Processing

Please wait...

PATENTSCOPE will be unavailable a few hours for maintenance reason on Saturday 31.10.2020 at 7:00 AM CET
Settings

Settings

Goto Application

1. WO2007142813 - METHOD AND APPARATUS FOR LARGE-SCALE AUTOMATED DISTRIBUTED DENIAL OF SERVICE ATTACK DETECTION

Publication Number WO/2007/142813
Publication Date 13.12.2007
International Application No. PCT/US2007/012125
International Filing Date 22.05.2007
Chapter 2 Demand Filed 07.02.2008
IPC
H04L 29/06 2006.01
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
29Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/-H04L27/136
02Communication control; Communication processing
06characterised by a protocol
CPC
H04L 63/1425
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1408by monitoring network traffic
1425Traffic logging, e.g. anomaly detection
H04L 63/1458
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1441Countermeasures against malicious traffic
1458Denial of Service
Applicants
  • AT & T CORP [US]/[US] (AllExceptUS)
  • DUFFIELD, Nicholas [US]/[US] (UsOnly)
  • VAN DER MERWE, Jacobus [ZA]/[US] (UsOnly)
  • SEKAR, Vyas [IN]/[US] (UsOnly)
  • SPATSCHECK, Oliver [DE]/[US] (UsOnly)
Inventors
  • DUFFIELD, Nicholas
  • VAN DER MERWE, Jacobus
  • SEKAR, Vyas
  • SPATSCHECK, Oliver
Agents
  • MARSHALL, Donald, E.
Priority Data
11/452,62314.06.2006US
60/810,49702.06.2006US
Publication Language English (EN)
Filing Language English (EN)
Designated States
Title
(EN) METHOD AND APPARATUS FOR LARGE-SCALE AUTOMATED DISTRIBUTED DENIAL OF SERVICE ATTACK DETECTION
(FR) PROCÉDÉ ET APPAREIL POUR UNE DÉTECTION D'ATTAQUE DE DÉNI DE SERVICE À GRANDE ÉCHELLE DISTRIBUÉ AUTOMATIQUEMENT
Abstract
(EN)
A multi-staged framework for detecting and diagnosing Denial of Service attacks is disclosed in which a low-cost anomaly detection mechanism is first used to collect coarse data, such as may be obtained from Simple Network Management Protocol (SNMP) data flows. Such data is analyzed to detect volume anomalies that could possibly be indicative of a DDoS attack. If such an anomaly is suspected, incident reports are then generated and used to trigger the collection and analysis of fine grained data, such as that available in Netflow data flows. Both types of collection and analysis are illustratively conducted at edge routers within the service provider network that interface customers and customer networks to the service provider. Once records of the more detailed information have been retrieved, they are examined to determine whether the anomaly represents a distributed denial of service attack, at which point an alarm is generated.
(FR)
L'invention décrit une structure à plusieurs étapes pour détecter et diagnostiquer des attaques de Déni de Service, dans laquelle un mécanisme de détection d'anomalies de faible coût est tout d'abord utilisé pour collecter des données grossières, telles que celles qui peuvent être obtenues à partir de flux de données de Protocole Simple de Gestion de Réseau (SNMP). De telles données sont analysées pour détecter des anomalies de volume qui pourraient, le cas échéant, être indicatives d'une attaque de Déni de Service distribué. Si une telle anomalie est suspectée, des rapports d'incident sont générés et utilisés pour déclencher la collecte et l'analyse des données à grains fins, telles que celles disponibles dans les flux de données de Netflow. Les deux types de collecte et d'analyse sont conduits de manière illustrative au niveau de routeurs de bordure à l'intérieur du réseau de fournisseur de service qui interface les clients et les réseaux de clients au fournisseur de service. Après que les enregistrements des informations les plus détaillées sont récupérés, ils sont examinés pour déterminer si l'anomalie représente une attaque de déni de service distribué, et s'il y a lieu de déclencher une alarme.
Also published as
Latest bibliographic data on file with the International Bureau