公开(公告)号：DE602006012095D1

公开(公告)日：2010-03-18

申请号：DE602006012095

申请日：2006-12-12

Applicant: IBM

Inventor： DUPONCHEL YANN ,  RIORDAN JAMES F ,  RISSMANN RUEDIGER ,  ZAMBONI DIEGO M

IPC: H04L12/46

Abstract: The invention relates to a method for operating virtual networks. The method comprises providing a first virtual network comprising a first set of network ports assigned to a first virtualization tag (T1) and a second virtual network comprising a second set of network ports assigned to a second virtualization tag (T2), the first and the second virtual network having compatible address ranges and being adapted to only pass data packets within them, providing a first network node having a source address (SA) in the first virtual network and being operationally connected to a first port (P1) assigned to the first virtual network by means of the first virtualization tag (T1), monitoring the first network node in order to detect a predetermined condition, and, on detection of the predetermined condition, reassigning the first port (P1) to the second virtual network by means of assigning the second virtualization tag (T2) to the first port (P1), such that no data packet can be passed from the first network node (N1) to a second network node (N2) connected to a second port (P2) assigned to the first virtual network by means of the first virtualization tag (T1) directly and keeping of the source address (SA) for the first network node (N1) in the second virtual network (104). The invention further relates to a further method for operation virtual networks, a data network system and a computer program product adapted to perform the inventive methods.

公开(公告)号：DE112013001446B4

公开(公告)日：2021-01-28

申请号：DE112013001446

申请日：2013-03-08

Applicant: IBM

Inventor： BRANCH JOEL W ,  NIDD MICHAEL E ,  RISSMANN RUEDIGER

IPC: G06F15/173 ,  H04L45/02 ,  H04L45/122

Abstract: Es werden Mechanismen zum Erkennen von transparenten Einheiten zum Abfangen von Datenübertragungen in Netzwerken (430, 530) in einer Netzwerktopologie (305) bereitgestellt. Mittels der Mechanismen werden Netzwerkkonfigurationsdaten von einer Vielzahl von Einheiten in der Netzwerktopologie (305, 610) gesammelt und die gesammelten Netzwerkkonfigurationsdaten unter Verwendung eines oder mehrerer heuristischer Analyseverfahren analysiert, um in den gesammelten Netzwerkkonfigurationsdaten Muster zu erkennen, die auf die Existenz einer transparenten Einheit zum Abfangen von Datenübertragungen in Netzwerken (430, 530, 630) hinweisen. Mittels der Mechanismen wird auf der Grundlage der Ergebnisse der Analyse der gesammelten Netzwerkkonfigurationsdaten ein Konfidenzwert berechnet (640). Ferner sendet (680) der Mechanismus als Reaktion darauf, dass der berechnete Konfidenzwert mindestens einen Schwellenwert erreicht oder überschreitet, eine Benachrichtigung über eine erkannte Existenz einer transparenten Einheit zum Abfangen von Datenübertragungen in Netzwerken an eine Datenverarbeitungseinheit.

公开(公告)号：DE112013001446T5

公开(公告)日：2015-01-22

申请号：DE112013001446

申请日：2013-03-08

Applicant: IBM

Inventor： BRANCH JOEL W ,  NIDD MICHAEL E ,  RISSMANN RUEDIGER

IPC: G06F15/173 ,  H04L45/02 ,  H04L45/122

Abstract: Es werden Mechanismen zum Erkennen von transparenten Einheiten zum Abfangen von Datenübertragungen in Netzwerken (430, 530) in einer Netzwerktopologie (305) bereitgestellt. Mittels der Mechanismen werden Netzwerkkonfigurationsdaten von einer Vielzahl von Einheiten in der Netzwerktopologie (305, 610) gesammelt und die gesammelten Netzwerkkonfigurationsdaten unter Verwendung eines oder mehrerer heuristischer Analyseverfahren analysiert, um in den gesammelten Netzwerkkonfigurationsdaten Muster zu erkennen, die auf die Existenz einer transparenten Einheit zum Abfangen von Datenübertragungen in Netzwerken (430, 530, 630) hinweisen. Mittels der Mechanismen wird auf der Grundlage der Ergebnisse der Analyse der gesammelten Netzwerkkonfigurationsdaten ein Konfidenzwert berechnet (640). Ferner sendet (680) der Mechanismus als Reaktion darauf, dass der berechnete Konfidenzwert mindestens einen Schwellenwert erreicht oder überschreitet, eine Benachrichtigung über eine erkannte Existenz einer transparenten Einheit zum Abfangen von Datenübertragungen in Netzwerken an eine Datenverarbeitungseinheit.

公开(公告)号：DE602006017668D1

公开(公告)日：2010-12-02

申请号：DE602006017668

申请日：2006-02-21

Applicant: IBM

Inventor： RISSMANN RUEDIGER ,  DUPONCHEL YANN ,  ZAMBONI DIEGO M ,  RIORDAN JAMES F

IPC: G06F1/00

公开(公告)号：AT485552T

公开(公告)日：2010-11-15

申请号：AT06727631

申请日：2006-02-21

Applicant: IBM

Inventor： RISSMANN RUEDIGER ,  DUPONCHEL YANN ,  ZAMBONI DIEGO ,  RIORDAN JAMES

IPC: G06F1/00

Abstract: A method and apparatus are provided for detecting attacks on a data communication network. The apparatus includes a router with a mechanism for monitoring return messages addressed to an originating user system local to the router. The mechanism includes a message checker for identifying a return message of a specified nature and a rerouter for temporarily routing subsequent messages from the originating user system to the intrusion detection sensor.

公开(公告)号：AT456890T

公开(公告)日：2010-02-15

申请号：AT06832212

申请日：2006-12-12

Applicant: IBM

Inventor： DUPONCHEL YANN ,  RIORDAN JAMES F ,  RISSMANN RUEDIGER ,  ZAMBONI DIEGO M

IPC: H04L12/46

Abstract: The invention relates to a method for operating virtual networks. The method comprises providing a first virtual network comprising a first set of network ports assigned to a first virtualization tag (T1) and a second virtual network comprising a second set of network ports assigned to a second virtualization tag (T2), the first and the second virtual network having compatible address ranges and being adapted to only pass data packets within them, providing a first network node having a source address (SA) in the first virtual network and being operationally connected to a first port (P1) assigned to the first virtual network by means of the first virtualization tag (T1), monitoring the first network node in order to detect a predetermined condition, and, on detection of the predetermined condition, reassigning the first port (P1) to the second virtual network by means of assigning the second virtualization tag (T2) to the first port (P1), such that no data packet can be passed from the first network node (N1) to a second network node (N2) connected to a second port (P2) assigned to the first virtual network by means of the first virtualization tag (T1) directly and keeping of the source address (SA) for the first network node (N1) in the second virtual network (104). The invention further relates to a further method for operation virtual networks, a data network system and a computer program product adapted to perform the inventive methods.