JP7002647B2 - 多層ネットワーク・トポロジにおける攻撃フローを識別するコンピュータ実施方法、コンピュータ・プログラム製品およびシステム - Google Patents
多層ネットワーク・トポロジにおける攻撃フローを識別するコンピュータ実施方法、コンピュータ・プログラム製品およびシステム Download PDFInfo
- Publication number
- JP7002647B2 JP7002647B2 JP2020518625A JP2020518625A JP7002647B2 JP 7002647 B2 JP7002647 B2 JP 7002647B2 JP 2020518625 A JP2020518625 A JP 2020518625A JP 2020518625 A JP2020518625 A JP 2020518625A JP 7002647 B2 JP7002647 B2 JP 7002647B2
- Authority
- JP
- Japan
- Prior art keywords
- latency
- connection
- network
- processor
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Description
本出願は、概して、特に多層ネットワーク・トポロジに関する、複数の接続に関与する攻撃フローを識別するのに用いることができるシステムおよび方法に関する。
多層ネットワーク・トポロジにおいて、セキュリティ管理者が複数の接続に関与する攻撃フローを識別することは、ジレンマである。攻撃に対する典型的な応答は、パケットの廃棄および接続のリセットを含むことができ、管理者が攻撃を侵入の出所まで戻って追跡するのを支援することはできず、その代わりにその最終段階で攻撃を止めることしかできない。セキュリティ情報イベント管理(SIEM)製品は、それらのタイムスタンプに基づいて、接続を相関させるのを支援することはできるが、これは、管理者が、環境内のすべてのトラフィックを記録し、次に、大量の背景トラフィックをフィルタリングし、接続間の関係に発見することを要求するため、資源を消費するプロセスであり、最終的に持続可能ではない。
図1は、従来、東西攻撃の全部の状況を識別できないことを示す。図示するように、ハッカーは、TLSプロトコルでSQLインジェクションを有する悪意のあるペイロードをウェブサイトに送信しうる。トラフィックは暗号化されるので、アプリケーション・サーバ(APPサーバ)がデータベース・サーバ(DBサーバ)に問い合わせることを試みるまで、攻撃を発見および阻止することができない。従来技術のセキュリティ・システムは、イベントを引き起こし、攻撃が内部のアプリケーション・サーバから他のデータベース・サーバに生成されたと誤って識別する。しかしながら、システム管理者は、攻撃がどこから生じるかについて分からず、侵入の出所まで戻って追跡することはできない。
既存の解決法は、特別な署名をL3/L4ヘッダ内に追加するかまたはアプリケーションフレームワークに完全に依存する。一旦経路上の任意のノードが次のエンティティへの新しい接続を確立すると、これらの方法は現実の世界において実用的でない。サイバー攻撃の洗練度のため、攻撃の兆候(IOA)の伝搬は、アプリケーション層から独立していなければならず、さもなければ、情報はおそらく中央において取り除かれ、出所の識別は不可能である。
多層ネットワーク・トポロジにおける攻撃フローを識別するコンピュータ実施方法、コンピュータ・プログラム製品およびシステムを提供する。
実施形態は、プロセッサおよび命令を備えるメモリを備えるデータ処理システムにおけるコンピュータ実施方法を提供することができ、命令は、プロセッサによって実行され、プロセッサにネットワーク保護のためのシステムを実施させ、方法は、分析ユニットによって、1つまたは複数のパケットを備える着信接続(incoming connection)がトリガ・レイテンシより大きい不正なレイテンシを有するかを決定することと、着信接続のレイテンシがトリガ・レイテンシより大きい場合、分析ユニットによって、着信接続を疑わしい接続として報告することと、分析ユニットによって、攻撃が現在進行中かを決定することと、攻撃が進行中である場合、分析ユニットによって、不正なレイテンシを有する着信接続の1つまたは複数のパケットまたは発信接続(outgoing connection)の1つまたは複数のパケットの少なくとも1つを注入することと、を含む。
一態様によれば、ネットワーク保護を提供するためのコンピュータ・プログラム製品が提供され、コンピュータ・プログラム製品は、それとともに実施されるプログラム命令を有するコンピュータ可読の記憶媒体を備え、プロセッサによって実行可能なプログラム命令は、プロセッサに、分析ユニットによって、1つまたは複数のパケットを備える着信接続がトリガ・レイテンシより大きい不正なレイテンシを有するかを決定させ、着信接続のレイテンシがトリガ・レイテンシより大きい場合、分析ユニットによって、着信接続を疑わしい接続として報告させ、分析ユニットによって、攻撃が現在進行中かを決定させ、攻撃が進行中である場合、分析ユニットによって、不正なレイテンシを有する着信接続の1つまたは複数のパケットまたは発信接続の1つまたは複数のパケットの少なくとも1つを注入させる。
他の態様によれば、ネットワーク分析プロセッサを備えるネットワーク保護を提供するためのシステムが提供され、ネットワーク分析プロセッサは、1つまたは複数のパケットを備える着信接続がトリガ・レイテンシより大きい不正なレイテンシを有するかを決定し、着信接続のレイテンシがトリガ・レイテンシより大きい場合、着信接続を疑わしい接続として報告し、攻撃が現在進行中かを決定し、攻撃が進行中である場合、不正なレイテンシを有する着信接続の1つまたは複数のパケットまたは発信接続の1つまたは複数のパケットの少なくとも1つを注入するように構成される。
実施形態は、分析ユニットによって、ネットワーク内の各IPアドレスとの1つまたは複数の接続のレイテンシ分布を計算することと、分析ユニットによって、トリガ・レイテンシを特定することと、をさらに含む方法をさらに提供することができる。
実施形態は、分析ユニットによって、最大レイテンシをプロファイルすることと、分析ユニットによって、1つまたは複数の報告された疑わしい接続に基づいて、最大レイテンシを更新することと、分析ユニットによって、トリガ・レイテンシを最大レイテンシより大きいとして特定することと、をさらに含む方法をさらに提供することができる。
実施形態は、分析ユニットによって、最大レイテンシより大きい不正なレイテンシを有する着信接続の1つまたは複数のパケットまたは発信接続の1つまたは複数のパケットの少なくとも1つを注入することをさらに含む方法をさらに提供することができる。
実施形態は、保護ユニットによって、異常なレイテンシを有する外部接続との遭遇を検出することと、保護ユニットによって、外部接続を孤立させること、異常な接続をリセットすること、異常な接続をハニーポットにリダイレクトすること、または、さらなる情報をイベント・コレクタに提供することのうちの少なくとも1つを実行することと、をさらに含む方法をさらに提供することができる。
実施形態は、DDOS保護モジュールによって、1つまたは複数の接続の各々をネットワーク内に伝搬するべきかを決定することと、DDOS保護モジュールによって、システムが1つまたは複数の接続の各々を伝搬可能か決定することと、をさらに含む方法をさらに提供することができ、伝搬可能か決定することは、DDOS保護モジュールによって、以前の接続が伝搬された最後の時間を決定することと、DDOS保護モジュールによって、以前の接続が伝搬された最後の時間を所定の遅延時間と比較することと、以前の接続が伝搬された最後の時間が所定の遅延時間を上回る場合、DDOS保護モジュールによって、接続をネットワーク内に伝搬可能にすることと、を含む。
実施形態は、DDOS保護モジュールによって、所定の遅延時間に基づいて、不正なレイテンシを調整することをさらに含む方法をさらに提供することができる。
他の例示的な実施形態では、コンピュータ可読のプログラムを有するコンピュータが使えるまたはコンピュータ可読の媒体を備えるコンピュータ・プログラム製品が提供される。コンピュータ可読のプログラムは、プロセッサ上で実行されるとき、プロセッサに方法の例示的な実施形態に関して上述した動作のさまざまな動作および組み合わせを実行させる。
さらに他の例示的な実施形態では、システムが提供される。システムは、方法の例示的な実施形態に関して上述した動作のさまざまな動作および組み合わせを実行するように構成されるネットワーク分析プロセッサ、ネットワーク保護プロセッサおよびDDOS保護プロセッサの1つまたは複数を備えてもよい。
この開示の追加の特徴および効果は、添付の図面を参照しながら進める例示的な実施形態の以下の詳細な説明から明らかになる。
以下、本発明の好適実施形態は、以下の図面を一例としてのみ参照して記載される。
単にパケットを廃棄するかまたは接続をリセットするだけである従来技術とは対照的に、本発明は、好ましくは、攻撃の兆候(IOA)を攻撃に関与する複数のエンティティを通り伝搬することができる。タイミングは、アプリケーション論理およびネットワークプロトコルに関係なく、複数のノードを通過することができる唯一の属性である。このように、本発明は、好ましくは、IOAが識別されるとき、特別なレイテンシを接続に追加するための新規な機構を作成することができる。
レイテンシを特定の接続のパケットに追加することによって、本発明は、好ましくは、攻撃の兆候を伝搬することができ、関連した接続を識別することができ、このことは、SIEM製品のための複雑さを大いに減少し、すべての東西トラフィックの中の攻撃フローを分析することができ、東西トラフィックは、クライアント・サーバ・トラフィックとは対照的に、データセンタ内のデータ・トラフィックを備える。疑わしい候補を分析した後に、ネットワークの端のネットワーク保護製品は、最初の患者(すなわち、攻撃の出所)を識別することができ、攻撃者によって確立された接続をリセットすることができる。次に、本発明は、好ましくはイントルーダの発信元IPアドレスを孤立させることができる。リンク親和性を識別することは、SIEM製品およびすべてのサイバー・セキュリティ・エリアにわたる難題である。本発明は、好ましくは、アプリケーション自体からの修正または認識を必要とせずに、大部分の種類のアプリケーション・アーキテクチャを有する攻撃フローを識別する複雑さを減少することができる。
図2は、本願明細書において記載されている実施形態に従って、現在のネットワーク保護システムを用いた攻撃の検出を表すフロー図を示す。一般的に、攻撃者200は、悪意のあるペイロード201をネットワーク内に挿入し、通常の入力点は、ロード・バランサ203である。特定の悪意のあるペイロード201は、アプリケーション・サーバ204内で動作することができる特定のアプリケーション205を攻撃することができる。アプリケーション205の感染を通して、アプリケーションは、1つまたは複数のデータベース207含むデータベース・サーバ206ならびに1つまたは複数のファイル209を含む1つまたは複数のファイル・サーバ208と相互作用することができる。従来、検出された攻撃フロー210は、アクセスされている特定のデータベース207とのアプリケーション205の相互作用の間にのみ以前誤って検出された。しかしながら、不正なレイテンシ・インジェクション機構による攻撃している接続への不正なレイテンシΔt202のインジェクションにより、攻撃の兆候を提供することができ、これにより、対応するSIEM製品は、悪意のあるペイロード201を、最初の攻撃者200およびその起点に戻って追跡することができ、攻撃をより速く有効に終了することができる。この方法を用いて、アプリケーション内に存在するアプリケーション論理不在のIOA応答論理の障害を防止することができる。アプリケーションがIOAに応答することができる論理を有する範囲で、アプリケーションは、IOA情報を接続のアプリケーション層を通り伝搬することができる。
分散型サービス拒否(DDOS)攻撃を回避するために、DDOS攻撃の一部として発生する攻撃が多数であるため、攻撃が検出されるたびに、不正なレイテンシ・インジェクション機構をトリガすることができない。ネットワーク保護システムはまた、DDOS攻撃を回避するための手順を提供することができ、それゆえ、不正なレイテンシ・インジェクションは、構成可能な時間窓においてだけのみ1回以上トリガすることができる。
図3は、本願明細書において記載されている実施形態に従って、DDOS攻撃の間のネットワーク保護システムの機能を示す。入パケットを受信すると301、システムは、パケットを検査し、パケットの特徴を決定するとともに、パケットが悪意のあるペイロードかDDOS攻撃の一部であるか否かを決定することができる302。パケットの検査302に基づいて、システムは、接続をネットワーク内に伝搬するべきか否かを決めることができる303。システムが接続をネットワーク内に伝搬しないことを選択する場合、システムはネットワーク内へのパケットを拒否することができる。
システムが接続をネットワーク内に伝搬することを選択する場合、次に、システムは、システムが接続を伝搬できるか否かを決定することができる304。システムは、所定の遅延時間308に対して接続が伝搬された最後の時間を決定することによって307、この決定を行うことができる。最後の伝搬時間307が所定の遅延時間308より短い場合、接続は伝搬可能ではなく、システムは、最初の動作の1つまたは複数を行うことができ306、これは、接続をリセットすること、ペイロード(またはパケット)を修正すること、または、ネットワーク内へのパケットを承認もしくは拒否することを含むことができる。最後の伝搬時間307が所定の遅延時間308より長い場合、一旦システムが不正なレイテンシ・インジェクション機構を用いることによりパケットに不正なレイテンシ遅延または署名あるいはその両方を注入したならば、接続は伝搬可能であり305、これは、ネットワーク内へのパケットの伝搬を遅延させること(すなわち、不正なレイテンシを注入すること)を含むことができる。次に、変更されたパケットは、それに基づいて行われる1つまたは複数の最初の動作306を有することができ、ネットワークを介する変更されたパケットの許可を含む。
接続をリセットする、ペイロードを修正すること、または、パケットを許容することのようないかなる最初の動作306も行う前に、システムは、必要とされるとき、不正なレイテンシを注入することができる。検出された攻撃/イベントに完全に依存する必要なく、ネットワーク保護システムはまた、最後の伝搬時間および時間窓を考慮することができる。この機構により、ネットワーク保護システムは、DDOS攻撃を回避することができる。一実施形態では、注入された不正なレイテンシΔtは、環境および所定の遅延時間によって最適に計算可能であり、これは、管理者が通常のトラフィックを容易にフィルタリングする際、重要なサービスの影響を生じない。
図4は、本願明細書において記載されている実施形態に従って、ネットワーク保護システムの機能を表すフローチャートを示す。ネットワーク保護システムの実施態様は、2つの部分を備えることができ、第1は、各ワークロード上の保護ユニット401であり、第2は、分析ユニット400であり、中央サーバ、例えばSIEM製品上に配置可能である。一実施形態では、分析ユニット400は、プロファイリング機構およびフロー・データを用いて、各IPアドレスとの全体の接続の不正なレイテンシ分布を計算することができ、最大のレイテンシΔuをプロファイルすることができる402。次に、分析ユニット400は、最大の許容されたレイテンシΔuより大きくなりうるトリガ・レイテンシを特定することができる。一実施形態では、トリガ・レイテンシは、所定のタイミング・ウインドウにおいて最大レイテンシΔuより大きくなりうる。次に、分析ユニット400は、任意の着信接続がトリガ・レイテンシより大きい不正なレイテンシを有するか否かを決定することができる403。その場合は、分析ユニット400は、フロー・データを介して疑わしい接続を報告することができる407。そうでない場合には、分析ユニット400は、フロー・データを介して最大レイテンシΔuを更新することができる404。次に、分析ユニット400は、攻撃が現在進行中であるか否かを検出することができる405。そうでない場合には、分析ユニット400は、最大のレイテンシΔuを再プロファイルすることができ402、以前のプロセスを繰り返すことができる。
攻撃が生じた場合、分析ユニット400は、不正なレイテンシΔtを有する悪意のあるペイロードを注入することができる408。不正なレイテンシのインジェクションは、不正なレイテンシを有するパケットをΔtだけ遅延させることを含むことができる。一実施形態では、Δtは、Δuより大きくなりうる。一実施形態では、接続をリセット/クローズすることのような他の動作をとる前に、接続上の不正なレイテンシΔtのインジェクションが発生しうる。不正なレイテンシの追加は、異常な接続を作成し、これは、ネットワーククラウド内の他の構成要素に異常なレイテンシを生じさせることがありえ、これは、異常なレイテンシ・スパイク(latency spike)を有するエラーを容易に伝搬することができ、より詳細な追跡を可能にする。
エッジ上の保護ユニット401が、分析ユニット400によって検出された異常なレイテンシを有する任意の外部接続に遭遇するとき、それは、接続を孤立させてもよく409、接続をリセットしてもよく410、接続を出所のためのハニーポットにリダイレクトしてもよく411、または、さらなる分析のためにイベント・コレクタ、例えばSIEM製品にさらなる情報を提供することができる412。
図5は、本願明細書において記載されている実施形態に従って、ネットワークに統合されるときのネットワーク保護システムの構成要素を示すブロック図を表す。中央サーバ500とクライアント501との間の従来の相互作用を調停する際、ネットワーク保護システムは、中央サーバ500上に収納される不正なレイテンシ計算モジュール502ならびに中央サーバ500上に収納されるサーバDDOS防止モジュール503を含みうる。フロー・データ、APIまたは要求プロファイルまたは任意のセキュリティ・イベント応答あるいはその組み合わせに基づいて、クライアント501は、不正なレイテンシ・インジェクション504を特定のネットワーク・ストリームに挿入することがありえ、それは、上述したように、不正なレイテンシ計算モジュール502により、攻撃の経路および出所を決定することができる。さらに、クライアントDDOS防止モジュール505は、クライアント501内に実装され、クライアント側のDDOS攻撃が生じた場合に、追加のDDOS保護を提供することができる。不正なレイテンシ計算モジュール502およびサーバDDOS防止モジュール503は、ネットワークが攻撃調停能力を有するために、レイテンシ値および反DDOS材料、例えば所定の時間遅延を、中央サーバ500からクライアント501に渡すことができる。
図6は、例示的データ処理システム600のブロック図であり、ユーザ・エージェント、認証符号または認証サーバあるいはその組み合わせのような例示的な実施形態の態様が実施可能である。データ処理システム600は、サーバまたはクライアントのようなコンピュータの一例であり、本発明の例示的な実施形態のためのプロセスを実施するコンピュータが使えるコードまたは命令が配置される。一実施形態では、図6は、本願明細書において記載されているネットワーク保護システムを実施するサーバのようなサーバ・コンピューティング装置を表す。
図示例では、データ処理システム600は、ノース・ブリッジおよびメモリ・コントローラ・ハブ(NB/MCH)601ならびにサウス・ブリッジおよび入出力(I/O)コントローラ・ハブ(SB/ICH)602を含むハブ・アーキテクチャを使用することができる。処理ユニット603、メイン・メモリ604およびグラフィックス・プロセッサ605は、NB/MCH601に接続可能である。グラフィックス・プロセッサ605は、アクセラレーティッド・グラフィックス・ポート(AGP)を介してNB/MCHに接続可能である。
図示例では、ネットワーク・アダプタ606は、SB/ICH602に接続する。オーディオ・アダプタ607、キーボードおよびマウス・アダプタ608、モデム609、読み出し専用メモリ(ROM)610、ハード・ディスク・ドライブ(HDD)611、光ドライブ(CDまたはDVD)612、ユニバーサル・シリアル・バス(USB)ポートおよび他の通信ポート613ならびにPCI/PCIeデバイス614は、バスシステム616を介してSB/ICH602に接続可能である。PCI/PCIeデバイス614は、イーサネット(R)・アダプタ、アドイン・カードおよびノート・パソコン用のPCカードを含んでもよい。ROM610は、例えば、フラッシュ・ベーシック・インプット/アウトプット・システム(BIOS)でもよい。HDD611および光ドライブ612は、インテグレーティッド・ドライブ・エレクトロニクス(IDE)またはシリアルATA(SATA)インターフェースを使用することができる。スーパーI/O(SIO)デバイス615は、SB/ICHに接続可能である。
オペレーティング・システムは、処理ユニット603上で動作することができる。オペレーティング・システムは、データ処理システム600内の各種要素の制御を調整および提供することができる。クライアントとして、オペレーティング・システムは、市販のオペレーティング・システムとすることができる。オブジェクト指向プログラミング・システム、例えばJava(R)プログラミング・システムは、オペレーティング・システムと協働して動作してもよく、オブジェクト指向プログラムまたはデータ処理システム600上で実行するアプリケーションから呼び出しをオペレーティング・システムに提供してもよい。サーバとして、データ処理システム600は、AIXオペレーティング・システムまたはLinuxオペレーティング・システムを実行するIBM(R)eServer(TM)System p(R)とすることができる。データ処理システム600は、複数のプロセッサを処理ユニット603内に含むことができる対称型マルチプロセッサ(SMP)システムとすることができる。代替的には、単一のプロセッサ・システムを使用してもよい。
オペレーティング・システム、オブジェクト指向プログラミング・システムおよびアプリケーションまたはプログラムのための命令は、HDD611のような記憶装置上に配置され、処理ユニット603によって実行のためのメイン・メモリ604内にロードされる。ネットワーク保護システムの実施形態のためのプロセスは、例えばメイン・メモリ604、ROM610のようなメモリ内または1つまたは複数の周辺装置内に配置可能であるコンピュータが使えるプログラム・コードを用いて処理ユニット603によって実行可能である。
バスシステム616は、1つまたは複数のバスを備えることができる。バスシステム616は、任意のタイプの通信ファブリックまたはアーキテクチャを用いて実施可能であり、通信ファブリックまたはアーキテクチャは、当該ファブリックまたはアーキテクチャに取り付けられる異なる構成要素または装置の間でデータ転送を提供することができる。モデム609またはネットワーク・アダプタ606のような通信ユニットは、データを送受信するのに用いることができる1つまたは複数の装置を含むことができる。
当業者は、図6に表されるハードウェアが実施態様に応じて異なることができるということを認識する。表されるハードウェアに加えて、または、それの代わりに、他の内部ハードウェアまたは周辺装置、例えば、フラッシュ・メモリ、等価な不揮発メモリまたは光ディスク・ドライブが用いられてもよい。さらに、データ処理システム600は、クライアント・コンピューティング装置、サーバ・コンピューティング装置、タブレット・コンピュータ、ラップトップ・コンピュータ、電話または他の通信装置、携帯情報端末などを含むが、これらに限定されるものではない多くの異なるデータ処理システムのいずれかの形をとることができる。基本的に、データ処理システム600は、設計上の限定なく、任意の周知であるかまたは将来開発されるデータ処理システムとすることができる。
本明細書および請求項は、例示的な実施形態の特定の特徴および要素に関して、「1つの」、「少なくとも1つの」および「1つまたは複数の」という用語を利用することができる。特定の例示的な実施形態に存在する特定の特徴または要素の少なくとも1つがあるが、1つより多くもまた存在しうることを、これらの用語およびフレーズが意図することを認識されたい。すなわち、これらの用語/フレーズは、明細書または請求項を、単一の特徴/要素が存在することに限定することを意図しないし、または、複数のこの種の特徴/要素が存在することが必要であることも意図しない。それとは反対に、これらの用語/フレーズは、明細書および請求項の範囲にある複数のこの種の特徴/要素の可能性を有しつつ、少なくとも単一の特徴/要素を必要とするだけである。
さらに、以下の説明が例示的な実施形態のさまざまな要素のための複数のさまざまな例を使用し、例示的な実施形態の機構を理解する際の助けとなる例示的な実施形態の例示的実施態様をさらに示すことを認識されたい。これらの例は、非限定的であることを意図し、例示的な実施形態の機構を実施するためのさまざまな可能性を包括することを意図しない。本発明の思想および範囲から逸脱することなく、本明細書に提供されている例に追加して、または、置換して利用されうるさまざまな要素用の多くの他の代替の実施態様があることは、本明細書を考慮して当業者にとって明らかである。
本発明は、システム、方法またはコンピュータ・プログラム製品あるいはその組み合わせでもよい。コンピュータ・プログラム製品は、プロセッサに本発明の態様を実行させるためのコンピュータ可読のプログラム命令を有する1つ(または複数の)コンピュータ可読の記憶媒体を含んでもよい。
コンピュータ可読の記憶媒体は、命令実行装置が使用するための命令を保持および格納することができる有形の装置とすることができる。コンピュータ可読の記憶媒体は、例えば、電子記憶装置、磁気記憶装置、光記憶装置、電磁記憶装置、半導体記憶装置または前述の任意の適切な組み合わせでもよいが、これらに限定されるものではない。コンピュータ可読の記憶媒体のより多くの具体例の包括的ではないリストは、ポータブル・コンピュータ・ディスケット、ヘッド・ディスク、ランダム・アクセス・メモリ(RAM)、読み出し専用メモリ(ROM)、消去可能なプログラマブル読み出し専用メモリ(EPROMまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、ポータブル・コンパクト・ディスク読み出し専用メモリ(CD-ROM)、デジタル多用途ディスク(DVD)、メモリースティック、フロッピー(R)・ディスク、機械的にコード化された装置、例えばパンチ・カードまたは記録される命令を有する溝内の隆起した構造、および、前述の任意の適切な組み合わせを含む。本明細書で用いられるコンピュータ可読の記憶媒体は、それ自体は一時的信号、例えば、電波もしくは他の自由に伝搬する電磁波、導波路もしくは他の伝送媒体を通り伝搬する電磁波(例えば、光ファイバー・ケーブルを通過している光パルス)またはワイヤを通り送信される電気信号であるものとして解釈されてはならない。
本願明細書において記載されているコンピュータ可読のプログラム命令は、コンピュータ可読の記憶媒体からそれぞれのコンピューティング/処理装置にダウンロード可能であるか、または、ネットワーク、例えば、インターネット、ローカル・エリア・ネットワーク(LAN)、ワイド・エリア・ネットワーク(WAN)または無線ネットワークあるいはその組み合わせを介して外部コンピュータまたは外部記憶装置にダウンロード可能である。ネットワークは、銅の伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータまたはエッジ・サーバあるいはその組み合わせを備えてもよい。各コンピューティング/処理装置内のネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、ネットワークからコンピュータ可読のプログラム命令を受信し、それぞれのコンピューティング/処理装置の範囲内のコンピュータ可読の記憶媒体に記憶するためにコンピュータ可読のプログラム命令を転送する。
本発明の動作を実行するためのコンピュータ可読のプログラム命令は、アセンブラ命令、命令セット・アーキテクチャ(ISA)命令、機械命令、機械依存の命令、マイクロコード、ファームウェア命令、状態設定データ、または、1つまたは複数のプログラミング言語の任意の組み合わせで記述されたソース・コードもしくはオブジェクト・コードでもよく、1つまたは複数のプログラミング言語は、例えば、Java(R)、Smalltalk(R)、C++等、および、従来の手続きプログラミング言語、例えば「C」プログラミング言語または類似のプログラミング言語などのオブジェクト指向プログラミング言語を含む。コンピュータ可読のプログラム命令は、ユーザのコンピュータ上で完全に実行してもよいし、ユーザのコンピュータ上でスタンドアロン・ソフトウェア・パッケージとして部分的に実行してもよいし、部分的にユーザのコンピュータ上でかつ部分的にリモート・コンピュータ上で実行してもよいし、または、リモート・コンピュータまたはサーバ上で完全に実行してもよい。後者のシナリオでは、リモート・コンピュータは、LANまたはWANを含む任意のタイプのネットワークを介してユーザのコンピュータに接続されてもよく、または、(例えば、インターネット・サービス・プロバイダを用いたインターネットを介して)外部コンピュータに接続されてもよい。いくつかの実施形態では、例えば、プログラム可能論理回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)またはプログラム可能論理アレイ(PLA)を含む電子回路は、コンピュータ可読のプログラム命令の状態情報を利用することによって、コンピュータ可読のプログラム命令をパーソナライズし、電子回路を実現し、本発明の態様を実行することができる。
本発明の態様は、本発明の実施形態に従って、方法、装置(システム)およびコンピュータ・プログラム製品のフローチャートの図示またはブロック図あるいはその両方を参照し、本願明細書において記載されている。フローチャートの図示またはブロック図あるいはその両方の各ブロックおよびフローチャートの図示またはブロック図あるいはその両方のブロックの組み合わせがコンピュータ可読のプログラム命令によって実施可能であることを理解されたい。
これらのコンピュータ可読のプログラム命令は、コンピュータのプロセッサまたは他のプログラム可能なデータ処理装置を介して実行する命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで特定される機能/動作を実施するための手段を作成するべく、汎用コンピュータ、専用コンピュータまたは他のプログラム可能なデータ処理装置のプロセッサに提供されて、機械を生成してもよい。これらのコンピュータ可読のプログラム命令は、格納される命令を有するコンピュータ可読の記憶媒体が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで特定される機能/動作の態様を実施する命令を含む製品を備えるように、コンピュータ、プログラム可能なデータ処理装置または他の装置あるいはその組み合わせに特定の方法で機能するように指示することができるコンピュータ可読の記憶媒体に格納されてもよい。
コンピュータ可読のプログラム命令はまた、コンピュータ、他のプログラム可能な装置または他の装置上で実行する命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックにおいて特定される機能/動作を実施するように、コンピュータ、他のプログラム可能なデータ処理装置または他の装置上にロードされ、一連の動作ステップをコンピュータ、他のプログラム可能な装置または他の装置上で実行させ、コンピュータ実施プロセスを生成してもよい。
図面のフローチャートおよびブロック図は、本発明の各種実施形態に従って、システム、方法およびコンピュータ・プログラム製品の考えられる実施態様のアーキテクチャ、機能および動作を示す。この点に関しては、フローチャートまたはブロック図の各ブロックは、特定された論理機能を実施するための1つまたは複数の実行可能命令を備える命令のモジュール、セグメントまたは部分を表してもよい。いくつかの代替実施態様では、ブロック内に記載の機能は、図面に記載の順序と異なって発生してもよい。例えば、関係する機能に従って、連続して示される2つのブロックは、事実、実質的に並行して実行されてもよいし、または、それらのブロックは、時々、逆順で実行されてもよい。ブロック図またはフローチャートの図示あるいはその両方の各ブロックおよびブロック図またはフローチャートの図示あるいはその両方のブロックの組み合わせは、特定された機能または動作を実行するかまたは特別な目的ハードウェアおよびコンピュータ命令の組み合わせを実行する特別な目的ハードウェア・ベースのシステムによって実施可能であることにもまた留意されたい。
図面のシステムおよびプロセスは、排他的ではない。他のシステム、プロセスおよびメニューは、同じ目的を達成するために本願明細書において記載されている実施形態の原則に従って導出されてもよい。本願明細書において図示および記載される実施形態およびバリエーションが説明目的のためにだけあることを理解されたい。現在の設計に対する変更態様は、実施形態の範囲を逸脱しない範囲で、当業者によって実施されうる。本願明細書において記載されているように、さまざまなシステム、サブシステム、エージェント、マネージャおよびプロセスは、ハードウェア構成要素、ソフトウェア構成要素またはその組み合わせあるいはその組み合わせを用いて実施可能である。本願明細書における請求項の要素は、要素が「~のための手段」というフレーズを用いて明確に記述されない限り、35U.S.C.112第6の段落の規定により解釈されてはならない。
本発明が例示的実施形態を参照して記載されてきたが、それに限定されるものではない。多数の変化および変更を本発明の好適実施形態に行うことができ、かつ、この種の変化および変更を本発明の真の思想を逸脱しない範囲で行うことができることを当業者は認識するであろう。それゆえ、添付の請求の範囲がすべてのこの種の等価なバリエーションを本発明の真の思想および範囲に該当するものとしてカバーするものであると解釈されることが意図される。
Claims (16)
- プロセッサおよび命令を備えるメモリを備えるデータ処理システムにおけるコンピュータ実施方法であって、前記命令は、前記プロセッサによって実行され、前記プロセッサにネットワーク保護のためのシステムを実施させ、前記方法は、
分析ユニットによって、1つまたは複数のパケットを備える入接続がトリガ・レイテンシより大きい不正なレイテンシを有するかを決定することと、
前記入接続のレイテンシが前記トリガ・レイテンシより大きい場合、前記分析ユニットによって、前記入接続を疑わしい接続として報告することと、
前記分析ユニットによって、攻撃が現在進行中かを決定することと、
前記攻撃が進行中である場合、前記分析ユニットによって、不正なレイテンシを有する前記入接続の前記1つまたは複数のパケットまたは出接続の1つまたは複数のパケットの少なくとも1つを注入することと、
を含む方法。 - 分析ユニットによって、ネットワーク内の各IPアドレスとの1つまたは複数の接続のレイテンシ分布を計算することと、
前記分析ユニットによって、前記レイテンシ分布に基づいて前記トリガ・レイテンシを特定することと、
をさらに含む、請求項1に記載の方法。 - 前記分析ユニットによって、最大レイテンシをプロファイルすることと、
前記分析ユニットによって、1つまたは複数の報告された疑わしい接続に基づいて、前記最大レイテンシを更新することと、
前記分析ユニットによって、前記トリガ・レイテンシを前記最大レイテンシより大きいとして特定することと、
をさらに含む、請求項2に記載の方法。 - 前記分析ユニットによって、前記最大レイテンシより大きい不正なレイテンシを有する前記入接続の前記1つまたは複数のパケットまたは出接続の前記1つまたは複数のパケットの前記少なくとも1つを注入することをさらに含む、請求項3に記載の方法。
- 保護ユニットによって、異常なレイテンシを有する外部接続との遭遇を検出することと、
前記保護ユニットによって、前記外部接続を孤立させること、前記異常な接続をリセットすること、前記異常な接続をハニーポットにリダイレクトすること、または、さらなる情報をイベント・コレクタに提供することのうちの少なくとも1つを実行することと、
をさらに含む、請求項1に記載の方法。 - DDOS保護モジュールによって、前記1つまたは複数の接続の各々をネットワーク内に伝搬するべきかを決定することと、
前記DDOS保護モジュールによって、前記システムが前記1つまたは複数の接続の各々を伝搬可能か決定することと、
をさらに含み、伝搬可能か決定することは、
前記DDOS保護モジュールによって、以前の接続が伝搬された最後の時間を決定することと、
前記DDOS保護モジュールによって、前記以前の接続が伝搬された前記最後の時間を所定の遅延時間と比較することと、
前記以前の接続が伝搬された前記最後の時間が前記所定の遅延時間を上回る場合、前記DDOS保護モジュールによって、前記接続を前記ネットワーク内に伝搬可能にすることと、
を含む、請求項1に記載の方法。 - 前記DDOS保護モジュールによって、前記所定の遅延時間に基づいて、前記不正なレイテンシを調整することをさらに含む、請求項6に記載の方法。
- コンピュータ・プログラムであって、請求項1ないし7のいずれか1項に記載の方法の各ステップをコンピュータに実行させるための、コンピュータ・プログラム。
- 請求項8に記載のコンピュータ・プログラムを記録した、コンピュータ可読の記録媒体。
- ネットワーク分析プロセッサを備えるネットワーク保護を提供するためのシステムであって、前記ネットワーク分析プロセッサは、
1つまたは複数のパケットを備える入接続がトリガ・レイテンシより大きい不正なレイテンシを有するかを決定し、
前記入接続のレイテンシが前記トリガ・レイテンシより大きい場合、前記入接続を疑わしい接続として報告し、
攻撃が現在進行中かを決定し、
前記攻撃が進行中である場合、不正なレイテンシを有する前記入接続の前記1つまたは複数のパケットまたは出接続の1つまたは複数のパケットの少なくとも1つを注入する、
ように構成されるシステム。 - 前記ネットワーク分析プロセッサは、
ネットワーク内の各IPアドレスとの1つまたは複数の接続のレイテンシ分布を計算し、
前記トリガ・レイテンシを特定する、
ようにさらに構成される、請求項10に記載のシステム。 - 前記ネットワーク分析プロセッサは、
最大レイテンシをプロファイルし、
1つまたは複数の報告された疑わしい接続に基づいて、前記最大レイテンシを更新し、
前記トリガ・レイテンシを前記最大レイテンシより大きいとして特定する、
ようにさらに構成される、請求項11に記載のシステム。 - 前記ネットワーク分析プロセッサは、
前記最大レイテンシより大きい不正なレイテンシを有する前記入接続の前記1つまたは複数のパケットまたは出接続の前記1つまたは複数のパケットの前記少なくとも1つを注入するようにさらに構成される、請求項12に記載のシステム。 - ネットワーク保護プロセッサをさらに備え、前記ネットワーク保護プロセッサは、
異常なレイテンシを有する外部接続との遭遇を検出し、
前記外部接続を孤立させること、前記異常な接続をリセットすること、前記異常な接続をハニーポットにリダイレクトすること、または、さらなる情報をイベント・コレクタに提供することのうちの少なくとも1つを実行する、
ように構成される、請求項10に記載のシステム。 - DDOS保護プロセッサをさらに備え、前記DDOS保護プロセッサは、
前記1つまたは複数の接続の各々をネットワーク内に伝搬するべきかを決定し、
前記システムが前記1つまたは複数の接続の各々を伝搬可能か決定する、
ように構成され、伝搬可能か決定することは、
以前の接続が伝搬された最後の時間を決定することと、
前記以前の接続が伝搬された前記最後の時間を所定の遅延時間と比較することと、
前記以前の接続が伝搬された前記最後の時間が前記所定の遅延時間を上回る場合、前記接続を前記ネットワーク内に伝搬可能にすることと、
を含む、請求項10に記載のシステム。 - 前記DDOS保護プロセッサは、
前記所定の遅延時間に基づいて、前記不正なレイテンシを調整するように構成される、請求項15に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/787,505 US10609068B2 (en) | 2017-10-18 | 2017-10-18 | Identification of attack flows in a multi-tier network topology |
| US15/787,505 | 2017-10-18 | ||
| PCT/IB2018/057875 WO2019077444A1 (en) | 2017-10-18 | 2018-10-11 | IDENTIFICATION OF ATTACK FLOW IN MULTI-LEVEL NETWORK TOPOLOGY |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2021500640A JP2021500640A (ja) | 2021-01-07 |
| JP2021500640A5 JP2021500640A5 (ja) | 2021-02-18 |
| JP7002647B2 true JP7002647B2 (ja) | 2022-01-20 |
Family
ID=66097133
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020518625A Active JP7002647B2 (ja) | 2017-10-18 | 2018-10-11 | 多層ネットワーク・トポロジにおける攻撃フローを識別するコンピュータ実施方法、コンピュータ・プログラム製品およびシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US10609068B2 (ja) |
| JP (1) | JP7002647B2 (ja) |
| CN (1) | CN111226426B (ja) |
| DE (1) | DE112018004408B4 (ja) |
| GB (1) | GB2579758B (ja) |
| WO (1) | WO2019077444A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11259700B2 (en) | 2009-04-01 | 2022-03-01 | Tearscience Inc | Ocular surface interferometry (OSI) for imaging, processing, and/or displaying an ocular tear film |
| US11844586B2 (en) | 2013-05-03 | 2023-12-19 | Tearscience, Inc. | Eyelid illumination systems and methods for imaging meibomian glands for meibomian gland analysis |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3712721A1 (de) * | 2019-03-19 | 2020-09-23 | Siemens Aktiengesellschaft | Sicherheitsrelevante diagnosemeldungen |
| US20220174087A1 (en) * | 2019-03-28 | 2022-06-02 | Nec Corporation | Analysis system, method, and program |
| CN111885034B (zh) * | 2020-07-15 | 2022-09-13 | 杭州安恒信息技术股份有限公司 | 物联网攻击事件追踪方法、装置和计算机设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006331015A (ja) | 2005-05-25 | 2006-12-07 | Mitsubishi Electric Corp | サーバ装置保護システム |
| WO2009148021A1 (ja) | 2008-06-03 | 2009-12-10 | 株式会社日立製作所 | パケット解析装置 |
| JP2012129999A (ja) | 2010-12-14 | 2012-07-05 | General Electric Co <Ge> | 通信ネットワーク内のメッセージのレイテンシを制御することによって重要システム内のサイバー攻撃を軽減するための知的なシステムおよび方法 |
| US20150067848A1 (en) | 2013-08-28 | 2015-03-05 | Bank Of America Corporation | Detecting automated site scans |
| JP6028839B1 (ja) | 2015-07-16 | 2016-11-24 | 日本電気株式会社 | 通信装置、通信処理方法、プログラム |
| JP2016540465A (ja) | 2013-11-04 | 2016-12-22 | アマゾン・テクノロジーズ・インコーポレーテッド | 分散システムにおける集中ネットワーク構成 |
Family Cites Families (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7653706B2 (en) * | 2000-07-19 | 2010-01-26 | Akamai Technologies, Inc. | Dynamic image delivery system |
| US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| US7895431B2 (en) | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
| US7468981B2 (en) * | 2005-02-15 | 2008-12-23 | Cisco Technology, Inc. | Clock-based replay protection |
| US20090030870A1 (en) | 2007-07-27 | 2009-01-29 | Microsoft Corporation | Error propagation in object-relational mapping platform |
| US8627479B2 (en) * | 2010-03-01 | 2014-01-07 | Emc Corporation | System and method for network security including detection of attacks through partner websites |
| US9483292B2 (en) * | 2010-11-29 | 2016-11-01 | Biocatch Ltd. | Method, device, and system of differentiating between virtual machine and non-virtualized device |
| US8789158B2 (en) * | 2011-02-17 | 2014-07-22 | Ebay Inc. | Using clock drift, clock slew, and network latency to enhance machine identification |
| US8549645B2 (en) * | 2011-10-21 | 2013-10-01 | Mcafee, Inc. | System and method for detection of denial of service attacks |
| US8683592B1 (en) | 2011-12-30 | 2014-03-25 | Emc Corporation | Associating network and storage activities for forensic analysis |
| US9282116B1 (en) * | 2012-09-27 | 2016-03-08 | F5 Networks, Inc. | System and method for preventing DOS attacks utilizing invalid transaction statistics |
| CN102882884B (zh) * | 2012-10-13 | 2014-12-24 | 国家电网公司 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| US10348767B1 (en) * | 2013-02-26 | 2019-07-09 | Zentera Systems, Inc. | Cloud over IP session layer network |
| JP6012867B2 (ja) * | 2013-06-13 | 2016-10-25 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびネットワークシステム |
| US9208335B2 (en) | 2013-09-17 | 2015-12-08 | Auburn University | Space-time separated and jointly evolving relationship-based network access and data protection system |
| EP2879343A1 (en) * | 2013-11-29 | 2015-06-03 | Nederlandse Organisatie voor toegepast- natuurwetenschappelijk onderzoek TNO | System for protection against DDos attacks |
| US10091238B2 (en) * | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
| US9660895B1 (en) * | 2014-03-04 | 2017-05-23 | Amazon Technologies, Inc. | Geolocation routing and simulation of network conditions |
| CN103916387B (zh) | 2014-03-18 | 2017-06-06 | 汉柏科技有限公司 | 一种防护ddos攻击的方法及系统 |
| US9497215B2 (en) * | 2014-07-23 | 2016-11-15 | Cisco Technology, Inc. | Stealth mitigation for simulating the success of an attack |
| US9800592B2 (en) * | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
| US9887933B2 (en) | 2014-10-31 | 2018-02-06 | The Nielsen Company (Us), Llc | Method and apparatus to throttle media access by web crawlers |
| US9912681B1 (en) * | 2015-03-31 | 2018-03-06 | Fireeye, Inc. | Injection of content processing delay in an endpoint |
| US10095878B2 (en) * | 2015-06-02 | 2018-10-09 | ALTR Solutions, Inc. | Internal controls engine and reporting of events generated by a network or associated applications |
| US10084642B2 (en) * | 2015-06-02 | 2018-09-25 | ALTR Solutions, Inc. | Automated sensing of network conditions for dynamically provisioning efficient VPN tunnels |
| US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US10142353B2 (en) * | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US9912678B2 (en) * | 2015-06-24 | 2018-03-06 | Verisign, Inc. | Techniques for automatically mitigating denial of service attacks via attack pattern matching |
| US9462010B1 (en) * | 2015-07-07 | 2016-10-04 | Accenture Global Services Limited | Threat assessment level determination and remediation for a cloud-based multi-layer security architecture |
| US9762610B1 (en) * | 2015-10-30 | 2017-09-12 | Palo Alto Networks, Inc. | Latency-based policy activation |
| US10181986B2 (en) * | 2015-11-02 | 2019-01-15 | International Business Machines Corporation | Action records in virtual space |
| CN105490882B (zh) | 2015-12-11 | 2018-10-23 | 上海大学 | 可抵御膨胀攻击的网络物理带宽测量方法 |
| US10129125B2 (en) * | 2015-12-18 | 2018-11-13 | Mcafee, Llc | Identifying a source device in a software-defined network |
| US9917775B2 (en) * | 2015-12-22 | 2018-03-13 | Mcafee, Llc | Intelligent devices in a software-defined network |
| US10735438B2 (en) * | 2016-01-06 | 2020-08-04 | New York University | System, method and computer-accessible medium for network intrusion detection |
| CN105743880A (zh) | 2016-01-12 | 2016-07-06 | 西安科技大学 | 一种数据分析系统 |
| US10701076B2 (en) * | 2016-01-14 | 2020-06-30 | Arbor Networks, Inc. | Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources |
| US9942253B2 (en) * | 2016-01-15 | 2018-04-10 | Kentlik Technologies, Inc. | Network monitoring, detection, and analysis system |
| US10958414B2 (en) * | 2016-02-23 | 2021-03-23 | Google Llc | Clock period randomization for defense against cryptographic attacks |
| US10296748B2 (en) * | 2016-02-25 | 2019-05-21 | Sas Institute Inc. | Simulated attack generator for testing a cybersecurity system |
| US20170295200A1 (en) * | 2016-04-11 | 2017-10-12 | Taric Mirza | Distributed Denial Of Service Attack Protection |
| US10305807B2 (en) * | 2016-05-03 | 2019-05-28 | Citrix Systems, Inc. | Systems and methods to choose an optimal path from multiple high latency links |
| US20170364794A1 (en) * | 2016-06-20 | 2017-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for classifying the payload of encrypted traffic flows |
| US10397247B2 (en) * | 2016-08-16 | 2019-08-27 | International Business Machines Corporation | Smart intrusion prevention policy |
| EP3293937A1 (en) * | 2016-09-12 | 2018-03-14 | Vectra Networks, Inc. | Method and system for detecting malicious payloads |
| US9692784B1 (en) * | 2016-10-25 | 2017-06-27 | Fortress Cyber Security, LLC | Security appliance |
| US9756061B1 (en) * | 2016-11-18 | 2017-09-05 | Extrahop Networks, Inc. | Detecting attacks using passive network monitoring |
| US20180159894A1 (en) * | 2016-12-01 | 2018-06-07 | Cisco Technology, Inc. | Automatic threshold limit configuration for internet of things devices |
| US11122129B2 (en) * | 2016-12-31 | 2021-09-14 | Intel Corporation | Virtual network function migration |
| US10757161B2 (en) * | 2017-01-09 | 2020-08-25 | Citrix Systems, Inc. | Learning technique for QoS based classification and prioritization of SAAS applications |
| US10609054B2 (en) * | 2017-04-07 | 2020-03-31 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring, adjusting, and utilizing latency associated with accessing distributed computing resources |
| US10904288B2 (en) * | 2017-04-18 | 2021-01-26 | Perspecta Labs Inc. | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation |
| US10762201B2 (en) * | 2017-04-20 | 2020-09-01 | Level Effect LLC | Apparatus and method for conducting endpoint-network-monitoring |
| US10484418B2 (en) * | 2017-05-26 | 2019-11-19 | ShieldX Networks, Inc. | Systems and methods for updating security policies for network traffic |
| US10862921B2 (en) * | 2017-07-31 | 2020-12-08 | Cisco Technology, Inc. | Application-aware intrusion detection system |
| US10116671B1 (en) * | 2017-09-28 | 2018-10-30 | International Business Machines Corporation | Distributed denial-of-service attack detection based on shared network flow information |
-
2017
- 2017-10-18 US US15/787,505 patent/US10609068B2/en active Active
-
2018
- 2018-10-11 WO PCT/IB2018/057875 patent/WO2019077444A1/en active Application Filing
- 2018-10-11 DE DE112018004408.4T patent/DE112018004408B4/de active Active
- 2018-10-11 GB GB2006906.8A patent/GB2579758B/en active Active
- 2018-10-11 JP JP2020518625A patent/JP7002647B2/ja active Active
- 2018-10-11 CN CN201880067465.5A patent/CN111226426B/zh active Active
-
2020
- 2020-01-14 US US16/742,465 patent/US11122077B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006331015A (ja) | 2005-05-25 | 2006-12-07 | Mitsubishi Electric Corp | サーバ装置保護システム |
| WO2009148021A1 (ja) | 2008-06-03 | 2009-12-10 | 株式会社日立製作所 | パケット解析装置 |
| JP2012129999A (ja) | 2010-12-14 | 2012-07-05 | General Electric Co <Ge> | 通信ネットワーク内のメッセージのレイテンシを制御することによって重要システム内のサイバー攻撃を軽減するための知的なシステムおよび方法 |
| US20150067848A1 (en) | 2013-08-28 | 2015-03-05 | Bank Of America Corporation | Detecting automated site scans |
| JP2016540465A (ja) | 2013-11-04 | 2016-12-22 | アマゾン・テクノロジーズ・インコーポレーテッド | 分散システムにおける集中ネットワーク構成 |
| JP6028839B1 (ja) | 2015-07-16 | 2016-11-24 | 日本電気株式会社 | 通信装置、通信処理方法、プログラム |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11259700B2 (en) | 2009-04-01 | 2022-03-01 | Tearscience Inc | Ocular surface interferometry (OSI) for imaging, processing, and/or displaying an ocular tear film |
| US11771317B2 (en) | 2009-04-01 | 2023-10-03 | Tearscience, Inc. | Ocular surface interferometry (OSI) for imaging, processing, and/or displaying an ocular tear film |
| US11844586B2 (en) | 2013-05-03 | 2023-12-19 | Tearscience, Inc. | Eyelid illumination systems and methods for imaging meibomian glands for meibomian gland analysis |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111226426B (zh) | 2022-09-13 |
| US20190116203A1 (en) | 2019-04-18 |
| GB202006906D0 (en) | 2020-06-24 |
| DE112018004408B4 (de) | 2023-02-09 |
| GB2579758A (en) | 2020-07-01 |
| US10609068B2 (en) | 2020-03-31 |
| CN111226426A (zh) | 2020-06-02 |
| GB2579758B (en) | 2021-02-24 |
| JP2021500640A (ja) | 2021-01-07 |
| DE112018004408T5 (de) | 2020-05-20 |
| US20200153857A1 (en) | 2020-05-14 |
| US11122077B2 (en) | 2021-09-14 |
| WO2019077444A1 (en) | 2019-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7002647B2 (ja) | 多層ネットワーク・トポロジにおける攻撃フローを識別するコンピュータ実施方法、コンピュータ・プログラム製品およびシステム | |
| US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
| US10666680B2 (en) | Service overload attack protection based on selective packet transmission | |
| JP6758581B2 (ja) | 悪意のあるコードの検出のためのシステムおよび方法 | |
| RU2738021C2 (ru) | Система и способы для дешифрования сетевого трафика в виртуализированной среде | |
| JP6101408B2 (ja) | イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US20220060509A1 (en) | Privilege assurance of enterprise computer network environments using lateral movement detection and prevention | |
| US11032268B2 (en) | System and method for providing persistent user identification | |
| US10834084B2 (en) | Privileged identity authentication based on user behaviors | |
| CN111628964B (zh) | 网络攻击溯源方法及装置 | |
| WO2019178308A1 (en) | Data health assurance using private proof of authority | |
| Munir et al. | Secure cloud architecture | |
| US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| US20230060207A1 (en) | Systems and methods using network artificial intelligence to manage control plane security in real-time | |
| US20090276852A1 (en) | Statistical worm discovery within a security information management architecture | |
| He et al. | A novel method to detect encrypted data exfiltration | |
| KR102022626B1 (ko) | 로그 분석을 이용한 공격 탐지 장치 및 방법 | |
| TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
| US20200382552A1 (en) | Replayable hacktraps for intruder capture with reduced impact on false positives | |
| JP2021064358A (ja) | 悪意あるソフトウェアによるデジタルフォレンジック情報の破棄を阻止するシステムおよび方法 | |
| Afzulpurkar et al. | Outgoing data filtration for detecting spyware on personal computers | |
| CN112005234A (zh) | 恶意软件检测的上下文剖析 | |
| US20230130705A1 (en) | Platform for privacy preserving decentralized learning and network event monitoring | |
| CN114598485B (zh) | 在小程序后台防止DDoS攻击的方法、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201222 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210323 |
|
| TRDD | Decision of grant or rejection written | ||
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211216 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211221 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211227 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7002647 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |