JP6168977B2 - 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 - Google Patents
異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 Download PDFInfo
- Publication number
- JP6168977B2 JP6168977B2 JP2013253242A JP2013253242A JP6168977B2 JP 6168977 B2 JP6168977 B2 JP 6168977B2 JP 2013253242 A JP2013253242 A JP 2013253242A JP 2013253242 A JP2013253242 A JP 2013253242A JP 6168977 B2 JP6168977 B2 JP 6168977B2
- Authority
- JP
- Japan
- Prior art keywords
- moving average
- average value
- attack
- count
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000002159 abnormal effect Effects 0.000 title claims description 55
- 238000000034 method Methods 0.000 title claims description 48
- 238000009499 grossing Methods 0.000 claims description 18
- 238000012544 monitoring process Methods 0.000 claims description 11
- 230000002547 anomalous effect Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 description 15
- 230000007774 longterm Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000013459 approach Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000000116 mitigating effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000408659 Darpa Species 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- NRNCYVBFPDDJNE-UHFFFAOYSA-N pemoline Chemical compound O1C(N)=NC(=O)C1C1=CC=CC=C1 NRNCYVBFPDDJNE-UHFFFAOYSA-N 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Description
偽装されているように見える低いレベルのトラフィックが常に存在するため(つまり、偽装によるもの又は偽装検出アルゴリズムにおける誤検出によるもののいずれかが存在するため)、この判定は、大規模なインターネットサービスプロバイダー(ISP)のモニタリングの環境では重要である。このトラフィックの全てを運用者へ報告することは、大量の警告を発生させ、運用者の対処を妨げる。
よって、本開示は、検出自体ではなく、検出の結果を用いた運用上の利益に関するものである。
102では、送信元偽装が検出される。各レコードについて、システムは、送信元IPアドレスが偽装されているか否かを判定する。これは、例えば、Vaidyanathan R.,Ghosh A.,Yuu−Heng Cheng,Yamada A. and Miyake Y.,“On the use of BGP AS numbers to detect spoofing”,In 2010 IEEE GLOBECOM Workshops (GC Workshops),pp.1606−1610.Miami,FL USA,2010に開示されるような、ソースプロファイル104及び所期の性能を有する自律システム(autonomous system(AS))セットを用いることにより行うことができる。しかしながら、偽装されたIPアドレスを検出する何らかの方法が潜在的に適応可能である。
106において、アイテムが偽装されていると判定された場合、カウンターは、107においてインクリメントされる。カウンターは、現在の間隔内で宛先サブネットにより見られる、偽装された送信元アドレスの数を記録する。この間隔は、ショートタームウィンドウとして知られている。
110では、複数の更新間隔が経過した場合、移動平均値は、平滑化を用いて見逃した間隔のために更新される。このように、システムは、宛先に関するレコードが、ショートタームウィンドウに入るとき、又は、から外れたときにのみ、移動平均値を更新する。システムは、少なくとも1つの更新間隔において更新されなかった移動平均値が更新されるとき、見逃した更新間隔のそれぞれに対するその現在値で初めに更新されるようにする。システムは、移動平均値が0ではなく、少なくとも小さい正の数であるようにする。システムは、その後、次のレコードの処理を続ける。
112では、宛先ネット又はサブネットの現在のアラームがあるかどうかの判定がなされる。
114では、宛先サブネットの現在のアラームがない場合、システムは、アラームをデータベースへ投入し、偽装企図のレコードがデータベースに記憶される。そして、フローは102へ戻る。
116では、偽装された攻撃の数が、第2の予め定義された倍数Y(これは、クリア閾値である)を下回るかどうかの判定がなされ、かつ、宛先サブネットの現在のアラームがあるかどうかの判定がなされる。Yの典型的な値は、1、1.1、1.25であり、ここでYはX以下である。X及びYのための値における許容範囲は事実上存在するが、X及びYは、倍精度浮動小数点数として定義され、ここで処理上の理由のため、Xは1.0よりも大きく、YはX以下でなければならない。X及びYを決定するための厳格な規則はない。運用者は、期待されるトラフィックスパイク及び許容可能なフォルスアラームの数に基づいて、これらの値を決定することができる。ネットワークのサイズが、運用者が選択する値の要因となりうるが、この値は、通常、トラフィックの平均変動率よりもはるかに大きいものを表す直感的な概念に一致するように選択される。
120では、移動平均値は、平滑化を用いて更新される。フローは102へ戻る。
116において、偽装された攻撃の数が第2の予め定義された倍数よりも大きい、又は、宛先サブネットの現在のアラームがない場合、平滑化を用いて移動平均値を更新するために、フローは直接120へ進み、その後、102へ進む。
これは、L=S×α+Lprevious×(1−α)と表される。
処理の開始時では、システムは、Lの初期値としてロングターム値として知られるユーザ指定の値を使用する。システムは、Lを更新する一方で、“ロングターム期間”として知られる最初のユーザ指定の間隔の終了前にロングターム値に対して比較する。ロングターム期間の後、システムは、比較のために、算出されたLを使用する。更新間隔は、通常及び好ましくは、1秒である。その値は、任意の正の数であり、倍精度浮動小数点数として実装されることができる。この数は、監視されるネットワークとは独立である。
一般的に200で示されるインターネットサービスプロバイダー(ISP)ネットワークは、ネットワークを介してトラフィックをネットワークエッジにおけるホストへ転送するルーター202,204,206を含む。これらのいくつかのルーター204は、インターナルフローエージェントを有してもよい。他のルーター206は、これらのフローエージェント208と結合して実装される。フローエージェント208は、ネットワークを監視し、データ(例えば、IPアドレス、ポート数、及びトラフィック量)を収集し、このデータをフローレコードプロセッサ210へ送信する。アラームデータベース212及びプロファイルデータベース214は、フローレコードプロセッサ210と関連付けられる。
キャプチャデーモン302は、フローレコードを、それらのネイティブ形式(NetFlow又はsFlowレコード)から正規の形式へ変換する。
フローレコードプロセッサ210は、また、レコード処理コンポーネント304を含み、これは、図1について説明されたような正規のレコードを処理する。
403では、フローレコードは、上記で説明されたシステムにおいて使用される正規のフォーマットへ変更される。sFlowエージェント及びNetFlowエージェントのためのキャプチャデーモンが存在する。通常、それぞれのキャプチャデーモンは、1つのタイプのレコードのみを変換することができる。キャプチャデーモンは開始し、そのレコードをキャプチャデーモンへ送信するように構成されるエージェントから到来したレコード(sFlow又はNetFlowのいずれか)に対し、注意を向ける。ネイティブレコードを受信すると、キャプチャデーモンは、そのレコードから、正規のレコード(canonical record)を生成するために必要なデータを抽出し、正規のレコードを生成する。
404では、キャプチャデーモンは、レコードをファイルに書き込むことにより正規のレコードを記録する。
405では、キャプチャデーモンは、現在のウィンドウにおいて、期限切れの、つまり、いくつかの所定の閾値よりも古い正規のレコードが存在するかどうかを判定する。
406では、ファイルに期限切れのレコードが存在する場合、キャプチャデーモンは、それらのレコードを現在のウィンドウから除去する。
407では、期限切れの正規のレコードは、これらのレコードが期限切れであるという注釈と共に、304(図3)での処理を記録するために送信される。
408では、キャプチャデーモンは、新たな正規のレコードを現在のウィンドウに追加する。
409では、キャプチャデーモンは、このレコードがウィンドウに新たに入るという注釈と共に、304での処理を記録するためにコピーを送信する。キャプチャデーモンは、402において入ってくるネイティブレコードの処理を再開する。
TCPベースのアプリケーションは、3−ウェイハンドシェイクプロトコルを用いるクライアントとサーバとの接続の確立を必要とする。ハンドシェイクは、サーバへSYNフラグセット(aka SYNパケット)を有するTCPパケットを送信するクライアントにより開始される。接続の成功は、サーバとクライアントとの確立された接続において非SYN(データ)パケットの交換をもたらす。典型的なボットベースのDoS攻撃は、多数のSYNパケットをサーバへ送信する。SYNフラッドにおける各SYNパケットは、サーバにおけるTCPステートのアロケーションをもたらし、SYN−ACKは、クライアントへ送信される。ボット攻撃は、SYN−ACKに応答せず、そのため、サーバのリソースを消費する。
SYNフラッド攻撃は、いわゆるフラッシュクラウドとは区別される。なぜなら、SYNフラッドは、SYNパケットの比率が非常に大きいからである。SYN比率インジケータは、各タイムウィンドウ内の観測されたSYN及び非SYNトラフィックのカウンターを維持する。SYN比率インジケータは、複数のタイムウィンドウに亘る観測された非SYNトラフィックに対する観測されたSYNトラフィックのロングタームレートも維持する。所定のタイムウィンドウの算出されたレートは、アラートを出す必要があるかどうか判定するために、現在のロングタームレートと比較される。所定のタイムウィンドウに対してアラートを出す必要がない場合、タイムウィンドウの算出されたレートは、ロングタームレートを更新するために用いられる。
DDoS攻撃を発するボットネットは、通常、ターゲットを圧倒するために、多数のボットを用いる。また、多くのボットネットは、個々のボットのロケーションを隠すためにランダム送信元IPアドレス偽装を採用している。よって、大規模なDDoS攻撃時には、所定の宛先IPに対するユニークな送信元IPアドレスの数は、通常の動作に対して相対的に非常に大きくなる可能性がある。所定の宛先IPアドレスのタイムウィンドウ内で観測されたユニークな送信元IPの数を考慮することによりDDoS/RDDoS攻撃の早期な警告を提供することが可能となる。ソースIPダイバーシティインジケータは、各タイムウィンドウに亘って観測されたユニークな送信元IPアドレスのカウンターを維持し、所定の宛先のショートタームのソースIPダイバーシティレートの算出を可能にする。ショートタームのソースIPダイバーシティは、上記のSYN比率インジケータと同様の手法でロングタームのソースIPダイバーシティレートと共に使用され、アラートを出すかどうかを判定するために使用される。
DDoS攻撃は、地理的に異なった地域に位置するボットを採用する場合もある。したがって、宛先に対してトラフィックが観測されるユニークな地理的エリアの数は、DDoS攻撃が進行しているときには、相対的に大きくなりうる。送信元IPアドレスを考えると、whoisサーバ又はIPアドレスリストを付与されているRIR(Regional Internet Registry)のいずれかからその地理的な位置のおおよその観測が得られる。IPゲオロケーションダイバーシティインジケータは、トラフィックが、現在のタイムウィンドウ内の与えられた宛先に対して観測される場所からのユニークな地理的な位置のカウントを維持する。既に述べたように、これは、所定の宛先の地理的な異常の存在を判定するために、ロングタームレートと比較される。
既知の悪意のあるトラフィック送信元のIPアドレスを含むブラックリストは、様々な信頼できるプロバイダーから公的に取得される。典型的には、これらのリストにより、悪意のあるトラフィックを発生させると知られている特定のIPアドレス又はIPアドレスサブネットのいずれかが識別される。IPアドレスリストインジケータにより、観測されたフローデータにおけるこれらのリストからIPアドレスの存在が分析される。
このインジケータの例は、コンフィグレーションインプットとして提供される特定のIPアドレスリストと関連付けられる。
アナリストは、インジケータタイプのいくつかのサブセットと共に関心のある宛先IPアドレス又は宛先IPプレフィックスに基づくアラートをフィルタすることができる。ある宛先IPが、攻撃下にある又は攻撃されそうであるとわかっている場合、インジケータアクティビティを監視することは、攻撃の性質を判定することの助けとなり、それにより、適切な緩和メカニズムを判定することの助けとなる。よって、少量のソースIPダイバーシティインジケータアラートであるが、宛先に対する多量のレートベースのインジケータアラートは、少数の送信元からのトラフィックがDDoS攻撃を生じることを示すことができる。取り得る可能な緩和メカニズムは、選択された送信元アドレスに対する、いわゆるブラックホーリング手法のみを含むことができる。
コンピュータ505は、ユーザインターフェース510と、プロセッサ515と、メモリ520と、を備える。コンピュータ505は、汎用マイクロコンピュータで実装されてもよい。コンピュータ505は、本明細書ではスタンドアローン装置として表されるが、これに限定されず、ネットワーク530を介して他の装置(図示せず)と接続されることができる。
メモリ520は、プロセッサ515の動作を制御するデータ及び命令を記憶する。メモリ520は、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、又はそれらの組み合わせに実装されてもよい。
メモリ520の1つの構成要素は、プログラムモジュール525である。
プログラムモジュール525は、本明細書に記載の方法を実行するプロセッサ515を制御する命令を含む。
プロセッサ515は、本明細書に記載の方法の実行の結果をユーザインターフェース510へ出力する。それに替えて、プロセッサ515は、ネットワーク530を介してリモートデバイス(図示せず)へ出力を指示する。
記憶媒体535は、有形形態でプログラムモジュール525を記憶する従来の記憶媒体であることができる。記憶媒体535の例は、ハードディスクドライブ、フレキシブルディスク、コンパクトディスク、磁気テープ、リードオンリーメモリ、光学記憶媒体、ユニバーサルシリアルバス(USB)フラッシュドライブ、デジタルバーサタイルディスク又はジップドライブを含む。それに替えて、記憶媒体535は、リモートストレージシステムに位置付けられ、ネットワーク530を介してコンピュータ505に接続されるランダムアクセスメモリ又は他のタイプの電子ストレージであることができる。
さらに、本明細書に記載の実施形態は、一連のコンピュータ命令を動作するデジタルプロセッサにより実装されるが、他の実施形態は、各種のハードウェア構成要素及び回路を用いて実装されてもよい。例えば、回路は、本明細書に記載のシステム及び方法を実現するために、各種のカウンター、タイマー及びコンパレーターを実装して用いられることができる。
本開示は、添付の特許請求の範囲の範囲内に含まれるこのような代替手段、変更及び変形例の全てを包含することを意図するものである。
200,202,204 ルーター
208 フローエージェント
210 フローレコードプロセッサ
212 アラームデータベース
214 プロファイルデータベース
500 コンピュータシステム
505 コンピュータ
510 ユーザインターフェース
515 プロセッサ
520 メモリ
525 プログラムモジュール
530 ネットワーク
535 記憶媒体
Claims (30)
- インターネットトラフィックを監視するシステムであって、
異常攻撃として識別されるインターネットトラフィックメッセージを検出する第1の装置と、
カウントを提供するために前記異常攻撃として識別される前記インターネットトラフィックメッセージをカウントするカウンターと、
前記異常攻撃として識別される前記インターネットトラフィックメッセージの数の移動平均値を算出する第2の装置と、
前記カウントを前記移動平均値と比較し、前記カウントが前記移動平均値の第1の倍数よりも大きい場合には、異常攻撃アラームを提供する比較部と、
を備えるシステム。 - 前記カウントが前記移動平均値の第2の倍数よりも小さい場合には、前記異常攻撃アラームを消去する消去装置をさらに備え、前記第2の倍数は、前記第1の倍数よりも小さい、請求項1に記載のシステム。
- 前記カウントが前記第1の倍数より小さい場合には、平滑化により前記移動平均値を更新する更新装置をさらに備える請求項2に記載のシステム。
- 前記平滑化は、指数平滑化である請求項3に記載のシステム。
- 前記異常攻撃のレコードを記憶するデータベースと、
前記異常攻撃のレコードが所定の期間、前記データベースにあるかどうかを判定するプロセッサと、をさらに備える請求項1に記載のシステム。 - 前記移動平均値は、現在のタイムウィンドウで算出され、レコードが、所定の期間よりも長い期間、前記データベースにあった場合には、当該レコードは、前記移動平均値を算出するための前記タイムウィンドウから削除される請求項5に記載のシステム。
- 前記移動平均値は、常に正の数に設定される請求項1に記載のシステム。
- 前記異常攻撃は、送信元偽装及びサービス拒否攻撃のうちの少なくとも1つを含む請求項1に記載のシステム。
- 前記移動平均値は、予め設定された間隔と同じ頻度で更新される請求項1に記載のシステム。
- インターネットトラフィックを監視するシステムであって、
ネットワークフローにおける異常攻撃を検出し、
カウントを提供するために前記異常攻撃として検出されるインターネットトラフィックの数をカウントし、
前記異常攻撃として検出される前記インターネットトラフィックの数の移動平均値を算出し、
前記カウントを前記移動平均値と比較し、
前記カウントが前記移動平均値の第1の倍数よりも大きい場合には、異常攻撃アラームを提供する、ステップを実行するプロセッサ、を備えるシステム。 - 前記プロセッサは、さらに、前記カウントが前記移動平均値の第2の倍数よりも小さい場合には、前記異常攻撃アラームを消去するステップを実行し、前記第2の倍数は、前記第1の倍数よりも小さい、請求項10に記載のシステム。
- 前記プロセッサは、さらに、前記カウントが前記移動平均値の第1の倍数より小さい場合には、平滑化により前記移動平均値を更新するステップを実行する、請求項10に記載のシステム。
- 前記平滑化は、指数平滑化である請求項12に記載のシステム。
- 異常攻撃のレコードを記憶するデータベースのためのストレージをさらに備え、前記プロセッサは、さらに、前記異常攻撃のレコードが所定の期間、前記データベースにあるかどうかを判定するステップを実行する、請求項12に記載のシステム。
- 前記プロセッサが、前記レコードが前記所定の期間よりも長い期間、前記データベースにあったと判定した場合には、前記プロセッサは、移動平均値を算出するために用いられたウィンドウから前記レコードを削除する請求項14に記載のシステム。
- 前記異常攻撃は、送信元偽装及びサービス拒否攻撃のうちの少なくとも1つを含む請求項10に記載のシステム。
- 前記移動平均値は、予め設定された間隔と同じ頻度で更新される請求項10に記載のシステム。
- 前記移動平均値は、常に正の数に設定される請求項10に記載のシステム。
- インターネットトラフィックを監視する方法であって、
ネットワークフローを受信し、前記ネットワークフローにおける異常攻撃を検出するステップと、
カウントを提供するために前記異常攻撃として検出されるインターネットトラフィックメッセージの数をカウントするステップと、
前記異常攻撃として検出される前記インターネットトラフィックメッセージの数の移動平均値を算出するステップと、
前記カウントを前記移動平均値と比較し、前記カウントが前記移動平均値の第1の倍数よりも大きい場合には、異常攻撃アラームを提供するステップと、を備える方法。 - 前記カウントが前記移動平均値の第2の倍数よりも小さい場合には、前記異常攻撃アラームを消去するステップをさらに備え、前記第2の倍数は、前記第1の倍数よりも小さい、請求項19に記載の方法。
- 前記カウントが前記移動平均値の前記第1の倍数よりも小さい場合には、平滑化を用いて前記移動平均値を更新する、請求項19に記載の方法。
- 前記平滑化は、指数平滑化である請求項21に記載の方法。
- 一連のコンピュータ命令を実行するコンピュータプロセッサが実装される、請求項19に記載の方法。
- 前記移動平均値は、予め設定された間隔と同じ頻度で更新される請求項19に記載の方法。
- 前記移動平均値は、常に正の数に設定される請求項19に記載の方法。
- 前記異常攻撃のレコードをデータベースに記憶するステップと、
前記異常攻撃のレコードが所定期間、前記データベースにあるかどうかを判定するステップと、をさらに備える請求項19に記載の方法。 - 前記レコードが、所定の期間よりも長い期間、前記データベースにあった場合には、前記移動平均値を算出するために用いられるウィンドウから前記レコードを削除するステップをさらに備える請求項26に記載の方法。
- 前記異常攻撃は、送信元偽装及びサービス拒否攻撃のうちの少なくとも1つを含む請求項19に記載の方法。
- コンピュータシステムにより実行されたときに、以下の方法のステップのパフォーマンスをもたらすコンピュータプログラムの命令を記憶するコンピュータで読み取り可能な一時的でない記憶媒体であって、前記方法は、
ネットワークフローにおける異常攻撃を検出するステップと、
前記異常攻撃として検出されるインターネットトラフィックメッセージの数をカウントして、カウントを提供するステップと、
前記異常攻撃として検出される前記インターネットトラフィックメッセージの数の移動平均値を算出するステップと、
前記カウントを前記移動平均値と比較して、前記カウントが前記移動平均値の第1の倍数よりも大きい場合には、異常攻撃アラームを提供するステップと、を備える、
コンピュータで読み取り可能な一時的でない記憶媒体。 - 前記方法は、偽装又はサービス拒否攻撃として異常攻撃を判定するステップをさらに備える、請求項29に記載のコンピュータで読み取り可能な一時的でない記憶媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013253242A JP6168977B2 (ja) | 2013-12-06 | 2013-12-06 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013253242A JP6168977B2 (ja) | 2013-12-06 | 2013-12-06 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015111770A JP2015111770A (ja) | 2015-06-18 |
JP6168977B2 true JP6168977B2 (ja) | 2017-07-26 |
Family
ID=53526335
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013253242A Expired - Fee Related JP6168977B2 (ja) | 2013-12-06 | 2013-12-06 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6168977B2 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106506261A (zh) * | 2016-10-18 | 2017-03-15 | 上海市信息网络有限公司 | 智能在线监测前端局域网网络流量的方法 |
CN111641585B (zh) * | 2016-12-29 | 2023-11-10 | 华为技术有限公司 | 一种DDoS攻击检测方法及设备 |
CN108696406A (zh) * | 2018-05-30 | 2018-10-23 | 连尚(新昌)网络科技有限公司 | 推送信息的方法 |
US20220224705A1 (en) * | 2019-06-04 | 2022-07-14 | Nippon Telegraph And Telephone Corporation | Detection device, detection method, and detection program |
CN110597214B (zh) * | 2019-09-26 | 2021-02-12 | 中冶赛迪重庆信息技术有限公司 | 操作动作量识别方法、系统存储介质及电子终端 |
CN111683095B (zh) * | 2020-06-08 | 2023-05-12 | 深信服科技股份有限公司 | 攻击检测方法及装置和计算机可读存储介质 |
CN113220526A (zh) * | 2021-05-06 | 2021-08-06 | 国家计算机网络与信息安全管理中心 | 一种僵尸网络的家族规模的异常检测方法及装置 |
CN117081863B (zh) * | 2023-10-16 | 2023-12-15 | 武汉博易讯信息科技有限公司 | Ddos攻击检测防御方法、系统、计算机设备及存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2699832B2 (ja) * | 1993-09-25 | 1998-01-19 | 日本電気株式会社 | 信号検出処理回路 |
JP4490307B2 (ja) * | 2005-02-24 | 2010-06-23 | 三菱電機株式会社 | ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法 |
US8516104B1 (en) * | 2005-12-22 | 2013-08-20 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting anomalies in aggregated traffic volume data |
JP2009032066A (ja) * | 2007-07-27 | 2009-02-12 | Mitsubishi Electric Corp | ディジタル式制御装置の通信異常検知手法 |
US8925079B2 (en) * | 2011-11-14 | 2014-12-30 | Telcordia Technologies, Inc. | Method, apparatus and program for detecting spoofed network traffic |
JP5878066B2 (ja) * | 2012-04-02 | 2016-03-08 | Kddi株式会社 | 無線端末 |
-
2013
- 2013-12-06 JP JP2013253242A patent/JP6168977B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2015111770A (ja) | 2015-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9130982B2 (en) | System and method for real-time reporting of anomalous internet protocol attacks | |
JP6168977B2 (ja) | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 | |
US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
US7624447B1 (en) | Using threshold lists for worm detection | |
Gu et al. | Worm detection, early warning and response based on local victim information | |
RU129279U1 (ru) | Устройство обнаружения и защиты от аномальной активности на сети передачи данных | |
KR101574193B1 (ko) | 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법 | |
TW201738796A (zh) | 網路攻擊的防控方法、裝置及系統 | |
US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
KR20060116741A (ko) | 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치 | |
EP2880819A1 (en) | Network traffic processing system | |
Chen et al. | Collaborative change detection of DDoS attacks on community and ISP networks | |
US10708294B2 (en) | System and method to select and apply hypothetical mitigation parameters | |
Thakur et al. | Detection and Prevention of Botnets and malware in an enterprise network | |
JP2017204721A (ja) | セキュリティシステム | |
Özdinçer et al. | SDN-based detection and mitigation system for DNS amplification attacks | |
JPWO2006043310A1 (ja) | 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム | |
US8938804B2 (en) | System and method for creating BGP route-based network traffic profiles to detect spoofed traffic | |
Siregar et al. | Intrusion prevention system against denial of service attacks using genetic algorithm | |
KR101918441B1 (ko) | 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템 | |
Xia et al. | Effective worm detection for various scan techniques | |
KR101772292B1 (ko) | 소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템 | |
Bu et al. | Design and evaluation of a fast and robust worm detection algorithm | |
Chuah et al. | Challenges in Identifying Network Attacks Using Netflow Data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160721 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170518 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170606 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170627 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6168977 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |