JP6884135B2 - ネットワーク攻撃防止方法、装置及びシステム - Google Patents

ネットワーク攻撃防止方法、装置及びシステム Download PDF

Info

Publication number
JP6884135B2
JP6884135B2 JP2018506869A JP2018506869A JP6884135B2 JP 6884135 B2 JP6884135 B2 JP 6884135B2 JP 2018506869 A JP2018506869 A JP 2018506869A JP 2018506869 A JP2018506869 A JP 2018506869A JP 6884135 B2 JP6884135 B2 JP 6884135B2
Authority
JP
Japan
Prior art keywords
dns response
response message
network device
target
past
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018506869A
Other languages
English (en)
Other versions
JP2018525924A (ja
Inventor
シアオ ホンリアン
シアオ ホンリアン
ジャン ダーチョン
ジャン ダーチョン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of JP2018525924A publication Critical patent/JP2018525924A/ja
Application granted granted Critical
Publication of JP6884135B2 publication Critical patent/JP6884135B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/18Automatic repetition systems, e.g. Van Duuren systems
    • H04L1/1829Arrangements specially adapted for the receiver end
    • H04L1/1858Transmission or retransmission of more than one copy of acknowledgement message
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

関連出願の相互参照
本願は、「Network Attack Prevention Method, Apparatus and System」を名称とする、2015年8月13日出願の中国特許出願第201510497226.1号の優先権を主張し、参照によりその全体が本明細書に組み込まれる。
本発明は、ネットワーキング技術に関し、特にネットワーク攻撃防止方法、装置及びシステムに関する。
ネットワーク技術の絶え間ない進歩に伴い、ネットワーク分野におけるネットワーク攻撃数は増加している。現在、分散型サービス妨害攻撃(DDoS)は多数のネットワーク攻撃の中でも比較的重大な攻撃法となっている。DDoSにおけるDNS応答攻撃は主流の攻撃タイプとなっている。DNS応答攻撃はドメインネームシステム(DNS)応答攻撃とも呼ばれ得る。
DNS応答攻撃を防止するために、元のシステムに除外デバイスを追加して防止システムを形成する。図1は、防止システムの模式構造図である。この図では、除外デバイスのバイパスがルータの片側に配置されていることが分かる。
除外デバイスのバイパスを配置する状況では、ソース検出方法を使用して、外部ネットワークデバイスから内部ネットワークデバイスに送信される侵入目的のDNS応答メッセージを除外することができる。除外の具体的な処理は、外部ネットワークデバイスから内部ネットワークデバイスに送信されるDNS応答メッセージを除外デバイスが受信した後、ソースアドレスを抽出し、ソースアドレスが動的なホワイトリストに含まれているかどうかを判定することであり得る。ソースアドレスが動的なホワイトリストに含まれていない場合、DNS要求メッセージはプローブメッセージとして外部ネットワークデバイスに送信される。外部ネットワークデバイスから返送されるDNS応答メッセージを受信しない場合、外部ネットワークデバイスは偽のソースと判定され、DNS応答メッセージは破棄される。外部ネットワークデバイスから返送されるDNS応答メッセージを受信し、DNS応答メッセージ内のドメインが特定の要件を満たす場合、外部ネットワークデバイスは本物のソースと判定され、外部ネットワークデバイスのIPアドレスを動的なホワイトリストに追加する。ソースアドレスが動的なホワイトリストに含まれている場合、外部ネットワークデバイスは本物のソースであり、DNS応答メッセージは送信される。
DNS応答攻撃はさらに、攻撃タイプに応じて本物のソース攻撃と偽のソース攻撃とに分類することができる。動的なホワイトリストは本物のソースのIPアドレスのみを含み偽のソースのIPアドレスは含まないため、ソース検出方法は偽のソースから開始されたDNS応答攻撃のみを除外することができ、本物のソースから開始されたDNS応答攻撃は除外できない。
これに応じて、DNS応答攻撃が引き起こすサービス及びネットワークへの影響を低減するには、本物のソースから開始されたDNS応答攻撃を除外する方法が現在必要である。
本願は、本物のソースから開始されたDNS応答攻撃を除外するための、ネットワーク攻撃防止方法、装置及びシステムを提供し、DNS応答攻撃が引き起こすサービス及びネットワークへの影響を低減する。
上記の目的を達成するには、本願は以下の技術的手段を提供する。
ネットワーク攻撃防止方法は、内部ネットワークデバイス宛であり外部ネットワークデバイスから送信される対象のDNS応答メッセージを受信することと、動的なホワイトリストが対象のDNS応答メッセージ内のソースアドレスを含む状況において、対象のDNS応答メッセージが所定条件を満たすかどうかを判定することと、対象のDNS応答メッセージが所定条件を満たす場合に対象のDNS応答メッセージを破棄することとを含み、ここで、所定条件は、対象のDNS応答メッセージ内の対象のドメインが過去のドメインの記録に含まれていないことを少なくとも含み、過去のドメイン名の記録内の過去のドメイン名のそれぞれは、外部ネットワークデバイスによって送信された過去のDNS応答メッセージから抽出される。
好ましくは、所定条件は、外部ネットワークデバイスが対象のドメイン名に対して開始した第1の送信時間と第2の送信時間との間の時間差が所定の時間差より短いことをさらに含み、ここで、第1の送信時間は対象のDNS応答メッセージの送信時間であり、第2の送信時間は第1の送信時間より前の、対象のドメイン名を含む最新のDNS応答メッセージの送信時間である。
好ましくは、方法は、時間差が所定の時間差以上である状況において、対象のDNS応答メッセージを内部ネットワークデバイスに送信することをさらに含む。
好ましくは、方法は、対象のDNS応答メッセージ内の対象のドメイン名が過去のドメイン名の記録に含まれていない場合、ドメイン名及び対象のDNS応答メッセージの送信時間を過去のドメイン名の記録に記憶することをさらに含む。
好ましくは、方法は、所定数より大きいヒット率を有するドメイン名の数と、ドメイン名の合計数との間の比率を計算することであり、ここで、過去のドメイン名の記録は、外部ネットワークデバイスによって送信された過去のDNS応答メッセージ内の全てのドメイン名及びドメイン名のそれぞれのヒット率を含み、所定数は自然数3以上である、比率を計算することと、比率が所定の比率より大きい場合、外部ネットワークデバイスのソースアドレスを動的なホワイトリストから削除すること及び外部ネットワークデバイスのソースアドレスを動的なブラックリストに追加することとをさらに含む。
好ましくは、過去のドメイン名の記録内の各ドメイン名のヒット率を計算する方法は、DNS応答メッセージを受信した後、DNS応答メッセージのドメイン名を過去のドメイン名の記録内に見つけることと、ドメイン名のヒット率を1つ増加させることとを含み、ここで、各ドメイン名のヒット率の初期値は0である。
好ましくは、所定条件は、対象のDNS応答メッセージのスループット値と、過去のDNS応答メッセージのスループット値との合計スループット値が所定のスループット値より大きいことをさらに含み、ここで、過去のDNS応答メッセージは、対象のDNS応答メッセージが送信される前の、外部ネットワークデバイスによって送信された全てのDNS応答メッセージである。
好ましくは、方法は、合計スループット値が所定のスループット値より大きいことに応じて、動的なホワイトリストからソースアドレスを削除することと、ソースアドレスを動的なブラックリストに追加することとをさらに含む。
好ましくは、過去のDNS応答メッセージのスループット値を計算する処理は、DNS応答メッセージが外部ネットワークデバイスのソースアドレスから送信された後に、DNS応答メッセージのスループット値を過去のDNS応答メッセージのスループット値に加算することとを含み、過去のDNS応答メッセージのスループット値の初期値は0である。
好ましくは、方法は、動的なブラックリストが対象のDNS応答メッセージ内のソースアドレスを含む場合、対象のDNS応答メッセージを破棄することをさらに含む。
ネットワーク攻撃防止装置は、内部ネットワークデバイス宛であり外部ネットワークデバイスから送信される対象のDNS応答メッセージを受信するために使用される受信ユニットと、動的なホワイトリストが対象のDNS応答メッセージ内のソースアドレスを含む状況において、対象のDNS応答メッセージが所定条件を満たすかどうかを判定するために使用される判定ユニットと、対象のDNS応答メッセージが所定条件を満たす場合に対象のDNS応答メッセージを破棄するために使用される第1の破棄ユニットとを含み、ここで、所定条件は、対象のDNS応答メッセージ内の対象のドメインが過去のドメインの記録に含まれていないことを少なくとも含み、過去のドメイン名の記録内の過去のドメイン名のそれぞれは、外部ネットワークデバイスによって送信された過去のDNS応答メッセージから抽出される。
好ましくは、所定条件は、外部ネットワークデバイスが対象のドメイン名に対して開始した第1の送信時間と第2の送信時間との間の時間差が所定の時間差より短いことをさらに含み、ここで、第1の送信時間は対象のDNS応答メッセージの送信時間であり、第2の送信時間は第1の送信時間より前の、対象のドメイン名を含む最新のDNS応答メッセージの送信時間である。
好ましくは、装置は、時間差が所定の時間差以上である場合に、対象のDNS応答メッセージを内部ネットワークデバイスに送信するために使用される送信ユニットをさらに含む。
好ましくは、装置は、対象のDNS応答メッセージ内の対象のドメイン名が過去のドメイン名の記録に含まれていない場合、ドメイン名及び対象のDNS応答メッセージの送信時間を過去のドメイン名の記録に記憶するために使用される記憶ユニットをさらに含む。
好ましくは、装置は、所定数より大きいヒット率を有するドメイン名の数と、ドメイン名の合計数との間の比率を計算するために使用される比率計算ユニットであり、ここで、過去のドメイン名の記録は、外部ネットワークデバイスによって送信された過去のDNS応答メッセージ内の全てのドメイン名及びドメイン名のそれぞれのヒット率を含み、所定数は自然数3以上である、比率計算ユニットと、比率が所定の比率より大きい場合、外部ネットワークデバイスのソースアドレスを動的なホワイトリストから削除するために使用される第1の削除ユニットと、外部ネットワークデバイスのソースアドレスを動的なブラックリストに追加するために使用される第1の追加ユニットとをさらに含む。
好ましくは、装置は、DNS応答メッセージを受信した後、DNS応答メッセージのドメイン名を過去のドメイン名の記録内に見つけ、ドメイン名のヒット率を1つ増加させるために使用されるヒット率計算ユニットをさらに含み、ここで、各ドメイン名のヒット率の初期値は0である。
好ましくは、所定条件は、対象のDNS応答メッセージのスループット値と、過去のDNS応答メッセージのスループット値との合計スループット値が所定のスループット値より大きいことをさらに含み、ここで、過去のDNS応答メッセージは、対象のDNS応答メッセージが送信される前の、外部ネットワークデバイスによって送信された全てのDNS応答メッセージである。
好ましくは、装置は、合計スループット値が所定のスループット値より大きい場合、動的なホワイトリストからソースアドレスを削除するために使用される第2の削除ユニットと、ソースアドレスを動的なブラックリストに追加するために使用される第2の追加ユニットとをさらに含む。
好ましくは、装置は、DNS応答メッセージが外部ネットワークデバイスのソースアドレスから送信された後に、DNS応答メッセージのスループット値を過去のDNS応答メッセージのスループット値に加算するために使用されるスループット計算ユニットをさらに含み、過去のDNS応答メッセージのスループット値の初期値は0である。
好ましくは、装置は、動的なブラックリストが対象のDNS応答メッセージ内のソースアドレスを含む場合、対象のDNS応答メッセージを破棄するために使用される第2の破棄ユニットをさらに含む。
ネットワーク攻撃防止システムは、外部ネットワークデバイスと、除外デバイスと、内部ネットワークデバイスとを含む。
外部ネットワークデバイスは、内部ネットワークデバイス宛の対象のDNS応答メッセージを除外デバイスに送信するために使用される。
除外デバイスは、内部ネットワークデバイス宛の対象のDNS応答メッセージを外部ネットワークデバイスから受信し、動的なホワイトリストが対象のDNS応答メッセージ内のソースアドレスを含む状況において、対象のDNS応答メッセージが所定条件を満たすかどうかを判定し、対象のDNS応答メッセージが所定条件を満たす場合に対象のDNS応答メッセージを破棄するために使用され、ここで、所定条件は、対象のDNS応答メッセージ内の対象のドメインが過去のドメインの記録に含まれていないことを少なくとも含み、過去のドメイン名の記録内の過去のドメイン名のそれぞれは、外部ネットワークデバイスによって送信された過去のDNS応答メッセージから抽出される。
内部ネットワークデバイスは、除外を受けた後のDNS応答メッセージを除外デバイスから受信するために使用される。
上記の技術内容から分かる通り、本願は以下の有益な効果を有する。
対象のDNS応答メッセージ内のソースアドレスが動的なホワイトリストに含まれていると判定した後、本願の実施形態は、対象のDNS応答メッセージを開始する外部ネットワークデバイスが偽のソースではなく本物のソースであると判定することができる。本物のソースから開始されるDNS応答攻撃の1つのタイプは、内部ネットワークデバイスを攻撃するために、異なるドメイン名を有するDNS応答メッセージを頻繁に送信することである。したがって、本願は過去のドメイン名の記録を設定し、この中に外部ネットワークデバイスによって送信された全てのドメイン名を記録する。
対象のDNS応答メッセージ内の対象のドメイン名が過去のドメイン名の記録に含まれていない場合、これは、外部ネットワークデバイスがこのドメイン名を含むDNS応答メッセージを初めて送信することを示す。この状況では、対象のDNS応答メッセージは、外部ネットワークデバイスが異なるドメイン名を使用して開始したDNS応答攻撃であり得る。内部ネットワークデバイスへの攻撃を防止するために、対象のDNS応答メッセージは破棄される。
正常な外部ネットワークデバイスは自動再送メカニズムを備えているため、正常な外部ネットワークデバイスによって送信されたDNS応答メッセージが破棄された場合、内部ネットワークデバイスから再送されたDNS要求メッセージを外部ネットワークデバイスが受信した後、対象のDNS応答メッセージは再送される。したがって、本願は、内部ネットワークデバイスへの正常なDNS応答メッセージの送信に影響を及ぼさない。しかしながら、侵入目的の外部ネットワークデバイスはこの再送メカニズムを備えていない。したがって、本願は、異なるドメイン名を使用して本物のソースから内部デバイスを攻撃するDNS応答メッセージを除外することができる。これにより、DNS応答攻撃が引き起こすサービス及びネットワークへの影響を軽減できる。
本願の実施形態または既存技術の技術スキームをより良い方式で理解するために、実施形態または既存技術の説明に必要な図面を本明細書に簡潔に説明する。当然ながら、本明細書に説明する図面は本願の一部の実施形態を表すにすぎない。当業者であれば、これらの図面を基に、創造的な努力なしに他の図面を取得することができる。
防止システムの模式構造図である。 本願の実施形態による、ネットワーク攻撃防止方法のフローチャートである。 本願の実施形態による、別のネットワーク攻撃防止方法のフローチャートである。 本願の実施形態による、ネットワーク攻撃防止方法における動的なホワイトリストを変更するフローチャートである。 本願の実施形態による、別のネットワーク攻撃防止方法のフローチャートである。 本願の実施形態による、ネットワーク攻撃防止方法の模式構造図である。 本願の実施形態による、別のネットワーク攻撃防止方法の模式構造図である。 本願の実施形態による、別のネットワーク攻撃防止方法の模式構造図である。
本願の実施形態の技術的解決策は、本願の実施形態の図面に関連して、明瞭かつ包括的な方式で説明される。当然ながら、説明する実施形態は本願の実施形態の一部を表すに過ぎず、全てを表すわけではない。当業者が本願の実施形態を基に創造的な努力を要することなく取得する全ての他の実施形態は、本願の保護範囲内に含まれるものとする。
本願の適用シナリオをより良い方式で説明するために、ネットワーク攻撃の防止システムである図1を参照する。システムは、外部ネットワークデバイス100、ルーティングデバイス200、内部ネットワークデバイス300及びルーティングデバイス200のバイパスとして配置される除外デバイス400を含む。
外部ネットワークデバイス100は、内部ネットワークデバイス300宛のDNS応答メッセージを除外デバイス400に送信するために使用される。外部ネットワークデバイスによって送信されるDNS応答メッセージは、正常なDNS応答メッセージの中に侵入目的のDNS応答メッセージ(複数可)を含み得る。したがって、侵入目的のDNS応答メッセージを外部ネットワークデバイスの正常なDNS応答メッセージから除外し、侵入目的のDNS応答メッセージ(複数可)を削除した後、正常なDNS応答メッセージを内部ネットワークデバイス300に送信するために除外デバイス400を使用する。
本願は、図1に示すようなネットワーク攻撃の防止システムに基づき、ネットワーク攻撃防止方法を提供する。本願は、詳細に説明するために、外部ネットワークデバイス及び外部ネットワークデバイスがアクセスしようとする内部ネットワークデバイスのみを使用する。他の外部ネットワークデバイス及び内部ネットワークデバイスの実施態様は、本願に提供する方法に矛盾しないことが理解できる。
図2に示す通り、本願はネットワーク攻撃防止方法を提供し、この方法は除外デバイスに適用される。方法は、以下の動作S201〜S203を含む。
S201では、内部ネットワークデバイス宛であり外部ネットワークデバイスによって送信される、対象のDNS応答メッセージを受信する。
対象のDNS応答メッセージの送信コマンドを受信した後、外部ネットワークデバイスは内部ネットワークデバイスに対する対象のDNS応答メッセージを除外デバイスに送信する。対象のDNS応答メッセージは、対象のDNS応答メッセージを送信する外部ネットワークデバイスのソースアドレス(IPアドレス)及び外部ネットワークデバイスによるアクセスが必要な内部ネットワークデバイスの対象のドメイン名を含む。対象のDNS応答メッセージの受信に応じて、除外デバイスは対象のDNS応答メッセージの判定を行い、対象のDNS応答メッセージが侵入目的のDNS応答メッセージかどうかを判定することができる。
S202では、動的なホワイトリストが対象のDNS応答メッセージ内のソースアドレスを含む場合、対象のDNS応答メッセージが所定条件(複数可)を満たすかどうかを判定する。
動的なホワイトリストは除外デバイスに設定される。動的なホワイトリストは現在の時点で侵入目的のない本物のソースのIPアドレスを記憶する。動的なホワイトリスト内の侵入目的のないIPアドレスは一時的なものである。あるIPアドレスが本願の判定条件に従って侵入目的のIPアドレスに変化した場合、このIPアドレスは動的なホワイトリストから削除される。換言すると、本願の動的なホワイトリスト内のIPアドレスは不変的なものではなく、動的に変化する。したがって、動的なホワイトリストと呼ばれる。対象のDNS応答メッセージを受信した後、除外デバイスは対象のDNS応答メッセージから外部ネットワークデバイスのソースアドレスを抽出し、動的なホワイトリストが外部ネットワークデバイスのソースアドレスを含むかどうかを判定する。
動的なホワイトリストが外部ネットワークデバイスのソースアドレスを含まない場合、ソース検出方法を使用して、ソースアドレスに対応する外部ネットワークデバイスが偽のソースかどうかの判定を行う。外部ネットワークデバイスが偽のソースの場合、対象のDNS応答メッセージは偽のソースによって送信された侵入目的のDNS応答メッセージであり、したがって、対象のDNS応答メッセージは破棄される。
動的なホワイトリストが外部ネットワークデバイスのソースアドレスを含む場合、これは、外部ネットワークデバイスが本物のソースであることを示す。対象のDNS応答メッセージは、本物のソースによって送信されたDNS応答メッセージである。攻撃技術の進歩に伴い、本物のソースは攻撃者によって攻撃用ソースとして使用されることもある。したがって、外部ネットワークデバイスが本物のソースであることを判定した後で、対象のDNS応答メッセージが侵入目的のメッセージかどうかを判定するために、さらなる判定を行う必要がある。
本物のソースからDNS応答攻撃を開始する第1の方法は、異なるドメイン名を有するDNS応答メッセージを頻繁に送信して内部ネットワークデバイスを攻撃するため、本願の除外デバイスは動的なホワイトリスト内の各IPアドレスに対して、過去のドメイン名の記録を作成する。過去のドメイン名の記録は、ドメイン名を記録するために使用され、これには各IPアドレスから送信されたDNS応答メッセージが含まれる。図示の通り、本実施形態の除外デバイスは、外部ネットワークデバイスに対応する過去のドメイン名の記録も有し、この記録は、外部ネットワークデバイスによって送信された過去のDNS応答メッセージに表示されるドメイン名を記録する。
対象のDNS応答メッセージが侵入目的のメッセージかどうかをさらに判定するために、本実施形態は事前に所定条件(複数可)を設定する。所定条件(複数可)は、対象のDNS応答メッセージ内の対象のドメインが過去のドメインの記録に含まれていないことを少なくとも含み、過去のドメイン名の記録内の過去のドメイン名のそれぞれは、外部ネットワークデバイスによって送信された過去のDNS応答メッセージから抽出される。
動的なホワイトリストが対象のDNS応答メッセージのソースアドレスを含むと判定した後、対象のDNS応答メッセージ内の対象のドメイン名が抽出される。ソースアドレスに対応する過去のドメイン名の記録が対象のドメイン名を含むかどうかについて、さらなる判定が行われる、つまり、対象のDNS応答メッセージが所定条件を満たすかどうかが判定される。
S203では、対象のDNS応答メッセージが所定条件(複数可)を満たす場合には対象のDNS応答メッセージを破棄し、対象のDNS応答メッセージが所定条件(複数可)を満たさない場合には他の処理を行う。
過去のドメイン名の記録が対象のドメイン名を含まない場合、これは、外部ネットワークデバイスが対象のドメイン名を有するDNS応答メッセージを初めて送信することを示す。この状況では、対象のDNS応答メッセージは、外部ネットワークデバイスが異なるドメイン名の方式を使用して開始したDNS応答攻撃であり得る。したがって、対象のドメイン名は過去のドメイン名の記録に存在しない。この状況では、内部ネットワークデバイスへの攻撃を防止するために、対象のDNS応答メッセージは破棄される。この処理は「第1のパケット破棄メカニズム」と呼ばれる場合もある。
対象のDNS応答メッセージは正常な外部ネットワークデバイスによって開始され得る(外部ネットワークデバイスが対象のドメイン名に対応する内部ネットワークデバイスに初めてアクセスする)ことが理解できる。対象のDNS応答メッセージが本願において正常と考えられる場合、対象のDNS応答メッセージは本動作で破棄される。これに応じて、対象のDNS応答メッセージが破棄された後、対象のドメイン名は過去のドメイン名の記録に記憶され、これにより、再送メカニズムに従って正常な外部ネットワークデバイスによって再送された、対象のDNS応答メッセージ内の対象のドメイン名は、過去のドメイン名の記録に含まれる。換言すると、過去のドメイン名の記録内の対象のドメイン名がヒットし、これにより、「第1のパケット破棄メカニズム」により正常なDNSメッセージが破棄されることは確実になくなる。
正常な外部ネットワークデバイスは再送メカニズムを備えているため、内部ネットワークデバイスが外部ネットワークデバイスにDNS要求を送信した後、DNS応答メッセージを外部ネットワークデバイスから受信しない場合、内部ネットワークデバイスはDNS要求メッセージを外部ネットワークに送信する。DNS要求メッセージの発生により、正常な外部ネットワークデバイスは対象のDNS応答メッセージを再送することになる。除外デバイスが対象のドメイン名を再度受信する場合、「第1のパケット破棄メカニズムにより対象のDNS応答メッセージが再度破棄されることはない。これは、過去のドメイン名の記録に対象のドメイン名が含まれているためであり、ゆえに、正常なDNS応答メッセージが影響を受けることは確実になくなる。
侵入目的の外部ネットワークデバイスは再送メカニズムを備えていない。したがって、本願は、異なるドメイン名の方式を使用して、本物のソースによって内部ネットワークデバイスを攻撃するDNS応答メッセージを正確に除外することができる。これにより、DNS応答攻撃が引き起こすサービス及びネットワークへの影響を低減できる。
本願が提供するネットワーク攻撃の防止方法の第2の実施形態を以下に説明する。図3に示す通り、方法は動作S301〜S305を含む。
S301では、内部ネットワークデバイス宛の外部ネットワークデバイスから送信される対象の応答メッセージを受信する。
S302では、動的なホワイトリストが対象のDNS応答メッセージ内のソースアドレスを含む場合、対象のDNS応答メッセージが第1の所定条件を満たすかどうかを判定する。第1の所定条件は、対象のDNS応答メッセージ内の対象のドメイン名が過去のドメイン名の記録に含まれていないことを含む。第1の所定条件を満たさない場合には方法はS303に進み、第1の所定条件を満たす場合にはS304に進む。
本動作を行う特定の処理は、図2に示す実施形態において詳細を説明しており、本明細書では繰り返して説明はしない。
S303では、対象のDNS応答メッセージが第2の所定条件を満たすかどうかを判定する。第2の所定条件は、外部ネットワークデバイスが対象のドメイン名に対して開始した第1の送信時間と第2の送信時間との間の時間差が所定の時間差より短いことを含み、ここで、第1の送信時間は対象のDNS応答メッセージの送信時間であり、第2の送信時間は第1の送信時間より前の、対象のドメイン名を含む最新のDNS応答メッセージの送信時間である。第2の所定条件を満たす場合には、S304に入る。第2の所定条件を満たさない場合には、S305に入る。
本物のソースからDNS応答攻撃を開始する第2の方法は、限られた数のドメイン名または同じドメイン名を使用して、DNS応答メッセージを頻繁に送信することである。本物のソースからDNS応答メッセージを送信する頻度は比較的高いため、この状況では、同じドメイン名を有するDNS応答メッセージ間の時間差は非常に短くなる。したがって、本願は、所定の時間差、例えば1秒を設定する。所定の時間差は、同じドメイン名を有しており、正常な外部ネットワークデバイスから送信される2つの連続したDNS応答メッセージ間に必要な時間差である。
過去のドメイン名の記録が対象のドメイン名を含む場合、対象のDNS応答メッセージを判定するための所定条件は、対象のドメイン名に対して外部ネットワークデバイスが開始した第1の送信時間と第2の送信時間との間の時間差が所定の時間差より短いことをさらに含む。
対象のDNS応答メッセージを受信する際に、除外デバイスは現在の時間を対象のDNS応答メッセージの送信時間、つまり第1の送信時間として使用する。対象のドメイン名を含み、除外デバイスの過去のドメイン名の記録に記録されているDNS応答メッセージの最新の送信時間が第2の送信時間である。
第1の送信時間と第2の送信時間との間の時間差が所定の時間差より短い場合、これは、外部ネットワークデバイスが同じドメイン名を有するDNS応答メッセージを頻繁に送信していることを示す。換言すると、同じドメイン名を有するDNS応答メッセージの外部ネットワークデバイスによる送信頻度は極めて高い。この場合、限られた数のドメイン名または同じドメイン名を有するDNS応答メッセージを頻繁に送信する攻撃方式を通じて、外部ネットワークデバイスが内部ネットワークデバイスを攻撃している可能性がある。したがって、除外デバイスは対象のDNS応答メッセージを破棄し、内部ネットワークデバイスを攻撃から保護する。
S304では、対象のDNS応答メッセージを破棄する。
S305では、対象のDNS応答メッセージを内部ネットワークデバイスに送信する。
第1の送信時間と第2の送信時間との間の時間差が所定の時間差より短い場合、これは、対象のDNS応答メッセージが現在の時点で正常な外部ネットワークデバイスによって送信されたDNS応答メッセージであることを示す。したがって、DNS応答メッセージは内部ネットワークデバイスに送信される。
図2及び図3の実施形態が使用する動的なホワイトリスト内のIPアドレスは、現在の時点でのみ侵入目的のないデバイスを表す。したがって、動的なホワイトリストを更新するには、動的なホワイトリスト内のIPアドレスが侵入目的のデバイスに変化したかどうかを定期的に検証する必要がある。具体的には、以下の手法を使用し得る。
動的なホワイトリスト内の本物のソースからDNS応答攻撃を開始する第3の方法は、定期的に変化する比較的多数のドメイン名を有するDNS応答メッセージを送信することである場合があり、同じドメイン名を攻撃するメッセージ間の時間差は1秒より長くなる。この場合、上記の2つの所定条件ではこのタイプの侵入目的のDNS応答メッセージを除外できない。したがって、第3の攻撃方法を解決するには以下の方法を使用する。
図2及び図3に示す実施形態を基に、本願が提供する実施形態は、外部ネットワークデバイスによって送信されるDNS応答メッセージに対して、DNS応答メッセージを受信した後、DNS応答メッセージ内のドメイン名に対する過去のドメイン名の記録を検索し、DNS応答メッセージ内のドメイン名が過去のドメイン名の記録に見つかった場合(これは、ドメイン名がヒットしたことを示す)に、ドメイン名のヒット率を1つ増加させる除外デバイスをさらに含み、ここで、各ドメイン名のヒット率の初期値は0である。したがって、外部ネットワークデバイスによって送信された全てのドメイン名及び各ドメイン名のそれぞれの合計ヒット率が過去のドメイン名の記録に記録される。
本願は所定のヒット率を設定し、このヒット率は少なくとも3である。これは、正常なDNS応答メッセージは、正常な状況下において、同じドメイン名を有するDNS応答メッセージを最大でも2つ送信するためである。ドメイン名に対応するDNS応答メッセージのヒット率が所定のヒット率を超過すると、これは、DNS応答メッセージを内部ネットワークデバイスに送信するために、このドメイン名が頻繁に使用されていることを示す。したがって、このドメイン名は、内部ネットワークデバイスを攻撃するための攻撃用ドメイン名とみなすことができる。
図2及び図3に示す実施形態を基に、除外デバイスは、図4に示すような以下の動作を定期的に行う。
S401では、外部ネットワークデバイスのソースアドレスに対応する過去のドメイン名の記録を基に、所定数より大きいヒット率を有するドメイン名の数と、ドメイン名の合計数との間の比率を計算し、ここで、過去のドメイン名の記録は、外部ネットワークデバイスによって送信された過去のDNS応答メッセージ内の、全てのドメイン名と各ドメイン名に関連付けられたそれぞれのヒット率とを含む。
所定数より大きいヒット率を有するドメイン名の数(第1の数)は、過去のドメイン名の記録からカウントされる。これを行う目的は、外部ネットワークデバイスによって送信された攻撃用ドメイン名の数をカウントすることである。外部ネットワークデバイスによって送信されたドメイン名の合計数(第2の数)もカウントされる。第1の数と第2の数との間の比率を計算し、外部ネットワークデバイスによって送信された、攻撃用ドメイン名と全てのドメイン名との間の比率を決定する。
S402では、比率が所定の比率より大きいかどうかを判定し、大きい場合はS403に進み、大きくない場合は他の処理を行う。
本願では、所定の比率を0.5などに設定する場合があるが、これは、正常な状況下での全てのドメイン名の中の攻撃用ドメイン名の割合を表すために使用する。
S403では、外部ネットワークデバイスのソースアドレスを動的なホワイトリストから削除する。
S401で、計算した比率が所定の比率より大きい場合、これは、外部ネットワークデバイスが攻撃用ドメイン名(複数可)を含むDNS応答メッセージを頻繁に送信していることを示す。換言すると、外部ネットワークデバイスは侵入目的の外部ネットワークデバイスに変化したということである。したがって、外部ネットワークデバイスのソースアドレスを動的なホワイトリストから削除する。
S404では、外部ネットワークデバイスのソースアドレスを動的なブラックリストに追加する。
動的なホワイトリスト内の侵入目的の外部ネットワークデバイスのソースアドレスは、動的なブラックリストに追加され、これにより、外部ネットワークデバイスがDNS応答メッセージを再度送信する際、外部ネットワークデバイスによって送信されたDNS応答メッセージは破棄される。ゆえに、内部ネットワークデバイスを攻撃から保護できる。
図4に示す実施形態は、外部ネットワークデバイスによって送信された対象のDNS応答メッセージに侵入目的があるかどうかを判定するために、対象のDNS応答メッセージ内の対象のドメイン名を起点として使用しており、これにより、動的なホワイトリストを更新するという目的を達成できる。ドメイン名を使用する方法以外に、本願は、動的なホワイトリストを更新するために、スループットを使用する方法も提供する。
具体的には、DNS応答メッセージは外部ネットワークデバイスのソースアドレスから送信されており、ソースアドレスは動的なホワイトリストに含まれている。DNS応答メッセージのスループット値は、過去のDNS応答メッセージのスループット値に追加される。過去のDNS応答メッセージのスループット値の初期値は0である。これを行う目的は、外部ネットワークデバイスによって送信されるDNS応答メッセージのスループット値を継続的に計算することである。
この場合、所定条件は、対象のDNS応答メッセージのスループット値と、過去のDNS応答メッセージのスループット値との合計スループット値が所定のスループット値より大きいことをさらに含み、ここで、過去のDNS応答メッセージは、対象のDNS応答メッセージが送信される前の、外部ネットワークデバイスによって送信された全てのDNS応答メッセージである。
本願は、所定のスループット値を設定しており、これは、ある期間内に外部ネットワークデバイスによって送信された合計スループット値を表すために使用される。ある期間内に外部ネットワークデバイスによって送信されたDNS応答メッセージのスループット値が所定のスループット値より大きいことは、外部ネットワークデバイスが頻繁にDNS応答メッセージを送信していることを意味する。この場合、これは、動的なホワイトリスト内の外部ネットワークデバイスが侵入目的の外部ネットワークデバイスに変化したことを表す。したがって、合計スループット値が所定のスループット値より大きい場合、ソースアドレスは動的なホワイトリストから削除され、ソースアドレスは動的なブラックリストに追加される。
本物のソースからDNS応答攻撃を開始する第3の手法(定期的に変化する多数のドメイン名を有するDNS応答メッセージの送信であり、同じドメイン名を攻撃するメッセージ間の時間差が1秒より長い)に関して、図2及び図3に示す実施形態はこのDNS応答メッセージを除外し損なうが、外部ネットワークデバイスによって送信された合計スループット値を定期的に検証すること、または攻撃を受けるドメイン名に関連付けられた所定の比率より大きいヒット率を使用することで、外部ネットワークデバイスが侵入目的の外部ネットワークデバイスかどうかを判定することができる。デバイスが侵入目的の場合、外部ネットワークデバイスのソースアドレスは動的なブラックリストに追加され、これにより、外部ネットワークデバイスがメッセージを再度送信する際、DNS応答メッセージをすぐに破棄することができる。
本願が提供するネットワーク攻撃の防止方法の第3の実施形態を以降に説明する。図5に示す通り、方法は動作S501〜S517を含む。
S501では、内部ネットワークデバイス宛の外部ネットワークデバイスによって送信される対象のDNS応答メッセージを受信する。
S502では、動的なブラックリストが対象のDNS応答メッセージ内のソースアドレスを含むかどうかを判定し、含む場合はS512に進み、含まない場合はS503に進む。
外部ネットワークデバイスから送信されるDNS応答メッセージを受信した後、除外デバイスは、メッセージの宛先アドレス(IPアドレス)を基に、宛先アドレスに対応する内部ネットワークデバイスが防御状態にあるかどうかの問い合わせを行う。内部ネットワークデバイスが防御状態にある場合、本実施形態の処理を行うことができる。
動的なブラックリストは、侵入目的の外部ネットワークデバイスのソースアドレスを記憶する。外部ネットワークデバイスのソースアドレスが動的なブラックリスト内に見つかった場合、対象のDNS応答メッセージは侵入目的のメッセージであると判定される。この場合、対象のDNS応答メッセージは破棄される。
S503では、動的なホワイトリストが対象のDNS応答メッセージ内のソースアドレスを含むかどうかを判定し、含む場合はS508及びS514に進み、含まない場合はS504に進む。
S504では、特別なドメイン名を含むDNS要求メッセージをプローブメッセージとして外部ネットワークデバイスに送信する。
除外デバイスは、外部ネットワークデバイスに送信するためのプローブメッセージとしてDNS要求メッセージを作成する。DNS要求メッセージ内のドメイン名は、対象のDNS応答メッセージ内の5つ組情報及びドメイン名情報からハッシュ法を通じて作成することができ、作成されたドメイン名は確実に現在のネットワークには存在しないドメイン名となる。
S505では、外部ネットワークデバイスによって返送された特別なドメイン名を含むDNS応答メッセージを除外デバイスが受信するかどうかを判定し、受信する場合にはS506に進み、受信しない場合にはS507に進む。
外部ネットワークデバイスによって再度送信されたDNS応答メッセージを受信した後、除外デバイスはメッセージ内のドメイン名がS504で作成されたものであるかどうかを検証する。正常な外部ネットワークデバイスは、DNS要求メッセージを受信した場合、DNS要求メッセージを基に生成されたDNS応答メッセージにドメイン名を追加することになる。したがって、再度受信されたDNS応答メッセージが特別なドメイン名を含む場合、これは、外部ネットワークデバイスが正常な外部ネットワークデバイスであることを示す。それ以外の場合、これは、外部ネットワークデバイスが侵入目的の外部ネットワークデバイスであることを示す。
S506では、外部ネットワークデバイスのIPアドレスを動的なホワイトリストに追加し、外部ネットワークデバイスのIPアドレスに対して過去のドメイン名の記録及びスループット監視テーブルを作成する。
S507では、外部ネットワークデバイスのIPアドレスを動的なブラックリストに追加する。
S508では、対象のDNS応答メッセージが第1の所定条件を満たすかどうかを判定し、第1の所定条件は、対象のDNS応答メッセージ内の対象のドメイン名が過去のドメイン名の記録に含まれていないことであり、第1の所定条件を満たさない場合にはS509に進み、第1の所定条件を満たす場合にはS511に進む。
S509では、過去のドメイン名の記録内の対象のDNS応答メッセージの対象のドメイン名に関連付けられるヒット率を1つ増加させる。
S510では、対象のDNS応答メッセージが第2の所定条件を満たすかどうかを判定し、第2の所定条件は、外部ネットワークデバイスが対象のドメイン名へのアクセスのために開始した第1の送信時間と第2の送信時間との間の時間差が所定の時間差より短いことであり、第2の所定条件を満たさない場合にはS512に進み、第2の所定条件を満たす場合にはS513に進む。
S511では、対象のドメイン名及び対象のドメイン名の送信時間を、外部ネットワークデバイスに関連付けられている過去のドメイン名の記録に追加し、対象のドメイン名のヒット率を1に設定する。
S512では、対象のDNS応答メッセージを破棄する。
S513では、対象のDNS応答メッセージを内部ネットワークデバイスに送信する。
S514では、対象のDNS応答メッセージのスループット値をスループット監視テーブルに追加する。
S515では、スループット監視テーブルのスループット値が所定のスループット値より大きい場合、外部ネットワークデバイスのソースアドレスを動的なホワイトリストから削除し、外部ネットワークデバイスのソースアドレスを動的なブラックリストに追加する。
S516では、所定数より大きいヒット率を有するドメイン名の数と、ドメイン名の合計数との間の比率を計算する。
S517では、比率が所定の比率より大きい場合、外部ネットワークデバイスのソースアドレスを動的なホワイトリストから削除し、外部ネットワークデバイスのソースアドレスを動的なブラックリストに追加する。
図5に示す実施形態を使用すると、全タイプのDNS応答攻撃をフィルタリングすることができる。
S503で動的なホワイトリストを使用する方法は、偽のソースからのDNS応答攻撃をフィルタリングすることができる。S508の動作(ドメイン名の第1のパケット破棄メカニズム)は、本物のソースからのDNS応答攻撃である第1の手法(攻撃メッセージのドメイン名がランダムに変化する)をフィルタリングすることができる。S510での動作の判定は、本物のソースからのDNS応答攻撃である第2の手法(攻撃メッセージのドメイン名の数は限られているか、または不変)をフィルタリングすることができる。S515〜S517の動作は、本物のソースからのDNS応答攻撃である第3の手法(攻撃メッセージの多数のドメイン名は定期的に変化し、同じドメイン名を攻撃するメッセージ間の時間差は1秒より長い)をフィルタリングすることができる。
これに応じて、本願は全タイプのDNS応答攻撃をフィルタリングすることができ、これにより、DNS応答攻撃が引き起こすサービス及びネットワークへの影響を軽減できる。
本願が提供するネットワーク攻撃の防止方法に対応して、本願はさらにネットワーク攻撃の防止装置を提供する。図6に示す通り、装置は、内部ネットワークデバイス宛であり外部ネットワークデバイスから送信される対象のDNS応答メッセージを受信するために使用される受信ユニット61と、動的なホワイトリストが対象のDNS応答メッセージ内のソースアドレスを含む状況において、対象のDNS応答メッセージが所定条件を満たすかどうかを判定するために使用される判定ユニット62と、対象のDNS応答メッセージが所定条件を満たす場合に対象のDNS応答メッセージを破棄するために使用される第1の破棄ユニット63とを含み、ここで、所定条件は、対象のDNS応答メッセージ内の対象のドメインが過去のドメインの記録に含まれていないことを少なくとも含み、過去のドメイン名の記録内の過去のドメイン名のそれぞれは、外部ネットワークデバイスによって送信された過去のDNS応答メッセージから抽出される。
所定条件は、外部ネットワークデバイスが対象のドメイン名に対して開始した第1の送信時間と第2の送信時間との間の時間差が所定の時間差より短いことをさらに含み、ここで、第1の送信時間は対象のDNS応答メッセージの送信時間であり、第2の送信時間は第1の送信時間より前の、対象のドメイン名を含む最新のDNS応答メッセージの送信時間である。
所定条件は、対象のDNS応答メッセージのスループット値と、過去のDNS応答メッセージのスループット値との合計スループット値が所定のスループット値より大きいことをさらに含み、ここで、過去のDNS応答メッセージは、対象のDNS応答メッセージが送信される前の、外部ネットワークデバイスによって送信された全てのDNS応答メッセージである。
図7に示す通り、本願はさらにネットワーク攻撃の防止装置を提供し、これは、時間差が所定の時間差以上である場合に、対象のDNS応答メッセージを内部ネットワークデバイスに送信するために使用される送信ユニット64と、対象のDNS応答メッセージ内の対象のドメイン名が過去のドメイン名の記録に含まれていない場合、ドメイン名及び対象のDNS応答メッセージの送信時間を過去のドメイン名の記録に記憶するために使用される記憶ユニット65と、所定数より大きいヒット率を有するドメイン名の数と、ドメイン名の合計数との間の比率を計算するために使用される比率計算ユニット66であり、ここで、過去のドメイン名の記録は、外部ネットワークデバイスによって送信された過去のDNS応答メッセージ内の全てのドメイン名及びドメイン名のそれぞれのヒット率を含む、比率計算ユニット66と、比率が所定の比率より大きい場合、外部ネットワークデバイスのソースアドレスを動的なホワイトリストから削除するために使用される第1の削除ユニット67と、外部ネットワークデバイスのソースアドレスを動的なブラックリストに追加するために使用される第1の追加ユニット68と、DNS応答メッセージを受信した後、DNS応答メッセージのドメイン名を過去のドメイン名の記録内に見つけ、ドメイン名のヒット率を1つ増加させるために使用されるヒット率計算ユニット69であり、ここで、各ドメイン名のヒット率の初期値は0であるヒット率計算ユニット69とをさらに含む。
上記の内容から分かる通り、本願は以下の有益な効果を有する。
対象のDNS応答メッセージ内のソースアドレスが動的なホワイトリストに含まれていると判定した後、本願の実施形態は、対象のDNS応答メッセージを開始する外部ネットワークデバイスが偽のソースではなく本物のソースであるかどうかを判定することができる。本物のソースからDNS応答攻撃を開始するタイプは、内部ネットワークデバイスを攻撃するために、異なるドメイン名を含むDNS応答メッセージを頻繁に送信する。したがって、本願は過去のドメイン名の記録を設定し、この中に外部ネットワークデバイスによって送信された全てのドメイン名を記録する。
対象のDNS応答メッセージ内の対象のドメイン名が過去のドメイン名の記録に含まれていない場合、これは、外部ネットワークデバイスが対象のドメイン名を有するDNS応答メッセージを初めて送信することを示す。この場合、対象のDNS応答メッセージは、外部ネットワークデバイスが異なるドメイン名の手法を使用して開始したDNS応答攻撃であり得る。内部ネットワークデバイスへの攻撃を防止するために、対象のDNS応答メッセージは破棄される。
正常な外部ネットワークデバイスは自動再送メカニズムを備えているため、正常な外部ネットワークデバイスによって送信されたDNS応答メッセージが破棄される場合、正常な外部ネットワークデバイスは新しい対象のDNS応答メッセージを再送し、これにより、内部ネットワークデバイスへの正常なDNS応答メッセージの送信は影響を受けない。しかしながら、侵入目的の外部ネットワークデバイスはこの再送メカニズムを備えていない。したがって、本願は、異なるドメイン名の手法を使用して本物のソースから内部デバイスを攻撃するDNS応答メッセージを除外することができる。これにより、DNS応答攻撃が引き起こすサービス及びネットワークへの影響を軽減できる。
図8に示す通り、本願はさらにネットワーク攻撃の防止装置を提供し、装置は、DNS応答メッセージが外部ネットワークデバイスのソースアドレスから送信された後、DNS応答メッセージのスループット値を、過去のDNS応答メッセージのスループット値に追加するために使用されるスループット計算ユニット71であり、過去のDNS応答メッセージのスループット値の初期値が0であるスループット計算ユニット71と、合計スループット値が所定のスループット値より大きい場合、ソースアドレスを動的なホワイトリストから削除するために使用される第2の削除ユニット72と、ソースアドレスを動的なブラックリストに追加するために使用される第2の追加ユニット73と、動的なブラックリストが対象のDNS応答メッセージ内のソースアドレスを含む場合、対象のDNS応答メッセージを破棄するために使用される第2の破棄ユニット74とをさらに含む。
図1を参照すると、本願はネットワーク攻撃の防止システムを提供し、システムは、外部ネットワークデバイス100、ルーティングデバイス200、除外デバイス400及び内部ネットワークデバイス300を含む。
外部ネットワークデバイス100は、内部ネットワークデバイス300宛の対象のDNS応答メッセージを除外デバイス400に送信するために使用される。
除外デバイス400は、内部ネットワークデバイス宛の対象のDNS応答メッセージを外部ネットワークデバイスから受信し、動的なホワイトリストが対象のDNS応答メッセージ内のソースアドレスを含む場合、対象のDNS応答メッセージが所定条件を満たすかどうかを判定し、対象のDNS応答メッセージが所定条件を満たす場合に対象のDNS応答メッセージを破棄するために使用され、ここで、所定条件は、対象のDNS応答メッセージ内の対象のドメインが過去のドメインの記録に含まれていないことを少なくとも含み、過去のドメイン名の記録内の過去のドメイン名のそれぞれは、外部ネットワークデバイスによって送信された過去のDNS応答メッセージから抽出される。
内部ネットワークデバイス300は、除外後のDNS応答メッセージ(複数可)を除外デバイスから受信するために使用される。
本システムは、以下の有益な効果を有する。
対象のDNS応答メッセージ内のソースアドレスが動的なホワイトリストに含まれていると判定した後、本願の実施形態は、対象のDNS応答メッセージを開始する外部ネットワークデバイスが偽のソースではなく本物のソースであるかどうかを判定することができる。本物のソースからDNS応答攻撃を開始するタイプは、内部ネットワークデバイスを攻撃するために、異なるドメイン名を含むDNS応答メッセージを頻繁に送信する。したがって、本願は過去のドメイン名の記録を設定し、この中に外部ネットワークデバイスによって送信された全てのドメイン名を記録する。
対象のDNS応答メッセージ内の対象のドメイン名が過去のドメイン名の記録に含まれていない場合、これは、外部ネットワークデバイスが対象のドメイン名を有するDNS応答メッセージを初めて送信することを示す。この場合、対象のDNS応答メッセージは、外部ネットワークデバイスが異なるドメイン名の手法を使用して開始したDNS応答攻撃であり得る。内部ネットワークデバイスへの攻撃を防止するために、対象のDNS応答メッセージは破棄される。
正常な外部ネットワークデバイスは自動再送メカニズムを有するため、正常な外部ネットワークデバイスによって送信されたDNS応答メッセージが破棄される場合、正常な外部ネットワークデバイスは新しい対象のDNS応答メッセージを再送し、これにより、正常なDNS応答メッセージの内部ネットワークデバイスへの送信は影響を受けない。しかしながら、侵入目的の外部ネットワークデバイスはこの再送メカニズムを備えていない。したがって、本願は、異なるドメイン名の手法を使用して本物のソースから内部デバイスを攻撃するDNS応答メッセージを除外することができる。これにより、DNS応答攻撃が引き起こすサービス及びネットワークへの影響を軽減できる。
実施形態方法に説明した機能は、ソフトウェア機能ユニット(複数可)の形態で実装されている場合、計算デバイスが読み取り可能な記憶媒体に記憶することができ、独立した製品として使用または販売される。この理解に基づいて、既存の技術または技術的解決策の部分に寄与する本願の実施形態の部分は、ソフトウェア製品の形態で実装することができる。ソフトウェア製品は記憶媒体に記憶され、計算デバイス(パーソナルコンピュータ、サーバ、モバイル計算デバイスまたはネットワークデバイスなどであってよい)に本願の各実施形態で説明した方法の全てまたは一部を実行させるための命令を含む。記憶媒体は、プログラムモードを記憶できる様々なタイプの媒体を含み、例えば、Uディスク、可動式ハードドライブ、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスクまたは光学ディスクなどである。
本願の実施形態は、進歩的な方式で説明されている。相互に異なる焦点を有する実施形態は、実施形態の同一または類似部分に対して参照することができる。
上記の開示された実施形態の説明により、当業者は本願を実施及び使用することができる。当業者にはこれらの実施形態に対する多数の様々な変更形態が明らかである。本明細書に定義される一般原則は、本願の精神及び範囲から逸脱することなく、他の実施形態で実装することができる。したがって、本願は、本明細書に説明したこれらの実施形態に制限されることなく、本明細書に開示した原則及び新規機能に矛盾しない広範囲で実現される。

Claims (21)

  1. 内部ネットワークデバイス宛であり外部ネットワークデバイスから送信される、対象のDNS応答メッセージを受信することと、
    動的なホワイトリストが前記対象のDNS応答メッセージ内のソースアドレスを含む状況において、前記対象のDNS応答メッセージが所定条件を満たすかどうかを判定することと、
    前記対象のDNS応答メッセージが前記所定条件を満たす場合に、前記対象のDNS応答メッセージを破棄することとを備え、ここで、前記所定条件は、前記対象のDNS応答メッセージ内の対象のドメインが過去のドメインの記録に含まれていないことを少なくとも含み、前記過去のドメイン名の記録内の過去のドメイン名のそれぞれは、前記外部ネットワークデバイスによって送信された過去のDNS応答メッセージから抽出される、
    ネットワーク攻撃防御方法。
  2. 前記所定条件は、前記外部ネットワークデバイスが前記対象のドメイン名に対して開始した第1の送信時間と第2の送信時間との間の時間差が所定の時間差より短いことをさらに備え、ここで、前記第1の送信時間は前記対象のDNS応答メッセージの送信時間であり、前記第2の送信時間は前記第1の送信時間より前の、前記対象のドメイン名を含む最新のDNS応答メッセージの送信時間である、
    請求項1に記載の方法。
  3. 前記時間差が前記所定の時間差以上である状況において、前記対象のDNS応答メッセージを前記内部ネットワークデバイスに送信することをさらに備える、
    請求項2に記載の方法。
  4. 前記対象のDNS応答メッセージ内の前記対象のドメイン名が前記過去のドメイン名の記録に含まれていない場合、前記ドメイン名及び前記対象のDNS応答メッセージの送信時間を前記過去のドメイン名の記録に記憶することをさらに備える、
    請求項1に記載の方法。
  5. 所定数より大きいヒットカウント数を有するドメイン名の数と、ドメイン名の合計数との間の比率を計算することであり、ここで、前記過去のドメイン名の記録は、前記外部ネットワークデバイスによって送信された過去のDNS応答メッセージ内の全てのドメイン名及び前記ドメイン名のそれぞれのヒットカウント数を含み、前記所定数は自然数3以上である、前記比率を計算することと、
    前記比率が所定の比率より大きい場合、前記外部ネットワークデバイスのソースアドレスを前記動的なホワイトリストから削除することと、
    前記外部ネットワークデバイスの前記ソースアドレスを動的なブラックリストに追加することと
    をさらに備える、
    請求項4に記載の方法。
  6. 前記過去のドメイン名の記録内の各ドメイン名のヒットカウント数を計算することは、前記DNS応答メッセージを受信した後、DNS応答メッセージのドメイン名を前記過去のドメイン名の記録内に見つけることと、前記ドメイン名のヒットカウント数を1つ増加させることとを備え、ここで、各ドメイン名の前記ヒットカウント数の初期値は0である、
    請求項5に記載の方法。
  7. 前記所定条件は、前記対象のDNS応答メッセージのスループット値と、前記過去のDNS応答メッセージのスループット値との合計スループット値が所定のスループット値より大きいことをさらに備え、ここで、前記過去のDNS応答メッセージは、前記対象のDNS応答メッセージが送信される前の、前記外部ネットワークデバイスによって送信された全てのDNS応答メッセージである、
    請求項1に記載の方法。
  8. 前記合計スループット値が前記所定のスループット値より大きいことに応じて、前記動的なホワイトリストから前記ソースアドレスを削除することと、
    前記ソースアドレスを動的なブラックリストに追加することと
    をさらに備える、
    請求項7に記載の方法。
  9. 前記過去のDNS応答メッセージの前記スループット値を計算することは、前記DNS応答メッセージが前記外部ネットワークデバイスの前記ソースアドレスから送信された後に、DNS応答メッセージのスループット値を前記過去のDNS応答メッセージの前記スループット値に加算することとを備え、前記過去のDNS応答メッセージの前記スループット値の初期値は0である、
    請求項8に記載の方法。
  10. 前記動的なブラックリストが前記対象のDNS応答メッセージ内の前記ソースアドレスを含む場合、前記対象のDNS応答メッセージを破棄することをさらに備える、
    請求項1〜8のいずれか1項に記載の方法。
  11. 内部ネットワークデバイス宛であり外部ネットワークデバイスから送信される、対象のDNS応答メッセージを受信するために使用される受信ユニットと、動的なホワイトリストが前記対象のDNS応答メッセージ内のソースアドレスを含む状況において、前記対象のDNS応答メッセージが所定条件を満たすかどうかを判定するために使用される判定ユニットと、
    前記対象のDNS応答メッセージが前記所定条件を満たす場合に前記対象のDNS応答メッセージを破棄するために使用される第1の破棄ユニットとを備え、ここで、前記所定条件は、前記対象のDNS応答メッセージ内の対象のドメインが過去のドメインの記録に含まれていないことを少なくとも含み、前記過去のドメイン名の記録内の過去のドメイン名のそれぞれは、前記外部ネットワークデバイスによって送信された過去のDNS応答メッセージから抽出される、
    ネットワーク攻撃防御装置。
  12. 前記所定条件は、前記外部ネットワークデバイスが前記対象のドメイン名に対して開始した第1の送信時間と第2の送信時間との間の時間差が所定の時間差より短いことをさらに備え、ここで、前記第1の送信時間は前記対象のDNS応答メッセージの送信時間であり、前記第2の送信時間は前記第1の送信時間より前の、前記対象のドメイン名を含む最新のDNS応答メッセージの送信時間である、
    請求項11に記載の装置。
  13. 前記時間差が前記所定の時間差以上である場合に、前記対象のDNS応答メッセージを前記内部ネットワークデバイスに送信するために使用される送信ユニットをさらに備える、
    請求項12に記載の装置。
  14. 前記対象のDNS応答メッセージ内の前記対象のドメイン名が前記過去のドメイン名の記録に含まれていない場合、前記ドメイン名及び前記対象のDNS応答メッセージの送信時間を前記過去のドメイン名の記録に記憶するために使用される記憶ユニットをさらに備える、
    請求項11に記載の装置。
  15. 所定数より大きいヒットカウント数を有するドメイン名の数と、ドメイン名の合計数との間の比率を計算するために使用される比率計算ユニットであり、ここで、前記過去のドメイン名の記録は、前記外部ネットワークデバイスによって送信された過去のDNS応答メッセージ内の全てのドメイン名及び前記ドメイン名のそれぞれのヒットカウント数を含み、前記所定数は自然数3以上である、前記比率計算ユニットと、
    前記比率が所定の比率より大きい場合、前記外部ネットワークデバイスのソースアドレスを前記動的なホワイトリストから削除するために使用される第1の削除ユニットと、
    前記外部ネットワークデバイスの前記ソースアドレスを動的なブラックリストに追加するために使用される第1の追加ユニットと
    をさらに備える、
    請求項14に記載の装置。
  16. 前記DNS応答メッセージを受信した後、DNS応答メッセージのドメイン名を前記過去のドメイン名の記録内に見つけ、前記ドメイン名のヒットカウント数を1つ増加させるために使用されるヒット率計算ユニットをさらに備え、ここで、各ドメイン名の前記ヒットカウント数の初期値は0である、
    請求項15に記載の装置。
  17. 前記所定条件は、前記対象のDNS応答メッセージのスループット値と、過去のDNS応答メッセージのスループット値との合計スループット値が所定のスループット値より大きいことをさらに備え、ここで、前記過去のDNS応答メッセージは、前記対象のDNS応答メッセージが送信される前の、前記外部ネットワークデバイスによって送信された全てのDNS応答メッセージである、
    請求項11に記載の装置。
  18. 前記合計スループット値が前記所定のスループット値より大きい場合、前記動的なホワイトリストから前記ソースアドレスを削除するために使用される第2の削除ユニットと、
    前記ソースアドレスを動的なブラックリストに追加するために使用される第2の追加ユニットとをさらに備える、
    請求項17に記載の装置。
  19. 前記DNS応答メッセージが前記外部ネットワークデバイスの前記ソースアドレスから送信された後に、DNS応答メッセージのスループット値を前記過去のDNS応答メッセージの前記スループット値に加算するために使用されるスループット計算ユニットをさらに備え、前記過去のDNS応答メッセージの前記スループット値の初期値は0である、
    請求項18に記載の装置。
  20. 前記動的なブラックリストが前記対象のDNS応答メッセージ内の前記ソースアドレスを含む場合、前記対象のDNS応答メッセージを破棄するために使用される第2の破棄ユニットをさらに備える、
    請求項11〜18のいずれか1項に記載の装置。
  21. 外部ネットワークデバイスと、除外デバイスと、内部ネットワークデバイスとを備え、
    前記外部ネットワークデバイスは、前記内部ネットワークデバイス宛の対象のDNS応答メッセージを前記除外デバイスに送信するために使用され、
    前記除外デバイスは、前記内部ネットワークデバイス宛の前記対象のDNS応答メッセージを前記外部ネットワークデバイスから受信し、動的なホワイトリストが前記対象のDNS応答メッセージ内のソースアドレスを含む状況において、前記対象のDNS応答メッセージが所定条件を満たすかどうかを判定し、前記対象のDNS応答メッセージが前記所定条件を満たす場合に前記対象のDNS応答メッセージを破棄するために使用され、ここで、前記所定条件は、前記対象のDNS応答メッセージ内の対象のドメインが過去のドメインの記録に含まれていないことを少なくとも含み、前記過去のドメイン名の記録内の過去のドメイン名のそれぞれは、前記外部ネットワークデバイスによって送信された過去のDNS応答メッセージから抽出され、
    前記内部ネットワークデバイスは、除外を受けた後のDNS応答メッセージを前記除外デバイスから受信するために使用される、
    ネットワーク攻撃防御システム。
JP2018506869A 2015-08-13 2016-08-04 ネットワーク攻撃防止方法、装置及びシステム Active JP6884135B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510497226.1A CN106453215B (zh) 2015-08-13 2015-08-13 一种网络攻击的防御方法、装置及系统
CN201510497226.1 2015-08-13
PCT/CN2016/093186 WO2017024977A1 (zh) 2015-08-13 2016-08-04 一种网络攻击的防御方法、装置及系统

Publications (2)

Publication Number Publication Date
JP2018525924A JP2018525924A (ja) 2018-09-06
JP6884135B2 true JP6884135B2 (ja) 2021-06-09

Family

ID=57984247

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018506869A Active JP6884135B2 (ja) 2015-08-13 2016-08-04 ネットワーク攻撃防止方法、装置及びシステム

Country Status (6)

Country Link
US (1) US20180167361A1 (ja)
EP (1) EP3337123B1 (ja)
JP (1) JP6884135B2 (ja)
KR (1) KR102039842B1 (ja)
CN (1) CN106453215B (ja)
WO (1) WO2017024977A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10505918B2 (en) * 2017-06-28 2019-12-10 Cisco Technology, Inc. Cloud application fingerprint
CN110213196B (zh) * 2018-02-28 2022-12-27 北京京东尚科信息技术有限公司 设备及其防止重放攻击的方法、电子设备和存储介质
CN110445743A (zh) * 2018-05-02 2019-11-12 福建天晴数码有限公司 一种检测服务端非法请求的方法和系统
CN110944027B (zh) * 2018-09-21 2023-04-07 阿里巴巴集团控股有限公司 访问处理方法、装置、设备以及系统
US11677713B2 (en) * 2018-10-05 2023-06-13 Vmware, Inc. Domain-name-based network-connection attestation
CN109756480B (zh) * 2018-11-30 2021-07-16 中国互联网络信息中心 一种DDoS攻击防御方法、装置、电子设备及介质
CN109889499B (zh) * 2019-01-17 2021-01-12 Oppo广东移动通信有限公司 报文发送方法及相关装置
US11714676B2 (en) * 2020-01-03 2023-08-01 International Business Machines Corporation Software-directed value profiling with hardware-based guarded storage facility
CN111314370B (zh) * 2020-02-28 2022-07-29 杭州迪普科技股份有限公司 一种业务漏洞攻击行为的检测方法及装置
CN111541648B (zh) * 2020-03-25 2022-09-20 杭州数梦工场科技有限公司 网络连接检测方法、装置、电子设备和存储介质
CN111510436B (zh) * 2020-03-27 2021-08-10 黑龙江省网络空间研究中心 网络安全系统
CN111131337B (zh) * 2020-03-31 2020-06-26 北京安博通科技股份有限公司 UDP Flood攻击的检测方法及装置
CN112910839B (zh) * 2021-01-12 2023-04-25 杭州迪普科技股份有限公司 一种dns攻击的防御方法和装置
US11956211B2 (en) * 2021-09-01 2024-04-09 Fortinet, Inc. Systems and methods for internal secure network resolution
CN115378906B (zh) * 2022-08-16 2024-02-13 北京轻网科技股份有限公司 一种基于vpn框架的本地dns代理方法、装置、设备及介质
CN116016430A (zh) * 2022-12-23 2023-04-25 赛尔网络有限公司 基于源地址验证的挖矿防护方法、装置、电子设备及介质

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6789125B1 (en) * 2000-05-10 2004-09-07 Cisco Technology, Inc. Distributed network traffic load balancing technique implemented without gateway router
WO2005103960A1 (en) * 2004-04-20 2005-11-03 The Boeing Company Apparatus and method for redirecting unresolvable addresses using a local care-of ip address
US7372809B2 (en) * 2004-05-18 2008-05-13 Time Warner Cable, Inc. Thwarting denial of service attacks originating in a DOCSIS-compliant cable network
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
EP1866783B1 (en) * 2005-02-24 2020-11-18 EMC Corporation System and method for detecting and mitigating dns spoofing trojans
FI20065179A0 (fi) * 2006-03-20 2006-03-20 Nixu Sofware Oy Kokonaisuudeksi koottu nimipalvelin
US7849502B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for monitoring network traffic
US8001243B2 (en) * 2008-11-07 2011-08-16 Oracle America, Inc. Distributed denial of service deterrence using outbound packet rewriting
CN101572701B (zh) * 2009-02-10 2013-11-20 中科信息安全共性技术国家工程研究中心有限公司 针对DNS服务器的抗DDoS安全网关系统
EP2222048A1 (en) * 2009-02-24 2010-08-25 BRITISH TELECOMMUNICATIONS public limited company Detecting malicious behaviour on a computer network
US8347394B1 (en) * 2009-07-15 2013-01-01 Trend Micro, Inc. Detection of downloaded malware using DNS information
CN101789940A (zh) * 2010-01-28 2010-07-28 联想网御科技(北京)有限公司 一种防范dns请求报文洪泛攻击的方法及装置
US8533581B2 (en) * 2010-05-13 2013-09-10 Symantec Corporation Optimizing security seals on web pages
CN102075592B (zh) * 2010-12-30 2013-02-20 吕晓雯 一种筛选dns请求的方法
KR101351998B1 (ko) * 2011-03-30 2014-01-15 주식회사 케이티 봇넷 탐지 방법 및 장치
US9473455B2 (en) * 2011-06-29 2016-10-18 Verisign, Inc. Data plane packet processing tool chain
KR20130014226A (ko) * 2011-07-29 2013-02-07 한국전자통신연구원 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
US8763117B2 (en) * 2012-03-02 2014-06-24 Cox Communications, Inc. Systems and methods of DNS grey listing
US8990392B1 (en) * 2012-04-11 2015-03-24 NCC Group Inc. Assessing a computing resource for compliance with a computing resource policy regime specification
US9215205B1 (en) * 2012-04-20 2015-12-15 Infoblox Inc. Hardware accelerator for a domain name server cache
US8910280B2 (en) * 2012-04-30 2014-12-09 At&T Intellectual Property I, L.P. Detecting and blocking domain name system cache poisoning attacks
CN103391272B (zh) * 2012-05-08 2015-12-16 深圳市腾讯计算机系统有限公司 检测虚假攻击源的方法及系统
EP2853064A1 (en) * 2012-06-27 2015-04-01 Qatar Foundation An arrangement configured to allocate network interface resources to a virtual machine
US20140157405A1 (en) * 2012-12-04 2014-06-05 Bill Joll Cyber Behavior Analysis and Detection Method, System and Architecture
GB201306628D0 (en) * 2013-04-11 2013-05-29 F Secure Oyj Detecting and marking client devices
CN103856487A (zh) * 2014-02-28 2014-06-11 汉柏科技有限公司 一种对授权域dns服务器的防护方法及系统
WO2015175315A1 (en) * 2014-05-12 2015-11-19 Wood Michael C Firewall security for computers with internet access and method
WO2015178933A1 (en) * 2014-05-23 2015-11-26 Hewlett-Packard Development Company, L.P. Advanced persistent threat identification
US8881281B1 (en) * 2014-05-29 2014-11-04 Singularity Networks, Inc. Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data
CN104125242B (zh) * 2014-08-18 2015-05-13 北京阅联信息技术有限公司 识别伪装ldns请求的ddos攻击的防护方法及装置
US9294490B1 (en) * 2014-10-07 2016-03-22 Cloudmark, Inc. Apparatus and method for identifying a domain name system resource exhaustion attack
US9813306B1 (en) * 2014-12-16 2017-11-07 Amazon Technologies, Inc. Response rate limiting device
US10097566B1 (en) * 2015-07-31 2018-10-09 Amazon Technologies, Inc. Identifying targets of network attacks

Also Published As

Publication number Publication date
EP3337123A4 (en) 2019-04-03
JP2018525924A (ja) 2018-09-06
EP3337123B1 (en) 2021-06-16
CN106453215B (zh) 2019-09-10
EP3337123A1 (en) 2018-06-20
WO2017024977A1 (zh) 2017-02-16
US20180167361A1 (en) 2018-06-14
CN106453215A (zh) 2017-02-22
KR102039842B1 (ko) 2019-11-01
KR20180030593A (ko) 2018-03-23

Similar Documents

Publication Publication Date Title
JP6884135B2 (ja) ネットワーク攻撃防止方法、装置及びシステム
US9003518B2 (en) Systems and methods for detecting covert DNS tunnels
CN104468624B (zh) Sdn控制器、路由/交换设备及网络防御方法
CN108234473B (zh) 一种报文防攻击方法及装置
CN109587167B (zh) 一种报文处理的方法和装置
TWI506472B (zh) 網路設備及其防止位址解析協定報文攻擊的方法
CN109005175A (zh) 网络防护方法、装置、服务器及存储介质
JP2016019028A (ja) 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム
KR101409758B1 (ko) 콘텐츠 중심 네트워크에서의 서비스 거부 공격 탐지 장치 및 방법
CN112187793A (zh) 一种ACK Flood攻击的防护方法及装置
CN101997830B (zh) 一种分布式入侵检测方法、装置和系统
CN106101088B (zh) 清洗设备、检测设备、路由设备和防范dns攻击的方法
CN102546587B (zh) 防止网关系统会话资源被恶意耗尽的方法及装置
WO2019096104A1 (zh) 攻击防范
CN110661763B (zh) 一种DDoS反射攻击防御方法、装置及其设备
Shahzad et al. Towards automated distributed containment of zero-day network worms
WO2015027523A1 (zh) 一种确定tcp端口扫描的方法及装置
TWI787168B (zh) 網路攻擊的防禦方法、裝置及系統
CN113810398B (zh) 一种攻击防护方法、装置、设备及存储介质
Lewis Cyber attacks explained
Park et al. An effective defense mechanism against DoS/DDoS attacks in flow-based routers
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
KR101088868B1 (ko) 네트워크 스위치의 에이알피 패킷 처리 방법
Zhou et al. Limiting self-propagating malware based on connection failure behavior
KR20150033624A (ko) IoT 환경에서 발생하는 서비스거부 공격을 중계기에서 방어하는 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180410

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190709

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200716

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200721

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210413

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210511

R150 Certificate of patent or registration of utility model

Ref document number: 6884135

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250