JP6053561B2 - 偽装トラフィック検知を目的としたbgpルートを基にしたネットワークトラフィックプロファイルを作成するシステム及び方法 - Google Patents
偽装トラフィック検知を目的としたbgpルートを基にしたネットワークトラフィックプロファイルを作成するシステム及び方法 Download PDFInfo
- Publication number
- JP6053561B2 JP6053561B2 JP2013031957A JP2013031957A JP6053561B2 JP 6053561 B2 JP6053561 B2 JP 6053561B2 JP 2013031957 A JP2013031957 A JP 2013031957A JP 2013031957 A JP2013031957 A JP 2013031957A JP 6053561 B2 JP6053561 B2 JP 6053561B2
- Authority
- JP
- Japan
- Prior art keywords
- ast
- traffic
- source
- filtering
- profile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Description
本発明は、インターネットルーティング、BGP(Border Gateway Protocol)、分散サービス拒否攻撃検知、偽装検知、侵入検知、及びISPセキュリティのためのフィルタリングに関する。
偽装パケットとは、ヘッダに偽装ソースIPアドレスを有するパケットのことである。偽装パケットは、悪意のある活動のため意図的に生成される場合もあれば、設定ミスの結果生成される場合もある。
前者の場合、偽装パケットは、身元を隠し、送信元を探知されるリスクを低減したり、ネットワークを利用したセンサによる検知を回避したりするために用いられる。熟達した攻撃者にとって、広く利用されているオペレーティングシステムから送信される攻撃トラフィックで不正なソースIPアドレスを用いることは容易である。IPルーティングは宛先を基にして行われるため、偽装IPパケットは、偽装されていないIPパケットと同じように、意図された対象に到達する。
偽装IPパケットは、攻撃者が、複数の中間感染ホストから攻撃対象のホスト又はネットワークに大量のIPトラフィックストリームを殺到させる分散サービス拒否(DDoS:Distributed Denial of Service)攻撃で特に多く用いられる。このようなDDoS攻撃では、各ホストからのトラフィック量が少なく見えるよう偽装されているため、ネットワークを利用したセンサによって、検知するのは難しい。
DDoS攻撃のような大量トラフィックによる攻撃に加え、比較的隠密な攻撃においても、偽装IPパケットが用いられることがある。典型的な例としては、単一ソースのIP偽装UDP(User Datagram Protocol)パケットを送信して宛先ノードを危険にさらす、スラマーワームが挙げられる。
したがって、偽装IPトラフィックの検知は、各攻撃に特化した検知方法を用いることなく様々な種類のネットワーク攻撃を検知するための、汎用的な方法である。
前者の場合、偽装パケットは、身元を隠し、送信元を探知されるリスクを低減したり、ネットワークを利用したセンサによる検知を回避したりするために用いられる。熟達した攻撃者にとって、広く利用されているオペレーティングシステムから送信される攻撃トラフィックで不正なソースIPアドレスを用いることは容易である。IPルーティングは宛先を基にして行われるため、偽装IPパケットは、偽装されていないIPパケットと同じように、意図された対象に到達する。
偽装IPパケットは、攻撃者が、複数の中間感染ホストから攻撃対象のホスト又はネットワークに大量のIPトラフィックストリームを殺到させる分散サービス拒否(DDoS:Distributed Denial of Service)攻撃で特に多く用いられる。このようなDDoS攻撃では、各ホストからのトラフィック量が少なく見えるよう偽装されているため、ネットワークを利用したセンサによって、検知するのは難しい。
DDoS攻撃のような大量トラフィックによる攻撃に加え、比較的隠密な攻撃においても、偽装IPパケットが用いられることがある。典型的な例としては、単一ソースのIP偽装UDP(User Datagram Protocol)パケットを送信して宛先ノードを危険にさらす、スラマーワームが挙げられる。
したがって、偽装IPトラフィックの検知は、各攻撃に特化した検知方法を用いることなく様々な種類のネットワーク攻撃を検知するための、汎用的な方法である。
ネットワーク監視ポイントのソースアドレスプロファイルは、特定の期間に該監視ポイントで観測されたトラフィックパケットのソースIPアドレスを記録することで構築可能である。この期間を「トレーニング期間」と呼ぶ。このアプローチの問題は、トレーニング期間中に偽装パケットが存在すると、構築されたソースアドレスプロファイルが不正確なものとなる恐れがあることである。別の問題としては、トレーニング期間中に観測されたトラフィックが不十分だと、不完全なプロファイルが作成されることが挙げられる。
プロファイル構築中に偽装パケットが存在する問題は、パケット数の多いTCPフローのみを考慮に入れることで解決できることが知られている。パケット数の多いTCPフローは、送信元と宛先との間でTCPハンドシェイクが完了したことを示し得るので、送信元が偽装されている恐れが少なくなる。このアプローチは、大きなTCPフローはアクティビティが偽装されていないことを示す、という前提が基になっている。
しかし、偽装IPアドレスを有するTCPパケットを大量に生成できる攻撃者であれば、このアプローチを容易に破ることができる。また、このアプローチは、観測されるトラフィックが少ない場合に不完全なプロファイルが作成されてしまう問題の対策になっていない。
しかし、偽装IPアドレスを有するTCPパケットを大量に生成できる攻撃者であれば、このアプローチを容易に破ることができる。また、このアプローチは、観測されるトラフィックが少ない場合に不完全なプロファイルが作成されてしまう問題の対策になっていない。
さらに、不完全なプロファイルの問題は、ソースIPアドレスではなく、BGPの自律システム(AS:Autonomous System)番号についてプロファイルを作成することによって対策されている。単独のAS番号に複数のIPプレフィクスがマッピング可能なため、未観測のIPプレフィクスでも、AS番号でプロファイルを作成できる。このアプローチは、BGPのAS番号を基にしたプロファイルを生成する際に偽装ソースIPアドレスが観測された場合の対策にはならないが、観測されるトラフィック量が少ない中でプロファイルを作成する場合の対策に主眼が置かれている。
実行可能な上流隣接ルータのセットを特定の宛先について構築する、エッジルータ依存のIDPF(Inter−Domain Packet Filter)を構築するアプローチも試みられている。該実行可能な上流隣接ルータのセットは、直接隣接ルータから受信されるローカルなルーティングアップデートに基づいて構築される。特定の宛先について、該実行可能な上流隣接ルータのセットには、問題とされている送信元から宛先にトラフィックを送る際に実際に利用されるルータに加えて、隣接ルータが含まれてよい。
このアプローチは、ローカルなルーティング情報のみを利用するもので、エッジルータに実装される必要がある。
このアプローチは、ローカルなルーティング情報のみを利用するもので、エッジルータに実装される必要がある。
偽装トラフィックの攻撃を受けず、かつ、任意のネットワーク監視ポイントに実装可能なソースプロファイルを構築する新規な方法を提案する。周知の技術とは異なり、本発明のアプローチは、公開されている有効なルーティングデータリポジトリから推測した、送信元と宛先との間で利用される最適パスに一致するパスを用いる。本発明のアプローチは最適パスではなく実行可能なパスを用いるため、この新規なIDPFアプローチにおいて偽陰性の結果が出る確率を下げる。さらに、この新規の技術は、ネットワークのコア内の任意のネットワーク監視ポイントで利用できる。
偽装トラフィックを検知するためのソースプロファイルを作成するシステムは、次の方法を実行する。
偽装トラフィックを検知するためのソースプロファイルを作成する本発明の方法は、トラフィックプロファイルを用いてデータがノード間を横断する際のルーティングパスであって、少なくとも1つのターゲットASを含むそれぞれのルーティングパスを取得する手順と、最終ホップASによって、少なくとも1つのASセットを初期化する手順と、該ASセットをルータに接続することで該ASセットを拡張する手順と、拡張されたASセットのそれぞれについて、観測されたトラフィックフローをフィルタリングする手順と、フィルタリングされたフローを用いて、拡張されたASセットとネットワーク監視ポイントを関連付け、ソースプロファイルを作成する手順と、を含む。
一の態様では、前記フローをフィルタリングする手順は、少なくとも1つのTCPセッションフィルタリングと、宛先のbogonフィルタリングと、を含む。
一の態様では、前記ルータはボーダーゲートウェイプロトコルルータである。
一の態様では、前記最終ホップASは、前記ターゲットASから1ホップの距離にある。
一の態様では、前記ルータはボーダーゲートウェイプロトコルルータである。
一の態様では、前記最終ホップASは、前記ターゲットASから1ホップの距離にある。
本発明で開示される少なくとも1つの方法をコンピュータに実行させる命令からなるプログラムを記憶する、コンピュータ読取可能記憶媒体も提供される。
以下の詳細な説明では、図面を参照し、発明を限定するものではない実施例を用いて、本発明を説明する。図面における類似の参照番号は、同様の構成要素を指すものである。ただし、本発明は、特定の構成や手段に限定されるものではない。
ネットワーク内のトラフィック監視ポイントについてソースアドレスプロファイルを作成する問題を解決する方法を以下に説明する。
該ソースアドレスプロファイルを用いると、パケット内のソースアドレスと、監視ポイントに関連付けられたプロファイルとを比較することで、監視ポイントを横断する偽装IPパケットを検知できる。監視ポイントの例としては、ネットワーク内のルータが挙げられる。
該ソースアドレスプロファイルを用いると、パケット内のソースアドレスと、監視ポイントに関連付けられたプロファイルとを比較することで、監視ポイントを横断する偽装IPパケットを検知できる。監視ポイントの例としては、ネットワーク内のルータが挙げられる。
図1は、ASパスのグラフ、例えば、ネットワーク内のパス及びノードのグラフを示す図である。図内の矢印は、各ASからターゲットAS10に向かうデータパケットの移動方向を表す。この例では、AS2516がターゲットAS10である。
このようなASパスのグラフは、公開されているBGPルーティング情報リポジトリ(例えば、Routeviews)から入手可能なASパス情報を元に構築できる。
左から右へ向かうASパスは、最初のASから最後のASに宛てて送出されたパケットが横断しなければならない一連のBGP自律システム(Autonomous System)を表している。ASパスは、一連のAS番号で構成され、例えば、13237、1299、209、2516となる。
本発明のアプローチでは、ターゲットASから1ホップの距離にあるASはいずれも最終ホップAS12と見なされる。このグラフにおいて、AS番号が13030、13237、3356、209、1239、3549、19151、6461、3257、3292、6667のASが、ターゲットAS10(AS2516)に対する最終ホップAS12である。
このようなASパスのグラフは、公開されているBGPルーティング情報リポジトリ(例えば、Routeviews)から入手可能なASパス情報を元に構築できる。
左から右へ向かうASパスは、最初のASから最後のASに宛てて送出されたパケットが横断しなければならない一連のBGP自律システム(Autonomous System)を表している。ASパスは、一連のAS番号で構成され、例えば、13237、1299、209、2516となる。
本発明のアプローチでは、ターゲットASから1ホップの距離にあるASはいずれも最終ホップAS12と見なされる。このグラフにおいて、AS番号が13030、13237、3356、209、1239、3549、19151、6461、3257、3292、6667のASが、ターゲットAS10(AS2516)に対する最終ホップAS12である。
図2は、最終ホップASがターゲットAS内の監視ポイントとどのように関連付けられるのかを例示している。AS2516は、2つの監視ポイント21、22を含む。
左側の監視ポイント21は、AS13237及び209を横断するトラフィックを観測可能であり、右側の監視ポイント22は、AS3257、3356、及び3549を横断するトラフィックを観測可能である。このようにして、最終ホップASのそれぞれは、各監視ポイントと関連付けられ、監視ポイントのソースプロファイルを構築できる。
左側の監視ポイント21は、AS13237及び209を横断するトラフィックを観測可能であり、右側の監視ポイント22は、AS3257、3356、及び3549を横断するトラフィックを観測可能である。このようにして、最終ホップASのそれぞれは、各監視ポイントと関連付けられ、監視ポイントのソースプロファイルを構築できる。
図1に示すASパスから、AS15444、6067、8426からのトラフィックが、ターゲットAS2516に至る前に最終ホップAS3549を横断することが推測できる。したがって、これら3つのASはいずれも、AS3549に関連付けられた同一の監視ポイントに関連付けることができる。それゆえ、それに関連付けられたソースプロファイルを拡張することができる。
図3は、本発明の処理を図示したものである。この新規な処理では、ターゲットネットワーク内の監視ポイントのソースプロファイルが算出される。
最初のステップS101では、ターゲットAS10を含むASパスをBGPルーティング情報の公開リポジトリ(例えば、RIBs)から取得する。
ASパスは「AS1、AS2...ASt−2、ASt−1、ASt...ASn」のように表記され、ここでAStはターゲットASを表す。
続いてステップS102では、ターゲットAStに先立つ全てのASt−1をAStに対する最終ホップASとして特定する。最終ホップASのそれぞれについて、ASのセットを初期化する。
続いてステップS103では、最終ホップASt−1に先立つ全てのASi(i=1...t−2)を、ASt−1に関連付けられたASのセットに追加する。
次に、各ネットワーク監視ポイントで観測されたネットワークフローを用いて、ASのセットと監視ポイントとを関連付ける。ネットワークフローは複数のデータアイテムからなり、特に、フローの起点であるネットワークに対応するソースAS番号を含む。
偽装フローがプロファイル生成処理に悪影響を及ぼすリスクを下げるため、確立済みのTCPフローに対応するフローのみを考慮する。また、ランダム偽装攻撃に使われているフローを考慮してしまう可能性をさらに下げるため、Bogonソースアドレスを有するフローが最近観測された宛先に宛てられたフローは無視される。
観測された各ネットワークフローについて、次の処理手順が行われる。
偽装フローがプロファイル生成処理に悪影響を及ぼすリスクを下げるため、確立済みのTCPフローに対応するフローのみを考慮する。また、ランダム偽装攻撃に使われているフローを考慮してしまう可能性をさらに下げるため、Bogonソースアドレスを有するフローが最近観測された宛先に宛てられたフローは無視される。
観測された各ネットワークフローについて、次の処理手順が行われる。
ステップS104では、フローが、確立済みのTCPフローに対応するかどうか判断する。SYN、RST、FINフラグを持たない全てのTCPフローは、確立済みのフローと見なすことができる。その他のフローは無視される。
ステップS105では、現在のフローの宛先に関してBogonソースが最近観測されているかどうかを判断する。Bogonソースが観測されている宛先アドレスは所定の期間キャッシュされ、この期間中、この宛先に向かう全てのフロー(Bogonソースでないものも)は無視される。Bogonソースの特定には、公開されているBogonリストを用いる。
ステップS106では、該フローのソースAS番号を抽出する(ステップS104及びS105で除外されていない場合に限る)。該ソースASを含むASのセット(ステップS103で作成されたもの)を少なくとも1つ特定する。この監視ポイントについて、各ASのセットをソースプロファイルに追加する。
本発明の技術では、TCPフラグを用いて、フローが確立済みかどうかを決定する。この手法は、単独の大規模なフロー上の情報が、複数の小規模なフロー記録に分散され得る、サンプリングを基にした監視環境で有用である。
さらに、本発明の技術は、ソースプロファイルの作成に際してAS番号を考慮する点で、IPアドレスを基にしたプロファイルを考慮する従来技術と異なる。AS番号を基にしたプロファイルは、一部の従来技術で起きるような、プロファイル構築中に観測されたトラフィックの量が少ない場合に、該プロファイルがカバーできる送信元の範囲が限定されてしまうという問題の対策になる。従来技術のアプローチでは、確立済みのTCPセッションに対応する高ボリュームのTCPフローのみを考慮する。
さらに、本発明の技術は、ソースプロファイルの作成に際してAS番号を考慮する点で、IPアドレスを基にしたプロファイルを考慮する従来技術と異なる。AS番号を基にしたプロファイルは、一部の従来技術で起きるような、プロファイル構築中に観測されたトラフィックの量が少ない場合に、該プロファイルがカバーできる送信元の範囲が限定されてしまうという問題の対策になる。従来技術のアプローチでは、確立済みのTCPセッションに対応する高ボリュームのTCPフローのみを考慮する。
さらに、本発明のアプローチでは、BGPルーティング情報を用いて、プロファイリング期間中に観測されなかったAS番号をも含むプロファイルを作成する。
この新規な手法では、公開されている有効なルーティングデータリポジトリから推測した、送信元と宛先との間で用いられる最適パスに一致するパスを用いる。最適パスではなく実行可能なパスを用いるので、特にIDPFアプローチに関して偽陰性の結果が出る確率を下げる。
さらに、本発明のアプローチは、ネットワークのコア内のネットワーク監視ポイントで利用できる。
この新規な手法では、公開されている有効なルーティングデータリポジトリから推測した、送信元と宛先との間で用いられる最適パスに一致するパスを用いる。最適パスではなく実行可能なパスを用いるので、特にIDPFアプローチに関して偽陰性の結果が出る確率を下げる。
さらに、本発明のアプローチは、ネットワークのコア内のネットワーク監視ポイントで利用できる。
本発明の手法は、自律システムパス(ASパス)で表現したインターネットルーティングトポロジを用いて、トラフィックがインターネット上の特定の監視ポイントに到達すると予測されるかどうかを決定する。
さらに、本発明の方法は、インターネットルーティングトポロジのグローバルビューを用いてソースアドレスプロファイルを決定でき、非対称ルーティングトポロジを扱うことができる。偽装の被害軽減や、偽装パケットの検知を目的とした他の方法は、一般に、トレース情報の履歴のみを利用するか、悪意のあるトラフィックに関する公知の特徴を利用する。さらに、他の方法(IDPF等)は、ルータのローカルなルーティング情報データベースを用いて、宛先への実行可能パスを割り出す。このような手法は、非対称ルーティングが存在する場合には適切でない。
さらに、本発明の方法は、インターネットルーティングトポロジのグローバルビューを用いてソースアドレスプロファイルを決定でき、非対称ルーティングトポロジを扱うことができる。偽装の被害軽減や、偽装パケットの検知を目的とした他の方法は、一般に、トレース情報の履歴のみを利用するか、悪意のあるトラフィックに関する公知の特徴を利用する。さらに、他の方法(IDPF等)は、ルータのローカルなルーティング情報データベースを用いて、宛先への実行可能パスを割り出す。このような手法は、非対称ルーティングが存在する場合には適切でない。
図4は、本発明のシステムの一実施形態の模式図である。本実施形態において、該システムは、CPU40と、メモリ42と、インターネットに接続されたルータ44を含む。2台のルータ44が図示されているが、該システムで用いることのできるルータの数に制限はない。本発明のシステムにおいて、CPU40は前出の図3で説明した手順を行うモジュールを実行する。
ティア1ISP(インターネットサービスプロバイダ)ネットワーク内で1時間にわたり収集されたフローデータを用いて、BGPルートを基にしたトラフィックのプロファイルを利用する手法の有効性の最初の評価がされた。本評価の目的は、一連の監視ポイントのそれぞれにおいて、一のASセットについて観測される要素の一貫性を確認することである。
ネットワーク内の複数の監視ポイントから、5500万弱のフローからなるデータを収集した。該データから、各フローのソースAS番号を、観測された監視ポイントの識別子と共に抽出した。
分析においては、次の定義を用いた。
各符号は次のように算出された。
符号Φは、Aが観測された監視ポイントで観測されたLHAS(A)のAS番号の分数である。
符号Ψは、Bが観測されなかった監視ポイントで観測されたLHAS(B)のAS番号の分数である。
Aが観測された監視ポイントで観測可能なLHAS(A)の部分は、Bが観測されなかった監視ポイントで観測可能なLHAS(B)の部分よりも大きいと思われるため、ΦはΨよりも大きな値であると予想される。
符号Ψは、Bが観測されなかった監視ポイントで観測されたLHAS(B)のAS番号の分数である。
Aが観測された監視ポイントで観測可能なLHAS(A)の部分は、Bが観測されなかった監視ポイントで観測可能なLHAS(B)の部分よりも大きいと思われるため、ΦはΨよりも大きな値であると予想される。
前出の表1は、Φ及びΨの様々な値について収集されたデータのカウント数を表すものである。いずれの場合にも、多くの値が示されている。
これらの符号は、全ての最終ホップASについて定義されているものではないため、各符号についての値の合計数は異なる。
Ψについての値の大部分が0.1より小さい一方で、Φについての値の大部分が0.4より大きいことが分かる。
これらの符号は、全ての最終ホップASについて定義されているものではないため、各符号についての値の合計数は異なる。
Ψについての値の大部分が0.1より小さい一方で、Φについての値の大部分が0.4より大きいことが分かる。
これらの符号について累積分布関数を考慮すると、Ψについて観測された値のうち、0.2を超えるものは10%に過ぎず、一方、Φについて観測された値では、0.2を超えるものが50%にも達することが分かる。
Φについての値のうち30%近くが0.4を超えるということは、これらの最終ホップASについてのASセットの要素のうち40%以上が、対応する最終ホップASが観測された場所で観測されたことを示している。
Φについての値のうち30%近くが0.4を超えるということは、これらの最終ホップASについてのASセットの要素のうち40%以上が、対応する最終ホップASが観測された場所で観測されたことを示している。
本発明のシステム及び方法によれば、ソースアドレスの偽装がプロファイル作成処理に悪影響を及ぼさないよう対策しつつソースプロファイルを作成することができる。また、グローバルなインターネットルーティング情報を考慮してプロファイルを構築することで、プロファイルの構築に用いたネットワークフローで観測されなかったAS番号をも含めることができる。
本発明の様々な態様は、コンピュータ、プロセッサ、及び/又は機器において、実行された場合に、コンピュータ又は機器に上記方法のステップを行わせる、コンピュータ又はコンピュータ利用/読取可能な媒体に実装又は格納されたプログラム、ソフトウェア、コンピュータ命令として実施可能である。
本開示に記載した様々な機能や方法を行うための、機械で実行可能な命令群からなるプログラムを具体化したものである機械読取可能なプログラム記憶装置(例えばコンピュータ読取可能な媒体)もまた、本発明により提供される。
本開示に記載した様々な機能や方法を行うための、機械で実行可能な命令群からなるプログラムを具体化したものである機械読取可能なプログラム記憶装置(例えばコンピュータ読取可能な媒体)もまた、本発明により提供される。
本開示のシステム及び方法は、汎用コンピュータ又は専用コンピュータシステムにおいて、実装及び実行可能である。
コンピュータシステムは、現時点若しくは将来的に提供されるシステムであればどのようなものでもよく、典型例として、プロセッサ、メモリ装置、記憶装置、入出力装置、内部バス、及び/又は通信ハードウェア及びソフトウェアを介して他のコンピュータシステムと通信する通信インターフェイス等を備える。該システムは、一般に「クラウド」と呼ばれる仮想コンピュータシステムに実装されてもよい。
コンピュータシステムは、現時点若しくは将来的に提供されるシステムであればどのようなものでもよく、典型例として、プロセッサ、メモリ装置、記憶装置、入出力装置、内部バス、及び/又は通信ハードウェア及びソフトウェアを介して他のコンピュータシステムと通信する通信インターフェイス等を備える。該システムは、一般に「クラウド」と呼ばれる仮想コンピュータシステムに実装されてもよい。
コンピュータ読取可能媒体は、コンピュータ読取可能記憶媒体、又はコンピュータ読取可能信号媒体であってよい。コンピュータ読取可能記憶媒体の例としては、磁気、光学、電気、電磁気、赤外線、若しくは半導体によるシステム、機器若しくは装置、又はこれらの適切な組み合わせが挙げられるが、これらの例に限定されるものではない。
コンピュータ読取可能記憶媒体の具体例としては、可搬コンピュータディスケット、ハードディスク、磁気記憶装置、可搬コンパクトディスク読み取り専用メモリ(CD−ROM)、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROM、フラッシュメモリ)、1若しくは複数の電線を含む電気的接続、光ファイバ、光学記憶装置、又はこれらの適切な組み合わせが挙げられるが、これらの例に限定されるものではない。
命令実行システム、装置、若しくは機器によって、又はこれらと連携して、用いられるプログラムを含むことができる若しくは記憶できる有形の媒体であれば、コンピュータ読取可能記憶媒体として用いることができる。
コンピュータ読取可能記憶媒体の具体例としては、可搬コンピュータディスケット、ハードディスク、磁気記憶装置、可搬コンパクトディスク読み取り専用メモリ(CD−ROM)、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROM、フラッシュメモリ)、1若しくは複数の電線を含む電気的接続、光ファイバ、光学記憶装置、又はこれらの適切な組み合わせが挙げられるが、これらの例に限定されるものではない。
命令実行システム、装置、若しくは機器によって、又はこれらと連携して、用いられるプログラムを含むことができる若しくは記憶できる有形の媒体であれば、コンピュータ読取可能記憶媒体として用いることができる。
本開示で用いられる「コンピュータシステム」及び「コンピュータネットワーク」という用語には、据え置き及び/又は可搬コンピュータハードウェア、ソフトウェア、外部機器、記憶装置の様々な組み合わせが含まれる。
該コンピュータシステムには、ネットワークに接続された、若しくは互いにリンクされ協調して機能する複数の部品、又は1つ若しくは複数のスタンドアロン部品が含まれてよい。
本開示における該コンピュータシステムのハードウェア及びソフトウェア部品は、デスクトップ、ラップトップ、及び/又はサーバ、サーバネットワーク(クラウド)等の固定型及び可搬型の装置を含んでよく、また、これらに含まれてよい。
モジュールは、装置、ソフトウェア、プログラム、又は、ソフトウェア、ハードウェア、ファームウェア、電気回路等として実施される所定の機能を実装するシステムの構成要素であってよい。
該コンピュータシステムには、ネットワークに接続された、若しくは互いにリンクされ協調して機能する複数の部品、又は1つ若しくは複数のスタンドアロン部品が含まれてよい。
本開示における該コンピュータシステムのハードウェア及びソフトウェア部品は、デスクトップ、ラップトップ、及び/又はサーバ、サーバネットワーク(クラウド)等の固定型及び可搬型の装置を含んでよく、また、これらに含まれてよい。
モジュールは、装置、ソフトウェア、プログラム、又は、ソフトウェア、ハードウェア、ファームウェア、電気回路等として実施される所定の機能を実装するシステムの構成要素であってよい。
上述の実施形態は説明のための例示にすぎず、本発明はそれらに限定されるものではない。請求の範囲に記載された本発明の要旨を逸脱しない範囲において、当業者により種々の改良及び変更が可能である。
10 ターゲットAS
12 最終ホップAS
40 CPU
42 メモリ
44 ルータ
12 最終ホップAS
40 CPU
42 メモリ
44 ルータ
Claims (9)
- 偽装トラフィックを検知するためのソースプロファイルを作成する方法であって、
トラフィックプロファイルを用いてデータがノード間を横断する際のルーティングパスであって、少なくとも1つのターゲットAStを含むそれぞれのルーティングパスを取得する手順と、
前記ターゲットAStから1ホップの距離にある最終ホップASt−1を特定し、特定された最終ホップASt−1に先立つ全てのASi(1≦i≦t−2)を追加することにより、前記最終ホップASt−1に関連付けられるASセットを初期作成する手順と、
前記ターゲットASt内のネットワーク監視ポイントで観測されたトラフィックフローをフィルタリングする手順と、
前記フィルタリングされたトラフィックフローの起点であるソースASを抽出し、当該ソースASを含むASセットを特定し、前記トラフィックフローに基づいて該ASセットを拡張する手順と、
前記拡張されたASセットと前記ネットワーク監視ポイントとを関連付け、ソースプロファイルを作成する手順と、
を含むことを特徴とする方法。 - 請求項1に記載の方法であって、前記トラフィックフローをフィルタリングする手順は、少なくとも1つのTCPセッションフィルタリングと、宛先のbogonフィルタリングと、を含むことを特徴とする方法。
- 請求項1に記載の方法であって、前記ネットワーク監視ポイントはボーダーゲートウェイプロトコルルータであることを特徴とする方法。
- 偽装トラフィックを検知するためのソースプロファイルを作成するシステムであって、
CPUと、
モジュールであって、トラフィックプロファイルを用いてデータがノード間を横断する際のルーティングパスであって、少なくとも1つのターゲットAStを含むそれぞれのルーティングパスを取得し、前記ターゲットAStから1ホップの距離にある最終ホップASt−1を特定し、特定された最終ホップASt−1に先立つ全てのASi(1≦i≦t−2)を追加することにより、前記最終ホップASt−1に関連付けられるASセットを初期作成し、前記ターゲットASt内のネットワーク監視ポイントで観測されたトラフィックフローをフィルタリングし、前記フィルタリングされたトラフィックフローの起点であるソースASを抽出し、当該ソースASを含むASセットを特定し、前記トラフィックフローに基づいて該ASセットを拡張し、前記拡張されたASセットと前記ネットワーク監視ポイントとを関連付け、ソースプロファイルを作成するよう動作するモジュールと、
を含むことを特徴とするシステム。 - 請求項4に記載のシステムであって、前記観測されたトラフィックフローのフィルタリングは、少なくとも1つのTCPセッションフィルタリングと、宛先のbogonフィルタリングと、を含むことを特徴とするシステム。
- 請求項4に記載のシステムであって、前記ネットワーク監視ポイントはボーダーゲートウェイプロトコルルータであることを特徴とするシステム。
- 偽装トラフィックを検知するためのソースプロファイルを作成する方法をコンピュータに実行させる命令からなるプログラムを記憶する、コンピュータ読取可能記憶媒体であって、該方法は、
トラフィックプロファイルを用いてデータがノード間を横断する際のルーティングパスであって、少なくとも1つのターゲットAStを含むそれぞれのルーティングパスを取得する手順と、
前記ターゲットAStから1ホップの距離にある最終ホップASt−1を特定し、特定された最終ホップASt−1に先立つ全てのASi(1≦i≦t−2)を追加することにより、前記最終ホップASt−1に関連付けられるASセットを初期作成する手順と、
前記ターゲットASt内のネットワーク監視ポイントで観測されたトラフィックフローをフィルタリングする手順と、
前記フィルタリングされたトラフィックフローの起点であるソースASを抽出し、当該ソースASを含むASセットを特定し、前記トラフィックフローに基づいて該ASセットを拡張する手順と、
前記拡張されたASセットと前記ネットワーク監視ポイントとを関連付け、ソースプロファイルを作成する手順と、
を含むことを特徴とするコンピュータ読取可能記憶媒体。 - 請求項7に記載のコンピュータ読取可能記憶媒体であって、前記トラフィックフローをフィルタリングする手順は、少なくとも1つのTCPセッションフィルタリングと、宛先のbogonフィルタリングと、を含むことを特徴とするコンピュータ読取可能記憶媒体。
- 請求項7に記載のコンピュータ読取可能記憶媒体であって、前記ネットワーク監視ポイントはボーダーゲートウェイプロトコルルータであることを特徴とするコンピュータ読取可能記憶媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/547,305 | 2012-07-12 | ||
| US13/547,305 US8938804B2 (en) | 2012-07-12 | 2012-07-12 | System and method for creating BGP route-based network traffic profiles to detect spoofed traffic |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014023143A JP2014023143A (ja) | 2014-02-03 |
| JP6053561B2 true JP6053561B2 (ja) | 2016-12-27 |
Family
ID=49915213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013031957A Expired - Fee Related JP6053561B2 (ja) | 2012-07-12 | 2013-02-21 | 偽装トラフィック検知を目的としたbgpルートを基にしたネットワークトラフィックプロファイルを作成するシステム及び方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8938804B2 (ja) |
| EP (1) | EP2872996A4 (ja) |
| JP (1) | JP6053561B2 (ja) |
| WO (1) | WO2014011828A2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8938804B2 (en) * | 2012-07-12 | 2015-01-20 | Telcordia Technologies, Inc. | System and method for creating BGP route-based network traffic profiles to detect spoofed traffic |
| US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| KR101955975B1 (ko) * | 2016-07-07 | 2019-03-08 | 한국화학연구원 | 인쇄가 가능한 변형 센서용 소재 |
| CN116843907B (zh) * | 2023-06-26 | 2024-02-13 | 中国信息通信研究院 | 基于深度学习的增强和目标检测方法和系统 |
Family Cites Families (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6980549B1 (en) * | 2000-09-01 | 2005-12-27 | Avaya Technology Corp. | Policy enforcing switch |
| US7836498B2 (en) * | 2000-09-07 | 2010-11-16 | Riverbed Technology, Inc. | Device to protect victim sites during denial of service attacks |
| US20020166063A1 (en) * | 2001-03-01 | 2002-11-07 | Cyber Operations, Llc | System and method for anti-network terrorism |
| US7225271B1 (en) * | 2001-06-29 | 2007-05-29 | Cisco Technology, Inc. | System and method for recognizing application-specific flows and assigning them to queues |
| US7095715B2 (en) * | 2001-07-02 | 2006-08-22 | 3Com Corporation | System and method for processing network packet flows |
| US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
| US7207062B2 (en) * | 2001-08-16 | 2007-04-17 | Lucent Technologies Inc | Method and apparatus for protecting web sites from distributed denial-of-service attacks |
| US6975647B2 (en) * | 2001-11-13 | 2005-12-13 | Ems Technologies Canada, Ltd | Enhancements for TCP performance enhancing proxies |
| US7222366B2 (en) * | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
| US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
| US7743415B2 (en) * | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
| AU2003261154A1 (en) * | 2002-07-12 | 2004-02-02 | The Penn State Research Foundation | Real-time packet traceback and associated packet marking strategies |
| US8438302B2 (en) * | 2002-08-22 | 2013-05-07 | International Business Machines Corporation | Splitting and sharing routing information among several routers acting as a single border router |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US7266121B2 (en) * | 2002-12-27 | 2007-09-04 | Nokia Corporation | Flow labels |
| US7523485B1 (en) * | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US20050108415A1 (en) * | 2003-11-04 | 2005-05-19 | Turk Doughan A. | System and method for traffic analysis |
| PT1735983E (pt) * | 2004-04-14 | 2008-05-15 | Telecom Italia Spa | Método e sistema para gerir distribuição de conteúdos em redes de comunicação |
| US8037144B2 (en) * | 2004-05-25 | 2011-10-11 | Google Inc. | Electronic message source reputation information system |
| US20070016401A1 (en) * | 2004-08-12 | 2007-01-18 | Farzad Ehsani | Speech-to-speech translation system with user-modifiable paraphrasing grammars |
| US8176126B2 (en) * | 2004-08-26 | 2012-05-08 | International Business Machines Corporation | System, method and program to limit rate of transferring messages from suspected spammers |
| US7490235B2 (en) * | 2004-10-08 | 2009-02-10 | International Business Machines Corporation | Offline analysis of packets |
| US8059551B2 (en) * | 2005-02-15 | 2011-11-15 | Raytheon Bbn Technologies Corp. | Method for source-spoofed IP packet traceback |
| US20090055929A1 (en) * | 2005-02-21 | 2009-02-26 | Netpia.Com, Inc. | Local Domain Name Service System and Method for Providing Service Using Domain Name Service System |
| US20070097976A1 (en) * | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
| US8015605B2 (en) * | 2005-08-29 | 2011-09-06 | Wisconsin Alumni Research Foundation | Scalable monitor of malicious network traffic |
| US9467462B2 (en) * | 2005-09-15 | 2016-10-11 | Hewlett Packard Enterprise Development Lp | Traffic anomaly analysis for the detection of aberrant network code |
| US7797738B1 (en) * | 2005-12-14 | 2010-09-14 | At&T Corp. | System and method for avoiding and mitigating a DDoS attack |
| US20070153763A1 (en) * | 2005-12-29 | 2007-07-05 | Rampolla Richard A | Route change monitor for communication networks |
| US8255996B2 (en) * | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| US8397284B2 (en) * | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
| US7693146B2 (en) * | 2006-03-10 | 2010-04-06 | Cisco Technology, Inc. | Method and system for filtering traffic from unauthorized sources in a multicast network |
| US8533822B2 (en) * | 2006-08-23 | 2013-09-10 | Threatstop, Inc. | Method and system for propagating network policy |
| US8176178B2 (en) * | 2007-01-29 | 2012-05-08 | Threatmetrix Pty Ltd | Method for tracking machines on a network using multivariable fingerprinting of passively available information |
| US7626984B2 (en) * | 2006-10-25 | 2009-12-01 | At&T Corp. | Method and apparatus for providing congruent multicast and unicast routing |
| US20100138919A1 (en) * | 2006-11-03 | 2010-06-03 | Tao Peng | System and process for detecting anomalous network traffic |
| JP4523612B2 (ja) * | 2007-03-07 | 2010-08-11 | 日本電信電話株式会社 | 経路情報・mib情報をもとにしたトラフィック監視方法 |
| US7823202B1 (en) * | 2007-03-21 | 2010-10-26 | Narus, Inc. | Method for detecting internet border gateway protocol prefix hijacking attacks |
| US9083712B2 (en) * | 2007-04-04 | 2015-07-14 | Sri International | Method and apparatus for generating highly predictive blacklists |
| US8272044B2 (en) * | 2007-05-25 | 2012-09-18 | New Jersey Institute Of Technology | Method and system to mitigate low rate denial of service (DoS) attacks |
| US8042183B2 (en) * | 2007-07-18 | 2011-10-18 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting computer-related attacks |
| US8526300B2 (en) * | 2008-03-31 | 2013-09-03 | Ericsson Ab | Method and apparatus for providing resiliency in multicast networks |
| US20110032843A1 (en) * | 2008-04-10 | 2011-02-10 | Oktavian Papp | Setting up a virtual private network using virtual lan identifiers |
| US8327444B2 (en) * | 2009-04-13 | 2012-12-04 | Verizon Patent And Licensing Inc. | Suspicious autonomous system path detection |
| US8634428B2 (en) * | 2009-09-21 | 2014-01-21 | At&T Intellectual Property I, L.P. | Method and system for symmetric routing |
| US8296838B2 (en) * | 2009-12-07 | 2012-10-23 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for protecting against IP prefix hijacking |
| US20110149960A1 (en) * | 2009-12-17 | 2011-06-23 | Media Patents, S.L. | Method and apparatus for filtering multicast packets |
| US8826413B2 (en) * | 2009-12-30 | 2014-09-02 | Motorla Solutions, Inc. | Wireless local area network infrastructure devices having improved firewall features |
| MX2012009208A (es) * | 2010-02-08 | 2012-09-07 | Msd Oss Bv | Compuestos de 8-metil-1-fenil-imidazol[1, 5-a]pirazina. |
| US8335160B2 (en) * | 2010-03-30 | 2012-12-18 | Telefonaktiebolaget L M Ericsson (Publ) | Flow sampling with top talkers |
| EP2372490A1 (en) * | 2010-03-31 | 2011-10-05 | Robert Bosch GmbH | Circuit arrangement for a data processing system and method for data processing |
| US8281397B2 (en) * | 2010-04-29 | 2012-10-02 | Telcordia Technologies, Inc. | Method and apparatus for detecting spoofed network traffic |
| US8756339B2 (en) * | 2010-06-18 | 2014-06-17 | At&T Intellectual Property I, L.P. | IP traffic redirection for purposes of lawful intercept |
| US20120198541A1 (en) * | 2011-02-02 | 2012-08-02 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
| US9071575B2 (en) * | 2011-04-21 | 2015-06-30 | Robert K. Lemaster | Method and system for abuse route aggregation and distribution |
| US9100324B2 (en) * | 2011-10-18 | 2015-08-04 | Secure Crossing Research & Development, Inc. | Network protocol analyzer apparatus and method |
| USD664137S1 (en) * | 2011-12-29 | 2012-07-24 | Fih (Hong Kong) Limited | Cover of an electronic device with surface pattern |
| WO2013188611A2 (en) * | 2012-06-14 | 2013-12-19 | Tt Government Solutions, Inc. | System and method for real-time reporting of anomalous internet protocol attacks |
| US8938804B2 (en) * | 2012-07-12 | 2015-01-20 | Telcordia Technologies, Inc. | System and method for creating BGP route-based network traffic profiles to detect spoofed traffic |
-
2012
- 2012-07-12 US US13/547,305 patent/US8938804B2/en active Active
-
2013
- 2013-02-21 JP JP2013031957A patent/JP6053561B2/ja not_active Expired - Fee Related
- 2013-07-11 EP EP13816136.9A patent/EP2872996A4/en not_active Withdrawn
- 2013-07-11 WO PCT/US2013/050002 patent/WO2014011828A2/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP2872996A4 (en) | 2016-03-30 |
| US8938804B2 (en) | 2015-01-20 |
| WO2014011828A2 (en) | 2014-01-16 |
| US20140020099A1 (en) | 2014-01-16 |
| JP2014023143A (ja) | 2014-02-03 |
| WO2014011828A3 (en) | 2014-04-03 |
| EP2872996A2 (en) | 2015-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5991901B2 (ja) | 偽装ネットワークトラフィックを検知する方法、装置、及びプログラム | |
| Duan et al. | Controlling IP spoofing through interdomain packet filters | |
| US10749897B2 (en) | Short term certificate management during distributed denial of service attacks | |
| US20150350240A1 (en) | Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data | |
| JP6053561B2 (ja) | 偽装トラフィック検知を目的としたbgpルートを基にしたネットワークトラフィックプロファイルを作成するシステム及び方法 | |
| Arukonda et al. | The innocent perpetrators: reflectors and reflection attacks | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| Seo et al. | APFS: adaptive probabilistic filter scheduling against distributed denial-of-service attacks | |
| US11924043B2 (en) | Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery | |
| Haddadi et al. | DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment | |
| Harshita | Detection and prevention of ICMP flood DDOS attack | |
| Shiaeles et al. | FHSD: an improved IP spoof detection method for web DDoS attacks | |
| Gao et al. | A practical and robust inter-domain marking scheme for IP traceback | |
| Robinson et al. | Evaluation of mitigation methods for distributed denial of service attacks | |
| Yao et al. | VASE: Filtering IP spoofing traffic with agility | |
| Kong et al. | Random flow network modeling and simulations for DDoS attack mitigation | |
| CN106059939B (zh) | 一种报文转发方法及装置 | |
| Aghaei-Foroushani et al. | Autonomous system based flow marking scheme for IP-Traceback | |
| Durresi et al. | Fast autonomous system traceback | |
| Fallah et al. | TDPF: a traceback‐based distributed packet filter to mitigate spoofed DDoS attacks | |
| Said et al. | An improved strategy for detection and prevention ip spoofing attack | |
| Shue et al. | Packet forwarding with source verification | |
| JP2017200152A (ja) | 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム | |
| Kuppusamy et al. | An effective prevention of attacks using gI time frequency algorithm under dDoS | |
| Kaffashi et al. | A new attack on link-state database in open shortest path first routing protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150812 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160610 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160628 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160923 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161122 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161129 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6053561 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |