KR20060128734A - 다양한 네크워크 공격들에 대한 적응적 방어 - Google Patents

다양한 네크워크 공격들에 대한 적응적 방어 Download PDF

Info

Publication number
KR20060128734A
KR20060128734A KR1020060051925A KR20060051925A KR20060128734A KR 20060128734 A KR20060128734 A KR 20060128734A KR 1020060051925 A KR1020060051925 A KR 1020060051925A KR 20060051925 A KR20060051925 A KR 20060051925A KR 20060128734 A KR20060128734 A KR 20060128734A
Authority
KR
South Korea
Prior art keywords
filter
attack
packets
parameter
detector
Prior art date
Application number
KR1020060051925A
Other languages
English (en)
Inventor
니콜라스 더필드
웨이보 공
돈 토우슬레이
장춘 쥬
Original Assignee
에이티 앤드 티 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에이티 앤드 티 코포레이션 filed Critical 에이티 앤드 티 코포레이션
Publication of KR20060128734A publication Critical patent/KR20060128734A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Abstract

데이터 네트워크에서 검출된 공격들에 기초하여 필터를 최적화하는 장치는 추정수단 및 최적화 수단을 포함한다. 추정수단은 검출기가 공격을 검출할때 그리고 검출기가 부정확한 공격 강도를 전송할 때 동작한다. 추정 수단은 정확한 공격 강도를 결정한다. 최적화 수단은 파라미터를 조절하며, 파라미터는 필터에 입력된다.
공격, 최적화, 추정, 강도, 파라미터

Description

다양한 네크워크 공격들에 대한 적응적 방어{Adaptive defense against various network attacks}
도 1은 필터의 동작에 대한 실시예를 기술한 도면.
도 2는 적응 최적화 수단의 실시예를 기술한 도면.
도 3은 최적 동작 포인트들을 나타내는 그래프.
도 4는 데이터 네트워크에 전송되는, 시간 [k]에 따른 정규 패킷들의 수를 나타낸 그래프.
*도면의 주요부분에 대한 부호의 설명*
10: 입력 데이터 12: 삭제 데이터
14: 통과 데이터 16: 필터
18: 공격 패킷 20: 정류 패킷
22: 적응 최적화 수단 24: 공격 추정 수단
본 발명은 2005년 6월 6일에 출원된 공동계류중인 미국 가출원번호 60/689,241에 관한 것이다.
본 발명은 일반적으로 동적 트래픽 조건들하에서 네트워크 공격 검출 시스템들에서 감도(sensitivity)의 자동 조절에 관한 것이다.
서비스 거부(Denial-of-Service; DoS) 공격에서, 공격자는 희생 네트워크 또는 서버에 대용량의 트래픽을 포격한다. 트래픽 오버로드는 이용가능한 희생 대역폭, CPU 용량, 또는 다른 임계 시스템 자원들을 소비하며, 결국 네트워크 또는 서버가 적법 클라이언트들을 서비스할 수 없는 상태가 되게 한다. 분배형 DoS(DDOS) 공격들은 그들이 다중 소스들로부터의 인공 네트워크 트래픽을 동시에 포함하기 때문에 더 많은 손상을 유발할 수 있다. 종래의 대량 대역폭 공격시에, 공격의 소스는 입력 패킷들의 소스 인터넷 프로토콜(IP) 어드레스들의 통계적 분석에 의하여 추적될 수 있다. 희생자는 용의자의 IP 어드레스들로부터 발신되는 임의의 트래픽을 필터링할 수 있으며, 이 증거를 사용하여 공격자를 사법처리할 수 있다. 그러나, 많은 공격들은 지금 허위 IP 소스 어드레스를 포함하는 "위장된" IP 패킷들을 사용하며, 이로 인하여 희생 네트워크는 공격에 대하여 자체적으로 방어하기가 곤란하게 된다.
공격 검출 시스템들의 최근 개선에도 불구하고, 네트워크 트래픽을 완전하게 분류하는 시스템에 대한 필요성이 요망된다. 공격 검출 시스템들은 모두 양호한 트래픽(긍정오류)을 거절하거나 또는 불량한 트래픽(부정오류)을 수용한다. 알고리즘들은 공통적인 문제, 즉 양호한 트래픽을 거절하고 불량한 트래픽을 수용하는 트윈 이블(twin evil)간의 완전한 균형을 공격하기 위하여 알고리즘의 "감도"를 조절하는 것에 관한 문제를 공유한다. 본 발명의 실시예들은 이러한 문제에 대한 해 결책을 제공하다. 이러한 해결책은 트래픽을 잘못 식별하는데 드는 비용을 최소화하며 결국 전체 비용을 최소화한다.
본 발명의 목적은 장기간의 시간을 소요하는 오퍼레이터 개입을 요구하지 않고 단기간의 시간에 감도를 자동적으로 조절하는 검출 시스템을 제공하는데 있다.
본 발명의 상기 목적을 달성한다.
실시예는 데이터 네트워크상에서 검출된 공격들에 기초하여 필터를 최적화하는 장치일 수 있다. 장치는 추정 수단 및 최적화 수단을 포함할 수 있다. 추정 수단은 검출기가 공격을 검출하여 부정확한 공격 강도를 전송할 때 동작할 수 있다. 추정 수단은 정확한 공격 강도를 결정한다. 최적화 수단은 하나 이상의 파라미터들을 포함한다. 파라미터들은 필터에 입력된다.
일 실시예에서, 데이터 네트워크에서 검출된 공격들에 기초하여 필터를 최적화하는 장치는 데이터 인터페이스, 프로세서, 필터, 추정 수단 및 최적화 수단을 포함한다. 프로세서는 패킷들을 수신하기 위하여 데이터 인터페이스에 접속될 수 있다. 패킷들은 하나 이상의 파라미터들을 포함할 수 있다.
필터는 차단 수단 및 검출기를 포함할 수 있다. 차단 수단은 공격 패킷들이 데이터 네트워크에 입력되는 것을 방지한다. 패킷들은 파라미터에 기초하여 차단된다. 검출기는 공격 패킷들을 검출할 수 있다.
추정 수단은 검출기가 공격을 검출할때 그리고 검출기로부터 전송된 공격 강 도가 정확하지 않을 때 동작할 수 있다. 추정 수단은 정확한 공격 강도를 결정한다. 최적화 수단은 파라미터를 조절할 수 있으며, 파라미터는 필터에 입력될 수 있다.
상세한 설명은 첨부 도면들을 참조로하여 보다 용이하게 이해될 것이다.
본 실시예들은 리스트된 도면들을 참조로하여 이하에서 상세히 설명될 것이다.
본 실시예들을 상세히 설명하기전에, 실시예들이 특정 실시예들에 제한되지 않고 다양한 방식들로 실시되거나 또는 수행될 수 있다는 것이 이해되어야 한다.
본 실시예들은 일반적으로 동적 트래픽 조건들하에서 네트워크 공격 검출 시스템들의 감도를 자동적으로 조절하는 것에 관한 것이다.
실시예들은 강한 공격동안 높은 공격 패킷율을 방지하고 약한 공격들동안 더 많은 정규 패킷들을 허용함으로서 네트워크 제공업자들에 대한 비용들을 절약한다. 이러한 비용들은 네트워크의 동작 중지, 필요한 네트워크 업그레이드 또는 데이터 네트워크에 대한 비인증 액세스에 의하여 유발될 수 있다.
실시예들은 필터를 최적화하기 위한 장치에 관한 것일 수 있다. 최적화는 데이터 네트워크에서 검출된 공격들에 기초할 수 있다. 장치는 또한 추정 수단 및 최적화 수단을 포함할 수 있다. 추정 수단은 검출기가 공격을 검출할때 그리고 검출기로부터 전송된 공격 감도가 부정확할때 동작할 수 있다. 추정 수단은 검출기로부터 전송된 공격 감도가 부정확할때 정확한 공격 감도를 결정한다. 적응적 방어 장치는 DoS 공격, 바이러스 또는 악성 전염, 이메일 스패밍 등을 포함하는 다양 한 네트워크 공격들에 적용할 수 있다. 이들 실시예들에 따라 사용될 수 있는 필터의 예는 컴퓨터 및 통신 보안에 관한 제 10차 ACM 회의의 회보에서 공개되고, "홉-카운트 필터링: 위장 DDoS 트래픽에 대한 유효 방어"라는 명칭을 가진 문헌에서 Chen Jin, Haining Wang 및 Kang G. Shin에 의하여 제시된 "홉-카운트 필터"(HCF)이다.
추정 수단은 파라미터들을 연속적으로 업데이트할 수 있거나, 또는 추정수단은 필터의 세팅시에 필요한 변화가 존재할때만 파라미터들을 업데이트할 수 있다.
최적화 수단은 비용 함수로부터 결정된다. 비용 함수는 부정오류 및 긍정오류에 기초하여 취해지는 동작과 관련되어 있다. 비용은 예컨대 서비스 제공업자가 서비스를 연속적으로 제공해야 하는 경우에 화폐량과 관련될 수 있다. 또한, 서버가 오프라인으로 진행하는 경우에 또는 제공된 서비스들이 DDoS 공격의 결과로서 사전 설정된 제한치 이하로 떨어지는 경우에, 서비스 제공업자는 DDoS 공격들을 정확하게 필터링할때 비용을 요구한다. 사전 설정된 제한치의 예는 서비스 제공업자가 입력하는 정규 사용자의 서비스 요구들의 거의 90%를 제공해야 한다는 것일 수 있다.
검출기는 공격 패킷들을 확인하며, 공격 정보는 정확하게 긍정오류 및 부정오류가 아닐 수 있다. 예컨대, 검출기는 패킷들의 50%가 공격 패킷들이며 다른 50%가 정규 패킷들이라는 것을 검출할 수 있다. 추정 수단은 검출기로부터 상기 정보를 선택하며 공격 패킷들의 백분율의 더 정확한 표현을 생성하기 위하여 검출기로부터의 데이터를 계산한다. 추정 수단은 검출기가 검출한 공격의 형태에 특정 한 공식에 기초하여 추정하며, 검출기에 의하여 확인된 공격 패킷들의 큰 백분율 또는 작은 백분율을 추정할 수 있다.
공격 강도는 공격 데이터 대 정규 데이터의 백분율에 의하여 측정될 수 있다.
패킷은 옥텟, 인터넷 프로토콜(IP) 패킷, 프레임 중계 패킷, 비동기 전송 모드(ATM) 셀 또는 이들의 결합일 수 있다.
최적화 수단은 파라미터를 조절할 수 있으며, 파라미터는 필터에 입력된다. 필터는 감도를 조절하기 위하여 파라미터를 사용한다. 만일 공격이 발생하였다고 파라미터가 지시하면, 필터는 더 민감하게 되고 더 많은 공격 패킷들을 차단한다. 만일 공격이 발생하지 않았다고 검출기가 지시하면, 필터는 덜 민감하게 되고 더 많은 정규 패킷들을 허용한다.
파라미터는 패킷들의 수와 관련한 임계치일 수 있다. 파라미터는 주어진 시간당 패킷들의 수일 수 있다. 용어 "파라미터"는 다른 검출기들에 대하여 다른 의미를 가질 수 있다. 예컨대, SYN 플러드 DDoS 공격에 대한 홉-카운트 필터링에서, 파라미터는 비정규 허용오차 값이다. 입력 SYN 패킷의 관찰된 홉-길이가 참 값과 다르고 임계치보다 클때, SYN 패킷은 공격 패킷으로서 결정된다. 용어 "SYN"은 두개의 접속 컴퓨터들에 대한 시퀀스 번호를 동기시키기 위하여 새로운 접속을 초기화할때 전송 제어 프로토콜(TCP)에 의하여 사용된 패킷의 타입을 언급한다.
검출기가 더 민감하게 세팅될수록, 검출기는 공격 패킷들을 더 많이 검출할 것이다. 그러나, 검출기의 감도가 증가함에 따라, 검출기는 긍정오류를 더 검출할 것이다. 본 발명의 실시예들은 검출기로부터의 데이터에 기초하여 검출기의 감도를 최적화한다. 검출기의 감도를 조절하는 것은 공격이 존재할때 더 많은 공격 패킷들을 막고 공격이 존재하지 않을때 더 많은 정규 패킷들을 허용함으로서 데이터 네트워크의 전체 비용을 낮춘다.
파라미터는 최적화 수단에 저장될 수 있다. 파라미터가 최적화 수단에 저장될때, 최적화 수단은 저장된 파라미터와 새로이 계산된 파라미터를 비교한다. 만일 새로운 파라미터가 저장된 파라미터와 다르면, 새로운 파라미터는 필터의 공격 감도를 조절하기 위하여 필터에 전송될 수 있다. 예컨대, 만일 추정 수단 또는 검출기로부터의 파라미터가 변화하지 않으면, 최적화 수단은 새로운 파라미터를 필터에 전송할 이유가 없다.
대안 실시예에서, 파라미터는 추정이 추정 수단으로부터 출력될때마다 업데이트될 수 있다.
필터는 검출기 및 패킷 차단 수단을 포함할 수 있다. 필터는 조절가능 파라미터 δ를 형성하기 위하여 긍정오류 Pn 및 부정오류 Pp를 결정할 수 있다. 추정 수단은 필터의 파라미터 세팅을 사용하여 공격 강도를 결정할 수 있다. 필터 블랙은 검출된 호스트의 IP 어드레스를 리스트하거나 또는 방어 시스템은 웜(worm) 억제에 의존한다. 웜 억제는 감염 트래픽이 다른 공격받기 쉬운 컴퓨터들을 전염시키는 것을 차단하기 위하여 전염된 컴퓨터들을 빠르게 검역하는 것을 의미한다.
차단 수단은 특징에 기초하여 패킷을 차단할 수 있다. 특징은 패킷 헤더, 패킷 몸체, 다중 패킷 몸체들, 다중 패킷 헤더들, 또는 이들의 결합들일 수 있다.
검출기는 공격 특징들에 대한 패킷들을 빠르게 스캐닝할 수 있다. 검출기는 파라미터들을 직접 사용할 수 있거나 또는 추정 수단으로 입력되는 파라미터들을 분석하기 위하여 제 3자 장치를 사용할 수 있다. 검출기는 스탠드얼론 장치일 수 있거나 또는 라우터의 소프트웨어에 통합될 수 있다. 추정 및 최적화 수단은 스탠드얼론 장치일 수 있거나 또는 검출기에 통합될 수 있거나 또는 라우터의 소프트웨어에 통합될 수 있다. 라우터의 소프트웨어는 라우터 또는 범용 컴퓨터의 소프트웨어로 확장될 수 있다.
공격들은 SYN 플러드 분배형 서비스 공격 거부(DDoS), 인터넷 웜 전염, 소스 위장없는 서비스 공격들의 분배형 거부, 포트 스캐닝, 이메일 바이러스, 스팸 이메일 공격, 및 이들의 결합과 다른 타입의 네트워크 공격들을 포함한다. 이메일 바이러스들은 이메일의 콘텐츠에 의하여 검출될 수 있으며, DDoS는 패킷들에 의하여 검출될 수 있다.
장치는 버퍼 인식 기능(buffer aware function)을 더 포함할 수 있다. 버퍼 인식 기능은 서버가 접속 또는 특정 성능 접속량에 기초하여 수용할 수 있는 최대수의 정규 요구들을 최적화한다. 데이터 네트워크상의 서버의 버퍼는 공격 패킷들로 채워질 수 있으며 더이상 정규 패킷들을 수용할 수 없다. 버퍼는 필터 다음에 배치될 수 있다. 만일 버퍼가 공격 패킷들로 채워지면, 추정 수단은 더 많은 공격 패킷들을 막기 위하여 필터를 조절해야 한다.
버퍼는 B가 버퍼 크기 요건인 크기 [K]를 가질 수 있다. 필터의 파라미터는 필터가 너무 많은 패킷들을 차단하기 때문에 B<K일때 조절되고 또한 필터가 충분한 패킷들을 차단하지 않기 때문에 B>K 일때 조절된다. 이하의 공식을 최소화하면 필터를 조절하는 정확한 파라미터가 생성될 수 있다.
Figure 112006040580580-PAT00001
데이터 네트워크에서 검출된 공격들에 기초하여 필터를 최적화하는 장치에 대한 대안 실시예에서, 장치는 데이터 인터페이스, 프로세서, 및 패킷을 수신하기 위하여 데이터 인터페이스에 접속된 프로세서를 포함하며, 패킷들은 파라미터, 필터, 추정수단 및 최적화 수단을 포함한다.
필터는 추단 수단 및 검출기를 포함할 수 있다. 차단 수단은 공격 패킷들이 데이터 네트워크에 입력되는 것을 막는다. 패킷들은 파라미터에 기초하여 차단될 수 있으며, 검출기는 공격 패킷들을 검출할 수 있다.
추정 수단은 검출기가 공격을 검출할때 그리고 검출기로부터 전송된 공격 강도가 정확하지 않을때 동작할 수 있다. 추정 수단은 정확한 공격 감도를 결정한다.
최적화 수단은 파라미터를 조절할 수 있으며, 파라미터는 필터에 입력될 수 있다.
도면들을 참조하면, 도 1은 필터(16)의 동작을 도시한다. 필터(16)는 입력 데이터(10), 삭제 데이터(12) 및 통과 데이터(14)를 포함한다. 입력 데이터(10)는 정규 패킷(20) 및 공격 패킷(18)을 포함한다. 삭제 데이터(12)는 공격 패킷들인 것으로 필터에 의하여 결정된 데이터이나, 정규 패킷(20)의 형태의 긍정오류는 삭제 데이터에 포함될 수 있다. 통과 데이터(14)는 단지 정규 패킷들(20)을 포함할 수 있으나, 부정오류는 공격 패킷(18)의 형태로 나타날 수 있다.
공격 강도는 변수 [π]와 관련된다. 변수[π']는 검출된 공격 트래픽의 부분을 나타내며 입력 트래픽 [n]에 의하여 분할된 삭제 데이터 [m]와 관련될 수 있다. 다시 쓴 형식에서 m=π'ㆍn이다. 공식의 최적화는 m=(1-Pn)ㆍπㆍn + Ppㆍ(1-π)ㆍn을 생성하며, Pp는 정규 트래픽을 차단할 긍정오류 확률이며, Pn은 공격 트래픽을 손실할 부정오류 확률이다.
도 2는 필터(16)와 통신하는 적응 최적화 수단(22) 및 공격 추정 수단(24)을 도시한다. 필터(16)는 입력 데이터(10)를 수신하며, 입력 데이터(10)는 공격 패킷들(18) 및 정규 패킷들(20)을 포함한다. 추정 수단(24) 및 최적화 수단(22)은 정규 트래픽 cp을 삭제하는 비용을 최소화하고 공격 트래픽 cn을 전송하는 비용을 최소화하기 위하여 필터(16)를 조절하는데 사용될 수 있다. 시간 간격이 k로부터 k+1로 진행할때, 추정 수단(24)은 Pn(k), Pp(k) 및 π'(k)을 수신한다. 추정 수단(24)은
Figure 112006040580580-PAT00002
을 결정한다. 변수
Figure 112006040580580-PAT00003
은 다음과 같이 표현될 수 있다.
Figure 112006040580580-PAT00004
공격 강도의 추정에 대한 통계적 특성은
Figure 112006040580580-PAT00005
이다. 파라미터는 비록 파라미터의 변화가 시간에 따라
Figure 112006040580580-PAT00006
의 변화에 기초하기 때문에 π의 실제 값이 변화하지 않을지라도 변화할 수 있다.
최적화 수단(22)은 최적화된
Figure 112006040580580-PAT00007
을 수신하며, 출력은 Pn(k+1) 및 Pp(k+1)을 생성한다. 최적화 공식은
Figure 112006040580580-PAT00008
이다.
도 3은 최적 동작 포인트들을 나타내는 그래프를 도시한다. 검출 감도(36)가 방향(34)으로 증가할때, 긍정오류의 수 32[Pp]는 증가하는 반면에 긍정오류의 수는 30[Pn]는 감소한다. 적응적 방어 시스템은 그래프상의 임의의 포인트로 검출 감도를 조절할 수 있다. 그래프상의 모든 점들은 주어진 시간 간격에서 공격 강도에 따른 최적 포인트들일 수 있다. 만일 강한 공격(26)이 발생하면 소수의 정규 패킷들을 차단하는 높은 검출 감도(36)가 사용될 수 있으며, 만일 약한 공격이 발생하면 소수의 공격 패킷들을 허용하는 낮은 검출 감도(36)가 사용될 수 있다.
도 4는 데이터 네트워크에 전송되는, 시간 [k]에 따른 정규 패킷들의 수를 나타낸 그래프를 도시한다. 그래프에 의하여 도시된 바와같이, 적응 필터링은 고정-파라미터 필터링이 허용하는 것보다 더 많은 정류 패킷들이 필터를 통과하도록 한다. 도 4에 도시된 바와같이, 적응적 방어 시스템은 약한 공격들(예컨대, 시간 0 내지 시간 30) 또는 강한 공격들(예컨대, 400 내지 600)에서 고정 파라미터 방어 시스템보다 더 양호한 성능을 달성한다. 도 4의 결과들을 생성하는 실험들은 24비트, 28비트 또는 2진 집합 트리 구조를 가진 필터들에 대하여 수행된다.
앞서 상세히 기술된 실시예들이 강조되어 기술되었지만, 첨부된 청구범위내에서 상기 실시예들과 다른 실시예들이 실시될 수 있다는 것이 이해되어야 한다.
본 발명은 장기간의 시간을 소요하는 오퍼레이터 개입을 요구하지 않고 단기간의 시간에 감도를 자동적으로 조절하는 검출 시스템을 제공할 수 있는 효과를 가진다.

Claims (18)

  1. 데이터 네트워크상에서 검출된 공격들에 기초하여 필터를 최적화하는 장치로서,
    a. 추정 수단으로서, 상기 추정 수단은 상기 검출기가 공격을 검출할 때 그리고 상기 검출기가 부정확한 공격 강도(attack severity)를 전송할 때 동작하며, 정확한 공격 강도를 결정하는, 상기 추정 수단;
    b. 최적화 수단으로서, 상기 최적화 수단은 파라미터를 조절하고, 상기 파라미터는 필터로의 입력이며, 상기 필터는 검출기 및 패킷 차단 수단을 포함하는, 상기 최적화 수단; 및
    c. 버퍼 인식 기능부(buffer aware function)로서, 상기 버퍼 인식 기능부는 서버가 접속량 또는 특정 성능 접속량에 기초하여 수용할 수 있는 정규 요구들의 최대수를 최적화하는, 상기 버퍼 인식 기능부를 포함하는, 필터 최적화 장치.
  2. 제 1항에 있어서, 상기 추정 수단은 공격 강도 모니터인, 필터 최적화 장치.
  3. 제 1항에 있어서, 상기 추정 수단은 상기 필터의 파라미터 세팅을 사용하여 상기 공격 강도를 결정하는, 필터 최적화 장치.
  4. 제 1항에 있어서, 상기 추정 수단은 상기 파라미터들을 연속적으로 업데이트 하는, 필터 최적화 장치.
  5. 제 1항에 있어서, 상기 추정 수단은 비용 함수로부터 결정되는, 필터 최적화 장치.
  6. 제 5항에 있어서, 상기 비용 함수는 부정오류들(false negatives) 및 긍정오류들(false positives)에 기초하여 취해진 동작(action)과 관련되는, 필터 최적화 장치.
  7. 제 1항에 있어서, 상기 검출기는 공격 특징들에 대해 패킷들을 수동적으로 스캐닝하는, 필터 최적화 장치.
  8. 제 1항에 있어서, 상기 정확한 공격 강도는 공격 데이터 대 정규 데이터의 비율(percentage)에 의하여 측정되는, 필터 최적화 장치.
  9. 제 1항에 있어서, 상기 파라미터는 패킷들의 수와 관련된 임계치인, 필터 최적화 장치.
  10. 제 1항에 있어서, 상기 파라미터는 주어진 시간당 패킷들의 수인, 필터 최적화 장치.
  11. 제 1항에 있어서, 상기 파라미터는 상기 최적화 수단에 저장되는, 필터 최적화 장치.
  12. 제 1항에 있어서, 상기 파라미터는 상기 추정 수단으로부터 추정치가 출력될때마다 업데이트되는, 필터 최적화 장치.
  13. 제 1항에 있어서, 상기 패킷 차단 수단은 특징에 기초하여 패킷을 차단하는도록 적응되는, 필터 최적화 장치.
  14. 제 13항에 있어서, 상기 특징들은 SYN 플러드 분배형 서비스 공격 거부, 인터넷 웜(worm) 감염들, 소스 위장없는 분배형 서비스 공격 거부, 포트 스캐닝, 이메일 바이러스, 스팸 이메일 공격 또는 이들의 결합인, 필터 최적화 장치.
  15. 제 1항에 있어서, 상기 필터는 조절가능 파라미터 δ를 형성하기 위하여 부정오류 Pn 및 긍정오류 Pp를 결정하는, 필터 최적화 장치.
  16. 제 15항에 있어서, 상기 필터는 검출된 호스트의 IP 어드레스를 검역하거나 또는 상기 방어 시스템은 웜 억제에 의존하는, 필터 최적화 장치.
  17. 제 1항에 있어서, 상기 패킷은 옥텟(octet), 인터넷 프로토콜(IP) 패킷, 프레임 중계 패킷, 비동기 전송 모드(Asynchronous Transfer Mode; ATM) 셀, 및 이들의 결합들로 이루어진 그룹으로부터 선택되는, 필터 최적화 장치.
  18. 데이터 네트워크상에서 검출된 공격들에 기초하여 필터를 최적화하는 장치로서,
    a. 데이터 인터페이스;
    b. 파라미터를 포함하는 패킷들을 수신하기 위하여 상기 데이터 인터페이스에 접속된 프로세서;
    c. i. 공격 패킷이 상기 데이터 네트워크로 진입하는 것을 방지하는 차단 수단으로서, 상기 패킷들은 파라미터에 기초하여 차단되는, 상기 차단수단, 및
    ii. 공격 패킷들을 검출하는 검출기를 포함하는 필터.
    d. 정확한 공격 강도를 결정하고, 상기 검출기가 상기 공격 패킷을 검출하고 상기 검출기로부터 전송된 상기 공격 강도가 부정확할때 동작하는 추정 수단; 및
    e. 상기 필터로의 입력인 파라미터를 조절하는 최적화 수단을 포함하는, 필터 최적화 장치.
KR1020060051925A 2005-06-10 2006-06-09 다양한 네크워크 공격들에 대한 적응적 방어 KR20060128734A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US68924105P 2005-06-10 2005-06-10
US60/689,241 2005-06-10
US11/216,972 2005-08-31
US11/216,972 US7587761B2 (en) 2005-06-10 2005-08-31 Adaptive defense against various network attacks

Publications (1)

Publication Number Publication Date
KR20060128734A true KR20060128734A (ko) 2006-12-14

Family

ID=37028632

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060051925A KR20060128734A (ko) 2005-06-10 2006-06-09 다양한 네크워크 공격들에 대한 적응적 방어

Country Status (4)

Country Link
US (1) US7587761B2 (ko)
EP (1) EP1732288A1 (ko)
KR (1) KR20060128734A (ko)
CA (1) CA2547428A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100803029B1 (ko) * 2006-12-01 2008-02-18 경희대학교 산학협력단 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법
US9426121B2 (en) 2013-06-20 2016-08-23 Korea University Research And Business Foundation Adaptive probabilistic packet filtering router and method thereof

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006133400A2 (en) * 2005-06-08 2006-12-14 California Institute Of Technology Intravascular diagnostic and therapeutic sampling device
JP2009504104A (ja) * 2005-08-03 2009-01-29 カリプティクス セキュリティ ネットワーク環境を動的に学習して適応型セキュリティを実現するシステムおよび方法
US8180835B1 (en) 2006-10-14 2012-05-15 Engate Technology Corporation System and method for protecting mail servers from mail flood attacks
CN100590633C (zh) * 2007-01-31 2010-02-17 同方股份有限公司 一种基于可扩展固件接口的便携式计算机的防盗方法
CN101547187B (zh) * 2008-03-28 2012-01-11 中兴通讯股份有限公司 宽带接入设备的网络攻击防护方法
US8341740B2 (en) * 2008-05-21 2012-12-25 Alcatel Lucent Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
US8438270B2 (en) 2010-01-26 2013-05-07 Tenable Network Security, Inc. System and method for correlating network identities and addresses
US8302198B2 (en) 2010-01-28 2012-10-30 Tenable Network Security, Inc. System and method for enabling remote registry service security audits
US8707440B2 (en) * 2010-03-22 2014-04-22 Tenable Network Security, Inc. System and method for passively identifying encrypted and interactive network sessions
JP2013523043A (ja) 2010-03-22 2013-06-13 エルアールディシー システムズ、エルエルシー ソースデータセットの完全性を識別及び保護する方法
US20120159624A1 (en) * 2010-12-21 2012-06-21 Fujitsu Technology Solutions Intellectual Property Gmbh Computer security method, system and model
US8458344B2 (en) * 2011-05-05 2013-06-04 Blue Coat Systems, Inc. Establishing tunnels between selective endpoint devices along communication paths
US9749338B2 (en) * 2011-12-19 2017-08-29 Verizon Patent And Licensing Inc. System security monitoring
US9367707B2 (en) 2012-02-23 2016-06-14 Tenable Network Security, Inc. System and method for using file hashes to track data leakage and document propagation in a network
US10708297B2 (en) 2017-08-25 2020-07-07 Ecrime Management Strategies, Inc. Security system for detection and mitigation of malicious communications

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6480588B1 (en) * 1999-11-08 2002-11-12 Worldcom, Inc. Methods for providing prepaid telephony service via an internet protocol network system
US6581827B2 (en) * 2001-08-24 2003-06-24 Qwest Communications International Inc. Universal prepaid telecommunication services card
US6873690B2 (en) * 2002-03-15 2005-03-29 Locus Telecommunications, Inc. System and method for providing prepaid telecommunication services
US7607170B2 (en) * 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100803029B1 (ko) * 2006-12-01 2008-02-18 경희대학교 산학협력단 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법
US9426121B2 (en) 2013-06-20 2016-08-23 Korea University Research And Business Foundation Adaptive probabilistic packet filtering router and method thereof

Also Published As

Publication number Publication date
CA2547428A1 (en) 2006-12-10
EP1732288A1 (en) 2006-12-13
US7587761B2 (en) 2009-09-08
US20060282894A1 (en) 2006-12-14

Similar Documents

Publication Publication Date Title
US7587761B2 (en) Adaptive defense against various network attacks
US20210112091A1 (en) Denial-of-service detection and mitigation solution
US7624447B1 (en) Using threshold lists for worm detection
CN101589595B (zh) 用于潜在被污染端系统的牵制机制
US8392991B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
US8650287B2 (en) Local reputation to adjust sensitivity of behavioral detection system
US7936682B2 (en) Detecting malicious attacks using network behavior and header analysis
US6973040B1 (en) Method of maintaining lists of network characteristics
US7768921B2 (en) Identification of potential network threats using a distributed threshold random walk
US20200137112A1 (en) Detection and mitigation solution using honeypots
US20060212572A1 (en) Protecting against malicious traffic
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
EP1429230A2 (en) Improved secret hashing for TCP SYN/FIN correspondence
WO2014101758A1 (zh) 一种检测邮件攻击的方法、装置及设备
WO2016002915A1 (ja) 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
Hugelshofer et al. OpenLIDS: a lightweight intrusion detection system for wireless mesh networks
US20120017279A1 (en) Method and apparatus for virus throttling with rate limiting
Hong et al. Dynamic threshold for DDoS mitigation in SDN environment
WO2003050644A2 (en) Protecting against malicious traffic
US8612523B1 (en) Methods and apparatus for detecting botnet attacks
KR101918441B1 (ko) 의심 트래픽 능동형 임계값 기반 DRDoS 요청 탐지 방법 및 시스템
US8203941B2 (en) Virus/worm throttle threshold settings
US8510833B2 (en) Connection-rate filtering using ARP requests
EP1461704B1 (en) Protecting against malicious traffic

Legal Events

Date Code Title Description
N231 Notification of change of applicant
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid