JP5320458B2 - パケットベースのネットワークのための攻撃保護 - Google Patents
パケットベースのネットワークのための攻撃保護 Download PDFInfo
- Publication number
- JP5320458B2 JP5320458B2 JP2011505484A JP2011505484A JP5320458B2 JP 5320458 B2 JP5320458 B2 JP 5320458B2 JP 2011505484 A JP2011505484 A JP 2011505484A JP 2011505484 A JP2011505484 A JP 2011505484A JP 5320458 B2 JP5320458 B2 JP 5320458B2
- Authority
- JP
- Japan
- Prior art keywords
- signature
- security
- packet
- unit
- packet stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Description
本発明は、パケットベースのネットワークを攻撃から保護するための方法および保護ユニット、こうした保護ユニットを備える、パケットベースのネットワークのためのセキュリティ境界ノード、ならびに少なくとも2つのこうした保護ユニットを備えるパケットベースのネットワークに関する。
本発明は、通信/コンピュータネットワークなど、パケットベースのネットワーク、特にコアネットワークをどんな種類の攻撃に対しても保護することに関する。コアネットワークは、TISPAN(Telecoms&Internet converged Services & Protocols for Advanced Networks:高度ネットワークのための通信&インターネットコンバージドサービス&プロトコル)、1つまたは複数の参加者とのセッションを作成、変更および終了するためのセッション開始プロトコル(SIP:Session Initiation Protocol)などのアプリケーション層制御(シグナリング)プロトコルを使用したIMS(IPマルチメディアサブシステム)を備えたそれぞれの次世代ネットワーク(NGN:next generation network)アーキテクチャを使用して実装され得る。こうしたコアネットワークでは、攻撃は、様々な層(IP、トランスポート、アプリケーション層まで)で生じることがあり、攻撃戦略は様々であり得る。具体的には、コアネットワークの境界ノード内のアプリケーションプロトコルスタックは、非常に危険にさらされ、したがって、とりわけ正常に動作するユーザ/装置のためにシステム全体の要求された高い可用性を達成するための保護機構が求められている。本発明は、SIPシグナリングを用いたNGN/IMS/TISPANネットワークに限定されないが、他のタイプのシグナリングプロトコル、たとえばSOAP(Simple Object Access Protocol:簡易オブジェクトアクセスプロトコル)を使用したすべてのタイプのIPネットワークに関することが理解されよう。
上述されたタイプのコアネットワーク1が、図1に示されている。コアネットワーク1は、コアネットワーク1をアクセスネットワーク3に接続するための複数の(セキュリティ)境界ノード2aから2fを有し、これらの境界ノードはそれ自体、エンドユーザ装置4に接続される。境界ノード2aから2fの一部は、コアネットワーク1を他のコアネットワーク(図示せず)に接続するためにも使用され得る。境界ノード2aから2fにおいて、潜在的に危険なトラフィックから即座に有効と識別するセキュリティポリシーが適用される必要がある。識別された不正トラフィックは、下記ではシグネチャとも呼ばれる(識別データシーケンス、または別の識別シグネチャパターンを提供することによって)ブロックされる必要がある。
現在のセキュリティ解決策は、新しい攻撃パターンに高速であるが適応可能ではないシグネチャ検出に基づいており、または/かつ適用可能ではあるが高い処理負荷を引き起こす分類ベースの検出アルゴリズムを使用している。さらに、セキュリティ戦略は現在、それぞれ単一の個々のセッション境界コントローラ(SBC:Session Border Controller)またはセキュリティ境界ノードに集中している。
本発明の目的は、パケットベースのネットワークを攻撃から保護するための方法および保護ユニット、こうした保護ユニットを備えるセキュリティ境界ノード、ならびに少なくとも2つのこうした保護ユニットを備えるネットワークを提供することであり、そのすべてが、パケットベースのネットワークを攻撃から効率的に保護することを可能にする。
この目的は、上述された方法によって達成され、この方法は、パケットストリームのシグネチャを以前に識別された攻撃のシグネチャのセットと比較することによって攻撃を検出するために、ネットワークのセキュリティ境界ノードで受信されたパケットストリームに対するシグネチャ解析を実施するステップと、パケットストリーム内の異常を検出するために、パケットストリームの少なくとも一部に対する異常検出、具体的には統計解析を実施するステップと、パケットストリーム内の異常が検出されたときにシグネチャセットを更新するステップとを備え、更新されたシグネチャセットがその後に、シグネチャ解析を実施するために使用され、更新されたシグネチャセットの各シグネチャが、ネットワークの少なくとも1つのさらなる、好ましくはそれぞれのさらなるセキュリティ境界ノードに配信される。
本発明は、ファイアウォールおよびシグネチャベースの保護論理を異常検出で拡張することを提案し、それは、データストリーム(デジタル信号)のブロックの解析を一般に実施する分類ベースの統計解析、またはたとえば機械学習アルゴリズムに基づく別のタイプの粒度解析として実施されてよい。一般に、1バイトまたはマルチバイトのアナライザが、異常検出のために統計解析を実施するのに使用され得る。次いで、検出された異常は、シグネチャ干渉エンジンに報告され、このシグネチャ干渉エンジンは、統計解析の分類結果を新しいシグネチャセットに変換することによってシグネチャまたは検出論理の更新を導出する。このようにして、新しい攻撃を検出するための処理の負担は、処理負荷が減少され得るようにファイアウォールおよびシグネチャ検出にシフトされ得る。
1つまたは複数の新しいシグネチャおよび検出論理が何らかの検証テストを通過した後、生成された構成ファイルは、他のセキュリティ境界ノードにプッシュされてよく、他のセキュリティ境界ノードのセキュリティ機能に適用され、したがって、新しく導出された攻撃ブロック戦略がパケットベースのネットワークのセキュリティ境界ノード間で自動的に配信される。
非常に好ましい変形形態では、この方法は、アプリケーション層制御メッセージ、具体的にはパケットストリームのセッション開始プロトコル、SIP、メッセージに対する異常検出を実施するステップをさらに備え、シグネチャセットの更新が、異常検出の結果を考慮に入れる。アプリケーション層でだけ検出され得る攻撃については、アプリケーション層制御スタック、具体的にはSIPスタックは、どんな異常をも報告するインターフェースを有することもできる。これらの異常は、適切なシグネチャを決定するためにシグネチャ干渉エンジン内でも調査され、それによって、保護論理の第1の非常に早い段階(「FW」、「シグネチャ」)でこれらのメッセージを検出することが可能になる。
好ましくは、この方法は、攻撃検出および/または異常検出のセキュリティ閾値を使用してシグネチャ解析および/または異常検出の感度を制御するステップをさらに備え、セキュリティ閾値が好ましくは、攻撃の少なくとも1つの特性、具体的には時間単位当たりの検出された攻撃の数に依存して調整される。具体的には、適切な制御ソフトウェアによって設定され得る攻撃表示を生成するための閾値レベルは、コンピュータネットワークの履歴および/または現在の状況に基づいて制御されてよい。
この変形形態の好ましい改良物では、統計解析は、並列のマルチシーケンスバイト解析として実施され、バイトシーケンス解析の重みが、現在の攻撃状況に基づいて、セキュリティインスタンスによってセキュリティ閾値に依存して制御される。バイト解析の形の統計解析は、解析の各サイクルの間に1バイトだけシフトされるスライディングウィンドウを使用して、いわゆるnグラム、すなわち所与のシーケンス(一般には文字列)のnアイテム(一般にはバイト)のシーケンスに対して実施される。並列マルチシーケンスバイト解析では、それぞれ異なるサイズのnグラム、たとえばユニグラム(サイズ1)、バイグラム(サイズ2)などの解析を実施する複数の並列アナライザが使用される。並列アナライザの解析の結果は、セキュリティ閾値に依存して結果に重み付けする決定器に提供される。
上述された方法は好ましくは、上述されたステップを実施するコード手段を備えるコンピュータプログラム製品で実施されてよい。具体的には、この方法は、ソフトウェアとして実施されてもよいし、または適切なハードウェアコンポーネント(ASICなど)で実施されてもよい。
本発明の第2の態様は、ネットワークのセキュリティ境界ノードで受信されたパケットストリームを解析し、パケットストリームのシグネチャを以前に識別された攻撃のシグネチャセットと比較することによって攻撃を検出するシグネチャアナライザと、パケットストリーム内の異常を検出する異常検出器、具体的には統計アナライザと、パケットストリーム内の異常が検出されたときにシグネチャセットを更新するシグネチャ干渉ユニットであって、更新されたシグネチャセットがその後に、シグネチャ解析を実施するシグネチャアナライザによって使用される、シグネチャ干渉ユニットと、更新されたシグネチャセットの少なくとも1つのシグネチャを、ネットワークの少なくとも1つのさらなる、好ましくはそれぞれのさらなるセキュリティ境界ノードに配信する配信ユニットとを備える、パケットベースのネットワークを攻撃から保護する保護ユニットで実施される。
専用のシグネチャは、シグネチャファイルのサイズを制限することを可能にする有効期間表示を有することができる。シグネチャ干渉ユニットは、保護論理を直ちに更新できるようにバイト解析および対応するシグネチャからの攻撃報告の情報タプルを格納することができる。このようにして、パケットベースのネットワークの1つのまたは限られた数のネットワークポートで検出された攻撃からネットワークを保護するためのシグネチャがすべてのネットワークポートに速く配信され、したがって、複数のノードに渡って保護の性能および品質が向上する。具体的には、検出されたシグネチャのデータベースをインターネットなどのグローバルネットワーク内にインストールすることも可能であってよく、データベースは、他のプロバイダによって運営されているネットワークのセキュリティ境界ノードに新しいシグネチャも配信され得るように、複数のネットワークプロバイダからアクセスすることができる。近い時間相関性を有しており、その内容にも相関性がある2つ以上の異常を検出することによって、シグネチャセットの更新の信頼性が高まり得ることが理解されよう。
非常に好ましい実施形態では、保護ユニットは、パケットストリーム内に含まれたアプリケーション層制御メッセージ、具体的にはSIPメッセージに対して異常検出を実施するためのシグナリングスタック、好ましくはSIPスタックをさらに備え、シグネチャ干渉ユニット内のシグネチャセットの更新は、異常検出の結果を考慮に入れる。したがって、アプリケーション層でしか検出され得ない攻撃も、シグネチャセットの更新のために考慮に入れられ得る。
別の非常に好ましい実施形態では、保護ユニットは、攻撃検出および/または異常検出のセキュリティ閾値を使用してシグネチャアナライザおよび/または異常検出器の感度を制御する制御ユニットをさらに備え、セキュリティ閾値が好ましくは、攻撃の少なくとも1つの特性に依存して、具体的には事前定義された時間間隔の間に検出された攻撃の数に基づいて調整される。このようにして、セキュリティ感度は、攻撃履歴および攻撃に関する現在の状況に基づいて制御され得る。攻撃のさらなる特徴は、特定のタイプの攻撃がネットワークにもたらし得る損害であることがあり、セキュリティレベルが、1つまたは複数の特に危険な攻撃が検出された場合に増加される。
さらなる好ましい実施形態では、統計アナライザは、並列のマルチシーケンスバイトアナライザであり、バイトシーケンス解析の重みが、セキュリティ閾値に依存して制御される。一般に、偽警告を減少させるために、より大きいサイズを有するnグラムの解析結果には、より小さいサイズを有するnグラムの解析結果と比べてより高い重みが与えられる。
別の非常に好ましい実施形態では、保護ユニットは、データストリーム内に含まれたアプリケーション層制御メッセージを処理するためのセキュリティ保護されたシグナリングスタック、具体的にはセキュリティ保護されたSIPスタックをさらに備え、セキュリティ保護されたシグナリングスタック内で処理されなければならないメッセージに関する決定が好ましくは、セキュリティ閾値に依存して行われる。異常が検出される場合のサービスの失敗を防ぐために、セキュリティ境界ノードは、異常なメッセージ、一般にはSIPメッセージを、いわゆる「サンドボックス」環境内でセキュリティ保護される低優先度のSIPスタックにディスパッチしてよい。セキュリティ保護されたSIPスタック内の処理は、SIPメッセージがいずれかの認識可能な攻撃を含むかどうか完全にチェックするのに十分な時間が与えられるように、回線速度では通常実施されない。
別の有利な実施形態では、保護ユニットは、メッセージに関する、具体的には、異常検出が実施されなければならないデータストリーム内に含まれるSIPメッセージに関する決定を行う決定ユニットと、異常検出が実施されるメッセージをキューに入れるセッションキューイングユニットとをさらに備え、キューに入れられたメッセージは好ましくは、異常検出の結果に依存して廃棄されまたは処理される。決定ユニットは、メッセージが異常検出器でさらに解析されなければならないかどうか、またはシグネチャ解析の利用が十分であるかどうか決定する。決定ユニットへの入力は、メッセージのタイプ(要求/応答)、SIP方法、メッセージの発生元であるネットワークのネットワークID、発呼IDのようなSIPヘッダ、前のSIPメッセージまたは方法のうちの1つまたは複数に関するSIPスタックからのフィードバック、あるいはトランザクションIDであってよい。
さらなる実施形態では、保護ユニットは、データストリームからメッセージを廃棄するためのピンホールをさらに備え、ピンホールが、統計アナライザおよび/またはシグネチャアナライザによってフィードバックループ内で制御される。ピンホールは、専用の5タプルによって識別されたメッセージ/パケットをフィルタリング除去することを可能にし、フィルタリングされるトラフィックの量は、統計アナライザおよび/またはシグネチャアナライザによって適用されるセキュリティ閾値に依存する。
本発明の第3の態様は、上述されたタイプの保護ユニットを備える、パケットベースのネットワーク用のセキュリティ境界ノードで実施される。複数の分散型セキュリティ/境界ノードで実行される検出アルゴリズムによって、全体的な検出精度を向上させるために機械学習情報またはフロー指向のパターンが配信され、したがって、セキュリティ情報のノード間相関を実施することができる。こうしたノード間の相関を実施する1つのやり方は、各セキュリティ境界ノードがそれ自体の保護ユニットを備える場合に可能である、セキュリティ境界ノード間のピアツーピア情報交換である。
本発明の第4の態様は、上述されたタイプの少なくとも2つの保護ユニットを備えるパケットベースのネットワーク内で実施され、保護ユニットは、コンピュータネットワークのコンバージドネットワークセキュリティインスタンス内に好ましくは配置される共通のシグネチャ干渉ユニットを有する。このようにして、提示されたファイアウォールアーキテクチャは、クロスオペレータドメインのセキュリティエンティティ(ネットワークセキュリティインスタンス)の導入によって向上され得る。この主制御エンティティは、複数のサイトのセキュリティ関連情報を収集し、処理し、再配信することを可能にする。この場合も、すべての使用可能な情報を相関させるために、機械学習アルゴリズムが実装されてよい。
さらなる特徴および利点は、かなりの詳細を示す図面の諸図を参照して、例示的な実施形態についての以下の説明に述べられており、また特許請求の範囲に定義されている。個々の特徴は、それ自体によって個々に実施されてもよいし、そのうちの一部が、任意の所望の組合せで実施されてもよい。
例示的な実施形態が、略図に示されており、以下の記述において説明される。以下の図が示される。
図2は、図1のパケットベースのネットワーク1のセキュリティ境界ノード2aのより詳細な図である。セキュリティ境界ノード2aは、セキュリティ境界ノード2aへの入力で受信されたパケットストリーム6を解析するシグネチャアナライザ5を備える。シグネチャアナライザ5は、パケットストリーム6のシグネチャを以前に識別されたシグネチャセットと比較することによって攻撃を検出する。パケットストリーム6の信号経路8でシグネチャアナライザ5の後に続くのは、バイトアナライザ7として実装された統計アナライザの形の異常検出器である。バイトアナライザ7は、パケットストリーム6内の異常を検出するために、パケットストリーム6に対する可変長バイトシーケンスの統計解析(nバイト解析)を実施する。
どんな異常もがシグネチャ干渉ユニット9に報告され、このシグネチャ干渉ユニット9は、検出された異常を考慮に入れて新しいシグネチャセットを計算する。セキュリティ境界ノード2aは、修正されたシグネチャセットを、テストユニット11に格納された1組の正確な攻撃テストパターン(図示せず)に対してテストする自動化検証ユニット10をさらに備える。検証が成功した後、更新されたシグネチャセット12が、シグネチャアナライザ5に提供され、このシグネチャアナライザ5はその後に、更新されたシグネチャセット12に基づいてシグネチャ解析を実施する。上述されたようにして、保護ユニット15は、セキュリティ境界ノード2aで実装される。
更新されたシグネチャセット12は、セキュリティ境界ノード2aの配信ユニット13にも提供され、この配信ユニット13は、更新されたシグネチャセット12をコアネットワーク1の他のセキュリティ境界ノード2bから2fに配信する。セキュリティ境界ノード2aの配信ユニット13は、他のセキュリティ境界ノード2bから2fより、更新されたシグネチャセットを受信することもでき、シグネチャアナライザ5は、セキュリティ境界ノード2a自体の中で、またはさらなるセキュリティ境界ノード2bから2fのいずれか1つにおいて以前に識別されたいずれかの種類の攻撃を識別することができる。このように、すべてのセキュリティ境界ノード2aから2fは、ピアツーピア情報交換に基づく分散型適応セキュリティループの一部である。
シグネチャアナライザ5とバイトアナライザ7の両方が信号経路8内に配置されるので、シグネチャベースの攻撃解析は、回線速度/リアルタイムで実施され得る。したがって、上記の方法論は、各セキュリティ境界ノード2aから2f、および各入口ポートで攻撃を自律的に解析し、シグネチャセットを更新し、したがって他のすべてのセキュリティ境界ノード2aから2fを攻撃に対して強化する。
図2のアーキテクチャの変形形態が図3に示されており、この図3で、シグネチャ干渉ユニット9、検証ユニット10、テストユニット11、および配信ユニット13は、中央ネットワークセキュリティインスタンス14内に配置されている。したがって、図1のコアネットワーク1を保護する分散型保護ユニット15は、ネットワークセキュリティインスタンス14、セキュリティ境界ノード2aのシグネチャアナライザ5およびバイトアナライザ7によって形成される。セキュリティ境界ノード2aだけでなく、他のセキュリティ境界ノード2bから2fもまた、そのバイト解析の結果を中央シグネチャ干渉ユニット9に報告することが理解されよう。ネットワーク1の単一の位置でシグネチャの更新を実施することによって、シグネチャの一貫性はより容易に保証されることができ、必要なリソースは減少する。
上記の戦略は、境界ノード領域に渡って拡張されてもよい。これは、適応されたすべての境界ノード(世界規模)が、より上位の階層レベルに報告を送信できることを意味し、したがって、世界規模のクロスプロダクト、恐らくはクロスプロバイダのシグネチャ干渉ユニットが、新しいシグネチャセットを生成することができ、次いで、このシグネチャセットは、すべてのセキュリティ境界ノード、またはシグネチャ解析を適用する特定の企業の製品にダウンロードされる。一実現変形形態は、各領域または製品でシグネチャ干渉ユニットを適用するものであり、新しいシグネチャが導出される場合、このシグネチャは、世界中に配信される。
セキュリティ境界ノード2aの保護ユニット14および分散型保護ユニット14上のさらなるフィードバックループの実装形態が、それぞれ図4および図5に示されている。第2のフィードバックループは、SIPスタック16で実施される、データストリーム6に含まれたSIPメッセージのアプリケーション層解析に基づく。この第2のループは、バイトアナライザ7によっては識別され得ないがアプリケーション層処理を介してのみ識別され得る最初に現れる攻撃のために設計されている。SIPスタック16は、SIPメッセージの特徴的な(非意味論的な)内容をシグネチャ干渉ユニット9に報告し、次いで、このシグネチャ干渉ユニット9は、上述されたように新しいシグネチャセットを生成する。これは、SIPスタック16が、その不正確さが複数のヘッダフィールド間の内容においてしか明らかになり得ない意味論的に不正確なSIPメッセージを識別することを意味する。SIPスタック16は、これらの矛盾を見つけた後、関連性のあるヘッダコンテンツを含む報告を生成し、シグネチャ干渉ユニット9に報告を送信する。
追加のフィードバックループを備えた保護ユニット15の2つのアーキテクチャ変形形態が、図4および図5に表されている。第1の変形形態では、保護ユニット15は、セキュリティ境界ノード2aで実装されており、第2の変形形態では、保護ユニット15は、コンバージドネットワークセキュリティインスタンス14を有する分散型のものである(図2と図3をも比較されたい)。両方の変形形態において、アプリケーション層レベルで攻撃を識別するための手順は、以下のとおりである:攻撃の最初の登場は、それぞれシグネチャアナライザ5またはバイトアナライザ7によって識別されない。次いで、SIPスタック16内のSIPアプリケーションレベルの意味論的処理は、攻撃を識別し、SIPメッセージから一部を抽出し、このシーケンス(および恐らくさらなるレイヤ3/レイヤ4情報)をシグネチャ干渉ユニット9に報告する。このようにして、シグネチャセットが更新された後、第2の類似のメッセージ攻撃が、シグネチャ解析ユニット5によって検出される。
図2から図5に示された例では、シグネチャアナライザ5とバイトアナライザ7の両方が調整可能なセキュリティ閾値17aを備えてよく、このセキュリティ閾値17aは、バイト解析および/またはシグネチャ解析の感度を制御する制御ユニット17(図6および7参照)によって設定される。制御ユニット17は、攻撃の量および/または攻撃の特性、たとえば攻撃のタイプに依存して調整可能な閾値を制御する制御ソフトウェアとして実装されてよい。このために、制御ユニット17は、それぞれシグネチャアナライザ5、バイトアナライザ7、およびSIPスタック16の報告に含まれた情報を収集する。制御ユニット17は、セキュリティ境界ノード2aで実装されてよく、次いで、セキュリティ境界ノード2aによって受信されたデータストリーム6だけに依存してセキュリティレベルを制御することができ、または制御ユニット17は、コンバージドネットワークセキュリティインスタンス14の一部であり、したがってセキュリティ閾値の調整のためにそれぞれ異なるセキュリティ境界ノード2aから2fからの報告を考慮に入れることができる。どんな場合でも、攻撃表示を生成するための閾値レベルは、履歴および現在の攻撃状況に基づいて制御され得る。
さらに、それぞれバイトアナライザ7およびシグネチャアナライザ5について図6および図7に示されたように、閾値を超えた場合、SIPメッセージは、通常通りには処理され得ないが、セキュリティ保護されたSIPスタック18に転送されてよく、このSIPスタック18は、低い処理優先度を有する「サンドボックス」環境内で実行される。SIPメッセージが認識可能な攻撃を含まない場合、セキュリティ保護されたSIPスタック18は、そのメッセージを、正常に動作する他のいずれかのメッセージとして処理する。次いで、セキュリティ保護されたSIPスタック18の処理フィードバック(肯定/否定)が、たとえば制御ユニット17に報告されてよく、次いで、この制御ユニット17は、セキュリティ閾値を適応させるためにセキュリティ感度決定レベルを修正することを決定できる。
図8aおよび図8bに、バイト解析を実施する2つの代替的なやり方が示されている。図8aに表された第1の代替案では、バイトアナライザ7は、トークナイザ19とセッションキューイングユニット20とをさらに備えるデータ経路8内のインライン要素として提供されている。この場合、スループットがバイト解析によって減少されないので、処理労力および処理性能要件は高い。したがって、シグネチャアナライザ5、バイトアナライザ7およびトークナイザ19のチェーンは、最大の期待メッセージレートで実行可能でなければならない。バイトアナライザ7は、「奇妙」なメッセージを示し、セッションキューイングユニット20に、サンドボックス内で実行されているセキュリティ保護されたSIPスタック18にこれらのメッセージを送信するように指示することができる。セキュリティ保護されたSIPスタック18が攻撃、さらにはクラッシュを識別する場合、このセッションのメッセージは、フィルタ除去され、セッションキューが閉じられる。任意選択で、別のSIPスタック(図示せず)が、セッションまたはクライアントを通常のやり方で閉じるためにレジストラまたはS−CSCF(サービングセッション制御機能)にメッセージを送信するようにトリガされる。
図8bに示された例では、バイトアナライザ7は、メッセージ経路8から外れて配置され、バイト解析は、さらなる決定ユニット21が肯定的な結果を与える場合にだけ適用され、したがって、バイトアナライザ7は、決定ユニット21の結果に依存して特定のSIPメッセージだけを解析する。これらのSIPメッセージは、セッションキューイングユニット20が、さらなる調査が実施されるまでそれがこれらのメッセージをキューイングしなければならいことを知るように、マーク付けされる。バイトアナライザ7は、セキュリティ保護されたSIPスタック18内でメッセージのさらなる解析を実施することを決定することもできる。いずれの場合も、テスト結果は、バイトアナライザ7によって処理されたメッセージを削除し、または処理することを示すテスト結果が、セッションキューイングユニット20に提供される。バイトアナライザ7がメッセージが処理されるべきことを示す場合、処理は、重要でない他のいずれかのメッセージと同様に実施される。この解決策の利点は、総処理労力が減少され、スループットが向上するが、この解決策の成功がシグネチャ解析の品質および調整可能なセキュリティ閾値に依存することであり、決定ユニット21がシグネチャアナライザ5の一部である場合と同様に、セキュリティ閾値は、この決定のために考慮に入れられる。決定ユニット21への入力は、メッセージのタイプ(要求/応答)、SIP方法、メッセージを送信したネットワークのネットワークID、発呼IDのようなSIPヘッダ、前のSIPメッセージまたは方法のうちの1つまたは複数に関するSIPスタックからのフィードバック、あるいはトランザクションIDを含むこともできる。
図9は、セキュリティ閾値17aがバイトアナライザ7内でどのように有利に使用され得るか示しており、このバイトアナライザ7は、ディスパッチ/コピーユニット22と、それぞれ異なる長さを有する文字列を解析する複数の文字列解析ユニット(図9には字列解析ユニット23aから23cの3つが示されている)と、セキュリティ閾値17aに依存して文字列解析ユニット23aから23cの結果に重み付けする重み付き決定器24とを有する並列マルチバイトシーケンスアナライザとして実装され、このセキュリティ閾値17aは、制御ユニット17によってバイトアナライザ5に提供され、したがって、現在の攻撃状況に基づいてバイト解析を適応させる。
図2から図8に示された例のいずれにおいても、バイトアナライザ7、シグネチャアナライザ5およびピンホール25の間のフィードバックは、たとえば、図10に示されるように実施されてよい:シグネチャアナライザ5は、専用5タプルから受信されたメッセージをフィルタ除去するようにピンホールブロック25を制御し、シグネチャ解析の特定のセキュリティ閾値(図示せず)を超過する場合は、シグネチャアナライザ5だけがこの専用のブロッキングを実施する。シグネチャアナライザ5およびバイトシーケンスアナライザ7の両方が、正常に動作しない永久メッセージを示す場合、ピンホールモジュール25は、(所与の時間の間)ピンホールを閉じるように制御されてよい。
バイトアナライザ7から、先行する機能モジュールへの類似のフィードバックも存在する。シグネチャアナライザ5へのフィードバックは、シグネチャアナライザ5からの「メッセージチェック」要求のある種の反証または検証である。これによって、専用セッションの閾値の増加または減少が可能となり、この場合、シグネチャアナライザ5は、決定ユニットとして使用されてよい。たとえば、同じセッションの間のバイトアナライザ7への複数のメッセージチェック要求が常に「攻撃識別されず」の結果をもたらす場合、シグネチャアナライザ5は、このセッションの追加チェックの実施の閾値を増加させることができる。
最後に、図11および図12で、図2から図10に示された構成ブロック(building block)が、クロスレイヤおよびマルチ戦略セキュリティアーキテクチャを実装する保護ユニット14の2つの有利な例を形成するように組み合わされている。
図11に示された例では、バイト解析は、図8aに関して述べられたようにデータ経路8内で実施され、セッションキューイングユニット20が優先度スケジューラ20aを含み、この優先度スケジューラ20aは、「奇妙」と見なされて、処理のためにセキュリティ保護されたSIPスタック18に送信されるSIPメッセージに、低優先度の属性を与える。バイトアナライザ7によって「奇妙」と見なされないSIPメッセージは、保護されていないSIPスタック16に送信され、より高い優先度で処理される。
図12の例示的な実施形態では、バイトアナライザ7は、データ経路8から外れて配置され、シグネチャアナライザ5は、データストリーム6内に含まれたSIPメッセージのうちのどれがバイトアナライザ7によってチェックされるべきか決定する決定ユニット(図示せず)を備える。この場合、セッションキューイングユニット20は、バイト解析が実施されるSIPメッセージをキューに入れ、キューに入れられたメッセージは、図8bを参照してより詳しく論じられたように、バイト解析の結果に依存して廃棄または処理される。
両方の場合において、シグネチャアナライザ5およびバイトアナライザ7のセキュリティ閾値は、単純にするために図11および図12に示されていない制御ユニットによって制御され得る。
図11および図12の機能ブロックは、セキュリティ境界ノードの入口ポートに全回線速度処理モジュールを置くことが有利であり得るので、図11および図12に示されるようにセキュリティ境界ノード2a内にローカルに置かれる必要はないことが当業者には理解されよう。具体的には、トークナイザ19、セッションキューイングユニット20、優先度スケジューラ20a、ならびに特にSIPスタック16およびセキュリティ保護されたSIPスタック18は、(セキュリティ境界ノード内の)より中央に、さらにはコンバージドネットワークセキュリティインスタンス14などのコンバージドネットワーク要素内に置かれてよい。さらに、図11および図12に示された保護ユニット15の分散型アーキテクチャを使用するのではなく、図2および4を参照して述べられたように、セキュリティ境界ノード2a内に保護ユニット15全体を統合することも可能であることが理解されよう。
要約すると、上述された種類の保護ユニットを提供することによって、1つまたは限られた数のネットワークポート上で検出されるネットワーク攻撃に対してコンピュータネットワークを効率的に保護し、他のネットワークポートへのシグネチャの高速配信を実施することが可能となる。保護ユニットは、ネットワークのセキュリティ境界ノードで必ずしも実装されるとは限らず、一部の場合のように、ネットワーク内の特定のノード上に保護ユニットを実装することも有利であり得ることが理解されよう。最後に、上記の例ではSIPメッセージの処理について述べられているが、上述された概念は、アプリケーション層のシグナリングに用いられる他のタイプのアプリケーション層制御メッセージに適用され得ることが当業者には理解されよう。また、異常検出についてバイト解析を参照して上記に述べられたが、他のタイプの統計解析、または機械学習などの他の異常検出方法に基づく、異常検出を実施する他のやり方が存在することが理解されよう。
好ましい実施形態についての上記説明は、例示するために示されている。与えられた開示から、当業者には、本発明およびその付随する利点が理解されるだけでなく、開示された構造および方法への明らかな様々な変更および修正が見出されよう。したがって、出願人は、添付の特許請求の範囲に定められた本発明の精神および範囲内に含まれるすべてのこうした変更および修正、ならびにその等価物を網羅しようと努める。
Claims (11)
- パケットベースのネットワーク(1)を攻撃から保護するための方法であって、
パケットストリーム(6)のシグネチャを以前に識別された攻撃のシグネチャセットと比較することによって攻撃を検出するために、ネットワーク(1)のセキュリティ境界ノード(2a)で受信されたパケットストリーム(6)に対するシグネチャ解析を実施するステップと、
パケットストリーム(6)内の異常を検出するために、パケットストリーム(6)の少なくとも一部に対する異常検出を実施するステップと、
パケットストリーム(6)内の異常が検出されたときにシグネチャセットを更新するステップであって、更新されたシグネチャセット(12)が後に、シグネチャ解析を実施するために使用される、ステップと、
更新されたシグネチャセット(12)の少なくとも1つのシグネチャをネットワーク(1)の少なくとも1つのさらなるセキュリティ境界ノード(2bから2f)に配信するステップとを備える方法において、
パケットストリーム(6)のアプリケーション層制御メッセージに対して異常検出を実施するステップと、
異常検出のセキュリティ閾値(17a)を使用して異常検出の感度を制御するステップとを備え、
シグネチャセットの更新が異常検出の結果を考慮に入れることを特徴とする、方法。 - セキュリティ閾値(17a)が攻撃の数に依存して調整される、請求項1に記載の方法。
- 異常検出が、並列マルチシーケンスバイト解析として実施され、バイトシーケンス解析の重みが、セキュリティ閾値(17a)に依存して制御される、請求項1に記載の方法。
- パケットベースのネットワーク(1)を攻撃から保護する保護ユニット(15)であって、
ネットワーク(1)のセキュリティ境界ノード(2a)で受信されたパケットストリーム(6)を解析し、パケットストリーム(6)のシグネチャを以前に識別された攻撃のシグネチャセットと比較することによって攻撃を検出するシグネチャアナライザ(5)と、
パケットストリーム(6)内の異常を検出する異常検出器と、
パケットストリーム(6)内の異常が検出されるときにシグネチャセットを更新するシグネチャ干渉ユニット(9)であって、更新されたシグネチャセット(12)がその後に、シグネチャ解析を実施するためにシグネチャアナライザ(5)によって使用される、シグネチャ干渉ユニット(9)と、
更新されたシグネチャセット(12)のうちの少なくとも1つのシグネチャを、パケットベースのネットワーク(1)の少なくとも1つのさらなるセキュリティ境界ノード(2bから2f)に配信する配信ユニット(13)とを備える保護ユニットにおいて、
パケットストリーム(6)に含まれるアプリケーション層制御メッセージに対する異常検出を実施するシグナリングスタックと、
異常検出のセキュリティ閾値(17a)を使用して異常検出器の感度を制御する制御ユニット(17)とを備え、
シグネチャ干渉ユニット(9)内のシグネチャセットの更新が異常検出の結果を考慮に入れることを特徴とする、保護ユニット(15)。 - セキュリティ閾値(17a)が攻撃の数に依存して調整される、請求項4に記載の保護ユニット。
- 異常検出器が並列マルチシーケンスバイトアナライザ(7)であり、バイトシーケンス解析の重みが、セキュリティ閾値(17a)に依存して制御される、請求項4に記載の保護ユニット。
- データストリーム(6)内に含まれたアプリケーション層制御メッセージを処理するセキュリティ保護されたシグナリングスタックをさらに備える、請求項4に記載の保護ユニット。
- メッセージに関する、具体的には異常検出が実施されなければならないデータストリーム(6)内に含まれるSIPメッセージに関する決定を行う決定ユニット(21)と、
異常検出が実施されるメッセージをキューに入れるセッションキューイングユニット(20)とをさらに備える、請求項4に記載の保護ユニット。 - 異常検出器(7)および/またはシグネチャアナイザ(5)によってフィードバックループ内で制御される、データストリーム(6)からメッセージを廃棄するためのピンホール(25)をさらに備える、請求項4に記載の保護ユニット。
- 請求項4に記載の保護ユニット(15)を備える、パケットベースのネットワーク(1)のためのセキュリティ境界ノード(2a)。
- 請求項4に記載の保護ユニット(15)を少なくとも2つ備えるパケットベースのネットワーク(1)であって、保護ユニット(15)が、共通のシグネチャ干渉ユニット(9)を有する、ネットワーク(1)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08290395.6A EP2112803B1 (en) | 2008-04-22 | 2008-04-22 | Attack protection for a packet-based network |
| EP08290395.6 | 2008-04-22 | ||
| PCT/EP2009/054718 WO2009130203A1 (en) | 2008-04-22 | 2009-04-21 | Attack protection for a packet-based network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011519533A JP2011519533A (ja) | 2011-07-07 |
| JP5320458B2 true JP5320458B2 (ja) | 2013-10-23 |
Family
ID=40011300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011505484A Active JP5320458B2 (ja) | 2008-04-22 | 2009-04-21 | パケットベースのネットワークのための攻撃保護 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8601564B2 (ja) |
| EP (1) | EP2112803B1 (ja) |
| JP (1) | JP5320458B2 (ja) |
| KR (1) | KR101143097B1 (ja) |
| CN (1) | CN101582905B (ja) |
| WO (1) | WO2009130203A1 (ja) |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NL2002694C2 (en) * | 2009-04-01 | 2010-10-04 | Univ Twente | Method and system for alert classification in a computer network. |
| US8489534B2 (en) | 2009-12-15 | 2013-07-16 | Paul D. Dlugosch | Adaptive content inspection |
| FI20096394A0 (fi) | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
| EP2369529A1 (en) * | 2010-03-24 | 2011-09-28 | Alcatel Lucent | A method of detecting anomalies in a message exchange, corresponding computer program product, and data storage device therefor |
| US9455892B2 (en) | 2010-10-29 | 2016-09-27 | Symantec Corporation | Data loss monitoring of partial data streams |
| US8862522B1 (en) | 2010-12-14 | 2014-10-14 | Symantec Corporation | Incremental machine learning for data loss prevention |
| US9094291B1 (en) | 2010-12-14 | 2015-07-28 | Symantec Corporation | Partial risk score calculation for a data object |
| US9015082B1 (en) | 2010-12-14 | 2015-04-21 | Symantec Corporation | Data quality assessment for vector machine learning |
| US8682814B2 (en) * | 2010-12-14 | 2014-03-25 | Symantec Corporation | User interface and workflow for performing machine learning |
| US8984627B2 (en) * | 2010-12-30 | 2015-03-17 | Verizon Patent And Licensing Inc. | Network security management |
| US9813449B1 (en) * | 2012-08-10 | 2017-11-07 | Lookwise S.L. | Systems and methods for providing a security information and event management system in a distributed architecture |
| US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| US9692771B2 (en) * | 2013-02-12 | 2017-06-27 | Symantec Corporation | System and method for estimating typicality of names and textual data |
| EP2819365A1 (en) * | 2013-06-24 | 2014-12-31 | Alcatel Lucent | Network traffic inspection |
| US9628507B2 (en) * | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
| CN105960777A (zh) | 2013-10-21 | 2016-09-21 | 尼妍萨有限公司 | 使用远程网络管理器观察和控制可编程网络的系统和方法 |
| US9485262B1 (en) * | 2014-03-28 | 2016-11-01 | Juniper Networks, Inc. | Detecting past intrusions and attacks based on historical network traffic information |
| CN106416171B (zh) * | 2014-12-30 | 2020-06-16 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| EP4325804A2 (en) * | 2015-04-07 | 2024-02-21 | Umbra Technologies Ltd. | Multi-perimeter firewall in the cloud |
| US10320813B1 (en) * | 2015-04-30 | 2019-06-11 | Amazon Technologies, Inc. | Threat detection and mitigation in a virtualized computing environment |
| CN106302318A (zh) * | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
| US10154053B2 (en) * | 2015-06-04 | 2018-12-11 | Cisco Technology, Inc. | Method and apparatus for grouping features into bins with selected bin boundaries for use in anomaly detection |
| US10326793B2 (en) * | 2015-06-10 | 2019-06-18 | RunSafe Security, Inc. | System and method for guarding a controller area network |
| US10200267B2 (en) | 2016-04-18 | 2019-02-05 | Nyansa, Inc. | System and method for client network congestion detection, analysis, and management |
| US10230609B2 (en) | 2016-04-18 | 2019-03-12 | Nyansa, Inc. | System and method for using real-time packet data to detect and manage network issues |
| US10193741B2 (en) | 2016-04-18 | 2019-01-29 | Nyansa, Inc. | System and method for network incident identification and analysis |
| US10200259B1 (en) * | 2016-09-21 | 2019-02-05 | Symantec Corporation | Systems and methods for detecting obscure cyclic application-layer message sequences in transport-layer message sequences |
| US10348650B2 (en) | 2017-04-17 | 2019-07-09 | At&T Intellectual Property I, L.P. | Augmentation of pattern matching with divergence histograms |
| RU2649789C1 (ru) * | 2017-07-17 | 2018-04-04 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
| US10666494B2 (en) | 2017-11-10 | 2020-05-26 | Nyansa, Inc. | System and method for network incident remediation recommendations |
| US10931696B2 (en) | 2018-07-13 | 2021-02-23 | Ribbon Communications Operating Company, Inc. | Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies |
| US10659484B2 (en) * | 2018-02-19 | 2020-05-19 | Cisco Technology, Inc. | Hierarchical activation of behavioral modules on a data plane for behavioral analytics |
| US10949749B2 (en) * | 2018-07-13 | 2021-03-16 | Ribbon Communications Operating Company, Inc. | Methods, systems and apparatus for using session, device and/or user signatures |
| US10949750B2 (en) * | 2018-07-13 | 2021-03-16 | Ribbon Communications Operating Company, Inc. | Methods, systems and apparatus for using session, device and/or user signatures |
| US10944776B2 (en) | 2018-07-13 | 2021-03-09 | Ribbon Communications Operating Company, Inc. | Key performance indicator anomaly detection in telephony networks |
| CN108965336B (zh) * | 2018-09-10 | 2021-03-23 | 杭州迪普科技股份有限公司 | 一种攻击检测方法及装置 |
| CN111414370A (zh) * | 2019-01-07 | 2020-07-14 | 北京智融网络科技有限公司 | 一种特征库更新方法和系统 |
| CN110650134B (zh) * | 2019-09-20 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 一种信号处理方法、装置、电子设备以及存储介质 |
| US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
| US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
| US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
| CN115408574A (zh) * | 2021-05-28 | 2022-11-29 | 南宁富联富桂精密工业有限公司 | 数据分析方法、装置及计算机可读存储介质 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3731111B2 (ja) * | 2001-02-23 | 2006-01-05 | 三菱電機株式会社 | 侵入検出装置およびシステムならびにルータ |
| EP1430377A1 (en) | 2001-09-28 | 2004-06-23 | BRITISH TELECOMMUNICATIONS public limited company | Agent-based intrusion detection system |
| US7444679B2 (en) * | 2001-10-31 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Network, method and computer readable medium for distributing security updates to select nodes on a network |
| JP3928866B2 (ja) * | 2003-04-18 | 2007-06-13 | 日本電信電話株式会社 | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 |
| US7603716B2 (en) * | 2004-02-13 | 2009-10-13 | Microsoft Corporation | Distributed network security service |
| ATE338418T1 (de) * | 2004-06-07 | 2006-09-15 | Cit Alcatel | Verfahren und vorrichtung zur verhinderung von angriffen auf einen call-server |
| US8582567B2 (en) | 2005-08-09 | 2013-11-12 | Avaya Inc. | System and method for providing network level and nodal level vulnerability protection in VoIP networks |
| KR100639997B1 (ko) * | 2004-12-14 | 2006-11-01 | 한국전자통신연구원 | 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그장치 |
| US8065722B2 (en) * | 2005-03-21 | 2011-11-22 | Wisconsin Alumni Research Foundation | Semantically-aware network intrusion signature generator |
| JP2006352831A (ja) * | 2005-05-20 | 2006-12-28 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
| DE102005055148B4 (de) * | 2005-11-18 | 2008-04-10 | Siemens Ag | Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung |
| KR100615080B1 (ko) | 2005-12-15 | 2006-08-25 | 주식회사 정보보호기술 | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 |
| US8141156B1 (en) * | 2005-12-28 | 2012-03-20 | At&T Intellectual Property Ii, L.P. | Method and apparatus for mitigating routing misbehavior in a network |
| JP4571184B2 (ja) * | 2006-08-24 | 2010-10-27 | デュアキシズ株式会社 | 通信管理システム |
| FR2909823B1 (fr) * | 2006-12-06 | 2012-12-14 | Soc Fr Du Radiotelephone Sfr | Procede et systeme de gestion de sessions multimedia, permettant de controler l'etablissement de canaux de communication |
-
2008
- 2008-04-22 EP EP08290395.6A patent/EP2112803B1/en active Active
-
2009
- 2009-04-21 KR KR1020107023580A patent/KR101143097B1/ko active IP Right Grant
- 2009-04-21 JP JP2011505484A patent/JP5320458B2/ja active Active
- 2009-04-21 WO PCT/EP2009/054718 patent/WO2009130203A1/en active Application Filing
- 2009-04-22 CN CN2009101497186A patent/CN101582905B/zh active Active
- 2009-04-28 US US12/387,121 patent/US8601564B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101582905A (zh) | 2009-11-18 |
| US20090265778A1 (en) | 2009-10-22 |
| EP2112803A1 (en) | 2009-10-28 |
| WO2009130203A1 (en) | 2009-10-29 |
| EP2112803B1 (en) | 2013-12-18 |
| JP2011519533A (ja) | 2011-07-07 |
| US8601564B2 (en) | 2013-12-03 |
| KR101143097B1 (ko) | 2012-05-08 |
| KR20110013370A (ko) | 2011-02-09 |
| CN101582905B (zh) | 2012-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5320458B2 (ja) | パケットベースのネットワークのための攻撃保護 | |
| US8365284B2 (en) | Method for protecting a packet-based network from attacks, and security border node | |
| EP2619958B1 (en) | Ip prioritization and scoring method and system for ddos detection and mitigation | |
| US9800608B2 (en) | Processing data flows with a data flow processor | |
| US11831609B2 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
| US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
| US8806630B2 (en) | Methods and apparatus for intrusion protection in systems that monitor for improper network usage | |
| US8135657B2 (en) | Systems and methods for processing data flows | |
| US20160366160A1 (en) | Systems and Methods for Processing Data Flows | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| US20110231564A1 (en) | Processing data flows with a data flow processor | |
| US20110238855A1 (en) | Processing data flows with a data flow processor | |
| US20110213869A1 (en) | Processing data flows with a data flow processor | |
| US20110214157A1 (en) | Securing a network with data flow processing | |
| US20110219035A1 (en) | Database security via data flow processing | |
| US20070180107A1 (en) | Security incident manager | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| EP1960867A2 (en) | Systems and methods for processing data flows | |
| JP2005529409A (ja) | プロトコルゲートウェイのためのシステム及び方法 | |
| KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
| US20160294848A1 (en) | Method for protection of automotive components in intravehicle communication system | |
| Siddiqui et al. | Dual server based security system for multimedia Services in Next Generation Networks | |
| KR20100072975A (ko) | 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법 | |
| US8286244B2 (en) | Method and system for protecting a computer network against packet floods |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120614 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120703 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120928 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121204 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130401 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20130409 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130702 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130712 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5320458 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |