JP5153779B2 - 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 - Google Patents
1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 Download PDFInfo
- Publication number
- JP5153779B2 JP5153779B2 JP2009534615A JP2009534615A JP5153779B2 JP 5153779 B2 JP5153779 B2 JP 5153779B2 JP 2009534615 A JP2009534615 A JP 2009534615A JP 2009534615 A JP2009534615 A JP 2009534615A JP 5153779 B2 JP5153779 B2 JP 5153779B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- target victim
- filter
- domain name
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 39
- 230000014509 gene expression Effects 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000001914 filtration Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 230000000903 blocking effect Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000153 supplemental effect Effects 0.000 description 2
- 238000006424 Flood reaction Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、パケットベースの通信ネットワークのコンピュータ・セキュリティ技法に関し、より具体的には、そのようなパケットベースのネットワークでの、サービス拒否攻撃および他の悪意のある攻撃などの望まれないトラフィックを検出し、告発する方法および装置に関する。
サービス拒否DoS攻撃は、コンピュータ・リソースをその所期のユーザから使用不能にすることを試みる。たとえば、ウェブ・サーバに対するDoS攻撃は、しばしば、ホスティングされるウェブ・ページを使用不能にする。
DoS攻撃は、限られたリソースが正当なユーザではなく攻撃者に割り振られる必要がある時に、かなりのサービス妨害を引き起こし得る。攻撃する機械は、通常、攻撃のターゲット犠牲者に向けられた多数のインターネット・プロトコルIPパケットをインターネットを介して送信することによって、損害を与える。たとえば、DoS攻撃は、ネットワークを「氾濫させ」、これによって、正当なネットワーク・トラフィックを妨げる試み、またはサーバが処理できるものより多数の要求を送信し、これによって1つまたは複数のサーバへのアクセスを妨げることによってサーバを一時不通にする試みを含み得る。
複数の技法が、そのようなサービス拒否攻撃に対して防御するために提案され、または提唱されてきた。たとえば、米国特許出願第11/197,842号、名称「Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self−Identification and Control」および米国特許出願第11/197,841号、名称「Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs」に、DoS攻撃を検出し、告発する技法が開示されている。
そのようなサービス拒否攻撃に対して防御するシステムは、通常、2つのモードのうちの1つで動作する。ゾーンが「デフォルトドロップ」モードである時に、デフォルト挙動は、デフォルトドロップに明示的にリストされたトラフィックを除くそのゾーン宛のすべてのトラフィックをフィルタリングすることである。一般に、デフォルトドロップ・モードでは、フィルタは、明示的に許可され(たとえば、事前定義の許可フィルタと一致し)ない限り、すべてのトラフィックを自動的に捨てる。その一方で、ゾーンがデフォルトアロウモードである時に、事前定義のドロップ・フィルタと明示的に一致するトラフィックを除いて、加入者へのすべてのトラフィックが、フィルタによって渡される。
自動化された検出アルゴリズムを基礎としてクライアントをブロックすることに関する動作上の問題の1つは、それらが、価値を有するか他の形でブロッキングから除外されなければならないトラフィックをブロックする場合があることである。たとえば、企業は、価値を有し、ブロッキングから除外されなければならない、ある種の顧客またはインデクシング・ロボットなどのある種のサード・パーティ・サービスからのトラフィックをブロックすることを望まない場合がある。しかし、すべてのそのようなクライアントのIPアドレスのリストを維持することは、そのリストが、ネットワーク・プロバイダ変更などのディテクタで知ることのできないイベントに基づいて変化する場合があるので、実現不可能であることがわかっている。
したがって、自動化された検出アルゴリズムに起因するトラフィックのブロックを選択的にオーバーライドする方法および装置の必要が存在する。
一般に、自動化された検出アルゴリズムに起因するトラフィックのブロックを選択的にオーバーライドする方法および装置が提供される。本発明の一態様によれば、ターゲット犠牲者は、ターゲット犠牲者へのパケットの送信が制限される、捨てられる、または許可されるうちの1つまたは複数にならなければならない少なくとも1つのソース・コンピューティング・デバイスのソース・アドレスを識別する中央フィルタを維持するステップと、ターゲット犠牲者へのパケットの送信が中央フィルタ内のエントリに関わりなくターゲット犠牲者に送信されなければならない1つまたは複数のソース・コンピューティング・デバイスを識別する少なくとも1つの正規表現をリストするオーバーライド・フィルタを維持するステップと、中央フィルタが、受信された少なくとも1つのパケットが少なくとも1つのソース・コンピューティング・デバイスから受信されることを示す場合に、ソース・アドレスをドメイン・ネーム・サービス・フォーマットのアドレスに変換するステップと、ドメイン・ネーム・サービス・フォーマットがオーバーライド・フィルタ内に現れる正規表現を満足する場合にターゲット犠牲者に少なくとも1つのパケットを送信するステップとによって悪意のある攻撃またはサービス拒否攻撃などの望まれないトラフィックに対して保護することができる。
ソース・アドレスを、たとえば逆DNSルックアップを実行することによって、ドメイン・ネーム・サービス・フォーマットのアドレスに変換することができる。正規表現を、たとえば、1つまたは複数のワイルドカード・フィールドを含むドメイン・ネーム・サービス・フォーマット・マスクとすることができる。
本発明のより完全な理解ならびに本発明のさらなる特徴および利益は、次の詳細な説明および図面を参照することによって得られる。
本発明は、1つまたは複数のパケット・ネットワーク内で、サービス拒否攻撃などの悪意のある攻撃の告発をオーバーライドする方法および装置を提供する。一般に、ディテクタが告発を行おうとする時に、逆DNSルックアップが、ソース・アドレスに対して実行されて、名前がproxy*.isp.comまたは*.searchenginebot.comなどのある種の事前に構成された正規表現と一致するかどうかを調べる。この形で、DNSルックアップは、ディテクタが分析しているログのアドレスごとに必要ではなくなる。
図1に、本発明が動作できるネットワーク環境100を示す。図1に示されているように、企業ネットワーク150は、図3に関して下でさらに説明するディテクタ140を使用して、悪意のある攻撃に対してそれ自体を保護する。企業ネットワーク150は、企業ユーザが、サービス・プロバイダ・ネットワーク120によってインターネットまたは別のネットワークにアクセスすることを可能にする。サービス・プロバイダ・ネットワーク120は、企業ネットワーク150のユーザにサービスを提供し、入ポート115によってさまざまなソースからパケットを受信し、これらを企業ネットワーク150内の示された宛先に送信する。
1つの例示的実施形態で、ディテクタ140は、図2に関して下でさらに述べる中央フィルタ200と協力して、悪意のある攻撃からそれ自体を保護する。一般に、下でさらに述べるように、ディテクタ140は、企業ネットワーク150に対する、サービス拒否攻撃などの悪意のある攻撃を検出し、サービス・プロバイダによって維持される中央フィルタ200に通知する。
中央フィルタ200は、サービス・プロバイダ・ネットワーク120によって企業ネットワーク150に達するトラフィックを制限するように働く。ディテクタ140は、通常、企業ネットワーク150のファイヤウォールの背後にあり、ディテクタ140は、通常、告発メッセージをISPの中央フィルタ200に送信する。ディテクタ140および中央フィルタ200は、本発明の特徴および機能を提供するように本明細書で変更される、米国特許出願第11/197,842号、名称「Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks by Target Victim Self−Identification and Control」および米国特許出願第11/197,841号、名称「Method and Apparatus for Defending Against Denial of Service Attacks in IP Networks Based on Specified Source/Destination IP Address Pairs」に基づいて実施することができる。
ディテクタ140は、サービス拒否攻撃が企業ネットワーク150に対して行われつつあると判定した時に、1つまたは複数のソース/宛先IPアドレス対を中央フィルタ200に送信し、このソース/宛先IPアドレス対は、サービス・プロバイダ・ネットワーク120に、そのソースIPアドレスおよび宛先IPアドレスが送信されたソース/宛先IPアドレス対のいずれかのソースIPアドレスおよび宛先IPアドレスと一致するIPパケットの送信を制限させ(たとえば、ブロックさせるかレート制限させる)、これによって、企業ネットワーク150内の攻撃犠牲者への1つまたは複数のソース・デバイス110からのサービス拒否攻撃を制限する(または除去する)。ディテクタ140は、任意選択で、冗長接続135または主接続130の使用を伴って、ソース/宛先IPアドレス対を送信する。
したがって、開示されるシステムは、サービス拒否攻撃の犠牲者が、攻撃者をそのサービス・プロバイダに告発することによって「押し戻す」ことを可能にし、このサービス・プロバイダは、これに応答して、ブロックされなければならないソース/宛先IPアドレス対のテーブルを更新する。より具体的には、攻撃が行われつつあることを認識した時に、犠牲者(企業ネットワーク150)は、攻撃の一部と思われるパケットで指定されるソースIPアドレスおよび宛先IPアドレスの1つまたは複数の対を識別し、中央フィルタ200によるブロックのためにこれらのIPアドレス対をサービス・プロバイダに通信する。
図1に示されているように、加入者(企業ネットワーク150)宛のパケットは、一般に「よい」トラフィックおよび「悪い」トラフィックに対応するクラスに分類される。たとえば、それぞれ、カテゴリA 105−Aからのよいトラフィックは、配送され(許可され)、カテゴリB 105−BおよびカテゴリN 105−Nからの悪いトラフィックは、それぞれレート制限されるか捨てられる。企業ネットワーク150に関連する宛先アドレスにトラフィックを送信するソース・コンピューティング・デバイス110は、N個の例示的カテゴリのうちの1つに分類される。告発は、よいトラフィックと悪いトラフィックとの間の境界をシフトする。
ある種の例示的実施形態によれば、攻撃者(すなわち、1つまたは複数の識別されたソースIPアドレス)は、ネットワークから完全に排除される必要があるのではなく、パケットを犠牲者(すなわち、1つまたは複数の識別された宛先IPアドレス)に送信することだけを禁じられ得ることに留意されたい。これは、特に、1つまたは複数の指定されたソースIPアドレスが、犠牲者に対する所与の攻撃のために乗っ取られた正当なユーザ(たとえば、ゾンビ)を表す場合に、有利である場合がある。したがって、乗っ取られた機械の所有者は、正当な目的にそのシステムを使用し続けることができるが、犠牲者に対して行われる攻撃(おそらくは、正当なユーザに未知の)は、それでも、有利に阻まれる。さらに、そのような例示的実施形態による技法が、所与の犠牲者による攻撃者の過度に熱心な識別からの保護をも有利に提供することに留意されたい。本発明の原理によれば、攻撃の識別は、明白な犠牲者の裁量に一任されるので、所与の犠牲者へのトラフィックだけが排除されまたは制限されていることが、明らかに有利である。
悪意のある攻撃を、変化する度合の単純さまたは洗練を有する1つまたは複数のアルゴリズムによって、犠牲者によって認識することができ、これらのアルゴリズムは、本発明の範囲の外であるが、多数のアルゴリズムが、当業者に明白であろう。たとえば、本発明の1つの例示的実施形態によれば、アプリケーション・ログを検査することができ、攻撃を、単一の識別されたソースまたは複数の識別されたソースのいずれかからの非常に高いトラフィック・レベル(たとえば、高いパケット・レート)の存在だけに基づいて識別することができる。これが、サービス拒否攻撃の存在を識別する1つの従来の方法であり、当業者に馴染みのあるものであろうことに留意されたい。
しかし、他の実施態様では、パケット内容のアプリケーション・ベースの分析を実行して、たとえば、存在しないデータベース要素の頻繁なデータベース検索があったことを認識すること、1人の人が開始できるレートより高いレートで発生する、一見人間からの複数の要求があったことを認識すること、構文的に無効な要求を識別すること、および通常に発生するアクティビティの動作での特に敏感な時刻でのトラフィックの疑わしい量を識別することなど、疑わしい性質を有するパケットまたはパケットのシーケンスを識別することができる。後者のクラスの疑わしいパケットの例は、たとえば、株式取引ウェブ・サイトが、差し迫った株取引中の敏感な時に特に破壊的なトラフィックに気付く場合に、識別することができる。さらなる変形では、たとえば上で説明した状況のうちの1つまたは複数を含めることができる可能な攻撃の複数の異なるしるしを、より洗練された分析で有利に組み合わせて、攻撃の存在を識別することができる。
図2は、本発明のプロセスを実施できる、図1の中央フィルタ・システム200の概略ブロック図である。図2に示されているように、メモリ230は、本明細書で開示されるサービス拒否フィルタリングの方法、ステップ、および機能を実施するようにプロセッサ220を構成する。メモリ230は、分散させまたはローカルとすることができ、プロセッサ220は、分散させまたは単一とすることができる。メモリ230は、電気メモリ、磁気メモリ、もしくは光学メモリ、またはこれらの任意の組合せ、あるいは他のタイプのストレージ・デバイスとして実施することができる。プロセッサ220を構成する各分散プロセッサが、一般に、それ自体のアドレス可能メモリ空間を含むことに留意されたい。コンピュータ・システム200の一部またはすべてを、特定用途向け集積回路または汎用集積回路に組み込むことができることにも留意されたい。
図2に示されているように、例示的なメモリ230は、それぞれ図3から5までに関して下でさらに述べる、サービス拒否フィルタ・ルール・ベース300、フィルタ・オーバーライド・データベース400、および1つまたは複数のサービス拒否フィルタリング・プロセス500を含む。一般に、サービス拒否フィルタ・ルール・ベース300は、中央フィルタ200によって制限されまたは許可されなければならないトラフィックに関連するソース/宛先アドレス対を含む従来のフィルタ・ベースである。フィルタ・オーバーライド・データベース400は、サービス拒否フィルタ・ルール・ベース300内の1つまたは複数の告発をオーバーライドすることを可能にする、proxy*.isp.comまたは*.searchenginebot.comなどの1つまたは複数の事前に構成された正規表現を含む。サービス拒否フィルタリング・プロセス500は、本発明の告発オーバーライド特徴によるサービス拒否攻撃または他の攻撃に対して防御する例示的方法である。
中央フィルタ200を、サービス・プロバイダ・ネットワーク120に含まれる独立型ボックスとして、またはその代わりに、ネットワーク120内に既に存在する他の点では通常のネットワーク要素に組み込まれた回線カードとして、実施することができる。さらに、ある種の例示的実施形態によれば、中央フィルタ200を、ネットワーク120内で攻撃起点に相対的に近い位置にキャリアによって有利に展開することができ、あるいは、中央フィルタ200を、当初に、プレミアム・カスタマを攻撃から有利に防御するように配置することができる。
図3は、図2のサービス拒否フィルタ・ルール・ベース300からのサンプルのテーブルである。上で示したように、サービス拒否フィルタ・ルール・ベース300は、通常、中央フィルタ200によって制限されまたは許可されなければならないトラフィックに関連するソース/宛先アドレス対を含む従来のフィルタ・ベースとして実施される。
上で示したように、そのようなサービス拒否攻撃に対して防御するシステムは、通常、2つのモードのうちの1つで動作する。「デフォルトドロップ」モードでは、デフォルト挙動は、サービス拒否フィルタ・ルール・ベース300に明示的にリストされたトラフィックを除く、ゾーン宛のすべてのトラフィックをフィルタリングする。その一方で、デフォルトアロウ・モードでは、サービス拒否フィルタ・ルール・ベース300内の事前定義のドロップ・フィルタと明示的に一致するトラフィックを除く、加入者へのすべてのトラフィックが、フィルタ200によって渡される。したがって、図3に示されているように、例示的なサービス拒否フィルタ・ルール・ベース300は、ユーザが、デフォルト・モードがトラフィックを捨てることまたは許可することのどちらであるかを指定することを可能にする任意選択のボタン選択310を含む。図3に示された例示的実施態様では、サービス拒否フィルタ・ルール・ベース300は、例示的な「デフォルトアロウ」モード用に構成され、加入者へのトラフィックは、サービス拒否フィルタ・ルール・ベース300内の事前定義のドロップ・フィルタと明示的に一致するトラフィックを除いて、フィルタ200によって渡される。
図3に示された例示的実施態様では、サービス拒否フィルタ・ルール・ベース300は、ソース/宛先アドレス対と、各リストされたソース/宛先アドレス対の間のすべてのトラフィックについて実行されなければならない任意選択の示されたアクションから構成される。
中央フィルタ200のフィルタリング機構の動作を、潜在的に多数(たとえば、数百万個)の非常に単純なルールに基づいて動作することを除いて、従来のファイヤウォールの動作に類似するものとすることができることに留意されたい。具体的に言うと、ルールを、「if the source IP address of a given packet is a.b.c.d and the destination IP address of the packet is w.x.y.z, then block (i.e., drop) the packet(所与のパケットのソースIPアドレスがa.b.c.dであり、そのパケットの宛先IPドレスがw.x.y.zである場合に、そのパケットをブロックせよ(すなわち、捨てよ))」の形で表すことができる。
所与のソースIPアドレスおよび宛先IPアドレスを有するパケットの送信を禁ずるのではなく、中央フィルタ200は、そのようなパケットの優先順位を下げることができる。すなわち、フィルタリング機構は、そのようなパケットに低いルーティング優先順位を割り当てるか、そのようなパケットに対するパケット・レート制限を強制するかのいずれかを行うことができる。どちらの場合でも、所与のソースIPアドレスおよび宛先IPアドレスを有するパケットは、トラフィックに対するかなりの影響を有することができなくなり、したがって、もはや犠牲者に対する成功のサービス拒否攻撃をもたらさない。
図4は、図2のフィルタ・オーバーライド・データベース400からのサンプルのテーブルである。フィルタ・オーバーライド・データベース400は、サービス拒否フィルタ・ルール・ベース300内の1つまたは複数の告発をオーバーライドすることを可能にする、proxy*.isp.comまたは*.searchenginebot.comなどの1つまたは複数の事前に構成された正規表現を含む。図4に示された例示的実施態様では、フィルタ・オーバーライド・データベース400は、例示的な「デフォルトアロウ」モード用に構成され、サービス拒否フィルタ・ルール・ベース300にリストされた例示的なドロップ・フィルタを、フィルタ・オーバーライド・データベース400にリストされた1つまたは複数のマスクによってオーバーライドできるようになっている。図4に示された正規表現を使用できる形は、下で図5に関してさらに述べる。
図5は、本発明の特徴を組み込んだサービス拒否フィルタリング・プロセスの例示的実施態様を説明する流れ図である。例示的なサービス拒否フィルタリング・プロセス500が、「デフォルトアロウ」モード用に実施されることに留意されたい。「デフォルトドロップ」モード用の実施態様は、当業者にすぐに明白になるであろう。一般に、サービス拒否フィルタリング・プロセス500は、サービス拒否攻撃または他の攻撃に対して防御する例示的方法であり、本発明の告発オーバーライド特徴を実施する。例示的なサービス拒否フィルタリング・プロセス500は、中央フィルタ200で実行され、ステップ510中に、サービス拒否攻撃が企業ネットワーク150内の所与のターゲット犠牲者に対して行われつつあることの表示をディテクタ140から受信することによって開始される。
その後、ステップ520中に、ネットワーク・キャリアが、サービス拒否攻撃を阻むためにブロックされなければならないIPパケットを表す1つまたは複数のソース/宛先IPアドレス対をディテクタ140から受信する。実例として、ソースIPアドレスは、攻撃する(たとえば、「ゾンビ」)コンピューティング・デバイス110のアドレスであり、宛先IPアドレスは、ターゲット犠牲者自体に関連するアドレスである。
次に、ネットワーク・キャリアは、ステップ530中に、そのソースIPアドレスおよび宛先IPアドレスが受信されたソース/宛先IPアドレス対のソースIPアドレスおよび宛先IPアドレスと一致するIPパケットを識別するために、IPパケット・トラフィックを監視する。ステップ540中にテストを実行して、1つまたは複数のパケットが、サービス拒否フィルタ・ルール・ベース300内のアドレス対と一致するかどうかを判定する。
ステップ540中に、1つまたは複数のパケットがサービス拒否フィルタ・ルール・ベース300内のアドレス対と一致すると判定される場合には、ステップ545中に、ソースIPアドレスに対して逆DNSルックアップを実行する。逆DNSルックアップは、ソースIPアドレスに関連する、通常は既知のドメイン・ネーム・サービスDNSフォーマットの、フル・アドレスを返す。本明細書で使用される時に、ドメイン・ネーム・サービス・フォーマットは、IPパケット・アドレスまたは他のパケット・アドレスのすべてのドメイン・ネーム表現を含まなければならない。
ステップ550中にさらなるテストを実行して、DNSエントリがオーバーライド・データベース400内のマスクを満足するかどうかを判定する。ステップ550中に、DNSエントリがオーバーライド・データベース400内のマスクを満足すると判定される場合には、パケットを捨てまたは制限してはならず(サービス拒否フィルタ・ルール・ベース300での出現にもかかわらず)、プログラム制御は、下で述べるステップ570に進む。しかし、ステップ550中に、DNSエントリがオーバーライド・データベース400内のマスクを満足しないと判定される場合には、ネットワーク・キャリアの中央フィルタ200が、識別されたIPパケットをブロックし、これによってターゲット犠牲者に対するサービス拒否攻撃を阻む。
ステップ540中に、1つまたは複数のパケットがサービス拒否フィルタ・ルール・ベース300内のアドレス対と一致しないと判定された場合、または、ステップ550中に、DNSエントリがオーバーライド・データベース400内のマスクを満足しないと判定された場合に、パケットは、企業ネットワーク150への送信を許可される。
サービス拒否フィルタリング・プロセス500の「デフォルトドロップ」実施態様では、中央フィルタ200は、リストされたソース・デバイスがサービス拒否フィルタ・ルール・ベース300内に明示的に現れない場合であっても、フィルタ・オーバーライド・データベース400にリストされたすべてのソース・デバイスからのパケットを渡す。
例示的実施形態では中央フィルタ200によって実行されるものとして示されるが、当業者に明白であるように、本発明の告発オーバーライド特徴を、同様に、ディテクタ140によって実行することができることに、さらに留意されたい。
本発明は、1つまたは複数の補足ツールと共に働くことができる。たとえば、そのようなツールに、活用されるサービス拒否攻撃の認識のためのインターネット・サーバ・プラグイン、さまざまなIDSシステム(侵入検出システム)へのリンク、ネットワーク診断用のデータベース(上の議論を参照されたい)、および所与のキャリアのインフラストラクチャ内のザッパ機能性の配置に関するガイダンスを提供する方法を含めることができる。これら補足ツールのうちのさまざまなツールを提供する本発明の例示的実施形態は、本明細書の開示に鑑みて、当業者に明白であろう。
システムおよび製造品の詳細
当技術分野で既知のとおり、本明細書で述べた方法および装置を、コンピュータ可読コード手段がその上で実施されたコンピュータ可読媒体をそれ自体が含む製造品として配布することができる。コンピュータ可読プログラム・コード手段は、コンピュータ・システムと共に、本明細書で述べた方法を実行するステップの一部またはすべてを実行するか本明細書で述べた装置を作成するように動作可能である。コンピュータ可読媒体は、記録可能媒体(たとえば、フロッピ・ディスク、ハード・ドライブ、コンパクト・ディスク、メモリ・カード、半導体デバイス、チップ、特定用途向け集積回路ASIC)とすることができ、あるいは伝送媒体(たとえば、光ファイバ、ワールド・ワイド・ウェブ、ケーブル、または時分割多元接続、符号分割多元接続もしくは他の無線周波数チャネルを使用する無線チャネルを含むネットワーク)とすることができる、コンピュータ・システムと共に使用するのに適切な情報を格納できる既知のまたはこれから開発されるすべての媒体を使用することができる。コンピュータ可読コード手段は、磁気媒体上の磁気変動またはコンパクト・ディスクの表面上の高さ変動など、コンピュータが命令およびデータを読み取ることを可能にするすべての機構である。
当技術分野で既知のとおり、本明細書で述べた方法および装置を、コンピュータ可読コード手段がその上で実施されたコンピュータ可読媒体をそれ自体が含む製造品として配布することができる。コンピュータ可読プログラム・コード手段は、コンピュータ・システムと共に、本明細書で述べた方法を実行するステップの一部またはすべてを実行するか本明細書で述べた装置を作成するように動作可能である。コンピュータ可読媒体は、記録可能媒体(たとえば、フロッピ・ディスク、ハード・ドライブ、コンパクト・ディスク、メモリ・カード、半導体デバイス、チップ、特定用途向け集積回路ASIC)とすることができ、あるいは伝送媒体(たとえば、光ファイバ、ワールド・ワイド・ウェブ、ケーブル、または時分割多元接続、符号分割多元接続もしくは他の無線周波数チャネルを使用する無線チャネルを含むネットワーク)とすることができる、コンピュータ・システムと共に使用するのに適切な情報を格納できる既知のまたはこれから開発されるすべての媒体を使用することができる。コンピュータ可読コード手段は、磁気媒体上の磁気変動またはコンパクト・ディスクの表面上の高さ変動など、コンピュータが命令およびデータを読み取ることを可能にするすべての機構である。
本明細書で説明したコンピュータ・システムおよびサーバのそれぞれは、本明細書で開示される方法、ステップ、および機能を実施するように関連するプロセッサを構成するメモリを含む。メモリは、分散させまたはローカルとすることができ、プロセッサは、分散させまたは単一とすることができる。メモリは、電気メモリ、磁気メモリ、もしくは光学メモリ、またはこれらの任意の組合せ、あるいは他のタイプのストレージ・デバイスとして実施することができる。さらに、用語「メモリ」は、関連するプロセッサによってアクセスされるアドレス可能空間内のアドレスから読み取るかこれに書き込むことができるすべての情報を含むのに十分に広義に解釈されなければならない。この定義を用いると、ネットワーク上の情報は、それでもメモリ内にある。というのは、関連するプロセッサが、ネットワークから情報を取り出すことができるからである。
図示され本明細書で説明された実施形態および変形形態が、単に本発明の原理を示すものであることと、本発明の範囲および趣旨から逸脱せずに当業者がさまざまな変更を実施できることとを理解されたい。
Claims (10)
- ターゲット犠牲者によって受信される望まれないトラフィックに対して防御する方法であって、該ターゲット犠牲者が、1つ又は複数の宛先アドレスを有し、該方法が、
該ターゲット犠牲者へのパケットの送信が制限される、捨てられる、又は許可されるうちの1つ又は複数にならなければならない少なくとも1つのソース・コンピューティング・デバイスのソース・アドレスを識別する中央フィルタを維持するステップと、
該ターゲット犠牲者へのパケットの送信が該中央フィルタ内のエントリに関わりなく該ターゲット犠牲者に送信されなければならない1つ又は複数のソース・コンピューティング・デバイスを識別する少なくとも1つの正規表現をリストするオーバーライド・フィルタを維持するステップと、
該中央フィルタが、少なくとも1つの受信されたパケットが該少なくとも1つのソース・コンピューティング・デバイスから受信されることを示す場合に、該ソース・アドレスをドメイン・ネーム・サービス・フォーマットのドメイン・ネーム・アドレスに変換するステップと、
該ドメイン・ネーム・サービス・フォーマットの該変換されたドメイン・ネーム・アドレスが該オーバーライド・フィルタ内に現れる正規表現を満足する場合に該ターゲット犠牲者に該少なくとも1つの受信されたパケットを送信するステップとを含む方法。 - 請求項1に記載の方法において、
該中央フィルタ内の該ソース・アドレスが、該中央フィルタの構成中に、望まれないトラフィックが受信されつつあることを示す該ターゲット犠牲者に関連するディテクタ又は該ターゲット犠牲者のうちの1つ又は複数から受信される方法。 - 請求項1に記載の方法において、
該変換するステップが、逆DNSルックアップを実行するステップを含む方法。 - 請求項1に記載の方法において、
該正規表現が、1つ又は複数のワイルドカード・フィールドを含むドメイン・ネーム・サービス・マスクである方法。 - 請求項1に記載の方法において、
該望まれないトラフィックが、悪意のある攻撃又はサービス拒否攻撃を含む方法。 - ターゲット犠牲者によって受信される望まれないトラフィックに対して防御する装置であって、該ターゲット犠牲者が、1つ又は複数の宛先アドレスを有し、該装置が、
メモリと、
該メモリに結合され、
該ターゲット犠牲者へのパケットの送信が制限される、捨てられる、又は許可されるうちの1つ又は複数にならなければならない少なくとも1つのソース・コンピューティング・デバイスのソース・アドレスを識別する中央フィルタを維持し、
該ターゲット犠牲者へのパケットの送信が該中央フィルタ内のエントリに関わりなく該ターゲット犠牲者に送信されなければならない1つ又は複数のソース・コンピューティング・デバイスを識別する少なくとも1つの正規表現をリストするオーバーライド・フィルタを維持し、
該中央フィルタが、少なくとも1つの受信されたパケットが該少なくとも1つのソース・コンピューティング・デバイスから受信されることを示す場合に、該ソース・アドレスをドメイン・ネーム・サービス・フォーマットのドメイン・ネーム・アドレスに変換し、
該ドメイン・ネーム・サービス・フォーマットの該変換されたドメイン・ネーム・アドレスが該オーバーライド・フィルタ内に現れる正規表現を満足する場合に該ターゲット犠牲者に該少なくとも1つの受信されたパケットを送信するように動作可能な少なくとも1つのプロセッサとを含む装置。 - 請求項6に記載の装置において、
該中央フィルタ内の該ソース・アドレスが、該中央フィルタの構成中に、望まれないトラフィックが受信されつつあることを示す該ターゲット犠牲者に関連するディテクタ又は該ターゲット犠牲者のうちの1つ又は複数から受信される装置。 - 請求項6に記載の装置において、
該ソース・アドレスが、逆DNSルックアップを実行することによってドメイン・ネーム・サービス・フォーマットのアドレスに変換される装置。 - 請求項6に記載の装置において、
該正規表現が、1つ又は複数のワイルドカード・フィールドを含むドメイン・ネーム・サービス・フォーマット・マスクである装置。 - 請求項6に記載の装置において、
該望まれないトラフィックが、悪意のある攻撃又はサービス拒否攻撃を含む装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/592,725 US20080109902A1 (en) | 2006-11-03 | 2006-11-03 | Methods and apparatus for overriding denunciations of unwanted traffic in one or more packet networks |
| US11/592,725 | 2006-11-03 | ||
| PCT/US2007/022444 WO2008133644A2 (en) | 2006-11-03 | 2007-10-23 | Method and apparatus for overriding denunciations of unwanted traffic in one or more packet networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010507871A JP2010507871A (ja) | 2010-03-11 |
| JP5153779B2 true JP5153779B2 (ja) | 2013-02-27 |
Family
ID=39361202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009534615A Expired - Fee Related JP5153779B2 (ja) | 2006-11-03 | 2007-10-23 | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20080109902A1 (ja) |
| EP (1) | EP2105004A2 (ja) |
| JP (1) | JP5153779B2 (ja) |
| KR (1) | KR101118398B1 (ja) |
| CN (1) | CN101536456A (ja) |
| WO (1) | WO2008133644A2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8380870B2 (en) * | 2009-08-05 | 2013-02-19 | Verisign, Inc. | Method and system for filtering of network traffic |
| US8797866B2 (en) * | 2010-02-12 | 2014-08-05 | Cisco Technology, Inc. | Automatic adjusting of reputation thresholds in order to change the processing of certain packets |
| US8726357B2 (en) | 2011-07-01 | 2014-05-13 | Google Inc. | System and method for tracking network traffic of users in a research panel |
| WO2013116918A1 (en) * | 2012-02-10 | 2013-08-15 | Irdeto Canada Corporation | Method and apparatus for program flow in software operation |
| US9674053B2 (en) | 2015-01-30 | 2017-06-06 | Gigamon Inc. | Automatic target selection |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7051365B1 (en) * | 1999-06-30 | 2006-05-23 | At&T Corp. | Method and apparatus for a distributed firewall |
| WO2001038999A1 (en) * | 1999-11-23 | 2001-05-31 | Escom Corporation | Electronic message filter having a whitelist database and a quarantining mechanism |
| EP1132797A3 (en) * | 2000-03-08 | 2005-11-23 | Aurora Wireless Technologies, Ltd. | Method for securing user identification in on-line transaction systems |
| JP2003333084A (ja) * | 2002-05-09 | 2003-11-21 | Matsushita Electric Ind Co Ltd | パケットフィルタリングルール設定方法 |
| US7464404B2 (en) * | 2003-05-20 | 2008-12-09 | International Business Machines Corporation | Method of responding to a truncated secure session attack |
| US7409707B2 (en) * | 2003-06-06 | 2008-08-05 | Microsoft Corporation | Method for managing network filter based policies |
| JP2006067314A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | アクセス制御リスト生成装置およびアクセス制御リスト生成方法 |
| US8185955B2 (en) * | 2004-11-26 | 2012-05-22 | Telecom Italia S.P.A. | Intrusion detection method and system, related network and computer program product therefor |
| WO2006090392A2 (en) * | 2005-02-24 | 2006-08-31 | Rsa Security Inc. | System and method for detecting and mitigating dns spoofing trojans |
| US8533822B2 (en) * | 2006-08-23 | 2013-09-10 | Threatstop, Inc. | Method and system for propagating network policy |
-
2006
- 2006-11-03 US US11/592,725 patent/US20080109902A1/en not_active Abandoned
-
2007
- 2007-10-23 WO PCT/US2007/022444 patent/WO2008133644A2/en not_active Ceased
- 2007-10-23 CN CNA2007800407073A patent/CN101536456A/zh active Pending
- 2007-10-23 EP EP07874085A patent/EP2105004A2/en not_active Withdrawn
- 2007-10-23 JP JP2009534615A patent/JP5153779B2/ja not_active Expired - Fee Related
- 2007-10-23 KR KR1020097009120A patent/KR101118398B1/ko not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| KR20090075719A (ko) | 2009-07-08 |
| EP2105004A2 (en) | 2009-09-30 |
| CN101536456A (zh) | 2009-09-16 |
| WO2008133644A3 (en) | 2009-04-09 |
| WO2008133644A2 (en) | 2008-11-06 |
| US20080109902A1 (en) | 2008-05-08 |
| JP2010507871A (ja) | 2010-03-11 |
| KR101118398B1 (ko) | 2012-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8631496B2 (en) | Computer network intrusion detection | |
| KR101038387B1 (ko) | 원치 않는 트래픽 검출 방법 및 장치 | |
| US10326777B2 (en) | Integrated data traffic monitoring system | |
| US10135785B2 (en) | Network security system to intercept inline domain name system requests | |
| CA2541934A1 (en) | Policy-based network security management | |
| WO2001013589A1 (en) | Cracker monitoring system | |
| EP1540921B1 (en) | Method and apparatus for inspecting inter-layer address binding protocols | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| WO2004095281A2 (en) | System and method for network quality of service protection on security breach detection | |
| JP2006319982A (ja) | 通信ネットワーク内ワーム特定及び不活化方法及び装置 | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| JP5153779B2 (ja) | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 | |
| JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| US20060203736A1 (en) | Real-time mobile user network operations center | |
| JP2002335246A (ja) | ネットワークベース侵入検査方法及び装置並びにネットワークベース侵入検査用プログラム及びその記録媒体 | |
| JP2004363915A (ja) | DoS攻撃対策システムおよび方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111205 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111207 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120305 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120312 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120605 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121106 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121204 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151214 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |