TWI489820B - 一種追蹤攻擊來源之方法 - Google Patents
一種追蹤攻擊來源之方法 Download PDFInfo
- Publication number
- TWI489820B TWI489820B TW100100026A TW100100026A TWI489820B TW I489820 B TWI489820 B TW I489820B TW 100100026 A TW100100026 A TW 100100026A TW 100100026 A TW100100026 A TW 100100026A TW I489820 B TWI489820 B TW I489820B
- Authority
- TW
- Taiwan
- Prior art keywords
- autonomous system
- data
- router
- attack
- suspicious
- Prior art date
Links
Description
本發明係關於一種追蹤攻擊來源之方法,特別係關於一種透過利用主治系統為追縱單位的同時利用自治系統號以追蹤攻擊源,藉以追蹤攻擊來源之方法。
分散式阻斷服務攻擊,通常簡稱為DDoS或DoS(Distributed Denial of Service)。顧名思義,即是利用網路上已被攻陷的電腦向某一特定的目標電腦發動密集式的拒絕服務要求,並藉以將目標電腦的網路資源及系統資源耗盡,使之無法向真正之正常請求的使用者提供服務。駭客透過將大量被植入程式碼之使用者組成喪屍網路(Botnet),並對網站進行大規模分散式阻斷服務攻擊以癱瘓預定標的,及/或受雇攻擊競爭對手等商業活動。
現存之技藝中,有數種方式可應對分散式阻斷服務攻擊,其等分別為網路協議追蹤技術(IP traceback)、鏈級測試(Link testing)、封包登入(Packet Logging)、ICMP追綜法(ICMP Traceback)、封包標記法(Packet Marking)等習知技藝。
其中,自治系統號需佔用16個位元(bit)以記錄其資料,而網路協議(IP、Internet Protocol)則需佔用32個位元。再者,相對較於網路協議可以於一指定範圍內簡單的重置或改變,自治系統號係相對較穩定,再者,其位元大小除了與其佔用之空間大小有關外,其空間需求係反比於其使用時之錯誤率。
請參閱圖一A,圖一A繪示先前技藝利用網路協議層級的攻擊路徑示意圖。請見圖一A,該先前技術係利用網路協議層級中繼段(IP Level Hop)以作為攻擊路徑的追蹤。請參閱圖一A,由圖中可見於建構攻擊路徑(以虛線表示)時,若使用網路協議,則受害端11與攻擊端12的攻擊路徑係距離間隔8個中繼段13且經過9個路由器14。
請參閱圖一B,圖一B繪示根據本發明的一先前技藝之利用自治系統的攻擊路徑示意圖。請見圖一B,當使用自治系統16作為攻擊路徑追蹤時,各個路由器14均被分類成自治系統內部路由器162以及自治系統邊界路由器164。內部路由器162只接收以及傳送同一個自治系統16的封包,而自治系統邊界路由器164則係以將一個自治系統16內部的封包,轉傳送往其他的自治系統16,快速自治系統追蹤技術則係利用自治系統16為單位,來追縱攻擊的來源。在對路由器以自治系統16為單位進行區分後,則受害端11與攻擊端12的攻擊路徑,係距離間隔減少至2個中繼段13。此舉大幅的減少了受害端與攻擊端間的中繼段13之數量。根據快速自治系統追蹤技術,受害端透過組合上述少數封包中的標記,則可透過獨立系統地圖(AS MAP)來回饋攻擊路徑。
雖然,上述快速自治系統追蹤技術(Fast AS Traceback、FAST)可利用少數封包即可成功追蹤攻擊來源,然而其亦有其限制。快速自治系統追蹤技術的標記需佔用25位元,其中繼段(hop)佔用3個位元,主機型入侵偵測(Hid、Host Intrusion detection)佔用2個位元,其他的20個位元則分別預先分隔為5個分別佔4位元的外加節點儲存空間,其意味著封包只能儲存不大於五個中繼點的資訊。再者,上述的快速自治系統追蹤技術在路徑長度小於4時,於發生散列碰撞(hash collision)而導致其將具有高誤判率的狀況。
另外,上述的各種先前技藝的另一個問題是在於上述的技藝對入侵偵測系統(IDS)的精度要求相常的高。然而,在實際的狀況中,攻擊封包與正常封包含混合於一封包串流當中一併傳予受害端,入侵偵測系統會將部份的正常封包誤判為攻擊封包,而使傳送正常封包的中繼段有相對較高的機會被判斷為攻擊端頭。
現存的技藝僅能於攻擊者使用的中繼段數量較小時方可成功的被追蹤,中繼段的數量大多受到其檔案的大小所限制。當攻擊者使用的中繼段數量較先前技藝所能負擔的為多時,其之攻擊的受害端將有很大的機會無法追蹤攻擊的源頭。要如何開發出一種不受中繼段數量限制且具有高辨別能力的攻擊端頭重組方法,即為本發明所欲解決的最主要的問題。
有鑑於此,本發明之一範疇在於提供一種追蹤攻擊來源之方法。
根據本發明之一具體實施例,本發明提供一種追蹤攻擊來源之方法,其係用以計算網路攻擊之攻擊路徑,本發明方法包含有步驟(S1)擷取複數個封包、步驟(S2)根據該複數個封包取得複數個可疑節點、步驟(S3)根據該複數個可疑節點之一節點資訊,來取得可疑節點間之複數個路徑、步驟(S4)過濾該複數個可疑節點中之至少一無效節點及其相對應之該路徑。
再者,於實際應用時,該步驟(S2)進一步包含子步驟(S21)分別自該複數個封包擷取複數個標記資料;以及子步驟(S22)分別根據該複數個標記資料,以取得相對應之自治系統號(ASN)。其中,步驟(S22)亦進一步包含子步驟(S221)分別自該複數個標記資料取得一散列自治系統數值(HASN)以及子步驟(S222)分別根據該散列自治系統數值(HASN)於一相對應之查找表(Lookup Table)取得相對應之該自治系統號。
另外,於實際應用時,步驟(S3)進一步包含子步驟(S31)擷取該可疑節點之該節點資訊以及一認證資訊、子步驟(S32)判斷該認證資訊是否合乎該節點資訊,若是,則記綠該可疑節點之該節點資訊以及該可疑節點之一自治系統號;以及子步驟(S33)根據該可疑節點之節點資訊以及該自治系統號,建立該可疑節點間之複數個路徑。
再者,於實際應用時,步驟(S4)進一步包含子步驟(S41)根據該封包中之一距離資料,以過濾該複數個可疑節點中之至少一無效節點及其相對應之該路徑。
據此,相較於習知技術,本發明揭露一種追蹤攻擊來源之方法,其在透過利用主治系統為追縱單位的同時,利用自治系統號以追蹤攻擊源。同時本發明將封包之標記資料分割成指定大小的子標記,再將其嵌設於原始網路協議標頭(IP header field),以使其在不受中繼段數量限制之同時並可具有高辨別能力。
為使本發明能更清楚的被說明,請參照以下本發明詳細說明及其中所包括之實例可更容易地理解本發明。
本說明書僅對本發明之必要元件作出陳述,且僅係用於說明本發明其中之可能之實施例,然而說明書之記述應不侷限本發明所主張之技術本質的權利範圍。除非於說明書有明確地排除其可能,否則本發明並不侷限於特定方法、流程、功能或手段。亦應瞭解的是,目前所述僅係本發明可能之實施例,在本發明之實施或測試中,可使用與本說明書所述材料相類似或等效之任何方法、流程、功能或手段。
除非有另外定義,否則本說明書所用之所有技術及科學術語,皆具有與熟習本發明所屬技術者通常所瞭解的意義相同之意義。儘管在本發明之實施或測試中,可使用與本說明書所述方法及材料相類似或等效之任何方法及手段,但本說明書目前所述者僅係實例方法及材料。
再者,本說明書中所提及之一數目以上或以下,係包含數目本身。且應瞭解的是,本說明書揭示執行所揭示功能之某些方法、流程,均存在多種可執行相同功能之與所揭示結構有關之結構,且上述之結構通常均可達成相同結果。
為清楚說明本發明,在此將先針對專有名詞作出說明。首先,本文中所提及之自治系統,係指Autonomous System,簡稱AS。在互聯網中,一個自治系統(AS)是一個有權自主地決定在本系統中,應採用何種路由式通訊協定的小型單位。這個網路單位可以是一個簡單的網路,亦可為是由一個或多個普通的網路系統管理員所控制的網路群體,它可以是一個單獨的可管理的網路單元(例如一所大學,一個企業或者一個公司個體)。一個自治系統有時也被稱為是一個路由選擇域(routing domain)。其中,每個自治系統會對節點分配一個全域的唯一的號碼,該號碼稱為做自治系統號(ASN)。因為自治系統號是區別整個相互連接的網路中的各個網路的唯一標識,所以這個自治系統編號非常重要。網際網路地址分派機構將64512到65535的自治系統號保留給私有網路使用。
在封包經過每一個路由器之同時,各個路由器均會對封包進行標記編碼;以下將標記編碼分為編碼之格式以及編碼之方法兩部份,以茲說明。
本發明對封包之標記編碼可分為兩種格式,當封包經過自治系統邊界路由器時,自治系統邊界路由器將以第一路由器(First Router,FR)格式對標記進行編碼。在第一路由器格式中,其能傳遞四種不同的資料,其等分別為節點資料(Node Information)、路由名單資料(Router ID Information)、連結資料(Link Information)以及距離資料(Distance Information)。其中,在第一路由器格式中,路由名單以及連結資料係被匯整為一區域欄(CHUNK field)。
而當封包經過自治系統內部網路路由器時,第二路由器(Next Router,NR)將以第二路由器格式對標記進行編碼行為。第二路由器格式可傳遞三種不同的資料,別為節點資料(Node Information)、連結資料(Link Information)以及距離資料(Distance Information)。透過此編碼方法,受害端得以得到攻擊者之各種不同層面的資訊。
節點資料(Node Information)讓受害端得以在攻擊路徑中覓得可疑的節點。透過收集足夠的封包,受害端可根據封包中的標記來反推出完整的攻擊路徑。另外,透過使用散列函数,本發明亦得以在重新建構攻擊路徑的同時,減少可疑的節點數量。
請一併參閱圖二A及圖二B,圖二A係繪述本發明之較佳實施例之第一路由器格式之示意圖。圖二B係繪述本發明之較佳實施例之第二路由器格式之示意圖。
請參閱圖二A,由圖可見自治系統數包含16個位元之資料,在經過散列處理後,其將轉換為散列自治系統數值(Hashed AS Number,HASN),散列自治系統數值包含88個位元。而該88位元之散列自治系統數值,又將以11位元為單位分成8等份。請參閱圖二B,由圖二B可見16位元之自治系統號經散列處理後,將被轉換成48位元之散列自治系統數值,而該48位元之散列自治系統數值係被等分成四份,每份12個位元。
路由名單資料(Router ID Information),讓受害端得以透過自治系統邊界路由器(ASBR)得知攻擊端之可能名單。假設每個自治系統之自治系統邊界路由器(ASBR)數量係小於4096個,以使其可透過12位元組來容納4096個名單組合。
請參閱圖三,圖三係繪述本發明的較佳實施例之第一由路器格式的區域欄形成方式之示意圖。請參閱圖三,自治系統邊界路由器名單為12位元,經散列處理後產生一6位元之散列自治系統數值認證資料。而連結資料則包含16個位元,其經散列處理後,則產生包含6個位元之散列自治系統數值認證。將上述共包含40位元之資料整合成一區域欄(CHUNK)並以每份5位元區分為8等份。
請參閱圖四,圖四係繪述本發明的較佳實施例之第二由路器格式連結資料形成方式的示意圖。透過連結資料,受害端得反推攻擊路線所經過之自治系統。於本較佳實施例中,當連接資料為第二路由器格式時,其包含16個位元,而其經散列處理後之散列自治系統數值認證則佔用4位元,其係整合至區域欄並區分為4等份。
距離資料得以讓受害端得知攻擊路徑之長短,此資料在區別攻擊端頭以及中介之節點時非常重要。本發明應用了Aldo所著“An Autonomous System Tracebackto Counter Large-Scale Anonymous Attack in Internet”一文中之方式,以計算並取得距離資料。其中距離資料又可分為第一距離(D1)以及第二距離(D2),該第一距離及第二距離係分別定義為攻擊原點與最後之路由器的距離,以及最後之路由器與現在封包間之距離。
簡而言之,封包的標記資料係由25個位元所組成,當標記為第一路由器格式時,其係分別為3個位元的主機型入侵偵測資料(Hid)、11個位元的散列自治系統數值資料(HASN)、5個位元的區域欄(CHUNK)資料、3個位元的第一距離資料(D1),以及3個位元的第二距離資料(D2)所組成。
而當封包的標記為第二路由器格式時,標記資料係分別由2個位元的主機型入侵偵測資料(Hid)、12個位元的散列自治系統數值資料(HASN)、5個位元的區域欄(CHUNK)資料、3個位元的第一距離資料(D1),以及3位元的第二距離資料(D2)所組成。
於本較佳實施例中,封包中的標記一步包含佔用了25位元的多載原始網路協議標頭(IP Header Overloading),有鑑於多載原始網路協議標頭的說明已見於他習知的文獻中,故於此將不多加說明。以上為本發明的編碼格式,接下來將針對編碼的方法進行說明。於本發明的較佳實施例中,本發明係利用固定式封包標記法(Deterministic Packet Marking)配合機率運算法來對封包進行標記編碼。
每個通過節點的封包內的標記中之距離資料,均會被標記路由器進行標記,其會對封包原來的距離資料進行累加。再者,除此以外,該封包亦有一定的概率會被標記上標記路由器之自治系統資料。對個別封包進行標記之機率,係取決於每個封包間之距離。於本較佳實施例中,本發明係使用2007年發表於Computer Networks第51(3)期,第866-882頁中所發表之動態封包標記機率法配合標注許可方針(Dynamic Packet Marking Probability with Remarking-allowed Policy)技術為之,然而其不限於以上的方式,按使用者的需要其亦可自由利用其他相關的算運法來取代。
當封包經過自治系統邊界路由器(ASBR)時,自治系統邊界路由器將以下列的運算法,對封包的標記進行運算及處理。
當封包經過自治系統內部網路路由器(ASIR)時,自治系統邊界路由器將以下列的運算法,對封包的標記進行運算及處理。
由上述的運算法,可得知在第一路由器格式時,路由器將會對每個封包的隨機部份進行標記,同時將D1以及D2歸零。而當在第二路由器格式時,路由器則將對封包的D2值進行累加。
以上的步驟會於封包到達受害端所屬的自治系統前持續進行。受害端透過拆解封包中的標記則可則可推斷出該攻擊的源為何。
在說明標記的格式後,以下將對如何還原該標記以追蹤攻擊者的位置及其攻徑路作一說明。
請參閱圖五,圖五揭露了根據本發明的較佳實施例之流程圖。由圖五可見,本發明之追蹤攻擊來源方法包含步驟(S1)擷取複數個封包;步驟(S2)根據該複數個封包取得複數個可疑節點;步驟(S3)根據該複數個可疑節點之一節點資訊,來取得可疑節點間之複數個路徑;以及步驟(S4)過濾該複數個可疑節點中之至少一無效節點及其相對應之該路徑。
在受害端受到攻擊時,受害端收集攻擊方傳送的封包後,會對該封包進行拆解並根據該封包內的資料,對封包攻擊路徑上曾經向封包進行標記的路由器要求相對應於封包的局部資料,受害端因而得以利用該局部資料得知該攻擊行為的各種資料。
再者,封包內部亦包含有一標記資料。按其標記資料格式的種類的不同,其所包含的內容亦有差異。當標記為第一路由器格式時,其係分別為3個位元的主機型入侵偵測資料(Hid)、11個位元的散列自治系統數值(HASN)資料、5個位元的區域欄(CHUNK)資料、3個位元的第一距離資料(D1),以及3個位元的第二距離資料(D2)所組成。而當封包的標記為第二路由器格式時,標記資料則係分別由2個位元的主機型入侵偵測資料(Hid)、12個位元的散列自治系統數值(HASN)資料、5個位元的區域欄(CHUNK)資料、3個位元的第一距離資料(D1),以及3位元的第二距離資料(D2)所組成。
其中,步驟(S2)進一步包含子步驟(S21)以及子步驟(S22),子步驟(S21)為分別自該複數個封包擷取複數個標記資料;子步驟(S22)分別根據該複數個標記資料,以取得相對應之自治系統號(ASN);再者,子步驟(S22)進一步包含子步驟(S221)分別自該複數個標記資料取得一散列自治系統數值(HASN);以及子步驟(S222)分別根據該散列自治系統數值(HASN)於一相對應之查找表(Lookup Table),取得相對應之該自治系統號。
於本具體實施例中,子步驟(S 221)及(S222)中的標記資料為散列自治系統數值(HASN)資料。透過將該散列自治系統數值(HASN)資料,與相對應的查找表(Look Up Table)進行比對,便可得出原始的自治系統數值(ASN)。查找表的選用則與標記資料的格式有關,第一路由器格式及第二路由器格式,均具有與其相對應的查找表。請一併參閱見圖六A及圖六B,圖六A係繪述本發明之較佳實施例的適用於第一路由器格式之查找表。圖六B係繪述本發明之較佳實施例的適用於第二路由器格式之查找表。
步驟(S3)根據該複數個可疑節點之一節點資訊,來取得可疑節點間之複數個路徑。其中,步驟(S3)又進一步包含子步驟(S31)擷取該可疑節點之該節點資訊以及一認證資訊;子步驟(S32)判斷該認證資訊是否合乎該節點資訊,若是,則記綠該可疑節點之該節點資訊以及該可疑節點之一自治系統號;以及子步驟(S33)根據該可疑節點之節點資訊以及該自治系統號,來建立該可疑節點間之複數個路徑。
上述的節點資訊為各個可疑節點的區域欄(CHUNK)資料或連結資料(Link)。當標記為處於第一路由器格式時,則對區域欄(CHUNK)資料進行檢查,若當標記為處於第二路由器格式時,則對連結資料(Link)進行檢查。請一併參閱見圖七A及圖七B,圖七A係繪述本發明之較佳實施例的第一路由器格式之擷取區域欄資料的示意圖;圖七B係繪述本發明之較佳實施例的第二路由器格式之擷取連結資料的示意圖。
在取得可疑節點的區域欄(CHUNK)資料或連結資料(Link)後,則利用其之相對應的散列認證資料與其相互比對以進行認證,以完成可疑節點間的複數個路徑。請一併參閱圖八A及圖八B,圖八A係繪述了本發明之一具體實施例的區域欄資料之認證過程示意圖。圖八B係繪述了本發明之一具體實施例的連結資料之認證過程示意圖。
步驟(S4)為過濾該複數個可疑節點中之至少一無效節點及其相對應之該路徑。在完成步驟(S3)後,系統開始針對路徑長度以及距離對節點,進行配對以進行叢集安排,以根據該封包中之距離資料,來過濾複數個可疑節點中之無效之節點以及其相對應之路徑。由於叢集間均具有其之相對應的節點資料,上述之排列將可大量的減少誤判率。其中距離資料包含第一距離(D1)以及第二距離(D2),該第一距離及第二距離係被分別定義為攻擊原點與最後之路由器之距離,以及最後之路由器與現在封包間之距離。
為說明本發明之效果,以下將利用本發明與先前技術進行比對說明。請一併參閱圖九A及圖九B,圖九A為本發明的與先前技術的路徑長度,相對於誤判機率的比對圖表;圖九B為本發明與先前技術的攻擊次數,相對於誤判機率的比對圖表。
由圖可清楚的看出當攻擊路徑之長度係小於5時,習知技藝之誤判率係大幅超越本發明。再者,請參閱圖九B,由圖可知當攻擊者的數量增加時,先前技藝的錯誤率較本發明為低,於攻擊者數量為一千時,本發明僅發生12起誤判,亦即每一千次攻擊路徑重組會發生12次誤判的狀況,而先前技藝每千次的攻徑路徑重組則會發生約70次誤判,其誤判頻率約為本發明誤判次數的六倍。
據此,相較於習知技術,本發明揭露一種追蹤攻擊來源的方法,其在透過利用主治系統為追縱單位的同時,利用自治系統號以追蹤攻擊源。同時本發明將封包的標記資料分割成指定大小的子標記,再將其嵌設於原始網路協議標頭(IP header field)中,以使其在不受中繼段數量限制的同時具有高辨別能力。
藉由以上較佳具體實施例之詳述,本發明希望能更加清楚描述本發明之特徵與精神,而並非是要以上述所揭露的較佳具體實施例,來對本發明之範疇加以限制。相反地,其目的是希望能於本發明所欲申請之專利範圍的範疇內,涵蓋各種改變及等效性結構與步驟。因此,本發明所申請之專利範圍的範疇應根據上述的說明作最寬廣的解釋,以致使其得以涵蓋所有可能的改變以及等效性結構與步驟。
S1~S4、S21~S22、S221~S222、S31~33、S41...流程步驟
11...受害端
12...攻擊端
13...中繼段
14...路由器
16...自治系統
162...自治系統內部路由器
164...自治系統邊界路由器
圖一A繪示根據本發明的一先前技藝的利用網路協議層級的攻擊路徑示意圖。
圖一B繪示根據本發明的一先前技藝的利用自治系統的攻擊路徑示意圖。
圖二A係繪述本發明的較佳實施例的第一路由器格式的示意圖。
圖二B係繪述本發明的較佳實施例的第二路由器格式的示意圖。
圖三係繪述本發明的較佳實施例的第一由路器格式的區域欄形成方式的示意圖。
圖四係繪述本發明的較佳實施例的第二由路器格式連結資料形成方式的示意圖。
圖五揭露了根據本發明的較佳實施例的流程圖。
圖六A係繪述本發明的較佳實施例的適用於第一路由器格式的查找表。
圖六B係繪述本發明的較佳實施例的適用於第二路由器格式的查找表。
圖七A係繪述本發明的較佳實施例的第一路由器格式的擷取區域欄資料的示意圖。
圖七B係繪述本發明的較佳實施例的第二路由器格式的擷取連結資料的示意圖。
圖八A係繪述本發明的較佳實施例的區域欄資料的認證過程示意圖。
圖八B係繪述本發明的較佳實施例的連結資料的認證過程示意圖。
圖九A係繪述本發明的較佳實施例與先前技術的路徑長度相對於誤判機率的比對圖表。
圖九B係繪述本發明的較佳實施例與先前技術的攻擊次數相對於誤判機率的比對圖表。
S1~S4...流程步驟
Claims (2)
- 一種追蹤攻擊來源之方法,用以計算網路攻擊之攻擊路徑,該方法包含以下步驟:(S1)擷取複數個封包;(S2)根據該複數個封包取得複數個可疑節點,其中步驟(S2)進一步包含以下子步驟:(S21)分別自該複數個封包擷取複數個標記資料;以及(S22)分別根據該複數個標記資料以取得相對應之自治系統號(ASN);(S3)根據該複數個可疑節點之一節點資訊,取得可疑節點間之複數個路徑,其中步驟(S3)進一步包含以下子步驟:(S31)擷取該可疑節點之該節點資訊以及一認證資訊;(S32)判斷該認證資訊是否合乎該節點資訊,若是,則記綠該可疑節點之該節點資訊以及該可疑節點之一自治系統號;以及(S33)根據該可疑節點之節點資訊以及該自治系統號建立該可疑節點間之複數個路徑;以及(S4)過濾該複數個可疑節點中之至少一無效節點及其相對應之該路徑,其中步驟(S4)進一步包含以下子步驟:(S41)根據該封包中之一距離資料以過濾該複數個可疑節點中之至少一無效節點及其相對應之該路徑。
- 如申請專利範圍第1項之方法,其中步驟(S22)進一步包含以下子步驟:(S221)分別自該複數個標記資料取得一散列自治系統數值(HASN);以及(S222)分別根據該散列自治系統數值(HASN)於一相對應之查找表(Lookup Table)取得相對應之該自治系統號。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW100100026A TWI489820B (zh) | 2011-01-03 | 2011-01-03 | 一種追蹤攻擊來源之方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW100100026A TWI489820B (zh) | 2011-01-03 | 2011-01-03 | 一種追蹤攻擊來源之方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201230722A TW201230722A (en) | 2012-07-16 |
TWI489820B true TWI489820B (zh) | 2015-06-21 |
Family
ID=46934223
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW100100026A TWI489820B (zh) | 2011-01-03 | 2011-01-03 | 一種追蹤攻擊來源之方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI489820B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI616771B (zh) | 2016-04-25 | 2018-03-01 | 宏碁股份有限公司 | 殭屍網路偵測系統及其方法 |
CN107341396B (zh) * | 2016-05-03 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 入侵检测方法、装置及服务器 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070206605A1 (en) * | 2006-03-01 | 2007-09-06 | New Jersey Institute Of Technology | Autonomous System-Based Edge Marking (ASEM) For Internet Protocol (IP) Traceback |
US7302705B1 (en) * | 2000-08-30 | 2007-11-27 | International Business Machines Corporation | Method and apparatus for tracing a denial-of-service attack back to its source |
US7565426B2 (en) * | 2003-08-07 | 2009-07-21 | Alcatel Lucent | Mechanism for tracing back anonymous network flows in autonomous systems |
TW201023560A (en) * | 2008-12-12 | 2010-06-16 | Univ Nat Taiwan Science Tech | Distance clustered autonomous traceback system and method thereof |
CN101917341A (zh) * | 2010-08-24 | 2010-12-15 | 清华大学 | 用于域间追溯的包标记概率选取方法及装置 |
-
2011
- 2011-01-03 TW TW100100026A patent/TWI489820B/zh not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7302705B1 (en) * | 2000-08-30 | 2007-11-27 | International Business Machines Corporation | Method and apparatus for tracing a denial-of-service attack back to its source |
US7565426B2 (en) * | 2003-08-07 | 2009-07-21 | Alcatel Lucent | Mechanism for tracing back anonymous network flows in autonomous systems |
US20070206605A1 (en) * | 2006-03-01 | 2007-09-06 | New Jersey Institute Of Technology | Autonomous System-Based Edge Marking (ASEM) For Internet Protocol (IP) Traceback |
TW201023560A (en) * | 2008-12-12 | 2010-06-16 | Univ Nat Taiwan Science Tech | Distance clustered autonomous traceback system and method thereof |
CN101917341A (zh) * | 2010-08-24 | 2010-12-15 | 清华大学 | 用于域间追溯的包标记概率选取方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
TW201230722A (en) | 2012-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200344246A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
Geravand et al. | Bloom filter applications in network security: A state-of-the-art survey | |
KR100922582B1 (ko) | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 | |
Yang et al. | RIHT: a novel hybrid IP traceback scheme | |
JP4683383B2 (ja) | 無線メッシュ及びセンサ・ネットワークにおける回復力のあるパケット逆探知のための方法及びシステム | |
KR100951770B1 (ko) | IPv6 네트워크에서 IP를 역추적하는 방법 | |
CN105429940B (zh) | 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法 | |
Patil et al. | Unmasking of source identity, a step beyond in cyber forensic | |
KR101267493B1 (ko) | 모바일 애드 혹 네트워크용 아이피 역추적 시스템 및 그 역추적 방법 | |
TWI489820B (zh) | 一種追蹤攻擊來源之方法 | |
CN111585984B (zh) | 面向分组全生存周期的去中心化安全保障方法及装置 | |
TWI596498B (zh) | FedMR-based botnet reconnaissance method | |
Katiyar et al. | Detection and discrimination of DDoS attacks from flash crowd using entropy variations | |
TWI634769B (zh) | Method for detecting domain name transformation botnet through proxy server log | |
Cusack et al. | Detecting and tracing slow attacks on mobile phone user service | |
Alsumayt et al. | Evaluation of detection method to mitigate DoS attacks in MANETs | |
Liu et al. | TAP: A Traffic-Aware Probabilistic Packet Marking for Collaborative DDoS Mitigation | |
Wang et al. | IP traceback based on deterministic packet marking and logging | |
Priyanka et al. | IP Traceback Techniques–A Selective Survey | |
Pilli et al. | An IP traceback model for network forensics | |
Parashar et al. | Improved deterministic packet marking algorithm | |
Luo et al. | An improved single packet traceback scheme for iot devices | |
Kumar et al. | Analysis of various IP traceback techniques-A Survey | |
Yun et al. | The policy-based AS_PATH verification to monitor AS path hijacking | |
Zhou et al. | Security issues and possible solutions in PACS systems through public networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |