CN104618321A - 用于计算机网络的企业任务管理的系统及方法 - Google Patents
用于计算机网络的企业任务管理的系统及方法 Download PDFInfo
- Publication number
- CN104618321A CN104618321A CN201410637275.6A CN201410637275A CN104618321A CN 104618321 A CN104618321 A CN 104618321A CN 201410637275 A CN201410637275 A CN 201410637275A CN 104618321 A CN104618321 A CN 104618321A
- Authority
- CN
- China
- Prior art keywords
- network
- idp
- task scheduling
- task
- computer network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 155
- 230000008859 change Effects 0.000 claims description 93
- 230000000694 effects Effects 0.000 claims description 19
- 230000004044 response Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 description 86
- 238000004891 communication Methods 0.000 description 61
- 230000006870 function Effects 0.000 description 49
- VKWMGUNWDFIWNW-UHFFFAOYSA-N 2-chloro-1,1-dioxo-1,2-benzothiazol-3-one Chemical compound C1=CC=C2S(=O)(=O)N(Cl)C(=O)C2=C1 VKWMGUNWDFIWNW-UHFFFAOYSA-N 0.000 description 44
- 238000004364 calculation method Methods 0.000 description 30
- 230000003068 static effect Effects 0.000 description 30
- 230000006399 behavior Effects 0.000 description 21
- 238000005516 engineering process Methods 0.000 description 21
- 238000004458 analytical method Methods 0.000 description 18
- 238000006243 chemical reaction Methods 0.000 description 17
- 241000824719 Conops Species 0.000 description 15
- 230000009471 action Effects 0.000 description 11
- 238000007689 inspection Methods 0.000 description 10
- 238000004422 calculation algorithm Methods 0.000 description 9
- 230000000739 chaotic effect Effects 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006855 networking Effects 0.000 description 7
- 230000001788 irregular Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 5
- 230000009466 transformation Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 241000408659 Darpa Species 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 2
- 230000000712 assembly Effects 0.000 description 2
- 238000000429 assembly Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 230000002269 spontaneous effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0873—Checking configuration conflicts between network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供用于计算机网络“CN”的企业任务管理的系统(100)及方法(1400)。所述方法涉及:将CN配置为根据第一任务计划“MP”操作,所述第一“MP”指定将由CN的第一节点动态地修改第一身份参数“IDP”的经指配值的方式;检测指示需要在CN内实施新MP的触发事件;获得第二MP,所述第二MP指定将由CN的第二节点动态地修改第二IDP的经指配值的方式;确定在由所述第二MP定义的所述第二节点的操作与由所述第一MP定义的所述第一节点的操作之间是否存在任何冲突;及如果确定不存在冲突,那么将CN的操作配置为进一步根据所述第二MP操作。
Description
技术领域
发明性布置涉及计算机网络安全性,且更特定来说涉及用于在计算机网络的两个或两个以上逻辑子区之间通信的系统,其中所述网络可动态地操纵以抵御恶意攻击。
背景技术
当前网络基础结构的主要弱点是其静态本性。资产接收永久或不常改变的识别,此允许对手几乎不限时间地探测网络、映射及利用漏洞。另外,可捕获在这些固定实体之间行进的数据及给所述数据赋予属性。网络安全性的当前方法围绕固定资产应用例如防火墙及入侵检测系统等技术,且使用加密来保护途中的数据。然而,此传统方法根本上存在缺陷,因为其给攻击者提供固定目标。在今天的全球连接的通信基础结构中,静态网络为易受攻击的网络。
国防先进研究计划局(“DARPA”)信息保证(“IA”)项目已执行动态网络防御领域中的初始研究。在IA项目下开发用以出于使观察网络的任何潜在对手混淆的目的而动态地重新指配馈送到预先指定的网络飞地中的因特网协议(“IP”)地址空间的技术。此技术称作动态网络地址变换(“DYNAT”)。在于2001年公布的标题为“用以阻挠对手智能的动态方法(Dynamic Approaches to Thwart Adversary Intelligence)”的DARPA的论文中提出DYNAT技术的概述。
发明内容
本发明的实施例涉及用于其中节点操作可动态地配置的计算机网络的企业任务管理的系统及方法。所述方法涉及将所述计算机网络配置为根据至少一个第一任务计划操作。所述第一任务计划指定将由所述计算机网络的至少一个第一节点动态地修改至少一个第一身份参数(“IDP”)的经指配值的方式。此后,在所述计算机网络内检测指示需要在所述计算机网络内实施新任务计划的第一触发事件。可基于以下各项来检测所述第一触发事件:正在所述计算机网络内传达的包的内容、所述计算机网络的拥塞等级、所述计算机网络的状态、所述计算机网络内的用户活动,及/或对所述计算机网络的恶意攻击。
响应于所述触发事件,获得第二任务计划。所述第二任务计划指定将由所述计算机网络的至少一个第二节点动态地修改至少一个第二IDP的经指配值的方式。在一些情景中,通过以下各项来获得所述第二任务计划:基于新任务的要求及来自分析所述计算机网络的操作方面的结果从多个预存储的任务计划选择任务计划;基于新任务的要求及来自分析所述计算机网络的操作方面的结果而自动地产生任务计划;或基于以下各项中的至少一者而动态地产生任务计划:任务的操作的概念、所述计算机网络的架构、所述计算机网络的资源之间的关系,及与多个IDP相关联的有效性评级。
接下来,做出关于在由所述第二任务计划定义的所述第二节点的操作与由所述第一任务计划定义的所述第一节点的操作之间是否存在任何冲突的确定。如果确定在由所述第一任务计划及所述第二任务计划定义的所述第一节点及所述第二节点的操作之间不存在冲突,那么所述计算机网络的操作经配置以进一步根据所述第二任务计划操作。与此对比,如果确定在由所述第一任务计划及所述第二任务计划定义的所述第一节点及所述第二节点的操作之间确实存在冲突,那么修改所述第二任务计划以获得第三任务计划。随后,做出关于在由所述第三任务计划定义的第三节点的操作与由所述第一任务计划定义的所述第一节点的操作之间是否存在任何冲突的确定。如果确定在如由所述第一任务计划及所述第三任务计划定义的所述第一节点及所述第三节点的操作之间不存在冲突,那么所述计算机网络的操作经配置以根据所述第三任务计划操作。
在一些情景中,所述方法还可涉及确定所述计算机网络是否应继续根据作用中的第一或第二任务计划操作。如果确定所述计算机网络不应继续根据所述作用中的第一或第二任务计划操作,那么执行操作以:重新配置所述计算机网络以使得所述计算机网络不再根据所述第一任务计划或所述第二任务计划操作;及/或重新配置所述计算机网络以根据第三任务计划而非所述第一任务计划或所述第二任务计划操作。
附图说明
将参考以下绘图描述实施例,其中遍及所述图,相似编号表示相似物项,且其中:
图1是对于理解本发明有用的计算机网络的实例。
图2是在本发明中可用于执行IDP的某些操控的模块的实例。
图3是用于手动地产生任务计划的示范性过程的流程图。
图4是对于理解可用以帮助表征图1中的网络的工具有用的图式。
图5是可用以选择图1中的模块的动态设置的图形用户接口(“GUI”)的实例。
图6是可用以选择与图1中的每一模块相关联的作用中状态及绕过状态的序列的GUI的实例。
图7是用于自动地及动态地产生任务计划的示范性过程的流程图。
图8是用于识别及解决任务计划冲突的示范性过程。
图9是对于理解可将任务计划传达到图1中的网络中的多个模块的方式有用的图式。
图10是可用以从多个任务计划选择任务计划并将选定任务计划传达到如图9中所展示的模块的示范性GUI的示意性图解说明。
图11是对于理解图1中的模块的操作有用的流程图。
图12是对于理解计算机网络的总体企业行为有用的示意性图解说明。
图13是对于理解企业任务管理有用的示意性图解说明。
包含图14A及14B的图14是用于动态计算机网络的企业任务管理的示范性方法的流程图。
图15是可用以实施图1中的模块的计算机架构的框图。
图16是可用以实施图1中所展示的网络管理计算机(“NAC”)的计算机架构的框图。
图17是对于理解本发明有用的计算机网络的实例。
图18是对于理解图1中的交换器的操作有用的流程图。
图19是对于理解图1中的交换器的操作有用的流程图。
图20是根据本发明可用以实施用于路由数据包的方法的交换器的实例。
图21是对于理解可修改的一些类型的IDP有用的表。
具体实施方式
参考附图描述本发明。所述图未按比例绘制且其经提供以仅图解说明本发明。为了图解说明,下文参考实例性应用描述本发明的数个方面。应理解,陈述众多特定细节、关系及方法以提供对本发明的完全理解。然而,相关领域的技术人员将容易地认识到,可在不具有特定细节中的一或多者的情况下或借助其它方法实践本发明。在其它例子中,未详细展示众所周知的结构或操作以避免使本发明模糊。本发明不受行动或事件的所图解说明的次序限制,因为一些行动可以不同于其它行动或事件的次序发生及/或与其它行动或事件同时发生。此外,并非需要所有所图解说明的行动或事件来实施根据本发明的方法。
还应了解,本文中所使用的术语仅用于描述特定实施例的目的而并非打算限制本发明。如本文中所使用,单数形式“一(a及an)”、及“所述(the)”也打算包含复数形式,除非上下文另外清楚地指示。此外,就在详细说明及/或权利要求书中使用术语“包含(including、include)”、“具有(having、has及with)”或其变化形式来说,此类术语打算以类似于术语“包括(comprising)”的方式为包含性的。
此外,除非另外定义,否则本文中所使用的所有术语(包含技术及科学术语)均具有与本发明所属领域的技术人员通常所理解相同的含义。应进一步理解,应将术语(例如常用字典中所定义的那些术语)解释为具有与其在相关技术的上下文中的含义一致的含义,而不应以理想化或过分形式化意义来解释,除非本文中明确界定如此。
身份敏捷计算机网络
现在参看图1,其展示包含多个计算装置的示范性计算机网络100的图式。所述计算装置可包含客户端计算机101到103,NAC 104,服务器111、112,网络层2交换器108、109,层3交换器110及桥接器115。客户端计算机101到103可为可能需要网络服务的任何类型的计算装置,例如常规平板计算机、笔记本型计算机、膝上型计算机或桌上型计算机。层3交换器110可为在计算机网络之间路由数据包的常规路由装置。层2交换器108、109为如所属领域中众所周知的常规集线器装置(例如,以太网集线器)。服务器111、112可提供由客户端计算机101到103利用的各种计算服务。举例来说,服务器111、112可为提供用于由客户端计算机101到103使用的计算机文件的共享存储的位置的文件服务器。
用于计算机网络100的通信媒体可为有线的、无线的或两者,但在本文中为了简化及避免使本发明模糊而将描述为有线网络。所述网络将使用通信协议传达数据。如所属领域中众所周知,通信协议定义用于遍及网络传达数据的格式及规则。图1中的计算机网络100可使用现在已知或未来将知晓的任何通信协议或协议组合。举例来说,计算机网络100可针对此类通信使用众所周知的以太网协议套件。或者,计算机网络100可利用其它协议,例如因特网协议套件(通常称为发射控制协议/因特网协议(“TCP/IP”)套件)的协议、基于同步光学网络/同步数字层次(“SONET/SDH”)的协议或非同步传送模式(“ATM”)通信协议。在一些实施例中,这些通信协议中的一或多者可以组合方式使用。虽然图1中展示一个网络拓扑,但本发明在此方面并不受限。而是,可使用任何类型的适合网络拓扑,例如总线网络、星形网络、环形网络或网状网络。
本发明大体来说涉及一种用于在计算机网络中(例如,在计算机网络100中)传达数据的方法,其中将数据从第一计算装置传达到第二计算装置。所述网络内的计算装置用多个IDP表示。如本文中所使用,短语“身份参数或IDP”可包含例如IP地址、媒体接入控制(“MAC”)地址、端口编号等等物项。然而,本发明在此方面并不受限,且IDP也可包含对于表征网络节点有用的多种其它信息。下文进一步详细地论述本文中所预期的各种类型的IDP。在一些情景中,IDP包含数据包的标头及/或包尾部分中所含有的那些参数且不包含数据包的有效载荷部分中所含有的那些参数。仍然,实施例并不限于那些情景的细节。
发明性布置涉及使用移动目标技术(“MTT”)来操控计算机网络100内的一或多个计算装置的此类IDP中的一或多者。此技术掩饰此类计算装置的通信模式及网络地址。如本文中所描述的IDP的操控通常连同计算机网络100中的数据通信一起执行,即,在待将数据从网络中的第一计算机(例如,客户端计算机101)传达到网络中的第二计算机(例如,客户端计算机102)时执行。因此,所操控的IDP可包含源计算装置(即,数据始发于其的装置)及目的地计算装置(即,数据正被发射到其的装置)的那些IDP。所传达的IDP的集合在本文中称为IDP集合。此概念图解说明于图1中,其展示IDP集合120作为数据包(未展示)的部分由客户端计算机101发射。
根据发明性布置的过程涉及在计算机网络100内的第一位置处选择性地修改数据包或数据报中所含有的指定源计算装置及/或目的地计算装置的一或多个身份参数的值。根据任务计划修改IDP。其中执行此修改的位置将通常与计算机网络100的一个模块105到107、113、114的位置重合。再次参看图1,可观察到,模块105到107、113、114在构成计算机网络100中的节点的各种计算装置之间插入于此网络中。在这些位置中,模块105到107、113、114拦截数据包通信、执行IDP的必要操控且沿发射路径重新发射数据包。在替代实施例中,模块105到107、113、114可执行类似功能,但可直接集成到所述计算装置中的一或多者中。举例来说,所述模块可集成到客户端计算机101、102、103,服务器111、112,层2交换器108、109及/或层3交换器110中。
另外,计算机网络100可划分成通过层3交换器110连接的若干个逻辑子区(有时称为子网络或子网)。企业网络可出于多种管理或技术原因而划分成若干个子网,所述原因包含但不限于隐藏网络的拓扑以使其对外部主机不可见、利用不同网络协议连接网络、在子网层级上单独管理网络寻址方案、由于经约束数据连接而启用跨越子网的数据业务的管理及诸如此类。子网分割为所属领域中众所周知的且将不做进一步详细描述。
再次参看图1,计算机网络100划分成两个逻辑网络,即第一逻辑网络130及第二逻辑网络132。如本文中所使用,短语“逻辑网络”是指计算机网络的任何逻辑子区。在实施例中,逻辑网络130、132通过层3交换器110连接。层3交换器110负责引导逻辑网络之间(即,从客户端计算机101到客户端计算机103)的业务。层3交换器110也负责引导从连接到计算机网络100的任何主机去往第二网络124的业务。在图1中所展示的实施例中,从计算机网络100路由到第二网络124的业务通过桥接器115。如同上文的模块,桥接器115的功能性可集成于层3交换器110内。
图2中展示模块105的功能性框图的实例。图1的模块106、107、113、114可具有与图2中所展示的功能性框图类似的功能性框图,但应理解,本发明在此方面并不受限。如图2中所展示,模块105具有至少两个数据端口201、202,其中的每一者可对应于相应网络接口装置204、205。在数据端口201处接收的数据在网络接口装置204处处理且暂时存储于输入缓冲器210处。处理器215存取输入缓冲器210中所含有的输入数据包且执行如本文中所描述的IDP的任何必要操控。经修改数据包传递到输出缓冲器212且随后使用网络接口装置205从数据端口202发射。类似地,在数据端口202处接收的数据在网络接口装置205处处理且暂时存储于输入缓冲器208处。处理器215存取输入缓冲器208中所含有的输入数据包且执行如本文中所描述的IDP的任何必要操控。经修改数据包传递到输出缓冲器206且随后使用网络接口装置204从数据端口201发射。在模块105中,处理器215根据存储于存储器218中的任务计划220执行IDP的操控。
从图2应理解,模块105优选地经配置以使其双向地操作。在此类实施例中,取决于特定数据包的源,模块105可实施不同修改功能。可根据特定数据包的源计算装置在任务计划中指定模块105中的动态修改功能。模块105可通过任何适合手段确定数据包的源。举例来说,可出于此目的使用数据包的源地址。
在操作期间,处理器215将确定将代替真IDP值使用的一或多个假IDP值。处理器215将使一或多个真IDP值变换为由伪随机函数优选地指定的一或多个假IDP值。在此变换之后,模块105将沿发射路径将经修改包或数据报转发到计算机网络100的下一节点。在通信路径中的后续点处,正监视此类网络通信的对手将观察到关于在计算机网络100上通信的计算装置的身份的假的或不正确的信息。
IDP值将具有由通信协议定义的预定格式。举例来说,IP地址及MAC地址将各自具有已知的预定格式。由于期望攻击者不能将真IDP与假IDP辨别开,因此假IDP值应具有与真IDP相同的格式。换句话说,假IDP应具有在使用特定网络通信协议时通常针对所述类型的IDP指定的所有正确特性及格式化。出于本发明的目的,预期可以明文形式发射IDP(即,信息将不被加密)。通过维持所发射数据包中所包含的真及假IDP两者的正确格式,系统确保观察网络业务的对手无法有效地确定所发射IDP值实际上是真还是假。
在一些情景中,根据一或多个被动性触发事件的发生而使由伪随机函数指定的假IDP变化。被动性触发事件致使处理器215使用伪随机函数来产生新的假IDP值集合,真IDP被变换成所述假IDP值。因此,被动性触发事件充当本文中所描述的假IDP的动态变化的基础。下文更详细地论述被动性触发事件。然而,应注意,用于选择新的假IDP值集合的被动性触发事件可基于至少一个预定义规则。所述规则包括定义至少一个被动性触发事件的语句。就这一点来说,用户规则可实施基于包检验的方案、基于拥塞等级的方案、基于启发性算法的方案及/或基于基于网络的攻击(“NBA”)的分析的方案。下文将详细地描述所列示方案中的每一者。
上文所描述的IDP的变换提供出于阻挠网络攻击的目的而操纵计算机网络100的一种方式。在一些情景中,由处理器215实施的任务计划220也将控制计算机网络100可操纵的方式的某些其它方面。举例来说,任务计划220可指定操控IDP的动态选择。所述动态选择可包含选择哪些IDP进行修改及/或选择此类IDP的数目的选择。此可变选择过程提供可用以进一步阻挠对手渗入或了解计算机网络100的努力的不确定性或变化的添加的维度。作为此技术的实例,考虑在第一时间周期期间,模块105可修改每一数据包的目的地IP地址及目的地MAC地址。在第二时间周期期间,模块105可操控每一数据包中的源IP地址及源主机名称。在第三时间周期期间,模块105可操控源端口编号及源用户名称。IDP的选择的改变可同步地发生(即,同时改变所有选定IDP)。或者,IDP的选择的改变可不同步地发生(即,选定IDP的群组随给选定IDP的群组添加或移除个别IDP而递增地改变)。
伪随机函数优选地用于确定将操控或变换成假值的身份值的选择。换句话说,模块105将仅变换通过伪随机函数选择的IDP。在一些情景中,根据被动性触发事件的发生使由伪随机函数指定的IDP的选择变化。被动性触发事件致使处理器215使用伪随机函数来产生将变换成假IDP的IDP的新选择。因此,被动性触发事件充当本文中所描述的IDP的选择的动态变化的基础。值得注意的是,也可根据伪随机算法使IDP的值变化。
模块105有利地也能够提供出于阻挠网络攻击的目的而操纵计算机网络的第三方法。具体来说,加载于模块105中的任务计划220可使网络内的其中发生IDP的修改或变换的位置动态地变化。考虑从客户端计算机101发射到客户端计算机102的IDP集合120中的IDP的修改可发生于模块105中。此条件展示于图1中,其中在模块105中操控IDP集合120中所含有的IDP以使得IDP集合120被变换为新的或经修改的IDP集合122。与IDP集合120中的IDP相比,IDP集合122中的IDP中的至少一些IDP是不同的。但其中发生此变换的位置优选地也由任务计划控制。因此,IDP集合120的操控可(举例来说)有时发生在图1的模块113或114处而非在模块105处。使其中发生IDP的操控的位置选择性地变化的此能力给计算机网络100的操纵能力添加又一重要维度。
通过选择性地控制图1的每一模块105到107、113、114的操作状态来促进其中修改IDP的位置的动态变化。为此目的,图1的每一模块105到107、113、114的操作状态优选地包含:(1)作用中状态,其中根据当前任务计划处理数据;及(2)绕过状态,其中包可流动通过模块,就如模块不存在一样。通过选择性地致使计算机网络100某些模块处于作用中状态中且致使计算机网络100的某些模块处于待用状态中而控制其中执行动态修改的位置。可通过以协调方式使图1的模块105到107、113、114的当前状态动态地变化而动态地改变所述位置。
任务计划220可包含用于确定计算机网络100内的其中将操控IDP的位置的预定义序列。其中将操控IDP的位置将在由被动性触发事件指示的时间根据所述预定义序列改变。举例来说,被动性触发事件可致使到用于如本文中所描述的IDP的操控或变换的新位置的转变。因此,被动性触发事件充当其中修改IDP的位置的改变的发生的基础,且预定义序列确定所述新位置将在何处。
从前述内容,应了解,在图1的模块105到107、113、114处修改数据包以包含假IDP。在计算机网络100内的某一点处,使IDP恢复到其真值以使得IDP可用以根据特定网络协议恰当地执行其既定功能是必要的。因此,发明性布置还包含在第二位置(即,第二模块)处根据任务计划220动态地修改IDP的经指配值。在第二位置处的修改基本上包括在第一位置处用以修改IDP的过程的逆过程。第二位置处的模块可因此使假值IDP恢复或变换回到其真值。为了实现此动作,第二位置处的模块必须能够确定至少:(1)将变换的IDP值的选择;及(2)选定IDP从假值到真值的正确变换。实际上,此过程涉及用以确定IDP选择的伪随机过程及对此类IDP值实现的改变的逆过程。逆变换步骤图解说明于图1中,其中在模块106处接收IDP集合122,且将IDP集合122中的IDP值变换或操控回到其原始或真值。在此情景中,模块106将IDP值转换回到IDP集合120的那些IDP值。
值得注意的是,模块必须具有确定适用于其接收到的每一数据通信的恰当变换或操控的某种方式。在一些情景中,通过检查所接收数据通信内所含有的至少源地址IDP而执行此确定。举例来说,源地址IDP可包含源计算装置的IP地址。一旦知晓源计算装置的真身份,模块即咨询任务计划(或从任务计划导出的信息)以确定其需要采取哪些动作。举例来说,这些动作可包含将某些真IDP值转换为假IDP值。或者,这些改变可包含将假IDP值转换回到真IDP值。
值得注意的是,将存在其中所接收数据通信中所含有的源地址IDP信息已改变为假值的例子。在那些情形下,接收数据通信的模块将不能立即确定数据通信的源的身份。然而,在此类例子中,接收通信的模块可仍识别源计算装置。这在接收模块处通过将假源地址IDP值与查找表(“LUT”)进行比较而实现,所述查找表列示在特定时间期间使用的所有此类假源地址IDP值。LUT还包含对应于假源地址值的真源地址IDP值的列表。LUT可直接由任务计划220提供或可由任务计划220内所含有的信息产生。在任一情况中,可从LUT容易地确定真源地址IDP值的识别。一旦已确定真源地址IDP,那么接收数据通信的模块可使用此信息来确定(基于任务计划)需要对IDP的哪些操控。
值得注意的是,任务计划220还可指定其中使IDP恢复到其真值的第二位置的变化。举例来说,假定在包括模块105的第一位置处动态地修改IDP。任务计划可指定如所描述在模块106处发生使IDP恢复到其真值,但或者,可指定代替地在模块113或114处发生动态修改。在一些实施例中,任务计划根据预定义序列动态地确定其中发生此类操控的位置。所述预定义序列可确定其中将发生IDP的操控的位置或模块的序列。
涉及在不同位置处的动态修改的转变优选地根据被动性触发事件发生。因此,预定义序列确定其中将发生数据操控的位置的模式或序列,且被动性触发事件充当用于致使从一个位置到下一位置的转变的基础。下文更详细地论述被动性触发事件;然而,应注意,被动性触发事件可基于至少一个预定义规则。所述规则包括定义至少一个被动性触发事件的语句。就这一点来说,用户规则可实施基于包检验的方案、基于拥塞等级的方案、基于启发性算法的方案及/或基于NBA分析的方案。下文将详细描述所列示方案中的每一者。可以与上文关于第一位置所描述相同的方式实现对第二位置(即,其中使IDP返回到其真值)的选择的控制。具体来说,两个或两个以上模块的操作状态可在作用中状态与绕过状态之间双态切换。IDP的操控将仅发生于具有作用中操作状态的模块中。具有绕过操作状态的模块将仅传递数据包而不进行修改。
替代方法也可用于控制其中将发生IDP的操控的位置。举例来说,网络管理员可在任务计划中定义其中可将IDP从真值转换为假值的数个可能模块。在发生被动性触发事件后,可即刻通过使用伪随机函数且使用触发时间作为所述伪随机函数的种子值而从数个模块当中选择新位置。如果每一模块均使用相同初始种子值实施同伪随机函数,那么每一模块将计算相同伪随机值。可基于时钟时间(例如GPS时间或系统时钟时间)确定触发时间。以此方式,每一模块可独立地确定其当前是否为其中应发生IDP的操控的作用中位置。类似地,网络管理员可在任务计划中定义其中动态操控使IDP返回到其正确值或真值的数个可能模块。将哪一模块用于此目的的选择也可根据如本文中所描述的触发时间及伪随机函数确定。用于确定其中将发生IDP操控的位置或模块的其它方法也是可能的。因此,本发明并不打算限于本文中所描述的特定方法。
值得注意的是,使其中操控身份函数的第一及/或第二位置的定位变化将通常导致使第一与第二位置之间沿网络通信路径的物理距离变化。第一与第二位置之间的距离在本文中称为距离向量。所述距离向量可为第一与第二位置之间沿通信路径的实际物理距离。然而,将所述距离向量视为表示存在于第一与第二位置之间的通信路径中的网络节点的数目是有用的。应了解,动态地选择网络内的第一及第二位置的不同定位可具有改变第一与第二位置之间的节点的数目的效应。举例来说,在图1中,在模块105、106、107、113、114中的选定者中实施IDP的动态修改。如先前所描述地确定实际上用以分别实施动态修改的模块。如果模块105用于将IDP转换为假值且模块106用以将其转换回到真值,那么在模块105与106之间存在三个网络节点(108、110、109)。但如果模块113用以转换为假值且模块114用以将IDP转换回到真值,那么在模块113与114之间存在仅一个网络节点110。因此,应了解,动态地改变其中发生动态修改的位置的定位可使距离向量动态地变化。在一些情景中,距离向量具有根据由任务计划指定的总体网络行为改变的可变值。距离向量的此变化给如本文中所描述的网络操纵或修改提供可变性的添加的维度。
在本发明中,IDP值的操控、IDP的选择及其中操控这些IDP的位置各自定义为操纵参数。每当在此三个操纵参数中的一者中发生改变时,可认为网络操纵已发生。此三个操纵参数中的一者无论在何时改变,均可认为网络操纵已发生。为了最有效地阻挠对手渗入计算机网络100的努力,优选地借助于如先前所描述的伪随机过程控制网络操纵。所属领域的技术人员将了解,混乱过程也可用于执行此功能。与伪随机函数相比,混乱过程在技术上是不同的,但出于本发明的目的,可使用任一者且两者视为等效的。在一些实施例中,相同伪随机过程可用于使操纵参数中的两者或两者以上动态地变化。然而,在一些情景中,使用两个或两个以上不同伪随机过程以使得这些操纵参数中的两者或两者以上独立于其它操纵参数而被修改。
被动性触发事件
如上文所述,通过至少一个被动性触发控制对操纵参数中的每一者的动态改变。被动性触发是致使相对于本文中所描述的动态修改而发生改变的纯自发或用户起始的事件。换句话说,可认为,被动性触发致使网络以不同于在先前时间(即,在发生被动性触发之前)的新方式操纵。举例来说,在第一时间周期期间,任务计划或安全模型可致使IP地址从值A改变为值B;但在被动性触发事件之后,IP地址可代替地从值A改变为值C。类似地,在第一时间周期期间,任务计划或安全模型可致使IP地址及MAC地址被修改;但在被动性触发事件之后,所述任务计划或安全模型可代替地致使MAC地址及用户名称被修改。
在其最简单形式中,被动性触发可基于以下各方案:基于包检验的方案、基于拥塞等级的方案、基于启发性算法的方案及/或基于NBA分析的方案。基于包检验的方案可涉及分析包以获得识别以下各者的识别符:包的起源、包的目的地、起源或目的地装置所属的群组及/或包中所含有的有效载荷的类型。基于包检验的方案还可涉及分析包以确定其中是含有码字还是不存在码字。用于实现此包检验的技术为所属领域中众所周知的。现在已知或未来将知晓的任何此类技术均可在无限制的情况下与本发明一起使用。在一些实施例中,当识别符的值匹配预定义值时,发生被动性触发事件。
在包检验情景中,特定类型的内容在包中的包含充当触发或充当用于选择触发所基于的时序方案的参数。举例来说,触发事件可被定义为在以下时刻发生:(a)当实体的特定人员(例如,军事单位的指挥官)将信息传达到所述实体的其它成员时;及/或(b)当包内含有特定码字时。替代地或另外,触发事件可被定义为在如通过根据特定包检验应用程序选择的时序方案定义的每N秒时间间隔期满时发生,其中N为整数。就这一点来说,应理解,在一些实施例中,可在以下时刻选择第一时序方案:(a)当实体的第一人员(例如,军事单位的指挥官)请求与所述实体的其它成员的通信会话时;或(b)当包内存在特定码字时。可在以下时刻选择第二不同时序方案:(a)当实体的第二人员(例如,军事单位的副指挥官)请求与所述实体的其它成员的通信会话时;或(b)当包内存在第二码字时等等。本发明的实施例不限于上文所提供的实例的细节。就这一点来说,应理解,包中所包含的其它内容可定义触发事件。举例来说,如果包的有效载荷包含敏感或机密信息,那么可根据所述信息的敏感度或机密性的等级选择新任务计划或安全模型。
对于此类基于时间的触发布置,操纵参数中的一或多者可根据预定时钟时间每N(例如,60)秒改变。在一些实施例中,所有操纵参数可同时改变以使得所述改变为同步的。在稍微更复杂实施例中,也可使用基于时间的触发布置,但可针对每一操纵参数选择不同的独特触发时间间隔。因此,假IDP值可能以时间间隔X改变,IDP的选择将根据时间间隔Y改变,且其中执行此类改变的位置将以时间间隔Z发生,其中X、Y及Z为不同值。
应了解,在依赖于时钟时间作为触发机制的本发明的实施例中,提供如各种模块105、106、107、113、114中的时钟之间的同步以确保包不会由于未辨识的IDP而丢失或丢弃是有利的。同步方法为众所周知的且任何适合同步机制均可用于此目的。举例来说,可通过使用高度准确时间参考(例如GPS时钟时间)而将模块同步。或者,可将独特无线同步信号从中央控制设施广播到模块中的每一者。
基于拥塞等级的方案可涉及:监视并跟踪计算机网络内的拥塞等级;将当前拥塞等级与阈值进行比较;及基于所述比较的结果从多个任务计划/模型选择任务计划或安全模型。在一些情景中,当当前拥塞等级等于、大于或小于阈值时选择新任务计划或安全模型。以此方式,任务计划或安全模型改变基于计算机网络内的拥塞等级的改变以明显不规则的时间间隔发生。
基于启发性算法的方案可涉及分析网络以确定其的状态。此网络分析可涉及在一天的特定时间监视网络的业务模式(例如,用户的数目)、协议模式及/或熵模式(即,谁正与谁通信)。可通过收集关于网络装备使用(例如,处理器的使用)的信息及从网络装置(例如,网络服务器)存在的连接的数目而确定业务模式。可将所收集信息与预定义表或矩阵的内容进行比较以识别计算机网络内当前存在多个可能业务模式中的哪一业务模式。至少基于此比较操作的结果,可从多个任务计划及/或安全模型选择新任务计划或安全模型以供在计算机网络中利用。
在一些启发性情景中,任务计划及/或安全模型可经配置以使得尽管计算机网络中的实际业务量改变但仍维持其内的恒定高业务等级。所述恒定高业务等级通过根据网络中的实际业务量调整(即,增加或减少)所述网络的噪声电平而维持。因此,在任何给定时间掩蔽实际业务量及业务模式的类型。
可通过收集关于与网络资源相关的用户活动的信息而确定协议模式。此信息可包含但不限于计算机网络的至少一个用户的用户活动的历史、用户活动开始的时间、用户活动停止的时间、用户活动已消逝的时间及识别计算机网络的至少一个用户正执行的同时发生的用户活动的信息。所收集信息可经分析以确定某一协议模式当前是否存在。如果确定当前存在特定协议模式,那么可从多个任务计划/模型选择新任务计划或安全模型以供在计算机网络中利用。以此方式,任务计划或安全模型改变基于协议模式的改变(更特定来说,用户活动的改变)以明显不规则的时间间隔发生。
可通过收集关于谁正经由计算机网络彼此通信的信息而确定熵模式。基于所收集信息,从多个任务计划/模型选择新任务计划或安全模型以供在计算机网络中利用。在此情景中,任务计划或安全模型改变基于参与通信会话的各方的改变以明显不规则的时间间隔发生。
出于确定NBA的等级、NBA的类型及/或当前正对计算机网络进行的NBA攻击的数目的目的执行NBA分析。此类NBA分析为所属领域中众所周知的,且因此将不在本文中描述。仍应理解,此类NBA分析可涉及:监视并跟踪计算机网络内的攻击事件;及出于确定NBA攻击的等级及/或NBA攻击的类型的目的执行LUT操作。现在已知或未来将知晓的任何NBA分析技术均可在无限制的情况下与本发明一起使用。一旦完成NBA分析,即可基于NBA分析的结果从多个任务计划/模型选择新任务计划或安全模型以供在计算机网络中利用。举例来说,如果已确定NBA为低等级NBA及/或为第一类型,那么从多个任务计划或安全模型选择第一任务计划或安全模型。与此对比,如果已确定NBA为高等级NBA及/或为第二类型,那么从多个任务计划或安全模型选择第二不同的任务计划或安全模型。在此情景中,任务计划或安全模型改变基于NBA攻击的等级及/或NBA攻击的类型的改变以明显不规则的时间间隔发生。另外或替代地,在当前正对计算机网络进行相同或不同等级及/或类型的两个或两个以上NBA攻击时,可选择新任务计划或安全模型。在此情景中,任务计划或安全模型改变基于当前正执行的攻击的数目的改变以明显不规则的时间间隔发生。
在本发明的实施例中,可由网络安全性软件套件识别NBA。或者,可在于模块105、106、107、113、114处接收到数据包后即刻识别NBA,其中所述包含有与网络操纵的目前状态不一致的一或多个IDP。无论用于识别NBA的基础如何,此NBA的存在均可充当被动性触发事件,如上文所描述。
基于上文所描述的方案的被动性触发事件可引起相同类型的网络操纵。举例来说,假IDP、IDP的选择及IDP变换的位置可保持稳定(即,不改变),只是其中检测到以下各项中的一或多者的情况除外:具有特定起源或目的地的包;包中所含有的码字;包中所含有的秘密或机密信息;特定拥塞等级;特定业务模式;特定协议模式;特定熵模式;特定等级及/或类型的NBA;及当前正对计算机网络进行的NBA的特定数目。举例来说,在其中频繁网络操纵是合意的以便增加其安全性的计算机网络中可能选择此布置。
或者,基于上文所描述的方案的被动性触发事件可引起不同类型的网络操纵。在此类实施例中,与基于包检验及/或启发性算法的结果的触发事件相比,基于NBA分析的结果的触发事件可对网络操纵具有不同影响。举例来说,基于NBA的触发事件可引起网络操纵的策略性或防御性改变以便更积极应对此类NBA。此类措施的精确本性可取决于威胁的本性,但可包含多种响应。举例来说,可选择不同伪随机算法,及/或可增加每一IDP集合120中经选择以用于操控的IDP的数目。此外,响应可包含增加网络操纵的频率。因此,可关于以下各项做出更频繁改变:(1)假IDP值;(2)在每一IDP集合中待改变的IDP的选择;及/或(3)其中改变IDP的第一及第二位置的定位。因此,本文中所描述的网络操纵提供用于基于多种因素以纯自发方式改变任务计划或安全模型,借此增加其安全性的方法。
任务计划
根据任务计划控制本文中所描述的网络操纵。任务计划为定义及控制网络的上下文及至少一个安全模型内的操纵能力的方案。如此,任务计划可表示为从NAC 104传达到图1的每一模块105到107、113到114的数据文件。任务计划此后由每一模块用以控制IDP的操控且使其活动与网络中的其它模块的动作协调。
在一些情景中,任务计划包含但不限于以下源侧信息:装置识别信息;将使其真值改变为假值的那些IDP的IDP识别信息;真IDP值;假IDP值集合(例如,FV1、FV2、…、FVX);指定何时使用所述假IDP值集合中的每一假值的时序信息;用于动态地产生所述假IDP值集合的新假值的伪随机或混乱函数;指定何时调用用于产生所述假IDP值集合的新值的伪随机或混乱函数的规则;指定何时动态地选择哪些IDP来使其真值改变为假值的规则;指定待选择的IDP的数目及将选择哪些IDP来进行值修改的规则;指定将同步地(即,同时改变所有选定IDP)还是不同步地(即,IDP的群组随给选定IDP的群组添加或移除个别IDP而递增地改变)改变IDP的规则;及用于使计算机网络内的其中发生IDP的修改或变换的位置动态地变化的规则。任务计划还可包含以下目的地侧信息:用于使IDP的假值恢复到真值的第一规则;及用于使计算机网络内的其中发生IDP值的修改或恢复的位置动态地变化的第二规则。第一规则可包含但不限于用于确定将变换的IDP值的至少选择的规则及/或用于选定IDP从假值到真值的正确变换(例如,使用至少一个LUT)的规则。本发明的实施例在此方面并不受限。源侧及目的地侧信息可替代地含在至少两个单独的任务计划中。
任务计划可不时地由网络管理员手动地及/或由NCSA自动地修改以更新或改变网络操纵以阻挠潜在对手的方式。如此,任务计划可给网络管理员及/或NCSA提供促进对网络操纵将在网络内发生的时间、地点及方式的完全控制的手段。此更新能力允许网络管理员及/或NCSA修整计算机网络的行为以适合当前操作条件且更有效地阻挠对手渗入网络的努力。
可由用户手动地定义及/或由NCSA自动地产生多个任务计划。所述任务计划可然后经存储以使得其可由网络内的模块存取。举例来说,多个任务计划可存储于NAC 104处且视需要传达到模块。或者,多个任务计划可存储于每一模块上且可视需要或视情况经激活以维持网络的安全性。举例来说,如果网络管理员及/或NCSA确定或怀疑对手已发现网络的当前任务计划,那么管理员及/或NCSA可希望改变所述任务计划。有效安全性程序也可指示周期性地改变任务计划。
任务计划的手动产生
现在参看图3,其提供用于手动地产生任务计划的示范性过程300的流程图。图3中所展示的方法步骤的次序为示范性的。本发明并不限于此次序。举例来说,步骤308到312可以任何循序次序或替代地并行地执行。
产生任务计划的过程可通过对计算机网络100进行建模开始,如步骤302所展示。模型的创建通过在网络命令中心处的计算机或服务器上执行的NCSA促进。举例来说,在图1中所展示的实施例中,NCSA可在图1的NAC 104上执行。网络模型优选地包含定义计算机网络100中所包含的各种计算装置之间的数据连接及/或关系的信息。NCSA将提供促进输入此关系数据的适合接口。在一些情景中,NCSA可促进将数据输入到可用以定义任务计划的表中。然而,在其它情景中,图形用户接口用以促进此过程。
在下一步骤304中,网络管理员执行用于定义网络的各种组件中的每一者之间的关系的用户-软件交互。在一些情景中,使用由NCSA提供的网络拓扑模型产生器(“NTMG”)工具来实现这些用户-软件交互。所述NTMG工具用以辅助网络管理员定义网络的各种组件中的每一者之间的关系。NTMG工具提供如图4中所展示的工作空间400,其中网络管理员可通过使用光标404而拖放网络组件402。网络管理员也可创建各种网络组件402之间的数据连接406。作为此建模过程的部分,网络管理员可提供各种网络组件(包含图1的模块105到107、113、114)的网络地址信息。
一旦已将网络建模,即可将其保存于系统的数据存储区中,如图3的步骤308所展示。此后,网络管理员使用所存储信息来定义各种模块105到107、113、114表现及彼此交互的方式。就这一点来说,NCSA可产生可由网络管理员用以进一步开发任务计划的GUI(例如,视窗或对话框)。图5中提供此GUI的示范性实施例500的示意性图解说明。
如图5中所展示,下拉式菜单532可用以选择待将GUI 500中的设置应用于其的特定模块(例如,图1的模块105)。或者,网络管理员可使用下拉式菜单532来指示打算将GUI 500中的设置应用于网络内的全部模块(例如,通过选择下拉式菜单532中的命令“全部”)。过程可通过指定是否将总是在模块中的每一者中修改固定IDP集合或是否应使所操控的IDP集合动态地变化而继续。如果打算使将在模块中操控的IDP的选择或集合动态地变化,那么网络管理员可标记复选框501以指示所述偏好。如果未标记复选框501,那么待变化的IDP集合为不随时间变化的固定集合。
GUI 500包含标签502、504、506,所述标签允许用户选择(她)他出于创建任务计划的目的而希望处理的特定IDP。出于本发明的目的,GUI 500促进仅三个IDP的动态变化。具体来说,这些身份参数包含IP地址、MAC地址及端口地址。可通过提供额外标签而使更多或更少IDP动态地变化,但所述的三个IDP足以解释发明性概念。在图5中,用户已选择标签502来处理IDP的IP地址类型。在标签502内,提供用于指定与选定模块内的IP地址的动态变化相关的细节的多种用户接口控件508到520。可提供更多或更少控件以促进IP地址类型的动态操控,且仅提供所展示的控件以辅助读者理解所述概念。在所展示的实例中,网络管理员可通过选择(例如,借助指向装置(例如鼠标))标记为“启用IP地址跳跃”的复选框508而启用IP地址的动态变化。类似地,网络管理员可指示将使源地址、目的地地址还是两者变化。在此实例中,标记源地址框510及目的地地址框512两者,从而指示将改变两种类型的地址。可由管理员在列表框522、524中指定源地址及目的地地址的所允许值的范围。
通过选择伪随机过程而指定用以选择假IP地址值的特定伪随机过程。在框514、515中指定此选择。不同伪随机过程可具有针对可变真随机程度的不同复杂性程度,且管理员可选择最适合计算机网络100的需要的过程。
GUI 500也允许网络管理员设置待用于IP地址IDP的动态变化的触发类型。在此实例中,用户已选择框516,从而指示基于时间的触发将用于确定何时转变为新的假IP地址值。此外,复选框518已经选择以指示基于时间的触发将在周期性基础上发生。滑块520可由用户调整以确定基于周期性时间的触发的频率。在所展示的实例中,触发频率可在每小时六个触发的发生率(每十分钟发生触发)与每小时一百二十个触发的发生率(每三十秒发生触发)之间调整。在此实例中,也可选择其它类型的触发。举例来说,对话框502包含网络管理员可借以选择基于事件的触发的复选框528、530。数个不同特定事件类型可经选择以形成用于此类基于事件的触发(例如,事件类型1、事件类型2等)的基础。这些事件类型可包含各种潜在计算机网络安全性威胁的检测。在图5中,标签504及506类似于标签502,但其中的控件经修整以适合MAC地址及端口值而非IP地址的动态变化。可提供用于控制其它类型的IDP的动态变化的额外标签。
再次参看图3,过程300继续进行步骤312,其中网络管理员指定用于使其中修改IDP的位置动态地变化的计划。在一些实施例中,通过控制定义每一模块何时处于作用中状态或绕过状态中的序列而促进此可变位置特征。因此,NCSA有利地包含指定此序列的某一GUI手段。在本发明的一些实施例中,此可涉及使用经定义时间间隔或时隙,所述经定义时间间隔或时隙由触发事件的发生分离。图6中提供促进由网络管理员进行的此类指定的示范性GUI 600的示意性图解说明。
如图6中所展示,GUI 600可由NCSA提供以促进位置序列及时序信息的协调及输入。GUI 600可包含控件602,控件602用于选择将包含于时期606内的时隙6041到604n的数目。在所图解说明的实例中,网络管理员已定义每时期四个时隙。GUI 600还可包含表603,表603包含计算机网络100中的所有模块。针对所列示的每一模块,所述表包含一个时期606的可用时隙6041到6044的图形表示。应记得,对其中操控IDP的位置的动态控制通过每一模块是处于作用中操作状态中还是处于绕过操作状态中而确定。因此,在GUI内,用户可移动光标608且做出选择以指定在每一时隙期间特定模块是处于作用中模式中还是绕过模式中。在所展示的实例中,模块105在时隙6041及6043期间为作用中的,但在时隙6042、6044期间处于绕过模式中。相反地,模块113在时隙6042、6044期间为作用中的,但在时隙6041及6043期间处于绕过模式中。参看图1,此意味着IDP的操控在时隙6041及6043期间发生于与模块105相关联的位置处,但在时隙6042、6044期间代替地发生于模块113处。
在图6中所展示的实例中,网络管理员已选择使模块114总是在作用中模式中操作(即,模块114在所有时隙期间为作用中的)。因此,针对从客户端计算机101发射到客户端计算机103的数据通信,数据包将交替地在模块105、113中操控,但将总是在模块114处操控。最后,在此实例中,网络管理员已选择在时隙6041到6044期间将模块106及107维持于绕过模式中。因此,在经定义时隙中的任一者期间将不在这些模块处执行IDP的操控。
再次参看图3,网络管理员可将改变存储为经更新任务计划的部分,如步骤314所展示。举例来说,一旦已在GUI 600中定义模块时序,网络管理员即可选择图6的按钮610以将改变存储为经更新任务计划的部分。可以各种格式保存任务计划。在一些实施例中,可将任务计划保存为简单表或可由每一模块用于控制模块的行为的其它类型的经定义数据结构。
在一些情景中,现有任务模型可需要由操作者在操作期间在现场手动地修改。任务模型含有允许任务操作的关系集合。可需要针对以下各项修改任务模型:(a)改变需要保护的内容;(b)允许不同种类的通信;及(c)基于任务攻击等级改变安全性等级。因此,用于修改任务模型的一种方法涉及:选择若干件任务模型;及创建新任务模型。可通过以下各项来创建新任务模型:添加到现有任务模型;联合或组合两个或两个以上现有任务模型;从现有任务模型减去若干部分;将现有任务模型分裂成两个或两个以上任务模型;修改现有任务模型的参数;拷贝任务模型并修改任务模型副本;及/或删除任务模型。任务模型通常控制可操纵性。如此,任务模型包含指定移动策略、何时引起移动及何种模式的策略、隐蔽策略、阴影联网策略及/或通信群组策略的信息。可改变这些策略中的一或多者以创建新任务模型。
任务计划的自动及动态产生
在一些情景中,至少一个任务计划由NCSA在计算机网络(例如,图1的计算机网络100)的操作期间动态地及自动地产生。通过考虑以下各项来实现任务计划的动态产生:(1)操作概念(“CONOPS”),(2)计算基础结构资源及网络资产,(3)基础结构资源与网络资产之间的关系,(4)计算机网络内的所检测到的活动,及/或(5)与IDP相关联的有效性评级。
图7中提供由NCSA执行的用于动态地产生任务计划的示范性自动过程700的流程图。图7所展示的方法步骤的次序为示范性的。本发明并不限于此次序。举例来说,方法步骤中的两者或两者以上可以任何循序次序或替代地并行地执行。
如图7中所展示,过程700以步骤702开始且继续进行步骤704。在步骤704中,由NCSA获得预存储的计算机网络模型及相关联组件关系信息。接下来,在步骤706中,NCSA执行用以选择至少一个任务计划将应用于的计算机网络模型的模块(例如,图1的模块105、106、107、113及/或114)的操作。
此后,在步骤708中,针对选定模块中的每一者选择待修改的至少一个IDP。在一些情景中,IDP包含但不限于IP地址、MAC地址及/或端口编号。可基于以下各项选择IDP:(1)CONOPS,(2)先前由NCSA检测到的对计算机网络的攻击的类型,及/或(3)与IDP相关联的有效性评级。举例来说,如果CONOPS目标是维持机密性通信且在计算机网络上检测到的恶意攻击的类型为等级1攻击,那么IDP包含具有等级1的有效性评级的IDP(例如,仅IP地址)。与此对比,如果CONOPS目标是维持机密性通信且在计算机网络上检测到的恶意攻击的类型为等级2攻击,那么IDP包含具有等级2的有效性评级的IDP(例如,IP地址及端口编号)。如果CONOPS目标是维持机密性通信且在计算机网络上检测到的恶意攻击的类型为等级3攻击,那么IDP包含具有等级3的有效性评级的IDP(例如,IP地址及端口编号)。如果CONOPS目标是维持机密性通信且在计算机网络上检测到的恶意攻击的类型为等级4攻击,那么IDP包含具有等级4的有效性评级的IDP(例如,IP地址、MAC地址及端口编号)。本发明的实施例不限于此实例的细节。
接下来,在步骤712中,做出关于是否将使IDP动态地变化的确定。如果将使IDP动态地变化,那么执行步骤714,其中指定与动态变化相关的细节。就这一点来说,步骤714可涉及:针对待动态地变化的每一IDP启用IDP跳跃;指示是否将使源及/或目的地IDP变化;指定每一IDP的所允许值的范围;选择待用于产生每一IDP的假值的伪随机函数或混乱函数;及/或设置待用于每一IDP的值的动态变化的触发类型。这些所列示操作中的每一者可基于:(1)CONOPS目标,及/或(2)计算机网络内的所检测到的活动的类型。举例来说,如果CONOPS目标是维持所有通信源的秘密性且已检测到等级1攻击,那么将基于第一伪随机函数仅动态地修改源IDP。与此对比,如果CONOPS目标是维持所有通信目的地的秘密性且已检测到等级2攻击,那么将基于第二不同伪随机函数仅动态地修改目的地IDP。如果CONOPS目标是维持所有通信源/目的地的秘密性且已检测到等级3攻击,那么将基于至少一个第三不同伪随机函数动态地修改源/目的地IDP。如果CONOPS目标是维持所有通信源/目的地的秘密性且已检测到等级4攻击,那么将基于至少一个混乱函数动态地修改源/目的地IDP。本发明的实施例不限于此实例的细节。
在完成步骤714后,即刻执行步骤716,其中指定用于使其中应修改IDP的位置动态地变化的额外细节。就这一点来说,步骤716涉及针对选定模块中的每一者选择将包含于一时期内的时隙的数目。此选择可基于上文所描述的距离向量。在一些情景中,所述距离向量具有根据由任务计划指定的总体网络行为改变的可变值。在下一步骤718中,存储任务计划。随后,过程700结束或执行其它处理。
在一些情景中,可需要在操作期间自动地修改任务模型。任务模型含有允许任务操作的关系集合。可需要针对以下各项修改任务模型:(a)改变需要保护的内容;(b)允许不同种类的通信;及(c)基于任务攻击等级改变安全性等级。因此,用于修改任务模型的一种方法涉及:选择若干件任务模型;及创建新任务模型。可通过以下各项来创建任务模型:添加到现有任务模型;联合或组合两个或两个以上现有任务模型;从现有任务模型减去若干部分;将现有任务模型分裂成两个或两个以上任务模型;修改现有任务模型的参数;拷贝任务模型并修改任务模型副本;及/或删除任务模型。任务模型通常控制可操纵性。如此,任务模型包含指定移动策略、何时引起移动及何种模式的策略、隐蔽策略、阴影联网策略及/或通信群组策略的信息。可修改这些策略中的一或多者以创建新任务模型。
任务计划冲突分析
一旦已产生两个或两个以上任务计划,NCSA即执行用以识别及解决由所述任务计划定义的模块操作之间的任何冲突的操作。在一些情景中,每当由网络管理员及/或NCSA产生新任务计划时且在如下文所描述分布及加载新任务计划之前执行冲突分析。
图8中提供用于识别及解决任务计划冲突的示范性过程800的示意性图解说明。如图8中所展示,过程800以步骤802开始且继续进行步骤804。在步骤804中,从数据存储区检索至少两个任务计划。所检索任务计划可包含但不限于新产生的任务计划(即,尚未分布及加载的任务计划)及/或预产生的任务计划(即,已预产生但已分布及加载或尚未分布及加载的任务计划)。
接着在步骤806中使用所检索任务计划来模拟由所述任务计划定义的网络行为。举例来说,第一任务计划指定:将在第一预定义时间周期期间在模块105处将第一源IP地址的真值修改为假值;将基于第一伪随机函数从经定义假值集合选择所述假值;及将每十秒重新选择所述假值。第二任务计划指定:将在与第一预定时间周期至少部分地重叠的第二预定义时间周期期间在模块105处将第二源IP地址的真值修改为假值;将基于第二伪随机函数从经定义假值集合动态地选择所述假值;及将每小时重新选择所述假值。在此情况中,如在所述第一及第二任务计划中所定义来模拟模块105的操作。
基于模拟的结果,在步骤808中产生至少一个表、图表或曲线图,其随后可用以识别由于实施所述任务计划而在模块行为中的任何冲突。举例来说,所述表、图表及/或曲线图可包含但不限于指示以下各项的信息:(1)第一源IP地址在第一预定义时间周期期间的所有时间处的假值,及(2)第二源IP地址在第二预定义时间周期期间的所有时间处的假值。
接下来,在步骤812中,将表、图表及/或曲线图的内容彼此进行比较。基于此比较的结果,在步骤814中做出关于在由任务计划定义的模块行为之间是否存在任何冲突的决策。举例来说,在一些情景中,做出关于在第一及第二预定时间周期的重叠周期内的任何给定时间处第一及第二源IP地址的假值是否相同的决策。
如果做出在由任务计划定义的模块行为之间不存在冲突的确定[814:否],那么执行步骤816,其中分布及加载任务计划中的至少一者。下文将详细地描述分布及加载任务计划的方式。
如果做出在由任务计划定义的模块行为之间确实存在冲突的确定[814:是],那么执行步骤818,其中修改任务计划中的至少一者。此后,执行步骤820,其中使用经修改任务计划及/或未修改任务计划来重复过程800。
任务计划的分布及加载
现在将进一步详细地描述如本文中所揭示的任务计划的分布及加载。再次参看图1,可观察到,模块105到107、113、114遍及计算机网络100分布于一或多个位置处。所述模块集成于通信路径内以拦截此类位置处的通信、执行必要操控且将数据转发到网络内的其它计算装置。在前述布置的情况下,本文中所描述的对模块的任何必要维护(例如,更新任务计划的维护)将有可能在替换模块或将模块重新编程时打断网络通信。在其中网络服务的可靠性及可用性为至关重要的许多情形下,此类打断是不合意的。举例来说,对于军事、应急服务及商业所使用的计算机网络,不中断网络操作可为至关重要的。
为了确保不中断网络操作,每一模块优选地具有数种操作状态。这些操作状态包含:(1)关断状态,其中模块被关闭电源且不处理任何包;(2)初始化状态,其中模块根据任务计划安装软件脚本;(3)作用中状态,其中根据当前任务计划处理数据;及(4)绕过状态,其中包可流动通过模块,就如模块不存在一样。模块经配置以使得在其处于作用中状态或绕过状态中时,模块可接收及加载由网络管理员提供的经更新任务计划。模块操作状态可由网络管理员借助于(举例来说)在NAC 104上执行的NCSA手动地控制。举例来说,用户可通过使用图形用户接口控制面板选择各种模块的操作状态。或者,模块操作状态可由(举例来说)在NAC 104上执行的NCSA自动地控制。用于控制网络的操作状态的命令经由计算机网络100传达,或者可通过任何其它适合手段来传达。举例来说,可出于所述目的而使用单独有线或无线网络(未展示)。
任务计划可直接加载于每一模块的物理位置处,或其可从NCSA传达到模块。此概念图解说明于图9中,其展示任务计划904经由通信媒体906从NCSA 902传达到模块105到107、113、114中的每一者。在所展示的实例中,NCSA软件应用程序在NAC 104上执行。在一些实施例中,通信媒体可包含使用计算机网络100的带内发信。或者,带外网络(例如,单独无线网络)可用作通信媒体906以将经更新任务计划从NCSA传达到每一模块。
在其中NAC正由网络管理员控制的情景中,NCSA可提供用以促进数个任务计划1002中的一者的选择的GUI 1000,如图10所展示。这些任务计划1002中的每一者可存储于NAC 104上。网络管理员可从数个任务计划1002中的一者做出选择,此后其可激活“发送任务计划”按钮1004。或者,多个任务计划可传达到每一模块且存储于那儿。在任一情景中,用户可选择经定义任务计划中的一者来激活。
在其中自动地控制网络可操纵性的情景中,NCSA基于例如上文所描述的冲突分析的冲突分析的结果从多个任务计划选择至少一个任务计划。此后,NCSA产生用以发送任务计划的命令。
响应于用以发送任务计划的命令,选定任务计划在模块处于其中其经配置以用于主动地执行IDP的动态修改的作用中状态中(如本文中所描述)时传达到所述模块。此布置最小化其间网络以明文方式操作且不操控IDP的时间。然而,经更新任务计划也可在模块处于绕过模式中时传达到所述模块,且此方法在某些情况中可为合意的。
一旦任务计划由模块接收,其即可自动地存储于模块内的存储器位置中。此后,可致使模块进入绕过状态,且在仍处于所述状态中时,模块可加载与新任务计划相关联的数据。进入到绕过状态中且加载新任务计划数据的此过程可响应于接收到任务计划而自动地发生,或可响应于来自由网络管理员控制的NCSA软件的命令而发生。所述新任务计划优选地包含改变使IDP值变化的方式。一旦已加载新任务计划,模块105到107、113及114即可以确保不发生数据通信错误的同步方式从绕过模式转变为作用中模式。任务计划可指定模块将返回到作用中模式的时间,或网络管理员可使用NCSA来将命令传达到各种模块,从而引导其进入到作用中模式中。更新任务计划的前述过程有利地允许网络安全性程序的改变在不打断附接到计算机网络100的各种计算装置当中的通信的情况下发生。
每一模块105、106、107、113及114处的各种IDP的动态操控优选地由在每一模块105到107、113、114上执行的应用软件控制。然而,应用软件的行为有利地由任务计划控制。
现在参看图11,其提供概述每一模块105到107、113、114的操作的流程图。为避免混淆,关于在单个方向上的通信描述过程1100。举例来说,在模块105的情况中,单个方向可涉及从客户端计算机101发射到集线器108的数据。然而,在实践中,优选地,模块105到107、113、114双向地操作。所述过程在将模块开启电源时在步骤1102处开始且继续进行到步骤1104,其中利用模块应用软件执行本文中所描述的方法。在步骤1106中,从模块内的存储器位置加载任务计划。在此点处,模块准备好开始处理数据且继续进行到在步骤1108处处理数据,其中其从模块的输入数据缓冲器存取数据包。在步骤1110中,模块检查以确定其是否处于绕过操作模式中。如果如此,那么在步骤1108中在不具有数据包的任何修改的情况下重新发射在步骤1112中存取的数据包。如果模块不在绕过模式中,那么其必定在其作用中操作模式中且继续进行到步骤1114。在步骤1114中,模块读取数据包以确定数据包始发于其的源节点的身份。在步骤1116中,其检查包以确定源节点是否有效。可将所指定源节点与有效节点的列表进行比较以确定所指定源节点当前是否有效。如果其并非有效节点,那么在步骤1118中摒弃包。在步骤1120中,过程检查以确定触发事件是否发生。触发事件的发生将影响对待使用的假身份值的选择。因此,在步骤1122中,模块基于触发信息、时钟时间及任务计划中的一或多者确定待使用的假身份值。模块然后继续进行到步骤1126,其中其操控数据包的IDP。一旦操控完成,即将数据包从模块的输出端口重新发射到邻近节点。在步骤1130中,做出关于是否已命令将模块关闭电源的确定。如果如此,那么过程在步骤1132处结束。在步骤1108中,过程继续且从模块的输入数据缓冲器存取下一数据包。
企业任务管理
从企业观点来管理操纵计算机网络(例如,图1的计算机网络100)的总体行为,以使得计算机网络根据企业CONOPS以及任务CONOPS来操作。就这一点来说,计算机网络的总体行为由如在于计算机网络内实施的任务计划中所指定的模块行为的总和定义,如图12中所展示。因此,NCSA基于定义总体企业目标/规则/策略以及计算机网络架构的各种层之间的关系的分析而管理任务计划到计算机网络的端点或端点区域的分布及控制。如图13中所展示,所述层可包含但不限于CONOPS层、网络架构层及移动目标技术参数层。
在一些情景中,在正由网络管理员使用的计算机系统处提供图形用户接口。所述图形用户接口通常经配置以呈现计算机网络的当前总体行为的示意性图解说明。示意性图解说明的内容随计算机网络的行为改变而动态地改变。举例来说,当采用新任务计划或旧任务变为非作用中时,修改所述示意性图解说明以反映此改变。图形用户接口还允许用户实时地或实质上实时地看到正由网络的每一节点或选定节点执行的操作。所述图形用户接口可包含用以允许用户选择性地修改总体网络或网络的至少一个节点的行为的小窗口。
现在参看图14,其提供用于动态计算机网络的企业任务管理的示范性方法1400的流程图。方法1400以步骤1402开始且继续进行到步骤1404到1406,其中由NCSA执行跟踪操作。所述跟踪操作涉及:跟踪在任何给定时间处作用中的任务计划的数目;及跟踪所有作用中任务计划的“存续寿命”。
接下来,在步骤1408中,NCSA执行用以观察及分析计算机网络(例如,图1的计算机网络100)的方面的操作。执行这些操作以确定何时需要分布新任务计划。因此,这些操作可包含但不限于以下操作中的一或多者:包检验操作;基于拥塞等级的操作;基于网络状态的操作;基于用户活动的操作;及基于网络攻击的操作。
在一些情景中,包检验操作涉及:分析包以获得识别以下各者的信息:包的起源、包的目的地、起源或目的地所属的群组及/或包中所含有的有效载荷的类型;分析包以确定其中是否含有码字;将从包获得的信息与存储于数据存储区中的信息进行比较以确定是否存在匹配;及/或基于所述比较的结果确定是否已发生用于分布新任务计划的触发事件。
在一些情景中,基于拥塞等级的操作涉及:监视计算机网络内的拥塞等级;跟踪计算机网络内的拥塞等级;及/或将当前拥塞等级与阈值进行比较以确定是否已发生用于分布新任务计划的触发事件。
在一些情景中,基于网络状态的操作涉及:监视计算机网络的状态;跟踪计算机网络的状态;分析计算机网络以确定其状态;及基于所述分析的结果确定是否已发生用于分布新任务计划的触发事件。
在一些情景中,基于用户活动的操作涉及:监视计算机网络内的用户活动;收集关于用户活动的信息;分析所收集信息以确定是否存在特定协议模式;及基于所述分析的结果确定是否已发生用于分布新任务计划的触发事件。
在一些情景中,基于网络攻击的操作涉及:监视计算机网络内的攻击事件;跟踪计算机网络内的攻击事件;执行LUT操作以确定对计算机网络的攻击的等级及/或攻击的类型;及基于所述LUT操作的结果确定是否已发生用于分布新任务计划的触发事件。
再次参看图14,方法1400继续进行步骤1410,其中NCSA执行用以理解及定义符合企业及任务CONOPS的新任务要求的操作。就这一点来说,NCSA确定新任务计划应被分布到的模块。随后,执行步骤1412或1414。
步骤1412涉及基于新任务要求及来自分析计算机网络的操作方面的结果从多个预存储的任务计划选择新任务计划。举例来说,如果检测到等级1攻击,那么选择第一任务计划。与此对比,如果检测到等级5攻击,那么选择第二不同的任务计划。
步骤1414涉及产生并存储新任务计划。所述新任务计划可由网络管理手动地或由NCSA自动地产生,如上文所描述。在所有情景中,可基于新任务要求及来自分析计算机网络的操作方面的结果而产生新任务计划。举例来说,可至少部分地基于在步骤1408中检测到的触发事件的类型、包中所含有的内容、计算机网络的当前拥塞等级、计算机网络的当前状态、计算机网络内的用户活动的类型、在计算机网络上检测到的攻击的等级及/或在计算机网络上检测到的攻击的类型选择任务计划的时序方案、伪随机函数及/或混乱函数。
一旦已选择或产生新任务计划,即由NCSA执行步骤1416。在步骤1416中,NCSA执行冲突分析(例如上文所描述的冲突分析)以识别在由新任务计划定义的模块操作与由所有作用中任务计划定义的模块操作之间存在的任何冲突。如果NCSA确定确实存在冲突[1418:是],那么修改新任务计划,如步骤1420所展示。此后,使用经修改任务计划来执行冲突分析。如果NCSA确定不存在冲突[1418:否],那么执行步骤1422,其中将新任务计划传递到计算机网络的模块,其中所述任务计划存储于存储器位置中。
当网络管理员及/或NCSA准备好实施新任务计划时,在步骤1424中发送命令,所述命令致使模块进入如本文中所描述的待用模式。当模块处于此待用模式中时,在步骤1426处加载任务计划。任务计划的加载发生于模块处以使得可使用任务计划来控制在模块上执行的应用软件的操作。特定来说,使用任务计划来控制应用软件执行IDP的动态操控的方式。在完成步骤1426后,方法1400即刻继续进行图14B的步骤1428。
在步骤1428中,再次致使任务模块进入到其中所述模块根据任务计划执行IDP的操控的作用中操作模式中。步骤1424、1426及1428可响应于从网络管理员发送的特定命令而发生,或可响应于在步骤1422中接收到任务计划而在模块处自动地发生。
在步骤1428之后,模块根据已加载的任务计划继续执行处理。在步骤1430中,方法400通过观察及分析计算机网络的操作方面以确定何时及是否应将作用中任务计划置于非作用中状态中而继续。举例来说,如果网络管理员及/或NCSA确定或怀疑对手已发现计算机网络的作用中任务计划,那么改变任务计划以便维持计算机网络的安全性可为合意的。
如果NCSA确定不应将作用中任务计划中的任一者置于非作用中状态中[1432:否],那么执行下文将描述的步骤1436。与此对比,如果NCSA确定应将作用中任务计划置于非作用中状态中[1432:是],那么执行步骤1434,其中将任务计划置于非作用中状态中(即,致使模块停止执行由任务计划定义的操作)。此后,执行步骤1436,其中方法1400结束或执行其它处理(例如,方法1400返回到步骤1404)。其它处理可涉及将计算机网络重新配置为根据既定维持计算机网络的安全性的另一任务计划而操作。
现在参看图15,其提供展示可用于执行本文中所描述的IDP的操控的示范性模块1500的计算机架构的框图。模块1500包含经由总线1522彼此通信的处理器1512(例如中央处理单元(“CPU”))、主存储器1520及静态存储器1518。模块1500可进一步包含用以指示模块的状态的显示器单元1502,例如液晶显示器(“LCD”)。模块1500还可包含允许模块同时在两个单独数据线上接收及发射数据的一或多个网络接口装置1516、1517。两个网络接口端口促进图1中所展示的布置,其中每一模块经配置以同时拦截及重新发射从网络上的两个单独计算装置接收的数据包。
主存储器1520包含其上存储有经配置以实施本文中所描述的方法、程序或功能中的一或多者的一或多组的指令1508(例如,软件代码)的计算机可读存储媒体1510。指令1508也可在其由模块执行期间完全或至少部分地驻存于静态存储器1518内及/或处理器1512内。静态存储器1518及处理器1512也可构成机器可读媒体。在本发明的各种实施例中,连接到网络环境的网络接口装置1516使用指令1508经由网络通信。
现在参看图16,其展示根据发明性布置的示范性NAC 104。NAC 104可包括各种类型的计算系统及装置,包含服务器计算机、客户端用户计算机、个人计算机(“PC”)、平板PC、膝上型计算机、桌上型计算机、控制系统或能够执行指定所述装置待采取的动作的一组指令(循序或其它)的任何其它装置。此外,尽管图16中图解说明单个计算机,但短语“NAC”应理解为包含个别地或联合地执行一组(或多组)指令以执行本文中所论述的方法中的任一者或多者的计算装置的任何集合。
现在参看图16,NAC 104包含经由总线1622彼此通信的处理器1612(例如CPU)、磁盘驱动单元1606、主存储器1620及静态存储器1618。NAC 104可进一步包含显示器单元1602,例如视频显示器(例如,LCD)、平板显示器、固态显示器或阴极射线管(“CRT”)。NAC 104可包含用户输入装置1604(例如,键盘)、光标控制装置1614(例如,鼠标)及网络接口装置1616。
磁盘驱动单元1606包含其上存储有经配置以实施本文中所描述的方法、程序或功能中的一或多者的一或多组指令1608(例如,软件代码)的计算机可读存储媒体1610。指令1608也可在其执行期间完全或至少部分地驻存于主存储器1620、静态存储器1618内及/或处理器1612内。主存储器1620及处理器1612还可构成机器可读媒体。
所属领域的技术人员应了解,图15中所图解说明的模块架构及图16中的NAC架构各自表示可分别用于执行本文中所描述的方法的计算装置的仅一个可能实例。然而,本发明在此方面并不受限,且任何其它适合计算装置架构也可在无限制的情况下使用。包含但不限于专用集成电路、可编程逻辑阵列及其它硬件装置的专用硬件实施方案可同样地经构造以实施本文中所描述的方法。可包含各种实施例的装备及系统的应用广义地包含多种电子及计算机系统。一些实施例可借助在模块之间及贯通模块传达的相关控制及数据信号或作为专用集成电路的部分实施两个或两个以上特定互连的硬件装置中的功能。因此,示范性系统适用于软件、固件及硬件实施方案。
根据本发明的各种实施例,本文中所描述的方法作为软件程序存储于计算机可读存储媒体中且经配置以在计算机处理器上运行。此外,软件实施方案可包含但不限于也可经构造以实施本文中所描述的方法的分布式处理、组件/对象分布式处理、并行处理、虚拟机器处理。
尽管在图15及16中将计算机可读存储媒体1510、1610展示为单个存储媒体,但术语“计算机可读存储媒体”应视为包含存储一或多组指令的单个媒体或多个媒体(例如,集中式或分布式数据库及/或相关联高速缓冲存储器及服务器)。术语“计算机可读存储媒体”也应视为包含能够存储、编码或携载供由机器执行的一组指令且致使机器执行本发明的方法中任一者或多者的任何媒体。
术语“计算机可读媒体”应相应地视为包含但不限于固态存储器(例如存储器卡或者装纳一或多个只读(非易失性)存储器、随机存取存储器或其它可重复写入(易失性)存储器的其它包);磁光媒体或光学媒体(例如磁盘或磁带)。因此,本发明应视为包含如本文中所列示的计算机可读媒体中的任一者或多者且包含已认可的等效物及其中存储有本文中的软件实施方案的后续任务媒体。
与连接到不同逻辑网络的计算装置的通信
在描述发明性布置的其它方面之前,考虑常规交换器的操作是有用的。常规交换器将网络的多个分段连接在一起。执行此功能的最简单装置称作“集线器”且在物理层处操作。集线器不对数据包执行任何业务管理任务,而是仅拷贝在端口处进入的所有数据业务且将其向外传播到所有其它端口。层2(或“网络”)交换器操作直到链路层,且具有检验进入交换器的包的能力,且基于链路层包的目的地物理地址将每一包引导到恰当端口。交换器与集线器的不同之处在于其可在不跨越每一端口进行广播的情况下将包转发到其目的地。多层交换器(例如,层3交换器)可操作直到网络、输送及/或应用程序层,且能够执行需要知晓较高层协议(例如IP多播、IP安全性、防火墙、载荷平衡、安全套接层加密/解密及诸如此类)的操作。在较高层处操作的交换器可执行路由器及桥接器的功能中的一些或所有功能。相反地,路由器及桥接器还可执行较低层交换功能。
交换器通过使一每输出端口与特定物理地址相关联而将包转发到下一跃点。如上文所提及,交换器主要在数据链路层中操作。数据链路层消息(即,数据包)寻址到表示数据包的路径中的“下一跃点”的物理地址。物理地址的实例是用于主机机器的网络接口的MAC地址。使用链路层协议(例如地址解析协议(“ARP”))解析MAC地址,且然后将此信息存储于用于迅速参考的表(例如,ARP表)中。当接收到送往特定主机的包时,交换器查找ARP表上的目的地MAC地址、定位与MAC地址相关联的端口且转发包。如果用于目的地主机的MAC地址未列示于ARP表中,那么交换器可在每一输出端口上广播ARP轮询消息。如果目的地主机连接到交换器,那么其将用应答回答且交换器将使用接收到所述应答的端口将包转发到主机。交换器还可将端口及网络地址记录于ARP表中以供未来转发到所述MAC地址。
在网络层中或以上操作的多层交换器可使用逻辑地址(例如,IP地址)来将包转发到其目的地。虽然网络层功能及以上层功能通常由路由器处置,但在常规路由器与层3(或网络层)交换器之间存在很小功能差异。在任一情况中,交换器(或路由器)接收送往具有逻辑地址(即,网络层或协议地址)的特定主机的数据包。在接收到包之后,网络层交换器将包的目的地IP地址与路由表进行比较以确定到目的地主机的路径中的下一跃点的逻辑及物理地址两者。网络层交换器然后将包发射到下一跃点。在层3交换器处接收的包与由层2交换器接收的包相比其间的主要差异是在层3交换器处接收的链路层包的目的地地址(例如,MAC地址)是交换器自身的目的地地址。如上文所解释,链路层包寻址到包的路径的下一跃点。接收包的层3交换器(或路由器)是所述包的下一跃点,且具有基于网络层地址(例如,IP地址)或包中所含有的其它信息确定包的下一跃点的任务。与此对比,接收包的层2交换器读取链路层目的地地址且将包转发到下一跃点,但层2交换器自身并非目的地。
移动目标技术(“MTT”)交换器能够执行包转发,如上文针对在任何给定时间根据至少一个任务计划操作的MTT启用网络所描述。MTT交换器能够执行上文针对MTT启用业务所描述的交换器的原生功能性。在一些实施例中,MTT交换器还可经布置以出于确定如何恰当地执行此类交换操作的目的而自动地区分MTT启用业务与常规数据业务。任务计划定义对MTT启用网络内的数据业务的IDP执行的一组变换及在网络内执行此类变换的位置。如同模块,MTT启用交换器可加载有一或多个任务计划。另外,MTT交换器可执行模块的功能且根据任务计划变换数据包的IDP。
当前交换技术通过“锁定”特定物理地址而将数据转发到ARP表中的交换器上的特定端口,如上文所描述。因此,常规交换器由于IDP将根据任务计划移动而不能处理MTT启用业务。举例来说,源及/或目的地主机的IP地址、源及/或目的地主机的MAC地址或两者可在到达交换器之前动态地修改。MTT启用交换器具有根据任务计划操作及借助移动身份正确地转发经交换数据包的能力。举例来说,当包到达MTT交换器时,分析数据包的IDP且将目的地主机与由任务计划驱动及修改的动态ARP表进行比较。
由任务计划填充及/或修改动态ARP表。任务计划具有有关遍及整个网络对IDP的操控的信息,且因此可给交换器供应完全填充的ARP表以供在转发包时使用。ARP表的此动态修改可以若干种方式发生。在某些实施例中,当将ARP表加载到交换器中时,由任务计划填充其中的值。在此类情景中,每当激活新任务计划时重新写入ARP表值。换句话说,根据任务计划使用如当前经操控以供用于网络中的IDP改变ARP表中的值以促进包的正确交换。在其它实施例中,由任务计划更新ARP表中的值之间的关系。举例来说,可由任务计划更新端口与各种装置地址之间的关系。在每一情景中,任务计划更新或修改ARP表以使得交换器借助在特定时间正使用的经操控IDP正确地起作用。如上文所描述,IDP的操控可基于被动性触发事件而改变。任务计划将定义响应于特定类型的被动性触发事件发生何种改变。因此,每一被动性触发事件可引起对动态ARP表的修改或更新。
在一些情景中,交换器包含服务于静态及MTT启用网络两者的专用端口。实际上,交换器与服务于静态网络的静态端口及服务于动态网络的MTT端口分隔。在此情景中,每一组端口可具有单独ARP表或可共享包含静态区段及MTT区段的ARP表。ARP表的服务于MTT启用端口的至少所述部分是根据任务计划而确定,且响应于由任务计划定义的预定被动性触发事件而变化。在另一实施例中,交换器可识别MTT启用业务且将数据包的IDP变换成静态IDP(即,真IDP)。在已变换IDP之后,交换器可使用静态ARP表而使用常规交换算法来处理数据包。此后,交换器可转发含有真IDP的包,或可转发具有假IDP的包。所述假IDP可与在接收时包中所含有的假IDP相同,或交换器可操控IDP以包含不同假IDP集合。在任一情况中处理包的方式可由任务计划确定,如上文所描述。
在某些实施例中,网络中可同时存在静态及动态数据业务两者。因此,容纳静态及动态业务两者的容量是重要的。举例来说,数据可基于数据的值或重要性而为静态或动态的。根据特定任务计划操作的主机计算机可针对借助特定应用程序或向特定服务器发射的数据启用MTT。与此对比,可在不启用MTT的情况下发送web浏览数据或其它低优先级数据。因此,所有网络装备(包含交换器)可同时容纳静态及动态业务两者且除转发静态包之外还完全能够通过相同网络处置MTT启用包的变换及转发。
在某些实施例中,交换器可连接到操作不同任务计划的多个网络。或者,连接到交换器的网络中的一或多者可为静态的(即,非MTT启用的)。在这些情景中,交换器可用作桥接器且能够在操作不同任务计划的网络之间或在MTT网络与静态网络之间翻译。在这些网络边界之间操作的交换器可具有用于每一网络的ARP表,或具有带有多个区段的ARP表,其中每一区段对应于不同网络。在任一情景中,可根据任务计划动态地填充ARP表。
除根据任务计划转发MTT启用数据包之外,MTT交换器还能够通过伪随机地交替用于将包传达到特定目的地的输出端口而基于任务计划操控交换行为。举例来说,交换器可具有通向连接到相同企业广域网中的另一网络的路由器的一个端口。交换器可具有通向进入到因特网中的网关的第二端口。两个路径可通向相同目的地,且交换器可在将包传达到相同最终目的地时在两个路径之间伪随机地交替。替代地或除此之外,交换器可在一些或所有端口上广播外来包以在网络内形成噪声。外来包可含有呈经加密形式的随机数据的无用位以使试图渗入网络的个体及系统混淆及困扰。MTT交换器可根据一或多个任务计划在这些行为或其任何组合之间交替。
任选地,交换器可进一步应用一组过滤规则以充当防火墙。在某些实施例中,交换器可基于任务计划识别MTT启用业务且滤除所有其它业务。在其它实施例中,交换器可检测数据业务中的异常。过滤规则可经设计以使得交换器将非MTT启用包及/或异常包引导到可模拟网络系统的行为的“诱捕系统”服务器以诱捕攻击业务。通过将非MTT启用包及/或异常包(尤其是与攻击业务相关联的包)过滤到诱捕系统,网络管理员能够阻止攻击、分析网络漏洞及/或开发用于基于不允许的业务的行为而对抗攻击的新技术。或者,可即刻摒弃或使用常规防火墙技术来过滤非MTT启用包。
为进一步理解本文中所描述的MTT交换器的此功能,考虑图17及以下实例。现在参看图17,其提供示范性网络1700。所述网络包含主机1702,模块1704,交换器1706、1712,路由器1708、1710及主机1714。如图17中所展示,借助IDP 120发送数据包。在一个示范性实施例中,模块1704可将IDP 120变换成IDP 122,如先前所描述。在替代实施例中,模块1704可在主机1702或交换器1706内。另外,路由器1708、1710,交换器1712及主机1714也可包含模块。虽然图17图解说明在一个方向上行进的数据包,但所属领域的技术人员应认识到,数据业务可使用众所周知的双工技术在两个方向上流动。
在第一实例中,网络分段包括串联连接的三个单独组件:PC 1702、MTT模块1704及MTT交换器1706。PC 1702是通过交换器1706进入动态网络的数据流的源主机。连接于PC 1702与交换器1706之间的是能够对由PC 1702发射的数据流执行伪随机变换的模块1704。当数据流到达交换器1706时,流内的数据包的各种IDP 122看似已由模块1704以随机方式变换。更特定来说,根据任务计划将IDP值120中的一些IDP值伪随机地变换为假值122。MTT启用交换器1706根据相同任务计划操作,且因此保持能够将数据流中的包恰当地转发到下一接口。在替代配置中,模块1704不需要是单独组件,而是可嵌入于PC 1702内,如上文所论述。
在第二实例中,模块1704嵌入于交换器1706内且交换器1706自身能够根据任务计划变换数据包IDP 120。在此情景中,交换器可接收非MTT启用的数据流,即,尚未变换数据包的IDP 120。交换器然后在将IDP向外转发到网络中之前修改所述IDP以指定假IDP 122。交换器1706处的变换可在输入端口或输出端口处发生。换句话说,可在交换器确定通过哪一端口转发包之前或之后变换IDP 120。
在第三实例中,MTT交换器1706连接根据不同任务计划操作的两个网络(在图17中表示为连接到路由器1708、1710的网络)。为了清晰且为了避免使本发明模糊,未展示附接到路由器1708、1710的网络。具体来说,网络中的一者(例如,路由器1708)为非MTT启用的静态网络。在两个网络之间发射的数据业务必须在其可被转发到其它网络之前由交换器1706翻译。举例来说,从MTT启用网络到达交换器的数据包的IDP 122必须经翻译以指定静态值120。相反地,从静态网络到达交换器的数据包的IDP必须经翻译以指定根据当前作用中的任务计划的IDP。
在第四实例中,MTT交换器1706连接网络A(即,路由器1709)、B(即,路由器1710)、C(即,路由器1711)及D(即,路由器1708)。网络A、B及C是根据一或多个任务计划操作的动态MTT启用网络。网络D为非MTT启用的静态网络。当在MTT交换器1706处接收到数据时,其评估包以确定其是否包括具有对应于网络A、B或C的当前状态(即,对应于根据网络A、B或C的当前任务计划预期的状态)的假IDP的MTT启用数据。如果如此,那么交换器1706使用一或多个任务计划执行适当MTT处理以将数据路由到适当目的地网络。此处理可涉及将假IDP集合(例如,如果包源自MTT启用网络)变换为真IDP集合(如果目的地网络为静态网络(在此实例中,网络D、路由器1708))。或者,此处理可涉及将对应于MTT启用源网络(例如,网络A、路由器1709)的第一假IDP集合变换为对应于MTT启用目的地网络(例如,网络B、路由器1710)的第二假IDP集合。第一及第二假IDP集合可包含使其成为假的IDP的不同选择及/或相同IDP集合的不同假值。或者,如果交换器1706确定所接收包含有不对应于任何网络的当前状态的错误MTT数据,那么可摒弃所接收包或将其发送到如上文所描述的“诱捕系统”。
上文所描述的示范性配置并不打算为限制性。此外,实施例不限于图17中所图解说明的网络拓扑。如上文所提及,交换器的功能可内建到其它网络装置(例如,路由器及桥接器)中。另外,模块及防火墙的功能可并入到交换器、路由器及/或桥接器中。网络组件可经组合以达成适合任何组的需要的动态网络系统。
现在参看图18,其提供过程1800的流程图以进一步图解说明MTT交换器的操作。所述过程在步骤1802处在将交换器开启电源时开始且继续进行到步骤1804,其中将用于执行本文中所描述的方法的交换器应用软件初始化。在步骤1806中,从交换器内的存储器位置加载一或多个任务计划。还根据任务计划填充ARP表。任务计划可定义单个动态计算机网络内的多个网络分段的动态操纵。可以类似于上文关于模块所描述的方式的方式将一或多个任务计划加载于交换器中。在一些情景中,将任务计划加载到交换器的存储器中且将其激活,借此产生触发事件。触发事件充当区分使用先前作用中的ARP表处理的在触发事件之前接收的业务与使用新激活的ARP表处理的在触发事件之后接收的业务的门。这可以若干种方式发生。在另一实施例中,当交换器并非作用中时或在停用网络的MTT操作的时间期间,可将任务计划加载到存储器中。一旦已加载任务计划,交换器即准备好开始处理数据且在步骤1808处继续如此进行,其中其从交换器的输入数据缓冲器存取数据包。
在步骤1810中,交换器检查以确定是否已在网络中启用MTT操作模式。如果否(1810:否),那么在步骤1812中使用经布置以确保含有真IDP值的包的恰当转发的静态ARP表将在步骤1808中存取的数据包引导到输出端口。换句话说,在MTT操作模式并非作用中且假定所有IDP具有其真值时使用此模式。在步骤1812中,交换器在不对数据包进行任何修改的情况下以常规交换器将使用的相同的方式将数据包传达到适当输出端口。如果启用MTT模式(1810:是),那么过程继续进行到步骤1814。
网络将具有定义当前如何操控网络中的IDP的某一MTT状态。在步骤1814中,交换器基于任务计划及当前MTT状态确定假IDP值的当前状态。在步骤1816中,系统周期性地检查以确定是否已发生将改变MTT状态的触发事件。针对触发事件的发生的此检查步骤可如所展示地基于时钟信号周期性地执行,或其可在框1815内所包含的过程期间的任何时间执行。此为重要步骤,因为触发事件的发生可对网络中的当前正使用的恰当假身份值的计算具有显著影响。然后使用来自步骤1816的信息及有关网络的MTT状态的任何其它适当信息来确定那时网络正使用的任何MTT操控的当前状态。举例来说,在步骤1814中触发事件的发生可致使系统产生包含那时正使用的任何假IDP值及对应真IDP值的经更新交叉参考或查找表。可使用如先前所描述的伪随机过程确定有关哪些IDP为假及此类IDP的真值的信息。如图18中所展示,触发事件可在处理步骤1814、1818、1820、1824、1826及1828中的任一者期间发生且将触发那时的当前MTT状态(例如,假IDP值的当前状态)的立即重新确定。
任选地,可在步骤1814处启用MTT IDP的不可否认性。不可否认性为允许网络管理员在任何时间发现动态网络所使用的MTT身份的安全性服务。因此,尽管具有网络业务的IDP的潜在伪随机本性,但网络源及目的地的真身份为可知晓的且不能“否认”以拒绝责任。在一个实施例中,这可通过简单记录所有假身份而实现。因此,执行记录功能,借此将在步骤1814中确定的所有假IDP记录于(举例来说)存储器中。或者,可通过伪随机函数的时间戳记录及与MTT任务计划的当前状态相关联的种子值来实现不可否认性。此允许网络管理员在网络操作期间的任何时间往回查看以依据伪随机函数及那时任务计划所使用的种子值“重新建构”网络身份。
在步骤1818中,交换器读取数据包以确定数据包从其始发的源节点及目的地节点的身份。所接收数据的源地址信息及目的地地址信息是重要的,因为需要其来准许交换器确定如何恰当地操控数据通信内所含有的IDP。在步骤1820中,交换器检查数据包以确定源节点是否有效。此可通过将数据包中所指定的源节点与当前正使用的有效源节点的当前列表(例如,如步骤1814中所确定)进行比较而实现。如果源节点信息并非有效,那么在步骤1822中摒弃包。步骤1824及1826是下文进一步详细论述的任选步骤。
过程继续进行到步骤1828,在此时交换器将包引导到适当输出端口。此步骤优选地包含用以确保含有假IDP的包的恰当转发的适当动作。更特定来说,此步骤确保根据对应于假IDP的真信息且根据任务计划,用于数据通信的下一目的地是用于数据通信的正确路径。应记得,假IDP中的信息将与真IDP值不一致,因此必须做出适当调整以适应假信息,同时仍确保数据消息的恰当转发。存在解决此问题的至少两种可能方法。在一些实施例中,步骤1828可涉及借以确定包中所含有的任何假IDP的真IDP值的交叉参考过程。举例来说,在步骤1814中产生的LUT可用于此目的。一旦确定此类IDP的真值,交换器即可使用静态ARP表(即,在步骤1812中所使用的相同表)来确定特定包的正确输出端口。此后,可将包引导到正确输出端口。或者,可产生动态ARP表以供在步骤1828中使用。动态ARP表可直接指定对应于数据包中所含有的假IDP信息的正确输出端口。其它方法也是可能的,且本发明并不打算限于此处所描述的两种方法。
在步骤1830中,做出关于是否已命令将交换器关闭电源的确定。如果如此,那么过程在步骤1832处结束;否则,过程返回到1808。在步骤1808中,过程继续且从交换器的输入数据缓冲器存取下一数据包。
在上文所描述的过程中,交换器执行确保将含有假IDP的数据包仍传达到其恰当目的地节点的转发操作。除执行此类基本转发功能之外,交换器还可经配置而以类似于上文关于模块所描述的方式的方式执行IDP的动态操控。再次参看图18,任选步骤1824可包括根据任务计划及当前动态网络状态动态地操控IDP。步骤1824处的操作将类似于如上文所描述的由图1的模块105到107、113、114执行的IDP操控。在完成IDP的此操控后,过程将即刻基本上如上文关于步骤1828所描述地继续。将使用如由交换器操控的当前IDP值来执行转发操作。值得注意的是,步骤1824中的操控操作可根据任务计划在进行与停止之间选择性地双态切换。此过程类似于上文关于模块所描述的绕过模式,且可促进使网络内的其中执行IDP操控的位置变化。可在如上文所描述的步骤1810及1812中实施此绕过操作模式。或者,可个别地绕过步骤1824。
在如至此所描述的过程中,已操控IDP,但转发协议一直为静态的。换句话说,用于转发包的规则已随时间保持不变,且这些规则尚未受网络的MTT状态的改变影响。包总是沿与其将在具有静态ARP表的默认转发情景中转发相同的路径来路由。除这些静态路由方法之外,发明性布置还可包含动态转发。
为了更完全地理解动态转发的概念,考虑实例是有用的。在上文参看图18所描述的默认转发情景中,交换器1706将送往服务器1714的包引导到路由器1710(经由因特网或某一其它公用网络),因为此路径具有最短数目个跃点。然而,在本发明的动态转发实施例中,每一交换器及/或路由器的转发协议可经动态修改以使得特定交换器/路由器转发包的方式将随时间(且在不同条件下)改变。此类转发变化在不存取任务计划中所指定的信息的情况下将不可预测。因此,任务计划可指定(举例来说)有时将送往服务器1714的包引导到路由器1708而非直接引导到路由器1710。然后通过因特网(或任何其它公用网络)将包引导到交换器1712及最后目的地(例如,服务器1714)。在其它时间,送往同服务器的包可具有不同路径。在涉及动态转发的此类实施例中,可认为包贯通网络1700采取的路径以伪随机方式动态地更改以阻挠试图监视网络通信的对手。下文中所描述的动态转发方法可使用任何适合技术执行且所有此类技术打算包含于本发明的范围中。此外,转发协议的动态修改可单独地或连同如上文所描述的IDP的动态修改一起执行。
应理解,本文中所描述的动态路由方法不限于上文所描述的过程。在另一实施例中,根据任务计划操作的交换器可确定贯通网络的多个可行路径。交换器可根据由任务计划定义的伪随机算法将跨越可行路径的通信分段及分散。举例来说,参看图17,交换器1706可接收分段成两个包的通信。根据任务计划操作,交换器1706可通过路由器1708发送一个包且将另一包直接发送到路由器1710。然后,在目的地(例如,服务器1714)处重新汇编通信。在此实施例中,交换器1706可根据伪随机函数而使数据包将行进的路径变化。所属领域的技术人员应认识到,此技术可扩缩到包含任何数目个交换器及/或路由器的网络。
值得注意的是,上文所描述的动态路由过程也可独立于关于图18所描述的MTT功能中的一或多者而发生。现在参看图19,其提供概述根据一个实施例的交换器的操作的流程图,其中路由器所使用的转发协议根据任务计划变化。过程1900在步骤1902处在将交换器开启电源时开始且继续进行到步骤1904,其中将用于执行本文中所描述的方法的交换器应用软件初始化。在步骤1906中,从交换器内的存储器位置加载一或多个任务计划。在此时,交换器准备好开始处理数据且在步骤1908处继续如此进行,其中其从交换器的输入数据缓冲器存取所接收数据包。在步骤1910中,做出关于交换器是否在动态转发模式中操作的确定。如果否,那么过程继续进行到步骤1912且将数据转发到与到目的地主机的路径中的下一跃点相关联的默认端口。或者,如果交换器根据动态转发模式操作[1910:是],那么过程继续进行到包含于框1913内的步骤1914到1918。
在步骤1914中,交换器确定贯通网络的数据包为到达其目的地节点而可采取的一组可行路径。可基于任务计划确定这些路径。举例来说,任务计划可知晓贯通网络的数据包为了从一点行进到另一点而可采取的若干个路径。交换器可根据当前作用中的任务计划确定这些路径中的哪些路径是可用的。在步骤1916中,基于由任务计划定义的伪随机选择过程选择单个路径以发送包。在步骤1915中也发生对被动性触发事件的发生的检查。如上文关于图18所论述,在步骤1915中确定的被动性触发事件将触发那时的当前MTT状态(例如,假IDP值的当前状态)的立即重新确定。一旦选择了路径,即在步骤1918处朝向指定为包的下一目的地的邻近节点将数据包引导到输出端口。在某些实施例中,任务计划可引导交换器在网络中产生额外噪声。在这些实施例中,步骤1918还包含将包发送到一或多个额外端口以努力使外来包涌入网络且掩蔽网络的行为。
在步骤1920中,做出关于是否已命令将交换器关闭电源的确定。如果如此,那么过程在步骤1922处结束;否则,过程返回到1908。在步骤1908中,过程继续且从路由器的输入数据缓冲器存取下一数据包。
现在参看图20,其展示交换器2000的框图。交换器2000具有至少两个数据端口2001、2002。数据端口2001、2002中的每一者可对应于相应网络接口装置2004、2005。如图20中所展示,交换器2000可具有多个数据端口,每一数据端口连接到不同网络及/或计算装置。在端口2001中的任一者处接收的数据在网络接口装置2004处处理且暂时存储于输入缓冲器2010处。处理器2015存取输入缓冲器2010中所含有的输入数据包且执行如本文中所描述的任何必要路由程序(即,方向2处理2016)。经修改数据包传递到输出缓冲器2012且随后使用网络接口装置2005从端口2002发射。类似地,在端口2002处接收的数据在网络接口装置2005处处理且暂时存储于输入缓冲器2008处。处理器2015存取输入缓冲器2008中所含有的输入数据包且执行如本文中所描述的任何必要路由程序(即,方向1处理2014)。经修改数据包传递到输出缓冲器2006且随后使用网络接口装置2004从端口2001发射。在每一模块中,处理器2015根据任务计划2020及/或存储于存储器2018中的一或多个表2022执行数据包的动态路由。
除其路由功能(及对潜在地管理动态路由协议的需要)之外,交换器2000的操作在许多方面类似于模块105到107、113、114的操作。仍应了解,交换器2000的操作也以一些方式不同。举例来说,不同于模块,交换器将决不会完全为非作用中,因为在网络处于作用中时,总是需要其来至少执行常规转发功能。但是,交换器的操作中的一些操作可以类似于模块的方式在作用中模式与非作用中模式之间转变。举例来说,由交换器执行的涉及IDP的动态修改(图18的步骤1824)的变换功能可在作用中模式与非作用中(绕过)模式之间转变。当在作用中模式中时,IDP的动态修改可由交换器执行。当在非作用中或绕过模式中时,不动态地修改IDP,但转发功能仍是作用中的。值得注意的是,任务计划可使用交换器(以类似于上文关于模块所描述的方式的方式)来使其中执行IDP操控的位置变化。此类动作可仅由如图17中所展示的一或多个交换器及/或路由器执行,或可连同其它装置(例如模块、桥接器及防火墙)一起执行。可以类似于本文中关于模块所描述的方式的方式更新交换器所使用的任务计划,借助静态ARP表的常规转发功能可在加载新任务计划的时间期间保持启用除外。或者,如上文所描述,新任务计划的加载及激活可致使触发事件发生,借此在触发事件之后在输入缓冲器中接收的所有数据将使用经更新任务计划处理。
待由交换器操控的IDP的选择及操控其的方式可类似于上文关于模块所描述的方法。举例来说,IDP的选择及假IDP值的选择可由伪随机或混乱过程确定。所述过程及/或用于此过程的种子值分别由与网络相关联的任务计划确定。交换器2000将根据如上文参考模块所描述的一或多个触发事件的发生对待操控的IDP值及/或IDP的选择做出改变。这些触发事件可随时间而变地产生,可由事件的发生确定或两者兼具。本文中所提及的事件的实例可包含用户命令、时序间隔及潜在网络安全性威胁的检测,如上文所论述。
可变化的IDP的类型
现在参看图21,其提供可由模块105到107、113、114及/或由桥接器115操控的IDP中的一些IDP的列表。图21中所列示的参数中的每一者包含于在使用TCP/IP通信协议的网络中所包含的数据通信中。图21中所列示的大多数信息类型是所属领域的技术人员众所周知的。然而,本文中提供每一类型的信息及其作为IDP的使用的简要描述。还提供可操控每一IDP的方式的简要论述。
IP地址。IP地址是指配给参与计算机网络的每一计算装置的数字识别符,其中所述网络使用众所周知的因特网协议进行通信。IP地址可为三十二位或一百二十八位数。出于本发明的目的,可将IP地址数改变为随机地选择(例如,使用伪随机数产生器)的假值。或者,可从预定假值列表(例如,由任务计划指定的列表)随机地选择假IP地址值。源IP地址及目的地IP地址包含于数据包的标头部分中。因此,通过经由使用改变IP标头信息的包操控技术简单地改变执行这些值的操控。当包到达第二模块(可操控的位置)时,将假IP地址值变换回到其真值。第二模块使用相同伪随机过程(或其逆过程)来基于假值导出真IP地址值。
MAC地址。MAC地址是由制造商指配给网络接口装置且存储于板上ROM中的唯一值。出于本发明的目的,可将源MAC地址及/或目的地MAC地址改变为随机地选择(例如,使用伪随机数产生器)的假值。或者,可从预定假值列表(例如,由任务计划指定的列表)随机地选择假MAC值。源MAC地址及目的地MAC地址包含于数据包的标头部分中。因此,通过简单地改变每一包的以太网标头信息执行这些值的操控。当包到达第二模块(可操控其的位置)时,将假MAC地址值变换回到其真值。接收包的模块将使用相同伪随机过程(或其逆过程)来基于假值导出真MAC地址值。
网络/子网。在一些实施例中,IP地址可视为单个IDP。然而,通常将IP地址定义为包含至少两个部分,所述至少两个部分包含网络前缀部分及主机编号部分。网络前缀部分识别待将数据包传达到其的网络。主机编号识别局域网(“LAN”)内的特定节点。子网络(有时称为子网)为IP网络的逻辑部分。在将网络划分成两个或两个以上子网络的情况下,使用IP地址的主机编号区段的一部分来指定子网编号。出于本发明的目的,网络前缀、子网编号及主机编号可各自视为单独IDP。因此,这些IDP中的每一者可以伪随机方式独立于其它参数单独地操控。此外,应了解,数据包将包含源IP地址及目的地IP地址。因此,可在源IP地址及/或目的地IP地址中操控网络前缀、子网编号及主机编号,总共六个可以伪随机方式操控的不同可变IDP。接收包的模块将使用与始发节点相同的伪随机过程(或此过程的逆过程)来基于假值导出真网络/子网信息值。
TCP序列。在TCP会话的相对侧上彼此通信的两个客户端计算机将各自维持TCP序号。所述序号允许每一计算机跟踪其已传达多少数据。TCP序号包含于在会话期间传达的每一包的TCP标头部分中。在起始TCP会话时,随机地选择初始序号值。出于本发明的目的,可根据伪随机过程将TCP序号操控为IDP。举例来说,可将TCP序号改变为随机地选择(例如,使用伪随机数产生器)的假值。当在网络的不同模块(其位置将动态地变化)处接收到包时,可使用伪随机过程的逆过程将TCP序号从假值变换回到真值。
端口编号。TCP/IP端口编号包含于数据包的TCP或UDP标头部分中。如TCP/IP通信协议中所使用的端口为所属领域中众所周知的,且因此将不在本文中详细描述。端口信息含在数据包的TCP标头部分内。因此,通过简单地修改TCP标头信息以将真端口值改变为假端口值而实现端口信息的操控。如同本文所论述的其它IDP,可在第一模块处根据伪随机过程将端口编号信息操控或变换为假值。稍后,可在第二模块处使用伪随机过程的逆过程将端口信息从假值变换为真值。
虽然已关于一或多个实施方案图解说明及描述了本发明,但所属领域的技术人员在阅读及理解本说明书及随附图式之后将想到等效更改及修改。另外,尽管可能已关于数种实施方案中的仅一者揭示了本发明的特定特征,但此特征可与其它实施方案的一或多个其它特征组合,此对于任何给定或特定应用可能是合意的及有利的。因此,本发明的广度及范围不应受上文所描述的实施例中的任一者限制。而是,本发明的范围应根据所附权利要求书及其等效形式来定义。
Claims (10)
1.一种用于其中节点操作可动态地配置的计算机网络的企业任务管理的方法,所述方法包括:
将所述计算机网络配置为根据至少一个第一任务计划来表现,所述至少一个第一任务计划指定将由所述计算机网络的至少一个第一节点动态地修改至少一个第一身份参数的经指配值的方式;
在所述计算机网络内检测指示需要在所述计算机网络内实施新任务计划的第一触发事件;
响应于所述触发事件而获得第二任务计划,所述第二任务计划指定将由所述计算机网络的至少一个第二节点动态地修改至少一个第二身份参数的经指配值的方式;
确定由所述第二任务计划定义的所述第二节点的操作与由所述第一任务计划定义的所述第一节点的操作之间是否存在任何冲突;以及
如果确定在如由所述第一任务计划及所述第二任务计划定义的所述第一节点及所述第二节点的操作之间不存在冲突,那么将所述计算机网络的操作配置为进一步根据所述第二任务计划来表现。
2.根据权利要求1所述的方法,其中基于以下各项中的至少一者来检测所述第一触发事件:正在所述计算机网络内传达的包的内容、所述计算机网络的拥塞等级、所述计算机网络的状态、所述计算机网络内的用户活动,及对所述计算机网络的恶意攻击。
3.根据权利要求1所述的方法,其中通过基于以下各项中的至少一者从多个预存储的任务计划选择任务计划而获得所述第二任务计划:新任务的要求,及来自分析所述计算机网络的操作方面的结果。
4.根据权利要求1所述的方法,其中通过基于以下各项中的至少一者自动地产生任务计划而获得所述第二任务计划:新任务的要求,及来自分析所述计算机网络的操作方面的结果。
5.根据权利要求1所述的方法,其中通过基于以下各项中的至少一者动态地产生任务计划而获得所述第二任务计划:任务的操作的概念、所述计算机网络的架构、所述计算机网络的资源之间的关系,及与多个身份参数相关联的有效性评级。
6.根据权利要求1所述的方法,其进一步包括:如果确定在如由所述第一任务计划及所述第二任务计划定义的所述第一节点及所述第二节点的操作之间存在冲突,那么修改所述第二任务计划以获得第三任务计划。
7.根据权利要求1所述的方法,其进一步包括:
确定所述计算机网络是否应继续根据所述第一任务计划或所述第二任务计划来表现;以及
如果确定所述计算机网络不应继续根据所述第一任务计划或所述第二任务计划来操作,那么重新配置所述计算机网络以使得所述计算机网络不再根据所述第一任务计划或所述第二任务计划来表现。
8.根据权利要求1所述的方法,其进一步包括:
确定所述计算机网络是否应继续根据所述第一任务计划或所述第二任务计划来表现;以及
如果确定所述计算机网络不应继续根据所述第一任务计划或所述第二任务计划来操作,那么重新配置所述计算机网络以根据第三任务计划而非所述第一任务计划或所述第二任务计划来表现。
9.根据权利要求1所述的方法,其进一步包括重新配置所述计算机网络的操作以使得基于距离向量来改变其中正修改所述第一身份参数及所述第二身份参数中的至少一者的位置。
10.根据权利要求1所述的方法,其中所述距离向量具有根据由任务计划指定的总体网络行为改变的可变值。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/072,361 US9503324B2 (en) | 2013-11-05 | 2013-11-05 | Systems and methods for enterprise mission management of a computer network |
| US14/072,361 | 2013-11-05 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104618321A true CN104618321A (zh) | 2015-05-13 |
| CN104618321B CN104618321B (zh) | 2018-01-09 |
Family
ID=53007907
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410637275.6A Expired - Fee Related CN104618321B (zh) | 2013-11-05 | 2014-11-05 | 用于计算机网络的企业任务管理的系统及方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9503324B2 (zh) |
| KR (1) | KR101723715B1 (zh) |
| CN (1) | CN104618321B (zh) |
| TW (1) | TWI582636B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015146641A1 (ja) * | 2014-03-27 | 2015-10-01 | 株式会社日立国際電気 | 編成内ネットワークシステム、編成内ネットワーク管理方法、および管理装置 |
| US9882807B2 (en) * | 2015-11-11 | 2018-01-30 | International Business Machines Corporation | Network traffic classification |
| US11005809B2 (en) * | 2016-03-29 | 2021-05-11 | Motorola Solutions, Inc. | Methods, devices, and systems for generating a plurality of network addresses for a plurality of communication devices |
| US10986109B2 (en) | 2016-04-22 | 2021-04-20 | Sophos Limited | Local proxy detection |
| US10938781B2 (en) | 2016-04-22 | 2021-03-02 | Sophos Limited | Secure labeling of network flows |
| US11277416B2 (en) | 2016-04-22 | 2022-03-15 | Sophos Limited | Labeling network flows according to source applications |
| WO2017184189A1 (en) * | 2016-04-22 | 2017-10-26 | Sophos Limited | Detecting triggering events for distributed denial of service attacks |
| US11102238B2 (en) | 2016-04-22 | 2021-08-24 | Sophos Limited | Detecting triggering events for distributed denial of service attacks |
| US11165797B2 (en) | 2016-04-22 | 2021-11-02 | Sophos Limited | Detecting endpoint compromise based on network usage history |
| WO2018026938A1 (en) * | 2016-08-02 | 2018-02-08 | Fife Corporation | Web handling system |
| US10547630B2 (en) * | 2016-11-29 | 2020-01-28 | Harris Corporation | Systems and method for providing dynamic computer networks in which goal induced dynamic modifications to mission plans occur |
| US11329953B2 (en) * | 2017-03-09 | 2022-05-10 | Argus Cyber Security Ltd. | System and method for providing cyber security to an in-vehicle network |
| US10560326B2 (en) * | 2017-09-22 | 2020-02-11 | Webroot Inc. | State-based entity behavior analysis |
| US20190044812A1 (en) * | 2018-09-13 | 2019-02-07 | Intel Corporation | Technologies for dynamically selecting resources for virtual switching |
| DE102019210223A1 (de) * | 2019-07-10 | 2021-01-14 | Robert Bosch Gmbh | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk |
| US11765188B2 (en) * | 2020-12-28 | 2023-09-19 | Mellanox Technologies, Ltd. | Real-time detection of network attacks |
| US20220239694A1 (en) * | 2021-01-28 | 2022-07-28 | Robert Bosch Gmbh | System and method for detection and deflection of attacks on in-vehicle controllers and networks |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101754471A (zh) * | 2008-12-09 | 2010-06-23 | 中兴通讯股份有限公司 | 无线局域网接入设备的工作模式切换方法、装置 |
| US20110103394A1 (en) * | 2009-11-05 | 2011-05-05 | Telefonaktiebolaget L M Ericsson | Network topology concealment using address permutation |
| US8429393B1 (en) * | 2004-09-30 | 2013-04-23 | Rockwell Automation Technologies, Inc. | Method for obscuring a control device's network presence by dynamically changing the device's network addresses using a cryptography-based pattern |
| US20130212676A1 (en) * | 2012-02-09 | 2013-08-15 | Harris Corporation | Mission management for dynamic computer networks |
Family Cites Families (98)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6587872B2 (en) * | 1994-06-20 | 2003-07-01 | Faith Inc. | Network system and network management method |
| IL117792A (en) * | 1995-05-08 | 2003-10-31 | Rafael Armament Dev Authority | Autonomous command and control unit for mobile platform |
| US5671412A (en) * | 1995-07-28 | 1997-09-23 | Globetrotter Software, Incorporated | License management system for software applications |
| US5757924A (en) | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
| US5793763A (en) | 1995-11-03 | 1998-08-11 | Cisco Technology, Inc. | Security system for network address translation systems |
| US5734649A (en) | 1996-05-31 | 1998-03-31 | Bbn Corporation | Data packet router |
| US6128305A (en) * | 1997-01-31 | 2000-10-03 | At&T Corp. | Architecture for lightweight signaling in ATM networks |
| US6052064A (en) | 1997-10-30 | 2000-04-18 | Motorola, Inc. | Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones |
| US6055236A (en) | 1998-03-05 | 2000-04-25 | 3Com Corporation | Method and system for locating network services with distributed network address translation |
| US6154839A (en) | 1998-04-23 | 2000-11-28 | Vpnet Technologies, Inc. | Translating packet addresses based upon a user identifier |
| US6646989B1 (en) | 1998-06-29 | 2003-11-11 | Lucent Technologies Inc. | Hop-by-hop routing with node-dependent topology information |
| US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| US7188180B2 (en) | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
| CA2349519C (en) | 1998-10-30 | 2011-08-09 | Science Applications International Corporation | An agile network protocol for secure communications with assured system availability |
| US6535511B1 (en) | 1999-01-07 | 2003-03-18 | Cisco Technology, Inc. | Method and system for identifying embedded addressing information in a packet for translation between disparate addressing systems |
| US7240368B1 (en) | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
| US6981146B1 (en) | 1999-05-17 | 2005-12-27 | Invicta Networks, Inc. | Method of communications and communication network intrusion protection methods and intrusion attempt detection system |
| US7185075B1 (en) * | 1999-05-26 | 2007-02-27 | Fujitsu Limited | Element management system with dynamic database updates based on parsed snooping |
| US6275470B1 (en) | 1999-06-18 | 2001-08-14 | Digital Island, Inc. | On-demand overlay routing for computer-based communication networks |
| US7007080B2 (en) * | 1999-12-23 | 2006-02-28 | Solution Inc Limited | System for reconfiguring and registering a new IP address for a computer to access a different network without user intervention |
| US6934763B2 (en) | 2000-04-04 | 2005-08-23 | Fujitsu Limited | Communication data relay system and method of controlling connectability between domains |
| AU2001271267A1 (en) | 2000-05-23 | 2001-12-03 | Invicta Networks, Inc. | Systems and methods for communication protection |
| US7089303B2 (en) | 2000-05-31 | 2006-08-08 | Invicta Networks, Inc. | Systems and methods for distributed network protection |
| US7757272B1 (en) | 2000-06-14 | 2010-07-13 | Verizon Corporate Services Group, Inc. | Method and apparatus for dynamic mapping |
| US8037530B1 (en) | 2000-08-28 | 2011-10-11 | Verizon Corporate Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor |
| US7043633B1 (en) | 2000-08-28 | 2006-05-09 | Verizon Corporation Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation |
| US6826684B1 (en) | 2000-08-28 | 2004-11-30 | Verizon Corporate Services Group Inc. | Sliding scale adaptive self-synchronized dynamic address translation |
| FR2814883A1 (fr) * | 2000-10-03 | 2002-04-05 | Canon Kk | Procede et dispositif de declaration et de modification de fonctionnalite d'un noeud dans un reseau de communication |
| US6978300B1 (en) * | 2000-10-19 | 2005-12-20 | International Business Machines Corporation | Method and apparatus to perform fabric management |
| US8677505B2 (en) | 2000-11-13 | 2014-03-18 | Digital Doors, Inc. | Security system with extraction, reconstruction and secure recovery and storage of data |
| US20030051026A1 (en) * | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
| US7739497B1 (en) | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
| FI110464B (fi) | 2001-04-26 | 2003-01-31 | Nokia Corp | IP-tietoturva ja liikkuvat verkkoyhteydet |
| US7085267B2 (en) | 2001-04-27 | 2006-08-01 | International Business Machines Corporation | Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet |
| US20030097445A1 (en) * | 2001-11-20 | 2003-05-22 | Stephen Todd | Pluggable devices services and events for a scalable storage service architecture |
| US6917974B1 (en) | 2002-01-03 | 2005-07-12 | The United States Of America As Represented By The Secretary Of The Air Force | Method and apparatus for preventing network traffic analysis |
| US7114005B2 (en) | 2002-02-05 | 2006-09-26 | Cisco Technology, Inc. | Address hopping of packet-based communications |
| US7712130B2 (en) | 2002-03-22 | 2010-05-04 | Masking Networks, Inc. | Multiconfigurable device masking shunt and method of use |
| JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7216359B2 (en) | 2002-12-19 | 2007-05-08 | International Business Machines Corporation | Secure communication overlay using IP address hopping |
| US7853250B2 (en) * | 2003-04-03 | 2010-12-14 | Network Security Technologies, Inc. | Wireless intrusion detection system and method |
| US7603710B2 (en) * | 2003-04-03 | 2009-10-13 | Network Security Technologies, Inc. | Method and system for detecting characteristics of a wireless network |
| WO2004097584A2 (en) | 2003-04-28 | 2004-11-11 | P.G.I. Solutions Llc | Method and system for remote network security management |
| US7469279B1 (en) | 2003-08-05 | 2008-12-23 | Cisco Technology, Inc. | Automatic re-provisioning of network elements to adapt to failures |
| US20050038708A1 (en) | 2003-08-10 | 2005-02-17 | Gmorpher Incorporated | Consuming Web Services on Demand |
| CN100431310C (zh) | 2003-09-22 | 2008-11-05 | 夏普株式会社 | 集线装置、中继控制方法、以及信息处理装置 |
| US7382778B2 (en) | 2004-01-05 | 2008-06-03 | Tropos Networks, Inc. | Link layer emulation |
| EP1732265B1 (en) | 2004-03-03 | 2010-10-06 | National Institute of Information and Communications Technology, Incorporated Administrative Agency | Layer 2 switch network system |
| WO2005103958A1 (en) | 2004-04-20 | 2005-11-03 | The Boeing Company | Apparatus and method for automatic web proxy discovery and configuration |
| ES2351668T3 (es) | 2004-09-30 | 2011-02-09 | France Telecom | Procedimiento y sistema de enrutamiento en redes de comunicaciones entre un primer nodo y un segundo nodo. |
| US9383750B2 (en) | 2004-12-02 | 2016-07-05 | Lockheed Martin Corporation | System for predictively managing communication attributes of unmanned vehicles |
| US7984163B2 (en) | 2005-01-13 | 2011-07-19 | Flash Networks, Inc. | Method and system for optimizing DNS queries |
| US7996894B1 (en) | 2005-02-15 | 2011-08-09 | Sonicwall, Inc. | MAC address modification of otherwise locally bridged client devices to provide security |
| US7526536B2 (en) * | 2005-04-12 | 2009-04-28 | International Business Machines Corporation | System and method for port assignment management across multiple nodes in a network environment |
| US7937756B2 (en) | 2005-08-19 | 2011-05-03 | Cpacket Networks, Inc. | Apparatus and method for facilitating network security |
| JP4626811B2 (ja) | 2005-09-29 | 2011-02-09 | 日本電気株式会社 | ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム |
| US8626882B2 (en) * | 2005-10-07 | 2014-01-07 | GM Global Technology Operations LLC | Reconfigurable communication for distributed embedded systems |
| JP3920305B1 (ja) | 2005-12-12 | 2007-05-30 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置 |
| US8199677B1 (en) | 2005-12-14 | 2012-06-12 | Rockwell Collins, Inc. | Distance vector routing via multi-point relays |
| US8522341B2 (en) | 2006-03-31 | 2013-08-27 | Sap Ag | Active intervention in service-to-device mapping for smart items |
| US20070256078A1 (en) * | 2006-04-28 | 2007-11-01 | Falk Nathan B | Resource reservation system, method and program product used in distributed cluster environments |
| US7890612B2 (en) | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| JP4732257B2 (ja) | 2006-07-07 | 2011-07-27 | 富士通株式会社 | 中継装置、経路制御方法、及び経路制御プログラム |
| JP4834493B2 (ja) | 2006-08-25 | 2011-12-14 | アラクサラネットワークス株式会社 | ネットワーク中継装置、および、ネットワーク中継装置の制御方法 |
| US8136162B2 (en) | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
| US8189460B2 (en) | 2006-12-28 | 2012-05-29 | Cisco Technology, Inc. | Method and system for providing congestion management within a virtual talk group |
| JP2008177714A (ja) | 2007-01-17 | 2008-07-31 | Alaxala Networks Corp | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 |
| WO2008112663A2 (en) | 2007-03-10 | 2008-09-18 | Feeva Technology, Inc. | Method and apparatus for tagging network traffic using extensible fields in message headers |
| US7853998B2 (en) * | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
| US7853680B2 (en) | 2007-03-23 | 2010-12-14 | Phatak Dhananjay S | Spread identity communications architecture |
| US8464334B1 (en) | 2007-04-18 | 2013-06-11 | Tara Chand Singhal | Systems and methods for computer network defense II |
| US8301789B2 (en) | 2007-06-18 | 2012-10-30 | Emc Corporation | Techniques for port hopping |
| US7836354B2 (en) | 2007-07-02 | 2010-11-16 | Verizon Patent And Licensing Inc. | Method and system for providing automatic disabling of network debugging |
| US20090059788A1 (en) | 2007-08-29 | 2009-03-05 | Motorola, Inc. | Method and Apparatus for Dynamic Adaptation of Network Transport |
| WO2009052452A2 (en) | 2007-10-17 | 2009-04-23 | Dispersive Networks Inc. | Virtual dispersive routing |
| US8560634B2 (en) | 2007-10-17 | 2013-10-15 | Dispersive Networks, Inc. | Apparatus, systems and methods utilizing dispersive networking |
| US8539098B2 (en) | 2007-10-17 | 2013-09-17 | Dispersive Networks, Inc. | Multiplexed client server (MCS) communications and systems |
| US20090103726A1 (en) * | 2007-10-18 | 2009-04-23 | Nabeel Ahmed | Dual-mode variable key length cryptography system |
| US20090165116A1 (en) | 2007-12-20 | 2009-06-25 | Morris Robert P | Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity |
| CN101521569B (zh) | 2008-02-28 | 2013-04-24 | 华为技术有限公司 | 实现服务访问的方法、设备及系统 |
| US8082220B2 (en) | 2008-04-17 | 2011-12-20 | Elbit Systems Ltd. | Computing solutions to problems using dynamic association between abstract graphs |
| US7990877B2 (en) | 2008-05-15 | 2011-08-02 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for dynamically runtime adjustable path computation |
| US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
| US9042549B2 (en) | 2009-03-30 | 2015-05-26 | Qualcomm Incorporated | Apparatus and method for address privacy protection in receiver oriented channels |
| US8139504B2 (en) | 2009-04-07 | 2012-03-20 | Raytheon Bbn Technologies Corp. | System, device, and method for unifying differently-routed networks using virtual topology representations |
| US8553849B2 (en) * | 2009-06-17 | 2013-10-08 | Avaya Inc. | Personal identification and interactive device for internet-based text and video communication services |
| US20100333188A1 (en) | 2009-06-29 | 2010-12-30 | Politowicz Timothy J | Method for protecting networks against hostile attack |
| US8793792B2 (en) | 2010-05-07 | 2014-07-29 | Raytheon Company | Time-key hopping |
| US9225656B2 (en) | 2011-02-07 | 2015-12-29 | Brocade Communications Systems, Inc. | Quality of service in a heterogeneous network |
| US9202078B2 (en) | 2011-05-27 | 2015-12-01 | International Business Machines Corporation | Data perturbation and anonymization using one way hash |
| US8769688B2 (en) | 2011-09-23 | 2014-07-01 | Universidad Politécnica de P.R. | Simultaneous determination of a computer location and user identification |
| US8495738B2 (en) | 2011-10-21 | 2013-07-23 | Lockheed Martin Corporation | Stealth network node |
| US8819818B2 (en) * | 2012-02-09 | 2014-08-26 | Harris Corporation | Dynamic computer network with variable identity parameters |
| US8844032B2 (en) | 2012-03-02 | 2014-09-23 | Sri International | Method and system for application-based policy monitoring and enforcement on a mobile device |
| US9154458B2 (en) | 2012-05-01 | 2015-10-06 | Harris Corporation | Systems and methods for implementing moving target technology in legacy hardware |
| US20130298221A1 (en) | 2012-05-01 | 2013-11-07 | Harris Corporation | Firewalls for filtering communications in a dynamic computer network |
| US8959573B2 (en) | 2012-05-01 | 2015-02-17 | Harris Corporation | Noise, encryption, and decoys for communications in a dynamic computer network |
| US9075992B2 (en) | 2012-05-01 | 2015-07-07 | Harris Corporation | Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques |
-
2013
- 2013-11-05 US US14/072,361 patent/US9503324B2/en active Active
-
2014
- 2014-11-05 KR KR1020140152614A patent/KR101723715B1/ko active IP Right Grant
- 2014-11-05 TW TW103138419A patent/TWI582636B/zh not_active IP Right Cessation
- 2014-11-05 CN CN201410637275.6A patent/CN104618321B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8429393B1 (en) * | 2004-09-30 | 2013-04-23 | Rockwell Automation Technologies, Inc. | Method for obscuring a control device's network presence by dynamically changing the device's network addresses using a cryptography-based pattern |
| CN101754471A (zh) * | 2008-12-09 | 2010-06-23 | 中兴通讯股份有限公司 | 无线局域网接入设备的工作模式切换方法、装置 |
| US20110103394A1 (en) * | 2009-11-05 | 2011-05-05 | Telefonaktiebolaget L M Ericsson | Network topology concealment using address permutation |
| US20130212676A1 (en) * | 2012-02-09 | 2013-08-15 | Harris Corporation | Mission management for dynamic computer networks |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20150051918A (ko) | 2015-05-13 |
| KR101723715B1 (ko) | 2017-04-18 |
| CN104618321B (zh) | 2018-01-09 |
| TW201528033A (zh) | 2015-07-16 |
| US20150127790A1 (en) | 2015-05-07 |
| US9503324B2 (en) | 2016-11-22 |
| TWI582636B (zh) | 2017-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104618321A (zh) | 用于计算机网络的企业任务管理的系统及方法 | |
| CN104322028B (zh) | 用于动态地改变网络状态的系统及方法 | |
| KR101581155B1 (ko) | 섀도우 네트워킹 기법을 사용하여 네트워크에 대한 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법 | |
| US8959573B2 (en) | Noise, encryption, and decoys for communications in a dynamic computer network | |
| CN104322027B (zh) | 用于在动态计算机网络中传达数据的路由器 | |
| US20130298221A1 (en) | Firewalls for filtering communications in a dynamic computer network | |
| WO2013165766A1 (en) | Systems and methods for spontaneously configuring a computer network | |
| CN104272701B (zh) | 用于在动态计算机网络中传达数据的交换器 | |
| EP2813052B1 (en) | Dynamic computer network with variable identity parameters | |
| US8935780B2 (en) | Mission management for dynamic computer networks | |
| US10243993B2 (en) | Systems and method for providing dynamic computer networks in which behavior models drive cyber mission models | |
| CN104106250B (zh) | 用于与动态计算机网络进行通信的方法及桥接器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: American Florida Patentee after: L3 Hershey Technology Co. Address before: American Florida Patentee before: Harris Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180109 |