RU2304302C2 - Способ обработки сетевых пакетов для обнаружения компьютерных атак - Google Patents

Способ обработки сетевых пакетов для обнаружения компьютерных атак Download PDF

Info

Publication number
RU2304302C2
RU2304302C2 RU2005107480/09A RU2005107480A RU2304302C2 RU 2304302 C2 RU2304302 C2 RU 2304302C2 RU 2005107480/09 A RU2005107480/09 A RU 2005107480/09A RU 2005107480 A RU2005107480 A RU 2005107480A RU 2304302 C2 RU2304302 C2 RU 2304302C2
Authority
RU
Russia
Prior art keywords
network
packet
packets
protocol
network packets
Prior art date
Application number
RU2005107480/09A
Other languages
English (en)
Other versions
RU2005107480A (ru
Inventor
Александр Владимирович Аграновский (RU)
Александр Владимирович Аграновский
Александр Тофикович Алиев (RU)
Александр Тофикович Алиев
Сергей Анатольевич Репалов (RU)
Сергей Анатольевич Репалов
Роман Николаевич Селин (RU)
Роман Николаевич Селин
Роман Ахмедович Хади (RU)
Роман Ахмедович Хади
Original Assignee
Государственное научное учреждение научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Государственное научное учреждение научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" filed Critical Государственное научное учреждение научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА"
Priority to RU2005107480/09A priority Critical patent/RU2304302C2/ru
Publication of RU2005107480A publication Critical patent/RU2005107480A/ru
Application granted granted Critical
Publication of RU2304302C2 publication Critical patent/RU2304302C2/ru

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

Изобретение относится к области способов и устройств для обеспечения защиты информации и может быть использовано для защиты вычислительных сетей от несанкционированного проникновения и доступа к конфиденциальной информации. Техническим результатом является создание механизма обнаружения несанкционированного сканирования защищаемой сети злоумышленниками и предотвращения распределенных атак на отказ в обслуживании сетевых служб защищаемой сети, уменьшение энергетических затрат на защиту, обработку, передачу и хранение конфиденциальной информации. Указанный результат достигается за счет того, что способ основан на обработке сетевых пакетов, при которой межсетевой экран изначально блокирует сетевые пакеты, инициирующие новые сеансы связи с защищаемой сетью, обрабатывая их самостоятельно, а в случае корректности запросов проводит принудительное установление сеанса связи отправителя сетевых пакетов с их получателем и осуществляет прозрачную ретрансляцию корректных пакетов. 3 ил.

Description

Изобретение относится к области электросвязи и вычислительной техники, а конкретнее к области способов и устройств защиты информации в компьютерных системах и сетях, и может быть использовано в связных, вычислительных и информационных системах для обнаружения злонамеренных воздействий на компьютерные системы, соединенные компьютерными сетями, при обмене данными правительственными, правоохранительными, оборонными, банковскими и промышленными учреждениями.
Известен способ обработки сетевых пакетов по правилам фильтрации [1], в котором для обеспечения безопасности защищаемой вычислительной сети используется компьютер-шлюз с установленным межсетевым экраном, и решение о пропуске сетевых пакетов определенного вида через межсетевой экран принимают пользователи защищаемой вычислительной сети.
Однако способ имеет недостатки, заключающиеся в отсутствии возможности распознавания начала компьютерных атак на защищаемую сеть, невозможности обнаружения несанкционированного сканирования, а также необходимости быстрой и постоянной корректировки правил при возникновении новых угроз безопасности защищаемой сети, что существенно для использования данного способа на практике.
Известен также другой способ межсетевого экранирования и обнаружения компьютерных атак [2], сущность которого заключается в журналировании различных сетевых пакетов для последующего анализа и принятия решения о возможности проведения атаки на защищаемую подсеть. Способ включает описание механизмов обработки пакетов для сбора статистической информации и ее последующего анализа, дополненного иерархической системой рубрикации поступающей информации о проходящих сетевых пакетах.
Недостатки данного способа связаны с невозможностью противодействия злоумышленнику, проводящему несанкционированное сканирование защищаемой сети в поисках уязвимых для взлома и проникновения сетевых служб, а также сложностью противодействия распределенным атакам на отказ в обслуживании.
Наиболее близким по технической сущности к предлагаемому является способ организации локальной вычислительной сети и межсетевого экрана [3], принятый за прототип, заключающийся в том, что защита внутренней сети обеспечивается с помощью межсетевого экрана, представляющего собой комплекс аппаратных и программных средств, содержащий по меньшей мере два сетевых интерфейса для обмена двунаправленными потоками сетевых пакетов между сетевыми интерфейсами межсетевого экрана и осуществляющий фильтрацию транслируемых сетевых пакетов в соответствии с заданными правилами фильтрации. При этом межсетевой экран исключен из числа абонентов сети путем такой настройки программы управления межсетевого экрана, при которой эта программа использует для приема и передачи пакетов сетевые интерфейсы межсетевого экрана без назначения им логических адресов, скрывает информацию об их физических адресах, а задание правил фильтрации осуществляется с помощью отдельного интерфейса управления, не имеющего связи с сетевыми интерфейсами межсетевого экрана.
Недостатками прототипа являются отсутствие механизмов распознавания фактов компьютерных атак на защищаемую вычислительную сеть, а также отсутствие механизмов предотвращения распределенных атак на отказ в обслуживании и обнаружения несанкционированного сканирования защищаемой сети.
Задачей, на решение которой направлено данное изобретение, является повышение уровня информационной защиты вычислительных сетей с использованием межсетевых экранов, а также обеспечение работоспособности сетевых служб защищаемой вычислительной сети в случае злонамеренного на них воздействия за счет обнаружения несанкционированного сканирования защищаемой сети злоумышленниками и предотвращения распределенных атак на отказ в обслуживании сетевых служб защищаемой сети.
Техническим результатом, получаемым от внедрения данного изобретения, является устранение указанных выше недостатков, то есть обнаружение несанкционированного сканирования защищаемой сети злоумышленниками и предотвращение распределенных атак на отказ в обслуживании сетевых служб защищаемой сети.
Данный технический результат достигается за счет того, что межсетевой экран изначально блокирует сетевые пакеты, инициирующие новые сеансы связи с защищаемой сетью, обрабатывая их самостоятельно, а в случае корректности запросов проводит принудительное установление сеанса связи отправителя сетевых пакетов с их получателем и осуществляет прозрачную ретрансляцию корректных пакетов.
В предлагаемом способе используется обработка сетевых пакетов, сформированных в соответствии с протоколом TCP стека сетевых протоколов TCP/IP. Известно, что установка сеанса связи по протоколу TCP стека TCP/IP происходит в три шага [4]. Обозначим компьютер, инициирующий сеанс связи, через S1, а компьютер-приемник, который должен получить сетевые пакеты с данными, через R1. На первом шаге компьютер S1 (назовем его также "клиент") создает сетевой пакет P1, в котором записывает флаг пакета SYN, свой адрес отправителя S1 и адрес получателя R1, заполняет остальные служебные поля сетевого пакета и посылает его получателю R1 (назовем его также "сервер"). В ответ на пришедший сетевой пакет P1 сервер R1 высылает клиенту S1 сетевой пакет Р2, содержащий установленные флаги АСК и SYN, а также служебные поля сетевого пакета в соответствии с протоколом TCP. После получения сетевого пакета Р2 клиент S1 в свою очередь должен выслать последнее подтверждение - новый сетевой пакет Р3 с установленным флагом АСК, после чего сеанс связи считается установленным и наступает этап собственно передачи данных (см. фиг.1). Если в течение заданного времени серверу от клиента не приходит пакет подтверждения, данные об устанавливаемом сеансе связи удаляются из памяти сервера.
В известных реализациях стека протоколов TCP/IP в случае, когда инициированных, но еще не подтвержденных сеансов связи становится больше, чем Z (Z=2, 3, 4...), сервер перестает принимать сетевые пакеты от новых клиентов, то есть происходит отказ в обслуживании клиентов [4].
Поскольку каждая вычислительная сеть имеет конечное и ограниченное количество каналов связи с другими вычислительными сетями, для защиты внутренней сети в известных способах на каналах связи с другими сетями устанавливается шлюз-компьютер с межсетевым экраном - программным обеспечением, предназначенным для фильтрации и блокирования нежелательных и вредоносных сетевых пакетов. Межсетевые экраны устанавливаются таким образом, чтобы иметь возможность обработки всех сетевых пакетов, проходящих внутрь сети и из нее.
В предлагаемом способе для защиты внутренней вычислительной сети от несанкционированного сканирования и выведения из строя сетевых служб используется следующий способ обработки сетевых пакетов на межсетевом экране.
При обнаружении межсетевым экраном сетевого пакета P1 с установленным номером инкапсулированного протокола, соответствующим протоколу TCP, анализируется адрес отправителя S1 и получателя R1. В случае, если получателем R1 является компьютер внутренней сети и сетевой пакет имеет установленный флаг SYN, обозначающий запрос на установление соединения, межсетевым экраном осуществляется посылка отправителю S1 сетевого пакета Р2 в соответствии с протоколом TCP и установленными флагами SYN и АСК, а также полем отправителя, равным адресу получателя R1 в пришедшем пакете P1, причем сам пришедший пакет P1 искомому получателю R1 не доставляется и блокируется.
В случае, если в ответ на сетевой пакет Р2, сформированный и посланный межсетевым экраном, приходит сетевой пакет Р3 с установленным номером инкапсулированного протокола, соответствующим протоколу TCP, причем в качестве флагов установлено только значение АСК, межсетевой экран осуществляет посылку получателю R1 сначала пакета P1 с установленным флагом SYN, дожидается его ответа в виде сетевого пакета Р4 с установленными флагами SYN и АСК, затем посылает ему только что пришедший пакет Р3 с установленным флагом АСК, после чего межсетевой экран обеспечивает беспрепятственную пересылку сетевых пакетов, принадлежащих данному ТСР-сеансу связи (см. фиг.2).
Таким образом, в случае несанкционированного сканирования портов в защищаемой внутренней сети путем посылки множества пакетов, сформированных в соответствии с протоколом TCP и с установленным флагом SYN, злоумышленник на все пакеты сканирования будет получать ответ, сформированный межсетевым экраном, а не требуемым получателем. В результате действия данного способа для злоумышленника все сканируемые им порты и сетевые службы будут считаться открытыми, вне зависимости от их состояния на компьютерах внутренней сети, что делает бессмысленным несанкционированное сканирование.
В случае, если злоумышленник пытается начать атаку на отказ в обслуживании какой-либо сетевой службы путем посылки большого количества сетевых пакетов в соответствии с протоколом TCP и установленным флагом SYN на порт этой службы, как будто бы он инициирует сеанс связи по протоколу TCP с этой службой, межсетевой экран будет отвечать на такие псевдозапросы самостоятельно, ограждая сетевую службу от излишней загрузки злонамеренными сетевыми пакетами. Это приводит к тому, что служба работает в штатном режиме, а атаку на отказ в обслуживании какой-либо сетевой службы злоумышленнику провести принципиально невозможно.
Изобретение поясняется фиг.3, на которой представлена блок-схема устройства для реализации способа в виде межсетевого экрана с помощью ПЭВМ или вычислительного устройства.
Устройство для реализации способа состоит из блока 1 приема сетевых пакетов; операционного блока 2, реализующего обработку сетевых пакетов до уровня по протоколу IP включительно; операционного блока 3 обработки сетевых пакетов по протоколу TCP; блока 4 организации буферной памяти; операционного блока 5, реализующего генерацию сетевых пакетов по протоколу IP и заданным характеристикам; операционного блока 6, реализующего генерацию сетевых пакетов по протоколу TCP; операционного блока 7, реализующего выборку и уничтожение сетевых пакетов по заданным правилам; блока 8 передачи сетевых пакетов в компьютерную сеть.
Согласно предлагаемому способу устройство работает следующим образом. Из многофункционального блока 1 (в IBM PC совместимых компьютерах им может быть, например, сетевая PCI-карта [7]) в устройство поступают сетевые пакеты канального уровня (например, по протоколу Ethernet), переданные от других компьютеров и маршрутизационного оборудования.
Далее сетевые пакеты поступают на вход блока 2, где из них извлекается служебная информация и сетевой пакет по протоколу IP. Его содержимое также обрабатывается в блоке 2, и если внутри сетевого пакета по протоколу IP инкапсулирован сетевой пакет по протоколу TCP, сетевой пакет по протоколу TCP извлекается и передается в блок 3, иначе сетевой пакет по протоколу IP передается в блок 7.
Поступив в операционный блок 3, сетевой пакет анализируется на наличие флагов установки сеанса связи согласно заявляемому способу. Для этого осуществляется посылка запроса (в виде совокупности значений полей отправителя, получателя и номеров портов приема и передачи сетевого пакета, а также данных всего сетевого пакета) в блок 4 на наличие сетевых пакетов с такими же получателями и отправителями, что и у обрабатываемого сетевого пакета. В случае, если таковых не обнаружено (блок 4 возвращает нулевое значение в ответ на запрос), осуществляется проверка установленных флагов сетевого пакета. Если установлены какие-либо другие флаги, кроме SYN, сетевой пакет передается блоку 7, иначе сетевой пакет передается блоку 6. В случае, если блок 4 вернул ненулевое значение и в сетевом пакете установлен флаг АСК, сетевой пакет помещается последовательно в блок 7 и затем в блок 6.
Блок 4 обрабатывает поступающие запросы в виде совокупности значений полей отправителя, получателя и номеров портов приема и передачи сетевого пакета, осуществляет поиск в буферной памяти, размещенной в блоке 4, сетевых пакетов с такими значениями и возвращает количество найденных сетевых пакетов и данные всех найденных сетевых пакетов. Если сетевых пакетов с такими характеристиками не найдено, блок 4 запоминает поступившую совокупность значений и данные сетевого пакета, а затем возвращает нулевое значение.
Блок 5 получает сетевые пакеты из блока 6, дополняет их служебными заголовками по протоколу IP, проводит соответствующие протоколу IP процедуры и передает сетевой пакет в блок 8 (в IBM PC совместимых компьютерах им также может быть сетевая PCI-карта [7]) для отправки получателю.
Блок 6 получает на вход сетевые пакеты из блока 3. Если поступивший сетевой пакет имеет установленный флаг SYN, блок 6 составляет сетевой пакет согласно заявленному способу, меняя местами значения получателя и отправителя исходного сетевого пакета, устанавливая флаги SYN и АСК, а также совершая необходимые действия в соответствии с протоколом TCP. Если же поступивший сетевой пакет имеет установленный флаг АСК, блок 6 составляет запрос к блоку 4, получает данные всех сетевых пакетов и передает их в блок 5. После проведения одной из этих процедур сетевой пакет передается в блок 5.
Блок 7 осуществляет проверку поступившего пакета по протоколу TCP или по протоколу IP на предмет совпадения значений служебных полей с определенными разрешенными значениями. Если сетевой пакет поступил из блока 3 и имеет установленный флаг АСК, блок 7 запоминает значения сетевого пакета и применяет их для дальнейшей проверки. При достаточном совпадении с проверяемыми значениями сетевой пакет (см. например, программную реализацию блока фильтрации [8]) поступает в блок 8 и пересылается получателю, иначе сетевой пакет уничтожается.
Таким образом, в данном способе повышается защищенность внутренней вычислительной сети от несанкционированного сканирования защищаемой сети злоумышленниками и от распределенных атак на отказ в обслуживании сетевых служб, чем достигается поставленный технический результат.
Перечень фигур
Фиг.1 - Стандартная схема установления сеанса связи согласно протоколу TCP.
Фиг.2 - Схема установления сеанса связи согласно данному способу.
Фиг.3 - Блок-схема устройства, реализующего данный способ.
Источники информации
1. Barrett J.G. Public network access server having a user-configurable firewall. Патент США №6832321, кл. G06F 011/30, G06F 012/14, H04L 009/00, H04L 009/32.
2. Campbell W.A. Method and system for detecting intrusion into and misuse of a data processing system. Патент США №6839850, кл. G06F 011/30, G06F 015/173, G06F 015/16.
3. Купреенко С. В., Заборовский B.C., Шеманин Ю.А. Вычислительная сеть с межсетевым экраном и межсетевой экран. Патент РФ №2214623, кл. G06F 15/163, 15/173 - прототип.
4. Олифер В., Олифер Н. Новые технологии и оборудование IP-сетей. СПб.: БХВ, 2000 - 512 с.
5. Семенов Ю.А. Протоколы и ресурсы Интернет. М.: Радио и связь, 1996 - 320 с.
6. Transmission Control Protocol, Request for comments, RFC793.
7. Мюллер С. Модернизация и ремонт ПК. М.: Вильямс, 2004 г. - 1344 стр.
8. Медведовский И.Д., Семьянов Б.В., Леонов Д.Г., Лукацкий А.В. Атака из Internet. М.: Солон-Р, 2002. - 368 с.

Claims (1)

  1. Способ защиты вычислительных сетей от несанкционированного сканирования и блокирования сетевых служб, заключающийся в том, что для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, устанавливаемый на каналах связи защищаемой сети с другими сетями, с помощью которого при обнаружении сетевого пакета P1 с установленным номером инкапсулированного протокола, соответствующим номеру протокола TCP, анализируют адрес отправителя S1 и получателя R1 сетевого пакета P1, отличающийся тем, что в случае, когда получателем R1 сетевого пакета P1 является компьютер защищаемой сети, а сетевой пакет P1 имеет установленный флаг SYN, обозначающий запрос на установление сеанса надежной связи, посредством межсетевого экрана посылают отправителю S1 сетевой пакет Р2, сформированный в соответствии с протоколом TCP, установленными флагами SYN и АСК, а также значением поля отправителя равным R1, при этом сетевой пакет Р1 получателю R1 и блокируют до тех пор, пока не будет получен подтверждающий сетевой пакет Р3 с установленным номером инкапсулированного протокола, соответствующим номеру протокола TCP и флагом АСК, при этом заблокированные сетевые пакеты помещают в циклический буфер и при его полном заполнении сетевые пакеты, обнаруженные ранее, перезаписывают сетевыми пакетами, обнаруженными позднее, в случае обнаружения более N (N=1, 2, 3,...) сетевых пакетов с одинаковым значением поля отправителя Sx, установленным номером инкапсулированного протокола, соответствующим номеру протокола TCP и флагом SYN, и отсутствии подтверждающих сетевых пакетов с установленным номером инкапсулированного протокола, соответствующим номеру протокола TCP и флагом АСК, межсетевым экраном блокируют сетевые пакеты со значением поля отправителя, равным Sx, и установленным флагом SYN.
RU2005107480/09A 2005-03-18 2005-03-18 Способ обработки сетевых пакетов для обнаружения компьютерных атак RU2304302C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2005107480/09A RU2304302C2 (ru) 2005-03-18 2005-03-18 Способ обработки сетевых пакетов для обнаружения компьютерных атак

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2005107480/09A RU2304302C2 (ru) 2005-03-18 2005-03-18 Способ обработки сетевых пакетов для обнаружения компьютерных атак

Publications (2)

Publication Number Publication Date
RU2005107480A RU2005107480A (ru) 2006-08-27
RU2304302C2 true RU2304302C2 (ru) 2007-08-10

Family

ID=37061086

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2005107480/09A RU2304302C2 (ru) 2005-03-18 2005-03-18 Способ обработки сетевых пакетов для обнаружения компьютерных атак

Country Status (1)

Country Link
RU (1) RU2304302C2 (ru)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2469390C1 (ru) * 2011-11-21 2012-12-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ защиты компьютерных сетей от несанкционированного сканирования и блокирования сетевых служб (варианты)
RU172615U1 (ru) * 2017-03-13 2017-07-14 Ярослав Викторович Тарасов Устройство выявления низкоинтенсивных атак "отказ в обслуживании"
RU2648949C1 (ru) * 2017-03-10 2018-03-28 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб
RU2680038C1 (ru) * 2018-01-16 2019-02-14 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации Способ защиты вычислительных сетей
RU2682432C1 (ru) * 2018-03-26 2019-03-19 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Руководство по технологиям объединенных сетей, 3-е издание. - М.: Издательский дом «Вильямс», 2002. *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2469390C1 (ru) * 2011-11-21 2012-12-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ защиты компьютерных сетей от несанкционированного сканирования и блокирования сетевых служб (варианты)
RU2648949C1 (ru) * 2017-03-10 2018-03-28 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ защиты вычислительной сети от несанкционированного сканирования и блокирования сетевых служб
RU172615U1 (ru) * 2017-03-13 2017-07-14 Ярослав Викторович Тарасов Устройство выявления низкоинтенсивных атак "отказ в обслуживании"
RU2680038C1 (ru) * 2018-01-16 2019-02-14 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации Способ защиты вычислительных сетей
RU2682432C1 (ru) * 2018-03-26 2019-03-19 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей

Also Published As

Publication number Publication date
RU2005107480A (ru) 2006-08-27

Similar Documents

Publication Publication Date Title
US7007302B1 (en) Efficient management and blocking of malicious code and hacking attempts in a network environment
KR101054705B1 (ko) 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치
US8176553B1 (en) Secure gateway with firewall and intrusion detection capabilities
US8356349B2 (en) Method and system for intrusion prevention and deflection
US20170257339A1 (en) Logical / physical address state lifecycle management
CN101589595B (zh) 用于潜在被污染端系统的牵制机制
US7107619B2 (en) System and method for the detection of and reaction to denial of service attacks
JP4072150B2 (ja) ホストベースのネットワーク侵入検出システム
Verba et al. Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS)
KR101217647B1 (ko) 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
US20060143709A1 (en) Network intrusion prevention
US20030065943A1 (en) Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network
CN101009704A (zh) 一种处理高级网络内容的计算机系统与方法
WO2013016456A1 (en) Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack
RU2304302C2 (ru) Способ обработки сетевых пакетов для обнаружения компьютерных атак
Dakhane et al. Active warden for TCP sequence number base covert channel
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
JP2008306610A (ja) 不正侵入・不正ソフトウェア調査システム、および通信振分装置
US20200213355A1 (en) Security Network Interface Controller (SNIC) Preprocessor with Cyber Data Threat Detection and Response Capability that Provides Security Protection for a Network Device with Memory or Client Device with Memory or Telecommunication Device with Memory
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
KR100539760B1 (ko) 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법
US20060253603A1 (en) Data communication system and method
KR102571147B1 (ko) 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램
Upadhyay et al. Security Flaw in TCP/IP and Proposed Measures
KR102401661B1 (ko) DDoS 공격의 탐지 및 방어 시스템 및 그 방법

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20160319