JP2009500936A - 早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法 - Google Patents
早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法 Download PDFInfo
- Publication number
- JP2009500936A JP2009500936A JP2008520026A JP2008520026A JP2009500936A JP 2009500936 A JP2009500936 A JP 2009500936A JP 2008520026 A JP2008520026 A JP 2008520026A JP 2008520026 A JP2008520026 A JP 2008520026A JP 2009500936 A JP2009500936 A JP 2009500936A
- Authority
- JP
- Japan
- Prior art keywords
- traffic flow
- traffic
- suspicious
- state
- rate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
通信ネットワークにおける異常なトラフィックを検出する方法及びシステムは、危険及び状態のカテゴリーでトラフィックを分類し、各ノードにおける各サービスに対するこの情報を有するサービス状態テーブルを保持することに基づいている。危険カテゴリーは、各サービスに対して認識された、既知のソフトウェアの脆弱性に基づいて初期に確立される。早期通知子は、マルウェアの伝播が疑われているサービスを、さらに処理することができるようにする。状態カテゴリーは、「攻撃中状態」と「非攻撃中」状態のトラフィックを区別することができるため、各ノードにおける侵入検知システムは、「攻撃中」トラフィックのみを処理できるようになる。この方法では、侵入検知システムによって行われる処理の時間および量を大幅に減少することができる。
【選択図】 図1
【選択図】 図1
Description
本発明は、通信ネットワークに関し、より詳しくは、早期通知に基づいて異常なトラフィックを検出するための方法及びシステムに関する。
インターネットのような、全世界に基盤を置いた通信ネットワークは、制限されたアクセスを有する初期の調査基盤システムから、何百万ものユーザを有する実質的に世界的なネットワークとして発展してきた。初期のネットワークプロトコルであるTCP/IPは、システムのユーザが、完全に合法的な目的のためにネットワークに接続するということに基づいて設計された。したがって、保安問題に対する特別な配慮はなされていなかった。ところが最近は、インターネットに対する悪意のある攻撃が驚くべき割合で増加している。インターネットの匿名性のため、インターネット・プロトコル(IP)は、ソースが知られることを望んでない場合には、任意の特定のデータグラム及びそれによる任意の特定のフローの実質的なソースを正確に識別することを極めて困難にしている。これらの攻撃は多様な形態で行われ、しばしば、標的にされた被害者に対するサービスを完全に中断させることになる。
破壊工作ソフト(マルウェア)(フラッディング、ワーム、ウィルス等のような、システムを損傷するために特別に設計されたソフトウェア)の伝播は、分散型ネットワークにおいて非常に破壊的であり得る。任意の特定の装備(たとえば、コンピュータ、サーバ、ルータ)上のワームまたはウィルスの影響が、非常に多くの場合に害のないものだとしても、マルウェアをできるだけ早く他の装備へ拡散させる、数万の感染した装置の累積効果は、破滅的なものとなり得る。そのような場合、ネットワークは、輻輳によって、それらのユーザへの効果的なサービスの提供を中止してしまう恐れがある。
そのような1つの攻撃は、被害者のサーバが処理することのできない膨大なトラフィックで被害者をフラッディングし、若しくは、より低いレートで、非常に効果的かつ悪意のあるパケットで被害者をフラッディングするという構想に基づいている。ネットワークユーザへのサービスを拒否させる別の方法は、ウィルスである。コンピュータウィルスは、多様な方法でネットワークを通してそれ自身を複製するプログラムまたはプログラミング・コードである。ウィルスは、DoS(サービス拒否)攻撃として見なすことができ、この場合一般的に、被害者は特別に標的にされたわけではなく、単に、不幸にもウィルスに感染したホストである。特別なウィルスによっては、サービスの妨害が相当悪化するまでにほとんど感知されないこともある。
電子メールの添付ファイルとしてあるいはネットワーク・メッセージの一部として自分自身を再伝送することにより自らを複製するウィルスが、ワームとして知られている。これらは一般的に、それらの制御できない複製がシステム・リソースを消費したり、若しくは、他のタスクを遅延させたり中止させたりするときにのみ認知される。ワームは、アプリケーション及びシステムソフトウェアにおいて既に知られているか事前に知られていないソフトウェアの脆弱性を用いることで作動し、ネットワークを介して素早く伝播される。多くの国際的な承認下で運営されているウェブサーバ、メール伝送エージェント及びログインサーバのような、信頼性のあるアプリケーションをハイジャッキングすることにより、ワームは、システム・リソースへ完全にアクセスすることができ、完全なシステム障害を発生させる。
ネットワークインフラを保護するために、マルウェアの伝播をできるだけ早く検出し、ネットワークの内部において進行中の攻撃について効果的に反応する能力が、ネットワーク運営者に求められる実際の課題となっている。これは、特に、広い分散型のネットワークに関係する。そのようなネットワークにおいて、インフラを構成するネットワーク装備(ルータ、スイッチ)は、マルウェアの伝播を制限するのに重要な役割を果たさなければならない。現在、企業では、自らのネットワーク及びシステムを保護するために階層化防御モデルを配置しているが、これには、ファイアウォール、アンチウィルス・システム、アクセス管理及び侵入検知システム(IDS)などが含まれる。防御モデルは、長年の間存在してきたにも関わらず、未だ、少ない関連コストで、かつ手間をかけずに全ての攻撃に対する完全な保護を提供するという究極の目的を達成したモデルはない。
たとえば、SP−800−31としてNIST Special Publicationウェブサイトで利用可能である、非特許文献1では、IDSの現状について記載している。この論文に記載された技術の一部は、電話通信ネットワークインフラにおけるマルウェアの伝播を検出するために特別に設計されたものである。それらは、2つの主要なカテゴリー、すなわち、フロー基盤分析とディープパケット(Deep-packet)分析とに分けることができる。フロー基盤分析は、一般的ではないパターンを検出するために、電話通信インフラ内においてトラフィックフローを分析することにより、IPパケットの悪意のある連続フローを追跡する方法を含む。これは、通常、ルータに実装された、Netflow、IPFix及びRTFMのような技術に依存する。そのような技術の一例が、リンク分析・テロ対策・プライバシーに関するワークショップ(Workshop on Link Analysis, Counter-terrorism, and Privacy, April 2004)で発行された、非特許文献2に記載されている。ディープパケット分析方法論は、既知の特徴、あるいはよく見られるパターンのうちのいずれかを検出するために各パケットを分析することにより、1つの悪意のあるIPパケットを逆追跡する方法を含んでいる。そのような技術の一例は、非特許文献3に記載されている。連続フローを追跡する方法のいくつかは、たとえば、上述したiTrace方法と同様に、単一パケットを逆追
跡することに用いることもできる。しかしながら、その所要コストが非常に莫大である。
跡することに用いることもできる。しかしながら、その所要コストが非常に莫大である。
これまでに利用可能だったソリューションは、DoS攻撃を十分早くに検出することも、また止めることもできなかったにもかかわらず、非常に高コストである。現在のIDSは、多数の構成要素、すなわち、ルータ、ファイアウォール、侵入/異常検出システムに基づいているという事実も、応答性に影響を与える。危険状況において、これらのシステムは、通信することに、また、要求された対応策を調整することに困難を有するようになる恐れもある。ハイエンド・ルータを通過するすべてのパケットのモニタリング及び分析は、現在の技術ではパケットを遅延及び損失させずに行うことは不可能であり、各IDSの効率性に影響を与える。ハイエンド・ルータを通過するすべてのパケットをモニタリングして分析することは、特殊なハードウェアまたはルータと連結された追加の装備を必要とし、これは、インフラの複雑性及びコストの増加に繋がる。たとえ、そうするとしても、依然としてこれは有効性の問題を有し得る。
さらに、通常のインライン・侵入防止システム(IPS)は、ネットワークにおける悪意のある活動を検出して防止するため、特徴及びフローを測定することに依存しており、したがって、それらの能力は、ゼロデイ・ワーム(zero-day worm)を防止するのに限界を有する。また、それらの検出アルゴリズムが、統計的な観察(たとえば、フローの帯域幅、ホスト当たりの活動ポートの個数など)に基づく場合、IPSシステムがワーム防止を開始できるまでに多少時間がかかるということもあり得る。この時間の空白により、企業には、ワームの拡散に対する責任が負荷される可能性がある。また、攻撃が発生するまでは、悪意のあるソフトウェアを認識するポリシー(policy)を設定することは実行不可能であるため、特徴及び行為をモニタリングする技術は、新しいワームが初めてインターネットを介して拡散する場合には非効果的である。特徴及びポリシーは周期的に更新することができるが、それはワームまたは他の悪意のあるソフトウェアが認知されて、研究された後のことである。特徴のモニタリング技術は、新しいワームがインターネットを介して拡散する場合には非効果的である。また、「良い」及び「悪い」コードの識別または行為を区別することは、非常に難しい。これは、多くの防止システムの目的を、それらを保護することではなく事象を検出することだけに限定する「誤検出(false positives)」を多く発生させる。
また、特徴及び行為をモニタする技術は、攻撃の開始及びその検出の間に時間間隔を許容するため、運営するアプリケーションの行為をモニタリングすることにより破壊的な行為を検出するまでに、該アプリケーションは既にコンプロマイズされ、悪意のあるコードが既に作動するようになる。この時間間隔は、攻撃されたアクセスリンク上で運営されるネットワークの脆弱性を意味する。
また、ファイアウォールは、すべてのものを止めることはできず、それらは、ある種類または形態のデータを、防御されているネットワークに通過させるように構成される。ファイアウォールを通じて許容されるサービスを用いたすべての悪意のある行動は、成功的に拡散するはずである。結果的に、ファイアウォールは、ウィルス、システム侵入、なりすまし(スプーフィング)、データ及びネットワークの破壊、また、ファイアウォールにより許容されたプロトコルでの脆弱性を用いたサービス拒否攻撃から、企業のネットワークをもはや十分に保護することができなくなるかもしれない。
Rebecca Bace及びPeter Mellによる「侵入検知システム(Intrusion Detection System)」(2001年11月付) C. Abadらによる「ネットフロー・システム及び侵入検出のためのネットワーク・ビューの間の相関関係(Correlation Between Netflow System and Network Views for Intrusion Detection)」 S. Dharmapurikarらによる「パラレル・ブルーム・フィルタを用いたディープパケットの検査(Deep Packet Inspection Using Parallel Bloom Filters)」(IEEE Micro Jan, 2004)
Rebecca Bace及びPeter Mellによる「侵入検知システム(Intrusion Detection System)」(2001年11月付) C. Abadらによる「ネットフロー・システム及び侵入検出のためのネットワーク・ビューの間の相関関係(Correlation Between Netflow System and Network Views for Intrusion Detection)」 S. Dharmapurikarらによる「パラレル・ブルーム・フィルタを用いたディープパケットの検査(Deep Packet Inspection Using Parallel Bloom Filters)」(IEEE Micro Jan, 2004)
IPネットワークの信頼性及び安全性は、コンピュータネットワークが、エンティティ内及びエンティティ間通信ならびにトランザクションに重要な要素となるところでは、必須である。実際のIDS技術では、ハイエンド・ルータに求められる適切な性能レベルを提供していない。このような問題点を解決するために、現在、新しい技術の研究が行なわれている。これは、テレコム産業における主な課題であって、多数の部分的な解決策が、現在まで提案されている。それに伴って、設置及びメンテナンスが容易であり、ネットワークにおける悪意のある活動(たとえば、インターネットワーム)を確認して検出することができるシステムに対する要求がある。
本発明の目的は、早期通知に基づいて異常なトラフィックを検出するための方法及びシステムを提供することにある。
したがって、本発明は、IDS/IPSが装備された通信ネットワークのノードにおいて異常なトラフィックを検出する方法であって、トラフィックフローが、不審なデータトラフィックを運搬しているかどうかを確認するために、トラフィックフローにおけるデータトラフィックの重要なサブセットのみを観察することにより、ノードに入力されたトラフィックフローの状態をモニタリングするステップと、トラフィックフローの状態が不審な場合、早期通知を発生して、そのトラフィックフローを不審なトラフィックフローとして印をつけるステップと、を含む方法を提供する。
さらに詳しくは、本発明は、 侵入検知/防止システム(IDS/IPS)が装備された通信ネットワークのネットワークノードにおいて異常なトラフィックを検出する方法に関する。この方法は、a)ネットワークノードに入力されたそれぞれのトラフィックフローに対する状態を有するサービス状態テーブルを保持するステップと、b)それぞれのトラフィックフローに割り当てられた危険クラスに基づいて、「不審な」若しくは「不審ではない」としてトラフィックフローの状態を評価するステップと、c)トラフィックフローの状態を「不審ではない」状態から「不審な」状態に変更する度にサービス状態テーブルを更新して、そのトラフィックフローを不審なトラフィックフローとして印をつけるステップと、d)「攻撃中」状態または「非攻撃中」状態を識別するために、不審なトラフィックフローの状態をさらに評価するステップと、e)その不審なトラフィックフローの状態を「攻撃中」状態としてさらに更新し、その不審なトラフィックフローを攻撃中トラフィックフローとして印をつけるステップと、f)攻撃中トラフィックフローを、IDS/IPSにルーティングするステップと、を備える。
他の態様によると、本発明は、早期通知で異常なトラフィックを検出(ATDEN)するためのシステムであって、通信ノードに入力されたそれぞれのトラフィックフローに対するサービス状態を有するサービス状態テーブルを保持するサービス状態手段と、トラフィックフローの状態を評価して、トラフィックフローの状態が変化する度にサービス状態テーブルを更新するモニタと、トラフィックフローを、トラフィックフローが「不審な」状態を有する場合はモニタに、トラフィックフローが「攻撃中」状態を有する場合は侵入検知/防止システム(IDS/IPS)に、システムの出力にルーティングするトラフィック弁別手段(18)と、を備えたシステムを提供する。
上述したように、IDS技術はテレコム産業の主な課題である。本発明の方法は、有利に、トラフィック分析に対する目標化された手法及び攻撃軽減作用を利用し、それにより、ネットワークの性能を強化する。
本発明のまた別の長所は、マルウェアの検出のために処理されるトラフィックの量を相当減少して、特定のトラフィックが攻撃中という判断を、既存のシステムよりも速く行うことができるということである。既存のIDS/IPSと組み合わせる場合に、非常に多様な攻撃に対する効果的な検出能力及び反応能力が大きく増大する。
さらに、トラフィックの一部分だけが本発明によるシステムによって分析されることになるため、本発明のシステムのハードウェア及び演算時間が、以前のソリューションよりも一層効果的に用いられるようになる。
本発明の上述したような、また、さらなる目的、特徴及び長所は、添付の図面に示されているように、以下の好ましい実施形態の詳細な説明によって明確になるだろう。
本発明のシステムは、従来の侵入検知システム(IDS)または侵入防止システム(IPS)技術が装備されたノードに設置され、特に、加入者端末(CE:customer equipment)及び境界ルータアプリケーションに効果的である。しかし、いずれのルータも、他の拡張においてこの方法から利益が得られる。
本発明は、マルウェア攻撃の既知の特性を用いて「不審な」トラフィックを迅速に識別することができる、早期通知メカニズムを提案する。また、本発明のシステムは、ハイエンド・ルータへのIDS/IPS技術の統合を容易にする目的で、ネットワークノードを通過するトラフィックの一部分に対してのみ、コストのかかるIDS/IPSの作動を起こさせる。
図1は、本発明に係わる、早期通知に基づいて異常なトラフィックを検出(ATDEN)するためのシステムのブロック図を示しており、これは、参照符号5として記載されている。ATDENシステム5は、ホストノード(ルータ、CE)に入力されたそれぞれのトラフィックフロー(サービス)に対する状態を有する状態サービステーブルを保持するサービス状態ユニット14と、それぞれのトラフィックフローのサービス状態を確認し、それに応じて状態サービステーブルを更新するモニタ25と、入力されたトラフィックフローを出力に、つまり、モニタ25に、または侵入検知/防止ブロック20にルーティングするためのトラフィック弁別手段18とを備える。この弁別手段は、サービス状態に基づいてルーティングを行うものであるが、すなわち「不審な」状態を有するトラフィックは再びモニタリングを受けるようになり、「攻撃中」状態を有するトラフィックは、ブロック20において緩和処置が行われるようになる。
システム5はさらに、サービス(TCP/UDPポート)を、それぞれのトラフィックフローにより用いられたプロトコルに対して認識されたソフトウェアの脆弱性に基づいてサービスクラス別に分類する手段15を用いる。好ましくは、2つのサービスクラスが認識されるが、すなわち「危険状態」クラスと、「非危険状態」クラスである。
ユニット14のサービス状態テーブルは、対象となるポート/サービスに対するサービス情報を含み、これは、ユニット15によって提供された情報を用いて、起動の際に初期化される。テーブルには、少なくとも、ポート識別番号、トラフィックによって使用されたそれぞれのプロトコル、サービスのクラス(危険状態または非危険状態)、及び各サービスの現在の状態が含まれる。1つのポートが1つ以上のサービスをサポートする場合に、各個別サービスの状態がテーブルにリストアップされるということに注意しなければならない。そのテーブルは、勿論、サービス/ポートが攻撃中か、あるいは不審なトラフィックを運搬している各場合に対するエントリー、サービス状態のそれぞれの変更時の日付及び時間などのような、ATDENシステム5の作動中に集められた付加的な情報を含んでいてもよい。動的テーブルを用いることもできるが、その場合それはオーバーフローされる場合に自ら更新を行う。また、ハッシュ・テーブル(Hash table)をより一層精巧なシステムにおいて用いることもできる。
攻撃中トラフィックの検出は、2つの区別されたステージで行われる。第1ステージでは、モニタ25が、各サービスに対するトラフィックの重要なサブセットに対してのみ観察を行うことで、マルウェア伝播の第1の兆候を検出する。マルウェア伝播の兆候が検出された場合は、それぞれのトラフィックフローの状態は、「不審な」に更新され、そうでなければ更新されない。トラフィックフローが「不審な」状態とされた場合に、早期通知13がサービス状態ユニット14にトリガーされ、それによってトラフィック弁別手段18を制御して、「不審な」トラフィックを、そのサービスの状態をさらに評価するためにモニタ25にルーティングする。このステージ中では、トラフィックの一部分のみをモニタリングするため、早期通知13は、トラフィックフロー内のすべてのパケットをモニタリングする場合よりも速くトリガーされる。
好ましくは、モニタ25は、第1ステージにおいて、トラフィックのサブセットとしてICMPパケットを用いる。ICMPは、インターネット・コントロール・メッセージ・プロトコル(Internet Control Messages Protocol)を意味し、ルータとホストとの間で制御メッセージを伝送するために用いられる。たとえば、ICMPパケットは、ルータが輻輳しているか、あるいは目的のホストが利用できなくなったときに、伝送されてもよい。ICMPパケットは、ICMPヘッダーがIPヘッダーに従うが、レイヤ4ヘッダー(Layer 4 header)としては見なされないという点で、データパケット(情報を有するパケット)とは若干異なる構造を有する。ICMPメッセージは、タイプ及びコード領域で提供され、その数値は、特定のICMPメッセージを表わす。IPのすべてのベンダーの実行は、ICMPを含むことが要求される。
モニタ25は、ユニット10で分離したICMPパケットを、データトラフィックから受信するICMPレートモニタ12を含む。ICMPレートモニタ12は、2つの異なる閾値を用いて、サービスクラスに応じて「不審な」ものとして、あるいはそうではないものとしてトラフィックフローを分類する。たとえば、「危険状態」のトラフィックに対する閾値は、Th1であり得る。「非危険状態」のトラフィックに対する閾値は、Th2であり得る。好ましくは、「危険状態」のトラフィックに対する安全性の要求が「非危険状態」のトラフィックに対するそれよりも高いことから、Th1はTh2より小さい。また、「不審な」トラフィック状態について、2つのレベルよりも多数のレベルで評価する必要があるときには、より多くの閾値を用いることもでき、それぞれの伝送プロトコルによって、異なる閾値を異なるトラフィックフローに対して用いることもできる。閾値のうちのいずれかが、それぞれのトラフィックフローにおけるICMPレートによって違反される場合に、ICMPレートモニタは、それぞれのトラフィックフローが不審であるという旨を示す、「早期トラフィック状態通知子」13を発する。11で見られるように、ICMPトラフィックは、データトラフィック内に再挿入される。
第1ステージの結果は、サービス状態ユニット14が、サービス状態テーブルにおけるポートサービス状態を更新して、どのポートが「不審なトラフィック」を運搬しているかをトラフィック弁別手段18に通知することである。図1に示されているように、トラフィック弁別手段18は、不審ではないトラフィック(ICMPモニタ12によって「不審なトラフィック」としてタグ付けされていない「危険状態」及び「非危険状態」のトラフィック)を入力からシステム5の出力にルーティングする。
第2ステージでは、さらに、各サービスが攻撃中かどうかを識別するために、特定化されたトラフィック・パラメータのモニタリングが行われる。好ましくは、このパラメータはトラフィックレートであるが、このステージでは、他の形態のモニタリングが用いられてもよい。図1の実施形態において、トラフィック弁別手段18は、「不審な」としてサービス状態ユニット14によりタグ付けされたトラフィックを、トラフィックレートモニタ16にルーティングする。トラフィックレートモニタ16は、不審なサービスに対するトラフィックのレートを測定して、これが第3の閾値(Th3)を超過するかどうかを検出し、「不審な」トラフィックを出力へと方向変更させる。代替として、(図1の点線で示されるように)不審なトラフィックが、トラフィック弁別手段18の入力に戻るようにルーティングしてもよい。この代替実施形態は、それぞれのトラフィックフローの状態が「不審な」から「攻撃中」に最終的に変更されるまでは、悪意のあるパケットが、その間隔中に出力に到逹しないようにすることを保証するものである。
トラフィックレートがTh3に達する(cross)場合、トラフィックレートモニタ16は「攻撃中トラフィック通知子」17を生成して、サービス状態ユニット14へ伝送し、サービス状態テーブルでこの情報を更新する。次に、ユニット14は、モニタリングした不審なトラフィックが実際に攻撃中であることをトラフィック弁別手段18に通知する。有利に、このステージでは、不審なトラフィックのみがモニタリングされるため、そのトラフィックが攻撃中かどうかを判断するのに必要な時間が相対的に速く、不審ではないサービスに対するトラフィックには、全然影響を与えることがない。
「攻撃中」トラフィックは、さらに、トラフィック弁別手段18から侵入検知/防止ブロック20にルーティングされる。ブロック20は、侵入検知システム(IDS)及び/または侵入防止システム(IPS)21を含み、ここで、周知のワーム、ウィルスから集められた攻撃特徴22、若しくは、異常行為特徴などに基づいて攻撃の形態の判断を行う。攻撃が特定化されると、ブロック20は、従来のフィルタリング機構23を用いることにより、この攻撃の衝撃を緩和させることを試みる。このような方法で、システム5は、ルータを通過するトラフィックの一部分に対してのみ高コストのIDS/IPS技術をトリガーし、それによって、プロセッシングリソース及びブロック20の作動時間が大幅に減少される。
図2は、入力トラフィックの一部分のみが侵入検知/防止ブロック20を通過する方法を示す、ATDENシステムの作動方法のブロック図を示している。ステップS1において、サービス状態テーブルは、各サービスに対し、既知のSWの脆弱性に基づいて初期化される。このステージにおいて、ポート/サービスは、「危険状態」クラス及び「非危険状態」クラスに分離される。その後、トラフィックが、それぞれのホストルータまたはCEの入力で受信されると(ステップS2)、モニタ25は、ステップS3において示されているようにそれぞれのトラフィックフローのサービス状態を判断する。これは、トラフィッククラスによって、上述した2つのステージにおいて行われる。
次いで、モニタ25は、ステップS4に示されているように、現状態を反映するためにそれぞれのトラフィックフローの状態を更新する。サービス状態ユニット14から受信した状態情報に基づいて、弁別手段18が「攻撃中」トラフィックを孤立させて、決定ブロックS5の「YES」に移動することで、図示されているとおり処理のためにそれを侵入検知/防止ブロック20にルーティングする。「非攻撃中」状態のトラフィックは、決定ブロックS5の「NO」に移動することで、図示されているとおり出力にルーティングされる。侵入検知/防止ブロック20は、ウィルスの攻撃特徴22に対する攻撃を特定化し、フィルタリング機構23を用いて、攻撃の衝撃を緩和しようと試みる(ステップS6)。その後、トラフィックは、出力にルーティングされ、あるいは、修正不可能なものは廃棄されることになる。整理すると、図2は、システム5が、ルータを通過するトラフィックの選択された部分に対してのみ、ブロック20の作動をトリガーする方法を説明している。
図3a及び図3bは、トラフィックフローのサービス状態を評価するための2つのステージについて説明するフローチャートである。図3aは、第1ステージを示したものであり、ここでモニタ25は、「不審な」若しくはそうではないものとして各サービスを特徴付ける(ステップS11)。ステップS12において、トラフィックが不審なときは、決定ブロックの「YES」に移動し(S11)、モニタが早期通知13をサービス状態ユニット14にトリガーするようにする。上述したように、トラフィックのインテグリティ特性はサービスの形態及び危険レベルによって異なるため、このステージの中で、モニタ25はそれぞれのトラフィッククラスに対して異なる閾値を用いる。その後、ステップS13において示されているように、サービス状態ユニット14はそれに応じて状態テーブルを更新する。不審なトラフィックだけではなく、その残りのトラフィックはその後、弁別手段18によって出力にルーティングされる(図2のフローチャートのステップS7)。
図3bは、第2ステージを説明するものであり、ここでモニタリングシステムは、それぞれのサービスのレートをモニタリングすることにより、不審なサービスのみを攻撃中若しくはそうではないものとして特徴付ける。「不審な」トラフィックフローにおいてトラフィックレートの閾値よりも高いということは、決定ブロックS16の「NO」に示されているとおり、各サービスが実際に攻撃中である旨を示す。この場合、サービス状態ユニット14は、これに応じて状態テーブルを更新する(ステップS17)。トラフィックレートモニタ16の出力におけるトラフィックは、弁別手段18の入力に戻り、ここで、トラフィックサービス状態に応じてルーティングが行われる(図2のフローチャートのステップS5)。不審なトラフィックのレートが閾値を下回ると(決定ブロックS16の「YES」)、各サービスは、図2のステップS7に示されているとおり、出力にルーティングされる。
Claims (23)
- IDS/IPSが装備された通信ネットワークのノードにおいて異常なトラフィックを検出する方法であって、
トラフィックフローが不審なデータトラフィックを運搬しているかどうかを確認するために、前記トラフィックフローにおけるデータトラフィックの重要なサブセットのみを観察することにより、前記ノードに入力されたトラフィックフローの状態をモニタリングするステップと、
前記トラフィックフローの状態が不審な場合、早期通知をトリガーして、前記トラフィックフローを不審なトラフィックフローとして印をつけるステップと、
を含む、方法。 - 前記トラフィックフローが攻撃中であるかどうかを判断するために、前記不審なトラフィックフローの特定化したパラメータを観察することにより前記不審なトラフィックフローの状態を追加的にモニタリングし、それに応じて、前記トラフィックフローの状態を「不審な」から「攻撃中」に更新し、前記不審なトラフィックフローを攻撃中トラフィックフローとして印をつけるステップと、
攻撃中トラフィックフローについてのみ、IDS/IPSで軽減作用を行うステップと、
をさらに含む、請求項1に記載の方法。 - 前記トラフィックデータの重要なサブセットは、前記トラフィックフロー内にICMPパケットを含む、請求項1に記載の方法。
- 前記モニタリングするステップは、
前記トラフィックフローに危険クラスを割り当てることと、
前記トラフィックフロー内のICMPパケットのレートを測定することと、
前記危険カテゴリーに応じて、確認されたそれぞれの閾値をICMPパケットのレートと比較することと、
を含む、請求項3に記載の方法。 - 前記モニタリングするステップは、前記トラフィックフローの危険クラスによって複数の閾値を用いて実行する、請求項1に記載の方法。
- 前記第1及び第2の閾値は、前記トラフィックフローにより用いられる伝送プロトコルに応じて選択される、請求項5に記載の方法。
- 前記特定化されたパラメータは、前記不審なトラフィックフローのレートである、請求項2に記載の方法。
- 前記追加的なモニタリングを行うステップは、
前記不審なトラフィックフローのレートを測定することと、
前記不審なトラフィックフローが実際に「攻撃中」かどうかを確認するために、前記不審なトラフィックフローのレートを他の閾値と比較することと、
を含む、請求項7に記載の方法。 - 侵入検知/防止システム(IDS/IPS)が装備された通信ネットワークのネットワークノードにおいて異常なトラフィックを検出する方法であって、
a)前記ネットワークノードに入力された各トラフィックフローに対する状態を有するサービス状態テーブルを保持するステップと、
b)前記各トラフィックフローに割り当てられた危険クラスに基づいて、「不審な」若しくは「不審ではない」としてトラフィックフローの状態を評価するステップと、
c)前記トラフィックフローの状態を「不審ではない」状態から「不審な」状態に変更する度に前記サービス状態テーブルを更新して、前記トラフィックフローを不審なトラフィックフローとして印をつけるステップと、
d)「攻撃中」状態または「非攻撃中」状態を識別するために、前記不審なトラフィックフローの状態をさらに評価するステップと、
e)「攻撃中」状態として前記不審なトラフィックフローの状態をさらに更新し、前記不審なトラフィックフローを攻撃中トラフィックフローとして印をつけるステップと、
f)前記攻撃中トラフィックフローを、前記IDS/IPSにルーティングするステップと、
を含む、方法。 - 前記ステップa)は、前記トラフィックフローにより用いられたプロトコルに対して認識されたソフトウェアの脆弱性に基づいて、それぞれのトラフィックフローを「危険状態」クラスと「非危険状態」クラスとに分類することを含む、請求項9に記載の方法。
- 前記ステップb)は、
b1)前記各トラフィックフローに対して、全てのインターネット・コントロール・メッセージ・プロトコル(ICMP)パケットを分離することと、
b2)各トラフィックフローのサービスクラスに基づいて、前記ICMPパケットをレートモニタリングすることと、
b3)前記トラフィックフローの状態が「不審な」に変更されると、早期トラフィック状態通知子を生成することと、
b4)前記ICMPパケットを、前記トラフィックフロー内に戻して併合することと、
を含む、請求項9に記載の方法。 - 前記ステップb2)は、
前記トラフィックフローが「危険状態」クラスに属すると、前記ICMPパケットのレートを第1の閾値と比較することと、
前記トラフィックフローが「非危険状態」クラスに属すると、前記ICMPパケットのレートを第2の閾値と比較することと、
を含む、請求項11に記載の方法。 - 前記ステップb3)は、前記ICMPレートが、前記第1及び第2の閾値のうちのそれぞれの1つを違反する度に前記早期トラフィック状態通知子を生成することを含む、請求項12に記載の方法。
- 前記ステップd)は、
d1)不審な前記トラフィックフローのレートを測定することと、
d2)前記不審なトラフィックフローのレートを第3の閾値と比較することと、
d3)不審なトラフィックフローのレートが前記第3の閾値を違反する度に攻撃中トラフィック通知子を生成することと、
を含む、請求項9に記載の方法。 - 前記第3の閾値は、前記トラフィックフローにより用いられる伝送プロトコルに応じて選択される、請求項14に記載の方法。
- 前記ステップf)は、攻撃の形態を識別することと、その攻撃形態に基づいて前記トラフィックフローにそれぞれの軽減作用を実行することと、を含む、請求項9に記載の方法。
- 前記軽減作用は、i)前記トラフィックフローの全てを廃棄すること、ii)前記トラフィックフローのレートをレート制限すること、iii)攻撃特徴と一致する前記トラフィックフローでパケットをレート制限すること、iv)パケット検証を通じて発見されたパケットをレート制限すること、のうちの1つである、請求項16に記載の方法。
- 通信ノードに入力された各トラフィックフローに対するサービス状態を有するサービス状態テーブルを保持するサービス状態手段と、
トラフィックフローの状態を評価して、前記トラフィックフローの状態が変化する度に前記サービス状態テーブルを更新するモニタと、
前記トラフィックフローを、前記トラフィックフローが「不審な」状態を有する場合は前記モニタに、前記トラフィックフローが「攻撃中」状態を有する場合は侵入検知/防止システム(IDS/IPS)に、前記システムの出力にルーティングするトラフィック弁別手段(18)と、
を備える、早期通知で異常なトラフィックを検出する(ATDEN)システム。 - 前記トラフィックフローを、前記トラフィックフローにより用いられるプロトコルに対して認識されたソフトウェアの脆弱性に基づいて、少なくとも「危険状態」と「非危険状態」とに分類する手段をさらに備える、請求項18に記載のシステム。
- 前記モニタは、
全てのインターネット・コントロール・メッセージ・プロトコル(ICMP)パケットを前記トラフィックフローから分離する手段と、
前記クラスに基づいて前記トラフィックフローの状態を決定し、「不審な」に変更された状態を前記サービス状態手段へ通知するICMPレートモニタと、
前記ICMPパケットを、前記トラフィックフロー内に戻して併合する手段と、
を備える、請求項19に記載のシステム。 - 前記ICMPレートモニタは、前記「危険状態」クラスに関する第1の閾値に対して、さらに、前記「非危険状態」クラスに関する第2の閾値に対して分離するために、前記手段から受信した前記ICMPパケットのレートを測定する、請求項20に記載のシステム。
- 前記ICMPレートモニタは、前記ICMPパケットのレートが前記第1及び第2の閾値のうちのいずれかに達する度に、前記サービス状態手段に早期トラフィック状態通知子を生成する、請求項19に記載のシステム。
- 前記モニタは、第3の閾値に対する前記トラフィックフローのレートを測定し、前記トラフィックフローのレートが前記第3の閾値に達する度に、前記サービス状態手段に「攻撃中」通知子を生成するトラフィックレートモニタをさらに備える、請求項22に記載のシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/176,237 US7757283B2 (en) | 2005-07-08 | 2005-07-08 | System and method for detecting abnormal traffic based on early notification |
PCT/IB2006/003116 WO2007020534A1 (en) | 2005-07-08 | 2006-07-04 | System and method for detecting abnormal traffic based on early notification |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009500936A true JP2009500936A (ja) | 2009-01-08 |
Family
ID=37607801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008520026A Pending JP2009500936A (ja) | 2005-07-08 | 2006-07-04 | 早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7757283B2 (ja) |
EP (1) | EP1905197B1 (ja) |
JP (1) | JP2009500936A (ja) |
CN (1) | CN1946077B (ja) |
WO (1) | WO2007020534A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101560534B1 (ko) | 2013-12-31 | 2015-10-16 | 주식회사 윈스 | 행위 기반 분석 기술을 이용한 지능적 지속 공격 탐지 및 대응 시스템 및 방법 |
JP2019165493A (ja) * | 2019-05-28 | 2019-09-26 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 |
US11399034B2 (en) | 2016-06-22 | 2022-07-26 | Huawei Cloud Computing Technologies Co., Ltd. | System and method for detecting and preventing network intrusion of malicious data flows |
Families Citing this family (60)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006013737A (ja) * | 2004-06-24 | 2006-01-12 | Fujitsu Ltd | 異常トラヒック除去装置 |
KR100639969B1 (ko) * | 2004-12-02 | 2006-11-01 | 한국전자통신연구원 | 이상 트래픽 제어 장치 및 그 제어 방법 |
US7877803B2 (en) * | 2005-06-27 | 2011-01-25 | Hewlett-Packard Development Company, L.P. | Automated immune response for a computer |
US7698548B2 (en) * | 2005-12-08 | 2010-04-13 | Microsoft Corporation | Communications traffic segregation for security purposes |
GB2432933B (en) * | 2006-03-14 | 2008-07-09 | Streamshield Networks Ltd | A method and apparatus for providing network security |
GB2432934B (en) * | 2006-03-14 | 2007-12-19 | Streamshield Networks Ltd | A method and apparatus for providing network security |
US9112897B2 (en) * | 2006-03-30 | 2015-08-18 | Advanced Network Technology Laboratories Pte Ltd. | System and method for securing a network session |
WO2007149140A2 (en) * | 2006-03-30 | 2007-12-27 | Antlabs | System and method for providing transactional security for an end-user device |
US8613095B2 (en) * | 2006-06-30 | 2013-12-17 | The Invention Science Fund I, Llc | Smart distribution of a malware countermeasure |
US8117654B2 (en) * | 2006-06-30 | 2012-02-14 | The Invention Science Fund I, Llc | Implementation of malware countermeasures in a network device |
US8539581B2 (en) * | 2006-04-27 | 2013-09-17 | The Invention Science Fund I, Llc | Efficient distribution of a malware countermeasure |
US8966630B2 (en) * | 2006-04-27 | 2015-02-24 | The Invention Science Fund I, Llc | Generating and distributing a malware countermeasure |
US9258327B2 (en) | 2006-04-27 | 2016-02-09 | Invention Science Fund I, Llc | Multi-network virus immunization |
US9147271B2 (en) | 2006-09-08 | 2015-09-29 | Microsoft Technology Licensing, Llc | Graphical representation of aggregated data |
US8234706B2 (en) * | 2006-09-08 | 2012-07-31 | Microsoft Corporation | Enabling access to aggregated software security information |
US8250645B2 (en) * | 2008-06-25 | 2012-08-21 | Alcatel Lucent | Malware detection methods and systems for multiple users sharing common access switch |
US8112801B2 (en) * | 2007-01-23 | 2012-02-07 | Alcatel Lucent | Method and apparatus for detecting malware |
US20080295173A1 (en) * | 2007-05-21 | 2008-11-27 | Tsvetomir Iliev Tsvetanov | Pattern-based network defense mechanism |
US8302197B2 (en) | 2007-06-28 | 2012-10-30 | Microsoft Corporation | Identifying data associated with security issue attributes |
US8250651B2 (en) * | 2007-06-28 | 2012-08-21 | Microsoft Corporation | Identifying attributes of aggregated data |
US9088605B2 (en) * | 2007-09-19 | 2015-07-21 | Intel Corporation | Proactive network attack demand management |
US9779235B2 (en) * | 2007-10-17 | 2017-10-03 | Sukamo Mertoguno | Cognizant engines: systems and methods for enabling program observability and controlability at instruction level granularity |
US8316448B2 (en) * | 2007-10-26 | 2012-11-20 | Microsoft Corporation | Automatic filter generation and generalization |
US8122436B2 (en) * | 2007-11-16 | 2012-02-21 | Microsoft Corporation | Privacy enhanced error reports |
US8918865B2 (en) * | 2008-01-22 | 2014-12-23 | Wontok, Inc. | System and method for protecting data accessed through a network connection |
WO2009094371A1 (en) * | 2008-01-22 | 2009-07-30 | Authentium, Inc. | Trusted secure desktop |
US8181249B2 (en) * | 2008-02-29 | 2012-05-15 | Alcatel Lucent | Malware detection system and method |
US8341740B2 (en) * | 2008-05-21 | 2012-12-25 | Alcatel Lucent | Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware |
US8381298B2 (en) | 2008-06-30 | 2013-02-19 | Microsoft Corporation | Malware detention for suspected malware |
US8464341B2 (en) * | 2008-07-22 | 2013-06-11 | Microsoft Corporation | Detecting machines compromised with malware |
US8925039B2 (en) * | 2009-12-14 | 2014-12-30 | At&T Intellectual Property I, L.P. | System and method of selectively applying security measures to data services |
US20120110665A1 (en) * | 2010-10-29 | 2012-05-03 | International Business Machines Corporation | Intrusion Detection Within a Distributed Processing System |
US8499348B1 (en) | 2010-12-28 | 2013-07-30 | Amazon Technologies, Inc. | Detection of and responses to network attacks |
US9432282B2 (en) * | 2011-02-24 | 2016-08-30 | The University Of Tulsa | Network-based hyperspeed communication and defense |
US8533834B1 (en) * | 2011-04-22 | 2013-09-10 | Juniper Networks, Inc. | Antivirus intelligent flow framework |
NL2007180C2 (en) * | 2011-07-26 | 2013-01-29 | Security Matters B V | Method and system for classifying a protocol message in a data communication network. |
CN102495795B (zh) * | 2011-11-25 | 2013-04-24 | 中国人民解放军总参谋部第五十四研究所 | 一种基于中间语言分析的软件脆弱性测试方法 |
CN102420825B (zh) * | 2011-11-30 | 2014-07-02 | 北京星网锐捷网络技术有限公司 | 一种网络攻击防御检测方法及*** |
CN104067558B (zh) * | 2012-04-30 | 2017-09-12 | 慧与发展有限责任合伙企业 | 网络访问装置和用于处理网络中的分组的方法 |
US9172633B2 (en) | 2012-10-26 | 2015-10-27 | Google Inc. | Traffic engineering system for preventing demand deadlock and achieving uniform link utilization |
US9553794B1 (en) | 2013-01-10 | 2017-01-24 | Google Inc. | Traffic engineering for network usage optimization |
EP2785008A1 (en) | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
EP2785009A1 (en) | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
US9692775B2 (en) * | 2013-04-29 | 2017-06-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system to dynamically detect traffic anomalies in a network |
TW201505411A (zh) | 2013-07-31 | 2015-02-01 | Ibm | 用於規則式安全防護設備之規則解譯方法及設備 |
JP2015075808A (ja) * | 2013-10-07 | 2015-04-20 | 富士通株式会社 | ネットワークフィルタリング装置及びネットワークフィルタリング方法 |
US9467362B1 (en) * | 2014-02-10 | 2016-10-11 | Google Inc. | Flow utilization metrics |
US9800592B2 (en) * | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
US9088509B1 (en) | 2014-09-22 | 2015-07-21 | Level 3 Communications, Llc | Adaptive network function chaining |
US9661011B1 (en) | 2014-12-17 | 2017-05-23 | Amazon Technologies, Inc. | Techniques for data routing and management using risk classification and data sampling |
US9836599B2 (en) * | 2015-03-13 | 2017-12-05 | Microsoft Technology Licensing, Llc | Implicit process detection and automation from unstructured activity |
CN107534646A (zh) | 2015-08-28 | 2018-01-02 | 慧与发展有限责任合伙企业 | 用于确定dns分组是否为恶意的提取数据分类 |
WO2017039593A1 (en) * | 2015-08-28 | 2017-03-09 | Hewlett Packard Enterprise Development Lp | Identification of a dns packet as malicious based on a value |
CN105391646A (zh) * | 2015-10-19 | 2016-03-09 | 上海斐讯数据通信技术有限公司 | 一种链路层设备预警处理的方法和装置 |
US10382466B2 (en) * | 2017-03-03 | 2019-08-13 | Hitachi, Ltd. | Cooperative cloud-edge vehicle anomaly detection |
US11194909B2 (en) | 2017-06-21 | 2021-12-07 | Palo Alto Networks, Inc. | Logical identification of malicious threats across a plurality of end-point devices |
US10601849B2 (en) * | 2017-08-24 | 2020-03-24 | Level 3 Communications, Llc | Low-complexity detection of potential network anomalies using intermediate-stage processing |
US11095670B2 (en) * | 2018-07-09 | 2021-08-17 | Cisco Technology, Inc. | Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane |
US11386197B1 (en) | 2021-01-11 | 2022-07-12 | Bank Of America Corporation | System and method for securing a network against malicious communications through peer-based cooperation |
US11641366B2 (en) | 2021-01-11 | 2023-05-02 | Bank Of America Corporation | Centralized tool for identifying and blocking malicious communications transmitted within a network |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US20020093527A1 (en) * | 2000-06-16 | 2002-07-18 | Sherlock Kieran G. | User interface for a security policy system and method |
US20040103315A1 (en) * | 2001-06-07 | 2004-05-27 | Geoffrey Cooper | Assessment tool |
US7743415B2 (en) | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
US7587762B2 (en) | 2002-08-09 | 2009-09-08 | Netscout Systems, Inc. | Intrusion detection system and network flow director method |
US7540028B2 (en) * | 2002-10-25 | 2009-05-26 | Intel Corporation | Dynamic network security apparatus and methods or network processors |
US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US20040148520A1 (en) * | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
-
2005
- 2005-07-08 US US11/176,237 patent/US7757283B2/en active Active
-
2006
- 2006-07-04 JP JP2008520026A patent/JP2009500936A/ja active Pending
- 2006-07-04 WO PCT/IB2006/003116 patent/WO2007020534A1/en not_active Application Discontinuation
- 2006-07-04 EP EP06809186A patent/EP1905197B1/en not_active Not-in-force
- 2006-07-07 CN CN2006101108979A patent/CN1946077B/zh not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101560534B1 (ko) | 2013-12-31 | 2015-10-16 | 주식회사 윈스 | 행위 기반 분석 기술을 이용한 지능적 지속 공격 탐지 및 대응 시스템 및 방법 |
US11399034B2 (en) | 2016-06-22 | 2022-07-26 | Huawei Cloud Computing Technologies Co., Ltd. | System and method for detecting and preventing network intrusion of malicious data flows |
JP2019165493A (ja) * | 2019-05-28 | 2019-09-26 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 |
Also Published As
Publication number | Publication date |
---|---|
US7757283B2 (en) | 2010-07-13 |
CN1946077A (zh) | 2007-04-11 |
EP1905197A1 (en) | 2008-04-02 |
US20070011741A1 (en) | 2007-01-11 |
EP1905197B1 (en) | 2012-09-05 |
CN1946077B (zh) | 2011-05-11 |
WO2007020534A1 (en) | 2007-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
US10097578B2 (en) | Anti-cyber hacking defense system | |
KR101045362B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
Gupta et al. | An ISP level solution to combat DDoS attacks using combined statistical based approach | |
US7624447B1 (en) | Using threshold lists for worm detection | |
US9253153B2 (en) | Anti-cyber hacking defense system | |
Bavani et al. | Statistical approach based detection of distributed denial of service attack in a software defined network | |
Fakeeh | An overview of DDoS attacks detection and prevention in the cloud | |
Rahman et al. | A novel cloud computing security model to detect and prevent DoS and DDoS attack | |
Abbas et al. | Subject review: Intrusion Detection System (IDS) and Intrusion Prevention System (IPS) | |
Tiruchengode | Dynamic approach to defend against distributed denial of service attacks using an adaptive spin lock rate control mechanism | |
Ogunleye et al. | Securing and monitoring of Bandwidth usage in multi-agents denial of service environment | |
Haris et al. | TCP SYN flood detection based on payload analysis | |
Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
Sachdeva et al. | A comprehensive survey of distributed defense techniques against DDoS attacks | |
Varma et al. | A review of DDoS attacks and its countermeasures in cloud computing | |
Desai et al. | Denial of service attack defense techniques | |
Ji et al. | Botnet detection and response architecture for offering secure internet services | |
Kuldeep et al. | Enhancing Network Security by implementing preventive mechanism using GNS3 | |
Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
Kochar et al. | INTRUSION DETECTION SYSTEM USING CLOUD COMPUTING | |
Raashid et al. | Detection Methods for Distributed Denial of Services (DDOS) Attacks | |
Sumant et al. | Overview of Denial-Of-Service Attack and statistical detection Techniques | |
Haris et al. | Packet analysis using packet filtering and traffic monitoring techniques | |
Cisar et al. | Intrusion detection-one of the security methods |