JP6957675B2 - ネットワーク攻撃防御システムおよび方法 - Google Patents
ネットワーク攻撃防御システムおよび方法 Download PDFInfo
- Publication number
- JP6957675B2 JP6957675B2 JP2020081003A JP2020081003A JP6957675B2 JP 6957675 B2 JP6957675 B2 JP 6957675B2 JP 2020081003 A JP2020081003 A JP 2020081003A JP 2020081003 A JP2020081003 A JP 2020081003A JP 6957675 B2 JP6957675 B2 JP 6957675B2
- Authority
- JP
- Japan
- Prior art keywords
- site
- defense
- protected site
- current
- mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
他の出願の相互参照
本願は、2016年7月22日出願の中国特許出願第201610586673.9号「A NETWORK ATTACK DEFENSE SYSTEM, METHOD AND DEVICE」の優先権を主張する。当該出願は、すべての目的のために参照により本明細書に組み込まれる。
本願は、2016年7月22日出願の中国特許出願第201610586673.9号「A NETWORK ATTACK DEFENSE SYSTEM, METHOD AND DEVICE」の優先権を主張する。当該出願は、すべての目的のために参照により本明細書に組み込まれる。
本願は、一般に、ネットワークセキュリティに関し、特に、ネットワーク攻撃防御システムおよびネットワークに関する。
ハイパーテキスト・トランスポート・プロトコル(HTTP)は、クライアントとサーバとの間のアプリケーション層通信のための最も一般的なメカニズムである。他の通信プロトコルのように、HTTPベースの通信は、フラッド攻撃または分散型サービス妨害(DDoS)攻撃に脆弱である。例えば、攻撃者が十分に大量の”GET”パケットをHTTPサーバに送信して、サーバによって提供されるリソースへのアクセスを要求すると、HTTPサーバは最終的に、”GET”パケットの処理の最大能力に達し、正規ユーザへの応答に利用できなくなる。
現在、HTTPフラッド攻撃を検出するためのいくつかの手段が知られている。例えば、特定のソースIPまたは特定のソースIPのクッキーの統計値に基づいて、頻度統計値が所定の閾値を超えた場合に、特定のソースIPは攻撃に関与していると判定される。また、要求の特定の特徴(例えば、プロキシヘッダが存在するか否か)を用いて、攻撃を検出することができる。さらに、特定のソースIPからのデータパケットのための特定のフィールドの分布の統計を用いて、攻撃を検出することができる。最後に、チャレンジ応答テストを利用し、認証コードページ、JavaScript(登録商標)ページ、HTTP set cookieヘッダなど(攻撃プログラムまたはボットではなく、正規のクライアントまたは人間ユーザによって応答される)を含めるようにHTTPホストによって修正されたページを返すことによって、攻撃を検出することができる。
しかしながら、ネットワーク環境が常に変化しており、固定的な防御戦略がしばしば、時と共に、フォルスポジティブ(誤検出:例えば、正常なトラフィックを誤認して遮断する)および/またはフォルスネガティブ(検出漏れ:例えば、攻撃トラフィックをネットワークに通過させる)の割合を増すという事実にもかかわらず、上述の手段は、通例、固定的な防御戦略に依存するという欠点を有する。したがって、フォルスポジティブおよびフォルスネガティブの可能性を減らしつつ防御効率を高めることが求められている。
以下の詳細な説明と添付の図面において、本発明の様々な実施形態を開示する。
ここで説明する図面は、本発明の理解を深めるよう意図されており、本願の一部を形成する。本願の典型的な実施形態およびその説明は、本発明を説明するよう意図されており、本発明の範囲の不適切な限定となるものではない。以下の図面が含まれる:
本発明は、処理、装置、システム、物質の組成、コンピュータ読み取り可能な格納媒体上に具現化されたコンピュータプログラム製品、および/または、プロセッサ(プロセッサに接続されたメモリに格納および/またはそのメモリによって提供される命令を実行するよう構成されたプロセッサ)を含め、様々な形態で実装されうる。本明細書では、これらの実装または本発明が取りうる任意の他の形態を、技術と呼ぶ。一般に、開示された処理の工程の順序は、本発明の範囲内で変更されてもよい。特に言及しない限り、タスクを実行するよう構成されるものとして記載されたプロセッサまたはメモリなどの構成要素は、ある時間にタスクを実行するよう一時的に構成された一般的な構成要素として、または、タスクを実行するよう製造された特定の構成要素として実装されてよい。本明細書では、「プロセッサ」という用語は、1または複数のデバイス、回路、および/または、コンピュータプログラム命令などのデータを処理するよう構成された処理コアを指すものとする。
以下では、本発明の原理を示す図面を参照しつつ、本発明の1または複数の実施形態の詳細な説明を行う。本発明は、かかる実施形態に関連して説明されているが、どの実施形態にも限定されない。本発明の範囲は、特許請求の範囲によってのみ限定されるものであり、本発明は、多くの代替物、変形物、および、等価物を含む。以下の説明では、本発明の完全な理解を提供するために、多くの具体的な詳細事項が記載されている。これらの詳細事項は、例示を目的としたものであり、本発明は、これらの具体的な詳細事項の一部または全てがなくとも特許請求の範囲に従って実施可能である。簡単のために、本発明に関連する技術分野で周知の技術事項については、本発明が必要以上にわかりにくくならないように、詳細には説明していない。
当業者が本発明をよりよく理解できるように、本発明の実施形態に含まれる図面に照らして本発明の技術的解決策を以下に明確かつ完全に説明する。明らかに、記載した実施形態は、本発明の実施形態の一部にすぎず、可能な実施形態すべてを表すものではない。本願に含まれる実施形態に基づいて、創造的な作業の努力なしに当業者によって得られるすべての他の実施形態も本願の保護範囲内に含まれる。
「第1」、「第2」などの用語は、本願の記載および請求項ならびに図面において、類似した対象を区別するために用いられ、必ずしも特定の順番または順序を記載する意図はない。このように用いられたデータは、適切な状況で交換可能であり、その場合、本明細書に記載の本願の実施形態は、本明細書に図示または記載した順序以外の順序でも実施できることを理解されたい。さらに、「含む」および「有する」という用語、ならびに、それらの任意の変化形は、非排他的な包含を網羅するよう意図されたものであり;例えば、一連の工程またはユニットを含む処理、方法、システム、製品、または、装置が、明確に列挙された工程またはユニットに必ずしも限定されることはなく、明確に列挙されていない他の工程またはユニット、もしくは、これらの処理、方法、システム、製品、または、装置に固有の他の工程またはユニットを含んでもよい。
本開示の実施形態の理解を容易にするために、実施形態に用いられる用語を以下のように定義する。
本明細書で用いられる用語「サイト」は、サーバ、サーバアプリケーション、ソフトウェアモジュール、ハードウェアモジュール、および/または、同様のものによってコンピュータネットワーク上でホストされたアプリケーションまたはサービスのウェブサイトを指す。ウェブブラウザからサービスを見つけてアクセスするための普遍的メカニズムとして、特定のサイトが、それに関連付けられた特定のポインタ(例えば、URL(ユニフォームリソースロケータ))を有する。サイトURLは、サーバドメイン名(www.sina.com.cn、www.sohu.comなど)を含む。
本明細書で用いられる用語「サイト属性」は、動作中のサイトの特徴を特徴付ける属性のことである。例えば、サイト属性は、サイトが毎秒受信する要求の数、サイトが毎秒送信する通常応答の数、アプリケーションがエラー(例えば、アプリケーションエラーとしてのエラー500、および、page not found(ページが見つかりません)エラーとしてのエラー404)を示唆するために毎秒送信する応答の数、サイトで毎秒受信される攻撃疑いと見なされる要求の数、特定の宛先IPに対して開かれている同時接続の数、HTTPパケットフィールド(例えば、ヘッダフィールド)に示された共通ユーザエージェントの数、特定のウェブブラウザに対して生成される同時HTTPクッキーの数、および/または、同様のものでありうる。
本明細書で用いられる用語「防御戦略」は、ネットワーク攻撃に対する防御において、サイトによって配備または適用される手段またはルールを指す。例えば、防御戦略は、フォルスネガティブ率を示す段階的な防御レベルの範囲、ならびに/もしくは、1セットの1または複数の防御アルゴリズムを含みうるが、これらに限定されない。以下で論じる例において、防御アルゴリズムは、フォルスポジティブ率と関連する。防御アルゴリズムの例は、クラスタアルゴリズム、Kー近傍法アルゴリズムのためのトランスダクティブコンフィデンス機械(transductive confidence machine)などを含む。
本明細書で用いられる用語「分散型サービス妨害(DDoS)」は、例えば、クライアント−サーバ技術を用いて、サービス妨害の力を指数関数的に増大させて、1または複数の標的に複数のコンピュータからDDoS攻撃を開始することである。一般に、攻撃者は、盗まれたアカウントを用いて、1つのコンピュータにDDoS主制御プログラムをインストールし、そのコンピュータは、所定の期間内に、ネットワーク上の数多くのコンピュータにすでにインストールされている多数のエージェントプログラムと通信する。主制御プログラムからの命令の受信後、エージェントプログラムは、それに従って攻撃を開始する。クライアントサーバ技術を用いて、主制御プログラムは、数百ないし数千のエージェントプログラムを数秒以内に起動して攻撃動作を行わせる。
本明細書で用いられる用語「ハイパーテキスト・トランスファー・プロトコル(HTTP)」とは、ウェブページまたはウェブファイルすべてが従うインターネット上で一般的なネットワーク通信プロトコルのことである。
本明細書で用いられる用語「HTTPフラッド」または「HTTP GETフラッド」または「CC攻撃」とは、攻撃者が、例えば、エージェントサーバを活用して正規のHTTP GET要求を生成し、それらのGET要求を被害ホストへ向けて、攻撃者のソースまたは正体に関する情報を明かすことなしにDDoSを達成する特定のタイプのDDoS攻撃のことである(チャレンジ・コラプサ(CC:challenge collapsar)としても知られる)。現在、ますます多くの人々がウェブベースサービスを用いて情報を取得および分散しており、インターネット上のウェブセキュリティが、ネットワークセキュリティ研究の注目の話題になった。ウェブベースサービスのための重要なプロトコルとして、HTTPパケットが、しばしば、HTTPフラッド/HTTP GETフラッド/CC攻撃として知られるDDoS攻撃を開始するためにハッカーによって用いられる。これらの攻撃の特徴は、正規の要求および非正規の要求の内容が非常に類似しているために、かかる攻撃の検出および防御が困難になっていることである。
図1は、本開示の一実施形態に従って、ネットワーク攻撃防御システムの一例を実施するよう構成されたプログラムコンピュータシステムの一実施形態を示すブロック図である。システム100は、必要に応じて、(図2に示す)第1デバイス、ネットワーク、ウェブサーバシステム、および/または、第2デバイスを実装するために利用できる。明らかに、ネットワーク攻撃防御のためのシステムおよび方法を実施するために、他のコンピュータシステムアーキテクチャおよび構成を用いることも可能である。以下に述べるような様々なサブシステムを備えるコンピュータシステム100は、少なくとも1つのマイクロプロセッササブシステム(プロセッサまたは中央処理装置(CPU)とも呼ばれる)102a、102b、...、102nを備える。プロセッサ102a、...、102nは、マイクロプロセッサ(MCU)またはプログラム可能論理デバイス(FPGA)によって実装できる。メモリ104からリトリーブされた命令を用いて、プロセッサ102a、102b、...、102nは、入力データの受信および操作、ならびに、出力デバイス(例えば、ディスプレイ124)上でのデータの出力および表示を制御する。
プロセッサ102a、...、102nは、メモリ104と双方向的に接続されており、メモリ104は、第1プライマリストレージ(通例は、ランダムアクセスメモリ(RAM))および第2プライマリストレージ領域(通例は、リードオンリーメモリ(ROM))を含みうる。当業者に周知のように、プライマリストレージは、一般的な記憶領域として、および、スクラッチパッドメモリとして利用可能であり、また、入力データおよび処理済みデータを格納するために利用可能である。プライマリストレージは、さらに、プロセッサ102a、...、102n上で実行される処理のための他のデータおよび命令に加えて、データオブジェクトおよびテキストオブジェクトの形態で、プログラミング命令およびデータを格納できる。また、当業者に周知のように、プライマリストレージは、通例、機能(例えば、プログラムされた命令)を実行するためプロセッサ102a、...、102nによって用いられる基本的な動作命令、プログラムコード、データ、および、オブジェクトを備える。
ネットワークインターフェース105は、ネットワークを介してデータを送受信するために用いられる。ネットワークの具体例は、コンピュータシステム100に対して通信サービスプロバイダによって提供された無線ネットワークを含みうる。一実施形態において、ネットワークインターフェース105は、基地局を通して他のネットワーク機器にリンクできるネットワークインターフェースコントローラ(NIC)を備えているため、インターネットとの通信を可能にする。一実施形態において、ネットワークインターフェース105は、高周波(RF)モジュールであってよく、RFモジュールは、インターネットと無線通信するために用いられる。
ディスプレイ124は、例えば、タッチスクリーン液晶ディスプレイ(LCD)であってよく、これは、ユーザがコンピュータシステム100のユーザインターフェース107と相互作用することを可能にするよう構成される。
プロセッサ102a、...、102nがストレージサブシステムにアクセスできるようにすることに加えて、バス106が、その他のサブシステムおよびデバイスへのアクセスを可能にするために用いられてもよい。図に示すように、これらは、ディスプレイ124、ネットワークインターフェース105、キーボード122、および、カーソルコントロール120、ならびに、必要に応じて、補助入力/出力デバイスインターフェース、サウンドカード、スピーカ、および、その他のサブシステムを含みうる。例えば、カーソルコントロール120は、マウス、スタイラス、トラックボール、または、タブレットであってよく、グラフィカルユーザインターフェースと相互作用するのに有用である。
補助I/Oデバイスインターフェース(図示せず)が、コンピュータシステム100と共に用いられてよい。補助I/Oデバイスインターフェースはプロセッサ102a、...、102nがデータを送信すること、ならびに、より典型的には、他のデバイス(マイクロフォン、タッチセンサ方式ディスプレイ、トランスデューサカードリーダ、テープリーダ、音声または手書き認識装置、バイオメトリクスリーダ、カメラ、携帯型マスストレージデバイス、および、他のコンピュータなど)からデータを受信することを可能にする汎用インターフェースおよびカスタマイズされたインターフェースを含みうる。
図2は、本開示の一実施形態に従って、通信システムの一例の中で動作するネットワーク攻撃防御システムの一例を示すブロック図である。通信システム200は、1または複数の第1デバイス202(本明細書ではその内の1つだけを図示する)と、ネットワーク204と、1または複数の第2デバイス206を含むウェブサーバシステム208とを備える。その他の通信システムにおいて、第2デバイスは、ウェブサーバシステムの外側にあってもよい。ウェブサーバシステム208は、ネットワーク204を介してサービスを提供する保護されたサイトをホストする。1または複数の第1デバイス202は、ウェブサーバシステム208でホストされたサービスを要求して受けるために、ネットワーク204を通してパケットを送信する。いくつかの実施形態において、 第1デバイス202、ネットワーク204、ウェブサーバシステム208、および、第2デバイス206は、例えば、図1のコンピュータシステム100によって実施できる。
第1デバイス202は、クライアントコンピュータデバイスでありえ、ネットワーク204への1または複数の有線、無線、または、任意のその他の適切な通信接続を備えた1または複数のコンピュータデバイス(パーソナルコンピュータ、ラップトップ、パーソナルデジタルアシスタント(PDA)、スマートフォン、ウェアラブルデバイス、スタンドアロンサーバ、分散型サーバなど)を含みうる。
ネットワーク204は、ISPのネットワークおよびその他の中間ネットワークを含みうる。第1デバイス202から第2デバイス206への通信接続は、第1デバイス202から第2デバイス206へのデータパケットの送信およびその逆の送信ために、これらのネットワークの一部を用いて形成される。1つの第1デバイス202、1つのネットワーク204、1つのウェブサーバシステム208、および、1つの第2デバイス206が例示の目的で図2に示されているが、本開示の実施形態は、複数の第1デバイス、ネットワーク、ウェブサーバシステム、および、第2デバイスなどに適用可能であることに注意されたい。
第1デバイス202は、対象ユーザが、保護サイトに正規のサービス要求を送信するコンピュータデバイスでありうる。一方で、第1デバイス202は、保護サイトに対してDDoS攻撃などのネットワーク攻撃を開始するために攻撃者によって遠隔操作された攻撃者コンピュータデバイス(例えば、ゾンビPCなど)である可能性もある。後者のシナリオでは、複数の第1デバイス202が、第2デバイス206へサービス要求を送信するように一斉に動作して、保護されたサイトで利用可能なコンピュータリソースを消費することで、そのサイトへの攻撃を開始することができる。
この例において、第2デバイス206は、保護サイトをホストするウェブサーバである。したがって、第1デバイス202は、第2デバイス206でホストされた保護サイトにサービス要求を送信するよう構成される。いくつかの別の実施形態において、第2デバイス206、および、ウェブサーバシステム208において保護サイトをホストするサーバは、異なるネットワークエンティティでありうる。第2デバイス206は、複数のウェブサーバシステムの動作を監視し、通信システム200にインストールされた監視デバイスであってもよい。例えば、第2デバイス206は、ウェブサーバシステム208の構成要素としてのネットワーク204上のルータに、または、ファイアウォール(図示せず)に、インストールされうる。
様々な実施形態において、第2デバイス206は、第1デバイス202によって送信され、保護サイトをホストするサーバで受信されたサービス要求から情報を収集することによって、保護サイトの統計的属性を取得するよう構成される。この例において、第2デバイス206は、保護サイトで受信されたサービス要求の統計情報を収集する。統計的属性は、第1のあらかじめ定められた期間内に保護サイトのサイト属性について取得される。取得された統計的属性を用いることにより、保護サイトは、現在の動作モードから目標動作モードに移行すると決定される。現在の動作モードは、現在の防御戦略を有し、目標動作モードは、目標防御戦略を有し、現在の防御戦略は、目標防御戦略と異なる。保護サイトが現在の動作モードから目標動作モードへ移行しないとの決定に応じて、現在の戦略は維持される。そうでなければ、保護サイトは、現在の動作モードから目標動作モードへ移行し、保護サイトのための目標防御戦略を適用する。
いくつかの実施形態において、第2デバイス206は、保護サイトで受信されたHTTPパケットをリトリーブし、受信されたHTTPパケットからサイト属性を抽出するよう構成される。サイト属性は、例えば、以下のカテゴリの測定値を含むがこれらに限定されない:サイトが毎秒受信する要求の数、サイトが毎秒送信する通常応答の数、アプリケーションがエラーを示唆するために毎秒送信する応答の数、サイトで毎秒受信される攻撃の疑いがある要求の数、特定の宛先IPに開かれている同時接続の数、HTTPパケットフィールドに示された共通ユーザエージェントの数、および、特定のウェブブラウザに対して生成される同時HTTPクッキーの数。同じカテゴリのサイト属性のデータを解析することにより、様々なタイプの統計的属性が、保護サイトに対して取得される。
いくつかの実施形態において、第2デバイス206は、上述の統計的属性の移動平均を取得するよう構成される。かかる移動平均は、累積移動平均または加重移動平均の形態で計算できる。例えば、累積移動平均アプローチは、現在までの1または複数の期間中に保護サイトが毎秒受信した要求の数を取得するために適用できる。加重移動平均アプローチは、例えば、現在までの1または複数の期間中の異なる時点にサンプリングされたデータに対して異なる重みとして1または複数の倍率を適用して、保護サイトが毎秒受信した要求の数を取得するために適用できる。また、第2デバイス206は、保護サイトが現在の動作モードにあった期間の値を取得するよう構成される。上述の統計的属性の移動平均と期間の値を併用して、保護サイトが現在の動作モードから目標動作モードへ移行するか否かが決定される。
この例において、第2デバイス206は、上述の移動平均、統計的属性、および、期間の値をブール関数に入力して、結果値を生成するよう構成される。結果値に従って、保護サイトは、現在の動作モードから目標動作モードに移行するか否かが決定される。
本明細書で用いられているように、防御戦略は、1または複数の防御レベルを有する1または複数の防御アルゴリズムを含む。この例において、防御レベルは、保護サイトのための保護の範囲または程度を示す。例えば、防御レベル1は、フォルスポジティブ率が低くフォルスネガティブ率が高い最低レベルでサイトが保護されていることを示唆し、防御レベル3は、フォルスポジティブ率が高くフォルスネガティブ率が低い最高レベルで保護されていることを示唆する。
図3は、本開示の一実施形態に従って、ネットワーク攻撃防御の処理の一例を示すフローチャートである。処理300は、例えば、図2の第2デバイス206によって実施されうるが、これに限定れない。
処理300は、統計的属性が第1のあらかじめ定められた期間内に保護サイトのサイト属性について取得される工程302で始まる。
この例において、統計的属性は、例えば、保護サイトで受信されたHTTPパケットの情報をリトリーブすることによって取得されるが、これに限定されない。サイト属性が、受信されたHTTPパケットから抽出され、統計解析が、サイト属性データについて実行され、サイト属性データは、上述のように、それぞれのカテゴリに従ってソートされる。いくつかの実施形態において、サイト属性は、HTTP要求ヘッダフィールドを解析して同じタイプの属性データを取得することによって抽出される。かかるタイプは、例えば、要求メソッドのHTTPフィールドのカテゴリ、要求URI(ユニフォームリソース識別子)、クッキー、要求パラメータおよび要求パラメータに対応するキーなどでありうる。したがって、上述のヘッダフィールドに埋め込まれた情報は、それぞれのタイプに従って取得されうる。さらに、かかるタイプは、構成ベースでありうる、同一または異なりうる(しかし、同じタイプとして特定される)、などである。
現在のウェブサーバ技術(Apacheなど)を用いて、ウェブサーバは、1つのIPアドレスで複数のウェブサイトをホストできる。したがって、この例において、第2デバイス206は、保護サイトを含む複数のウェブサイトをホストし、複数のサイトについてHTTPトラフィックパケットを取得できる。この状況において、工程302で、複数のデータソース(例えば、複数のクライアント)に送信されたHTTPパケットが取得され、それぞれの宛先サイトに従って分類される。次いで、保護サイトに向けたHTTPパケットが、保護サイト情報をクエリとして用いて、分類されたデータパケットから取得される。
工程304で、取得された統計的属性に基づいて、保護サイトが、現在の動作モードから目標動作モードへ移行するか否かが決定され、ここで、現在の動作モードのために構成された防御戦略は、目標動作モードのために構成されたものとは異なる。
いくつかの実施形態において、上述の決定を行うために、上述の統計的属性の移動平均、保護サイトが現在の動作モードにあった期間の値が、さらに取得される。取得された移動平均、統計的属性、および、期間の値を用いることにより、保護サイトが移行して現在の動作モードから目標動作モードへ切り替えるか否かが決定される。
様々な実施形態において、期間、移動平均、および、統計的属性に基づいた決定は、様々なルールまたはポリシーに従ってなされうる。例えば、いくつかの実施形態において、これらの属性(期間、移動平均、および、統計的属性)は、それぞれの比較結果を生成するために、それぞれの閾値と比較される。比較結果の一部に基づいて、保護サイトが現在の動作モードから目標動作モードへ移行するか否かの最終決定が、それに従ってなされる。いくつかの実施形態において、1または2または3つの比較結果が所定の条件を満たす時に、保護サイトが現在の動作モードから目標動作モードへ移行すると決定される。そうでなければ、保護サイトは現在の動作モードから目標動作モードに移行しないと決定される。本開示のいくつかの別の実施形態では、保護サイトに対応するブール関数を用いて、決定がなされる。移動平均、統計的属性、および、期間は、結果値を生成するためにブール関数に入力される。生成された結果値に基づいて、保護サイトが現在の動作モードから目標動作モードに移行するか否かが決定される。
工程306で、決定に応じて、対応する防御戦略が、保護サイトの保護のために配備される。保護サイトが現在の動作モードから目標動作モードへ移行すると決定されると、目標動作モードに対応する防御戦略が配備される。保護サイトが現在の動作モードから目標動作モードへ移行しないと決定された場合、現在の動作モードに対応する防御戦略が配備され続ける。
本開示の様々な実施形態において、防御戦略は、防御レベルおよび/または防御アルゴリズムを含むが、これらに限定されない。この例において、防御レベルは、保護サイトのための保護の範囲または程度を示す。いくつかの実施形態において、ネットワーク攻撃に対する保護の範囲または程度は、フォルスネガティブ率によって示される。防御戦略に関連するフォルスネガティブ率が低いほど、それによってもたらされる保護の程度は高くなる。例えば、防御レベルは、以下の3つのレベルに分類されうる:レベル1、レベル2、および、レベル3。各レベルは、減少する値の異なる防御閾値を有する。例えば、レベル1は、最低のフォルスネガティブ率に、レベル2は中間のフォルスネガティブに、レベル3は最高のフォルスネガティブに対応しうる。いくつかの別の実施形態において、保護の範囲は、正規のトラフィックのグッドプット(例えば、アプリケーションレベルのスループット)、遅延、および、損失率など、様々な性能指標で測定されてもよい。
様々な実施形態において、上述の防御レベルの調整は、以下の例を用いて実施できるが、これに限定されない。所定の第2期間中に、フォルスポジティブ率が、既知のテストデータパケットを用いて保護サイトの統計値を収集することによって取得される。保護サイトには、現在の防御戦略が配備されている。フォルスポジティブ率がそれぞれの閾値を超えると時、現在配備されている防御アルゴリズムが変更される。さらに、または、別個に、所定の第3期間中に、既知のテストデータパケットを用いて、フォルスネガティブ率が、防御戦略を配備された保護サイトについて取得される。フォルスネガティブ率がそれぞれの閾値を超えると、防御レベルが調整される。防御レベルおよび防御アルゴリズムの調整の詳細については、図7A、図7B、および、図7Cを参照して後述する。上述の調整は、保護サイトが現在の動作モードから目標動作モードへ移行するか否かの決定に応じて、保護サイトが現在の動作モードに対応する防御戦略または目標動作モードに対応する防御モードのいずれかを配備された後に実行される。
本開示の様々な実施形態において、ネットワーク攻撃防御の処理は、以下によって実施されうる:
1)トラフィックデータパケットリトリーブサブ処理
2)サイト統計サブ処理
3)サイト動作モードおよびルール管理サブ処理
4)サイト状態監視サブ処理
5)ソースベースセキュリティ検出および防御戦略配備サブ処理
図4は、本開示の一実施形態に従って、トラフィックデータパケットリトリーブサブ処理の一例を示すフローチャートである。サブ処理400は、部分的に、例えば、処理300の工程302を実施するために実行されてよい。
この例において、サブ処理400は、パケットログ解析、サイドネットワークパケット監視、および、レイヤ7負荷バランシングデバイスを用いて、HTTPヘッダフィールドに含まれるサイト属性データを取得するために実施される。次に、これらの特徴は集計されて、サイト統計サブ処理ならびにソースベース検出および防御戦略配備サブ処理に送られる。
サブ処理400は、HTTPパケットが1または複数のデータソースから取得される工程402で始まる。
工程404で、取得されたHTTPパケットが、要求メソッド、要求URI、クッキー、要求パラメータおよびそれぞれのキーなどのHTTPフィールドに対応するタイプのデータにパースされる。
工程406で、パースされたHTTPデータの結果が、異なるデータタイプに従って蓄積または集計される。工程406の詳細については、図5の工程506に関連して後に詳述する。
工程408で、蓄積または集計されたデータは、統計サブ処理ならびにソースベース検出および防御戦略配備サブ処理に送られる。
図5は、本開示の一実施形態に従って、サイト統計サブ処理の一例を示すフローチャートである。サブ処理500は、部分的に、例えば、処理300の工程302を実施するために実行されてよい。
この例において、サブ処理500は、サブ処理400によって取得および分類されて蓄積または集計されたHTTPデータに統計解析を実行するために実施される。統計サイト属性は、以下を含むが、これらに限定されない:毎秒の要求の数、毎秒の通常応答の数、毎秒の異常応答またはエラー応答の数、毎秒の攻撃疑いと見なされた要求の数、上述の4つの統計値の任意のピーク値変動の存在、様々な期間(例えば、15秒/600秒/1800秒)中の上述の最初の4つの統計値の移動平均、特定のIPに開かれている同時接続の数、サイトから割り当てられた同時クッキーの数、同時の共通したユーザエージェントの数、など。
サブ処理500は、工程502で始まり、ここで、工程502〜506は、上記の工程402〜406と同様に実行されうる。
工程506で、様々なタイプの統計が、サイトの統計的属性を導出するために、取得されたHTTPデータに実行される。この例では、1または複数の処理スレッドが、HTTPデータに特定タイプの統計を実行するために実装される。かかるスレッドまたは処理は、以下を取得するためのスレッドまたはプロセスを含むが、これらに限定されない:(1)毎秒の要求の数、(2)毎秒の通常応答の数、(3)毎秒の異常応答またはエラー応答の数、(4)毎秒の攻撃疑いと見なされた要求の数、(5)特定のIPに開かれている同時接続の数、(6)同時の共通したユーザエージェントの数、(7)サイトから割り当てられた同時クッキーの数、など。
工程508で、上述の統計値すべての移動平均値が、図2を参照して上述したように、所定の期間(例えば、サイト管理者によって設定された期間など)にわたって計算される。移動平均値は、値の中でも特に、保護サイトが現在の動作モードから目標動作モードへ移行するか否かの二分決定を示す結果値を生成するために、ブール関数に入力される。
工程510で、結果は、サイト状態監視サブ処理など、ネットワーク攻撃防御の他の処理またはサブ処理による利用に向けて出力される。
図6は、本開示の一実施形態に従って、サイト状態監視サブ処理の一例を示すフローチャートである。サブ処理600は、例えば、処理300の工程304および306を実施するために実行されてよい。
この例において、サブ処理600は、サイト統計サブ処理500によって計算された統計的属性をリトリーブし、必要であれば、サイト動作モードおよびルール管理サブ処理(図示せず)によって提供されたルールで、動作状態および対応するモード移行を決定する。動作モード移行時に、サブ処理600は、さらに、目標動作モードに関連するサイト固有の検出ルールを動的に構成する。
サブ処理600は、サイト固有の動作ルールまたはポリシーが取得される工程602で始まる。例えば、サイト固有の動作ルールは、例えば、トラフィック異常検出閾値、トラフィック異常検出関数などを指定できる。
工程604で、サイト動作モードを示す1セットの1または複数のサイト状態機械が1セットの1または複数の保護サイトに対応するように、サイト動作モードテーブルが初期化される。
工程606で、統計的属性が、例えば、統計サブ処理500を用いて、サイトから取得される。
工程608で、保護サイトのドメイン名を用いて、保護サイトに対応する状態機械が、サイト動作モードテーブルからルックアップされる。
工程610で、動作モード移行条件が満たされたか否かが判定される。判定の方法については、図7A〜図7Cに関連して後に詳述する。かかる条件が満たされたとの判定に応じて、方法は、工程612へのYES経路に従う。そうでない場合、サブ処理600は、工程606に戻るNO経路に従い、保護サイトの統計的属性を収集および監視し続ける。
工程612で、動作モードが、現在の動作モードから目標動作モードへ移行され、目標動作モードに対応するポリシー構成が実行される。
この例では、ソースベースセキュリティ検出および防御戦略配備サブ処理(図示せず)が、サイト状態監視サブ処理600によって発行されたルールを用いて、ソースベースの統計値、特定の要求特徴、および、特定のソースフィールドの分布統計値をマッチングする。一致が成功すると、ソースベースセキュリティ検出および防御戦略配備サブ処理は、さらに、ページブロックまたはヒューマンマシンインターフェースチャレンジなど、対応する具体的な防御を実行する。
図7Aは、本開示の一実施形態に従って、防御レベルの間および防御アルゴリズムでの間の動作モードの移行の一例を示す概略図である。かかる移行は、防御戦略調整サブ処理によって実行でき、そのサブ処理は、例えば、処理300の工程306を実施するために実行されうる。
この例において、防御戦略調整サブ処理は、現在の動作モードにおける防御戦略に関連したフォルスネガティブ率およびフォルスポジティブ率を解析するためのサイト統計サブ処理500を用いて、防御戦略が調整されるか否かを決定するために、サイト状態監視サブ処理600によって実行されうる。フォルスネガティブ率および/またはフォルスポジティブ率がそれぞれの閾値を超えた場合、防御戦略は調整される。いくつかの実施形態において、現在の防御戦略の調整は、対応する防御アルゴリズムの調整、対応する防御レベルの調整、または、それら両方を含む。
本明細書で示すように、動作モード移行ポリシーまたはルールは、n個の変数を有するブール関数として実施され、n個の変数は、サブ処理500から出力された統計的属性である。特に、変数は、以下のタイプの属性を含む:毎秒の要求の数、毎秒の通常応答の数、毎秒のエラー応答の数、毎秒の攻撃疑いのある要求の数、特定IPに開かれている同時接続の数、同時の共通したユーザエージェントの数、同時クッキーの統計数など。変数は、さらに、これらの統計的属性の移動平均と、保護サイトが現在の動作モードで動作していた期間の値とを含む。具体的な入力変数(例えば、動作属性)のセットが与えられると、ブール関数は、1または0の結果を提供する(もしくは、yesまたはnoなど、2つの異なる状態を示すその他の結果)。ブール関数は、論理関数のセット、および/または、入力変数をyesまたはnoの決定にマッピングするマッピング関数として実装できる。
いくつかの実施形態において、ブール関数は、動作モード移行決定を生成するために、上述の属性に従って生成される。換言すると、動作モード移行決定は、保護サイトが目標動作モードへの動作モード移行を受ける必要があるか、または、現在の動作モードにとどまるかを記述する。
本明細書に示すように、動作モード移行ポリシーは、第1次元および第2次元に沿った複数の個々の状態を含む状態機械である。状態1...状態nの行は、n個の防御の程度(例えば、対応する防御戦略に関連するフォルスネガティブ率のレベル)を表す。特定のフォルスネガティブ率の各レベル内で、各レベルのサブ状態(例えば、状態1−1、状態1−2,...、状態1−n)は、それぞれ、同じ防御レベル1のフォルスポジティブ率の様々なレベルに対応する様々な防御アルゴリズムを表す。防御レベルの数および防御アルゴリズムの数は、説明の目的で(図7A〜図7Cに示すように)同じ数nになっているが、本開示は、防御レベルの数および防御アルゴリズムの数が異なる数である状態機械にも適用できることに注意されたい。
一実施形態において、工程702で、状態機械は、DDoS攻撃が検出されず、したがって、防御戦略が配備されていない初期通常モード(状態0)で開始する。HTTPパケットがサブ処理400によって取得および解析されると、状態機械は、状態1−1の工程704へ移行し、ここで、防御レベルはレベル1に設定され、防御アルゴリズムはアルゴリズム1に設定される。
工程706−1−1で、n個の変数は、状態切り替えを行うべきか否かを判定するために、ブール関数に入力される。この例において、ブール関数の入力パラメータは以下を含む:
1)マクロ統計モジュールによって出力された毎秒の要求の数、毎秒の通常応答の数、毎秒のエラー応答の数、毎秒の攻撃疑いの要求の数、表形式の同時IPの数、表形式の同時ユーザエージェントの数、および、表形式の同時クッキーの数の数値。
2)マクロ統計モジュールによって出力された数値の移動平均値。
3)現在の状態への移行以来の期間。
入力値が与えられると、ブール関数は、異なるモードへの移行をするか否かの指示を出力する。noの場合、現在の動作モードが保護サイトに望ましい保護を提供することを意味する。yesの場合、状態機械は、状態1−2に移行し、その場合、防御レベルは1、利用されるアルゴリズムはアルゴリズム2になる。工程706−1−2で、ブール関数は、現在の入力値を用いて再び呼び出される。この例において、処理は、統計値がリフレッシュされる前に、所定の間隔にわたって待機せざるをえない。
ブール関数を呼び出して、同じ防御レベルの次の防御アルゴリズムに対応する次の状態へ移行することは、動作モードが新しいモードへ移行する必要がないという判定にブール関数が至る必要がある限りは反復される。
状態機械が工程707−1において1つの防御レベル(例えば、状態1−n)で最終状態に到達した場合、ブール関数は、異なるモードへの移行をするか否かの指示を出力するために呼び出される。noの場合、現在の動作モードが保護サイトに望ましい保護を提供することを意味する。yesの場合、状態機械は、状態2−1に移行し、その場合、防御レベルは2、利用されるアルゴリズムはアルゴリズム1になる。ここでも、ブール関数を呼び出して、同じ防御レベルの次の防御アルゴリズムに対応する次の状態へ移行することは、動作モードが新しいモードへ移行する必要がないという判定にブール関数が至る必要がある限りは反復される。
図7Bに示すこの例において、状態機械は、フォルスネガティブ率をできるだけ低く維持することを可能にするためにできる限り同じレベル内で切り替えが起きるように設計される。別の実施形態において、図7Cに示すように、状態機械は、異なるレベルに沿って同じアルゴリズムについて切り替えが起きるように設計される。
特に、図7Bは、本開示の一実施形態に従って、それぞれの動作状態の間で移行する状態機械の一例を示す二次元グラフである。ここで、軸xは、防御レベルを表し、軸yは、防御アルゴリズムを表す。したがって、状態機械の複数の動作状態が、グラフの複数の点として表されており、各点は、対応する防御レベルを前に、防御アルゴリズムを後ろに示した数のペアに関連する。状態機械は、原点の状態(0,0)に始まり、次いで、状態(1,1)に移行する。現在の動作モードが新たな動作状態に移行する必要があるという判定にブール関数が到達し続けると、動作モードが新たなモードに移行する必要がないという判定にブール関数が至る必要がある限り、状態機械は、水平方向に(1,1)から(1,2)、...、(1,n)に至り、その後、垂直方向に移行して(2,1)、(2,2)などと移行する。
図7Cは、本開示の一実施形態に従って、それぞれの動作状態の間で移行する状態機械の別の例を示す二次元グラフである。ここで、状態機械は、原点の状態(0,0)に始まり、次いで、状態(1,1)に移行する。現在の動作モードが新たな動作状態に移行する必要があるという判定にブール関数が到達し続けると、動作モードが新たなモードに移行する必要がないという判定にブール関数が至る必要がある限り、状態機械は、垂直方向に(1,1)から(2,1)、...、(n,1)に至り、その後、水平方向に移行して、以下同様となる。
本記載に含まれる実施形態は、漸進的に記載されている。各実施形態の説明は、他の実施形態と異なる領域に焦点を当てており、実施形態の記載は、各実施形態の同一または類似の部分について相互に参照できる。
当業者は、本願の実施形態が、方法、デバイス、または、コンピュータプログラム製品を提供しうることを理解されたい。したがって、本願の実施形態は、完全にハードウェアである実施形態、完全にソフトウェアである実施形態、ならびに、ハードウェアおよびソフトウェアの態様を組み合わせた実施形態の形を取りうる。さらに、本願は、コンピュータ動作可能なコンピュータコードを含むコンピュータ動作可能な記憶媒体(磁気ディスク記憶デバイス、CD−ROM、および、光学記憶デバイスを含むがこれらに限定されない)を実装するコンピュータ製品の内の1または複数の形態を取りうる。
典型的な一構成において、コンピュータ装置は、1または複数のプロセッサ(CPU)と、入力/出力インターフェースと、ネットワークインターフェースと、メモリとを備える。メモリは、コンピュータ読み取り可能な媒体内の揮発性ストレージデバイス、ランダムアクセスメモリ(RAM)、および/または、リードオンリーメモリ(ROM)またはフラッシュメモリ(フラッシュRAM)などの不揮発性メモリなどの形態を含みうる。メモリは、コンピュータ読み取り可能な媒体の一例である。コンピュータ読み取り可能な媒体は、永続的および非永続的な媒体、着脱可能および着脱不可能な媒体を含み、任意の方法または技術によって情報の格納を実現できる。情報は、コンピュータ読み取り可能な命令、データ構造、プログラムモジュール、または、その他のデータであってよい。コンピュータ記憶媒体の例は、以下を含むがこれらに限定されない:相変化メモリ(PRAM)、スタティックランダムアクセスメモリ(SRAM)、ダイナミックランダムアクセスメモリ(DRAM)、その他のタイプのランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、電気消去可能プログラム可能リードオンリーメモリ(EEPROM)、フラッシュメモリ、または、その他のメモリ技術、コンパクトディスクリードオンリーメモリ(CD−ROM)、デジタル多機能ディスク(DVD)、または、その他の光学ストレージ、磁気カセット、磁気テープまたは磁気ディスクストレージ、または、その他の磁気ストレージ装置、または、コンピュータにアクセス可能な情報を格納するために利用できる任意のその他の非伝送媒体。本明細書で規定されているように、コンピュータ読み取り可能な媒体は、変調データ信号および搬送波など、一時的なコンピュータ読み取り可能媒体(一時的媒体)を含まない。
本願の実施形態は、本願の実施形態の方法、端末装置(システム)、および、コンピュータプログラム製品に基づいたフローチャートおよび/またはブロック図を参照して記載されている。フローチャートおよび/またはブロック図内の各フローチャートおよび/またはブロック図、ならびに、フローチャートおよび/またはブロック図内のフローチャートおよび/またはブロック図の組み合わせは、コンピュータ命令によって実現されうることに注意されたい。これらのコンピュータプログラム命令は、マシンを生成するために、汎用コンピュータ、専用コンピュータ、組み込みプロセッサデバイスのプロセッサ、または、その他のプログラム可能データ処理端末のプロセッサに提供されうる。コンピュータまたはその他のプログラム可能なデータ処理端末装置のプロセッサによって実行された命令は、その結果として、フローチャートの1または複数の処理および/またはブロック図の1または複数のブロックに記載された機能を実施するためのデバイスを生み出す。
コンピュータまたはその他のプログラム可能なデータ処理端末装置が特定の方法で動作するように導くことができるこれらのコンピュータプログラム命令は、コンピュータ読み取り可能なメモリに格納されてもよい。結果として、コンピュータ読み取り可能なメモリに格納された命令は、命令デバイスを含む製品を生み出す。これらの命令デバイスは、フローチャートの1または複数の処理および/またはブロック図の1または複数のブロックに記載された機能を実施する。
これらのコンピュータプログラム命令は、コンピュータまたはその他のプログラム可能なデータ処理端末装置にロードされ、コンピュータ実装処理を引き起こすためにコンピュータおよびその他のプログラム可能なデータ処理端末装置で一連の工程を実行させてもよい。したがって、コンピュータまたはその他のプログラム可能なデータ処理端末装置で実行された命令は、フローチャートの1または複数の処理および/またはブロック図の1または複数のブロックに記載された機能の工程を提供する。
本願の好ましい実施形態を記載しているが、当業者は、基本的な創造概念を把握すれば、これらの実施形態に他の変形または修正を加えることができる。したがって、添付の特許請求の範囲は、好ましい実施形態ならびに本願の実施形態の範囲内にあるすべての変形例および修正例を含むと解釈されるべきである。
上述の実施形態は、理解しやすいようにいくぶん詳しく説明されているが、本発明は、提供された詳細事項に限定されるものではない。本発明を実施する多くの代替方法が存在する。開示された実施形態は、例示であり、限定を意図するものではない。
本発明は、たとえば、以下のような態様で実現することもできる。
適用例1:
ネットワーク攻撃防御方法であって、
保護サイトについての1セットの1または複数のサイト属性の統計値を収集することによって前記保護サイトについての1セットの1または複数の統計的属性を取得する工程であって、前記保護サイトについての前記1セットの1または複数のサイト属性は、前記保護サイトの動作モードを示す、工程と、
前記1セットの1または複数の統計的属性に少なくとも部分的に基づいて、前記保護サイトが現在の動作モードから目標動作モードへ移行することを決定する工程であって、前記現在の動作モードは現在の防御戦略を有し、前記目標動作モードは目標防御戦略を有し、前記現在の防御戦略は前記目標防御戦略とは異なる、工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するとの前記決定に応じて、前記現在の動作モードから前記目標動作モードへ移行し、前記目標防御戦略を前記保護サイトに適用する工程と、
を備える、方法。
適用例2:
適用例1の方法であって、前記保護サイトの前記統計的属性を取得する工程は、
特定された期間内に前記保護サイトによって受信された複数のHTTPパケットを取得する工程と、
前記複数のHTTPパケットからサイト属性を抽出して、同じタイプのHTTPヘッダを有するサイト属性の統計値を収集することで、前記統計的属性を取得する工程と、
を含む、方法。
適用例3:
適用例2の方法であって、前記複数のHTTPパケットを取得する工程は、
複数のデータソースから1セットのHTTPパケットを取得する工程と、
前記1セットのHTTPパケットをそれぞれの宛先サイトに基づいて分類して、前記保護サイトへの前記複数のHTTPパケットを決定する工程と、
を含む、方法。
適用例4:
適用例1の方法であって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
前記統計的属性の移動平均を取得する工程と、
前記保護サイトが前記現在の動作モードにあった期間を取得する工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するか否かを決定する工程であって、前記決定は、前記統計的属性、前記統計的属性の前記移動平均、および、前記期間に少なくとも部分的に基づく、工程と、
を含む、方法。
適用例5:
適用例1の方法であって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
移動平均、前記統計的属性、前記保護サイトが前記現在の動作モードにあった期間を、前記保護サイトに対応するブール関数に入力して、出力値を生成する工程と、
前記出力値を用いて、前記保護サイトが前記現在の動作モードから前記目標動作モードに移行するか否かを決定する工程と、
を含む、方法。
適用例6:
適用例1の方法であって、前記現在の防御戦略は、複数の防御アルゴリズムを含み、前記複数の防御アルゴリズムの中の防御アルゴリズムは、対応する複数の防御レベルを有し、前記対応する複数の防御レベルは、前記保護サイトが保護される範囲を示す、方法。
適用例7:
適用例6の方法であって、前記保護サイトの前記1セットの1または複数の統計的属性は、第1のあらかじめ定められた期間内の前記保護サイトの動作モードを示し、
前記方法は、さらに、
統計値を収集して、第2のあらかじめ定められた期間中の前記保護サイトのフォルスポジティブ率を取得する工程であって、前記保護サイトは、前記現在の防御戦略を配備されている、工程と、
前記フォルスポジティブ率が対応する閾値を超えた時に前記現在の防御戦略を調整する工程と、
を備える、方法。
適用例8:
適用例7の方法であって、前記現在の防御戦略を調整する工程は、対応する防御アルゴリズムを調整する工程、対応する防御レベルを調整する工程、または、それら両方の工程を含む、方法。
適用例9:
適用例1の方法であって、前記保護サイトの前記1セットの1または複数の統計的属性は、特定された期間内の前記保護サイトの動作モードを示す、方法。
適用例10:
システムであって、
1または複数のプロセッサであって、
保護サイトについての1セットの1または複数のサイト属性の統計値を収集することによって前記保護サイトについての1セットの1または複数の統計的属性を取得する工程であって、前記1セットの1または複数のサイト属性は、前記保護サイトの動作モードを示す、工程と、
前記1セットの1または複数の統計的属性に基づいて、前記保護サイトが現在の動作モードから目標動作モードへ移行することを決定する工程であって、前記現在の動作モードは現在の防御戦略を有し、前記目標動作モードは目標防御戦略を有し、前記現在の防御戦略は前記目標防御戦略とは異なる、工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するとの前記決定に応じて、前記現在の動作モードから前記目標動作モードへ移行し、前記現在の動作モードの代わりに前記目標防御戦略を前記保護サイトに適用する工程と、を実行するよう構成された、1または複数のプロセッサと、
前記1または複数のプロセッサに接続され、前記1または複数のプロセッサに命令を提供するよう構成された1または複数のメモリと、
を備える、システム。
適用例11:
適用例10のシステムであって、前記保護サイトの前記1セットの1または複数の統計的属性を取得する工程は、
特定された期間内に前記保護サイトによって受信された複数のHTTPパケットを取得する工程と、
前記複数のHTTPパケットからサイト属性を抽出して、同じタイプのHTTPヘッダを有するサイト属性の統計値を収集することで、前記統計的属性を取得する工程と、
を含む、システム。
適用例12:
適用例11のシステムであって、前記複数のHTTPパケットを取得する工程は、
複数のデータソースから1セットのHTTPパケットを取得する工程と、
前記1セットのHTTPパケットを宛先サイトに基づいて分類して、前記保護サイトへの前記複数のHTTPパケットを決定する工程と、
を含む、システム。
適用例13:
適用例10のシステムであって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
前記統計的属性の移動平均を取得する工程と、
前記保護サイトが前記現在の動作モードにあった期間を取得する工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するか否かを決定する工程であって、前記決定は、前記統計的属性、前記統計的属性の前記移動平均、および、前記期間に少なくとも部分的に基づく、工程と、
を含む、システム。
適用例14:
適用例10のシステムであって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
移動平均、前記統計的属性、前記保護サイトが前記現在の動作モードにあった期間を、前記保護サイトに対応するブール関数に入力して、出力値を生成する工程と、
前記出力値を用いて、前記保護サイトが前記現在の動作モードから前記目標動作モードに移行するか否かを決定する工程と、
を含む、システム。
適用例15:
適用例10のシステムであって、前記現在の防御戦略は、複数の防御アルゴリズムを含み、前記複数の防御アルゴリズムの中の防御アルゴリズムは、対応する複数の防御レベルを有し、前記対応する複数の防御レベルは、前記保護サイトが保護される範囲を示す、システム。
適用例16:
適用例15のシステムであって、前記保護サイトの前記1セットの1または複数の統計的属性は、第1のあらかじめ定められた期間内の前記保護サイトの動作モードを示し、前記1または複数のプロセッサは、さらに、
統計値を収集して、第2のあらかじめ定められた期間中の前記保護サイトのフォルスポジティブ率を取得する工程であって、前記保護サイトは、前記現在の防御戦略を配備されている、工程と、
前記フォルスポジティブ率が対応する閾値を超えた時に前記現在の防御戦略を調整する工程と、
を実行するよう構成されている、システム。
適用例17:
適用例16のシステムであって、前記現在の防御戦略を調整する工程は、対応する防御アルゴリズムを調整する工程、対応する防御レベルを調整する工程、または、それら両方の工程を含む、システム。
適用例18:
適用例11のシステムであって、前記保護サイトの前記1セットの1または複数の統計的属性は、特定された期間内の前記保護サイトの動作モードを示す、システム。
適用例19:
ネットワーク攻撃防御のためのコンピュータプログラム製品であって、有形のコンピュータ読み取り可能な記憶媒体内に具現化され、
保護サイトについての1セットの1または複数のサイト属性の統計値を収集することによって前記保護サイトについての1セットの1または複数の統計的属性を取得するためのコンピュータ命令であって、前記1セットの1または複数のサイト属性は、前記保護サイトの動作モードを示す、コンピュータ命令と、
前記1セットの1または複数の統計的属性に基づいて、前記保護サイトが現在の動作モードから目標動作モードへ移行することを決定するためのコンピュータ命令であって、前記現在の動作モードは現在の防御戦略を有し、前記目標動作モードは目標防御戦略を有し、前記現在の防御戦略は前記目標防御戦略とは異なる、コンピュータ命令と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するとの前記決定に応じて、前記現在の動作モードから前記目標動作モードへ移行し、前記現在の動作モードの代わりに前記目標防御戦略を前記保護サイトに適用するためのコンピュータ命令と、
を備える、コンピュータプログラム製品。
本発明は、たとえば、以下のような態様で実現することもできる。
適用例1:
ネットワーク攻撃防御方法であって、
保護サイトについての1セットの1または複数のサイト属性の統計値を収集することによって前記保護サイトについての1セットの1または複数の統計的属性を取得する工程であって、前記保護サイトについての前記1セットの1または複数のサイト属性は、前記保護サイトの動作モードを示す、工程と、
前記1セットの1または複数の統計的属性に少なくとも部分的に基づいて、前記保護サイトが現在の動作モードから目標動作モードへ移行することを決定する工程であって、前記現在の動作モードは現在の防御戦略を有し、前記目標動作モードは目標防御戦略を有し、前記現在の防御戦略は前記目標防御戦略とは異なる、工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するとの前記決定に応じて、前記現在の動作モードから前記目標動作モードへ移行し、前記目標防御戦略を前記保護サイトに適用する工程と、
を備える、方法。
適用例2:
適用例1の方法であって、前記保護サイトの前記統計的属性を取得する工程は、
特定された期間内に前記保護サイトによって受信された複数のHTTPパケットを取得する工程と、
前記複数のHTTPパケットからサイト属性を抽出して、同じタイプのHTTPヘッダを有するサイト属性の統計値を収集することで、前記統計的属性を取得する工程と、
を含む、方法。
適用例3:
適用例2の方法であって、前記複数のHTTPパケットを取得する工程は、
複数のデータソースから1セットのHTTPパケットを取得する工程と、
前記1セットのHTTPパケットをそれぞれの宛先サイトに基づいて分類して、前記保護サイトへの前記複数のHTTPパケットを決定する工程と、
を含む、方法。
適用例4:
適用例1の方法であって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
前記統計的属性の移動平均を取得する工程と、
前記保護サイトが前記現在の動作モードにあった期間を取得する工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するか否かを決定する工程であって、前記決定は、前記統計的属性、前記統計的属性の前記移動平均、および、前記期間に少なくとも部分的に基づく、工程と、
を含む、方法。
適用例5:
適用例1の方法であって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
移動平均、前記統計的属性、前記保護サイトが前記現在の動作モードにあった期間を、前記保護サイトに対応するブール関数に入力して、出力値を生成する工程と、
前記出力値を用いて、前記保護サイトが前記現在の動作モードから前記目標動作モードに移行するか否かを決定する工程と、
を含む、方法。
適用例6:
適用例1の方法であって、前記現在の防御戦略は、複数の防御アルゴリズムを含み、前記複数の防御アルゴリズムの中の防御アルゴリズムは、対応する複数の防御レベルを有し、前記対応する複数の防御レベルは、前記保護サイトが保護される範囲を示す、方法。
適用例7:
適用例6の方法であって、前記保護サイトの前記1セットの1または複数の統計的属性は、第1のあらかじめ定められた期間内の前記保護サイトの動作モードを示し、
前記方法は、さらに、
統計値を収集して、第2のあらかじめ定められた期間中の前記保護サイトのフォルスポジティブ率を取得する工程であって、前記保護サイトは、前記現在の防御戦略を配備されている、工程と、
前記フォルスポジティブ率が対応する閾値を超えた時に前記現在の防御戦略を調整する工程と、
を備える、方法。
適用例8:
適用例7の方法であって、前記現在の防御戦略を調整する工程は、対応する防御アルゴリズムを調整する工程、対応する防御レベルを調整する工程、または、それら両方の工程を含む、方法。
適用例9:
適用例1の方法であって、前記保護サイトの前記1セットの1または複数の統計的属性は、特定された期間内の前記保護サイトの動作モードを示す、方法。
適用例10:
システムであって、
1または複数のプロセッサであって、
保護サイトについての1セットの1または複数のサイト属性の統計値を収集することによって前記保護サイトについての1セットの1または複数の統計的属性を取得する工程であって、前記1セットの1または複数のサイト属性は、前記保護サイトの動作モードを示す、工程と、
前記1セットの1または複数の統計的属性に基づいて、前記保護サイトが現在の動作モードから目標動作モードへ移行することを決定する工程であって、前記現在の動作モードは現在の防御戦略を有し、前記目標動作モードは目標防御戦略を有し、前記現在の防御戦略は前記目標防御戦略とは異なる、工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するとの前記決定に応じて、前記現在の動作モードから前記目標動作モードへ移行し、前記現在の動作モードの代わりに前記目標防御戦略を前記保護サイトに適用する工程と、を実行するよう構成された、1または複数のプロセッサと、
前記1または複数のプロセッサに接続され、前記1または複数のプロセッサに命令を提供するよう構成された1または複数のメモリと、
を備える、システム。
適用例11:
適用例10のシステムであって、前記保護サイトの前記1セットの1または複数の統計的属性を取得する工程は、
特定された期間内に前記保護サイトによって受信された複数のHTTPパケットを取得する工程と、
前記複数のHTTPパケットからサイト属性を抽出して、同じタイプのHTTPヘッダを有するサイト属性の統計値を収集することで、前記統計的属性を取得する工程と、
を含む、システム。
適用例12:
適用例11のシステムであって、前記複数のHTTPパケットを取得する工程は、
複数のデータソースから1セットのHTTPパケットを取得する工程と、
前記1セットのHTTPパケットを宛先サイトに基づいて分類して、前記保護サイトへの前記複数のHTTPパケットを決定する工程と、
を含む、システム。
適用例13:
適用例10のシステムであって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
前記統計的属性の移動平均を取得する工程と、
前記保護サイトが前記現在の動作モードにあった期間を取得する工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するか否かを決定する工程であって、前記決定は、前記統計的属性、前記統計的属性の前記移動平均、および、前記期間に少なくとも部分的に基づく、工程と、
を含む、システム。
適用例14:
適用例10のシステムであって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
移動平均、前記統計的属性、前記保護サイトが前記現在の動作モードにあった期間を、前記保護サイトに対応するブール関数に入力して、出力値を生成する工程と、
前記出力値を用いて、前記保護サイトが前記現在の動作モードから前記目標動作モードに移行するか否かを決定する工程と、
を含む、システム。
適用例15:
適用例10のシステムであって、前記現在の防御戦略は、複数の防御アルゴリズムを含み、前記複数の防御アルゴリズムの中の防御アルゴリズムは、対応する複数の防御レベルを有し、前記対応する複数の防御レベルは、前記保護サイトが保護される範囲を示す、システム。
適用例16:
適用例15のシステムであって、前記保護サイトの前記1セットの1または複数の統計的属性は、第1のあらかじめ定められた期間内の前記保護サイトの動作モードを示し、前記1または複数のプロセッサは、さらに、
統計値を収集して、第2のあらかじめ定められた期間中の前記保護サイトのフォルスポジティブ率を取得する工程であって、前記保護サイトは、前記現在の防御戦略を配備されている、工程と、
前記フォルスポジティブ率が対応する閾値を超えた時に前記現在の防御戦略を調整する工程と、
を実行するよう構成されている、システム。
適用例17:
適用例16のシステムであって、前記現在の防御戦略を調整する工程は、対応する防御アルゴリズムを調整する工程、対応する防御レベルを調整する工程、または、それら両方の工程を含む、システム。
適用例18:
適用例11のシステムであって、前記保護サイトの前記1セットの1または複数の統計的属性は、特定された期間内の前記保護サイトの動作モードを示す、システム。
適用例19:
ネットワーク攻撃防御のためのコンピュータプログラム製品であって、有形のコンピュータ読み取り可能な記憶媒体内に具現化され、
保護サイトについての1セットの1または複数のサイト属性の統計値を収集することによって前記保護サイトについての1セットの1または複数の統計的属性を取得するためのコンピュータ命令であって、前記1セットの1または複数のサイト属性は、前記保護サイトの動作モードを示す、コンピュータ命令と、
前記1セットの1または複数の統計的属性に基づいて、前記保護サイトが現在の動作モードから目標動作モードへ移行することを決定するためのコンピュータ命令であって、前記現在の動作モードは現在の防御戦略を有し、前記目標動作モードは目標防御戦略を有し、前記現在の防御戦略は前記目標防御戦略とは異なる、コンピュータ命令と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するとの前記決定に応じて、前記現在の動作モードから前記目標動作モードへ移行し、前記現在の動作モードの代わりに前記目標防御戦略を前記保護サイトに適用するためのコンピュータ命令と、
を備える、コンピュータプログラム製品。
Claims (19)
- ネットワーク攻撃防御方法であって、
保護サイトについての1セットの1または複数のサイト属性の統計値を収集することによって前記保護サイトについての1セットの1または複数の統計的属性を、1または複数のプロセッサで取得する工程であって、前記保護サイトについての前記1セットの1または複数のサイト属性は、前記保護サイトに送信される1以上のサービス要求に少なくとも部分的に基づいて、取得される、工程と、
前記1セットの1または複数の統計的属性に少なくとも部分的に基づいて、前記保護サイトが現在の動作モードから目標動作モードへ移行することを、前記1または複数のプロセッサで決定する工程であって、
前記現在の動作モードは現在の防御戦略に対応し、前記目標動作モードは目標防御戦略に対応し、
前記現在の防御戦略は、複数の防御アルゴリズムを含み、前記複数の防御アルゴリズムの中の防御アルゴリズムは、対応する複数の防御レベルを有し、前記対応する複数の防御レベルは、前記保護サイトが保護される範囲を示す、工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するとの前記決定に応じて、前記現在の動作モードから前記目標動作モードへ、前記1または複数のプロセッサで移行し、前記目標防御戦略を前記保護サイトに適用する工程であって、前記目標動作モードに対応する前記目標防御戦略は、動作モードへの防御戦略の対応に少なくとも部分的に基づいて、決定される、工程、と、
を備える、方法。 - 請求項1に記載の方法であって、前記保護サイトについての前記1セットの1または複数の前記統計的属性を取得する工程は、
特定された期間内に前記保護サイトによって受信された複数のHTTPパケットを取得する工程であって、前記複数のHTTPパケットは、前記1以上のサービス要求を介して前記保護サイトに送信される、工程と、
前記複数のHTTPパケットからサイト属性を抽出して、同じタイプのHTTPヘッダを有するサイト属性の統計値を収集することで、前記1セットの1または複数の前記統計的属性を取得する工程と、
を含む、方法。 - 請求項2に記載の方法であって、前記複数のHTTPパケットを取得する工程は、
複数のデータソースから1セットのHTTPパケットを取得する工程であって、前記複数のHTTPパケットは、前記1以上のサービス要求を介して前記保護サイトに送信される、工程と、
前記1セットのHTTPパケットをそれぞれの宛先サイトに基づいて分類して、前記保護サイトへの前記複数のHTTPパケットを決定する工程と、
を含む、方法。 - 請求項1に記載の方法であって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
前記1セットの1または複数の前記統計的属性の移動平均を取得する工程と、
前記保護サイトが前記現在の動作モードにあった期間を取得する工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するか否かを決定する工程であって、前記決定は、前記1または複数の前記統計的属性、前記1または複数の前記統計的属性の前記移動平均、および、前記期間に少なくとも部分的に基づく、工程と、
を含む、方法。 - 請求項1に記載の方法であって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
移動平均、前記1または複数の前記統計的属性、前記保護サイトが前記現在の動作モードにあった期間を、前記保護サイトに対応するブール関数に入力して、出力値を生成する工程と、
前記出力値を用いて、前記保護サイトが前記現在の動作モードから前記目標動作モードに移行するか否かを決定する工程と、
を含む、方法。 - 請求項1に記載の方法であって、前記保護サイトの前記1セットの1または複数の統計的属性は、第1のあらかじめ定められた期間内の前記保護サイトの動作モードを示し、
前記方法は、さらに、
統計値を収集して、第2のあらかじめ定められた期間中の前記保護サイトのフォルスポジティブ率を取得する工程であって、前記保護サイトは、前記現在の防御戦略を配備されている、工程と、
前記フォルスポジティブ率が対応する閾値を超えた時に前記現在の防御戦略を調整する工程と、
を備える、方法。 - 請求項6に記載の方法であって、前記現在の防御戦略を調整する工程は、対応する防御アルゴリズムを調整する工程、対応する防御レベルを調整する工程、または、それら両方の工程を含む、方法。
- 請求項1に記載の方法であって、前記保護サイトの前記1セットの1または複数の統計的属性は、特定された期間内の前記保護サイトの動作モードを示す、方法。
- システムであって、
1または複数のハードウェアプロセッサであって、
保護サイトについての1セットの1または複数のサイト属性の統計値を収集することによって前記保護サイトについての1セットの1または複数の統計的属性を取得する工程であって、前記1セットの1または複数のサイト属性は、前記保護サイトをホストすることと関連付けられたデバイスへの1以上のサービス要求に少なくとも部分的に基づいて、取得される、工程と、
前記1セットの1または複数の統計的属性に基づいて、前記保護サイトが現在の動作モードから目標動作モードへ移行することを決定する工程であって、
前記現在の動作モードは現在の防御戦略に対応し、前記目標動作モードは目標防御戦略に対応し、
前記現在の防御戦略は、複数の防御アルゴリズムを含み、前記複数の防御アルゴリズムの中の防御アルゴリズムは、対応する複数の防御レベルを有し、前記対応する複数の防御レベルは、前記保護サイトが保護される範囲を示す、工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するとの前記決定に応じて、前記現在の動作モードから前記目標動作モードへ移行し、前記現在の動作モードの代わりに前記目標防御戦略を前記保護サイトに適用する工程であって、前記目標動作モードに対応する前記目標防御戦略は、動作モードへの防御戦略の対応に少なくとも部分的に基づいて、決定される、工程と、を実行するよう構成された、1または複数のプロセッサと、
前記1または複数のプロセッサに接続され、前記1または複数のプロセッサに命令を提供するよう構成された1または複数のメモリと、
を備える、システム。 - 請求項9に記載のシステムであって、前記保護サイトの前記1セットの1または複数の統計的属性を取得する工程は、
特定された期間内に前記保護サイトによって受信された複数のHTTPパケットを取得する工程であって、前記複数のHTTPパケットは、前記1以上のサービス要求を介して前記保護サイトに送信される、工程と、
前記複数のHTTPパケットからサイト属性を抽出して、同じタイプのHTTPヘッダを有するサイト属性の統計値を収集することで、前記1セットの1または複数の前記統計的属性を取得する工程と、
を含む、システム。 - 請求項10に記載のシステムであって、前記複数のHTTPパケットを取得する工程は、
複数のデータソースから1セットのHTTPパケットを取得する工程であって、前記複数のHTTPパケットは、前記1以上のサービス要求を介して前記保護サイトに送信される、工程と、
前記1セットのHTTPパケットを宛先サイトに基づいて分類して、前記保護サイトへの前記複数のHTTPパケットを決定する工程と、
を含む、システム。 - 請求項9に記載のシステムであって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
前記1セットの1または複数の前記統計的属性の移動平均を取得する工程と、
前記保護サイトが前記現在の動作モードにあった期間を取得する工程と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するか否かを決定する工程であって、前記決定は、前記1または複数の前記統計的属性、前記1または複数の前記統計的属性の前記移動平均、および、前記期間に少なくとも部分的に基づく、工程と、
を含む、システム。 - 請求項9に記載のシステムであって、前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行することを決定する工程は、
移動平均、前記1または複数の前記統計的属性、前記保護サイトが前記現在の動作モードにあった期間を、前記保護サイトに対応するブール関数に入力して、出力値を生成する工程と、
前記出力値を用いて、前記保護サイトが前記現在の動作モードから前記目標動作モードに移行するか否かを決定する工程と、
を含む、システム。 - 請求項9に記載のシステムであって、前記保護サイトの前記1セットの1または複数の統計的属性は、第1のあらかじめ定められた期間内の前記保護サイトの動作モードを示し、前記1または複数のプロセッサは、さらに、
統計値を収集して、第2のあらかじめ定められた期間中の前記保護サイトのフォルスポジティブ率を取得する工程であって、前記保護サイトは、前記現在の防御戦略を配備されている、工程と、
前記フォルスポジティブ率が対応する閾値を超えた時に前記現在の防御戦略を調整する工程と、
を実行するよう構成されている、システム。 - 請求項14に記載のシステムであって、前記現在の防御戦略を調整する工程は、対応する防御アルゴリズムを調整する工程、対応する防御レベルを調整する工程、または、それら両方の工程を含む、システム。
- 請求項10に記載のシステムであって、前記保護サイトの前記1セットの1または複数の統計的属性は、特定された期間内の前記保護サイトの動作モードを示す、システム。
- ネットワーク攻撃防御のためのコンピュータプログラムであって、
保護サイトについての1セットの1または複数のサイト属性の統計値を収集することによって前記保護サイトについての1セットの1または複数の統計的属性を取得する機能であって、前記1セットの1または複数のサイト属性は、前記保護サイトをホストすることと関連付けられたデバイスへの1以上のサービス要求に少なくとも部分的に基づいて、取得される、機能と、
前記1セットの1または複数の統計的属性に基づいて、前記保護サイトが現在の動作モードから目標動作モードへ移行することを決定する機能であって、
前記現在の動作モードは現在の防御戦略に対応し、前記目標動作モードは目標防御戦略に対応し、
前記現在の防御戦略は、複数の防御アルゴリズムを含み、前記複数の防御アルゴリズムの中の防御アルゴリズムは、対応する複数の防御レベルを有し、前記対応する複数の防御レベルは、前記保護サイトが保護される範囲を示す、機能と、
前記保護サイトが前記現在の動作モードから前記目標動作モードへ移行するとの前記決定に応じて、前記現在の動作モードから前記目標動作モードへ移行し、前記現在の動作モードの代わりに前記目標防御戦略を前記保護サイトに適用する機能であって、前記目標動作モードに対応する前記目標防御戦略は、動作モードへの防御戦略の対応に少なくとも部分的に基づいて、決定される、機能と、
をコンピュータに実現させるための、コンピュータプログラム。 - 請求項1のネットワーク攻撃防御方法であって、
前記対応する複数の防御レベルで前記保護サイトが保護される前記範囲は、正規のトラフィックのスループットと、正規のトラフィックの遅延と、正規のトラフィックの損失率と、のうちの1以上に、少なくとも部分的に基づいて測定される、方法。 - 請求項1のネットワーク攻撃防御方法であって、
前記現在の動作モードから前記目標動作モードへの移行は、前記1セットの1または複数の統計的属性に少なくとも部分的に基づいて、前記1または複数のプロセッサが、他の動作モードに移行しないことを決定するまでの、防御レベルまたは防御アルゴリズムの漸進的な変更を含む、方法。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610586673.9A CN107645478B (zh) | 2016-07-22 | 2016-07-22 | 网络攻击防御***、方法及装置 |
| CN201610586673.9 | 2016-07-22 | ||
| US15/653,157 | 2017-07-18 | ||
| US15/653,157 US10505974B2 (en) | 2016-07-22 | 2017-07-18 | Network attack defense system and method |
| JP2018567150A JP6701390B2 (ja) | 2016-07-22 | 2017-07-19 | ネットワーク攻撃防御システムおよび方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018567150A Division JP6701390B2 (ja) | 2016-07-22 | 2017-07-19 | ネットワーク攻撃防御システムおよび方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020140723A JP2020140723A (ja) | 2020-09-03 |
| JP6957675B2 true JP6957675B2 (ja) | 2021-11-02 |
Family
ID=60990172
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018567150A Active JP6701390B2 (ja) | 2016-07-22 | 2017-07-19 | ネットワーク攻撃防御システムおよび方法 |
| JP2020081003A Active JP6957675B2 (ja) | 2016-07-22 | 2020-05-01 | ネットワーク攻撃防御システムおよび方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018567150A Active JP6701390B2 (ja) | 2016-07-22 | 2017-07-19 | ネットワーク攻撃防御システムおよび方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US10505974B2 (ja) |
| EP (1) | EP3488559B1 (ja) |
| JP (2) | JP6701390B2 (ja) |
| KR (1) | KR102159930B1 (ja) |
| CN (1) | CN107645478B (ja) |
| TW (1) | TWI727060B (ja) |
| WO (1) | WO2018017725A1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112398800A (zh) * | 2019-08-19 | 2021-02-23 | 华为技术有限公司 | 一种数据处理方法及装置 |
| CN111125671B (zh) * | 2019-12-19 | 2023-08-01 | 字节跳动有限公司 | 验证码处理方法及装置、存储介质 |
| CN111600841B (zh) * | 2020-04-16 | 2022-12-09 | 广西电网有限责任公司电力科学研究院 | 一种Web站点的综合安全监测方法及*** |
| CN112202821B (zh) * | 2020-12-04 | 2021-03-30 | 北京优炫软件股份有限公司 | 一种cc攻击的识别防御***及方法 |
| CN112702321B (zh) * | 2020-12-15 | 2023-04-07 | 深圳市快付通金融网络科技服务有限公司 | 分布式交易限流方法、装置、设备及存储介质 |
| US20230119260A1 (en) * | 2021-10-14 | 2023-04-20 | F5, Inc. | METHODS FOR MITIGATING DDoS ATTACK USING HARDWARE DEVICE AND DEVICES THEREOF |
| US11552989B1 (en) | 2021-11-23 | 2023-01-10 | Radware Ltd. | Techniques for generating signatures characterizing advanced application layer flood attack tools |
| US11582259B1 (en) | 2021-11-23 | 2023-02-14 | Radware Ltd. | Characterization of HTTP flood DDoS attacks |
| CN114301796B (zh) * | 2021-12-20 | 2023-10-03 | 上海纽盾科技股份有限公司 | 预测态势感知的验证方法、装置及*** |
| CN115174233B (zh) * | 2022-07-08 | 2024-03-26 | 广东瑞普科技股份有限公司 | 基于大数据的网络安全分析方法、设备、***及介质 |
| CN115225383A (zh) * | 2022-07-20 | 2022-10-21 | 东南大学 | 一种基于对抗补丁的在线Web站点防御方法 |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020032871A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
| JP2002342279A (ja) | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| US7467202B2 (en) | 2003-09-10 | 2008-12-16 | Fidelis Security Systems | High-performance network content analysis platform |
| JP2005210601A (ja) | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
| US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
| ATE452492T1 (de) * | 2005-01-31 | 2010-01-15 | British Telecomm | Steuerung eines datenflusses in einem netzwerk |
| JP2007006054A (ja) | 2005-06-23 | 2007-01-11 | Hitachi Ltd | パケット中継装置及びパケット中継システム |
| US20080083029A1 (en) | 2006-09-29 | 2008-04-03 | Alcatel | Intelligence Network Anomaly Detection Using A Type II Fuzzy Neural Network |
| US7617170B2 (en) | 2006-10-09 | 2009-11-10 | Radware, Ltd. | Generated anomaly pattern for HTTP flood protection |
| JP4957439B2 (ja) | 2007-08-02 | 2012-06-20 | パナソニック株式会社 | 正抵抗温度特性抵抗体 |
| JP5343854B2 (ja) * | 2007-09-20 | 2013-11-13 | 日本電気株式会社 | セキュリティ運用管理システム、セキュリティ運用管理方法およびセキュリティ運用管理プログラム |
| US8789173B2 (en) | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
| CN102075365B (zh) * | 2011-02-15 | 2012-12-26 | 中国工商银行股份有限公司 | 一种网络攻击源定位及防护的方法、装置 |
| US8151341B1 (en) * | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
| JP5752020B2 (ja) | 2011-12-06 | 2015-07-22 | 株式会社Kddi研究所 | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
| IL219499B (en) * | 2012-04-30 | 2019-02-28 | Verint Systems Ltd | A system and method for detecting malicious software |
| CN104769864B (zh) * | 2012-06-14 | 2018-05-04 | 艾诺威网络有限公司 | 多播到单播转换技术 |
| KR101394383B1 (ko) * | 2012-06-15 | 2014-05-13 | 건국대학교 산학협력단 | 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템 및 그 방법 |
| US9679131B2 (en) * | 2013-01-25 | 2017-06-13 | Cybereason Inc. | Method and apparatus for computer intrusion detection |
| US10027605B2 (en) * | 2013-08-26 | 2018-07-17 | Vmware, Inc. | Traffic and load aware dynamic queue management |
| US10104124B2 (en) | 2014-03-19 | 2018-10-16 | Nippon Telegraph And Telephone Corporation | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program |
| EP3145130B1 (en) | 2014-06-18 | 2019-02-27 | Nippon Telegraph and Telephone Corporation | Network system, communication control method, and communication control program |
| US9587974B2 (en) * | 2014-07-21 | 2017-03-07 | Mettler-Toledo, LLC | Weighing scale diagnostics method |
| US20160182542A1 (en) * | 2014-12-18 | 2016-06-23 | Stuart Staniford | Denial of service and other resource exhaustion defense and mitigation using transition tracking |
| CN105991511A (zh) | 2015-01-27 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种检测cc攻击的方法及设备 |
| AU2017260360B2 (en) * | 2016-05-06 | 2022-07-21 | Sitelock, Llc | Security weakness and infiltration detection and repair in obfuscated website content |
| US10530795B2 (en) * | 2017-03-17 | 2020-01-07 | Target Brands, Inc. | Word embeddings for anomaly classification from event logs |
-
2016
- 2016-07-22 CN CN201610586673.9A patent/CN107645478B/zh active Active
-
2017
- 2017-06-21 TW TW106120792A patent/TWI727060B/zh active
- 2017-07-18 US US15/653,157 patent/US10505974B2/en active Active
- 2017-07-19 EP EP17831798.8A patent/EP3488559B1/en active Active
- 2017-07-19 WO PCT/US2017/042880 patent/WO2018017725A1/en unknown
- 2017-07-19 KR KR1020187037369A patent/KR102159930B1/ko active IP Right Grant
- 2017-07-19 JP JP2018567150A patent/JP6701390B2/ja active Active
-
2019
- 2019-10-25 US US16/663,660 patent/US11184387B2/en active Active
-
2020
- 2020-05-01 JP JP2020081003A patent/JP6957675B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP6701390B2 (ja) | 2020-05-27 |
| WO2018017725A1 (en) | 2018-01-25 |
| US11184387B2 (en) | 2021-11-23 |
| CN107645478A (zh) | 2018-01-30 |
| US10505974B2 (en) | 2019-12-10 |
| JP2019523584A (ja) | 2019-08-22 |
| EP3488559A4 (en) | 2019-12-25 |
| EP3488559B1 (en) | 2022-03-16 |
| TWI727060B (zh) | 2021-05-11 |
| US20180026994A1 (en) | 2018-01-25 |
| JP2020140723A (ja) | 2020-09-03 |
| TW201804757A (zh) | 2018-02-01 |
| EP3488559A1 (en) | 2019-05-29 |
| CN107645478B (zh) | 2020-12-22 |
| KR20190009379A (ko) | 2019-01-28 |
| KR102159930B1 (ko) | 2020-09-29 |
| US20200067946A1 (en) | 2020-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6957675B2 (ja) | ネットワーク攻撃防御システムおよび方法 | |
| US20200344246A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| Choi et al. | A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment | |
| Thapngam et al. | Distributed Denial of Service (DDoS) detection by traffic pattern analysis | |
| Thapngam et al. | Discriminating DDoS attack traffic from flash crowd through packet arrival patterns | |
| WO2018095192A1 (zh) | 网站攻击的检测和防护方法及*** | |
| CN109274637B (zh) | 确定分布式拒绝服务攻击的***和方法 | |
| US9843590B1 (en) | Method and apparatus for causing a delay in processing requests for internet resources received from client devices | |
| Ranjan et al. | DDoS-shield: DDoS-resilient scheduling to counter application layer attacks | |
| US9817969B2 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| US11411987B2 (en) | Methods and systems for detection of security threats on network resources based on referrer information | |
| US9300684B2 (en) | Methods and systems for statistical aberrant behavior detection of time-series data | |
| WO2015153093A1 (en) | Using trust profiles for network breach detection | |
| Adi et al. | Low-rate denial-of-service attacks against HTTP/2 services | |
| KR101250899B1 (ko) | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 | |
| CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
| US20220174075A1 (en) | Identifying malicious client network applications based on network request characteristics | |
| Ono et al. | A proposal of port scan detection method based on Packet‐In Messages in OpenFlow networks and its evaluation | |
| Sree et al. | Detection of http flooding attacks in cloud using dynamic entropy method | |
| EP3432544B1 (en) | System and method of determining ddos attacks | |
| Elanthiraiyan et al. | Interactive Detection and Classification of DDoS Attacks Using ESVM | |
| Meenakshi et al. | Sequential hypothesis testing method of anomaly detection against flooding attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200610 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200610 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210528 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210608 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210901 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210914 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211006 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6957675 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |