TWI333613B - Method and apparatus for detecting attacks on a data communications network - Google Patents
Method and apparatus for detecting attacks on a data communications network Download PDFInfo
- Publication number
- TWI333613B TWI333613B TW093112419A TW93112419A TWI333613B TW I333613 B TWI333613 B TW I333613B TW 093112419 A TW093112419 A TW 093112419A TW 93112419 A TW93112419 A TW 93112419A TW I333613 B TWI333613 B TW I333613B
- Authority
- TW
- Taiwan
- Prior art keywords
- data
- address
- attack
- network
- assigned
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
Description
1333613 九、發明說明:. 【發明所屬之技術領域】 本發明通常相關於偵測網路攻擊,尤其相關於偵測資料 通訊網路攻擊的方法、裝置及電腦程式元件。 【先前技術】 網際網路是由複數個互連的f料網路所形成的廣域資料 通訊網路,在操作中’網際網路促進多個遠距設置的資料 處理系統間的資料通訊。此類資料處理系統通常各包括_ 、處理單元(CPU)、- έ己憶體子系統及輸出人記憶體子系 統,以及儲存在記憶體子系統中由c p U執行的電腦程式 碼:通常與網際網路連接的終端用戶資料處理系統稱為用 戶負料處理系統’或簡稱用戶;同樣地’由終端用戶透過 ’周際河路存取的資料處理系主機網站或服務則稱為词服器 資料處理系統,或簡稱祠服器。在終端用戶資料處理系統 與主機資料處理系統之間存在透過網際網路所完成的主從 關係。 網際網路已成為促進客戶、零售商及服務供應商之間的 有效電子商業互動的重要通訊網路,通常透過網際網路服 務供應商(ISP)提供對網際網路的存取作為此類實體操作, 各ISP通常在用戶訂閱的開放網路操作,各用戶在該網路上 具備有一獨特的網路協定(ΙΡ)位址,同樣地,該網路上的各 伺服器亦具備有一獨特的ΙΡ位址。由該ISP操作的網路透過 通稱為路由器的一專屬資料系統而連接至網際網路。在操 作中,該路由器將返航通訊流量從網際網路導向該網路上 926Il.doc 1333613 的數個特定㈣’址;同樣地,該路由器將往外的通訊茂量 從該網路導向網際網路上的特定IP位址方向中。°机里 許多ISP所面臨的問題在於他們所操作的網路遭受攻擊 的頻率不斷地增加,此類攻擊包括電腦病毒攻擊2所謂 的”蟲"攻擊《此類性質的攻擊在ISP操作的網路中引入重2 的效能劣化,與該網路連接的受感染系統通常會嘗試在該 網路内散布該感染,許多用戶並不明白他們的系統已受到 感染。期望能提供觸發此類系統掃毒的科技,以入 網路效能的利益。 ^ 【發明内容】 根據本發明,茲提供偵測資料通訊網路攻擊的方法該 資料通訊網路具有複數個位址,用以指派給該網路中的數 個資料處理系統。該方法包括:辨識在任何指派位址產生 的網路資料流量及定址至任何未指派位址的網路資料流 量;檢查任何如此辨識的資料流量,以表示攻擊的資料; 及一旦偵測到表示攻擊的資料,即產生一警示信號。 該檢查較佳包括仿冒所辨識資料流量中所含請求的回 應’本發明一較佳實施例包括,一旦產生該警示信號,便 將在該指派位址所產生的任何資料流量重定路徑至該網路 上的一掃毒位址,該指派位址係指派給產生表示該攻擊的 k料的資料處理系統。一旦產生該警示信號,可將一警示 “息傳送至該掃毒位址,該警示信息可包括表示所偵測到 攻擊的資料《—收到該警示信息,可從該掃毒位址將一警 告信息傳送至該指派位址,該指派位址係指派給產生表示 92611.doc 1333613 攻擊的資料的資料處理系統。該警告信息可包括程式碼, 程式碼由產生表示攻擊的資料的資料處理系統執行 以排除該攻擊。 本發明另一概念是提供偵測資料通訊網路攻擊的裝置, 該資料通訊網路具有複數個位址,用以指派給該網路中的 數個資料處理系統。該裝置包括:一侵入偵測感應器 (IDS),用以辨識在任何指派位址產生的網路資料流量及定 址至任何未指派位址的網路資料流量;檢查任何如此辨識 的資料流量,以表示攻擊的資料;及一旦偵測到表示攻擊 的資料,即產生一警示信號。 該使用中的IDS較佳經由仿冒所辨識資料流量中所含請 求的回應而檢查所辨識的資料流量,該裝置亦可包括一路 由器,其連接至該侵入偵測感應器,用以回應該警示信號 的產生’而將在該指派位址產生的任何資料流量重定路徑 至該網路上的一掃毒位址,該指派位址係指派給產生表示 該攻擊的資料的資料處理系統。較佳地,一旦產生該警示 信號’該IDS便將一警示信息傳送至該掃毒位址,該警示信 息較佳包括表示所偵測攻擊的資料。本發明一較佳實施例 尚包括一掃毒伺服器,其指派給該掃毒位址,該掃毒伺服 器一收到該警示信息,便將一警告信息傳送至一指派位 址,該指派位址係指派給產生表示該攻擊的資料的資料處 理系統。 本發明亦延伸至一資料通訊網路,該網路包括:複數個 指派給該網路上數個資料處理系統的位址;及如前述用以 9261 l.doc 偵測該網路攻擊·的裝置。 本發明尚延伸至一電腦程式元件 化彳千該電腦程式元件包括 電腦程式碼構件,該電腦程式喝 ^ ^ 3偁件載入一資料處理系統 以執行如前述偵測資 的處理時,將該處理器加以配置, 料通訊網路攻擊的方法。 在本發明一較佳實施例中,提供—資料通訊網路,該網 路包括 >路由器,用以將複數個資料處理系統連接至網 際網路;—IDS’連接至⑽由H掃麵服器,亦連 接至該路由路。回應該職貞測到數個資料處理系統之一受 到攻擊感染,該IDS指示該路由路將所有來自該攻擊的網路 流量轉移至該掃毒健I該IDS同時將掃毒資料供應至該 掃毒伺服器,該掃毒資料指日月:該感染的本f;如何為感 染系統掃毒;及如何繼續執行正常網路連接。 在一已知網路上通常有許多的自由IP位址,在本發明一 特殊較佳實施例中,該⑴艰聽網路上導向該等自_位址 的流量,應該無此類流量存在。偵測到一請求傳送至該等 自由IP位址之一時,該IDS即仿冒該請求的回答。該等自由 IP位址並未在使用中,因此,例如,在此一位址聯絡一伺 服态的任何嘗試是先驗可疑的。然後該IDS聆聽對該仿冒回 答的答覆,若該IDS在該答覆中偵測到一可診斷的攻擊,則 以信號通知該路由器將所有流量從受感染系統轉向該掃毒 伺服器。因該IDS互動地仿冒受感染系統的回應,因此可準 確看出各攻擊,藉此將不正確的判斷減至最小。 【實施方式】 92611.doc 1333613 首先參照至圖1,一資料處理系統包括一 CPU 10、一I/〇 子系統20,及—記憶體子系統4〇,所有皆由—匯流排子系 統30互連。記憶體子系統4〇可包括隨機存取記憶體 (RAM)、唯讀記憶體(R〇M),及至少一資料儲 硬碟機:光碟機等等)。1/0子系統2。可包括:―顯= 印表機’一鍵盤;-定位裝置(諸如滑鼠、軌跡球等等);及 至少一網路連接,其允許該資料處理系統與至少—類似系 統及/或周邊裝置間透過料通訊網路進行通訊。此類由 此-網路互連的系統及裝置的組合本身即可形成—分散式 貝料處理系統,此類分散式資料處理系統本身可由額外的 資料通訊網路加以互連。 記憶體子系統40中儲存資料6〇及可由cpu丨〇執行的電腦 程式碼5G,程式碼5G包括作業系統軟體9Q及應用軟體, 作業系統軟體9G由CPU 1G執行時,提供可執行應用軟體8〇 的一平台β 茲參照至圖2,在本發明一較佳實施例中,提供一資料通 訊網路100,其具有複數個位址11〇,用以指派給該網路令 的數個資料處理系統。在本發明一特殊較佳實施例中,網 路100係在具有複數個可指派網際網路協定(ΙΡ)位址丨1〇的 網際網路服務安裝的形式中,雙路iQp經由一路由器ηο而 連接至網際網路120。路由器13〇可實作為如前述參照至圖夏 的資料處理系統,由適當程式設計專用於該任務,根據該 等封包中界定的IP位址資料,將資料封包形式的通訊流量 定路徑於網際網路12〇與網路1〇〇之間。在網路1〇〇上該等 926 丨丨.doc 1333613 IP位址11 0的第一組1 40指派給屬於網際網路服務用戶的數 個系統1 5 0 ’各系統1 5 〇可為如前述參照至圖J的資料處理系 統。在網路100上,該等ΙΡ位址11〇的第二組16〇是自由的, 明確地說,未將該等ΙΡ位址110的第二組16〇指派給數個用 戶系統150。一侵入偵測感應器(IDS)17〇亦連接至網路 100 IDS 170亦連接至路由器130,將會簡短地提供ids 170 的細節。路由器130連接至一掃毒伺服器180,可由如前述 參照至圖1的資料處理系統實作掃毒伺服器18〇。 參H?、至圖3,在本發明一特殊較佳實施例中’ IDS工7〇包 括如前述圖1的資料處理系統,IDS 17〇的應用軟體8〇包括 侵入偵測碼200,儲存於IDS 17〇的記憶體子系統4〇中的資 料60包括攻擊識別資料21〇及掃毒資料22〇。該資料亦包括 網路100的IP位址中何者是自由的,以及網路丨〇〇的位址 的IP中何者指派給資料處理系統15〇的記錄。每次將另一 ιρ 位址定址或移除一既存„>位址定址時,即更新該記錄。攻 擊識別資料21 0包括指明識w已知攻擊識別才票言志的資料;掃 毒資料220包括指明以下各項的資料:各攻擊的性質;如何 為k文各攻擊感染的系統掃毒;及如何繼續執行正常網路 連接。攻擊識別貧料21 〇及掃毒資料22〇可互相參照;侵入 偵測碼200由CPU 10執行時,將IDS 17〇配置以根據圖4所示 流程圖而操作。 茲參照至圖4,在操作申,IDS 170辨識在任何指派位址 140產生的網路資料流量,及定址至任何未指派位址“❹的 網路資料流量。IDSl7〇檢查如此辨識的任何資料流量以 926II.doc 1333613 表不攻擊的資料,一偵測到表示攻擊的資料,IDS i7〇即產 生一警不信號。在本發明一較佳實施例中,一產生該警示 仏5虎,在指派至資料處理系統1 50的位址i40所產生表示攻 擊資料的任何資料流量,即重定路徑至網路1〇〇的一掃毒位 址。在本發明一特殊較佳實施例中,IDS 17〇在網路上聆聽 導向自由IP位址160的流量,明確地說,在方塊3〇〇,IDS 17〇 檢查在網路100上檢查位址14〇傳來的請求,而在方塊3 1〇 判定該請求是否指定該等自由Ip位址16〇之一作為目標位 址。若該請求未指定該等自由Ip位址16〇之一,在方塊32〇, IDS 1 70則等待檢查次一請求。惟若該請求未指定該等自由 IP位址160之一,在方塊33〇,IDS 17〇則仿冒該請求的一回 答,該回答傳送至網路100上的來源1]?位址。該等自由”位 址160並未在使用中,因此,例如在此一位址聯絡一系統的 任何嘗试皆為先驗可疑的。在方塊34〇,IDS 17〇聆聽該仿 冒回答的答覆,若在一預設期間内未收到答覆,IDS 17〇可 暫停’在該情形中,在方塊32〇,IDS 17〇等待檢查次一請 求。惟若在方塊350收到一答覆,則IDS i 70將該可疑請求 及答覆與記憶體子系統40中儲存的攻擊識別資料2丨0相比 較。右在方塊350 ’該比較無法辨識一攻擊,則在方塊32〇, IDS 170等待檢查次一請求。惟若在方塊35〇,該比較在該 答覆中偵測到可診斷的攻擊,IDS丄7〇則判定來源系統丨5〇 文到感&。因此’在方塊’ IDS 1 70產生該警示信號, 該警示信號傳送至路由器13〇,該警示信號指示路由器13〇 將所有來自文感染系統15 〇的流量皆轉向至該掃毒位址。再 92611.doc 丄333613 回頭參照至圖1 ’在本發明一特殊較佳實施例中一掃毒伺 服器180設置於該掃毒位址。 在本發明一較佳實施例中,—產生該警示信號,ids ι7〇 便將一警示信息傳送至該掃毒位址’較佳地,該警示信息 包括表示所偵測攻擊的資料。因此,在本發明一特殊較佳 實施例巾,IDS i 70從記憶體子系統4〇操取對應至所请測攻 擊的掃毒資料220。在方塊370’ IDS 170將包括所擷取掃毒 f料220的警示信息傳送至設置有掃毒伺服器18〇的掃毒位籲 址,然後,在方塊320 , IDS 17〇等待檢查次一請求。各請 求、回答及答覆可包含於網路1〇〇上的至少一封包資料流 量,因此’各攻擊的識別標誌可跨越至少一封包。 在本發明一較佳實施例中,傳送至掃毒伺服器180的掃毒 資料220包括表示以下各項的資料:所偵測攻擊的性質;如 何為艾該攻擊感染的系統丨5 〇掃毒;及如何繼續執行正常的 網路連接。—收到傳自ms 17〇的掃毒資料22〇,掃毒伺服 器1 8〇即開始處理受感染系統1 50,並恢復網路i 00。在本發 _ 另較佳實她例中,掃毒資料2 2 0僅包括表示該攻擊性質 的貝料,然後該掃毒伺服器根據該攻擊性質選擇複數個預 先儲存以掃毒受感染系統150及/或恢復網路1〇〇的技術之 ·· 並執行所選取的技術。該等攻擊可採取許多不同的形 式因此’用於掃毒及恢復網路的對應技術依不同攻擊而 有許多的變化。 在本發明一較佳實施例中,一收到該掃毒資料,掃毒伺 服器1 8 〇冑I告信息傳送至受感染系統1 5 0 ’該警告信息 926 丨丨.doc 12 通知受感染系蛻150的使用者,他或她的系統15〇受到感 木。邊信息可指示使用者執行受感染系統1 5 〇所預先儲存的 抗病毒軟體’以消除或隔離該感染。或者,該信息包括掃 毒程式碼’以消除來自受感染系統丨50的攻擊,以及數個指 令以協助使用者在受感染系統丨”上執行該掃毒碼。在另一 替代例中,該信息可指示使用者到提供適當掃毒程式的另 —網站。在本發明另一較佳實施例令,該信息包括的掃毒 裎式碼,在載入受感染系統時,可自動地執行,藉此以使 用者可明顯見到的方式消除或隔離該感染。亦可使用其他 掃毒系統。 在本發明前述數個實施例中,在單一資料處理系統(諸如 參照至圖1所述者)中實作掃毒伺服器18〇,惟在本發明其他 數個實施例中,亦藉由多個互連的資料處理系統可實作掃 母伺服器1 8 0。此類資料處理可一起分佈或設置於一,,農莊" 中,在該掃毒伺服器中的各資料處理系統可專用於處理一 不同攻擊。亦可由多個整合式資料處理系統實作ms 17〇, 或者,可將IDS 170及掃毒伺服器18〇整合在一單一資料處 理系統中。 在網路100上,自受感染系統15〇傳來並由路由器轉移至 掃毒伺服器180的流量,可由掃毒伺服器18〇加以記錄及"戈 丟棄。在本發明前述數個實施例中,IDS 17〇將掃毒資料傳 送至掃毒伺服器1 80,惟在本發明其他數個實施例中,一旦 偵測到一感染,IDS 17〇可僅指示路由路13〇將流量從受感 染系統150轉向至掃毒伺服器18〇,無需ms 17〇額外地將掃 926! l.doc 1333613 f資料220供應至掃毒伺服器18〇。然後掃毒伺服器i8〇可簡 早地作用為在受感染系統15〇中所產生流量的倉庫,用以將 接收自文感染系統15〇的流量加以記錄及/或丟棄。可由掃 毒伺服器180將該記錄及丟棄報告給網路1〇〇的管理員此 類報告可週期地或即時地傳遞,例如可經由一管理控制台 執行該報導,惟亦可使用其他報導技術,諸如列印輸出等。 一收到此類報告,管理員可採取適當行動以消除或抑制網 路100的感染。 在本發明前述數個實施例中,由利用適當程式碼而程式 化的數個-貝料處理系統實作IDS 170、路由器及掃毒伺 服器1 80。惟應了解,在本發明其他數個實施例中,前述實 作於軟體中的至少—功能亦可至少部分地實作於硬線式邏 輯電路結構中。 亦應了解,可由負責網路1〇〇的服務供應商,或至少部分 由第三者以服務該服務供應商的形式,實施前述數個攻擊 偵測方法此一服務可使該服務供應商所提供的服務其競 爭者所提供的服務有所差別,此差別服務可選擇性地供應 ,’α額外增值交易提供的網路服務的終端用戶。 【圖式簡單說明】 "" 參…、至附圖’僅以範例方式說明本發明的數個較佳 實施例,其中: 圖1以方塊圖說明一資料處理系統; 圖2以方塊圖說明實施本發明的資料處理系統; 圖3以方塊圖說明實施本發明的侵入偵測感應器;及 9261 l.doc -14- 1333613 圖4係與該侵入偵測感應器相關聯的流程圖。 【主要元件符號說明】 10 中央處理單元(CPU) 20 輸出入(I/O)子系統 30 匯流排子系統 40 記憶體子系統 100 資料通訊網路 110 位址 120 網際網路 130 路由器 140 第一組IP位址 15 0 資料處理糸統 160 第二組IP位址 170 侵入偵測感應器 180 掃毒伺服器 -15 92611.doc
Claims (1)
1333613 第093〗 12419號專利申請案 「-- 中文申請專利範圍替換本(99年6月)月U日修嵬本] 十、申請專利範闺:, 〜 1有广科通訊網路攻擊之方法,該資科通訊網路且 有複數個位址,用以指派給該網路中之數個資料處理; 統,該方法包括: π处理糸 在該資料通訊網路上接收資料流量,· 辨識在任何指派位址產生 耻座生之δ亥貝枓流$及定址至任何 未指派位址之該資料流量,該未指派位址包含閒置及力 有被分派至任何資料處理系統及被指派至該方法操作: 其上之用於侵入偵測之—實體裝置之一位址; 檢查該資料流量,以用於辨識表示一攻擊之數個已知資 料識別標誌; ' 一旦偵測到表示該攻擊之該等已知資料識別標誌,即產 生一警示信號;及 將一警不彳§息傳送至於該資料通訊網路上之一掃毒位 址以回應該警示信號之產生。 2.如申凊專利範圍第丨項之方法,進一步包含仿冒被辨識為 在任何指派位址產生及定址至任何未指派位址之該資料 流量中所含請求之回應。 3·如申請專利範圍第1項之方法,包括:一旦產生該警示信 號’便將該資料流量及表示該’攻擊之數個已知’資料識別 標_重新定路徑至該網路上之該掃毒位址。 4·如申請專利範圍第1項之方法,其中該警示信號包括所偵 測到表示該攻擊之資料。 5.如申请專利範圍第4項之方法,包括:一收到該警示信 92611-990622.doc 1333613 « ,該 理系 唬,一警告信息便從該掃毒位址傳送至該指派位址 指派位址係指派給產生表示該攻擊之資料之資料處 統。 、.' 6.
8. 如申請專利範圍第5項之方法,包括在該警告信息中包括 程式碼,該程式碼由產生表示該攻擊之資料之資料處理 系統執行時,用以排除該攻擊。 一種㈣資料通訊網路攻擊之裝置,該f料通訊網路具 有複數個位址’用以指派給該網路中之數個資料處理 統’該裝置包括: ’' 一侵入偵測感應器,用以: 在該資料通訊網路上接收資料流量; 辨識在任何指派位址產生之該資料流量及定址至 任何未指派位址之該資料流量,該未指派位址包含閒 置且沒有被分派至任何資料處理系統且被指派至該侵 入4貞測感應益之一位址; 檢查。亥賓料抓里以辨識表示一攻擊之數個已知資 料識別標誌; ' -旦債測到表示該攻擊之該等已知資㈣別標諸, 即產生一警示信號;及 將4 s不L號傳送至於該資料通訊網路上之一掃 毒位址。 如申請專利範圍第7項之萝番 甘山 ^ ^ t $ &裝置’其中該使用中之侵入偵測 感應器藉由仿冒所辨識眘 辨蠘貝枓流量中所含請求之回應,而 檢查所辨識之資料流量。 92611-990622.doc .如申請專利範菌第7項之裳置,尚包括一路由器,其連接 至該侵入偵測感應器,用以回應該警示信號之產生,而 將包含該等已知資料識別標諸之該資料流量重新定路徑 至該網路上表示該攻擊之一掃毒位址。 10·如申請專利範圍第7項之裝置,其中該警示信號包括所偵 測到表示攻擊之資料。 u.如中請專利範圍第10項H尚包括—掃毒舰器, 其指派給該掃毒位址,該掃毒飼服器-收到該警示信 。便將警告仏息傳送至一位址,該位址係指派給產 生表示該攻擊之資料之資料處理系統。 12_如申請專利範圍第"項之裝置,其中該警告信息包括程 式碼帛式碼由產生表示該攻擊之資料之資料處理系統 執行時可用以排除該攻擊。 種資料通I網路,包括:複數個位址,用以指派給^ 路中之數個資料處理系統;以及如申請專利範圍第7至丨 項中任一項之偵測資料通訊網路攻擊之裝置。 14·-種電腦程式元件,包括電腦程式碼構件,該電腦程y 碼構件當載入一資料處 地乐、况之羼理盗時,將該處理ϋ 加以配置’以執行如中請專利範圍第⑴項中任—項之 偵測資料通訊網路攻擊之方法。 、 92611.990622.doc 1333613 第093112419號專利申請案 中文圖式替換頁(99年6月) 修正替换罗j
92611-990622.doc 2·
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP03405393 | 2003-05-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200428203A TW200428203A (en) | 2004-12-16 |
| TWI333613B true TWI333613B (en) | 2010-11-21 |
Family
ID=33484075
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW093112419A TWI333613B (en) | 2003-05-30 | 2004-05-03 | Method and apparatus for detecting attacks on a data communications network |
Country Status (7)
| Country | Link |
|---|---|
| US (4) | US20070094722A1 (zh) |
| EP (2) | EP1629651A1 (zh) |
| KR (2) | KR100877664B1 (zh) |
| CN (2) | CN1771708A (zh) |
| AU (2) | AU2003280126A1 (zh) |
| TW (1) | TWI333613B (zh) |
| WO (2) | WO2004107706A1 (zh) |
Families Citing this family (73)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070094722A1 (en) * | 2003-05-30 | 2007-04-26 | International Business Machines Corporation | Detecting networks attacks |
| US7406714B1 (en) | 2003-07-01 | 2008-07-29 | Symantec Corporation | Computer code intrusion detection system based on acceptable retrievals |
| US7568229B1 (en) | 2003-07-01 | 2009-07-28 | Symantec Corporation | Real-time training for a computer code intrusion detection system |
| US8266177B1 (en) | 2004-03-16 | 2012-09-11 | Symantec Corporation | Empirical database access adjustment |
| US7966658B2 (en) * | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
| US7936682B2 (en) * | 2004-11-09 | 2011-05-03 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
| US8010685B2 (en) * | 2004-11-09 | 2011-08-30 | Cisco Technology, Inc. | Method and apparatus for content classification |
| KR100622670B1 (ko) * | 2004-12-07 | 2006-09-19 | 한국전자통신연구원 | 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템 및 그 방법 |
| US7765596B2 (en) * | 2005-02-09 | 2010-07-27 | Intrinsic Security, Inc. | Intrusion handling system and method for a packet network with dynamic network address utilization |
| US7444331B1 (en) | 2005-03-02 | 2008-10-28 | Symantec Corporation | Detecting code injection attacks against databases |
| US8095982B1 (en) | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Analyzing the security of communication protocols and channels for a pass-through device |
| US8095983B2 (en) * | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Platform for analyzing the security of communication protocols and channels |
| JP4753264B2 (ja) | 2005-03-24 | 2011-08-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) |
| US8046374B1 (en) | 2005-05-06 | 2011-10-25 | Symantec Corporation | Automatic training of a database intrusion detection system |
| US7558796B1 (en) | 2005-05-19 | 2009-07-07 | Symantec Corporation | Determining origins of queries for a database intrusion detection system |
| US7774361B1 (en) * | 2005-07-08 | 2010-08-10 | Symantec Corporation | Effective aggregation and presentation of database intrusion incidents |
| US7690037B1 (en) | 2005-07-13 | 2010-03-30 | Symantec Corporation | Filtering training data for machine learning |
| US8161548B1 (en) | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
| US8769663B2 (en) | 2005-08-24 | 2014-07-01 | Fortinet, Inc. | Systems and methods for detecting undesirable network traffic content |
| US7840958B1 (en) * | 2006-02-17 | 2010-11-23 | Trend Micro, Inc. | Preventing spyware installation |
| US8219679B2 (en) | 2006-02-28 | 2012-07-10 | International Business Machines Corporation | Detection and control of peer-to-peer communication |
| US7540766B2 (en) * | 2006-06-14 | 2009-06-02 | Itron, Inc. | Printed circuit board connector for utility meters |
| US7881209B2 (en) * | 2006-07-27 | 2011-02-01 | Cisco Technology, Inc. | Method and system for protecting communication networks from physically compromised communications |
| KR100809416B1 (ko) * | 2006-07-28 | 2008-03-05 | 한국전자통신연구원 | 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법 |
| US9172611B2 (en) * | 2006-09-01 | 2015-10-27 | Spirent Communications, Inc. | System and method for discovering assets and functional relationships in a network |
| US7954161B1 (en) | 2007-06-08 | 2011-05-31 | Mu Dynamics, Inc. | Mechanism for characterizing soft failures in systems under attack |
| US8316447B2 (en) * | 2006-09-01 | 2012-11-20 | Mu Dynamics, Inc. | Reconfigurable message-delivery preconditions for delivering attacks to analyze the security of networked systems |
| US7958230B2 (en) | 2008-09-19 | 2011-06-07 | Mu Dynamics, Inc. | Test driven deployment and monitoring of heterogeneous network systems |
| US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
| US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
| US8006078B2 (en) * | 2007-04-13 | 2011-08-23 | Samsung Electronics Co., Ltd. | Central processing unit having branch instruction verification unit for secure program execution |
| US20080274725A1 (en) * | 2007-05-02 | 2008-11-06 | Ury George Tkachenko | Wireless multifunction network device |
| CN101384079A (zh) | 2007-09-03 | 2009-03-11 | 华为技术有限公司 | 一种终端移动时防止降质攻击的方法、系统及装置 |
| US7774637B1 (en) | 2007-09-05 | 2010-08-10 | Mu Dynamics, Inc. | Meta-instrumentation for security analysis |
| US8250658B2 (en) * | 2007-09-20 | 2012-08-21 | Mu Dynamics, Inc. | Syntax-based security analysis using dynamically generated test cases |
| CN101222513B (zh) * | 2008-01-28 | 2012-06-20 | 杭州华三通信技术有限公司 | 一种防止重复地址检测攻击的方法及网络设备 |
| US8732296B1 (en) * | 2009-05-06 | 2014-05-20 | Mcafee, Inc. | System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware |
| US8463860B1 (en) | 2010-05-05 | 2013-06-11 | Spirent Communications, Inc. | Scenario based scale testing |
| US8547974B1 (en) | 2010-05-05 | 2013-10-01 | Mu Dynamics | Generating communication protocol test cases based on network traffic |
| US9106514B1 (en) | 2010-12-30 | 2015-08-11 | Spirent Communications, Inc. | Hybrid network software provision |
| US8464219B1 (en) | 2011-04-27 | 2013-06-11 | Spirent Communications, Inc. | Scalable control system for test execution and monitoring utilizing multiple processors |
| US8621278B2 (en) | 2011-06-28 | 2013-12-31 | Kaspersky Lab, Zao | System and method for automated solution of functionality problems in computer systems |
| NL2007180C2 (en) | 2011-07-26 | 2013-01-29 | Security Matters B V | Method and system for classifying a protocol message in a data communication network. |
| US8776241B2 (en) | 2011-08-29 | 2014-07-08 | Kaspersky Lab Zao | Automatic analysis of security related incidents in computer networks |
| US8972543B1 (en) | 2012-04-11 | 2015-03-03 | Spirent Communications, Inc. | Managing clients utilizing reverse transactions |
| EP2785008A1 (en) * | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
| EP2785009A1 (en) | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
| US9641542B2 (en) | 2014-07-21 | 2017-05-02 | Cisco Technology, Inc. | Dynamic tuning of attack detector performance |
| WO2016014021A1 (en) * | 2014-07-21 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Security indicator linkage determination |
| US9450972B2 (en) | 2014-07-23 | 2016-09-20 | Cisco Technology, Inc. | Network attack detection using combined probabilities |
| US9407646B2 (en) | 2014-07-23 | 2016-08-02 | Cisco Technology, Inc. | Applying a mitigation specific attack detector using machine learning |
| US20160164886A1 (en) * | 2014-10-17 | 2016-06-09 | Computer Sciences Corporation | Systems and methods for threat analysis of computer data |
| KR101631242B1 (ko) * | 2015-01-27 | 2016-06-16 | 한국전자통신연구원 | 잠재 디리클레 할당을 이용한 악성 트래픽의 시그니처의 자동화된 식별 방법 및 장치 |
| US9531750B2 (en) * | 2015-05-19 | 2016-12-27 | Ford Global Technologies, Llc | Spoofing detection |
| US10609053B2 (en) * | 2015-11-24 | 2020-03-31 | Intel Corporation | Suspicious network traffic identification method and apparatus |
| KR20170060280A (ko) * | 2015-11-24 | 2017-06-01 | 한국전자통신연구원 | 탐지 규칙 자동 생성 장치 및 방법 |
| GB201603118D0 (en) | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
| US10432652B1 (en) | 2016-09-20 | 2019-10-01 | F5 Networks, Inc. | Methods for detecting and mitigating malicious network behavior and devices thereof |
| US11582248B2 (en) | 2016-12-30 | 2023-02-14 | British Telecommunications Public Limited Company | Data breach protection |
| US11611570B2 (en) * | 2016-12-30 | 2023-03-21 | British Telecommunications Public Limited Company | Attack signature generation |
| WO2018122050A1 (en) * | 2016-12-30 | 2018-07-05 | British Telecommunications Public Limited Company | Historic data breach detection |
| CN108076038A (zh) * | 2017-06-16 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 一种基于服务器端口的c&c服务器判断方法及系统 |
| CA3108330A1 (en) * | 2017-08-02 | 2019-02-07 | CipherTooth, Inc. | Detecting man in the middle attacks on a local area network |
| US20190098051A1 (en) * | 2017-09-27 | 2019-03-28 | Cox Communications, Inc. | Systems and Methods of Virtual Honeypots |
| US10812509B2 (en) * | 2017-10-30 | 2020-10-20 | Micro Focus Llc | Detecting anomolous network activity based on scheduled dark network addresses |
| US10855701B2 (en) * | 2017-11-03 | 2020-12-01 | F5 Networks, Inc. | Methods and devices for automatically detecting attack signatures and generating attack signature identifications |
| CN110557355B (zh) * | 2018-05-31 | 2021-07-27 | 上海连尚网络科技有限公司 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
| US11005868B2 (en) | 2018-09-21 | 2021-05-11 | Mcafee, Llc | Methods, systems, and media for detecting anomalous network activity |
| TWI707565B (zh) * | 2019-04-19 | 2020-10-11 | 國立中央大學 | 網路攻擊者辨識方法及網路系統 |
| US11444961B2 (en) * | 2019-12-20 | 2022-09-13 | Intel Corporation | Active attack detection in autonomous vehicle networks |
| US11483318B2 (en) | 2020-01-07 | 2022-10-25 | International Business Machines Corporation | Providing network security through autonomous simulated environments |
| CN111507262B (zh) * | 2020-04-17 | 2023-12-08 | 北京百度网讯科技有限公司 | 用于检测活体的方法和装置 |
| US11876834B1 (en) * | 2021-08-11 | 2024-01-16 | Rapid7, Inc. | Secure verification of detection rules on test sensors |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0454064B1 (en) * | 1990-04-23 | 1999-08-18 | Matsushita Electric Industrial Co., Ltd. | Data transmission system and method |
| US5440723A (en) * | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
| US6275470B1 (en) * | 1999-06-18 | 2001-08-14 | Digital Island, Inc. | On-demand overlay routing for computer-based communication networks |
| KR100331219B1 (ko) * | 2000-02-10 | 2002-04-06 | 이상원 | 인터넷 과금방법 및 시스템 |
| GB2362076B (en) * | 2000-05-03 | 2002-08-14 | 3Com Corp | Detection of an attack such as a pre-attack on a computer network |
| AU2001266174A1 (en) * | 2000-06-30 | 2002-01-14 | British Telecommunications Public Limited Company | Packet data communications |
| US20020162017A1 (en) * | 2000-07-14 | 2002-10-31 | Stephen Sorkin | System and method for analyzing logfiles |
| US7099940B2 (en) * | 2000-08-07 | 2006-08-29 | Amdocs (Israel) Ltd. | System, method and computer program product for processing network accounting information |
| US6381242B1 (en) * | 2000-08-29 | 2002-04-30 | Netrake Corporation | Content processor |
| GB0022485D0 (en) * | 2000-09-13 | 2000-11-01 | Apl Financial Services Oversea | Monitoring network activity |
| WO2003050644A2 (en) * | 2001-08-14 | 2003-06-19 | Riverhead Networks Inc. | Protecting against malicious traffic |
| JP3461816B2 (ja) * | 2000-11-15 | 2003-10-27 | 株式会社ソニー・コンピュータエンタテインメント | 情報分岐制御方法、通知信号生成方法、プログラム実行装置、処理プログラムが記録された記録媒体、及び処理プログラム |
| KR100351306B1 (ko) * | 2001-01-19 | 2002-09-05 | 주식회사 정보보호기술 | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 |
| US7290283B2 (en) * | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
| WO2002061510A2 (en) * | 2001-01-31 | 2002-08-08 | Lancope, Inc. | Network port profiling |
| US20020116639A1 (en) * | 2001-02-21 | 2002-08-22 | International Business Machines Corporation | Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses |
| US20020166063A1 (en) * | 2001-03-01 | 2002-11-07 | Cyber Operations, Llc | System and method for anti-network terrorism |
| US20020143963A1 (en) * | 2001-03-15 | 2002-10-03 | International Business Machines Corporation | Web server intrusion detection method and apparatus |
| US6970920B2 (en) * | 2001-04-11 | 2005-11-29 | International Business Machines Corporation | Methods, systems and computer program products for communicating with unconfigured network devices on remote networks |
| US8438241B2 (en) * | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
| US7210168B2 (en) * | 2001-10-15 | 2007-04-24 | Mcafee, Inc. | Updating malware definition data for mobile data processing devices |
| US7743415B2 (en) * | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
| US20040162994A1 (en) * | 2002-05-13 | 2004-08-19 | Sandia National Laboratories | Method and apparatus for configurable communication network defenses |
| US20040148521A1 (en) * | 2002-05-13 | 2004-07-29 | Sandia National Laboratories | Method and apparatus for invisible network responder |
| KR20020075319A (ko) * | 2002-07-19 | 2002-10-04 | 주식회사 싸이버텍홀딩스 | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 |
| US7017186B2 (en) * | 2002-07-30 | 2006-03-21 | Steelcloud, Inc. | Intrusion detection system using self-organizing clusters |
| US20070094722A1 (en) * | 2003-05-30 | 2007-04-26 | International Business Machines Corporation | Detecting networks attacks |
-
2003
- 2003-11-20 US US10/558,848 patent/US20070094722A1/en not_active Abandoned
- 2003-11-20 KR KR1020057018428A patent/KR100877664B1/ko not_active IP Right Cessation
- 2003-11-20 AU AU2003280126A patent/AU2003280126A1/en not_active Abandoned
- 2003-11-20 EP EP03772503A patent/EP1629651A1/en not_active Withdrawn
- 2003-11-20 CN CNA2003801103005A patent/CN1771708A/zh active Pending
- 2003-11-20 WO PCT/IB2003/005328 patent/WO2004107706A1/en active Application Filing
- 2003-11-24 KR KR1020057018304A patent/KR100800370B1/ko not_active IP Right Cessation
- 2003-11-24 AU AU2003280190A patent/AU2003280190A1/en not_active Abandoned
- 2003-11-24 EP EP03772560A patent/EP1629652A1/en not_active Withdrawn
- 2003-11-24 WO PCT/IB2003/005453 patent/WO2004107707A1/en active Application Filing
- 2003-11-24 US US10/558,853 patent/US20070094728A1/en not_active Abandoned
- 2003-11-24 CN CN200380110301XA patent/CN1771709B/zh not_active Expired - Fee Related
-
2004
- 2004-05-03 TW TW093112419A patent/TWI333613B/zh not_active IP Right Cessation
-
2008
- 2008-05-29 US US12/128,834 patent/US8261346B2/en not_active Expired - Fee Related
- 2008-06-02 US US12/131,327 patent/US20080235799A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| TW200428203A (en) | 2004-12-16 |
| EP1629651A1 (en) | 2006-03-01 |
| US20070094728A1 (en) | 2007-04-26 |
| US20090070870A1 (en) | 2009-03-12 |
| CN1771709B (zh) | 2010-04-07 |
| KR20060013491A (ko) | 2006-02-10 |
| KR20060023952A (ko) | 2006-03-15 |
| EP1629652A1 (en) | 2006-03-01 |
| WO2004107706A1 (en) | 2004-12-09 |
| US8261346B2 (en) | 2012-09-04 |
| KR100800370B1 (ko) | 2008-02-04 |
| CN1771708A (zh) | 2006-05-10 |
| KR100877664B1 (ko) | 2009-01-12 |
| WO2004107707A1 (en) | 2004-12-09 |
| CN1771709A (zh) | 2006-05-10 |
| AU2003280190A1 (en) | 2005-01-21 |
| AU2003280126A1 (en) | 2005-01-21 |
| US20070094722A1 (en) | 2007-04-26 |
| US20080235799A1 (en) | 2008-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI333613B (en) | Method and apparatus for detecting attacks on a data communications network | |
| US7565550B2 (en) | Automatic registration of a virus/worm monitor in a distributed network | |
| JP2005135420A (ja) | ホストベースのネットワーク侵入検出システム、方法、およびコンピュータ可読媒体 | |
| WO2003069449A2 (en) | Computer virus control | |
| JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
| US8234503B2 (en) | Method and systems for computer security | |
| JP7102780B2 (ja) | 不正通信対処システム及び方法 | |
| US9143524B2 (en) | Propagation of malicious code through an information technology network | |
| US8661102B1 (en) | System, method and computer program product for detecting patterns among information from a distributed honey pot system | |
| JP2004086241A (ja) | コンピュータウィルス感染元検知システム | |
| CN100561492C (zh) | 网络攻击检测的方法和装置 | |
| WO2019240054A1 (ja) | 通信装置、パケット処理方法及びプログラム | |
| JP2009176137A (ja) | ウィルス被害範囲予測システム | |
| EP0980616B1 (en) | Network printer auto-detection method and system | |
| US20070083914A1 (en) | Propagation of malicious code through an information technology network | |
| JP2004146931A (ja) | パケット転送装置およびパケット転送装置の不正アクセス検知時に於ける情報通知方法 | |
| US20030200488A1 (en) | Method and network for containing the spread of damage from a network element subject to compromise | |
| JP2003281003A (ja) | システム稼動保証支援方法 | |
| JP4768064B2 (ja) | データ処理装置 | |
| JP2003324460A (ja) | アクセス制御時のエラーメッセージ表示方法およびゲートウェイ装置 | |
| JP2006086655A (ja) | 監視方法、監視装置及びコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |