CN104272700A - 用于使用影子联网技术来识别、阻断及/或延迟对网络的攻击的系统及方法 - Google Patents
用于使用影子联网技术来识别、阻断及/或延迟对网络的攻击的系统及方法 Download PDFInfo
- Publication number
- CN104272700A CN104272700A CN201380023351.8A CN201380023351A CN104272700A CN 104272700 A CN104272700 A CN 104272700A CN 201380023351 A CN201380023351 A CN 201380023351A CN 104272700 A CN104272700 A CN 104272700A
- Authority
- CN
- China
- Prior art keywords
- network
- value
- module
- task scheduling
- identification parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 114
- 230000006855 networking Effects 0.000 title description 17
- 238000004891 communication Methods 0.000 claims abstract description 48
- 230000009471 action Effects 0.000 claims abstract description 21
- 238000004458 analytical method Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 12
- 230000008859 change Effects 0.000 description 73
- 230000008569 process Effects 0.000 description 46
- 238000004364 calculation method Methods 0.000 description 31
- 230000003068 static effect Effects 0.000 description 29
- 230000000694 effects Effects 0.000 description 24
- 230000006870 function Effects 0.000 description 22
- 238000012546 transfer Methods 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 16
- VKWMGUNWDFIWNW-UHFFFAOYSA-N 2-chloro-1,1-dioxo-1,2-benzothiazol-3-one Chemical compound C1=CC=C2S(=O)(=O)N(Cl)C(=O)C2=C1 VKWMGUNWDFIWNW-UHFFFAOYSA-N 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 11
- 238000006243 chemical reaction Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 7
- 230000001960 triggered effect Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000007689 inspection Methods 0.000 description 5
- 230000001788 irregular Effects 0.000 description 5
- 230000009466 transformation Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 230000000737 periodic effect Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000013519 translation Methods 0.000 description 3
- 241000408659 Darpa Species 0.000 description 2
- 108700026140 MAC combination Proteins 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000000739 chaotic effect Effects 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012856 packing Methods 0.000 description 2
- 230000002269 spontaneous effect Effects 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 229930091051 Arenine Natural products 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及用于识别、阻断及/或延迟正对计算机网络“CN”进行的恶意攻击的系统(100)及方法(2100)。所述方法涉及在第一网络节点“NN”处实施任务计划“MP”。MP(1900、1902)规定:第二NN的第一身份参数“IDP”具有与其相关联的众多可能值;及将在时帧(2020到2026)的不同时隙中在往来于所述第二NN的通信中使用至少两个可能值。在所述第一NN处,将所接收包中所含有的所述第一IDP的值与MP中所规定的所述可能值进行比较,以确定在当前时隙内所述值是否为“正确”值。如果确定在所述当前时隙内所述值为不“正确”的,那么所述第一NN执行用以识别、阻断或延迟对CN的可能恶意攻击的动作。
Description
技术领域
发明性布置涉及计算机网络安全性,且更特定来说涉及用于在计算机网络的两个或两个以上逻辑子区之间通信的系统,其中所述网络可动态地操纵以抵御恶意攻击。
背景技术
当前网络基础结构的主要弱点是其静态本性。资产接收永久或不常改变的识别,此允许对手几乎不限时间地探测网络、映射及利用漏洞。另外,可捕获在这些固定实体之间行进的数据及给所述数据赋予属性。网络安全性的当前方法围绕固定资产应用例如防火墙及入侵检测系统等技术,且使用加密来保护途中的数据。然而,此传统方法根本上存在缺陷,因为其给攻击者提供固定目标。在今天的全球连接的通信基础结构中,静态网络为易受攻击的网络。
国防先进研究计划局(“DARPA”)信息保证(“IA”)项目已执行动态网络防御领域中的初始研究。在IA项目下开发用以出于使观察网络的任何潜在对手混淆的目的而动态地重新指派馈送到预先指定的网络飞地中的因特网协议(“IP”)地址空间的技术。此技术称作动态网络地址变换(“DYNAT”)。在于2001年公布的标题为“用以阻挠对手智能的动态方法(Dynamic Approaches to Thwart Adversary Intelligence)”的DARPA的论文中提出DYNAT技术的概述。
发明内容
本发明的实施例涉及用于识别、阻断及/或延迟正对计算机网络进行的恶意攻击的系统及方法。所述方法涉及在第一网络节点处实施任务计划。所述任务计划规定:第二网络节点的至少一个第一身份参数具有与其相关联的多个可能值;且将在时帧的多个时隙中的不同时隙中在往来于所述第二网络节点的通信中使用所述可能值中的至少两者。在所述第一网络节点处,将所接收包中所含有的所述第一身份参数的值与所述任务计划中所规定的所述可能值进行比较以确定在当前时隙内所述值是否为“正确”值(即,如所述任务计划所规定将在所述当前时隙中在往来于所述第二网络节点的通信中使用的所述可能值中的一者)。如果确定在所述当前时隙内所述值为不“正确”的,那么所述第一网络节点执行用以识别、阻断或延迟对所述计算机网络的可能恶意攻击的至少一个动作。所述动作包含但不限于:丢弃所述所接收包;将所述所接收包转发到入侵分析工具或诱捕系统分析工具;记录与所述所接收包相关联的信息;确定所述所接收包的源;或将响应发送到所述所接收包的所述源。
附图说明
将参考以下绘图描述实施例,其中遍及所述图,相似编号表示相似物项,且其中:
图1是对于理解本发明有用的计算机网络的实例。
图2是在本发明中可用于执行身份参数的某些操控的模块的实例。
图3是对于理解可用以帮助表征图1中的网络的工具有用的图式。
图4是可用以选择图1中的模块的动态设定的图形用户接口(“GUI”)的对话框的实例。
图5是可用以选择与图1中的每一模块相关联的作用状态及旁通状态的序列的GUI的对话框的实例。
图6是对于理解可将任务计划传达到图1中的网络中的多个模块的方式有用的图式。
图7是可用以选择任务计划且将任务计划传达到如图6中所展示的模块的GUI的对话框的实例。
图8是对于理解图1中的模块的操作有用的流程图。
图9是对于理解网络控制软件应用程序(“NCSA”)关于创建及加载任务计划的操作有用的流程图。
图10是可用以实施图1中的模块的计算机架构的框图。
图11是常规协议堆栈的示意性图解说明。
图12是常规包的示意性图解说明。
图13是移动目标技术(“MTT”)协议堆栈的示意性图解说明。
图14是MTT包的示意性图解说明。
图15是对于理解经配置以翻译身份参数的模块的操作有用的示意性图解说明。
图16到17各自提供用于改变包的至少一个身份参数的示范性过程的流程图。
图18是可用以实施图1中所展示的网络管理计算机(“NAC”)的计算机架构的框图。
图19是示范性任务计划的示意性图解说明。
图20A到20E各自提供图19中所展示的至少一个任务计划的示范性时间结构。
图21是用于影子联网的示范性方法的流程图。
具体实施方式
参考附图描述本发明。所述图未按比例绘制且其经提供以仅图解说明本发明。为了图解说明,下文参考实例性应用描述本发明的数个方面。应理解,陈述众多特定细节、关系及方法以提供对本发明的完全理解。然而,相关领域的技术人员将容易地认识到,可在不具有特定细节中的一或多者的情况下或借助其它方法实践本发明。在其它例子中,未详细展示众所周知的结构或操作以避免使本发明模糊。本发明不受行动或事件的所图解说明的次序限制,因为一些行动可以不同于其它行动或事件的次序发生及/或与其它行动或事件同时发生。此外,并非需要所有所图解说明的行动或事件来实施根据本发明的方法。
还应了解,本文中所使用的术语仅用于描述特定实施例的目的而并非打算限制本发明。如本文中所使用,单数形式“一(a及an)”、及“所述(the)”也打算包含复数形式,除非上下文另外清楚地指示。此外,就在详细说明及/或权利要求书中使用术语“包含(including、include)”、“具有(having、has及with)”或其变化形式来说,此类术语打算以类似于术语“包括(comprising)”的方式为包含性的。
此外,除非另外定义,否则本文中所使用的所有术语(包含技术及科学术语)均具有与本发明所属领域的技术人员通常所理解相同的含义。应进一步理解,应将术语(例如常用字典中所定义的那些术语)解释为具有与其在相关技术的上下文中的含义一致的含义,而不应以理想化或过分形式化意义来解释,除非本文中明确界定如此。
身份敏捷计算机网络
现在参考图1,其展示包含多个计算装置的示范性计算机网络100的图式。所述计算装置可包含客户端计算机101到103,NAC 104,服务器111、112,网络层2交换器108、109,层3交换器110及桥接器115。客户端计算机101到103可为可能需要网络服务的任何类型的计算装置,例如常规平板计算机、笔记本型计算机、膝上型计算机或桌上型计算机。层3交换器110可为在计算机网络之间路由数据包的常规路由装置。层2交换器108、109为如此项技术中众所周知的常规集线器装置(例如,以太网集线器)。服务器111、112可提供由客户端计算机101到103利用的各种计算服务。举例来说,服务器111、112可为提供用于由客户端计算机101到103使用的计算机文件的共享存储的位置的文件服务器。
用于计算机网络100的通信媒体可为有线的、无线的或两者,但在本文中为了简化及避免使本发明模糊而将描述为有线网络。所述网络将使用通信协议传达数据。如此项技术中众所周知,通信协议定义用于遍及网络传达数据的格式及规则。图1中的计算机网络100可使用现在已知或未来将知晓的任何通信协议或协议组合。举例来说,计算机网络100可针对此类通信使用众所周知的以太网协议套件。或者,计算机网络100可利用其它协议,例如因特网协议套件(通常称为TCP/IP套件)的协议、基于同步光学网络/同步数字层次(“SONET/SDH”)的协议或非同步传送模式(“ATM”)通信协议。在一些实施例中,这些通信协议中的一或多者可以组合方式使用。虽然图1中展示一个网络拓扑,但本发明在此方面并不受限。而是,可使用任何类型的适合网络拓扑,例如总线网络、星形网络、环形网络或网状网络。
本发明大体来说涉及一种用于在计算机网络中(例如,在计算机网络100中)传达数据的方法,其中将数据从第一计算装置传达到第二计算装置。所述网络内的计算装置用多个身份参数表示。如本文中所使用,短语“身份参数”可包含例如IP地址、媒体接入控制(“MAC”)地址、端口编号等等物项。然而,本发明在此方面并不受限,且身份参数也可包含对于表征网络节点有用的多种其它信息。下文进一步详细地论述本文中所预期的各种类型的身份参数。
发明性布置涉及使用MTT来操控计算机网络100内的一或多个计算装置的此类身份参数中的一或多者。此技术掩饰此类计算装置的通信型式及网络地址。如本文中所描述的身份参数的操控通常连同计算机网络100中的数据通信一起执行,即,在待将数据从网络中的第一计算机(例如,客户端计算机101)传达到网络中的第二计算机(例如,客户端计算机102)时执行。因此,所操控的身份参数可包含源计算装置(即,数据始发于其的装置)及目的地计算装置(即,数据正被发射到其的装置)的那些身份参数。所传达的身份参数的集合在本文中称为身份参数(“IDP”)集合。此概念图解说明于图1中,其展示IDP集合120作为数据包(未展示)的部分由客户端计算机101发射。
根据发明性布置的过程涉及在计算机网络100内的第一位置处选择性地修改数据包或数据报中所含有的规定源计算装置及/或目的地计算装置的一或多个身份参数的值。根据任务计划修改身份参数。其中执行此修改的位置将通常与计算机网络100的一个模块105到107、113、114的位置重合。再次参考图1,可观察到,模块105到107、113、114在构成计算机网络100中的节点的各种计算装置之间插入于此网络中。在这些位置中,模块105到107、113、114拦截数据包通信、执行身份参数的必要操控且沿发射路径重新发射数据包。在替代实施例中,模块105到107、113、114可执行类似功能,但可直接集成到所述计算装置中的一或多者中。举例来说,所述模块可集成到客户端计算机101、102、103,服务器111、112,层2交换器108、109及/或层3交换器110中。在此情景中,所述模块可包括添加到计算的硬件及/或安装于计算装置101到103、108到112上的软件。在一些软件实施例中,将所述模块实施为修改身份参数的核心模式软件(例如,装置驱动器)。
另外,计算机网络100可划分成通过层3交换器110连接的若干个逻辑子区(有时称为子网络或子网)。企业网络可出于多种管理或技术原因而划分成若干个子网,所述原因包含但不限于隐藏网络的拓扑以使其对外部主机不可见、利用不同网络协议连接网络、在子网层级上单独管理网络寻址方案、由于经约束数据连接而启用跨越子网的数据业务的管理及诸如此类。子网分割为此项技术中众所周知的且将不做进一步详细描述。
再次参考图1,计算机网络100划分成两个逻辑网络,即第一逻辑网络130及第二逻辑网络132。如本文中所使用,短语“逻辑网络”是指计算机网络的任何逻辑子区。在实施例中,逻辑网络130、132通过层3交换器110连接。层3交换器110负责引导逻辑网络之间(即,从客户端计算机101到客户端计算机103)的业务。层3交换器110也负责引导从连接到计算机网络100的任何主机去往第二网络124的业务。在图1中所展示的实施例中,从计算机网络100路由到第二网络124的业务通过桥接器115。如同上文的模块,桥接器115的功能性可集成于层3交换器110内。
图2中展示模块105的功能性框图的实例。图1的模块106、107、113、114可具有与图2中所展示的功能性框图类似的功能性框图,但应理解,本发明在此方面并不受限。如图2中所展示,模块105具有至少两个数据端口201、202,其中的每一者可对应于相应网络接口装置204、205。在数据端口201处接收的数据在网络接口装置204处处理且暂时存储于输入缓冲器210处。处理器215存取输入缓冲器210中所含有的输入数据包且执行如本文中所描述的身份参数的任何必要操控。经修改数据包传递到输出缓冲器212且随后使用网络接口装置205从数据端口202发射。类似地,在数据端口202处接收的数据在网络接口装置205处处理且暂时存储于输入缓冲器208处。处理器215存取输入缓冲器208中所含有的输入数据包且执行如本文中所描述的身份参数的任何必要操控。经修改数据包传递到输出缓冲器206且随后使用网络接口装置204从数据端口201发射。在模块105中,处理器215根据存储于存储器218中的任务计划220执行身份参数的操控。
从图2应理解,模块105优选地经配置以使其双向地操作。在此类实施例中,取决于特定数据包的源,模块105可实施不同修改功能。可根据特定数据包的源计算装置在任务计划中规定模块105中的动态修改功能。模块105可通过任何适合手段确定数据包的源。举例来说,可出于此目的使用数据包的源地址。
在操作期间,处理器215将确定将代替真身份参数值使用的一或多个假身份参数值。处理器215将使一或多个真身份参数值变换为由伪随机函数优选地规定的一或多个假身份参数值。在此变换之后,模块105将沿发射路径将经修改包或数据包转发到计算机网络100的下一节点。在通信路径中的后续点处,正监视此类网络通信的对手将观察到关于在计算机网络100上通信的计算装置的身份的假的或不正确的信息。
在优选实施例中,根据至少一个主动性触发事件或至少一个被动性触发事件的发生使由伪随机函数规定的假身份参数变化。主动性/被动性触发事件致使处理器215使用伪随机函数来产生新的假身份参数值集合,真身份参数被变换成所述假身份参数值。因此,主动性/被动性触发事件充当本文中所描述的假身份参数的动态变化的基础。下文更详细地论述主动性及被动性触发事件。然而,应注意,用于选择新的假身份参数值集合的主动性/被动性触发事件可基于至少一个预定义规则。所述规则包括定义至少一个主动性或被动性触发事件的语句。就这一点来说,用户规则可实施主动性触发方案或被动性触发方案。主动性触发方案包括基于时间的方案。被动性触发方案包括基于用户激活的方案、基于包检验的方案、基于拥塞水平的方案、基于启发性算法的方案及/或基于基于网络的攻击(“NBA”)的分析的方案。下文将详细地描述所列示方案中的每一者。
上文所描述的身份参数的变换提供出于阻挠网络攻击的目的而操纵计算机网络100的一种方式。在优选实施例中,由处理器215实施的任务计划220也将控制计算机网络100可操纵的方式的某些其它方面。举例来说,任务计划220可规定操控身份参数的动态选择。所述动态选择可包含选择哪些身份参数进行修改及/或选择此类身份参数的数目的选择。此可变选择过程提供可用以进一步阻挠对手渗入或了解计算机网络100的努力的不确定性或变化的添加的维度。作为此技术的实例,考虑在第一时间周期期间,模块105可修改每一数据包的目的地IP地址及目的地MAC地址。在第二时间周期期间,模块105可操控每一数据包中的源IP地址及源主机名称。在第三时间周期期间,模块105可操控源端口编号及源用户名称。身份参数的选择的改变可同步地发生(即,同时改变所有选定身份参数)。或者,身份参数的选择的改变可不同步地发生(即,选定身份参数的群组随给选定身份参数的群组添加或移除个别身份参数而递增地改变)。
伪随机函数优选地用于确定将操控或变换成假值的身份值的选择。换句话说,模块105将仅变换通过伪随机函数选择的身份参数。在优选实施例中,根据主动性/被动性触发事件的发生使由伪随机函数规定的身份参数的选择变化。主动性/被动性触发事件致使处理器215使用伪随机函数来产生将变换成假身份参数的身份参数的新选择。因此,主动性/被动性触发事件充当本文中所描述的身份参数的选择的动态变化的基础。值得注意的是,也可根据伪随机算法使身份参数的值变化。
模块105有利地也能够提供出于阻挠网络攻击的目的而操纵计算机网络的第三方法。具体来说,加载于模块105中的任务计划220可使网络内的其中发生身份参数的修改或变换的位置动态地变化。考虑从客户端计算机101发射到客户端计算机102的IDP集合120中的身份参数的修改可发生于模块105中。此条件展示于图1中,其中在模块105中操控IDP集合120中所含有的身份参数以使得IDP集合120被变换为新的或经修改的IDP集合122。与IDP集合120中的身份参数相比,IDP集合122中的身份参数中的至少一些身份参数是不同的。但其中发生此变换的位置优选地也由任务计划控制。因此,IDP集合120的操控可(举例来说)有时发生在图1的模块113或114处而非在模块105处。使其中发生身份参数的操控的位置选择性地变化的此能力给计算机网络100的操纵能力添加又一重要维度。
通过选择性地控制图1的每一模块105到107、113、114的操作状态来促进其中修改身份参数的位置的动态变化。为此目的,图1的每一模块105到107、113、114的操作状态优选地包含:(1)作用状态,其中根据当前任务计划处理数据;及(2)旁通状态,其中包可流动通过模块,就如模块不存在一样。通过选择性地致使计算机网络100某些模块处于作用状态中且致使计算机网络100的某些模块处于待用状态中而控制其中执行动态修改的位置。可通过以协调方式使图1的模块105到107、113、114的当前状态动态地变化而动态地改变所述位置。
任务计划220可包含用于确定计算机网络100内的其中将操控身份参数的位置的预定义序列。其中将操控身份参数的位置将在由主动性/被动性触发事件指示的时间根据所述预定义序列改变。举例来说,主动性/被动性触发事件可致使到用于如本文中所描述的身份参数的操控或变换的新位置的转变。因此,主动性/被动性触发事件充当其中修改身份参数的位置的改变的发生的基础,且预定义序列确定所述新位置将在何处。
从前述内容,应了解,在图1的模块105到107、113、114处修改数据包以包含假身份参数。在计算机网络100内的某一点处,使身份参数恢复到其真值以使得身份参数可用以根据特定网络协议恰当地执行其既定功能是必要的。因此,发明性布置还包含在第二位置(即,第二模块)处根据任务计划220动态地修改身份参数的经指派值。在第二位置处的修改基本上包括在第一位置处用以修改身份参数的过程的逆过程。第二位置处的模块可因此使假值身份参数恢复或变换回到其真值。为了实现此动作,第二位置处的模块必须能够确定至少:(1)将变换的身份参数值的选择;及(2)选定身份参数从假值到真值的正确变换。实际上,此过程涉及用以确定身份参数选择的伪随机过程及对此类身份参数值实现的改变的逆过程。逆变换步骤图解说明于图1中,其中在模块106处接收IDP集合122,且将IDP集合122中的身份参数值变换或操控回到其原始或真值。在此情景中,模块106将身份参数值转换回到IDP集合120的那些身份参数值。
值得注意的是,模块必须使确定恰当变换或操控的某一方式适用于其接收到的每一数据通信。在优选实施例中,通过检查所接收数据通信内所含有的至少源地址身份参数而执行此确定。举例来说,源地址身份参数可包含源计算装置的IP地址。一旦知晓源计算装置的真身份,模块即咨询任务计划(或从任务计划导出的信息)以确定其需要采取哪些动作。举例来说,这些动作可包含将某些真身份参数值转换为假身份参数值。或者,这些改变可包含将假身份参数值转换回到真身份参数值。
值得注意的是,将存在其中所接收数据通信中所含有的源地址身份参数信息已改变为假值的例子。在那些情形下,接收数据通信的模块将不能立即确定数据通信的源的身份。然而,在此类例子中,接收通信的模块可仍识别源计算装置。这在接收模块处通过将假源地址身份参数值与查找表(“LUT”)进行比较而实现,所述查找表列示在特定时间期间使用的所有此类假源地址身份参数值。LUT还包含对应于假源地址值的真源地址身份参数值的列表。LUT可直接由任务计划220提供或可由任务计划220内所含有的信息产生。在任一情况中,可从LUT容易地确定真源地址身份参数值的识别。一旦已确定真源地址身份参数,那么接收数据通信的模块可使用此信息来确定(基于任务计划)需要对身份参数的哪些操控。
值得注意的是,任务计划220还可规定其中使身份参数恢复到其真值的第二位置的变化。举例来说,假定在包括模块105的第一位置处动态地修改身份参数。任务计划可规定如所描述在模块106处发生使身份参数恢复到其真值,但或者,可规定代替地在模块113或114处发生动态修改。在一些实施例中,任务计划根据预定义序列动态地确定其中发生此类操控的位置。所述预定义序列可确定其中将发生身份参数的操控的位置或模块的序列。
涉及在不同位置处的动态修改的转变优选地根据主动性/被动性触发事件发生。因此,预定义序列确定其中将发生数据操控的位置的型式或序列,且主动性/被动性触发事件充当用于致使从一个位置到下一位置的转变的基础。下文更详细地论述主动性/被动性触发事件;然而,应注意,主动性/被动性触发事件可基于至少一个预定义规则。所述规则包括定义至少一个主动性/被动性触发事件的语句。就这一点来说,所述规则可实施主动性触发方案或被动性触发方案。主动性触发方案包括基于时间的方案。被动性触发方案包括基于用户激活的方案、基于包检验的方案、基于拥塞水平的方案、基于启发性算法的方案及/或基于NBA分析的方案。下文将详细描述所列示方案中的每一者。可以与上文关于第一位置所描述相同的方式实现对第二位置(即,其中使身份参数返回到其真值)的选择的控制。具体来说,两个或两个以上模块的操作状态可在作用状态与旁通状态之间双态切换。身份参数的操控将仅发生于具有作用操作状态的模块中。具有旁通操作状态的模块将仅传递数据包而不进行修改。
替代方法也可用于控制其中将发生身份参数的操控的位置。举例来说,网络管理员可在任务计划中定义其中可将身份参数从真值转换为假值的数个可能模块。在发生主动性/被动性触发事件后,可即刻通过使用伪随机函数且使用触发时间作为所述伪随机函数的种子值而从数个模块当中选择新位置。如果每一模块均使用相同初始种子值实施同伪随机函数,那么每一模块将计算相同伪随机值。可基于时钟时间(例如GPS时间或系统时钟时间)确定触发时间。以此方式,每一模块可独立地确定其当前是否为其中应发生身份参数的操控的作用位置。类似地,网络管理员可在任务计划中定义其中动态操控使身份参数返回到其真值的数个可能模块。将哪一模块用于此目的的选择也可根据如本文中所描述的触发时间及伪随机函数确定。用于确定其中将发生身份参数操控的位置或模块的其它方法也是可能的。因此,本发明并不打算限于本文中所描述的特定方法。
值得注意的是,使其中操控身份函数的第一及/或第二位置的定位变化将通常导致使第一与第二位置之间沿网络通信路径的物理距离变化。第一与第二位置之间的距离在本文中称为距离向量。所述距离向量可为第一与第二位置之间沿通信路径的实际物理距离。然而,将所述距离向量视为表示存在于第一与第二位置之间的通信路径中的网络节点的数目是有用的。应了解,动态地选择网络内的第一及第二位置的不同定位可具有改变第一与第二位置之间的节点的数目的效应。举例来说,在图1中,在模块105、106、107、113、114中的选定者中实施身份参数的动态修改。如先前所描述地确定实际上用以分别实施动态修改的模块。如果模块105用于将身份参数转换为假值且模块106用以将其转换回到真值,那么在模块105与106之间存在三个网络节点(108、110、109)。但如果模块113用以转换为假值且模块114用以将身份参数转换回到真值,那么在模块113与114之间存在仅一个网络节点110。因此,应了解,动态地改变其中发生动态修改的位置的定位可使距离向量动态地变化。距离向量的此变化给如本文中所描述的网络操纵或修改提供了额外的可变性维度。
在本发明中,身份参数值的操控、身份参数的选择及这些身份参数的位置各自被定义为操纵参数。每当在此三个操纵参数中的一者中发生改变时,可认为网络操纵已发生。无论何时此三个操纵参数中的一者改变,均可认为网络操纵已发生。为了最有效地阻挠对手渗入计算机网络100的努力,优选地借助于如先前所描述的伪随机过程控制网络操纵。所属领域的技术人员将了解,混沌过程也可用于执行此功能。与伪随机函数相比,混沌过程在技术上是不同的,但出于本发明的目的,可使用任一者且两者被视为等效的。在一些实施例中,相同伪随机过程可用于使操纵参数中的两者或两者以上动态地变化。然而,在本发明的优选实施例中,使用两个或两个以上不同伪随机过程,以使得这些操纵参数中的两者或两者以上可独立于其它操纵参数而被修改。
主动性及被动性触发事件
如上文所述,通过至少一个主动性触发或被动性触发来控制对操纵参数中的每一者的动态改变。主动性触发是致使发生关于本文中所描述的动态修改的改变的预定义事件。相比之下,被动性触发是致使发生关于本文中所描述的动态修改的改变的纯自发或用户起始的事件。换句话说,可认为,主动性或被动性触发致使网络以不同于在先前时间(即,在发生主动性或被动性触发之前)的方式的新方式操纵。举例来说,在第一时间周期期间,任务计划或安全性模型可致使IP地址从值A改变为值B;但在主动性/被动性触发事件之后,IP地址可代替地从值A改变为值C。类似地,在第一时间周期期间,任务计划或安全性模型可致使IP地址及MAC地址被修改;但在主动性/被动性触发事件之后,所述任务计划或安全性模型可代替地致使MAC地址及用户名称被修改。
在其最简单形式中,主动性触发事件可基于基于时间的方案。在基于时间的方案中,每一模块中的时钟时间可充当触发。举例来说,触发事件可定义为在每N(例如,六十)秒时间间隔的期满时发生。针对此布置,操纵参数中的一或多者可根据预定时钟时间每N秒改变。在一些实施例中,所有操纵参数可同时改变以使得所述改变为同步的。在稍微更复杂实施例中,也可使用基于时间的触发布置,但可针对每一操纵参数选择不同独特触发时间间隔。因此,假身份参数值可能以时间间隔X改变,身份参数的选择将根据时间间隔Y改变,且其中执行此类改变的位置将以时间间隔Z发生,其中X、Y及Z为不同值。
应了解,在依赖于时钟时间作为触发机制的本发明的实施例中,提供如各种模块105、106、107、113、114中的时钟之间的同步以确保包不会由于未辨识的身份参数而丢失或丢弃是有利的。同步方法为众所周知的且任何适合同步机制均可用于此目的。举例来说,可通过使用高度准确时间参考(例如GPS时钟时间)而将模块同步。或者,可将独特无线同步信号从中央控制设施广播到模块中的每一者。
在其最简单形式中,被动性触发可基于基于用户激活的方案、基于包检验的方案、基于拥塞水平的方案、基于启发性算法的方案及/或基于NBA分析的方案。在基于用户激活的方案中,用户-软件交互定义触发事件。举例来说,当计算装置(例如,图1的计算装置101到103)的用户按压用户接口的给定按钮时,发生触发事件。
基于包检验的方案可涉及分析包以获得识别包的起源的识别符、包的目的地、所述起源或目的地所属的群组及/或包中所含有的有效负载的类型。基于包检验的方案还可涉及分析包以确定其中是否含有码字。用于实现此包检验的技术为此项技术中众所周知的。现在已知或未来将知晓的任何此类技术均可在无限制的情况下与本发明一起使用。在一些实施例中,当识别符的值匹配预定义值时发生被动性触发事件。
在包检验情景中,在包中包含特定类型的内容充当触发或用于基于其选择触发的时序方案的参数。举例来说,触发事件可定义为在以下时刻发生:(a)当实体的特定人员(例如,军事单位的指挥官)将信息传达到所述实体的其它成员时;及/或(b)当包内含有特定码字时。替代地或另外,触发事件可定义为在如由根据特定包检验应用程序选择的时序方案定义的每N秒时间间隔期满时发生,其中N为整数。在此方面,应理解,在一些实施例中,可在以下时刻选择第一时序方案:(a)当实体的第一人员(例如,军事单位的指挥官)请求与所述实体的其它成员的通信会话时;或(b)当包内存在特定码字时。可在以下时刻选择第二不同时序方案:(a)当实体的第二人员(例如,军事单位的副指挥官)请求与所述实体的其它成员的通信会话时;或(b)当包内存在第二码字时等等。本发明的实施例不限于上文所提供的实例的细节。在此方面,应理解,包中所包含的其它内容可定义触发事件。举例来说,如果包的有效负载包含敏感或机密信息,那么可根据所述信息的敏感度或机密性的水平选择新任务计划或安全性模型。
对于此类基于时间的触发布置,操纵参数中的一或多者可根据预定时钟时间每N(例如,60)秒改变。在一些实施例中,所有操纵参数可同时改变以使得所述改变为同步的。在稍微更复杂实施例中,也可使用基于时间的触发布置,但可针对每一操纵参数选择不同独特触发时间间隔。因此,假身份参数值可能以时间间隔X改变,身份参数的选择将根据时间间隔Y改变,且其中执行此类改变的位置将以时间间隔Z发生,其中X、Y及Z为不同值。
基于拥塞水平的方案可涉及:监视并追踪计算机网络内的拥塞水平;将当前拥塞水平与阈值进行比较;及基于所述比较的结果从多个任务计划/模型选择任务计划或安全性模型。在一些情景中,当当前拥塞水平等于、大于或小于阈值时选择新任务计划或安全性模型。以此方式,任务计划或安全性模型改变基于计算机网络内的拥塞水平的改变以明显不规则的时间间隔发生。
基于启发性算法的方案可涉及分析网络以确定其的状态。此网络分析可涉及在一天的特定时间监视网络的业务型式(例如,用户的数目)、协议型式及/或熵型式(即,谁正与谁通信)。可通过收集关于网络装备使用(例如,处理器的使用)的信息及从网络装置(例如,网络服务器)存在的连接的数目而确定业务型式。可将所收集信息与预定义表或矩阵的内容进行比较以识别计算机网络内当前存在多个可能业务型式中的哪一业务型式。至少基于此比较操作的结果,可从多个任务计划及/或安全性模型选择新任务计划或安全性模型以供在计算机网络中利用。
在一些启发性情景中,任务计划及/或安全性模型可经配置以使得尽管计算机网络中的实际业务量改变但仍维持其内的恒定高业务水平。所述恒定高业务水平通过根据网络中的实际业务量调整(即,增加或减少)所述网络的噪声电平而维持。因此,在任何给定时间掩蔽实际业务量及业务型式的类型。
可通过收集关于与网络资源相关的用户活动的信息而确定协议型式。此信息可包含但不限于计算机网络的至少一个用户的用户活动的历史、用户活动开始的时间、用户活动停止的时间、用户活动已消逝的时间及识别计算机网络的至少一个用户正执行的同时发生的用户活动的信息。所收集信息可经分析以确定某一协议型式当前是否存在。如果确定当前存在特定协议型式,那么可从多个任务计划/模型选择新任务计划或安全性模型以供在计算机网络中利用。以此方式,任务计划或安全性模型改变基于协议型式的改变(更特定来说,用户活动的改变)以明显不规则的时间间隔发生。
可通过收集关于谁正经由计算机网络彼此通信的信息而确定熵型式。基于所收集信息,从多个任务计划/模型选择新任务计划或安全性模型以供在计算机网络中利用。在此情景中,任务计划或安全性模型改变基于参与通信会话的各方的改变以明显不规则的时间间隔发生。
出于确定潜在安全性威胁、NBA的层级、NBA的类型及/或当前正对计算机网络进行的NBA攻击的数目的目的执行NBA分析。此类NBA分析为此项技术中众所周知的,且因此将不在本文中描述。仍应理解,此类NBA分析可涉及:监视并追踪计算机网络内的攻击事件;及出于确定是否存在潜在安全性威胁及/或确定NBA攻击的层级及/或NBA攻击的类型的目的执行LUT操作。现在已知或未来将知晓的任何NBA分析技术均可在无限制的情况下与本发明一起使用。一旦完成NBA分析,即可基于NBA分析的结果从多个任务计划/模型选择新任务计划或安全性模型以供在计算机网络中利用。举例来说,如果已确定NBA为低层级NBA及/或为第一类型,那么从多个任务计划或安全性模型选择第一任务计划或安全性模型。相比之下,如果已确定NBA为高层级NBA及/或为第二类型,那么从多个任务计划或安全性模型选择第二不同任务计划或安全性模型。在此情景中,任务计划或安全性模型改变基于NBA攻击的层级及/或NBA攻击的类型的改变以明显不规则的时间间隔发生。另外或替代地,在当前正对计算机网络进行相同或不同层级及/或类型的两个或两个以上NBA攻击时,可选择新任务计划或安全性模型。在此情景中,任务计划或安全性模型改变基于当前正执行的攻击的数目的改变以明显不规则的时间间隔发生。
在本发明的实施例中,可由网络安全性软件套件识别NBA。或者,可在于模块105、106、107、113、114处接收到数据包后即刻识别NBA,其中所述包含有与网络操纵的目前状态不一致的一或多个身份参数。无论用于识别NBA的基础如何,此NBA的存在均可充当被动性触发事件,如上文所描述。
基于上文所描述的方案的主动性/被动性触发事件可引起相同类型的网络操纵。举例来说,假身份参数、身份参数的选择及身份参数变换的位置可保持稳定(即,不改变),只是其中检测到以下各项中的一或多者的情况除外:时钟时间;具有特定起源或目的地的包;包中所含有的码字;包中所含有的秘密或机密信息;特定拥塞水平;特定业务型式;特定协议型式;特定熵型式;安全性威胁;特定层级及/或类型的NBA;及当前正对计算机网络进行的NBA的特定数目。举例来说,在其中频繁网络操纵是合意的以便增加其安全性的计算机网络中可能选择此布置。
或者,基于上文所描述的方案的主动性/被动性触发事件可引起不同类型的网络操纵。在此类实施例中,与基于包检验及/或启发性算法的结果的触发事件相比,基于NBA分析的结果的触发事件可对网络操纵具有不同影响。举例来说,基于NBA的触发事件可引起网络操纵的策略性或防御性改变以便更积极应对此类NBA。此类措施的精确本性可取决于威胁的本性,但可包含多种响应。举例来说,可选择不同伪随机算法,及/或可增加每一IDP集合120中经选择以用于操控的身份参数的数目。此外,响应可包含增加网络操纵的频率。因此,可关于以下各项做出更频繁改变:(1)假身份参数值;(2)在每一IDP集合中待改变的身份参数的选择;及/或(3)其中改变身份参数的第一及第二位置的定位。因此,本文中所描述的网络操纵提供用于基于多种因素以纯自发方式改变任务计划或安全性模型,借此增加其安全性的方法。
任务计划
根据本发明的优选实施例,根据任务计划控制本文中所描述的网络操纵。任务计划为定义及控制网络的上下文及至少一个安全性模型内的操纵能力的方案。如此,任务计划可表示为从NAC 104传达到图1的每一模块105到107、113到114的数据文件。任务计划此后由每一模块用以控制身份参数的操控且使其活动与网络中的其它模块的动作协调。
根据优选实施例,任务计划可由网络管理员不时地修改以更新或改变网络操纵阻挠潜在对手的方式。如此,任务计划给网络管理员提供促进对网络操纵将在网络内发生的时间、地点及方式的完全控制的工具。此更新能力允许网络管理员使计算机网络的行为适合当前操作条件且更有效地阻挠对手渗入网络的努力。可由用户定义及存储多个任务计划以使得其可由网络内的模块存取。举例来说,多个任务计划可存储于NAC 104处且视需要传达到模块。或者,多个任务计划可存储于每一模块上且可视需要或视情况经激活以维持网络的安全性。举例来说,如果网络管理员确定或怀疑对手已发现网络的当前任务计划,那么管理员可希望改变所述任务计划。有效安全性程序也可指示周期性地改变任务计划。
创建任务计划的过程可通过对计算机网络100进行建模开始。模型的创建通过在网络命令中心处的计算机或服务器上执行的NCSA促进。举例来说,在图1中所展示的实施例中,NCSA可在NAC 104上执行。网络模型优选地包含定义计算机网络100中所包含的各种计算装置之间的数据连接及/或关系的信息。NCSA将提供促进输入此关系数据的适合接口。根据一个实施例,NCSA可促进将数据输入到可用以定义任务计划的表中。然而,在优选实施例中,使用GUI来促进此过程。
现在参考图3,NCSA可包含网络拓扑模型产生器工具。所述工具用以辅助网络管理员定义网络的各种组件中的每一者之间的关系。网络拓扑工具提供其中管理员可通过使用光标304而拖放网络组件302的工作空间300。网络管理员也可创建各种网络组件302之间的数据连接306。作为此建模过程的部分,网络管理员可提供各种网络组件(包含图1的模块105到107、113、114)的网络地址信息。
一旦已将网络建模,其即可由网络管理员保存及使用以定义各种模块105到107、113、114表现及彼此交互的方式。现在参考图4,NCSA可产生可用以进一步开发任务计划的对话框400。下拉式菜单432可用以选择待将对话框400中的设定应用于其的特定模块(例如,图1的模块105)。或者,网络管理员可使用下拉式菜单432来指示打算将对话框400中的设定应用于网络内的全部模块(例如,通过选择下拉式菜单432中的命令“全部”)。过程可通过规定是否将总是在模块中的每一者中修改固定身份参数集合或是否应使所操控的身份参数集合动态地变化而继续。如果打算使将在模块中操控的身份参数的选择或集合动态地变化,那么网络管理员可标记复选框401以指示所述偏好。如果未标记复选框401,那么待变化的身份参数集合为不随时间变化的固定集合。
对话框400包含标签402、404、406,所述标签允许用户选择他/她出于创建任务计划的目的而希望处理的特定身份参数。出于本发明的目的,对话框400促进仅三个身份参数的动态变化。具体来说,这些身份参数包含IP地址、MAC地址及端口地址。可通过提供额外标签而使更多或更少身份参数动态地变化,但所述的三个身份参数足以解释发明性概念。在图4中,用户已选择标签402来处理身份参数的IP地址类型。在标签402内,提供用于规定与选定模块内的IP地址的动态变化相关的细节的多种用户接口控件408到420。可提供更多或更少控件以促进IP地址类型的动态操控,且仅提供所展示的控件以辅助读者理解所述概念。在所展示的实例中,网络管理员可通过选择(例如,借助指向装置(例如鼠标))标记为“启用IP地址跳跃”的复选框408而启用IP地址的动态变化。类似地,网络管理员可指示将使源地址、目的地地址还是两者变化。在此实例中,标记源地址框410及目的地地址框412两者,从而指示将改变两种类型的地址。可由管理员在列表框422、424中规定源地址及目的地地址的所允许值的范围。
通过选择伪随机过程而规定用以选择假IP地址值的特定伪随机过程。在框414、415中规定此选择。不同伪随机过程可具有针对可变真随机程度的不同复杂性程度,且管理员可选择最适合计算机网络100的需要的过程。
对话框400也允许网络管理员设定待用于IP地址身份参数的动态变化的触发类型。在此实例中,用户已选择框416,从而指示基于时间的触发将用于确定何时转变为新的假IP地址值。此外,复选框418已经选择以指示基于时间的触发将在周期性基础上发生。滑块420可由用户调整以确定基于周期性时间的触发的频率。在所展示的实例中,触发频率可在每小时六个触发的发生率(每十分钟发生触发)与每小时一百二十个触发的发生率(每三十秒发生触发)之间调整。在此实例中,也可选择其它类型的触发。举例来说,对话框402包含网络管理员可借以选择基于事件的触发的复选框428、430。数个不同特定事件类型可经选择以形成用于此类基于事件的触发(例如,事件类型1、事件类型2等)的基础。这些事件类型可包含以下各项的检测:具有特定起源或目的地的包;包中所含有的码字;包中所含有的秘密或机密信息;特定拥塞水平;特定业务型式;特定协议型式;特定熵型式;安全性威胁;特定层级及/或类型的NBA;及当前正对计算机网络进行的NBA的特定数目。在图4中,标签404及406类似于标签402,但使其中的控件适合MAC地址及端口值而非IP地址的动态变化。可提供用于控制其它类型的身份参数的动态变化的额外标签。
任务计划还可规定用于使其中修改身份参数的位置动态地变化的计划。在一些实施例中,通过控制定义每一模块何时处于作用状态或旁通状态中的序列而促进此可变位置特征。因此,任务计划有利地包含规定此序列的某一方式。在本发明的一些实施例中,此可涉及使用经定义时间间隔或时隙,所述经定义时间间隔或时隙由触发事件的发生分离。
现在参考图5,对话框500可由NCSA提供以促进位置序列及时序信息的协调及输入。对话框500可包含控件502,控件502用于选择将包含于时期506内的时隙5041到504n的数目。在所图解说明的实例中,网络管理员已定义每时期四个时隙。对话框500还可包含表503,表503包含计算机网络100中的所有模块。针对所列示的每一模块,所述表包含一个时期506的可用时隙5041到5044的图形表示。应记得,对其中操控身份参数的位置的动态控制通过每一模块是处于作用操作状态中还是处于旁通操作状态中而确定。因此,在图形用户接口内,用户可移动光标508且做出选择以规定在每一时隙期间特定模块是处于作用模式中还是旁通模式中。在所展示的实例中,模块105在时隙5041及5043期间为作用的,但在时隙5042、5044期间处于旁通模式中。相反地,模块113在时隙5042、5044期间为作用的,但在时隙5041及5043期间处于旁通模式中。参考图1,此意味着身份参数的操控在时隙5041及5043期间发生于与模块105相关联的位置处,但在时隙5042、5044期间代替地发生于模块113处。
在图5中所展示的实例中,网络管理员已选择使模块114总是在作用模式中操作(即,模块114在所有时隙期间为作用的)。因此,针对从客户端计算机101发射到客户端计算机103的数据通信,数据包将交替地在模块105、113中操控,但将总是在模块114处操控。最后,在此实例中,网络管理员已选择在时隙5041到5044期间将模块106及107维持于旁通模式中。因此,在经定义时隙中的任一者期间将不在这些模块处执行身份参数的操控。一旦已在对话框500中定义模块时序,网络管理员即可选择按钮510来将改变存储为经更新任务计划的部分。可以各种格式保存任务计划。在一些实施例中,可将任务计划保存为简单表或可由每一模块用于控制模块的行为的其它类型的经定义数据结构。
任务计划的分布及加载
现在将进一步详细地描述如本文中所揭示的任务计划的分布及加载。再次参考图1,可观察到,模块105到107、113、114遍及计算机网络100分布于一或多个位置处。所述模块集成于通信路径内以拦截此类位置处的通信、执行必要操控且将数据转发到网络内的其它计算装置。在前述布置的情况下,本文中所描述的对模块的任何必要维护(例如,更新任务计划的维护)将有可能在替换模块或将模块重新编程时打断网络通信。在其中网络服务的可靠性及可用性为至关重要的许多情形下,此类打断是不合意的。举例来说,对于军事、应急服务及商业所使用的计算机网络,不中断网络操作可为至关重要的。
为了确保不中断网络操作,每一模块优选地具有数种操作状态。这些操作状态包含:(1)关断状态,其中模块被关闭电源且不处理任何包;(2)初始化状态,其中模块根据任务计划安装软件脚本;(3)作用状态,其中根据当前任务计划处理数据;及(4)旁通状态,其中包可流动通过模块,就如模块不存在一样。模块经配置以使得在其处于作用状态或旁通状态中时,模块可接收及加载由网络管理员提供的经更新任务计划。模块操作状态可由网络管理员借助于(举例来说)在NAC 104上执行的NCSA人工地控制。举例来说,用户可通过使用GUI控制面板选择各种模块的操作状态。用于控制网络的操作状态的命令经由计算机网络100传达,或者可通过任何其它适合手段来传达。举例来说,可出于所述目的而使用单独有线或无线网络(未展示)。
任务计划可直接加载于每一模块的物理位置处,或其可从NCSA传达到模块。此概念图解说明于图6中,其展示任务计划604经由通信媒体606从NCSA 602传达到模块105到107、113、114中的每一者。在所展示的实例中,NCSA软件应用程序在由网络管理员操作的NAC 104上执行。在一些实施例中,通信媒体可包含使用计算机网络100的带内发信。或者,带外网络(例如,单独无线网络)可用作通信媒体606以将经更新任务计划从NCSA传达到每一模块。如图7中所展示,NCSA可提供对话框700以促进数个任务计划702中的一者的选择。这些任务计划702中的每一者可存储于NAC 104上。网络管理员可从数个任务计划702中的一者做出选择,此后其可激活“发送任务计划”按钮704。或者,多个任务计划可传达到每一模块且存储于那儿。在任一情景中,用户可选择经定义任务计划中的一者来激活。
响应于用以发送任务计划的命令,选定任务计划在模块处于其中其经配置以用于主动地执行身份参数的动态修改的作用状态中(如本文中所描述)时传达到所述模块。此布置最小化其间网络以明文方式操作且不操控身份参数的时间。然而,经更新任务计划也可在模块处于旁通模式中时传达到所述模块,且此方法在某些情况中可为合意的。
一旦任务计划由模块接收,其即可自动地存储于模块内的存储器位置中。此后,可致使模块进入旁通状态,且在仍处于所述状态中时,模块可加载与新任务计划相关联的数据。进入到旁通状态中且加载新任务计划数据的此过程可响应于接收到任务计划而自动地发生,或可响应于来自由网络管理员控制的NCSA软件的命令而发生。所述新任务计划优选地包含改变使身份参数值变化的方式。一旦已加载新任务计划,模块105到107、113及114即可以确保不发生数据通信错误的同步方式从旁通模式转变为作用模式。任务计划可规定模块将返回到作用模式的时间,或网络管理员可使用NCSA来将命令传达到各种模块,从而引导其进入到作用模式中。更新任务计划的前述过程有利地允许网络安全性程序的改变在不打断附接到计算机网络100的各种计算装置当中的通信的情况下发生。
每一模块105、106、107、113及114处的各种身份参数的动态操控优选地由在每一模块105到107、113、114上执行的应用软件控制。然而,应用软件的行为有利地由任务计划控制。
现在参考图8,其提供概述每一模块105到107、113、114的操作的流程图。为避免混淆,关于在单个方向上的通信描述过程800。举例来说,在模块105的情况中,单个方向可涉及从客户端计算机101发射到集线器108的数据。然而,在实践中,优选地,模块105到107、113、114双向地操作。所述过程在将模块开启电源时在步骤802处开始且继续到步骤804,其中利用模块应用软件执行本文中所描述的方法。在步骤806中,从模块内的存储器位置加载任务计划。在此点处,模块准备好开始处理数据且继续进行到在步骤808处处理数据,其中其从模块的输入数据缓冲器存取数据包。在步骤810中,模块检查以确定其是否处于旁通操作模式中。如果如此,那么在步骤812中在不具有数据包的任何修改的情况下重新发射在步骤808中存取的数据包。如果模块不在旁通模式中,那么其必定在其作用操作模式中且继续到步骤814。在步骤814中,模块读取数据包以确定数据包始发于其的源节点的身份。在步骤816中,其检查包以确定源节点是否有效。可将所规定源节点与有效节点的列表进行比较以确定所规定源节点当前是否有效。如果其并非有效节点,那么在步骤818中摒弃包。在步骤820中,过程检查以确定触发事件是否发生。触发事件的发生将影响对待使用的假身份值的选择。因此,在步骤822中,模块基于触发信息、时钟时间及任务计划中的一或多者确定待使用的假身份值。模块然后继续到步骤826,其中其操控数据包的身份参数。一旦操控完成,即将数据包从模块的输出端口重新发射到邻近节点。在步骤830中,做出关于是否已命令将模块关闭电源的确定。如果如此,那么过程在步骤832处结束。在步骤808中,过程继续且从模块的输入数据缓冲器存取下一数据包。
现在参考图9,其提供概述用于管理动态计算机网络的本文中所描述的方法的流程图。过程在步骤902中开始且继续到步骤904,其中创建网络模型(例如,如关于图3所展示及描述)。在步骤906中,做出关于是否将创建新任务计划的确定。如果如此,那么在步骤908中创建新任务计划且过程继续到步骤910,其中选择新任务计划。或者,如果在步骤906中已创建所要任务计划,那么方法可直接继续到步骤910,其中选择现有任务计划。在步骤912中,将任务计划传达到模块(例如,图1的模块105到107、113、114),其中将任务计划存储于存储器位置中。当网络管理员准备好实施新任务模型时,在步骤914中发送命令,所述命令致使模块进入如本文中所描述的待用模式。当模块处于此待用模式中时,在步骤916处加载任务计划。任务计划的加载发生于每一模块处以使得可使用任务计划来控制在模块上执行的应用软件的操作。特定来说,使用任务计划来控制应用软件执行身份参数的动态操控的方式。在步骤918中,再次致使任务模块进入到其中每一任务模块根据任务计划执行身份参数的操控的作用操作模式中。步骤914、916及918可响应于从网络管理员发送的特定命令而发生,或可响应于在步骤912中接收到任务计划而在每一模块处自动地发生。在步骤918之后,模块根据已加载的任务计划继续执行处理。在步骤920中,过程通过检查以确定用户是否已指示改变任务计划的期望而继续;如果如此,那么过程返回到步骤906,其中其如上文所描述地继续。如果不存在用户或网络管理员希望改变现有任务计划的指示,那么过程在步骤922中确定其是否已被指示终止。如果如此,那么过程在步骤924中终止。如果未接收到终止指令,那么过程返回到步骤920且继续。
现在参考图10,其提供展示可用于执行本文中所描述的身份参数的操控的示范性模块1000的计算机架构的框图。模块1000包含经由总线1022彼此通信的处理器1012(例如中央处理单元(“CPU”))、主存储器1020及静态存储器1018。模块1000可进一步包含用以指示模块的状态的显示器单元1002,例如液晶显示器(“LCD”)。模块1000还可包含允许模块同时在两个单独数据线上接收及发射数据的一或多个网络接口装置1016、1017。两个网络接口端口促进图1中所展示的布置,其中每一模块经配置以同时拦截及重新发射从网络上的两个单独计算装置接收的数据包。
主存储器1020包含其上存储有经配置以实施本文中所描述的方法、程序或功能中的一或多者的一或多组的指令1008(例如,软件代码)的计算机可读存储媒体1010。指令1008也可在其由模块执行期间完全或至少部分地驻存于静态存储器1018内及/或处理器1012内。静态存储器1018及处理器1012也可构成机器可读媒体。在本发明的各种实施例中,连接到网络环境的网络接口装置1016使用指令1008经由网络通信。
指令1008致使模块1000用作基于包的静态网络的那些身份参数与基于包的MTT启用网络的那些身份参数之间的身份参数翻译器。图11中提供基于包的静态网络的常规协议堆栈。根据图11中所展示的实施例,协议堆栈1100包含规定基于包的静态网络内的节点的特定功能的五个层1102、1104、1106、1108、1110。本发明仍在此方面并不受限。根据特定的基于包的静态网络应用,协议堆栈1100可包含任何数目个层。举例来说,如果静态网络采用开放式系统互连(“OSI”)协议堆栈,那么协议堆栈1100可进一步包含会话层及呈现层。
再次参考图11,协议堆栈1100提供图解说明如何将信息从安装于静态网络的第一节点(例如,客户端计算机)中的软件应用程序传递到安装于静态网络的第二节点(例如,客户端计算机)中的软件应用程序的框架。协议堆栈1100为所属领域的技术人员众所周知的。因此,本文中将不详细描述协议堆栈1100。然而,下文提供简要论述以辅助读者理解至少由图1的模块105到108、114执行的身份参数翻译。
如图11中所展示,协议堆栈1100由物理层1102、数据链路层1104、网络层1106、输送层1108及应用程序层1110构成。物理层1102由经配置以通过网络发送及接收数据的固件及/或硬件构成。数据链路层1104提供用于在网络节点之间传送数据的发射协议。此类发射协议可包含以太网协议(或IEEE 802.3协议)、点对点协议、IEEE 802.11协议、IEEE 802.15协议、IEEE 802.16协议及其它此类协议。
数据链路层1104可由两个(2)子层构成,即逻辑链路控制(“LLC”)层1114及媒体接入控制(“MAC”)层1112。LLC层1114由经配置以在经由MAC层1112发射协议之前将协议多路复用且在发射协议之后及在接收到协议后即刻将协议多路分用的固件及/或硬件构成。LLC层1114也由经配置以提供包的流控制、包的检测及经丢弃包的重新发射的固件及/或硬件构成。
MAC层1112由经配置以确定何时发射通信及何时接收通信的固件及/或硬件构成。就这一点来说,MAC层1112执行涉及协调对共享无线电信道的接入及利用增强经由无线链路的通信的协议的动作。如本文中所使用的术语“协议”是指定义如何在网络节点之间交换信息的一组规则。此类网络节点包含但不限于客户端计算机、服务器、路由器、交换器及桥接器。MAC层1112提供用于在网络节点之间传送数据的发射协议。此类发射协议包含MAC协议。MAC协议确保从不同节点跨越相同信道发送的信号不冲突。
网络层1106由经配置以将数据从一个节点传送到另一节点的固件构成。就这一点来说,网络层1106提供用于将数据从一个节点传送到另一节点的协议。发射协议包含路由协议及转发协议。此类发射协议包含因特网协议,例如版本4因特网协议(“IPv4”)、版本6因特网协议(“IPv6”)及因特网安全性协议(“IP层安全性”)。
输送层1108由经配置以在最终系统之间传达数据的固件构成。就这一点来说,输送层1108提供用于在最终系统之间发射数据的输送协议。此类输送协议包含发射控制协议(“TCP”)及用户数据报协议(“UDP”)。应用程序层1110通常仅实施于固件中。应用程序层1110提供用于最终用户应用程序(例如验证应用程序、数据语法应用程序、服务质量应用程序及最终用户应用程序)的发信协议。
现在参考图12,其提供静态网络的常规包1200的框图。包1200由报头1202、物理层协议标头1204、MAC层协议标头1206、LLC层协议标头1208、网络层协议标头1210及输送层协议标头1212构成。包1200也由应用程序层标头1214、应用程序数据1216及帧校验序列(“FCS”)1218构成。如本文中所使用,短语“帧校验序列”是指添加到通信协议中的包或帧的用于错误检测及校正的额外校验和字符。包1200的所列示分量中的每一者为所属领域的技术人员众所周知的且在局域网及城域网以及因特网工程任务小组(“IEFT”)的电气与电子工程师学会(“IEEE”)标准的开放式工业标准中良好定义。因此,本文中将不详细描述此类分量。
然而,应了解,应用程序数据1216可为发信协议数据、用户数据或管理数据。用户数据可包含话音数据、视频数据或诸如此类。还应了解,应用程序数据1216囊封于应用程序层标头1214与FCS 1218之间。应用程序层标头1214囊封于输送层协议标头1212与应用程序数据1216之间。类似地,输送层协议标头1212囊封于网络层协议标头1210与应用程序层标头1214之间。同样,网络层协议标头1210囊封于LLC层协议标头1208与输送层协议标头1212之间。LLC层协议标头1208囊封于MAC层协议标头1206与网络层协议标头1210之间。MAC层协议标头1206囊封于物理层协议标头1204与LLC层协议标头1208之间。物理层协议标头1204囊封于报头1202与MAC层协议标头1206之间。
输送层协议标头1212包括源及目的地端口编号1220。端口为充当计算机的操作系统中的通信端点的专用软件构造。针对每一IP地址及协议,端口通过十六位数(即,端口编号1220)识别。
输送层协议标头1212还包括TCP序号1222。在TCP会话的相对侧上彼此通信的两个客户端计算机将各自维持TCP序号1222。TCP序号1222允许每一计算机追踪其已传达多少数据。TCP序号包含于在会话期间传达的每一包的TCP标头部分中。在起始TCP会话时,随机地选择初始序号值。
网络层协议标头1210包括源及目的地IP地址1224。IP地址1224是指派给参与计算机网络的计算装置的数字识别符,其中所述网络使用众所周知的因特网协议进行通信。IP地址1224可在IPv4系统中为三十二位数或在IPv6系统中为一百二十八位数。IP地址1224为二进制数,但其通常存储于文本文件中且以人类可读标记显示(例如,IPv4系统的175.18.252.1.及IPv6的2003∶db6∶0∶1234∶0∶469∶6∶1)。
在一些实施例中,每一IP地址1224可视为单个身份参数。然而,IP地址1224通常定义为包含至少两部分,其包含网络前缀1228及主机编号1230。网络前缀1228识别待将数据包1200传达到其的网络。主机编号1230识别局域网(“LAN”)内的特定节点。子网络(有时称为子网)为IP网络的逻辑部分。在网络被划分成两个或两个以上子网的情况下,IP地址1224的主机编号1230的一部分用以规定子网编号1232。出于本发明的目的,网络前缀1228、子网编号1232及主机编号1230可各自视为单独身份参数。由于在网络层协议标头1210中含有源IP地址及目的地IP地址,因此在标头1210中存在总共六个不同身份参数。
MAC层协议标头1206包括MAC地址1226。MAC地址1226是由制造商指派给网络接口装置且存储于板上ROM中的唯一值。取决于协议堆栈1100的MAC层1112所采用的协议,MAC地址1226可包含四十八位数或六十四位数。
MTT启用网络采用MTT协议堆栈的协议。图13中提供示范性MTT协议堆栈1300的示意性图解说明。如图13中所展示,MTT协议堆栈1300包括规定MTT启用网络内的节点的特定功能的五个层1302到1314。值得注意的是,一些层1302、1310、1314与协议堆栈1100的那些层1102、1110、1114相同。如此,上文关于这些层1102、1110、1114所提供的说明足以理解图13的层1302、1310、1314。然而,MTT协议堆栈1300包括不同于协议堆栈1100的那些层1104到1108的层1304到1308。如此,下文将提供这些层的简要论述。
MTT数据链路层1304可由两个(2)子层构成,即LLC层1314及MTT MAC层1312。LLC层1314与图11的LLC层1114相同或实质上类似。如此,上文关于层1114所提供的说明足以理解层1314。MTT MAC层1312不同于图11的MAC层1112。就这一点来说,应理解,MAC层1112针对每一网络接口装置采用静态MAC地址1226。相比之下,MTT MAC层1312针对每一网络接口装置采用非静态MAC地址(例如,图14的MTT MAC地址1426)。非静态MAC地址可动态地变化。举例来说,可在MTT启用网络的操作期间随机地或伪随机地改变非静态MAC地址。
MTT网络层1306不同于图11的网络层1106。就这一点来说,应理解,网络层1106采用静态IP地址1224。相比之下,MTT网络层1306的IP地址(例如,图14的MTT IP地址1424)为非静态(即,可在MTT启用网络的操作期间使其动态地变化)。举例来说,可根据伪随机过程改变IP地址编号。
MTT输送层1308不同于图11的输送层1108。输送层1108采用静态端口编号1220及静态TCP序号1222。相比之下,MTT输送层1308所采用的端口编号(例如,图14的编号1420)及TCP序号(例如,图14的编号1422)为非静态的。就这一点来说,应理解,可根据随机或伪随机过程改变非静态端口编号及序号中的每一者。
现在参考图14,其提供MTT启用网络的示范性MTT包1400的示意性图解说明。MTT包1400由报头1402、物理层协议标头1404、MTT MAC层协议标头1406、LLC层协议标头1408、MTT网络层协议标头1410、MTT输送层协议标头1412、应用程序层标头1414、应用程序数据1416及FCS 1418构成。MTT包1400的部分1402、1404、1408、1414、1416、1418与图12的部分1202、1204、1208、1214、1216、1218相同或实质上类似。如此,上文关于部分1202、1204、1208、1214、1216、1218所提供的说明足以理解MTT包1400的部分1402、1404、1408、1414、1416、1418。然而,部分1406、1410、1412不同于图12的部分1206、1210、1212。如此,本文中将描述部分1406、1410、1412中的每一者。
MTT输送层协议标头1412包括MTT源及目的地端口编号1420。端口为充当计算机的操作系统中的通信端点的专用软件构造。针对每一IP地址及协议,端口通过十六位数识别。所述十六位数关于MTT启用网络称为MTT端口编号1420。值得注意的是,每一MTT端口编号1420为非静态编号(即,其可由模块根据随机或伪随机过程改变)。MTT输送层协议标头1412还包括MTT TCP序号1422。MTT TCP序号1422为非静态编号。MTT端口编号1420及MTT TCP序号1422的操控可通过简单修改TCP标头信息以改变其值而实现。
MTT网络层协议标头1410包括源及目的地MTT IP地址1424。可根据随机或伪随机过程使每一MTT IP地址1424的值动态地变化。每一MTT IP地址1424包括MTT前缀1428及MTT主机编号1430。也可在MTT启用网络的操作期间使这些分量1428、1430中的每一者动态地变化。MTT IP地址1424、MTT前缀1428及MTT主机编号1430的操控可通过简单修改MTT网络层协议标头1410的IP标头信息而实现。
MTT MAC层协议标头1406包括MTT MAC地址1426。可在MTT启用网络的操作期间使MTT MAC地址1426动态地变化。MTT MAC地址1426的操控可通过简单修改MTT MAC层协议标头1406的以太网标头信息而实现。
现在参考图15,其提供对于理解模块1000在其实施为硬件时的操作有用的示意性图解说明。如图15中所展示,模块1000根据协议堆栈1200、1400两者执行操作。就这一点来说,模块1000经配置以将MTT包1400传达到MTT启用网络节点1502(例如,图1的节点104到109、111或112)及从MTT启用网络节点1502传达MTT包1400。模块1000还经配置以将常规包1200传达到静态启用网络节点1506(例如,图1的节点101到103、110或115)及从静态启用网络节点1506传达常规包1200。模块1000进一步经配置以将常规包1200转换成MTT启用包1400且反之亦然。此包转换经由身份参数翻译(“IPT”)1504实现。用于实现IPT的过程通常涉及:将包1200、1400的应用程序层部分1214、1216、1414、1416解囊封及重新囊封。用于将包囊封及解囊封的方法为此项技术中众所周知的且因此将不在本文中描述。用于将包囊封及解囊封的任何已知方法或将知晓的方法可在无限制的情况下与本发明一起使用。图16及17中图解说明用于实现IPT的此类过程的实例。
如图16中所展示,示范性过程1600在步骤1602处开始且以步骤1604继续。在步骤1604中,通过从常规包1200移除报头1202及标头1204到1212而将所述包的应用程序层部分1214、1216解囊封。在下一步骤1606中,根据MTT协议堆栈1300的协议产生包分量1402到1414。此后,执行步骤1608,其中重新囊封应用程序层部分1214、1216以便形成MTT包1400。通过将包分量1402到1414附加到应用程序层部分1214、1216而实现重新囊封。在完成步骤1608后,过程1600即刻结束或执行其它处理。
如图17中所展示,示范性过程1700在步骤1702处开始且以步骤1704继续。在步骤1704中,通过从MTT包1400移除报头1402及标头1404到1412而将包1400的应用程序层部分1414、1416解囊封。接下来,在步骤1706中,根据常规协议堆栈1200的协议产生包分量1204到1214。在下一步骤1708中,通过将报头1202及标头1204到1214附加到应用程序层部分1414、1416而重新囊封应用程序层部分1414、1416以便形成常规包1200。
现在参考图18,其展示根据发明性布置的示范性NAC 104。NAC 104可包括各种类型的计算系统及装置,包含服务器计算机、客户端用户计算机、个人计算机(“PC”)、平板PC、膝上型计算机、桌上型计算机、控制系统或能够执行规定所述装置待采取的动作的一组指令(循序或其它)的任何其它装置。此外,尽管图18中图解说明单个计算机,但短语“NAC”应理解为包含个别地或联合地执行一组(或多组)指令以执行本文中所论述的方法中的任一者或多者的计算装置的任何集合。
现在参考图18,NAC 104包含经由总线1822彼此通信的处理器1812(例如CPU)、磁盘驱动单元1806、主存储器1820及静态存储器1818。NAC 104可进一步包含显示器单元1802,例如视频显示器(例如,LCD)、平板显示器、固态显示器或阴极射线管(“CRT”)。NAC 104可包含用户输入装置1804(例如,键盘)、光标控制装置1814(例如,鼠标)及网络接口装置1816。
磁盘驱动单元1806包含其上存储有经配置以实施本文中所描述的方法、程序或功能中的一或多者的一或多组指令1808(例如,软件代码)的计算机可读存储媒体1810。指令1808也可在其执行期间完全或至少部分地驻存于主存储器1820、静态存储器1818内及/或处理器1812内。主存储器1820及处理器1812还可构成机器可读媒体。
所属领域的技术人员应了解,图10到17中所图解说明的模块架构及图18中的NAC架构各自表示可分别用于执行本文中所描述的方法的计算装置的仅一个可能实例。然而,本发明在此方面并不受限,且任何其它适合计算装置架构也可在无限制的情况下使用。包含但不限于专用集成电路、可编程逻辑阵列及其它硬件装置的专用硬件实施方案可同样地经构造以实施本文中所描述的方法。可包含各种实施例的装备及系统的应用广义地包含多种电子及计算机系统。一些实施例可借助在模块之间及贯通模块传达的相关控制及数据信号或作为专用集成电路的部分实施两个或两个以上特定互连的硬件装置中的功能。因此,示范性系统适用于软件、固件及硬件实施方案。
根据本发明的各种实施例,本文中所描述的方法作为软件程序存储于计算机可读存储媒体中且经配置以在计算机处理器上运行。此外,软件实施方案可包含但不限于也可经构造以实施本文中所描述的方法的分布式处理、组件/对象分布式处理、并行处理、虚拟机器处理。
尽管在图10及18中将计算机可读存储媒体1010、1810展示为单个存储媒体,但术语“计算机可读存储媒体”应视为包含存储一或多组指令的单个媒体或多个媒体(例如,集中式或分布式数据库及/或相关联高速缓冲存储器及服务器)。术语“计算机可读存储媒体”也应视为包含能够存储、编码或携载供由机器执行的一组指令且致使机器执行本发明的方法中任一者或多者的任何媒体。
术语“计算机可读媒体”应相应地视为包含但不限于固态存储器(例如存储器卡或者装纳一或多个只读(非易失性)存储器、随机存取存储器或其它可重复写入(易失性)存储器的其它包);磁光媒体或光学媒体(例如磁盘或磁带)。因此,本发明应视为包含如本文中所列示的计算机可读媒体中的任一者或多者且包含已认可的等效物及其中存储有本文中的软件实施方案的后续任务媒体。
影子联网
在一些情景中,上文所描述的计算机网络仍可易受恶意攻击。因此,本发明提供用以使用上文所描述的MTT技术检测、阻断及延迟计算机网络的攻击者的方式。本发明采用影子联网来检测、阻断及延迟攻击者。一般来说,影子联网涉及使用身份参数值来检测指示存在正对计算机网络进行的可能恶意攻击的可疑包。一旦已检测到可能恶意攻击,即可采取一或多个动作以便阻断及/或延迟攻击者。此类动作可包含但不限于:分析可疑包以确定其源;追踪可疑包的源;记录与可疑包相关的信息;丢弃可疑包及/或将响应发送到可疑包的源。可出于以下目的而执行所列示动作:(a)使攻击者难以确定计算机网络中所含有的网络装置的位置及/或类型;及/或(b)隐藏已检测到攻击尝试的事实。
现在将关于图19到21描述影子联网的细节。图19是两个示范性任务计划1900、1902的示意性图解说明。如图19中所展示,每一任务计划含有描述网络装置将如何根据MTT技术及影子联网技术行动的任务模型1904、1906。更特定来说,每一任务模型1904、1906规定将在相应任务计划1900、1902由计算机网络(例如,图1的计算机网络100)采用的时间周期期间周期性地改变至少一个网络装置ND1、ND2(例如,图1的网络装置105到109、111及/或112)的至少一个身份参数(例如,图14的身份参数1420、1422、1424、1426、1428及/或1432)的值。举例来说,每一任务模型1904、1906规定将在相应任务计划1900、1902由计算机网络采用时周期性地改变两个网络装置的IP地址的值。本发明的实施例在此方面并不受限。任务模型1904、1906可指示将在任务计划1900、1902由计算机网络采用时周期性地改变不同身份参数的值。
如图19中所展示,每一任务模型1904、1906指示将一真值及多个假值指派给网络装置ND1、ND2的身份参数。举例来说,每一任务模型1904、1906指示每一网络装置ND1、ND2的IP地址具有九个可能值TV、FV1、FV2、FV3、FV4、FV5、FV6、FV7、FV8。网络装置ND1的IP地址的九个可能值包含真值TV1=175.18.252.1及假值FV1-1=176.18.252.1,FV1-2=175.18.252.2,FV1-3=176.18.253.1,FV1-4=177.18.252.2,FV1-5=178.18.254.1,FV1-6=179.20.252.3,FV1-7=177.18.262.5,FV1-8=179.12.263.7。网络装置ND2的IP地址的所述九个可能值包含真值TV2=172.14.236.7及假值FV2-1=176.18.252.1,FV2-2=175.18.254.2,FV2-3=179.20.252.3,FV2-4=179.12.263.7,FV2-5=172.16.242.9,FV2-6=179.18.251.3,FV2-7=170.20.242.1,FV2-8=179.14.262.1。
如从上文陈述显而易见,网络装置ND1、ND2具有指派给其IP地址的一些相同假值(即,176.18.252.1、178.18.254.1、179.20.252.3、179.12.263.7)。这些假值在本文中称为共同假值。值得注意的是,共同假值不作用(或不使用)于(a)网络装置ND1(在其采用任务计划1900的时间周期期间)及(b)网络装置ND2(在其采用任务计划1902的时间周期期间)。如此,共同假值构成(a)网络装置ND1(在其采用任务计划1900时)及(b)网络装置ND2(在其采用任务计划1902时)的“空白”身份参数值(“IDPV”)。相比之下,共同假值作用(或使用)于(a)网络装置ND2(在其采用任务计划1900的时间周期期间)及(b)网络装置ND1(在其采用任务计划1902的时间周期期间)。因此,共同假值构成(a)网络装置ND2(在其采用任务计划1900时)及(b)网络装置ND1(在其采用任务计划1902时)的“作用”IDPV。
虽然图19指示任务计划1904的所有“空白”IDPV在任务计划1906中均是“作用”IDPV,但本发明的实施例在此方面并不受限。举例来说,任务模型1904、1906可规定至少一个假值构成特定网络装置ND1或ND2(在其采用任任务计划1900、1902时)的“空白”IDPV。
每一任务模型1904、1906还规定其中将使用网络装置的“作用”IDPV的时隙。举例来说,任务模型1904规定:将在第二时隙TS1期间使用网络装置ND1的IP地址的假值FV1-3;将在第二时隙TS2期间使用网络装置ND1的IP地址的真值TV1;将在第二时隙TS3期间使用网络装置ND1的IP地址的假值FV1-7;将在第二时隙TS4期间使用网络装置ND1的IP地址的假值FV1-4;且将在第二时隙TS5期间使用网络装置ND1的IP地址的假值FV1-2。任务模型1904还规定:将在第二时隙TS1期间使用网络装置ND2的IP地址的假值FV2-1;将在第二时隙TS2期间使用网络装置ND2的IP地址的假值FV2-2;将在第二时隙TS3期间使用网络装置ND3的IP地址的假值FV2-3;将在第二时隙TS4期间使用网络装置ND2的IP地址的假值FV2-4;且将在第二时隙TS5期间使用网络装置ND2的IP地址的真值TV2。
每一任务计划1904、1906进一步规定将由计算机网络的模块(例如,图1的模块105到107、113及114)在其操作期间执行影子联网活动。举例来说,任务计划1904指示每一模块将分析在其处接收的每一包以确定其是否含有与网络装置ND1及/或网络装置ND2相关联的IP地址的“空白”IDPV或“旧(或影子)”IDPV。如果模块确定所接收包包括与网络装置ND1及/或网络装置ND2相关联的IP地址的“空白”IPDV,那么丢弃所述包且将其转发到入侵分析器以使得可记录其信息。相比之下,如果模块确定所接收包包括与网络装置ND1及/或网络装置ND2相关联的IP地址的“旧(或影子)”IPDV,那么将包转发到入侵分析器以使得可记录其信息且可将响应发射到其源。下文将关于图20A到20E更详细地描述“旧(或影子)”IPDV。
现在参考图20A到20E,其提供对于理解构成“旧(或影子)”IPDV的内容有用的示意性图解说明。图20A中提供任务计划1900的时间结构2000。如图20A中所展示,在时帧2020、2022期间网络装置ND1、ND2采用任务计划1900。图20B中提供任务计划1902的时间结构2002。如图20B中所展示,在时帧2024、2026期间网络装置ND1、ND2采用任务计划1902。图20C中提供从任务计划1900到任务计划1902的转变的时间结构2004。如图20C中所展示,任务计划转变响应于触发事件2006而发生在时帧2022结束时。触发事件2006包含上文所描述的主动性或被动性触发事件中的任一者。
虽然图20A到20C指示在两个连续时帧内采用每一任务计划1900、1902,但本发明的实施例在此方面并不受限。在两个触发事件之间的时间周期期间,可在时帧的一部分、一个时帧或者两个或两个以上连续时帧内采用每一任务计划1900、1902。此外,可根据触发事件的发生在不同数目个连续或非连续时帧内采用任务计划1900、1902。
图20D提供图20A中所展示的时帧2020、2022的更详细示意性图解说明。类似地,图20E提供图20B中所展示的时帧2024、2026的更详细示意性图解说明。下文将详细描述图20D的内容。然而,下文将不详细描述图20E的内容,因为图20D的论述足以理解图20E。
如图20D中所展示,每一时帧2020、2022包括多个时隙TS1、TS2、TS3、TS4、TS5。每一时隙TS1、TS2、TS3、TS4、TS5具有相同静态持续时间、相同可变持续时间或不同持续时间。每一时隙TS1、TS2、TS3、TS4、TS5规定任务计划1900中的与网络装置ND1、ND2相关联的给定“作用”IDPV用于传达到其及从其传达的包中的身份参数值的时间周期。
图20D还展示每一时帧2020、2022的时隙TS1、TS2、TS3、TS4、TS5具有与其相关联的用于每一网络装置ND1、ND2的若干“影子”IDPV集合。每一“影子”IDPV集合包含若干IPDV,所述IPDV:(a)在任务计划1900中定义为相应网络装置的“作用”IPDV;(b)先前用作传达到相应网络装置ND1或ND2或者从相应网络装置ND1或ND2传达的包中的身份参数值;及(c)在当前时隙TS1、TS2、TS3、TS4或TS5期间不用作身份参数值。举例来说,时帧2020为其中使用任务计划1900的第一时帧。因此,在时帧2020的时隙TS1期间,不存在用于网络装置ND1及ND2的“影子”身份。在时帧2020的时隙TS2中,用于网络装置ND1、ND2的“影子”身份分别包括FV1-3、FV2-1。在时帧2020的时隙TS3中,用于网络装置ND1、ND2的“影子”身份分别包括TV1、FV1-3、FV2-1、FV2-2。在时帧2020的时隙TS4中,用于网络装置ND1、ND2的“影子”身份分别包括TV1、FV1-3、FV1-7、FV2-1、FV2-2、FV2-3。在时帧2020的时隙TS5中,用于网络装置ND1、ND2的“影子”身份分别包括TV1、FV1-3、FV1-4、FV1-7、FV2-1、FV2-2、FV2-3、FV2-4。在时帧2022的时隙TS1中,用于网络装置ND1、ND2的“影子”IPDV包括TV1、FV1-2、FV1-4、FV1-7、TV2、FV2-2、FV2-3、FV2-4等等。这些“影子”身份可由模块在时隙TS1期间用以检测对计算机网络(例如,图1的计算机网络100)的可能恶意攻击。使用“影子”身份来检测可能恶意攻击的方式将随论述进展而变得更加显而易见。
值得注意的是,可提供图20D的滑动窗间隔2050、2052、2054、2056以考虑到包从驻存于第一位置(例如,美国)处的源装置行进到位于第二远程位置(例如,英国)处的目的地装置所花费的时间(例如,三秒)。在一些实施例中,滑动窗间隔可为可视需要停用或启用的特征。在每一滑动窗间隔期间,模块可出于检测可能恶意攻击的目的而在先前时隙内使用“影子”IDPV且在当前时隙内使用“影子”IDPV。举例来说,在滑动窗间隔2050期间,模块出于检测可能恶意攻击的目的而在时隙TS1内使用“影子”IDPV且在时隙TS2内使用“影子”IDPV。在滑动窗间隔2052期间,模块出于检测可能恶意攻击的目的而在时隙TS2内使用“影子”IDPV且在时隙TS3内使用“影子”IDPV。在滑动窗间隔2054期间,模块出于检测可能恶意攻击的目的而在时隙TS3内使用“影子”IDPV且在时隙TS4内使用“影子”IDPV。在滑动窗间隔2056期间,模块出于检测可能恶意攻击的目的而在时隙TS4内使用“影子”IDPV且在时隙TS5内使用“影子”IDPV。
如图20D中所展示,滑动窗间隔2050、2052、2054、2056具有相同或实质上类似的持续时间。本发明的实施例在此方面并不受限。滑动窗间隔2050、2052、2054、2056可具有不同持续时间。此外,滑动窗间隔2050、2052、2054、2056中的每一者可具有少于每一时隙TS1、TS2、TS3、TS4、TS5的持续时间的任何持续时间。
现在参考图21,其提供用于影子联网的示范性方法2100的流程图。方法2100以步骤2102开始且以步骤2104继续。在步骤2104中,在MTT启用装置(例如,图1的模块105到107、113或114)处接收包。在MTT启用装置处,分析包以确定其所有身份参数是否均在当前时间周期内具有其“正确”值,如步骤2106所展示。“正确”值为将在当前时间周期(例如,图20A到20B的时帧2020、2022、2024或2026的时隙TS1、TS2、TS3、TS4或TS5)期间在传达到网络装置及从网络装置传达的包中使用的身份参数的真值或身份参数的假值。举例来说,如果当前时间周期由时帧2020的时隙TS2定义,那么IP地址的“正确”值为如任务计划1900中所规定的TV1或FV2-2。在任务计划1900情景中,端口编号、TCP序号及MAC地址的“正确”值为其真值。本发明的实施例在此方面并不受限。
如果所有身份参数均具有其“正确”值[2108:是],那么执行步骤2110,其中将包转发到其既定目的地装置。此后,方法2100返回到步骤2104。如果至少一个身份参数不具有“正确”值[2108:否],那么从包提取身份参数的“不正确”值,如步骤2112所展示。在下一步骤2114中,将“不正确”值与当前正由计算机网络(例如,图1的计算机网络100)采用的任务计划中所规定的至少一个可能身份参数值列表进行比较。举例来说,将“不正确”值与任务计划1900中所提供的可能IP地址值列表进行比较。在任务计划1900情景中,出于确定“不正确”值是否为与网络节点ND1或ND2的IP地址相关联的“空白”IDPV或“影子”IDPV的目的而执行步骤2114的比较操作。本发明的实施例在此方面并不受限。
如果“不正确”值并非网络节点的“空白”IDPV或“影子”IDPV[2116:否],那么丢弃包且方法2100返回到步骤2104,如步骤2118所展示。如果“不正确”值为网络节点的“空白”IDPV或“影子”IDPV[2116:是],那么方法1200以步骤2118继续。在步骤2118中,由MTT启用装置执行如任务计划(例如,图19的任务计划1900或1902)所规定的一或多个影子联网活动。此类影子联网活动包含但不限于:丢弃包;将包转发到入侵分析工具及/或诱捕系统分析工具;记录与包相关联的信息;确定包的源;及/或将响应发送到包的源。入侵分析工具及诱捕系统分析工具为此项技术中众所周知的且因此将不在本文中描述。任何此种已知或将知晓的入侵或诱捕系统分析工具均可在无限制的情况下与本发明一起使用。当前正由计算机网络使用的任务计划中规定在步骤2118中执行的影子联网活动。可基于“不正确”值是“空白”IDPV还是“影子”IDPV选择在步骤2118中执行的影子联网活动的类型。就这一点来说,应理解,当“不正确”值为“空白”IDPV时,可在步骤2118中执行不同于“影子”IDPV的影子联网活动,且反之亦然。在完成步骤2118后,执行步骤2120,其中方法2100结束或执行其它处理。
虽然已关于一或多个实施方案图解说明及描述了本发明,但所属领域的技术人员在阅读及理解本说明书及随附图式之后将想到等效更改及修改。另外,尽管可能已关于数种实施方案中的仅一者揭示了本发明的特定特征,但此特征可与其它实施方案的一或多个其它特征组合,此对于任何给定或特定应用可能是合意的及有利的。因此,本发明的广度及范围不应受上文所描述的实施例中的任一者限制。而是,本发明的范围应根据所附权利要求书及其等效形式来定义。
Claims (10)
1.一种用于识别正对计算机网络进行的恶意攻击的方法,其包括:
在第一网络节点处实施任务计划,所述任务计划规定:(a)第二网络节点的至少一个第一身份参数具有与其相关联的多个可能值;及(b)将在时帧的多个时隙中的不同时隙中在往来于所述第二网络节点的通信中使用所述多个可能值中的至少两个可能值;
由所述第一网络节点将所接收包中所含有的所述第一身份参数的值与所述任务计划中所规定的所述多个可能值进行比较以确定在当前时隙内所述值是否为正确值;及
如果确定在所述当前时隙内所述值为不正确的,那么由所述第一网络节点执行用以识别、阻断或延迟对所述计算机网络的可能恶意攻击的至少一个动作。
2.根据权利要求1所述的方法,其中所述身份参数包括端口编号、TCP序号、IP地址、网络前缀、主机编号或MAC地址。
3.根据权利要求1所述的方法,其中所述多个可能值包括规定关于所述身份参数的真信息的真值及规定关于所述身份参数的假信息的至少一个假值。
4.根据权利要求1所述的方法,其中所述正确值包括如所述任务计划所规定将在所述当前时隙中在往来于所述第二网络节点的通信中使用的所述两个可能值中的一者。
5.根据权利要求1所述的方法,其中所述动作包括:丢弃所述包;将所述包转发到入侵分析工具或诱捕系统分析工具;记录与所述包相关联的信息;确定所述包的源;及/或将响应发送到所述包的所述源。
6.根据权利要求1所述的方法,其中在所述任务计划中规定所述动作。
7.根据权利要求1所述的方法,其进一步包括:如果确定在所述当前时隙内所述值为正确的,那么由所述第一网络节点将所述包转发到其既定目的地装置。
8.根据权利要求1所述的方法,其中当所述任务计划指示将不在所述时帧的所述多个时隙中的任一者期间在传达到所述第二网络节点及从所述第二网络节点传达的包中使用所述值时,在所述当前时隙内,所述值为不正确的。
9.根据权利要求1所述的方法,其中当所述任务计划指示在所述多个时隙中的先前时隙期间在传达到所述第二网络节点或从所述第二网络节点传达的包中使用了所述值时,在所述当前时隙内,所述值为不正确的。
10.一种系统,其包括:
至少一个网络节点,其实施任务计划,所述任务计划规定:(a)第二网络节点的至少一个第一身份参数具有与其相关联的多个可能值;及(b)将在时帧的多个时隙中的不同时隙中在往来于所述第二网络节点的通信中使用所述多个可能值中的至少两个可能值,
其中所述网络节点经配置以
将所接收包中所含有的所述第一身份参数的值与所述任务计划中所规定的所述多个可能值进行比较以确定在当前时隙内所述值是否为正确值,且
如果确定在所述当前时隙内所述值为不正确的,那么执行用以识别、阻断或延迟对所述计算机网络的可能恶意攻击的至少一个动作。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/461,069 | 2012-05-01 | ||
US13/461,069 US9075992B2 (en) | 2012-05-01 | 2012-05-01 | Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques |
PCT/US2013/038557 WO2014014537A2 (en) | 2012-05-01 | 2013-04-29 | Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104272700A true CN104272700A (zh) | 2015-01-07 |
CN104272700B CN104272700B (zh) | 2016-09-14 |
Family
ID=49513678
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380023351.8A Expired - Fee Related CN104272700B (zh) | 2012-05-01 | 2013-04-29 | 用于使用影子联网技术来识别、阻断及/或延迟对网络的攻击的系统及方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9075992B2 (zh) |
KR (1) | KR101581155B1 (zh) |
CN (1) | CN104272700B (zh) |
TW (1) | TWI489314B (zh) |
WO (1) | WO2014014537A2 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108769040A (zh) * | 2018-06-06 | 2018-11-06 | 中国联合网络通信集团有限公司 | 一种识别伪装簇内节点的方法及装置 |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9075992B2 (en) * | 2012-05-01 | 2015-07-07 | Harris Corporation | Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques |
US9130907B2 (en) | 2012-05-01 | 2015-09-08 | Harris Corporation | Switch for communicating data in a dynamic computer network |
US9154458B2 (en) | 2012-05-01 | 2015-10-06 | Harris Corporation | Systems and methods for implementing moving target technology in legacy hardware |
US9325676B2 (en) * | 2012-05-24 | 2016-04-26 | Ip Ghoster, Inc. | Systems and methods for protecting communications between nodes |
US10778659B2 (en) | 2012-05-24 | 2020-09-15 | Smart Security Systems Llc | System and method for protecting communications |
WO2014063110A1 (en) * | 2012-10-19 | 2014-04-24 | ZanttZ, Inc. | Network infrastructure obfuscation |
US9519803B2 (en) * | 2012-11-30 | 2016-12-13 | Intel Corporation | Secure environment for graphics processing units |
US9503324B2 (en) | 2013-11-05 | 2016-11-22 | Harris Corporation | Systems and methods for enterprise mission management of a computer network |
US9338183B2 (en) | 2013-11-18 | 2016-05-10 | Harris Corporation | Session hopping |
US9264496B2 (en) | 2013-11-18 | 2016-02-16 | Harris Corporation | Session hopping |
US10122708B2 (en) | 2013-11-21 | 2018-11-06 | Harris Corporation | Systems and methods for deployment of mission plans using access control technologies |
US9936008B2 (en) * | 2013-12-03 | 2018-04-03 | Red Hat, Inc. | Method and system for dynamically shifting a service |
US10382595B2 (en) | 2014-01-29 | 2019-08-13 | Smart Security Systems Llc | Systems and methods for protecting communications |
TWI502348B (zh) * | 2014-05-02 | 2015-10-01 | Via Tech Inc | 延伸唯讀記憶體管理系統、方法及其管理主機 |
US10193924B2 (en) | 2014-09-17 | 2019-01-29 | Acalvio Technologies, Inc. | Network intrusion diversion using a software defined network |
TWI553502B (zh) * | 2015-03-05 | 2016-10-11 | 緯創資通股份有限公司 | 用於應用程式層之防火牆裝置的保護方法與其電腦系統 |
KR101697189B1 (ko) | 2015-08-28 | 2017-01-17 | 국방과학연구소 | 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법 |
US10181912B1 (en) * | 2016-02-26 | 2019-01-15 | Amazon Technologies, Inc. | Network link testing |
US10243993B2 (en) * | 2016-11-17 | 2019-03-26 | Harris Corporation | Systems and method for providing dynamic computer networks in which behavior models drive cyber mission models |
US11017078B2 (en) * | 2018-04-24 | 2021-05-25 | Microsoft Technology Licensing, Llc | Environmentally-trained time dilation |
US10965444B2 (en) | 2018-04-24 | 2021-03-30 | Microsoft Technology Licensing, Llc | Mitigating timing attacks via dynamically triggered time dilation |
US10785017B2 (en) | 2018-04-24 | 2020-09-22 | Microsoft Technology Licensing, Llc | Mitigating timing attacks via dynamically scaled time dilation |
US11194930B2 (en) | 2018-04-27 | 2021-12-07 | Datatrendz, Llc | Unobtrusive systems and methods for collecting, processing and securing information transmitted over a network |
US11700185B2 (en) * | 2019-06-17 | 2023-07-11 | Eagle Technology, Llc | Systems and method for providing an ontogenesis intelligence engine |
KR102178501B1 (ko) * | 2019-09-05 | 2020-11-13 | 주식회사 가디언이엔지 | 시설물 기반 위치 추적 시스템 및 방법 |
US11677768B2 (en) * | 2019-10-22 | 2023-06-13 | Honeywell International Inc. | Apparatuses, methods, and computer program products for automatic improved network architecture generation |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7010604B1 (en) * | 1998-10-30 | 2006-03-07 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
US20100333188A1 (en) * | 2009-06-29 | 2010-12-30 | Politowicz Timothy J | Method for protecting networks against hostile attack |
Family Cites Families (70)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5734649A (en) | 1996-05-31 | 1998-03-31 | Bbn Corporation | Data packet router |
US6052064A (en) | 1997-10-30 | 2000-04-18 | Motorola, Inc. | Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones |
US6646989B1 (en) | 1998-06-29 | 2003-11-11 | Lucent Technologies Inc. | Hop-by-hop routing with node-dependent topology information |
US7188180B2 (en) | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
US7240368B1 (en) | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
US6981146B1 (en) | 1999-05-17 | 2005-12-27 | Invicta Networks, Inc. | Method of communications and communication network intrusion protection methods and intrusion attempt detection system |
US6275470B1 (en) | 1999-06-18 | 2001-08-14 | Digital Island, Inc. | On-demand overlay routing for computer-based communication networks |
US6934763B2 (en) | 2000-04-04 | 2005-08-23 | Fujitsu Limited | Communication data relay system and method of controlling connectability between domains |
WO2001091503A2 (en) | 2000-05-23 | 2001-11-29 | Invicta Networks, Inc. | Systems and methods for communication protection |
US7757272B1 (en) | 2000-06-14 | 2010-07-13 | Verizon Corporate Services Group, Inc. | Method and apparatus for dynamic mapping |
US7043633B1 (en) | 2000-08-28 | 2006-05-09 | Verizon Corporation Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation |
US8677505B2 (en) | 2000-11-13 | 2014-03-18 | Digital Doors, Inc. | Security system with extraction, reconstruction and secure recovery and storage of data |
US7739497B1 (en) | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
FI110464B (fi) | 2001-04-26 | 2003-01-31 | Nokia Corp | IP-tietoturva ja liikkuvat verkkoyhteydet |
US7085267B2 (en) | 2001-04-27 | 2006-08-01 | International Business Machines Corporation | Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet |
US6917974B1 (en) | 2002-01-03 | 2005-07-12 | The United States Of America As Represented By The Secretary Of The Air Force | Method and apparatus for preventing network traffic analysis |
US7114005B2 (en) | 2002-02-05 | 2006-09-26 | Cisco Technology, Inc. | Address hopping of packet-based communications |
US7712130B2 (en) | 2002-03-22 | 2010-05-04 | Masking Networks, Inc. | Multiconfigurable device masking shunt and method of use |
TWI246298B (en) * | 2002-04-30 | 2005-12-21 | Ibm | Cryptographic communication system, key distribution server and terminal device constituting the system, and method for sharing key |
JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
RU2005115083A (ru) * | 2002-11-18 | 2006-01-20 | Арм Лимитед (Gb) | Переключение процессора между защищенным и незащищенным режимами |
US7216359B2 (en) | 2002-12-19 | 2007-05-08 | International Business Machines Corporation | Secure communication overlay using IP address hopping |
US20040255167A1 (en) | 2003-04-28 | 2004-12-16 | Knight James Michael | Method and system for remote network security management |
US7469279B1 (en) | 2003-08-05 | 2008-12-23 | Cisco Technology, Inc. | Automatic re-provisioning of network elements to adapt to failures |
US20050038708A1 (en) | 2003-08-10 | 2005-02-17 | Gmorpher Incorporated | Consuming Web Services on Demand |
WO2005029782A1 (ja) | 2003-09-22 | 2005-03-31 | Sharp Kabushiki Kaisha | 集線装置、中継制御方法、中継制御プログラム、中継制御プログラムを記録した記録媒体、情報処理装置、dhcpサーバ、dhcp処理方法、dhcp処理プログラム、dhcp処理プログラムを記録した記録媒体、および情報処理システム |
US7382778B2 (en) | 2004-01-05 | 2008-06-03 | Tropos Networks, Inc. | Link layer emulation |
CN100499540C (zh) | 2004-03-03 | 2009-06-10 | 三菱电机株式会社 | 第二层交换网络系统 |
WO2005103958A1 (en) | 2004-04-20 | 2005-11-03 | The Boeing Company | Apparatus and method for automatic web proxy discovery and configuration |
US20080205399A1 (en) | 2004-09-30 | 2008-08-28 | Christophe Delesalle | Method and System for Routing in Communication Networks Between a First Node and a Second Node |
US9383750B2 (en) | 2004-12-02 | 2016-07-05 | Lockheed Martin Corporation | System for predictively managing communication attributes of unmanned vehicles |
US7984163B2 (en) | 2005-01-13 | 2011-07-19 | Flash Networks, Inc. | Method and system for optimizing DNS queries |
US7996894B1 (en) | 2005-02-15 | 2011-08-09 | Sonicwall, Inc. | MAC address modification of otherwise locally bridged client devices to provide security |
US7937756B2 (en) | 2005-08-19 | 2011-05-03 | Cpacket Networks, Inc. | Apparatus and method for facilitating network security |
JP4626811B2 (ja) * | 2005-09-29 | 2011-02-09 | 日本電気株式会社 | ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム |
JP3920305B1 (ja) | 2005-12-12 | 2007-05-30 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置 |
US8199677B1 (en) | 2005-12-14 | 2012-06-12 | Rockwell Collins, Inc. | Distance vector routing via multi-point relays |
US7890612B2 (en) | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
JP4732257B2 (ja) | 2006-07-07 | 2011-07-27 | 富士通株式会社 | 中継装置、経路制御方法、及び経路制御プログラム |
JP4834493B2 (ja) | 2006-08-25 | 2011-12-14 | アラクサラネットワークス株式会社 | ネットワーク中継装置、および、ネットワーク中継装置の制御方法 |
US8136162B2 (en) | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
US8189460B2 (en) | 2006-12-28 | 2012-05-29 | Cisco Technology, Inc. | Method and system for providing congestion management within a virtual talk group |
JP2008177714A (ja) | 2007-01-17 | 2008-07-31 | Alaxala Networks Corp | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 |
WO2008112663A2 (en) * | 2007-03-10 | 2008-09-18 | Feeva Technology, Inc. | Method and apparatus for tagging network traffic using extensible fields in message headers |
US7853998B2 (en) * | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
US7853680B2 (en) * | 2007-03-23 | 2010-12-14 | Phatak Dhananjay S | Spread identity communications architecture |
US8464334B1 (en) | 2007-04-18 | 2013-06-11 | Tara Chand Singhal | Systems and methods for computer network defense II |
US8301789B2 (en) | 2007-06-18 | 2012-10-30 | Emc Corporation | Techniques for port hopping |
US7836354B2 (en) | 2007-07-02 | 2010-11-16 | Verizon Patent And Licensing Inc. | Method and system for providing automatic disabling of network debugging |
US20090059788A1 (en) * | 2007-08-29 | 2009-03-05 | Motorola, Inc. | Method and Apparatus for Dynamic Adaptation of Network Transport |
WO2009052452A2 (en) | 2007-10-17 | 2009-04-23 | Dispersive Networks Inc. | Virtual dispersive routing |
US8539098B2 (en) | 2007-10-17 | 2013-09-17 | Dispersive Networks, Inc. | Multiplexed client server (MCS) communications and systems |
US8560634B2 (en) | 2007-10-17 | 2013-10-15 | Dispersive Networks, Inc. | Apparatus, systems and methods utilizing dispersive networking |
US20090165116A1 (en) | 2007-12-20 | 2009-06-25 | Morris Robert P | Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity |
CN101521569B (zh) | 2008-02-28 | 2013-04-24 | 华为技术有限公司 | 实现服务访问的方法、设备及系统 |
US7990877B2 (en) | 2008-05-15 | 2011-08-02 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for dynamically runtime adjustable path computation |
US8572717B2 (en) * | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
US9042549B2 (en) * | 2009-03-30 | 2015-05-26 | Qualcomm Incorporated | Apparatus and method for address privacy protection in receiver oriented channels |
US8139504B2 (en) | 2009-04-07 | 2012-03-20 | Raytheon Bbn Technologies Corp. | System, device, and method for unifying differently-routed networks using virtual topology representations |
US8553849B2 (en) | 2009-06-17 | 2013-10-08 | Avaya Inc. | Personal identification and interactive device for internet-based text and video communication services |
US8793792B2 (en) * | 2010-05-07 | 2014-07-29 | Raytheon Company | Time-key hopping |
US9225656B2 (en) | 2011-02-07 | 2015-12-29 | Brocade Communications Systems, Inc. | Quality of service in a heterogeneous network |
US9202078B2 (en) | 2011-05-27 | 2015-12-01 | International Business Machines Corporation | Data perturbation and anonymization using one way hash |
US8769688B2 (en) * | 2011-09-23 | 2014-07-01 | Universidad Politécnica de P.R. | Simultaneous determination of a computer location and user identification |
US8495738B2 (en) * | 2011-10-21 | 2013-07-23 | Lockheed Martin Corporation | Stealth network node |
US8844036B2 (en) * | 2012-03-02 | 2014-09-23 | Sri International | Method and system for application-based policy monitoring and enforcement on a mobile device |
US9075992B2 (en) * | 2012-05-01 | 2015-07-07 | Harris Corporation | Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques |
US20130298221A1 (en) * | 2012-05-01 | 2013-11-07 | Harris Corporation | Firewalls for filtering communications in a dynamic computer network |
US8959573B2 (en) * | 2012-05-01 | 2015-02-17 | Harris Corporation | Noise, encryption, and decoys for communications in a dynamic computer network |
-
2012
- 2012-05-01 US US13/461,069 patent/US9075992B2/en active Active
-
2013
- 2013-04-29 KR KR1020147033723A patent/KR101581155B1/ko active IP Right Grant
- 2013-04-29 WO PCT/US2013/038557 patent/WO2014014537A2/en active Application Filing
- 2013-04-29 CN CN201380023351.8A patent/CN104272700B/zh not_active Expired - Fee Related
- 2013-04-30 TW TW102115542A patent/TWI489314B/zh not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7010604B1 (en) * | 1998-10-30 | 2006-03-07 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
US20100333188A1 (en) * | 2009-06-29 | 2010-12-30 | Politowicz Timothy J | Method for protecting networks against hostile attack |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108769040A (zh) * | 2018-06-06 | 2018-11-06 | 中国联合网络通信集团有限公司 | 一种识别伪装簇内节点的方法及装置 |
CN108769040B (zh) * | 2018-06-06 | 2021-03-19 | 中国联合网络通信集团有限公司 | 一种识别伪装簇内节点的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2014014537A3 (en) | 2014-04-17 |
KR20150008158A (ko) | 2015-01-21 |
US20130298236A1 (en) | 2013-11-07 |
CN104272700B (zh) | 2016-09-14 |
WO2014014537A2 (en) | 2014-01-23 |
TW201351191A (zh) | 2013-12-16 |
US9075992B2 (en) | 2015-07-07 |
TWI489314B (zh) | 2015-06-21 |
KR101581155B1 (ko) | 2016-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104272700A (zh) | 用于使用影子联网技术来识别、阻断及/或延迟对网络的攻击的系统及方法 | |
CN104322028B (zh) | 用于动态地改变网络状态的系统及方法 | |
CN104618321B (zh) | 用于计算机网络的企业任务管理的系统及方法 | |
CN104322027B (zh) | 用于在动态计算机网络中传达数据的路由器 | |
US9154458B2 (en) | Systems and methods for implementing moving target technology in legacy hardware | |
CN104272701A (zh) | 用于在动态计算机网络中传达数据的交换器 | |
CA2860630C (en) | Dynamic computer network with variable identity parameters | |
US8935780B2 (en) | Mission management for dynamic computer networks | |
US10243993B2 (en) | Systems and method for providing dynamic computer networks in which behavior models drive cyber mission models | |
CN104106250B (zh) | 用于与动态计算机网络进行通信的方法及桥接器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: American Florida Patentee after: L3 Hershey Technology Co. Address before: American Florida Patentee before: Harris Corp. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160914 |