CN104106250A - 用于与动态计算机网络进行通信的桥接器 - Google Patents
用于与动态计算机网络进行通信的桥接器 Download PDFInfo
- Publication number
- CN104106250A CN104106250A CN201380008826.6A CN201380008826A CN104106250A CN 104106250 A CN104106250 A CN 104106250A CN 201380008826 A CN201380008826 A CN 201380008826A CN 104106250 A CN104106250 A CN 104106250A
- Authority
- CN
- China
- Prior art keywords
- network
- module
- identity parameter
- bridger
- computer network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 118
- 238000004891 communication Methods 0.000 claims abstract description 68
- 230000008859 change Effects 0.000 claims description 53
- 238000004364 calculation method Methods 0.000 claims description 49
- 238000006243 chemical reaction Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 68
- 238000012986 modification Methods 0.000 abstract 1
- 230000004048 modification Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 21
- 230000009471 action Effects 0.000 description 10
- 239000000872 buffer Substances 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 10
- 101100459815 Arabidopsis thaliana NAC104 gene Proteins 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000003068 static effect Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000009466 transformation Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000000739 chaotic effect Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 208000027534 Emotional disease Diseases 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000009999 orthokinesis Effects 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 210000000689 upper leg Anatomy 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2539—Hiding addresses; Keeping addresses anonymous
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于将数据从计算机网络(100)中的第一计算装置(101)传送到第二计算机网络(124)中的第二计算装置的方法涉及在所述计算机网络(100)中的第一位置(105)处动态地修改多个真值(120)。所述真值正确地表示多个身份参数。将这些真值变换为不正确地表示所述身份参数的假值(122)。随后,在桥接器(115)第二位置处修改所述身份参数以将所述假值变换回到所述真值。所述第一位置的定位随着此过程的部分而动态地变更。所述身份参数的动态修改根据任务计划而发生,所述任务计划可在不中断所述网络中的数据传送的情况下进行修改。
Description
技术领域
本发明布置涉及计算机网络安全,且更特定来说涉及用于在两个或两个以上网络之间进行通信的系统,其中所述网络中的至少一者可动态地操控(maneuverable)以防御恶意攻击。
背景技术
当前网络基础设施的主要弱点为其静态特性。资产获得永久或不经常改变的识别,从而允许敌手拥有几乎无限时间来探查网络、标定(map)及恶意探索漏洞。此外,可捕获在这些固定实体之间行进的数据并获得其属性。针对网络安全的当前途径在固定资产周围设置例如防火墙及入侵检测系统的技术,且使用加密来保护在途中的数据。然而,此传统途径在根本上有缺陷,因为其向攻击者提供固定目标。在现今的全球连接通信基础设施中,静态网络为易受攻击的网络。
国防高级研究计划局(DARPA)信息保证(IA)项目已在动态网络防御的领域中进行初步研究。在信息保证项目下开发一种技术来动态地重新指派馈送到预先指定的网络飞地(enclave)的因特网协议(IP)地址空间以迷惑观察网络的任何潜在敌手。此技术称为动态网络地址变换(DYNAT)。已在由DARPA发表的标题为《用于挫败敌手情报搜集的动态途径(Dynamic Approaches to Thwart Adversary Intelligence(2001))》的论文中提出DYNAT技术的概述。
发明内容
本发明的实施例涉及一种用于在计算机网络中传送数据的方法。所述方法包含在所述计算机网络上从第一计算装置传送数据到第二计算装置。所述数据包含与所述第一及第二计算装置中的一者或两者相关联的一或多个身份参数。所述方法继续在所述计算机网络中的第一位置处动态地修改多个真值的步骤。所述真值正确地表示多个身份参数。将这些真值变换为不正确地表示身份参数的假值。随后,在所述计算机网络中的第二位置处动态地修改数据通信中含有的身份参数。所述第二位置处的修改涉及将假值变换回到真值。注意,所述计算机网络内的所述第一及/或第二位置的定位也作为此过程的部分而动态地改变。
根据本发明的另一方面,所述方法可进一步涉及在所述第一及第二位置处根据任务计划执行身份参数的动态修改。在此类实施例中,所述方法进一步涉及将所述任务计划改变为第二任务计划(不同于所述第一任务计划)以改变在第一位置及/或第二位置处执行的动态操纵。在不中断网络中的数据传送的情况下执行将任务计划改变为第二任务计划的此过程。多个任务计划可由用户定义且经存储使得其对网络装置可存取。因此,用户可如所需或期望股从一个任务计划改变到不同任务计划以维持网络的安全。
本发明还涉及一种用于从包含于第一计算机网络中的第一计算装置传送数据到包含于第二计算机网络中的第二计算装置的方法。所述方法可从在所述第一计算机网络上发射数据通信开始。所述数据通信将包含指定与所述第一及第二计算装置中的至少一者相关联的真值的身份参数的第一群组。此后,通过在所述第一计算机网络中的第一位置处动态地修改身份参数的所述第一群组的第一集合而继续所述过程。所述动态修改涉及变换所述第一集合以指定假信息。此变换在将数据通信重新发射到桥接器位置之前执行。在所述桥接器位置处,通过动态地修改所述第一集合以变换所述第一集合以指定真信息而继续所述过程。在所述桥接器位置处变换所述第一集合以指定真信息之后,通过从所述桥接器位置发射所述数据通信到所述第二计算机网络而继续所述方法。所述方法进一步包含动态地变更所述计算机网络内的所述第一位置的定位。
附图说明
参考以下图式描述实施例,其中贯穿所述图式,相同数字表示相同项目,且其中:
图1为有用于了解本发明的计算机网络的实例。
图2为可在本发明中使用以执行身份参数的特定操纵的模块的实例。
图3为可用于了解可用于帮助描绘图1中的网络的特性的工具的图。
图4为可用于针对图1中的模块选择动态设定的图形用户接口的对话框的实例。
图5为可用于选择与图1中的每个模块相关联的作用中状态及旁通状态序列的图形用户接口的对话框的实例。
图6为可用于了解任务计划可传送到图1中的网络中的多个模块的方式的图式。
图7为可用于选择任务计划且将所述任务计划传送到如图6中所示的模块的图形用户接口的对话框的实例。
图8为可用于了解图1中的模块的操作的流程图。
图9为可用于了解关于建立及加载任务计划的网络控制软件应用程序(NCSA)的操作的流程图。
图10为可用于实施图1中的模块的计算机架构的框图。
图11为可用于实施图1中的网络管理计算机(NAC)的计算机架构的框图。
图12为有用于了解图1中的桥接器的操作的流程图。
图13为有用于了解可被修改的一些类型的身份参数的表。
具体实施方式
参考附图描述本发明。所述图式并非按比例绘制且其仅为说明本发明而提供。出于说明的目的,下文参考实例应用而描述本发明的若干方面。应了解,阐明许多具体细节、关系及方法以提供本发明的全面了解。然而,相关技术的一股技术人员将容易认知,本发明可在没有所述具体细节中的一或多者下或使用其它方法实践。在其它例项中,未详细展示众所周知的结构或操作以避免使本发明变得模糊。本发明不受所说明的动作或事件顺序限制,因为一些动作可以不同顺序发生及/或与其它动作或事件同时发生。此外,实施根据本发明的方法无需所有经说明的动作或事件。
还应了解,本文中使用的术语仅用于描述特定实施例且并非希望限制本发明。如本文中所使用,单数形式“一(a)”、“一个(an)”及“所述”希望也包含复数形式,除非上下文另有清楚指示。此外,就在详细描述及/或权利要求书中使用的术语“包含”、“具有”或其变体而言,此类术语希望以类似于术语“包括”的方式具有包含性。
此外,除非另外定义,否则本文中使用的全部术语(包含技术及科学术语)具有与本发明所属的技术的一股人员普遍了解的含意相同的含意。将进一步了解,术语(例如普遍使用的字典中定义的术语)应解释为具有与其在相关技术的内容背景中的含意一致的含意且不应以理想化或过于正式的意义来解释,除非本文中明确地如此定义。
身份敏捷计算机网络
现参考图1,展示包含多个计算装置的示范性网络100的图式。所述计算装置可包含客户端计算机101到103、网络管理计算机(NAC)104、服务器111、112、网络集线器108、109、路由器110及桥接器115。客户端计算机可为可能需要网络服务的任何类型的计算装置,例如常规平板计算机、笔记本计算机、膝上型计算机或桌上型计算机。路由器110可为在计算机网络之间转发数据包的常规路由装置。集线器108、109为此项技术中众所周知的常规集线器装置(例如,以太网集线器)。服务器111、112可提供由客户端计算机101到103利用的各种计算服务。例如,服务器111、112可为文件服务器,其为由客户端计算机101到103使用的计算机文件的共享存储提供位置。
网络100的通信媒体可为有线、无线或两者,但是为简单起见及避免使本发明变得模糊,在本文中应描述为有线网络。所述网络将使用通信协议传送数据。如此项技术中众所周知,通信协议定义用于贯穿所述网络传送数据的格式及规则。图1中的网络可使用现在已知或未来知晓的任何通信协议或协议组合。例如,所述网络可使用适于此类通信的众所周知的以太网协议。或者,所述网络可利用其它协议,例如因特网协议套件(通常称为TCP/IP)、SONET/SDH或异步传送模式(ATM)通信协议。在一些实施例中,可组合使用这些通信协议中的一或多者。虽然图1中展示一个网络拓朴,但是本发明在此方面不受限制。而是,可使用任何类型的适宜网络拓朴,例如总线网络、星状网络、环形网络或网状网络。
本发明通常涉及一种用于在计算机网络(例如计算机网络100中)中传送数据的方法,其中数据从第一计算装置传送到第二计算装置。所述网络内的计算装置用多个身份参数表示。如本文中使用的词组“身份参数”可包含例如因特网协议(IP)地址、媒体访问控制(MAC)地址、端口等等的项目。然而,本发明在此方面不受限制,且身份参数还可包含有用于描绘网络节点的特性的多种其它信息。在下文中更详细论述本文中预期的各种类型的身份参数。本发明布置涉及使用移动目标技术(MTT)来操纵所述网络内的一或多个计算装置的此类身份参数中的一或多者。此技术伪装此类计算装置的通信模式及网络地址。如本文中所述的身份参数的操纵通常与所述网络中的数据通信一起(即,在数据将从所述网络中的第一计算机(例如,客户端计算机101)传送到所述网络中的第二计算机(例如,客户端计算机102)时)执行。因此,所操纵的身份参数可包含来源计算装置(数据源自所述装置)及目的地计算装置(数据被发送到所述装置)的身份参数。经传送的身份参数集在本文中称为身份参数集(IDP集)。此概念说明于图1中,其展示IDP集120作为数据包(未图示)的部分由客户端计算机101发射。
根据本发明布置的过程涉及在计算机网络内的第一位置处选择性地修改数据包或数据报中所含有的指定来源及/或目的地计算装置的一或多个身份参数的值。根据任务计划而修改所述身份参数。执行此修改的位置通常将与模块105到107、113、114中的一者的位置重合。再次参考图1,可观察到模块105、106、107、113、114在网络中插置于各种计算装置之间(其构成此网络中的节点)。在这些位置中,模块拦截数据包通信,执行身份参数的必要操纵,且沿着发射路径重新发射数据包。在替代实施例中,模块105、106、107、113、114可执行类似功能,但可直接集成到一或多个计算装置中。例如,模块可集成到客户端计算机101、102、103、服务器111、112、集线器108、109中及/或路由器110内。
在图2中展示模块105的功能框图的实例。模块106到107、113、114可具有类似功能框图,但是应了解,本发明在此方面不受限制。如图2中所示,模块105具有至少两个数据端口201、202,其中每一者可对应于相应网络接口装置204、205。在端口201处接收的数据在网络接口装置204处经处理且暂时存储于输入缓冲器210。处理器215存取输入缓冲器210中所含有的输入数据包,且执行如本文中所述的身份参数的任何必要操纵。所修改的数据包经传递到输出缓冲器212且随后使用网络接口装置205而从端口202发射。类似地,在端口202处接收的数据在网络接口装置205处经处理且暂时存储于输入缓冲器208。处理器215存取输入缓冲器208中所含有的输入数据包且执行如本文中所述的身份参数的任何必要操纵。所修改的数据包经传递到输出缓冲器206且随后使用网络接口装置204而从端口201发射。在每一模块中,由处理器215根据存储于存储器218中的任务计划220而执行身份参数的操纵。
从图2将了解,模块优选经配置使得其双向操作。在此类实施例中,取决于特定数据包的来源,所述模块可实施不同修改功能。可根据特定数据包的来源计算装置而在任务计划中指定每个模块中的动态修改功能。模块可通过任何适宜方法确定数据包的来源。例如,出于此目的可使用数据包的来源地址。
在网络100内的选定模块处,处理器215将确定将代替真身份参数值而使用的一或多个假身份参数值。所述处理器将一或多个真身份参数值变换为优选由伪随机函数指定的一或多个假身份参数值。在此变换之后,所述模块将沿着发射路径将经修改的包或数据报转发到网络的下一节点。在通信路径中的后续节点处,正监视此类网络通信的敌手将观察到关于在网络上通信的计算装置的身份的假或不正确信息。
在优选实施例中,由伪随机函数指定的假身份参数根据一或多个触发事件的发生而改变。触发事件导致处理器215使用伪随机函数来产生真身份参数所变换成的一组新的假身份参数值。因此,触发事件用作本文中所述的假身份参数的动态变更的基础。在下文中更详细论述触发事件。然而应注意,用于选择一组新的假身份参数值的触发事件可基于经过的时间及/或特定网络事件的发生。触发事件还可通过用户命令起始。
上文所述的身份参数的变换提供一种操控计算机网络100以阻挠网络攻击的方式。在优选实施例中,由处理器215实施的任务计划220还将控制计算机网络可操控的方式的某些其它方面。例如,任务计划可指定操纵身份参数的动态选择。所述动态选择可包含选择修改哪些身份参数的选择,及/或所选择的此类身份参数的数目。此可变选择过程提供附加的不确定性或变更维度,此可用于进一步阻挠敌手尝试侵入或获悉计算机网络100。作为此技术的实例,认为在第一时段期间,模块可修改每个数据包的目的地IP地址及目的地MAC地址。在第二时段期间,所述模块可操纵每个数据包中的来源IP地址及来源主机名。在第三时段期间,所述模块可操纵来源端口号及来源用户名称。身份参数选择的改变可同步发生(所有选定的身份参数同时改变)。或者,身份参数选择的改变可异步地发生(随着个别身份参数被添加或从选定的身份参数群组移除,所选定的身份参数群组递增地改变)。
伪随机函数优选为用于确定待操纵或变换为假值的身份值的选择。换句话说,所述模块将仅变换由伪随机函数选择的身份参数。在优选实施例中,由伪随机函数指定的身份参数的选择根据触发事件的发生而改变。触发事件导致处理器215使用伪随机函数来产生待变换为假身份参数的身份参数的新选择。因此,触发事件用作本文中所述的身份参数的选择的动态变更的基础。注意,身份参数的值也可根据伪随机算法而改变。
所述模块有利地还能够提供操控计算机网络以阻挠网络攻击的第三方法。具体来说,加载在每个模块中的任务计划可动态地变更网络内发生身份参数的修改或变换的位置。认为在从客户端计算机101发送到客户端计算机102的IDP集120中的身份参数的修改可发生于模块105中。在图1中展示此条件,其中IDP集120中所含有的身份参数在模块105中经操纵,使得IDP集120变换为新的或经修改的IDP集122。相比于IDP集120中的身份参数,IDP集122中的至少一些身份参数是不同的。但是发生此变换的位置优选也由任务计划控制。因此,IDP集120的操纵可例如有时发生于模块113或114处,而非模块105处。选择性地变更发生身份参数的操纵的位置的此能力对计算机网络的操控能力增添更重要维度。
通过选择性地控制每个模块的操作状态而促进修改身份参数的位置的动态变更。为此,每个模块的操作状态优选包含(1)作用中状态,其中根据当前任务计划处理数据,及(2)旁通状态,其中包可流动通过模块如同模块并不存在一样。通过选择性地导致特定模块处于作用中状态及特定模块处于备用状态而控制执行动态修改的位置。所述位置可通过以协调的方式动态地变更模块的当前状态而动态地改变。
任务计划可包含用于确定计算机网络100内将要操纵身份参数的位置的预定义序列。将要操纵身份参数的位置将根据由触发事件指示的时间序列而改变。例如,触发事件可导致转变到新位置以如本文中所述地操纵或变换身份参数。因此,触发事件用作修改身份参数的位置发生改变的基础,且预定义序列确定新位置将在何处。
从前文应了解,在模块处修改数据包以包含假身份参数。某些时候在计算机网络内,必需使身份参数还原到其真值,使得所述身份参数可用于根据特定网络协议而适当地执行其预期功能。因此,本发明布置还包含在第二位置(即,第二模块)处根据任务计划动态地修改身份参数的指派值。所述第二位置处的修改基本上包括在第一位置处所使用的过程的逆过程来修改身份参数。所述第二位置处的模块可因此使假值身份参数还原或变换回到其真值。为完成此动作,所述第二位置处的模块必须能够确定至少(1)待变换的身份参数值的选择,及(2)选定身份参数从假值到真值的正确变换。实际上,此过程涉及用于确定身份参数选择的伪随机过程或若干伪随机过程的逆过程及对此类身份参数值实现的改变。在图1中说明逆变换步骤,其中在模块106处接收IDP集122,且IDP集122中的身份参数值被变换或操纵回到其原始或真值。在此案例中,模块106将身份参数值转换回到IDP集120的身份参数值。
注意,模块必须具有确定适当变换或操纵以施加到其接收的每个数据通信的某种方式。在优选实施例中,通过检查所接收的数据通信内含有的至少来源地址身份参数而执行此确定。例如,所述来源地址身份参数可包含来源计算装置的IP地址。一旦已知来源计算装置的真身份,所述模块便查阅任务计划(或从任务计划导出的信息)以确定其需要采取的动作。例如,这些动作可包含将特定真身份参数值转换为假身份参数值。或者,这些改变可包含将假身份参数值转换回到真身份参数值。
注意,将存在所接收的数据通信中含有的来源地址身份参数信息已改变为假值的情况。在所述境况中,接收数据通信的模块不会立即能够确定数据通信的来源的身份。然而,接收通信的模块在此类例项中仍可识别来源计算装置。这在接收模块处通过比较假来源地址身份参数值与列出在特定时间期间投入使用的所有此类假来源地址身份参数值的查找表(LUT)而完成。LUT还包含对应于假来源地址值的真来源地址身份参数值的列表。LUT可由任务计划直接提供,或可由任务计划中含有的信息产生。在任一情况中,可从LUT容易地确定真来源地址身份参数值的识别。一旦已确定真来源地址身份参数,则接收数据通信的模块可使用此信息以(基于任务计划)确定所述身份参数所需的操纵。
注意,任务计划还可指定使身份参数还原到其真值的第二位置的变更。例如,假设在包括模块105的第一位置处动态地修改所述身份参数。所述任务计划可指定所述身份参数到其真值的还原如所述股发生于模块106处,但是可替代性地指定动态修改代替性地发生于模块113或114处。在一些实施例中,发生此类操纵的位置通过任务计划根据预定义序列而动态确定。预定义序列可确定将发生身份参数的操纵的位置或模块的序列。
涉及不同位置处的动态修改的转变优选根据触发事件而发生。因此,预定义序列确定将发生数据操纵的位置的模式或序列,且触发事件用作导致从一个位置转变到下一位置的基础。在下文中更详细论述触发事件;然而,应注意,触发事件可基于经过的时间、用户控制及/或特定网络事件的发生。对第二位置(即,身份参数返回到其真值的位置)的选择的控制可以与上文关于第一位置所述的方式相同的方式而实现。具体来说,两个或两个以上模块的操作状态可在作用中状态与旁通状态之间切换。身份参数的操纵将仅发生于具有作用中操作状态的模块中。具有旁通操作状态的模块将仅传递数据包而无修改。
还可使用替代方法来控制将发生身份参数的操纵的位置。例如,网络管理员可在任务计划中定义身份参数可从真值转换为假值的若干可能模块。在发生触发事件时,可通过使用伪随机函数且使用触发时间作为伪随机函数的种子值而在所述若干模块之间选择新位置。如果每个模块使用相同初始种子值实施相同伪随机函数,那么每个模块将计算相同伪随机值。触发时间可基于时钟时间确定,例如GPS时间或系统时钟时间。以此方式,每个模块可独立地确定其当前是否为应发生身份参数的操纵的作用中位置。类似地,网络管理员可在任务计划中定义动态操纵将身份参数返回到其正确值或真值的若干可能模块。选择哪个模块用于此目的还可根据如本文中所述的触发时间及伪随机函数而确定。其它方法也可用于确定将发生身份参数操纵的位置或模块。因此,本发明不希望限制于本文中所述的特定方法。
注意,变更操纵身份函数的第一位置及/或第二位置的定位通常将导致变更第一位置与第二位置之间沿着网络通信路径的物理距离。所述第一位置与所述第二位置之间的距离在本文中称为距离向量。距离向量可为所述第一位置与所述第二位置之间沿着通信路径的实际物理距离。然而,将距离向量视为表示第一位置与第二位置之间的通信路径中所存在的网络节点数目是有用的。应了解,针对网络内的第一位置及第二位置动态地选择不同定位可具有改变所述第一位置与所述第二位置之间的节点数目的效果。例如,在图1中,在模块105、106、107、113、114中的选定者中实施身份参数的动态修改。如前文所述股确定实际上用于分别实施动态修改的模块。如果模块105用于将身份参数转换为假值且模块106用于将其转换回到真值,那么在模块105与106之间存在三个网络节点(108、110、109)。但如果模块113用于转换为假值且模块114用于将身份参数转换回到真值,那么在模块113与114之间仅存在一个网络节点(110)。因此,应了解,动态地改变发生动态修改的位置的定位可动态地变更距离向量。距离向量的此变更对网络操控或修改提供附加可变性维度,如本文中所述。
在本发明中,将身份参数值的操纵、身份参数的选择及这些身份参数的位置中的每一者定义为操控参数。每当这三个操控参数中的一者中发生改变时,便可认为已发生网络操控。无论何时这三个操控参数中的一者改变,我们便可认为已发生网络操控。为最有效地阻挠敌手尝试侵入计算机网络100,优选借助于如前文所述的伪随机过程而控制网络操控。所属领域的技术人员将了解,还可使用混乱过程来执行此功能。相比于伪随机函数,混乱过程在技术上不同,但是出于本发明的目的,可使用任一者,且将所述两者视为等效。在一些实施例中,可使用相同伪随机过程来动态地变更操控参数中的两者或两者以上。然而,在本发明的优选实施例中,使用两个或两个以上不同伪随机过程使得这些操控参数中的两者或两者以上独立于其它操控参数而修改。
触发事件
如上文所述,通过至少一个触发控制每个操控参数的动态改变。触发为导致发生关于本文中所述的动态修改的改变的事件。换句话说,可认为触发导致网络以不同于先前时间(即,在发生触发之前)的新的方式操控。例如,在第一时段期间,任务计划可导致IP地址可从值A改变为值B;但在触发事件之后,IP地址可代替性地从值A改变为值C。类似地,在第一时段期间,任务计划可导致IP及MAC地址被修改;但在触发事件之后,任务计划可代替性地导致MAC地址及用户名称被修改。作为第三实例,认为在第一时段期间,任务计划可导致身份参数在ID集120到达模块105时改变;但在触发事件之后,可导致身份参数代替性地在ID集120到达模块113时改变。
以其最简单形式,触发可经用户激活,或基于简单时序方案。在此实施例中,每个模块中的时钟时间可用作触发。例如,触发事件可定义为发生于每个60秒时间间隔期满时。对于此布置,操控参数中的一或多者可根据预定时钟时间每隔60秒而改变。在一些实施例中,所有操控参数可同时改变,使得所述改变被同步化。在略微更复杂的实施例中,还可使用基于时间的触发布置,但是可对于每个操控参数选择不同的独有触发时间间隔。因此,可在时间间隔X改变假身份参数值,身份参数的选择将根据时间间隔Y而改变,且执行此类改变的位置将在时间间隔Z发生,其中X、Y及Z为不同值。
应了解,在本发明的实施例(其依赖于作为触发机制的时钟时间)中,有利地提供各种模块105、106、107、113、114中的时钟之间的同步化以确保包不会由于未经辨识的身份参数而遗失或丢失。同步化方法是众所周知的,且可出于此目的使用任何适当同步化机制。例如,可通过使用高度精确时间参考(例如GPS时钟时间)而同步化所述模块。或者,独有无线同步化信号可从中央控制设施广播到每个模块。
其它类型的触发对于本发明也可行。例如,触发事件可基于潜在网络安全威胁的发生或检测。根据本发明的实施例,可通过网络安全软件套件识别潜在网络安全威胁。或者,可在模块105、106、107、113、114处接收数据包后即刻识别潜在网络安全威胁,其中所述包含有与网络操控的当前状态不一致的一或多个身份参数。此威胁的存在可用作触发事件而与用于识别网络安全威胁的基础无关。基于网络安全威胁的触发事件可导致与由上文所述的基于时间的触发引起的网络操控相同类型的网络操控。例如,除检测到网络安全威胁的情况之外,假身份参数、身份参数的选择及身份参数变换的位置可保持稳定(即,不改变)。例如在不期望频繁的网络操控的计算机网络中可选择此布置。
或者,基于时间的触发事件可与基于对网络安全的潜在威胁的触发事件组合。在此类实施例中,相比于基于时间的触发,基于安全威胁的触发事件可对网络操控具有不同影响。例如,基于安全威胁的触发事件可导致网络操控中的战略或防御性改变,以便更积极地对抗此网络安全威胁。此类措施的确切性质可取决于威胁的性质,但可包含多种响应。例如,可选择不同伪随机算法,及/或可增加针对每个IDP集120中的操纵而选择的身份参数的数目。在已利用基于时间的触发的系统中,响应还可包含增加网络操控的频率。因此,可相对于以下每一者进行更频繁改变:(1)假身份参数值;(2)每个IDP集中待改变的身份参数的选择;及/或(3)改变身份参数的第一位置及第二位置的定位。因此,本文中所述的网络操控提供用于识别潜在网络安全威胁且响应于潜在网络安全威胁的方法。
任务计划
根据本发明的优选实施例,根据任务计划控制本文中所述的网络操控。任务计划为定义及控制在网络及安全模型的背景中的可操控性的方案。因而,任务计划可表示为从网络管理计算机(NAC)104传送到每个模块105到107、113到114的数据文件。此后由每个模块使用任务计划以控制身份参数的操纵,且使其活动与网络中的其它模块的动作协调。
根据优选实施例,任务计划可不时由网络管理员修改,以更新或改变网络操控的方式以阻挠潜在敌手。因而,任务计划对网络管理员提供工具,所述工具促进对所述网络内将发生网络操控的时间、地点及方式的完全控制。此更新能力允许网络管理员针对当前操作条件而定制计算机网络的行为,且更有效地阻挠敌手尝试侵入网络。多个任务计划可由用户定义且经存储使得其对网络内的模块可存取。例如,多个任务计划可存储于NAC104处且视需要传送到模块。或者,多个任务计划可存储于每个模块上且可如所需或期望股经激活以维持网络的安全。例如,如果网络管理员确定或怀疑敌手已发现网络的当前任务计划,那么管理员可希望改变任务计划。有效安全程序还可规定周期性地改变任务计划。
通过模型化网络100,可开始建立任务计划的过程。通过在网络命令中心处的计算机或服务器上执行的网络控制软件应用程序(NCSA)而促进模型的建立。例如,在图1中所示的实施例中,NCSA可在NAC104上执行。网络模型优选包含定义网络100中所包含的各种计算装置之间的数据连接及/或关系的信息。NCSA将提供促进键入此关系数据的适当接口。根据一个实施例,NCSA可促进将数据键入可用于定义任务计划的表中。然而,在优选实施例中,使用图形用户接口以促进此过程。现参考图3,NCSA可包含网络拓朴模型产生器工具。所述工具用于帮助网络管理员定义网络的各种组件中的每一者之间的关系。网络拓朴工具提供其中管理员可通过使用光标304拖曳及置放网络组件302的工作空间300。网络管理员还可建立各种网络组件302之间的数据连接306。作为此模型化过程的部分,网络管理员可提供各种网络组件(包含模块105到107、113、114)的网络地址信息。
一旦已模型化所述网络,便可通过网络管理员保存及使用所述网络以定义各种模块105到107、113、114表现及彼此互动的方式。现参考图4,NCSA可产生对话框400,对话框400可用于进一步开发任务计划。可使用下拉式菜单432来选择对话框400中的设定将应用到的特定模块(例如,模块105)。或者,网络管理员可使用下拉式菜单432来指示对话框400中的设定希望应用于网络内的所有模块(例如,通过选择菜单432中的“全部”)。可通过指定是否在每个模块中将始终修改身份参数的固定集合,或是否应动态地变更被操纵的所述身份参数集而继续所述过程。如果希望动态地变更在模块中待操纵的身份参数的选择或集合,那么网络管理员可标记复选框401以指示所述偏好。如果复选框401未经标记,那么将指示将要变更的所述身份参数集为不随时间变更的固定集合。
对话框400包含标签402、404、406,所述标签允许用户选择其想要运作的特定身份参数以建立任务计划。出于本发明的目的,对话框400促进仅三个身份参数的动态变更。具体来说,这些标签包含IP地址、MAC地址及端口地址。可通过提供额外标签动态地变更更多或更少身份参数,但是所述的三个身份参数足以解释本发明的概念。在图4中,用户已选择标签402以与IP地址类型的身份参数运作。在标签402内,提供多种用户接口控件408到420以指定与所选定模块内的IP地址的动态变更有关的细节。可提供更多或更少控件以促进IP地址类型的动态操纵,且仅提供所示的控件以帮助读者了解概念。在所示的实例中,网络管理员可通过(例如,用指向装置,例如鼠标)选择标记为启用IP地址跳跃的复选框408而启用IP地址的动态变更。类似地,网络管理员可指示是否将改变来源地址、目的地地址或两者。在此实例中,标记来源地址框及目的地地址框410、412两者,从而指示将改变两种类型的地址。来源地址及目的地地址的允许值的范围可由管理员在列表框422、424中指定。
通过选择伪随机过程而指定用于选择假IP地址值的特定伪随机过程。在框414、415中指定此选择。不同伪随机过程对于真随机性的可变程度可具有不同水平的复杂性,且管理员可选择最适合网络100的需求的过程。
对话框400还允许网络管理员设定待用于IP地址身份参数的动态变更的触发类型。在此实例中,用户已选择框416,从而指示将使用基于时间的触发以确定何时转变为新的假IP地址值。此外,已选择复选框418以指示基于时间的触发将以周期性为基础而发生。可由用户调整滑轴420以确定周期性基于时间的触发的频率。在所示的实例中,触发频率可经调整而介于每小时发生6次触发(每10分钟触发)与每小时发生120次触发(每30秒触发)之间。在此实例中,选择还可用于其它类型的触发。例如,对话框402包含复选框428、430,网络管理员可通过复选框428、430而选择基于事件的触发。可选择若干不同特定事件类型以形成此类基于事件的触发的基础(例如,事件类型1、事件类型2等等)。这些事件类型可包含各种潜在计算机网络安全威胁的检测。在图4中,标签404及406类似于标签402,但是其中的控件是针对MAC地址及端口值(而非IP地址)的动态变更而定制。可提供额外标签以控制其它类型的身份参数的动态变更。
任务计划还可指定用于动态地变更修改身份参数的位置的计划。在一些实施例中,通过控制定义每个模块何时处于作用中状态或旁通状态的序列而促进此可变位置特征。因此,任务计划有利地包含指定此序列的一些构件。在本发明的一些实施例中,这可涉及使用通过触发事件的发生而分离的经定义时间间隔或时隙。
现在参考图5,可由NCSA提供对话框500以促进位置序列及时序信息的协调及键入。对话框500可包含控件502,控件502用于选择待包含在时间纪元506内的许多时隙5041到504n。在所说明的实例中,网络管理员已定义每时序纪元4个时隙。对话框500还可包含表503,表503包含网络100中的所有模块。对于列出的每个模块,所述表包含对于一个时序纪元506的可用时隙5041到5044的图形表示。回顾对操纵身份参数的位置的动态控制由每个模块是否处于作用中或旁通操作状态而确定。因此,在图形用户接口内,用户可移动光标508且进行选择以指定特定模块在每个时隙期间是否处于作用中或旁通模式。在所示的实例中,模块105在时隙5041及5043期间处于作用中,但在时隙5042、5044期间处于旁通模式。相反地,模块113在时隙5042、5044期间处于作用中,但在时隙5041及5043期间处于旁通模式。参考图1,此表示身份参数的操纵在时隙5041及5043期间发生在与模块105相关联的位置处,但在时隙5042、5044期间代替性地发生在模块113处。
在图5中所示的实例中,网络管理员已做出选择以使模块114始终以作用中模式操作(即,模块114在所有时隙期间均处于作用中)。因此,对于从客户端计算机101发射到客户端计算机103的数据通信,在模块105、113中将交替操纵数据包,但是在模块114处将始终操纵数据包。最后,在此实例中,网络管理员已做出选择以在时隙5041到5044期间将模块106及107维持于旁通模式中。因此,在任何所定义的时隙期间,在这些模块处将不执行身份参数的操纵。一旦已在对话框500中定义模块时序,网络管理员便可选择按钮510以存储改变作为经更新任务计划的部分。任务计划可以各种格式保存。在一些实施例中,任务计划可保存为简单表或可由每个模块使用以控制模块的行为的其它类型的经定义数据结构。
任务计划的分布及加载
现将更详细描述如本文中所揭示的任务计划的分布及加载。再次参考图1,可观察到模块105到107、113、114贯穿网络100而分布于一或多个位置。所述模块集成到通信路径内以在此类位置处拦截通信,执行必要操纵,且将数据转发到所述网络内的其它计算装置。运用前述布置,本文中所述的模块的任何必要维护(例如,用以更新任务计划的维护)将具有在替换或重新编程模块时中断网络通信的可能。此类中断在网络服务的可靠性及可用性为至关重要的许多情形中是非所要的。例如,对于军用、急救用及商用的计算机网络,不中断的网络操作可为至关重要的。
为确保不中断的网络操作,每个模块优选具有若干操作状态。这些操作状态包含:(1)关闭状态,其中模块经断电且不处理任何包;(2)初始化状态,其中模块根据任务计划安装软件脚本;(3)作用中状态,其中根据当前任务计划处理数据;及(4)旁通状态,其中包可流动通过模块如同所述模块并不存在一样。所述模块经配置使得,当其处于作用中状态或旁通状态时,所述模块可接收及加载由网络管理员提供的经更新任务计划。模块操作状态可由网络管理员借助于例如在NAC104上执行的NCSA而手动控制。例如,用户可通过使用图形用户接口控制面板而选择各种模块的操作状态。用于控制网络的操作状态的命令经由网络100传送,或可通过任何其它适宜方式传送。例如,出于所述目的可使用单独有线或无线网络(未图示)。
所述任务计划可直接加载于每个模块的物理位置,或其可从NCSA传送到所述模块。此概念说明于图6中,其展示任务计划604经由通信媒体606从NCSA602传送到每个模块105到107、113、114。在所示的实例中,NCSA软件应用程序在由网络管理员操作的NAC104上执行。在一些实施例中,通信媒体可包含使用计算机网络100的带内信令。或者,可将带外网络(例如,单独无线网络)用作为通信媒体606以将经更新的任务计划从NCSA传送到每个模块。如图7中所示,NCSA可提供对话框700以促进选择若干任务计划702中的一者。这些任务计划702中的每一者可存储于NAC104上。网络管理员可从若干任务计划702中的一者选择,此后其可激活发送任务计划按钮704。或者,多个任务计划可传送到每个模块且存储于每个模块处。在任一情境中,用户可选择激活所定义的任务计划中的一者。
响应于发送任务计划的命令,在模块处于作用中状态(其中所述模块经配置以主动执行如本文中所述的身份参数的动态修改)时将所选定的任务计划传送到所述模块。此布置最小化网络在明文中且未操纵身份参数的情况下操作的时间。然而,在模块处于旁通模式时也可将经更新的任务计划传送到所述模块,且此途径在某些情况中可能为合意的。
一旦任务计划由模块接收,所述任务计划便自动存储于所述模块内的存储器位置中。此后,可使得所述模块进入旁通状态,且在仍处于所述状态时,所述模块可加载与新任务计划相关联的数据。进入旁通状态及加载新任务计划数据的此过程可响应于接收任务计划而自动发生,或可响应于来自由网络管理员控制的NCSA软件的命令而发生。新任务计划优选包含变更身份参数值的方式的改变。一旦已加载新任务计划,模块105到107、113及114便可以同步化方式从旁通模式转变为作用中模式,以确保不发生数据通信错误。任务计划可指定模块返回到作用中模式的时间,或网络管理员可使用NCSA以将命令传送到各种模块,从而引导所述模块进入作用中模式中。更新任务计划的前述过程有利地允许在不中断附接到计算机网络100的各种计算装置之间的通信的情况下发生网络安全程序的改变。
每个模块105、106、107、113及114处的各种身份参数的动态操纵优选由在每个模块105到107、113、114上执行的应用程序软件控制。然而,应用程序软件的行为有利地由任务计划控制。
现参考图8,提供概述每个模块105到107、113、114的操作的流程图。为避免混淆,关于单向通信描述过程。例如,在模块105的情况中,单向可涉及数据从客户端计算机101发射到集线器108。然而,实际上,优选的是模块105到107、113、114双向操作。当模块通电时,过程开始于步骤802且继续到步骤804(其中初始化模块应用程序软件以执行本文中所述的方法)。在步骤806中,从所述模块内的存储器位置加载任务计划。此时,模块准备开始处理数据且在步骤808继续处理数据,其中所述模块从其输入数据缓冲器存取数据包。在步骤810中,模块检查以确定其是否处于旁通操作模式中。如果是,那么在步骤812中在无任何数据包修改的情况下重新发射在步骤808中存取的数据包。如果模块并未处于旁通模式中,那么其必然处于其作用中操作模式,且继续到步骤814。在步骤814中,模块读取数据包以确定数据包所源自的来源节点的身份。在步骤816中,模块检验所述包以确定所述来源节点是否有效。可比较指定的来源节点与有效节点的列表以确定所述指定的来源节点当前是否有效。如果指定的来源节点并非有效节点,那么在步骤818中舍弃所述包。在步骤820中,所述过程检查以确定是否发生触发事件。触发事件的发生将影响待使用的假身份值的选择。因此,在步骤822中,模块基于触发信息、时钟时间及任务计划中的一或多者而确定待使用的假身份值。接着,模块继续到步骤826,其中所述模块操纵数据包的身份参数。一旦完成操纵,便将数据包从所述模块的输出端口重新发射到邻近节点。在步骤830中,做出关于是否已命令所述模块断电的确定。如果是,那么所述过程在步骤832结束。在步骤808,所述过程继续且从模块的输入数据缓冲器存取下一数据包。
现参考图9,提供概述本文中所述的用于管理动态计算机网络的方法的流程图。过程始于步骤902且继续到步骤904,其中建立网络模型(例如,如关于图3所示及所述)。在步骤906中,做出关于是否将要建立新任务计划的确定。如果是,那么在步骤908中建立新任务计划且过程继续到步骤910,其中选择新任务计划。或者,如果在步骤906中已建立所要任务计划,那么所述方法可直接继续到步骤910,其中选择现有任务计划。在步骤912中,将任务计划传送到模块(例如,模块105到107、113、114),其中所述任务计划存储于存储器位置中。当网络管理员准备实施新任务模型时,在步骤914中发送导致模块进入如本文中所述的备用模式的命令。当模块处于此备用模式时,在步骤916加载任务计划。任务计划的加载发生于每个模块处,使得任务计划可用于控制在所述模块上执行的应用程序软件的操作。特定来说,任务计划用于控制应用程序软件执行身份参数的动态操纵的方式。在步骤918中,再次使得任务模块进入作用中操作模式,其中每个任务模块根据任务计划而执行身份参数的操纵。步骤914、916及918可响应于从网络管理员发送的特定命令而发生,或可响应于在步骤912中接收到任务计划而在每个模块处自动发生。在步骤918之后,模块继续根据已加载的任务计划而执行处理。在步骤920中,通过检查以确定用户是否已指示期望改变任务计划而继续过程;如果是,那么过程返回到步骤906,其中过程如上文所述股继续。如果不存在用户或网络管理员希望改变现有任务计划的指示,那么过程在步骤922中确定是否已指示终止过程。如果是,那么过程在步骤924中终止。如果未接收到终止指令,那么过程返回到步骤920且继续。
现参考图10,提供展示可用于执行本文中所述的身份参数的操纵的示范性模块1000的计算机架构的框图。模块1000包含处理器1012(例如中央处理单元(CPU))、主存储器1020及静态存储器1018,其经由总线1022彼此通信。计算机系统1000可进一步包含显示单元1002(例如液晶显示器或LCD)以指示模块的状态。模块1000还可包含允许模块在两个单独数据线上同时接收及发射数据的一或多个网络接口装置1016、1017。两个网络接口端口促进图1中所示的布置,其中每个模块经配置以同时拦截及重新发射从网络上的两个单独计算装置接收的数据包。
主存储器1020包含其上存储一或多组指令1008(例如,软件代码)的计算机可读存储媒体1010,指令1008经配置以实施本文中所述的方法论、程序或功能中的一或多者。指令1008还可在其由模块执行期间完全或至少部分驻留于静态存储器1018内及/或处理器1012内。静态存储器1018及处理器1012还可构成机器可读媒体。在本发明的各种实施例中,连接到网络环境的网络接口装置1016使用指令1008而经由网络通信。
现参考图11,展示根据本发明布置的示范性网络管理计算机(NAC)114。NAC可包括各种类型的计算系统及装置,包含服务器计算机、客户端用户计算机、个人计算机(PC)、平板计算机PC、膝上型计算机、桌上型计算机、控制系统或能够执行指定待由所述装置采取的动作的(按顺序或以其它方式)旨令集的任何其它装置。此外,虽然图11中说明单个计算机,但是应了解词组“NAC”包含个别或共同执行一组(或多组)旨令以执行本文中论述的任何一或多个方法论的计算装置的任何集合。
现参考图11,NAC104包含处理器1112(例如中央处理单元(CPU))、磁盘驱动器单元1106、主存储器1120及静态存储器1118,其经由总线1122而彼此通信。NAC104可进一步包含显示单元1102,例如视频显示器(例如,液晶显示器或LCD)、平板、固态显示器或阴极射线管(CRT)。NAC104可包含用户输入装置1104(例如,键盘)、光标控制装置1114(例如,鼠标)及网络接口装置1116。
磁盘驱动器单元1106包含其上存储一或多组指令1108(例如,软件代码)的计算机可读存储媒体1110,指令1108经配置以实施本文中所述的方法论、程序或功能中的一或多者。指令1108还可在其执行期间完全或至少部分驻留于主存储器1120、静态存储器1118内及/或处理器1112内。主存储器1120及处理器1112还可构成机器可读媒体。
所属领域的技术人员应了解,图10中说明的模块架构和图11中的NAC架构各自表示可分别用以执行本文中所述的方法的计算装置的仅一个可能实例。然而,本发明在此方面不受限制且在无限制的情况下还可使用任何其它适宜计算装置架构。专用硬件实施方案包含(但不限于)专用集成电路、可编程逻辑阵列,且其它硬件装置可同样经建构以实施本文中所述的方法。可包含各种实施例的设备及系统的应用广泛包含多种电子及计算机系统。一些实施例可实施两个或两个以上特定互连的硬件装置(其中在模块之间及通过模块传送相关控制及数据信号)中或作为专用集成电路的部分的功能。因此,示范性系统可应用于软件、固件及硬件实施方案。
根据本发明的各种实施例,本文中所述的方法存储为计算机可读存储媒体中的软件程序,且经配置以在计算机处理器上运行。此外,软件实施方案可包含(但不限于)分布式处理、组件/对象分布式处理、并行处理、虚拟机处理,其也可经建构以实施本文中所述的方法。
虽然在图10及11中将计算机可读存储媒体1010、1110展示为单个存储媒体,但是术语“计算机可读存储媒体”应视为包含存储一或多个指令集的单个媒体或多个媒体(例如,集中式或分布式数据库及/或相关联的高速缓冲存储器及服务器)。术语“计算机可读存储媒体”还应视为包含能够存储、编码或载送指令集以由机器执行且导致机器执行本发明的任何一或多个方法论的任何媒体。
因此,术语“计算机可读媒体”应视为包含(但不限于)固态存储器,例如存储器卡或容置一或多个只读(非易失性)存储器、随机存取存储器或其它可重写(易失性)存储器的其它封装;磁光或光学媒体,例如磁盘或磁带。因此,本发明被视为包含本文中列出的任何一或多个计算机可读媒体,且包含公认等效物及后继媒体(其中存储本文中的软件实施方案)。
与动态网络外部的计算装置的通信
虽然本文中所述的用于身份参数的动态操纵的方法可在网络100内良好地运作,但是所述方法确实存在关于与网络100外部的计算机通信的一些问题。例如,网络100外部的计算机将不知道在运作中的用于操纵身份参数的动态过程。因此,如果未采取适当动作,那么可能中断与网络100外部的计算机的通信。因此,网络100有利地包含至少一个桥接器115,桥接器115经布置以处理进入或离开网络100的通信。所述桥接器确保网络100内的计算装置与网络100外部的计算装置之间的此类通信可在无错误的情况下发生。
桥接器115为将具有类似于如图2中所示的模块的功能框图的功能框图的计算装置。桥接器115还可具有类似于图10中所示的计算机架构的计算机架构。由桥接器115执行的操作类似于由模块105到107、113、114执行的操作。桥接器将从网络100接收数据通信,且将在将此类数据通信重新发射到第二网络124之前根据任务计划而操纵身份参数。在一些实施例中,此类操纵将涉及将假身份参数转换回到真身份参数,其中真身份参数是基于任务计划中含有的信息而确定。在第二网络未动态修改身份参数信息的情况下,此布置是足够的。
在替代实施例中,第二网络124为以类似于网络100的方式操作的动态网络。因而,所述第二网络可具有其自身的任务计划(第二任务计划)。在所述情况中,桥接器将从第一网络接收数据通信中的身份参数,且将具有假值的身份参数的第一集合变换为代替性地具有真值。第二网络124的任务计划可指定完全不同的动态网络。例如,第二网络的任务计划可指定待修改的不同身份参数、不同触发时序等等。因此,桥接器将需要从第一网络接收消息,根据第一网络100的任务计划校正所述第一集合中的假值,且接着根据第二网络的任务计划而动态地修改第二集合中的相同(或不同)身份参数。一旦所述身份参数的第二集合已适当地转换为假值,便将所述数据通信发射到第二网络。
应了解,根据与第一网络相关联的第一任务计划确定第一集合,且根据与第二网络相关联的第二任务计划确定第二集合。类似地,根据第一任务计划确定所述第一集合中所含有的假信息,且根据第二任务计划确定所述第二集合中所含有的假信息。所述身份参数的第一集合相比于所述身份参数的第二集合可为相同或不同的。并且,应了解,第一集合及第二集合可包含所述数据通信中包含的所有或一些身份参数。所述数据通信通常将为含有多个身份参数的包数据通信。所述桥接器还将从第二网络124接收数据通信,且将根据第一网络、第二网络或两者的任务计划而操纵此类数据通信中的身份参数。例如,桥接器可从第二数据网络接收第二数据通信,第二数据通信可包含第二多个身份参数。取决于第二网络是否动态地修改身份参数,所述第二身份参数可或可不指定假信息。如果第二网络未动态地修改身份参数,那么桥接器仅需使用与第一网络相关联的任务计划以动态地变换第二多个身份参数的集合以指定假信息。
如果第二网络确实动态地修改身份参数,那么桥接器将需要使用与第二网络相关联的任务计划以将第二多个身份参数的第一集合(具有假值)转换为真值。此步骤优选在所述桥接器使用与第一网络相关联的任务计划以将第二多个身份参数的第二集合变换为假值之前执行。第一集合及第二集合可相同或不同,且将在每个情况中通过每个网络的任务计划而确定。同样地,经执行以将身份参数转换为假值的变换可相同或不同,且将取决于与每个网络相关联的任务计划。此后,所述桥接器将此类数据通信重新发射到网络100。
在一些实施例中,根据伪随机过程确定网络100、124的假身份参数。在所述情况中,可通过相关联网络的任务计划确定伪随机过程及/或伪随机过程的种子值。同样地,可通过伪随机过程确定将要操纵的身份参数的选择,其中通过与每个网络相关联的任务计划分别确定所述过程及/或此过程的种子值。如上文关于模块所描述,桥接器将根据一或多个触发事件的发生而对假身份参数值及/或将要操纵的身份参数的选择做出改变。不同于模块,桥接器115将需要相对于触发事件而执行此类动作,所述触发事件相对于第一网络及第二网络而发生。
除需要潜在地管理与一个以上任务计划相关联的动态操作以外,桥接器115的操作类似于模块的操作。然而应了解,桥接器115的操作相比于模块105到107、113、114的操作是不同的。例如,不同于模块,执行身份参数操纵的位置在桥接器115的情况中不改变。代替性地,当网络100中的至少一个模块处于作用中模式时,桥接器115将始终处于作用中模式,因为桥接器形成与网络100外部的计算装置的链接。
现参考图12,提供概述桥接器115的操作的流程图。当桥接器通电时,过程开始于步骤1202且继续到步骤1204,其中初始化桥接器应用程序软件以执行本文中所述的方法。在步骤1206中,从所述桥接器内的存储器位置加载一或多个任务计划。如果桥接器连接到未参与身份参数的动态操纵的网络,那么仅需要单个任务计划。然而,如果桥接器连接两个或两个以上网络(其每一者如本文中所述动态地修改身份参数),那么在步骤1206中将加载一个以上任务计划。第一任务计划可定义第一网络的动态操控,且第二任务计划可定义第二网络的动态操控。此时,桥接器准备开始处理数据且在步骤1208中进行处理数据,其中桥接器从其输入数据缓冲器存取数据包。在步骤1210中,桥接器检查以确定其是否处于旁通操作模式中。如果是,那么在步骤1212中在无任何数据包修改的情况下重新发射在步骤1208中存取的数据包。如果桥接器不处于旁通模式,那么其必然处于其作用中操作模式,且继续到步骤1214。
在步骤1214中,桥接器读取数据包以确定数据包所源自的来源节点及目的地节点的身份。在步骤1216中,桥接器检验数据包以确定所述来源节点是否有效。这可通过比较所述数据包中指定的来源节点与有效来源节点的当前列表而完成。如果来源节点信息无效,那么在步骤1218中舍弃所述包。在步骤1220中,过程检查以确定是否已发生触发事件。这是重要步骤,这是因为触发事件的发生可对适当假身份值的计算具有显著影响。如果桥接器正在使用两个或两个以上任务计划,那么此步骤包含确定是否已发生关于任一任务计划的触发事件。注意,每个任务计划可涉及不同触发事件。
所接收数据的来源及目的地地址信息是重要的,这是因为需要允许桥接器确定如何适当地操纵数据通信内所含有的身份参数。一旦已确定此信息,接着桥接器便继续到步骤1222,其中桥接器确定假身份参数的选择/值。接着,过程继续到步骤1226,在所述步骤处桥接器根据一或多个任务计划而操纵数据包的身份参数。一旦完成操纵,在1228处将数据包从桥接器的输出端口重新发射到邻近节点。在步骤1230中,做出关于是否已命令桥接器断电的确定。如果是,那么过程在步骤1232结束;否则,过程返回到1208。在步骤1208中,过程继续且从桥接器的输入数据缓冲器存取下一数据包。如上文所解释,在步骤1216处执行的操纵的类型将取决于数据通信的来源及目的地,及是否存在一个或一个以上正动态操控的网络。
可变更的身份参数的类型
现参考图13,提供可由模块105到107、113、114及/或由桥接器115操纵的一些身份参数的列表。图13中列出的参数中的每一者包含于数据通信中,所述数据通信包含于使用TCP/IP通信协议的网络中。图13中列出的大多数信息类型为所属领域的技术人员所众所周知的。然而,在本文中提供每个信息类型及其作为身份参数的使用的简单描述。还提供每个身份参数可被操纵的方式的简要论述。
IP地址。IP地址为指派到参与计算机网络的每个计算装置的数字识别符,其中所述网络使用众所周知的因特网协议进行通信。IP地址可为32位或128位数字。出于本发明的目的,IP地址数字可改变为随机选择的假值(例如,使用伪随机数字产生器)。或者,可从假值的预定列表(例如,由任务计划指定的列表)随机选择假IP地址值。来源及目的地IP地址包含于数据包的TCP标头部分中。因此,这些值的操纵通过使用包操纵技术仅改变IP标头信息而执行。当包到达第二模块(可操纵其位置)时,将假IP地址值变换回到其真值。第二模块使用相同伪随机过程(或其逆过程)以基于假值而导出真IP地址值。
MAC地址。MAC地址为由制造商指派到网络接口装置且存储于板载ROM中的唯一值。出于本发明的目的,来源及/或目的地MAC地址可改变为随机选择的假值(例如,使用伪随机数字产生器)。或者,可从假值的预定列表(例如,由任务计划指定的列表)随机选择假MAC值。来源及目的地MAC地址包含于数据包的IP标头部分中。因此,这些值的操纵是通过仅改变每个包的以太网标头信息而执行。当包到达第二模块(可操纵其位置)时,将假MAC地址值变换回到其真值。接收包的模块将使用相同伪随机过程(或其逆过程)以基于假值而导出真MAC地址值。
网络/子网。在一些实施例中,IP地址可被视作单个身份参数。然而,IP地址通常定义为包含至少两个部分,所述部分包含网络前缀部分及主机号码部分。网络前缀部分识别数据包待传送到的网络。主机号码识别局域网(LAN)内的特定节点。子网络(有时称为子网)为IP网络的逻辑部分。在网络被划分为两个或两个以上子网的情况下,IP地址的主机号码区段的一部分用于指定子网号码。出于本发明的目的,可将网络前缀、子网号码及主机号码中的每一者视作单独身份参数。因此,这些身份参数中的每一者可以伪随机方式独立于其它者而单独操纵。此外,应了解,数据包将包含来源IP地址及目的地IP地址。因此,可在来源IP地址及/或目的地IP地址中操纵网络前缀、子网号码及主机号码,从而可以伪随机方式操纵总共六个不同可变身份参数。接收包的模块将使用与发源节点相同的伪随机过程(或此过程的逆过程)以基于假值导出真网络/子网信息值。
TCP序列。在TCP会话的相对侧上彼此通信的两个客户端计算机各自将维持TCP序列号码。所述序列号码允许每个计算机追踪其已传送多少数据。TCP序列号码包含于在会话期间传送的每个包的TCP标头部分中。在TCP会话起始时,随机选择初始序列号码值。出于本发明的目的,TCP序列号码可根据伪随机过程而操纵为身份参数。例如,TCP序列号码可改变为随机选择的假值(例如,使用伪随机数字产生器)。当在网络的不同模块(将动态地变更其位置)处接收包时,TCP序列号码可使用伪随机过程的逆过程而从假值变换回到真值。
端口号码。TCP/IP端口号码包含于数据包的TCP或UDP标头部分中。如TCP/IP通信协议中使用的端口在此项技术中是众所周知的,且因此在本文中将不详细描述。端口信息包含于数据包的TCP标头部分内。因此,端口信息的操纵是通过仅修改TCP标头信息以将真端口值改变为假端口值而完成。如同本文中论述的其它身份参数,可在第一模块处根据伪随机过程将端口号码信息操纵或变换为假值。随后,可在第二模块处使用伪随机过程的逆过程将端口信息从假值变换为真值。
虽然已关于一或多个实施方案说明及描述本发明,但是所属领域的技术人员在阅读及了解本说明书及所述附图之后将想起等效变更及修改。此外,虽然可能已关于若干实施方案中的仅一者揭示本发明的特定特征,但是如对于任何给定或特定应用可期望及有利,此特征可与其它实施方案的一或多个其它特征组合。因此,本发明的广度及范围不应受限于任何上述实施例。而是,本发明的范围应根据所附权利要求书及其等效物加以界定。
Claims (10)
1.一种用于将数据从包含于第一计算机网络中的第一计算装置传送到包含于第二计算机网络中的第二计算装置的方法,其包括:
在所述第一计算机网络上发射数据通信,所述数据通信包含第一多个身份参数,所述第一多个身份参数指定与所述第一及第二计算装置中的至少一者相关联的真值;
在所述第一计算机网络中的第一位置处动态地修改所述第一多个身份参数的第一集合,以在将所述数据通信重新发射到桥接器位置之前变换所述第一集合以指定假信息;
在所述计算机网络中的所述桥接器位置处动态地修改所述第一集合,以变换所述第一集合以指定真信息;
在所述桥接器位置处变换所述第一集合以指定真信息之后,将所述数据通信从所述桥接器位置发射到所述第二计算机网络;及
动态地变更所述计算机网络内的所述第一位置的定位。
2.根据权利要求1所述的方法,其中所述第二计算机网络未动态地修改身份参数,且所述数据通信从所述桥接器发射到所述第二网络,其中所有所述第一多个身份参数含有真信息。
3.根据权利要求1所述的方法,其中所述第二计算机网络动态地修改身份参数,且所述方法进一步包括在所述桥接器位置处动态地修改所述多个身份参数的第二集合,以变换所述第二集合以指定假信息。
4.根据权利要求3所述的方法,其中所述第一集合根据第一任务计划确定,且所述第二集合根据第二任务计划确定。
5.根据权利要求4所述的方法,其中所述第一集合中含有的所述假信息根据所述第一任务计划确定,且所述第二集合中含有的所述假信息根据所述第二任务计划确定。
6.根据权利要求4所述的方法,其中所述第一集合与所述第二集合不同。
7.根据权利要求1所述的方法,其进一步包括:
在所述桥接器位置处从所述第二计算机网络的所述第二计算装置接收第二数据通信,所述第二数据通信含有与所述第一及第二计算装置中的至少一者相关联的第二多个身份参数;
在所述桥接器位置处动态地修改所述第二多个身份参数的第一集合,以变换所述第二多个身份参数的所述第一集合以指定假信息;及
在变换所述第二多个身份参数的所述第一集合以指定假信息之后,将所述数据通信从所述桥接器位置发射到所述第一计算机网络。
8.根据权利要求1所述的方法,其进一步包括响应于至少一个触发事件而变更所述第一位置的所述定位。
9.根据权利要求8所述的方法,其进一步包括基于用户命令、时序间隔及潜在网络安全威胁的检测中的至少一者而确定所述触发事件的发生。
10.一种用于在包含于第一计算机网络中的第一计算装置与包含于第二计算机网络中的第二计算装置之间传送数据的桥接器,其中所述数据包含用于传达关于所述第一计算装置及所述第二计算装置中的至少一者的信息的多个身份参数值,所述桥接器包括:
至少一个计算机处理装置,其经配置以:
选择性地执行第一变换,其中从所述第一计算装置到所述第二计算装置的第一数据通信中的身份参数值的第一集合从假值变换为真值;
配合所述第一计算机网络中的多个模块而动态地确定所述第一变换的至少一个特性。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/369,442 | 2012-02-09 | ||
US13/369,442 US8898795B2 (en) | 2012-02-09 | 2012-02-09 | Bridge for communicating with a dynamic computer network |
PCT/US2013/023706 WO2013119429A1 (en) | 2012-02-09 | 2013-01-30 | Bridge for communicating with a dynamic computer network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104106250A true CN104106250A (zh) | 2014-10-15 |
CN104106250B CN104106250B (zh) | 2016-06-29 |
Family
ID=47679110
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380008826.6A Expired - Fee Related CN104106250B (zh) | 2012-02-09 | 2013-01-30 | 用于与动态计算机网络进行通信的方法及桥接器 |
Country Status (7)
Country | Link |
---|---|
US (1) | US8898795B2 (zh) |
EP (1) | EP2813050B1 (zh) |
KR (1) | KR101547080B1 (zh) |
CN (1) | CN104106250B (zh) |
CA (1) | CA2861014C (zh) |
TW (1) | TWI479357B (zh) |
WO (1) | WO2013119429A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10397196B2 (en) * | 2017-02-28 | 2019-08-27 | Cyber 2.0 (2015) Ltd. | Port-scrambling-based networks |
US10554683B1 (en) * | 2016-05-19 | 2020-02-04 | Board Of Trustees Of The University Of Alabama, For And On Behalf Of The University Of Alabama In Huntsville | Systems and methods for preventing remote attacks against transportation systems |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020161884A1 (en) * | 1998-10-30 | 2002-10-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
US6646989B1 (en) * | 1998-06-29 | 2003-11-11 | Lucent Technologies Inc. | Hop-by-hop routing with node-dependent topology information |
US7043633B1 (en) * | 2000-08-28 | 2006-05-09 | Verizon Corporation Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation |
US20100274923A1 (en) * | 2000-06-14 | 2010-10-28 | Verizon Corporate Services Group Inc. | Method and apparatus for dynamic mapping |
US20110277032A1 (en) * | 2010-05-07 | 2011-11-10 | Raytheon Company | Time-Key Hopping |
Family Cites Families (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5734649A (en) | 1996-05-31 | 1998-03-31 | Bbn Corporation | Data packet router |
US6052064A (en) | 1997-10-30 | 2000-04-18 | Motorola, Inc. | Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones |
DE69943057D1 (de) | 1998-10-30 | 2011-02-03 | Virnetx Inc | Netzwerkprotokoll zur geschützten kommunikation |
US6839759B2 (en) | 1998-10-30 | 2005-01-04 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information |
US7240368B1 (en) | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
US6981146B1 (en) | 1999-05-17 | 2005-12-27 | Invicta Networks, Inc. | Method of communications and communication network intrusion protection methods and intrusion attempt detection system |
US6934763B2 (en) * | 2000-04-04 | 2005-08-23 | Fujitsu Limited | Communication data relay system and method of controlling connectability between domains |
CA2409231A1 (en) | 2000-05-23 | 2001-11-29 | Invicta Networks, Inc. | Systems and methods for communication protection |
US8677505B2 (en) * | 2000-11-13 | 2014-03-18 | Digital Doors, Inc. | Security system with extraction, reconstruction and secure recovery and storage of data |
US7739497B1 (en) * | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
FI110464B (fi) * | 2001-04-26 | 2003-01-31 | Nokia Corp | IP-tietoturva ja liikkuvat verkkoyhteydet |
US7085267B2 (en) * | 2001-04-27 | 2006-08-01 | International Business Machines Corporation | Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet |
US6917974B1 (en) | 2002-01-03 | 2005-07-12 | The United States Of America As Represented By The Secretary Of The Air Force | Method and apparatus for preventing network traffic analysis |
US7114005B2 (en) | 2002-02-05 | 2006-09-26 | Cisco Technology, Inc. | Address hopping of packet-based communications |
US7712130B2 (en) | 2002-03-22 | 2010-05-04 | Masking Networks, Inc. | Multiconfigurable device masking shunt and method of use |
JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
US7216359B2 (en) | 2002-12-19 | 2007-05-08 | International Business Machines Corporation | Secure communication overlay using IP address hopping |
WO2004097584A2 (en) | 2003-04-28 | 2004-11-11 | P.G.I. Solutions Llc | Method and system for remote network security management |
US7469279B1 (en) | 2003-08-05 | 2008-12-23 | Cisco Technology, Inc. | Automatic re-provisioning of network elements to adapt to failures |
US20050038708A1 (en) | 2003-08-10 | 2005-02-17 | Gmorpher Incorporated | Consuming Web Services on Demand |
WO2005029782A1 (ja) * | 2003-09-22 | 2005-03-31 | Sharp Kabushiki Kaisha | 集線装置、中継制御方法、中継制御プログラム、中継制御プログラムを記録した記録媒体、情報処理装置、dhcpサーバ、dhcp処理方法、dhcp処理プログラム、dhcp処理プログラムを記録した記録媒体、および情報処理システム |
US7382778B2 (en) | 2004-01-05 | 2008-06-03 | Tropos Networks, Inc. | Link layer emulation |
US7787476B2 (en) * | 2004-03-03 | 2010-08-31 | Mitsubishi Electric Corporation | Layer 2 switch network system |
US20060031394A1 (en) | 2004-04-20 | 2006-02-09 | Tazuma Stanley K | Apparatus and methods for transparent handling of browser proxy configurations in a network gateway device |
DE602005023512D1 (de) * | 2004-09-30 | 2010-10-21 | France Telecom | Verfahren und system zum routen in kommunikationsnetzen zwischen einem ersten knoten und einem zweiten knoten |
US9383750B2 (en) | 2004-12-02 | 2016-07-05 | Lockheed Martin Corporation | System for predictively managing communication attributes of unmanned vehicles |
US7984163B2 (en) | 2005-01-13 | 2011-07-19 | Flash Networks, Inc. | Method and system for optimizing DNS queries |
US7996894B1 (en) * | 2005-02-15 | 2011-08-09 | Sonicwall, Inc. | MAC address modification of otherwise locally bridged client devices to provide security |
US7937756B2 (en) | 2005-08-19 | 2011-05-03 | Cpacket Networks, Inc. | Apparatus and method for facilitating network security |
JP4626811B2 (ja) | 2005-09-29 | 2011-02-09 | 日本電気株式会社 | ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム |
US8199677B1 (en) * | 2005-12-14 | 2012-06-12 | Rockwell Collins, Inc. | Distance vector routing via multi-point relays |
US7890612B2 (en) | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
JP4732257B2 (ja) * | 2006-07-07 | 2011-07-27 | 富士通株式会社 | 中継装置、経路制御方法、及び経路制御プログラム |
US8136162B2 (en) | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
US8189460B2 (en) | 2006-12-28 | 2012-05-29 | Cisco Technology, Inc. | Method and system for providing congestion management within a virtual talk group |
JP2008177714A (ja) | 2007-01-17 | 2008-07-31 | Alaxala Networks Corp | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 |
US7853998B2 (en) | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
US7853680B2 (en) | 2007-03-23 | 2010-12-14 | Phatak Dhananjay S | Spread identity communications architecture |
US8464334B1 (en) | 2007-04-18 | 2013-06-11 | Tara Chand Singhal | Systems and methods for computer network defense II |
US8301789B2 (en) | 2007-06-18 | 2012-10-30 | Emc Corporation | Techniques for port hopping |
US7836354B2 (en) | 2007-07-02 | 2010-11-16 | Verizon Patent And Licensing Inc. | Method and system for providing automatic disabling of network debugging |
US20090059788A1 (en) | 2007-08-29 | 2009-03-05 | Motorola, Inc. | Method and Apparatus for Dynamic Adaptation of Network Transport |
US7895348B2 (en) | 2007-10-17 | 2011-02-22 | Dispersive Networks Inc. | Virtual dispersive routing |
US8560634B2 (en) | 2007-10-17 | 2013-10-15 | Dispersive Networks, Inc. | Apparatus, systems and methods utilizing dispersive networking |
US8539098B2 (en) | 2007-10-17 | 2013-09-17 | Dispersive Networks, Inc. | Multiplexed client server (MCS) communications and systems |
US20090165116A1 (en) | 2007-12-20 | 2009-06-25 | Morris Robert P | Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity |
CN101521569B (zh) * | 2008-02-28 | 2013-04-24 | 华为技术有限公司 | 实现服务访问的方法、设备及系统 |
US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
US9042549B2 (en) | 2009-03-30 | 2015-05-26 | Qualcomm Incorporated | Apparatus and method for address privacy protection in receiver oriented channels |
US8139504B2 (en) * | 2009-04-07 | 2012-03-20 | Raytheon Bbn Technologies Corp. | System, device, and method for unifying differently-routed networks using virtual topology representations |
US8553849B2 (en) | 2009-06-17 | 2013-10-08 | Avaya Inc. | Personal identification and interactive device for internet-based text and video communication services |
US20100333188A1 (en) | 2009-06-29 | 2010-12-30 | Politowicz Timothy J | Method for protecting networks against hostile attack |
US9225656B2 (en) | 2011-02-07 | 2015-12-29 | Brocade Communications Systems, Inc. | Quality of service in a heterogeneous network |
US9202078B2 (en) * | 2011-05-27 | 2015-12-01 | International Business Machines Corporation | Data perturbation and anonymization using one way hash |
US8495738B2 (en) | 2011-10-21 | 2013-07-23 | Lockheed Martin Corporation | Stealth network node |
-
2012
- 2012-02-09 US US13/369,442 patent/US8898795B2/en active Active
-
2013
- 2013-01-30 CA CA2861014A patent/CA2861014C/en active Active
- 2013-01-30 KR KR1020147022812A patent/KR101547080B1/ko active IP Right Grant
- 2013-01-30 EP EP13703290.0A patent/EP2813050B1/en active Active
- 2013-01-30 CN CN201380008826.6A patent/CN104106250B/zh not_active Expired - Fee Related
- 2013-01-30 WO PCT/US2013/023706 patent/WO2013119429A1/en active Application Filing
- 2013-02-07 TW TW102104973A patent/TWI479357B/zh not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6646989B1 (en) * | 1998-06-29 | 2003-11-11 | Lucent Technologies Inc. | Hop-by-hop routing with node-dependent topology information |
US20020161884A1 (en) * | 1998-10-30 | 2002-10-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
US20100274923A1 (en) * | 2000-06-14 | 2010-10-28 | Verizon Corporate Services Group Inc. | Method and apparatus for dynamic mapping |
US7043633B1 (en) * | 2000-08-28 | 2006-05-09 | Verizon Corporation Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation |
US20110277032A1 (en) * | 2010-05-07 | 2011-11-10 | Raytheon Company | Time-Key Hopping |
Also Published As
Publication number | Publication date |
---|---|
CA2861014C (en) | 2015-09-08 |
EP2813050B1 (en) | 2019-01-02 |
CA2861014A1 (en) | 2013-08-15 |
US20130212687A1 (en) | 2013-08-15 |
US8898795B2 (en) | 2014-11-25 |
KR101547080B1 (ko) | 2015-08-25 |
TW201346626A (zh) | 2013-11-16 |
EP2813050A1 (en) | 2014-12-17 |
KR20140124777A (ko) | 2014-10-27 |
CN104106250B (zh) | 2016-06-29 |
TWI479357B (zh) | 2015-04-01 |
WO2013119429A1 (en) | 2013-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104322028B (zh) | 用于动态地改变网络状态的系统及方法 | |
CN104272700A (zh) | 用于使用影子联网技术来识别、阻断及/或延迟对网络的攻击的系统及方法 | |
CN104322027B (zh) | 用于在动态计算机网络中传达数据的路由器 | |
CN104618321A (zh) | 用于计算机网络的企业任务管理的系统及方法 | |
US9154458B2 (en) | Systems and methods for implementing moving target technology in legacy hardware | |
CN104272701A (zh) | 用于在动态计算机网络中传达数据的交换器 | |
CN104106251B (zh) | 具有可变身份参数的动态计算机网络 | |
TWI496445B (zh) | 動態電腦網路之任務管理 | |
CN104106250A (zh) | 用于与动态计算机网络进行通信的桥接器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: American Florida Patentee after: L3 Hershey Technology Co. Address before: American Florida Patentee before: Harris Corp. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160629 |