KR20180099683A - 컴퓨터 네트워크에서 트래픽 모니터링 - Google Patents

컴퓨터 네트워크에서 트래픽 모니터링 Download PDF

Info

Publication number
KR20180099683A
KR20180099683A KR1020187017900A KR20187017900A KR20180099683A KR 20180099683 A KR20180099683 A KR 20180099683A KR 1020187017900 A KR1020187017900 A KR 1020187017900A KR 20187017900 A KR20187017900 A KR 20187017900A KR 20180099683 A KR20180099683 A KR 20180099683A
Authority
KR
South Korea
Prior art keywords
port
devices
identifier
transmission
computer
Prior art date
Application number
KR1020187017900A
Other languages
English (en)
Inventor
하엘리온 에레즈 카플란
Original Assignee
사이버 2.0 (2015) 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사이버 2.0 (2015) 엘티디. filed Critical 사이버 2.0 (2015) 엘티디.
Publication of KR20180099683A publication Critical patent/KR20180099683A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • H04L67/24
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/54Presence management, e.g. monitoring or registration for receipt of user log-on information, or the connection status of the users
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

컴퓨터 네트워크에서 트래픽을 모니터링하기 위한 컴퓨터로 구현되는 방법, 컴퓨터화된 장치, 및 컴퓨터 프로그램 제품. 컴퓨터 네트워크는 실행되는 응용 프로그램에 의해 요청된 송신의 타겟 포트 식별자에 변환 함수를 적용하고 그에 따라 획득된 스크램블링된 식별자에 따라 상이한 타겟 포트로 송신을 보내도록 구성된 복수의 디바이스를 포함한다. 변환 함수는 복수의 디바이스들 사이에서 공유되는 적어도 하나의 파라미터에 의존하고, 그 적용은 인가된 응용 프로그램의 리스트에 열거되어 있는 송신을 요청하는 응용 프로그램에 따라 조절된다. 변환 함수에 의해 정의된 바와 같이 무효 포트에 액세스하려는 시도가 식별되고 이로 인해 야기된 보안 위협을 완화하기 위한 액션이 제공된다.

Description

컴퓨터 네트워크에서 트래픽 모니터링
관련 출원에 대한 상호 참조
본 출원은 "MONITORING TRAFFIC IN A COMPUTER NETWORK"이라는 발명의 명칭으로 2015년 12월 31일에 출원된 미국 가출원 제62/273,530호의 혜택을 주장하며, 이는 그 전체가 거부되지 않으면서 참조로 본원에 포함된다.
기술분야
본 개시 내용은 일반적으로 컴퓨터 네트워크 통신에 관한 것으로, 특히 컴퓨터 네트워크에서 트래픽을 모니터링하는 것에 관한 것이다.
컴퓨터 네트워크는 많은 기업과 조직에서 널리 퍼져 있다. 통상적으로, 네트워크 환경은 서로 상호 연결되고 예를 들어 네트워크에 연결된 하나 이상의 서버에 대한 공통 액세스를 통해 예컨대 리소스를 공유하는 복수의 컴퓨터화된 디바이스를 포함한다. 많은 경우에, 네트워크 환경에 있는 일부 또는 심지어 모든 디바이스가 월드 와이드 웹(World Wide Web)과 같은 하나 이상의 외부 네트워크에도 동시에 연결된다. 결과적으로, 내부 네트워크 환경의 임의의 디바이스는 다양한 보안 위협 및 공격, 특히 흔히 "바이러스" 또는 "웜"이라고도 알려진 자체 전파 악성 코드의 확산에 훨씬 취약해진다. 네트워크의 디바이스가 손상되면, 감염이 나머지 디바이스로 빠르게 퍼져 복구할 수 없는 위험을 초래할 수 있다.
개시된 주제의 일 예시적인 실시예는 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법이며, 복수의 디바이스 각각은 복수의 디바이스 각각 상에서 실행 중인 응용 프로그램의 송신 요청에 나타내어진 네트워크 통신을 위한 타겟 포트의 식별자에 변환 함수를 적용하여, 식별자의 스크램블링된 버전이 획득되도록 구성되고, 복수의 디바이스는 식별자의 스크램블링된 버전에 의해 식별된 상이한 타겟 포트를 통해 수신될 송신을 보내도록 추가로 구성되고, 그 방법은: 복수의 디바이스에 포함된 제1 컴퓨터화된 장치의 제1 포트에 보내진 제1 송신에 의한 무효 포트 액세스 시도를 식별하는 단계; 및 상기 식별하는 단계에 응답하여, 무효 포트 액세스 시도로 인한 보안 위협이 완화되도록 수행될 액션을 제공하는 단계를 포함하고, 여기서 상기 무효 포트 액세스를 식별하는 것은 복수의 디바이스에 포함된 제2 컴퓨터화된 장치 상에서 실행되는 응용 프로그램의 송신 요청에 의해 수신이 지정되는 제2 포트의 제2 식별자에 변환 함수를 적용함으로써 제1 포트를 식별하는 제1 식별자가 획득 가능한지 여부를 검사하는 단계를 포함하고; 여기서 변환 함수는 복수의 디바이스들 사이에서 공유되는 적어도 하나의 파라미터에 의존하고, 여기서 복수의 디바이스 중 하나의 디바이스에 의해 변환 함수를 적용하는 단계는 디바이스에 제공된 인가된 응용 프로그램의 리스트에 열거되어 있는 송신을 요청하는 응용 프로그램에 대해 조절된다.
개시된 주제의 다른 예시적인 실시예는 프로세서를 갖는 컴퓨터화된 장치이며, 컴퓨터화된 장치는 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경과 통신하고, 복수의 디바이스 각각은 복수의 디바이스 각각 상에서 실행 중인 응용 프로그램의 송신 요청에 나타내어진 네트워크 통신을 위한 타겟 포트의 식별자에 변환 함수를 적용하여, 식별자의 스크램블링된 버전이 획득되도록 구성되고, 복수의 디바이스는 식별자의 스크램블링된 버전에 의해 식별된 상이한 타겟 포트를 통해 수신될 송신을 보내도록 추가로 구성되고, 프로세서는: 복수의 디바이스에 포함된 제1 컴퓨터화된 장치의 제1 포트에 보내진 제1 송신에 의한 무효 포트 액세스 시도를 식별하는 단계; 및 상기 식별하는 단계에 응답하여, 무효 포트 액세스 시도로 인한 보안 위협이 완화되도록 수행될 액션을 제공하는 단계를 수행하도록 되고, 여기서 상기 무효 포트 액세스를 식별하는 것은 복수의 디바이스에 포함된 제2 컴퓨터화된 장치 상에서 실행되는 응용 프로그램의 송신 요청에 의해 수신이 지정되는 제2 포트의 제2 식별자에 변환 함수를 적용함으로써 제1 포트를 식별하는 제1 식별자가 획득 가능한지 여부를 검사하는 것을 포함하고; 여기서 변환 함수는 복수의 디바이스들 사이에서 공유되는 적어도 하나의 파라미터에 의존하고, 여기서 복수의 디바이스 중 하나의 디바이스에 의해 변환 함수를 적용하는 단계는 디바이스에 제공된 인가된 응용 프로그램의 리스트에 열거되어 있는 송신을 요청하는 응용 프로그램에 대해 조절된다.
개시된 주제의 또 다른 예시적인 실시예는 프로그램 명령어를 보유하는 컴퓨터 판독 가능 저장 매체를 포함하는 컴퓨터 프로그램 제품이며, 프로그램 명령어는 프로세서에 의해 판독되는 경우, 프로세서로 하여금 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 행해진 방법을 수행하게 하고, 복수의 디바이스 각각은 복수의 디바이스 각각 상에서 실행 중인 응용 프로그램의 송신 요청에 나타내어진 네트워크 통신을 위한 타겟 포트의 식별자에 변환 함수를 적용하여, 식별자의 스크램블링된 버전이 획득되도록 구성되고, 복수의 디바이스는 식별자의 스크램블링된 버전에 의해 식별된 상이한 타겟 포트를 통해 수신될 송신을 보내도록 추가로 구성되고, 그 방법은: 복수의 디바이스에 포함된 제1 컴퓨터화된 장치의 제1 포트에 보내진 제1 송신에 의한 무효 포트 액세스 시도를 식별하는 단계; 및 상기 식별하는 단계에 응답하여, 무효 포트 액세스 시도로 인한 보안 위협이 완화되도록 수행될 액션을 제공하는 단계를 포함하고, 여기서 상기 무효 포트 액세스를 식별하는 단계는 복수의 디바이스에 포함된 제2 컴퓨터화된 장치 상에서 실행되는 응용 프로그램의 송신 요청에 의해 수신이 지정되는 제2 포트의 제2 식별자에 변환 함수를 적용함으로써 제1 포트를 식별하는 제1 식별자가 획득 가능한지 여부를 검사하는 단계를 포함하고; 여기서 변환 함수는 복수의 디바이스들 사이에서 공유되는 적어도 하나의 파라미터에 의존하고, 여기서 복수의 디바이스 중 하나의 디바이스에 의해 변환 함수를 적용하는 단계는 디바이스에 제공된 인가된 응용 프로그램의 리스트에 열거되어 있는 송신을 요청하는 응용 프로그램에 대해 조절된다.
본 개시된 주제는 도면과 관련하여 취해진 다음의 상세한 설명으로부터 보다 완전하게 이해되고 알게 될 것이며, 도면에서 대응하는 또는 유사한 도면 부호 또는 문자는 대응하는 또는 유사한 구성 요소를 나타낸다. 달리 나타내어지지 않는 한, 도면은 본 개시의 예시적인 실시예 또는 양태를 제공하며, 본 개시의 범위를 제한하지 않는다. 도면에서:
도 1은 본 발명의 일부 예시적인 실시예에 따라 개시된 주제가 사용되는 컴퓨터 네트워크를 도시한다;
도 2는 개시된 주제의 일부 예시적인 실시예에 따른 시스템의 블록도를 도시한다;
도 3a는 개시된 주제의 일부 예시적인 실시예에 따른 방법의 흐름도를 도시한다;
도 3b는 개시된 주제의 일부 예시적인 실시예에 따른 방법의 흐름도를 도시한다; 그리고
도 4는 개시된 주제의 일부 예시적인 실시예에 따른 방법의 흐름도를 도시한다.
개시된 주제에 의해 다루어지는 하나의 기술적인 문제점은 컴퓨터 네트워크에서의 안전한 통신을 제공하는 것이다.
개시된 주제에 의해 다루어지는 다른 기술적인 문제점은 컴퓨터 네트워크 내에서의 악성 코드의 확산을 방지하는 것이다.
또 다른 기술적인 문제점은 컴퓨터 네트워크 내에서의 악의적인 활동을 검출하는 것이다.
"포트"는 컴퓨팅 플랫폼에 상주하는 서비스 또는 프로세스와 연관된 논리적 구성이며 상이한 유형의 네트워크 통신에 대한 엔드 포인트의 역할을 한다. 일부 예시적인 실시예에서, 포트는 각각의 호스트 주소 및 통신 프로토콜에 대해 16비트 수로 식별되므로, 포트 번호는 0 내지 65535의 범위이다. 일반적으로, 포트 번호는 네트워크 패킷에 나타나며 이러한 패킷을 처리할 수 있거나 기다리는 목적지 디바이스 상의 특정 프로세스 또는 리소스에 매핑된다. 일부 리소스는 특정한 미리 정의된 포트 번호만을 듣고 다른 포트와 연관된 트래픽은 무시하도록 미리 구성된다. 리소스에 매핑하기 위해 포트 번호에 크게 의존하는 통상적인 네트워크 프로토콜은 송신 제어 프로토콜(Transmission Control Protocol, TCP) 및 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)을 포함한다. 일부 포트 번호 또는 포트 번호 범위는 TCP 및 UDP에 의해 사용되는 0 내지 1023 범위의 "잘 알려진 포트"와 같은 표준 서비스용으로 예약될 수 있다. 예를 들어, 하이퍼텍스트 전송 프로토콜(Hypertext Transfer Protocol, HTTP) 프로토콜을 실행하는 서비스는 통상적으로 포트 80을 듣는다.
하나의 기술적 해결책은 송신단에서 발신 통신이 향하는 포트 번호를 선택적으로 스크램블링하고 착신 통신이 수신되는 포트 번호를 디스크램블링하는 것이다. 스크램블은 승인된 응용 프로그램과 연관된 포트 번호에 대해서만 수행된다. 스크램블링 및 디스크램블링은 네트워크 디바이스들 사이에서 공유되는 하나 이상의 비밀 파라미터를 사용하여 수행된다. 하나 이상의 비밀 파라미터는 바람직하게는 공격자가 포트 스캐닝에 의해 타겟 포트 번호를 "추측"할 가능성을 줄이기 위해 시변 성분을 포함한다.
일부 예시적인 실시예에서, 서버는 포트가 스크램블링되지 않는 트래픽을 검출하기 위해 네트워크 내의 트래픽을 모니터링할 수 있다. 이러한 트래픽은 인가되지 않았고 잠재적으로 악의적인 소프트웨어 구성 요소에 의해 생성될 수 있다. 서버는 이러한 트래픽을 모니터링하고 분석하여 그 활동이 악의적인지 여부를 결정할 수 있다.
개시된 주제를 이용하는 하나의 기술적 효과는 정규 포트 번호에서 액세스 시도를 식별함으로써 공격 또는 발생의 검출을 허용하는 것이다. 또한, 인가된 활동은 스크램블링된 포트에만 지시되도록 제한되기 때문에, 임의의 유용한 포트의 스크램블링된 버전이 아닌 포트에 액세스하려는 시도는 또한 잠재적인 인가되지 않은 활동을 나타낼 수 있다.
다른 기술적 효과는 인간 공학에 의존하는 악의적인 활동의 전파를 방지하는 것이다. 악의적인 사용자 또는 코드에 대한 액세스를 허용하도록 인간 사용자가 조종된 경우(예를 들어, 유해한 링크를 누르거나 전자 메일을 통해 보내진 멜웨어 실행)에도, 악의적인 활동이 감염된 디바이스 내로 억제되어 다른 디바이스로 확산되지 않을 수 있다.
이제, 본 주제의 일부 예시적인 실시예에 따라 개시된 주제가 사용되는 컴퓨터 네트워크를 도시하는 도 1을 참조한다.
일부 예시적인 실시예에서, 컴퓨터 네트워크(100)는 디바이스(110, 120, 130, 140, 및 150)와 같은 복수의 컴퓨팅 디바이스를 포함할 수 있다. 컴퓨터 네트워크(100)는 서버(102 및 104)와 같은 하나 이상의 서버를 포함할 수 있다. 디바이스(110 내지 150)는 서버(102 및 104) 중 하나에 대한 공통 액세스에 의해 또는 예컨대 네트워크 스위치, 허브 등을 사용하는 것을 통해 직접적으로 서로 상호 연결될 수 있다. 예를 들어, 디바이스(110, 120, 및 130)는 서버(102)에 연결되고, 한편 디바이스(140 및 150), 뿐만 아니라 디바이스(130)가 서버(104)에 연결된다. 또한, 디바이스(110)는 디바이스(150)에 직접 연결되고, 디바이스(120)는 디바이스(130)에 직접 연결된다.
일부 예시적인 실시예에서, 컴퓨터 네트워크(100)는 조직의 인트라넷 네트워크 일 수 있다. 컴퓨터 네트워크(100)는 인터넷(미도시)과 같은 외부 네트워크에 연결될 수 있다. 일부 경우에, 컴퓨터 네트워크(100)는 라우터, 스위치, 서버 등에 의해 외부 네트워크에 연결되며, 이는 악의적인 활동을 방지하기 위한 일부 보안 조치를 제공하도록 구성될 수도 있고 구성되지 않을 수도 있다. 일 실시예에서, 스위치는 원치 않는 엔티티의 액세스를 방지하는 방화벽을 포함한다.
이제, 개시된 주제의 일부 예시적인 실시예에 따른 시스템의 블록도를 도시하는 도 2를 참조한다. 시스템은 도 1의 디바이스(110 내지 150)과 같은 컴퓨팅 디바이스(200)를 포함하고, 개시된 주제에 따른 포트 스크램블링을 제공하도록 구성될 수 있다. 일부 예시적인 실시예에서, 시스템은 도 1의 서버(102 및 104)와 같은 서버(210)를 더 포함하며, 이는 이더넷 스위치 연결 등과 같은 임의의 적합한 통신 채널을 통해 컴퓨팅 디바이스(200)와 통신할 수 있다.
일부 예시적인 실시예에서, 컴퓨팅 디바이스(200)는 하나 이상의 프로세서(202)를 포함 할 수 있다. 프로세서(202)는 중앙 처리 장치(Central Processing Unit, CPU), 마이크로 프로세서, 전자 회로, 집적 회로(Integrated Circuit, IC) 등일 수 있다. 프로세서(202)는 컴퓨팅 디바이스(200) 또는 그 서브 구성 요소 중 임의의 것에 의해 요구되는 계산을 수행하기 위해 이용될 수 있다.
개시된 주제의 일부 예시적인 실시예에서, 컴퓨팅 디바이스(200)는 입/출력(I/O) 모듈(205)을 포함할 수 있다. I/O 모듈(205)은 사용자에게 출력을 제공하고 사용자로부터 입력을 수신하는 데 이용될 수 있다. 추가적으로 또는 대안적으로, I/O 모듈(205)은 서버(210) 또는 도 1의 디바이스(110 내지 150) 중 다른 하나와 같은 그와 통신하는 다른 컴퓨팅 디바이스(200)에 출력을 제공하고 그로부터 입력을 수신하는 데 이용될 수 있다.
일부 예시적인 실시예에서, 컴퓨팅 디바이스(200)는 메모리(207)를 포함할 수 있다. 메모리(207)는 하드 디스크 드라이브, 플래시 디스크, 랜덤 액세스 메모리(Random Access Memory, RAM), 메모리 칩 등일 수 있다. 일부 예시적인 실시예에서, 메모리(207)는 프로세서(202)로 하여금 컴퓨팅 디바이스(200)의 서브 구성 요소 중 임의의 것과 연관된 액션을 수행하게 하는 동작 가능한 프로그램 코드를 보유할 수 있다.
메모리(207)는 하기에서 상세히 설명되는 바와 같은, 실행 가능물, 라이브러리, 정적 라이브러리, 기능, 또는 임의의 다른 실행 가능한 구성 요소로 구현되는 하나 이상의 구성 요소를 포함할 수 있다.
메모리(207)는 프로그램 리스트(236) 및 하나 이상의 공유 키(들)(232)를 포함할 수 있거나 또는 이들과 통신할 수 있는 포트 스크램블러(220)를 포함할 수 있다. 포트 스크램블러(220)는 발신 통신과 연관된 포트 번호에 포트 스크램블링 함수를 선택적으로 적용하도록 구성될 수 있다. 포트 스크램블러(220)는 프로그램 리스트(236)에 열거된(그리고 컴퓨팅 디바이스(200)에 의해 실행되는) 응용 프로그램으로부터 발신 통신을 송신하기 위한 요청을 수신하는 것에 응답하여 포트 스크램블링 함수를 적용할 수 있다. 포트 스크램블러(220)는 포트 스크램블링 함수의 파라미터로서 공유 키(들)(232)를 사용할 수 있다. 포트 스크램블러(220)는 발신 통신의 목적지를 식별하는 포트 번호에 포트 스크램블링 함수를 적용함으로써 스크램블링된 포트 번호를 획득할 수 있다. 포트 스크램블러(220)는 발신 통신을 스크램블링된 포트 번호에 의해 식별된 목적지로 보낼 수 있다.
메모리(207)는 공유 키(들)(232)를 포함하거나 그와 통신할 수 있는 포트 디스크램블러(228)를 포함할 수 있다. 포트 디스크램블러(228)는 컴퓨팅 디바이스(200)로의 착신 통신과 연관된 포트 번호에 포트 디스크램블링 함수를 적용하도록 구성될 수 있다. 포트 디스크램블링 함수는 포트 스크램블러(220)에 의해 적용된 포트 스크램블링 함수의 역함수일 수 있다. 포트 디스크램블러(228)는 포트 디스크램블링 함수의 파라미터로서 공유 키(들)(232)를 사용할 수 있다. 포트 디스크램블러(228)는 스크램블링된 포트 번호에 의해 식별된 포트에서 착신 통신을 수신할 수 있다. 포트 디스크램블러(228)는 스크램블링된 포트 번호에 포트 디스크램블링 함수를 적용함으로써 디스크램블링된 포트 번호를 획득할 수 있다. 일부 예시적인 실시예에서, 포트 디스크램블러(228)는 그 원천에 관계없이 모든 착신 통신에 대해 디스크램블링을 수행할 수 있다. 포트 디스크램블러(228)는 착신 통신을 디스크램블링된 포트 번호에 의해 식별된 포트로 다시 보낼 수 있다. 포트 디스크램블러(228)는 디스크램블링된 포트 번호가 컴퓨팅 디바이스(200) 상에서 현재 실행 중인 임의의 응용 프로그램에 할당되지 않은 경우에 서버(210)에 통지를 발행할 수 있다.
컴퓨팅 디바이스(200)와 유사하게, 서버(210)는 프로세서(미도시), I/O 모듈(미도시), 및 메모리(미도시)를 포함할 수 있다.
서버(210)는 도 1의 컴퓨터 네트워크(100)와 같은 컴퓨터 네트워크 환경에서 컴퓨팅 디바이스(200)와 같은 복수의 컴퓨팅 디바이스 사이에서 공유 키(들)(232)를 생성 및 분배하기 위한 키 분배기(212)를 포함할 수 있다. 키 분배 자(212)는 공개 키 기반 구조(Public Key Infrastructure, PKI) 암호화를 사용하여 공유 키(232)를 컴퓨팅 디바이스(200)에 분배할 수 있다. 공유 키(232)는 고정된 암호화 키를 포함할 수 있다. 추가적으로 또는 대안적으로, 공유 키(232)는 주기적으로 대체되고 제한된 시간 기간 동안 유효한 시간 의존 암호화 키를 포함할 수 있다. 일부 예시적인 실시예에서, 공유 키(들)(232)는 3 개의 키: 주기적으로 업데이트되는 시간 의존 키,도 2의 시스템이 배치되는 조직을 고유하게 식별하는 고정된 키, 및 프로그램 리스트(236)의 해싱과 같이 프로그램 리스트(236)에 의존하는 키를 포함할 수 있다.
서버(210)는 네트워크 환경에서의 복수의 컴퓨팅 디바이스 사이에서 프로그램 리스트(236)를 유지 및 업데이트하기 위한 리스트 업데이터(214)를 포함할 수 있다. 리스트 업데이터(214)는 예를 들어 프로그램 리스트(236)에 해시 함수를 적용하고 그 결과를 디지털 서명함으로써 컴퓨팅 디바이스(200)에 의해 프로그램 리스트(236)의 내용의 검증을 가능하게 하는 자격 증명을 제공할 수 있다. 자격 증명은 또한 공유 키(들)(232) 중 하나로서 스크램블링 또는 디스크램블링 프로세스를 위해 사용될 수 있고, 키 분배자(212)에 의해 분배될 수 있다. 일부 예시적인 실시예에서, 리스트 업데이터(214)는 특정 컴퓨팅 디바이스에 대해, 또는 네트워크 환경에 포함된 특정 그룹 또는 유형의 컴퓨팅 디바이스 등에 대해 정의된 특정 프로그램 리스트(236)를 유지 및 업데이트할 수 있다. 특정 프로그램 리스트(236)는 복수의 컴퓨팅 디바이스 및/또는 네트워크 환경 전체에 대해 정의된 인가된 응용 프로그램의 미리 결정된 리스트의 서브 세트일 수 있다.
서버(210)는 키 분배기(212)에 의해 분배된 공유 키(들)(232) 중 하나 이상이 시간 의존적인 경우에, 네트워크 환경에서의 복수의 컴퓨팅 디바이스 사이에서 시스템 클록을 동기화하기 위한 시간 동기화기(216)를 포함할 수 있다.
서버(210)는 가능한 보안 공격 및 발생을 검출하기 위해 컴퓨터 네트워크 환경에서 트래픽을 추적 및 분석하도록 구성된 공격 검출기(218)를 포함할 수 있다. 공격 검출기(218)는 디스크램블링된 포트 번호가 응용 프로그램에 할당되지 않은 착신 통신에 관한 컴퓨팅 디바이스(200)로부터의 통지를 수신 및 분석할 수 있다.
일부 예시적인 실시예에서, 키 분배기(212), 리스트 업데이터(214), 시간 동기화기(216), 및 공격 검출기(218)는 하나 이상의 분리된 서버 상에 배치될 수 있다. 일 실시예에서, 상기 각각은 독립형이고 분리된 서버 상에 배치된다.
이제, 개시된 주제의 일부 예시적인 실시예에 따른 방법의 흐름도를 도시하는 도 3a를 참조한다.
단계(310)에서, 발신 통신을 송신하기 위한 응용 프로그램의 요청이 수신될 수 있다. 응용 프로그램은 도 2의 컴퓨팅 디바이스(200)와 같은 컴퓨터화된 장치에 의해 실행될 수 있다. 발신 통신은 제1 포트("P"로 표시됨)를 통해 목적지에서 수신되도록 지정될 수 있다. 목적지는 컴퓨터화된 장치 외부의 목적지, 예를 들어 다른 컴퓨팅 디바이스(200)일 수 있다. 예로서, UDP 패킷의 목적지는 IP 주소 및 포트(예를 들어, 192.168.1.52:80)로서 제공될 수 있다.
단계(320)에서, 요청하는 응용 프로그램이 인가되는지 여부의 결정이 이루어질 수 있다. 결정은 도 2의 프로그램 리스트(236)와 같은 인가된 프로그램의 리스트를 참고함으로써 달성될 수 있다. 일부 예시적인 실시예에서, 인가되지 않은 프로그램은 컴퓨팅 디바이스에서 여전히 동작할 수 있지만, 개시된 주제를 고려할 시에, 그러한 프로그램은 동일한 네트워크 상의 다른 장치와 사실상 통신할 수 없을 수 있다.
단계(330)에서, 요청하는 응용 프로그램이 단계(320)에서 인가된 것으로 결정된 경우, 변환 함수가 제1 포트의 식별자에 적용되어 제2 포트의 식별자를 획득할 수 있다. 변환 함수는 도 2의 공유 키(232)와 같이, 컴퓨터 네트워크 내의 복수의 컴퓨팅 디바이스들 사이에서 공유되는 적어도 하나의 비밀 파라미터에 의존할 수 있다. 제1 포트의 식별자는 제2 포트의 식별자에 역변환을 적용함으로써 획득될 수 있다. 역변환은 적어도 하나의 비밀 파라미터에 의존할 수 있어, 적어도 하나의 비밀 파라미터를 공유하는 장치만이 역변환을 적용할 수 있다. 변환 함수는 DES, AES 등과 같은 대칭 암호 함수, 또는 RSA, El-Gammal 등과 같은 비대칭 암호 함수일 수 있다.
일부 예시적인 실시예에서, 스크램블링된 포트 번호는 인터넷 할당 번호 관리 기관(Internet Assigned Number Authority, IANA) 등에 의해 공개되는 "공통 포트 번호"로 알려진 포트 번호와 같은 일반적으로 알려진 기능을 갖는 포트 번호가 아닐 수 있다. 예로서, 스크램블링된 포트는 포트 20-21(FTP 용), 포트 22(SSH 용), 포트 53(DNS 용), 포트 80(HTTP 용), 포트 443(HTTPS 용) 등이 아닐 수 있다. 단계(330)에서, 변환 함수가 제외된 포트를 제공하는 경우에, 다음 제외되지 않은 포트가 선택될 수 있다. 추가적으로 또는 대안적으로, 제외된 포트 리스트는 공통 포트 번호 또는 계속 제외되는 다른 포트 번호를 포함할 수 있다. 리스트는 이전 시간 세그먼트에서 스크램블링된 포트로 사용된 포트 번호를 또한 포함할 수 있다. 예를 들어, 포트 80가 제1 시간 세그먼트 동안 포트 1579로 스크램블링된 경우, 다음 시간 세그먼트에서, 포트 80가 상이한 포트 번호로 스크램블링되면, 다른 모든 포트는 충돌 및 혼동을 피하기 위해 포트 1579로 스크램블링되는 것으로부터 제외될 수 있다. 이러한 실시예에서, 포트 1579로 예정되고 제2 세그먼트에서 수신되는 패킷은 제1 시간 세그먼트 동안 포트 80를 향해 송신된 패킷으로서 고유하게 식별될 수 있다.
단계(340)에서, 발신 통신은 제2 포트를 통해 목적지에서 수신되도록 보내질 수 있다. 원래 주소가 192.168.1.52:80이고 포트 80이 포트 1579로 스크램블링되는 상기 주어진 예에서, 발신 통신은 192.168.1.52:1579로 송신될 수 있다.
일부 예시적인 실시예에서, 적어도 하나의 비밀 파라미터의 내용은 네트워크 내의 복수의 컴퓨팅 디바이스 각각에서 업데이트될 수 있다. 결과적으로, 변환 함수의 동작은 네트워크 내의 모든 컴퓨팅 디바이스에 대해 동적으로 그리고 자동으로 수정될 수 있다. 특히, 제1 포트를 통해 수신될 발신 통신을 송신하기 위한 후속 요청은 단계(330)에서 변환 함수의 적용을 야기하여 제2 포트와 상이한 제3 포트의 식별자를 산출할 수 있다. 일부 예시적인 실시예에서, 변환 함수는 사용자가 수정된 정의를 제공하지 않으면서 수정된다.
이제, 개시된 주제의 일부 예시적인 실시예에 따른 방법의 흐름도를 도시하는 도 3b를 참조한다.
단계(350)에서, 도 2의 컴퓨팅 디바이스(200)와 같은 컴퓨터화된 장치의 제1 포트를 통한 착신 통신이 수신될 수 있다. 착신 통신은 컴퓨터 네트워크(100)와 같은 컴퓨터 네트워크를 통해 외부 디바이스로부터 수신될 수 있다.
단계(360)에서, 제2 포트의 식별자는 제1 포트의 식별자에 역변환 함수를 적용함으로써 획득될 수 있다. 역변환 함수는 도 2의 공유 키(232)와 같이, 컴퓨터 네트워크 내의 복수의 컴퓨팅 디바이스들 사이에서 공유되는 적어도 하나의 비밀 파라미터에 의존할 수 있다.
단계(370)에서, 제2 포트가 유효 포트인지의 여부의 결정이 이루어질 수 있다. 유효 포트는 도 2의 프로그램 리스트(236)와 같은 인가된 프로그램의 리스트 내의 프로그램 중 임의의 것에 의해 사용되는 임의의 포트일 수 있다. 추가적으로 또는 대안적으로, 유효 포트는 임의의 공통 포트일 수 있다. 추가적으로 또는 대안적으로, 유효 포트는 컴퓨터화된 장치에 의해 실행되는 프로그램에 의해 사용되는 임의의 포트일 수 있다.
단계(380)에서, 단계(370)에서 제2 포트가 유효 포트인 것으로 결정된 경우, 착신 통신은 제2 포트로 다시 보내질 수 있다. 일부 예시적인 실시예에서, 후속하여, 착신 통신은 프로그램에 의해 수신되고 적절하게 처리된다.
단계(390)에서, 단계(370)에서 제2 포트가 유효 포트가 아니라고 결정된 경우, 대응하는 통지가 도 2의 서버(210)에서의 공격 검출기(218)와 같은 공격을 검출하기 위해 네트워크 트래픽을 추적 및 분석하는 주체에게 발행될 수 있다. 추가적으로 또는 대안적으로, 수신된 통신은 빼버리고 무시될 수 있다.
일부 예시적인 실시예에서, 도 2의 프로그램 리스트(236)와 같이, 인가된 프로그램의 리스트의 일부가 아닌 애플리케이션에 의해 발행된 통신은 도 3a에서 설명한 바와 같이 스크램블링되지 않고, 따라서 도 3b에 도시된 바와 같이 수신 디바이스에서 원하는 최종 목적지에 의해 수신되고 처리되지 않는다. 결과적으로, 네트워크 상의 디바이스에 의해 실행되는 임의의 인가되지 않은 프로그램은 다른 디바이스와 사실상 통신할 수 없다.
일부 예시적인 실시예에서, 인가되지 않은 애플리케이션은 사실상 외부 네트워크에 액세스하여 악의적인 사용자에게 보고할 수 없다. 외부 네트워크에 있는 디바이스와 통신하기 위해서는, 그 디바이스가 먼저 라우터, 브리지, 스위치 또는 네트워크를 외부 네트워크에 연결하는 라우터라고 지칭되는 유사한 디바이스와 통신해야 한다. 이러한 통신은 또한 스크램블링된 포트에 기초하여 수행될 수 있다. 결과적으로, 그리고 인가되지 않은 애플리케이션에 의해 개시된 통신은 스크램블링되지 않기 때문에, 라우터는 통신을 해제하고 그에 대응하지 않는다.
일부 예시적인 실시예에서, 조직의 네트워크에서의 통신은 방화벽을 통과할 수 있다. 방화벽은 포트 스크램블/디스크램블링을 처리하도록 구성되지 않을 수 있다. 이러한 경우에, 송신 디바이스는 패킷이 방화벽에 직접 송신되었다고 결정하고 그러한 패킷의 포트 스크램블을 피할 수 있다. 추가적으로 또는 대안적으로, 방화벽으로부터 직접 패킷을 수신하는 수신 디바이스는 수신된 패킷에 대해 포트 디스크램블링을 수행하는 것을 피할 수 있다.
이제, 개시된 주제의 일부 예시적인 실시예에 따른 방법의 흐름도를 도시하는 도 4를 참조한다. 일부 예시적인 실시예에서, 도 4는 도 2의 서버(210)와 같은 서버에 의해 수행될 수 있다.
단계(400)에서, 네트워크의 트래픽이 모니터링될 수 있다. 일부 예시적인 실시예에서, 트래픽은 예컨대 서버를 통해 라우팅되는 패킷을 분석함으로써 서버에 의해 직접 모니터링될 수 있다. 추가적으로 또는 대안적으로, 트래픽은 네트워크 내의 디바이스에 의해 실행되는 전용 소프트웨어와 같은 분산형 에이전트를 사용하여 모니터링될 수 있다. 일 실시예에서, 포트 스크램블러는 네트워크 내의 각각의 디바이스 상에 설치되며, 서버를 대신하여 분산형 모니터링 에이전트로서 사용된다.
단계(410)에서, 무효 포트에 액세스하려고 시도하는 송신이 식별된다. 일부 예시적인 실시예에서, 포트가 유효하고 무효하게 된 후에 타당한 시간 프레임 내에, 예컨대 5초, 약 1분, 약 10분 등 내에 수행되는 송신은 무효 포트에 액세스하려는 시도가 상이한 디바이스의 클록의 차이로 인한 것일 수 있으므로 묵과될 수 있다. 일부 예시적인 실시예에서, 타겟 포트는 변환 함수에 의해 정의된 바와 같은 현재 유효 포트와 비교될 수 있다.
일부 예시적인 실시예에서, 공통으로 사용되는 포트(예를 들어, 공통 포트 번호)와 같은 미리 결정된 포트의 리스트는 임의의 시간에 유효한 것으로부터 제외될 수 있다. 예를 들어, 포트 80은 스크램블링된 포트로 사용될 수 없을 수 있다. 리스트 내의 포트에 액세스하려는 임의의 시도는 즉시 시도로서 식별될 수 있고, 변환 함수의 정의에 의해 무효인 그러한 미리 결정된 알려진 포트에 액세스하려는 시도는 즉시 무효 포트에 액세스하려는 시도로 결정될 수 있다.
일부 예시적인 실시예에서, 방화벽 구성 요소, 게이트웨이 구성 요소 등과 같은 네트워크 디바이스의 소수는 포트를 스크램블 및 디스크램블링하도록 구성될 수 없다. 단계(410)의 분석은 그러한 디바이스로부터 비롯되거나 그러한 디바이스를 향해 보내지는 패킷을 무시할 수 있다. 일부 예시적인 실시예에서, 착신 패킷에 대한 포트를 디스크램블링하는 디바이스 쪽으로 향하는 송신 시도만이 단계(410) 동안 분석되고 고려될 수 있다.
추가적으로 또는 대안적으로, 단계(410)에서, 도 3b의 단계(390)에 도시된 바와 같이, 포트가 무효하다는 수신 클라이언트에 의한 통지가 수신 될 수 있다.
단계(420)에서, 송신은 악의적인 활동의 일부인지 여부를 결정하기 위해 분석될 수 있다. 일부 예시적인 실시예에서, 동일한 디바이스로부터의 과거의 시도가 또한 그러한 결정을 내리기 위해 사용될 수 있다. 일부 예시적인 실시예에서, 포트 스캐닝 시도는 개방 포트를 식별하기 위해 포트에 액세스하려는 반복 시도를 포함할 수 있다. 그러한 활동은 무효일 수 있는 포트에 액세스하려는 여러 시도를 포함할 수 있다. 일부 예시적인 실시예에서, 도 2의 서버(210)와 같은 모니터링 서버는 각각 키 분배 자(212) 및 리스트 업데이터(214)로부터의 공유 키(들)(232) 및/또는 프로그램 리스트(236)의 허위, 손상된, 또는 그렇지 않으면 조작된 버전을 디바이스에 제공함으로써 네트워크 내의 나머지 장치에서 그러한 시도가 발생한 디바이스를 사실상 연결 해제할 수 있다.
본 발명은 시스템, 방법, 및/또는 컴퓨터 프로그램 제품일 수 있다. 컴퓨터 프로그램 제품은 프로세서로 하여금 본 발명의 양태를 행하게 하기 위한 컴퓨터 판독 가능 프로그램 명령어를 갖는 컴퓨터 판독 가능 저장 매체(또는 매체들)를 포함할 수 있다.
컴퓨터 판독 가능 저장 매체는 명령어 실행 디바이스에 의한 사용을 위한 명령어를 보유하고 저장할 수 있는 유형의 디바이스일 수 있다. 컴퓨터 판독 가능 저장 매체는 예를 들어 전자 저장 디바이스, 자기 저장 디바이스, 광학 저장 디바이스, 전자기 저장 디바이스, 반도체 저장 디바이스, 또는 이들의 임의의 적절한 조합일 수 있으나, 이로 제한되지는 않는다. 컴퓨터 판독 가능 저장 매체의 보다 구체적인 예에 대한 비 한정적인 리스트는 다음의: 휴대용 컴퓨터 디스켓, 하드 디스크, 랜덤 액세스 메모리(random access memory, RAM), 판독 전용 메모리(Read-Only Memory, ROM), 소거 가능한 프로그램 가능 판독 전용 메모리(erasable programmable read-only memory; EPROM 또는 플래시 메모리), 정적 랜덤 액세스 메모리(Static Random Access Memory, SRAM), 휴대용 컴팩트 디스크 판독 전용 메모리(compact disc read-only memory, CD-ROM), 디지털 다기능 디스크(digital versatile disk, DVD), 메모리 스틱, 플로피 디스크, 기록된 명령어를 갖는 펀치 카드 또는 그루브의 양각 구조와 같은 기계적으로 인코딩된 디바이스, 및 전술한 것의 임의의 적합한 조합을 포함한다. 본 명세서에서 사용되는 바와 같은 컴퓨터 판독 가능 저장 매체는 전파 또는 다른 자유롭게 전파하는 전자기파, 도파관 또는 다른 송신 매체를 통해 전파하는 전자기파(예를 들어, 광섬유 케이블을 통과하는 광 펄스), 또는 전선을 통해 송신되는 전기 신호 같은 일시적인 신호로 해석되지 않는다.
본 명세서에 설명된 컴퓨터 판독 가능 프로그램 명령어는 컴퓨터 판독 가능 저장 매체로부터 각각의 컴퓨팅/프로세싱 디바이스로, 또는 네트워크, 예를 들어 인터넷, 근거리 네트워크, 광역 네트워크, 및/또는 무선 네트워크를 통해 외부 컴퓨터 또는 외부 저장 디바이스로 다운로드될 수 있다. 네트워크는 구리 송신 케이블, 광학 송신 섬유, 무선 송신부, 라우터, 방화벽, 스위치, 게이트웨이 컴퓨터, 및/또는 에지 서버를 포함할 수 있다. 각각의 컴퓨팅/프로세싱 디바이스 내의 네트워크 어댑터 카드 또는 네트워크 인터페이스는 네트워크로부터 컴퓨터 판독 가능 프로그램 명령어를 수신하여, 각각의 컴퓨팅/프로세싱 디바이스 내의 컴퓨터 판독 가능 저장 매체에 저장하기 위해 컴퓨터 판독 가능 프로그램 명령어를 포워딩한다.
본 발명의 동작을 행하기 위한 컴퓨터 판독 가능 프로그램 명령어는 어셈블러 명령어, 명령어 세트 아키텍처(instruction-set-architecture, ISA) 명령어, 머신 명령어, 머신 의존 명령어, 마이크로 코드, 펌웨어 명령어, 상태 설정 데이터, 또는 Smalltalk, C ++ 또는 그와 같은 객체 지향 프로그래밍 언어를 포함하는 하나 이상의 프로그래밍 언어와 "C" 프로그래밍 언어 또는 유사한 프로그래밍 언어와 같은 종래의 절차적 프로그래밍 언어의 임의의 조합으로 작성된 소스 코드 또는 객체 코드를 포함할 수 있다. 컴퓨터 판독 가능 프로그램 명령어는 전체적으로 사용자의 컴퓨터 상에서, 부분적으로 사용자의 컴퓨터 상에서, 독립형 소프트웨어 패키지로서, 부분적으로는 사용자의 컴퓨터 상에서 그리고 부분적으로는 원격 컴퓨터 상에서, 또는 전체적으로 원격 컴퓨터나 서버 상에서 실행될 수 있다. 후자의 시나리오에서, 원격 컴퓨터는 근거리 네트워크(LAN) 또는 광역 네트워크(WAN)를 포함하는 임의의 유형의 네트워크를 통해 사용자의 컴퓨터에 연결될 수 있고, 연결은 (예를 들어, 인터넷 서비스 제공자를 사용하여 인터넷을 통해) 외부 컴퓨터로 이루어질 수 있다. 일부 실시예에서, 예를 들어 프로그램 가능 논리 회로, 필드 프로그램 가능 게이트 어레이(field-programmable gate array, FPGA) 또는 프로그램 가능 논리 어레이(programmable logic array, PLA)를 포함하는 전자 회로는 본 발명의 양태를 수행하도록, 전자 회로를 원하는 대로 하기 위해 컴퓨터 판독 가능 프로그램 명령어의 상태 정보를 이용함으로써 컴퓨터 판독 가능 프로그램 명령어를 실행할 수 있다.
본 발명의 양태는 본 발명의 실시예에 따른 방법, 장치(시스템), 및 컴퓨터 프로그램 제품의 흐름도 및/또는 블록도를 참조하여 본 명세서에서 설명된다. 흐름도 및/또는 블록도의 각각의 블록, 및 흐름도 및/또는 블록도의 블록의 조합은 컴퓨터 판독 가능 프로그램 명령어에 의해 구현될 수 있음이 이해될 것이다.
이들 컴퓨터 판독 가능 프로그램 명령은 머신을 생성하기 위해 범용 컴퓨터, 특수 목적용 컴퓨터, 또는 다른 프로그램 가능 데이터 프로세싱 장치의 프로세서 제공될 수 있어, 컴퓨터 또는 다른 프로그램 가능 데이터 프로세싱 장치의 프로세서를 통해 실행되는 명령어가 흐름도 및/또는 블록도 블록 또는 블록들에서 명시된 기능/행위를 구현하기 위한 수단을 생성한다. 이들 컴퓨터 판독 가능 프로그램 명령어는 또한 컴퓨터, 프로그램 가능 데이터 프로세싱 장치, 및/또는 다른 디바이스가 특정 방식으로 기능하도록 지시할 수 있는 컴퓨터 판독 가능 저장 매체에 저장될 수 있어, 그 안에 저장된 명령어를 갖는 컴퓨터 판독 가능 저장 매체는 흐름도 및/또는 블록도 블록 또는 블록들에서 명시된 기능/동작의 양태를 구현하는 명령어를 포함하는 제품을 포함한다.
컴퓨터 판독 가능 프로그램 명령어는 또한 컴퓨터, 다른 프로그램 가능 데이터 프로세싱 디바이스, 또는 다른 디바이스 상으로 로딩되어 일련의 동작 단계가 컴퓨터로 구현되는 프로세스를 생성하기 위해 컴퓨터, 다른 프로그램 가능 장치, 또는 다른 디바이스 상에서 수행되도록 할 수 있어, 컴퓨터, 다른 프로그램 가능 장치, 또는 다른 디바이스 상에서 실행되는 명령어는 흐름도 및/또는 블록도 블록 또는 블록들에서 명시된 기능/행위를 구현한다.
도면의 흐름도 및 블록도는 본 발명의 다양한 실시예에 따른 시스템, 방법, 및 컴퓨터 프로그램 제품의 가능한 구현의 구조, 기능, 및 동작을 도시한다. 이와 관련하여, 흐름도 또는 블록도의 각각의 블록은 명시된 논리 기능(들)을 구현하기 위한 하나 이상의 실행 가능 명령어를 포함하는 모듈, 세그먼트, 또는 명령어 부분을 나타낼 수 있다. 일부 대안적인 구현 예에서, 블록에서 언급된 기능은 도면에서 언급된 순서를 벗어나 발생할 수 있다. 예를 들어, 연속적으로 도시된 2개의 블록은 사실상 실질적으로 동시에 실행될 수 있거나, 관련된 기능에 따라 때때로 블록이 역순으로 실행될 수 있다. 블록도 및/또는 흐름도의 각각의 블록, 및 블록도 및/또는 흐름도의 블록의 조합은 명시된 기능 또는 행위를 수행하거나 특수 목적 하드웨어와 컴퓨터 명령어의 조합을 행하는 특수 목적 하드웨어 기반 시스템에 의해 구현될 수 있음을 또한 알 것이다.
본 명세서에 사용된 용어는 단지 특정 실시예를 설명하기 위한 것이며, 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서 사용된 바와 같이, 단수 형태 "a", "an" 및 "the"는, 문맥상 달리 명확하게 나타내지 않는 한, 복수의 형태도 포함하는 것으로 의도된다. 용어 "포함하다(comprises)", 및/또는 "포함하는(comprising)"은, 본원에서 이용되는 경우에는, 언급된 특징, 인티저(integer), 단계, 동작, 요소, 및/또는 구성 요소의 존재를 명시하나, 하나 이상의 다른 특징, 인티저, 단계, 동작, 요소, 구성 요소, 및/또는 이들의 그룹의 존재 또는 추가를 배제하지는 않음이 더 이해될 것이다.
아래의 청구항에서 모든 수단 또는 단계와 기능 요소의 대응하는 구조, 재료, 행위, 및 균등물은 구체적으로 청구되는 다른 청구된 요소와 조합하여 기능을 수행하기 위한 임의의 구조, 재료, 또는 행위를 포함하고자 한다. 본 발명의 설명은 예시 및 설명의 목적으로 제시되었지만, 개시된 형태로 본 발명을 철저히 하거나 제한하고자 하는 것은 아니다. 본 발명의 범위 및 사상을 벗어나지 않으면서 많은 수정 및 변형이 본 기술분야의 통상의 기술자에게 명백할 것이다. 실시예는 본 발명의 원리를 가장 잘 설명하고, 본 기술분야의 통상의 기술자가 고려되는 특정 용도에 적합한 것으로 다양한 수정을 갖는 다양한 실시예에 대해 본 발명을 이해하는 것을 가능하게 하도록 선택되고 설명되었다.

Claims (20)

  1. 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법으로서,
    상기 복수의 디바이스 각각은 상기 복수의 디바이스 각각 상에서 실행 중인 응용 프로그램의 송신 요청에 나타내어진 네트워크 통신을 위한 타겟 포트의 식별자에 변환 함수를 적용하여, 상기 식별자의 스크램블링된 버전이 획득되도록 구성되고, 상기 복수의 디바이스는 상기 식별자의 스크램블링된 버전에 의해 식별된 상이한 타겟 포트를 통해 수신될 송신을 보내도록 더 구성되고,
    상기 방법은
    상기 복수의 디바이스에 포함된 제1 컴퓨터화된 장치의 제1 포트에 보내진 제1 송신에 의한 무효 포트 액세스 시도를 식별하는 단계; 및
    상기 식별하는 단계에 응답하여, 상기 무효 포트 액세스 시도로 인한 보안 위협이 완화되도록 수행될 액션을 제공하는 단계를 포함하고,
    상기 무효 포트 액세스를 식별하는 단계는 상기 복수의 디바이스에 포함된 제2 컴퓨터화된 장치 상에서 실행되는 응용 프로그램의 송신 요청에 의해 수신이 지정되는 제2 포트의 제2 식별자에 상기 변환 함수를 적용함으로써 상기 제1 포트를 식별하는 제1 식별자가 획득 가능한지 여부를 검사하는 단계를 포함하고,
    상기 변환 함수는 상기 복수의 디바이스들 사이에서 공유되는 적어도 하나의 파라미터에 의존하고, 상기 복수의 디바이스 중 하나의 디바이스에 의해 상기 변환 함수를 적용하는 것은 상기 디바이스에 제공된 인가된 응용 프로그램의 리스트에 열거되어 있는 송신을 요청하는 응용 프로그램에 대해 조절되는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  2. 제1항에 있어서,
    상기 제1 송신을 분석한 것에 기초하여, 상기 제1 송신이 악의적인 활동으로부터 일어날 가능성이 있는지 여부를 결정하는 단계를 더 포함하고, 상기 액션은 상기 결정에 응답하는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  3. 제2항에 있어서,
    상기 결정하는 단계는 무효 포트 또는 이웃 포트에 액세스하려는 반복적인 또는 연속적인 시도를 식별하기 위해 상기 제1 송신이 비롯되는 동일한 디바이스로부터의 과거 액세스 시도를 분석하는 단계를 더 포함하는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  4. 제2항에 있어서,
    상기 제1 송신을 분석하는 것은 컴퓨터 네트워크 내의 미리 결정된 디바이스의 집합 중 하나의 디바이스로부터 비롯되거나 컴퓨터 네트워크 내의 미리 결정된 디바이스의 집합 중 하나의 디바이스 쪽으로 보내진 트래픽에 대해 스킵되는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  5. 제4항에 있어서,
    상기 미리 결정된 디바이스의 집합은 방화벽 구성 요소; 게이트웨이 구성 요소; 및 이들의 임의의 조합으로 이루어지는 그룹으로부터 선택된 유형의 하나 이상의 디바이스를 포함하는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  6. 제1항에 있어서,
    상기 제1 송신은 컴퓨터 네트워크에 걸친 트래픽을 모니터링하는 서버에 의해 차단되고, 상기 식별하는 단계는 상기 서버에 의해 수행되는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  7. 제1항에 있어서,
    상기 제1 송신은 상기 제1 컴퓨터화된 장치에 배치된 모니터링 에이전트에 의해 차단되고, 상기 식별하는 단계는 상기 모니터링 에이전트에 의해 수행되는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  8. 제1항에 있어서,
    상기 검사하는 단계는 상기 제1 식별자를 포트의 식별자에 대해 상기 변환 함수를 적용함으로써 획득된 유효한 타겟 포트의 집합과 비교하는 단계를 포함하고, 상기 포트 각각은 공통 포트; 인가된 응용 프로그램의 리스트 내의 프로그램에 의해 사용되는 포트; 상기 제1 컴퓨터화된 장치 상에서 실행되는 프로그램에 의해 사용되는 포트; 및 이들의 임의의 조합으로 이루어지는 그룹으로부터 선택된 유형의 것인, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  9. 제1항에 있어서,
    상기 적어도 하나의 파라미터는 시간 의존적인 암호화 키를 포함하고,
    상기 방법은
    상기 제1 포트가 이전에 유효했는지 여부를 결정하는 단계;
    상기 제1 포트가 무효로 된 때로부터 상기 송신이 상기 제1 포트에 액세스하려고 시도할 때까지의 시간 프레임을 계산하는 단계; 및
    상기 시간 프레임을 미리 결정된 임계치와 비교하는 단계를 더 포함하고,
    상기 액션은 적어도 상기 미리 결정된 임계치가 상기 시간 프레임에 의해 초과되는지 여부에 기초하여 결정되는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  10. 제1항에 있어서,
    상기 검사하는 단계는 상기 제1 식별자를, 송신을 수신하기 위한 타겟 포트로서 사용되는 것으로부터 제외된 미리 결정된 포트의 식별자의 집합과 비교하여, 일치가 발견될 시에 상기 제1 포트의 무효성이 결정되는 단계를 포함하는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  11. 제1항에 있어서,
    상기 액션은 상기 적어도 하나의 파라미터의 적어도 일부에 대한 무의미한 인스턴스를 디바이스에 제공함으로써 상기 제1 송신이 비롯되는 디바이스가 상기 복수의 디바이스 중 임의의 디바이스와 사실상 통신하는 것을 방지하는 것을 수반하는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  12. 제1항에 있어서,
    상기 식별하는 단계는 상기 제1 식별자에 역변환 함수를 적용하는 단계를 포함하는, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  13. 제1항에 있어서,
    상기 디바이스에 제공된 상기 인가된 응용 프로그램의 리스트는 상기 복수의 디바이스에 대해 정의된 인가된 응용 프로그램의 미리 결정된 리스트의 서브 세트인, 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 수행되는 컴퓨터로 구현되는 방법.
  14. 프로세서를 갖는 컴퓨터화된 장치로서,
    상기 컴퓨터화된 장치는 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경과 통신하고, 상기 복수의 디바이스 각각은 상기 복수의 디바이스 각각 상에서 실행 중인 응용 프로그램의 송신 요청에 나타내어진 네트워크 통신을 위한 타겟 포트의 식별자에 변환 함수를 적용하여, 상기 식별자의 스크램블링된 버전이 획득되도록 구성되고, 상기 복수의 디바이스는 상기 식별자의 스크램블링된 버전에 의해 식별된 상이한 타겟 포트를 통해 수신될 송신을 보내도록 더 구성되고,
    상기 프로세서는
    상기 복수의 디바이스에 포함된 제1 컴퓨터화된 장치의 제1 포트에 보내진 제1 송신에 의한 무효 포트 액세스 시도를 식별하는 단계; 및
    상기 식별하는 단계에 응답하여, 상기 무효 포트 액세스 시도로 인한 보안 위협이 완화되도록 수행될 액션을 제공하는 단계를 수행하도록 구성되고,
    상기 무효 포트 액세스를 식별하는 단계는 상기 복수의 디바이스에 포함된 제2 컴퓨터화된 장치 상에서 실행되는 응용 프로그램의 송신 요청에 의해 수신이 지정되는 제2 포트의 제2 식별자에 상기 변환 함수를 적용함으로써 상기 제1 포트를 식별하는 제1 식별자가 획득 가능한지 여부를 검사하는 것을 포함하고;
    상기 변환 함수는 상기 복수의 디바이스들 사이에서 공유되는 적어도 하나의 파라미터에 의존하고, 상기 복수의 디바이스 중 하나의 디바이스에 의해 상기 변환 함수를 적용하는 단계는 상기 디바이스에 제공된 인가된 응용 프로그램의 리스트에 열거되어 있는 송신을 요청하는 응용 프로그램에 대해 조절되는, 프로세서를 갖는 컴퓨터화된 장치.
  15. 제14항에 있어서,
    상기 프로세서는 상기 제1 송신을 분석한 것에 기초하여, 상기 제1 송신이 악의적인 활동으로부터 일어날 가능성이 있는지 여부를 결정하도록 더 구성되고, 상기 액션은 상기 결정에 응답하는, 프로세서를 갖는 컴퓨터화된 장치.
  16. 제15항에 있어서,
    상기 결정하는 것은 무효 포트 또는 이웃 포트에 액세스하려는 반복적인 또는 연속적인 시도를 식별하기 위해 상기 제1 송신이 비롯되는 것과 동일한 디바이스로부터의 과거 액세스 시도를 분석하는 것을 더 포함하는, 프로세서를 갖는 컴퓨터화된 장치.
  17. 제14항에 있어서,
    상기 제1 송신을 분석하는 것은 컴퓨터 네트워크 내의 미리 결정된 디바이스의 집합 중 하나의 디바이스로부터 비롯되거나 컴퓨터 네트워크 내의 미리 결정된 디바이스의 집합 중 하나의 디바이스 쪽으로 보내진 트래픽에 대해 스킵되는, 프로세서를 갖는 컴퓨터화된 장치.
  18. 제14항에 있어서,
    상기 검사하는 것은 상기 제1 식별자를 포트의 식별자에 대해 상기 변환 함수를 적용함으로써 획득된 유효한 타겟 포트의 집합과 비교하는 것을 포함하고, 상기 포트 각각은 공통 포트; 인가된 응용 프로그램의 리스트 내의 프로그램에 의해 사용되는 포트; 상기 제1 컴퓨터화된 장치 상에서 실행되는 프로그램에 의해 사용되는 포트; 및 이들의 임의의 조합으로 이루어지는 그룹으로부터 선택된 유형의 것인, 프로세서를 갖는 컴퓨터화된 장치.
  19. 제14항에 있어서,
    상기 적어도 하나의 파라미터는 시간 의존적인 암호화 키를 포함하고, 상기 프로세서는
    상기 제1 포트가 이전에 유효했는지 여부를 결정하는 단계;
    상기 제1 포트가 무효로 된 때로부터 상기 송신이 상기 제1 포트에 액세스하려고 시도할 때까지의 시간 프레임을 계산하는 단계; 및
    상기 시간 프레임을 미리 결정된 임계치와 비교하는 단계를 수행하도록 더 구성되고,
    상기 액션은 적어도 상기 미리 결정된 임계치가 상기 시간 프레임에 의해 초과되는지 여부에 기초하여 결정되는, 프로세서를 갖는 컴퓨터화된 장치.
  20. 프로그램 명령어를 보유하는 컴퓨터 판독 가능 저장 매체를 포함하는 컴퓨터 프로그램 제품으로서,
    상기 프로그램 명령어는 프로세서에 의해 판독되는 경우, 상기 프로세서로 하여금 복수의 디바이스를 포함하는 컴퓨터 네트워크 환경에서 행해지는 방법을 수행하게 하고, 상기 복수의 디바이스 각각은 상기 복수의 디바이스 각각 상에서 실행 중인 응용 프로그램의 송신 요청에 나타내어진 네트워크 통신을 위한 타겟 포트의 식별자에 변환 함수를 적용하여, 상기 식별자의 스크램블링된 버전이 획득되도록 구성되고, 상기 복수의 디바이스는 상기 식별자의 스크램블링된 버전에 의해 식별된 상이한 타겟 포트를 통해 수신될 송신을 보내도록 더 구성되고,
    상기 방법은
    상기 복수의 디바이스에 포함된 제1 컴퓨터화된 장치의 제1 포트에 보내진 제1 송신에 의한 무효 포트 액세스 시도를 식별하는 단계; 및
    상기 식별하는 단계에 응답하여, 상기 무효 포트 액세스 시도로 인한 보안 위협이 완화되도록 수행될 액션을 제공하는 단계를 포함하고,
    상기 무효 포트 액세스를 식별하는 단계는 상기 복수의 디바이스에 포함된 제2 컴퓨터화된 장치 상에서 실행되는 응용 프로그램의 송신 요청에 의해 수신이 지정되는 제2 포트의 제2 식별자에 상기 변환 함수를 적용함으로써 상기 제1 포트를 식별하는 제1 식별자가 획득 가능한지 여부를 검사하는 단계를 포함하고,
    상기 변환 함수는 상기 복수의 디바이스들 사이에서 공유되는 적어도 하나의 파라미터에 의존하고, 상기 복수의 디바이스 중 하나의 디바이스에 의해 상기 변환 함수를 적용하는 단계는 상기 디바이스에 제공된 인가된 응용 프로그램의 리스트에 열거되어 있는 송신을 요청하는 응용 프로그램에 대해 조절되는, 프로그램 명령어를 보유하는 컴퓨터 판독 가능 저장 매체를 포함하는 컴퓨터 프로그램 제품.
KR1020187017900A 2015-12-31 2016-12-26 컴퓨터 네트워크에서 트래픽 모니터링 KR20180099683A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562273530P 2015-12-31 2015-12-31
US62/273,530 2015-12-31
PCT/IL2016/051381 WO2017115356A1 (en) 2015-12-31 2016-12-26 Monitoring traffic in a computer network ‎

Publications (1)

Publication Number Publication Date
KR20180099683A true KR20180099683A (ko) 2018-09-05

Family

ID=59224776

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187017900A KR20180099683A (ko) 2015-12-31 2016-12-26 컴퓨터 네트워크에서 트래픽 모니터링

Country Status (10)

Country Link
US (3) US9794277B2 (ko)
EP (1) EP3398291A4 (ko)
JP (1) JP2019507412A (ko)
KR (1) KR20180099683A (ko)
CN (1) CN108476138A (ko)
AU (1) AU2016381499A1 (ko)
CA (1) CA3006418A1 (ko)
IL (1) IL253178B (ko)
SG (1) SG11201804315TA (ko)
WO (1) WO2017115356A1 (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190089595A1 (en) * 2017-09-18 2019-03-21 Cyber 2.0 (2015) LTD Automatic security configuration
US20200028856A1 (en) * 2018-07-23 2020-01-23 Cyber 2.0 (2015) LTD Port scrambling usage in heterogeneous networks
US11356445B2 (en) 2017-03-28 2022-06-07 Amazon Technologies, Inc. Data access interface for clustered devices
US10530752B2 (en) * 2017-03-28 2020-01-07 Amazon Technologies, Inc. Efficient device provision
US10621055B2 (en) 2017-03-28 2020-04-14 Amazon Technologies, Inc. Adaptive data recovery for clustered data devices
CN108683652A (zh) * 2018-05-04 2018-10-19 北京奇安信科技有限公司 一种基于行为权限的处理网络攻击行为的方法及装置
US11201897B1 (en) 2019-09-03 2021-12-14 Rapid7, Inc. Secure multiplexed routing
US11297036B1 (en) * 2019-09-03 2022-04-05 Rapid7, Inc. Single whitelisted ingress endpoint on 1 and 2 way TLS connections
CN113364821B (zh) * 2020-03-04 2024-03-05 腾讯科技(深圳)有限公司 一种功能服务访问方法、设备及存储介质
CN111565180B (zh) * 2020-04-28 2021-01-29 广州锦行网络科技有限公司 一种虚拟端口的保护系统及方法
US20220060498A1 (en) * 2020-08-20 2022-02-24 Intrusion, Inc. System and method for monitoring and securing communications networks and associated devices
CN113923190B (zh) * 2021-09-15 2023-11-28 北京达佳互联信息技术有限公司 设备标识跳变的识别方法及装置、服务器及存储介质

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US5903721A (en) 1997-03-13 1999-05-11 cha|Technologies Services, Inc. Method and system for secure online transaction processing
US6549538B1 (en) 1998-12-31 2003-04-15 Compaq Information Technologies Group, L.P. Computer method and apparatus for managing network ports cluster-wide using a lookaside list
FR2823936B1 (fr) * 2001-04-19 2003-05-30 France Telecom Procede et systeme d'acces conditionnel a des services ip
US7644436B2 (en) * 2002-01-24 2010-01-05 Arxceo Corporation Intelligent firewall
US7092943B2 (en) * 2002-03-01 2006-08-15 Enterasys Networks, Inc. Location based data
JP2004112018A (ja) 2002-09-13 2004-04-08 Johnson Controls Inc インターネットアクセスWeb監視制御システム
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
US20050132060A1 (en) * 2003-12-15 2005-06-16 Richard Mo Systems and methods for preventing spam and denial of service attacks in messaging, packet multimedia, and other networks
US20050220017A1 (en) 2004-03-31 2005-10-06 Brand Thomas E Denial of service protection through port hopping
US20060005227A1 (en) 2004-07-01 2006-01-05 Microsoft Corporation Languages for expressing security policies
US20070070996A1 (en) * 2005-09-26 2007-03-29 Oran David R Port hopping scheme for peer-to-peer connections
US7721091B2 (en) * 2006-05-12 2010-05-18 International Business Machines Corporation Method for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages
WO2009055717A1 (en) 2007-10-24 2009-04-30 Jonathan Peter Deutsch Various methods and apparatuses for a central station to allocate virtual ip addresses
US7903566B2 (en) * 2008-08-20 2011-03-08 The Boeing Company Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
US8572717B2 (en) * 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US8578491B2 (en) * 2008-12-11 2013-11-05 Alcatel Lucent Network based malware detection and reporting
US8549625B2 (en) * 2008-12-12 2013-10-01 International Business Machines Corporation Classification of unwanted or malicious software through the identification of encrypted data communication
US8208418B1 (en) * 2009-01-16 2012-06-26 Extreme Networks, Inc. Methods, systems, and computer readable media for conserving multicast port list resources in an internet protocol (IP) packet forwarding device
US20110026529A1 (en) * 2009-07-31 2011-02-03 Saugat Majumdar Method And Apparatus For Option-based Marking Of A DHCP Packet
JP5357707B2 (ja) 2009-11-11 2013-12-04 株式会社日立製作所 ゲートウェイ装置およびポート番号割当て方法
US8958292B2 (en) 2010-07-06 2015-02-17 Nicira, Inc. Network control apparatus and method with port security controls
US9124598B2 (en) * 2011-06-27 2015-09-01 Kaseya Limited Method and apparatus of establishing a connection between devices using cached connection information
CN102868943B (zh) * 2011-07-04 2015-11-25 华为技术有限公司 一种获取pon端口关联关系的方法、光网络装置和系统
US9813310B1 (en) * 2011-10-31 2017-11-07 Reality Analytics, Inc. System and method for discriminating nature of communication traffic transmitted through network based on envelope characteristics
US9100497B2 (en) * 2012-04-05 2015-08-04 Blackberry Limited Method, system and apparatus for managing persona-based notifications at a communication device
US8751650B2 (en) 2012-05-10 2014-06-10 Cisco Technology, Inc. Method and apparatus for supporting access control lists in a multi-tenant environment
US20140281546A1 (en) * 2013-03-13 2014-09-18 Eolas Technologies, Inc. HEDI-Hopping-Enabled Dynamically-secured Intercommunication (AKA SockHop)
US9992215B2 (en) * 2013-10-04 2018-06-05 Webroot Inc. Network intrusion detection

Also Published As

Publication number Publication date
CA3006418A1 (en) 2017-07-06
IL253178B (en) 2019-01-31
US20180007072A1 (en) 2018-01-04
US9794277B2 (en) 2017-10-17
EP3398291A4 (en) 2019-06-26
US10333956B2 (en) 2019-06-25
EP3398291A1 (en) 2018-11-07
US9985981B2 (en) 2018-05-29
AU2016381499A1 (en) 2018-08-09
US20180270257A1 (en) 2018-09-20
SG11201804315TA (en) 2018-07-30
JP2019507412A (ja) 2019-03-14
US20170195348A1 (en) 2017-07-06
CN108476138A (zh) 2018-08-31
WO2017115356A1 (en) 2017-07-06
IL253178A0 (en) 2017-07-31

Similar Documents

Publication Publication Date Title
US10333956B2 (en) Detection of invalid port accesses in port-scrambling-based networks
US10003616B2 (en) Destination domain extraction for secure protocols
US9590979B2 (en) Password constraint enforcement used in external site authentication
US9843593B2 (en) Detecting encrypted tunneling traffic
US9443075B2 (en) Interception and policy application for malicious communications
US11729134B2 (en) In-line detection of algorithmically generated domains
CN110581836B (zh) 一种数据处理方法、装置及设备
Nasser et al. Provably curb man-in-the-middle attack-based ARP spoofing in a local network
US10313318B2 (en) Port scrambling for computer networks
Reti et al. Honey Infiltrator: Injecting Honeytoken Using Netfilter
US11570149B2 (en) Feedback mechanism to enforce a security policy
US20190306130A1 (en) Connectivity-based port scrambling
Liubinskii The Great Firewall’s active probing circumvention technique with port knocking and SDN
US20230370492A1 (en) Identify and block domains used for nxns-based ddos attack
US10778708B1 (en) Method and apparatus for detecting effectiveness of security controls
Singh et al. Detection of malicious traffic and checksum error in network using wireshark
Rai et al. Mitigation of Intruders and TCP bad Connection Detection in WAN Environment using Wireshark
Prasad et al. Symptoms Based Detection and Removal of Bot Processes