ES2341144T3 - Metodo y sistema para mitigar ataques de la denegacion de servicio distribuida, basado en la estimacion de densidad de vecindad de ip. - Google Patents

Metodo y sistema para mitigar ataques de la denegacion de servicio distribuida, basado en la estimacion de densidad de vecindad de ip. Download PDF

Info

Publication number
ES2341144T3
ES2341144T3 ES08154393T ES08154393T ES2341144T3 ES 2341144 T3 ES2341144 T3 ES 2341144T3 ES 08154393 T ES08154393 T ES 08154393T ES 08154393 T ES08154393 T ES 08154393T ES 2341144 T3 ES2341144 T3 ES 2341144T3
Authority
ES
Spain
Prior art keywords
histogram
source
smoothed
issuer
threshold
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES08154393T
Other languages
English (en)
Inventor
Mehran Roshandel
Markus Goldstein
Matthias Reif
Armin Stahl
Thomas Breue
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Application granted granted Critical
Publication of ES2341144T3 publication Critical patent/ES2341144T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Multi Processors (AREA)

Abstract

Método de proteger sistemas de ordenadores de ataques sobre una red a la cual está conectado el sistema de ordenadores, comprendiendo el método las etapas de: a. establecer, durante una operación libre de ataques del sistema de ordenadores, una base de datos en forma de un histograma de IPs de fuente que almacena todas las solicitudes recibidas de todos los emisores del sistema de ordenadores; b. calcular y almacenar un histograma de IPs de fuente suavizado a partir del histograma de IPs de fuente obtenido en la etapa a), representando el histograma de IPs suavizado la probabilidad de que un emisor particular sea un emisor legítimo; c. aplicar un umbral sobre el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que debe ser rechazado; d. monitorizar las solicitudes al sistema de ordenadores; e. aceptar un nuevo emisor para el cual no había ninguna entrada en el histograma de IPs de fuente antes del suavizado si el valor de probabilidad asumido para la dirección de fuente del nuevo emisor derivada del histograma de IPs suavizado excede el umbral.

Description

Método y sistema para mitigar ataques de la denegación de servicio distribuida, basado en la estimación de densidad de vecindad de IP.
Campo de la invención
La invención se refiere generalmente a la mitigación de los ataques de Distributed Denial of Service (DDoS - Denegación de Servicio Distribuida). Ejemplos de tales servicios incluyen sitios web, Telefonía por Internet (VolP - Voz sobre IP), servidor de FTP, DNS, etc.
Antecedentes de la invención
En la Internet, los ataques de Distributed Denial of Service (DDoS - Denegación de Servicio Distribuida) se han convertido en una amenaza importante. Las redes a gran escala de PCs infectados (bots o zombies) combinan su ancho de banda y potencia de cálculo con el fin de sobrecargar un servicio disponible públicamente y denegarlo para los usuarios legales. Todos los servidores públicos son básicamente vulnerables a los ataques de DDoS debido a la estructura abierta de Internet. Los bots son adquiridos normalmente de manera automática por los hackers que utilizan herramientas de software para rastrear a través de la red, detectando las vulnerabilidades y explotando la máquina de objetivo.
El número de tales incidentes de DDoS está aumentando constantemente. Por ejemplo, los ataques contra los grandes sitios de comercio electrónico en Febrero de 2000 y los ataques contra los servidores de DNS de raíz en 2003 y 2007 han atraído la atención pública hacia el problema de los ataques de DDoS. Hoy, principalmente sitios web de tamaño medio son atacados por criminales con el fin de extorsionar a sus propietarios sin atraer demasiado la atención pública. Además de ello, también los Internet Service Providers (ISP - Suministradores de Servicios de Internet) tienen que tratar con el problema de que el tráfico de DDoS está congestionando sus anchos de banda de enlace.
El software de bot ha evolucionado también de manera alarmante a largo del tiempo. Herramientas iniciales como TFN, Stacheldraht, Trinoo o Mstream utilizaban estructuras de comunicación sin encriptar y organizadas jerárquicamente. La mayoría de estas herramientas utilizaban flujos de TCP-SYN, UDP o ICMP con parámetros posiblemente identificables. Puesto que algunos de estos ataques han sido mitigados con éxito, apareció una nueva generación de bots. -SDBot, Agobot o el muy mejorado Phatbot son representantes conocidos que utilizan IRC como comunicación robusta y segura. Estas herramientas contienen también métodos para extenderse y tienen algoritmos de ataque más sofisticados, que podrían ser actualizados en Internet. El tráfico de ataque de esas herramientas parece tráfico legal en la capa de transporte, lo que hace casi imposible filtrarlo de manera efectiva con cortafuegos
estándar.
Mitigar ataques de DDoS en el origen o dentro el núcleo de la Internet parece una tarea imposible debido a la naturaleza distribuida y sin autorización de la red basada en IP. Los planteamientos para lograr este objetivo típicamente se basan en protocolos de Internet actuales cambiantes y no son por lo tanto fácilmente aplicables. El filtrado de ingreso como se describe en el documento RFC 2827 (P. Ferguson y D. Senie, "Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing". Estados Unidos, 2000, disponible en: http://rfc.net/rfc2827.html) también ayuda a mitigar los ataques de DDoS con falsas direcciones de IP de fuente (IP spoofing - Falsificación de IP) y debería ser aplicado por cada ISP. Puesto que el filtrado de ingreso sólo ayuda a otros ISPs en la Internet y no al que actualmente lo está aplicando, pasó mucho tiempo hasta que fue implantado en muchos sitios. Además, Savage et al. (S. Savage, D. Wetherall, A. R. Karlin y T. Anderson, "Practical network support for IP traceback", en SIGCOMM, 2000, pp. 295-306) sugirieron Rastreo de IP para encontrar la fuente de las direcciones de IP falsificadas marcando paquetes de manera probabilística. Hoy en día, la falsificación de IP ya no es tan común en los ataques de DDoS, excepto para el último octeto de una dirección de IP.
Peng et al. (T. Peng, C. Leckie y K. Ramamohanarao, "Protection from Distributed Denial of Service Attack using history-based IP filtering" en Proceedings of the IEEE International Conference on Communications (ICC 2003). Anchorage. AL, USA: IEEE, 2003) sugieren un sistema que monitoriza fuentes durante una operación normal (sin experimentar ataques) para aprender o establecer una base de datos de direcciones de fuente. En caso de un ataque esta información se usa para bloquear nuevas fuentes nunca antes monitorizadas. Este planteamiento se basa en la asunción de que durante un ataque ninguna fuente nueva o desconocida solicita acceso a un servidor - de otro modo podrían ser bloqueados.
Así, hoy, hay una enorme necesidad de mitigar los ataques de DDoS cerca del objetivo, lo que parece ser la única solución al problema en la infraestructura de Internet actual. El objetivo de tal sistema de protección es limitar su efecto desestabilizador en el servidor mediante identificación de solicitudes malintencionadas.
Así, los ataques de Distributed Denial of Service (DDoS - Denegación de Servicio Distribuida) son hoy el factor más desestabilizante en la Internet global y hay una gran necesidad de soluciones sofisticadas.
El documento US-A-2005/249214 describe un sistema y método de acuerdo con el preámbulo de la reivindicación 1. Se hace otra referencia a GARY PACK ET AL: "On Filtering of DDoS Attacks Based on Source Address Prefixes" TECHNICAL REPORT 1547, UNIVERSITY OF WISCONSIN-MADISON, DEPARTMENT OF COMPUTER SCIENCES, December 2005.
Resumen de la invención
De acuerdo con un primer aspecto, la invención proporciona un método de proteger sistemas de ordenadores de ataques sobre una red a la cual el sistema de ordenadores está conectado, comprendiendo el método las etapas de: (a) establecer, durante una operación libre de ataques del sistema de ordenadores, una base de datos en forma de un histograma de IPs de fuente que almacena todas las solicitudes recibidas de todos los emisores en el sistema de ordenadores; (b) calcular y almacenar un histograma de IPs de fuente suavizado a partir del histograma de IPs de fuente obtenido en la etapa (a); (c) aplicar un umbral de probabilidad en el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que se debe rechazar; (d) monitorizar solicitudes al sistema de ordenadores; (e) aceptar un nuevo emisor para el cual no había entrada en el histograma de IPs de fuente antes del suavizado si el valor de probabilidad asumido derivado del histograma de IPs de fuente suavizado excede el umbral. El histograma de IPs de fuente suavizado representa la probabilidad de que un emisor particular sea un emisor legítimo. Preferiblemente, el cálculo del histograma de IPs de fuente suavizado en la etapa b) se hace considerando las relaciones de vecindad del emisor. Además, el método comprende preferiblemente la etapa de normalizar el histograma de IPs suavizado.
Preferiblemente, la etapa b) de calcular y almacenar un histograma suavizado se lleva a cabo repetidamente en intervalos de tiempo predeterminados.
De acuerdo con una realización preferida de la invención, el suavizado se lleva a cabo estimando una función de densidad de fuente. Por ejemplo, una estimación de densidad de kernel, o convolución se usa para el suavizado.
El suavizado del histograma se basa en el hecho de que la probabilidad de que aparezca una nueva fuente en la vecindad de fuentes ya observadas, es mayor comparada con las áreas en las que sólo se han observado unas pocas solicitudes o fuentes.
Se prefiere además que la distancia entre dos fuentes se defina como el bit de mayor orden de dos direcciones de IP que son diferentes sumado a su distancia Euclidiana. Por ejemplo, las dos direcciones de IP 365 (110110101) y 346 (101011010) tienen el bit diferente de mayor orden de 000100000 = 32. Su distancia Euclidiana es 365-346 = 19. Entonces, la distancia es la suma 32+19 = 51. En caso de que las redes se usen como fuentes, se usa la dirección de IP numéricamente menor para el cálculo.
El método de la invención comprende también las etapas de establecer un umbral para el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que se sebe rechazar; y aceptar a un emisor o rechazar a un emisor dependiendo de si el emisor está por encima o por debajo del umbral. El umbral puede ser un umbral dinámico, dependiendo de la carga del servidor o del uso de ancho de banda en el sistema de ordenadores. Por ejemplo, un valor de umbral bajo acepta muchas (demasiadas) solicitudes en el caso de un ataque, no necesariamente evitando así una sobrecarga. Un umbral de cero puede considerarse como el modo de operación normal del sistema de la invención que no borra ninguna solicitud. Durante el transcurso de un ataque, se determinará un umbral más elevado. Preferiblemente la determinación del umbral se logra en un proceso adaptativo. Empezando a partir de un umbral estimado, las solicitudes son monitorizadas. Si se miden más solicitudes de las que el servidor puede manejar de manera constante, el umbral es elevado. Por otro lado, si el umbral es mayor de cero y las solicitudes medidas están por debajo del límite del sistema, el umbral es bajado de nuevo. Para una potencia de ataque constante, este proceso converge a un umbral de límite donde el servidor opera justo hasta debajo de su nivel de carga aceptable máximo. Si la carga de ataque varía a lo largo del tiempo, el umbral se adapta a él, manteniendo el servidor siempre por debajo de su límite de capacidad.
De acuerdo con otra realización preferida, el método comprende también un algoritmo que se estrangula. Bien sea el ancho de banda o el número de solicitudes por intervalo de tiempo están limitados para cada emisor. El valor exacto del límite se determina correspondiendo con la función de densidad estimada del emisor en el histograma suavizado. Cada uno de los límites está elegido de tal manera que su suma no exceda la capacidad del servidor.
Una solicitud dentro del significado de la invención es preferiblemente un paquete de IP, un correo electrónico, una solicitud de DNS, una descarga de FTP, una llamada de VoIP o una solicitud de HTTP.
De acuerdo con un segundo aspecto, la invención proporciona un sistema para proteger a los sistemas de ordenadores de ataques sobre una red a la cual están conectados los sistemas de ordenadores, comprendiendo el sistema: medios para establecer, durante la operación libre de ataque de un sistema de ordenadores, una base de datos en forma de un histograma de IPs de fuente que almacena todas las solicitudes recibidas de todos los emisores del sistema de ordenadores; medios para calcular y almacenar un histograma de IPs de fuente suavizado a partir de un histograma de IPs de fuente; medios para aplicar un umbral de probabilidad en el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que debe ser rechazado; medios para monitorizar solicitudes para el sistema de ordenadores; y medios para aceptar un nuevo emisor si su valor de probabilidad asumido derivado del histograma de IPs de fuente suavizado excede el umbral.
Breve descripción de los dibujos
Realizaciones preferidas de la invención se describen con más detalle en lo que sigue con referencia a los dibujos adjuntos, que son sólo a modo de ejemplo.
La Fig. 1 muestra un diagrama de flujo de datos de acuerdo con una realización preferida de la invención; y
la Fig. 2 muestra un ejemplo de un histograma de IPs de fuente establecido de acuerdo con la invención junto con su curva suavizada.
Descripción detallada
La Fig. 1 muestra un diagrama de flujo de datos de acuerdo con una realización preferida de la invención. Como se muestra en la Fig. 1, durante un uso normal del sistema de ordenadores, es decir, sin experimentar ningún ataque, el sistema experimenta un proceso de aprendizaje para aprender o establecer un histograma que representa todas las solicitudes de todas las fuentes o emisores, respectivamente. En este proceso, se calcula de manera repetida un suavizado del histograma, por ejemplo en intervalos de tiempo predefinidos. Tal intervalo de tiempo puede estar en el intervalo de una o más horas (por ejemplo, si al principio sólo unos pocos datos están disponibles), y puede aumentar hasta uno o más días, si ya están disponibles datos para varios días y se espera una ganancia de información inferior. Así, la longitud del intervalo de tiempo puede cambiar dinámicamente. Una vez que tiene lugar un ataque, el tráfico de datos real es monitorizado y se determina si en caso de un nuevo emisor o fuente éste está localizado (en términos de su dirección) cerca de un emisor ya conocido. De acuerdo con la realización preferida de la Fig. 1, se usa a continuación un umbral para diferenciar entre un emisor aceptable y un emisor que se debe rechazar. El umbral es preferiblemente un umbral dinámico.
Sobre la base de los datos del histograma de IPs suavizado, se definen reglas para el cortafuegos, por ejemplo para describir qué direcciones de IP de fuente deben ser bloqueadas, como "131.246.196.0-131.246.196.128 DENY".
De acuerdo con otra realización que puede, no obstante, combinarse con la primera realización de determinar umbrales, ciertas solicitudes o emisor no son bloqueadas completamente si están por debajo del umbral. Por el contrario, el número de solicitudes aceptadas o el ancho de banda proporcionado para un emisor particular es estrangulado, es decir algunas solicitudes son retardadas o incluso denegadas. Técnicamente, esto corresponde a una limitación artificial del ancho de banda disponible para este emisor particular poniendo en cola o borrando paquetes de IP, conocido también como estrangulación de ancho de banda, conformación o vigilancia de tráfico. En esta realización, no hay una clara frontera (o umbral) en la lista de clasificación. Por el contrario, el límite se correlaciona con el valor de la función de densidad estimada para este emisor. Por ejemplo, no se aplica ningún límite al emisor con altas estimaciones en el histograma suavizado, mientras que un número de ancho de banda proporcionado de emisores con un valor muy bajo está muy estrictamente limitado. La suma de todos los límites depende de la carga del servidor del sistema de ordenadores de manera que se evita una sobrecarga.
La Fig. 2 muestra un ejemplo de un histograma de IPs de fuente establecido de acuerdo con la invención para una red de 24 bits. Las clases ("Bins") del histograma representan al emisor. El emisor puede ser direcciones de IP individuales, redes de IP de tamaño idéntico o diferente, por ejemplo redes con una máscara de red de 24 bits. La Fig. 2 muestra también el histograma suavizado de las fuentes con una medida de distancia definida que fue calculada usando un estimador de densidad de Kernel con un kernel de Gauss. Las barras muestran la frecuencia p de una cierta fuente o emisor x_{i}, respectivamente. La medida de distancia es la función de distancia definida, por ejemplo, como se ha mencionado anteriormente, la distancia entre dos fuentes se define como el bit de orden superior de dos direcciones de IP que son diferentes sumadas a su distancia Euclidiana.
Si durante un ataque se monitorizan nuevas fuentes que tienen una dirección de IP entre dos direcciones vistas frecuentemente (o intervalos de dirección), estas nuevas fuentes serán probablemente aceptadas (dependiendo del umbral) mientras que las técnicas convencionales habrían bloqueado tales fuentes desconocidas completamente.
Por ejemplo, la dirección de IP 192.168.1.0 ha sido monitorizada 10 veces en el pasado. Ninguno de los otros vecinos ha sido visto en el pasado. Esto provoca un único pico para esta dirección de IP particular en el sistema de ordenadores. Para obtener el histograma de IPs de fuente suavizado, se asume para este ejemplo que la función de kernel proporciona un valor de "2" para esta distancia de 1, "1" para un vecino que tiene una distancia de 2, "0,5" para vecinos con una distancia de 3 ó 4 y "0" para todos los demás vecinos. Con esta función de distancia Euclidiana, se obtendrían los siguientes valores en el histograma de IPs de fuente suavizado:
192.168.0.253: 0,5
192.168.0.254: 1
192.168.0.255: 2
192.168.1.0: 10
192.168.1.1:2
192.168.1.2:1
192.168.1.3:0,5
Por otro lado, usando la función de distancia mencionada anteriormente, las direcciones 192.168.0.255 y
192.168.1.0 tienen una distancia de 256+1 = 257 (y no 1 como anteriormente) de manera que el resultado sería:
192.168.0.253: 0 (distancia de 256+3 = 259 a 192.168.1.0)
192.168.0.254: 0 (distancia de 256+2 = 258 a 192.168.1.0)
192.168.0.255: 0 (distancia de 256+1 = 257 a 192.168.1.0)
192.168.1.0:10
192.168.1.1:1 (distancia de 1+1 = 2 a 192.168.1.0)
192.168.1.2:0,5 (distancia de 2+2 = 4 a 192.168.1.0)
192.168.1.3:0 (distancia de 2+3 = 5 a 192.168.1.0)
Esto significa que las fuentes que están en la proximidad en términos de sus números de dirección de IP pero son en realidad de otra red no obtienen un valor mayor. Así, esta medida de distancia es ventajosa puesto que también tiene en cuenta las diferentes redes.
El resultado del suavizado es que las solicitudes desde las direcciones de IP 192.168.1.1 y 192.168.1.2 no son automáticamente rechazadas porque el histograma de IPs no contiene ningún dato para estas direcciones. Por el contrario, dependiendo del umbral, las solicitudes desde 192.168.1.1 podrían ser aceptadas puesto que su probabilidad asumida de ser de un emisor legítimo está por encima del umbral de probabilidad.
De acuerdo con otra realización preferida, la eficiencia y el daño colateral se estiman usando el método de la invención. La eficiencia se define como el bloqueo deseado de solicitudes no legítimas (emisor), y el bloqueo erróneo de un emisor legítimo se define como daño colateral. Un sistema ideal tendría una eficiencia de 100% y un daño colateral de 0%. Con la invención es posible estimar valores para la eficiencia y el daño colateral incluso antes de la ocurrencia de un ataque, y determinar las reglas óptimas para el cortafuegos. Con el fin de simular el daño colateral, se selecciona un punto en el tiempo t en el pasado. Sobre la base del histograma de IPs suavizado en el tiempo t, pueden definirse conjuntos de reglas R\theta mediante diferentes umbrales \theta (por ejemplo, cuanto más elevado es el umbral, más fuentes son bloqueadas). Para cada conjunto de reglas R\theta el daño colateral puede ser calculado utilizando las solicitudes después del tiempo t. Para simular la eficiencia antes de un ataque deben realizarse asunciones con respecto a la distribución de un ataque. En el caso de un ataque altamente distribuido puede asumirse una distribución uniforme del atacante sobre todo el espacio de la dirección (encaminado). La eficiencia puede entonces ser calculada directamente a partir de los conjuntos de reglas R\theta.
La presente invención se ha descrito ahora con referencia a varias realizaciones de la misma. Resultará evidente para los expertos que pueden hacerse varios cambios en las realizaciones descritas sin salirse del ámbito de la presente invención. Así, el ámbito de la presente invención no debe estar limitado a los métodos y sistemas descritos en esta aplicación, sino sólo mediante métodos y sistemas descritos mediante el lenguaje de las reivindicaciones y los equivalentes de los mismos.

Claims (12)

1. Método de proteger sistemas de ordenadores de ataques sobre una red a la cual está conectado el sistema de ordenadores, comprendiendo el método las etapas de:
a. establecer, durante una operación libre de ataques del sistema de ordenadores, una base de datos en forma de un histograma de IPs de fuente que almacena todas las solicitudes recibidas de todos los emisores del sistema de ordenadores;
b. calcular y almacenar un histograma de IPs de fuente suavizado a partir del histograma de IPs de fuente obtenido en la etapa a), representando el histograma de IPs suavizado la probabilidad de que un emisor particular sea un emisor legítimo;
c. aplicar un umbral sobre el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que debe ser rechazado;
d. monitorizar las solicitudes al sistema de ordenadores;
e. aceptar un nuevo emisor para el cual no había ninguna entrada en el histograma de IPs de fuente antes del suavizado si el valor de probabilidad asumido para la dirección de fuente del nuevo emisor derivada del histograma de IPs suavizado excede el umbral.
2. El método de la reivindicación 1, en el que el cálculo del histograma de IPs de fuente suavizado de la etapa b) está hecho considerando las realizaciones de vecindad de la solicitud.
3. El método de cualquiera de las reivindicaciones precedentes, en el que la etapa b) de calcular y almacenar un histograma suavizado se lleva a cabo repetidamente en intervalos de tiempo predefinidos.
4. El método de cualquiera de las reivindicaciones precedentes, en el que el suavizado se lleva a cabo estimando una función de densidad de fuente.
5. El método de cualquiera de las reivindicaciones 2 a 4, en el que la distancia entre dos fuentes se define como el bit de mayor orden de dos direcciones de IP que son diferentes sumadas a su distancia Euclidiana.
6. El método de cualquiera de las reivindicaciones precedentes, en el que el umbral es un umbral dinámico, que depende de la carga del servidor o del uso del ancho de banda del sistema de ordenadores.
7. El método de cualquiera de las reivindicaciones precedentes, en el que el histograma de IPs de fuente suavizado representa la probabilidad de que un emisor particular sea un emisor legítimo.
8. El método de cualquiera de las reivindicaciones precedentes, en el que la etapa b) comprende la etapa de normalizar el histograma de IPs suavizado.
9. El método de cualquiera de las reivindicaciones 1 a 4, que comprende también la etapa de estrangular a un emisor particular.
10. El método de la reivindicación 9, en el que el número de paquetes de IP de un emisor que debe ser rechazado depende del valor de la función de densidad estimada para este emisor.
11. El método de cualquiera de las reivindicaciones precedentes, en el que una solicitud es un paquete de IP, un correo electrónico, una solicitud de DNS, una descarga de FTP, una llamada de VoIP o una solicitud de HTTP.
12. Sistema para proteger a un sistema de ordenadores de ataques sobre una red a la cual el sistema de ordenadores está conectado, comprendiendo el sistema:
medios para monitorizar solicitudes al sistema de ordenadores;
medios para establecer, durante una operación libre de ataques de un sistema de ordenadores, una base de datos en forma de un histograma de IPs de fuente que almacena todas las solicitudes recibidas de todos los emisores del sistema de ordenadores;
caracterizado por
medios para calcular y almacenar un histograma de IPs de fuente suavizado a partir de un histograma de IPs de fuente, representando el histograma de IPs de fuente suavizado la probabilidad de que un emisor particular sea un sistema de ordenadores legítimo;
medios para aplicar un umbral de probabilidad en el histograma de IPs de fuente suavizado para diferenciar entre un emisor aceptable y un emisor que debe ser rechazado;
y
medios para aceptar un nuevo emisor para el cual no había ninguna entrada en el histograma de IPs de fuente antes del suavizado si el valor de probabilidad asumido para la dirección de fuente del nuevo emisor derivado del histograma de IPs de fuente suavizado excede el umbral.
ES08154393T 2008-04-11 2008-04-11 Metodo y sistema para mitigar ataques de la denegacion de servicio distribuida, basado en la estimacion de densidad de vecindad de ip. Active ES2341144T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP08154393A EP2109282B1 (en) 2008-04-11 2008-04-11 Method and system for mitigation of distributed denial of service attacks based on IP neighbourhood density estimation

Publications (1)

Publication Number Publication Date
ES2341144T3 true ES2341144T3 (es) 2010-06-15

Family

ID=39671864

Family Applications (1)

Application Number Title Priority Date Filing Date
ES08154393T Active ES2341144T3 (es) 2008-04-11 2008-04-11 Metodo y sistema para mitigar ataques de la denegacion de servicio distribuida, basado en la estimacion de densidad de vecindad de ip.

Country Status (4)

Country Link
EP (1) EP2109282B1 (es)
AT (1) ATE460803T1 (es)
DE (1) DE602008000799D1 (es)
ES (1) ES2341144T3 (es)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102045331B (zh) * 2009-10-22 2014-01-22 成都市华为赛门铁克科技有限公司 查询请求报文处理方法、装置及***
EP2619958B1 (en) * 2010-09-24 2018-02-21 Verisign, Inc. Ip prioritization and scoring method and system for ddos detection and mitigation
US9392576B2 (en) 2010-12-29 2016-07-12 Motorola Solutions, Inc. Methods for tranporting a plurality of media streams over a shared MBMS bearer in a 3GPP compliant communication system
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US10075467B2 (en) 2014-11-26 2018-09-11 Verisign, Inc. Systems, devices, and methods for improved network security
CN109981656B (zh) * 2019-03-29 2021-03-19 成都知道创宇信息技术有限公司 一种基于cdn节点日志的cc防护方法
CN110474878B (zh) * 2019-07-17 2021-09-24 海南大学 基于动态阈值的DDoS攻击态势预警方法和服务器

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050249214A1 (en) * 2004-05-07 2005-11-10 Tao Peng System and process for managing network traffic
KR101111099B1 (ko) * 2004-09-09 2012-02-17 아바야 테크놀러지 코퍼레이션 네트워크 트래픽 보안 방법들 및 시스템들

Also Published As

Publication number Publication date
EP2109282A1 (en) 2009-10-14
DE602008000799D1 (de) 2010-04-22
ATE460803T1 (de) 2010-03-15
EP2109282B1 (en) 2010-03-10

Similar Documents

Publication Publication Date Title
US11570212B2 (en) Method and apparatus for defending against network attack
ES2341144T3 (es) Metodo y sistema para mitigar ataques de la denegacion de servicio distribuida, basado en la estimacion de densidad de vecindad de ip.
Yaar et al. StackPi: New packet marking and filtering mechanisms for DDoS and IP spoofing defense
Kumar Smurf-based distributed denial of service (ddos) attack amplification in internet
KR100773006B1 (ko) 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법
US7331060B1 (en) Dynamic DoS flooding protection
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
Mahajan et al. DDoS attack prevention and mitigation techniques-a review
Aamir et al. Study and performance evaluation on recent DDoS trends of attack & defense
Goldstein et al. Bayes optimal ddos mitigation by adaptive history-based ip filtering
Tanachaiwiwat et al. Differential packet filtering against DDoS flood attacks
Chen Study on the prevention of SYN flooding by using traffic policing
ES2401163T3 (es) Procedimiento y sistema para la estrangulación o el bloqueo de áreas geográficas para la mitigación de los ataques de denegación distribuida de servicio usando una interfaz gráfica de usuario
Gupta et al. Mitigating DNS amplification attacks using a set of geographically distributed SDN routers
Simon et al. AS-based accountability as a cost-effective DDoS defense
EP2109281A1 (en) Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks
Fallah et al. TDPF: a traceback‐based distributed packet filter to mitigate spoofed DDoS attacks
Pack et al. On filtering of DDoS attacks based on source address prefixes
ES2345957T3 (es) Metodo y sistema para mitigar la denegacion distribuida de ataques de servicio utilizando informacion de fuente geografica y de tiempo.
Kuppusamy et al. An effective prevention of attacks using gI time frequency algorithm under dDoS
Fabre Using network resources to mitigate volumetric DDoS
Afzaal An Overview of Defense Techniques Against DoS Attacks
Ahn et al. MF (minority first) scheme for defeating distributed denial of service attacks
Kuppusamy et al. Prevention of attacks under dDoS using target customer behavior
Jamshed et al. In-network server-directed client authentication and packet classification