Traitement en cours

Veuillez attendre...

Paramétrages

Paramétrages

1. WO2007142813 - PROCÉDÉ ET APPAREIL POUR UNE DÉTECTION D'ATTAQUE DE DÉNI DE SERVICE À GRANDE ÉCHELLE DISTRIBUÉ AUTOMATIQUEMENT

Numéro de publication WO/2007/142813
Date de publication 13.12.2007
N° de la demande internationale PCT/US2007/012125
Date du dépôt international 22.05.2007
Demande présentée en vertu du Chapitre 2 07.02.2008
CIB
H04L 29/06 2006.01
HÉLECTRICITÉ
04TECHNIQUE DE LA COMMUNICATION ÉLECTRIQUE
LTRANSMISSION D'INFORMATION NUMÉRIQUE, p.ex. COMMUNICATION TÉLÉGRAPHIQUE
29Dispositions, appareils, circuits ou systèmes non couverts par un seul des groupes H04L1/-H04L27/135
02Commande de la communication; Traitement de la communication
06caractérisés par un protocole
CPC
H04L 63/1425
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1408by monitoring network traffic
1425Traffic logging, e.g. anomaly detection
H04L 63/1458
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1441Countermeasures against malicious traffic
1458Denial of Service
Déposants
  • AT & T CORP [US/US]; One At & T Way Room 2a-207 Bedminster, NJ 07921, US (AllExceptUS)
  • DUFFIELD, Nicholas [US/US]; US (UsOnly)
  • VAN DER MERWE, Jacobus [ZA/US]; US (UsOnly)
  • SEKAR, Vyas [IN/US]; US (UsOnly)
  • SPATSCHECK, Oliver [DE/US]; US (UsOnly)
Inventeurs
  • DUFFIELD, Nicholas; US
  • VAN DER MERWE, Jacobus; US
  • SEKAR, Vyas; US
  • SPATSCHECK, Oliver; US
Mandataires
  • MARSHALL, Donald, E.; Law Office Of Jeffrey M. Weinick, LLC 615 West Mount Pleasant Avenue Livingston, NJ 07039, US
Données relatives à la priorité
11/452,62314.06.2006US
60/810,49702.06.2006US
Langue de publication anglais (EN)
Langue de dépôt anglais (EN)
États désignés
Titre
(EN) METHOD AND APPARATUS FOR LARGE-SCALE AUTOMATED DISTRIBUTED DENIAL OF SERVICE ATTACK DETECTION
(FR) PROCÉDÉ ET APPAREIL POUR UNE DÉTECTION D'ATTAQUE DE DÉNI DE SERVICE À GRANDE ÉCHELLE DISTRIBUÉ AUTOMATIQUEMENT
Abrégé
(EN)
A multi-staged framework for detecting and diagnosing Denial of Service attacks is disclosed in which a low-cost anomaly detection mechanism is first used to collect coarse data, such as may be obtained from Simple Network Management Protocol (SNMP) data flows. Such data is analyzed to detect volume anomalies that could possibly be indicative of a DDoS attack. If such an anomaly is suspected, incident reports are then generated and used to trigger the collection and analysis of fine grained data, such as that available in Netflow data flows. Both types of collection and analysis are illustratively conducted at edge routers within the service provider network that interface customers and customer networks to the service provider. Once records of the more detailed information have been retrieved, they are examined to determine whether the anomaly represents a distributed denial of service attack, at which point an alarm is generated.
(FR)
L'invention décrit une structure à plusieurs étapes pour détecter et diagnostiquer des attaques de Déni de Service, dans laquelle un mécanisme de détection d'anomalies de faible coût est tout d'abord utilisé pour collecter des données grossières, telles que celles qui peuvent être obtenues à partir de flux de données de Protocole Simple de Gestion de Réseau (SNMP). De telles données sont analysées pour détecter des anomalies de volume qui pourraient, le cas échéant, être indicatives d'une attaque de Déni de Service distribué. Si une telle anomalie est suspectée, des rapports d'incident sont générés et utilisés pour déclencher la collecte et l'analyse des données à grains fins, telles que celles disponibles dans les flux de données de Netflow. Les deux types de collecte et d'analyse sont conduits de manière illustrative au niveau de routeurs de bordure à l'intérieur du réseau de fournisseur de service qui interface les clients et les réseaux de clients au fournisseur de service. Après que les enregistrements des informations les plus détaillées sont récupérés, ils sont examinés pour déterminer si l'anomalie représente une attaque de déni de service distribué, et s'il y a lieu de déclencher une alarme.
Également publié en tant que
Dernières données bibliographiques dont dispose le Bureau international