UA120517C2 - Пристрій та спосіб керування мережею зв'язку - Google Patents

Пристрій та спосіб керування мережею зв'язку Download PDF

Info

Publication number
UA120517C2
UA120517C2 UAA201701398A UAA201701398A UA120517C2 UA 120517 C2 UA120517 C2 UA 120517C2 UA A201701398 A UAA201701398 A UA A201701398A UA A201701398 A UAA201701398 A UA A201701398A UA 120517 C2 UA120517 C2 UA 120517C2
Authority
UA
Ukraine
Prior art keywords
communication network
control unit
network
data
communication
Prior art date
Application number
UAA201701398A
Other languages
English (en)
Inventor
Генріх Штемайер
Генрих Штемайер
Original Assignee
Райнметалль Діфенс Електронікс Ґмбг
Райнметалль Дифенс Электроникс Гмбг
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Райнметалль Діфенс Електронікс Ґмбг, Райнметалль Дифенс Электроникс Гмбг filed Critical Райнметалль Діфенс Електронікс Ґмбг
Publication of UA120517C2 publication Critical patent/UA120517C2/uk

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Пристрій (10) для керування мережею (100) зв'язку, що має множину терміналів (21-28) для передавання даних. Пристрій (10) має блок (11) керування, конфігурований для роз'єднання площини (L1) даних і площини (L2) керування передавання даних, а також для випереджувальної модифікації щонайменше однієї характеристики мережі (100) зв'язку, видимої зовні (200) мережі (100) зв'язку під час сеансу зв'язку, застосовуючи роз'єднану площину (L2) керування.

Description

Винахід стосується пристрою для керування мережею зв'язку з множиною терміналів для передавання даних. Винахід додатково стосується маршрутизатора з таким пристроєм, комутатора з таким пристроєм, брандмауера з таким пристроєм і мережі зв'язку з таким пристроєм. Крім того, винахід стосується способу і комп'ютерного програмного продукту для керування мережею зв'язку.
Технічна передумова даного винаходу стосується безпеки (ІТ-безпеки) мереж зв'язку, таких як мережі зв'язку компаній, університетів, державних органів і інших організацій.
Мережі зв'язку компаній і т. п. все частіше стають мішенню зловмисників, зокрема, для того, щоб шпигувати за ними. Сценарії загроз для мереж зв'язку стають все більш спеціалізованими, часто розрахованими на тривалі терміни та на використання вузькоспеціалізованих методів маскування. Найчастіше зловмисники знаходять специфічно слабкі місця в стратегії безпеки компаній і подібних організацій для несанкціонованого доступу до мереж зв'язку.
Відомі рішення в області безпеки, такі як брандмауери, ІР5- і антивірусні рішення та веб- шлюзи, конфігуровані для виявлення відомих засобів несанкціонованого доступу шляхом використанням сигнатури в залежності від заходів безпеки. Проте, нові покоління засобів несанкціонованого доступу не обмежуються відомими засобами, а є динамічно змінюваними.
Наприклад, своєї мети зловмисники досягають застосуванням декількох атакувальних векторів і фаз, що різко збільшує потенційну загрозу для корпоративних мереж.
Відомі статичні конфігурації мереж мають недолік, що полягає в достатньо легкому досягненні мети несанкціонованого доступу і нападу зловмисниками, наприклад, об'єктами, що не мають санкціонованого доступу до мережі.
З огляду на це, завданням цього винаходу є створення більш захищеної мережі зв'язку.
Згідно першого аспекту, пропонується пристрій для керування мережею зв'язку, яка має множину терміналів для передавання даних. Пристрій містить блок керування, конфігурований для роз'єднання площини даних і площини керування передаванням даних та, щоб випереджувано модифікувати щонайменше одну характеристику мережі зв'язку, видиму зовні мережі зв'язку під час сеансу зв'язку, із застосуванням роз'єднаної площини керування.
Оскільки блок керування змінює, зокрема, динамічно змінює щонайменше одну характеристику мережі зв'язку, видиму зовні мережі зв'язку під час кожного окремого сеансу
Зо зв'язку, практично зовнішньому спостерігачу або зловмиснику неможливо втручатися зовні в роботу мережі зв'язку, так як конфігурація і, таким чином, зовнішній вигляд мережі зв'язку є такими, що їх неможливо визначити і передбачити спостерігачем зовні. Крім того або як варіант, також можливо модифікувати видимі шаблони даних мережі зв'язку. Це підвищує безпеку мережі зв'язку.
Прикладами щонайменше, однієї характеристики мережі зв'язку, яку можна модифікувати блоком керування, є зміна віртуальних адрес терміналів мережі зв'язку, зміна конфігурації мережі зв'язку, зміна режиму роботи маршрутизації мережі зв'язку та зміна прикладних програм і/або перетворень їх портів.
Сеанс зв'язку або просто сеанс розуміється як зв'язок між одним з терміналів мережі зв'язку та пристроєм поза мережею зв'язку або всередині мережі зв'язку. Сеанс зв'язку також можуть бути заснований на протоколах без супроводження стану, таких як НТТР (Пірегієхі ігапетег ргоїосої).
Блок керування може бути реалізований за допомогою апаратних засобів і/або програмного забезпечення. У разі реалізації апаратним засобом, блок керування може бути виконаний у вигляді пристрою або частини пристрою, наприклад, як комп'ютер або мікропроцесор, або як маршрутизатор, або як комутатор. У разі реалізації за допомогою програмного забезпечення, блок керування може бути як комп'ютерний програмний продукт, як функція, як певний режим, як частина програмного коду або як здійснений об'єктний файл...
Інструментом, який може бути використаний для реалізації блоку керування, є ОрепМиЇ - контролер з відкритим вихідним код 5ОМ (див. посилання |11). ОрепмМиИї -контролер забезпечує 5ОМ/ОрепЕІом/ на основі платформи керування, яка реалізована в С. Тут, блок керування переважно конфігурований на застосування ОрепРїом/ (див. посилання |2)) та техніки МТО (Моміпа-Тагдеї-ЮОетепсе (див. посилання |З). При використанні МТО блок керування конфігурований динамічно модифікувати мережі зв'язку. ОрепЕІом/ є протоколом зв'язку, який забезпечує доступ до апаратних компонентів комутатора або маршрутизатора, які обробляють вхідні мережеві пакети (так звана експедиторська площина).
Сам пристрій може бути реалізовано апаратним засобом і/або програмним забезпечення. У разі апаратної реалізації, пристрій може бути виконано як комп'ютер, як частина маршрутизатора, частина комутатора або частина брандмауера. У разі програмної реалізації,
пристрій може бути реалізовано як комп'ютерний програмний продукт, як функції, як певний режим, як частина програмного коду, або як здійснений об'єктний файл.
Мережа зв'язку може також згадуватися як мережа або комп'ютерна мережа, і є, наприклад, мережею І АМ (Іосаї агеа пеїм'огк (локальна обчислювальна мережа)) або мережею. УМАМ (м/іде агеа пеїмуогК (глобальна мережа)).
Може бути забезпечено роз'єднання площини даних і площини керування даними зв'язку, наприклад, за допомогою Боймаге-Оеєїїпей-Меїмогкіпд (програмно- визначена мережа) (див. посилання |4. і (51).
Приклади терміналів мережі зв'язку включають калькулятори, комп'ютери, маршрутизатори, комутатори, брандмауери, вбудовані системи, тощо.
Відповідно до варіанту здійснення блок керування конфігурований для випереджуваної модифікування щонайменше однієї характеристики мережі зв'язку, видимої зовні мережі зв'язку, під час сеансу зв'язку із застосуванням роз'єднаної площини керування.
Таким чином, блок керування є конфігурований для випереджуваної модифікування щонайменше однієї видимої характеристику. З цієї причини щонайменше одну характеристику системи зв'язку змінюють, ще до того як відбуватиметься загроза або пошкодження мережі зв'язку. Отже, може бути забезпечена випереджувальна дія щодо безпеки в режимі реального часу для мережі зв'язку.
В даному випадку, випереджувальна зміна є особливо зрозумілою, коли щонайменше одну видиму характеристику змінюють в кінці кожного потоку одиночних даних. Таким чином, на відміну від звичайної модифікування, як реакції на обставини, що виникли, даний блок керування виконаний таким чином, щоб випереджувано модифікувати або випереджувано і як реакція вносити модифікування у випадку ідентифікованої загрози або виявленого пошкодження.
Зокрема, блок керування конфігурований випереджувано модифікувати мережу зв'язку, таким чином, що різні зони безпеки, що мають різні рівні безпеки і/або різні функції безпеки, можуть бути динамічно встановлені. Наприклад, блок керування може модифікувати встановлену зону безпеки в залежності від виявлених сценаріїв загроз. Крім того, блок керування переважно конфігурований для встановлення денної роботи і роботи вночі мережі
Зо зв'язку, що мають різні рівні безпеки.
Відповідно до іншого варіанту здійснення блок керування конфігурований модифікувати віртуальну адресу щонайменше одного з множини терміналів під час сеансу зв'язку, використовуючи роз'єднану площину керування. Віртуальна адреса є логічною адресою, яка може бути перетворена в фізичну адресу логічного блоку або комп'ютерного блоку.
Відповідно до іншого варіанту здійснення, пристрій має генератор випадкових чисел для видавання довільної величини. При цьому, блок керування конфігурований для модифікування віртуальної адреси в залежності від довільної величини, що видається генератором випадкових чисел.
Відповідно до іншого варіанту здійснення блок керування конфігурований для модифікування конфігурації мережі зв'язку під час сеансу зв'язку, застосовуючи роз'єднану площину керування. Зміна конфігурації мережі зв'язку переважно включає зміну встановлених рівнів безпеки або зон безпеки мережі зв'язку. Отже, пристрій може реагувати по-різному на різні сценарії несанкціонованого втручання шляхом модифікування конфігурації мережі зв'язку.
Відповідно до іншого варіанту здійснення блок керування конфігурований модифікувати поведінку маршрутизації мережі зв'язку під час сеансу зв'язку, застосовуючи роз'єднану площину керування. Завдяки запропонованої модифікування режиму роботи маршрутизації мережі зв'язку, зловмисник не може робити будь-які корисні висновки з запису або протоколів режиму роботи маршрутизації мережі зв'язку через відсутність статичної характеристики режиму роботи маршрутизації.
Відповідно до іншого варіанту здійснення блок керування конфігурований модифікувати щонайменше одну прикладну програму мережі зв'язку під час сеансу зв'язку, застосовуючи роз'єднану площину керування. Завдяки зміні прикладної програми мережі зв'язку, зловмисник не може отримати будь-яку корисну інформацію про мережу зв'язку.
Відповідно до іншого варіанту здійснення блок керування конфігурований для модифікування щонайменше одного призначення порту щонайменше однієї прикладної програми під час сеансу зв'язку, із застосуванням роз'єднаної площини керування. Завдяки зміні призначення порту прикладної програми мережі зв'язку, зловмисник не зможе отримати будь- яку корисну інформацію про мережу зв'язку.
Відповідно до іншого варіанту здійснення блок керування конфігурований для заміни першого криптографічного алгоритму, застосований мережею зв'язку другим криптографічним алгоритмом під час сеансу зв'язку.
При цьому блок керування вибирає другий криптографічний алгоритм переважно з множини підготованих криптографічних алгоритмів.
Переважно, зловмисник не зможе витягти корисну інформацію про мережу зв'язку із застосуванням статичного криптографічного алгоритму, завдяки заміні криптографічного алгоритму.
Криптографічний алгоритм розуміється як алгоритм, який обчислює щонайменше одне криптографічне значення, наприклад, за допомогою криптографічної функції. Криптографічні алгоритми включають шифрувальні алгоритми, такі як 551 (Зесиге ЗоскКеїв5 І ауег5) та цифрові підписи. Криптографічні величини можуть включати криптографічні ключі, такі як симетричні ключі і/або значення хеш-функції.
Відповідно до іншого варіанту здійснення блок керування конфігурований для модифікування образу даних в мережі зв'язку, зокрема, профілю даних корисного навантаження щонайменше одного з терміналів.
Шляхом модифікування образу даних або кількох шаблонів даних в мережі зв'язку, блок керування деблокується для імітації трафіку даних до зловмисника. Штучний трафік даних може також згадуватися як прототип даних у або прототип зв'язку. Крім того, блок керування переважно конфігурований для модифікування терміналу, який з'єднаний з мережею зв'язку, тобто є мережевим терміналом або учасником мережі, для того, щоб модифікувати шаблон даних мережі зв'язку. Зміна образу даних, створює умови, при яких зловмиснику значно складніше виконати успішне бінарне порівняння із шаблоном.
Відповідно до іншого варіанту здійснення сеанс зв'язку включає множину транзакцій даних (потоків даних). При цьому, блок керування конфігурований для модифікування щонайменше однієї характеристики мережі зв'язку, видної зовні мережі зв'язку, після підмножини множини транзакцій.
Підмножину транзакцій, після якої блок керування змінює щонайменше одну видиму характеристику мережі зв'язку, може бути ініційовано чи точно визначено генератором випадкових чисел.
Відповідно до іншого варіанту здійснення сеанс зв'язку включає множину транзакцій даних, причому, блок керування конфігурований для модифікування щонайменше однієї характеристики мережі зв'язку, видимої зовні мережі зв'язку, після кожної однієї 3 множини транзакцій.
Зміною характеристики або характеристик після кожної транзакції, може бути збільшений рівень безпеки мережі зв'язку.
Відповідно до іншого варіанту здійснення блок керування конфігурований, щоб роз'єднати площину керування і площину даних при передавання даних, застосовуючи Програмно-
Визначену-Мережу (Зоймаге-Оеїіпеа-.Меїуогкіпу). Програмно-Визначена-Мережа являє собою підхід для побудови пристроїв або терміналів для мереж зв'язку та програмного забезпечення, які розділяють два основні компоненти, а саме дані і керуючі команди, один від одного і відокремлюють їх (див. посилання |4| і (51).
Відповідно до іншого варіанту здійснення, пристрій має один генератор випадкових чисел, з'єднаний з блоком керування. Генератор випадкових чисел конфігурований довільно або квазідовільно включати блок керування для модифікування щонайменше однієї характеристики мережі зв'язку, видимої зовні мережі зв'язку щонайменше один раз під час сеансу зв'язку, а більш переважно кілька разів під час сеансу зв'язку. Генератор випадкових чисел генерує ряд випадкових величин або випадкових чисел. Генератор випадкових чисел може бути виконаний як детермінований генератор випадкових чисел або як недетермінований генератор випадкових чисел.
Відповідно до іншого варіанту здійснення, пристрій має перший блок захисту для виявлення, недопущення і протидії доступам від осіб, що не мають права доступу до мережі зв'язку.
Відповідно до цього варіанта здійснення перший блок захисту здатний виявляти втручання або доступ від особи, яка не має права доступу до мережі зв'язку, щоб ізолювати виявлене втручання в мережу зв'язку та вживати заходів протидії цьому втручанню.
Відповідно до іншого варіанту здійснення, пристрій має другий блок захисту для попередження та оповіщення системи визначення, з'єднаної з пристроєм. Другий блок захисту переважно конфігурований для попередження та оповіщення системи визначення, яка з'єднана з пристроєм і яка керується, наприклад, особою державної установи.
Відповідно до іншого варіанту здійснення, пристрій включає третій блок захисту для відновлення щонайменше однієї важливої функції мережі.
Третій блок захисту може бути налаштований, зокрема, для запуску щонайменше одного резервного блоку для виконання важливої функції мережі при виявленні пошкодження важливої функції мережі, щоб відновити критичну функцію мережі. Відповідно, даний пристрій переважно може автоматично відновлювати критичні функції мережі.
Відповідно до іншого варіанту здійснення, пристрій має блок аналізу для забезпечення аналізу даних під час доступів до мережі зв'язку від осіб, які не мають права доступу до мережі зв'язку...
Відповідно до іншого варіанту здійснення, пристрій має блок визначення даних із застосуванням надані дані аналізу, дані про стан, які можуть визначити в достатній мірі ситуацію безпеки мережі зв'язку.
Відповідно до іншого варіанту здійснення, пристрій має блок інтерфейсу для передавання інформації про стан в систему визначення, яка може бути з'єднана з пристроєм. При цьому, система визначення також може бути з'єднана з пристроєм, наприклад, через Інтернет. Блок інтерфейсу конфігурований для встановлення криптографічно захищеної передавання між системою визначення і пристроєм. Наприклад, блок інтерфейсу також може створити захисний тунель зв'язку між пристроєм і системою визначення.
Відповідно до іншого варіанту здійснення, мережа зв'язку має інфраструктуру, що включає шари, які розташовані один на одному. Зокрема, інфраструктура має наступні шари, розташовані один на одному: шар-1, шар-2, шар-3, шар-4, шар-5, шар-б6, шар-7. При цьому, блок керування виконаний у вигляді віртуальної накладеної мережі, яка покриває шар-2 і шар-3.
Відповідно до іншого варіанту здійснення, віртуальна накладена мережа реалізується за допомогою віртуально розширюваної ГАМ (ЛКМ-локальна комп'ютерна мережа). Наприклад, накладена мережа реалізується за допомогою УХГІАМ (віртуально розширюваної ГАМ). МХІАМ є протоколом інкапсуляції, який дозволяє накладеній мережі працювати на існуючому шарі- З інфраструктури (див посилання |б1).
Відповідно до іншого варіанту здійснення, блок керування вбудований в брандмауер, в комутатор або в маршрутизатор мережі зв'язку.
Відповідно до іншого варіанту здійснення, блок керування реалізований за допомогою програмного забезпечення.
Відповідно до ще одного варіанту здійснення, пристрій підтримує ІРма4 (версія 4 інтернет- протоколу (див. посилання |71|) і ІРМмб (версія 6 інтернет-протоколу (див. посилання |81).
Відповідно до іншого варіанту здійснення, пристрій використовує комбінацію протоколу безпеки і протоколу тунелювання. При використанні протоколу тунелювання безпека при передавання даних може бути додатково підвищена.
Прикладом протоколу безпеки є ІРбхес (див. посилання (9). Прикладом протоколу тунелювання є І2ТР (див. посилання |10Ї). Ще одним прикладом прийнятного протоколу тунелювання є відкрита УРМ (див. посилання |111).
Відповідний блок, наприклад, блок аналізу або пристрій захисту може бути реалізований як апаратний засіб і/або як програмне забезпечення. У разі реалізації як апаратний засіб пристрій може бути виконано у вигляді пристрою або як частина пристрою, наприклад, як комп'ютер, або як мікропроцесор, або як комутатор. У випадку реалізації як програмне забезпечення, пристрій може бути реалізовано як комп'ютерний програмний продукт, як функція, як певний режим, як частина програмного коду, або як здійснений об'єкт.
Згідно з другим аспектом, пропонується маршрутизатор для мережі зв'язку, який має пристрій відповідно до першого аспекту, або відповідно до одного з варіантів його здійснення.
Зокрема, маршрутизатор слід розуміти як мережевий пристрій, який може пересилати мережеві пакети між декількома мережами зв'язку. Маршрутизатор може бути використаний для підключення до Інтернету, для надійного з'єднання декількох місць компанії, або для прямого з'єднання декількох сегментів локальної мережі, при необхідності, з адаптацією до різних інтернет-протоколів.
Відповідно до третього аспектом, пропонується комутатор для мережі зв'язку, який має пристрій відповідно до першого аспекту, або відповідно до одного з варіантів його здійснення.
Комутатор слід розуміти як з'єднувальний елемент, який може з'єднувати сегменти мережі один з одним. Треба бути обережним у тому сегменті мережі, в якому пакети даних досягають свого місця призначення. Комутатор також може згадуватися як мережевий комутатор або дистриб'ютор.
Відповідно до четвертого аспекту, пропонується брандмауер для мережі зв'язку, в якому 60 використовується пристрій відповідно до першого аспекту, або відповідно до одного з варіантів його здійснення. Брандмауер слід розуміти як елемент мережі, який захищає мережу зв'язку, частину мережі зв'язку або тільки комп'ютер мережі зв'язку від небажаного доступ до мережі.
Брандмауер може являти собою систему безпеки, або може бути частиною системи безпеки.
Відповідно до п'ятого аспекту, мережа зв'язку включається, яка має множину терміналів для передавання даних і пристрій відповідно до першого аспектом, або відповідно до одного з варіантів його здійснення.
Відповідно до шостого аспекту, пропонується спосіб керування мережею зв'язку, яка має множину терміналів для передавання даних. Спосіб включає роз'єднання площини керування і площини даних при передавання даних та зміну щонайменше однієї характеристики мережі зв'язку, видиму зовні мережі зв'язку під час сеансу зв'язку, із застосуванням роз'єднаної площини керування.
Відповідно до сьомого аспекту, пропонується комп'ютерний програмний продукт, який забезпечує виконання способу відповідно до шостого аспекту на блоці програмного керуванням.
Комп'ютерний програмний продукт, такий як комп'ютерний програмний засіб, може бути забезпечений або доданий, наприклад, в якості носія запису, такого як карта пам'яті, О5В- флешки, СО-КОМ, ОЮМО або у вигляді файлу, який можна завантажити з сервера в мережу. Це може бути досягнуто, наприклад, в бездротовій мережі зв'язку за допомогою передавання відповідного файлу, що має комп'ютерний програмний продукт або комп'ютерний програмний засіб.
Варіанти здійснення і ознаки, описані для пропонованого пристрою, застосовні до пропонованого способу відповідно.
Можливі додаткові варіанти реалізації винаходу включають також не явно згадані комбінації вище або нижче зазначених ознак або варіантів здійснення, описаних як приклади варіантами здійснення. Фахівець в даній області може також додавати окремі аспекти, що покращують або доповнюють відповідні базові форми здійснення винаходу.
Далі винахід пояснюється більш детально на прикладі переважних варіантів здійснення з посиланням на прикладені креслення.
На фіг. 1 показана блок-схема першого варіанту здійснення пристрою для керування мережею зв'язку.
Зо На фіг. 2 показана блок-схема другого варіанту здійснення пристрою для керування мережею зв'язку.
На фіг. З показана блок-схема третього варіанту здійснення пристрою для керування мережею зв'язку.
На фіг. 4 показана блок-схема мережі зв'язку з пристроєм згідно з однією з фіг. 1-3.
На фіг. 5 показана блок-схема 5ОМ-архітектури з роз'єднаною площиною даних і площиною керування для реалізації блоку керування.
На фіг. б показана блок-схема варіанту здійснення маршрутизатора з пристроєм для керування мережею зв'язку згідно з однією з фіг. 1-3.
На фіг. 7 показана блок-схема варіанту здійснення комутатора з пристроєм для керування мережею зв'язку згідно з однією з фіг. 1-3.
На фіг. 8 показана блок-схема варіанту здійснення брандмауера з пристроєм для керування мережею зв'язку згідно з однією з фіг. 1-3.
На фіг. 9 показана схема послідовності операцій варіанту здійснення способу керування мережею зв'язку.
Елементи, які є однаковими або мають однакові функції, позначені однаковими позиціями на кресленнях, якщо не вказано інше.
Блок-схема першого варіанту здійснення пристрою 10 для керування мережу 100 зв'язку, показаний на фіг. 1. Мережа 100 зв'язку має множину терміналів 21-26 для передавання даних.
Множина терміналів 21-26 може включати маршрутизатор, комутатори, брандмауери, комп'ютери, персональні комп'ютери, вбудовані системи, засоби керування або тощо. Мережа 100 зв'язку є, наприклад. мережею ГАМ (локальна комп'ютерна мережа) або мережею МАМ (всесвітня мережа зв'язку). Пристрій 10 для керування мережею 100 зв'язку також може згадуватися як пристрій 10 керування.
Варіант здійснення пристрою 10 на фіг. 1 включає блок 11 керування, блок 12 аналізу, блок 13 ОМ5 (сервер доменних імен) і блок 18 захисту. Блок 11 керування, блок 12 аналізу, блок 13
ОРМ5 і блок 18 захисту можуть бути логічно або фізично пов'язані або з'єднані. Наприклад, пристрій 10 може бути виконано як комп'ютер, що включає пристрій 11 керування, блок 12 аналізує, блок 13 ОМ і блок 18 захисту.
Блок 11 керування пристрою конфігурований для роз'єднання площини даних 11 (фіг. 5) і бо площини керування 1/2 (фіг. 5) передавання даних. Площина даних 1 також може бути представлена як шар даних або рівень даних. Площина керування 12 також може розглядатися як шар керування або рівень керування.
Крім того, блок 11 керування конфігурований для модифікування щонайменше однієї характеристики мережі 100 зв'язку, видимої зовні 200 (див. фіг. 4) мережі 100 зв'язку, із застосуванням роз'єднаної площини керування 12. Наприклад, зовні мережі 100 зв'язку може бути об'єкт, такий як комп'ютер, який розташований в Інтернеті 200 (фіг. 4), і який не має права доступу і/або не пройшов перевірку аутентичності відносно мережі 100 зв'язку.
Прикладами щонайменше однієї характеристики мережі 100 зв'язку, яку можна модифікувати блоком 10 керування, є наступні: зміна віртуальних адрес терміналів 21-26 мережі 100 зв'язку, зміна конфігурації мережі 100 зв'язку, зміна режиму роботи маршрутизації мережі 100 зв'язку і/або зміна прикладних програм і/або призначення порту прикладних програм в мережі 100 зв'язку.
Зокрема, блок 11 керування конфігурований випереджувано модифікувати мережу 100 зв'язку. При цьому, блок 11 керування, зокрема, конфігурований випереджувано модифікувати мережу 100 зв'язку таким чином, що встановлюються різні зони безпеки, що мають різні рівні безпеки в мережі 100 зв'язку і/або різні функції безпеки в мережі 100 зв'язку. Зокрема, блок 11 керування може модифікувати встановлені зони безпеки і тим самим конфігурацію мережі 100 зв'язку, в залежності від ідентифікованого сценарію загрози.
Крім того, блок 11 керування конфігурований для обміну першого криптографічного алгоритму, який використовується мережею 100 зв'язку, на другий криптографічний алгоритмом під час роботи мережі 100 зв'язку.
Додатково або як альтернатива, блок 11 керування конфігурований для модифікування образу даних мережі 100 зв'язку. Прикладом такого образу даних мережі 100 зв'язку є профіль даних корисного навантаження щонайменше одного з терміналів 21-26.
Сеанс зв'язку, як описано вище, може включати множину транзакцій даних (потоків даних).
При цьому, блок 11 керування конфігурований для модифікування щонайменше однієї характеристики мережі 100 зв'язку, видиму зовні 200 мережі 100 зв'язку, після підмножини множини транзакцій. Підмножина множини транзакцій також може бути 1 такою, що блок 11 керування змінює щонайменше одну видиму характеристику мережі 100 зв'язку після кожної
Зо однієї транзакції.
Блок 12 аналізу пристрою 10 переважно конфігурований для забезпечення аналізу даних під час доступу до мережі 100 зв'язку від осіб, що не мають права доступу. На фіг. З показані деталі цього додавання даних аналізу до системи 300 визначення, яка виконана з можливістю з'єднання з пристроєм10, що буде описано нижче.
На фіг. 2 показана блок-схема другого варіанту здійснення пристрою 10 для керування мережею 100 зв'язку. Другий варіант здійснення (фіг. 2) включає всі особливості перших варіантів здійснення, показаних на фіг. 1. Крім того, пристрій 10 на фіг. 2 містить блок 14 аналізу даних і генератор19 випадкових чисел, який забезпечує випадкову величину 2АМ/. Крім того, на фіг. 2 показано, що блок 18 захисту має перший блок 15 захисту, другий блок 16 захисту і третьої блок 17 захисту.
Блок 14 аналізу даних конфігурований для визначення інформації про стан, використовуючи дані аналізу, які отримані з блоку 12 аналізу. Зокрема, дані про стан вказують на ситуацію безпеки мережі 100 зв'язку.
Як описано вище, генератор 19 випадкових чисел виводить випадкову величину 2АМУ. При цьому, блок 11 керування конфігурований модифікувати, наприклад, віртуальну адресу одного з терміналів 21-26 в залежності від довільної величини 2МУ, що видається генератором 19 випадкових чисел. Крім того, генератор 19 випадкових чисел може бути конфігурований довільно або квазідовільно включати в дію блок 11 керування для модифікування щонайменше однієї характеристики, видиму зовні 200 мережі 100 зв'язку щонайменше один раз під час сеансу зв'язку або ж кілька разів під час сеансу зв'язку.
Як описано вище, блок 18 захисту (фіг. 2) має перший блок 15 захисту, другий блок 16 захисту і третій блок 17 захисту. Перший блок 15 захисту налаштований для виявлення, виділення і протидії доступу об'єктам, що не мають права доступу, до мережі 100 зв'язку.
Другий блок 16 захисту налаштований для попередження та сигнального оповіщення системи 300 визначення, яка може бути з'єднана з пристроєм 10. Третій блок 17 захисту налаштований для відновлення щонайменше однієї важливої функції мережі 100 зв'язку.
На фіг. З показаний третій варіант здійснення пристрою 10 для керування мережею 100 зв'язку. Третій варіант здійснення (фіг. 3) включає всі ознаки другого варіанту здійснення (фіг. 2). Крім того, пристрій 10 на фіг. З має блок 20 інтерфейсу, конфігурований для з'єднання бо пристрою 10 з системою 300 визначення. Наприклад, блок 20 інтерфейсу, з'єднаний з блоком
12 аналізу, блоком 13 ЮМ5 і блоком 14 аналізу даних. Блок 20 інтерфейсу також може бути з'єднаний з іншими блоками пристрою 10, наприклад, з блок 11 керування або з генератором 19 випадкових чисел (не показаний). Наприклад, генератор 19 випадкових чисел може бути введений в дію через блок 20 інтерфейсу.
На фіг. 4 показана блок-схема мережі 100 зв'язку. Мережа 100 зв'язку має пристрій 10, який виконаний відповідно до одного з варіантів здійснення, показаних на фігурах 1-3.
Крім того, мережа 100 зв'язку на фіг 4 має ряд терміналів 21-23. На фіг. 4 показане втілення, де є три термінали 21-23, але взагалі кількість терміналів не обмежена.
Крім того, мережа 100 зв'язку на фіг 4 має маршрутизатор 30, комутатор 40, перший брандмауер 51, другий брандмауер 52, демілітаризовану мережу ГАМ 61, яка приєднана до першого брандмауера 51 і другого брандмауера 52, і внутрішню мережу ГАМ 62, яка приєднана до множини терміналів 21-23 і другого брандмауер 52 (внутрішній брандмауер) та до маршрутизатора 30, комутатора 40 і пристрою 10.
Крім того, на фіг. 4 показано, що мережа 100 зв'язку може бути з'єднана з Інтернетом 200.
Згадані вище особи, що не мають права доступу, які потенційно можуть втрутитися в роботу мережі 100 зв'язку, найчастіше розташовують в інтернетмережі 200 або пов'язані з нею.
На фіг. 5 показана принципова блок-схема архітектури мережі ЗОМ, яка має роз'єднані площини даних Ї1 і площини керування 1/2 для реалізації варіанту здійснення блоку 11 керування.
Архітектура на фіг. 5 показує, що площина даних 1, площина керування 12 і площина прикладних програм ІЗ роз'єднані одна з одною. Площини або шари І1, 12, ІЗ з'єднані з можливістю обміну даними одна з одною через АРІ 101-104 (АРІ, Арріїсайоп Ргодгаттіпа
Іп'епасе, інтерфейс прикладної програми).
АРІ 101 також можна представити як Південний-АРІ. Наприклад, Південний-АРІ реалізований із застосуванням протоколу ОрепРїІом/. АРІ 102-104 також можна представити як
Північні-АРІ.
Фізичні пристрої 21-25 мережі і віртуальні пристрої 26-28 мережі розташовані в площині даних 11. Кількість і розподіл фізичних пристроїв 21-25 мережі і віртуальних пристроїв 26-28 мережі в площині даних І1 є лише прикладами.
Зо Площина керування 12 має керовану ЗОМ програму 70, що має різні сервісами 81-83 мережі для реалізації блоку 11 керування.
Площина прикладних програм ІЗ має кілька прикладних програм 91-93. Прикладні програми 91-93 також можуть представляти прикладні програми для бізнесу.
Як було описано вище, найнижча площина або шар архітектури 5ОМ є площиною даних 11, яка має множину пристроїв 21-28. мережі Не має різниці між фізичним і віртуальними пристроями 21-28 мережі або комутаторами в площині І 2 керування. Таким чином, віртуальні пристрої 26-28 мережі також розглядаються в рівні даних 11. Зв'язок між площиною даних 11 і площиною керування 12 представлені протоколом Південний через Південний інтерфейс 101.
Попередньою умовою є те, що підтримувані пристрої 21-28 мережі мають команду на працюючий Південний протокол. Зокрема, пристрої 21-28 мережі необхідні тільки, щоб підтримувати мінімальний набір команд Південного протоколу. Для реалізації цього може бути застосований ОрепРїІом/. Завданням Південного протоколу є реалізація базового набору команд для маніпулювання таблицями потоків в комутаторах, щоб створити складність і неоднорідну прозорість на площині даних 11.
ЗОМ керована програма 70 розташована на площині керування 12. Це також можна розуміти як проміжне програмне забезпечення, що абстрагує пристрої 21-28 мережі площини даних 11 для прикладної програми ЗОМ.
На фіг. 6 показана блок-схема варіанту здійснення маршрутизатора 30, який має пристрій 10 для керування мережею 100 зв'язку. Пристрій 10 втілений відповідно до одного з варіантів здійснення, показаних, наприклад, на фіг. 1-3.
На фіг. 7 показана блок-схема варіанту здійснення комутатора 40, який має пристрій 10 для керування мережею 100 зв'язку. Пристрій 10 втілений відповідно до одного з варіантів здійснення, показаних, наприклад, на фіг. 1-3.
На фіг. 8 показана блок-схема варіанту здійснення брандмауера 50, який має пристрій 10 для керування мережею 100 зв'язку. Пристрій 10 втілений відповідно до одного з варіантів здійснення, показаних, наприклад, на фіг. 1-3.
На фіг. 9 показана блок-схема варіанту здійснення способу керування мережею 100 зв'язку.
Спосіб на фіг. 9 включає наступні етапи 901 і 902.
На етапі 901, площину даних 11 і площину керування І 2 передавання даних роз'єднують бо одну з одною. В результаті виконання етапу 90т1отримуємо площину керування 12, яка відокремлена від площини даних 1, і площину даних 1, яка відокремлена від площини керування 1 2.
На етапі 902, характеристику мережі 100 зв'язку, видиму зовні мережі 100 зв'язку, змінюють із застосуванням роз'єднаної площини керування 12.
Хоча даний винахід був описаний на основі зазначених варіантів здійснення, він може мати велику кількість модифікацій. Наприклад, можливо розташувати пристрій для керування мережею зв'язку також на іншому об'єкті мережі зв'язку, який показаний на кресленнях (наприклад, маршрутизатор або комутатор). Крім того, також можна розмістити пристрій для керування мережею зв'язку за межами мережі зв'язку. Крім того, інструмент ОрепМИїЇ. для реалізації блоку керування пристрою для керування мережею зв'язку є тільки прикладом.
Можна також використовувати альтернативні інструменти.
Список позицій 10 пристрій 11 блок керування 12 блок аналізу 13 блок ОМ5 14 блок аналізу даних 15 перший блок захисту 16 другий блок захисту 17 третій блок захисту 18 блок захисту 19 генератор випадкових чисел 20 блок інтерфейсу 21 термінал 22 термінал 23 термінал 24 термінал 25 термінал 26 термінал
Зо 27 термінал 28 термінал маршрутизатор 40 комутатор 50 брандмауер 51 брандмауер 52 брандмауер 61 мережа ГАМ 62 мережа ГАМ 70 5ОМ керована програма 83-81 засіб обслуговування мережі 91-93 прикладна програма 100 мережа зв'язку 101 інтерфейс АРІ 102 інтерфейс АРІ 103 інтерфейс АРІ 104 інтерфейс АРІ 200 Інтернет 300 система визначення
Ї1 площина даних
Ї2 площина керування
ЇЗ площина прикладних програм
М випадкова величина
Список використаної літератури 1. ппр/лимли.орепти!ї.ога/орепти!-сопігоЇІег.піті (завантажувано на дату пріоритету). 2. Міск МеКеомуп еу а: ОрепРіомж: Епабіїйу іппомайоп іп сатрив пеїмоїк5, АСМ
Соттипісаїййоп5 Вемієму, Арі! 2008.
З. перли. ані. дом/всіепсе-апа-їесппоіоду/сза-тіа (завантажувано на дату пріоритету). 4. Зоймжаге-ЮОєїпней Меїмжогкіпуд: Те Мем/лог Меїмогк5, МУпйе Рарег, Ореп Мемиогкіпа
Еоипааїйоп, 13, Аргіїї 2012.
5. 5еап Міснає! Кегппег: ОрепРіом/ Іпмепіогї Мапйіп Сазадо оп 5ОМ, ММуаге апа Ботймаге
Оеїїпеа МеїмогКіпу Нуре, Епіегргізе Меїмогкіпа Ріапеї, 29 Арпї 2013. 6. АЕС7348: Міпша! еХієепвіріє оса! Агеа Меймоїк (МХІ АМ): А Ргатемоїк ог їог Омепауїпд
Міпиаїї2ей І ауег 2 Меїмогк5 омег І ауег З Меїмо!гкв. 7. ВЕС791 - Іпіегпеї Ргоїюосої; Ірма. 8. ВЕСЗ3513-Іпіегпеї Ргоїосої; ІРУб. 9. ВЕС4301-ІРзес. 10. ВЕС2661-І2ТР. 11. Ореп-МРМ: ппре:/орепурп.пеї/.

Claims (25)

ФОРМУЛА ВИНАХОДУ
1. Пристрій (10) для керування мережею (100) зв'язку, що має множину терміналів (21-28) для передавання даних, який містить: блок (11) керування, конфігурований для роз'єднання площини (11) даних і площини (12) керування передаванням даних та для того, щоб випереджувано модифікувати щонайменше одну характеристику мережі (100) зв'язку, видиму зовні (200) мережі (100) зв'язку під час сеансу зв'язку із застосуванням роз'єднаної площини (І 2) керування, причому блок (11) керування конфігуровано для зміни віртуальної адреси щонайменше одного з множини терміналів (21-28) під час сеансу зв'язку із застосуванням роз'єднаної площини (12) керування, пристрій (10) має генератор (19) випадкових чисел для виведення випадкової величини (Ам), а блок (11) керування конфігуровано для зміни віртуальної адреси в залежності від випадкової величини (2АМ/), виведеної генератором (19) випадкових чисел.
2. Пристрій за п. 1, який відрізняється тим, що блок (11) керування конфігуровано, щоб випереджувано модифікувати мережу (100) зв'язку так, що різні зони безпеки, які мають різні рівні безпеки та/або різні функції безпеки, мають можливість динамічного встановлення в мережу (100) зв'язку.
3. Пристрій за п. 1 або 2, який відрізняється тим, що блок (11) керування конфігуровано для Зо модифікування конфігурації мережі (100) зв'язку під час сеансу зв'язку із застосуванням роз'єднаної площини (І 2) керування.
4. Пристрій за будь-яким одним з пп. 1-3, який відрізняється тим, що блок (11) керування конфігуровано для модифікування режиму роботи маршрутизації мережі (100) зв'язку під час сеансу зв'язку із застосуванням роз'єднаної площини (І 2) керування.
5. Пристрій за будь-яким одним з пп. 1-4, який відрізняється тим, що блок (11) керування конфігуровано для модифікування щонайменше однієї прикладної програми мережі (100) зв'язку та/"або розподілення портів щонайменше однієї прикладної програми під час сеансу зв'язку із застосуванням роз'єднаної площини (І 2) керування.
6. Пристрій за будь-яким одним з пп. 1-5, який відрізняється тим, що блок (11) керування конфігуровано для заміни першого криптографічного алгоритму, що застосований мережею (100) зв'язку, другим криптографічним алгоритмом під час сеансу зв'язку.
7. Пристрій за будь-яким одним з пп. 1-6, який відрізняється тим, що блок (11) керування конфігуровано для модифікування шаблона даних мережі (100) зв'язку, зокрема, профілю даних корисного навантаження щонайменше одного з терміналів (21-28).
8. Пристрій за будь-яким одним з пп. 1-7, який відрізняється тим, що сеанс зв'язку включає множину транзакцій даних, причому блок (11) керування конфігуровано для модифікування щонайменше однієї характеристики мережі (100) зв'язку, видимої зовні (200) мережі (100) зв'язку, після виконання підмножини множини транзакцій.
9. Пристрій за будь-яким одним з пп. 1-8, який відрізняється тим, що сеанс зв'язку включає множину транзакцій даних, причому блок (11) керування конфігуровано для модифікування щонайменше однієї характеристики мережі (100) зв'язку, видимої зовні (200) мережі (100) зв'язку, після виконання кожної з множини транзакцій.
10. Пристрій за будь-яким одним з пп. 1-9, який відрізняється тим, що блок (11) керування конфігуровано для роз'єднання площини (11) керування і площини (12) керування передаванням даних із застосуванням програмно визначеної мережі.
11. Пристрій за будь-яким одним з пп. 1-10, який відрізняється тим, що має генератор (19) випадкових чисел, який з'єднано з блоком (11) керування і конфігуровано для довільного запуску блока (11) керування для модифікування щонайменше однієї характеристики, видимої зовні (200) мережі (100) зв'язку, щонайменше один раз під час сеансу зв'язку, зокрема, кілька бо разів протягом сеансу зв'язку.
12. Пристрій за будь-яким одним з пп. 1-11, який відрізняється тим, що має перший блок (15) захисту для виявлення, ізолювання і протидії доступам несанкціонованим об'єктам до мережі (100) зв'язку.
13. Пристрій за п. 12, який відрізняється тим, що має другий блок (16) захисту для попередження та оповіщення системи (300) визначення, що зв'язана з пристроєм (10).
14. Пристрій за п. 12 або 13, який відрізняється тим, що має третій блок (17) захисту для відновлення щонайменше однієї критичної функції мережі.
15. Пристрій за будь-яким одним з пп. 1-14, який відрізняється тим, що має блок (12) аналізу для забезпечення аналізу даних під час спроб доступу несанкціонованих об'єктів до мережі (100) зв'язку.
16. Пристрій за п. 15, який відрізняється тим, що має блок (14) визначення даних для визначення інформації про стан із застосуванням наданих даних аналізу, причому інформація про стан особливо придатна для точного визначення ситуації з безпекою мережі (100) зв'язку.
17. Пристрій за п. 15, який відрізняється тим, що має блок (20) інтерфейсу для передавання інформації про стан до системи (300) визначення, який з'єднано з пристроєм (10).
18. Пристрій за будь-яким одним з пп. 1-17, який відрізняється тим, що мережа (100) зв'язку має інфраструктуру рівнів, що розташовані один над одним у вигляді стеку, причому блок (11) керування виконано як віртуальну оверлейну мережу, що перекриває рівень 2 їі рівень З інфраструктури.
19. Пристрій за будь-яким одним з пп. 1-18, який відрізняється тим, що пристрій (10) застосовує комбінацію протоколу забезпечення безпеки і протоколу тунелювання.
20. Маршрутизатор (30) для мережі (100) зв'язку, який має пристрій (10) за будь-яким одним з пп. 1-19.
21. Комутатор (40) для мережі (100) зв'язку, який має пристрій (10) за будь-яким одним з пп. 1-
19.
22. Брандмауер (50) для мережі (100) зв'язку, який має пристрій (10) за будь-яким одним з пп. 1-
19.
23. Мережа (100) зв'язку, яка має: множину терміналів (21-28) для передавання даних, і Зо пристрій (10) для керування мережею (100) зв'язку за будь-яким одним з пп. 1-19.
24. Спосіб керування мережею (100) зв'язку, що має множину терміналів (21-28) для передавання даних, який включає операції: роз'єднання (901) площини (І 1) даних і площини (І 2) керування передаванням даних, і випереджуваного модифікування (902) щонайменше однієї характеристики мережі (100) зв'язку, видимої зовні (200) мережі (100) зв'язку, під час сеансу зв'язку із застосуванням роз'єднаної площини (І 2) керування, і в якому віртуальну адресу щонайменше одного з множини терміналів змінюють під час сеансу зв'язку із застосуванням роз'єднаної площини (І 2) керування, причому віртуальну адресу змінюють в залежності від випадкової величини (АМ/), виведеної генератором (19) випадкових чисел
25. Машинозчитувальний носій інформації, що містить програмний код, конфігурований для здійснення способу за п. 24.
Із 13 і | п і ва 100 23 24 95 26
Фіг. 1
-к ЗО ння ншш й тив спнннтннн, 18 т мес ше З шк шщ і 18 дення ши - Ото» і шо Ши ранні тя З 4-37 г шо Н НІ І; І Їдклюлнкикикткско ттитчятнтн КА ' р с МИ з Я І ЩЕ. рак г й ; Ж й тт / з З і й ; Ще за вв 56 ) ак у Фе ши ро» т - 13 і - 16 і - їй г. І м ням т8-52- ! Ї ів пн нн -- яятя ше ше І т ів ; я ї і ! 1-16 то рт не ШИН ше т її ! нин ши вам і ж с са утя тя ро рай я - й й р; з щ- тай д в у ав з 25 зв. " ній чн З орртю прохо Ко Кік РЕ Р ЧК КІ ЖІ ЧЕ сно ККУ КЕ Чат тіою ет чи те жено ДР че чно поко ДК кто пс тт т Ро несе же ін прі о в тет тн Кос чеетвн четоє то нов тет іній! І | І і Я І ши І і ! і ! й ! -- 10 ши що Й ! І : : і г : | ! | ! Ши яе ! і І ва У Н і І І ! 40 ши у- 83 ! ! - ШИ ' ше ; | - і нини ши Н і ! щі 91 за 23 ! , і во ! Й у ен ян нин нн ее дня ях ен петля пкт опе лен, про ач мч пут нн пок ач чу пе кож, чек ож. пр, аж жах Мао, яру, лох чо ок: чех уч рон кою А: же оче» пк нт я чт чес, он
Фіг. 4 в й те Шк ство тро в чш И23--Б5БВБВИУТ- я? І2 ві зр й а ї ї ї 91.99 93 94 95 28 27 Д 8
Фіг. 5
Фіг. 6 Й
Фіг. 7 Й
Фіг. 8 ши
Фіг. 9
UAA201701398A 2014-09-08 2015-09-02 Пристрій та спосіб керування мережею зв'язку UA120517C2 (uk)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102014217944 2014-09-08
DE102015107073.1A DE102015107073A1 (de) 2014-09-08 2015-05-06 Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks
PCT/EP2015/070057 WO2016037917A1 (de) 2014-09-08 2015-09-02 Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks

Publications (1)

Publication Number Publication Date
UA120517C2 true UA120517C2 (uk) 2019-12-26

Family

ID=55358584

Family Applications (1)

Application Number Title Priority Date Filing Date
UAA201701398A UA120517C2 (uk) 2014-09-08 2015-09-02 Пристрій та спосіб керування мережею зв'язку

Country Status (11)

Country Link
US (1) US10681057B2 (uk)
EP (2) EP3451624B1 (uk)
CN (1) CN106797378B (uk)
DE (1) DE102015107073A1 (uk)
EA (1) EA036842B1 (uk)
ES (2) ES2801923T3 (uk)
IL (1) IL250626B (uk)
PL (1) PL3192226T3 (uk)
SG (1) SG11201701082UA (uk)
UA (1) UA120517C2 (uk)
WO (1) WO2016037917A1 (uk)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015107071B3 (de) * 2015-05-06 2016-11-10 Rheinmetall Defence Electronics Gmbh Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks
US11005886B2 (en) * 2018-09-28 2021-05-11 EMC IP Holding Company LLC Moving target defense with network level changes providing substantially continuous access to applications
US11654635B2 (en) 2019-04-18 2023-05-23 The Research Foundation For Suny Enhanced non-destructive testing in directed energy material processing
US11757919B2 (en) 2020-04-20 2023-09-12 Kovrr Risk Modeling Ltd. System and method for catastrophic event modeling
DE102020131072A1 (de) 2020-11-24 2022-05-25 Rheinmetall Electronics Gmbh Netzwerkmodul, elektronisches System und Kommunikationsnetzwerk
CN113225314A (zh) * 2021-04-08 2021-08-06 福建奇点时空数字科技有限公司 一种基于端口跳变MTD的SDN网络抗Dos方法
CN114244586B (zh) * 2021-12-03 2023-06-20 中国人民解放军海军工程大学 一种面向Web服务的自适应移动目标防御方法及系统

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991749A (en) 1996-09-11 1999-11-23 Morrill, Jr.; Paul H. Wireless telephony for collecting tolls, conducting financial transactions, and authorizing other activities
US10511573B2 (en) * 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US6826616B2 (en) 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
CN100428738C (zh) * 2005-09-21 2008-10-22 华为技术有限公司 无连接的分组交换通信系统
CN101325588A (zh) * 2007-06-11 2008-12-17 华为技术有限公司 一种网络设备防攻击的方法以及网络设备
US9292259B2 (en) * 2008-08-06 2016-03-22 Cassy Holdings Llc Uncertainty random value generator
US8713627B2 (en) * 2008-08-14 2014-04-29 Juniper Networks, Inc. Scalable security services for multicast in a router having integrated zone-based firewall
US20140193154A1 (en) * 2010-02-22 2014-07-10 Vello Systems, Inc. Subchannel security at the optical layer
CN101834793A (zh) * 2010-04-29 2010-09-15 电子科技大学 基于mpls/ops的虚拟专用网的实现方法
US9350671B2 (en) * 2012-03-22 2016-05-24 Futurewei Technologies, Inc. Supporting software defined networking with application layer traffic optimization
US9130977B2 (en) * 2012-04-18 2015-09-08 Radware, Ltd. Techniques for separating the processing of clients' traffic to different zones
KR101692751B1 (ko) * 2012-09-25 2017-01-04 에이10 네트워크스, 인코포레이티드 데이터망 부하 분산
US9258218B2 (en) * 2012-11-30 2016-02-09 Alcatel Lucent Software-defined network overlay
US20160323313A1 (en) * 2013-05-31 2016-11-03 Tt Government Solutions, Inc. Moving-target defense with configuration-space randomization
EP2995064A4 (en) * 2013-06-20 2016-06-15 Huawei Tech Co Ltd NETWORK METHOD AND APPARATUS FOR ESTABLISHING A PATH
US9461967B2 (en) * 2013-07-18 2016-10-04 Palo Alto Networks, Inc. Packet classification for network routing
US10587576B2 (en) * 2013-09-23 2020-03-10 Mcafee, Llc Providing a fast path between two entities
KR102118687B1 (ko) * 2013-11-15 2020-06-03 삼성전자주식회사 SDN(Software-defined networking)에서 네트워크 장애 해소를 위한 컨트롤러 및 스위치의 동작 방법과, 이를 위한 컨트롤러 및 스위치
US20150149812A1 (en) * 2013-11-22 2015-05-28 Telefonaktiebolaget L M Ericsson (Publ) Self-Debugging Router Platform
US10009794B2 (en) * 2013-12-05 2018-06-26 Huawei Technologies Co., Ltd. Framework for traffic engineering in software defined networking
US20150180769A1 (en) * 2013-12-20 2015-06-25 Alcatel-Lucent Usa Inc. Scale-up of sdn control plane using virtual switch based overlay
US9742632B2 (en) * 2013-12-27 2017-08-22 Intel Corporation Hybrid SDN controller
WO2015105985A1 (en) * 2014-01-08 2015-07-16 Interdigital Patent Holdings, Inc. Wifi virtual network solution
US10484307B2 (en) * 2014-01-20 2019-11-19 Nokia Solutions And Networks Oy Method of operating a network entity
US9444747B2 (en) * 2014-01-30 2016-09-13 Telefonaktiebolaget Lm Ericsson (Publ) Service specific traffic handling
GB2523338A (en) * 2014-02-20 2015-08-26 Ng4T Gmbh Testing a virtualised network function in a network
US9471292B2 (en) * 2014-04-18 2016-10-18 Intel Corporation Binary translation reuse in a system with address space layout randomization
US9674147B2 (en) * 2014-05-06 2017-06-06 At&T Intellectual Property I, L.P. Methods and apparatus to provide a distributed firewall in a network
US9774502B2 (en) * 2014-06-25 2017-09-26 Ciena Corporation Systems and methods for combined software defined networking and distributed network control
US10263809B2 (en) * 2014-06-25 2019-04-16 Hewlett Packard Enterprise Development Lp Selecting an optimal network device for reporting flow table misses upon expiry of a flow in a software defined network
DE102015107071B3 (de) * 2015-05-06 2016-11-10 Rheinmetall Defence Electronics Gmbh Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks
EP3449600B1 (en) * 2016-04-29 2020-08-05 DCB Solutions Limited A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences

Also Published As

Publication number Publication date
CN106797378B (zh) 2021-05-18
ES2801923T3 (es) 2021-01-14
US20170264620A1 (en) 2017-09-14
EP3192226B1 (de) 2019-02-27
EP3451624A1 (de) 2019-03-06
EA036842B1 (ru) 2020-12-25
EP3451624B1 (de) 2020-04-01
ES2718199T3 (es) 2019-06-28
IL250626A0 (en) 2017-04-30
IL250626B (en) 2021-01-31
US10681057B2 (en) 2020-06-09
SG11201701082UA (en) 2017-03-30
EA201790324A1 (ru) 2017-08-31
CN106797378A (zh) 2017-05-31
WO2016037917A1 (de) 2016-03-17
DE102015107073A1 (de) 2016-03-10
EP3192226A1 (de) 2017-07-19
PL3192226T3 (pl) 2019-09-30

Similar Documents

Publication Publication Date Title
UA120517C2 (uk) Пристрій та спосіб керування мережею зв'язку
Chi et al. How to detect a compromised SDN switch
US8261355B2 (en) Topology-aware attack mitigation
Schehlmann et al. Blessing or curse? Revisiting security aspects of Software-Defined Networking
Karmakar et al. Mitigating attacks in software defined networks
EP2599276B1 (en) System and method for network level protection against malicious software
Rahouti et al. Secure software-defined networking communication systems for smart cities: Current status, challenges, and trends
US8898784B1 (en) Device for and method of computer intrusion anticipation, detection, and remediation
US11297070B2 (en) Communication apparatus, system, method, and non-transitory medium
EP3291501A1 (en) System and method for using a virtual honeypot in an industrial automation system and cloud connector
US10812523B2 (en) Adaptive union file system based protection of services
Krishnan et al. SDN framework for securing IoT networks
US20100071054A1 (en) Network security appliance
Chiba et al. A survey of intrusion detection systems for cloud computing environment
Zhou et al. Applying NFV/SDN in mitigating DDoS attacks
US20130298220A1 (en) System and method for managing filtering information of attack traffic
Sasaki et al. Control-plane isolation and recovery for a secure SDN architecture
Januário et al. Security challenges in SCADA systems over Wireless Sensor and Actuator Networks
Khan et al. FML: A novel forensics management layer for software defined networks
Tasch et al. Security analysis of security applications for software defined networks
Patil et al. Detection of distributed denial-of-service (DDoS) attack on software defined network (SDN)
Rania et al. SDWAN with IDPS Efficient Network Solution
Talpur et al. A survey on DDoS attacks: Router-based threats and defense mechanism in real-world data centers
Kumar et al. Security Infrastructure for Cyber Attack Targeted Networks and Services
Tupakula et al. Software Enabled Security Architecture for Counteracting Attacks in Control Systems