JP6483819B2 - ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 - Google Patents
ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 Download PDFInfo
- Publication number
- JP6483819B2 JP6483819B2 JP2017518872A JP2017518872A JP6483819B2 JP 6483819 B2 JP6483819 B2 JP 6483819B2 JP 2017518872 A JP2017518872 A JP 2017518872A JP 2017518872 A JP2017518872 A JP 2017518872A JP 6483819 B2 JP6483819 B2 JP 6483819B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- subdomain
- processor
- response
- ratio
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title description 3
- 230000004044 response Effects 0.000 claims description 18
- 108020001568 subdomains Proteins 0.000 claims 1
- 230000001934 delay Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 229920006395 saturated elastomer Polymers 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
〔関連出願との相互参照〕
本出願は、2014年10月7日に出願された米国特許出願第14/508,953号の優先権を主張するものであり、この文献の内容は引用により本明細書に組み入れられる。
本出願は、2014年10月7日に出願された米国特許出願第14/508,953号の優先権を主張するものであり、この文献の内容は引用により本明細書に組み入れられる。
本発明は、一般にコンピュータネットワークにおけるトラフィック処理に関する。具体的には、本発明は、ドメイン名システムのリソース枯渇攻撃を識別する技術に関する。
ドメイン名システム(DNS)は、インターネット又はプライベートネットワークに接続された装置のための階層的な分散型ネーミングシステムである。DNSは、記憶したドメイン名を、ローカル装置に必要な数値的IPアドレスに容易に変換する。例えば、www.example.comというドメイン名は、93.184.216.119(IPv4の場合)、及び2606:2800:220:6d:26bf:1447:1079:aa7(IPv6の場合)というアドレスに変換することができる。
ドメイン名は、ドットによって連結され区切られた、ラベルと呼ばれる1又は2以上の部分を含む。www.example.comというドメインでは、最も右側のラベルが最上位ドメインを表し、この場合は「com」が最上位ドメインである。階層は、右から左に移行する。左側の各ラベルは、右側のドメインのサブドメインを指定する。同じ例によれば、「example」というラベルが「com」ドメインのサブドメインであり、「www」が「example.com」のサブドメインである。サブドメインは、最大127のレベルを有することができる。
DNSは、不正目的で使用されることがある。ネットワーク100について検討する。攻撃装置(機械又はマシン)101は、組織的攻撃のための指令及び制御センターとして動作する。具体的には、攻撃装置101は、ネットワーク102を使用して、一連の脆弱性のある装置104_1、104_2〜104_Nにアクセスする。装置104_Nは、ローカルネットワークインフラ106(例えば、インターネットサービスプロバイダ又はISP)内に存在する。ネットワーク106内には、オープンリゾルバ107及びネームサーバ108も存在する。ネットワーク106は、信頼できるネームサーバであるネームサーバ112に結合された別のネットワーク110に接続されている。信頼できるネームサーバ112は、サポートされているドメインに対する責任がある。信頼できるネームサーバ112は、サブドメインに関する権限を、再帰的ネームサーバ108などの他のネームサーバに委託することができる。オープンリゾルバ107を用いてサブドメインをサポートすることもできる。
脆弱性のある装置104は、攻撃装置101がネットワーク106の再帰的ネームサーバ108に大量の要求をまとめて送り続けるボットネットを形成する。また、攻撃者は、オープンリゾルバ107を通じて大量の要求を送り続けることもある。各要求は、以前に登録されたドメインの一意のランダムな存在しないサブドメイン(例えば、kbsruxixqf.www.examples.com、adujqzutahyp.www.examples.com)を含む。各要求は、サブドメインの一意性に起因して、このドメインのネームサーバに対する再帰的検索を引き起こす。攻撃の回数が増加するにつれ、標的のDNSリゾルバインフラにヒットする要求量も増加する。最終的に、標的のDNSリゾルバインフラは、システムリソースの枯渇、ネットワークの飽和、又はこれらの両方からの負荷に屈してしまう。
DNSインフラ悪用の主な原因は、ISPのネットワーク(例えば、106)内に存在するオープンリゾルバ(例えば、107)にある。通常、オープンリゾルバは、ローカルネットワーク外部からのアクセスを可能にするように誤って構成された、家庭用ネットワークに使用される市販装置である。これらの装置は個別に管理されており、従って既知の脆弱性を有する旧式のファームウェアを実行していることが多い。ISPによるこれらの装置の制御は、たとえ行われたとしても制限されており、合法的なトラフィックを悪意のあるトラフィックと区別する方法がないため、ISPがこの問題に対処するのは困難である。
他の主な悪用の原因は、脆弱性のある装置104にある。脆弱性のある装置を修正するにはコストがかかり、ISPは、自社の顧客を混乱させることを恐れて大掛かりな措置を講じるのをためらっている。
このため、DNSのリソース枯渇攻撃を識別する技術を確立することが望ましいと思われる。
装置が、プロセッサと、プロセッサに接続されたメモリとを含む。メモリは命令を記憶し、この命令は、プロセッサによって実行されると、一意のサブドメインが問い合わせを受けた回数の急増、及び特定のネームサーバからのタイムアウト回数又は応答遅延回数の急増に応答してリソース攻撃を識別する。
本発明は、以下の詳細な説明を添付図面と併せて読むことによってさらに完全に理解される。
図面の複数のビュー全体を通じて、同じ参照符号は対応する要素を示す。
本発明は、一意のサブドメインが問い合わせを受けた回数の急増、及び所与のネームサーバからのタイムアウト回数又は応答遅延回数の急増などの異常挙動を識別する。この結果、異常挙動に応答して対抗措置を講じることができる。
図2に、本発明の実施形態に従って構成された装置200を示す。装置200は、バス214を介して入力/出力装置212に接続された中央処理装置210などの標準的な構成要素を含む。入力/出力装置212は、キーボード、マウス及びタッチ式ディスプレイなどを含むことができる。バス214には、ネットワークインターフェイス回路216も接続される。ネットワークインターフェイス回路216は、有線ネットワークと無線ネットワークのあらゆる組み合わせとすることができるネットワークへの接続性を提供する。バス214には、メモリ220も接続される。メモリ220は、本発明の動作を実行するための、中央処理装置210によって実行される命令を記憶する。1つの実施形態では、メモリ220が、図1に関連して説明したタイプのDNSリソース枯渇攻撃を識別する命令を含むリソース枯渇識別子222を記憶する。メモリ220は、識別されたリソース枯渇攻撃に対応する命令を含む対抗措置モジュール224を記憶することもできる。装置200は、DNSリソース枯渇攻撃の識別に専念することができる。或いは、モジュール222及び/又はモジュール224を再帰的ネームサーバ又はその他のネットワークリソースに組み込むこともできる。
図3に、リソース枯渇識別子222の実施形態に関連する処理動作を示す。最初にDNS要求を受け取り、第2レベルドメイン(SLD)を保存する(300)。例えば、「example.com」というSLDを保存することができる。このSLDの評判エントリを記録することもできる。abcdefg.example.comというドメイン例について検討する。SLDは、example.comである。先頭に追加されたabcdefgというサブドメインを濃度集合と比較する。この値が既に濃度集合内に存在する場合、濃度集合は変更されない。存在しない場合、このサブドメインを濃度集合に追加する。濃度集合についてのあらゆる問い合わせは、集合内の一意のエントリの数を表す値を戻す。
次に、SLDの一意のサブドメイン要求の数を追跡する(302)。この動作では、スライディング時間ウィンドウを使用することができる。一意のサブドメインの例としては、abscdefg.example.com及びhijklmn.example.comが挙げられる。
次に、応答統計を収集する(304)。例えば、成功した応答回数と失敗した応答(タイムアウト又はエラー)回数とを対比させてカウントすることができる。次に、サブドメイン比を計算する(306)。サブドメイン比は、SLDの要求回数に対する一意のサブドメインの数の比率とすることができる。一意のサブドメインの数は、それまでに参照した濃度集合から取得することができる。
次に、失敗した要求の比率を計算する(308)。この値は、総要求回数に対する失敗した要求の比率を表す。次に、この比率を閾値と比較する。この比率が閾値を上回る場合(310−「はい」)には、リソース枯渇攻撃が存在し、従ってリソース枯渇対抗措置を適用する(312)。対抗措置モジュール224は、この措置を適用又は発動することができ、この例については後述する。
様々な閾値を使用することができる。サブドメイン比の閾値については、典型的なサブドメイン比を0.1又は約0.1とすることができる。このことは、example.comに対して行われた全ての要求のうち、新たなサブドメインについての問い合わせは10個中1個のみであったことを意味する。DNSリゾルバインフラは、最初の問い合わせ後に応答をキャッシュするので、このことは重要である。従って、同じサブドメインに対するその後の問い合わせではキャッシュからしか応答を得られず、インターネットには送られない。一意のサブドメインは、キャッシュミスが発生し、信頼できるDNSサーバに要求が送られることを意味する。キャッシュにヒットした場合には、帯域幅が飽和しない限りリソース枯渇は引き起こされないので、このことは攻撃にとって重要である。攻撃では、一意のサブドメインのサブドメイン比が0.7又は約0.7になり得る。従って、閾値を0.7又は約0.7に設定することができる。
失敗した要求比率閾値では、攻撃の一部において、問い合わせを受けているサブドメイン(DNSレコード)が存在しなかったり、或いはDNSサーバの応答が非常に遅くなる(例えば、10秒)ように細工されていたりする。再帰的リゾルバは、決して応答が得られない膨大な数の未解決な要求を構築し、従って新たな要求を生成する機会がなくなってしまう。従って、失敗の比率は、攻撃の性質に基づく重要な評価基準である。0.6又は約0.6の閾値が攻撃に関連する。閾値及び比率は、0〜1の間で正規化することができる。
上述したように、対抗措置モジュール224を使用して、対抗措置を適用又は発動することができる。例えば、応答ポリシーゾーン(RPZ)は、DNS再帰的リゾルバにおいてドメイン名情報ゾーンのカスタマイズ処理を可能にするために使用される機構である。
悪意のあるドメインが報告され始めた時にこれらのドメインからの保護に役立つように、DNS RPZフィードを用いた商用サービスが利用可能である。このようなサービスは、攻撃が発生するとリアルタイムで対抗措置を適用する。対抗措置は、ネットワーク内のクライアントからのDNS問い合わせ要求に、ドメイン毎又はIP毎の速度制限、又はカスタム応答を適用することを含むことができる。攻撃を受けたドメインへの要求がDNSリゾルバインフラに到達するのを有限期間にわたってブロックする時間ウィンドウを使用することもできる。
本発明の実施形態は、様々なコンピュータ実装動作を実行するためのコンピュータコードを有する非一時的コンピュータ可読記憶媒体を含むコンピュータストレージ製品に関する。これらの媒体及びコンピュータコードは、本発明のために特別に設計され構築されたものとすることも、或いはコンピュータソフトウェア技術の当業者に周知の利用可能な種類のものとすることもできる。コンピュータ可読媒体の例としては、以下に限定されるわけではないが、磁気媒体、光学媒体、磁気光学媒体、並びに特定用途向け集積回路(「ASIC」)、プログラマブル論理装置(「PLD」)、ROMデバイス及びRAMデバイスなどの、プログラムコードを記憶して実行するように特別に構成されたハードウェア装置が挙げられる。コンピュータコードの例としては、コンパイラなどによって生成されたマシンコード、及びコンピュータがインタープリタを用いて実行する高水準コードを含むファイルが挙げられる。例えば、本発明の実施形態は、JAVA(登録商標)、C++、又はその他のオブジェクト指向プログラミング言語及び開発ツールを用いて実装することができる。本発明の別の実施形態は、マシン実行可能ソフトウェア命令の代わりに、又はマシン実行可能ソフトウェア命令と組み合わせて、ハードワイヤード回路で実装することもできる。
上述の説明では、本発明を完全に理解できるように説明目的で特定の専門用語を使用している。しかしながら、当業者には、本発明を実施するために特定の詳細は不要であることが明らかであろう。従って、上述した本発明の特定の実施形態についての説明は、例示及び説明を目的として示したものである。これらの説明は、完全なものでも、或いは開示した厳密な形態に本発明を限定するものではなく、上記の教示に照らして多くの修正及び変形が可能である。これらの実施形態は、本発明の原理及びその実際の応用を最良に説明することにより、他の当業者が本発明及び様々な実施形態を考えられる特定の使用に適した形で様々に修正して最良に利用できるように選択して説明したものである。本発明の範囲は、以下の特許請求の範囲及びその同等物によって定められるように意図される。
300 SLDを保存
302 SLDのサブドメイン要求を追跡
304 応答統計を収集
306 サブドメイン比を計算
308 失敗した要求の比率を計算
310 比率が閾値を上回るか?
312 リソース枯渇対抗措置を適用
302 SLDのサブドメイン要求を追跡
304 応答統計を収集
306 サブドメイン比を計算
308 失敗した要求の比率を計算
310 比率が閾値を上回るか?
312 リソース枯渇対抗措置を適用
Claims (5)
- プロセッサと、
前記プロセッサに接続されたメモリと、
を備えた装置であって、前記メモリは命令を記憶し、該命令は、前記プロセッサによって実行されると、問い合わせを受けた一意のサブドメインの数の急増、及び特定のネームサーバからの失敗した応答回数の急増に応答してドメイン名システムリソース枯渇攻撃を識別し、
前記プロセッサによって実行される命令を記憶する前記メモリは、
第2レベルドメインを保存し、
前記第2レベルドメインのサブドメインに対する要求を追跡し、
応答統計情報を収集し、
前記第2レベルドメインのサブドメインに対する要求の回数に対する前記一意のサブドメインの数の比率であるサブドメイン比を計算し、
失敗した要求比率を計算し、
前記サブドメイン比が第1の閾値を上回るとともに、前記失敗した要求比率が第2の閾値を上回った場合に前記リソース枯渇攻撃を識別する、
命令を含む、
ことを特徴とする装置。 - 前記プロセッサによって実行される命令を記憶する前記メモリは、対抗措置を適用又は発動する命令を含む、
請求項1に記載の装置。 - 前記対抗措置は、ドメインアクセス制限を含む、
請求項2に記載の装置。 - 前記対抗措置は、検索要求に対するドメイン毎の速度制限を含む、
請求項2に記載の装置。 - 前記対抗措置は、応答ポリシーゾーンを呼び出すことを含む、
請求項2に記載の装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/508,953 US9294490B1 (en) | 2014-10-07 | 2014-10-07 | Apparatus and method for identifying a domain name system resource exhaustion attack |
| US14/508,953 | 2014-10-07 | ||
| PCT/US2015/053823 WO2016057342A1 (en) | 2014-10-07 | 2015-10-02 | Apparatus and method for identifying a domain name system resource exhaustion attack |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017534110A JP2017534110A (ja) | 2017-11-16 |
| JP6483819B2 true JP6483819B2 (ja) | 2019-03-13 |
Family
ID=55487532
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017518872A Active JP6483819B2 (ja) | 2014-10-07 | 2015-10-02 | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9294490B1 (ja) |
| EP (1) | EP3204884B1 (ja) |
| JP (1) | JP6483819B2 (ja) |
| WO (1) | WO2016057342A1 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453215B (zh) * | 2015-08-13 | 2019-09-10 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
| US10623425B2 (en) * | 2017-06-01 | 2020-04-14 | Radware, Ltd. | Detection and mitigation of recursive domain name system attacks |
| US11184369B2 (en) * | 2017-11-13 | 2021-11-23 | Vectra Networks, Inc. | Malicious relay and jump-system detection using behavioral indicators of actors |
| JP7018810B2 (ja) * | 2018-04-05 | 2022-02-14 | 浩 河之邊 | Dns水責め攻撃を防御する方法、プログラム、及び装置 |
| US11012414B2 (en) | 2019-04-30 | 2021-05-18 | Centripetal Networks, Inc. | Methods and systems for prevention of attacks associated with the domain name system |
| CN113660256B (zh) * | 2021-08-13 | 2023-04-18 | 全球能源互联网研究院有限公司 | 一种dns水刑攻击检测模型构建方法及流量清洗方法 |
| CN113965392B (zh) * | 2021-10-25 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 恶意服务器检测方法、系统、可读介质及电子设备 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005130121A (ja) * | 2003-10-22 | 2005-05-19 | Japan Telecom Co Ltd | ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム |
| US7620989B1 (en) * | 2004-02-19 | 2009-11-17 | Spirent Communications Inc. | Network testing methods and systems |
| US9160755B2 (en) * | 2004-12-21 | 2015-10-13 | Mcafee, Inc. | Trusted communication network |
| US8589561B2 (en) * | 2005-03-22 | 2013-11-19 | Alcatel Lucent | Session level technique for improving web browsing performance on low speed links |
| WO2007050244A2 (en) * | 2005-10-27 | 2007-05-03 | Georgia Tech Research Corporation | Method and system for detecting and responding to attacking networks |
| US8397284B2 (en) * | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
| US8166544B2 (en) * | 2007-11-09 | 2012-04-24 | Polytechnic Institute Of New York University | Network-based infection detection using host slowdown |
| CN101267313B (zh) * | 2008-04-23 | 2010-10-27 | 成都市华为赛门铁克科技有限公司 | 泛洪攻击检测方法及检测装置 |
| TWI439095B (zh) * | 2010-01-22 | 2014-05-21 | Univ Nat Taiwan Science Tech | 網路攻擊偵測裝置以及方法 |
| US8516585B2 (en) * | 2010-10-01 | 2013-08-20 | Alcatel Lucent | System and method for detection of domain-flux botnets and the like |
| KR101519623B1 (ko) * | 2010-12-13 | 2015-05-12 | 한국전자통신연구원 | 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치 |
| US10270755B2 (en) * | 2011-10-03 | 2019-04-23 | Verisign, Inc. | Authenticated name resolution |
| US8990356B2 (en) * | 2011-10-03 | 2015-03-24 | Verisign, Inc. | Adaptive name resolution |
| US9734508B2 (en) * | 2012-02-28 | 2017-08-15 | Microsoft Technology Licensing, Llc | Click fraud monitoring based on advertising traffic |
| US9703950B2 (en) * | 2012-03-30 | 2017-07-11 | Irdeto B.V. | Method and system for preventing and detecting security threats |
| US9300684B2 (en) * | 2012-06-07 | 2016-03-29 | Verisign, Inc. | Methods and systems for statistical aberrant behavior detection of time-series data |
| CN103685213A (zh) * | 2012-09-26 | 2014-03-26 | 西门子公司 | 一种减少针对dns的攻击的装置、系统和方法 |
| US9015833B2 (en) * | 2012-11-07 | 2015-04-21 | Trusteer, Ltd. | Defense against DNS DoS attack |
| IL231503A0 (en) * | 2013-03-14 | 2014-08-31 | Verisign Inc | Preparing a reliable list of the most active domain name system decoders |
| CN105531679B (zh) * | 2013-10-10 | 2018-05-15 | 英特尔公司 | 在网络客户端上进行的异常检测 |
| US9148440B2 (en) * | 2013-11-25 | 2015-09-29 | Imperva, Inc. | Coordinated detection and differentiation of denial of service attacks |
-
2014
- 2014-10-07 US US14/508,953 patent/US9294490B1/en active Active
-
2015
- 2015-10-02 WO PCT/US2015/053823 patent/WO2016057342A1/en active Application Filing
- 2015-10-02 JP JP2017518872A patent/JP6483819B2/ja active Active
- 2015-10-02 EP EP15849542.4A patent/EP3204884B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20160099954A1 (en) | 2016-04-07 |
| EP3204884B1 (en) | 2020-04-29 |
| US9294490B1 (en) | 2016-03-22 |
| EP3204884A1 (en) | 2017-08-16 |
| EP3204884A4 (en) | 2018-06-13 |
| JP2017534110A (ja) | 2017-11-16 |
| WO2016057342A1 (en) | 2016-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6483819B2 (ja) | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 | |
| JP6651511B2 (ja) | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 | |
| US10567429B2 (en) | Defense against NXDOMAIN hijacking in domain name systems | |
| Mahadevan et al. | CCN-krs: A key resolution service for ccn | |
| US11606388B2 (en) | Method for minimizing the risk and exposure duration of improper or hijacked DNS records | |
| Passerini et al. | Fluxor: Detecting and monitoring fast-flux service networks | |
| WO2017053211A1 (en) | Secure domain name resolution in computer networks | |
| US9225731B2 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
| JP2015043204A (ja) | Dnsにおける共に発生しているパターンを検知すること | |
| EP2779591A2 (en) | Method and apparatus for creating a list of trustworthy DNS clients | |
| EP2557759A1 (en) | White listing dns top-talkers | |
| US20220109653A1 (en) | Techniques for templated domain management | |
| US10432646B2 (en) | Protection against malicious attacks | |
| US9769193B2 (en) | Advanced security for domain names | |
| US11658995B1 (en) | Methods for dynamically mitigating network attacks and devices thereof | |
| CN107222588A (zh) | 一种提高dns可用性的方法及系统 | |
| Singh et al. | Spoofing attacks of domain name system internet | |
| Neumann et al. | DNStamp: Short-lived trusted timestamping | |
| Dolmans | Preventing DNS Amplification Attacks using white-and greylisting | |
| van Zyl | A longitudinal study of DNS traffic: Understanding current DNS practice and abuse | |
| Pa et al. | Finding malicious authoritative DNS servers | |
| Garcia-Luna-Aceves et al. | CCN-KRS: A Key Resolution Service for CCN | |
| CN104954316A (zh) | Dnssec查询中dnssec服务器的保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170818 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180620 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180702 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20180928 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20181129 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181226 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190115 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190214 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6483819 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |