して、中間ノードを通じた正当なトラフィックのパフォーマンスを向上させることができる。このように各中間ノードからエンドシステムへの応答トラフィックのレベルを、受信された候補攻撃要求トラフィックのレベルに基づいて制限することによって、アタッカーがわざわざ分散スレーブをハイジャックするためのインセンティブは、大幅に低減される。
加えて、信頼されたチャネル116を介した通信が複数の中間ノードの間に存在する場合、中間ノードは、増幅率の管理を調整して、ネットワーク使用の分散ポリシングおよびモニタリングを提供することができる。
図2は、コントローラノード202、ルーターの形態における複数の中間ノード204、206および208、および、電子商取引サイトまたは企業の他のリソースサーバなどのエンドシステム210を含む、ネットワーク構成200を示す。例えば、ルーター204、206および208は、パケットを企業の内部ネットワーク218にルーティングする。例示的な増幅攻撃のシナリオでは、不良コントローラノード202は、大量の攻撃要求パケット212をルーター204、206および208へ、ネットワーク214を介して挿入する。攻撃要求パケットは、各ルーターに、一連の攻撃応答パケット216をエンドノード210に送信させる(例えば、HTTP GET要求または他のメソッド内のソースアドレスをなりすますことによる)ように構成される。従って、増幅されたレベルの攻撃応答トラフィック216が、エンドシステム210に通信される。
しかし、中間ノード204、206および208は、候補攻撃要求パケットを検出し、可能な攻撃応答パケットの出力トラフィックを、入力候補攻撃要求パケットトラフィックの検出に基づいて制限することができる。一実施態様では、1:「≦1」の増幅率を、受信された要求パケットと各中間ノードを通じて送信された応答パケットとの間で維持する。このように、各ルーターからエンドシステムへの応答トラフィックのレベルを、受信された候補攻撃要求トラフィックのレベルに基づいて制限することによって、アタッカーがわざわざ分散スレーブをハイジャックするためのインセンティブを、大幅に低減する。
図1に関して論じたものに類似の方法で、信頼されたチャネルを介した通信が複数の中間ノードの間に存在する場合、中間ノードは、増幅率の管理を調整して、ネットワーク使用の分散ポリシングおよびモニタリングを提供することができる。
図3は、増幅攻撃軽減サブシステム300の例示的実施態様を示す。図3の例示された実施態様では、増幅攻撃を軽減するシステムは、ネットワークサブシステムモジュールとして(例えば、プロトコルドライバ内で)実装され、このモジュールは、中間ノードのための攻撃を軽減する機能を提供する。
パケットトラフィックは、ネットワークトランスポートスタック302を通じてネットワークと通信する。受信されたパケットには、正当なノードまたは不良なノードからの要求パケットが含まれる可能性があり、受信されたパケットは、ネットワーク要求プロセッサ304に渡される。ネットワーク要求プロセッサ304は、各パケットの宛先アドレス、タイプおよびソースアドレスを検出/評価する。この情報に基づいて、ネットワーク要求プロセッサ304は、各受信されたパケットが候補攻撃要求パケットであるかどうかを判断する。この検出は、パケットが攻撃要求パケットの「候補」と見なされるようにするパケット情報を定義するように構成される場合がある。例えば、管理者は、所与のタイプの、または、所与の宛先アドレスへのパケットが決して攻撃のための「候補」と見なされないと決定することができる。従って、検出操作は、一実施態様では、選択的および構成可能である。
候補攻撃要求パケットが検出される場合、ネットワーク要求プロセッサ304は、そのパケットについてのクレジットを計算する。例示的なクレジットのプロパティは、パケットサイズ、ストレージ要求サイズ、中央処理装置(CPU)使用要求、電力要件などに基づくことができる。パケットごとに計算されたクレジットは、送信スケジューラ308のクレジットカウンタ306に渡され、パケットは、プロキシアプリケーション、ルーティングアプリケーションまたは他の中間アプリケーションなど、宛先アプリケーション310上に、インタフェース312を通じて転送される。
クレジットカウンタ306は、送信のために使用可能なクレジットのバランスを維持する。受信バイトをクレジットプロパティとして使用する単純な実施例では、中間ノードが5つの各100バイトの候補攻撃要求パケットを受信する場合、500単位のクレジットを、クレジットカウンタ306に「預け入れる」ことができる。従って、最大500バイトを、受信された要求パケットに応答して送信することができ、応答パケットが送信スケジューラ308を通じて送信されると、クレジットは引き出される(draw down)。一実施態様では、クレジットは、すべてのコントローラについて(コントローラ毎のベースではなく)累積されて、アタッカーが複数の有効なコントローラの身元に成りすますシナリオが回避され、クレジットの増幅された蓄積を作成する。しかし、他の実施態様では、クレジットをコントローラ毎のベースで、パケットタイプ毎のベースで、エンドシステム毎のベースで(例えば、所与のクラスのシステム内で信頼可能に識別されるホストのセット)、および他のより細かいベースで、累積および評価することができる。
例示的実施態様では、クレジットカウンタ306は、クレジットカウンタ306によって累積することができるクレジットの最大量を制限するクレジット制限Lが設定されることにおいても、制限される。従って、中間ノードは、クレジットを(例えば、現在のコントローラから受信されたデータの受信量に基づいて)、最大でクレジット制限Lまで累積することができる。
加えて、例示的実施態様では、クレジットカウンタ306は、クレジットタイマ314と対話することもでき、クレジットタイマ314は、クレジットが送信スケジューラ308を通じた送信のために使用可能である期間を制限する。初期状態(例えば、クレジットがクレジットカウンタ306内に累積されない状態)では、クレジットタイマ314は、クレジットがクレジットカウンタ306に追加されるとき、Tのタイムアウト値から始動される。クレジットタイマ314がカウントダウン中である期間中に、送信は、クレジットカウンタ306によって維持されたクレジットを引き出す。クレジットタイマ314が満了する場合、クレジットカウンタ306内のすべての残りのクレジットは、キャンセルされる(例えば、ゼロに設定される)。クレジット制限値Lおよびタイムアウト値Tを、ネットワーク内で予期される実際の作業負荷と一致するように設定することができる。
クレジットタイマ314がカウントダウン中であり、クレジットカウンタ306がその最大値Lでない間に、追加の候補攻撃要求パケットが中間ノードによって受信される場合、クレジットタイマ314は、タイムアウト値Tから再始動される。追加の候補攻撃要求パケットが受信されるとき、クレジットタイマ314のカウントダウン中にクレジットカウンタ306がすでにその最大値Lである場合、カウントダウンは、再始動なしに継続する。
図3に関して説明した構成に基づいて、分散攻撃に対するネットワークのエクスポージャ(すなわち、攻撃バイトの最大数Bmax)は、Min(UT,NL)によって制限される。ただし、Uは「アタッカーのアップリンク帯域幅」を表し、Nは「ネットワーク内の中間物の数」を表す。企業用の分散ネットワークプロトコルの設計者は、Bmaxの受け入れ可能な値を定義することができる。一実施態様では、Bmaxは、企業のネットワーク内のすべての既知の攻撃ターゲットに渡る最小ダウンリンク帯域幅によって制限される場合がある。
インタフェース312は、アプリケーション310と増幅攻撃軽減サブシステム300の間の通信インタフェースを提供する。加えて、インタフェース312は、管理者がネットワーク統計を監視することができるユーザインタフェースも提供することができ、ネットワーク統計には、クレジット状態およびタイマ状態の監視すること、および、サブシステムプロパティ(例えば、クレジット制限Lまたはタイムアウト値T)を構成することが含まれる。
いくつかの実施態様では、中間ノードは、異なるリソース(例えば、帯域幅、ストレージなど)、異なるコントローラアドレス、異なるエンドシステム、異なるパケットタイプ、および他の基準について、個々のクレジットカウンタおよびタイマを維持することができることを理解されたい。中間ノードは、どの応答パケットがどの要求パケットによって生じるかを追跡し、クレジットを対応するクレジットカウンタから引き出す。
図4は、アプリケーション400における増幅攻撃軽減コンポーネントの例示的実施態様を示す。図4のアプリケーション攻撃コンポーネントにおける1つの違いは、アプリケーション攻撃コンポーネントがアプリケーション400に統合され、アプリケーションモジュール402が、インタフェース408を通じてではなく、ネットワーク要求プロセッサ404および送信スケジューラ406と直接通信することである。全体的に、図3および4に例示した実施態様は、増幅攻撃軽減サブシステムがネットワークサブシステム内に(図3)、または、プロキシアプリケーションもしくはルーターアプリケーションなど、アプリケーションの機能として(図4)配置される場合があることを表す。
図5は、パケットを受信するための例示的操作500を示す。受信操作502は、パケットを1または複数のソースから受信する。受信されたパケットには、非攻撃パケットおよび攻撃要求パケットが含まれる可能性がある。検出操作504は、各パケットを評価して、そのパケットが攻撃パケットである可能性があるかどうかを、使用可能な候補定義に基づいて判断する。例えば、検出操作504は、ある候補定義を各パケットに適用し、パケットがその定義を満たす場合、そのパケットを候補攻撃要求パケットとして指定することができる。例示的な候補定義パラメータには、ソースアドレス、パケットタイプ、宛先アドレス、日付、時間、パケットサイズおよび他のパケット特性を含むことができる。
例えば、TCPスタックシグネチャを、候補定義パラメータとして使用することができる。特定のTCP実装の遅延およびビヘイビアを評価して、特定のエンドシステムタイプ/バージョンを識別する。これは、TCP/IPの仕様が、微妙に異なる実装を可能にするための十分な柔軟性を許容するので、可能である。これらの微妙に異なるビヘイビアの検出は、エンドシステムが特定のOSバージョンを実行中であるかどうか、および、TCP/IPスタックの特定のパッチレベルが既知のセキュリティ上の弱点に対して脆弱であるかどうかを判断するための、従来のハッカー技術である。
パケットが候補攻撃要求パケットとして指定されない場合、パケットは送信操作506によって宛先(例えば、中間ノード内のアプリケーション)へ送信される。しかし、パケットが候補攻撃要求パケットとして指定される場合、パケットのためのクレジット値は、計算操作508内で計算される(例えば、パケットのサイズ、要求されたリソースの量など)。
預け入れ操作510で、計算されたクレジットは、クレジットカウンタに、最大で中間ノードのクレジット制限Lまで「預け入れ」られる。預け入れの結果として、クレジットカウンタがそのクレジット制限でない場合、クレジットタイマを再始動させることになる場合がある。次に、受信されたパケットは送信操作506によって宛先(すなわち、ローカルアプリケーション)に送信される。次いで、処理は受信操作502に戻り、後続のパケットを受信する。
図6は、応答パケットを送信するための例示的操作600を示す。選択操作602は、中間ノード内のアプリケーションまたはサービスによって実装された送信バッファからパケットを選択する。計算操作604は、選択されたパケットを宛先に送信するために必要とされたクレジットを計算する。例えば、パケットのサイズを、クレジット要件として使用することができる。対照的に、選択されたパケットによる宛先ノードの要求されたストレージの量(すなわち、バックアップまたはデータミラーリングアプリケーションにおける)を、クレジットのプロパティとして使用してもよい。他のクレジットプロパティを使用してもよく、これらのプロパティは、CPU要求、記憶容量、電力などを含む。
判断操作606は、パケットを送信するためにクレジットカウンタ内に十分なクレジットが存在するかどうかを判断する。そうでない場合、パケットの送信は、変更操作608内で何らかの方法で変更される。例えば、パケットの送信を、十分なクレジットが存在する、および/または、廃棄される(例えば、パケットがドロップされる)まで、遅延することができる。次に、処理は選択操作602に戻り、後続のパケットを選択する。
パケットを送信するためにクレジットカウンタ内に十分なクレジットが存在する場合、差し引き操作610は、必要とされたクレジットをクレジットカウンタから差し引き、送信操作612は、パケットをその宛先に送信する。処理は選択操作602に戻り、後続のパケットを選択する。
図7は、コントローラノード700、ストレージリソース706および708を有する複数のエンドシステム702および704、ならびに、ストレージリソース712を有するバックアップサーバ710を含む、ネットワーク構成を示す。図7のアーキテクチャは、コントローラノード700がデータをストレージリソース706および708上に格納することができ、格納されたデータがバックアップサーバ710のストレージリソース712上にバックアップされるように設計される。操作上、コントローラノード700は、例えば、エンドシステム702で指定された量のストレージスペースを必要とするストレージパケットを送信することができる。この要求に応答して、エンドシステム702は、データをストレージリソース706内に格納し、バックアップ要求およびデータをバックアップサーバ710に転送する。
十分な量において、不良コントローラノードは、バックアップサーバ710をこのような要求により1または複数のエンドシステムを通じて圧迫することができ、バックアップサーバ710への帯域幅を飽和し、および/または、使用可能なストレージおよびCPU能力が使い尽くされるようにすることができる。従って、エンドシステム702および704(この実施例では、コントローラノード700とバックアップサーバ710の間の中間ノードとして動作中である)を通じて要求されたバックアップストレージの量を、クレジットカウンティングおよびクレジットタイミングを使用して制限することによって、バックアップサーバおよびエンドシステムのパフォーマンスおよびリソースに対するいかなる障害をも軽減することができる。
他のエンドシステムリソースを、説明したシステム、方法およびプログラム製品の様々な実施態様において保護することができ、他のエンドシステムリソースには、制限なしに、CPU能力、電力網またはバッテリバックアップからの電力、およびメモリ容量が含まれることも理解されたい。
本発明を実施するための図8の例示的ハードウェアおよびオペレーティング環境には、コンピュータ20の形態における汎用コンピューティングデバイスが含まれ、コンピュータ20には、処理装置21、システムメモリ22、および、システムメモリを含む様々なシステムコンポーネントを処理装置21に動作可能に結合するシステムバス23が含まれる。ただ1つ、または1つ以上の処理装置21が存在する場合があり、コンピュータ20のプロセッサは、単一の中央処理装置(CPU)を備えるようになるか、あるいは、複数の処理装置を備えるようになり、これは一般に並列処理環境と呼ばれる。コンピュータ20は、従来のコンピュータであってもよく、分散コンピュータであってもよく、または他のいかなる種類のコンピュータであってもよく、本発明はそのように限定されない。
システムバス23をいくつかの種類のバス構造のいずれにすることもでき、これらのバス構造には、様々なバスアーキテクチャのいずれかを使用するメモリバスまたはメモリコントローラ、周辺バス、スイッチドファブリック、ポイントツーポイント接続、およびローカルバスが含まれる。システムメモリはまた単にメモリとも呼ばれる場合があり、読み取り専用メモリ(ROM)24およびランダムアクセスメモリ(RAM)25が含まれる。基本入出力システム(BIOS)26は、起動中など、コンピュータ20内の複数の要素の間で情報を転送する助けとなる基本ルーチンを含み、ROM24に格納される。コンピュータ20は、図示しないハードディスクに対する読み書きを行うためのハードディスクドライブ27、リムーバブル磁気ディスク29に対する読み書きを行うための磁気ディスクドライブ28、および、CD ROMや他の光媒体などのリムーバブル光ディスク31に対する読み書きを行うための光ディスクドライブ30をさらに含む。
ハードディスクドライブ27、磁気ディスクドライブ28および光ディスクドライブ30はシステムバス23を、それぞれハードディスクドライブインタフェース32、磁気ディスクドライブインタフェース33および光ディスクドライブインタフェース34に接続する。これらのドライブおよびそれらの関連付けられたコンピュータ読取り可能媒体は、コンピュータ20用のコンピュータ読取り可能命令、データ構造、プログラムモジュールおよび他のデータの不揮発性ストレージを提供する。コンピュータによってアクセス可能であるデータを格納することができる、いかなる種類のコンピュータ読取り可能媒体をも例示的オペレーティング環境内で使用することができ、これらのコンピュータ読取り可能媒体は、磁気カセット、フラッシュメモリカード、デジタルビデオディスク、ランダムアクセスメモリ(RAM)、および読み取り専用メモリ(ROM)などであることを、当業者には理解されたい。
いくつかのプログラムモジュールをハードディスク、磁気ディスク29、光ディスク31、ROM24またはRAM25上に格納することができ、これらのプログラムモジュールは、オペレーティングシステム35、1または複数のアプリケーションプログラム36、他のプログラムモジュール37およびプログラムデータ38を含む。ユーザは、コマンドおよび情報をパーソナルコンピュータ20へ、キーボード40およびポインティングデバイス42などの入力デバイスを通じて入力することができる。他の入力デバイス(図示せず)には、マイクロフォン、ジョイスティック、ゲームパッド、衛星放送受信アンテナ、スキャナなどが含まれる可能性がある。これらおよび他の入力デバイスは、しばしば処理装置21へ、システムバスに結合されるシリアルポートインタフェース46を通じて接続されるが、パラレルポート、ゲームポートまたはユニバーサルシリアルバス(USB)など、他のインタフェースによって接続されてもよい。モニタ47または他のタイプの表示デバイスもまたシステムバス23へ、ビデオアダプタ48などのインタフェースを介して接続される。モニタに加えて、コンピュータには通常、スピーカおよびプリンタなど、他の周辺出力デバイス(図示せず)が含まれる。
コンピュータ20は、ネットワーク環境において、リモートコンピュータ49など、1または複数のリモートコンピュータへの論理接続を使用して動作することができる。これらの論理接続は、コンピュータ20またはその一部に結合された通信デバイスによって達成され、本発明は特定のタイプの通信デバイスに限定されない。リモートコンピュータ49は、別のコンピュータ、サーバ、ルーター、ネットワークPC、クライアント、ピアデバイスまたは他の共通ネットワークノードであってもよく、典型的には、コンピュータ20に関連して上述した要素の多数またはすべてを含むが、メモリストレージデバイス50のみが図8に例示されている。図8に示す論理接続には、ローカルエリアネットワーク(LAN)51およびワイドエリアネットワーク(WAN)52が含まれる。このようなネットワーキング環境は、オフィスネットワーク、企業全体のコンピュータネットワーク、イントラネットおよびインターネットにおいて一般的であり、これらはすべての種類のネットワークである。
LANネットワーキング環境において使用されるとき、コンピュータ20は、ローカルネットワーク51へ、通信デバイスの1つの種類であるネットワークインタフェースまたはアダプタ53を通じて接続される。WANネットワーキング環境において使用されるとき、コンピュータ20は、典型的には、モデム54、ネットワークアダプタ、ある種の通信デバイス、または、ワイドエリアネットワーク52を介して通信を確立するための他のいかなる種類の通信デバイスも含む。モデム54は、内部であっても外部であってもよく、システムバス23へ、シリアルポートインタフェース46を介して接続される。ネットワーク環境では、コンピュータ20に関連して示したプログラムモジュールまたはその一部を、リモートメモリストレージデバイスに格納することができる。図示のネットワーク接続は例示的であり、複数のコンピュータの間で通信リンクを確立する他の手段およびそのための通信デバイスを使用することができることは理解されよう。
例示的実施態様では、ネットワーク要求プロセッサ、送信スケジューラ、インタフェースおよびアプリケーションモジュール、ネットワークトランスポートスタック、および他のモジュールを、オペレーティングシステム35、アプリケーションプログラム36または他のプログラムモジュール37の一部として組み込むことができる。クレジットデータ、クレジット制限、タイムアウト値、ソースおよび宛先アドレス、候補定義、および他のデータを、プログラムデータ38として格納することができる。
本明細書で説明した本発明の実施形態は、1または複数のコンピュータシステム内の論理ステップとして実装される。本発明の論理操作は、(1)1または複数のコンピュータシステム内で実行するプロセッサ実装ステップのシーケンスとして、および(2)1または複数のコンピュータシステム内で相互接続されたマシンモジュールとして実装される。この実装は、本発明を実施するコンピュータシステムのパフォーマンス要件に応じて選択できることである。従って、本明細書で説明した本発明の実施形態を構成する論理操作は、オペレーション、ステップ、オブジェクトまたはモジュールとして様々に称される。
上記の明細、実施例およびデータは、本発明の例示的実施形態の構造および使用の完全な説明を提供する。本発明の多数の実施形態を、本発明の精神および範囲から逸脱することなく作成することができるので、本発明は、付属の特許請求の範囲に存在する。
コントローラノード、複数の中間ノード、およびエンドシステムを含むネットワーク構成を示す図である。 コントローラノード、ルーターの形態における複数の中間ノード、およびエンドシステムを含むネットワーク構成を示す図である。 増幅攻撃軽減サブシステムの例示的実施態様を示す図である。 アプリケーションにおける増幅攻撃軽減コンポーネントの例示的実施態様を示す図である。 パケットを受信するための例示的操作を示す図である。 応答パケットを送信するための例示的操作を示す図である。 コントローラノード、ストレージリソースを有する複数のエンドシステム、および、ストレージリソースを有するバックアップサーバを含むネットワーク構成を示す図である。 説明した技術の実施態様において有用な例示的システムを示す図である。
符号の説明
302 ネットワークトランスポートスタック
304 ネットワーク要求プロセッサ
306 クレジットカウンタ
308 送信スケジューラ
310 アプリケーション
312 インタフェース
314 クレジットタイマ

Claims (15)

  1. ネットワークのエンドシステムに対するコントローラノードによる増幅攻撃を軽減する方法であって、
    前記ネットワーク内の中間ノードによって受信されたパケットに対して候補定義を適用し、前記受信されたパケットの中から1または複数の候補攻撃要求パケットを検出することであって、前記候補攻撃要求パケットは、前記中間ノードに、前記候補攻撃要求パケットのデータ量より大きいデータ量の応答パケットを送信させること、
    前記中間ノードによって受信された候補攻撃要求パケットごとに、データ量を表すクレジットを累積すること、
    前記中間ノードから前記エンドシステムに送信される、前記受信された候補攻撃要求パケットに対応する応答パケットごとにクレジットを計算すること、
    前記計算されたクレジットが前記累積されたクレジットを越えない場合、前記応答パケットを前記中間ノードから前記エンドシステムに送信すること、および
    前記応答パケットの送信に応答して、前記累積されたクレジットから前記応答パケットの計算されたクレジットを減算すること
    を備えたことを特徴とする方法。
  2. 前記計算されたクレジットが前記累積されたクレジットを越える場合、前記応答パケットを前記中間ノードでドロップすることをさらに備えたことを特徴とする請求項1に記載の方法。
  3. 前記計算されたクレジット値が前記累積されたクレジットを越える場合、前記中間ノードから前記エンドシステムへの前記応答パケットの送信を遅延させることをさらに備えたことを特徴とする請求項1に記載の方法。
  4. 前記中間ノードによって累積された前記クレジットの上限を事前定義されたしきい値に制限することをさらに備えたことを特徴とする請求項1に記載の方法。
  5. 前記中間ノードによって累積された前記クレジットを、タイマに従って減らすことをさらに備えたことを特徴とする請求項1に記載の方法。
  6. 前記中間ノードによって累積された前記クレジットを、タイマに従って減らすことであって、前記タイマは、新しい候補攻撃要求パケットが前記中間ノードによって受信され、前記累積されたクレジットが増すとき、再始動されることをさらに備えたことを特徴とする請求項1に記載の方法。
  7. ネットワークのエンドシステムに対するコントローラノードによる増幅攻撃を軽減するためのコンピュータプログラムであって、
    前記ネットワーク内の中間ノードによって受信されたパケットに対して候補定義を適用し、前記受信されたパケットの中から1または複数の候補攻撃要求パケットを検出することであって、前記候補攻撃要求パケットは、前記中間ノードに、前記候補攻撃要求パケットのデータ量より大きいデータ量の応答パケットを送信させること、
    前記中間ノードによって受信された候補攻撃要求パケットごとに、データ量を表すクレジットを累積すること、
    前記中間ノードから前記エンドシステムに送信される、前記受信された候補攻撃要求パケットに対応する応答パケットごとにクレジットを計算すること、
    前記計算されたクレジットが前記累積されたクレジットを越えない場合、前記応答パケットを前記中間ノードから前記エンドシステムに送信すること、および
    前記応答パケットの送信に応答して、前記累積されたクレジットから前記応答パケットの計算されたクレジットを減算すること
    をコンピュータに実行させることを特徴とするコンピュータプログラム。
  8. 前記計算されたクレジットが前記累積されたクレジットを越える場合、前記応答パケットを前記中間ノードでドロップすることを前記コンピュータに実行させることを特徴とする請求項7に記載のコンピュータプログラム。
  9. 前記計算されたクレジット値が前記累積されたクレジットを越える場合、前記中間ノードから前記エンドシステムへの前記個々の応答パケットの送信を遅延させることを前記コンピュータに実行させることを特徴とする請求項7に記載のコンピュータプログラム。
  10. 前記中間ノードによって累積された前記クレジットの上限を事前定義されたしきい値に制限することを前記コンピュータに実行させることを特徴とする請求項7に記載のコンピュータプログラム。
  11. 前記中間ノードによって累積された前記クレジットを、タイマに従って減らすことを前記コンピュータに実行させることを特徴とする請求項7に記載のコンピュータプログラム。
  12. 前記中間ノードによって累積された前記クレジットを、タイマに従って減らすことであって、前記タイマは、新しい候補攻撃要求パケットが前記中間ノードによって受信され、前記累積されたクレジットが増すとき、再始動されることを前記コンピュータに実行させることを特徴とする請求項7に記載のコンピュータプログラム。
  13. ネットワーク内のエンドシステムに対するコントローラノードによる増幅攻撃を軽減するためのネットワーキングサブシステムであって、
    前記ネットワーク内の中間ノードによって受信されたパケットに対して候補定義を適用し、前記受信されたパケットの中から1または複数の候補攻撃要求パケットを検出するネットワーク要求プロセッサであって、前記候補攻撃要求パケットは、前記中間ノードに、前記候補攻撃要求パケットのデータ量より大きいデータ量の応答パケットを送信させること、
    前記中間ノードによって受信された候補攻撃要求パケットごとに、データ量を表すクレジットを累積し、前記中間ノードから前記エンドシステムに送信される、前記受信された候補攻撃要求パケットに対応する応答パケットごとにクレジットを計算し、前記計算されたクレジットが前記累積されたクレジットを越えない場合、前記応答パケットを前記中間ノードから前記エンドシステムに送信し、および前記応答パケットの送信に応答して、前記累積されたクレジットから前記応答パケットの計算されたクレジットを減算する送信スケジューラと
    を備えたことを特徴とするネットワーキングサブシステム。
  14. 受信されたパケットが、信頼されたパケットまたは候補攻撃要求パケットであるか否か判定することであって、該候補攻撃要求パケットは、中間ノードがエンドシステムに応答パケットを通信するように構成された攻撃要求パケットであって前記応答パケットのデータ量が前記中間ノードによって受信された攻撃要求パケットに含まれるデータ量より大きい攻撃要求パケットの候補であ、少なくとも前記エンドシステムに関連付けられた宛先アドレスおよび前記受信されたパケットのソースに関連付けられたソースアドレスに基づいて判定すること、
    前記受信されたパケットが信頼されたパケットであると判定されると、前記受信されたパケットを宛先アドレスに送信すること、
    前記受信されたパケットが候補攻撃要求パケットであると判定されると、前記候補攻撃要求パケットに含まれるデータ量を前記受信されたパケットのソースに関連付けられた第1のデータ量に加え、該第1のデータ量は、前記ソースから受信した全データ量から前記ソースに代わって送信されたデータ量を差し引いたデータ量を示すこと、および
    前記候補攻撃要求パケットの応答パケットのデータ量が前記第1のデータ量より小さいとき、前記候補攻撃要求パケットを宛先アドレスに送信すること
    を備えたことを特徴とする方法。
  15. 前記判定することは、前記宛先アドレス、前記受信されたパケットのタイプおよび前記ソースアドレスに基づいて判定することを特徴とする請求項14に記載の方法。
JP2005114426A 2004-04-29 2005-04-12 ネットワーク増幅攻撃の軽減 Expired - Fee Related JP4794197B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/837,434 2004-04-29
US10/837,434 US7966661B2 (en) 2004-04-29 2004-04-29 Network amplification attack mitigation

Publications (2)

Publication Number Publication Date
JP2005318578A JP2005318578A (ja) 2005-11-10
JP4794197B2 true JP4794197B2 (ja) 2011-10-19

Family

ID=34939255

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005114426A Expired - Fee Related JP4794197B2 (ja) 2004-04-29 2005-04-12 ネットワーク増幅攻撃の軽減

Country Status (5)

Country Link
US (2) US7966661B2 (ja)
EP (1) EP1592197B1 (ja)
JP (1) JP4794197B2 (ja)
KR (1) KR101312905B1 (ja)
CN (1) CN1783809B (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7966661B2 (en) * 2004-04-29 2011-06-21 Microsoft Corporation Network amplification attack mitigation
US7872975B2 (en) * 2007-03-26 2011-01-18 Microsoft Corporation File server pipelining with denial of service mitigation
KR100892086B1 (ko) * 2007-07-09 2009-04-06 에스케이 텔레콤주식회사 유비쿼터스 센서 네트워크에서의 시빌공격 탐지방법
EP2304915A1 (en) * 2008-04-29 2011-04-06 Telefonaktiebolaget LM Ericsson (publ) Improved intrusion detection and notification
US20110016523A1 (en) * 2009-07-14 2011-01-20 Electronics And Telecommunications Research Institute Apparatus and method for detecting distributed denial of service attack
WO2011099773A2 (ko) * 2010-02-10 2011-08-18 주식회사 유섹 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템 및 그 방법
US9225731B2 (en) 2012-05-24 2015-12-29 International Business Machines Corporation System for detecting the presence of rogue domain name service providers through passive monitoring
US10085328B2 (en) 2014-08-11 2018-09-25 RAB Lighting Inc. Wireless lighting control systems and methods
US10531545B2 (en) 2014-08-11 2020-01-07 RAB Lighting Inc. Commissioning a configurable user control device for a lighting control system
US10039174B2 (en) 2014-08-11 2018-07-31 RAB Lighting Inc. Systems and methods for acknowledging broadcast messages in a wireless lighting control network
US9769202B2 (en) 2014-09-12 2017-09-19 Level 3 Communications, Llc Event driven route control
CN107872434B (zh) * 2016-09-27 2020-12-01 阿里巴巴集团控股有限公司 一种访问点的筛选方法和装置
US10872393B2 (en) * 2017-05-15 2020-12-22 Google Llc Image processor with high throughput internal communication protocol
US10693892B2 (en) 2017-12-11 2020-06-23 International Business Machines Corporation Network attack tainting and tracking

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6377546B1 (en) * 1998-05-12 2002-04-23 International Business Machines Corporation Rate guarantees through buffer management
US6724721B1 (en) * 1999-05-07 2004-04-20 Cisco Technology, Inc. Approximated per-flow rate limiting
TW518864B (en) * 2000-05-12 2003-01-21 Ibm Methods and system for defeating TCP SYN flooding attacks
US7043759B2 (en) * 2000-09-07 2006-05-09 Mazu Networks, Inc. Architecture to thwart denial of service attacks
KR100469711B1 (ko) * 2001-01-18 2005-02-02 삼성전자주식회사 이동통신시스템에서 역방향 송신 제어 장치 및 방법
US7007169B2 (en) * 2001-04-04 2006-02-28 International Business Machines Corporation Method and apparatus for protecting a web server against vandals attacks without restricting legitimate access
AU2002303501A1 (en) 2001-04-27 2002-11-11 Wanwall, Inc. Weighted fair queuing-based methods and apparatus for protecting against overload conditions on nodes of a distributed network
US7039954B2 (en) * 2001-05-04 2006-05-02 International Business Machines Corporation Method for enabling a network-addressable device to detect use of its identity by a spoofer
US7308715B2 (en) * 2001-06-13 2007-12-11 Mcafee, Inc. Protocol-parsing state machine and method of using same
KR20030009887A (ko) * 2001-07-24 2003-02-05 주식회사 케이티 서비스거부 공격 차단시스템 및 방법
US7047303B2 (en) * 2001-07-26 2006-05-16 International Business Machines Corporation Apparatus and method for using a network processor to guard against a “denial-of-service” attack on a server or server cluster
US7845004B2 (en) * 2001-07-27 2010-11-30 International Business Machines Corporation Correlating network information and intrusion information to find the entry point of an attack upon a protected computer
US7143180B2 (en) * 2001-08-16 2006-11-28 International Business Machines Corporation System and method for protecting a TCP connection serving system from high-volume of TCP connection requests
US7308714B2 (en) * 2001-09-27 2007-12-11 International Business Machines Corporation Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack
US7093294B2 (en) * 2001-10-31 2006-08-15 International Buisiness Machines Corporation System and method for detecting and controlling a drone implanted in a network attached device such as a computer
US7150043B2 (en) * 2001-12-12 2006-12-12 International Business Machines Corporation Intrusion detection method and signature table
US7035258B2 (en) * 2001-12-27 2006-04-25 Microsoft Corporation Method and system for dynamically adjusting transmit and receive parameters for handling negative acknowledgments in reliable multicast
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7222366B2 (en) * 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
JP3566699B2 (ja) * 2002-01-30 2004-09-15 株式会社東芝 サーバ計算機保護装置および同装置のデータ転送制御方法
JP3652661B2 (ja) 2002-03-20 2005-05-25 日本電信電話株式会社 サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム
JP3609382B2 (ja) * 2002-03-22 2005-01-12 日本電信電話株式会社 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
US7140041B2 (en) * 2002-04-11 2006-11-21 International Business Machines Corporation Detecting dissemination of malicious programs
US20030200441A1 (en) * 2002-04-19 2003-10-23 International Business Machines Corporation Detecting randomness in computer network traffic
JP3862003B2 (ja) 2002-04-23 2006-12-27 日本電気株式会社 帯域制御方法および輻輳制御方法ならびにネットワーク構成装置
US7051102B2 (en) * 2002-04-29 2006-05-23 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) security infrastructure and method
US20030229714A1 (en) * 2002-06-05 2003-12-11 Amplify.Net, Inc. Bandwidth management traffic-shaping cell
CA2496779C (en) * 2002-08-26 2011-02-15 Guardednet, Inc. Determining threat level associated with network activity
US7966661B2 (en) 2004-04-29 2011-06-21 Microsoft Corporation Network amplification attack mitigation

Also Published As

Publication number Publication date
KR20060047629A (ko) 2006-05-18
US20050246774A1 (en) 2005-11-03
CN1783809B (zh) 2011-11-16
JP2005318578A (ja) 2005-11-10
EP1592197A2 (en) 2005-11-02
EP1592197B1 (en) 2016-05-11
US7966661B2 (en) 2011-06-21
EP1592197A3 (en) 2006-05-31
KR101312905B1 (ko) 2013-09-30
CN1783809A (zh) 2006-06-07
US8387144B2 (en) 2013-02-26
US20110214180A1 (en) 2011-09-01

Similar Documents

Publication Publication Date Title
JP4794197B2 (ja) ネットワーク増幅攻撃の軽減
US11496377B2 (en) Anomaly detection through header field entropy
US11991205B2 (en) Detection and mitigation of slow application layer DDoS attacks
US10701103B2 (en) Securing devices using network traffic analysis and software-defined networking (SDN)
US11025667B2 (en) System and method for applying a plurality of interconnected filters to protect a computing device from a distributed denial-of-service attack
US8856913B2 (en) Method and protection system for mitigating slow HTTP attacks using rate and time monitoring
US8091132B2 (en) Behavior-based traffic differentiation (BTD) for defending against distributed denial of service (DDoS) attacks
US6973040B1 (en) Method of maintaining lists of network characteristics
RU2666289C1 (ru) Система и способ для ограничения запросов доступа
Cao et al. Entropy‐based denial‐of‐service attack detection in cloud data center
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
Wu et al. Fmd: A DoS mitigation scheme based on flow migration in software‐defined networking
Verma et al. Stopping amplified DNS DDoS attacks through distributed query rate sharing
Boppana et al. Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks
Sachdeva et al. Performance analysis of web service under DDoS attacks
Shaar et al. DDoS attacks and impacts on various cloud computing components
Still et al. DDoS protections for SMTP servers
Singh et al. Performance analysis of emm an edos mitigation technique in cloud computing environment
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
KR102162991B1 (ko) Idc용 통합 보안 라우터 및 트래픽 쉐이핑과 ips의 융합 구현 기반의 통합 보안 서비스 방법
Sridaran An overview of DDoS attacks in cloud environment
Studer Economic and technical analysis of botnets and denial-of-service attacks
Gairola et al. A review on dos and ddos attacks in cloud environment & security solutions
US20220030011A1 (en) Demand management of sender of network traffic flow
Huang et al. An Improved Light Weight Countermeasure Scheme to Efficiently Mitigate TCP Attacks in SDN

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080403

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100702

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101004

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101007

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101102

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110208

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110509

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110512

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110701

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110715

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110726

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4794197

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140805

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees