DoS攻撃の検出及び追跡を行うシステム及び方法
DoS(Denial−of−Service)攻撃の検出及び追跡を行うシステム及び方法が開示される。本システム及び方法の一特徴は、ネットワークに通信可能に接続するよう動作可能な複数のブローカーモジュールと複数の攻撃検出モジュールとを提供することか構成される。攻撃検出モジュールは、ネットワークセグメント上の可能性のあるDoS攻撃を検出するよう動作する。可能性のあるDoS攻撃の攻撃シグネチャは、ネットワークセグメント上の1以上のブローカーモジュールに転送されてもよい。ブローカーモジュールは、攻撃の攻撃元を決定するため、データをまとめて解析する。
【発明の詳細な説明】
【発明の詳細な説明】
【0001】
[技術分野]
本発明は、一般にDoS攻撃を処理するコンピュータ化されたシステム及び方法に関し、より詳細には、攻撃の検出及び攻撃元の探知に関する。
[著作権通知/許可]
本特許文献の開示の一部は、著作権保護に従うコンテンツを含む。著作権所有者は、それが特許庁の特許ファイルまたはレコードに開示されたときには、何れの人による当該特許文献及び特許開示のファクシミリによる再生に異論はないが、そうでない場合には、すべての特許権を留保する。「Copyright 2002,Intel Corporation.All Rights Reserved」の告知は、以下及び図面に開示されるソフトウェア及びデータに適用される。
[背景]
ビジネス及び個人的理由の両方に対するコンピュータネットワーク、特にインターネットの利用は、急激なペースで成長し続けている。例えば、ユーザはビジネス及び個人的通信、商取引及びあらゆる種類の情報の配布及び収集に対して、インターネットにますます依存しつつある。しかしながら、この依存性の増大により、ネットワークの機能停止により生ずる損害に対する脆弱性もまた増大している。
【0002】
悪意あるユーザがこの脆弱性を利用する方法の1つは、DoS(Denial−of−Service)攻撃を通じたものである。DoS攻撃は、システムがもはや正当なリクエストをタイムリーに処理することが不可能となる程の大量のデータにより繰り返しシステムを標的にすることにより、インターネットなどのネットワークに接続されるシステムの過重負荷またはクラッシュを発生させようとするものである。実際、Dos攻撃は、システムをそれがクラッシュする程度まで圧倒することが可能である。このような攻撃は、その犠牲者が攻撃元を特定するのに時間を要する必要があるため、経済的な損害を発生させ、犠牲者に攻撃が行われなかった場合に得られる販売を損失させるかもしれない。
【0003】
時間の経過と共に、DoS攻撃はより巧妙化してきている。これの一例は、分散DoS(DDoS)があげられる。初期のDoS攻撃は、典型的には、1つのシステムから行われていた。DDoS攻撃では、複数のシステムを用いて、標的となるシステムにリクエストをあふれさせる。しばしばこのDDoSに加わるシステムは、攻撃を行うウイルスにシステムが感染する場合と同様に、自らが参加していることを認識さえしていない。
【0004】
DoS及びDDoS攻撃により生じる損害を軽減するため、このような攻撃を早期に検出すると共に、その攻撃元を探知することが望ましい。しかしながら、攻撃が複数の攻撃元から行われる場合、現在の検出システムがこの攻撃を複数の攻撃元まで追跡することは困難である。
【0005】
上記問題点を鑑み、本発明による技術が必要とされる。
[詳細な説明]
以下の本発明の実施例の詳細な説明では、それの一部を構成する添付された図面が参照され、図解により本発明が実現される具体的実施例が示される。これらの実施例は、当業者が本発明を実現することを可能にするのに十分詳細に説明され、他の実施例が利用可能であり、本発明の範囲から逸脱することなく、論理的、機械的、電気的及び他の変更が可能であるということは理解されるべきである。従って、以下の詳細な説明は限定的な意味にとられるべきでない。
【0006】
図面を通じて、複数の図面に現れる同一の構成要素を参照するのに、同一の参照番号が使用される。信号及び接続は、同一の参照番号または記号により参照され、実際の意味は説明の文脈におけるそれの利用から明らかとなるであろう。さらに、同一の構成要素グループの動作または特徴を一般的に参照するとき、同一の基礎参照番号(例えば、150など)が明細書及び図面に用いられる。同一の構成要素グループの特定の構成要素がある動作を行ったり、あるいはある特徴を有する場合、小数点により導かれる数値インデックス(例えば、150.1など)が用いられる。
【0007】
詳細な説明は複数のセクションに分割される。第1セクションでは、本発明の異なる実施例のシステム及びソフトウェア動作環境が説明される。第2セクションでは、本発明の各種実施例による方法が説明される。最終セクションでは、結論が与えられる。
【0008】
システム及びソフトウェア動作環境
図1は、本発明の各種実施例を組み込むシステム及びソフトウェア環境100のブロック図である。本発明のシステム及び方法は、ネットワーキングをサポートする任意のハードウェアまたはソフトウェアシステム上に設けられてもよい。典型的には、そのようなハードウェアは、スイッチ、ルータ、ゲートウェイ、ハブ、ブリッジ、パーソナルコンピュータ、サーバコンピュータ、メインフレームコンピュータ、ラップトップコンピュータ、携帯コンピュータ、携帯情報端末(PDA)、ネットワーク対応携帯電話、及び上記装置の組み合わせを含む。本発明の一部の実施例では、動作環境100は、犠牲者システム102、攻撃検出モジュール104、ブローカーモジュール106及び攻撃者システム150から構成される。この動作環境におけるシステムは、1以上のネットワーク130により通信可能に接続されてもよい。この動作環境上で実行されるソフトウェアコンポーネントは、典型的には、機械可読媒体から読み出され、オペレーティングシステムの制御の下で実行され、当該オペレーティングシステムとインタフェースをとる。このような機械可読媒体の例として、ハードディスク、フロッピー(登録商標)ディスク、CD−ROMやDVD−ROMがあげられる。さらに、機械可読媒体には、ネットワークを介し伝送される有線及び無線信号が含まれる。オペレーティングシステムの例として、マイクロソフトコーポレイションによるWindows(登録商標)95、Windows(登録商標)98、Windows(登録商標)ME、Windows(登録商標)CE、Windows(登録商標)NT、Windows(登録商標)2000及びWindows(登録商標)XPがあげられる。しかしながら、本発明は、何れかの特定のオペレーティングシステムに限定されるものではなく、他の実施例では、ソフトウェアコンポーネントはPalm Inc.からのPalmOS(登録商標)、UNIX(登録商標)及びLinuxオペレーティングシステムの亜種及び携帯電話オペレーティングシステム内部で機能するようにしてもよい。
【0009】
攻撃者システム150は、DoS攻撃を実行可能なコンピュータシステムから構成される。DoS攻撃は、当該技術分野では既知である、SYNフラッド、pingフラッド、「ping of death」フラッド、あるいはポートスキャンであるかもしれない。本発明は、DoS攻撃の何れか特定のタイプの処理に限定されるものではない。
【0010】
犠牲者システム102は、1以上の攻撃者システム150の標的となるシステムから構成される。犠牲者システム102は、サーバ、パーソナルコンピュータ、メインフレームコンピュータ、ルータ、ブリッジ、スイッチまたは他のネットワークに接続されたシステムを含む任意のタイプのコンピュータシステムであってもよい。
【0011】
犠牲者システム102と攻撃者システム150は、1以上のネットワーク130により通信可能に接続されてもよい。ネットワーク130は、任意のタイプの有線または無線ネットワークであってもよく、本発明は何れか特定のタイプのネットワークに限定されるものではない。本発明の一部の実施例では、ネットワークプロトコルはIP(インターネットプロトコル)である。本発明のさらなる実施例では、ネットワークプロトコルは、TCIP/IP(Transmission Control Protocol/Internet Protocol)である。さらなる他の実施例では、ネットワークプロトコルは、UDP/IP(User Datagram Protocol/Internet Protocol)である。しかしながら、本発明は、何れか特定タイプのネットワークプロトコルに限定されるものではない。さらに本発明の一部の実施例では、ネットワーク130の1以上はインターネットから構成される。本発明のさらなる他の実施例では、ネットワーク130の1以上は企業のイントラネットから構成される。
【0012】
攻撃検出モジュール104は、ネットワーク130の入口と出口におけるネットワークトラフックの監視及び/または操作するネットワーク130に通信可能に接続された装置から構成される。攻撃検出モジュール104は、それを通過するネットワークトラフィックに関する情報をキャッシュするよう動作し、さらにネットワークトラフィックに関する統計を維持するよう動作する。一部の実施例では、攻撃検出モジュール104は、様々なタイプのDoS攻撃に対応するシグネチャを検出するため、キャッシュされた情報を解析する。本発明の一部の実施例では、攻撃検出モジュール104は、インテルコーポレイションから入手可能なSmartLinkデバイスである。攻撃検出モジュール104は、ブローカーモジュール106から設定データを受信するようにしてもよい。このような設定データは、当該技術分野では知られているように、ポリシーベースのものであってもよい。
【0013】
ブローカーモジュール106は、1以上の攻撃検出モジュール104からDoS攻撃の表示を受信するよう動作する。このような表示を受信すると、ブローカーモジュール106は、攻撃検出モジュールから攻撃インスタンスデータを受信するよう動作し、この攻撃インスタンスデータをピアブローカーモジュール106に通信するようにしてもよい。
【0014】
上述のシステムの動作は、TCP/IP SYN攻撃の例を参照することにより説明される。しかしながら、後述されるシステムの動作は、他のタイプのDoS攻撃にもまた適用される。本発明の各種実施例の動作に関するさらなる詳細は、以下の方法のセクションにおいて提供される。
【0015】
図2は、TCP/IP環境におけるネットワーク接続初期化トラフィックを示す図である。TCP/IP環境における接続プロセスは、一般にはスリーウェイハンドシェイク(three−way handshake)と呼ばれる。典型的にはクライアントシステム202である、他のシステムとの接続を所望するシステムが、典型的にはサーバシステム204である、第2システムにSYNパケット210を送信すると、接続が開始される。その後、サーバシステム204は、SNY/ACKパケット212により応答する。最後に、クライアントシステム202は、ACKパケット214により応答する。上述の接続プロセスがピア・ツー・ピアシステム及びマルチタイアシステムにおいて等しく動作するということは、当業者には理解されるであろう。
【0016】
典型的なSYNフラッドDoS攻撃では、攻撃側システム202は、SYNパケット210を発行するが、ACKパケット214による引き続く処理は行わない。このことはサーバシステム202をACKパケット214を待機する「half−open」状態に留める。このhalf−open状態では、サーバシステム204は、そうでない場合に正当な接続に利用可能となるメモリリソース及び/またはプロセッサを確保しておかねばならなくなる。十分なhalf−open接続が生成される場合、サーバ204では、リソースが不足するようになり、さらなる接続の試行を処理することができなくなり、これにより、正当なクライアントがサービスを拒絶されることになる。
【0017】
図1に戻って、攻撃者システム150.1及び150.2が犠牲者システム102に対しDoS攻撃を開始すると仮定する。本発明の不明瞭化を回避するため、図1にはDDoSに対し2つの攻撃元のみが示される。典型的なDDoSにおける攻撃者システムの実際の個数は可変であり、3以上でなりうるということは、当業者には認識されるであろう。
【0018】
攻撃者システム150.1からの攻撃は、ネットワーク130.4、130.5及び130.1を含むパスに従う。攻撃者システム150.2からの攻撃は、ネットワーク130.3、130.6及び130.1を含むパスに従う。攻撃検出モジュール104.1は、可能性のあるDoS攻撃を示す異常なトラフィックを検出する。攻撃検出モジュール104.1は、ブローカーモジュール106.1に警告を送信するようにしてもよい。ここで、攻撃検出モジュール104はまた、収集したキャッシュ情報をピアブローカーモジュール106に送信するようにしてもよい。攻撃検出モジュール104.1により発生された警告に基づき、ブローカーモジュール106.1は、当該攻撃の可能な攻撃元をフィルタリングするため、キャッシュの情報を解析するようにしてもよい。各攻撃は、典型的には、自らのシグネチャを有し、ブローカーモジュール106.1は攻撃シグネチャに基づき該当するエントリをフィルタリングするようにしてもよい。
【0019】
例えば、上述のTCP SYNフラッド攻撃の場合、ブローカーモジュール106.1は、キャッシュを用いてTCPトラフィックを表すキャッシュデータを決定し、不完全な接続確立を有する、すなわち、当該プロトコルがTCPを示し、SYNビットセットを有するが、ACKビットセットは含まないソースアドレスのショートリストを検出するであろう。一部の実施例では、ブローカーモジュールはさらに、SYN−ACKビットセットを有するキャッシュの対応するリバースエントリのキャッシュをチェックする。これは、サーバがSYN−ACKにより応答するが、クライアントがハンドシェークを完了していない接続試行を示す。
【0020】
ポートスキャニング攻撃の場合、ブローカーモジュール106.1は、同一の送信元アドレスと送信先アドレスを有するが、異なるポート番号を有し、パケット数やパケットサイズが比較的小さなキャッシュエントリを検索する。
【0021】
ブローカーモジュール106.1が当該攻撃の可能性のある攻撃元を特定すると、ブローカーモジュール106.1は、この可能性のある攻撃元と攻撃タイプを特定する攻撃インスタンスデータを生成するようにしてもよい。その後、ブローカーモジュール106.1は、それのボーダー(border)攻撃検出モジュール104.2、104.5及び104.6からキャッシュ情報を取得するようにしてもよい。その後、ブローカー106.1は、可能性のある攻撃元のIPアドレスの何れがボーダー攻撃検出モジュール104.2、104.5及び104.6の何れかにより確認されたか判断するため、それのキャッシュデータを解析するようにしてもよい。本例では、攻撃検出モジュールにより確認された送信元アドレスの一部はショートリストのアドレスと一致するであろう。ブローカーモジュール106.1は、ブローカーモジュール106.3(及び攻撃検出モジュール104.6により確認されたトラフィックに寄与するドメインの他の何れかのピアブローカー)と通信し、攻撃検出モジュール104.1と104.6により確認されたキャッシュエントリのリストを送信するようにしてもよい。同様に、攻撃インスタンスデータは、攻撃検出モジュール104.1と104.5に共通のエントリのリストによりブローカー106.4に送信されてもよい。ここで、攻撃検出モジュール104.2は、それのネットワーク130.2がDoS攻撃のパスにないため、情報に寄与しない可能性が高い。
【0022】
ブローカー106.3と106.5は、攻撃元を特定するため、各自のドメイン内で同様の解析を行うことが可能である。攻撃元が決定されると、ブローカー106により各自のドメインの内部において攻撃を抑えるためのアクションがとられうる。これらのアクションには、以下に限定されるものではないが、攻撃を行うマシーンをオフにしたり、犠牲者を標的とするマシーンから送られるトラフィックを停止したり、マスタコントローラを調査及び特定するため、攻撃するマシーン(攻撃元)とのやりとりのトラフィックパターンを解析したりすることが含まれる。
【0023】
本発明の一部の実施例では、ブローカーモジュール106は、各自の攻撃検出モジュール104から受信したキャッシュ情報を保持する。保持されたデータは、それらが受信された時間や保持されるデータ量の上限に依存させることが可能である。保持されるデータは、ポスト攻撃解析の予測のため利用されてもよい。
【0024】
本セクションは、DoS攻撃の検出及び当該攻撃の探知を行うシステムにおける各種論理モジュールを説明した。上記モジュールを実現するソフトウェアが当該技術分野では既知である、以下に限定されるものではないが、C/C++、Java(登録商標)、Visual Basic、Smalltalk、Pascal、Adaおよび同様のプログラミング言語を含む何れかのプログラミング言語により記述可能であるということは、当業者には理解されるであろう。本発明は、実現のため何れか特定のプログラミング言語に限定されるものではない。
【0025】
本発明の実施例の方法
前のセクションでは、本発明の各種実施例を含む一例となるハードウェア及びソフトウェア環境の動作のシステムレベルの概要が説明された。本セクションでは、一例となる実施例を実行する動作環境により実行される本発明の方法が、図3A、3B及び4に示されるフローチャートを参照することにより説明される。本動作環境により実行される方法は、コンピュータ実行可能な指示から構成されるコンピュータプログラムから構成される。フローチャートを参照することにより本方法を説明することにより、当業者は適切なコンピュータ(コンピュータ可読媒体からの命令を実行するコンピュータのプロセッサ)上で本方法を実行するための指示を含むプログラムを開発することが可能となる。図3A、3B及び4に示される方法は、本発明の一実施例を実行する動作環境により実行される動作を含む。
【0026】
図3Aは、本発明の一実施例によるDoS攻撃の検出及び追跡を行うための方法を示すフローチャートである。本方法は、ブローカーモジュール106などのシステムが攻撃検出モジュール104から状態の更新を受信すると開始される(ブロック302)。この状態の更新は、DoS攻撃により開始されてもよいし、あるいは定期的な更新であってもよい。
【0027】
次に、本システムは可能性のある攻撃が侵入したかどうか判断する(ブロック304)。攻撃が検出されない場合、本方法はブロック302に戻り、次の状態更新を待機する。しかしながら、可能性のある攻撃が示されると、本システムは1以上の通信可能に接続される攻撃検出モジュール104からキャッシュ情報を抽出する(ブロック306)。ネットワークプロトコルがTCIP/IPプロトコルである一部の実施例では、キャッシュされている情報は送信元IPアドレス、送信先IPアドレス、送信元ポート、送信先ポート及び接続フローのプロトコルを含むものであるかもしれない。本発明の他の実施例では、キャッシュされたデータはさらに、バイトカウント、パケットカウント、ファーストパケットタイム及びラストパケットタイムに関する統計を含む。さらなる他の実施例では、キャッシュされたデータは、接続状態(確立済み、切断済み、half−openなど)を示すTCPフラグを含む。
【0028】
その後、本システムは、1以上の攻撃検出モジュール104から収集したキャッシュデータを解析し、攻撃シグネチャが存在するか判断する(ブロック308)。攻撃タイプに応じて、各種攻撃シグネチャタイプが可能である。例えば、SYNフラッド攻撃では、これらのシグネチャは、キャッシュされたデータの多数のhalf−open接続から構成されてもよい。ポートスキャンの場合には、攻撃シグネチャは同一の送信元アドレスから連続的にポートをオープンさせる多数の試行から構成されるかもしれない。
【0029】
攻撃シグネチャを特定した後、攻撃インスタンスデータが生成され、ピアブローカーモジュール106に送信される(ブロック310)。攻撃インスタンスデータは、特定の攻撃の攻撃元とそのタイプを特定するのに用いられてもよい。
【0030】
次に、一部の実施例では、本システムは、ピアブローカーモジュール106からの通信を待機する(ブロック312)。この通信は、攻撃の確認であってもよいし、あるいはピアブローカーモジュール106が攻撃を確認していないということを示す情報であってもよい。この情報は、可能性のある攻撃元を絞り込むのに利用することができる。
【0031】
図3Bは、本発明の一実施例によるDoS攻撃を追跡する方法のさらなる詳細を提供するフローチャートである。図3Bで詳述される動作は、他のピアブローカー106から可能性のある攻撃を通知された後、ピアブローカーモジュール106により実行されてもよい。本方法は、ブローカーモジュール106がピアブローカーモジュール106から攻撃インスタンスデータを受信すると開始される(ブロック320)。
【0032】
次に、本システムは、ブローカーモジュール106と同じネットワークドメインのボーダー攻撃検出モジュールからキャッスデータを抽出する(ブロック322)。収集されたキャッシュデータは、上述のように可能性のある攻撃シグネチャを決定するため解析されてもよい。その後、この可能性のある攻撃シグネチャは解析され、攻撃インスタンスデータと比較されてもよい(ブロック324)。
【0033】
一致が存在する場合(ブロック326)、本発明の一部の実施例では、攻撃対処策が開始されるようにしてもよい(ブロック328)。この攻撃対処策には、攻撃インスタンスデータから特定された攻撃元からのパケットのフィルタリング、疑わしい攻撃元のオフ、あるいは攻撃のネットワークコンソールへの通知が含まれるかもしれない。
【0034】
図4は、本発明の一実施例によるDoS攻撃を検出するための方法を示すフローチャートである。本方法は、DoS攻撃を検出することを所望するシステムがネットワークパケットの到着を待機すると開始される(ブロック402)。パケットの受信後(ブロック404)、パケットタイプがチェックされる。本発明の一部の実施例では、パケットが初期化パケットであるか確認するためチェックが行われる(ブロック406)。一部の実施例では、初期化パケットはSYNパケットである。
【0035】
パケットが初期化パケットである場合、当該パケットに関するデータがメモリにキャッシュ処理(格納)される(ブロック408)。一部の実施例では、このデータには、送信元アドレス、送信元ポート、送信先アドレス、送信先ポート、パケットタイプ及びタイムスタンプが含まれる。制御はブロック402に移行し、他のパケットの到着を待機する。
【0036】
そうでない場合には、パケットが初期化アクノリッジメントパケットであるか確認するチェックが行われる(ブロック410)。一部の実施例では、この初期化アクノリッジメントパケットは、SYN/ACKパケットとなるであろう。パケットが初期化アクノリッジメントパケットである場合、本発明の一部の実施例は、当該パケットの送信元アドレス、送信元ポート、送信先アドレス、送信先ポート、パケットタイプ及びタイムスタンプを記録する。その後、制御はブロック402に移行し、次のパケットが到着するのを待機する。
【0037】
そうでない場合、パケットが初期化アクノリッジメントパケットでない場合、本発明の一部の実施例は、当該パケットがアクノリッジメントパケットであるか判断するため当該パケットをチェックする(ブロック412)。パケットがアクノリッジメントパケットでない場合、制御はブロック402に移行し、次のパケットを待機する。
【0038】
一部の実施例では、パケットがアクノリッジメントパケットである場合、当該アクノリッジメントパケットが対応する初期化パケットの後に到着したか判断するためチェックされる(ブロック414)。本発明の一部の実施例では、このアクノリッジメントパケットはACKパケットとなるであろう。アクノリッジメントパケットが以前に発行された初期化パケットに対応していない場合、制御はブロック402に戻り、次のパケットを待機する。
【0039】
しかしながら、本発明の一部の実施例では、アクノリッジメントパケットが以前に発行されたパケットと対応していない場合、当該アクノリッジメントパケットが対応する初期化アクノリッジメントパケットの後に到着したか判断するチェックが行われる(ブロック416)。それが対応する初期化アクノリッジメントパケットの後に到着した場合、制御はブロック402に戻り、次のパケットを待機する。この場合、接続はフルにオープンされ、正当な接続である可能性が最も高い。
【0040】
しかしながら、アクノリッジメントパケットが対応する初期化アクノリッジメントパケットの前に到着している場合、本システムは、可能性のあるDoS攻撃を示す(ブロック418)。TCPの場合には、可能性のあるSYNフラッド攻撃が示される。このケースは、攻撃側がパケットのタイミング関係を判断しようとすることなく、アクノリッジメントレスポンスと初期化リクエストの個数を単にカウントするスプーフシステムに試行している状況を表す。
【0041】
さらに、本方法の任意の時点において、本システムは、ブロック408及び410において収集されたデータを精査し、対応するアクノリッジメントパケットなしにいくつの初期化パケットが生成されたか示すカウントを決定するようにしてもよい(ブロック420)。このカウントが設定可能な閾値または所定の閾値を上回る場合、本システムがDoS攻撃を受けているという表示が生成されてもよい。
【0042】
結論
DoS攻撃を検出し、当該攻撃の攻撃元を探知するシステム及び方法が開示された。本発明の実施例は、従来システムに対する効果を提供する。例えば、開示されたシステム及び方法は、DoS攻撃の早期かつ正確な検出を提供する。さらに、本システム及び方法は、DoS攻撃の攻撃元を自動的に探知し、人手による介入を軽減または解消することができる。これにより、攻撃元の早期の特定が可能となる。
【0043】
ここでは具体的な実施例が図示及び説明されたが、同一の目的を達成するのに計算される任意の構成が図示された具体的な実施例の代わりに利用可能であるということは、当業者には理解されるであろう。本出願は、本発明の任意の適応または変形をカバーするものとする。
【0044】
本出願で用いられた用語は、上記環境のすべてを含むことを意図したものである。上記説明は例示的なものであり、限定的なものではないと理解されるべきである。上記説明を参照することにより、他の多数の実施例が当業者には明らかとなるであろう。従って、本発明は以下の請求項とその均等物によってのみ限定されるということが明らかに意図される。
【図面の簡単な説明】
【0045】
【図1】図1は、本発明の実施例が実現可能な一例となる環境のシステムレベルの概要を示すブロック図である。
【図2】図2は、ネットワークセッション初期化を示す図である。
【図3A】図3Aは、本発明の一実施例によるDoS攻撃の検出及び追跡を行う方法を示すフローチャートである。
【図3B】図3Bは、本発明の一実施例によるDoS攻撃を追跡する方法のさらなる詳細を提供するフローチャートである。
【図4】図4は、本発明の一実施例によるDoS攻撃を検出する方法を示すフローチャートである。
【発明の詳細な説明】
【0001】
[技術分野]
本発明は、一般にDoS攻撃を処理するコンピュータ化されたシステム及び方法に関し、より詳細には、攻撃の検出及び攻撃元の探知に関する。
[著作権通知/許可]
本特許文献の開示の一部は、著作権保護に従うコンテンツを含む。著作権所有者は、それが特許庁の特許ファイルまたはレコードに開示されたときには、何れの人による当該特許文献及び特許開示のファクシミリによる再生に異論はないが、そうでない場合には、すべての特許権を留保する。「Copyright 2002,Intel Corporation.All Rights Reserved」の告知は、以下及び図面に開示されるソフトウェア及びデータに適用される。
[背景]
ビジネス及び個人的理由の両方に対するコンピュータネットワーク、特にインターネットの利用は、急激なペースで成長し続けている。例えば、ユーザはビジネス及び個人的通信、商取引及びあらゆる種類の情報の配布及び収集に対して、インターネットにますます依存しつつある。しかしながら、この依存性の増大により、ネットワークの機能停止により生ずる損害に対する脆弱性もまた増大している。
【0002】
悪意あるユーザがこの脆弱性を利用する方法の1つは、DoS(Denial−of−Service)攻撃を通じたものである。DoS攻撃は、システムがもはや正当なリクエストをタイムリーに処理することが不可能となる程の大量のデータにより繰り返しシステムを標的にすることにより、インターネットなどのネットワークに接続されるシステムの過重負荷またはクラッシュを発生させようとするものである。実際、Dos攻撃は、システムをそれがクラッシュする程度まで圧倒することが可能である。このような攻撃は、その犠牲者が攻撃元を特定するのに時間を要する必要があるため、経済的な損害を発生させ、犠牲者に攻撃が行われなかった場合に得られる販売を損失させるかもしれない。
【0003】
時間の経過と共に、DoS攻撃はより巧妙化してきている。これの一例は、分散DoS(DDoS)があげられる。初期のDoS攻撃は、典型的には、1つのシステムから行われていた。DDoS攻撃では、複数のシステムを用いて、標的となるシステムにリクエストをあふれさせる。しばしばこのDDoSに加わるシステムは、攻撃を行うウイルスにシステムが感染する場合と同様に、自らが参加していることを認識さえしていない。
【0004】
DoS及びDDoS攻撃により生じる損害を軽減するため、このような攻撃を早期に検出すると共に、その攻撃元を探知することが望ましい。しかしながら、攻撃が複数の攻撃元から行われる場合、現在の検出システムがこの攻撃を複数の攻撃元まで追跡することは困難である。
【0005】
上記問題点を鑑み、本発明による技術が必要とされる。
[詳細な説明]
以下の本発明の実施例の詳細な説明では、それの一部を構成する添付された図面が参照され、図解により本発明が実現される具体的実施例が示される。これらの実施例は、当業者が本発明を実現することを可能にするのに十分詳細に説明され、他の実施例が利用可能であり、本発明の範囲から逸脱することなく、論理的、機械的、電気的及び他の変更が可能であるということは理解されるべきである。従って、以下の詳細な説明は限定的な意味にとられるべきでない。
【0006】
図面を通じて、複数の図面に現れる同一の構成要素を参照するのに、同一の参照番号が使用される。信号及び接続は、同一の参照番号または記号により参照され、実際の意味は説明の文脈におけるそれの利用から明らかとなるであろう。さらに、同一の構成要素グループの動作または特徴を一般的に参照するとき、同一の基礎参照番号(例えば、150など)が明細書及び図面に用いられる。同一の構成要素グループの特定の構成要素がある動作を行ったり、あるいはある特徴を有する場合、小数点により導かれる数値インデックス(例えば、150.1など)が用いられる。
【0007】
詳細な説明は複数のセクションに分割される。第1セクションでは、本発明の異なる実施例のシステム及びソフトウェア動作環境が説明される。第2セクションでは、本発明の各種実施例による方法が説明される。最終セクションでは、結論が与えられる。
【0008】
システム及びソフトウェア動作環境
図1は、本発明の各種実施例を組み込むシステム及びソフトウェア環境100のブロック図である。本発明のシステム及び方法は、ネットワーキングをサポートする任意のハードウェアまたはソフトウェアシステム上に設けられてもよい。典型的には、そのようなハードウェアは、スイッチ、ルータ、ゲートウェイ、ハブ、ブリッジ、パーソナルコンピュータ、サーバコンピュータ、メインフレームコンピュータ、ラップトップコンピュータ、携帯コンピュータ、携帯情報端末(PDA)、ネットワーク対応携帯電話、及び上記装置の組み合わせを含む。本発明の一部の実施例では、動作環境100は、犠牲者システム102、攻撃検出モジュール104、ブローカーモジュール106及び攻撃者システム150から構成される。この動作環境におけるシステムは、1以上のネットワーク130により通信可能に接続されてもよい。この動作環境上で実行されるソフトウェアコンポーネントは、典型的には、機械可読媒体から読み出され、オペレーティングシステムの制御の下で実行され、当該オペレーティングシステムとインタフェースをとる。このような機械可読媒体の例として、ハードディスク、フロッピー(登録商標)ディスク、CD−ROMやDVD−ROMがあげられる。さらに、機械可読媒体には、ネットワークを介し伝送される有線及び無線信号が含まれる。オペレーティングシステムの例として、マイクロソフトコーポレイションによるWindows(登録商標)95、Windows(登録商標)98、Windows(登録商標)ME、Windows(登録商標)CE、Windows(登録商標)NT、Windows(登録商標)2000及びWindows(登録商標)XPがあげられる。しかしながら、本発明は、何れかの特定のオペレーティングシステムに限定されるものではなく、他の実施例では、ソフトウェアコンポーネントはPalm Inc.からのPalmOS(登録商標)、UNIX(登録商標)及びLinuxオペレーティングシステムの亜種及び携帯電話オペレーティングシステム内部で機能するようにしてもよい。
【0009】
攻撃者システム150は、DoS攻撃を実行可能なコンピュータシステムから構成される。DoS攻撃は、当該技術分野では既知である、SYNフラッド、pingフラッド、「ping of death」フラッド、あるいはポートスキャンであるかもしれない。本発明は、DoS攻撃の何れか特定のタイプの処理に限定されるものではない。
【0010】
犠牲者システム102は、1以上の攻撃者システム150の標的となるシステムから構成される。犠牲者システム102は、サーバ、パーソナルコンピュータ、メインフレームコンピュータ、ルータ、ブリッジ、スイッチまたは他のネットワークに接続されたシステムを含む任意のタイプのコンピュータシステムであってもよい。
【0011】
犠牲者システム102と攻撃者システム150は、1以上のネットワーク130により通信可能に接続されてもよい。ネットワーク130は、任意のタイプの有線または無線ネットワークであってもよく、本発明は何れか特定のタイプのネットワークに限定されるものではない。本発明の一部の実施例では、ネットワークプロトコルはIP(インターネットプロトコル)である。本発明のさらなる実施例では、ネットワークプロトコルは、TCIP/IP(Transmission Control Protocol/Internet Protocol)である。さらなる他の実施例では、ネットワークプロトコルは、UDP/IP(User Datagram Protocol/Internet Protocol)である。しかしながら、本発明は、何れか特定タイプのネットワークプロトコルに限定されるものではない。さらに本発明の一部の実施例では、ネットワーク130の1以上はインターネットから構成される。本発明のさらなる他の実施例では、ネットワーク130の1以上は企業のイントラネットから構成される。
【0012】
攻撃検出モジュール104は、ネットワーク130の入口と出口におけるネットワークトラフックの監視及び/または操作するネットワーク130に通信可能に接続された装置から構成される。攻撃検出モジュール104は、それを通過するネットワークトラフィックに関する情報をキャッシュするよう動作し、さらにネットワークトラフィックに関する統計を維持するよう動作する。一部の実施例では、攻撃検出モジュール104は、様々なタイプのDoS攻撃に対応するシグネチャを検出するため、キャッシュされた情報を解析する。本発明の一部の実施例では、攻撃検出モジュール104は、インテルコーポレイションから入手可能なSmartLinkデバイスである。攻撃検出モジュール104は、ブローカーモジュール106から設定データを受信するようにしてもよい。このような設定データは、当該技術分野では知られているように、ポリシーベースのものであってもよい。
【0013】
ブローカーモジュール106は、1以上の攻撃検出モジュール104からDoS攻撃の表示を受信するよう動作する。このような表示を受信すると、ブローカーモジュール106は、攻撃検出モジュールから攻撃インスタンスデータを受信するよう動作し、この攻撃インスタンスデータをピアブローカーモジュール106に通信するようにしてもよい。
【0014】
上述のシステムの動作は、TCP/IP SYN攻撃の例を参照することにより説明される。しかしながら、後述されるシステムの動作は、他のタイプのDoS攻撃にもまた適用される。本発明の各種実施例の動作に関するさらなる詳細は、以下の方法のセクションにおいて提供される。
【0015】
図2は、TCP/IP環境におけるネットワーク接続初期化トラフィックを示す図である。TCP/IP環境における接続プロセスは、一般にはスリーウェイハンドシェイク(three−way handshake)と呼ばれる。典型的にはクライアントシステム202である、他のシステムとの接続を所望するシステムが、典型的にはサーバシステム204である、第2システムにSYNパケット210を送信すると、接続が開始される。その後、サーバシステム204は、SNY/ACKパケット212により応答する。最後に、クライアントシステム202は、ACKパケット214により応答する。上述の接続プロセスがピア・ツー・ピアシステム及びマルチタイアシステムにおいて等しく動作するということは、当業者には理解されるであろう。
【0016】
典型的なSYNフラッドDoS攻撃では、攻撃側システム202は、SYNパケット210を発行するが、ACKパケット214による引き続く処理は行わない。このことはサーバシステム202をACKパケット214を待機する「half−open」状態に留める。このhalf−open状態では、サーバシステム204は、そうでない場合に正当な接続に利用可能となるメモリリソース及び/またはプロセッサを確保しておかねばならなくなる。十分なhalf−open接続が生成される場合、サーバ204では、リソースが不足するようになり、さらなる接続の試行を処理することができなくなり、これにより、正当なクライアントがサービスを拒絶されることになる。
【0017】
図1に戻って、攻撃者システム150.1及び150.2が犠牲者システム102に対しDoS攻撃を開始すると仮定する。本発明の不明瞭化を回避するため、図1にはDDoSに対し2つの攻撃元のみが示される。典型的なDDoSにおける攻撃者システムの実際の個数は可変であり、3以上でなりうるということは、当業者には認識されるであろう。
【0018】
攻撃者システム150.1からの攻撃は、ネットワーク130.4、130.5及び130.1を含むパスに従う。攻撃者システム150.2からの攻撃は、ネットワーク130.3、130.6及び130.1を含むパスに従う。攻撃検出モジュール104.1は、可能性のあるDoS攻撃を示す異常なトラフィックを検出する。攻撃検出モジュール104.1は、ブローカーモジュール106.1に警告を送信するようにしてもよい。ここで、攻撃検出モジュール104はまた、収集したキャッシュ情報をピアブローカーモジュール106に送信するようにしてもよい。攻撃検出モジュール104.1により発生された警告に基づき、ブローカーモジュール106.1は、当該攻撃の可能な攻撃元をフィルタリングするため、キャッシュの情報を解析するようにしてもよい。各攻撃は、典型的には、自らのシグネチャを有し、ブローカーモジュール106.1は攻撃シグネチャに基づき該当するエントリをフィルタリングするようにしてもよい。
【0019】
例えば、上述のTCP SYNフラッド攻撃の場合、ブローカーモジュール106.1は、キャッシュを用いてTCPトラフィックを表すキャッシュデータを決定し、不完全な接続確立を有する、すなわち、当該プロトコルがTCPを示し、SYNビットセットを有するが、ACKビットセットは含まないソースアドレスのショートリストを検出するであろう。一部の実施例では、ブローカーモジュールはさらに、SYN−ACKビットセットを有するキャッシュの対応するリバースエントリのキャッシュをチェックする。これは、サーバがSYN−ACKにより応答するが、クライアントがハンドシェークを完了していない接続試行を示す。
【0020】
ポートスキャニング攻撃の場合、ブローカーモジュール106.1は、同一の送信元アドレスと送信先アドレスを有するが、異なるポート番号を有し、パケット数やパケットサイズが比較的小さなキャッシュエントリを検索する。
【0021】
ブローカーモジュール106.1が当該攻撃の可能性のある攻撃元を特定すると、ブローカーモジュール106.1は、この可能性のある攻撃元と攻撃タイプを特定する攻撃インスタンスデータを生成するようにしてもよい。その後、ブローカーモジュール106.1は、それのボーダー(border)攻撃検出モジュール104.2、104.5及び104.6からキャッシュ情報を取得するようにしてもよい。その後、ブローカー106.1は、可能性のある攻撃元のIPアドレスの何れがボーダー攻撃検出モジュール104.2、104.5及び104.6の何れかにより確認されたか判断するため、それのキャッシュデータを解析するようにしてもよい。本例では、攻撃検出モジュールにより確認された送信元アドレスの一部はショートリストのアドレスと一致するであろう。ブローカーモジュール106.1は、ブローカーモジュール106.3(及び攻撃検出モジュール104.6により確認されたトラフィックに寄与するドメインの他の何れかのピアブローカー)と通信し、攻撃検出モジュール104.1と104.6により確認されたキャッシュエントリのリストを送信するようにしてもよい。同様に、攻撃インスタンスデータは、攻撃検出モジュール104.1と104.5に共通のエントリのリストによりブローカー106.4に送信されてもよい。ここで、攻撃検出モジュール104.2は、それのネットワーク130.2がDoS攻撃のパスにないため、情報に寄与しない可能性が高い。
【0022】
ブローカー106.3と106.5は、攻撃元を特定するため、各自のドメイン内で同様の解析を行うことが可能である。攻撃元が決定されると、ブローカー106により各自のドメインの内部において攻撃を抑えるためのアクションがとられうる。これらのアクションには、以下に限定されるものではないが、攻撃を行うマシーンをオフにしたり、犠牲者を標的とするマシーンから送られるトラフィックを停止したり、マスタコントローラを調査及び特定するため、攻撃するマシーン(攻撃元)とのやりとりのトラフィックパターンを解析したりすることが含まれる。
【0023】
本発明の一部の実施例では、ブローカーモジュール106は、各自の攻撃検出モジュール104から受信したキャッシュ情報を保持する。保持されたデータは、それらが受信された時間や保持されるデータ量の上限に依存させることが可能である。保持されるデータは、ポスト攻撃解析の予測のため利用されてもよい。
【0024】
本セクションは、DoS攻撃の検出及び当該攻撃の探知を行うシステムにおける各種論理モジュールを説明した。上記モジュールを実現するソフトウェアが当該技術分野では既知である、以下に限定されるものではないが、C/C++、Java(登録商標)、Visual Basic、Smalltalk、Pascal、Adaおよび同様のプログラミング言語を含む何れかのプログラミング言語により記述可能であるということは、当業者には理解されるであろう。本発明は、実現のため何れか特定のプログラミング言語に限定されるものではない。
【0025】
本発明の実施例の方法
前のセクションでは、本発明の各種実施例を含む一例となるハードウェア及びソフトウェア環境の動作のシステムレベルの概要が説明された。本セクションでは、一例となる実施例を実行する動作環境により実行される本発明の方法が、図3A、3B及び4に示されるフローチャートを参照することにより説明される。本動作環境により実行される方法は、コンピュータ実行可能な指示から構成されるコンピュータプログラムから構成される。フローチャートを参照することにより本方法を説明することにより、当業者は適切なコンピュータ(コンピュータ可読媒体からの命令を実行するコンピュータのプロセッサ)上で本方法を実行するための指示を含むプログラムを開発することが可能となる。図3A、3B及び4に示される方法は、本発明の一実施例を実行する動作環境により実行される動作を含む。
【0026】
図3Aは、本発明の一実施例によるDoS攻撃の検出及び追跡を行うための方法を示すフローチャートである。本方法は、ブローカーモジュール106などのシステムが攻撃検出モジュール104から状態の更新を受信すると開始される(ブロック302)。この状態の更新は、DoS攻撃により開始されてもよいし、あるいは定期的な更新であってもよい。
【0027】
次に、本システムは可能性のある攻撃が侵入したかどうか判断する(ブロック304)。攻撃が検出されない場合、本方法はブロック302に戻り、次の状態更新を待機する。しかしながら、可能性のある攻撃が示されると、本システムは1以上の通信可能に接続される攻撃検出モジュール104からキャッシュ情報を抽出する(ブロック306)。ネットワークプロトコルがTCIP/IPプロトコルである一部の実施例では、キャッシュされている情報は送信元IPアドレス、送信先IPアドレス、送信元ポート、送信先ポート及び接続フローのプロトコルを含むものであるかもしれない。本発明の他の実施例では、キャッシュされたデータはさらに、バイトカウント、パケットカウント、ファーストパケットタイム及びラストパケットタイムに関する統計を含む。さらなる他の実施例では、キャッシュされたデータは、接続状態(確立済み、切断済み、half−openなど)を示すTCPフラグを含む。
【0028】
その後、本システムは、1以上の攻撃検出モジュール104から収集したキャッシュデータを解析し、攻撃シグネチャが存在するか判断する(ブロック308)。攻撃タイプに応じて、各種攻撃シグネチャタイプが可能である。例えば、SYNフラッド攻撃では、これらのシグネチャは、キャッシュされたデータの多数のhalf−open接続から構成されてもよい。ポートスキャンの場合には、攻撃シグネチャは同一の送信元アドレスから連続的にポートをオープンさせる多数の試行から構成されるかもしれない。
【0029】
攻撃シグネチャを特定した後、攻撃インスタンスデータが生成され、ピアブローカーモジュール106に送信される(ブロック310)。攻撃インスタンスデータは、特定の攻撃の攻撃元とそのタイプを特定するのに用いられてもよい。
【0030】
次に、一部の実施例では、本システムは、ピアブローカーモジュール106からの通信を待機する(ブロック312)。この通信は、攻撃の確認であってもよいし、あるいはピアブローカーモジュール106が攻撃を確認していないということを示す情報であってもよい。この情報は、可能性のある攻撃元を絞り込むのに利用することができる。
【0031】
図3Bは、本発明の一実施例によるDoS攻撃を追跡する方法のさらなる詳細を提供するフローチャートである。図3Bで詳述される動作は、他のピアブローカー106から可能性のある攻撃を通知された後、ピアブローカーモジュール106により実行されてもよい。本方法は、ブローカーモジュール106がピアブローカーモジュール106から攻撃インスタンスデータを受信すると開始される(ブロック320)。
【0032】
次に、本システムは、ブローカーモジュール106と同じネットワークドメインのボーダー攻撃検出モジュールからキャッスデータを抽出する(ブロック322)。収集されたキャッシュデータは、上述のように可能性のある攻撃シグネチャを決定するため解析されてもよい。その後、この可能性のある攻撃シグネチャは解析され、攻撃インスタンスデータと比較されてもよい(ブロック324)。
【0033】
一致が存在する場合(ブロック326)、本発明の一部の実施例では、攻撃対処策が開始されるようにしてもよい(ブロック328)。この攻撃対処策には、攻撃インスタンスデータから特定された攻撃元からのパケットのフィルタリング、疑わしい攻撃元のオフ、あるいは攻撃のネットワークコンソールへの通知が含まれるかもしれない。
【0034】
図4は、本発明の一実施例によるDoS攻撃を検出するための方法を示すフローチャートである。本方法は、DoS攻撃を検出することを所望するシステムがネットワークパケットの到着を待機すると開始される(ブロック402)。パケットの受信後(ブロック404)、パケットタイプがチェックされる。本発明の一部の実施例では、パケットが初期化パケットであるか確認するためチェックが行われる(ブロック406)。一部の実施例では、初期化パケットはSYNパケットである。
【0035】
パケットが初期化パケットである場合、当該パケットに関するデータがメモリにキャッシュ処理(格納)される(ブロック408)。一部の実施例では、このデータには、送信元アドレス、送信元ポート、送信先アドレス、送信先ポート、パケットタイプ及びタイムスタンプが含まれる。制御はブロック402に移行し、他のパケットの到着を待機する。
【0036】
そうでない場合には、パケットが初期化アクノリッジメントパケットであるか確認するチェックが行われる(ブロック410)。一部の実施例では、この初期化アクノリッジメントパケットは、SYN/ACKパケットとなるであろう。パケットが初期化アクノリッジメントパケットである場合、本発明の一部の実施例は、当該パケットの送信元アドレス、送信元ポート、送信先アドレス、送信先ポート、パケットタイプ及びタイムスタンプを記録する。その後、制御はブロック402に移行し、次のパケットが到着するのを待機する。
【0037】
そうでない場合、パケットが初期化アクノリッジメントパケットでない場合、本発明の一部の実施例は、当該パケットがアクノリッジメントパケットであるか判断するため当該パケットをチェックする(ブロック412)。パケットがアクノリッジメントパケットでない場合、制御はブロック402に移行し、次のパケットを待機する。
【0038】
一部の実施例では、パケットがアクノリッジメントパケットである場合、当該アクノリッジメントパケットが対応する初期化パケットの後に到着したか判断するためチェックされる(ブロック414)。本発明の一部の実施例では、このアクノリッジメントパケットはACKパケットとなるであろう。アクノリッジメントパケットが以前に発行された初期化パケットに対応していない場合、制御はブロック402に戻り、次のパケットを待機する。
【0039】
しかしながら、本発明の一部の実施例では、アクノリッジメントパケットが以前に発行されたパケットと対応していない場合、当該アクノリッジメントパケットが対応する初期化アクノリッジメントパケットの後に到着したか判断するチェックが行われる(ブロック416)。それが対応する初期化アクノリッジメントパケットの後に到着した場合、制御はブロック402に戻り、次のパケットを待機する。この場合、接続はフルにオープンされ、正当な接続である可能性が最も高い。
【0040】
しかしながら、アクノリッジメントパケットが対応する初期化アクノリッジメントパケットの前に到着している場合、本システムは、可能性のあるDoS攻撃を示す(ブロック418)。TCPの場合には、可能性のあるSYNフラッド攻撃が示される。このケースは、攻撃側がパケットのタイミング関係を判断しようとすることなく、アクノリッジメントレスポンスと初期化リクエストの個数を単にカウントするスプーフシステムに試行している状況を表す。
【0041】
さらに、本方法の任意の時点において、本システムは、ブロック408及び410において収集されたデータを精査し、対応するアクノリッジメントパケットなしにいくつの初期化パケットが生成されたか示すカウントを決定するようにしてもよい(ブロック420)。このカウントが設定可能な閾値または所定の閾値を上回る場合、本システムがDoS攻撃を受けているという表示が生成されてもよい。
【0042】
結論
DoS攻撃を検出し、当該攻撃の攻撃元を探知するシステム及び方法が開示された。本発明の実施例は、従来システムに対する効果を提供する。例えば、開示されたシステム及び方法は、DoS攻撃の早期かつ正確な検出を提供する。さらに、本システム及び方法は、DoS攻撃の攻撃元を自動的に探知し、人手による介入を軽減または解消することができる。これにより、攻撃元の早期の特定が可能となる。
【0043】
ここでは具体的な実施例が図示及び説明されたが、同一の目的を達成するのに計算される任意の構成が図示された具体的な実施例の代わりに利用可能であるということは、当業者には理解されるであろう。本出願は、本発明の任意の適応または変形をカバーするものとする。
【0044】
本出願で用いられた用語は、上記環境のすべてを含むことを意図したものである。上記説明は例示的なものであり、限定的なものではないと理解されるべきである。上記説明を参照することにより、他の多数の実施例が当業者には明らかとなるであろう。従って、本発明は以下の請求項とその均等物によってのみ限定されるということが明らかに意図される。
【図面の簡単な説明】
【0045】
【図1】図1は、本発明の実施例が実現可能な一例となる環境のシステムレベルの概要を示すブロック図である。
【図2】図2は、ネットワークセッション初期化を示す図である。
【図3A】図3Aは、本発明の一実施例によるDoS攻撃の検出及び追跡を行う方法を示すフローチャートである。
【図3B】図3Bは、本発明の一実施例によるDoS攻撃を追跡する方法のさらなる詳細を提供するフローチャートである。
【図4】図4は、本発明の一実施例によるDoS攻撃を検出する方法を示すフローチャートである。
【特許請求の範囲】
【請求項1】
DoS(Denial−of−Service)攻撃を追跡する方法であって、
ネットワークに通信可能に接続するよう動作可能な複数のブローカーモジュールと複数の攻撃検出モジュールとを提供するステップと、
前記複数の攻撃検出モジュールの第1攻撃検出モジュールからDoS攻撃が行われている可能性があるという表示を受信するステップと、
前記複数の攻撃検出モジュールの1以上からキャッシュ処理されたネットワークパケット情報を受信するステップと、
前記キャッシュ処理されたネットワークパケット情報から攻撃シグネチャを決定するステップと、
前記攻撃シグネチャに基づく攻撃インスタンスデータを前記複数のブローカーモジュールの1以上に送信するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記DoS攻撃は、SYNフラッド攻撃から構成されることを特徴とする方法。
【請求項3】
請求項1記載の方法であって、
前記DoS攻撃は、pingフラッド攻撃から構成されることを特徴とする方法。
【請求項4】
請求項1記載の方法であって、
前記DoS攻撃が行われている可能性があるという表示を受信するステップはさらに、
前記ネットワーク上の複数のネットワークソースから複数の初期化パケットを受信するステップと、
前記複数の初期化パケットに関する情報をキャッシュ処理するステップと、
前記キャッシュ処理された情報から、アクノリッジを受けなかった前記複数の初期化パケットの計数を決定するステップと、
前記計数が閾値を上回る場合、可能性のあるDoS攻撃を示すステップと、
から構成されることを特徴とする方法。
【請求項5】
請求項1記載の方法であって、さらに、
前記複数のブローカーモジュールの1以上から前記DoS攻撃に関する状態情報を受信するステップを有することを特徴とする方法。
【請求項6】
DoS攻撃を追跡する方法であって、
ネットワークに通信可能に接続される複数のブローカーモジュールと複数の攻撃検出モジュールとを提供するステップと、
前記複数のブローカーモジュールの少なくとも1つから攻撃インスタンスデータを受信するステップと、
前記複数の攻撃検出モジュールの1以上からキャッシュ処理されたネットワークパケット情報を受信するステップと、
前記キャッシュ処理されたネットワークパケット情報から1以上の攻撃シグネチャを決定するステップと、
前記攻撃インスタンスデータの少なくとも一部を前記1以上の攻撃シグネチャと比較するステップと、
前記比較により、前記攻撃インスタンスデータの一部と前記1以上の攻撃シグネチャが一致する場合、攻撃対処策を始動するステップと、
から構成されることを特徴とする方法。
【請求項7】
請求項6記載の方法であって、さらに、
攻撃状態情報を少なくとも1つのブローカーモジュールに通信するステップを有することを特徴とする方法。
【請求項8】
請求項6記載の方法であって、
前記攻撃対処策を始動するステップは、前記DoS攻撃の攻撃元からのパケットをフィルタリングすることを特徴とする方法。
【請求項9】
DoS攻撃を検出する方法であって、
プロトコルを有するネットワーク上の複数のネットワークソースから複数の初期化パケットを受信するステップと、
前記初期化パケットに関する情報をキャッシュ処理するステップと、
前記キャッシュ処理された情報からアクノリッジを受けなかった前記複数の初期化パケットの計数を決定するステップと、
前記計数が閾値を上回る場合、可能性のあるDoS攻撃を示すステップと、
から構成されることを特徴とする方法。
【請求項10】
請求項9記載の方法であって、さらに、
前記初期化パケットに応答して、初期化アクノリッジメントパケットを送信するステップと、
前記初期化アクノリッジメントパケットに関する初期化アクノリッジメントパケット時間を含む情報をキャッシュ処理するステップと、
前記複数のネットワークソースの1つからアクノリッジメント到着時間を有するアクノリッジメントパケットを受信するステップと、
前記アクノリッジメント到着時間と前記初期化アクノリッジメントパケット時間を比較するステップと、
前記アクノリッジメント到着時間が前記初期化アクノリッジメントパケット時間より以前のものである場合、可能性のあるDoS攻撃を示すステップと、
を有することを特徴とする方法。
【請求項11】
請求項10記載の方法であって、
前記ネットワークプロトコルは、IPネットワークプロトコルから構成されることを特徴とする方法。
【請求項12】
請求項10記載の方法であって、
前記ネットワークプロトコルは、TCP/IPネットワークプロトコルから構成され、
前記初期化パケットは、SYNパケットから構成され、
前記初期化アクノリッジメントパケットは、SYN/ACKパケットから構成され、
前記アクノリッジメントパケットは、ACKパケットから構成される、
ことを特徴とする方法。
【請求項13】
ネットワークに通信可能に接続され、ネットワークデータをキャッシュ処理し、DoS攻撃を検出するよう動作可能な複数の攻撃検出モジュールと、
前記ネットワークに通信可能に接続され、前記DoS攻撃の表示を受信し、前記複数の攻撃検出モジュールの1以上から前記キャッシュ処理されたネットワークデータを抽出し、攻撃シグネチャに対し前記キャッシュ処理されたネットワークデータを解析するよう動作可能な少なくとも1つのブローカーモジュールと、
から構成されることを特徴とするコンピュータシステム。
【請求項14】
請求項13記載のコンピュータシステムであって、
前記攻撃検出モジュールは、スイッチ、ルータ、ブリッジ、サーバコンピュータ及びパーソナルコンピュータから構成されるグループから選ばれたネットワーク装置と一体化されることを特徴とするシステム。
【請求項15】
請求項13記載のコンピュータシステムであって、
前記少なくとも1つのブローカーモジュールはさらに、
前記複数のブローカーモジュールの少なくとも1つから攻撃インスタンスデータを受信し、
前記複数の攻撃検出モジュールの1以上からキャッシュ処理されたネットワークパケット情報を受信し、
前記キャッシュ処理されたネットワークパケット情報から1以上の攻撃シグネチャを決定し、
前記攻撃インスタンスデータの少なくとも一部と前記1以上の攻撃シグネチャを比較し、
前記比較により、前記攻撃インスタンスデータの一部と前記1以上の攻撃シグネチャが一致する場合、攻撃対処策を始動する、
よう動作可能であることを特徴とするシステム。
【請求項16】
DoS攻撃を追跡する方法を実行するマシーン実行可能な命令を有するマシーン可読媒体であって、
前記方法は、
ネットワークに通信可能に接続するよう動作可能な複数のブローカーモジュールと複数の攻撃検出モジュールとを提供するステップと、
前記複数の攻撃検出モジュールの第1攻撃検出モジュールからDoS攻撃が行われている可能性があるという表示を受信するステップと、
前記複数の攻撃検出モジュールの1以上からキャッシュ処理されたネットワークパケット情報を受信するステップと、
前記キャッシュ処理されたネットワークパケット情報から攻撃シグネチャを決定するステップと、
前記攻撃シグネチャに基づく攻撃インスタンスデータを前記複数のブローカーモジュールの1以上に送信するステップと、
から構成されることを特徴とするマシーン可読媒体。
【請求項17】
請求項16記載のマシーン可読媒体であって、
前記DoS攻撃が行われている可能性があるという表示を受信するステップはさらに、
前記ネットワーク上の複数のネットワークソースから複数の初期化パケットを受信するステップと、
前記複数の初期化パケットに関する情報をキャッシュ処理するステップと、
前記キャッシュ処理された情報から、アクノリッジを受けなかった前記複数の初期化パケットの計数を決定するステップと、
前記計数が閾値を上回る場合、可能性のあるDoS攻撃を示すステップと、
から構成されることを特徴とするマシーン可読媒体。
【請求項18】
請求項16記載のマシーン可読媒体であって、
前記DoS攻撃は、SYNフラッド攻撃から構成されることを特徴とするマシーン可読媒体。
【請求項19】
請求項16記載のマシーン可読媒体であって、
前記DoS攻撃は、pingフラッド攻撃から構成されることを特徴とするマシーン可読媒体。
【請求項20】
請求項16記載のマシーン可読媒体であって、
前記方法はさらに、前記複数のブローカーモジュールの1以上から前記DoS攻撃に関する状態情報を受信するステップを有することを特徴とするマシーン可読媒体。
【請求項21】
DoS攻撃を追跡する方法を実行するマシーン実行可能な命令を有するマシーン可読媒体であって、
前記方法は、
ネットワークに通信可能に接続される複数のブローカーモジュールと複数の攻撃検出モジュールとを提供するステップと、
前記複数のブローカーモジュールの少なくとも1つから攻撃インスタンスデータを受信するステップと、
前記複数の攻撃検出モジュールの1以上からキャッシュ処理されたネットワークパケット情報を受信するステップと、
前記キャッシュ処理されたネットワークパケット情報から1以上の攻撃シグネチャを決定するステップと、
前記攻撃インスタンスデータの少なくとも一部を前記1以上の攻撃シグネチャと比較するステップと、
前記比較により、前記攻撃インスタンスデータの一部と前記1以上の攻撃シグネチャが一致する場合、攻撃対処策を始動するステップと、
から構成されることを特徴とするマシーン可読媒体。
【請求項22】
請求項21記載のマシーン可読媒体であって、
前記方法はさらに、攻撃状態情報を少なくとも1つのブローカーモジュールに通信するステップを有することを特徴とするマシーン可読媒体。
【請求項23】
請求項21記載のマシーン可読媒体であって、
前記攻撃対処策を始動するステップは、前記DoS攻撃の攻撃元からのパケットをフィルタリングすることを特徴とするマシーン可読媒体。
【請求項24】
DoS攻撃を検出する方法を実行するマシーン実行可能な命令を有するマシーン可読媒体であって、
前記方法は、
プロトコルを有するネットワーク上の複数のネットワークソースから複数の初期化パケットを受信するステップと、
前記初期化パケットに関する情報をキャッシュ処理するステップと、
前記キャッシュ処理された情報からアクノリッジを受けなかった前記複数の初期化パケットの計数を決定するステップと、
前記計数が閾値を上回る場合、可能性のあるDoS攻撃を示すステップと、
から構成されることを特徴とするマシーン可読媒体。
【請求項25】
請求項24記載のマシーン可読媒体であって、さらに、
前記初期化パケットに応答して、初期化アクノリッジメントパケットを送信するステップと、
前記初期化アクノリッジメントパケットに関する初期化アクノリッジメントパケット時間を含む情報をキャッシュ処理するステップと、
前記複数のネットワークソースの1つからアクノリッジメント到着時間を有するアクノリッジメントパケットを受信するステップと、
前記アクノリッジメント到着時間と前記初期化アクノリッジメントパケット時間を比較するステップと、
前記アクノリッジメント到着時間が前記初期化アクノリッジメントパケット時間より以前のものである場合、可能性のあるDoS攻撃を示すステップと、
を有することを特徴とするマシーン可読媒体。
【請求項26】
請求項24記載のマシーン可読媒体であって、
前記ネットワークプロトコルは、IPネットワークプロトコルから構成されることを特徴とするマシーン可読媒体。
【請求項27】
請求項24記載のマシーン可読媒体であって、
前記ネットワークプロトコルは、TCP/IPネットワークプロトコルから構成され、
前記初期化パケットは、SYNパケットから構成され、
前記初期化アクノリッジメントパケットは、SYN/ACKパケットから構成され、
前記アクノリッジメントパケットは、ACKパケットから構成される、
ことを特徴とするマシーン可読媒体。
【請求項1】
DoS(Denial−of−Service)攻撃を追跡する方法であって、
ネットワークに通信可能に接続するよう動作可能な複数のブローカーモジュールと複数の攻撃検出モジュールとを提供するステップと、
前記複数の攻撃検出モジュールの第1攻撃検出モジュールからDoS攻撃が行われている可能性があるという表示を受信するステップと、
前記複数の攻撃検出モジュールの1以上からキャッシュ処理されたネットワークパケット情報を受信するステップと、
前記キャッシュ処理されたネットワークパケット情報から攻撃シグネチャを決定するステップと、
前記攻撃シグネチャに基づく攻撃インスタンスデータを前記複数のブローカーモジュールの1以上に送信するステップと、
から構成されることを特徴とする方法。
【請求項2】
請求項1記載の方法であって、
前記DoS攻撃は、SYNフラッド攻撃から構成されることを特徴とする方法。
【請求項3】
請求項1記載の方法であって、
前記DoS攻撃は、pingフラッド攻撃から構成されることを特徴とする方法。
【請求項4】
請求項1記載の方法であって、
前記DoS攻撃が行われている可能性があるという表示を受信するステップはさらに、
前記ネットワーク上の複数のネットワークソースから複数の初期化パケットを受信するステップと、
前記複数の初期化パケットに関する情報をキャッシュ処理するステップと、
前記キャッシュ処理された情報から、アクノリッジを受けなかった前記複数の初期化パケットの計数を決定するステップと、
前記計数が閾値を上回る場合、可能性のあるDoS攻撃を示すステップと、
から構成されることを特徴とする方法。
【請求項5】
請求項1記載の方法であって、さらに、
前記複数のブローカーモジュールの1以上から前記DoS攻撃に関する状態情報を受信するステップを有することを特徴とする方法。
【請求項6】
DoS攻撃を追跡する方法であって、
ネットワークに通信可能に接続される複数のブローカーモジュールと複数の攻撃検出モジュールとを提供するステップと、
前記複数のブローカーモジュールの少なくとも1つから攻撃インスタンスデータを受信するステップと、
前記複数の攻撃検出モジュールの1以上からキャッシュ処理されたネットワークパケット情報を受信するステップと、
前記キャッシュ処理されたネットワークパケット情報から1以上の攻撃シグネチャを決定するステップと、
前記攻撃インスタンスデータの少なくとも一部を前記1以上の攻撃シグネチャと比較するステップと、
前記比較により、前記攻撃インスタンスデータの一部と前記1以上の攻撃シグネチャが一致する場合、攻撃対処策を始動するステップと、
から構成されることを特徴とする方法。
【請求項7】
請求項6記載の方法であって、さらに、
攻撃状態情報を少なくとも1つのブローカーモジュールに通信するステップを有することを特徴とする方法。
【請求項8】
請求項6記載の方法であって、
前記攻撃対処策を始動するステップは、前記DoS攻撃の攻撃元からのパケットをフィルタリングすることを特徴とする方法。
【請求項9】
DoS攻撃を検出する方法であって、
プロトコルを有するネットワーク上の複数のネットワークソースから複数の初期化パケットを受信するステップと、
前記初期化パケットに関する情報をキャッシュ処理するステップと、
前記キャッシュ処理された情報からアクノリッジを受けなかった前記複数の初期化パケットの計数を決定するステップと、
前記計数が閾値を上回る場合、可能性のあるDoS攻撃を示すステップと、
から構成されることを特徴とする方法。
【請求項10】
請求項9記載の方法であって、さらに、
前記初期化パケットに応答して、初期化アクノリッジメントパケットを送信するステップと、
前記初期化アクノリッジメントパケットに関する初期化アクノリッジメントパケット時間を含む情報をキャッシュ処理するステップと、
前記複数のネットワークソースの1つからアクノリッジメント到着時間を有するアクノリッジメントパケットを受信するステップと、
前記アクノリッジメント到着時間と前記初期化アクノリッジメントパケット時間を比較するステップと、
前記アクノリッジメント到着時間が前記初期化アクノリッジメントパケット時間より以前のものである場合、可能性のあるDoS攻撃を示すステップと、
を有することを特徴とする方法。
【請求項11】
請求項10記載の方法であって、
前記ネットワークプロトコルは、IPネットワークプロトコルから構成されることを特徴とする方法。
【請求項12】
請求項10記載の方法であって、
前記ネットワークプロトコルは、TCP/IPネットワークプロトコルから構成され、
前記初期化パケットは、SYNパケットから構成され、
前記初期化アクノリッジメントパケットは、SYN/ACKパケットから構成され、
前記アクノリッジメントパケットは、ACKパケットから構成される、
ことを特徴とする方法。
【請求項13】
ネットワークに通信可能に接続され、ネットワークデータをキャッシュ処理し、DoS攻撃を検出するよう動作可能な複数の攻撃検出モジュールと、
前記ネットワークに通信可能に接続され、前記DoS攻撃の表示を受信し、前記複数の攻撃検出モジュールの1以上から前記キャッシュ処理されたネットワークデータを抽出し、攻撃シグネチャに対し前記キャッシュ処理されたネットワークデータを解析するよう動作可能な少なくとも1つのブローカーモジュールと、
から構成されることを特徴とするコンピュータシステム。
【請求項14】
請求項13記載のコンピュータシステムであって、
前記攻撃検出モジュールは、スイッチ、ルータ、ブリッジ、サーバコンピュータ及びパーソナルコンピュータから構成されるグループから選ばれたネットワーク装置と一体化されることを特徴とするシステム。
【請求項15】
請求項13記載のコンピュータシステムであって、
前記少なくとも1つのブローカーモジュールはさらに、
前記複数のブローカーモジュールの少なくとも1つから攻撃インスタンスデータを受信し、
前記複数の攻撃検出モジュールの1以上からキャッシュ処理されたネットワークパケット情報を受信し、
前記キャッシュ処理されたネットワークパケット情報から1以上の攻撃シグネチャを決定し、
前記攻撃インスタンスデータの少なくとも一部と前記1以上の攻撃シグネチャを比較し、
前記比較により、前記攻撃インスタンスデータの一部と前記1以上の攻撃シグネチャが一致する場合、攻撃対処策を始動する、
よう動作可能であることを特徴とするシステム。
【請求項16】
DoS攻撃を追跡する方法を実行するマシーン実行可能な命令を有するマシーン可読媒体であって、
前記方法は、
ネットワークに通信可能に接続するよう動作可能な複数のブローカーモジュールと複数の攻撃検出モジュールとを提供するステップと、
前記複数の攻撃検出モジュールの第1攻撃検出モジュールからDoS攻撃が行われている可能性があるという表示を受信するステップと、
前記複数の攻撃検出モジュールの1以上からキャッシュ処理されたネットワークパケット情報を受信するステップと、
前記キャッシュ処理されたネットワークパケット情報から攻撃シグネチャを決定するステップと、
前記攻撃シグネチャに基づく攻撃インスタンスデータを前記複数のブローカーモジュールの1以上に送信するステップと、
から構成されることを特徴とするマシーン可読媒体。
【請求項17】
請求項16記載のマシーン可読媒体であって、
前記DoS攻撃が行われている可能性があるという表示を受信するステップはさらに、
前記ネットワーク上の複数のネットワークソースから複数の初期化パケットを受信するステップと、
前記複数の初期化パケットに関する情報をキャッシュ処理するステップと、
前記キャッシュ処理された情報から、アクノリッジを受けなかった前記複数の初期化パケットの計数を決定するステップと、
前記計数が閾値を上回る場合、可能性のあるDoS攻撃を示すステップと、
から構成されることを特徴とするマシーン可読媒体。
【請求項18】
請求項16記載のマシーン可読媒体であって、
前記DoS攻撃は、SYNフラッド攻撃から構成されることを特徴とするマシーン可読媒体。
【請求項19】
請求項16記載のマシーン可読媒体であって、
前記DoS攻撃は、pingフラッド攻撃から構成されることを特徴とするマシーン可読媒体。
【請求項20】
請求項16記載のマシーン可読媒体であって、
前記方法はさらに、前記複数のブローカーモジュールの1以上から前記DoS攻撃に関する状態情報を受信するステップを有することを特徴とするマシーン可読媒体。
【請求項21】
DoS攻撃を追跡する方法を実行するマシーン実行可能な命令を有するマシーン可読媒体であって、
前記方法は、
ネットワークに通信可能に接続される複数のブローカーモジュールと複数の攻撃検出モジュールとを提供するステップと、
前記複数のブローカーモジュールの少なくとも1つから攻撃インスタンスデータを受信するステップと、
前記複数の攻撃検出モジュールの1以上からキャッシュ処理されたネットワークパケット情報を受信するステップと、
前記キャッシュ処理されたネットワークパケット情報から1以上の攻撃シグネチャを決定するステップと、
前記攻撃インスタンスデータの少なくとも一部を前記1以上の攻撃シグネチャと比較するステップと、
前記比較により、前記攻撃インスタンスデータの一部と前記1以上の攻撃シグネチャが一致する場合、攻撃対処策を始動するステップと、
から構成されることを特徴とするマシーン可読媒体。
【請求項22】
請求項21記載のマシーン可読媒体であって、
前記方法はさらに、攻撃状態情報を少なくとも1つのブローカーモジュールに通信するステップを有することを特徴とするマシーン可読媒体。
【請求項23】
請求項21記載のマシーン可読媒体であって、
前記攻撃対処策を始動するステップは、前記DoS攻撃の攻撃元からのパケットをフィルタリングすることを特徴とするマシーン可読媒体。
【請求項24】
DoS攻撃を検出する方法を実行するマシーン実行可能な命令を有するマシーン可読媒体であって、
前記方法は、
プロトコルを有するネットワーク上の複数のネットワークソースから複数の初期化パケットを受信するステップと、
前記初期化パケットに関する情報をキャッシュ処理するステップと、
前記キャッシュ処理された情報からアクノリッジを受けなかった前記複数の初期化パケットの計数を決定するステップと、
前記計数が閾値を上回る場合、可能性のあるDoS攻撃を示すステップと、
から構成されることを特徴とするマシーン可読媒体。
【請求項25】
請求項24記載のマシーン可読媒体であって、さらに、
前記初期化パケットに応答して、初期化アクノリッジメントパケットを送信するステップと、
前記初期化アクノリッジメントパケットに関する初期化アクノリッジメントパケット時間を含む情報をキャッシュ処理するステップと、
前記複数のネットワークソースの1つからアクノリッジメント到着時間を有するアクノリッジメントパケットを受信するステップと、
前記アクノリッジメント到着時間と前記初期化アクノリッジメントパケット時間を比較するステップと、
前記アクノリッジメント到着時間が前記初期化アクノリッジメントパケット時間より以前のものである場合、可能性のあるDoS攻撃を示すステップと、
を有することを特徴とするマシーン可読媒体。
【請求項26】
請求項24記載のマシーン可読媒体であって、
前記ネットワークプロトコルは、IPネットワークプロトコルから構成されることを特徴とするマシーン可読媒体。
【請求項27】
請求項24記載のマシーン可読媒体であって、
前記ネットワークプロトコルは、TCP/IPネットワークプロトコルから構成され、
前記初期化パケットは、SYNパケットから構成され、
前記初期化アクノリッジメントパケットは、SYN/ACKパケットから構成され、
前記アクノリッジメントパケットは、ACKパケットから構成される、
ことを特徴とするマシーン可読媒体。
【図1】
【図2】
【図3A】
【図3B】
【図4】
【図2】
【図3A】
【図3B】
【図4】
【公表番号】特表2006−512856(P2006−512856A)
【公表日】平成18年4月13日(2006.4.13)
【国際特許分類】
【出願番号】特願2004−565594(P2004−565594)
【出願日】平成15年12月18日(2003.12.18)
【国際出願番号】PCT/US2003/040595
【国際公開番号】WO2004/062232
【国際公開日】平成16年7月22日(2004.7.22)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
Linux
【出願人】(593096712)インテル コーポレイション (931)
【Fターム(参考)】
【公表日】平成18年4月13日(2006.4.13)
【国際特許分類】
【出願日】平成15年12月18日(2003.12.18)
【国際出願番号】PCT/US2003/040595
【国際公開番号】WO2004/062232
【国際公開日】平成16年7月22日(2004.7.22)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
Linux
【出願人】(593096712)インテル コーポレイション (931)
【Fターム(参考)】
[ Back to top ]