用于计算机网络的端口加扰制造技术

本发明专利技术公开一种提供用于保护内部计算机网络中的通信的端口加扰的方法、系统和计算机程序产品。变换函数被应用于在其处指定输出通信将被接收的第一端口的标识符，从而获得在其处引导输出通信将被接收的第二端口的标识符。变换函数取决于计算机网络中的多个装置中共享的至少一个参数，从而在第二端口处接收通信的装置能够对第二端口的标识符应用逆变换函数以获得第一端口的标识符并将通信重引导到第一端口。应用变换函数的条件为由多个装置的授权应用程序的列表中列出的应用程序请求传输输出通信。

【技术实现步骤摘要】
【国外来华专利技术】用于计算机网络的端口加扰
本公开总体涉及计算机网络通信，并且特别地，涉及用于安全网络通信的端口加扰。
技术介绍
计算机网络在许多企业和组织中流行。通常，网络环境包括诸如通过对连接到网络的一个或多个服务器的公共访问而互相互连并共享资源的多个计算机化装置。在许多情况下，网络环境中的一些甚至全部装置也同时连接到一个或多个外部网络，诸如万维网。因此，内部网络环境中的任何装置都更容易受到各种安全威胁和攻击的影响，特别是也通常被称为“病毒”或“蠕虫”的自我传播的恶意代码的扩散。一旦网络中的装置受到威胁，感染可能会迅速传播到其余装置，从而导致无法弥补的损失。
技术实现思路
公开的主题的一个示例性实施例是一种计算机实施方法，其包括：在计算机化设备中接收应用程序的请求，以经由第一端口来传输指定在目的地处将被接收的输出通信，其中应用程序由计算机化设备执行，其中目的地是计算机化设备外部的目的地；对第一端口的标识符应用变换函数，从而获得第二端口的标识符，其中该应用的条件为应用程序被列出在计算机网络中的多个装置的授权应用程序的列表中；以及，经由第二端口引导(direct)在目的地处将被接收的输出通信；其中变换函数取决于多个装置中共享的至少一个参数，其中多个装置包括计算机化设备，从而使得多个装置的第二计算机化设备能够对第二端口的标识符应用逆变换以获得第一端口的标识符。公开的主题的另一个示例性实施例是一种计算机实施方法，其包括：在计算机化设备中经由具有第一端口标识符的第一端口接收输入通信，其中输入通信经由计算机网络从外部装置接收；对第一端口标识符应用逆变换函数，从而获得第二端口的第二端口标识符；以及，在计算机化设备处将输入通信从第一端口重引导到第二端口，其中逆变换函数取决于计算机网络的多个装置中共享的至少一个参数，其中多个装置包括计算机化设备。公开的主题的又一个示例性实施例是一种具有处理器的计算机化设备，处理器适于执行以下步骤：在计算机化设备中接收应用程序的请求，以经由第一端口来传输指定在目的地处将被接收的输出通信，其中应用程序由计算机化设备执行，其中目的地是计算机化设备外部的目的地；对第一端口的标识符应用变换函数，从而获得第二端口的标识符，其中该应用的条件为应用程序被列出在计算机网络中的多个装置的授权应用程序的列表中；以及，经由第二端口引导在目的地处将被接收的输出通信；其中变换函数取决于多个装置中共享的至少一个参数，其中多个装置包括计算机化设备，从而使得多个装置的第二计算机化设备能够对第二端口的标识符应用逆变换以获得第一端口的标识符。公开的主题的再一个示例性实施例是一种具有处理器的计算机化设备，处理器适于执行以下步骤：在计算机化设备中经由具有第一端口标识符的第一端口接收输入通信，其中输入通信经由计算机网络从外部装置接收；对第一端口标识符应用逆变换函数，从而获得第二端口的第二端口标识符；以及，在计算机化设备处将输入通信从第一端口重引导到第二端口，其中逆变换函数取决于计算机网络的多个装置中共享的至少一个参数，其中多个装置包括计算机化设备。公开的主题的再一个示例性实施例是一种计算机程序产品，其包括保留程序指令的计算机可读存储介质，程序指令在被处理器读取时使得处理器执行包括以下的方法：在计算机化设备中接收应用程序的请求，以经由第一端口来传输指定在目的地处将被接收的输出通信，其中应用程序由计算机化设备执行，其中目的地是计算机化设备外部的目的地；对第一端口的标识符应用变换函数，从而获得第二端口的标识符，其中该应用的条件为应用程序被列出在计算机网络中的多个装置的授权应用程序的列表中；以及，经由第二端口引导在目的地处将被接收的输出通信；其中变换函数取决于多个装置中共享的至少一个参数，其中多个装置包括计算机化设备，从而使得多个装置中的第二计算机化设备能够对第二端口的标识符应用逆变换以获得第一端口的标识符。公开的主题的再一个示例性实施例是一种计算机程序产品，其包括保留程序指令的计算机可读存储介质，程序指令在被处理器读取时使得处理器执行包括以下的方法：在计算机化设备中经由具有第一端口标识符的第一端口接收输入通信，其中输入通信经由计算机网络从外部装置接收；对第一端口标识符应用逆变换函数，从而获得第二端口的第二端口标识符；以及，在计算机化设备处将输入通信从第一端口重引导到第二端口，其中逆变换函数取决于计算机网络的多个装置中共享的至少一个参数，其中多个装置包括计算机化设备。附图说明从以下结合附图的详细描述中将更全面地理解和认识本公开的主题，在附图中相应或相似的数字或字符表示相应的或相似的部件。除非另有指示，否则附图提供本公开的示例性实施例或方面并且不限制本公开的范围。在附图中：图1示出根据本主题的一些示例性实施例的使用公开的主题的计算机网络；图2示出根据公开的主题的一些示例性实施例的系统的框图；图3A示出根据公开的主题的一些示例性实施例的方法的流程图；以及图3B示出根据公开的主题的一些示例性实施例的方法的流程图。具体实施方式公开的主题所处理的一个技术问题是在计算机网络中提供安全的通信。公开的主题所处理的另一个技术问题是防止恶意代码在计算机网络内传播。“端口”是与驻留在计算平台上的服务或进程相关联的逻辑结构，并且用作不同类型的网络通信的端点。在一些示例性实施例中，每个主机地址和通信协议的端口由16位数字标识，因此端口号的范围从0到65535变化。通常，端口号出现在网络数据包中并且映射到可以处理或正在等待这些数据包的目标装置上的具体进程或资源。一些资源已经预先配置为仅侦听某些预定义的端口号并且忽略与其它端口相关联的流量。严重依赖端口号来映射资源的典型网络协议包括传输控制协议(TCP)和用户数据报协议(UDP)。诸如TCP和UDP使用的从0到1023的“已知端口”的一些端口号或端口号范围可能为标准服务保留。例如，运行超文本传输协议(HTTP)协议的服务通常在端口80上侦听。一种技术解决方案是有选择地加扰输出通信在传输端处引导到其的端口号并且解扰在其处接收输入通信的端口号。仅针对与批准的应用程序相关联的端口号来执行加扰。使用在网络装置中共享的一个或多个秘密参数来执行加扰和解扰。一个或多个秘密参数优选地包括降低攻击者通过端口扫描“猜测”目标端口号的可能性的时变分量。利用公开的主题的一个技术效果是允许通过在常规端口号处识别访问尝试来检测攻击或爆发。此外，因为授权活动被限制为仅引导到加扰端口，因此尝试访问任何有用端口的不是加扰版本的端口也可能指示潜在的未经授权的活动。另一个技术效果是防止依赖于人体工程学(humanengineering)的恶意活动的扩展。即使在人类用户操纵以允许访问恶意用户或代码(例如，按下有害链接或执行经由电子邮件发送的恶意软件)的情况下，恶意活动可能被包含在受感染的装置中，而不被传播到其它装置。现在参照图1，图1示出根据本主题的一些示例性实施例的使用公开的主题的计算机网络。在一些示例性实施例中，计算机网络100可以包括诸如装置110、120、130、140和150的多个计算装置。计算机网络100可以包括诸如服务器102和104的一个或多个服务器。装置110至150可以通过对服务器102和104中的一个的公共访问或者诸如直接通过使用网络交换本文档来自技高网...

【技术保护点】
一种计算机实施方法，其包括：在计算机化设备中接收应用程序的请求，以经由第一端口来传输指定在目的地处将被接收的输出通信，其中所述应用程序由所述计算机化设备执行，其中所述目的地是所述计算机化设备外部的目的地；对所述第一端口的标识符应用变换函数，从而获得第二端口的标识符，其中所述应用的条件为所述应用程序被列出在计算机网络中的多个装置的授权应用程序的列表中；以及，经由所述第二端口引导在所述目的地处将被接收的所述输出通信；其中所述变换函数取决于所述多个装置中共享的至少一个参数，所述至少一个参数包括取决于所述授权应用程序的列表的参数，其中所述多个装置包括所述计算机化设备，从而使得所述多个装置的第二计算机化设备能够对所述第二端口的标识符应用逆变换以获得所述第一端口的标识符。

【技术特征摘要】
【国外来华专利技术】2015.08.27 IL 2409091.一种计算机实施方法，其包括：在计算机化设备中接收应用程序的请求，以经由第一端口来传输指定在目的地处将被接收的输出通信，其中所述应用程序由所述计算机化设备执行，其中所述目的地是所述计算机化设备外部的目的地；对所述第一端口的标识符应用变换函数，从而获得第二端口的标识符，其中所述应用的条件为所述应用程序被列出在计算机网络中的多个装置的授权应用程序的列表中；以及，经由所述第二端口引导在所述目的地处将被接收的所述输出通信；其中所述变换函数取决于所述多个装置中共享的至少一个参数，所述至少一个参数包括取决于所述授权应用程序的列表的参数，其中所述多个装置包括所述计算机化设备，从而使得所述多个装置的第二计算机化设备能够对所述第二端口的标识符应用逆变换以获得所述第一端口的标识符。2.根据权利要求1所述的计算机实施方法，其中所述至少一个参数选自由以下构成的组：固定加密密钥；依赖于时间的加密密钥；固定密钥和依赖于时间的密钥的组合。3.根据权利要求1所述的计算机实施方法，其中所述至少一个参数包括依赖于时间的加密密钥，其中所述计算机网络进一步包括分发和同步所述多个装置中的依赖于时间的加密密钥的服务器。4.根据权利要求1所述的计算机实施方法，其中所述列表可通过所述多个装置验证。5.根据权利要求1所述的计算机实施方法，其中所述计算机网络进一步包括负责维护所述列表并更新所述多个装置的服务器。6.根据权利要求1所述的计算机实施方法，其进一步包括：在所述计算机化设备中经由具有第三端口标识符的第三端口接收输入通信，其中所述输入通信经由所述计算机网络从外部装置接收；对所述第三端口标识符应用逆变换函数，从而获得第四端口的第四端口标识符，其中所述逆变换函数是所述变换函数的逆函数并取决于所述至少一个参数；以及，将所述输入通信从所述第三端口重引导到所述第四端口。7.根据权利要求6所述的计算机实施方法，其中所述第三端口是所述第二端口；以及，其中所述第四端口是所述第一端口。8.根据权利要求1所述的计算机实施方法，其进一步包括：在所述计算机化设备中接收正由所述计算机化设备执行的应用程序的后续请求，以经由所述第一端口传输指定在所述计算机化设备外部的目的地处将接收的输出通信；对所述第一端口的所述标识符应用所述变换函数，从而获得与所述第二端口不同的第三端口的标识符；以及，经由所述第三端口引导在所述目的地处将被接收的所述输出通信。9.根据权利要求1所述的计算机实施方法，其进一步包括：自动更新所述多个装置中的每个装置中的所述至少一个秘密参数的内容，从而动态地修改所述多个装置中的所有装置的所述变换函数的操作。10.根据权利要求1所述的计算机实施方法，其中所述计算机化设备外部的所述目的地是由所述多个装置组成的装置。11.一种计算机实施方法，其包括：在计算机化设备中经由具有第一端口标识符的第一端口接收输入通信，其中所述输入通信经由计算机网络从外部装置接收；对所述第一端口标识符应用逆变换函数，从而获得第二端口的第二端口标识符；以及在所述计算机化设备处将所述输入通信从所述第一端口重引导到所述第二端口，其中所述逆变换函数取决于所述计算机网络的多个装置中共享的至少一个参数，所述至少一个参数包括取决于所述多个装置的授权应用程序的列表的参数，其中所述多个装置包括所述计算机化设备。12.根据权利要求11所述的计算机实施方法，其中所述至少一个参数选自由以下构成的组：固定加密密钥；依赖于时间的加密密钥；固定密钥和依赖于时间的密钥的组合。13.根据权利要求11所述的计算机实施方法，其进一步...

【专利技术属性】
技术研发人员：埃雷兹·卡普兰·希利昂，
申请(专利权)人：网络二零二零一五有限公司，
类型：发明
国别省市：以色列,IL