KR20060116741A - 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치 - Google Patents

통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치 Download PDF

Info

Publication number
KR20060116741A
KR20060116741A KR1020060041992A KR20060041992A KR20060116741A KR 20060116741 A KR20060116741 A KR 20060116741A KR 1020060041992 A KR1020060041992 A KR 1020060041992A KR 20060041992 A KR20060041992 A KR 20060041992A KR 20060116741 A KR20060116741 A KR 20060116741A
Authority
KR
South Korea
Prior art keywords
worm
address
source address
communication network
network
Prior art date
Application number
KR1020060041992A
Other languages
English (en)
Inventor
데이비드 챈
에드워드 아모로소
Original Assignee
에이티 앤드 티 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에이티 앤드 티 코포레이션 filed Critical 에이티 앤드 티 코포레이션
Publication of KR20060116741A publication Critical patent/KR20060116741A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

비상 응답 처리를 위해 중앙 모니터 시스템에 연결(link)될 수 있는 분산된 웜 프로브를 통해 네트워크 보완 서비스와 네트워크 보안 하부 구조가 웜을 검출, 식별, 완화, 퇴치, 무력화하는 방법과 장치가 개시된다. 웜 프로브는 각 소스 IP 어드레스에 기초하여 목적지 도달-불가능한 에러를 가진 패킷을 추적한다. 일 실시예에서, 그러한 에러의 수가 예를 들어 웜 프로브의 미리 규정된 로컬 시간 기간 이내에 미리 규정된 로컬 임계값을 초과할 때, 그러한 에러의 수 뿐만 아니라 소스 IP 어드레스는 네트워크에서 경고(alert)로서 다른 모든 웜 프로브에 보내진다. 그러한 에러의 수가 예를 들어 미리 규정된 글로벌 시간 이내에 미리 규정된 네트워크 임계값을 초과하면, 종단 장치가 웜들을 더 유포(spreading)하는 것을 방지하도록 식별된 소스 IP 어드레스를 갖는 종단 장치로부터의 트래픽이 차단된다.
종단 장치, IP 어드레스, TCP/IP 웜, 라우터, 웜 프로브

Description

통신 네트워크에서 웜을 식별하여 무력화시키는 방법과 장치{Method and apparatus for identifying and disabling worms in communication networks}
도 1은 본 발명에 따른 글로벌 공조 IP 네트워크를 예시하는 도면.
도 2는 본 발명의 TCP/IP 웜 감염된 시스템을 식별하여 무력화시키는 주요 방법의 흐름도를 예시하는 도면.
도 3은 본 발명의 TCP/IP 웜 감염된 시스템을 식별하고 무력화하도록 "가능한 웜 IP 어드레스 테이블 주기적인 클리어링"하는 서브-방법의 흐름도를 예시하는 도면.
도 4는 본 발명의 TCP/IP 웜 감염된 시스템을 식별하고 무력화시키도록 하는 "가능한 웜 추가" 서브-방법의 흐름도를 예시하는 도면.
도 5는 본 발명의 TCP/IP 감염된 시스템을 식별하고 무력화시키는 "글로벌 변경 수신" 서브 방법의 흐름도를 예시하는 도면.
도 6은 본 발명에 따른 인터넷 제어 메세지 프로토콜 타입 3 패킷 포맷을 예시하는 도면.
도 7은 여기 기술된 기능을 수행하는데 사용되는 일반 목적의 컴퓨터의 고 레벨 요소 도면을 예시하는 도면.
도 8은 본 발명의 로컬 테이블의 예를 든 데이터 구조를 예시하는 도면.
도 9는 본 발명의 글로벌 테이블의 예를 든 데이터 구조를 예시하는 도면.
본 발명은 일반적으로 통신 네트워크에 관한 것으로서, 특히 웜, 예를 들어 인터넷 프로토콜(IP) 네트워크와 같은 패킷 네트워크에서 TCP/IP 웜을 식별하여 무력화(disable)하는 방법과 장치에 관한 것이다.
중소기업과 홈 PC 사용자들은 그들의 시스템이 위험한 해커들의 목표가 되지 않는다고 믿는데, 그 이유는 위험한 해커는 더욱 중요한 하부 구조와 시스템에 더욱 관심이 있다고 여기기 때문이다. 상당한 노력을 기울인 후에야 숙련된 해커가 이러한 중요하지 시스템에 침투할 수 없다는 것이 사실이다. 그러나, 숙련된 해커가 주요 위협이 아니고, 가장 큰 위협은 인터넷 웜, 예를 들어 TCP/IP 웜으로부터 오는데, 이는 웜에 감염된 시스템이 네트워크에 연결되면, 이러한 시스템을 감염시키려고 계속하여 자동으로 컴퓨터 시스템에 침투하고 컴퓨터 시스템을 동일한 공격 머신으로 돌변시키도록 시도한다. TCP/IP 웜은 소프트웨어로서 이것은 숙련된 해커에 의해 개발된다. 해커들이 수동으로 인터넷상의 감염될 수 있는 시스템으로 TCP/IP 웜을 감염시킨 후에, 이러한 TCP/IP 웜에 감염된 시스템은 수십억의 TCP/IP 웜 IP 패킷을 밖으로 내보내기 시작하여 인터넷상에 수백만 컴퓨터 시스템에 침투하려 시도한다. 그러한 TCP/IP 웜 IP 패킷을 수신한 감염될 수 있는 시스템은 자동으로 감염될 것이다. 차례로, 그것은 다른 시스템에 침투하려고 수십억의 같은 TCP/IP 웜 IP 패킷을 밖으로 내보내기 시작한다. 도미노 효과로, 더 많은 감염될 수 있는 시스템이 TCP/IP 웜 IP 패킷을 수신할수록, 더 많은 TCP/IP 웜에 감염된 시스템이 생기고 더 많은 웜 IP 패킷이 밖으로 내 보내진다. 이런 유형의 침투 공격은 자동으로 실행되어 수백만의 희생자를 공격하는데 실제로 사람의 해킹노력이 들지 않는다. 인터넷상에 방화벽을 구축한 자는 이런 TCP/IP 웜 공격으로부터 안정감을 느낄 것이다. 시스템이 인터넷에 연결되면, 인터넷상의 어디에서 매 분마다 TCP/IP 웜이 이러한 시스템에 침투하려는 시도가 일어난다. 이런 시스템에 침투하려는 TCP/IP 웜은 숙련된 해커에 의해 시작되지 않고, 많은 시간과 노력을 요하지는 않는다. 웜이 이러한 시스템 침입에 성공하면 자동으로 우연히 실행된다.
인터넷상에 수백만 시스템에 대해 수천의 다른 취약성을 공격하도록 발생되는 모든 종류의 새로운 TCP/IP 웜 때문에, 수백만 컴퓨터 시스템에 침투하여 그 시스템들을 수시간 내에 TCP/IP 웜 공격 머신으로 돌변될 기회가 매우 높다. 공격하는 웜 IP 패킷을 내보내는 수백만의 TCP/IP 웜에 감염된 시스템에 의해 발생된 막대한 양의 네트워크 트래픽으로 야기된 서비스 거절을 통해 중대한 손상이 유발될 수 있다는 것을 잘 알 수 있다. TCP/IP/ 웜에 감염된 시스템이 와이어드 LAN, 무선 LAN, 버추얼 사설 네트워크(VPN), 다이얼 업 네트워크, 또는 다른 방법을 통해 회사 내부 네트워크에 연결되면, 그것은 같은 방식으로 공동 내부 네트워크를 공격하여 회사의 내부 네트워크에 중대한 해를 끼치게 된다.
모든 IP 네트워크 서비스 제공자는 이러한 심각한 문제에 직면해 있다. 이것은 모든 상위 인터넷 서비스 제공자, 거대한 기업, 네트워크 아웃소싱 제공자 뿐 만 아니라 많은 중소기업을 포함한다. TCP/IP 웜은 즉시 해결할 필요가 있는 중대한 문제이다.
그러므로, 어떤 IP 네트워크에서도 웜, 예를 들어 TCP/IP/ 웜을 식별하여 무력화시키는 방법과 장치가 필요하다.
일 실시예에서, 본 발명은 비상 응답 처리를 위해 중앙 모니터 시스템에 연결될 수 있는 분산된 웜 프로브를 통해 네트워크 보완 서비스와 네트워크 보안 하부 구조가 웜 예를 들어, TCP/IP 웜을 검출, 식별, 완화, 퇴치, 무력화할 수 있다. 웜 프로브는 각각의 가능한 웜 발생 소스 IP 어드레스 카운트에 기초하여 다수의 목적지 IP 어드레스들에 대해 목적지 도달 불가능한 에러를 가진 패킷을 추적하고, 각 가능한 웜 발생 소스 IP 어드레스 카운트에 기초하여 IANA(Internet Assigned Numbers Authority) 예약된 IP 어드레스들에 대한 모든 IP 패킷들을 추적한다. 이러한 가능한 웜 발생 소스 IP의 카운트들의 수가 웜 프로브에서 로컬 미리 규정된 시간 기간내에 미리 규정된 로컬 임계값을 초과하면, 가능한 웜 발생 소스 IP 어드레스뿐만 아니라 이러한 에러들의 카운트들이 경고로서 네트워크내의 모든 다른 웜 프로브들에게 보내진다. 이러한 가능한 웜 발생 소스 IP 어드레스의 카운트들의 수가 미리 규정된 글로벌 시간 기간내에 미리 규정된 글로벌 임계값을 초과하면, 식별된 웜 발생 소스 IP 어드레스를 가진 종단 장치로부터의 트래픽은 상기 종단 장치가 웜들을 더 유포하는 것을 방지하도록 차단된다.
본 발명의 기술은 첨부 도면과 함께 이하의 상세한 기술을 고려함으로써 쉽 게 이해될 수 있다.
이해를 돕기 위해, 가능하면, 식별 참조 번호들은 도면들에서 공통적인 동일 요소들을 지정하기 위해 사용된다.
웜, 예를 들어, TCP/IP(Transport Control Protocol/Internet Protocol) 웜들은 인터넷상에서 취약한 컴퓨터 시스템에 손상을 줄뿐 아니라, 네트워크의 서비스 거부(Denial of Service; DOS) 공격을 유발하는 대량의 네트워크 트래픽을 발생시킨다.
웜, 예를 들어 TCP/IP 웜은 컴퓨터 바이어스와 유사한 자기-복사의 컴퓨터 프로그램이다. 바이러스는 다른 실행 가능한 프로그램 자체에 붙어서 그들의 일부가 도지만, 웜은 자체 내에 포함되어 그 자체를 전달하는 데 다른 프로그램의 일부가 될 필요가 없다. 그것들은 종종 수많은 컴퓨터상에서 나타나는 TCP/IP 프로토콜 같은 데이터 전송능력을 이용하도록 설계된다. 주요 TCP/IP 웜 공격은 악명높은 코드 레드(Code Red), 슬래퍼(Slapper), 및 SQL/슬래머(Slammer)를 포함하고, 이것은 최근에 세계의 네트워크에 심각한 영향을 미친다. 미국 정부는 "사이버 공간을 보호할 국가 전략" 발의를 공표하였고, TCP/IP 웜을 수십억 달러의 손해를 끼치는 원인으로 규정하였다.
모든 회사와 많은 가정의 네트워크에서, 인터넷이나 회사 인트라넷에 컴퓨터가 연결된다. 지금까지, 웜이 수만의 컴퓨터를 공격하고 이런 컴퓨터를 TCP/IP 웜을 공격하는 기계로 변환할 때까지, 새로운 TCP/IP 웜을 검출하는 효과적인 방법이 없었다. 즉, 인터넷과 컴퓨터 보안 회사들을 포함하여 네트워크 보안 산업은 주요 인터넷 허브 노드를 분해하는 새로운 TCP/IP 웜을 빨리 식별하여 퇴치하는 효과적인 방법 또는 제품을 제공하지 못했다.
웜, 예를 들어 SQL/슬래머 웜으로 감염된 기가 비트 이더넷 네트워크 인터페이스 카드(Network Interface Card; NIC)를 구비한 인텔 펜티엄 3500MHz PC는 100,000 패킷/초 또는 300메가 비트/초(Mbps)의 트래픽 이상을 만들 수 있다. 감염된 컴퓨터는 랜덤하게 목적지 IP 어드레스를 골라서 이러한 IP 어드레스에 연관된 컴퓨터에 침입하려 시도한다. 이것은 바르게 인터넷에 연결된 단일 머신이 전체 인터넷을 12시간 내에 공격할 수 있다는 것을 의미한다. 10/100 Mbps NIC 카드를 구비한 한 개 컴퓨터 시스템이 TCP/IP 웜 감염된 머신으로 변할수 있다면, 그것은 즉시 모든 대역의 10/100Mbps 네트워크와 T1(1.5Mbps) 또는 T3(45Mbps) 인터페이스 접속을 이용하여 외부로 나가는 방향 대역의 와이드 영역 네트워크(WAN) 연결을 소모할 것이다. TCP/IP 웜으로 감염된 데이터 센터에서 하이엔드(high end) 시스템으로, 그들은 OC3(155Mbps)의 외부로 나가는 방향으로의 모든 대역 또는 OC12(622Mbps) WAN 인터페이스 접속점조차도 쉽게 소모할 수 있다. 그런 붐비는 WAN 인터페이스의 들어오는 방향으로, 거의 100%의 IP 패킷이 감염된 컴퓨터 시스템이 위치하는 네트워크에 도달하지 못할 것이다. 감염된 컴퓨터 시스템이 네트워크로부터 물리적으로 셧다운 또는 분리되지 않으면, 이런 문제를 해결할 오직 원격 IP 트래픽 제어는 필터를 WAN 접속점에 연결된 라우터 또는 스위치에 인가하는 것이다. 오늘날까지도, WAN 접속점에서 혼잡을 일으키는 TCP/IP 웜에 의해 야기된 새 로운 DOS 공격을 거의 피할 수 없는데, 이것은 TCP/IP 네트워크상에서 수백의 컴퓨터 시스템에 대해 수천의 다른 취약성을 자동으로 계속하여 공격하도록 새로운 많은 변종의 TCP/IP 웜이 생성되기 때문이다.
도 1은 본 발명에 따른 글로벌 IP 네트워크를 예시한다. 즉, 도 1은 예를 든 네트워크, 예를 들어, 본 발명에 관련된 IP(인터넷 프로토콜) 네트워크 같은 패킷 네트워크를 예시한다. 예시적인 패킷 네트워크는 인터넷 프로토콜 네트워크, 비동기 전송모드(ATM) 네트워크, 프레임-릴레이 네트워크, 등등을 포함한다. IP 네트워크는 데이터 패킷을 교환하도록 인터넷 프로토콜을 이용하는 네트워크로 널리 정의된다.
예를 들어, 도 1에서 글로벌 IP 네트워크(110)는 라우터(131, 132)를 통해 인터넷(120)에 연결된다. 글로벌 공조 IP 네트워크는 아시아 태평양, 유럽, 미국, 캐나다, 및 라틴 아메리카의 위치를 포함한다. 웜 프로브(111, 112 및 113)는 웜 예를 들어 TCP/IP웜을 검출하도록 여러 나라의 중요(key) 위치에 배치된다. 표 140은 예시적인 의심스러운 글로벌 웜 활동 수와 그것의 연관된 가능한 웜 발생원 IP 어드레스를 나타낸다. 의심스러운 웜 활동 수가 미리 규정된 시간 기간 내에서 미리 규정된 그로우벌 임계값을 초과할 때, 소스 IP 어드레스를 발생하는 특정 웜을 가진 머신으로부터의 모든 트래픽을 차단하도록 의심스러운 웜 활동을 발생하는 소스 IP 어드레스에 가장 근접한 라우터 또는 스위치가 통보받아서, TCP/IP 웜이 네트워크 잼을 일으키는 거대한 양을 가진 웜 IP 패킷을 퍼뜨리고 차단하지 못하도록 한다.
본 발명의 이론은, 라이브 시스템 없이 IANA 예약된 IP 어드레스와 많은 IP 어드레스를 포함하는 랜덤하게 발생되는 목적지 IP 어드레스에 웜 패킷을 TCP/IP 웜 감염된 시스템이 보내는 것이다. 예를 들어, 전체 IP 버젼 4(IPv4)는 4,294,967,296 IP 어드레스수의 어드레스 공간을 갖는다. 이것은 사설 IP 어드레스, 브로드캐스팅 IP 어드레스, 멀티캐스팅 IP 어드레스, 루프백 IP 어드레스 및 인터넷 할당된 주소 기관 (IANA) 예약된 IP 어드레스를 포함한다. 역시, 라이브 시스템을 갖는 그런 IP 어드레스에 대해, 각각의 IP 어드레스가 웜이 침투하는 서비스 중의 프로토콜이나 포트를 갖는 것은 아니다. 예를 들어, 심플 메일 전송 프로토콜(SMTP) 서버는 TCP 포트번호 80을 열지 않는다. 역시, IP 어드레스를 사용한 라이브 시스템이 특정 포트를 개방할지라도, 웜이 침투할 수 있는 취약성을 갖지는 않는다. 예를 들어, "코드 레드 웜"으로 불리는 공지된 웜이 오직 "도트 백슬레쉬"(dotdot backslash) 유형의 취약성을 가진 마이크로소프트 인터넷 정보 서버(IIS) 웹 서버에 침투할 수 있다. 그러므로 웜에 감염된 시스템이 다른 컴퓨터 시스템에 침투하기 전에, 많은 웜 패킷이 IANA 예약된 IP 어드레스, 라이브시스템 없는 많은 IP 어드레스, IP 네트워크에서 웜 공격과 연관된 IP 트래픽의 흔적뒤에 남아서 서비스 중의 어떤 프로토콜과 포트를 갖지 않는 시스템에 이미 보내졌어야 하고, 이는 IP 어드레스가 라우팅 가능한지 않는지를 웜 시스템에 알리도록 IP 네트워크 장치가 코드(0, 1, 2, 3)를 갖는 ICMP 형의 3개 패킷 같은 ICMP 도착-불가능한 패킷을 갖는 웜 시스템에 응답하기 때문이다.
특별한 웜 프로브 장치가 이러한 ICMP 도착-불가능한 패킷의 흔적을 이용한 다면, TCP/IP 웜으로 감염되거나 IP네트워크에서 IP 어드레스 스캔을 실행하는 다중 시스템으로부터의 이러한 ICMP 도착-불가능한 패킷을 수신하는 시스템을 즉시 식별할 수 있다. 그러한 시스템이 공지된 공인 IP 어드레스 스캔 시스템이 아니라면, 특정 웜 프로브 장치는 IP 네트워크에 방화벽, 라우터, 스위치 및 허브와 자동으로 통신하여서 웜 감염된 컴퓨터 시스템으로부터의 트래픽을 차단하거나 웜이 감염된 컴퓨터 시스템을 셧다운 하라고 명령할 수 있다. 이런 방식으로, 웜은 상기 웜이 새로운 ㅂ변종의 특징, 예를 들어, 침투하려 하는 어떤 포트, 침투하려 하는 어떤 프로토콜, 침투하려 하는 어떤 운영 체제, 침투하려 하는 어떤 애플리케이션, 침투하려 하는 어떤 취약성 또는 그것이 갖는 어떤 웜 흔적등 일지라도 수초 내에 자동으로 무력화될 수 있다. 의심스러운 시스템이 웜 패킷을 IANA 예약된 IP 어드레스로, 라이브 시스템이 없는 IP 어드레스로, 서비스 중인 특정 프로토콜 및 포트없는 시스템으로 보내는 한, 그것은 다중 시스템에서 발생한 ICMP 도달-불가능한 트래픽의 자국 뒤에 남을 것이다.
본 발명 뒤에 수학적인 통계는 다음과 같이 L, M, N, X 및 Y를 이용하는 것이다.
*L은 네트워크 클라우드에서 사용 가능한 IP 어드레스의 전체 수이다.
*M은 네트워크 클라우드에서 라이브 시스템이 있는 IP 어드레스의 전체 수이다.
*N은 웜이 네트워크 클라우드 내에 침투할 수 있는 IP 어드레스의 전체 갯수이다. X는 컴퓨터 시스템이 침입당하기 전에 웜에 의해 공격받는 상기 네트워크 클라우드내에 IP 어드레스의 평균 수이다.
*Y는 컴퓨터 시스템이 침입당하기 전에 상기 네트워크 클라우드내에 공격 자국뒤에 남아 있는 웜에 의해 공격당한 IP 도달-불가능한 어드레스의 평균 수이다.
일 실시예에서, X = (L/N)-1 이고, Y = (L-M)/N
예를 들어, 접두사 9.X.X.X를 갖는 등급 A 서브넷에서, 100,000 IP 어드레스는 컴퓨터 시스템에 의해 이용되고, 이중에 반은 윈도우 OS를 사용하고 반은 Unix 또는 OS를 샤용한다. 역시, 100,000 컴퓨터 시스템 중에서, 5만 IP 어드레스의 컴퓨터 시스템이 윈도우 OS를 사용하고, 더욱이 이들 5만 시스템 중 반인 25000에 웜이 본 시스템에 침투하여 감염시키게 되는 취약성을 갖고 있다. 게다가, 10만 이상의 IP 어드레스가 라우터, 스위치, 허브 등과 같은 네트워크 장비에 의해 이용된다. 등급 A IP 서브네트워크는 전체 16,777,216개의 명백한 IP어드레스를 갖고 있다. 상기 예 안에서, 라이브 시스템을 구비한 전체 20만 IP 어드레스가 있고, 그들 중에 10만은 컴퓨터 시스템용이고, 그들 중 10만은 네트워크 장비용이다. 역시, 5만 윈도우 OS 머신 중에서, 웜으로 침투하여 감염될 수 있는 25000 IP 어드레스의 윈도우 OS 시스템이 있다. 이제, 누군가 인터넷상에서 새로운 웜을 풀어놨다고 가정하라. 이 웜은 서브넷 9.X.X.X에 한 개 인터페이스를 갖는 멀티-홈 컴퓨터 시스템에 랜덤하게 침입한다. 통계를 근거로, 시스템 A가 서브넷 9.X.X.X의 다른 시스템 즉 B에 침투하기 전에, 시스템 A는 서브넷 9.X.X.X 내의 평균 670 IP 어드레스(예을 들어, X=(16777216/25000)-1=670)를 공격할 것이다. 시스템 A는 평균 663 자국의 도달-불가능한 IP 어드레스 공격 트래픽을 발생한다(예를 들어 Y = (16777216-200000)/25000 = 663). 본 발명의 어떤 웜 프로브 장치가 서브 네트 9.X.X.X내에 위치한다면, 시스템 A에 의해 발생된 평균수의 시도에 근거하여 다른 시스템 B 에 침투할 수 있기 전에, 그것은 도달-불가능한 IP 어드레스로의 웜 공격의 이러한 흔적을 검출하여 시스템 A를 감염된 시스템으로 식별할 수 있다. 수 초 내에, 이러한 웜 프로브 장치는 방화벽, 라우터, 스위치 및 허브에 자동으로 통신하여, 셧다운 될 명령 시스템 A나 시스템 B로부터의 트래픽을 차단할 수 있다. 더 큰 시스템이 통계에 근거하여 감염되기 전에 663이 평균 시도 수이기에, 시스템 A는 감염된 시스템으로 식별될 수 있기 전에 실제로 시스템 B에 침투할 수 있다. 이런 경우에, 시스템 A가 식별되는 데로 그것으로부터의 모든 트래픽이 차단될 것이다. 더욱이, 시스템 B가 감염되면 이러한 웜 프로브 장치에 의해 같은 방법을 이용하여 그것이 식별되어 트래픽 차단될 것이다. 상기 수학 통계에 근거하여, 대량의 Y를 얻기 위해 웜이 다른 시스템에 침투하기 전에 웜이 감염된 시스템에 의해 나온 도달-불가능한 IP 어드레스로의 공격에 의해 뒤에 남은 흔적이 빨리 검출될 수 있도록, 가용한 IP 어드레스 대 라이브 시스템을 가진 IP 어드레스의 비율이 충분히 커야 한다는 것을 알 수 있다. 비율이 높을수록, 웜의 시스템 A가 감염될 수 있는 시스템 B에 침투할 가능성이 낮아진다. 시스템 A가 웜 감염될 수 있는 시스템 B에 침투하기 전에 웜 시스템 A를 무력화시키는 가장 낮은 비율은 약 20:1로, 1/10의 시스템을 갖는 10Mbps 네트워크에서의 코드 레드(Code Red) 웜이 감염될 수 있는 시스템이다. 비율이 2:1처럼 아주 낮을 때, 웜 검출 장치는 아직도 웜 시스템A를 식별하여 무력화시킬 수 있다. 높은 비율과 낮은 비율의 차이는, 높은 비율의 시나 리오에서는 웜 감염될 수 있는 시스템 B가 침입하지 않는 반면에, 낮은 비율의 시나리오에서는 웜 감염될 수 있는 시스템 B가 침입하여 다른 웜 감염될 수 있는 시스템을 공격하는 다른 웜 감염된 시스템이 될 수 있다는 데 있다.
도 2는 본 발명의 TCP/IP 웜 감염된 시스템을 식별하여 무력화시키는 주요 방법의 흐름도를 예시한다. 방법(200)은 단계(210)에서 시작하여 단계(215)로 진행한다. 웜 프로브 장치는 거대한 트래픽 IP 노드에서 전략적으로 배치된다는 것을 알라. 보더(border) 라우터, 방화벽, 프록시, VPN 집중기, 침입 검출 시스템(IDS) 및 침입 방지 시스템(IPS) 세그먼트 같은, 대부분의 LAN IP 서브네트와 네트워크에서 거대 IP 트래픽 부하의 주요 트래픽 집합 허브 또는 교환 지점을 중요 로케이션이 포함하지만 이에 국한되지 않는다. IDS는 네트워크 트래픽 분석 기술을 통해 네트워크상에서 침입의 출현을 사용자에게 경고하는 시스템이다. IPS는 컴퓨터를 비공인된 사용자로부터 보호하도록 액세스 제어하는 시스템이다.
단계(215)에서, 웜 프로브 장치가 모든 IP 패킷 예를 들어, TCP에 ICMP와 네트워크상에서 웜 프로브 NIC 카드로 통과되는 다른 프로토콜 IP 패킷을 듣도록 하는 방법(200)을 이용한다. 단계(220)에서, 방법(200)은 IP 패킷의 목적지 IP 어드레스가 IANA 예약된 IP 어드레스 공간에 있는지를 확인(check)한다. TCP/IP 웜이 랜덤하게 발생하는 IP 어드레스를 이용하여 포텐셜 목적지 머신을 공격하는 것을 주의한다. IANA 예약된 IP 어드레스 공간이 정상적으로 이용되지 않기에, 그런 어드레스로의 패킷은 정밀 분석을 요한다. IP 패킷의 목적지 IP 어드레스가 IANA 예약된 IP 어드레스 공간에 있다면, 방법(200)은 단계(225)로 진행하고 그렇지 않으 면, 방법은 단계(235)로 진행한다.
단계(225)에서, 방법(200)은 IANA 예약된 IP 어드레스 공간속의 IP 패킷의 목적지 IP 어드레스가, 허용된 예약된 IANA IP 어드레스 메모리 테이블에 저장된 허용된 IANA IP 어드레스인지를 확인한다. IP 패킷의 목적지 IP 어드레스가 허용된 IANA 예약된 IP 어드레스 공간에 있다면, 방법(200)은 단계(235)로 진행하고, 그렇지 않으면, 방법은 단계(230)로 진행한다. 단계(230)에서, 방법(200)은 도 4에 도시된 "가능한 웜 추가" 서브-방법(400)을 실행하여, 현재의 타임스탬프를 가진 IANA 예약된 공간 침해로서 소스 IP 어드레스 엔트리의 카운트를 하나씩 증가시킨다. 다음에, 방법은 단계(255)로 진행한다. 예약된 IANA IP 어드레스는 아래 표 1에 도시되어 예시된다. 가장 최신의 IANA 예약된 IP 어드레스 공간을 http://www.iana.org/assignments/ipv4-address-space에서 볼 수 있다.
Figure 112006032733132-PAT00001
단계(235)에서, 방법(200)은 패킷이 코드 0(도달-불가능한 네트워크), 코드 1(도달-불가능한 호스트), 코드 2(도달-불가능한 프로토콜) 또는 코드 3(도달-불가능한 포트)을 갖는 ICMP 타입 3인지를 확인한다. ICMP 타입 3 패킷 포맷이 도 6에 도시된다. 패킷이 코드(0, 1, 2, 또는 3)를 갖는 ICMP 타입 3 패킷이라면, 방법은 단계(240)으로 진행하고, 그렇지 않으면 단계(215)로 되돌아간다. 단계(240)에서, 방법(200)은 패킷의 목적지 IP 어드레스가 검증된 스캔 시스템 IP 어드레스 메모리 테이블에 있는지를 확인한다. 검증된 스캔 시스템 IP 어드레스 메모리 테이블에 있 다면, 방법은 단계(215)로 되돌아가고 그렇지 않으면, 방법은 245로 간다.
단계(245)에서, 방법(200)은 소스 IP 어드레스, 목적지 IP 어드레스, 프로토콜 정보 및 포트 정보를 얻기 위해, ICMP 탐\입 3 패킷에 내장된 원래 IP 패킷의 헤더를 추출한다. 방법(200)은 ICMP 타입 3 IP 어드레스 침해로서 원래 IP 패킷을 카운트한다. 코드 0, 1, 2 및 3 패킷 형태를 갖는 ICMP 타입 3은 도 6에 도시된다. 다음에 방법은 250으로 진행한다. 이 단계로부터, ICMP 도달-불가능한 패킷의 콘텐츠 일부인 원래 IP패킷의 헤더로부터 추출된 콘텐츠 목적 IP 어드레스와 콘텐츠 소스IP 어드레스를 방법(200)은 이용한다. 그 이유는 ICMP 도달-불가능한 패킷이 도달-불가능한 목적지 네트워크, 호스트, 프로토콜 또는 포트에 따른 패킷 응답이었기 때문이다. 웜에 감염된 시스템이 다중 목적지로 패킷을 발원시키는 반면, 이러한 도달-불가능한 패킷이 단일 소스 IP 어드레스로부터 단일 목적지로 발원시키는 것을 응답ICMP 도달-불가능 패킷이 가르킨다. 이러한 문제를 해결하기 위해, 원래 소스 IP 어드레스와 목적지 IP 어드레스가 ICMP 패킷의 콘텐츠 일부인 원래 IP 패킷에서 추출되고, 그러한 원래 IP 패킷이 단일 소스 IP 어드레스로부터 다중 목적지 IP 어드레스로 보내질지의 여부를 결정하기 위해서이다. 예를 들어, 웜 감염된 컴퓨터 9.200.200.5는 웜 패킷을 IP 어드레스 9.100.100.111과 9.100.100.222에 보낸다. 양쪽 IP 어드레스가 라이브 시스템을 갖지 않으면, 엔드 라우터 9.100.100.1은 두 개 호스트 도달-불가능 패킷을 웜 감염된 컴퓨터로 다시 보낸다. 이러한 두 개 호스트 도달-불가능 패킷은 라우터 9.100.100.1에 의해 웜 감염된 컴퓨터 9.200.200.5로 응답되어 진다. 이런 두 개 ICMP 패킷의 콘텐츠만이 다르다. 하나는 목적지 9.100.100.111로의 원래 헤더를 포함하는 반면, 다른 하나는 목적지 9.100.100.222로의 원래 헤더를 포함한다.
단계(250)에서, 방법(200)은 도 4에 도시된 서브-방법(400) "가능한 웜 추가"를 실행하여, 예를 들어 도달-불가능한 목적지 IP 어드레스(예를 들어, 네트워크 및/또는 호스트), 도달-불가능 프로토콜 및 도달-불가능 포트인 ICMP 에러코드를 생성하는 IP 패킷과 연관된 모든 소스 IP 어드레스의 누적 카운트를 하나씩 증가시킨다. 단계(255)에서, 방법(200)은 미리 규정된 글로벌 시간 기간 내에 미리 규정된 글로벌 임계값을 초과하는 누적 카운트를 하는 IP패킷과 연관된 소스 IP 어드레스를 갖는지를 웜 프로브 장치중의 하나가 확인한다. 미리 규정된 글로벌 임계값은 웜 프로브 구동기에 의해 명시된 나타낼 수 있는 변수이다. 일 실시예에서, 누적 카운트의 디폴트 글로벌 임계값은 웜 프로브 숫자의 10배이고, 디폴트 미리 규정된 글로벌 시간 기간은 2초이다. 미리 규정된 글로벌 시간 기간 내에서 미리 규정된 글로벌 임계값을 초과하는 IANA 예약된 IP 어드레스 침해 누적 카운트나 ICMP 타입 3 IP 어드레스 침해를 하는 IP 패킷과 연관된 소스 IP 어드레스를 웜 프로브 장비가 가지면, 그 방법이 단계(260)로 진행하고, 그렇지 않으면 그 방법이 단계(290)으로 진행한다.
단계(260)에서, 방법은 현재의 타임스탬프 UTCx의 웜 IP 에드레스 x를 가진 글로벌 테이블의 소스 IP 어드레스를 표시하여 다른 웜 프로브에 웜 IP 어드레스 x와 그의 연관된 타임스탬프 UTCx를 보내고, 이메일과 페이저등의 다중 수단을 이용하여 운용자에게 통보하지만 이에 국한되지 않는다. 다음에 방법은 단계(265)로 진 행한다. 단계(265)에서, 방법(200)은 웜 프로브가 웜 감염된 시스템 식별만의 모드 또는 웜에 감염된 시스템 식별 및 무력화 모드에서 구동되는지를 확인한다. 웜 프로브가 웜 감염된 시스템 식별만의 모드에 있다면, 방법은 215로 진행하고, 그렇지 않으면 방법은 270로 진행하여 웜 감염된 시스템을 무력화시킨다. 웜 프로브가 웜 감염된 시스템 식별만의 모드에서 구동된다면, 웜 프로브는 오직 웜 감염된 시스템을 식별하고 그들을 무력화시키지 않을 것이다. 웜 프로브가 웜 감염된 시스템 식별 및 무력화 모드에서 구동된다면, 웜 프로브는 웜 감염된 시스템을 식별하여 무력화시킨다. 글로벌 테이블은 누적 카운트 및 타임스탬프와 같은 연관된 데이터 및 가능한 소스 IP 어드레스의 목록을 추적하는 테이블이며, 이는 가능한 웜에 감염된 시스템들로서 글로벌적으로 식별된다.
글로벌 테이블의 데이터 구조는 도 9에 도시된다. 데이터 구조(900)는 테이블에 대해 5개의 엔트리 포인트를 포함한다. 엔트리 포인트(901)는 IANA 예약된 IP 어드레스 침해용이고, 엔트리 포인트(902)는 ICMP 네트워크 도달-불가능한 침해용이고, 엔트리 포인트(903)는 ICMP 호스트 도달-불가능 침해용이고, 엔트리 포인트(904)는 ICMP 프로토콜 도달-불가능 침해용이고, 엔트리(905)는 ICMP 포트 도달-불가능 침해용이다. 각 엔트리 포인트에 대해, 한 세트의 유사한 아래놓인 데이터 구조가 이와 연관된다. 예를 들어, 엔트리 포인트(903)는 한 세트의 데이터 구조 (910 내지 917)을 포함하는 8개 데이터 구조를 갖는다. 각 데이터 구조(910 내지 917)는 소스 IP 어드레스 엔트리, 누적 카운트 엔트리, 및 타임스탬프 엔트리를 포함한다. 이러한 데이터 구조는 소스 IP 어드레스 엔트리에 의해 분류 및 정렬된다.
단계(270)에서, 방법(200)은 웜 프로브가 이미 라우터 또는 스위치를 가르켜서 이렇게 식별된 웜 감염된 시스템을 차단하는지를 확인한다. 차단지시가 떨어지지 않으면 단계(285)로 진행하고, 그렇지 않으면 방법은 275로 진행한다. 단계(275)에서, 방법(200)은 차단 요구가 차단업무를 완료할 미리 규정된 시간 임계값을 초과하는 지를 확인한다. 차단업무를 완료할 미리 규정된 시간 임계값이 초과되면 방법은 단계(280)으로 진행하고, 그렇지 않으면 방법은 단계(215)로 되돌아간다. 단계(280)에서, 방법(200)은 웜 IP 어드레스 x와 함께 글로벌 테이블에서의 소스 IP 어드레스가 현재의 타임스탬프 UTCx를 차단하지 못하여 다른 웜 프로브으로 타임스탬프 UTCx를 차단하도록 웜 IP 어드레스 x를 보내고, 이메일과 페이저등을 포함하는 다중 수단을 이용하여 운용자에게 통보하도록 표시한다. 웜이 차단되지 않지만, 시스템은 웜을 검출하여 웜에 감염된 시스템을 수동으로 검사하고 언플러그 할 수 있는 운용자에게 보고할 것이다. 다음에 방법은 단계(215)로 되돌아간다.
단계(285)에서, 방법(200)은 식별된 소스 IP 어드레스 컴퓨터 시스템에 도달가능하고, 가장 근접한 라우터 또는 스위치를 식별하도록 추적 루트 명령에 유사한 기술을 이용한다. 다음에 그 방법은 식별된 라우터 또는 스위치에 지시하여 식별된 소스 IP 어드레스로부터의 모든 트래픽을 차단한다. 다음에 방법(200)은 단계(287)로 진행한다. 단계(287)에서, 방법(200)은 현재 타임스탬프 UTCx로 차단된 웜 IP 어드레스 x를 갖는 글로벌 테이블내의 소스 IP 어드레스를 표시하며, 웜 IP 어드레스 x를 다른 웜 프로브으로 보내고, 이메일 및 페이져 등을 포함하는 다중 수단을 이용하여 운용자에게 알린다. 다음에, 방법은 단계(215)로 되돌아간다.
단계(290)에서, 방법(200)은 미리 규정된 로컬 시간 기간내에 미리 규정된 로컬 임계값을 초과하는 누적 카운트를 발생하는 IP 패킷과 연관된 소스 IP 어드레스를 웜 프로브 중 하나가 갖는지를 확인한다. 미리 규정된 로컬 임계값은 웜 프로브 운용자에 의해 명시된 나타날 수 있는 변수이다. 일 실시예에서, 디폴트 로컬 임계값은 10이고, 디폴트 로컬 시간 기간은 1초이다. 미리 규정된 로컬 시간 기간내에 미리 규정된 로컬 임계값을 초과하는 ICMP 타입 3IP 어드레스 침해 또는 IANA 예약된 IP 어드레스 침해 누적 카운트를 하는 IP 패킷과 연관된 소스 IP 어드레스를 어떤 웜 프로브가 갖는다면, 방법은 295로 진행하고, 그렇지 않으면 방법은 단계(215)로 되돌아간다.
단계(295)에서, 방법(200)은 네트워크에서 모든 다른 웜 프로브 너머 임계값을 검출하는 웜 프로브 장치로부터 미리 규정된 로컬 시간내에 로컬 임계값을 초과하는 가능한 웜 IP 어드레스를 보낸다. 다음에 방법은 단계(215)로 되돌아간다.
도 3은 본 발명의 TCP/IP 웜 감염된 시스템을 식별하고 무력화하도록 "가능한 웜 IP 어드레스 테이블 주기적인 클리어링"하는 서브-방법의 흐름도를 예시한다. 이것은 매우 중요한 서브-과정으로 왜냐면 이전의 소스 IP 어드레스 엔트리를 삭제할 이러한 클리어링 서브-과정이 없기 때문으로, 방법(200)은 웜 감염된 시스템의 잘못된 식별을 초래하는데, 이는 IANA 예약된 IP 어드레스 침해 및 ICMP 도달-불가능 침해 전부가 ICMP/IP 웜에 의해 야기되지 않기 때문이다. 단시간내 다중 목적지 IP 어드레스를 갖는 소스 IP어드레스의 패턴을 갖는 오직 IANA 침해 패킷과 ICMP 도달-불가능 패킷이 TCP/IP 웜 또는 스캔 머신에 의해 발원된다. 웜 프로브의 주요 방법 이후에, 방법(200)은 로컬 테이블로 불리는 "로컬 가능한 웜 IP 어드레스 테이블", 글로벌 테이블로 불리는 "글로벌 가능한 웜 IP 어드레스 테이블'을 구동하기 시작한다. 글로벌 테이블은 누적 카운트와 타임스탬프 같은 관련된 데이터와 가능한 소스 IP 어드레스의 목록을 추적하는 테이블이며, 이는 가능한 웜 감염된 시스템으로서 글로벌적으로 식별된다. 로컬 테이블은 누적 카운트와 타임스탬프 같은 관련된 데이터와 가능한 소스 IP 어드레스의 목록을 추적하는 테이블로서, 가능한 웜 감염된 시스템으로 로컬로 식별된다. 방법(300)은 메모리 테이블로부터의 그러한 초과된 시간 기간 IP 어드레스 엔트리를 없애는 데 사용된다. 방법(300)은 단계(305)에서 시작하여 310으로 진행한다.
로컬 테이블의 데이터 구조는 도 8에 도시된다. 데이터 구조(800)는 테이블에 대해 5개의 엔트리 포인트를 포함한다. 엔트리 포인트(801)는 IANA 예약된 IP 어드레스 침해용이고, 엔트리 포인트(802)는 ICMP 네트워크 도달-불가능한 침해용이고, 엔트리 포인트(803)는 ICMP 호스트 도달-불가능 침해용이고, 엔트리 포인트(804)는 ICMP 프로토콜 도달-불가능 침해용이고, 엔트리(805)는 ICMP 포트 도달-불가능 침해용이다. 각 엔트리 포인트에 대해, 한 세트의 유사한 아래놓인 데이터 구조가 이와 연관된다. 예를 들어, 엔트리 포인트(803)는 한 세트의 3 소스 IP 어드레스 데이터 구조(810, 820 및 830)를 갖는다. 이러한 소스 IP 어드레스 데이터 구조(810, 820 및 830) 각각은 소스 IP 어드레스 엔트리와 누적 카운트 엔트리를 포함한다. 또한, 소스 IP 어드레스 데이터 구조 각각은 그것과 연관된 하나 이상의 아래놓인 목적지 IP 어드레스 데이터 구조의 세트를 가진다. 예를 들어, 소스 IP 어드레스를 가진 소스 IP 어드레스 데이터 구조에 대해, 그것과 연관된 3 아래놓인 목적지 IP 어드레스 데이터 구조들(811, 812 및 813)의 세트를 가진다. 목적지 IP 어드레스 데이터 구조들 각각은 목적지 IP 어드레스 엔트리 및 타임스탬프 엔트리를 포함한다. 유사하게, 소스 IP 어드레스 B를 가진 소스 IP 어드레스 데이터 구조 820에 대해, 그것과 연관된 8 아래놓인 목적지 IP 어드레스 데이터 구조들(821 내지 828)의 세트를 가지고, 소스 IP 어드레스 C를 가진 소스 IP 어드레스 데이터 구조(830)에 대해서, 그것과 연관된 2 아래놓인 목적지 IP 어드레스 데이터 구조들(831 및 832)을 가진다. 소스 IP 어드레스 데이터 구조들은 소스 IP 어드레스에 의해 분류 및 정렬되고, 아래놓인 목적지 IP 어드레스 데이터 구조들은 목적지 IP 어드레스에 의해 분류 및 정렬된다.
글로벌 테이블의 데이터 구조는 도 9에 도시된다. 데이터 구조(900)는 테이블에 대해 5개의 엔트리 포인트를 포함한다. 엔트리 포인트(901)는 IANA 예약된 IP 어드레스 침해용이고, 엔트리 포인트(902)는 ICMP 네트워크 도달-불가능한 침해용이고, 엔트리 포인트(903)는 ICMP 호스트 도달-불가능 침해용이고, 엔트리 포인트(904)는 ICMP 프로토콜 도달-불가능 침해용이고, 엔트리(905)는 ICMP 포트 도달-불가능 침해용이다. 각 엔트리 포인트에 대해, 한 세트의 유사한 아래놓인 데이터 구조가 이와 연관된다. 예를 들어, 엔트리 포인트(903)는 한 세트의 데이터 구조( 910 내지 917)을 포함하는 8개 데이터 구조를 갖는다. 각 데이터 구조(910 내지 917)는 소스 IP 어드레스 엔트리, 누적 카운트 엔트리, 및 타임스탬프 엔트리를 포함한다. 이러한 데이터 구조는 소스 IP 어드레스 엔트리에 의해 분류 및 정렬된다.
단계(310)에서, 방법(300)은 네트워크 타이밍 프로토콜을 이용하여 유니버셜 타임 클럭에 동기화하는 컴퓨터 시스템에 액세스한다. 네트워크 타이밍 프로토콜은 인터넷상에서 컴퓨터 사이에 시간을 동기화한다. 단계(315)에서, 방법(300)은 로컬 테이블에서 목적지 IP 어드레스 엔드에 액세스한다. 단계(320)에서, 방법(300)은 현재 시간(로컬 테이블에 목적지 IP 어드레스와 연관된 타임스탬프)의 값이 본 목적지 IP 어드레스의 미리 규정된 로컬 시간 기간을 초과하는지 확인한다. 값이 미리 규정된 로컬 시간 기간을 초과하면, 방법은 325로 진행하고, 그렇지 않으면 방법은 단계(340)으로 진행한다. 단계(325)에서, 방법(300)은 목적지 IP 어드레스를 삭제하고 메모리 풀로의 메모리 할당을 자유롭게 목적지 IP 어드레스와 연관된 로컬 테이블에서의 소스 IP 어드레스 누적 카운트는 1로 감소한다. 단계(330)에서, 방법(300)은 로컬 테이블에 소스 IP 어드레스 누적 카운트가 0인지를 확인한다. 소스 IP 어드레스 누적 카운트가 0이면, 방법은 335로 진행하고, 그렇지 않으면 방법은 340으로 진행한다.
단계(335)에서, 방법(300)은 이러한 소스 IP 어드레스 엔트리를 삭제하여 메모리 풀로의 메모리 할당을 자유롭게 한다. 이것은 미리 규정된 로컬 시간 기간 동안에 상기 소스 IP 어드레스가 IP 패킷을 많은 다중 목적지 IP 어드레스로 보내지 않았다는 것을 의미한다. 단계(340)에서, 방법(300)은 소스 IP 어드레스가 로컬 테이블에서 마지막 목적지 IP 어드레스 엔트리인지를 확인한다. 소스 IP 어드레스가 로컬 테이블에서 마지막 목적지 IP 어드레스 엔트리라면, 방법(300)은 "로컬 테이블" 클리어링 처리를 완료하여 단계(350)으로 가서 "글로벌 테이블" 클리어링을 처 리하고, 그렇지 않으면 방법(300)은 단계(345)로 진행한다. 단계(345)에서, 방법(300)은 로컬 테이블에서 다음 목적지 IP 어드레스 엔트리로 액세스하여 단계(320)로 되돌아 간다.
단계(350)에서, 방법(300)은 글로벌 테이블에서 소스 IP 어드레스 엔트리를 액세스한다. 단계(355)에서, 방법(300)은 글로벌 테이블내 이러한 소스 IP 어드레스가 식별된 웜으로 성공적으로 차단되거나 차단되지 못하는 지를 확인한다. 글로벌 테이블내 상기 소스 IP 어드레스가 식별된 웜으로 성공적으로 차단되지 못하면 방법(300)은 단계(370)로 진행한다. 그렇지 않으면 방법(300)은 단계(360)로 진행한다. 단계(360)에서, 방법(300)은 현재 시간(로컬 테이블에 목적지 IP 어드레스와 연관된 타임스탬프)의 값이 본 목적지 IP 어드레스의 미리 규정된 로컬 시간 기간을 초과하는지 확인한다. 값이 미리 규정된 로컬 시간 기간을 초과하면, 방법은 365로 진행하고, 그렇지 않으면 방법은 단계(370)로 진행한다. 단계(365)에서, 방법(300)은 이러한 소스 IP 어드레스 엔트리를 삭제하고 메모리 풀로의 메모리 할당을 자유롭게 한다.
단계(370)에서, 방법(300)은 글로벌 테이블에 마지막 소스 IP 어드레스 엔트리가 있는지를 CPZ한다. 있으면 방법(300)은 단계(380)로 진행하고, 그렇지 않으면 방법은 375로 진행한다. 단계(375)에서, 방법(300)은 글로벌 테이블의 다음 소스 IP 어드레스 엔트리로 액세스하여 단계(355)로 되돌아 간다. 단계(380)에서, 방법(300)은 미리 규정된 로컬 시간 기간의 끝까지 기다린다. 그 시간에 방법은 단계( 310)로 되돌아 간다.
도 4는 본 발명의 TCP/IP 웜 감염된 시스템을 식별하고 무력화시키도록 하는 "가능한 웜 추가" 서브-방법의 흐름도를 예시한다. 방법(400)이 실행되고, 방법(200)으로 불리는 로컬 테이블과 글로벌 테이블에 가능한 웜 IP 어드레스를 추가한다. 방법(400)은 단계(405)에서 시작하여 단계(410)로 진행한다.
단계(410)에서, 방법(400)은 IANA 예약된 IP 어드레스 침해, ICMP 네트워크 도달-불가능 침해, ICMP 호스트 도달-불가능 침해, ICMP 프로토콜 도달-불가능 침해, 또는 ICMP 포트 도달-불가능 침해에 근거한 로컬 테이블에 엔트리 포인트를 선택한다. 단계(415)에서, 방법(400)은 소스 IP 어드레스를 확인하여 로컬 테이블에 분류된 IP 어드레스 엔트리를 탐색함으로써, 그것이 이미 로컬 테이블에 있는지를 확인한다. 소스 IP 어드레스가 보이면 방법(400)은 단계(425)로 진행하고, 그렇지 않으면 방법은 단계(420)로 진행한다. 단계(420)에서, 방법(400)은 소스 IP 어드레스에 대해 시스템 메모리 풀로부터의 메모리 구조를 할당하여, 소스 IP 어드레스를 채우고, 소스 IP 어드레스 누적 카운트를 1로 설정한다. 방법(400)은 역시 목적지 IP 어드레스에 대해 시스템 메모리 풀로부터의 메모리 구조를 할당하여 목적 IP 어드레스를 현재의 타임스탬프으로 채운다. 각 소스 IP 어드레스 데이터 구조에 대해 각 소스 IP 어드레스 데이터 구조와 연관된 하나 이상의 목적지 IP 어드레스 데이터 구조가 있다는 것을 주의한다. 따라서, 일 실시예에서, 소스 IP 어드레스는 한 카운트의 목적지 IP 어드레스를 갖고 목적지 IP 어드레스는 현재의 타임스탬프를 갖는다. 다음에 방법(400)은 이러한 메모리 구조를 로컬 테이블에 삽입하여 소스 IP 어드레스를 분류한다.
단계(425)에서, 방법(400)은 목적지 IP 어드레스가 로컬 테이블내의 분류된 IP 어드레스 엔트리들을 탐색함으로써 소스 IP 어드레스와 연관된 로컬 테이블이 이미 있는지를 확인한다. 목적지 IP 어드레스가 로컬 테이블내에서 보이면, 방법(400)은 단계(430)로 진행하고; 그렇지 않으면 방법은 440으로 진행한다. 단계(430)에서, 방법(400)은 현재 타임스탬프를 가진 목적지 IP 어드레스 엔트리를 갱신한다. 그 후, 방법은 방법(200)으로 되돌아오도록 단계(435)로 진행한다. 단계(440)에서, 방법(400)은 소스 IP 어드레스 누적 카운트를 1씩 증가시킨다. 방법(400)은 또한 목적지 IP 어드레스를 위해 시스템 메모리 풀로부터 메모리 구조를 항당하고, 현재 타임스템프를 가진 목적지 IP 어드레스를 기입한다. 그 후, 방법(400)은 목적지 IP 어드레스 메모리 구조를 로컬 테이블내의 대응하는 소스 IP 어드레스 엔트리에 삽입하고, 정렬된 목적지 IP 어드레스들을 유지한다.
단계(445)에서, 방법(400)은 IANA 예약된 IP 어드레스 침해, ICMP 네트워크 도달-불가능 침해, ICMP 호스트 도달-불가능 침해, ICMP 프로토콜 도달-불가능 침해, 또는 ICMP 포트 도달-불가능 침해에 근거한 로컬 테이블에 엔트리 포인트를 선택한다. 단계(450)에서, 방법(400)은 소스 IP 어드레스를 확인하여 글로벌 테이블에 분류된 IP 어드레스 엔트리를 탐색함으로써, 그것이 이미 글로벌 테이블에 있는지를 확인한다. 소스 IP 어드레스가 보이면 방법(400)은 단계(455)로 진행하고, 그렇지 않으면 방법은 단계(465)로 진행한다. 단계(455)에서, 방법은 소스 IP 어드레스 누적 카운트를 1씩 증가시키고, 타임스템프를 글로벌 테이블내의 상기 소스 IP 어드레스 엔트리로 갱신한다. 그 후, 방법은 방법(200)으로 되돌아오도록 단 계(460)로 진행한다.
단계(465)에서, 방법(400)은 로컬 소스 IP 어드레스 누적 카운트가 미리 규정된 로컬 임계값을 초과하는지를 확인한다. 로컬 소스 IP 어드레스 누적 카운트가 미리 규정된 로컬 임계치를 초과하는 경우, 방법은 475로 진행하고; 그렇지 않으면 방법은 방법(200)으로 되돌아오도록 단계(470)로 진행한다. 단계(475)에서, 방법(400)은 소스 IP 어드레스를 위한 시스템 메모리 풀로부터 메모리 구조를 할당하고, 소스 IP 어드레스 및 소스 IP 어드레스 누적 카운트를 메모리 구조내로 복사하며, 타임스템프를 현재 시간으로 설정한다. 그 후, 방법(400)은 상기 메모리 구조를 글로벌 테이블로 삽입하고 정렬된 소스 IP 어드레스를 유지한다. 그 후, 방법은 방법(200)으로 되돌아오도록 단계(480)로 진행한다.
도 5는 본 발명의 TCP/IP 감염된 시스템을 식별하고 무력화시키는 "글로벌 변경 수신" 서브 방법의 흐름도를 예시한다. 방법(500)은 다른 웜 프로브에서 보내진 변경을 수신하여 갱신하는 서브방법이다. 방법(500)은 단계(505)에서 시작하여 단계(510)로 진행한다.
단계(510)에서, 방법(500)은 그것이 다른 웜 프로브로부터 글로벌 변경정보를 수신할 때까지 듣고서 기다린다. 단계(515)에서, 방법(500)은 수신된 글로벌 변경 정보가 다른 웜 프로브에 의해 보내진 "글로벌 세팅 변경" 또는 "글로벌 가능한 웜 IP 어드레스 변경"인지를 확인한다. 만약 그것이 "글로벌 세팅 변경" 이라면, 방법은 단계(520)로 진행하고, 그렇지 않으면 방법은 단계(525)로 진행한다.
단계(520)에서, 방법(500)은 웜 프로브 세팅 메모리 테이블에 "글로벌 세팅 변경" 정보를 복사한다. 다음에, 방법은 단계(510)로 되돌아 간다. 단계(525)에서, 방법(500)은 IP 어드레스 침해, ICMP 네트워크 도달-불가능 침해, ICMP 호스트 도달-불가능 침해, ICMP 프로토콜 도달-불가능 침해, 또는 ICMP 포트 도달-불가능 침해에 근거한 글로벌 테이블에서 엔트리 포인트를 선택한다.
단계(530)에서, 방법(500)은 수신된 IP 어드레스가 이미 글로벌 테이블에 있는지를 확인한다. 수신된 IP 어드레스가 이미 글로벌 테이블에 있다면 방법은 단계(550)로 진행하고, 방법은 단계(535)로 진행한다. 단계(535)에서, 그 방법(500)은 소스 IP 어드레스에 대해 시스템 메모리 풀로부터 메모리 구조를 할당하여, 소스 IP 어드레스와 소스 IP 어드레스 누적 카운트를 메모리 구조내로 복사하고, 타임스탬프를 현재 시간으로 설정한다. 다음에 방법(500)은 이러한 메모리 구조를 글로벌 테이블에 삽입하여 분류된 소스 IP 어드레스를 유지한다.
단계(540)에서, 방법(500)은 IP 어드레스 침해, ICMP 네트워크 도달-불가능 침해, ICMP 호스트 도달-불가능 침해, ICMP 프로토콜 도달-불가능 침해, 또는 ICMP 포트 도달-불가능 침해에 근거한 로컬 테이블에서 엔트리 포인트를 선택한다. 단계(545)에서, 방법(500)은 수신된 IP 어드레스가 역시 로컬 테이블에 있는지를 확인한다. 수신된 IP 어드레스가 역시 로컬 테이블에 있다면, 방법은 단계(555)로 진행한다. 그렇지 않으면 방법은 단계(510)로 되돌아 간다.
단계(550)에서, 방법(500)은 수신된 소스 IP 어드레스 누적 카운트를 존재하는 소스 IP 어드레스 엔트리에 추가하여 글로벌 테이블의 타임스탬프를 갱신한다. 단계(555)에서, 방법(500)은 로컬 테이블의 소스 IP 어드레스 누적 카운트를 글로벌 테이블의 새로운 소스 IP 어드레스 엔트리에 추가한다. 단계(560)에서, 방법(500)은 로컬 테이블의 소스 IP 어드레스 누적 카운트를 다른 웜 프로브으로 보낸다. 단계(565)에서, 방법(500)은 소스 IP 어드레스 누적 카운트가 미리 규정된 글로벌 임계값을 초과하는지를 확인한다. 미리 규정된 글로벌 임계값이 초과하지 않으면 방법(500)은 단계(510)로 되돌아가고, 초과하면 방법(500)은 단계(570)로 진행한다. 단계(570)은 방법(200)의 단계(260, 265, 270, 275, 280, 285 및 287)를 이용하여 웜 소스 IP 어드레스를 식별 및 차단한다. 다음에 방법(500)은 단계(510)로 되돌아 간다.
본 발명의 구조는 다음 요소를 포함한다.
*웜 프로브 장비는 스니퍼(Sniffer) 응용 능력을 구비한 LINUX OS에서 구동되는 기가비트 이더넷 NIC와 적어도 1GB RAM을 구비한 인텔 기반의 펜티엄 포 3.0 GHz CPU와 동일한 처리 능력을 갖는 일반적인 목적의 컴퓨터 시스템일 수 있다. 스니퍼 애플리케이션은 컴퓨터 NIC카드가 적재된 네트워크 세그먼트상에 뜨는 모든 데이터 패킷을 감시하는 프로그램 및/또는 장치이다. 모든 웜 프로브 장비는 시간을 UTC(Universal Time Clock)에 동기화하는 NTP(Network Time Protocol) 피어 서비스를 구동하도록 구성되어야 한다. 웜 프로브 애플리케이션은 C언어 형태로 실행될 수 있는 애플리케이션일 수 있다.
*웜 프로브 장비는 보더(border) 라우터, 방화벽, 프록시, VPN 집중기, 침입 검출 시스템(IDS) 및 침입 방지 시스템(IPS) 세그먼트 같은 네트워크에서 거대한 IP 트래픽 부하의 LAN 또는 주요 트래픽 집합 허브 또는 교환 포인트 같은 예를 들 어 회사의 내부 네트워크에 배치된다. 각각의 분리된 네트워크는 거대한 트래픽을 갖는 IP 노드에 배치된 적어도 하나의 프로브 장비를 구비할 수 있다. 거대한 글로벌 네트워크는 네트워크에 배치된 약 한 다스의 웜 프로브를 구비할 것이다.
*회사 내부 네트워크 내에 배치된 라우터는 IANA 예약된 IP 어드레스에 근거한 루우팅 또는 IETF(Internet Engineering Task Force) RFC(Request For Comments)792에 충실해야 한다.
*웜 프로브는 라우터와 통신하고 감염된 컴퓨터 시스템을 차단하기 위해 TACACS방법을 사용한다. TACACS는 라우터 또는 네트워크 액세스 서버로의 액세스를 시도하는 사용자에게 집중된 검증을 제공하는 보안 애플리케이션이다.
도 7은 여기 기술된 기능을 수행하는데 사용되는 일반 목적의 컴퓨터의 고 레벨 요소 블럭도를 도시한다. 도 7에 도시되듯이, 시스템(700)은 프로세서 소자( 702), 예를 들어, RAM 및/또는 ROM과 같은 메모리(704), 식별 및 무력화 TCP/IP 웜 모듈(705), 및 여러 입력/출력 장치(706)(예를 들어, 테이프 드라이브, 플로피 드라이브, 하드디스크 드라이브 또는 컴팩트 디스크 드라이브를 포함하는 저장장치, 수신기, 송신기, 스피커, 디스플레이, 음성 합성기, 출력 포트 및 사용자 입력장치(키보드, 키패드, 마우스 등등 같은))를 포함한다.
본 발명은 예를 들어 어플리캐이션 집적 회로(ASIC), 일반 목적의 컴퓨터 또는 다른 하드웨어 등가물을 이용하여, 하드웨어와 소프트웨어의 조합으로 구현될 수 있다는 것을 알아야 한다. 일 실시예에서, 현재 식별하여 무력화시키는 TCP/IP 엄 모듈 또는 프로세서(702)는 메모리(704)로 적재되어 상기 기능을 구현하도록 프로세서(702)에 의해 실행될 수 있다. 이렇게 본 발명의 현재의 식별 및 무력화시키는 TCP/IP 웜 프로세스(705)(관련된 데이터 구조를 포함하여)는 예를 들어, RAM 메모리, 마그네틱 또는 광학 드라이브 또는 디스켓 등등의 컴퓨터 판독 가능 매체 또는 캐리어상에 저장될 수 있다.
여러 실시예가 위에 기술되었지만, 이것은 오직 예를 통해서 나타났고 이것에만 국한되는 것은 아니라는 것을 알아야 한다. 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명이 속하는 기술분야의 통상의 지식을 가진 당업자라면 본 발명의 원칙이나 정신에서 벗어나지 않으면서 본 실시예를 변형할 수 있음을 알 수 있을 것이다.

Claims (20)

  1. 통신 네트워크에서 잠재된 웜 감염(potential worm infection)을 검출하는 방법에 있어서,
    각 소스 어드레스에 기초하여 도달-불가능한 목적지를 갖는 상기 통신 네트워크를 횡단하는 패킷들을 카운트하는 단계와;
    상기 패킷들의 카운트가 미리 규정된 시간 기간 내에서 상기 소스 어드레스에 대한 미리 규정된 임계값을 초과한 경우 상기 잠재된 웜 감염을 검출하는 단계를 포함하는, 잠재된 웜 감염 검출 방법.
  2. 제 1항에 있어서,
    상기 통신 네트워크 전체에 걸쳐 복수의 웜 브로브들(worm probes)을 배치하는 단계를 더 포함하여, 상기 복수의 웜 프로브들의 각각이 상기 통신 네트워크의 로컬 위치에서 상기 패킷 카운팅을 수행하는, 잠재된 웜 감염 검출 방법.
  3. 제 2항에 있어서,
    상기 로컬 카운트가 상기 소스 어드레스에 대한 미리 규정된 로컬 임계값을 초과한 경우, 상기 복수의 웜 프로브들 중의 하나로부터 상기 복수의 웜 프로브들 중의 나머지로 상기 소스 어드레스 및 연관된 로컬 카운트를 보내는 단계를 더 포함하는, 잠재된 웜 감염 검출 방법.
  4. 제 3항에 있어서,
    글로벌 카운트(global count)가 상기 소스 어드레스에 대한 미리 규정된 글로벌 카운트 임계값을 초과한 경우 상기 소스 어드레스를 갖는 종단 장치로부터의 트래픽을 차단하는 단계를 더 포함하는, 잠재된 웜 감염 검출 방법.
  5. 제 4항에 있어서,
    상기 글로벌 카운트는 상기 복수의 웜 프로브들 중 하나 이상의 웜 프로브로부터의 상기 복수의 로컬 카운트들의 합인, 잠재된 웜 감염 검출 방법.
  6. 제 4항에 있어서,
    상기 차단하는 단계는 상기 소스 어드레스를 갖는 상기 종단 장치에 가장 근접한 라우터 또는 스위치를 식별하는 단계와;
    상기 소스 어드레스를 갖는 상기 종단 장치로부터 발생한 트래픽을 차단하도록 상기 라우터 또는 상기 스위치에 명령을 보내는 단계를 포함하는, 잠재된 웜 감염 검출 방법.
  7. 제 4항에 있어서,
    상기 글로벌 카운트 임계값이 상기 소스 어드레스를 갖는 상기 종단 장치에 의해 초과된 경우 네트워크 관리자에게 알람(alarm)을 보내는 단계를 더 포함하는, 잠재된 웜 감염 검출 방법.
  8. 제 1항에 있어서,
    상기 통신 네트워크는 패킷 네트워크인, 잠재된 웜 감염 검출 방법.
  9. 제 8항에 있어서,
    상기 패킷 네트워크는 인터넷 프로토콜(Internet Protocol; IP) 네트워크인 , 잠재된 웜 감염 검출 방법.
  10. 제 2항에 있어서,
    상기 복수의 웜 프로브들은 상기 통신 네트워크에서의 LAN(Local Area Network) 인터넷 프로토콜(IP) 서브넷과 상기 통신 네트워크에서의 트래픽 허브 중 적어도 하나를 포함하는 위치들에 배치되는, 잠재된 웜 감염 검출 방법.
  11. 제 1항에 있어서,
    상기 패킷들은 인터넷 제어 메세지 프로토콜(Internet Control Message Protocol; ICMP) 타입 3 패킷들인, 잠재된 웜 감염 검출 방법.
  12. 제 1항에 있어서,
    상기 패킷들은 네트워크 도달-불가능한 에러, 호스트 도달-불가능한 에러, 프로토콜 도달-불가능한 에러, 포트 도달-불가능한 에러 및 IANA 예약된 어드레스 공간의 목적지 어드레스를 갖는 IP 패킷 중 적어도 하나에 관련되는 정보를 포함하는 패킷들인, 잠재된 웜 감염 검출 방법.
  13. 제 1항에 있어서,
    상기 미리 규정된 임계값은 매개 변수 X와 매개 변수 Y 중 적어도 하나에 따라 결정되고, 여기서 X = (L/N)-1이고, Y = (L-M)/N이고 L은 상기 통신 네트워크에서 사용 가능한 IP 어드레스들의 전체 수이고, M은 상기 통신 네트워크에서 라이브(live) 시스템을 갖는 IP 어드레스들의 전체 수이고, N은 웜에 의해 침투당할 수 있는 상기 네트워크 내의 IP 어드레스들의 전체 수인, 잠재된 웜 감염 검출 방법.
  14. 복수의 명령들이 저장된 컴퓨터-판독가능한 매체로서, 상기 복수의 명령들은, 프로세서에 의해 실행될 때 상기 프로세서가 통신 네트워크에서 잠재된 웜 감염을 검출하는 방법의 단계들을 수행하게 하는 명령들을 포함하는, 상기 컴퓨터-판독가능한 매체에 있어서, 상기 방법은,
    각 소스 어드레스에 기초하여 도달-불가능한 목적지를 갖는 상기 통신 네트워크를 횡단하는 패킷을 카운트하는 단계와;
    상기 패킷들의 카운트가 미리 규정된 시간 기간내에서 상기 소스 어드레스에 대한 미리 규정된 임계값을 초과하는 경우 상기 잠재된 웜 감염을 검출하는 단계를 포함하는, 컴퓨터-판독가능한 매체.
  15. 제 14항에 있어서,
    상기 통신 네트워크 전체에 걸쳐 복수의 웜 프로브들을 배치하는 것을 더 포함하며, 상기 복수의 웜 프로브들의 각각이 상기 통신 네트워크의 로컬 위치에서 상기 패킷 카운팅을 수행하는, 컴퓨터-판독가능한 매체.
  16. 제 15항에 있어서,
    상기 로컬 카운트가 상기 소스 어드레스에 대한 미리 규정된 로컬 임계값을 초과한 경우, 상기 복수의 웜 프로브들 중의 하나로부터 상기 복수의 웜 프로브들 중의 나머지로 상기 소스 어드레스 및 연관된 로컬 카운트를 보내는 것을 더 포함하는, 컴퓨터-판독가능한 매체.
  17. 제 16항에 있어서,
    글로벌 카운트가 상기 소스 어드레스에 대한 미리 규정된 글로벌 카운트 임계값을 초과한 경우 상기 소스 어드레스를 갖는 종단 장치로부터의 트래픽을 차단하는 것을 더 포함하는, 컴퓨터-판독가능한 매체.
  18. 제 17항에 있어서,
    상기 글로벌 카운트는 상기 복수의 웜 프로브들 중 하나 이상의 프로브에서 상기 복수의 로컬 카운트들의 합인, 컴퓨터-판독가능한 매체.
  19. 제 17항에 있어서,
    상기 차단하는 것은 상기 소스 어드레스를 갖는 상기 종단 장치에 가장 근접한 라우터 또는 스위치를 식별하고;
    상기 소스 어드레스를 갖는 상기 종단 장치로부터 발생한 트래픽을 차단하도록 상기 라우터 또는 상기 스위치에 명령을 보내는 것을 포함하는, 컴퓨터-판독가능한 매체.
  20. 통신 네트워크에서 잠재된 웜 감염을 검출하는 장치에 있어서,
    각 소스 어드레스에 기초하여 도달-불가능한 목적지를 갖는 상기 통신 네트워크를 횡단하는 패킷들을 카운트하는 수단과;
    상기 패킷들의 카운트가 미리 규정된 시간 기간 내에서 상기 소스 어드레스에 대한 미리 규정된 임계값을 초과한 경우 상기 잠재된 웜 감염을 검출하는 수단을 포함하는, 잠재된 웜 감염 검출 장치.
KR1020060041992A 2005-05-10 2006-05-10 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치 KR20060116741A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/125,446 US20060256729A1 (en) 2005-05-10 2005-05-10 Method and apparatus for identifying and disabling worms in communication networks
US11/125,446 2005-05-10

Publications (1)

Publication Number Publication Date
KR20060116741A true KR20060116741A (ko) 2006-11-15

Family

ID=36676496

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060041992A KR20060116741A (ko) 2005-05-10 2006-05-10 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치

Country Status (7)

Country Link
US (1) US20060256729A1 (ko)
EP (1) EP1722535A3 (ko)
JP (1) JP2006319982A (ko)
KR (1) KR20060116741A (ko)
CN (1) CN1968271A (ko)
CA (1) CA2545753A1 (ko)
IL (1) IL175481A0 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101141127B1 (ko) * 2008-04-11 2012-05-07 후아웨이 테크놀러지 컴퍼니 리미티드 동등 계층 네트워크에 접속하기 위해 노드를 제어하기 위한 방법 및 장치

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7958557B2 (en) * 2006-05-17 2011-06-07 Computer Associates Think, Inc. Determining a source of malicious computer element in a computer network
US8646038B2 (en) * 2006-09-15 2014-02-04 Microsoft Corporation Automated service for blocking malware hosts
JP4764810B2 (ja) * 2006-12-14 2011-09-07 富士通株式会社 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム
CN101366237B (zh) * 2007-02-06 2012-07-04 华为技术有限公司 管理恶意软件感染业务流的***和方法
US7933946B2 (en) 2007-06-22 2011-04-26 Microsoft Corporation Detecting data propagation in a distributed system
US9009828B1 (en) * 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
US8943200B2 (en) * 2008-08-05 2015-01-27 At&T Intellectual Property I, L.P. Method and apparatus for reducing unwanted traffic between peer networks
US7987173B2 (en) * 2009-08-25 2011-07-26 Vizibility Inc. Systems and methods of handling internet spiders
US8595830B1 (en) * 2010-07-27 2013-11-26 Symantec Corporation Method and system for detecting malware containing E-mails based on inconsistencies in public sector “From” addresses and a sending IP address
US9607336B1 (en) * 2011-06-16 2017-03-28 Consumerinfo.Com, Inc. Providing credit inquiry alerts
US9967235B2 (en) * 2011-11-14 2018-05-08 Florida Power & Light Company Systems and methods for managing advanced metering infrastructure
US10169575B1 (en) * 2012-03-14 2019-01-01 Symantec Corporation Systems and methods for preventing internal network attacks
US9088606B2 (en) * 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring
FR3035291A1 (fr) * 2015-04-17 2016-10-21 Orange Procede d' emulation dune connexion a chemins multiples
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US10972500B2 (en) * 2015-06-05 2021-04-06 Nippon Telegraph And Telephone Corporation Detection system, detection apparatus, detection method, and detection program
US10079749B2 (en) * 2016-09-09 2018-09-18 Solarwinds Worldwide, Llc Identification of traceroute nodes and associated devices
CN107395643B (zh) * 2017-09-01 2020-09-11 天津赞普科技股份有限公司 一种基于扫描探针行为的源ip保护方法
JP2018038083A (ja) * 2017-11-21 2018-03-08 アライドテレシス株式会社 セキュリティシステム
FR3079987A1 (fr) * 2018-04-06 2019-10-11 Orange Procede de traitement d'une transaction entre un terminal source et un terminal destinataire, systeme de services bancaires, terminal et programme d'ordinateur correspondants.
WO2020054818A1 (ja) * 2018-09-14 2020-03-19 株式会社 東芝 通信制御装置
CN112019520B (zh) * 2020-08-07 2022-08-16 广州华多网络科技有限公司 请求拦截方法、装置、设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040064737A1 (en) * 2000-06-19 2004-04-01 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of polymorphic network worms and viruses
US8438241B2 (en) * 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
US20050033989A1 (en) * 2002-11-04 2005-02-10 Poletto Massimiliano Antonio Detection of scanning attacks
JP2004164107A (ja) * 2002-11-11 2004-06-10 Kddi Corp 不正アクセス監視システム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101141127B1 (ko) * 2008-04-11 2012-05-07 후아웨이 테크놀러지 컴퍼니 리미티드 동등 계층 네트워크에 접속하기 위해 노드를 제어하기 위한 방법 및 장치

Also Published As

Publication number Publication date
IL175481A0 (en) 2006-09-05
CA2545753A1 (en) 2006-11-10
CN1968271A (zh) 2007-05-23
EP1722535A3 (en) 2007-05-30
US20060256729A1 (en) 2006-11-16
JP2006319982A (ja) 2006-11-24
EP1722535A2 (en) 2006-11-15

Similar Documents

Publication Publication Date Title
KR20060116741A (ko) 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치
EP2127313B1 (en) A containment mechanism for potentially contaminated end systems
Srivastava et al. A recent survey on DDoS attacks and defense mechanisms
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
JP4545647B2 (ja) 攻撃検知・防御システム
US20050050353A1 (en) System, method and program product for detecting unknown computer attacks
Haris et al. Detecting TCP SYN flood attack based on anomaly detection
US7917957B2 (en) Method and system for counting new destination addresses
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
Kessler Defenses against distributed denial of service attacks
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
WO2003050644A2 (en) Protecting against malicious traffic
Al-Shareeda et al. Sadetection: Security mechanisms to detect slaac attack in ipv6 link-local network
EP1461704B1 (en) Protecting against malicious traffic
Hooper An intelligent detection and response strategy to false positives and network attacks
Haggerty et al. Beyond the perimeter: the need for early detection of denial of service attacks
WO2005065023A2 (en) Internal network security
Mitrokotsa et al. Denial-of-service attacks
Keromytis et al. Designing firewalls: A survey
Kamal et al. Analysis of network communication attacks
Zhang et al. Internet-scale malware mitigation: combining intelligence of the control and data plane
Akhil et al. Distributed Denial of Service (DDoS) Attacks and Defence Mechanism
Hashmi et al. Intrusion Prevention System based Defence Techniques to manage DDoS Attacks
KR20080069322A (ko) 공격지식기반의 네트워크 트래픽 분석 및 감시 방법

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid