JP2018533145A - コンピュータネットワークのためのポートスクランブル - Google Patents

コンピュータネットワークのためのポートスクランブル Download PDF

Info

Publication number
JP2018533145A
JP2018533145A JP2018530195A JP2018530195A JP2018533145A JP 2018533145 A JP2018533145 A JP 2018533145A JP 2018530195 A JP2018530195 A JP 2018530195A JP 2018530195 A JP2018530195 A JP 2018530195A JP 2018533145 A JP2018533145 A JP 2018533145A
Authority
JP
Japan
Prior art keywords
port
identifier
devices
computer
computerized device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018530195A
Other languages
English (en)
Inventor
ヘリオン、エレツ カプラン
ヘリオン、エレツ カプラン
Original Assignee
サイバー 2.0 (2015) リミテッド
サイバー 2.0 (2015) リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by サイバー 2.0 (2015) リミテッド, サイバー 2.0 (2015) リミテッド filed Critical サイバー 2.0 (2015) リミテッド
Publication of JP2018533145A publication Critical patent/JP2018533145A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

内部コンピュータネットワークにおける通信を安全にするためのポートスクランブルを提供する方法、システム、およびコンピュータプログラム製品が開示される。変換関数が、発信通信が受信されるように指定される第1のポートの識別子に対して適用され、これによって、発信通信が受信されるように導かれる第2のポートの識別子が取得される。変換関数は、コンピュータネットワークの複数の機器間で共有された少なくとも1つのパラメータに依存し、これによって、第2のポートで通信を受信する機器は、第1のポートの識別子を取得し通信をそこに導くために、第2のポートの識別子に対して逆変換関数を適用することが可能になる。変換関数は、発信通信の伝送が複数の機器用の認証されたアプリケーションプログラムのリストに列記されたアプリケーションプログラムによって要求された条件において適用される。

Description

本開示は、概して、コンピュータネットワーク通信、特に、安全なネットワーク通信のためのポートスクランブルに関する。
コンピュータネットワークは、多くの企業および組織の間で広く用いられている。一般に、ネットワーク環境は、互いに相互接続された複数のコンピュータ化機器、および、例えば、ネットワークに接続された1つ以上の共通アクセスを通る等の共有リソースを備える。多くの場合において、ネットワーク環境の機器のいくつかまたは全ては、ワールドワイドウェブ等の1つ以上の外部ネットワークにも同時に接続される。結果として、内部ネットワーク環境の機器のうちのいずれも、種々のセキュリティ脅威および攻撃、特に、「ウイルス」または「ワーム」としても一般的に知られる、自己伝播悪性コードの拡散によりいっそう影響を受ける。一度、ネットワーク内の機器が昜感染性になると、感染は、残りの機器に迅速に広がり、修復不可能な障害を引き起こす。
開示された発明の対象の1つの例示的な実施形態は、コンピュータ実施方法であって、コンピュータ化装置において、第1のポートを介して、送信先で受信されるように指定される発信通信を伝送するために、アプリケーションプログラムの要求を受信することであって、アプリケーションプログラムが、コンピュータ化装置によって実行され、送信先が、コンピュータ化装置の外部の送信先である、受信することと、第1のポートの識別子に対して変換関数を適用し、これによって第2のポートの識別子を取得することであって、前記適用することが、コンピュータネットワークの複数の機器用の認証されたアプリケーションプログラムのリストに列記されているアプリケーションプログラムを条件とする、適用することと、第2のポートを介して送信先で受信されるように発信通信を導くことと、を含み、変換関数は、複数の機器間で共有された少なくとも1つのパラメータに依存し、複数の機器は、コンピュータ化装置を備え、これによって、複数の機器の第2のコンピュータ化装置は、第1のポートの識別子を取得するために第2のポートの識別子に対して逆変換を適用することが可能になる、コンピュータ実施方法である。
開示された発明の対象の別の例示的な実施形態は、コンピュータ実施方法であって、コンピュータ化装置において、第1のポート識別子を有する第1のポートを介して、着信通信を受信することであって、着信通信が、コンピュータネットワークを介して外部機器から受信される、受信することと、第1のポート識別子に対して逆変換関数を適用し、これによって、第2のポートの第2のポート識別子を取得することと、コンピュータ化装置において第1のポートから第2のポートに着信通信をリダイレクトすることと、を含み、逆変換関数は、コンピュータネットワークの複数の機器間で共有された少なくとも1つのパラメータに依存し、複数の機器は、コンピュータ化装置を備える、コンピュータ実施方法である。
開示された発明の対象のさらに別の例示的な実施形態は、プロセッサを有するコンピュータ化装置であって、プロセッサは、コンピュータ化装置において、第1のポートを介して、送信先で受信されるように指定される発信通信を伝送するために、アプリケーションプログラムの要求を受信するステップであって、アプリケーションプログラムが、コンピュータ化装置によって実行され、送信先が、コンピュータ化装置の外部の送信先である、ステップと、第1のポートの識別子に対して変換関数を適用し、これによって第2のポートの識別子を取得するステップであって、前記適用することが、コンピュータネットワークの複数の機器用の認証されたアプリケーションプログラムのリストに列記されているアプリケーションプログラムを条件とする、ステップと、第2のポートを介して送信先で受信されるように発信通信を導くステップと、を実施するように適合されており、変換関数は、複数の機器間で共有された少なくとも1つのパラメータに依存し、複数の機器は、コンピュータ化装置を備え、これによって、複数の機器の第2のコンピュータ化装置は、第1のポートの識別子を取得するために第2のポートの識別子に対して逆変換を適用することが可能になる、コンピュータ化装置である。
開示された発明の対象のさらに別の例示的な実施形態は、プロセッサを有するコンピュータ化装置であって、プロセッサは、コンピュータ化装置において、第1のポート識別子を有する第1のポートを介して、着信通信を受信するステップであって、着信通信が、コンピュータネットワークを介して外部機器から受信される、ステップと、第1のポート識別子に対して逆変換関数を適用し、これによって、第2のポートの第2のポート識別子を取得するステップと、コンピュータ化装置において第1のポートから第2のポートに着信通信をリダイレクトするステップと、を実施するように適合され、逆変換関数は、コンピュータネットワークの複数の機器間で共有された少なくとも1つのパラメータに依存し、複数の機器は、コンピュータ化装置を備える、コンピュータ化装置である。
開示された発明の対象のさらに別の例示的な実施形態は、プログラム命令を保持しているコンピュータ可読記憶媒体を備えるコンピュータプログラム製品であって、プログラム命令は、プロセッサによって読み出されたときに、プロセッサに、コンピュータ化装置において、第1のポートを介して、送信先で受信されるように指定される発信通信を伝送するために、アプリケーションプログラムの要求を受信することであって、アプリケーションプログラムが、コンピュータ化装置によって実行され、送信先が、コンピュータ化装置の外部の送信先である、受信することと、第1のポートの識別子に対して変換関数を適用し、これによって第2のポートの識別子を取得することであって、前記適用することが、コンピュータネットワークの複数の機器用の認証されたアプリケーションプログラムのリストに列記されているアプリケーションプログラムを条件とする、適用することと、第2のポートを介して送信先で受信されるように発信通信を導くことと、を含む方法を実施させ、変換関数は、複数の機器間で共有された少なくとも1つのパラメータに依存し、複数の機器は、コンピュータ化装置を備え、これによって、複数の機器の第2のコンピュータ化装置は、第1のポートの識別子を取得するために第2のポートの識別子に対して逆変換を適用することが可能になる、コンピュータプログラム製品である。
開示された発明の対象のさらに別の例示的な実施形態は、プログラム命令を保持しているコンピュータ可読記憶媒体を備えるコンピュータプログラム製品であって、プログラム命令は、プロセッサによって読み出されたときに、プロセッサに、コンピュータ化装置において、第1のポート識別子を有する第1のポートを介して、着信通信を受信することであって、着信通信が、コンピュータネットワークを介して外部機器から受信される、受信することと、第1のポート識別子に対して逆変換関数を適用し、これによって、第2のポートの第2のポート識別子を取得することと、コンピュータ化装置において第1のポートから第2のポートに着信通信をリダイレクトすることと、を含む方法を実施させ、逆変換関数は、コンピュータネットワークの複数の機器間で共有された少なくとも1つのパラメータに依存し、複数の機器は、コンピュータ化装置を備える、コンピュータプログラム製品である。
ここで開示された発明の対象は、対応するかまたは同様の番号もしくは文字が、対応するかまたは同様の構成要素を示す、図面と共になされる以下の詳細な説明からより完全に理解され認められることになる。別途、示されない限り、図面は、開示の例示的な実施形態または態様を提供し、開示の範囲を限定するものではない。図面にあるものは以下の通りである。
図1は、発明の対象のいくつかの例示的な実施形態による、開示された発明の対象が使用されるコンピュータネットワークを示す。 図2は、開示された発明の対象のいくつかの例示的な実施形態による、システムのブロック図を示す。 図3Aは、開示された発明の対象のいくつかの例示的な実施形態による、方法のフローチャート図を示す。 図3Bは、開示された発明の対象のいくつかの例示的な実施形態による、方法のフローチャート図を示す。
開示された発明の対象によって扱われる1つの技術的課題は、コンピュータネットワークにおいて安全な通信を提供することである。
開示された発明の対象によって扱われる別の技術的問題は、コンピュータネットワーク内における悪性コードの広がりを防止することである。
「ポート」は、コンピューティングプラットフォームにあるサービスまたはプロセスと関連付けられた論理構造であり、異なる形式のネットワーク通信に対するエンドポイントとして機能する。いくつかの例示的な実施形態において、ポートは、各ホストアドレスおよび通信プロトコルに対して16ビットの番号によって識別され、したがってポート番号は、0〜65535の範囲である。概して、ポート番号は、ネットワークパケットにおいて出現し、それらのパケットを取り扱うことができるかまたは待機している送信先機器における特定プロセスまたはリソースにマッピングする。いくつかのリソースは、一定の所定ポート番号のみを受け入れ、他のポートと関連付けられたトラフィックを無視するように事前構成される。一般にリソースにマッピングするためにポート番号に重度に頼るネットワークプロトコルは、伝送制御プロトコル(TCP)およびユーザデータグラムプロトコル(UDP)を含む。いくつかのポート番号またはポート番号範囲は、TCPおよびUDPによって使用される0〜1023の範囲である「ウェルノウンポート」等の標準サービス用に予約され得る。例えば、ハイパーテキストトランスファープロトコル(HTTP)プロトコルを動かすサービスは、一般にポート80を受け入れる。
1つの技術的解決策は、選択的に、発信通信が伝送端で導かれるポート番号をスクランブルし、着信通信が受信されるポート番号を逆スクランブルすることである。スクランブルは、承認されたアプリケーションプログラムと関連付けられたポート番号に対してのみ実施される。スクランブルおよび逆スクランブルは、ネットワーク機器間で共有された1つ以上の秘密パラメータを使用して実施される。1つ以上の秘密パラメータは、好ましくは、攻撃者がポートスキャンによって標的ポート番号を「推察する」可能性を低下させるために時変構成要素を含む。
開示された発明の対象を利用する1つの技術的効果は、正規のポート番号でのアクセス試行を識別することによって、攻撃または集団感染の検出を許容することである。さらに、任意の有効なポートのスクランブルされたバージョンではないポートへのアクセス試行はまた、認証された行動が、スクランブルされたポートのみに導かれるように制約されるので、潜在的に非認証の行動を示すものであり得る。
別の技術的効果は、人間工学に頼る悪性行動の広がりを防止することである。人間のユーザが悪性ユーザまたはコードへのアクセスを許容するように操作される場合でさえ(例えば、有害なリンクを押すことまたは電子メールを介して送信されたマルウェアを実行すること)、悪性行動は、感染した機器に含有され、他の機器に広がらないと見られる。
ここで、発明の対象のいくつかの例示的な実施形態による、開示された発明の対象が使用されるコンピュータネットワークを示す図1を参照する。
いくつかの例示的な実施形態において、コンピュータネットワーク100は、機器110、120、130、140、および150等の複数のコンピューティング機器を備え得る。コンピュータネットワーク100は、サーバ102および104等の1つ以上のサーバを備え得る。機器110〜150は、サーバ102および104の1つへの共通アクセス、またはネットワークスイッチ、ハブ等を使用することを通して等の直接接続のいずれかによって、互いに相互接続され得る。例えば、機器110、120および130は、サーバ102に接続され、一方で機器140および150、ならびに機器130は、サーバ104に接続される。加えて、機器110は、機器150に直接接続され、機器120は、機器130に直接接続される。
いくつかの例示的な実施形態において、コンピュータネットワーク100は、組織のイントラネットネットワークであり得る。コンピュータネットワーク100は、インターネット(図示せず)等の外部ネットワークに接続され得る。いくつかの場合において、コンピュータネットワーク100は、悪性行動を防止するためにいくつかの安全対策を提供するように構成され得るかまたはそのように構成されていない可能性がある、ルータ、スイッチ、サーバ等によって外部ネットワークに接続される。一実施形態において、スイッチは、望まない実体のアクセスを防止するファイアウォールを備える。
ここで、開示された発明の対象のいくつかの例示的な実施形態による、システムのブロック図を示す図2を参照する。システムは、図1の機器110〜150等のコンピューティング機器200を備え、開示された発明の対象による、ポートスクランブルを提供するように構成され得る。いくつかの例示的な実施形態において、システムは、イーサーネットスイッチ接続等のような、任意の適切な通信経路を介してコンピューティング機器200と通信し得る、図1のサーバ102および104等のサーバ210をさらに備える。
いくつかの例示的な実施形態において、コンピューティング機器200は、1つ以上のプロセッサ202を備え得る。プロセッサ202は、中央処理装置(CPU)、マイクロプロセッサ、電子回路、集積回路(IC)等であり得る。プロセッサ202は、コンピューティング機器200またはその従属構成要素のうちのいずれかによって必要とされる計算を実施するために利用され得る。
開示された発明の対象のいくつかの例示的な実施形態において、コンピューティング機器200は、入力/出力(I/O)モジュール205を備え得る。I/Oモジュール205は、ユーザに出力を提供し、ユーザから入力を受信するために利用され得る。追加的または代替的に、I/Oモジュール205は、サーバ210または図1の機器110〜150のうちの別の1つ等のそれと通信する別のコンピューティング機器200に出力を提供し、これらから入力を受信するために利用され得る。
いくつかの例示的な実施形態において、コンピューティング機器200は、メモリ207を備え得る。メモリ207は、ハードディスクドライブ、フラッシュディスク、ランダムアクセスメモリ(RAM)、メモリチップ等であり得る。いくつかの例示的な実施形態において、メモリ207は、プロセッサ202に、コンピューティング機器200の従属構成要素のうちのいずれかと関連付けられた作用を実施させるように動作可能なプログラムコードを保持し得る。
メモリ207は、実行可能ファイル、ライブラリ、静的ライブラリ、関数、または任意の他の実行可能構成要素として実装される、以下に詳述される1つ以上の構成要素を備え得る。
メモリ207は、プログラムリスト236および1つ以上の共有鍵232を備えるかまたはこれらと通信し得る、ポートスクランブラ220を備え得る。ポートスクランブラ220は、発信通信と関連付けられたポート番号に対してポートスクランブル関数を選択的に適用するように構成され得る。ポートスクランブラ220は、プログラムリスト236に列記された(およびコンピューティング機器200によって実行される)アプリケーションプログラムから発信通信を伝送するために要求を受信することに応答してポートスクランブル関数を適用し得る。ポートスクランブラ220は、ポートスクランブル関数のパラメータとして共有鍵232を使用し得る。ポートスクランブラ220は、発信通信の送信先を識別するポート番号に対してポートスクランブル関数を適用することによって、スクランブルされたポート番号を取得し得る。ポートスクランブラ220は、スクランブルされたポート番号によって識別された送信先に発信通信を導き得る。
メモリ207は、共有鍵232を備えるかまたはこれと通信し得るポート逆スクランブラ228を備え得る。ポート逆スクランブラ228は、コンピューティング機器200に対する着信通信と関連付けられたポート番号に対してポート逆スクランブル関数を適用するように構成され得る。ポート逆スクランブル関数は、ポートスクランブラ220によって適用されたポートスクランブル関数の逆関数であり得る。ポート逆スクランブラ228は、ポート逆スクランブル関数のパラメータとして共有鍵232を使用し得る。ポート逆スクランブラ228は、スクランブルされたポート番号によって識別されたポートで着信通信を受信し得る。ポート逆スクランブラ228は、スクランブルされたポート番号に対してポート逆スクランブル関数を適用することによって逆スクランブルされたポート番号を取得し得る。いくつかの例示的な実施形態において、ポート逆スクランブラ228は、全ての着信通信に対してその送信元にかかわらず逆スクランブルを実施し得る。ポート逆スクランブラ228は、逆スクランブルされたポート番号によって識別されたポートに着信通信をリダイレクトし得る。ポート逆スクランブラ228は、逆スクランブルされたポート番号が、現在、コンピューティング機器200で実行しているいずれのアプリケーションプログラムにも割り当てられていない場合、サーバ210に通知を発行し得る。
コンピューティング機器200と同様に、サーバ210は、プロセッサ(図示せず)、I/Oモジュール(図示せず)およびメモリ(図示せず)を備え得る。
サーバ210は、図1のコンピュータネットワーク100等のコンピュータネットワーク環境において、コンピューティング機器200等の複数のコンピューティング機器間で共有鍵232を生成し配布する鍵配布器212を備え得る。鍵配布器212は、公開鍵基盤(PKI)暗号を使用してコンピューティング機器200に共有鍵232を配布し得る。共有鍵232は、固定暗号鍵を備え得る。追加的または代替的に、共有鍵232は、定期的に置換され、限定された持続時間に対して有効である、時間依存暗号鍵を備え得る。いくつかの例示的な実施形態において、共有鍵232は、定期的に更新される時間依存鍵と、図2のシステムが配備される組織を一意的に識別する固定鍵と、プログラムリスト236のハッシュ等のプログラムリスト236に依存する鍵と、の3つの鍵を備え得る。
サーバ210は、ネットワーク環境において複数のコンピューティング機器間でプログラムリスト236を維持し更新するリスト更新器214を備え得る。リスト更新器214は、例えば、プログラムリスト236に対してハッシュ関数を適用し、結果にデジタル署名を行うことによって、コンピューティング機器200によるプログラムリスト236の内容の検証を可能にする資格証明書を提供し得る。資格証明書はまた、共有鍵232の1つとして、スクランブルまたは逆スクランブルプロセスのために使用され、鍵配布器212によって配布され得る。
サーバ210は、鍵配布器212によって配布された共有鍵232の1つ以上が時間依存である場合に、ネットワーク環境において複数のコンピューティング機器間のシステムクロックを同期化する時間同期器216を備え得る。
サーバ210は、セキュリティ攻撃および集団感染を検出するために、コンピュータネットワーク環境においてトラフィックを捕捉し分析するために構成された、攻撃検出器218を備え得る。攻撃検出器218は、逆スクランブルされたポート番号がアプリケーションプログラムに割り当てられていない着信通信に関するコンピューティング機器200からの通知を受信し分析し得る。
いくつかの例示的な実施形態において、鍵配布器212、リスト更新器214、時間同期器216および攻撃検出器218は、1つ以上の別個のサーバに配備され得る。一実施形態において、上記の各々は、単独で別個のサーバに配備される。
ここで、開示された発明の対象のいくつかの例示的な実施形態による、方法のフローチャート図を示す図3Aを参照する。
ステップ310において、発信通信を伝送するためのアプリケーションプログラムの要求が受信され得る。アプリケーションプログラムは、図2のコンピューティング機器200等のコンピュータ化装置によって実行され得る。発信通信は、第1のポート(「P」と示される)を介して送信先で受信されるように指定され得る。送信先は、コンピュータ化装置の外部の送信先、例えば、別のコンピューティング機器200であり得る。例として、UDPパケットの送信先が、IPアドレスおよびポート(例えば、192.168.1.52:80)として提供され得る。
ステップ320において、要求しているアプリケーションプログラムが認証されているか否かの判定がなされ得る。判定は、図2のプログラムリスト236等の認証されたプログラムのリストを調べることによって実現され得る。いくつかの例示的な実施形態において、非認証プログラムが、コンピューティング機器において引き続き動作し得るが、開示された発明の対象の視点において、このようなプログラムは、同一ネットワークにおける他の機器と効果的に通信することができない可能性がある。
ステップ330において、要求しているアプリケーションプログラムが、ステップ320で認証されていると判定された場合において、変換関数が第2のポートの識別子を取得するために第1のポートの識別子に対して適用され得る。変換関数は、図2の共有鍵232等の、コンピュータネットワークの複数のコンピューティング機器間で共有された少なくとも1つの秘密パラメータに依存し得る。第1のポートの識別子は、第2のポートの識別子に対して逆変換を適用することによって取得され得る。逆変換は、少なくとも1つの秘密パラメータを共有している機器のみが逆変換を適用することができ得るように、少なくとも1つの秘密パラメータに依存し得る。変換関数は、DES、AES等のような対称暗号関数、またはRSA、El−Gammal等のような非対称暗号関数のいずれかであり得る。
いくつかの例示的な実施形態において、スクランブルされたポート番号は、Internet Assigned Number Authority(IANA)等によって公開されている「共通ポート番号」として知られるポート番号等の、概して既知の機能を有するポート番号ではない可能性がある。例として、スクランブルされたポートは、ポート20〜21(FTP用に使用される)、ポート22(SSH用に使用される)、ポート53(DNS用に使用される)、ポート80(HTTP用に使用される)、ポート443(HTTPS用に使用される)等ではない可能性がある。ステップ330において、変換関数が除外ポートを提供する場合において、次に非除外ポートが選択され得る。追加的または代替的に、除外ポートのリストは、共通ポート番号または常に除外される他のポート番号を含み得る。リストはまた、以前の時間区分においてスクランブルされたポートとして使用されたポート番号を含み得る。例えば、ポート80が第1の時間区分中にポート1579にスクランブルされた場合において、次の時間区分において、ポート80が異なるポート番号にスクランブルされるとき、全ての他のポートは、衝突および混同を回避するためにポート1579にスクランブルされることから除外され得る。このような実施形態において、ポート1579に向けられ第2の区分において受信されるパケットは、第1の時間区分中にポート80に向かって伝送されたパケットとして一意的に識別され得る。
ステップ340において、発信通信は、第2のポートを介して送信先で受信されるように導かれ得る。送信元アドレスが192.168.1.52:80であり、ポート80がポート1579にスクランブルされる上記の例において、発信通信は、192.168.1.52:1579に伝送され得る。
いくつかの例示的な実施形態において、少なくとも1つの秘密パラメータの内容は、ネットワークの複数のコンピューティング機器の各々において更新され得る。結果として、変換関数の動作は、ネットワークの全てのコンピューティング機器に対して動的かつ自動的に変更され得る。特に、第1のポートを介して受信される発信通信を伝送するための後続の要求は、結果として、ステップ330における変換関数のアプリケーションが、第2のポートとは異なる第3のポートの識別子を得ることをもたらし得る。いくつかの例示的な実施形態において、変換関数は、ユーザがその変更された定義を提供することなく変更される。
ここで、開示された発明の対象のいくつかの例示的な実施形態による、方法のフローチャート図を示す図3Bを参照する。
ステップ350において、図2のコンピューティング機器200等のコンピュータ化装置の第1のポートを介して着信通信が受信され得る。着信通信は、コンピュータネットワーク100等のコンピュータネットワークを介して外部機器から受信され得る。
ステップ360において、第2のポートの識別子は、第1のポートの識別子に対して逆変換関数を適用することによって取得され得る。逆変換関数は、図2の共有鍵232等の、コンピュータネットワークの複数のコンピューティング機器間で共有された少なくとも1つの秘密パラメータに依存し得る。
ステップ370において、第2のポートが有効であるか否かの判定がなされ得る。有効なポートは、図2のプログラムリスト236等の認証されたプログラムのリストの任意のプログラムによって使用される任意のポートであり得る。追加的または代替的に、有効なポートは、任意の共通ポートであり得る。追加的または代替的に、有効なポートは、コンピュータ化装置によって実行されるプログラムによって使用される任意のポートであり得る。
ステップ380において、第2のポートがステップ370で有効なポートであると判定された場合、着信通信は、第2のポートにリダイレクトされ得る。いくつかの例示的な実施形態において、続いて、着信通信は、プログラムによって受信され、適切に取り扱われる。
ステップ390において、第2のポートがステップ370で有効なポートではないと判定された場合、対応する通知が、図2のサーバ210における攻撃検出器218等の、攻撃を検出するためにネットワークトラフィックを捕捉して分析することを担う実体に発行され得る。追加的または代替的に、受信された通信は、除外され無視され得る。
いくつかの例示的な実施形態において、図2のプログラムリスト236等の認証されたプログラムのリストの一部ではないアプリケーションによって発行された通信は、図3Aにおいて説明されたようにはスクランブルされず、したがって、図3Bに図示されるように、受信機器において所望の最終送信先によって受信されず取り扱われない。結果として、ネットワーク上の機器によって実行されるいかなる非認証プログラムも、他の機器と効果的に通信することができない。
いくつかの例示的な実施形態において、非認証アプリケーションは、悪性ユーザに報告するために外部ネットワークに効果的にアクセスすることができない。外部ネットワークの機器と通信するために、機器はまず、ネットワークを外部ネットワークに接続する、ルータ、ブリッジ、スイッチまたはルータとして参照される類似機器と通信する必要がある。このような通信はまた、スクランブルされたポートに基づいて実施され得る。結果として、非認証アプリケーションによって開始された通信がスクランブルされていないので、ルータは、その通信を却下し、それを有効化しない。
いくつかの例示的な実施形態において、組織のネットワークの通信は、ファイアウォールを通過し得る。ファイアウォールは、ポートスクランブル/逆スクランブルを取り扱うように構成されていない可能性がある。このような場合において、伝送機器は、パケットがファイアウォールに直接伝送されることを判定し、このようなパケットのポートスクランブルを回避し得る。追加的または代替的に、ファイアウォールからパケットを直接受信する受信機器は、受信されたパケットに対してポート逆スクランブルを実施することを回避し得る。
本発明は、システム、方法、および/またはコンピュータプログラム製品であり得る。コンピュータプログラム製品は、プロセッサに本発明の態様を実行させるためのコンピュータ可読プログラム命令を自身に有するコンピュータ可読記憶媒体(またはメディア)を含み得る。
コンピュータ可読記憶媒体は、命令実行機器によって使用するための命令を保持および記憶し得る有形機器であり得る。コンピュータ可読記憶媒体は、例えば、限定されるものではないが、電子記憶機器、磁気記憶機器、光学記憶機器、電磁記憶機器、半導体記憶機器、または上記の任意の適切な組み合わせであり得る。コンピュータ可読記憶媒体のより具体的例の非排他的リストは、携帯用コンピュータフロッピーディスク、ハードディスク、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROMまたはフラッシュメモリ)、静的ランダムアクセスメモリ(SRAM)、携帯用コンパクトディスク読み取り専用メモリ(CD−ROM)、デジタル多用途ディスク(DVD)、メモリスティック、フロッピーディスク、パンチカードまたは自身に記憶された命令を有する溝における隆起構造等の機械的符号化機器、および上記の任意の適切な組み合わせを含む。本明細書において使用されるように、コンピュータ可読記憶媒体は、無線波もしくは他の自由に伝播する電磁波、導波路を通って伝播する電磁波もしくは他の伝送媒体(例えば、光ファイバケーブル通過する光パルス)、または配線を通って伝送される電気信号等の、それ自体が一時的信号であるものとして解釈されるべきではない。
本明細書において説明されたコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピューティング/処理機器、または、例えば、インターネット、ローカルエリアネットワーク、広域ネットワークおよび/または無線ネットワークを介して外部コンピュータもしくは外部記憶機器にダウンロードされ得る。ネットワークは、銅の伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイコンピュータおよび/またはエッジサーバを備え得る。各コンピューティング/処理機器のネットワークアダプタカードまたはネットワークインターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、それぞれのコンピューティング/処理機器内のコンピュータ可読記憶媒体の記憶装置に対してコンピュータ可読プログラム命令を送る。
本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、またはスモールトーク、C++等のようなオブジェクト指向プログラミング言語、および「C」プログラミング言語もしくは類似のプログラミング言語等の従来の手続き型プログラミング言語を含む、1つ以上のプログラミング言語の任意の組み合わせで書かれたソースコードもしくはオブジェクトコードのいずれかであり得る。コンピュータ可読プログラム命令は、完全にユーザのコンピュータにおいて、スタンドアロンソフトウェアパッケージとして部分的にユーザのコンピュータにおいて、部分的にユーザのコンピュータおよび部分的に遠隔コンピュータにおいて、または完全に遠隔コンピュータもしくはサーバにおいて実行され得る。後者のシナリオにおいて、遠隔コンピュータは、ローカルエリアネットワーク(LAN)もしくは広域ネットワーク(WAN)を含む、任意の形式のネットワークを通してユーザのコンピュータに接続され得るか、または接続は、外部コンピュータになされ得る(例えば、インターネットサービスプロバイダを使用してインターネットを通して)。いくつかの実施形態において、例えば、プログラマブル論理回路、フィールドプログラマブルゲートアレイ(FPGA)、またはプログラマブル論理アレイ(PLA)を含む電子回路は、本発明の態様を実施するために、電子回路を個別化するようにコンピュータ可読プログラム命令の状態情報を利用することによって、コンピュータ可読プログラム命令を実行し得る。
本発明の態様は、本発明の実施形態による、方法、装置(システム)、およびコンピュータプログラム製品のフローチャートの例示ならびに/またはブロック図を参照して本明細書において説明されている。フローチャートの例示および/またはブロック図の各ブロック、ならびにフローチャートの例示および/またはブロック図のブロックの組み合わせが、コンピュータ可読プログラム命令によって実装され得ることが理解されることになる。
コンピュータ可読プログラム命令は、コンピュータまたは他のプログラマブルデータ処理装置のプロセッサを介して実行する命令が、フローチャートおよび/またはブロック図のブロックにおいて特定機能/作用を実装するための手段を作成するように、機械を動かすために、汎用コンピュータ、特定用途向けコンピュータ、または他のプログラマブルデータ処理装置のプロセッサに提供され得る。これらのコンピュータ可読プログラム命令はまた、自身に記憶された命令を有するコンピュータ可読記憶媒体が、フローチャートおよび/またはブロック図のブロックにおいて特定機能/作用の態様を実装する命令を含む製品を備えるように、コンピュータ、プログラマブルデータ処理装置および/または特定様式で機能する他の機器を導き得るコンピュータ可読記憶媒体に記憶され得る。
コンピュータ可読プログラム命令はまた、コンピュータ、他のプログラマブルデータ処理装置、または他の機器において実行する命令がフローチャートおよび/またはブロック図のブロックにおいて指定される機能/作用を実装するように、コンピュータ、他のプログラマブルデータ処理装置、または他の機器において実施される一連の動作ステップに、コンピュータ実装プロセスを生成させるために、コンピュータ、他のプログラマブルデータ処理装置、または他の機器において読み出され得る。
図のフローチャートおよびブロック図は、本発明の種々の実施形態による、システム、方法、およびコンピュータプログラム製品の可能な実装のアーキテクチャ、機能、および動作を例示する。この点において、フローチャートまたはブロック図の各ブロックは、特定論理機能を実装するための1つ以上の実行可能命令を備える、モジュール、区分、または命令の部分を表現し得る。いくつかの代替的実装において、ブロックに記された機能は、図に記された順番以外で起こり得る。例えば、連続して示された2つのブロックは、事実上、実質的に同時に実行されてもよく、またはブロックは、関係する機能に依存して、逆の順番で実行されることもあり得る。ブロック図および/またはフローチャートの例示の各ブロック、ならびにブロック図および/またはフローチャートの例示のブロックの組み合わせが、特定機能もしくは作用を実施するかまたは特定用途向けハードウェアおよびコンピュータ命令の組み合わせを実行する、特定用途向けハードウェア基盤システムによって実装され得ることがまた留意されることになる。
本明細書において使用された用語法は、特定実施形態を説明する目的のみのためのものであり、本発明の限定であることを意図されるものではない。本明細書において使用されるように、単一形「a」、「an」および「the」は、文脈において別途、明確に示されない限り、複数形を同様に含むように意図される。本明細書において使用されるときに「備える」および/または「備えている」という用語は、記載された特徴、整数、ステップ、動作、要素、および/または構成要素の存在を特定するが、1つ以上の他の特徴、整数、ステップ、動作、要素、構成要素、および/またはそれらの群の存在または追加を排除するものではないことがさらに理解されることになる。
以下の請求項において、全ての手段またはステップおよび機能要素の対応する構造、材料、作用、および同等物は、具体的に特許請求される他の特許請求される要素と組み合わせた、該機能を実施するための任意の構造、材料、または作用を含むことが意図される。本発明の説明は、例示および説明の目的のために提示されてきたが、開示された形式の発明に対し、排他的または限定的であることが意図されるものではない。多くの変更例および変形例が、本発明の範囲および概念から逸脱することなく、当技術分野において通常の知識を有する者には明らかとなるであろう。実施形態は、本発明の原理および実用用途を最良に説明するために、ならびに当技術分野において通常の知識を有する他の者が、考慮された特定の用途に適するように種々の変形例を用いる種々の実施形態に対する発明を理解することを可能にするために、選択され説明された。

Claims (18)

  1. コンピュータ実施方法であって、
    コンピュータ化装置において、第1のポートを介して、送信先で受信されるように指定される発信通信を伝送するために、アプリケーションプログラムの要求を受信することであって、前記アプリケーションプログラムが、前記コンピュータ化装置によって実行され、前記送信先が、前記コンピュータ化装置の外部の送信先である、受信することと、
    前記第1のポートの識別子に対して変換関数を適用し、これによって第2のポートの識別子を取得することであって、前記適用することが、コンピュータネットワークの複数の機器用の認証されたアプリケーションプログラムのリストに列記されているアプリケーションプログラムを条件とする、適用することと、
    前記第2のポートを介して前記送信先で受信されるように前記発信通信を導くことと、を含み、
    前記変換関数は、前記複数の機器間で共有された少なくとも1つのパラメータに依存し、前記少なくとも1つのパラメータは、認証されたアプリケーションプログラムの前記リストに依存するパラメータを含み、前記複数の機器は、前記コンピュータ化装置を備え、これによって、前記複数の機器の第2のコンピュータ化装置は、前記第1のポートの前記識別子を取得するために前記第2のポートの前記識別子に対して逆変換を適用することが可能になる、コンピュータ実施方法。
  2. 前記少なくとも1つのパラメータは、固定暗号鍵、時間依存暗号鍵、固定および時間依存鍵の組み合わせからなる群から選択される、請求項1に記載のコンピュータ実施方法。
  3. 前記少なくとも1つのパラメータは、時間依存暗号鍵を含み、前記コンピュータネットワークは、前記複数の機器間で時間依存暗号鍵を配布および同期化するサーバをさらに備える、請求項1に記載のコンピュータ実施方法。
  4. 前記リストは、前記複数の機器によって検証可能である、請求項1に記載のコンピュータ実施方法。
  5. 前記コンピュータネットワークは、前記リストを維持すること、および前記複数の機器を更新することを担うサーバをさらに備える、請求項1に記載のコンピュータ実施方法。
  6. 前記コンピュータ化装置において、第3のポート識別子を有する第3のポートを介して、着信通信を受信することであって、前記着信通信が、前記コンピュータネットワークを介して外部機器から受信される、受信することと、
    前記第3のポート識別子に対して、逆変換関数を適用し、これによって、第4のポートの第4のポート識別子を取得することであって、前記逆変換関数が、前記変換関数の逆関数であり、前記少なくとも1つのパラメータに依存する、適用することと、
    前記着信通信を前記第3のポートから前記第4のポートにリダイレクトすることと、をさらに含む、請求項1に記載のコンピュータ実施方法。
  7. 前記第3のポートは、前記第2のポートであり、前記第4のポートは、前記第1のポートである、請求項6に記載のコンピュータ実施方法。
  8. 前記コンピュータ化装置において、前記第1のポートを介して前記コンピュータ化装置の外部の送信先で受信されるように指定された発信通信を伝送するために、前記コンピュータ化装置によって実行されているアプリケーションプログラムの後続要求を受信することと、
    前記第1のポートの前記識別子に対して前記変換関数を適用し、これによって、前記第2のポートとは異なる第3のポートの識別子を取得することと、
    前記第3のポートを介して前記送信先で受信されるように前記発信通信を導くことと、をさらに含む、請求項1に記載のコンピュータ実施方法。
  9. 前記複数の機器の各機器における少なくとも1つの秘密パラメータの内容を自動的に更新し、これによって、前記複数の機器の全ての機器に対する前記変換関数の動作を動的に変更することをさらに含む、請求項1に記載のコンピュータ実施方法。
  10. 前記コンピュータ化装置の外部の送信先は、前記複数の機器からなる機器である、請求項1に記載のコンピュータ実施方法。
  11. コンピュータ実施方法であって、
    コンピュータ化装置において、第1のポート識別子を有する第1のポートを介して、着信通信を受信することであって、前記着信通信が、コンピュータネットワークを介して外部機器から受信される、受信することと、
    前記第1のポート識別子に対して逆変換関数を適用し、これによって、第2のポートの第2のポート識別子を取得することと、
    前記コンピュータ化装置において前記第1のポートから前記第2のポートに前記着信通信をリダイレクトすることと、を含み、
    前記逆変換関数は、前記コンピュータネットワークの複数の機器間で共有された少なくとも1つのパラメータに依存し、前記少なくとも1つのパラメータは、前記複数の機器用の認証されたアプリケーションプログラムのリストに依存するパラメータを含み、前記複数の機器は、前記コンピュータ化装置を備える、コンピュータ実施方法。
  12. 前記少なくとも1つのパラメータは、固定暗号鍵、時間依存暗号鍵、固定および時間依存鍵の組み合わせからなる群から選択される、請求項11に記載のコンピュータ実施方法。
  13. 前記第2のポートがいずれのアプリケーションプログラムにも割り当てられていないことに応答して前記コンピュータネットワークのサーバに通知を発行することをさらに含む、請求項11に記載のコンピュータ実施方法。
  14. 前記着信通信は、前記外部機器の発信通信であり、前記発信通信は、前記外部機器のアプリケーションプログラムによって開始され、前記第2のポートを介して前記コンピュータ化装置で受信されるように指定され、前記発信通信は、前記第1のポート識別子を取得するために前記第2のポート識別子に対して変換関数を適用する前記外部機器に基づいて前記第1のポートを介して前記コンピュータ化機器に向かって導かれ、前記変換を適用する前記外部機器は、認証されたアプリケーションプログラムの前記リストに列記されている前記アプリケーションプログラムを条件とし、前記逆変換関数は、前記変換関数の逆関数である、請求項11に記載のコンピュータ実施方法。
  15. プロセッサを有するコンピュータ化装置であって、
    コンピュータ化装置において、第1のポートを介して、送信先で受信されるように指定される発信通信を伝送するために、アプリケーションプログラムの要求を受信するステップであって、前記アプリケーションプログラムが、前記コンピュータ化装置によって実行され、前記送信先が、前記コンピュータ化装置の外部の送信先である、ステップと、
    前記第1のポートの識別子に対して変換関数を適用し、これによって第2のポートの識別子を取得するステップであって、前記適用することが、コンピュータネットワークの複数の機器用の認証されたアプリケーションプログラムのリストに列記されているアプリケーションプログラムを条件とする、ステップと、
    前記第2のポートを介して前記送信先で受信されるように前記発信通信を導くステップと、を実施するように適合されており、
    前記変換関数は、前記複数の機器間で共有された少なくとも1つのパラメータに依存し、前記少なくとも1つのパラメータは、認証されたアプリケーションプログラムの前記リストに依存するパラメータを含み、前記複数の機器は、前記コンピュータ化装置を備え、これによって、前記複数の機器の第2のコンピュータ化装置は、前記第1のポートの前記識別子を取得するために前記第2のポートの前記識別子に対して逆変換を適用することが可能になる、コンピュータ化装置。
  16. プロセッサを有するコンピュータ化装置であって、前記プロセッサは、
    コンピュータ化装置において、第1のポート識別子を有する第1のポートを介して、着信通信を受信するステップであって、前記着信通信が、コンピュータネットワークを介して外部機器から受信される、ステップと、
    前記第1のポート識別子に対して逆変換関数を適用し、これによって、第2のポートの第2のポート識別子を取得するステップと、
    前記コンピュータ化装置において前記第1のポートから前記第2のポートに前記着信通信をリダイレクトするステップと、を実施するように適合され、
    前記逆変換関数は、前記コンピュータネットワークの複数の機器間で共有された少なくとも1つのパラメータに依存し、前記少なくとも1つのパラメータは、前記複数の機器用の認証されたアプリケーションプログラムのリストに依存するパラメータを含み、前記複数の機器は、前記コンピュータ化装置を備える、コンピュータ化装置。
  17. プログラム命令を保持しているコンピュータ可読記憶媒体を備えるコンピュータプログラム製品であって、プログラム命令は、プロセッサによって読み出されたときに、前記プロセッサに、
    コンピュータ化装置において、第1のポートを介して、送信先で受信されるように指定される発信通信を伝送するために、アプリケーションプログラムの要求を受信することであって、前記アプリケーションプログラムが、前記コンピュータ化装置によって実行され、前記送信先が、前記コンピュータ化装置の外部の送信先である、受信することと、
    前記第1のポートの識別子に対して変換関数を適用し、これによって第2のポートの識別子を取得することであって、前記適用することが、コンピュータネットワークの複数の機器用の認証されたアプリケーションプログラムのリストに列記されているアプリケーションプログラムを条件とする、適用することと、
    前記第2のポートを介して前記送信先で受信されるように前記発信通信を導くことと、を含む方法を実施させ、
    前記変換関数は、前記複数の機器間で共有された少なくとも1つのパラメータに依存し、前記少なくとも1つのパラメータは、認証されたアプリケーションプログラムの前記リストに依存するパラメータを含み、前記複数の機器は、前記コンピュータ化装置を備え、これによって、前記複数の機器の第2のコンピュータ化装置は、前記第1のポートの前記識別子を取得するために前記第2のポートの前記識別子に対して逆変換を適用することが可能になる、コンピュータプログラム製品。
  18. プログラム命令を保持しているコンピュータ可読記憶媒体を備えるコンピュータプログラム製品であって、プログラム命令は、プロセッサによって読み出されたときに、前記プロセッサに、
    コンピュータ化装置において、第1のポート識別子を有する第1のポートを介して、着信通信を受信することであって、前記着信通信が、コンピュータネットワークを介して外部機器から受信される、受信することと、
    前記第1のポート識別子に対して逆変換関数を適用し、これによって、第2のポートの第2のポート識別子を取得することと、
    前記コンピュータ化装置において前記第1のポートから前記第2のポートに前記着信通信をリダイレクトすることと、を含む方法を実施させ、
    前記逆変換関数は、前記コンピュータネットワークの複数の機器間で共有された少なくとも1つのパラメータに依存し、前記少なくとも1つのパラメータは、前記複数の機器用の認証されたアプリケーションプログラムのリストに依存するパラメータを含み、前記複数の機器は、前記コンピュータ化装置を備える、コンピュータプログラム製品。
JP2018530195A 2015-08-27 2016-08-25 コンピュータネットワークのためのポートスクランブル Pending JP2018533145A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IL240909 2015-08-27
IL240909A IL240909A (en) 2015-08-27 2015-08-27 Mixing communication inlets for computer networks
PCT/IL2016/050931 WO2017033194A1 (en) 2015-08-27 2016-08-25 Port scrambling for computer networks

Publications (1)

Publication Number Publication Date
JP2018533145A true JP2018533145A (ja) 2018-11-08

Family

ID=58099955

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018530195A Pending JP2018533145A (ja) 2015-08-27 2016-08-25 コンピュータネットワークのためのポートスクランブル

Country Status (9)

Country Link
US (2) US9838368B2 (ja)
EP (1) EP3314862A4 (ja)
JP (1) JP2018533145A (ja)
KR (1) KR20180050284A (ja)
CN (1) CN108141435A (ja)
AU (1) AU2016311412A1 (ja)
CA (1) CA2991423A1 (ja)
IL (1) IL240909A (ja)
WO (1) WO2017033194A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200028856A1 (en) * 2018-07-23 2020-01-23 Cyber 2.0 (2015) LTD Port scrambling usage in heterogeneous networks
US20190306130A1 (en) * 2018-03-27 2019-10-03 Cyber 2.0 (2015) Ltd. Connectivity-based port scrambling
GB201716173D0 (en) 2017-10-04 2017-11-15 Palantir Technologies Inc Creation and execution of customised code for a data processing platform

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5903721A (en) 1997-03-13 1999-05-11 cha|Technologies Services, Inc. Method and system for secure online transaction processing
US6549538B1 (en) 1998-12-31 2003-04-15 Compaq Information Technologies Group, L.P. Computer method and apparatus for managing network ports cluster-wide using a lookaside list
US8037530B1 (en) * 2000-08-28 2011-10-11 Verizon Corporate Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor
JP2004112018A (ja) 2002-09-13 2004-04-08 Johnson Controls Inc インターネットアクセスWeb監視制御システム
US20050220017A1 (en) 2004-03-31 2005-10-06 Brand Thomas E Denial of service protection through port hopping
US20060005227A1 (en) 2004-07-01 2006-01-05 Microsoft Corporation Languages for expressing security policies
CN1917426B (zh) * 2005-08-17 2010-12-08 国际商业机器公司 端口扫描方法与设备及其检测方法与设备、端口扫描系统
US20100241762A1 (en) 2007-10-24 2010-09-23 Lantronix, Inc. Various methods and apparatuses for a central station to allocate virtual ip addresses
US8549625B2 (en) * 2008-12-12 2013-10-01 International Business Machines Corporation Classification of unwanted or malicious software through the identification of encrypted data communication
JP5357707B2 (ja) 2009-11-11 2013-12-04 株式会社日立製作所 ゲートウェイ装置およびポート番号割当て方法
US8958292B2 (en) 2010-07-06 2015-02-17 Nicira, Inc. Network control apparatus and method with port security controls
ES2601505T3 (es) * 2010-09-30 2017-02-15 Entersekt International Limited Identificación de teléfono móvil y autenticación de comunicación
US8751650B2 (en) 2012-05-10 2014-06-10 Cisco Technology, Inc. Method and apparatus for supporting access control lists in a multi-tenant environment
KR101376171B1 (ko) * 2012-08-16 2014-03-19 한국전자통신연구원 인터넷 프로토콜 시큐리티 가상 사설망 장치 및 그를 이용하는 통신 방법

Also Published As

Publication number Publication date
IL240909A (en) 2017-04-30
US9838368B2 (en) 2017-12-05
EP3314862A1 (en) 2018-05-02
US10313318B2 (en) 2019-06-04
CA2991423A1 (en) 2017-03-02
CN108141435A (zh) 2018-06-08
US20180069845A1 (en) 2018-03-08
KR20180050284A (ko) 2018-05-14
US20170244686A1 (en) 2017-08-24
AU2016311412A1 (en) 2018-01-25
EP3314862A4 (en) 2019-01-23
WO2017033194A1 (en) 2017-03-02

Similar Documents

Publication Publication Date Title
US10333956B2 (en) Detection of invalid port accesses in port-scrambling-based networks
US11652797B2 (en) Secure application access systems and methods via a lightweight connector and a cloud-based system
US10003616B2 (en) Destination domain extraction for secure protocols
US20140189810A1 (en) Network security as a service using virtual secure channels
US10313318B2 (en) Port scrambling for computer networks
US10397196B2 (en) Port-scrambling-based networks
US20110154469A1 (en) Methods, systems, and computer program products for access control services using source port filtering
JP6425816B2 (ja) コンピュータ・ネットワーク・インフラストラクチャーにおいて外部コンピュータ・システムをブロック解除する方法、かかるコンピュータ・ネットワーク・インフラストラクチャーをもつ分散コンピュータ・ネットワークおよびコンピュータ・プログラム・プロダクト
US20200028856A1 (en) Port scrambling usage in heterogeneous networks
US8590031B2 (en) Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server
Together et al. Internet
US20190306130A1 (en) Connectivity-based port scrambling
Balogun Distributed firewalls mechanism for the resolution of packets forwarding problems in computer networks using RSA-CRT technique
Hyppönen Securing a Linux Server Against Cyber Attacks
Hadianto et al. A Simulation Study of SDN Defense Against Botnet Attack Based on Network Traffic Detection
US11570149B2 (en) Feedback mechanism to enforce a security policy
Urama et al. SDN-Based Cryptographic Client Authentication: A New Approach to DHCP Starvation Mitigation
Hou Preemptive Self-healing System (PSS) Against Rogue AP