CN104322028A - 用于动态地改变网络状态的系统及方法 - Google Patents
用于动态地改变网络状态的系统及方法 Download PDFInfo
- Publication number
- CN104322028A CN104322028A CN201380023335.9A CN201380023335A CN104322028A CN 104322028 A CN104322028 A CN 104322028A CN 201380023335 A CN201380023335 A CN 201380023335A CN 104322028 A CN104322028 A CN 104322028A
- Authority
- CN
- China
- Prior art keywords
- network
- sub
- task scheduling
- module
- identification parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 131
- 230000008569 process Effects 0.000 claims abstract description 54
- 230000008859 change Effects 0.000 claims description 90
- 238000004891 communication Methods 0.000 claims description 52
- 238000004364 calculation method Methods 0.000 claims description 39
- 230000006870 function Effects 0.000 claims description 31
- 230000004044 response Effects 0.000 claims description 15
- 230000009471 action Effects 0.000 claims description 12
- 238000001514 detection method Methods 0.000 claims description 9
- 230000002452 interceptive effect Effects 0.000 claims description 5
- 230000003068 static effect Effects 0.000 description 29
- 238000012546 transfer Methods 0.000 description 17
- 238000007726 management method Methods 0.000 description 15
- VKWMGUNWDFIWNW-UHFFFAOYSA-N 2-chloro-1,1-dioxo-1,2-benzothiazol-3-one Chemical compound C1=CC=C2S(=O)(=O)N(Cl)C(=O)C2=C1 VKWMGUNWDFIWNW-UHFFFAOYSA-N 0.000 description 14
- 230000000694 effects Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 11
- 238000006243 chemical reaction Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 7
- 230000001960 triggered effect Effects 0.000 description 7
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 238000007689 inspection Methods 0.000 description 5
- 230000001788 irregular Effects 0.000 description 5
- 230000001737 promoting effect Effects 0.000 description 5
- 230000006855 networking Effects 0.000 description 4
- 230000009466 transformation Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000013519 translation Methods 0.000 description 3
- 241000408659 Darpa Species 0.000 description 2
- 108700026140 MAC combination Proteins 0.000 description 2
- 230000000739 chaotic effect Effects 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012856 packing Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000002269 spontaneous effect Effects 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Abstract
本发明涉及供在计算机网络“CN”中使用的系统(1900)及方法(2200)。所述方法涉及:由第一子网络(1930、2002)根据第一任务计划“MP”执行操作,所述第一MP指定用于伪随机地修改与CN的至少一个第一计算装置相关联的至少一个第一身份参数以指定假信息的第一过程。还由第二子网络(1940、2004)根据第二MP执行操作,所述第二MP指定用于伪随机地修改与CN的至少一个第二计算装置相关联的至少一个第二身份参数以指定假信息的第二过程。基于至少一个MP选择性地确定所述第一及/或第二子网络的功能拓扑。所述功能拓扑指定欲将所述子网络的节点在通信上彼此隔离以便形成两个全异且单独网络的外观的方式。
Description
技术领域
发明性布置涉及计算机网络安全性,且更特定来说涉及用于在计算机网络的两个或两个以上逻辑子区之间通信的系统,其中所述网络可动态地操纵以抵御恶意攻击。
背景技术
当前网络基础结构的主要弱点是其静态本性。资产接收永久或不常改变的识别,此允许对手几乎不限时间地探测网络、映射及利用漏洞。另外,可捕获在这些固定实体之间行进的数据及给所述数据赋予属性。网络安全性的当前方法围绕固定资产应用例如防火墙及入侵检测系统等技术,且使用加密来保护途中的数据。然而,此传统方法根本上存在缺陷,因为其给攻击者提供固定目标。在今天的全球连接的通信基础结构中,静态网络为易受攻击的网络。
国防先进研究计划局(“DARPA”)信息保证(“IA”)项目已执行动态网络防御领域中的初始研究。在IA项目下开发用以出于使观察网络的任何潜在对手混淆的目的而动态地重新指派馈送到预先指定的网络飞地中的因特网协议(“IP”)地址空间的技术。此技术称作动态网络地址变换(“DYNAT”)。在于2001年公布的标题为“用以阻挠对手智能的动态方法(Dynamic Approaches to Thwart Adversary Intelligence)”的DARPA的论文中提出DYNAT技术的概述。
发明内容
本发明的实施例涉及供在计算机网络中使用的系统及方法。所述方法涉及由所述计算机网络的第一子网络根据第一任务计划执行操作。所述第一任务计划指定用于伪随机地修改与所述计算机网络的至少一个第一计算装置相关联的至少一个第一身份参数以指定假信息的第一过程。还由所述计算机网络的第二子网络根据第二任务计划执行操作。所述第二任务计划指定用于伪随机地修改与所述计算机网络的至少一个第二计算装置相关联的至少一个第二身份参数以指定假信息的第二过程。所述第二任务计划不同于所述第一任务计划。基于所述第一任务计划及/或所述第二任务计划选择性地确定所述第一及/或第二子网络的功能拓扑。所述功能拓扑指定欲将所述第一及第二子网络的节点在通信上彼此隔离以便形成两个全异且单独网络的外观的方式。
在所述第一及第二子网络的操作期间,检测用于触发所述计算机网络的状态的改变的第一事件。所述第一事件可包含但不限于命令所述状态的改变的用户-软件交互或预定义时间周期的期满。响应于对所述第一事件的所述检测,修改所述计算机网络的所述状态。就这一点来说,改变所述计算机网络的子网络架构及/或由所述计算机网络实施的任务计划。值得注意的是,在不对所述计算机网络进行物理修改的情况下改变所述子网络架构。
附图说明
将参考以下绘图描述实施例,其中遍及所述图,相似编号表示相似物项,且其中:
图1是对于理解本发明有用的计算机网络的实例。
图2是在本发明中可用于执行身份参数的某些操控的模块的实例。
图3是对于理解可用以帮助表征图1中的网络的工具有用的图式。
图4是可用以选择图1中的模块的动态设定的图形用户接口(“GUI”)的对话框的实例。
图5是可用以选择与图1中的每一模块相关联的作用状态及绕过状态的序列的GUI的对话框的实例。
图6是对于理解可将任务计划传达到图1中的网络中的多个模块的方式有用的图式。
图7是可用以选择任务计划且将任务计划传达到如图6中所展示的模块的GUI的对话框的实例。
图8是对于理解图1中的模块的操作有用的流程图。
图9是对于理解网络控制软件应用程序(“NCSA”)关于创建及加载任务计划的操作有用的流程图。
图10是可用以实施图1中的模块的计算机架构的框图。
图11是常规协议堆栈的示意性图解说明。
图12是常规包的示意性图解说明。
图13是移动目标技术(“MTT”)协议堆栈的示意性图解说明。
图14是MTT包的示意性图解说明。
图15是对于理解经配置以翻译身份参数的模块的操作有用的示意性图解说明。
图16到17各自提供用于改变包的至少一个身份参数的示范性过程的流程图。
图18是可用以实施图1中所展示的网络管理计算机(“NAC”)的计算机架构的框图。
图19到21各自提供示范性网络的示意性图解说明,其中可在其操作期间动态地改变网络状态。
图22是用于管理网络状态的示范性方法的流程图。
具体实施方式
参考附图描述本发明。所述图未按比例绘制且其经提供以仅图解说明本发明。为了图解说明,下文参考实例性应用描述本发明的数个方面。应理解,陈述众多特定细节、关系及方法以提供对本发明的完全理解。然而,相关领域的技术人员将容易地认识到,可在不具有特定细节中的一或多者的情况下或借助其它方法实践本发明。在其它例子中,未详细展示众所周知的结构或操作以避免使本发明模糊。本发明不受行动或事件的所图解说明的次序限制,因为一些行动可以不同于其它行动或事件的次序发生及/或与其它行动或事件同时发生。此外,并非需要所有所图解说明的行动或事件来实施根据本发明的方法。
还应了解,本文中所使用的术语仅用于描述特定实施例的目的而并非打算限制本发明。如本文中所使用,单数形式“一(a及an)”、及“所述(the)”也打算包含复数形式,除非上下文另外清楚地指示。此外,就在详细说明及/或权利要求书中使用术语“包含(including、include)”、“具有(having、has及with)”或其变化形式来说,此类术语打算以类似于术语“包括(comprising)”的方式为包含性的。
此外,除非另外定义,否则本文中所使用的所有术语(包含技术及科学术语)均具有与本发明所属领域的技术人员通常所理解相同的含义。应进一步理解,应将术语(例如常用字典中所定义的那些术语)解释为具有与其在相关技术的上下文中的含义一致的含义,而不应以理想化或过分形式化意义来解释,除非本文中明确界定如此。
身份敏捷计算机网络
现在参考图1,其展示包含多个计算装置的示范性计算机网络100的图式。所述计算装置可包含客户端计算机101到103,NAC 104,服务器111、112,网络层2交换器108、109,层3交换器110及桥接器115。客户端计算机101到103可为可能需要网络服务的任何类型的计算装置,例如常规平板计算机、笔记本型计算机、膝上型计算机或桌上型计算机。层3交换器110可为在计算机网络之间路由数据包的常规路由装置。层2交换器108、109为如此项技术中众所周知的常规集线器装置(例如,以太网集线器)。服务器111、112可提供由客户端计算机101到103利用的各种计算服务。举例来说,服务器111、112可为提供用于由客户端计算机101到103使用的计算机文件的共享存储的位置的文件服务器。
用于计算机网络100的通信媒体可为有线的、无线的或两者,但在本文中为了简化及避免使本发明模糊而将描述为有线网络。所述网络将使用通信协议传达数据。如此项技术中众所周知,通信协议定义用于遍及网络传达数据的格式及规则。图1中的计算机网络100可使用现在已知或未来将知晓的任何通信协议或协议组合。举例来说,计算机网络100可针对此类通信使用众所周知的以太网协议套件。或者,计算机网络100可利用其它协议,例如因特网协议套件(通常称为TCP/IP套件)的协议、基于同步光学网络/同步数字层次(“SONET/SDH”)的协议或非同步传送模式(“ATM”)通信协议。在一些实施例中,这些通信协议中的一或多者可以组合方式使用。虽然图1中展示一个网络拓扑,但本发明在此方面并不受限。而是,可使用任何类型的适合网络拓扑,例如总线网络、星形网络、环形网络或网状网络。
本发明大体来说涉及一种用于在计算机网络中(例如,在计算机网络100中)传达数据的方法,其中将数据从第一计算装置传达到第二计算装置。所述网络内的计算装置用多个身份参数表示。如本文中所使用,短语“身份参数”可包含例如IP地址、媒体接入控制(“MAC”)地址、端口编号等等物项。然而,本发明在此方面并不受限,且身份参数也可包含对于表征网络节点有用的多种其它信息。下文进一步详细地论述本文中所预期的各种类型的身份参数。
发明性布置涉及使用MTT来操控计算机网络100内的一或多个计算装置的此类身份参数中的一或多者。此技术掩饰此类计算装置的通信型式及网络地址。如本文中所描述的身份参数的操控通常连同计算机网络100中的数据通信一起执行,即,在待将数据从网络中的第一计算机(例如,客户端计算机101)传达到网络中的第二计算机(例如,客户端计算机102)时执行。因此,所操控的身份参数可包含源计算装置(即,数据始发于其的装置)及目的地计算装置(即,数据正被发射到其的装置)的那些身份参数。所传达的身份参数的集合在本文中称为身份参数(“IDP”)集合。此概念图解说明于图1中,其展示IDP集合120作为数据包(未展示)的部分由客户端计算机101发射。
根据发明性布置的过程涉及在计算机网络100内的第一位置处选择性地修改数据包或数据报中所含有的指定源计算装置及/或目的地计算装置的一或多个身份参数的值。根据任务计划修改身份参数。其中执行此修改的位置将通常与计算机网络100的一个模块105到107、113、114的位置重合。再次参考图1,可观察到,模块105到107、113、114在构成计算机网络100中的节点的各种计算装置之间插入于此网络中。在这些位置中,模块105到107、113、114拦截数据包通信、执行身份参数的必要操控且沿发射路径重新发射数据包。在替代实施例中,模块105到107、113、114可执行类似功能,但可直接集成到所述计算装置中的一或多者中。举例来说,所述模块可集成到客户端计算机101、102、103,服务器111、112,层2交换器108、109及/或层3交换器110中。在此情景中,所述模块可包括添加到计算的硬件及/或安装于计算装置101到103、108到112上的软件。在一些软件实施例中,将所述模块实施为修改身份参数的核心模式软件(例如,装置驱动器)。
另外,计算机网络100可划分成通过层3交换器110连接的若干个逻辑子区(有时称为子网络或子网)。企业网络可出于多种管理或技术原因而划分成若干个子网,所述原因包含但不限于隐藏网络的拓扑以使其对外部主机不可见、利用不同网络协议连接网络、在子网层级上单独管理网络寻址方案、由于经约束数据连接而启用跨越子网的数据业务的管理及诸如此类。子网分割为此项技术中众所周知的且将不做进一步详细描述。
再次参考图1,计算机网络100划分成两个逻辑网络,即第一逻辑网络130及第二逻辑网络132。如本文中所使用,短语“逻辑网络”是指计算机网络的任何逻辑子区。在实施例中,逻辑网络130、132通过层3交换器110连接。层3交换器110负责引导逻辑网络之间(即,从客户端计算机101到客户端计算机103)的业务。层3交换器110也负责引导从连接到计算机网络100的任何主机去往第二网络124的业务。在图1中所展示的实施例中,从计算机网络100路由到第二网络124的业务通过桥接器115。如同上文的模块,桥接器115的功能性可集成于层3交换器110内。
图2中展示模块105的功能性框图的实例。图1的模块106、107、113、114可具有与图2中所展示的功能性框图类似的功能性框图,但应理解,本发明在此方面并不受限。如图2中所展示,模块105具有至少两个数据端口201、202,其中的每一者可对应于相应网络接口装置204、205。在数据端口201处接收的数据在网络接口装置204处处理且暂时存储于输入缓冲器210处。处理器215存取输入缓冲器210中所含有的输入数据包且执行如本文中所描述的身份参数的任何必要操控。经修改数据包传递到输出缓冲器212且随后使用网络接口装置205从数据端口202发射。类似地,在数据端口202处接收的数据在网络接口装置205处处理且暂时存储于输入缓冲器208处。处理器215存取输入缓冲器208中所含有的输入数据包且执行如本文中所描述的身份参数的任何必要操控。经修改数据包传递到输出缓冲器206且随后使用网络接口装置204从数据端口201发射。在模块105中,处理器215根据存储于存储器218中的任务计划220执行身份参数的操控。
从图2应理解,模块105优选地经配置以使其双向地操作。在此类实施例中,取决于特定数据包的源,模块105可实施不同修改功能。可根据特定数据包的源计算装置在任务计划中指定模块105中的动态修改功能。模块105可通过任何适合手段确定数据包的源。举例来说,可出于此目的使用数据包的源地址。
在操作期间,处理器215将确定将代替真身份参数值使用的一或多个假身份参数值。处理器215将使一或多个真身份参数值变换为由伪随机函数优选地指定的一或多个假身份参数值。在此变换之后,模块105将沿发射路径将经修改包或数据报转发到计算机网络100的下一节点。在通信路径中的后续点处,正监视此类网络通信的对手将观察到关于在计算机网络100上通信的计算装置的身份的假的或不正确的信息。
在优选实施例中,根据至少一个主动性触发事件或至少一个被动性触发事件的发生使由伪随机函数指定的假身份参数变化。主动性/被动性触发事件致使处理器215使用伪随机函数来产生新的假身份参数值集合,真身份参数被变换成所述假身份参数值。因此,主动性/被动性触发事件充当本文中所描述的假身份参数的动态变化的基础。下文更详细地论述主动性及被动性触发事件。然而,应注意,用于选择新的假身份参数值集合的主动性/被动性触发事件可基于至少一个预定义规则。所述规则包括定义至少一个主动性或被动性触发事件的语句。就这一点来说,用户规则可实施主动性触发方案或被动性触发方案。主动性触发方案包括基于时间的方案。被动性触发方案包括基于用户激活的方案、基于包检验的方案、基于拥塞等级的方案、基于启发性算法的方案及/或基于基于网络的攻击(“NBA”)的分析的方案。下文将详细地描述所列示方案中的每一者。
上文所描述的身份参数的变换提供出于阻挠网络攻击的目的而操纵计算机网络100的一种方式。在优选实施例中,由处理器215实施的任务计划220也将控制计算机网络100可操纵的方式的某些其它方面。举例来说,任务计划220可指定操控身份参数的动态选择。所述动态选择可包含选择哪些身份参数进行修改及/或选择此类身份参数的数目的选择。此可变选择过程提供可用以进一步阻挠对手渗入或了解计算机网络100的努力的不确定性或变化的添加的维度。作为此技术的实例,考虑在第一时间周期期间,模块105可修改每一数据包的目的地IP地址及目的地MAC地址。在第二时间周期期间,模块105可操控每一数据包中的源IP地址及源主机名称。在第三时间周期期间,模块105可操控源端口编号及源用户名称。身份参数的选择的改变可同步地发生(即,同时改变所有选定身份参数)。或者,身份参数的选择的改变可不同步地发生(即,选定身份参数的群组随给选定身份参数的群组添加或移除个别身份参数而递增地改变)。
伪随机函数优选地用于确定将操控或变换成假值的身份值的选择。换句话说,模块105将仅变换通过伪随机函数选择的身份参数。在优选实施例中,根据主动性/被动性触发事件的发生使由伪随机函数指定的身份参数的选择变化。主动性/被动性触发事件致使处理器215使用伪随机函数来产生将变换成假身份参数的身份参数的新选择。因此,主动性/被动性触发事件充当本文中所描述的身份参数的选择的动态变化的基础。值得注意的是,也可根据伪随机算法使身份参数的值变化。
模块105有利地也能够提供出于阻挠网络攻击的目的而操纵计算机网络的第三方法。具体来说,加载于模块105中的任务计划220可使网络内的其中发生身份参数的修改或变换的位置动态地变化。考虑从客户端计算机101发射到客户端计算机102的IDP集合120中的身份参数的修改可发生于模块105中。此条件展示于图1中,其中在模块105中操控IDP集合120中所含有的身份参数以使得IDP集合120被变换为新的或经修改的IDP集合122。与IDP集合120中的身份参数相比,IDP集合122中的身份参数中的至少一些身份参数是不同的。但其中发生此变换的位置优选地也由任务计划控制。因此,IDP集合120的操控可(举例来说)有时发生在图1的模块113或114处而非在模块105处。使其中发生身份参数的操控的位置选择性地变化的此能力给计算机网络100的操纵能力添加又一重要维度。
通过选择性地控制图1的每一模块105到107、113、114的操作状态来促进其中修改身份参数的位置的动态变化。为此目的,图1的每一模块105到107、113、114的操作状态优选地包含:(1)作用状态,其中根据当前任务计划处理数据;及(2)绕过状态,其中包可流动通过模块,就如模块不存在一样。通过选择性地致使计算机网络100某些模块处于作用状态中且致使计算机网络100的某些模块处于待用状态中而控制其中执行动态修改的位置。可通过以协调方式使图1的模块105到107、113、114的当前状态动态地变化而动态地改变所述位置。
任务计划220可包含用于确定计算机网络100内的其中将操控身份参数的位置的预定义序列。其中将操控身份参数的位置将在由主动性/被动性触发事件指示的时间根据所述预定义序列改变。举例来说,主动性/被动性触发事件可致使到用于如本文中所描述的身份参数的操控或变换的新位置的转变。因此,主动性/被动性触发事件充当其中修改身份参数的位置的改变的发生的基础,且预定义序列确定所述新位置将在何处。
从前述内容,应了解,在图1的模块105到107、113、114处修改数据包以包含假身份参数。在计算机网络100内的某一点处,使身份参数恢复到其真值以使得身份参数可用以根据特定网络协议恰当地执行其既定功能是必要的。因此,发明性布置还包含在第二位置(即,第二模块)处根据任务计划220动态地修改身份参数的经指派值。在第二位置处的修改基本上包括在第一位置处用以修改身份参数的过程的逆过程。第二位置处的模块可因此使假值身份参数恢复或变换回到其真值。为了实现此动作,第二位置处的模块必须能够确定至少:(1)将变换的身份参数值的选择;及(2)选定身份参数从假值到真值的正确变换。实际上,此过程涉及用以确定身份参数选择的伪随机过程及对此类身份参数值实现的改变的逆过程。逆变换步骤图解说明于图1中,其中在模块106处接收IDP集合122,且将IDP集合122中的身份参数值变换或操控回到其原始或真值。在此情景中,模块106将身份参数值转换回到IDP集合120的那些身份参数值。
值得注意的是,模块必须具有确定适用于其接收到的每一数据通信的恰当变换或操控的某种方式。在优选实施例中,通过检查所接收数据通信内所含有的至少源地址身份参数而执行此确定。举例来说,源地址身份参数可包含源计算装置的IP地址。一旦知晓源计算装置的真身份,模块即咨询任务计划(或从任务计划导出的信息)以确定其需要采取哪些动作。举例来说,这些动作可包含将某些真身份参数值转换为假身份参数值。或者,这些改变可包含将假身份参数值转换回到真身份参数值。
值得注意的是,将存在其中所接收数据通信中所含有的源地址身份参数信息已改变为假值的例子。在那些情形下,接收数据通信的模块将不能立即确定数据通信的源的身份。然而,在此类例子中,接收通信的模块可仍识别源计算装置。这在接收模块处通过将假源地址身份参数值与查找表(“LUT”)进行比较而实现,所述查找表列示在特定时间期间使用的所有此类假源地址身份参数值。LUT还包含对应于假源地址值的真源地址身份参数值的列表。LUT可直接由任务计划220提供或可由任务计划220内所含有的信息产生。在任一情况中,可从LUT容易地确定真源地址身份参数值的识别。一旦已确定真源地址身份参数,那么接收数据通信的模块可使用此信息来确定(基于任务计划)需要对身份参数的哪些操控。
值得注意的是,任务计划220还可指定其中使身份参数恢复到其真值的第二位置的变化。举例来说,假定在包括模块105的第一位置处动态地修改身份参数。任务计划可指定如所描述在模块106处发生使身份参数恢复到其真值,但或者,可指定代替地在模块113或114处发生动态修改。在一些实施例中,任务计划根据预定义序列动态地确定其中发生此类操控的位置。所述预定义序列可确定其中将发生身份参数的操控的位置或模块的序列。
涉及在不同位置处的动态修改的转变优选地根据主动性/被动性触发事件发生。因此,预定义序列确定其中将发生数据操控的位置的型式或序列,且主动性/被动性触发事件充当用于致使从一个位置到下一位置的转变的基础。下文更详细地论述主动性/被动性触发事件;然而,应注意,主动性/被动性触发事件可基于至少一个预定义规则。所述规则包括定义至少一个主动性/被动性触发事件的语句。就这一点来说,所述规则可实施主动性触发方案或被动性触发方案。主动性触发方案包括基于时间的方案。被动性触发方案包括基于用户激活的方案、基于包检验的方案、基于拥塞等级的方案、基于启发性算法的方案及/或基于NBA分析的方案。下文将详细描述所列示方案中的每一者。可以与上文关于第一位置所描述相同的方式实现对第二位置(即,其中使身份参数返回到其真值)的选择的控制。具体来说,两个或两个以上模块的操作状态可在作用状态与绕过状态之间双态切换。身份参数的操控将仅发生于具有作用操作状态的模块中。具有绕过操作状态的模块将仅传递数据包而不进行修改。
替代方法也可用于控制将发生身份参数的操控的位置。举例来说,网络管理员可在任务计划中定义其中可将身份参数从真值转换为假值的数个可能模块。在发生主动性/被动性触发事件后,可即刻通过使用伪随机函数且使用触发时间作为所述伪随机函数的种子值而从数个模块当中选择新位置。如果每一模块均使用相同初始种子值实施相同伪随机函数,那么每一模块将计算相同伪随机值。可基于时钟时间(例如GPS时间或系统时钟时间)确定触发时间。以此方式,每一模块可独立地确定其当前是否为其中应发生身份参数的操控的作用位置。类似地,网络管理员可在任务计划中定义其中动态操控使身份参数返回到其正确值或真值的数个可能模块。将哪一模块用于此目的的选择也可根据如本文中所描述的触发时间及伪随机函数来确定。用于确定将发生身份参数操控的位置或模块的其它方法也是可能的。因此,本发明并不打算限于本文中所描述的特定方法。
值得注意的是,使操控身份函数的第一及/或第二位置的定位发生变化将通常导致第一与第二位置之间沿网络通信路径的物理距离发生变化。第一与第二位置之间的距离在本文中称为距离向量。所述距离向量可为第一与第二位置之间沿通信路径的实际物理距离。然而,将所述距离向量视为表示存在于第一与第二位置之间的通信路径中的网络节点的数目是有用的。应了解,动态地选择网络内的第一及第二位置的不同定位可具有改变第一与第二位置之间的节点的数目的效果。举例来说,在图1中,在模块105、106、107、113、114中的选定者中实施身份参数的动态修改。如先前所描述地确定实际上用以分别实施动态修改的模块。如果模块105用于将身份参数转换为假值且模块106用以将其转换回到真值,那么在模块105与106之间存在三个网络节点(108、110、109)。但如果模块113用以转换为假值且模块114用以将身份参数转换回到真值,那么在模块113与114之间存在仅一个网络节点110。因此,应了解,动态地改变其中发生动态修改的位置的定位可使距离向量动态地变化。距离向量的此变化给如本文中所描述的网络操纵或修改提供可变性的添加的维度。
在本发明中,身份参数值的操控、身份参数的选择及其中这些身份参数的位置各自定义为操纵参数。每当在此三个操纵参数中的一者中发生改变时,可认为网络操纵已发生。此三个操纵参数中的一者无论在何时改变,均可认为网络操纵已发生。为了最有效地阻挠对手渗入计算机网络100的努力,优选地借助于如先前所描述的伪随机过程控制网络操纵。所属领域的技术人员将了解,混乱过程也可用于执行此功能。与伪随机函数相比,混乱过程在技术上是不同的,但出于本发明的目的,可使用任一者且两者视为等效的。在一些实施例中,相同伪随机过程可用于使操纵参数中的两者或两者以上动态地变化。然而,在本发明的优选实施例中,使用两个或两个以上不同伪随机过程以使得这些操纵参数中的两者或两者以上独立于其它操纵参数而被修改。
主动性及被动性触发事件
如上文所述,通过至少一个主动性触发或被动性触发控制对操纵参数中的每一者的动态改变。主动性触发是致使相对于本文中所描述的动态修改而发生改变的预定义事件。相比之下,被动性触发是致使相对于本文中所描述的动态修改而发生改变的纯自发或用户起始的事件。换句话说,可认为,主动性或被动性触发致使网络以不同于在先前时间(即,在发生主动性或被动性触发之前)的新方式操纵。举例来说,在第一时间周期期间,任务计划或安全性模型可致使IP地址从值A改变为值B;但在主动性/被动性触发事件之后,IP地址可代替地从值A改变为值C。类似地,在第一时间周期期间,任务计划或安全性模型可致使IP地址及MAC地址被修改;但在主动性/被动性触发事件之后,所述任务计划或安全性模型可代替地致使MAC地址及用户名称被修改。
在其最简单形式中,主动性触发事件可基于基于时间的方案。在基于时间的方案中,每一模块中的时钟时间可充当触发。举例来说,触发事件可定义为在每N(例如,六十)秒时间间隔的期满时发生。针对此布置,操纵参数中的一或多者可根据预定时钟时间每N秒改变。在一些实施例中,所有操纵参数可同时改变以使得所述改变为同步的。在稍微更复杂实施例中,也可使用基于时间的触发布置,但可针对每一操纵参数选择不同独特触发时间间隔。因此,假身份参数值可能以时间间隔X改变,身份参数的选择将根据时间间隔Y改变,且其中执行此类改变的位置将以时间间隔Z发生,其中X、Y及Z为不同值。
应了解,在依赖于时钟时间作为触发机制的本发明的实施例中,提供如各种模块105、106、107、113、114中的时钟之间的同步以确保包不会由于未辨识的身份参数而丢失或丢弃是有利的。同步方法为众所周知的且任何适合同步机制均可用于此目的。举例来说,可通过使用高度准确时间参考(例如GPS时钟时间)而将模块同步。或者,可将独特无线同步信号从中央控制设施广播到模块中的每一者。
在其最简单形式中,被动性触发可基于基于用户激活的方案、基于包检验的方案、基于拥塞等级的方案、基于启发性算法的方案及/或基于NBA分析的方案。在基于用户激活的方案中,用户-软件交互定义触发事件。举例来说,当计算装置(例如,图1的计算装置101到103)的用户按压用户接口的给定按钮时,发生触发事件。
基于包检验的方案可涉及分析包以获得识别包的起源的识别符、包的目的地、所述起源或目的地所属的群组及/或包中所含有的有效负载的类型。基于包检验的方案还可涉及分析包以确定其中是否含有码字。用于实现此包检验的技术为此项技术中众所周知的。现在已知或未来将知晓的任何此类技术均可在无限制的情况下与本发明一起使用。在一些实施例中,当识别符的值匹配预定义值时发生被动性触发事件。
在包检验情景中,在包中包含特定类型的内容充当触发或用于基于其选择触发的时序方案的参数。举例来说,触发事件可定义为在以下时刻发生:(a)当实体的特定人员(例如,军事单位的指挥官)将信息传达到所述实体的其它成员时;及/或(b)当包内含有特定码字时。替代地或另外,触发事件可定义为在如由根据特定包检验应用程序选择的时序方案定义的每N秒时间间隔期满时发生,其中N为整数。就这一点来说,应理解,在一些实施例中,可在以下时刻选择第一时序方案:(a)当实体的第一人员(例如,军事单位的指挥官)请求与所述实体的其它成员的通信会话时;或(b)当包内存在特定码字时。可在以下时刻选择第二不同时序方案:(a)当实体的第二人员(例如,军事单位的副指挥官)请求与所述实体的其它成员的通信会话时;或(b)当包内存在第二码字时等等。本发明的实施例不限于上文所提供的实例的细节。就这一点来说,应理解,包中所包含的其它内容可定义触发事件。举例来说,如果包的有效负载包含敏感或机密信息,那么可根据所述信息的敏感度或机密性的等级选择新任务计划或安全性模型。
对于此类基于时间的触发布置,操纵参数中的一或多者可根据预定时钟时间每N(例如,60)秒改变。在一些实施例中,所有操纵参数可同时改变以使得所述改变为同步的。在稍微更复杂实施例中,也可使用基于时间的触发布置,但可针对每一操纵参数选择不同独特触发时间间隔。因此,假身份参数值可能以时间间隔X改变,身份参数的选择将根据时间间隔Y改变,且其中执行此类改变的位置将以时间间隔Z发生,其中X、Y及Z为不同值。
基于拥塞等级的方案可涉及:监视并追踪计算机网络内的拥塞等级;将当前拥塞等级与阈值进行比较;及基于所述比较的结果从多个任务计划/模型选择任务计划或安全性模型。在一些情景中,当当前拥塞等级等于、大于或小于阈值时选择新任务计划或安全性模型。以此方式,任务计划或安全性模型改变基于计算机网络内的拥塞等级的改变以明显不规则的时间间隔发生。
基于启发性算法的方案可涉及分析网络以确定其的状态。此网络分析可涉及在一天的特定时间监视网络的业务型式(例如,用户的数目)、协议型式及/或熵型式(即,谁正与谁通信)。可通过收集关于网络装备使用(例如,处理器的使用)的信息及从网络装置(例如,网络服务器)存在的连接的数目而确定业务型式。可将所收集信息与预定义表或矩阵的内容进行比较以识别计算机网络内当前存在多个可能业务型式中的哪一业务型式。至少基于此比较操作的结果,可从多个任务计划及/或安全性模型选择新任务计划或安全性模型以供在计算机网络中利用。
在一些启发性情景中,任务计划及/或安全性模型可经配置以使得尽管计算机网络中的实际业务量改变但仍维持其内的恒定高业务等级。所述恒定高业务等级通过根据网络中的实际业务量调整(即,增加或减少)所述网络的噪声电平而维持。因此,在任何给定时间掩蔽实际业务量及业务型式的类型。
可通过收集关于与网络资源相关的用户活动的信息而确定协议型式。此信息可包含但不限于计算机网络的至少一个用户的用户活动的历史、用户活动开始的时间、用户活动停止的时间、用户活动已消逝的时间及识别计算机网络的至少一个用户正执行的同时发生的用户活动的信息。所收集信息可经分析以确定某一协议型式当前是否存在。如果确定当前存在特定协议型式,那么可从多个任务计划/模型选择新任务计划或安全性模型以供在计算机网络中利用。以此方式,任务计划或安全性模型改变基于协议型式的改变(更特定来说,用户活动的改变)以明显不规则的时间间隔发生。
可通过收集关于谁正经由计算机网络彼此通信的信息而确定熵型式。基于所收集信息,从多个任务计划/模型选择新任务计划或安全性模型以供在计算机网络中利用。在此情景中,任务计划或安全性模型改变基于参与通信会话的各方的改变以明显不规则的时间间隔发生。
出于确定潜在安全性威胁、NBA的等级、NBA的类型及/或当前正对计算机网络进行的NBA攻击的数目的目的执行NBA分析。此类NBA分析为此项技术中众所周知的,且因此将不在本文中描述。仍应理解,此类NBA分析可涉及:监视并追踪计算机网络内的攻击事件;及出于确定是否存在潜在安全性威胁及/或确定NBA攻击的等级及/或NBA攻击的类型的目的执行LUT操作。现在已知或未来将知晓的任何NBA分析技术均可在无限制的情况下与本发明一起使用。一旦完成NBA分析,即可基于NBA分析的结果从多个任务计划/模型选择新任务计划或安全性模型以供在计算机网络中利用。举例来说,如果已确定NBA为低等级NBA及/或为第一类型,那么从多个任务计划或安全性模型选择第一任务计划或安全性模型。相比之下,如果已确定NBA为高等级NBA及/或为第二类型,那么从多个任务计划或安全性模型选择第二不同任务计划或安全性模型。在此情景中,任务计划或安全性模型改变基于NBA攻击的等级及/或NBA攻击的类型的改变以明显不规则的时间间隔发生。另外或替代地,在当前正对计算机网络进行相同或不同等级及/或类型的两个或两个以上NBA攻击时,可选择新任务计划或安全性模型。在此情景中,任务计划或安全性模型改变基于当前正执行的攻击的数目的改变以明显不规则的时间间隔发生。
在本发明的实施例中,可由网络安全性软件套件识别NBA。或者,可在于模块105、106、107、113、114处接收到数据包后即刻识别NBA,其中所述包含有与网络操纵的目前状态不一致的一或多个身份参数。无论用于识别NBA的基础如何,此NBA的存在均可充当被动性触发事件,如上文所描述。
基于上文所描述的方案的主动性/被动性触发事件可引起相同类型的网络操纵。举例来说,假身份参数、身份参数的选择及身份参数变换的位置可保持稳定(即,不改变),只是其中检测到以下各项中的一或多者的情况除外:时钟时间;具有特定起源或目的地的包;包中所含有的码字;包中所含有的秘密或机密信息;特定拥塞等级;特定业务型式;特定协议型式;特定熵型式;安全性威胁;特定等级及/或类型的NBA;及当前正对计算机网络进行的NBA的特定数目。举例来说,在其中频繁网络操纵是合意的以便增加其安全性的计算机网络中可能选择此布置。
或者,基于上文所描述的方案的主动性/被动性触发事件可引起不同类型的网络操纵。在此类实施例中,与基于包检验及/或启发性算法的结果的触发事件相比,基于NBA分析的结果的触发事件可对网络操纵具有不同影响。举例来说,基于NBA的触发事件可引起网络操纵的策略性或防御性改变以便更积极应对此类NBA。此类措施的精确本性可取决于威胁的本性,但可包含多种响应。举例来说,可选择不同伪随机算法,及/或可增加每一IDP集合120中经选择以用于操控的身份参数的数目。此外,响应可包含增加网络操纵的频率。因此,可关于以下各项做出更频繁改变:(1)假身份参数值;(2)在每一IDP集合中待改变的身份参数的选择;及/或(3)其中改变身份参数的第一及第二位置的定位。因此,本文中所描述的网络操纵提供用于基于多种因素以纯自发方式改变任务计划或安全性模型,借此增加其安全性的方法。
任务计划
根据本发明的优选实施例,根据任务计划控制本文中所描述的网络操纵。任务计划为定义及控制网络的上下文及至少一个安全性模型内的操纵能力的方案。如此,任务计划可表示为从NAC 104传达到图1的每一模块105到107、113到114的数据文件。任务计划此后由每一模块用以控制身份参数的操控且使其活动与网络中的其它模块的动作协调。
根据优选实施例,任务计划可由网络管理员不时地修改以更新或改变网络操纵阻挠潜在对手的方式。如此,任务计划给网络管理员提供促进对网络操纵将在网络内发生的时间、地点及方式的完全控制的工具。此更新能力允许网络管理员修整计算机网络的行为以适合当前操作条件且更有效地阻挠对手渗入网络的努力。可由用户定义及存储多个任务计划以使得其可由网络内的模块存取。举例来说,多个任务计划可存储于NAC 104处且视需要传达到模块。或者,多个任务计划可存储于每一模块上且可视需要或视情况经激活以维持网络的安全性。举例来说,如果网络管理员确定或怀疑对手已发现网络的当前任务计划,那么管理员可希望改变所述任务计划。有效安全性程序也可指示周期性地改变任务计划。
创建任务计划的过程可通过对计算机网络100进行建模开始。模型的创建通过在网络命令中心处的计算机或服务器上执行的NCSA促进。举例来说,在图1中所展示的实施例中,NCSA可在NAC 104上执行。网络模型优选地包含定义计算机网络100中所包含的各种计算装置之间的数据连接及/或关系的信息。NCSA将提供促进输入此关系数据的适合接口。根据一个实施例,NCSA可促进将数据输入到可用以定义任务计划的表中。然而,在优选实施例中,使用GUI来促进此过程。
现在参考图3,NCSA可包含网络拓扑模型产生器工具。所述工具用以辅助网络管理员定义网络的各种组件中的每一者之间的关系。网络拓扑工具提供其中管理员可通过使用光标304而拖放网络组件302的工作空间300。网络管理员也可创建各种网络组件302之间的数据连接306。作为此建模过程的部分,网络管理员可提供各种网络组件(包含图1的模块105到107、113、114)的网络地址信息。
一旦已将网络建模,其即可由网络管理员保存及使用以定义各种模块105到107、113、114表现及彼此交互的方式。现在参考图4,NCSA可产生可用以进一步开发任务计划的对话框400。下拉式菜单432可用以选择待将对话框400中的设定应用于其的特定模块(例如,图1的模块105)。或者,网络管理员可使用下拉式菜单432来指示打算将对话框400中的设定应用于网络内的全部模块(例如,通过选择下拉式菜单432中的命令“全部”)。过程可通过指定是否将总是在模块中的每一者中修改固定身份参数集合或是否应使所操控的身份参数集合动态地变化而继续。如果打算使将在模块中操控的身份参数的选择或集合动态地变化,那么网络管理员可标记复选框401以指示所述偏好。如果未标记复选框401,那么待变化的身份参数集合为不随时间变化的固定集合。
对话框400包含标签402、404、406,所述标签允许用户选择他/她出于创建任务计划的目的而希望处理的特定身份参数。出于本发明的目的,对话框400促进仅三个身份参数的动态变化。具体来说,这些身份参数包含IP地址、MAC地址及端口地址。可通过提供额外标签而使更多或更少身份参数动态地变化,但所述的三个身份参数足以解释发明性概念。在图4中,用户已选择标签402来处理身份参数的IP地址类型。在标签402内,提供用于指定与选定模块内的IP地址的动态变化相关的细节的多种用户接口控件408到420。可提供更多或更少控件以促进IP地址类型的动态操控,且仅提供所展示的控件以辅助读者理解所述概念。在所展示的实例中,网络管理员可通过选择(例如,借助指向装置(例如鼠标))标记为“启用IP地址跳跃”的复选框408而启用IP地址的动态变化。类似地,网络管理员可指示将使源地址、目的地地址还是两者变化。在此实例中,标记源地址框410及目的地地址框412两者,从而指示将改变两种类型的地址。可由管理员在列表框422、424中指定源地址及目的地地址的所允许值的范围。
通过选择伪随机过程而指定用以选择假IP地址值的特定伪随机过程。在框414、415中指定此选择。不同伪随机过程可具有针对可变真随机程度的不同复杂性等级,且管理员可选择最适合计算机网络100的需要的过程。
对话框400也允许网络管理员设定待用于IP地址身份参数的动态变化的触发类型。在此实例中,用户已选择框416,从而指示基于时间的触发将用于确定何时转变为新的假IP地址值。此外,复选框418已经选择以指示基于时间的触发将在周期性基础上发生。滑块420可由用户调整以确定基于周期性时间的触发的频率。在所展示的实例中,触发频率可在每小时六个触发的发生率(每十分钟发生触发)与每小时一百二十个触发的发生率(每三十秒发生触发)之间调整。在此实例中,也可选择其它类型的触发。举例来说,对话框402包含网络管理员可借以选择基于事件的触发的复选框428、430。数个不同特定事件类型可经选择以形成用于此类基于事件的触发(例如,事件类型1、事件类型2等)的基础。这些事件类型可包含以下各项的检测:具有特定起源或目的地的包;包中所含有的码字;包中所含有的秘密或机密信息;特定拥塞等级;特定业务型式;特定协议型式;特定熵型式;安全性威胁;特定等级及/或类型的NBA;及当前正对计算机网络进行的NBA的特定数目。在图4中,标签404及406类似于标签402,但其中的控件经修整以适合MAC地址及端口值而非IP地址的动态变化。可提供用于控制其它类型的身份参数的动态变化的额外标签。
任务计划还可指定用于使其中修改身份参数的位置动态地变化的计划。在一些实施例中,通过控制定义每一模块何时处于作用状态或绕过状态中的序列而促进此可变位置特征。因此,任务计划有利地包含指定此序列的某一方式。在本发明的一些实施例中,此可涉及使用经定义时间间隔或时隙,所述经定义时间间隔或时隙由触发事件的发生分离。
现在参考图5,对话框500可由NCSA提供以促进位置序列及时序信息的协调及输入。对话框500可包含控件502,控件502用于选择将包含于时期506内的时隙5041到504n的数目。在所图解说明的实例中,网络管理员已定义每时期四个时隙。对话框500还可包含表503,表503包含计算机网络100中的所有模块。针对所列示的每一模块,所述表包含一个时期506的可用时隙5041到5044的图形表示。应记得,对其中操控身份参数的位置的动态控制通过每一模块是处于作用操作状态中还是处于绕过操作状态中而确定。因此,在图形用户接口内,用户可移动光标508且做出选择以指定在每一时隙期间特定模块是处于作用模式中还是绕过模式中。在所展示的实例中,模块105在时隙5041及5043期间为作用的,但在时隙5042、5044期间处于绕过模式中。相反地,模块113在时隙5042、5044期间为作用的,但在时隙5041及5043期间处于绕过模式中。参考图1,此意味着身份参数的操控在时隙5041及5043期间发生于与模块105相关联的位置处,但在时隙5042、5044期间代替地发生于模块113处。
在图5中所展示的实例中,网络管理员已选择使模块114总是在作用模式中操作(即,模块114在所有时隙期间为作用的)。因此,针对从客户端计算机101发射到客户端计算机103的数据通信,数据包将交替地在模块105、113中操控,但将总是在模块114处操控。最后,在此实例中,网络管理员已选择在时隙5041到5044期间将模块106及107维持于绕过模式中。因此,在经定义时隙中的任一者期间将不在这些模块处执行身份参数的操控。一旦已在对话框500中定义模块时序,网络管理员即可选择按钮510来将改变存储为经更新任务计划的部分。可以各种格式保存任务计划。在一些实施例中,可将任务计划保存为简单表或可由每一模块用于控制模块的行为的其它类型的经定义数据结构。
任务计划的分布及加载
现在将进一步详细地描述如本文中所揭示的任务计划的分布及加载。再次参考图1,可观察到,模块105到107、113、114遍及计算机网络100分布于一或多个位置处。所述模块集成于通信路径内以拦截此类位置处的通信、执行必要操控且将数据转发到网络内的其它计算装置。在前述布置的情况下,本文中所描述的对模块的任何必要维护(例如,更新任务计划的维护)将有可能在替换模块或将模块重新编程时打断网络通信。在其中网络服务的可靠性及可用性为至关重要的许多情形下,此类打断是不合意的。举例来说,对于军事、应急服务及商业所使用的计算机网络,不中断网络操作可为至关重要的。
为了确保不中断网络操作,每一模块优选地具有数种操作状态。这些操作状态包含:(1)关断状态,其中模块被断电且不处理任何包;(2)初始化状态,其中模块根据任务计划安装软件脚本;(3)作用状态,其中根据当前任务计划处理数据;及(4)绕过状态,其中包可流动通过模块,就如模块不存在一样。模块经配置以使得在其处于作用状态或绕过状态中时,模块可接收及加载由网络管理员提供的经更新任务计划。模块操作状态可由网络管理员借助于(举例来说)在NAC 104上执行的NCSA手动地控制。举例来说,用户可通过使用GUI控制面板选择各种模块的操作状态。用于控制网络的操作状态的命令经由计算机网络100传达,或者可通过任何其它适合手段来传达。举例来说,可出于所述目的而使用单独有线或无线网络(未展示)。
任务计划可直接加载于每一模块的物理位置处,或其可从NCSA传达到模块。此概念图解说明于图6中,其展示任务计划604经由通信媒体606从NCSA 602传达到模块105到107、113、114中的每一者。在所展示的实例中,NCSA软件应用程序在由网络管理员操作的NAC 104上执行。在一些实施例中,通信媒体可包含使用计算机网络100的带内发信。或者,带外网络(例如,单独无线网络)可用作通信媒体606以将经更新任务计划从NCSA传达到每一模块。如图7中所展示,NCSA可提供对话框700以促进数个任务计划702中的一者的选择。这些任务计划702中的每一者可存储于NAC 104上。网络管理员可从数个任务计划702中的一者做出选择,此后其可激活“发送任务计划”按钮704。或者,多个任务计划可传达到每一模块且存储于那儿。在任一情景中,用户可选择经定义任务计划中的一者来激活。
响应于用以发送任务计划的命令,选定任务计划在模块处于其中其经配置以用于主动地执行身份参数的动态修改的作用状态中(如本文中所描述)时传达到所述模块。此布置最小化其间网络以明文方式操作且不操控身份参数的时间。然而,经更新任务计划也可在模块处于绕过模式中时传达到所述模块,且此方法在某些情况中可为合意的。
一旦任务计划由模块接收,其即可自动地存储于模块内的存储器位置中。此后,可致使模块进入绕过状态,且在仍处于所述状态中时,模块可加载与新任务计划相关联的数据。进入到绕过状态中且加载新任务计划数据的此过程可响应于接收到任务计划而自动地发生,或可响应于来自由网络管理员控制的NCSA软件的命令而发生。所述新任务计划优选地包含改变使身份参数值变化的方式。一旦已加载新任务计划,模块105到107、113及114即可以确保不发生数据通信错误的同步方式从绕过模式转变为作用模式。任务计划可指定模块将返回到作用模式的时间,或网络管理员可使用NCSA来将命令传达到各种模块,从而引导其进入到作用模式中。更新任务计划的前述过程有利地允许网络安全性程序的改变在不打断附接到计算机网络100的各种计算装置当中的通信的情况下发生。
每一模块105、106、107、113及114处的各种身份参数的动态操控优选地由在每一模块105到107、113、114上执行的应用软件控制。然而,应用软件的行为有利地由任务计划控制。
现在参考图8,其提供概述每一模块105到107、113、114的操作的流程图。为避免混淆,关于在单个方向上的通信描述过程800。举例来说,在模块105的情况中,单个方向可涉及从客户端计算机101发射到集线器108的数据。然而,在实践中,优选地,模块105到107、113、114双向地操作。所述过程在将模块通电时在步骤802处开始且继续到步骤804,其中初始化模块应用软件以执行本文中所描述的方法。在步骤806中,从模块内的存储器位置加载任务计划。在此点处,模块准备好开始处理数据且继续进行到在步骤808处处理数据,其中其从模块的输入数据缓冲器存取数据包。在步骤810中,模块检查以确定其是否处于绕过操作模式中。如果如此,那么在步骤812中在不具有数据包的任何修改的情况下重新发射在步骤808中存取的数据包。如果模块不处于绕过模式中,那么其必定处于其作用操作模式中且继续到步骤814。在步骤814中,模块读取数据包以确定数据包始发于其的源节点的身份。在步骤816中,其检查所述包以确定源节点是否有效。可将所指定源节点与有效节点的列表进行比较以确定所指定源节点当前是否有效。如果其并非有效节点,那么在步骤818中摒弃所述包。在步骤820中,所述过程检查以确定触发事件是否发生。触发事件的发生将影响对待使用的假身份值的选择。因此,在步骤822中,模块基于触发信息、时钟时间及任务计划中的一或多者确定待使用的假身份值。模块然后继续到步骤826,其中其操控数据包的身份参数。一旦操控完成,即将数据包从模块的输出端口重新发射到邻近节点。在步骤830中,做出关于是否已命令将模块断电的确定。如果如此,那么过程在步骤832处结束。在步骤808中,过程继续,且从模块的输入数据缓冲器存取下一数据包。
现在参考图9,提供概述用于管理动态计算机网络的本文中所描述的方法的流程图。过程在步骤902中开始且继续到步骤904,其中创建网络模型(例如,如关于图3所展示及描述)。在步骤906中,做出关于是否将创建新任务计划的确定。如果如此,那么在步骤908中创建新任务计划,且过程继续到步骤910,其中选择新任务计划。或者,如果在步骤906中已创建所要任务计划,那么方法可直接继续到步骤910,其中选择现有任务计划。在步骤912中,将任务计划传达到模块(例如,图1的模块105到107、113、114),其中将任务计划存储于存储器位置中。当网络管理员准备好实施新任务模型时,在步骤914中发送命令,所述命令致使模块进入如本文中所描述的待用模式。当模块处于此待用模式中时,在步骤916处加载任务计划。任务计划的加载发生于每一模块处以使得可使用任务计划来控制在模块上执行的应用软件的操作。特定来说,使用任务计划来控制应用软件执行身份参数的动态操控的方式。在步骤918中,再次致使任务模块进入到其中每一任务模块根据任务计划执行身份参数的操控的作用操作模式中。步骤914、916及918可响应于从网络管理员发送的特定命令而发生,或可响应于在步骤912中接收到任务计划而在每一模块处自动地发生。在步骤918之后,模块根据已加载的任务计划继续执行处理。在步骤920中,过程通过检查以确定用户是否已指示改变任务计划的期望而继续;如果如此,那么过程返回到步骤906,其中其如上文所描述地继续。如果不存在用户或网络管理员希望改变现有任务计划的指示,那么过程在步骤922中确定其是否已被指示终止。如果如此,那么过程在步骤924中终止。如果未接收到终止指令,那么过程返回到步骤920且继续。
现在参考图10,其提供展示可用于执行本文中所描述的身份参数的操控的示范性模块1000的计算机架构的框图。模块1000包含经由总线1022彼此通信的处理器1012(例如中央处理单元(“CPU”))、主存储器1020及静态存储器1018。模块1000可进一步包含用以指示模块的状态的显示器单元1002,例如液晶显示器(“LCD”)。模块1000还可包含允许模块同时在两个单独数据线上接收及发射数据的一或多个网络接口装置1016、1017。两个网络接口端口促进图1中所展示的布置,其中每一模块经配置以同时拦截及重新发射从网络上的两个单独计算装置接收的数据包。
主存储器1020包含其上存储有经配置以实施本文中所描述的方法、程序或功能中的一或多者的一或多组的指令1008(例如,软件代码)的计算机可读存储媒体1010。指令1008也可在其由模块执行期间完全或至少部分地驻存于静态存储器1018内及/或处理器1012内。静态存储器1018及处理器1012也可构成机器可读媒体。在本发明的各种实施例中,连接到网络环境的网络接口装置1016使用指令1008经由网络通信。
指令1008致使模块1000用作基于包的静态网络的那些身份参数与基于包的MTT启用网络的那些身份参数之间的身份参数翻译器。图11中提供基于包的静态网络的常规协议堆栈。根据图11中所展示的实施例,协议堆栈1100包含指定基于包的静态网络内的节点的特定功能的五个层1102、1104、1106、1108、1110。本发明仍在此方面并不受限。根据特定基于包的静态网络应用,协议堆栈1100可包含任何数目个层。举例来说,如果静态网络采用开放式系统互连(“OSI”)协议堆栈,那么协议堆栈1100可进一步包含会话层及呈现层。
再次参考图11,协议堆栈1100提供图解说明如何将信息从安装于静态网络的第一节点(例如,客户端计算机)中的软件应用程序传递到安装于静态网络的第二节点(例如,客户端计算机)中的软件应用程序的框架。协议堆栈1100为所属领域的技术人员众所周知的。因此,本文中将不详细描述协议堆栈1100。然而,下文提供简要论述以辅助读者理解至少由图1的模块105到108、114执行的身份参数翻译。
如图11中所展示,协议堆栈1100由物理层1102、数据链路层1104、网络层1106、输送层1108及应用程序层1110构成。物理层1102由经配置以通过网络发送及接收数据的固件及/或硬件构成。数据链路层1104提供用于在网络节点之间传送数据的发射协议。此类发射协议可包含以太网协议(或IEEE 802.3协议)、点对点协议、IEEE 802.11协议、IEEE 802.15协议、IEEE 802.16协议及其它此类协议。
数据链路层1104可由两个(2)子层构成,即逻辑链路控制(“LLC”)层1114及媒体接入控制(“MAC”)层1112。LLC层1114由经配置以在经由MAC层1112发射协议之前将协议多路复用且在发射协议之后及在接收到协议后即刻将协议多路分用的固件及/或硬件构成。LLC层1114也由经配置以提供包的流控制、包的检测及经丢弃包的重新发射的固件及/或硬件构成。
MAC层1112由经配置以确定何时发射通信及何时接收通信的固件及/或硬件构成。就这一点来说,MAC层1112执行涉及协调对共享无线电信道的接入及利用增强经由无线链路的通信的协议的动作。如本文中所使用的术语“协议”是指定义如何在网络节点之间交换信息的一组规则。此类网络节点包含但不限于客户端计算机、服务器、路由器、交换器及桥接器。MAC层1112提供用于在网络节点之间传送数据的发射协议。此类发射协议包含MAC协议。MAC协议确保从不同节点跨越相同信道发送的信号不冲突。
网络层1106由经配置以将数据从一个节点传送到另一节点的固件构成。就这一点来说,网络层1106提供用于将数据从一个节点传送到另一节点的协议。发射协议包含路由协议及转发协议。此类发射协议包含因特网协议,例如版本4因特网协议(“IPv4”)、版本6因特网协议(“IPv6”)及因特网安全性协议(“IP层安全性”)。
输送层1108由经配置以在最终系统之间传达数据的固件构成。就这一点来说,输送层1108提供用于在最终系统之间发射数据的输送协议。此类输送协议包含发射控制协议(“TCP”)及用户数据报协议(“UDP”)。应用程序层1110通常仅实施于固件中。应用程序层1110提供用于最终用户应用程序(例如验证应用程序、数据语法应用程序、服务质量应用程序及最终用户应用程序)的发信协议。
现在参考图12,其提供静态网络的常规包1200的框图。包1200由前同步码1202、物理层协议标头1204、MAC层协议标头1206、LLC层协议标头1208、网络层协议标头1210及输送层协议标头1212构成。包1200也由应用程序层标头1214、应用程序数据1216及帧校验序列(“FCS”)1218构成。如本文中所使用,短语“帧校验序列”是指添加到通信协议中的包或帧的用于错误检测及校正的额外校验和字符。包1200的所列示分量中的每一者为所属领域的技术人员众所周知的且在局域网及城域网以及因特网工程任务小组(“IEFT”)的电气与电子工程师学会(“IEEE”)标准的开放式工业标准中良好定义。因此,本文中将不详细描述此类分量。
然而,应了解,应用程序数据1216可为发信协议数据、用户数据或管理数据。用户数据可包含话音数据、视频数据或诸如此类。还应了解,应用程序数据1216囊封于应用程序层标头1214与FCS 1218之间。应用程序层标头1214囊封于输送层协议标头1212与应用程序数据1216之间。类似地,输送层协议标头1212囊封于网络层协议标头1210与应用程序层标头1214之间。同样,网络层协议标头1210囊封于LLC层协议标头1208与输送层协议标头1212之间。LLC层协议标头1208囊封于MAC层协议标头1206与网络层协议标头1210之间。MAC层协议标头1206囊封于物理层协议标头1204与LLC层协议标头1208之间。物理层协议标头1204囊封于前同步码1202与MAC层协议标头1206之间。
输送层协议标头1212包括源及目的地端口编号1220。端口为充当计算机的操作系统中的通信端点的专用软件构造。针对每一IP地址及协议,端口通过十六位数(即,端口编号1220)识别。
输送层协议标头1212还包括TCP序号1222。在TCP会话的相对侧上彼此通信的两个客户端计算机将各自维持TCP序号1222。TCP序号1222允许每一计算机追踪其已传达多少数据。TCP序号包含于在会话期间传达的每一包的TCP标头部分中。在起始TCP会话时,随机地选择初始序号值。
网络层协议标头1210包括源及目的地IP地址1224。IP地址1224是指派给参与计算机网络的计算装置的数字识别符,其中所述网络使用众所周知的因特网协议进行通信。IP地址1224可在IPv4系统中为三十二位数或在IPv6系统中为一百二十八位数。IP地址1224为二进制数,但其通常存储于文本文件中且以人类可读标记显示(例如,IPv4系统的175.18.252.1.及IPv6的2003:db6:0:1234:0:469:6:1)。
在一些实施例中,每一IP地址1224可视为单个身份参数。然而,IP地址1224通常定义为包含至少两部分,其包含网络前缀1228及主机编号1230。网络前缀1228识别待将数据包1200传达到其的网络。主机编号1230识别局域网(“LAN”)内的特定节点。子网络(有时称为子网)为IP网络的逻辑部分。在网络被划分成两个或两个以上子网的情况下,IP地址1224的主机编号1230的一部分用以指定子网编号1232。出于本发明的目的,网络前缀1228、子网编号1232及主机编号1230可各自视为单独身份参数。由于在网络层协议标头1210中含有源IP地址及目的地IP地址,因此在标头1210中存在总共六个不同身份参数。
MAC层协议标头1206包括MAC地址1226。MAC地址1226是由制造商指派给网络接口装置且存储于板上ROM中的唯一值。取决于协议堆栈1100的MAC层1112所采用的协议,MAC地址1226可包含四十八位数或六十四位数。
MTT启用网络采用MTT协议堆栈的协议。图13中提供示范性MTT协议堆栈1300的示意性图解说明。如图13中所展示,MTT协议堆栈1300包括指定MTT启用网络内的节点的特定功能的五个层1302到1314。值得注意的是,一些层1302、1310、1314与协议堆栈1100的那些层1102、1110、1114相同。如此,上文关于这些层1102、1110、1114所提供的说明足以理解图13的层1302、1310、1314。然而,MTT协议堆栈1300包括不同于协议堆栈1100的那些层1104到1108的层1304到1308。如此,下文将提供这些层的简要论述。
MTT数据链路层1304可由两个(2)子层构成,即LLC层1314及MTT MAC层1312。LLC层1314与图11的LLC层1114相同或实质上类似。如此,上文关于层1114所提供的说明足以理解层1314。MTT MAC层1312不同于图11的MAC层1112。就这一点来说,应理解,MAC层1112针对每一网络接口装置采用静态MAC地址1226。相比之下,MTT MAC层1312针对每一网络接口装置采用非静态MAC地址(例如,图14的MTT MAC地址1426)。非静态MAC地址可动态地变化。举例来说,可在MTT启用网络的操作期间随机地或伪随机地改变非静态MAC地址。
MTT网络层1306不同于图11的网络层1106。就这一点来说,应理解,网络层1106采用静态IP地址1224。相比之下,MTT网络层1306的IP地址(例如,图14的MTT IP地址1424)为非静态(即,可在MTT启用网络的操作期间使其动态地变化)。举例来说,可根据伪随机过程改变IP地址编号。
MTT输送层1308不同于图11的输送层1108。输送层1108采用静态端口编号1220及静态TCP序号1222。相比之下,MTT输送层1308所采用的端口编号(例如,图14的编号1420)及TCP序号(例如,图14的编号1422)为非静态的。就这一点来说,应理解,可根据随机或伪随机过程改变非静态端口编号及序号中的每一者。
现在参考图14,其提供MTT启用网络的示范性MTT包1400的示意性图解说明。MTT包1400由前同步码1402、物理层协议标头1404、MTT MAC层协议标头1406、LLC层协议标头1408、MTT网络层协议标头1410、MTT输送层协议标头1412、应用程序层标头1414、应用程序数据1416及FCS 1418构成。MTT包1400的部分1402、1404、1408、1414、1416、1418与图12的部分1202、1204、1208、1214、1216、1218相同或实质上类似。如此,上文关于部分1202、1204、1208、1214、1216、1218所提供的说明足以理解MTT包1400的部分1402、1404、1408、1414、1416、1418。然而,部分1406、1410、1412不同于图12的部分1206、1210、1212。如此,本文中将描述部分1406、1410、1412中的每一者。
MTT输送层协议标头1412包括MTT源及目的地端口编号1420。端口为充当计算机的操作系统中的通信端点的专用软件构造。针对每一IP地址及协议,端口通过十六位数识别。所述十六位数关于MTT启用网络称为MTT端口编号1420。值得注意的是,每一MTT端口编号1420为非静态编号(即,其可由模块根据随机或伪随机过程改变)。MTT输送层协议标头1412还包括MTT TCP序号1422。MTT TCP序号1422为非静态编号。MTT端口编号1420及MTT TCP序号1422的操控可通过简单修改TCP标头信息以改变其值而实现。
MTT网络层协议标头1410包括源及目的地MTT IP地址1424。可根据随机或伪随机过程使每一MTT IP地址1424的值动态地变化。每一MTT IP地址1424包括MTT前缀1428及MTT主机编号1430。也可在MTT启用网络的操作期间使这些分量1428、1430中的每一者动态地变化。MTT IP地址1424、MTT前缀1428及MTT主机编号1430的操控可通过简单修改MTT网络层协议标头1410的IP标头信息而实现。
MTT MAC层协议标头1406包括MTT MAC地址1426。可在MTT启用网络的操作期间使MTT MAC地址1426动态地变化。MTT MAC地址1426的操控可通过简单修改MTT MAC层协议标头1406的以太网标头信息而实现。
现在参考图15,其提供对于理解模块1000在其实施为硬件时的操作有用的示意性图解说明。如图15中所展示,模块1000根据协议堆栈1200、1400两者执行操作。就这一点来说,模块1000经配置以将MTT包1400传达到MTT启用网络节点1502(例如,图1的节点104到109、111或112)及从MTT启用网络节点1502传达MTT包1400。模块1000还经配置以将常规包1200传达到静态启用网络节点1506(例如,图1的节点101到103、110或115)及从静态启用网络节点1506传达常规包1200。模块1000进一步经配置以将常规包1200转换成MTT启用包1400且反之亦然。此包转换经由身份参数翻译(“IPT”)1504实现。用于实现IPT的过程通常涉及:将包1200、1400的应用程序层部分1214、1216、1414、1416解囊封及重新囊封。用于将包囊封及解囊封的方法为此项技术中众所周知的且因此将不在本文中描述。用于将包囊封及解囊封的任何已知方法或将知晓的方法可在无限制的情况下与本发明一起使用。图16及17中图解说明用于实现IPT的此类过程的实例。
如图16中所展示,示范性过程1600在步骤1602处开始且以步骤1604继续。在步骤1604中,通过从常规包1200移除前同步码1202及标头1204到1212而将所述包的应用程序层部分1214、1216解囊封。在下一步骤1606中,根据MTT协议堆栈1300的协议产生包分量1402到1414。此后,执行步骤1608,其中重新囊封应用程序层部分1214、1216以便形成MTT包1400。通过将包分量1402到1414附加到应用程序层部分1214、1216而实现重新囊封。在完成步骤1608后,过程1600即刻结束或执行其它处理。
如图17中所展示,示范性过程1700在步骤1702处开始且以步骤1704继续。在步骤1704中,通过从MTT包1400移除前同步码1402及标头1404到1412而将包1400的应用程序层部分1414、1416解囊封。接下来,在步骤1706中,根据常规协议堆栈1200的协议产生包分量1204到1214。在下一步骤1708中,通过将前同步码1202及标头1204到1214附加到应用程序层部分1414、1416而重新囊封应用程序层部分1414、1416以便形成常规包1200。
现在参考图18,其展示根据发明性布置的示范性NAC 104。NAC 104可包括各种类型的计算系统及装置,包含服务器计算机、客户端用户计算机、个人计算机(“PC”)、平板PC、膝上型计算机、桌上型计算机、控制系统或能够执行指定所述装置待采取的动作的一组指令(循序或其它)的任何其它装置。此外,尽管图18中图解说明单个计算机,但短语“NAC”应理解为包含个别地或联合地执行一组(或多组)指令以执行本文中所论述的方法中的任一者或多者的计算装置的任何集合。
现在参考图18,NAC 104包含经由总线1822彼此通信的处理器1812(例如CPU)、磁盘驱动单元1806、主存储器1820及静态存储器1818。NAC 104可进一步包含显示器单元1802,例如视频显示器(例如,LCD)、平板显示器、固态显示器或阴极射线管(“CRT”)。NAC 104可包含用户输入装置1804(例如,键盘)、光标控制装置1814(例如,鼠标)及网络接口装置1816。
磁盘驱动单元1806包含其上存储有经配置以实施本文中所描述的方法、程序或功能中的一或多者的一或多组指令1808(例如,软件代码)的计算机可读存储媒体1810。指令1808也可在其执行期间完全或至少部分地驻存于主存储器1820、静态存储器1818内及/或处理器1812内。主存储器1820及处理器1812还可构成机器可读媒体。
所属领域的技术人员应了解,图10到17中所图解说明的模块架构及图18中的NAC架构各自表示可分别用于执行本文中所描述的方法的计算装置的仅一个可能实例。然而,本发明在此方面并不受限,且任何其它适合计算装置架构也可在无限制的情况下使用。包含但不限于专用集成电路、可编程逻辑阵列及其它硬件装置的专用硬件实施方案可同样地经构造以实施本文中所描述的方法。可包含各种实施例的装备及系统的应用广义地包含多种电子及计算机系统。一些实施例可借助在模块之间及贯通模块传达的相关控制及数据信号或作为专用集成电路的部分实施两个或两个以上特定互连的硬件装置中的功能。因此,示范性系统适用于软件、固件及硬件实施方案。
根据本发明的各种实施例,本文中所描述的方法作为软件程序存储于计算机可读存储媒体中且经配置以在计算机处理器上运行。此外,软件实施方案可包含但不限于也可经构造以实施本文中所描述的方法的分布式处理、组件/对象分布式处理、并行处理、虚拟机器处理。
尽管在图10及18中将计算机可读存储媒体1010、1810展示为单个存储媒体,但术语“计算机可读存储媒体”应视为包含存储一或多组指令的单个媒体或多个媒体(例如,集中式或分布式数据库及/或相关联高速缓冲存储器及服务器)。术语“计算机可读存储媒体”也应视为包含能够存储、编码或携载供由机器执行的一组指令且致使机器执行本发明的方法中任一者或多者的任何媒体。
术语“计算机可读媒体”应相应地视为包含但不限于固态存储器(例如存储器卡或者装纳一或多个只读(非易失性)存储器、随机存取存储器或其它可重复写入(易失性)存储器的其它包);磁光媒体或光学媒体(例如磁盘或磁带)。因此,本发明应视为包含如本文中所列示的计算机可读媒体中的任一者或多者且包含已认可的等效物及其中存储有本文中的软件实施方案的后续任务媒体。
网络状态管理
在一些情景中,可作为离散组件来管理网络(例如,图1的网络100)的节点。然而,在这些情景中,改变与离散组件相关联的一或多个身份参数可能不会(a)最小化攻击表面或(b)减小成功攻击的机率。因此,本发明提供用于实现(a)及(b)的解决方案。
此类解决方案通常涉及以整体方式而非以离散组件方式检视网络。就这一点来说,所述解决方案包括响应于主动性/被动性触发事件而动态地改变网络状态。至少通过以下各项中的一或多者来定义网络状态:子网络参数、端点配置参数、通信规范参数、网络管线配置参数、协议参数、包参数、网络噪声参数及任务计划识别参数。除任务计划识别参数外的所有其它参数为此项技术中众所周知的,且因此本文中将不详细描述。因此,应理解,可通过修改所列示参数中的一或多者来简单地改变网络状态。举例来说,网络状态修改可涉及改变:网络节点所采用的通信协议;将使用特定通信协议的网络节点的数目;及/或将用于促进在网络节点上运行的应用程序之间的通信的通信路径。
改变所述参数的方式可由网络管理者手动地完成或根据在网络内实施的一或多个网络管理计划/规则自动地完成。每一网络管理计划/规则可定义两个或两个以上子网络且指定在发生主动性/被动性触发事件时子网络将使用哪些任务计划。举例来说,网络管理计划/规则可指定:网络节点1到3构成第一子网络;网络节点4到6构成第二子网络;在仅接在第一触发事件(例如,预定义时间周期的期满)之后的持续时间期间,第一子网络将采用任务计划A且第二子网络将采用任务计划B;及在紧接在第二触发事件(例如,用于命令网络状态改变的用户-软件交互)之后的持续时间期间,第一子网络将采用任务计划C且第二子网络将采用任务计划D。
现在参考图19,其提供网络1900的示意性图解说明,其中可在其操作期间动态地修改其状态。如图19中所展示,网络1900具有总线状网络拓扑。本发明的实施例在此方面并不受限。举例来说,网络1900可替代地具有星形网络拓扑、环形网络拓扑或网状网络拓扑。在所有这些拓扑情景中,网络1900包括多个网络节点,例如图19中所展示的节点1904到1922。网络节点1904、1906、1910、1912、1916、1918、1920、1922中的每一者与图1的节点101到104、111或112相同或实质上类似。类似地,每一节点1908、1914与图1的节点108、109相同或实质上类似。同样,节点1907、1911、1917、1919中的每一者与图1的节点105到107、113或114相同或实质上类似。上文关于节点101到104、108、109、111到114所提供的描述足以理解节点1904到1922。
在网络1900的操作期间,所述网络节点经配置以定义两个或两个以上子网络1930、1940。子网络1930、1940以功能上不同的方式同时操作以便提供两个全异且单独网络的外观,借此阻挠对手对网络1900的实际物理及功能架构的检视。举例来说,在操作持续时间D1期间,子网络1930的网络节点以由任务计划A指定的功能方式操作,且子网络1940的网络节点以由任务计划B指定的不同功能方式操作。在下一操作持续时间D2中,子网络1930的网络节点以由任务计划C指定的功能方式操作,且子网络1940的网络节点以由任务计划D指定的不同功能方式操作。如上文所描述,任务计划A到D可响应于主动性/被动性触发事件而改变。
贯穿每一持续时间D1及D2,基于由子网络1930、1940实施的至少一个任务计划而选择性地确定其功能拓扑。功能拓扑指定欲将子网络1930、1940的节点在通信上彼此隔离以便形成两个全异且单独网络的外观的方式。在此情景中,子网络1940的网络节点在操作持续时间D1及D2期间不能与子网络1930的网络节点进行双向通信。因此,如果根据任务计划A操作的第一节点(例如,节点1904)乒通(ping)根据任务模型B操作的第二节点(例如,节点1912),那么第一节点将接收不到来自第二节点的响应,且反之亦然。因此,对手不能确定网络1900的实际物理架构。
如图19中所展示,网络1900的节点1950经配置以充当用于通信地连接子网络1930、1940的节点的网关或网络桥接器1950。如此,子网络1930、1940的节点可经由节点1950间接地彼此通信。网关及网络桥接器为此项技术中众所周知的且因此将不在本文中描述。然而,应注意,网关或网络桥接器1950可使用LUT来确定网络节点属于哪一子网络1930、1940。在一些实施例中,可根据子网络架构改变动态地更新LUT。或者,在子网络架构改变之后,不同节点可用作网关或桥接器。下文将描述子网络架构改变。
虽然图19中将网络1900展示为具有两个静态子网络架构,但本发明的实施例在此方面并不受限。举例来说,网络1900可在不同操作持续时间期间具有不同子网络架构。此网络配置展示于图20到21中。
在图20中,在操作持续时间DA期间,将网络节点1904到1922划分成两个子网络2002、2004。在发生触发事件后,在不对网络1900进行物理修改的情况下(即,在不添加及/或移除物理装置的情况下)即刻改变网络1900的子网络架构。此外,将网络1900所采用的任务计划E、F改变为其它任务计划。图21中示意性地图解说明此情况。
如图21中所展示,子网络2002、2004在主动性/被动性触发事件发生后即刻切换到子网络2102、2104。子网络2102、2104中的每一者包括图20的子网络2002、2004中所含有的网络节点的一部分。更具体来说,子网络2102包括网络节点1904到1912。子网络2104包括网络节点1914到1922。
一旦已设置或简单选择子网络2102、2104,即在网络1900内部署新任务计划G及H。具体来说,在子网络2102中部署任务计划G。在子网络2104中部署任务计划H。任务计划的部署可涉及:命令每一网络节点将任务计划E或F切换为任务计划G或H;存取每一网络节点的局部数据存储区(未展示);从局部数据存储区(未展示)读取任务计划G或H;及在每一网络节点处执行用于促进任务计划G或H在子网络2102、2104内的实施的软件。替代地或另外,任务计划部署可涉及:存取网络1900的中央数据存储区(未展示);从所述数据存储区读取任务计划G及H;将任务G或H传达到相应子网络2102、2104的每一节点;及在每一网络节点处执行用于促进任务计划G或H的实施的软件。
值得注意的是,在图20到21中,在持续时间DA及DB期间利用相同网络节点1950作为网关或桥接器。本发明的实施例在此方面并不受限。举例来说,在持续时间DA及DB期间可使用不同网络节点作为网关或桥接器。可由网络管理员根据网络管理计划/规则及/或根据任务计划选择“网关或桥接器”节点。
现在参考图22,其提供对于理解本发明有用的用于网络状态管理的示范性方法。如图22中所展示,方法2200以步骤2202开始且以步骤2204继续。步骤2204涉及定义至少多个子网络。所述子网络可包含但不限于第一子网络(例如,图19的子网络1930或图20的子网络2002)、第二子网络(例如,图19的子网络1940或图20的子网络2004)、第三子网络(例如,图21的子网络2102)及第四子网络(例如,图21的子网络2104)。可在至少一个网络管理计划/规则中定义所述子网络。网络管理计划/规则可存储于网络(例如,图19的网络1900)的中央数据存储区中。
在定义子网络之后,方法2200以步骤2206继续,其中选择至少两个任务计划以供由每一子网络实施。举例来说,选择任务计划A、C及/或E以供由第一子网络(例如,图19的子网络1930或图20的子网络2002)实施。选择任务计划B、D及/或F以供由第二子网络(例如,图19的子网络1940或图20的子网络2004)实施。选择任务计划G以用于第三子网络(例如,图21的子网络2102)的实施。选择任务计划H以用于第四子网络(例如,图21的子网络2104)的实施。可在网络管理计划/规则中识别任务计划以便与相应子网络相关联。
在下一步骤2208中,指定用于引起网络状态的改变(即,子网络架构的改变及/或由子网络实施的任务计划的改变)的至少一个触发事件。所述触发事件可包含但不限于上文所描述的主动性触发事件及被动性触发事件。举例来说,所述触发事件可包含命令网络状态改变的用户-软件交互或从最后次网络状态改变以来的预定义时间周期(例如,二十四个小时)的期满。可在网络管理计划/规则中将所述触发事件指定为指示将在何时改变网络状态及应修改哪些参数以引起所述网络状态改变。此类参数可包含但不限于子网络参数、端点配置参数、通信规范参数、网络管线配置参数、协议参数、包参数、网络噪声参数及/或任务计划识别参数。所列示参数中的每一者为此项技术中众所周知的且因此将不在本文中详细描述。
在完成步骤2208后,即刻执行步骤2210,其中在网络(例如,图19的网络1900)内设置至少第一子网络及第二子网络。用于设置子网络的方法为此项技术中众所周知的且因此将不在本文中描述。用于设置子网络的任何此类已知或将知晓的方法可在无限制的情况下与本发明一起使用。
接下来,在步骤2212中,在第一子网络中部署第一任务计划,且在第二子网络中部署第二任务计划。可根据网络管理计划/规则部署所述第一及第二任务计划。所述任务计划的部署可涉及:命令第一子网络的网络节点实施第一任务计划(例如,图19的任务计划A或图20的任务计划E);命令第二子网络的网络节点实施第二任务计划(例如,图19的任务计划B或图20的任务计划F);由网络节点中的每一者执行用以存取局部数据存储区并从其读取第一或第二任务计划的操作;及在每一网络节点处执行用于促进第一或第二任务计划的实施的软件。替代地或另外,任务计划部署可涉及:由网络管理计算机执行用以存取网络的中央数据存储区并从其读取第一及第二任务计划的动作;将第一任务计划传达到第一子网络的每一节点且将第二任务计划传达到第二子网络的每一节点;及在每一网络节点处执行用于促进第一或第二任务计划的实施的软件。
在于网络中部署第一及第二任务计划之后,由第一及第二子网络根据第一及第二任务计划执行操作,如步骤2214所展示。在第一及第二子网络的操作期间,在步骤2216中检测触发事件。所述触发事件可包含但不限于上文所描述的主动性触发事件及/或被动性触发事件。响应于检测到所述触发事件,方法2200以步骤2218到2220继续以改变网络的状态。
步骤2218涉及在不对网络(例如,图19的网络1900)进行物理修改的情况下设置至少第三及第四子网络。第三及第四子网络中的每一者可与第一及第二子网络中的一者相同或不同。如上文所述,用于设置子网络的方法为此项技术中众所周知的且因此将不在本文中描述。任何此类已知或将知晓的方法可在无限制的情况下在步骤2218中使用。
步骤2220涉及在第三子网络中部署第三任务计划且在第四子网络中部署第四任务计划。第三及第四任务计划中的每一者与第一及第二任务计划相同或不同。此后,在步骤2222中由第三及第四子网络中的每一者根据第三或第四任务计划执行操作。在下一步骤2224中,方法2200结束或执行其它处理。
虽然已关于一或多个实施方案图解说明及描述了本发明,但所属领域的技术人员在阅读及理解本说明书及随附图式之后将想到等效更改及修改。另外,尽管可能已关于数种实施方案中的仅一者揭示了本发明的特定特征,但此特征可与其它实施方案的一或多个其它特征组合,此对于任何给定或特定应用可能是合意的及有利的。因此,本发明的广度及范围不应受上文所描述的实施例中的任一者限制。而是,本发明的范围应根据所附权利要求书及其等效形式来定义。
Claims (15)
1.一种供在计算机网络中使用的方法,其包括:
由所述计算机网络的第一子网络根据第一任务计划执行操作,所述第一任务计划指定用于伪随机地修改与所述计算机网络的至少一个第一计算装置相关联的至少一个第一身份参数以指定假信息的第一过程;
由所述计算机网络的第二子网络根据第二任务计划执行操作,所述第二任务计划指定用于伪随机地修改与所述计算机网络的至少一个第二计算装置相关联的至少一个第二身份参数以指定假信息的第二过程,所述第二任务计划不同于所述第一任务计划;
基于所述第一及第二任务计划中的至少一者选择性地确定所述第一及第二子网络中的至少一者的功能拓扑,所述功能拓扑指定欲将所述第一子网络的节点与所述第二子网络的节点在通信上隔离以便形成两个全异且单独网络的外观的方式。
2.根据权利要求1所述的方法,其中在不对所述计算机网络进行物理修改的情况下设置所述第一及第二子网络。
3.根据权利要求1所述的方法,其进一步包括:
检测用于触发所述计算机网络的状态的改变的第一事件;以及
响应于对所述第一事件的所述检测而修改所述状态。
4.根据权利要求3所述的方法,其中通过改变由所述计算机网络实施的任务计划而修改所述状态。
5.根据权利要求3所述的方法,其中通过在不对所述计算机网络进行物理修改的情况下改变所述计算机网络的子网络架构而修改所述状态。
6.根据权利要求5所述的方法,其中通过设置各自不同于所述第一及第二子网络的第三子网络及第四子网络而改变所述子网络架构。
7.根据权利要求6所述的方法,其进一步包括:由所述第三子网络根据第三任务计划且由所述第四子网络根据第四任务计划执行操作,所述第三及第四任务计划中的至少一者不同于所述第一及第二任务计划。
8.根据权利要求3所述的方法,其中所述第一事件包括命令所述状态的改变的用户-软件交互或预定义时间周期的期满。
9.根据权利要求3所述的方法,其中通过修改以下各项中的至少一者而改变所述状态:子网络参数、端点配置参数、通信规范参数、网络管线配置参数、协议参数、包参数及网络噪声参数。
10.根据权利要求3所述的方法,其进一步包括:配置所述计算机网络的至少一个第一网络节点以充当所述第一与第二子网络之间的网关或桥接器。
11.根据权利要求10所述的方法,其中在所述第一及第二任务计划中的至少一者中指定第一网络装置来充当网关或桥接器。
12.根据权利要求10所述的方法,其进一步包括响应于对所述触发事件的所述检测而执行以下行动:
重新配置所述第一网络装置以使得其不充当所述网关或桥接器;以及
配置第二不同网络装置以充当新设置的子网络之间的网关或桥接器。
13.一种系统,其包括:
第一子网络,其经配置以根据第一任务计划执行操作,所述第一任务计划指定用于伪随机地修改与所述计算机网络的至少一个第一计算装置相关联的至少一个第一身份参数以指定假信息的第一过程;以及
第二子网络,其经配置以由所述计算机网络的第二子网络根据第二任务计划执行操作,所述第二任务计划指定用于伪随机地修改与所述计算机网络的至少一个第二计算装置相关联的至少一个第二身份参数以指定假信息的第二过程,所述第二任务计划不同于所述第一任务计划;
其中基于所述第一及第二任务计划中的至少一者选择性地确定所述第一及第二子网络中的至少一者的功能拓扑,所述功能拓扑指定欲将所述第一子网络的节点与所述第二子网络的节点在通信上隔离以便形成两个全异且单独网络的外观的方式。
14.根据权利要求13所述的系统,其中所述第一及第二子网络是在不对所述计算机网络进行物理修改的情况下设置的。
15.根据权利要求13所述的系统,其进一步包括计算装置,所述计算装置经配置以检测用于触发所述计算机网络的状态的改变的第一事件,且响应于对所述第一事件的所述检测而修改所述状态。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/461,042 | 2012-05-01 | ||
| US13/461,042 US8935786B2 (en) | 2012-05-01 | 2012-05-01 | Systems and methods for dynamically changing network states |
| PCT/US2013/038561 WO2013165863A1 (en) | 2012-05-01 | 2013-04-29 | Systems and methods for dynamically changing network states |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104322028A true CN104322028A (zh) | 2015-01-28 |
| CN104322028B CN104322028B (zh) | 2016-03-16 |
Family
ID=48444589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380023335.9A Expired - Fee Related CN104322028B (zh) | 2012-05-01 | 2013-04-29 | 用于动态地改变网络状态的系统及方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8935786B2 (zh) |
| KR (1) | KR101532190B1 (zh) |
| CN (1) | CN104322028B (zh) |
| TW (1) | TWI514184B (zh) |
| WO (1) | WO2013165863A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108604221A (zh) * | 2015-11-25 | 2018-09-28 | 安东·弗兰茨·约瑟夫·弗利里 | 用于比较多个交互网络中的对象诱发的信息流的方法和描述符 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10778659B2 (en) | 2012-05-24 | 2020-09-15 | Smart Security Systems Llc | System and method for protecting communications |
| US9325676B2 (en) * | 2012-05-24 | 2016-04-26 | Ip Ghoster, Inc. | Systems and methods for protecting communications between nodes |
| US20160323313A1 (en) * | 2013-05-31 | 2016-11-03 | Tt Government Solutions, Inc. | Moving-target defense with configuration-space randomization |
| US10382595B2 (en) | 2014-01-29 | 2019-08-13 | Smart Security Systems Llc | Systems and methods for protecting communications |
| US9479506B2 (en) | 2014-04-16 | 2016-10-25 | Intel Corporation | At least one mechanism to permit, at least in part, allocation and/or configuration, at least in part, of at least one network-associated object |
| US20160092670A1 (en) * | 2014-09-30 | 2016-03-31 | Frank Douglas Moseley | Answer Question User Authentication Process |
| EP3267639B1 (en) * | 2016-07-06 | 2019-12-25 | Alcatel Lucent | Congestion control within a communication network |
| US10600001B2 (en) | 2017-02-09 | 2020-03-24 | Facebook, Inc. | Determining a target device profile including an expected behavior for a target device |
| US10361913B2 (en) * | 2017-02-09 | 2019-07-23 | Kodacloud Inc. | Determining whether to include or exclude device data for determining a network communication configuration for a target device |
| TWI630488B (zh) * | 2017-08-04 | 2018-07-21 | 中華電信股份有限公司 | 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統 |
| KR102231040B1 (ko) * | 2018-02-05 | 2021-03-23 | 한국전자기술연구원 | 링 구조의 이중화 이더넷을 위한 데이터 통신방법 |
| US11194930B2 (en) | 2018-04-27 | 2021-12-07 | Datatrendz, Llc | Unobtrusive systems and methods for collecting, processing and securing information transmitted over a network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7043633B1 (en) * | 2000-08-28 | 2006-05-09 | Verizon Corporation Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation |
| US7739497B1 (en) * | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
| CN101754471A (zh) * | 2008-12-09 | 2010-06-23 | 中兴通讯股份有限公司 | 无线局域网接入设备的工作模式切换方法、装置 |
Family Cites Families (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5734649A (en) | 1996-05-31 | 1998-03-31 | Bbn Corporation | Data packet router |
| US6052064A (en) | 1997-10-30 | 2000-04-18 | Motorola, Inc. | Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones |
| US6646989B1 (en) | 1998-06-29 | 2003-11-11 | Lucent Technologies Inc. | Hop-by-hop routing with node-dependent topology information |
| US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| US7188180B2 (en) | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
| WO2000027090A2 (en) | 1998-10-30 | 2000-05-11 | Science Applications International Corporation | Network protocol for secure communications |
| US7240368B1 (en) | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
| US6981146B1 (en) | 1999-05-17 | 2005-12-27 | Invicta Networks, Inc. | Method of communications and communication network intrusion protection methods and intrusion attempt detection system |
| US6934763B2 (en) | 2000-04-04 | 2005-08-23 | Fujitsu Limited | Communication data relay system and method of controlling connectability between domains |
| WO2001091503A2 (en) | 2000-05-23 | 2001-11-29 | Invicta Networks, Inc. | Systems and methods for communication protection |
| US7757272B1 (en) | 2000-06-14 | 2010-07-13 | Verizon Corporate Services Group, Inc. | Method and apparatus for dynamic mapping |
| US8677505B2 (en) | 2000-11-13 | 2014-03-18 | Digital Doors, Inc. | Security system with extraction, reconstruction and secure recovery and storage of data |
| FI110464B (fi) | 2001-04-26 | 2003-01-31 | Nokia Corp | IP-tietoturva ja liikkuvat verkkoyhteydet |
| US7085267B2 (en) | 2001-04-27 | 2006-08-01 | International Business Machines Corporation | Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet |
| US6917974B1 (en) | 2002-01-03 | 2005-07-12 | The United States Of America As Represented By The Secretary Of The Air Force | Method and apparatus for preventing network traffic analysis |
| US7114005B2 (en) | 2002-02-05 | 2006-09-26 | Cisco Technology, Inc. | Address hopping of packet-based communications |
| US7712130B2 (en) | 2002-03-22 | 2010-05-04 | Masking Networks, Inc. | Multiconfigurable device masking shunt and method of use |
| JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7216359B2 (en) | 2002-12-19 | 2007-05-08 | International Business Machines Corporation | Secure communication overlay using IP address hopping |
| US20040255167A1 (en) | 2003-04-28 | 2004-12-16 | Knight James Michael | Method and system for remote network security management |
| US7469279B1 (en) * | 2003-08-05 | 2008-12-23 | Cisco Technology, Inc. | Automatic re-provisioning of network elements to adapt to failures |
| US20050038708A1 (en) | 2003-08-10 | 2005-02-17 | Gmorpher Incorporated | Consuming Web Services on Demand |
| WO2005029782A1 (ja) | 2003-09-22 | 2005-03-31 | Sharp Kabushiki Kaisha | 集線装置、中継制御方法、中継制御プログラム、中継制御プログラムを記録した記録媒体、情報処理装置、dhcpサーバ、dhcp処理方法、dhcp処理プログラム、dhcp処理プログラムを記録した記録媒体、および情報処理システム |
| US7382778B2 (en) | 2004-01-05 | 2008-06-03 | Tropos Networks, Inc. | Link layer emulation |
| CN100499540C (zh) | 2004-03-03 | 2009-06-10 | 三菱电机株式会社 | 第二层交换网络系统 |
| US20060031394A1 (en) | 2004-04-20 | 2006-02-09 | Tazuma Stanley K | Apparatus and methods for transparent handling of browser proxy configurations in a network gateway device |
| ATE480948T1 (de) | 2004-09-30 | 2010-09-15 | France Telecom | Verfahren und system zum routen in kommunikationsnetzen zwischen einem ersten knoten und einem zweiten knoten |
| US9383750B2 (en) | 2004-12-02 | 2016-07-05 | Lockheed Martin Corporation | System for predictively managing communication attributes of unmanned vehicles |
| US7984163B2 (en) | 2005-01-13 | 2011-07-19 | Flash Networks, Inc. | Method and system for optimizing DNS queries |
| US7996894B1 (en) | 2005-02-15 | 2011-08-09 | Sonicwall, Inc. | MAC address modification of otherwise locally bridged client devices to provide security |
| US7937756B2 (en) | 2005-08-19 | 2011-05-03 | Cpacket Networks, Inc. | Apparatus and method for facilitating network security |
| JP4626811B2 (ja) | 2005-09-29 | 2011-02-09 | 日本電気株式会社 | ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム |
| US8199677B1 (en) | 2005-12-14 | 2012-06-12 | Rockwell Collins, Inc. | Distance vector routing via multi-point relays |
| US7890612B2 (en) | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| JP4732257B2 (ja) | 2006-07-07 | 2011-07-27 | 富士通株式会社 | 中継装置、経路制御方法、及び経路制御プログラム |
| US8136162B2 (en) | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
| US8189460B2 (en) | 2006-12-28 | 2012-05-29 | Cisco Technology, Inc. | Method and system for providing congestion management within a virtual talk group |
| JP2008177714A (ja) | 2007-01-17 | 2008-07-31 | Alaxala Networks Corp | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 |
| US7853998B2 (en) | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
| US7853680B2 (en) | 2007-03-23 | 2010-12-14 | Phatak Dhananjay S | Spread identity communications architecture |
| US8464334B1 (en) | 2007-04-18 | 2013-06-11 | Tara Chand Singhal | Systems and methods for computer network defense II |
| US8301789B2 (en) | 2007-06-18 | 2012-10-30 | Emc Corporation | Techniques for port hopping |
| US7836354B2 (en) | 2007-07-02 | 2010-11-16 | Verizon Patent And Licensing Inc. | Method and system for providing automatic disabling of network debugging |
| US20090059788A1 (en) | 2007-08-29 | 2009-03-05 | Motorola, Inc. | Method and Apparatus for Dynamic Adaptation of Network Transport |
| WO2009052452A2 (en) | 2007-10-17 | 2009-04-23 | Dispersive Networks Inc. | Virtual dispersive routing |
| US8539098B2 (en) | 2007-10-17 | 2013-09-17 | Dispersive Networks, Inc. | Multiplexed client server (MCS) communications and systems |
| US8560634B2 (en) | 2007-10-17 | 2013-10-15 | Dispersive Networks, Inc. | Apparatus, systems and methods utilizing dispersive networking |
| US20090165116A1 (en) | 2007-12-20 | 2009-06-25 | Morris Robert P | Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity |
| CN101521569B (zh) | 2008-02-28 | 2013-04-24 | 华为技术有限公司 | 实现服务访问的方法、设备及系统 |
| GB2473797A (en) * | 2008-07-31 | 2011-03-23 | Hewlett Packard Development Co | Selectively re-mapping a network topology |
| US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
| US9042549B2 (en) | 2009-03-30 | 2015-05-26 | Qualcomm Incorporated | Apparatus and method for address privacy protection in receiver oriented channels |
| US8139504B2 (en) | 2009-04-07 | 2012-03-20 | Raytheon Bbn Technologies Corp. | System, device, and method for unifying differently-routed networks using virtual topology representations |
| US8553849B2 (en) | 2009-06-17 | 2013-10-08 | Avaya Inc. | Personal identification and interactive device for internet-based text and video communication services |
| US20100333188A1 (en) | 2009-06-29 | 2010-12-30 | Politowicz Timothy J | Method for protecting networks against hostile attack |
| US8793792B2 (en) | 2010-05-07 | 2014-07-29 | Raytheon Company | Time-key hopping |
| US9225656B2 (en) * | 2011-02-07 | 2015-12-29 | Brocade Communications Systems, Inc. | Quality of service in a heterogeneous network |
| US9202078B2 (en) | 2011-05-27 | 2015-12-01 | International Business Machines Corporation | Data perturbation and anonymization using one way hash |
| US8495738B2 (en) | 2011-10-21 | 2013-07-23 | Lockheed Martin Corporation | Stealth network node |
-
2012
- 2012-05-01 US US13/461,042 patent/US8935786B2/en active Active
-
2013
- 2013-04-29 WO PCT/US2013/038561 patent/WO2013165863A1/en active Application Filing
- 2013-04-29 KR KR1020147033725A patent/KR101532190B1/ko active IP Right Grant
- 2013-04-29 CN CN201380023335.9A patent/CN104322028B/zh not_active Expired - Fee Related
- 2013-04-30 TW TW102115547A patent/TWI514184B/zh not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7043633B1 (en) * | 2000-08-28 | 2006-05-09 | Verizon Corporation Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation |
| US7739497B1 (en) * | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
| CN101754471A (zh) * | 2008-12-09 | 2010-06-23 | 中兴通讯股份有限公司 | 无线局域网接入设备的工作模式切换方法、装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108604221A (zh) * | 2015-11-25 | 2018-09-28 | 安东·弗兰茨·约瑟夫·弗利里 | 用于比较多个交互网络中的对象诱发的信息流的方法和描述符 |
| CN108604221B (zh) * | 2015-11-25 | 2022-09-09 | 安东·弗兰茨·约瑟夫·弗利里 | 用于比较多个交互网络中的对象诱发的信息流的方法和描述符 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104322028B (zh) | 2016-03-16 |
| KR101532190B1 (ko) | 2015-06-26 |
| US8935786B2 (en) | 2015-01-13 |
| US20130298235A1 (en) | 2013-11-07 |
| TW201351190A (zh) | 2013-12-16 |
| KR20150006039A (ko) | 2015-01-15 |
| WO2013165863A1 (en) | 2013-11-07 |
| TWI514184B (zh) | 2015-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104322028B (zh) | 用于动态地改变网络状态的系统及方法 | |
| CN104272700A (zh) | 用于使用影子联网技术来识别、阻断及/或延迟对网络的攻击的系统及方法 | |
| CN104618321A (zh) | 用于计算机网络的企业任务管理的系统及方法 | |
| CN104322027B (zh) | 用于在动态计算机网络中传达数据的路由器 | |
| TWI516072B (zh) | 於原有硬體中實施活動目標技術之系統及方法 | |
| CN104272701A (zh) | 用于在动态计算机网络中传达数据的交换器 | |
| TWI479860B (zh) | 具有可變識別參數之動態電腦網路 | |
| US8935780B2 (en) | Mission management for dynamic computer networks | |
| CN104106250B (zh) | 用于与动态计算机网络进行通信的方法及桥接器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: American Florida Patentee after: L3 Hershey Technology Co. Address before: American Florida Patentee before: Harris Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160316 |