JPWO2019142115A5 - - Google Patents
Download PDFInfo
- Publication number
- JPWO2019142115A5 JPWO2019142115A5 JP2020560628A JP2020560628A JPWO2019142115A5 JP WO2019142115 A5 JPWO2019142115 A5 JP WO2019142115A5 JP 2020560628 A JP2020560628 A JP 2020560628A JP 2020560628 A JP2020560628 A JP 2020560628A JP WO2019142115 A5 JPWO2019142115 A5 JP WO2019142115A5
- Authority
- JP
- Japan
- Prior art keywords
- network
- header
- verification
- packet
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004044 response Effects 0.000 claims 25
- 238000010200 validation analysis Methods 0.000 claims 24
- 238000000034 method Methods 0.000 claims 10
- 230000005540 biological transmission Effects 0.000 claims 4
Claims (40)
パケット・ヘッダの構造およびコンテンツに関するパラメータを定義するパケット・ヘッダ検証ルールを記憶するメモリと、
前記クライアント計算デバイスおよび前記ネットワークに接続するための通信インターフェースと、
前記メモリおよび前記通信インターフェースと相互接続されたプロセッサであって、
前記クライアント計算デバイスに送信するための前記ネットワークからの着信パケットを受信したことに応答して、該着信パケットから着信ヘッダを抽出することと、
前記パケット・ヘッダ検証ルールに従って前記着信ヘッダの構造およびコンテンツの検証を実行することであって、
前記着信パケットの前記着信ヘッダから現在のルーティング経路を取得することと、
前記メモリから、記憶されたルーティング経路を取得することと、
前記記憶されたルーティング経路と前記現在のルーティング経路が、前記パケット・ヘッダ検証ルールにおいて定義されたしきい値数の類似ポイントを含むかどうかを決定することと、
該現在のルーティング経路の1つまたは複数のロケーションが、前記パケット・ヘッダ検証ルールにおいて定義された制限付きロケーション・リスト上のロケーションに一致するかどうかを決定することと、
(1)前記記憶されたルーティング経路および前記現在のルーティング経路がしきい値数の類似ポイントを含むことが決定されたとき、及び(2)前記現在のルーティング経路の前記ロケーションのいずれも前記制限付きロケーション・リスト上の前記ロケーションに一致しないとき、前記着信ヘッダの前記検証が成功したことを決定すること
により検証を実行することと、
前記着信ヘッダの検証の成功に応答して、前記クライアント計算デバイスに前記着信パケットを送信することと
を行うように構成された、プロセッサと
を備えるネットワーク・セキュリティ・デバイス。 A network security device for mediating communication between client computing devices and networks.
Memory that stores packet header validation rules that define parameters for packet header structure and content,
A communication interface for connecting to the client computing device and the network,
A processor interconnected with the memory and the communication interface.
Extracting an incoming header from an incoming packet in response to receiving an incoming packet from the network for transmission to the client computing device.
Performing verification of the structure and content of the incoming header in accordance with the packet header verification rules .
Acquiring the current routing route from the incoming header of the incoming packet,
Acquiring the stored routing route from the memory and
Determining whether the stored routing route and the current routing route contain a number of similar points defined in the packet header validation rule.
Determining whether one or more locations on the current routing route match a location on the restricted location list defined in the packet header validation rule.
Both (1) when it is determined that the stored routing route and the current routing route contain a threshold number of similar points, and (2) the location of the current routing route are said limited. Determining that the validation of the incoming header was successful when it does not match the location on the location list.
To perform verification by
A network security device comprising a processor configured to send the incoming packet to the client computing device in response to a successful validation of the incoming header.
前記メモリからセッション情報を取得することと、
前記着信パケットの前記着信ヘッダから応答シーケンスを取得することと、
該応答シーケンスが前記セッション情報に対応するとき、前記着信ヘッダの前記検証が成功したことを決定することと
によって、前記着信ヘッダの前記検証を実行するように構成された請求項1に記載のネットワーク・セキュリティ・デバイス。 The processor
Acquiring session information from the memory and
Obtaining a response sequence from the incoming header of the incoming packet and
The network of claim 1, wherein when the response sequence corresponds to the session information, the validation of the incoming header is configured to perform the validation by determining that the validation of the incoming header is successful. -Security device.
前記着信ヘッダの前記構造において利用される通信プロトコルを識別することと、
該識別された通信プロトコルが、前記パケット・ヘッダ検証ルールにおいて定義されたベースライン通信プロトコルに一致するとき、前記着信ヘッダの前記検証が成功したことを決定すること
とによって、前記着信ヘッダの前記検証を実行するように構成された請求項1に記載のネットワーク・セキュリティ・デバイス。 The processor
Identifying the communication protocol used in the structure of the incoming header
The validation of the incoming header by determining that the validation of the incoming header was successful when the identified communication protocol matches the baseline communication protocol defined in the packet header validation rule. The network security device according to claim 1, which is configured to perform the above.
ネットワーク情報を取得することと、
前記メモリに記憶された予備検証ルールに基づいて前記ネットワーク情報に対する予備検証を実行することと、
予備検証の成功に応答して、前記ネットワークに接続するように前記通信インターフェースを制御することと
を行うように構成された請求項1に記載のネットワーク・セキュリティ・デバイス。 In response to a request from the client computing device to connect to the network, the processor
To get network information and
Performing preliminary verification against the network information based on the preliminary verification rule stored in the memory,
The network security device according to claim 1, wherein the communication interface is controlled to connect to the network in response to the success of the preliminary verification.
前記ネットワークにおいて利用される通信プロトコルを識別することと、
前記予備検証ルールに従って、前記識別された通信プロトコルを検証することと
によって、前記予備検証を実行するように構成された請求項5に記載のネットワーク・セキュリティ・デバイス。 The processor
Identifying the communication protocol used in the network and
The network security device of claim 5 , configured to perform the preliminary verification by verifying the identified communication protocol in accordance with the preliminary verification rule.
ネットワーク・ルーティング経路を取得し、前記メモリに該ネットワーク・ルーティング経路を記憶することと、
前記予備検証ルールに従って、前記ネットワーク・ルーティング経路を検証することと
によって、前記予備検証を実行するように構成された請求項5に記載のネットワーク・セキュリティ・デバイス。 The processor
Acquiring a network routing route and storing the network routing route in the memory,
The network security device of claim 5 , configured to perform the preliminary verification by verifying the network routing route according to the preliminary verification rule.
前記ネットワークに送信するための前記クライアント計算デバイスからの発信パケットを受信したことに応答して、該発信パケットから発信ヘッダを抽出することと、
前記パケット・ヘッダ検証ルールに従って前記発信ヘッダの構造およびコンテンツの検証を実行することと、
前記発信ヘッダの検証の成功に応答して、前記ネットワークに前記発信パケットを送信することと
を行うようにさらに構成された請求項1に記載のネットワーク・セキュリティ・デバイス。 The processor
Extracting the outgoing header from the outgoing packet in response to receiving the outgoing packet from the client computing device for transmission to the network.
Performing verification of the structure and content of the outgoing header according to the packet header verification rule,
The network security device of claim 1, further configured to transmit the outgoing packet to the network in response to a successful verification of the outgoing header.
前記発信パケットの前記発信ヘッダから現在のルーティング経路を取得することと、
該現在のルーティング経路の1つまたは複数のロケーションが、前記パケット・ヘッダ検証ルールにおいて定義された制限付きロケーション・リスト上のロケーションに一致するかどうかを決定することと、
前記現在のルーティング経路の前記ロケーションのいずれも前記制限付きロケーション・リスト上の前記ロケーションに一致しないとき、前記発信ヘッダの前記検証が成功したことを決定することと
によって、前記発信ヘッダの前記検証を実行するように構成された請求項8に記載のネットワーク・セキュリティ・デバイス。 The processor
Acquiring the current routing route from the outgoing header of the outgoing packet,
Determining whether one or more locations on the current routing route match a location on the restricted location list defined in the packet header validation rule.
The validation of the outgoing header is performed by determining that the validation of the outgoing header was successful when none of the locations of the current routing route match the location on the restricted location list. The network security device of claim 8 , which is configured to perform.
前記メモリから、記憶されたネットワーク・トラフィック量データを取得することと、
現在のネットワーク・トラフィック量を検出することと、
前記記憶されたネットワーク・トラフィック量データおよび前記現在のネットワーク・トラフィック量がしきい値類似度の範囲内であるかどうかを決定することと、
前記決定が肯定的であるとき、前記検証が成功したことを決定することと
によって、ネットワーク使用検証を実行するようにさらに構成された請求項1に記載のネットワーク・セキュリティ・デバイス。 The processor
Acquiring the stored network traffic amount data from the memory,
To detect the current network traffic volume and
Determining whether the stored network traffic volume data and the current network traffic volume are within the threshold similarity.
The network security device of claim 1, further configured to perform network usage verification by determining that the verification was successful when the decision is affirmative.
ドメイン・ネーム・システム(DNS)要求に応答して、前記メモリから信頼されたドメイン・ネーム・サーバのあらかじめ記憶されたアドレスを取り出すことと、
前記暗号化された通信プロトコルを介して前記信頼されたドメイン・ネーム・サーバに前記DNS要求を転送するように前記通信インターフェースを制御することと
を行うようにさらに構成された請求項14に記載のネットワーク・セキュリティ・デバイス。 The processor
Retrieving a pre-stored address of a trusted domain name server from said memory in response to a Domain Name System (DNS) request.
14. Claim 14 , further configured to control the communication interface to forward the DNS request to the trusted domain name server via the encrypted communication protocol. Network security device.
パケット・ヘッダの構造およびコンテンツに関するパラメータを定義するパケット・ヘッダ検証ルールを記憶する工程と、 The process of storing packet header validation rules that define parameters for packet header structure and content, and
前記クライアント計算デバイスおよび前記ネットワークに接続する工程と、 The process of connecting to the client computing device and the network, and
前記クライアント計算デバイスに送信するための前記ネットワークからの着信パケットを受信したことに応答して、該着信パケットから着信ヘッダを抽出し、前記パケット・ヘッダ検証ルールに従って前記着信ヘッダの構造およびコンテンツの検証を実行する工程であって、 In response to receiving an incoming packet from the network for transmission to the client computing device, an incoming header is extracted from the incoming packet and the structure and content of the incoming header is verified according to the packet header verification rule. Is the process of executing
前記着信パケットの前記着信ヘッダから現在のルーティング経路を取得することと、 Acquiring the current routing route from the incoming header of the incoming packet,
メモリから、記憶されたルーティング経路を取得することと、 To get the stored routing route from the memory,
前記記憶されたルーティング経路と前記現在のルーティング経路が、前記パケット・ヘッダ検証ルールにおいて定義されたしきい値数の類似ポイントを含むかどうかを決定することと、 Determining whether the stored routing route and the current routing route contain a number of similar points defined in the packet header validation rule.
該現在のルーティング経路の1つまたは複数のロケーションが、前記パケット・ヘッダ検証ルールにおいて定義された制限付きロケーション・リスト上のロケーションに一致するかどうかを決定することと、 Determining whether one or more locations on the current routing route match a location on the restricted location list defined in the packet header validation rule.
(1)前記記憶されたルーティング経路および前記現在のルーティング経路がしきい値数の類似ポイントを含むことが決定されたとき、及び(2)前記現在のルーティング経路の前記ロケーションのいずれも前記制限付きロケーション・リスト上の前記ロケーションに一致しないとき、前記着信ヘッダの前記検証が成功したことを決定すること Both (1) when it is determined that the stored routing route and the current routing route contain a threshold number of similar points, and (2) the location of the current routing route are said limited. Determining that the validation of the incoming header was successful when it does not match the location on the location list.
により検証を実行する工程と、 And the process of performing verification by
前記着信ヘッダの検証の成功に応答して、前記クライアント計算デバイスに前記着信パケットを送信する工程と A step of transmitting the incoming packet to the client computing device in response to the successful verification of the incoming header.
を有する方法。How to have.
該識別された通信プロトコルが、前記パケット・ヘッダ検証ルールにおいて定義されたベースライン通信プロトコルに一致するとき、前記着信ヘッダの前記検証が成功したことを決定すること Determining that the validation of the incoming header was successful when the identified communication protocol matches the baseline communication protocol defined in the packet header validation rule.
によって、前記着信ヘッダの前記検証を実行する請求項22に記載の方法。22. The method of claim 22, wherein the verification of the incoming header is performed.
ネットワーク情報を取得する工程と、 The process of acquiring network information and
記憶された予備検証ルールに基づいて前記ネットワーク情報に対する予備検証を実行する工程と、 The process of performing preliminary verification against the network information based on the stored preliminary verification rules, and
予備検証の成功に応答して、前記ネットワークに接続する工程と The process of connecting to the network in response to the success of the preliminary verification
を有する請求項22に記載の方法。22. The method of claim 22.
前記予備検証ルールに従って、前記識別された通信プロトコルを検証すること Verifying the identified communication protocol according to the preliminary verification rules.
によって、前記予備検証を実行する請求項24に記載の方法。24. The method of claim 24, wherein the preliminary verification is performed.
前記予備検証ルールに従って、前記ネットワーク・ルーティング経路を検証すること Verifying the network routing route according to the preliminary verification rule.
によって、前記予備検証を実行する請求項24に記載の方法。24. The method of claim 24, wherein the preliminary verification is performed.
前記パケット・ヘッダ検証ルールに従って前記発信ヘッダの構造およびコンテンツの検証を実行する工程と、 The process of performing verification of the structure and contents of the outgoing header according to the packet header verification rule, and
前記発信ヘッダの検証の成功に応答して、前記ネットワークに前記発信パケットを送信する工程と The step of transmitting the outgoing packet to the network in response to the successful verification of the outgoing header.
を有する請求項22に記載の方法。22. The method of claim 22.
該現在のルーティング経路の1つまたは複数のロケーションが、前記パケット・ヘッダ検証ルールにおいて定義された制限付きロケーション・リスト上のロケーションに一致するかどうかを決定し、 Determining if one or more locations on the current routing route match a location on the restricted location list defined in the packet header validation rule.
前記現在のルーティング経路の前記ロケーションのいずれも前記制限付きロケーション・リスト上の前記ロケーションに一致しないとき、前記発信ヘッダの前記検証が成功したことを決定すること Determining that the validation of the outgoing header was successful when none of the locations on the current routing route match the location on the restricted location list.
によって、前記発信ヘッダの前記検証を実行する請求項27に記載の方法。27. The method of claim 27, which performs the verification of the outgoing header.
現在のネットワーク・トラフィック量を検出し、 Detects the current network traffic volume and
前記記憶されたネットワーク・トラフィック量データおよび前記現在のネットワーク・トラフィック量がしきい値類似度の範囲内であるかどうかを決定し、 Determine if the stored network traffic volume data and the current network traffic volume are within the threshold similarity.
前記決定が肯定的であるとき、前記検証が成功したことを決定すること To determine that the verification was successful when the decision is positive.
によって、ネットワーク使用検証を実行する請求項22に記載の方法。22. The method of claim 22 for performing network usage verification by.
前記暗号化された通信プロトコルを介して前記信頼されたドメイン・ネーム・サーバに前記DNS要求を転送する工程と With the step of forwarding the DNS request to the trusted domain name server via the encrypted communication protocol.
を有する請求項33に記載の方法。33. The method of claim 33.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862618457P | 2018-01-17 | 2018-01-17 | |
US62/618,457 | 2018-01-17 | ||
PCT/IB2019/050347 WO2019142115A1 (en) | 2018-01-17 | 2019-01-16 | Device and method for securing a network connection |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2021512564A JP2021512564A (en) | 2021-05-13 |
JPWO2019142115A5 true JPWO2019142115A5 (en) | 2022-01-24 |
JP7140845B2 JP7140845B2 (en) | 2022-09-21 |
Family
ID=67300977
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020560628A Active JP7140845B2 (en) | 2018-01-17 | 2019-01-16 | Devices and methods for securing network connections |
Country Status (6)
Country | Link |
---|---|
US (1) | US11012413B2 (en) |
EP (1) | EP3741086B1 (en) |
JP (1) | JP7140845B2 (en) |
CA (2) | CA3100337A1 (en) |
ES (1) | ES2953542T3 (en) |
WO (1) | WO2019142115A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11283880B2 (en) * | 2019-04-15 | 2022-03-22 | International Business Machines Corporation | Termination of database connection |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US8037144B2 (en) * | 2004-05-25 | 2011-10-11 | Google Inc. | Electronic message source reputation information system |
US7716472B2 (en) | 2005-12-29 | 2010-05-11 | Bsecure Technologies, Inc. | Method and system for transparent bridging and bi-directional management of network data |
US7916641B2 (en) * | 2006-06-29 | 2011-03-29 | Wi-Lan, Inc. | System and process for packet delineation |
US10027693B2 (en) * | 2009-11-26 | 2018-07-17 | Huawei Digital Technologies (Cheng Du) Co., Limited | Method, device and system for alerting against unknown malicious codes within a network environment |
WO2013154532A1 (en) | 2012-04-10 | 2013-10-17 | Intel Corporation | Techniques to monitor connection paths on networked devices |
CN103581120B (en) * | 2012-07-24 | 2018-04-20 | 阿里巴巴集团控股有限公司 | A kind of method and apparatus for identifying consumer's risk |
US9479434B2 (en) * | 2013-07-19 | 2016-10-25 | Fabric Embedded Tools Corporation | Virtual destination identification for rapidio network elements |
JP6310874B2 (en) | 2015-03-12 | 2018-04-11 | 株式会社日立製作所 | Incident detection system |
US10038609B2 (en) * | 2015-06-19 | 2018-07-31 | Cisco Technology, Inc. | Network traffic analysis |
-
2019
- 2019-01-16 CA CA3100337A patent/CA3100337A1/en active Pending
- 2019-01-16 EP EP19741684.5A patent/EP3741086B1/en active Active
- 2019-01-16 JP JP2020560628A patent/JP7140845B2/en active Active
- 2019-01-16 ES ES19741684T patent/ES2953542T3/en active Active
- 2019-01-16 CA CA3058867A patent/CA3058867C/en active Active
- 2019-01-16 WO PCT/IB2019/050347 patent/WO2019142115A1/en unknown
- 2019-01-16 US US16/603,391 patent/US11012413B2/en active Active
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9876760B2 (en) | Peer-to-peer connection establishment using turn | |
US20190007316A1 (en) | Controller for software defined network | |
WO2022151867A1 (en) | Method and apparatus for converting http into https bidirectional transparent proxy | |
US7143169B1 (en) | Methods and apparatus for directing messages to computer systems based on inserted data | |
US8438614B2 (en) | Communication system, relay apparatus, terminal apparatus and computer readable medium | |
US20160212098A1 (en) | Load balancing internet protocol security tunnels | |
US8990573B2 (en) | System and method for using variable security tag location in network communications | |
KR20050045943A (en) | Group judgment device | |
AU2013208840B2 (en) | Device arrangement and method for implementing a data transfer network used in remote control of properties | |
US20190166042A1 (en) | Method for data transmitting, centralized controller, forwarding plane device and communication apparatus | |
JP4852379B2 (en) | Packet communication device | |
CN108429682A (en) | A kind of optimization method and system of network transmission link | |
CN112468469B (en) | Method and device for ensuring homologous co-homing of multi-homing messages of SCTP (stream control Transmission protocol) | |
CN111641545B (en) | Tunnel detection method and device, equipment and storage medium | |
CN106254433B (en) | Method and device for establishing TCP communication connection | |
US9413653B2 (en) | Communication system and server | |
CN110971701B (en) | Internet of things communication method and device | |
CN109150925B (en) | IPoE static authentication method and system | |
CN112870692B (en) | Game acceleration method, acceleration system, acceleration device and storage medium | |
JPWO2019142115A5 (en) | ||
JP6852495B2 (en) | Address translation device, information processing system, and control method of information processing system | |
JP3929969B2 (en) | COMMUNICATION SYSTEM, SERVER, TERMINAL DEVICE, COMMUNICATION METHOD, PROGRAM, AND STORAGE MEDIUM | |
KR101586058B1 (en) | Device for connecting peer-to-peer communication considering nat types and method connecting peer-to-peer communication using the same | |
US9246880B2 (en) | Methods for secure communication between network device services and devices thereof | |
CN113676540B (en) | Connection establishment method and device |