CN104106251B - 具有可变身份参数的动态计算机网络 - Google Patents
具有可变身份参数的动态计算机网络 Download PDFInfo
- Publication number
- CN104106251B CN104106251B CN201380008838.9A CN201380008838A CN104106251B CN 104106251 B CN104106251 B CN 104106251B CN 201380008838 A CN201380008838 A CN 201380008838A CN 104106251 B CN104106251 B CN 104106251B
- Authority
- CN
- China
- Prior art keywords
- network
- identification parameters
- module
- task scheduling
- dynamically
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims abstract description 115
- 230000008859 change Effects 0.000 claims abstract description 72
- 238000006243 chemical reaction Methods 0.000 claims abstract description 18
- 238000004364 calculation method Methods 0.000 claims description 45
- 230000004044 response Effects 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 abstract description 69
- 238000004891 communication Methods 0.000 abstract description 58
- 230000006870 function Effects 0.000 description 22
- 230000009471 action Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 101100459815 Arabidopsis thaliana NAC104 gene Proteins 0.000 description 8
- 230000003068 static effect Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 230000009466 transformation Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000006855 networking Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 239000012141 concentrate Substances 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 241000408659 Darpa Species 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000000739 chaotic effect Effects 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009999 orthokinesis Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2539—Hiding addresses; Keeping addresses anonymous
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
用于在计算机网络(100)中传达数据的方法涉及在所述计算机网络中的第一位置(105)处动态地修改多个真值。所述真值正确地表示多个身份参数。将这些真值(120)变换为不正确地表示所述身份参数的假值(122)。随后,在第二位置(106)处修改所述身份参数以将所述假值(122)变换回到所述真值(120)。作为此过程的部分,所述第一及/或第二位置的位置动态地变化。当在所述网络之外通信时,桥接器(115)变换身份参数值。对所述身份参数的动态修改根据任务计划而发生,可在不中断所述网络中的数据通信的情况下修改所述任务计划。
Description
技术领域
发明性布置涉及计算机网络安全,且更特定来说涉及防御计算机网络免受恶意攻击。
背景技术
当前网络基础结构的中心弱点是其静态性质。资产接收永久或很少改变的识别,从而允许对手有几乎无限的时间来探测网络、测绘并利用漏洞。另外,可捕获并归属在这些固定实体之间行进的数据。当前用以网络安全的方法在固定资产周围放置例如防火墙及入侵检测系统的技术,且使用加密来保护在传播中的数据。然而,此传统方法根本上为有缺陷的,因为其为攻击者提供了固定目标。在当今的全球连接的通信基础结构中,静态网络为易受攻击的网络。
美国国防部高级研究计划署(DARPA)信息保障(IA)计划已在动态网络防御的领域中执行了初步研究。依据信息保障计划,已开发出于使正在窥视网络的任何可能对手混淆的目的而动态地重新指派馈送到预先指定网络飞地(enclave)中的因特网协议(IP)地址空间中的技术。此技术称为动态网络地址变换(DYNAT)。在DARPA的标题为“挫败对手智能的动态方法(Dynamic Approaches to Thwart Adversary Intelligence)(2001)”的出版文件中呈现了对DYNAT技术的概述。
发明内容
本发明的实施例涉及一种用于在计算机网络中传达数据的方法。所述方法包含在所述计算机网络上将数据从第一计算装置传达到第二计算装置。所述数据包含与所述第一及第二计算装置中的一者或两者相关联的一或多个身份参数。所述方法以在所述计算机网络中的第一位置处动态地修改多个真值的步骤继续。所述真值正确地表示所述多个身份参数。将这些真值变换为不正确地表示所述身份参数的假值。随后,在所述计算机网络中的第二位置处动态地修改所述数据通信中所含有的所述身份参数。所述第二位置处的修改涉及将所述假值变换回到所述真值。显著地,作为此过程的部分,所述计算机网络内的所述第一及/或第二位置的位置也动态地变化。
根据本发明的另一方面,所述方法可进一步涉及根据任务计划在第一及第二位置处执行对身份参数的动态修改。在此类实施例中,所述方法进一步涉及将所述任务计划改变为第二任务计划(不同于第一任务计划)以便改变在第一及/或第二位置处执行的动态操纵。将所述任务计划改变为第二任务计划的此过程是在不中断网络中的数据通信的情况下执行的。多个任务计划可由用户界定且经存储以使得其可由网络装置存取。因此,用户可视需要或视情况从一个任务计划改变为不同任务计划以维持网络的安全。
本发明还涉及一种用于将数据从第一计算机网络中所包含的第一计算装置传达到第二计算机网络中所包含的第二计算装置的方法。所述方法可通过在所述第一计算机网络上发射数据通信而开始。所述数据通信将包含指定与第一及第二计算装置中的至少一者相关联的真值的第一身份参数群组。此后,过程通过在第一计算机网络中的第一位置处动态地修改第一身份参数群组的第一集而继续。所述动态修改涉及变换所述第一集以指定假信息。此变换是在将数据通信重新发射到桥接器位置之前执行的。在所述桥接器位置处,所述过程通过动态地修改第一集以变换所述第一集从而指定真信息而继续。在于所述桥接器位置处变换所述第一集以指定真信息之后,所述方法通过将所述数据通信从所述桥接器位置发射到所述第二计算机网络而继续。所述方法进一步包含动态地使计算机网络内的第一位置的位置变化。
附图说明
将参考以下图式来描述实施例,其中在所有图中相似编号表示相似物项,且其中:
图1是对于理解本发明有用的计算机网络的实例。
图2是可在本发明中用于执行对身份参数的某些操纵的模块的实例。
图3是对于理解可用于帮助表征图1中的网络的工具有用的图式。
图4是可用于为图1中的模块选择动态设定的图形用户接口的对话框的实例。
图5是可用于选择与图1中的每一模块相关联的作用状态及旁通状态序列的图形用户接口的对话框的实例。
图6是对于理解可将任务计划传达到图1中的网络中的多个模块的方式有用的图式。
图7是可用于选择任务计划并如图6中所展示将任务计划传达到模块的图形用户接口的对话框的实例。
图8是对于理解图1中的模块的操作有用的流程图。
图9是对于理解网络控制软件应用程序(NCSA)相对于创建及加载任务计划的操作有用的流程图。
图10是可用于实施图1中的模块的计算机架构的框图。
图11是可用于实施图1中的网络管理计算机(NAC)的计算机架构的框图。
图12是对于理解图1中的桥接器的操作有用的流程图。
图13是对于理解可修改的身份参数类型中的一些类型有用的表。
具体实施方式
参考附图来描述本发明。所述图未按比例绘制且提供其仅为了图解说明本发明。下文参考用于图解说明的实例性应用来描述本发明的数个方面。应理解,本文陈述众多特定细节、关系及方法以提供对本发明的完全理解。然而,相关领域的技术人员将易于认识到,可在不使用所述特定细节中的一或多者或使用其它方法的情况下实践本发明。在其它例子中,未详细展示众所周知的结构或操作以避免使本发明模糊。本发明并不受所图解说明的动作或事件次序限制,因为一些动作可以不同次序发生及/或与其它动作或事件同时发生。此外,未必需要所有所图解说明的动作或事件来实施根据本发明的方法。
还应了解,本文中所使用的方法是仅出于描述特定实施例的目的且并不意欲限制本发明。如本文中所使用,单数形式“一(a或an)”及“所述”意欲也包含复数形式,除非上下文另外清楚地指示。此外,在详细描述及/或权利要求书中使用术语“包含(including或include)”、“具有(having或has)”、“具有(with)”或其变化形式时,此类术语意欲以类似于术语“包括(comprising)”的方式为包含性的。
此外,除非另有界定,否则本文中所使用的所有术语(包含技术及科学术语)均具有本发明所属领域的技术人员所共知的相同含义。应进一步理解,应将术语(例如常用字典中所界定的那些术语)解释为具有与其在相关技术背景中的含义相一致的含义,而不应以理想化或过分形式化的意义来解释,除非本文中明确如此界定。
身份灵活计算机网络
现在参考图1,其展示包含多个计算装置的示范性网络100的图式。所述计算装置可包含客户端计算机101-103、网络管理计算机(NAC)104、服务器111、112、网络集线器108、109、路由器110及桥接器115。所述客户端计算机可为可需要网络服务的任何类型的计算装置,例如常规平板计算机、笔记本型计算机、膝上型计算机或桌上型计算机。路由器110可为在计算机网络之间转发数据包的常规路由装置。集线器108、109为如此项技术中众所周知的常规集线器装置(例如,以太网集线器)。服务器111、112可提供客户端计算机101-103所利用的各种计算服务。举例来说,服务器111、112可为提供用于由客户端计算机101-103使用的计算机文件的共享存储的位置的文件服务器。
用于网络100的通信媒体可为有线、无线或两者,但为简单起见且为了避免使本发明模糊在本文中将描述为有线网络。所述网络将使用通信协议来传达数据。如此项技术中众所周知,所述通信协议界定用于贯穿网络传达数据的格式及规则。图1中的网络可使用现在已知或将来知晓的任何通信协议或协议组合。举例来说,所述网络可针对此类通信使用众所周知的以太网协议套件。或者,所述网络可利用其它协议,例如因特网协议套件(通常称为TCP/IP)、SONET/SDH或异步传送模式(ATM)通信协议。在一些实施例中,可以组合形式使用这些通信协议中的一或多者。虽然图1中展示了一个网络拓扑,但本发明在这方面并不受限制。而是,可使用任何类型的适合网络拓扑,例如总线网络、星形网络、环形网络或网状网络。
本发明大体来说涉及一种用于在计算机网络中(例如,在计算机网络100中)传达数据的方法,其中将数据从第一计算装置传达到第二计算装置。用多个身份参数来表示网络内的计算装置。如本文中所使用的短语“身份参数”可包含例如因特网协议(IP)地址、媒体接入控制(MAC)地址、端口等项目。然而,本发明在这方面并不受限制,且身份参数还可包含对于表征网络节点有用的多种其它信息。下文进一步详细地论述本文中所预期的各种类型的身份参数。发明性布置涉及使用移动目标技术(MTT)来针对网络内的一或多个计算装置操纵此类身份参数中的一或多者。此技术掩饰此类计算装置的通信型式及网络地址。如本文中所描述的身份参数操纵通常结合网络中的数据通信来执行,即,当将数据从网络中的第一计算机(例如,客户端计算机101)传达到网络中的第二计算机(例如,客户端计算机102)时。因此,所操纵的身份参数可包含源计算装置(数据从其始发的装置)及目的地计算装置(数据正被发送到的装置)的身份参数。所传达的身份参数集在本文中称为身份参数集(IDP集)。此概念图解说明于图1中,图1展示IDP集120由客户端计算机101作为数据包(未展示)的部分发射。
根据发明性布置的过程涉及在计算机网络内的第一位置处选择性地修改数据包或数据报中所含有的指定源及/或目的地计算装置的一或多个身份参数的值。根据任务计划来修改身份参数。执行此修改的位置将通常与模块105-107、113、114中的一者的位置重合。再次参考图1,可观察到模块105、106、107、113、114插置于网络中在包括此网络中的节点的各种计算装置之间。在这些位置中,模块拦截数据包通信,执行身份参数的必需操纵并沿着发射路径重新发射数据包。在替代实施例中,模块105、106、107、113、114可执行类似功能,但可直接集成到计算装置中的一或多者中。举例来说,所述模块可集成到客户端计算机101、102、103、服务器111、112、集线器108、109中及/或路由器110内。
图2中展示模块105的功能框图的实例。模块106-107、113、114可具有类似功能框图,但应理解本发明在这方面并不受限制。如图2中所展示,模块105具有至少两个数据端口201、202,其中的每一者可对应于相应网络接口装置204、205。在端口201处接收的数据在网络接口装置204处处理且暂时存储于输入缓冲器210中。处理器215存取输入缓冲器210中所含有的输入数据包并如本文中所描述执行身份参数的任何必需操纵。经修改数据包被传递到输出缓冲器212且随后使用网络接口装置205从端口202发射。类似地,在端口202处接收的数据在网络接口装置205处处理且暂时存储于输入缓冲器208处。处理器215存取输入缓冲器208中所含有的输入数据包并如本文中所描述执行身份参数的任何必需操纵。经修改数据包被传递到输出缓冲器206且随后使用网络接口装置204从端口201发射。在每一模块中,处理器215根据存储于存储器218中的任务计划220来执行身份参数的操纵。
从图2将理解,模块优选地经配置以使得其双向地操作。在此类实施例中,取决于特定数据包的源,模块可实施不同修改功能。可根据特定数据包的源计算装置在任务计划中指定每一模块中的动态修改功能。模块可通过任何适合手段来确定数据包的源。举例来说,数据包的源地址可用于此目的。
在网络100内的选定模块处,处理器215将确定将代替真身份参数值使用的一或多个假身份参数值。处理器将把一或多个真身份参数值变换为优选地由伪随机函数指定的一或多个假身份参数值。在此变换之后,模块将沿着发射路径把经修改包或数据报转发到网络的下一节点。在通信路径中的后续点处,正在监视此类网络通信的对手将观察到关于在所述网络上通信的计算装置的身份的假的或不正确的信息。
在优选实施例中,由伪随机函数指定的假身份参数根据一或多个触发事件的发生而变化。所述触发事件致使处理器215使用伪随机函数产生真身份参数被变换成的新的假身份参数值集。因此,所述触发事件用作本文中所描述的假身份参数的动态变化的基础。下文更详细地论述触发事件。然而,应注意用于为身份参数选择新的假值集的触发事件可基于时间的流逝及/或某些网络事件的发生。触发事件还可由用户命令起始。
上文所描述的身份参数变换提供一种用以出于挫败网络攻击的目的而操控计算机网络100的方式。在优选实施例中,由处理器215实施的任务计划220还将控制计算机网络可操控的方式的某些其它方面。举例来说,任务计划可指定操纵对身份参数的动态选择。所述动态选择可包含对选择哪些身份参数来进行修改及/或所选择的此类身份参数的数目的挑选。此可变选择过程提供添加的不确定性或变化维度,此可用于进一步挫败对手渗入或了解计算机网络100的努力。作为此技术的实例,考虑在第一时间周期期间,模块可修改每一数据包的目的地IP地址及目的地MAC地址。在第二时间周期期间,模块可操纵每一数据包中的源IP地址及源主机名。在第三时间周期期间,模块可操纵源端口编号及源用户名。身份参数选择的改变可同步地发生(所有选定身份参数同时改变)。或者,身份参数选择的改变可异步地发生(选定身份参数群组随着个别身份参数添加到选定身份参数群组或从所述群组移除而以递增方式改变)。
优选地使用伪随机函数来确定将操纵或变换成假值的身份值的选择。换句话说,模块将仅变换由伪随机函数选择的身份参数。在优选实施例中,由伪随机函数指定的身份参数的选择根据触发事件的发生而变化。触发事件致使处理器215使用伪随机函数来产生将变换成假身份参数的身份参数的新选择。因此,触发事件用作本文中所描述的身份参数选择的动态变化的基础。显著地,身份参数的值还可根据伪随机算法而变化。
所述模块有利地还能够提供出于挫败网络攻击的目的而操控计算机网络的第三方法。具体来说,加载于每一模块中的任务计划可动态地使网络内发生身份参数的修改或变换的位置变化。考虑对从客户端计算机101发送到客户端计算机102的IDP集120中的身份参数的修改可在模块105中发生。此状况展示于图1中,其中在模块105中操纵IDP集120中所含有的身份参数以使得IDP集120被变换为新的或经修改的IDP集122。IDP集122中的身份参数中的至少一些身份参数与IDP集120中的身份参数相比为不同的。但发生此变换的位置优选地还由任务计划控制。因此,举例来说,对IDP集120的操纵有时可在模块113或114处而非在模块105处发生。此选择性地使发生身份参数操纵的位置变化的能力为计算机网络的操控能力添加了又一维度。
通过选择性地控制每一模块的操作状态来促进修改身份参数的位置的动态变化。为此目的,每一模块的操作状态优选地包含(1)其中根据当前任务计划处理数据的作用状态,及(2)其中包可流动穿过模块就像模块不存在一样的旁通状态。通过选择性地致使某些模块处于作用状态中且某些模块处于待用状态中来控制执行动态修改的位置。通过以经协调方式动态地使模块的当前状态变化来动态地改变所述位置。
任务计划可包含用于确定计算机网络100内将操纵身份参数的位置的预定义序列。将操纵身份参数的位置将根据所述序列在由触发事件指示的时间处改变。举例来说,触发事件可如本文中所描述致使到用于操纵或变换身份参数的新位置的转变。因此,触发事件用作发生修改身份参数的位置的改变的基础,且所述预定义序列确定新位置将在何处。
依据前文,将了解在模块处将数据包修改为包含假身份参数。在计算机网络内的某一点处,有必要将身份参数恢复到其真值,以使得可根据特定网络协议使用所述身份参数来恰当地执行其既定功能。因此,发明性布置还包含在第二位置(即,第二模块)处根据任务计划动态地修改身份参数的经指派值。在第二位置处的修改本质上包括在第一位置处用于修改身份参数的过程的逆过程。因此,第二位置处的模块可将假值身份参数恢复或变换回到其真值。为了实现此行动,第二位置处的模块必须能够确定至少:(1)将变换的身份参数值的选择,及(2)选定身份参数从假值到真值的正确变换。实际上,此过程涉及用于确定身份参数选择及对此类身份参数值实现的改变的伪随机过程的逆过程。逆变换步骤图解说明于图1中,其中在模块106处接收IDP集122,且将IDP集122中的身份参数值变换或操纵回到其原始或真值。在此情景中,模块106将身份参数值转换回到IDP集120的那些值。
显著地,模块必须具有确定对其所接收的每一数据通信应用的恰当变换或操纵的某种方式。在优选实施例中,通过检查所接收数据通信内所含有的至少源地址身份参数来执行此确定。举例来说,源地址身份参数可包含源计算装置的IP地址。一旦知晓了源计算装置的真身份,模块便咨询任务计划(或从任务计划导出的信息)以确定其需要采取何种行动。举例来说,这些行动可包含将某些真身份参数值转换为假身份参数值。或者,这些改变可包含将假身份参数值转换回到真身份参数值。
显著地,将存在所接收数据通信中所含有的源地址身份参数信息已改变为假值的情况。在那些情形中,接收数据通信的模块将不能够立即确定数据通信的源的身份。然而,在此类情况中,接收到通信的模块仍可识别源计算装置。此在接收模块处通过将假源地址身份参数值与列出在特定时间期间使用的所有此类假源地址身份参数值的查找表(LUT)进行比较来实现。所述LUT还包含对应于假源地址值的真源地址身份参数值的列表。所述LUT可由任务计划直接提供或可由任务计划内所有的信息产生。在任一情况中,可容易地从LUT确定真源地址身份参数值的识别。一旦已确定了真源地址身份参数,接收到数据通信的模块便接着可使用此信息来确定(基于任务计划)需要对身份参数的何种操纵。
显著地,任务计划还可指定将身份参数恢复到其真值的第二位置的变化。举例来说,假定在包括模块105的第一位置处动态地修改了身份参数。任务计划可指定将身份参数恢复到其真值在如所描述的模块106处发生,但可替代地指定动态修改改为在模块113或114处发生。在一些实施例中,发生此类操纵的位置由任务计划根据预定义序列动态地确定。预定义序列可确定将发生身份参数操纵的位置或模块的序列。
涉及在不同位置处的动态修改的转变优选地根据触发事件而发生。因此,预定义序列确定将发生数据操纵的位置型式或序列,且触发事件用作致使从一个位置到下一位置的转变的基础。下文更详细地论述触发事件;然而,应注意触发事件可基于时间的流逝、用户控制及/或某些网络事件的发生。可以与上文关于第一位置所描述的相同方式实现对第二位置(即,在何处使身份参数返回到其真值)的挑选的控制。具体来说,两个或两个以上模块的操作状态可在作用状态与旁通状态之间双态切换。身份参数操纵将仅在具有作用操作状态的模块中发生。具有旁通操作状态的模块将简单地使数据包通过而不进行修改。
还可使用替代方法来控制将发生身份参数操纵的位置。举例来说,网络管理员可在任务计划中界定可将身份参数从真值转换为假值的数个可能模块。在触发事件发生后,可即刻通过使用伪随机函数并使用触发时间作为伪随机函数的种子值而从数个模块当中选择新位置。如果每一模块使用相同初始种子值实施相同伪随机函数,那么每一模块将计算相同伪随机值。可基于时钟时间(例如GPS时间或系统时钟时间)而确定触发时间。以此方式,每一模块可独立地确定其当前是否为应发生身份参数操纵的作用位置。类似地,网络管理员可在任务计划中界定动态操纵使身份参数返回到其正确或真值的数个可能模块。还可如本文中所描述根据触发时间及伪随机函数来确定对哪一模块用于此目的的选择。用于确定将发生身份参数操纵的位置或模块的其它方法也为可能的。因此,本发明并非意欲限制于本文中所描述的特定方法。
显著地,使操纵身份功能的第一及/或第二位置的位置变化通常将导致使第一与第二位置之间沿着网络通信路径的物理距离变化。第一与第二位置之间的距离在本文中称为距离向量。所述距离向量可为沿着第一与第二位置之间的通信路径的实际物理距离。然而,将距离向量看作表示第一与第二位置之间的通信路径中存在的网络节点的数目为有用的。将了解,在网络内为第一及第二位置动态地挑选不同位置可具有改变第一与第二位置之间的节点的数目的效应。举例来说,在图1中,在模块105、106、107、113、114中的选定者中实施身份参数的动态修改。如先前所描述来确定实际上用于分别实施动态修改的模块。如果模块105用于将身份参数转换为假值且模块106用于将其转换回到真值,那么在模块105与106之间存在三个网络节点(108、110、109)。但如果模块113用于转换为假值且模块114用于将身份参数转换回到真值,那么在模块113与114之间存在仅一个网络节点(110)。因此,将了解,动态地改变发生动态修改的位置的位置可动态地使距离向量变化。距离向量的此变化为如本文中所描述的网络操控或修改提供添加的可变性维度。
在本发明中,将身份参数值的操纵、身份参数的选择及操纵这些身份参数的位置各自界定为操控参数。每当这三种操控参数中的一者发生改变时,可以称已发生网络操控。在改变这三种操控参数中的任一者的任何时间,我们可以称已发生网络操控。为了最有效地挫败对手渗入计算机网络100的努力,优选地借助于如先前所描述的伪随机过程来控制网络操控。所属领域的技术人员将了解,还可使用混沌过程来执行此功能。混沌过程与伪随机函数相比在技术上不同,但出于本发明的目的,可使用任一者,且将两者视为等效的。在一些实施例中,可使用相同伪随机过程来动态地使操控参数中的两者或两者以上变化。然而,在本发明的优选实施例中,使用两个或两个以上不同伪随机过程以使得这些操控参数中的两者或两者以上独立于其它者而被修改。
触发事件
如上文所述,操控参数中的每一者的动态改变由至少一个触发控制。触发为致使关于本文中所描述的动态修改发生改变的事件。换句话说,可以称触发致使网络以不同于先前时间处(即,在触发发生之前)的新方式进行操控。举例来说,在第一时间周期期间,任务计划可致使IP地址可从值A改变为值B;但在触发事件之后,IP地址可改为从值A改变为值C。类似地,在第一时间周期期间,任务计划可致使修改IP及MAC地址;但在触发事件之后,任务计划可改为致使修改MAC地址及用户名。作为第三实例,考虑在第一时间周期期间,任务计划可致使在ID集120到达模块105时改变身份参数;但在触发事件之后,可改为致使在ID集120到达模块113时改变身份参数。
在其最简单形式中,触发可为用户激活的或基于简单时序方案。在此实施例中,每一模块中的时钟时间可用作触发。举例来说,可将触发事件界定为在每60秒时间间隔期满时发生。对于此布置,操控参数中的一或多者可根据预定时钟时间每60秒就改变。在一些实施例中,所有操控参数可同时改变以使得所述改变同步。在稍微复杂的实施例中,还可使用基于时间的触发布置,但可为每一操控参数选择不同的唯一触发时间间隔。因此,可以时间间隔X改变假身份参数值,身份参数的选择将根据时间间隔Y改变,且执行此类改变的位置将以时间间隔Z发生,其中X、Y及Z为不同值。
将了解,在依赖于时钟时间作为触发机制的本发明实施例中,在各种模块105、106、107、113、114中的时钟之间提供同步以确保不会由于未经辨识的身份参数而丢失或落下包为有利的。同步方法为众所周知的且任何适合同步机制可用于此目的。举例来说,可通过使用高度准确的时间参考(例如GPS时钟时间)来使模块同步。或者,可从中央控制设施将唯一无线同步信号广播给所述模块中的每一者。
对于本发明,其它类型的触发也为可能的。举例来说,触发事件可基于潜在网络安全威胁的发生或检测。根据本发明的实施例,可通过网络安全软件套件识别潜在网络安全威胁。或者,可在于模块105、106、107、113、114处接收到数据包后即刻识别潜在网络安全威胁,其中所述包含有与网络操控的目前状态不一致的一或多个身份参数。不管识别网络安全威胁的基础如何,此威胁的存在均可用作触发事件。基于网络安全威胁的触发事件可导致与由上文所描述的基于时间的触发导致的网络操控相同类型的网络操控。举例来说,除了在检测到网络安全威胁的情况中之外,假身份参数、身份参数的选择及身份参数变换的位置可保持稳定(即,不改变)。举例来说,在不期望频繁网络操控的计算机网络中,可挑选此布置。
或者,基于时间的触发事件可与基于对网络安全的潜在威胁的触发事件组合。在此类实施例中,基于安全威胁的触发事件与基于时间的触发相比可对网络操控具有不同影响。举例来说,基于安全威胁的触发事件可导致网络操控的战略性或防御性改变以便较积极地抵抗此网络安全威胁。此类措施的精确性质可取决于威胁的性质,但可包含多种响应。举例来说,可选择不同伪随机算法,且/或可增加每一IDP集120中经选择用于操纵的身份参数的数目。在已利用基于时间的触发的系统中,响应还可包含增加网络操控的频率。因此,可相对于以下各项做出较频繁的改变:(1)假身份参数值,(2)每一IDP集中待改变的身份参数的选择及/或(3)改变身份参数的第一及第二位置的位置。因此,本文中所描述的网络操控提供一种用于识别潜在网络安全威胁并对其做出响应的方法。
任务计划
根据本发明的优选实施例,根据任务计划来控制本文中所描述的网络操控。任务计划为界定及控制网络的背景及安全模型内的可操控性的方案。如此,可将任务计划表示为从网络管理计算机(NAC)104传达到每一模块105-107、113-114的数据文件。此后,每一模块使用所述任务计划来控制身份参数的操纵并协调其与网络中的其它模块的行动的活动。
根据优选实施例,可由网络管理员不时地修改任务计划以更新或改变网络进行操控的方式以挫败潜在对手。如此,任务计划给网络管理员提供促进对网络操控将在网络内发生的时间、位置及方式的完全控制的工具。此更新能力允许网络管理员修整计算机网络的行为以适于当前操作状况且更有效地挫败对手渗入网络的努力。多个任务计划可由用户界定且经存储以使得其可由网络内的模块存取。举例来说,所述多个任务计划可存储于NAC104处且视需要传达到模块。或者,多个任务计划可存储于每一模块上且可视需要或视情况而激活以维持网络的安全。举例来说,如果网络管理员确定或怀疑对手已发现网络的当前任务计划,那么管理员可希望改变任务计划。有效安全程序还可规定周期性地改变任务计划。
创建任务计划的过程可通过对网络100进行建模而开始。通过在网络命令中心处的计算机或服务器上执行的网络控制软件应用程序(NCSA)来促进模型的创建。举例来说,在图1中所展示的实施例中,NCSA可在NAC104上执行。网络模型优选地包含界定网络100中所包含的各种计算装置之间的数据连接及/或关系的信息。NCSA将提供促进此关系数据的输入的适合接口。根据一个实施例,所述NCSA可促进将数据输入到可用于界定任务计划的表中。然而,在优选实施例中,使用图形用户接口来促进此过程。现在参考图3,NCSA可包含网络形貌模型产生器工具。所述工具用于辅助网络管理员界定网络的各种组件中的每一者之间的关系。网络形貌工具提供其中管理员可通过使用光标304来拖放网络组件302的工作空间300。网络管理员还可创建各种网络组件302之间的数据连接306。作为此建模过程的部分,网络管理员可提供各种网络组件(包含模块105-107、113、114)的网络地址信息。
一旦已对网络进行了建模,便可将其保存并由网络管理员用来界定各种模块105-107、113、114的行为方式及其彼此交互的方式。现在参考图4,NCSA可产生可用于进一步开发任务计划的对话框400。下拉式菜单432可用于选择对话框400中的设定将应用于的特定模块(例如,模块105)。或者,网络管理员可使用下拉式菜单432来指示对话框400中的设定意欲应用于网络内的所有模块(例如,通过在菜单432中选择“全部”)。所述过程可通过指定是否将始终在模块中的每一者中修改固定的身份参数集或所操纵的身份参数集是否应动态地变化而继续。如果对将在模块中操纵的身份参数集的选择意欲动态地变化,那么网络管理员可标记复选框401以指示所述偏好。如果复选框401未被标记,那么此将指示待变化的身份参数集为不随时间变化的固定集。
对话框400包含允许用户选择其出于创建任务计划的目的而希望处理的特定身份参数的标签402、404、406。出于本发明的目的,对话框400促进仅三个身份参数的动态变化。具体来说,这些参数包含IP地址、MAC地址及端口地址。可通过提供额外标签来动态地使更多或更少的身份参数变化,但所提及的三个身份参数足以解释发明性概念。在图4中,用户已选择标签402以处理IP地址类型的身份参数。在标签402内,提供用于指定与选定模块内的IP地址的动态变化有关的细节的多种用户接口控件408-420。可提供更多或更少的控件以促进IP地址类型的动态操纵,且提供所展示的控件仅仅为了辅助读者理解概念。在所展示的实例中,网络管理员可通过选择(例如,借助例如鼠标的指向装置)经标记的复选框408(启用IP地址跳跃)而实现IP地址的动态变化。类似地,网络管理员可指示源地址、目的地地址或两者是否将变化。在此实例中,源地址框410及目的地地址框412两者均被标记,从而指示两种类型的地址均将改变。可由管理员在列表框422、424中指定源地址及目的地地址的所允许值的范围。
通过选择伪随机过程来指定用于选择假IP地址值的特定伪随机过程。在框414、415中指定此选择。不同伪随机过程可针对真随机性的可变程度具有不同复杂度水平,且管理员可挑选最适合网络100的需要的过程。
对话框400还允许网络管理员设定待用于IP地址身份参数的动态变化的触发类型。在此实例中,用户已选择框416,从而指示基于时间的触发将用于确定何时转变为新的假IP地址值。此外,已选择复选框418以指示基于时间的触发将在周期基础上发生。滑块420可由用户调整以确定周期性基于时间的触发的频率。在所展示的实例中,可在每小时6触发发生(每10秒触发)与每小时120触发发生(每30秒触发)之间调整触发频率。在此实例中,选择也可用于其它类型的触发。举例来说,对话框402包含网络管理员可借以选择基于事件的触发的复选框428、430。可选择数个不同特定事件类型以形成此类基于事件的触发的基础(例如,事件类型1、事件类型2等)。这些事件类型可包含各种潜在计算机网络安全威胁的检测。在图4中,标签404及406类似于标签402,但其中的控件经修整以适于MAC地址及端口值而非IP地址的动态变化。可提供用于控制其它类型的身份参数的动态变化的额外标签。
任务计划还可指定用于动态地使修改身份参数的位置变化的计划。在一些实施例中,通过控制界定每一模块何时处于作用状态或旁通状态中的序列来促进此可变位置特征。因此,任务计划有利地包含指定此序列的某种手段。在本发明的一些实施例中,此可涉及使用由触发事件的发生分离的经界定时间间隔或时隙。
现在参考图5,可由NCSA提供对话框500以促进位置序列及时序信息的协调及输入。对话框500可包含用于选择将包含于时期506内的时隙5041-504n的数目的控件502。在所图解说明的实例中,网络管理员已界定每时期4个时隙。对话框500还可包含表503,表503包含网络100中的所有模块。对于所列的每一模块,所述表包含针对一个时期506可用的时隙5041-5044的图形表示。回想起对操纵身份参数的位置的动态控制由每一模块是处于作用操作状态还是旁通操作状态中确定。因此,在图形用户接口内,用户可移动光标508且做出指定特定模块在每一时隙期间是处于作用模式还是旁通模式中的选择。在所展示的实例中,模块105在时隙5041及5043期间为作用的,但在时隙5042、5044期间处于旁通模式中。相反地,模块113在时隙5042、5044期间为作用的,但在时隙5041及5043期间处于旁通模式中。参考图1,此意味着身份参数操纵在时隙5041及5043期间在与模块105相关联的位置处发生,但在时隙5042、5044期间改为在模块113处发生。
在图5中所展示的实例中,网络管理员已选择使模块114始终在作用模式中操作(即,模块114在所有时隙期间均为作用的)。因此,对于从客户端计算机101发射到客户端计算机103的数据通信,数据包将交替地在模块105、113中被操纵,但将始终在模块114处被操纵。最终,在此实例中,网络管理员已选择使模块106及107在时隙5041-5044期间维持于旁通模式中。因此,在经界定时隙中的任一者期间将不在这些模块处执行身份参数操纵。一旦已在对话框500中界定了模块时序,网络管理员便可选择按钮510以将改变存储为经更新任务计划的部分。可以各种格式保存任务计划。在一些实施例中,可将任务计划保存为可由每一模块用于控制模块的行为的简单表或其它类型的经界定数据结构。
任务计划的分布及加载
现在将进一步详细地描述如本文中所揭示的任务计划的分布及加载。再次参考图1,可观察到模块105-107、113、114贯穿网络100分布在一或多个位置处。所述模块集成于通信路径内以在此类位置处拦截通信、执行必需操纵并将数据转发到网络内的其它计算装置。在前述布置的情况下,本文中所描述的对模块的任何必需维护(例如,更新任务计划的维护)将具有在模块被替换或重新编程时打断网络通信的可能。此类打断在网络服务的可靠性及可用性为至关重要的许多情形中为不合意的。举例来说,不中断网络操作对于由军事、应急服务及商业使用的计算机网络来说可为至关重要的。
为了确保不中断网络操作,每一模块优选地具有数个操作状态。这些操作状态包含:(1)其中模块经断电且不处理任何包的关断状态,(2)其中模块根据任务计划安装软件脚本的初始化状态,(3)其中根据当前任务计划处理数据的作用状态,及(4)其中包可流动穿过模块就像模块不存在一样的旁通状态。模块经配置以使得在其处于作用状态或旁通状态中时,所述模块可接收并加载由网络管理员提供的经更新任务计划。模块操作状态可由网络管理员借助于(举例来说)在NAC104上执行的NCSA来手动控制。举例来说,用户可通过使用图形用户接口控制面板来选择各种模块的操作状态。用于控制网络的操作状态的命令经由网络100传达或可通过任何其它适合手段来传达。举例来说,单独有线或无线网络(未展示)可用于所述目的。
可在每一模块的物理位置处直接加载任务计划,或可将其从NCSA传达到模块。此概念图解说明于图6中,图6展示任务计划604经由通信媒体606从NCSA602传达到模块105-107、113、114中的每一者。在所展示的实例中,NCSA软件应用程序正在由网络管理员操作的NAC104上执行。在一些实施例中,所述通信媒体可包含使用计算机网络100的带内发信。或者,可使用带外网络(例如,单独无线网络)作为通信媒体606以将经更新任务计划从NCSA传达到每一模块。如图7中所展示,NCSA可提供对话框700以促进选择数个任务计划702中的一者。这些任务计划702中的每一者可存储于NAC104上。网络管理员可从数个任务计划702中的一者选择,此后其可激活发送任务计划按钮704。或者,多个任务计划可被传达到每一模块且存储在那里。在任一情景中,用户可挑选经界定任务计划中的一者来激活。
响应于发送任务计划的命令,在模块处于作用状态中时将选定任务计划传达到所述模块,在所述作用状态中,所述模块经配置以用于如本文中所描述有效地执行身份参数的动态修改。此布置最小化其间网络以明文方式且在不操纵身份参数的情况下操作的时间。然而,还可在模块处于旁通模式中时将经更新任务计划传达到所述模块,且此方法在某些情况中可为合意的。
一旦模块接收到任务计划,便自动地将其存储于模块内的存储器位置中。此后,可致使模块进入旁通状态且在仍处于所述状态中时,所述模块可加载与新任务计划相关联的数据。进入到旁通状态中且加载新任务计划数据的此过程可响应于接收到任务计划而自动地发生,或可响应于来自由网络管理员控制的NCSA软件的命令而发生。新任务计划优选地包含身份参数值变化的方式的改变。一旦已加载了新任务计划,便可以同步方式将模块105-107、113及114从旁通模式转变为作用模式以确保不发生数据通信错误。所述任务计划可指定模块将返回到作用模式的时间,或网络管理员可使用NCSA将命令传达到各种模块,从而引导其进入到作用模式中。更新任务计划的前述过程有利地允许在不打断附接到计算机网络100的各种计算装置当中的通信的情况下发生网络安全程序的改变。
在每一模块105、106、107、113及114处对各种身份参数的动态操纵优选地由在每一模块105-107、113、114上执行的应用软件控制。然而,应用软件的行为有利地由任务计划控制。
现在参考图8,其提供概述每一模块105-107、113、114的操作的流程图。为了避免混淆,关于沿单个方向的通信来描述过程。举例来说,在模块105的情况中,所述单个方向可涉及从客户端计算机101发射到集线器108的数据。然而,实际上,优选地,模块105-107、113、114双向地操作。所述过程在步骤802处当将模块通电时开始且继续到初始化模块应用软件以执行本文中所描述的方法的步骤804。在步骤806中,从模块内的存储器位置加载任务计划。此时,模块准备好开始处理数据且继续进行到在步骤808处处理数据,其中所述模块从模块的输入数据缓冲器存取数据包。在步骤810中,所述模块检查以确定其是否处于旁通操作模式中。如果是,那么在步骤812中重新发射在步骤808中存取的数据包而不对所述数据包进行任何修改。如果所述模块不处于旁通模式中,那么其必定处于其作用操作模式中且继续进行到步骤814。在步骤814中,模块读取数据包以确定数据包从其始发的源节点的身份。在步骤816中,其检查所述包以确定所述源节点是否有效。可将所指定源节点与有效节点列表进行比较以确定所指定源节点当前是否有效。如果其并非有效节点,那么在步骤818中丢弃所述包。在步骤820中,所述过程检查以确定是否发生了触发事件。触发事件的发生将影响对待使用的假身份值的选择。因此,在步骤822中,模块基于触发信息、时钟时间及任务计划中的一或多者而确定待使用的假身份值。所述模块接着继续到其操纵数据包的身份参数的步骤826。一旦操纵完成,便将数据包从所述模块的输出端口重新发射到邻近节点。在步骤830中,做出关于是否已命令模块断电的确定。如果是,那么过程在步骤832处结束。在步骤808中,所述过程继续且从模块的输入数据缓冲器存取下一数据包。
现在参考图9,其提供概述本文中所描述的用于管理动态计算机网络的方法的流程图。过程在步骤902中开始且继续到创建网络模型(例如,如关于图3所展示及描述)的步骤904。在步骤906中,做出关于是否将创建新任务计划的确定。如果是,那么在步骤908中创建新任务计划且所述过程继续到选择新任务计划的步骤910。或者,如果在步骤906中,已创建所要任务计划,那么方法可直接继续到选择现有任务计划的步骤910。在步骤912中,将任务计划传达到模块(例如,模块105-107、113、114),其中将任务计划存储于存储器位置中。当网络管理员准备好实施新任务模型时,在步骤914中发送致使模块进入如本文中所描述的待用模式的命令。在模块处于此待用模式中时,在步骤916处加载任务计划。任务计划的加载在每一模块处发生,以使得所述任务计划可用于控制在所述模块上执行的应用软件的操作。特定来说,所述任务计划用于控制应用软件执行对身份参数的动态操纵的方式。在步骤918中,再次致使任务模块进入到其中每一任务模块根据任务计划执行身份参数操纵的作用操作模式中。步骤914、916及918可响应于从网络管理员发送的特定命令而发生或可响应于在步骤912中接收到任务计划而在每一模块处自动地发生。在步骤918之后,模块继续根据已加载的任务计划执行处理。在步骤920中,所述过程通过检查以确定用户是否已指示想要改变任务计划而继续;如果是,那么过程返回到其如上文所描述而继续的步骤906。如果不存在用户或网络管理员希望改变现有任务计划的指示,那么过程在步骤922中确定其是否已被指示终止。如果是,那么过程在步骤924中终止。如果未接收到终止指令,那么过程返回到步骤920且继续。
现在参考图10,其提供展示可用于执行本文中所描述的身份参数操纵的示范性模块1000的计算机架构的框图。模块1000包含经由总线1022彼此通信的处理器1012(例如中央处理单元(CPU))、主存储器1020及静态存储器1018。计算机系统1000可进一步包含用以指示模块的状态的显示单元1002,例如液晶显示器或LCD。模块1000还可包含允许模块同时在两个单独数据线上接收及发射数据的一或多个网络接口装置1016、1017。两个网络接口端口促进图1中所展示的布置,其中每一模块经配置以同时拦截及重新发射从网络上的两个单独计算装置接收的数据包。
主存储器1020包含上面存储一或多个指令1008(例如,软件代码)集的计算机可读存储媒体1010,指令1008经配置以实施本文中所描述的方法、程序或功能中的一或多者。指令1008还可在其由模块执行期间完全或至少部分地驻存于静态存储器1018内及/或处理器1012内。静态存储器1018及处理器1012也可构成机器可读媒体。在本发明的各种实施例中,连接到网络环境的网络接口装置1016使用指令1008经由网络进行通信。
现在参考图11,其展示根据发明性布置的示范性网络管理计算机(NAC)114。所述NAC可包括各种类型的计算系统及装置,包含服务器计算机、客户端用户计算机、个人计算机(PC)、平板PC、膝上型计算机、桌上型计算机、控制系统或能够执行指令集(循序或其它)的任何其它装置,所述指令集指定待由所述装置采取的行动。此外,尽管图11中图解说明了单个计算机,但短语“NAC”应理解为包含个别或联合地执行一指令集(或多个指令集)以执行本文所论述的方法中的任何一或多者的任何计算装置集合。
现在参考图11,NAC104包含经由总线1122彼此通信的处理器1112(例如中央处理单元(CPU))、磁盘驱动单元1106、主存储器1120及静态存储器1118。NAC104可进一步包含显示单元1102,例如视频显示器(例如,液晶显示器或LCD、扁平面板、固态显示器或阴极射线管(CRT))。NAC104可包含用户输入装置1104(例如,键盘)、光标控制装置1114(例如,鼠标)及网络接口装置1116。
磁盘驱动单元1106包含上面存储一或多个指令1108(例如,软件代码)集的计算机可读存储媒体1110,指令1108经配置以实施本文中所描述的方法、程序或功能中的一或多者。指令1108还可在其执行期间完全或至少部分地驻存于主存储器1120、静态存储器1118内及/或处理器1112内。主存储器1120及处理器1112也可构成机器可读媒体。
所属领域的技术人员将了解,图10中所图解说明的模块架构及图11中的NAC架构各自表示可分别用于执行本文中所描述的方法的计算装置的仅一个可能实例。然而,本发明在这方面并不受限制且在无限制的情况下还可使用任何其它适合计算装置架构。专用硬件实施方案(包含但不限于专用集成电路、可编程逻辑阵列及其它硬件装置)同样可经构造以实施本文中所描述的方法。可包含各种实施例的设备及系统的应用广泛地包含多种电子及计算机系统。一些实施例可在两个或两个以上特定经互连硬件装置中实施功能(其中在模块之间传达及通过模块传达相关控制及数据信号),或将功能实施为专用集成电路的部分。因此,示范性系统适用于软件、固件及硬件实施方案。
根据本发明的各种实施例,本文中所描述的方法作为软件程序存储于计算机可读存储媒体中且经配置以用于在计算机处理器上运行。此外,软件实施方案可包含但不限于也可经构造以实施本文中所描述的方法的分布式处理、组件/对象分布式处理、并行处理、虚拟机处理。
尽管在图10及11中将计算机可读存储媒体1010、1110展示为单个存储媒体,但术语“计算机可读存储媒体”应视为包含存储一或多组指令的单个媒体或多个媒体(例如,集中式或分布式数据库及/或相关联高速缓冲存储器及服务器)。还应将术语“计算机可读存储媒体”视为包含能够存储、编码或携载供机器执行且致使机器执行本发明的方法中的任何一或多者的一组指令的任何媒体。
术语“计算机可读媒体”因此应视为包含但不限于固态存储器,例如存储器卡或装纳一或多个只读(非易失性)存储器、随机存取存储器或其它可重写(易失性)存储器的其它封装;磁光或光学媒体,例如磁盘或磁带。因此,将本发明视为包含如本文中所列的计算机可读媒体中的任何一或多者且包含其中存储本文中的软件实施方案的公认的等效媒体及后继媒体。
与动态网络之外的计算装置的通信
尽管本文中所描述的用于身份参数的动态操纵的方法可在网络100内有效,但其对于与在网络100之外的计算机进行通信确实呈现出一些问题。举例来说,在网络100之外的计算机将不知晓在操纵身份参数的工作时的动态过程。因此,如果不采取适当行动,那么与在网络100之外的计算机的通信可能会被打断。因此,网络100有利地包含经布置以处理进入或离开网络100的通信的至少一个桥接器115。所述桥接器确保网络100内的计算装置与网络100之外的计算装置之间的此类通信可无错误地发生。
桥接器115为将具有类似于如图2中所展示的模块的功能框图的功能框图的计算装置。桥接器115还可具有类似于图10中所展示的计算机架构的计算机架构。由桥接器115执行的操作类似于由模块105-107、113、114执行的操作。所述桥接器将从网络100接收数据通信且将在将此类数据通信重新发射到第二网络124之前根据任务计划操纵身份参数。在一些实施例中,此类操纵将涉及将假身份参数转换回到真身份参数,其中基于任务计划中所含有的信息而确定真身份参数。在第二网络不动态地修改身份参数信息的情况下,此布置为充足的。
在替代实施例中,第二网络124为以类似于网络100的方式操作的动态网络。如此,第二网络可具有其自身的任务计划(第二任务计划)。在所述情况中,桥接器将从第一网络接收数据通信中的身份参数且将变换那些身份参数的具有假值的第一集而改为具有真值。第二网络124的任务计划可指定完全不同的动态网络。举例来说,第二网络的任务计划可指定不同的待修改身份参数、不同触发时序等等。因此,桥接器将需要从第一网络接收消息、根据第一网络100的任务计划校正第一集中的假值且接着根据第二网络的任务计划动态地修改第二集中的相同(或不同)身份参数。一旦已恰当地将第二身份参数集转换为假值,便将数据通信发射到第二网络。
将了解,根据与第一网络相关联的第一任务计划确定第一集,且根据与第二网络相关联的第二任务计划确定第二集。类似地,根据第一任务计划确定所述第一集中所含有的假信息,且根据第二任务计划确定第二集中所含有的假信息。第一身份参数集与第二身份参数集相比可相同或不同。而且,应了解,第一及第二集可包含数据通信中所包含的身份参数中的所有或一些身份参数。所述数据通信将通常为含有多个身份参数的包数据通信。所述桥接器还将从第二网络124接收数据通信,且将根据第一网络、第二网络或两者的任务计划操纵此类数据通信中的身份参数。举例来说,桥接器可从第二数据网络接收可包含第二多个身份参数的第二数据通信。第二身份参数可取决于第二网络是否动态地修改身份参数而可或可不指定假信息。如果第二网络不动态地修改身份参数,那么桥接器仅需要使用与第一网络相关联的任务计划来动态地变换第二多个身份参数的一集以指定假信息。
如果第二网络确实动态地修改身份参数,那么桥接器将需要使用与第二网络相关联的任务计划来将第二多个身份参数的第一集(具有假值)转换为真值。此步骤优选地在桥接器使用与第一网络相关联的任务计划来将第二多个身份参数的第二集变换为假值之前执行。第一集与第二集可相同或不同,且将在每一情况中由每一网络的任务计划确定。同样地,经执行以将身份参数转换为假值的变换可相同或不同且将取决于与每一网络相关联的任务计划。此后,桥接器将把此类数据通信重新发射到网络100。
在一些实施例中,根据伪随机过程确定网络100、124的假身份参数。在所述情况中,伪随机过程及/或伪随机过程的种子值可由相关联网络的任务计划确定。同样地,对待操纵的身份参数的选择可由伪随机过程确定,其中所述过程及/或此过程的种子值分别由与每一网络相关联的任务计划确定。所述桥接器将根据一或多个触发事件的发生对假身份参数值及/或对待操纵的身份参数的选择做出改变,如上文参考模块所描述。不同于模块,桥接器115将需要关于相对于第一及第二网络发生的触发事件执行此类行动。
除对潜在地管理与一个以上任务计划相关联的动态操作的需要以外,桥接器115的操作类似于模块的操作。仍应了解,桥接器115的操作与模块105-107、113、114的操作相比不同。举例来说,不同于所述模块,执行身份参数操纵的位置在桥接器115的情况中不改变。而是,当网络100中的至少一个模块处于作用模式中时,桥接器115将始终处于作用模式中,因为桥接器形成与在网络100之外的计算装置的链路。
现在参考图12,其提供概述桥接器115的操作的流程图。过程在步骤1202处当将桥接器通电时开始且继续到初始化桥接器应用软件以执行本文中所描述的方法的步骤1204。在步骤1206中,从桥接器内的存储器位置加载一或多个任务计划。如果所述桥接器连接到不参与身份参数的动态操纵的网络,那么仅需要单个任务计划。然而,如果桥接器连接各自如本文中所描述动态修改身份参数的两个或两个以上网络,那么将在步骤1206中加载一个以上任务计划。第一任务计划可界定第一网络的动态操控且第二任务计划可界定第二网络的动态操控。此时,桥接器准备好开始处理数据且继续进行到在步骤1208处处理数据,其中所述桥接器从桥接器的输入数据缓冲器存取数据包。在步骤1210中,桥接器检查以确定其是否处于旁通操作模式中。如果是,那么在步骤1212中重新发射在步骤1208中存取的数据包而不对所述数据包进行任何修改。如果桥接器不处于旁通模式中,那么其必定处于其作用操作模式中且继续进行到步骤1214。
在步骤1214中,桥接器读取数据包以确定数据包从其始发的源节点以及目的地节点的身份。在步骤1216中,桥接器检查数据包以确定源节点是否有效。此可通过将在数据包中所指定的源节点与当前有效源节点列表进行比较来实现。如果源节点信息并不有效,那么在步骤1218中丢弃所述包。在步骤1220中,过程检查以确定是否已发生触发事件。此为重要的步骤,因为触发事件的发生可对恰当假身份值的计算具有显著影响。如果桥接器正使用两个或两个以上任务计划,那么此步骤包含相对于任一任务计划确定是否已发生触发事件。显著地,每一任务计划可涉及不同触发事件。
所接收数据的源及目的地地址信息是重要的,因为准许桥接器确定如何恰当地操纵数据通信内所含有的身份参数需要所述信息。一旦已确定了此信息,桥接器便接着继续到其确定假身份参数的选择/值的步骤1222。所述过程接着继续进行到步骤1226,在步骤1226处,桥接器根据一或多个任务计划操纵数据包的身份参数。一旦操纵完成,便在1228处将数据包从桥接器的输出端口重新发射到邻近节点。在步骤1230中,做出关于是否已命令桥接器断电的确定。如果是,那么过程在步骤1232处结束;否则,所述过程返回到1208。在步骤1208中,所述过程继续且从桥接器的输入数据缓冲器存取下一数据包。如上文所解释,在步骤1216处执行的操纵的类型将取决于数据通信的源及目的地以及是否存在正动态地操控的一个或一个以上网络。
可变化的身份参数的类型
现在参考图13,其提供可由模块105-107、113、114及/或由桥接器115操纵的身份参数中的一些身份参数的列表。图13中所列的参数中的每一者包含于使用TCP/IP通信协议的网络中所包含的数据通信中。图13中所列的大部分信息是所属领域的技术人员众所周知的。然而,本文中提供对每一信息类型及其作为身份参数的使用的简要描述。还提供对可操纵每一身份参数的方式的简要论述。
IP地址。IP地址为指派给参与计算机网络的每一计算装置的数值识别符,其中所述网络使用众所周知的因特网协议来通信。IP地址可为32位或128位编号。出于本发明的目的,可将IP地址编号改变为随机选择(例如,使用伪随机数产生器)的假值。或者,可从预定假值列表(例如,由任务计划指定的列表)随机地选择假IP地址值。源及目的地IP地址包含于数据包的TCP标头部分中。因此,通过经由使用改变IP标头信息的包操纵技术进行简单改变来执行对这些值的操纵。当包到达第二模块(可操纵第二模块的位置)时,将假IP地址值变换回到其真值。第二模块基于假值而使用相同伪随机过程(或其逆过程)来导出真IP地址值。
MAC地址。MAC地址为由制造商指派给网络接口装置且存储于板上ROM中的唯一值。出于本发明的目的,可将源及/或目的地MAC地址改变为随机选择(例如,使用伪随机数产生器)的假值。或者,可从预定假值列表(例如,由任务计划指定的列表)随机地选择假MAC值。源及目的地MAC地址包含于数据包的IP标头部分中。因此,通过简单地改变每一包的以太网标头信息来执行对这些值的操纵。当包到达第二模块(可操纵第二模块的位置)时,将假MAC地址值变换回到其真值。接收包的模块将基于假值而使用相同伪随机过程(或其逆过程)来导出真MAC地址值。
网络/子网。在一些实施例中,可将IP地址看作单个身份参数。然而,通常将IP地址界定为包含至少两个部分,其包含网络前缀部分及主机编号部分。网络前缀部分识别数据包将被传达到的网络。主机编号识别局域网(LAN)内的特定节点。子网(有时称为子网)为IP网络的逻辑部分。在网络被划分成两个或两个以上子网的情况下,IP地址的主机编号区段的一部分用于指定子网编号。出于本发明的目的,可将网络前缀、子网编号及主机编号各自视为单独身份参数。因此,这些身份参数中的每一者可以伪随机方式独立于其它者单独地加以操纵。此外,将了解,数据包将包含源IP地址及目的地IP地址。因此,可在源IP地址及/或目的地IP地址中操纵网络前缀、子网编号及主机编号,达总共六个可以伪随机方式操纵的不同可变身份参数。接收包的模块将基于假值而使用与原始节点相同的伪随机过程(或此过程的逆过程)来导出真网络/子网信息值。
TCP序列。在TCP会话的相对侧上彼此进行通信的两个客户端计算机将各自维持TCP序列编号。所述序列编号允许每一计算机追踪其已传达多少数据。TCP序列编号包含于在会话期间传达的每一包的TCP标头部分中。在TCP会话起始时,随机地选择初始序列编号值。出于本发明的目的,可根据伪随机过程将TCP序列编号作为身份参数来操纵。举例来说,可将TCP序列编号改变为随机地选择(例如,使用伪随机数产生器)的假值。当在网络的不同模块(将动态地使所述模块的位置变化)处接收到包时,可使用伪随机过程的逆过程将TCP序列编号从假值变换回到真值。
端口编号。TCP/IP端口编号包含于数据包的TCP或UDP标头部分中。如TCP/IP通信协议中所使用的端口在此项技术中是众所周知的且因此本文中将不加以详细描述。端口信息含在数据包的TCP标头部分内。因此,通过简单地修改TCP标头信息以将真端口值改变为假端口值来实现对端口信息的操纵。与本文所论述的其它身份参数一样,可在第一模块处根据伪随机过程将端口编号信息操纵或变换为假值。稍后可在第二模块处使用所述伪随机过程的逆过程将端口信息从假值变换为真值。
虽然已关于一或多个实施方案图解说明及描述了本发明,但所属领域的其他技术人员在阅读并理解本说明书及附图后将联想到等效变更及修改。另外,尽管可能已关于数个实施方案中的仅一者揭示了本发明的特定特征,但此特征可与其它实施方案的一或多个其它特征组合,此对于任何给定或特定应用来说可能为合意且有利的。因此,本发明的广度及范围不应受上述实施例中的任一者限制。而是,本发明的范围应根所附权利要求书及其等效内容来界定。
Claims (10)
1.一种用于在计算机网络中传达数据的方法,其包括:
在所述计算机网络上将数据分组从第一计算装置传达到第二计算装置,所述数据分组包含负载数据及标头数据,所述标头数据包括唯一地识别所述第一及第二计算装置中的至少一者的硬件和软件的多个身份参数;
在所述计算机网络中的第一位置处动态地修改正确地表示所述多个身份参数的所述标头数据的多个真值,以使用非所述真值的值将所述真值变换为指定所述多个身份参数的多个假值;
在所述计算机网络中的不同于所述第一位置的第二位置处动态地修改所述数据分组中的所述多个身份参数,以将所述多个假值变换回到所述真值;
其中在所述第一位置及第二位置处的所述动态地修改是基于任务计划的,所述任务计划指定在特定时间周期期间变换哪些身份参数;及
动态地使所述计算机网络内的所述第一及第二位置中的至少一者的位置变化至不同于所述第一和第二位置的所述网络中的至少第三位置。
2.根据权利要求1所述的方法,其进一步包括动态地使对在所述第一及第二位置处修改的所述多个身份参数的选择变化。
3.根据权利要求2所述的方法,其进一步包括响应于至少一个触发事件而使对所述多个身份参数的所述选择变化。
4.根据权利要求3所述的方法,其进一步包括基于用户命令、时序间隔及潜在网络安全威胁的检测中的至少一者而确定所述触发事件的发生。
5.根据权利要求1所述的方法,其中使所述第一及第二位置中的至少一者的所述位置变化会使所述第一位置与所述第二位置之间的距离向量变化。
6.根据权利要求5所述的方法,其中使所述距离向量变化会使所述第一位置与所述第二位置之间包含的节点的数目变化。
7.根据权利要求1所述的方法,其进一步包括响应于至少一个触发事件而使所述第一及第二位置的所述位置变化。
8.根据权利要求7所述的方法,其进一步包括基于用户命令、时序间隔及潜在网络安全威胁的检测中的至少一者而确定所述触发事件的发生。
9.根据权利要求1所述的方法,其进一步包括响应于触发事件而将所述假值中的至少一者改变为不同假值。
10.一种计算机网络,其包括:
多个计算装置,其包含经配置以将数据分组传达至至少第二计算装置的第一计算装置,所述数据分组包含负载数据及标头数据,所述标头数据包括唯一地识别所述第一及第二计算装置中的至少一者的硬件和软件的多个身份参数;
多个模块,其分布于所述计算机网络中的多个位置处以用于拦截所传达的所述数据分组,所述多个模块包含
第一模块,其安置于第一位置处,经配置以在所述第一位置处动态地修改正确地表示所述多个身份参数的所述标头数据的多个真值,且使用非所述真值的值将所述真值变换为指示所述多个身份参数的多个假值;
第二模块,其安置于所述计算机网络中的不同于所述第一位置的第二位置处,经配置以在所述第二位置处动态地修改所述数据分组中的所述多个身份参数以将所述多个假值变换回到所述真值;且
其中在所述第一位置及第二位置处的所述动态地修改是基于任务计划的,所述任务计划指定在特定时间周期期间变换哪些身份参数;且
其中所述多个模块中的每一者经配置以动态地确定何时其将作为所述第一模块及所述第二模块中的一者而执行,借此使所述计算机网络内的所述第一及第二位置中的至少一者的位置动态地变化至不同于所述第一和第二位置的所述网络中的至少第三位置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/369,424 US8819818B2 (en) | 2012-02-09 | 2012-02-09 | Dynamic computer network with variable identity parameters |
| US13/369,424 | 2012-02-09 | ||
| PCT/US2013/023700 WO2013119427A1 (en) | 2012-02-09 | 2013-01-30 | Dynamic computer network with variable identity parameters |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104106251A CN104106251A (zh) | 2014-10-15 |
| CN104106251B true CN104106251B (zh) | 2015-09-23 |
Family
ID=47720744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380008838.9A Expired - Fee Related CN104106251B (zh) | 2012-02-09 | 2013-01-30 | 具有可变身份参数的动态计算机网络 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8819818B2 (zh) |
| EP (1) | EP2813052B1 (zh) |
| KR (1) | KR101497292B1 (zh) |
| CN (1) | CN104106251B (zh) |
| CA (1) | CA2860630C (zh) |
| TW (1) | TWI479860B (zh) |
| WO (1) | WO2013119427A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9888283B2 (en) | 2013-03-13 | 2018-02-06 | Nagrastar Llc | Systems and methods for performing transport I/O |
| US9503324B2 (en) * | 2013-11-05 | 2016-11-22 | Harris Corporation | Systems and methods for enterprise mission management of a computer network |
| US20150236752A1 (en) * | 2014-02-20 | 2015-08-20 | Raytheon Bbn Technologies Corp. | Method for selection of unique next-time-interval internet protocol address and port |
| USD864968S1 (en) | 2015-04-30 | 2019-10-29 | Echostar Technologies L.L.C. | Smart card interface |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1173256A (zh) * | 1995-09-18 | 1998-02-11 | 数字保证网络技术股份有限公司 | 网络安全装置 |
| US6055236A (en) * | 1998-03-05 | 2000-04-25 | 3Com Corporation | Method and system for locating network services with distributed network address translation |
| US6154839A (en) * | 1998-04-23 | 2000-11-28 | Vpnet Technologies, Inc. | Translating packet addresses based upon a user identifier |
| US6510154B1 (en) * | 1995-11-03 | 2003-01-21 | Cisco Technology, Inc. | Security system for network address translation systems |
| US6535511B1 (en) * | 1999-01-07 | 2003-03-18 | Cisco Technology, Inc. | Method and system for identifying embedded addressing information in a packet for translation between disparate addressing systems |
| US7043633B1 (en) * | 2000-08-28 | 2006-05-09 | Verizon Corporation Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation |
Family Cites Families (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5734649A (en) | 1996-05-31 | 1998-03-31 | Bbn Corporation | Data packet router |
| US6052064A (en) | 1997-10-30 | 2000-04-18 | Motorola, Inc. | Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones |
| US6646989B1 (en) | 1998-06-29 | 2003-11-11 | Lucent Technologies Inc. | Hop-by-hop routing with node-dependent topology information |
| US6826616B2 (en) | 1998-10-30 | 2004-11-30 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network |
| US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| AU765914B2 (en) | 1998-10-30 | 2003-10-02 | Virnetx Inc. | An agile network protocol for secure communications with assured system availability |
| US7240368B1 (en) | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
| US6981146B1 (en) | 1999-05-17 | 2005-12-27 | Invicta Networks, Inc. | Method of communications and communication network intrusion protection methods and intrusion attempt detection system |
| US6934763B2 (en) | 2000-04-04 | 2005-08-23 | Fujitsu Limited | Communication data relay system and method of controlling connectability between domains |
| JP4623915B2 (ja) | 2000-05-23 | 2011-02-02 | インヴィクタ ネットワークス,インコーポレイテッド | 通信保護システムおよび方法 |
| US7757272B1 (en) | 2000-06-14 | 2010-07-13 | Verizon Corporate Services Group, Inc. | Method and apparatus for dynamic mapping |
| US8677505B2 (en) * | 2000-11-13 | 2014-03-18 | Digital Doors, Inc. | Security system with extraction, reconstruction and secure recovery and storage of data |
| US7739497B1 (en) | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
| FI110464B (fi) | 2001-04-26 | 2003-01-31 | Nokia Corp | IP-tietoturva ja liikkuvat verkkoyhteydet |
| US7085267B2 (en) | 2001-04-27 | 2006-08-01 | International Business Machines Corporation | Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet |
| US6917974B1 (en) | 2002-01-03 | 2005-07-12 | The United States Of America As Represented By The Secretary Of The Air Force | Method and apparatus for preventing network traffic analysis |
| CA2473444C (en) | 2002-01-15 | 2009-09-08 | Foundstone, Inc. | System and method for network vulnerability detection and reporting |
| US7114005B2 (en) | 2002-02-05 | 2006-09-26 | Cisco Technology, Inc. | Address hopping of packet-based communications |
| US7712130B2 (en) | 2002-03-22 | 2010-05-04 | Masking Networks, Inc. | Multiconfigurable device masking shunt and method of use |
| US7216359B2 (en) | 2002-12-19 | 2007-05-08 | International Business Machines Corporation | Secure communication overlay using IP address hopping |
| US20040255167A1 (en) * | 2003-04-28 | 2004-12-16 | Knight James Michael | Method and system for remote network security management |
| US7469279B1 (en) | 2003-08-05 | 2008-12-23 | Cisco Technology, Inc. | Automatic re-provisioning of network elements to adapt to failures |
| US20050038708A1 (en) | 2003-08-10 | 2005-02-17 | Gmorpher Incorporated | Consuming Web Services on Demand |
| WO2005029782A1 (ja) | 2003-09-22 | 2005-03-31 | Sharp Kabushiki Kaisha | 集線装置、中継制御方法、中継制御プログラム、中継制御プログラムを記録した記録媒体、情報処理装置、dhcpサーバ、dhcp処理方法、dhcp処理プログラム、dhcp処理プログラムを記録した記録媒体、および情報処理システム |
| US7382778B2 (en) | 2004-01-05 | 2008-06-03 | Tropos Networks, Inc. | Link layer emulation |
| EP1732265B1 (en) | 2004-03-03 | 2010-10-06 | National Institute of Information and Communications Technology, Incorporated Administrative Agency | Layer 2 switch network system |
| US20060031394A1 (en) | 2004-04-20 | 2006-02-09 | Tazuma Stanley K | Apparatus and methods for transparent handling of browser proxy configurations in a network gateway device |
| ES2351668T3 (es) | 2004-09-30 | 2011-02-09 | France Telecom | Procedimiento y sistema de enrutamiento en redes de comunicaciones entre un primer nodo y un segundo nodo. |
| US9383750B2 (en) | 2004-12-02 | 2016-07-05 | Lockheed Martin Corporation | System for predictively managing communication attributes of unmanned vehicles |
| US7984163B2 (en) * | 2005-01-13 | 2011-07-19 | Flash Networks, Inc. | Method and system for optimizing DNS queries |
| US7996894B1 (en) | 2005-02-15 | 2011-08-09 | Sonicwall, Inc. | MAC address modification of otherwise locally bridged client devices to provide security |
| US7937756B2 (en) | 2005-08-19 | 2011-05-03 | Cpacket Networks, Inc. | Apparatus and method for facilitating network security |
| JP4626811B2 (ja) | 2005-09-29 | 2011-02-09 | 日本電気株式会社 | ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム |
| US8199677B1 (en) | 2005-12-14 | 2012-06-12 | Rockwell Collins, Inc. | Distance vector routing via multi-point relays |
| US7890612B2 (en) | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| JP4732257B2 (ja) | 2006-07-07 | 2011-07-27 | 富士通株式会社 | 中継装置、経路制御方法、及び経路制御プログラム |
| US8136162B2 (en) | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
| US8189460B2 (en) | 2006-12-28 | 2012-05-29 | Cisco Technology, Inc. | Method and system for providing congestion management within a virtual talk group |
| JP2008177714A (ja) | 2007-01-17 | 2008-07-31 | Alaxala Networks Corp | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 |
| US8464334B1 (en) | 2007-04-18 | 2013-06-11 | Tara Chand Singhal | Systems and methods for computer network defense II |
| US8301789B2 (en) | 2007-06-18 | 2012-10-30 | Emc Corporation | Techniques for port hopping |
| US7836354B2 (en) | 2007-07-02 | 2010-11-16 | Verizon Patent And Licensing Inc. | Method and system for providing automatic disabling of network debugging |
| US20090059788A1 (en) | 2007-08-29 | 2009-03-05 | Motorola, Inc. | Method and Apparatus for Dynamic Adaptation of Network Transport |
| US8539098B2 (en) | 2007-10-17 | 2013-09-17 | Dispersive Networks, Inc. | Multiplexed client server (MCS) communications and systems |
| US7895348B2 (en) | 2007-10-17 | 2011-02-22 | Dispersive Networks Inc. | Virtual dispersive routing |
| US8560634B2 (en) | 2007-10-17 | 2013-10-15 | Dispersive Networks, Inc. | Apparatus, systems and methods utilizing dispersive networking |
| US20090165116A1 (en) | 2007-12-20 | 2009-06-25 | Morris Robert P | Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity |
| CN101521569B (zh) | 2008-02-28 | 2013-04-24 | 华为技术有限公司 | 实现服务访问的方法、设备及系统 |
| US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
| US8139504B2 (en) | 2009-04-07 | 2012-03-20 | Raytheon Bbn Technologies Corp. | System, device, and method for unifying differently-routed networks using virtual topology representations |
| US8553849B2 (en) | 2009-06-17 | 2013-10-08 | Avaya Inc. | Personal identification and interactive device for internet-based text and video communication services |
| US20100333188A1 (en) | 2009-06-29 | 2010-12-30 | Politowicz Timothy J | Method for protecting networks against hostile attack |
| US8793792B2 (en) | 2010-05-07 | 2014-07-29 | Raytheon Company | Time-key hopping |
| US9225656B2 (en) | 2011-02-07 | 2015-12-29 | Brocade Communications Systems, Inc. | Quality of service in a heterogeneous network |
| US9202078B2 (en) | 2011-05-27 | 2015-12-01 | International Business Machines Corporation | Data perturbation and anonymization using one way hash |
-
2012
- 2012-02-09 US US13/369,424 patent/US8819818B2/en active Active
-
2013
- 2013-01-30 CN CN201380008838.9A patent/CN104106251B/zh not_active Expired - Fee Related
- 2013-01-30 KR KR1020147022656A patent/KR101497292B1/ko active IP Right Grant
- 2013-01-30 CA CA2860630A patent/CA2860630C/en active Active
- 2013-01-30 WO PCT/US2013/023700 patent/WO2013119427A1/en active Application Filing
- 2013-01-30 EP EP13704672.8A patent/EP2813052B1/en active Active
- 2013-02-07 TW TW102104974A patent/TWI479860B/zh not_active IP Right Cessation
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1173256A (zh) * | 1995-09-18 | 1998-02-11 | 数字保证网络技术股份有限公司 | 网络安全装置 |
| US6510154B1 (en) * | 1995-11-03 | 2003-01-21 | Cisco Technology, Inc. | Security system for network address translation systems |
| US6055236A (en) * | 1998-03-05 | 2000-04-25 | 3Com Corporation | Method and system for locating network services with distributed network address translation |
| US6154839A (en) * | 1998-04-23 | 2000-11-28 | Vpnet Technologies, Inc. | Translating packet addresses based upon a user identifier |
| US6535511B1 (en) * | 1999-01-07 | 2003-03-18 | Cisco Technology, Inc. | Method and system for identifying embedded addressing information in a packet for translation between disparate addressing systems |
| US7043633B1 (en) * | 2000-08-28 | 2006-05-09 | Verizon Corporation Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI479860B (zh) | 2015-04-01 |
| CA2860630A1 (en) | 2013-08-15 |
| KR101497292B1 (ko) | 2015-02-27 |
| TW201336280A (zh) | 2013-09-01 |
| KR20140119737A (ko) | 2014-10-10 |
| EP2813052B1 (en) | 2015-12-30 |
| EP2813052A1 (en) | 2014-12-17 |
| WO2013119427A1 (en) | 2013-08-15 |
| US20130212675A1 (en) | 2013-08-15 |
| US8819818B2 (en) | 2014-08-26 |
| CA2860630C (en) | 2015-05-05 |
| CN104106251A (zh) | 2014-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104322028B (zh) | 用于动态地改变网络状态的系统及方法 | |
| CN104272700A (zh) | 用于使用影子联网技术来识别、阻断及/或延迟对网络的攻击的系统及方法 | |
| CN104322027B (zh) | 用于在动态计算机网络中传达数据的路由器 | |
| EP3786827A1 (en) | Cyber attack adversary simulator | |
| CN104618321A (zh) | 用于计算机网络的企业任务管理的系统及方法 | |
| CN104106251B (zh) | 具有可变身份参数的动态计算机网络 | |
| Anithaashri et al. | Security enhancement for software defined network using game theoretical approach | |
| CN104272701A (zh) | 用于在动态计算机网络中传达数据的交换器 | |
| Burmester et al. | A flyweight RFID authentication protocol | |
| TWI496445B (zh) | 動態電腦網路之任務管理 | |
| US10547630B2 (en) | Systems and method for providing dynamic computer networks in which goal induced dynamic modifications to mission plans occur | |
| CN104106250B (zh) | 用于与动态计算机网络进行通信的方法及桥接器 | |
| US10243993B2 (en) | Systems and method for providing dynamic computer networks in which behavior models drive cyber mission models | |
| Rajashree et al. | CBC (Cipher Block Chaining)-Based Authenticated Encryption for Securing Sensor Data in Smart Home | |
| Abed et al. | A Review on Cyber-Physical-Social Systems | |
| Sparrow | A novel approach to symmetric cryptographic secured communication links for real-time teleoperation and telemetry |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: American Florida Patentee after: L3 Hershey Technology Co. Address before: American Florida Patentee before: Harris Corp. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150923 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |