KR101038387B1 - 원치 않는 트래픽 검출 방법 및 장치 - Google Patents
원치 않는 트래픽 검출 방법 및 장치 Download PDFInfo
- Publication number
- KR101038387B1 KR101038387B1 KR1020097008985A KR20097008985A KR101038387B1 KR 101038387 B1 KR101038387 B1 KR 101038387B1 KR 1020097008985 A KR1020097008985 A KR 1020097008985A KR 20097008985 A KR20097008985 A KR 20097008985A KR 101038387 B1 KR101038387 B1 KR 101038387B1
- Authority
- KR
- South Korea
- Prior art keywords
- string
- unwanted traffic
- target
- expressions
- rule base
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
스트링 분석을 이용하는 하나 이상의 패킷 네트워크에서 원치 않는 트래픽을 검출하는 방법 및 장치가 제공된다. 부당한 침입과 같은 타겟 빅팀에 의해 수신된 원치 않는 트래픽은, 하나 이상의 스트링 표현식을 식별하는 규칙 베이스를 보유하고, 타겟 빅팀에 의해 수신된 하나 이상의 요청을 포함하는 로그 파일 내의 하나 이상의 에러 엔트리를 분석하며, 하나 이상의 요청이 스트링 표현식 중 하나 이상에 매칭되는 스트링을 규칙 베이스에 포함하는지를 판정하고, 하나 이상의 요청이 스트링 표현식 중 하나 이상에 매칭되는 스트링을 규칙 베이스에 포함하는 경우에는 디넌시에이션 메시지를 중앙 필터에 전송함으로써 검출된다. 스트링 표현식은, 예를 들어, 스트링 및 정규 표현식을 포함할 수 있고, 침입자가 액세스하고자 시도할 수 있는 하나 이상의 리소스를 나타낼 수 있다.
Description
관련 출원에 대한 교차 참조
본 출원은 본 명세서에서 참조로서 인용되며, 본 발명의 양수인에게 양도되어, 2005년 8월 5일에 각각 출원된 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control"란 명칭의 미국 특허 출원 제 11/197,842 호 및 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs"란 명칭의 미국 특허 출원 제 11/197,841 호에 관련된 것이다.
본 발명은 패킷 기반형 통신 네트워크에 대한 컴퓨터 보안 기법에 관한 것으로, 보다 구체적으로, 이러한 패킷 기반형 네트워크에서 서비스 거부(Denial of Service) 침입 또는 다른 부당한 침입과 같은 원치 않는 트래픽을 검출하고 통보하는(denouncing) 방법 및 시스템에 관한 것이다.
서비스 거부(Denial of Service ;: DoS) 침입과 같은 부당함 침입은 그들의 의도된 사용자에 대해 이용 불가능한 컴퓨터 리소스를 만들도록 시도한다. 예를 들어, 웹 서버에 대한 DoS 침입은 통상 호스팅된 웹 페이지를 이용 불가능하게 한다. DoS 침입은 제한된 리소스가 사용자를 합법화하는 대신에 침입자에 대해 허용될 필요가 있는 경우에 막대한 서비스 붕괴를 야기할 수 있다. 침입 머신은 전형적으로 침입의 타겟 빅팀(target victim)으로 지향되는 인터넷 상에서 다수의 인터넷 프로토콜(IP) 패킷을 전송함으로써 손상을 가한다. 예를 들어, DoS 침입은 네트워크를 "넘치게 하여(flood)", 합법적인 네트워크 트래픽을 방지하거나, 또는 사용자가 처리할 수 있는 것보다 많은 요청을 전송함으로써 서버에 손상을 가하여, 하나 이상의 서비스에 대한 액세스를 방지하는 시도를 포함할 수 있다.
이러한 부당한 침입에 대해 방어하기 위한 다수의 기법이 제안 또는 제시되어 왔다. 예를 들어, "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control"란 명칭의 미국 특허 출원 제 11/197,842 호 및 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs"란 명칭의 미국 특허 출원 제 11/197,841 호는 DoS 침입을 검출하고 통보하는 기법을 개시한다.
이러한 부당한 침입에 대해 방어하는 기법은 전형적으로 고객 네트워크와 연관된 검출기 및 부당한 침입에 대해 고객 네트워크를 보호하기 위한 서비스 제공자의 네트워크 내의 중앙 필터를 사용한다. 일반적으로, 검출기는 고객 네트워크에 대한 부당한 침입을 검출할 것이고 하나 이상의 디넌시에이션(Denunciation) 또는 통지 메시지를 중앙 필터에 전송할 것이다. 부당한 침입은 전형적으로 하나 이상의 사전 정의된 스트링에 대해 타겟 빅팀에서 수신된 패킷을 조사함으로써 검출된다. 그러나, 사전 정의된 스트링은 통상 타겟 빅팀에 대해 액세스하기 위한 합법적인 시도에 부합할 수 있다. 따라서, 검출기는 액세스 동안 소스 엔드포인트에 관한 정보를 유지하면서 다수의 액세스 및 응답을 잠재적으로 조사해야 한다. 또한, 이러한 패킷 조사 기법은 암호화된 링크 상에서 작동하지 않으며 통상 액세스될 경로에 추가적인 요소를 부가함으로써 낭비될 수 있다.
따라서 스트링 분석을 이용하는 하나 이상의 패킷 네트워크에서 원치 않는 트래픽을 검출하는 향상된 방법 및 장치에 대한 필요성이 존재한다.
발명의 개요
일반적으로, 스트링 분석을 이용하는 하나 이상의 패킷 네트워크에서 원치 않는 트래픽을 검출하는 방법 및 장치가 제공된다. 본 발명의 일 측면에 따르면, 하나 이상의 스트링 표현식을 식별하는 규칙 베이스를 보유하고, 타겟 빅팀에 의해 수신된 하나 이상의 요청을 포함하는 로그 파일 내의 하나 이상의 에러 엔트리를 분석하며, 에러 엔트리 중 적어도 하나와 연관된 하나 이상의 요청이 규칙 베이스 내에 스트링 표현식 중 하나 이상과 매칭되는 스트링을 포함하는지를 판정하고, 에러 엔트리 중 적어도 하나와 연관된 하나 이상의 요청이 스트링 표현식 중 하나 이상에 일치되는 스트링을 규칙 베이스에 포함하는 경우에는 디넌시에이션 메시지를 중앙 필터에 전송함으로써, 부당한 침입과 같은 타겟 빅팀에 의해 수신된 원치 않는 트래픽이 검출된다.
스트링 표현식은, 예를 들어, 스트링 및 정규 표현식(regular expression)을 포함할 수 있다. 스트링 표현식은 침입자가 액세스를 시도할 수 있는 하나 이상의 리소스를 나타낼 수 있다. 에러 엔트리는 일반적으로 타겟 빅팀이 보유하는 하나 이상의 리소스가 저장된 위치를 탐색(probe)하고자 하는 침입자의 시도에 해당할 수 있다. 규칙 베이스는 선택적으로 각각의 스트링 표현식에 대응하는 동작(action)을 식별한다.
본 발명의 보다 완전한 이해 뿐만 아니라, 본 발명의 다른 특징 및 장점은 후술하는 상세한 설명 및 도면을 참조하여 획득될 것이다.
도면의 간단한 설명
도 1은 본 발명이 동작할 수 있는 네트워크 환경을 도시하고,
도 2는 도 1의 중앙 필터 시스템의 개략적인 블록도이며,
도 3은 도 1의 검출기의 개략적인 블록도이고,
도 4 및 도 5는 본 발명의 특징을 포함하는 서비스 거부 프로세스의 예시적인 구현예를 기술하는 플로우 차트이며,
도 6은 본 발명의 특징을 포함하는 검출기 규칙 베이스의 예시적인 구현예를 기술하는 샘플 테이블이고,
도 7은 본 발명의 특징을 포함하는 스트링 일치 검출 프로세스의 예시적인 구현예를 기술하는 플로우 차트이다.
본 발명은 스트링 분석을 이용하여 하나 이상의 패킷 네트워크에서 원치 않는 트래픽을 검출하는 향상된 방법 및 장치를 제공한다. 본 발명의 일 측면에 따르면, 서비스 거부 침입 또는 다른 부당한 침입과 같은 타겟 빅팀에 의해 수신된 원치 않는 트래픽은 웹 서버 로그 파일과 같은 하나 이상의 로그 파일을 분석함으로써 검출된다. 침입자는 전형적으로 시스템을 절충하기 위한 타겟 시스템에서 약점을 활용하고자 시도한다. 예를 들어, 타겟 시스템 상에서 파일을 액세스함으로써 하나 이상의 취약점이 활용될 수 있다. 전형적으로, 침입자는 타겟 시스템 상에서 타겟 파일이 어디에 저장되거나 루팅되는지를 정확하게 알지 못하므로, 다수의 시도는 통상 "탐색(probe)"으로 통상 지칭되는 타겟 파일에 액세스하고자 이루어진다.
따라서, 본 발명의 예시적인 실시예는 타겟 시스템에 대한 각각의 시도가 성공적이었는지 여부를 판정하기 위해 하나 이상의 로그 파일을 분석한다. 액세스가 성공적인 경우에(예를 들어, 그 적절한 위치에서 파일을 액세스하기 위한 시도), 합법적인 시도로 간주되고, (본 발명의 일 실시예에서 다른 분석을 위해 성공적인 액세스가 기록되도록 하고, 이후에 차단될 수 있다 하더라도) 엔드포인트에 의한 다른 시도가 허용된다. 시도된 경로가 타겟 시스템이 보호하고자 하는 파일과 연관되는 하나 이상의 사전 정의된 스트링에 매칭되는지를 판정하기 위해 성공적이지 않은 액세스가 추가로 분석된다. 하나 이상의 사전 정의된 스트링에 일치하는 성공적이지 않은 시도는 부당한 침입으로 간주되어 디넌시에이션 메시지가 중앙 필터에 전송된다. 본 발명은 첫 번째 성공적이지 않은 탐색을 검출하고 전송기가 다른 탐색을 전송하는 것을 차단할 것이다.
도 1은 본 발명이 동작할 수 있는 네트워크 환경(100)을 도시한다. 도 1에 도시된 바와 같이, 엔터프라이즈 네트워크(150)는 이하 도 3과 관련하여 더 기술된 바와 같이, 검출기(300)를 이용하여 스팸 또는 부당한 침입과 같은 원치 않는 트래픽에 대해 자신을 보호한다. 엔터프라이즈 네트워크(150)는 엔터프라이즈 사용자가 서비스 제공자 네트워크(120)에 의해 인터넷 또는 다른 네트워크를 액세스하도록 한다. 서비스 제공자 네트워크(120)는 엔터프라이즈 네트워크(150)의 사용자에게 서비스를 제공하고, 인그레스(ingress) 포트(115)에 의해 각종 소스로부터 패킷을 수신하며, 이들을 엔터프라이즈 네트워크(150) 내의 개별적인 목적지에 송신한다.
예시적인 일 실시예에서, 검출기(300)는 부당한 침입에 대해 자신을 보호하기 위해, 이하 도 2와 관련하여 더 기술된 중앙 필터(200)와 공동 동작한다. 일반적으로, 이하 더 기술된 바와 같이, 검출기(300)는 엔터프라이즈 네트워크(150)에 대해 서비스 거부(DoS) 침입과 같은 부당한 침입을 검출할 것이고, 서비스 제공자가 보유하는 중앙 필터(200)에 이를 통지할 것이다.
중앙 필터(200)는 서비스 제공자 네트워크(120)에 의해 엔터프라이즈 네트워크(150)에 도달하는 트래픽을 제한하도록 기능한다. 검출기(300)는 전형적으로 엔 터프라이즈 네트워크(150) 내의 방화벽 뒤에 놓이고, 검출기(300)는 전형적으로 ISP의 중앙 필터(200)에 목적지 메시지를 전송한다. 검출기(300) 및 중앙 필터(200)는 본 발명의 특징 및 기능을 포함하도록 본 명세서에서 한정된 바와 같이 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self-Identification and Control"란 명칭의 미국 특허 출원 제 11/197,842 호 및 "Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs"란 명칭의 미국 특허 출원 제 11/197,841 호의 개시 내용에 근거하여 구현될 수 있다.
검출기(300)는 엔터프라이즈 네트워크(150) 상에 서비스 거부(DoS) 침입이 범해지는 것으로 판정할 때에, 하나 이상의 소스/목적지 IP 어드레스 쌍을 중앙 필터(200)에 송신할 것이고, 이는 소스 IP 어드레스 및 목적지 IP 어드레스가 임의의 송신된 소스/목적지 IP 어드레스 쌍의 이들 어드레스에 매칭되는 IP 패킷의 송신을 서비스 제공자 네트워크(120)가 제한(예를 들어, 차단 또는 레이트 제한)하도록 하여, 엔터프라이즈 네트워크(150) 내에서 하나 이상의 소스 디바이스(110)로부터 침입 빅팀으로의 부당한 침입을 제한(또는 제거)하게 된다. 검출기(300)는 선택적으로 신뢰 불가능한 UDP 접속(135) 또는 주요한 접속(130)의 사용에 의해 소스/목적지 IP 어드레스 쌍을 송신한다. 본 발명의 일 측면에 따르면, 검출기(300) 및 중앙 필터(200) 사이의 통신을 위해 디넌시에이션 프로토콜이 제공된다.
따라서 서비스 거부(DoS) 침입의 빅팀은 차단될 소스/목적지 IP 어드레스 쌍 의 테이블에 응답하여 이를 업데이트할 그 서비스 제공자에 대한 침입자를 통보함으로써 "푸시 백(push back)"될 수 있다. 보다 구체적으로, 침입이 발생하는 것으로 인식할 때에, 빅팀(엔터프라이즈 네트워크(150))은 침입의 일부분이 될 것으로 예정된 패킷 내에 지정되는 하나 이상의 소스 및 목적지 IP 어드레스를 식별하고, 중앙 필터(200)에 의해 차단하기 위해 서비스 제공자에 대해 이들 IP 어드레스 쌍을 통신할 것이다.
도 1에 도시된 바와 같이, 가입자(엔터프라이즈 네트워크(150))에 대해 예정된 패킷은 일반적으로 "양호한" 및 "불량한" 트래픽에 대응하는 클래스로 분류된다. 예를 들어, 카테고리 A(105-A)로부터 양호한 트래픽이 전달되고(허용되고), 카테고리 B(105-B) 및 카테고리 C(105-C)로부터 불량한 트래픽이 각각 레이트 제한되거나 드롭된다. 엔터프라이즈 네트워크(150)와 연관된 목적지 어드레스에 트래픽을 전송하는 소스 컴퓨팅 디바이스(110)는 N개의 예시적인 카테고리 중 하나로 분류된다. 디넌시에이션은 양호한 트래픽 및 불량한 트래픽 사이의 경계를 쉬프트한다.
특정의 예시적인 실시에에 따르면, 침입자(즉, 식별된 소스 IP 어드레스 또는 어드레스들)는 네트워크로부터 완전하게 차단될 필요는 없으며, 그 대신에 단지 전송 패킷으로부터 빅팀(식별된 목적지 IP 어드레스 또는 어드레스들)으로 금지된다는 것을 주목해야 한다. 이것은 식별된 소스 IP 어드레스 또는 어드레스들이 빅팀에 대한 소정의 침입(예를 들어, 좀비(zombie))에 대해 전달되는 합법적인 사용자를 나타내는 경우에 특히 유용할 수 있다. 따라서, 전달되는 머신의 소유자가 합법적인 목적을 위해 시스템을 계속해서 사용할 수 있는 한편, 유리하게는 빅팀 상에서 범해지는 침입(가능하게는 합법적인 사용자에 대해 알려지지 않음)이 방해된다. 또한, 이러한 예시적인 실시예에 따른 기법은 유리하게는 소정의 빅팀에 의해 침입자의 과도하게 열정적인 식별로부터의 보호를 제공한다는 것에 또한 주목해야 한다. 본 발명의 원리에 따르면, 명확하게 유리한 것은 침입의 식별이 명백한 빅팀의 분별에 남겨지므로, 소정의 빅팀에 대한 트래픽만이 차단되거나 제한된다는 것이다.
본 발명은 도 7과 관련하여 이하 더 기술되는 바와 같이, 하나 이상의 로그 파일을 분석함으로써 부당한 침입과 같은 원치 않는 트래픽을 검출하는 스트링 매칭 검출 프로세스(700)를 제공한다. 부당한 침입은 간략화 또는 복잡화의 정도를 변화시키는 하나 이상의 알고리즘에 의해 또한 인식될 수 있으며, 이는 본 발명의 범위 외부에 있으며, 이들의 다수가 당 분야에서 통상의 지식을 가진 자에게 열려져 있다. 예를 들어, 본 발명의 특정의 예시적인 실시에에 따르면, 단일의 식별된 소스 또는 복수의 식별된 소스로부터의 매우 높은 트래픽 레벨(예를 들어, 높은 패킷 레이트)의 존재에만 근거하여 애플리케이션 로그가 검사되고 침입이 식별될 수 있다. 이것은 서비스 거부(DoS) 침입의 존재를 식별하는 하나의 통상적인 방법이며 당 분야에서 통상의 지식을 가진 자에게 친숙할 것이라는 점에 주목해야 한다.
그러나, 다른 구현예에서, 패킷 콘텐츠의 분석에 근거한 애플리케이션은, 예를 들어, 존재하지 않는 데이터베이스 요소에 대해 빈번한 데이터베이스 탐색이 존재하는 것으로 인식하고, 사람이 초기화할 수 있는 것보다 높은 레이트에서 발생하는 인간으로부터 다수의 요청이 명백하게 존재하는 것으로 인식하며, 무효 요청을 구문적으로 식별하고, 통상적으로 발생하는 활동의 동작 시에 특히 민감한 시점에서 트래픽의 의심적인 요소를 식별하는 것과 같은 의심적인 속성을 갖는 패킷, 패킷 시퀀스 또는 동작을 식별하도록 수행될 수 있다. 의심적인 패킷의 후자 클래스의 예는, 예를 들어, 주식 거래 웹 사이트가 촉박한 주식 트랜잭션 동안 민감한 시점에서 특히 붕괴적인 트래픽을 통지하는 경우에 식별될 수 있다. 다른 변형예에서, 예를 들어, 상기 기술된 상황의 하나 이상을 포함하는 다수의 상이한 인덱스의 가능한 침입은 유리하게는, 침입의 존재를 식별하기 위해 보다 복잡한 분석으로 결합될 수 있다.
예시적인 검출 시스템은 2개의 모드 중 하나에서 동작할 수 있다. 구역이 "디폴트 드롭" 모드에 있는 경우, 디폴트 작용은 디폴트 드롭 상에서 명시적으로 리스트된 트래픽을 제외한 구역에 대해 예정된 모든 트래픽을 필터링하는 것이다. 일반적으로, 디폴트 드롭 모드에서, 필터는 명시적으로 허가(예를 들어, 사전 정의된 허용 필터에 매칭되는)되지 않는 한 모든 트래픽을 자동적으로 드롭할 것이다. 한편, 구역이 디폴트 허용 모드에 있는 경우, 사전 정의된 드롭 필터에 매칭되는 트래픽을 제외하고, 필터에 의해 가입자에 대한 모든 트래픽이 통과된다.
도 2는 본 발명의 프로세스를 구현할 수 있는 도 1의 중앙 필터 시스템(200)의 개략적인 블록도이다. 도 2에 도시된 바와 같이, 메모리(230)는 서비스 필터링 방법, 단계, 및 본 명세서에서 기술된 기능의 세부 사항을 구현하도록 프로세서(220)를 구성한다. 메모리(230)는 분산되거나 국소적일 수 있고 프로세서(220) 는 분산되거나 하나일 수 있다. 메모리(230)는 전기적, 자기적 또는 광학적 메모리, 혹은 이들 또는 다른 유형의 저장 디바이스의 임의의 결합으로서 구현될 수 있다. 프로세서(220)를 구성하는 각각의 분산된 프로세서가 일반적으로 그 자신의 어드레스 가능한 메모리 공간을 포함한다는 것에 주목해야 한다. 컴퓨터 시스템(200)의 일부 또는 전부는 애플리케이션 특유의 또는 범용 집적 회로로 통합될 수 있음에 또한 주목해야 한다.
도 2에 도시된 바와 같이, 예시적인 메모리(230)는 도 4와 관련하여 이하 더 기술된 바와 같이, 서비스 거부 필터 규칙 베이스(260) 및 하나 이상의 서비스 거부 필터링 프로세스(400)를 포함한다. 일반적으로, 서비스 거부 필터 규칙 베이스(260)는 중앙 필터(200)에 의해 제한되거나 또는 허용되어야 하는 트래픽과 연관된 소스/목적지 어드레스 쌍을 포함하는 통상적인 필터 베이스이다. 서비스 거부 필터링 프로세스(400)는 본 발명에 따른 서비스 거부 또는 다른 침입에 대해 방어하는 예시적인 방법이다.
중앙 필터(200)는 서비스 제공자 네트워크(120)에 포함된 스탠드 얼론(stand-alone) 박스로서, 또는 대안적으로, 네트워크(120)에 이미 존재하는 다른 통상적인 네트워크 요소로 통합된 라인 카드로서 구현될 수 있다. 또한, 특정의 예시적인 실시예에 따르면, 중앙 필터(200)는 유리하게는 침입 시점에 상대적으로 근접한 위치에서 네트워크(120) 내에서 캐리어에 의해 개발될 수 있거나, 또는 초기에 침입으로부터 우수 고객을 유리하게 방어하도록 위치할 수 있다.
도 3은 본 발명의 프로세스를 구현할 수 있는 도 1의 검출기(300)의 개략적 인 블록도이다. 도 3에 도시된 바와 같이, 메모리(330)는 서비스 필터링 방법, 단계, 및 본 명세서에서 기술된 기능의 세부 사항을 구현하도록 프로세서(320)를 구성한다. 메모리(330)는 분산되거나 국소적일 수 있고 프로세서(320)는 분산되거나 하나일 수 있다. 메모리(330)는 전기적, 자기적 또는 광학적 메모리, 혹은 이들 또는 다른 유형의 저장 디바이스의 임의의 결합으로서 구현될 수 있다. 프로세서(320)를 구성하는 각각의 분산된 프로세서가 일반적으로 그 자신의 어드레스 가능한 메모리 공간을 포함한다는 것에 주목해야 한다. 컴퓨터 시스템(300)의 일부 또는 전부는 애플리케이션 특유의 또는 범용 집적 회로로 통합될 수 있음에 또한 주목해야 한다.
도 3에 도시된 바와 같이, 예시적인 메모리(330)는 도 5 내지 도 7과 각각 관련하여 이하 더 기술된 바와 같이, 서비스 거부 필터링 프로세스(500), 검출기 규칙 베이스(600) 및 스트링 매칭 검출 프로세스(700) 중 하나 이상의 세부 사항을 포함한다. 서비스 거부 필터링 프로세스(500)는 본 발명에 따라 서비스 거부 또는 다른 침입에 대해 검출하고 방어하는 예시적인 방법이다. 검출기 규칙 베이스(600)는 타겟 시스템이 보호하고자 하는 파일과 연관된 스트링을 기록한다. 스트링 매칭 검출 프로세스(700)는 검출기 규칙 베이스(600)로부터의 하나 이상의 사전 정의된 스트링에 매칭되는 하나 이상의 파일을 타겟 시스템에서 액세스하고자 한 성공하지 못한 시도를 식별하도록 하나 이상의 로그 파일을 분석한다.
도 4는 본 발명의 특징을 포함하는 서비스 거부 필터링 프로세스(400)의 예시적인 구현예를 기술하는 플로우 차트이다 예시적인 서비스 거부 필터링 프로세 스(400)는 "디폴트 허용" 모드에 대해 구현된다는 점에 주목해야 한다. "디폴트 드롭" 모드에 대한 구현예는 당 분야에서 통상의 지식을 가진 자에게 용이하게 명백할 것이다. 일반적으로, 서비스 거부 필터링 프로세스(400)는 본 발명에 따른 서비스 거부 또는 다른 침입에 대해 방어하는 예시적인 방법이다. 예시적인 서비스 거부 필터링 프로세스(400)는 중앙 필터(200)에서 수행되고 단계(410) 동안 엔터프라이즈 네트워크(150) 내의 소정의 타겟 빅팀 상에 서비스 거부 침입 또는 다른 부당한 침입이 범해지는 표시를 검출기(300)로부터 수신함으로써 개시된다.
이후, 단계(420) 동안, 네트워크 캐리어는 서비스 거부 침입을 방해하기 위해 차단되어야 하는 IP 패킷을 나타내는 검출기(300)로부터 하나 이상의 소스/목적지 IP 어드레스 쌍을 수신한다. 예시적으로, 소스 IP 어드레스는 침입(예를 들어, "좀비") 컴퓨팅 디바이스(110)의 어드레스이고 목적지 IP 어드레스는 타겟 빅팀 자체와 연관된 어드레스이다. 검출기(300)로부터의 메시지는 이하 기술된 DP에 따라 송신된다.
그 다음에 네트워크 캐리어는 단계(430) 동안 소스 및 목적지 IP 어드레스가 수신된 소스/목적지 IP 어드레스 쌍 중 하나에 매칭되는 IP 패킷을 식별하도록 모니터링한다. 단계(440) 동안 하나 이상의 패킷이 서비스 거부 필터 규칙 베이스(260) 내의 어드레스 쌍에 매칭되는지를 판정하도록 테스트가 수행된다.
단계(440) 동안 하나 이상의 패킷이 서비스 거부 필터 규칙 베이스(260) 내의 어드레스 쌍에 매칭되는 것으로 판정되면, 패킷은 단계(460) 동안 드롭되거나 제한되어야 한다.
단계(440) 동안 하나 이상의 패킷이 서비스 거부 필터 규칙 베이스(260) 내의 어드레스 쌍에 매칭되지 않는 것으로 판정되면, 패킷은 단계(470) 동안 엔터프라이즈 네트워크(150)에 대해 송신되도록 허용된다.
도 5는 본 발명의 특징을 포함하는 서비스 거부 필터링 프로세스(500)의 예시적인 구현예를 기술하는 플로우 차트이다. 일반적으로, 서비스 거부 필터링 프로세스(500)는 본 발명에 따른 서비스 거부 또는 다른 침입에 대해 방어하는 예시적인 방법이다. 예시적인 서비스 거부 필터링 프로세스(500)는 타겟 빅팀에서 검출기(300)에 의해 수행되고 단계(510) 동안 수신된 IP 패킷 및/또는 서버 로그의 분석에 근거하여 그 타겟 빅팀 상에 서비스 거부 침입 또는 다른 부당한 침입이 범해지는 UDP 표시를 검출기(300)로부터 수신함으로써 개시된다. 이하 도 7과 관련하여 기술되는 바와 같이, 본 발명은 서버 로그 파일에 대해 스트링 매칭 동작을 수행함으로써 침입을 검출하는 예시적인 스트링 매칭 검출 프로세스(700)를 제공한다.
단계(520) 동안, 서비스 거부 침입을 방해하기 위해 차단되어야 하는 IP 패킷을 나타내는 것으로서 하나 이상의 소스/목적지 IP 어드레스 쌍이 식별된다. (예시적으로, 소스 IP 어드레스는 침입(예를 들어, "좀비") 컴퓨팅 디바이스(110)의 어드레스이고 목적지 IP 어드레스는 타겟 빅팀 자체와 연관된 어드레스이다.) 마지막으로, 단계(530) 동안 캐리어 네트워크가 소스 및 목적지 IP 어드레스에 매칭되는 IP 패킷의 송신을 차단할 수 있도록 개시된 DP를 이용하여 빅팀의 캐리어 네트워크의 중앙 필터(200)에 식별된 소스/목적지 IP 어드레스 쌍이 송신된다.
도 6은 본 발명의 특징을 포함하는 검출기 규칙 베이스(600)의 예시적인 구현예를 기술하는 샘플 테이블이다. 일반적으로, 검출기 규칙 베이스(600)는 타겟 시스템이 보호하고자 하는 파일과 연관된 스트링을 기록한다. 도 6에 도시된 바와 같이, 예시적인 검출기 규칙 베이스(600)는 다수의 서로 다른 스트링들과 스트링이 검출(예를 들어, 드롭 또는 제한)되었을 때 수행될 대응하는 동작을 기록한다. 예를 들어, 하나의 알려진 부당한 침입은 원격 머신 상에서 커맨드 셸(command shell)에 대한 액세스를 획득하고자 "command.exe"를 탐색한다. 따라서, 예시적인 검출기 규칙 베이스(600)는 스트링 "command.exe"을 찾기 위한 규칙을 포함한다.
도 7은 본 발명의 특징을 포함하는 스트링 매칭 검출 프로세스(700)의 예시적인 구현예를 기술하는 플로우 차트이다. 도 7에 도시된 바와 같이, 예시적인 스트링 매칭 검출 프로세스(700)는 단계(710) 동안, 예를 들어, 타겟 시스템에 대한 각각의 시도된 액세스, 및 타겟 시스템에 의한 각각이 응답에 대한 엔트리를 포함하는 애플리케이션 로그를 판독함으로써 초기화된다.
단계(720) 동안 애플리케이션 로그 내에서 각각의 엔트리의 요청이 파싱된다. 단계(730) 동안 프로세스되는 현재의 엔트리가 에러 엔트리인지를 판정하도록 테스트가 수행된다. 앞서 언급된 바와 같이, 성공적인 액세스(예를 들어, 그 적절한 위치에서 파일을 액세스하고자 하는 시도)가 합법적인 액세스인 것으로 가정되고 엔드포인트에 의한 다른 액세스가 허용된다.
단계(730) 동안 프로세스되는 현재의 엔트리가 에러 엔트리가 아닌 것으로 판정되면, 프로그램 제어는 단계(720)로 복귀하여 애플리케이션 로그 내의 다음 엔트리를 파싱한다. 예시적인 일 구현예에서, 현재의 엔트리가 에러 엔트리가 아니면, 단계(770) 동안 앞서 기술된 바와 같이, 다른 분석을 위해, 선택적으로 저장될 수 있다(그리고 이후에 차단될 수 있음). 그러나, 단계(730) 동안 프로세스되는 현재의 엔트리가 에러 엔트리인 것으로 판정되면, 단계(740) 동안 요청이 규칙 베이스(660)에 매칭되는 스트링을 포함하는지 여부를 판정하도록 또 다른 테스트가 수행된다.
단계(740) 동안 요청이 규칙 베이스(660)에 매칭되는 스트링을 포함하는 것으로 판정되면, 단계(750) 동안 디넌시에이션 메시지가 중앙 필터(200)에 전송된다. 그러나, 단계(740) 동안 요청이 규칙 베이스(660)에 매칭되는 스트링을 포함하지 않는 것으로 판정되면, 단계(760) 동안 요청이 정규 표현식에 매칭되는 스트링을 포함하는지 여부를 판정하도록 또 다른 테스트가 수행된다.
단계(760) 동안 요청이 정규 표현식에 매칭되는 스트링을 포함하는 것으로 판정되면, 단계(750) 동안 디넌시에이션 메시지가 중앙 필터(200)에 전송된다. 그러나, 단계(760) 동안 요청이 정규 표현식에 매칭되는 스트링을 포함하지 않는 것으로 판정되면, 또 다른 분석을 위해 단계(770) 동안 기록이 선택적으로 저장된다.
본 발명은 하나 이상의 보조 툴과 결합하여 작동할 수 있다. 예를 들어, 이러한 툴은 영향을 받은 서비스 배제 침입의 인식을 위한 인터넷 서버 플러그 인, 각종 IDS(Intrusion Detection Systems) 시스템에 대한 링크, 네트워크 진단을 위한 데이터베이스(상기 설명 참조), 및 소정의 캐리어의 인프라스트럭쳐 내에서의 재퍼 기능의 배치를 위한 지침을 제공하는 방법을 포함한다. 이들 예시적인 툴 중 다양한 툴을 제공하는 본 발명의 예시적인 실시예는 본 발명의 개시 내용의 관점에서 당 분야에서 통상의 지식을 가진 자라에 명백할 것이다.
제조 세부 사항의 시스템 및 물품
당 분야에서 알려져 있는 바와 같이, 본 명세서에서 개시된 방법 및 장치는 본 명세서에서 구현된 컴퓨터 판독 가능한 코드 수단을 갖는 컴퓨터 판독 가능한 매체를 자체 포함하는 제조 물품으로서 분배될 수 있다. 컴퓨터 판독 가능한 프로그램은 코드 수단은 본 명세서에서 기술된 방법을 수행하거나 또는 장치를 생성하는 단계의 전부 또는 일부를 실행하기 위해, 컴퓨터 시스템과 결합하여 동작 가능하다. 컴퓨터 판독 가능한 매체는 기록 가능한 매체(예를 들어, 플로피 디스크 하드 드라이브, CD(compact disk), 메모리 카드, 반도체 디바이스, 칩, ASIC일 수 있으며, 또는 송신 매체(예를 들어, 광 파이버, WWW(world wide web), 케이블, 또는 시분할 다중 액세스, 코드 분할 다중 액세를 이용하는 무선 채널, 또는 다른 무선 주파수 채널을 포함하는 네트워크)일 수 있다. 컴퓨터 시스템과 함께 사용하기 위해 적합한 정보를 저장할 수 있는 알려진 또는 개발된 임의의 매체가 사용될 수 있다. 컴퓨터 판독 가능한 코드 수단은 자기 매체 상의 자기 편차 또는 CD 표면 상의 높이 편차와 같은 인스트럭션 및 데이터를 컴퓨터가 판독하도록 하는 임의의 메커니즘이다.
본 명세서에서 개시된 방법, 단계 및 기능을 구현하도록 연관된 파라미터를 구성할 메모리를 각각 포함한다. 메모리는 분산되거나 국소적일 수 있고, 프로세서는 분산되거나 하나일 수 있다. 메모리는 전기적, 자기적 또는 과학적 메모리, 또는 이들 또는 다른 유형의 저장 디바이스의 임의의 결합으로서 구현될 수 있다. 또한, "메모리"란 용어는 연관된 프로세서에 의해 액세스된 어드레스 가능한 공간에서 어드레스로부터 판독 가능하거나 또는 어드레스에 기록하는 것이 가능하다. 이러한 정의에 의해, 연관된 프로세서가 네트워크로부터 정보를 검색할 수 있으므로 네트워크 상의 정보가 메모리에 또한 기록된다.
본 명세서에서 도시하고 기술된 실시예 및 변형예는 본 발명의 원리를 단지 예시하기 위한 것이며, 그 각종 수정예는 본 발명의 특허 청구 범위의 범위 및 사상으로부터 벗어나지 않고 당 분야에서 통상의 지식을 가진 자에 의해 구현될 수 있음을 이해해야 한다.
Claims (10)
- 하나 이상의 목적지 어드레스를 갖는 타겟 빅팀(target victim)에 의해 수신된 원치 않는 트래픽(unwanted traffic)을 검출하는 방법으로서,하나 이상의 스트링 표현식(string expression)을 식별하는 규칙 베이스(rule base)를 보유하는 단계와,상기 타겟 빅팀에 의해 수신된 하나 이상의 요청을 포함하는 로그 파일(log file) 내의 하나 이상의 에러 엔트리를 분석하는 단계와,상기 에러 엔트리 중 적어도 하나와 연관된 하나 이상의 요청이 상기 규칙 베이스 내의 상기 스트링 표현식 중 하나 이상과 매칭되는 스트링을 포함하는지 여부를 판정하는 단계와,상기 에러 엔트리 중 적어도 하나와 연관된 하나 이상의 요청이 상기 규칙 베이스 내의 상기 스트링 표현식 중 하나 이상과 매칭되는 스트링을 포함하면, 디넌시에이션 메시지(denunciation message)를 중앙 필터에 전송하는 단계를 포함하는원치 않는 트래픽 검출 방법.
- 제 1 항에 있어서,상기 원치 않는 트래픽은 불법적 침입(malicious attack)을 포함하는원치 않는 트래픽 검출 방법.
- 제 1 항에 있어서,상기 하나 이상의 스트링 표현식은 스트링과 정규 표현식(regular expression) 중 하나 이상을 포함하는원치 않는 트래픽 검출 방법.
- 제 1 항에 있어서,상기 하나 이상의 스트링 표현식은 침입자가 액세스를 시도할 수 있는 하나 이상의 리소스를 나타내는원치 않는 트래픽 검출 방법.
- 제 1 항에 있어서,상기 하나 이상의 에러 엔트리는, 상기 타겟 빅팀이 보유하는 하나 이상의 리소스가 저장된 위치를 탐색(probe)하고자 하는 침입자의 시도에 해당하는원치 않는 트래픽 검출 방법.
- 제 1 항에 있어서,상기 규칙 베이스는 각각의 상기 스트링 표현식에 대응하는 동작(action)을 식별하는원치 않는 트래픽 검출 방법.
- 제 1 항에 있어서,추가 분석을 위해 상기 타겟 빅팀과 연관된 컴퓨터 시스템에 대한 하나 이상의 성공적인 액세스와 연관된 정보를 기록하는 단계를 더 포함하되,상기 성공적인 액세스는 상기 로그 파일 내에서 식별되는원치 않는 트래픽 검출 방법.
- 타겟 빅팀에 의해 수신된 원치 않는 트래픽을 검출하는 장치로서,메모리와,상기 메모리에 결합된 적어도 하나의 프로세서를 포함하되,상기 적어도 하나의 프로세스는,하나 이상의 스트링 표현식을 식별하는 규칙 베이스를 보유하고,상기 타겟 빅팀에 의해 수신된 하나 이상의 요청을 포함하는 로그 파일 내의 하나 이상의 에러 엔트리를 분석하고,상기 에러 엔트리 중 적어도 하나와 연관된 하나 이상의 요청이 상기 규칙 베이스 내의 상기 스트링 표현식 중 하나 이상과 매칭되는 스트링을 포함하는지 여부를 판정하고,상기 에러 엔트리 중 적어도 하나와 연관된 하나 이상의 요청이 상기 규칙 베이스 내의 상기 스트링 표현식 중 하나 이상과 매칭되는 스트링을 포함하면, 디넌시에이션 메시지를 중앙 필터에 전송하도록 동작 가능한원치 않는 트래픽 검출 장치.
- 제 8 항에 있어서,상기 하나 이상의 스트링 표현식은 스트링과 정규 표현식 중 하나 이상을 포함하는원치 않는 트래픽 검출 장치.
- 제 8 항에 있어서,상기 하나 이상의 에러 엔트리는, 상기 타겟 빅팀이 보유하는 하나 이상의 리소스가 저장된 위치를 탐색하고자 하는 침입자의 시도에 해당하는원치 않는 트래픽 검출 장치.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/592,739 | 2006-11-03 | ||
| US11/592,739 US8776217B2 (en) | 2006-11-03 | 2006-11-03 | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20090087437A KR20090087437A (ko) | 2009-08-17 |
| KR101038387B1 true KR101038387B1 (ko) | 2011-06-01 |
Family
ID=39361205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020097008985A KR101038387B1 (ko) | 2006-11-03 | 2007-10-23 | 원치 않는 트래픽 검출 방법 및 장치 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8776217B2 (ko) |
| EP (1) | EP2095604B1 (ko) |
| JP (1) | JP2010508598A (ko) |
| KR (1) | KR101038387B1 (ko) |
| CN (1) | CN101529862A (ko) |
| WO (1) | WO2008063343A2 (ko) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082810B (zh) * | 2009-11-30 | 2014-05-07 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
| KR101145771B1 (ko) * | 2010-06-21 | 2012-05-16 | 한국전자통신연구원 | Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법 |
| CN102457475A (zh) * | 2010-10-15 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 网络安全数据集成与转换系统 |
| CN102073530B (zh) * | 2010-12-17 | 2015-04-29 | 国家计算机网络与信息安全管理中心 | 一种多条正则表达式的增量分组方法 |
| US10382509B2 (en) * | 2011-01-28 | 2019-08-13 | Amazon Technologies, Inc. | Audio-based application architecture |
| US9363278B2 (en) * | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
| CN102957550A (zh) * | 2011-08-23 | 2013-03-06 | 中兴通讯股份有限公司 | 基于日志检测的告警方法及系统 |
| CN102882869B (zh) * | 2012-09-25 | 2015-04-15 | 深圳中兴网信科技有限公司 | 网络业务控制系统和网络业务控制方法 |
| EP3062258A4 (en) * | 2013-10-24 | 2017-05-31 | Mitsubishi Electric Corporation | Information processing device, information processing method, and program |
| US9112898B2 (en) * | 2013-11-21 | 2015-08-18 | Verizon Patent And Licensing Inc. | Security architecture for malicious input |
| CN103701816B (zh) * | 2013-12-27 | 2017-07-11 | 北京奇安信科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
| US9665716B2 (en) * | 2014-12-23 | 2017-05-30 | Mcafee, Inc. | Discovery of malicious strings |
| US9674053B2 (en) | 2015-01-30 | 2017-06-06 | Gigamon Inc. | Automatic target selection |
| US10193899B1 (en) * | 2015-06-24 | 2019-01-29 | Symantec Corporation | Electronic communication impersonation detection |
| CN107230116B (zh) * | 2016-03-23 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 交易请求处理方法、装置以及分布式系统 |
| CN108563629B (zh) * | 2018-03-13 | 2022-04-19 | 北京仁和诚信科技有限公司 | 一种日志解析规则自动生成方法和装置 |
| CN109271783A (zh) * | 2018-09-20 | 2019-01-25 | 珠海市君天电子科技有限公司 | 一种病毒拦截方法、装置及电子设备 |
| EP3660716B1 (en) * | 2018-11-30 | 2020-12-23 | Ovh | Service infrastructure and methods of predicting and detecting potential anomalies at the service infrastructure |
| US11563765B2 (en) * | 2020-04-10 | 2023-01-24 | AttackIQ, Inc. | Method for emulating a known attack on a target computer network |
| JP7436758B1 (ja) | 2023-03-03 | 2024-02-22 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報処理システム、情報処理方法および情報処理プログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6487666B1 (en) * | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| US20030217283A1 (en) | 2002-05-20 | 2003-11-20 | Scott Hrastar | Method and system for encrypted network management and intrusion detection |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030037141A1 (en) * | 2001-08-16 | 2003-02-20 | Gary Milo | Heuristic profiler software features |
| JP2003067268A (ja) | 2001-08-24 | 2003-03-07 | Toyo Commun Equip Co Ltd | 中間エージェントウェブサーバシステム。 |
| JP4088082B2 (ja) * | 2002-02-15 | 2008-05-21 | 株式会社東芝 | 未知コンピュータウイルスの感染を防止する装置およびプログラム |
| JP2005157650A (ja) * | 2003-11-25 | 2005-06-16 | Matsushita Electric Ind Co Ltd | 不正アクセス検知システム |
| US7596809B2 (en) | 2004-06-14 | 2009-09-29 | Lionic Corporation | System security approaches using multiple processing units |
| US7783688B2 (en) * | 2004-11-10 | 2010-08-24 | Cisco Technology, Inc. | Method and apparatus to scale and unroll an incremental hash function |
| US8185955B2 (en) | 2004-11-26 | 2012-05-22 | Telecom Italia S.P.A. | Intrusion detection method and system, related network and computer program product therefor |
| CN100357900C (zh) | 2005-01-20 | 2007-12-26 | 上海复旦光华信息科技股份有限公司 | 基于模板的异构日志信息自动提取与分析方法 |
| US20060248588A1 (en) * | 2005-04-28 | 2006-11-02 | Netdevices, Inc. | Defending Denial of Service Attacks in an Inter-networked Environment |
-
2006
- 2006-11-03 US US11/592,739 patent/US8776217B2/en not_active Expired - Fee Related
-
2007
- 2007-10-23 CN CNA2007800401683A patent/CN101529862A/zh active Pending
- 2007-10-23 EP EP07870806.2A patent/EP2095604B1/en not_active Not-in-force
- 2007-10-23 WO PCT/US2007/022445 patent/WO2008063343A2/en active Application Filing
- 2007-10-23 JP JP2009535273A patent/JP2010508598A/ja active Pending
- 2007-10-23 KR KR1020097008985A patent/KR101038387B1/ko not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6487666B1 (en) * | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| US20030217283A1 (en) | 2002-05-20 | 2003-11-20 | Scott Hrastar | Method and system for encrypted network management and intrusion detection |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080109905A1 (en) | 2008-05-08 |
| CN101529862A (zh) | 2009-09-09 |
| WO2008063343A3 (en) | 2009-01-15 |
| KR20090087437A (ko) | 2009-08-17 |
| US8776217B2 (en) | 2014-07-08 |
| EP2095604A2 (en) | 2009-09-02 |
| WO2008063343A2 (en) | 2008-05-29 |
| JP2010508598A (ja) | 2010-03-18 |
| EP2095604B1 (en) | 2017-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101038387B1 (ko) | 원치 않는 트래픽 검출 방법 및 장치 | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| US10587636B1 (en) | System and method for bot detection | |
| US10505900B2 (en) | Data leak protection in upper layer protocols | |
| US7222366B2 (en) | Intrusion event filtering | |
| US7076803B2 (en) | Integrated intrusion detection services | |
| US9686309B2 (en) | Logging attack context data | |
| US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
| JP4501280B2 (ja) | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 | |
| JP4490994B2 (ja) | ネットワークセキュリティデバイスにおけるパケット分類 | |
| US9094288B1 (en) | Automated discovery, attribution, analysis, and risk assessment of security threats | |
| JP2020521383A (ja) | 相関関係駆動型脅威の評価と修復 | |
| CN114145004B (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| JP2006521776A (ja) | インテリジェント統合ネットワークセキュリティ装置 | |
| JP2005517349A (ja) | マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 | |
| KR101118398B1 (ko) | 트래픽 방어 방법 및 장치 | |
| KR100862321B1 (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 | |
| KR20050095147A (ko) | 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법 | |
| Kumar et al. | DDoS Attack Prediction System Using Machine Learning Algorithms Check for updates | |
| Mohammed | DESIGNING RULES TO IMPLEMENT RECONNAISSANCE AND UNAUTHORIZED ACCESS ATTACKS FOR INTRUSION DETECTION SYSTEM | |
| KR100730966B1 (ko) | 네트워크상의 비인가 우회경로 탐지 방법 및 그 시스템 | |
| CN115460012A (zh) | 外联设备处理方法、装置、电子设备及存储介质 | |
| Akande | Detection of Denial of Service Attack (DOS) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20140516 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20150519 Year of fee payment: 5 |
|
| LAPS | Lapse due to unpaid annual fee |