TWI455546B - 利用快速變動網域技術之惡意網域之偵測方法與偵測系統 - Google Patents

利用快速變動網域技術之惡意網域之偵測方法與偵測系統 Download PDF

Info

Publication number
TWI455546B
TWI455546B TW100120010A TW100120010A TWI455546B TW I455546 B TWI455546 B TW I455546B TW 100120010 A TW100120010 A TW 100120010A TW 100120010 A TW100120010 A TW 100120010A TW I455546 B TWI455546 B TW I455546B
Authority
TW
Taiwan
Prior art keywords
domain
unit
network address
destination
checking
Prior art date
Application number
TW100120010A
Other languages
English (en)
Other versions
TW201251402A (en
Inventor
Hui Tang Lin
ying you Lin
Jui Wei Chiang
Meng Han Tsai
Original Assignee
Univ Nat Cheng Kung
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Univ Nat Cheng Kung filed Critical Univ Nat Cheng Kung
Priority to TW100120010A priority Critical patent/TWI455546B/zh
Publication of TW201251402A publication Critical patent/TW201251402A/zh
Application granted granted Critical
Publication of TWI455546B publication Critical patent/TWI455546B/zh

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

利用快速變動網域技術之惡意網域之偵測方法與偵測系統
本發明係關於一種惡意網域之偵測方法與偵測系統,特別關於一種利用快速變動網域技術之惡意網域之偵測方法與偵測系統。
近年來,用於從事惡意目的的殭屍網路(botnet)活動數量正與日俱增。惡意人士(botherder)可透過木馬程式(bot)來操控組織受感染的殭屍電腦(botnet zombie),這些電腦在平時可能不會有任何攻擊行為,而且透過變形和自我隱藏,也不太會被防毒軟體偵測到。
圖1為殭屍網路活動的示意圖,如圖1所示,一旦惡意人士想要發動攻擊時,只要在殭屍主機(botmaster)11下達一個指令,經由網路給中繼站(Command & Control Server)12,再透過中繼站來呼叫殭屍電腦13,就可組成為數眾多的殭屍網路,針對特定目標發動攻擊,例如垃圾郵件、釣魚網站、惡意軟體等等。
如今,網路犯罪者為了提升殭屍網路的存活率,避免被執法單位查獲,在殭屍網路架構中利用一種快速變動網域技術(fast-flux technology)來隱藏其行蹤,如此將大幅增加資安單位對殭屍網路偵測與追蹤之困難度。圖2為殭屍網路利用快速變動網域技術的示意圖,如圖2所示,當使用者發出網頁請求時,它會經過一個節點的輪轉(rotation)系統,再被導向殭屍主機。因此,使用者在不同時間發出的網頁請求,其所經過節點的網路位址(IP)皆不同,因而使得傳統透過IP網址來封鎖及識別垃圾郵件的方法不再那麼有效。
當然,最近也有針對利用快速變動網域技術之殭屍網路發展出偵測方法。在傳統偵測方法中,首先發出多個封包至一目的網域,然後記錄每次輪轉的網路位址,再依據所記錄之網路位址之相異程度來判斷該目的網域是否為惡意網域。然而,上述之偵測方法需要一段較長的時間來記錄網路位址,因而會產生偵測延遲的問題,因而降低偵測效能。
因此,如何提供一種惡意網域之偵測方法與偵測系統,能夠克服偵測延遲問題,實為當前重要課題之一。
有鑑於上述課題,本發明之目的為提供一種惡意網域之偵測方法與偵測系統,能夠克服偵測延遲問題並提升偵測效能。
為達上述目的,依據本發明之一種利用快速變動網域技術之惡意網域的偵測方法包含:一傳送步驟,係傳送複數封包至一目的網域;一路由記錄步驟,係記錄各該封包傳送至該目的網域所經過之至少一路由器之主機名稱;一路由檢查步驟,係檢查該主機名稱;以及一判斷步驟,係依據該路由檢查步驟之結果而判斷該目的網域是否為惡惡意網域。
在一實施例中,記錄步驟係記錄位於該目的網域之前的至少二路由器之主機名稱。並且路由檢查步驟係檢查該等路由器之主機名稱之一特定部分是否相同。
在一實施例中,偵測方法更包含一網路位址記錄步驟以及一網路位址檢查步驟。網路位址記錄步驟係記錄各封包傳送至目的網域之一網路位址。網路位址檢查步驟係檢查目的網域之多個網路位址。
在一實施例中,偵測方法更包含一自治系統號碼記錄步驟以及自治系統號碼檢查步驟。自治系統號碼記錄步驟係記錄各封包傳送至目的網域之一網路位址之自治系統號碼。自治系統號碼檢查步驟係檢查目的網域之網路位址之該等自治系統號碼。
在一實施例中,偵測方法更包含一傳送時間記錄步驟以及一傳送時間檢查步驟。傳送時間記錄步驟係記錄各封包傳送至目的網域之一網路位址之一傳送時間。傳送時間檢查步驟係檢查該等封包之該等傳送時間。
在一實施例中,判斷步驟更依據網路位址檢查步驟之結果、或自治系統號碼檢查步驟之結果、或傳送時間檢查步驟之結果而判斷目的網域是否為惡意網域。
為達上述目的,本發明另揭露一種偵測系統,其係用以偵測利用快速變動網域技術之惡意網域並包含一傳送單元、一記錄單元、一路由檢查單元以及一判斷單元。傳送單元係傳送複數封包至一目的網域。記錄單元係記錄各封包傳送至目的網域所經過之至少一路由器之主機名稱。路由檢查單元係檢查該主機名稱。判斷單元係依據路由檢查單元之結果而判斷目的網域是否為惡意網域。
在一實施例中,記錄單元係記錄位於目的網域之前的至少二路由器之主機名稱。此外,路由檢查單元係檢查該等路由器之主機名稱之一特定部分是否相同。
在一實施例中,記錄單元係記錄各封包傳送至目的網域之一網路位址。偵測系統更包含一網路位址檢查單元,其係檢查目的網域之多個網路位址。
在一實施例中,記錄單元係記錄各封包傳送至目的網域之一網路位址之自治系統號碼。偵測系統更包含一自治系統號碼檢查單元,其係檢查目的網域之網路位址之該等自治系統號碼。
在一實施例中,記錄單元係記錄各封包傳送至目的網域之一網路位址之傳送時間。偵測系統更包含一傳送時間檢查單元,其係檢查該等封包之該等傳送時間。
在一實施例中,判斷單元更依據網路位址檢查單元之結果、或自治系統號碼檢查單元之結果、或傳送時間檢查單元之結果而判斷目的網域是否為惡意網域。
承上所述,因本發明之偵測方法與偵測系統係記錄各封包傳送至目的網域所經過之至少一路由器之主機名稱,再檢查該主機名稱,並藉此判斷該目的網域是否為惡意網域。由於利用快速變動網域技術之惡意網域,其網路位址不斷在輪轉,且輪轉的區域很大,因此其路由器之主機名稱常常不相同,特別是在主機名稱最後面的路由網域名稱。因此,本發明利用這個特點來對惡意網域進行偵測,並不需要花太多時間,通常在針對目的網域之幾個網路位址進行偵測後,即能判斷該目的網域是否為惡意網域,進而解決偵測延遲問題,並大幅提升偵測效能。
以下將參照相關圖式,說明依本發明較佳實施例之一種惡意網域之偵測方法與偵測系統,其中相同的元件將以相同的參照符號加以說明。
圖3為本發明較佳實施例之一種惡意網域之偵測方法的流程圖,且該惡意網域利用快速變動網域技術(fast-flux)進行惡意攻擊。偵測方法包括以下步驟:
步驟S01:一傳送步驟,係傳送複數封包至一目的網域。
步驟S02:一路由記錄步驟,係記錄各封包傳送至目的網域所經過之至少一路由器之主機名稱。
步驟S03:一路由檢查步驟,係檢查該主機名稱。
步驟S04:一判斷步驟,係依據路由檢查步驟之結果而判斷目的網域是否為惡意網域。
圖4為本發明較佳實施例之一種惡意網域之偵測方法之環境的示意圖。請搭配圖3與圖4所示,以說明本發明之惡意網域之偵測方法。
首先,藉由一偵測系統2傳送複數封包至一目的網域。假定該目的網域為一惡意網域,其具有複數網路位址(網路位址1、網路位址2、…、網路位址N)在輪轉。
當偵測系統2傳送封包之後,會被網域名稱服務器(Domain Name Server,DNS)導向目的網域所對應的其中一網路位址,而該封包係經過一些路由器(由路由器1、路由器2、…路由器N選出)而到達目的網域之網路位址,例如是網路位址1。而偵測系統2係將所經過之至少一路由器之主機名稱(host name)記錄下來。
在偵測系統2傳送多個封包並將其經過之路由器記錄下來之後,偵測系統2係檢查該等主機名稱,並依據路由檢查步驟之結果而判斷目的網域是否為惡意網域。
下表分別為應用本發明之偵測方法針對某一惡意網域(以collagegangbang.net為例)與正常網域(以Yahoo.com為例)所記錄之路由器主機名稱的對照表。
上表僅列出到達該目的網域之各網路位址倒數2個路由器之主機名稱。於此舉例說明倒數2個路由器之定義,若封包依序經過路由器3、路由器1、…、路由器6、路由器5而到達網路位址,則路由器6及路由器5為倒數2個路由器。
各別來看,在這一段偵測的時間中,collagegangbang.net網域測得其具有6個網路位址在輪轉,且在到達網路位址之倒數2個路由器之主機名稱有包含rostelecom.ru、columbus-networks.com、comcast.net、rr.com、proxad.net、bboi.net、charter.com等7種不同的路由網域名稱,並且97.81.81.66之網路位址就具有2種不同的路由網域名稱(bboi.net、charter.com)。於此,路由網域名稱為主機名稱之一特定部分,其係指主機名稱最後面的部分,如上表中的粗體加底線字,例如rostelecom.ru、columbus-networks.com、comcast.net、rr.com、proxad.net、bboi.net、charter.com。
反觀,在這一段偵測的時間中,Yahoo.com網域測得其具有5個網路位址在輪轉,且在到達網路位址之倒數2個路由器之主機名稱僅包含yahoo.com之路由網域名稱,且各網路位址所對應的多個路由網域名稱皆相同。
上述關於惡意網域與正常網域之路由器主機名稱的差異性即為本發明之路由檢查步驟之基礎。當然,路由檢查步驟可在此基礎上延伸,例如僅檢查倒數幾個路由器之主機名稱、或僅檢查主機名稱之路由網域名稱,藉此可提升檢查速度。另外,還可作一些搭配或計算式而產生一檢查值,例如檢查值可至少包含相異路由網域名稱之個數作為一參數,以及同一網路位址所包含之相異路由網域名稱之個數作為一參數。
在進行完路由檢查步驟之後,即可依據路由檢查步驟之結果而判斷目的網域是否為惡意網域,其例如是若路由檢查步驟所得到之一檢查值大於一預設值時,判斷該目的網域為惡意網域。當然,上述判斷機制僅為舉例說明,並非用以限制本發明;另外也可只用相異之路由網域名稱的個數來作判斷、或利用其他參數來作判斷。
除了上述利用路由檢查步驟來進行惡意網域的判斷之外,也可以利用其他檢查步驟來輔助惡意網域的判斷。以下舉例說明。
本實施例之偵測方法可更包含:一網路位址記錄步驟,其係記錄各封包傳送至目的網域之一網路位址;以及一網路位址檢查步驟,其係檢查目的網域之多個網路位址。當網路位址檢查步驟完成之後,判斷步驟可更依據網路位址檢查步驟之結果而判斷目的網域是否為惡意網域。
請參照圖4所示,當偵測系統2傳送多個封包至目的網域時,由於目的網域之網路位址會輪轉,因此各封包所傳送到的網路位址亦不同。網路位址記錄步驟係記錄各封包傳送至目的網域的網路位址,然後網路位址檢查步驟係檢查目的網域之多個網路位址。通常,惡意網域所輪轉的網路位址會很多;而正常網域的網路位址較少,而且正常網域之多個網路位址輪轉係利用循環式網域名稱服務(Round-Robin DNS,RR-DNS)而達到負載平衡之目的。由於網路位址檢查步驟為傳統的檢查,故其細節於此不再贅述。
本實施例之偵測方法可更包含:一自治系統號碼(Autonomous System Number,ASN)記錄步驟,其係記錄各封包傳送至目的網域之一網路位址之自治系統號碼;以及一自治系統號碼檢查步驟,其係檢查目的網域之網路位址之該等自治系統號碼。當自治系統號碼檢查步驟完成之後,判斷步驟可更依據自治系統號碼檢查步驟之結果而判斷目的網域是否為惡意網域。
美國網際網路編號註冊(ARIN)為每一網路服務供應商分派16位元識別號碼給每個自治系統的管理者,即為自治系統號碼。通常,惡意網域之節點分佈於較廣的區域,且其網路位址不斷輪轉以免被抓到,因而偵測系統2在同一區域發出多個封包時,會收到多個不同的自治系統號碼;而正常網域的自治系統號碼之網路位址所輪轉的區域較小,因而偵測系統2在同一區域發出多個封包時,通常只收到同一個自治系統號碼。因此,自治系統號碼亦可作為惡意網域之判斷參數。
本實施例之偵測方法可更包含:一傳送時間記錄步驟,其係記錄各封包傳送至目的網域之一網路位址之一傳送時間;以及一傳送時間檢查步驟,其係檢查該等封包之該等傳送時間。當傳送時間記錄步驟完成之後,判斷步驟可更依據傳送時間記錄步驟之結果而判斷目的網域是否為惡意網域。
通常,惡意網域之節點較分散,因而目的網域之一些網路位址若離偵測系統2之所在位置太遠,則封包的傳送時間會較久;而正常網域的節點常會設置在一些主要區域上,使得偵測系統2所在位置離正常網域不會太遠,因而封包傳送時間較短。因此封包的傳送時間亦可作為惡意網域之判斷參數。於此,封包之傳送時間可例如為單程傳送的時間、或來回傳送的時間、或來回傳送的平均時間。下表為應用本發明之偵測方法所得到之一些正常網域與惡意網域所對應的傳送時間。
由表可知,正常網域的傳送時間皆小於100ms,而惡意網域的傳送時間皆大於100ms。當然,100ms並非絕對的比較值,而僅為舉例說明。由上表可知,封包的傳送時間亦可作為惡意網域之判斷參數。
圖5為本發明較佳實施例之一種偵測系統2的方塊示意圖,偵測系統2係偵測利用快速變動網域技術之惡意網域,並包含一傳送單元21、一記錄單元22、一路由檢查單元23以及一判斷單元24。傳送單元21係傳送複數封包至一目的網域。記錄單元22係記錄各封包傳送至目的網域所經過之至少一路由器之主機名稱。路由檢查單元23係檢查該主機名稱。判斷單元24係依據路由檢查單元之檢查結果而判斷目的網域是否為惡意網域。
另外,記錄單元22係記錄位於目的網域之前的至少二路由器之主機名稱。且路由檢查單元23係檢查該等路由器之主機名稱之一特定部分是否相同,該特定部分例如是路由網域名稱。
另外,記錄單元22係記錄各封包傳送至目的網域之一網路位址。偵測系統2更包含一網路位址檢查單元25,其係檢查目的網域之多個網路位址。
另外,記錄單元22係記錄各封包傳送至目的網域之一網路位址之自治系統號碼。偵測系統2更包含一自治系統號碼檢查單元26,其係檢查目的網域之網路位址之該等自治系統號碼。
另外,記錄單元22係記錄各封包傳送至目的網域之一網路位址之傳送時間。偵測系統更包含一傳送時間檢查單元27,其係檢查該等封包之該等傳送時間。
判斷單元24可更依據網路位址檢查單元25之結果、或自治系統號碼檢查單元26之結果、或傳送時間檢查單元27之結果而判斷目的網域是否為惡意網域。由於上述判斷機制已於偵測方法中一併詳述,故於此不再贅述。
綜上所述,因本發明之偵測方法與偵測系統係記錄各封包傳送至目的網域所經過之至少一路由器之主機名稱,再檢查該主機名稱,並藉此判斷該目的網域是否為惡意網域。由於利用快速變動網域技術之惡意網域,其網路路位址不斷在輪轉,且輪轉的區域很大,因此其路由器之主機名稱常常不相同,特別是在主機名稱最後面的路由網域名稱。因此,本發明利用這個特點來對惡意網域進行偵測,並不需要花太多時間,通常在針對目的網域之幾個網路位址進行偵測後,即能判斷該目的網域是否為惡意網域,進而解決偵測延遲問題,並大幅提升偵測效能。
以上所述僅為舉例性,而非為限制性者。任何未脫離本發明之精神與範疇,而對其進行之等效修改或變更,均應包含於後附之申請專利範圍中。
11...殭屍主機
12...中繼站
13...殭屍電腦
2...偵測系統
21...傳送單元
22...記錄單元
23...路由檢查單元
24...判斷單元
25...網路位址檢查單元
26...自治系統號碼檢查單元
27...傳送時間檢查單元
S01~S04...惡意網域之偵測方法的步驟
圖1為殭屍網路活動的示意圖;
圖2為殭屍網路利用快速變動網域技術的示意圖;
圖3為本發明較佳實施例之一種惡意網域之偵測方法的流程圖;
圖4為本發明較佳實施例之一種惡意網域之偵測方法之環境的示意圖;以及
圖5為本發明較佳實施例之一種偵測系統的方塊示意圖。
S01~S04...惡意網域之偵測方法的步驟

Claims (12)

  1. 一種利用快速變動網域技術之惡意網域的偵測方法,包含:一傳送步驟,係傳送複數封包至一目的網域;一路由記錄步驟,係記錄各該封包傳送至該目的網域所經過之至少一路由器之主機名稱;一自治系統號碼記錄步驟,記錄各該封包傳送至該目的網域之一網路位址之自治系統號碼;一路由檢查步驟,係檢查該主機名稱;一自治系統號碼檢查步驟,檢查該目的網域之網路位址之該等自治系統號碼;以及一判斷步驟,係依據該路由檢查步驟及該自治系統號碼檢查步驟之結果而判斷該目的網域是否為惡意網域,其中當該路由檢查步驟及該自治系統號碼檢查步驟所得到之一檢查值大於一預設值時,判斷該目的網域為惡意網域。
  2. 如申請專利範圍第1項所述之偵測方法,其中該記錄步驟中,係記錄位於該目的網域之前的至少二路由器之主機名稱。
  3. 如申請專利範圍第2項所述之偵測方法,其中該路由檢查步驟中,係檢查該等路由器之主機名稱之一特定部分是否相同。
  4. 如申請專利範圍第1項所述之偵測方法,更包含: 一網路位址記錄步驟,記錄各該封包傳送至該目的網域之一網路位址;以及一網路位址檢查步驟,檢查該目的網域之多個網路位址。
  5. 如申請專利範圍第1項所述之偵測方法,更包含:一傳送時間記錄步驟,記錄各該封包傳送至該目的網域之一網路位址之一傳送時間;以及一傳送時間檢查步驟,檢查該等封包之該等傳送時間。
  6. 如申請專利範圍第1、4及5項之任一項所述之偵測方法,其中該判斷步驟更依據該網路位址檢查步驟之結果、或該自治系統號碼檢查步驟之結果、或該傳送時間檢查步驟之結果而判斷該目的網域是否為惡意網域。
  7. 一種偵測系統,係用以偵測利用快速變動網域技術之惡意網域,包含:一傳送單元,係傳送複數封包至一目的網域;一記錄單元,係記錄各該封包傳送至該目的網域所經過之至少一路由器之主機名稱,及記錄各該封包傳送至該目的網域之一網路位址之自治系統號碼;一路由檢查單元,係檢查該主機名稱;一自治系統號碼檢查單元,係檢查該目的網域之網路位址之該等自治系統號碼;以及一判斷單元,係依據該路由檢查單元及該自治系統號碼檢查單元之結果而判斷該目的網域是否為惡意網 域,其中當該路由檢查單元及該自治系統號碼檢查單元所得到之一檢查值大於一預設值時,判斷該目的網域為惡意網域。
  8. 如申請專利範圍第7項所述之偵測系統,其中該記錄單元係記錄位於該目的網域之前的至少二路由器之主機名稱。
  9. 如申請專利範圍第8項所述之偵測系統,其中該路由檢查單元係檢查該等路由器之主機名稱之一特定部分是否相同。
  10. 如申請專利範圍第7項所述之偵測系統,其中該記錄單元係記錄各該封包傳送至該目的網域之一網路位址,該偵測系統更包含:一網路位址檢查單元,檢查該目的網域之多個網路位址。
  11. 如申請專利範圍第7項所述之偵測系統,其中該記錄單元係記錄各該封包傳送至該目的網域之一網路位址之傳送時間,該偵測系統更包含:一傳送時間檢查單元,係檢查該等封包之該等傳送時間。
  12. 如申請專利範圍第7、10及11項之任一項所述之偵測系統,其中該判斷單元更依據該網路位址檢查單元之結果、或該自治系統號碼檢查單元之結果、或該傳送時間檢查單元之結果而判斷該目的網域是否為惡 意網域。
TW100120010A 2011-06-08 2011-06-08 利用快速變動網域技術之惡意網域之偵測方法與偵測系統 TWI455546B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW100120010A TWI455546B (zh) 2011-06-08 2011-06-08 利用快速變動網域技術之惡意網域之偵測方法與偵測系統

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW100120010A TWI455546B (zh) 2011-06-08 2011-06-08 利用快速變動網域技術之惡意網域之偵測方法與偵測系統

Publications (2)

Publication Number Publication Date
TW201251402A TW201251402A (en) 2012-12-16
TWI455546B true TWI455546B (zh) 2014-10-01

Family

ID=48139457

Family Applications (1)

Application Number Title Priority Date Filing Date
TW100120010A TWI455546B (zh) 2011-06-08 2011-06-08 利用快速變動網域技術之惡意網域之偵測方法與偵測系統

Country Status (1)

Country Link
TW (1) TWI455546B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10574695B2 (en) 2017-07-20 2020-02-25 Chunghwa Telecom Co., Ltd. Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium
TWI764618B (zh) * 2020-10-19 2022-05-11 新加坡商賽博創新新加坡股份有限公司 網路資安威脅防護系統及相關的前攝性可疑網域示警系統
US11558352B2 (en) 2020-10-19 2023-01-17 Cycraft Singapore Pte. Ltd. Cyber security protection system and related proactive suspicious domain alert system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI634769B (zh) * 2016-09-20 2018-09-01 中華電信股份有限公司 Method for detecting domain name transformation botnet through proxy server log

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090007227A1 (en) * 1998-08-14 2009-01-01 Azos Ai Llc System and method of data cognition incorporating autonomous security protection
CN102045215A (zh) * 2009-10-21 2011-05-04 成都市华为赛门铁克科技有限公司 僵尸网络检测方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090007227A1 (en) * 1998-08-14 2009-01-01 Azos Ai Llc System and method of data cognition incorporating autonomous security protection
CN102045215A (zh) * 2009-10-21 2011-05-04 成都市华为赛门铁克科技有限公司 僵尸网络检测方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10574695B2 (en) 2017-07-20 2020-02-25 Chunghwa Telecom Co., Ltd. Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium
TWI764618B (zh) * 2020-10-19 2022-05-11 新加坡商賽博創新新加坡股份有限公司 網路資安威脅防護系統及相關的前攝性可疑網域示警系統
US11558352B2 (en) 2020-10-19 2023-01-17 Cycraft Singapore Pte. Ltd. Cyber security protection system and related proactive suspicious domain alert system

Also Published As

Publication number Publication date
TW201251402A (en) 2012-12-16

Similar Documents

Publication Publication Date Title
US8661544B2 (en) Detecting botnets
US10587637B2 (en) Processing network traffic to defend against attacks
KR101863024B1 (ko) 분산 로드 밸런서
JP4667437B2 (ja) 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
US9455995B2 (en) Identifying source of malicious network messages
JP6026789B2 (ja) ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法
US8213326B2 (en) Method and apparatus for the classification of ports on a data communication network node
US9654493B2 (en) Network accountability among autonomous systems
TWI455546B (zh) 利用快速變動網域技術之惡意網域之偵測方法與偵測系統
EP3545451B1 (en) Automatic forwarding of access requests and responses thereto
CN105490995B (zh) 一种在nvo3网络中nve转发报文的方法和设备
CN105812318B (zh) 用于在网络中防止攻击的方法、控制器和系统
US10326794B2 (en) Anycast-based spoofed traffic detection and mitigation
JP4931881B2 (ja) ホワイトリストを利用したサーバ割り当てシステムおよびその方法
TWI677803B (zh) 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體
Aldaoud et al. Detecting and mitigating DHCP attacks in OpenFlow-based SDN networks: a comprehensive approach
JP2008535304A5 (zh)
US11799902B2 (en) Dynamically scaled DDOS mitigation
JP2015029207A (ja) 制御装置、通信システム、および、通信制御方法
US10951650B2 (en) Detection of network sniffing activity
Goyal Analysis of Different Techniques for Risk Mitigation of Distrubuted Denial of Service Attack
JP4768064B2 (ja) データ処理装置
Brustoloni et al. Efficient detection of bots in subscribers' computers
JP2006211088A (ja) データ処理装置
Ahn et al. Active host information-based abnormal IP address detection

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees