JP2014506045A - ネットワーク刺激エンジン - Google Patents
ネットワーク刺激エンジン Download PDFInfo
- Publication number
- JP2014506045A JP2014506045A JP2013544794A JP2013544794A JP2014506045A JP 2014506045 A JP2014506045 A JP 2014506045A JP 2013544794 A JP2013544794 A JP 2013544794A JP 2013544794 A JP2013544794 A JP 2013544794A JP 2014506045 A JP2014506045 A JP 2014506045A
- Authority
- JP
- Japan
- Prior art keywords
- network
- actor
- false
- traffic
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3409—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
- G06F11/3414—Workload generation, e.g. scripts, playback
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/10—Program control for peripheral devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4535—Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
- H04L41/122—Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
方法、装置、及び、システムは、大規模かつ現実のコンピュータネットワークのシミュレーションを行うために開示される。仮想行為者は、ネットワーク化された装置又は応答を用いた人間の行動及びネットワーク化された設備の自動機能を統計的にエミュレートし、それらの確率論的な行為は、行動エンジンによりバッファプールにおいて待ち行列に入れられる。抽象機械エンジンは、各行為者に必要な最小限のインターフェースを作り出し、そしてインターフェースは、互いにネットワークの全体において持続的に通信し、現実的なネットワークトラフィックを形成するために現実及び仮想のネットワークリソースと通信する。ネットワークは、ハッカーになりすますためにネットワークの偽りの表示で応答することにより、ネットワークマッピングアプリケーション等の外側の刺激に応答することができ、行為者は、それらが操作する、ソフトウエアにより定義されたネットワークを変更することにより応答することができる。
Description
(関連出願への相互参照)
本出願は、2011年12月15日に出願された米国出願No.13/327,150の継続出願であって、それに基づく優先権を主張するものであり、その米国出願は、2010年12月15日に出願された米国の仮出願No.61/423,528の利益を主張するものであり、これらの上記出願は、全ての目的のためにそれらの全体において参照することによりここに援用される。
本出願は、2011年12月15日に出願された米国出願No.13/327,150の継続出願であって、それに基づく優先権を主張するものであり、その米国出願は、2010年12月15日に出願された米国の仮出願No.61/423,528の利益を主張するものであり、これらの上記出願は、全ての目的のためにそれらの全体において参照することによりここに援用される。
(連邦政府による支援を受けた研究又は開発の下になされた発明の権利に関する申し立て)
不適用。
不適用。
本出願は、概して、コンピュータネットワークの構築に関し、特に、ライブ、複雑、かつ、マルチノードのコンピュータネットワーク環境のシミュレーションに関する。
コンピュータネットワークは、その大きさや高度化という点で成長してきた。企業、政府、及び、他の組織は、それらのコンピュータネットワークが、顧客/クライアント、販売者及び供給者、公衆、及び、その他のインターネットを介した組織の外側との通信と同様に、従業員のコンピュータの中における内部通信を可能とするように広がるのを見てきた。
そのようなネットワークのネットワークトラフィックは、それに相応して広がってきている。ネットワークトラフィック、例えば、ウエブサーバからの電子メールのチェック、データベース及びファイルサーバへのアクセス、プリンタサーバ又はプリンタへの印刷、又は、ワールド・ワイド・ウエブのサーフィンを行う従業員からのネットワークトラフィックは、通常、インターネットプロトコル(IP)ネットワークを駆け巡るパケットから構成されている。通常のネットワークトラフィックの中には、人間であるユーザが積極的にネットワークに接続したときにユーザにより開始されるものがある。営業日が経過するように、トラフィックは引き、満ちる。通常のネットワークトラフィックの中には、即時の人間の相互作用の結果ではない自動的なプロセスにより開始されるものがある。例えば、ユーザのパーソナルコンピュータ(PC)ワークステーションにおける電子メールソフトウエアは、新しい電子メールが来ているかどうかを5分毎にチェックするように、自動的に電子メールサーバに要求を送ることができる。他の例として、バックアップファイルサーバは、仕事の日の毎日午前2時にアーカイブを開始することができる。このトラフィックは、スケジュール時間に応じて行き来する。
ルータ、スイッチ、ブリッジ、ハブ、及び、リピータなど、そのようなネットワークを実現するものがより安価かつより高度になるにつれて、ネットワークは、過去に可能であったよりもはるかに多くの同種のコンピュータワークステーションとサーバとの間の接続だけでなく、異なる種類のネットワークデバイスとの接続を促進するように拡張することができた。同時に、コンピュータネットワークに無線で(又は、有線で)接続することができる、パワフルなスマートフォン、パーソナルデジタルアシスタント(PDA)、タブレットコンピュータ、及び、その他の携帯電子機器は、爆発的な人気となっている。企業は、より信頼性が向上して使い勝手が簡単になるにつれて、より多くのボイス・オーバー・インターネット・プロトコル(VoIP)電話、マルチ機能スキャナ/ファックス/コピー機、及び、その他のネットワーク化された器具を購入している。これらの機械は、企業のネットワークに接続される。
その結果生じる接続機器及び自動化された機器及び人間により操作される機器の異種混合の数における規模は、ネットワークに対して複雑なトラフィックパターンを作成することになる。現実のライブネットワークはとても複雑であるため、それは本質的には非決定的である。
近年、政府は、現実のネットワークから遮断されている、大規模かつ現実的なネットワーク上の装置及び人間を検査することに関心を持ってきている。例えば、国防高等研究計画局(DARPA)は、米国サイバー研究開発技術の現実的かつ定量化可能な評価を提供するため、ナショナル・サイバー・レンジを開発している。ナショナル・サイバー・レンジは、サイバー攻撃に対する防御を行うための現実的な状況において、ソフトウエア、ハードウエア、及び、人間を検査するために用いることができる。それは、脆弱性を検査することに加えて、恐らく、攻撃的なサイバー兵器及び戦闘被害評価ツールを検査することにも用いることができる。大規模なネットワークを作り出すため、設計者は、何百万ドルもの価値のあるコンピュータハードウエアを調達してきた。
多数のサーバ、ワークステーション、及び、その他のネットワーク化された設備及び装置を一緒に接続することにより、現実的な環境を作り出すことができる。しかしながら、コンピュータ設備は急速に陳腐化するため、その設備は最新の脅威に関係したままでいるために2〜3年毎に新しくしなければならない。
青チーム/赤チームの訓練及び他の必要性のために、多数の異なる異種のコンピュータ及びその他のネットワーク化された装置をエミュレート可能な、より安価なサイバーレンジのための技術が必要である。また、ハッカーに対するより良い防御を行うための必要性がある。
本出願は、一般的に、現実ネットワークのようなネットワークのシミュレーションを行う、大規模かつ現実的なコンピュータ・ネットワーク・シミュレーション・ソフトウエア・ツールのための方法、装置、及び、システムを対象としている。一つの実施例において、ネットワーク・シミュレーション・エンジンは、行為者が居住している疑似ネットワーク環境及びユーザにより設計されたシナリオに基づく行為を生成してシミュレーションを行うソフトウエアである。それは、持続的に、そのシナリオが継続する期間ずっと、これらの行為者、行為、及び、疑似ネットワークとともに一緒に結び付き、現実的で一貫性のある疑似ネットワークトラフィックを提供する。
本発明の実施例は、コンピュータネットワークのシミュレーション方法に関する。その方法は、ユーザから、複数のオンライン行為者に対してユーザにより定義されたモデルを受け取る工程、ここで各行為者は、ネットワーク化された設備又はネットワーク化された装置を操作する人間のシミュレーションを行い、該受け取ったモデルは、少なくとも一つの行為及び対応する各行為に対して該行為が起こる確率及び該行為が所定の単位時間に起こる回数を定義し、動作可能なようにメモリに接続された少なくとも一つのプロセッサを用いて、統計エンジンを用いて前記対応する確率に基づいて各行為者に関連付けられた行為の計画スケジュールを決定する工程、各行為者に対して、固有のメディアアクセス制御(MAC)アドレスを確立する工程、各行為者に対して、インターネットプロトコル(IP)アドレスを予約する工程、及び、前記計画スケジュールに基づいて各行為者に対してコンピュータネットワーク上でネットワークトラフィックを送信する工程、ここで各行為に対する該ネットワークトラフィックは、前記MAC及びIPアドレスを介して前記関連付けられた行為者に起因し、前記コンピュータネットワーク上において前記ネットワーク化された設備及び人間により操作されるネットワーク化された装置のシミュレーションを行う、を有する。
いくつかの実施例は、現実のコンピュータネットワークを保護するために偽りの見かけ上のコンピュータネットワークを投影する方法に関する。その方法は、物理的コンピュータネットワークを提供する工程、ここで該物理的コンピュータネットワークは現実の物理的構成を有し、構成ファイルから、ネットワーク構成の第1の偽りの見かけ上の表示の定義を受け取る工程、構成ファイルから、ネットワーク構成の第2の偽りの見かけ上の表示の定義を受け取る工程、ここで前記第1及び第2の偽りの見かけ上の表示は互いに異なり、ネットワーク構成の該第1及び第2の偽りの見かけ上の表示は前記物理的コンピュータネットワークの前記現実の物理的構成とは異なり、前記コンピュータネットワークにおけるノードの数及び該ノードの各々のインターネットプロトコル(IP)アドレスの識別のためにユーザにより実行されるネットワークマッピングツールからの要求を、前記物理的コンピュータネットワークに対して受け取る工程、前記ユーザが前記物理的構成の偽りの表示を見ていることを判定する工程、ここで該判定は該ユーザのネットワーク位置に基づいて行われ、ネットワークマッピングツールとともに前記要求の関連性に基づいて前記第1又は前記第2の偽りの見かけ上の表示を選択する工程、ここで該選択は、前記ユーザが前記物理的構成の偽りの表示を見ていることの判定に基づいて行われ、選択された前記第1又は第2の偽りの見かけ上の表示に基づいて前記要求に対する応答を作る工程、ここで該応答は、選択された該第1又は第2の偽りの見かけ上の表示に応じたノードの偽り数及び該ノードの各々の少なくとも一つの偽りのIPアドレスを含み、及び、作られた前記応答を前記ネットワークマッピングツールに送信する工程、を有する。
前記方法は、また、二つ以上の前記ノードの間で送信されるトラフィックの種類に対する前記ネットワークマッピングツールからの第2の要求を、前記物理的コンピュータネットワークに受け取り、選択された前記第1又は第2の偽りの見かけ上の表示に基づいて前記第2の要求に対する第2の応答を作り、該第2の応答は、前記2つ以上のノードの間で送信されるトラフィックの偽りの種類を含み、及び、作られた前記第2の応答を前記ネットワークマッピングツールに送信することを含む。
その他の実施例は、前記方法のための指示を用いるか又は記憶する、機械が読み取り可能な有体の記憶媒体及びコンピュータシステムに関する。
ここに開示されかつ提案された実施例の本質及び利点の更なる理解は、本明細書の残りの部分及び添付の図面を参照することにより実現することができる。
行動エンジン及び抽象機械エンジンを用いることにより、大規模かつ現実的なコンピュータネットワークのシミュレーションを行うことができる。行動エンジンは、「行為者」を作り出し、ネットワーク化された設備、及び/又は、ネットワーク化された装置を操作する人間のシミュレーションを行う。行為者は、持続性があり、人間の操作者により止められるまで、スケジュールに従って動作を継続する。抽象機械エンジンは、コンピュータの比較的小さな設定の範囲内において、シミュレーションが行われる行為者に必要な最小の仮想ネットワークインターフェースを確立する。各行為者に対する最小の仮想ネットワークインターフェースは、いくつかの場合において、固有のメディアアクセス制御(MAC)アドレス及びインターネットプロトコル(IP)アドレスのみから構成することができる。インターフェースは、互いに通信し、かつ、行動モデルに基づいてネットワーク上の現実の設備と通信する。行為者数は、起動するために行為者自身の専用のハードウエアを要求しないため、大幅に拡大することができる。
抽象機械と仮想機械との少なくとも一つの相違は、抽象機械がそれらがオペレーティングシステムとともに機械により作り出されたかのようにみえる特定のタスクを実行することである。
一つの実施例において、行動エンジンは、オンライン人間の経験的に導かれた行動、及び、モデルからのファイル、データベース、又は、その他の記憶位置からネットワーク設備を入力する。そのモデルは、その特徴をカスタマイズするためにユーザにより作り出され、かつ、変更することができる。
モデルは、平均的なネットワークユーザの特徴を時間ごとの行動に分割することができる。例えば、午前8時から午前9時まで、経理部の従業員は、平均5つの電子メールを送信し、発送部と通信するためにインスタントメッセージを20回利用し、15のウエブページを引き上げることなどができる。午前9時から午前10時まで、同じ従業員は、平均30分間で、平均2つの電子メールを発送部に送り、5つのインスタントメッセ時を送り、3つのウエブページを引き出し、ボイス・オーバー・インターネット・プロトコル(VoIP)電話を利用することのみを行うことができる。平均値のそれぞれは、標準偏差/ばらつき、及び、それらに関連する他の統計的情報を有してもよい。昼食時間及び晩の時間を含む他の時間は、必要に応じてシミュレーションによりモデル化することができる。週末及び休日に近い就業日と同様に、月曜日から金曜日までモデル化することができる。日は、時間、又は、時、分、秒のブロックなどにより細分化することができる。
状態に基づくモデルを使用することもできる。従業員は、「仕事入り」、「プロジェクトで忙中」、又は、「昼食のために休憩中」などの異なる状態を有するものとしてモデル化することができる。
頻度法を用いることもできる。例えば、従業員は一日に15回電子メールをチェックするようにモデル化される。
行動エンジンは、各行為が毎日同じ時間に正確に起こらないように、モデルの経験的データごとに結果として生じるネットワークトラフィックを「無作為化」する。行動エンジンは、オンライン行為者の設定を作り出し、各行為者は各自のタイムラインやイベントのスケジュールを有する。その結果、各行為者は、ネットワーク化された装置を操作する人間、又は、人間以外に操作されるネットワーク化された設備のシミュレーションを行う。
抽象機械エンジンは、様々な行為者に要求される最小ネットワークインターフェースを決定する。多くの場合、必要なのはMACアドレス及びIPアドレスだけである。ほとんどメモリ及びリソースを用いない小さなフットプリントインターフェースは、全体の仮想機械又はエミュレータよりもかなり簡素なものとなり得る。小さなフットプリントのため、行為者の数及び結果として生じるインターフェースの数は、何十、何百、何千、又は、更に多くのネットワーク上の行為者を含むように増加することができる。
結果として生じるシミュレーションされたネットワークは、ハッカー志望者になりすますこと、システム管理者を訓練すること、及び、ネットワークハードウエア及びソフトウエアを検査することを含み、様々な目的に用いられる。ネットワークマッピングソフトウエア(それは、リソースを発見するためにネットワークの接続を確認する)を有するユーザは、抽象機械エンジンにより作り出された過剰の仮想インターフェースを「見る」。パケットスニファーは、ちょうどそれが現実のネットワーク上のトラフィックを見るように、シミュレーションされたコンピュータネットワーク上のトラフィックを「見る」。シミュレーションされたネットワークは、事実上、現実のネットワークと区別することができない。
(ホストに基づくネットワークハイパーバイザ)
見かけ上のネットワークの様々な層における抽象機械を投影するため、ホスト抽象化層(物理的ホストオペレーティングシステムにおけるハードウエア抽象化層に類似している)を介して、一つ又は多くのホストのリソースを抽象化して組織化することにより、多数の見かけ上のネットワークを積極的に作り出すことが可能である。このホスト抽象化層は、「ホストに基づくネットワークハイパーバイザ」と呼ばれることもある。
見かけ上のネットワークの様々な層における抽象機械を投影するため、ホスト抽象化層(物理的ホストオペレーティングシステムにおけるハードウエア抽象化層に類似している)を介して、一つ又は多くのホストのリソースを抽象化して組織化することにより、多数の見かけ上のネットワークを積極的に作り出すことが可能である。このホスト抽象化層は、「ホストに基づくネットワークハイパーバイザ」と呼ばれることもある。
ホストに基づくネットワーク「ハイパーバイザ」メカニズムは、ホストリソース抽出のプロセスを介して作り出すことができる。管理者、ユーザ、ハッカー等のネットワークの操作者は、物理的スイッチ、ホスト、及び、ケーブルの敷設等の実在の物理的に構築されたネットワークを観察するのではなく、様々なネットワーク操作を実行するときの観察及び相互作用に基づいて把握される見かけ上のネットワークを観察している。ネットワーク操作者が観察するものは、必ずしも、現実のスイッチング及びホスト構造トポロジーでなくてもよいが、それはネットワークにおける操作者の存在の固有点に基づく見かけ上のネットワーク、及び、所定の時間において実行されることになる操作である。更に、スイッチ及びホストの現実のトポロジーが一つだけ存在するかもしれないが、ユーザがどのようにその現実のネットワークを観察して利用するかに応じて、多数の見かけ上のネットワークが存在し得る。
ハイパーバイザに関して、3つの異なるソフトウエアプログラムを含むエージェントは、サービス/デーモンとして、ホストオペレーティングシステムの様々な層にインストールすることができる。各エージェントの目的は、ホストのリソースを管理すること、それらを外部コントローラ(これは、ホストに基づく前述のネットワークハイパーバイザとしての役割を果たすことができるものである)に提供すること、及び、コンピュータネットワーク上の存在点として振る舞うことを可能にすることである。エージェントは、一つ又は多数のネットワーク上の多数のホストにインストールすることができ、全てのネットワークは、それらのホストのリソースを、単一のホスト抽象化層(ホストに基づくネットワークハイパーバイザとしても知られている)を作り出すために外部コントローラに提供することになる。
ホストエージェントの範囲内の3つのプログラムのうちの第1のプログラムは、「管理サービス」であり、ホストオペレーティングシステムのユーザスペースにインストールされる。このプログラムは、このローカルエージェントをエージェントの大規模ネットワークに接続するためにしばしば必要とされるそのホストの命令及び制御の通信を扱う。外部コントローラは、コンピュータネットワーク上へのオーバレイとして抽象物を配置及び制御するため、格子としてのエージェントのカテゴリを調整する。管理サービスの他の機能は、他の2つのローカルエージェントプログラムを管理することである。
物理的、仮想的、又は、ソフトウエアで定義されたネットワークにおいて観察可能な存在及びトラフィックの流れを生成している間、ホストに基づくプログラム可能なソフトウエアエージェントが実在するユーザ及びシステムの行動を模倣することができることは実証されてきた。このプロセスは、「行動仮想化」と呼ばれることがある。行動仮想化は、抽象行為者、抽象機械、抽象サービス、及び、抽象ネットワーク環境と呼ばれる存在物を作り出すことができ、これらは全て現実のコンピュータネットワークの範囲内に存在することができる。
前述のソフトウエアエージェントの範囲内の第2のプログラムは、「抽象機械エンジン」と呼ぶことができる。抽象機械エンジンは、ホストオペレーティングシステム(OS)カーネルの範囲内のネットワークスタックにインストールされる。このプログラムの目的は、多数の別名の(又は、抽象)ネットワークインターフェースを作って現実の(物理的又は他の)ネットワークインターフェースと関連付けるため、ローカルホストリソースを利用することである。抽象機械エンジンにより作り出された抽象インターフェースの数は、外部コントローラとの通信における管理サービス層の要求により決定することができる。各抽象インターフェースは、メディアアクセス制御(MAC)アドレス及びインターネットプロトコル(IP)アドレスの形で、交換ネットワークと通信して固有の存在点を確立する能力を有する。
既述のソフトウエアエージェント の範囲内の第3であって最後のプログラムは、「行動エンジン」と呼ぶことができる。それは、管理サービスとともに、ホストオペレーティングシステムのユーザスペースに論理を挿入し、外部コントローラにより定義されるように、動的に、すなわち予め決定されているか又はリアルタイムで、行動のモデルを管理することを担当している。これらの行動は、固有の存在物の番号(例えば、1〜N)により実行するために設計されており、各存在物は、前述のように抽象機械エンジンにより作り出された抽象インターフェースへの対のマッピングを有する。行動エンジンは、存在物により実行されることになる行為とその存在物に割り当てられた抽象インターフェース(固有のMAC及びIPアドレスを有する)との関連付けを確実なものにすることができ、これにより、オペレーティングネットワーク上の固有のユーザ、機械、又は、サービスの状況が作り出される。
前述のように存在の固有点を有する抽象インターフェースの創生と、前の概略のようにそれらのインターフェースにマッピングされた1〜Nの存在物に対して予めプログラムされたか又は動的なリアルタイムの行動との組み合わせは、以下の形式で、ほとんどどのようなコンピュータネットワーク上においても、仮想化行動を作り出すために用いることができる。
ネットワーク上で観察可能な存在及び現実のトラフィックの生成を伴うネットワーク(例えば、内部又は遠隔の従業員、敵対的なハッカー)の内部又は外部の抽象/仮想ユーザを作り出すことができる。これらは、「抽象行為者」と呼ぶことができる。
現実のネットワーク上で観察可能なプロセス及びトラフィックを備えた現実のシステムのように見えるシステム又は装置(例えば、ネットワークプリンタ、電子メールサーバ、ウエブサーバ)を作り出すことができる。これらは、「抽象機械」と呼ぶことができる。
現実のソースからあるように見えるネットワークに対して内部のネットワークサービス(例えば、内部ダイナミック・ホスト・コンフィギュレーション・プロトコル(DHCP)サービス、外部のサーチエンジン上でのサーチ)を作り出すことができる。これらは、「抽象サービス」と呼ぶことができる。
(実施例の技術的優位性は多い)
いくつかの実施例では、前記抽象行為者、機械、及び、サービスは、独立して動作し、抽象行為者、機械、及び、サービスのいずれか又は全ての組み合わせで相互に動作し、及び/又は、現実または抽象ネットワークのいずれの組み合わせでも、現実のユーザ、システム、ツール、及び、サービスとともに動作することができる。
いくつかの実施例では、前記抽象行為者、機械、及び、サービスは、独立して動作し、抽象行為者、機械、及び、サービスのいずれか又は全ての組み合わせで相互に動作し、及び/又は、現実または抽象ネットワークのいずれの組み合わせでも、現実のユーザ、システム、ツール、及び、サービスとともに動作することができる。
他の実施例では、前述のように仮想化行動は、抽象行為者、機械、及び、サービスが、伝統的なハードウエアネットワーク、公共及び私的なクラウド環境、及び、ソフトウエアにより定義されたネットワーク等の多様なネットワーク環境上で実行可能なように、現実のネットワーク環境から抽象化することができる。
固有かつ観察可能な存在の点を含む抽象行為者、機械、及び、サービスの仮想的行動は、すぐに利用可能なネットワークツール及び管理システムを介して監視されて追跡され得る現実のネットワークリソースの全てにわたって現実のトラフィックを生成することができる。これらのツールは、適宜、又は、仮想化及び訓練のために白/赤/青/黒チームにより用いられる場合、意図的にスプールすることができる。
いくつかの実施例において明らかなように、存在の観察可能な点を有する存在物による仮想化行動の生成を介してネットワークのトポロジーを変化させる能力、それらはそれぞれ、請求項に記載されているように現実の観察可能なトラフィックを生成するものであるが、ネットワーク上の一つ又はいくつかのホストに挿入されたエージェントプログラムによって、ホストに基づくオペレーティングシステムの操作から来ている。それらは、通常、ネットワークの切り替え及び経路設備のための既存の技術、プロセス、又は、手順の変化を要求しない。
ソフトウエアにより定義されたネットワーキング(SDN)は、通常、集中型のソフトウエアに基づくコントローラを作り出すため、データ処理から、制御のスイッチ/ルータ機能を分離する。一方、いくつかの実施例では、ネットワークトポロジー及びトラフィックの全ての操作は、ネットワーク上のホストシステムに設けられたOSサービスのエージェント制御から来る。
動的な抽象化されたネットワークは、物理的な切り替え又は経路構造のいずれをも変化させることなく、ホストシステムの操作を介して作り出される。スイッチ又はルータの内部動作を変化させる必要はない。一つは、OpenFlow(R)規格(オープン・ネットワーキング・ファウンデーションの商標)を使用することができるが、それが要求されるものではない。
行動仮想化は、遺物切り替え環境、仮想機械環境、私的及び公共的なクラウド、ソフトウエアにより定義されたネットワーク、又は、それらのいずれかの組み合わせ上で動作することができる。
ネットワーク刺激エンジンは、シミュレーションされたネットワーク環境の内部において、集中型の管理及びリソースのより完全な使用を可能にする。これは、仮想機械を用いる等、現在の実務と比較して、ハードウエア及び人的リソースの要求の両方を低減させる。そのハードウエアのリソースはより低いため、ネットワーク刺激エンジンは、現在の実務と比較した場合、より大規模な配備を作成することもできる。加えて、ネットワーク刺激エンジンは、その集中型管理の行動アルゴリズムのため、一貫して、現実的なシミュレーションされたネットワークトラフィックを作り出す。
図1は、実施例による行動エンジン及び抽象機械エンジンを示している。システム100は、行動エンジン101及び抽象機械エンジン104を含む。
シミュレーションされたネットワーク環境において、個々の刺激イベントは、行為として知ることができる。行為は、通常、ある種のネットワーク活動であるが、それはネットワーク活動だけに限定されるものではない。各行為は、行為者102により実行される。
各行為者102は、ネットワーク上のコンピュータ、プリンタ、ルータ等のシミュレーションされた装置に相当する。ユーザがシミュレーションを行うために行動のモデル、すなわちモデル108を設計した後、行動エンジン101は、これは統計アルゴリズムであるが、ユーザにより作成されたモデル108に基づいて、いずれの行為を実行する必要があるかを選択することにより、ネットワークの刺激方法を決定する。
行動エンジン101は、各行為者のために、行為決定のバッファである行為プール103を生成する。行動エンジンにより作られたアルゴリズム決定事項は、適切な行為プールに加えられる。いずれかの外部のターゲットが行為を要求された場合、そのアルゴリズムは、いずれの行為者が行為を要求されているのか、何の行為を実行するのか、いつその行為が起こる必要があるのか、及び、どこでその行為は現実のネットワークリソースに関するターゲットとするのかを決定する。
次に、抽象機械エンジン104は、行為プール103に基づいてネットワーク環境を刺激する。各行為者102及びそれに関連する行為プール103に関して、抽象機械エンジンは、シナリオの継続期間において持続する行為者/行為プール/シミュレーションされたネットワークインターフェースの通信とともに、シミュレーションされたネットワークインターフェース105を作り出す。インターフェース105は、ネットワーク上のネットワーク活動106又はネットワークトラフィックである通信パケットを送受信する。
ネットワーク上の観察者にとって、対応する設定における各インターフェースは、固有のMACアドレス及びIPアドレスを有する単一のネットワーク化された装置のように見える。シナリオが進行するにつれて、抽象機械エンジンにより作り出されたシミュレーションされた各ネットワークインターフェース105は、それに対応する行為者102の代わりに行為プールからの行為を実行する。抽象機械エンジン104は、活動を作り出すためにモデルに設計されたように、行為を実行することになる行為者に対応するシミュレーションされたネットワークインターフェースを用い、適切なプラグインを使用する。
二種類のプラグインが、抽象機械エンジンに対して利用可能である。すなわち、設計された完全性の程度において活動を実行するシミュレータプラグイン109、及び、通常ソフトウエアが用いられるどのような活動をも実行するソフトウエアの外部部分に対して呼びかけるコーラープラグイン110である。もしあれば、抽象機械エンジンは、シミュレータプラグイン109又はコーラープラグイン110を適切なターゲットに向ける。
実施例において、二つの行為頻度法のうちの一つは、行為のパフォーマンスを駆動するために用いられる。第1の方法において、各行為プールは、現時刻で実行する必要がある行為のために所定の頻度でプールされる。第2の方法は、同期したクロック機構に関連付けられることになる各行為プールを関与させる。現時刻で実行する必要のあるどのような行為も、抽象機械エンジンに押し上げられる。
図2A及び2Bは、実施例による簡略的なコンピュータネットワーク範囲を示している。コンピュータネットワーク範囲200において、ホストコンピュータ211は、オペレーティングシステム212、すなわちMicrosoft Windows XP(R)又はMicrosoft Windows 2000(R)を起動する。ローカスエリアネットワーク(LAN)モード行動仮想化ホストコンピュータ211は、イーサネットケーブル215を介して、ネットワークサービスコンピュータ213に接続されている。ネットワークサービスコンピュータ213は、オペレーティングシステム214を起動し、それはオペレーティングシステム212と同一又は異なっていてもよい。
いくつかの実施例において、行動エンジン及び抽象機械エンジンは、現実のホストリソースを一種のネットワークハイパーバイザに一緒に入れるために重要な機能である。ホストリソースは、ローカル計算リソース、記憶リソース、及び、ネットワークリソースを含むことができる。
コントローラは、より大規模な現実のネットワークを見るためにホストネットワークスタックを用いることができる。エージェントは、抽象機械を機械メッシュに投影することができるネットワーク上の存在点を有することができる。その投影は、ネットワーク上で見ることのできる抽象機械のメッシュを作り出す。様々なホスト上の複数のエージェントは、格子に接続することができる。格子は、抽象ネットワーク環境を作り出すことを開始するためのリソースの集合である。
図2Bは、図2Aの物理的なコンピュータ上で起動する仮想行為者及びシミュレーションされてネットワーク化された設備を示している。LANモード行動仮想化ホストコンピュータ211は、LANモード行動仮想化(BV)コントローラ216及びLANモード行動仮想化ホスト217を実行する。それらは、ローカルホスト接続により通信する。LANモード行動仮想化コントローラ216は、仮想行為者218を作り出すようにLANモード行動仮想化ホスト217に命令する。仮想行為者218は、それらのオンライン活動において実在の人間を模倣する。その行動は、図1に記載されたモデル(すなわち、モデル108)等の統計行動モデルを用いることにより作り出される。
ネットワークサービスコンピュータ213は、ドメインネームシステム(DNS)サーバ、ウエブサーバ、ファイル転送プロトコル(FTP)サーバ、セキュアシェル(SSH)サーバ、及び、電子メールサーバの形態で、ネットワークサービス220を実行する。
行為者218は、ネットワークサービス220と通信し、イーサネットケーブル215上でそれらの間にネットワークトラフィック219を作り出す。実施例においては、40人の仮想行為者が、多大なネットワークをエミュレートして、5つの仮想ネットワークサービスと通信している。このネットワークは、シミュレーションのためにどのくらいのネットワークトラフィックが必要であるかに応じて増加(又は、減少)させることができる。注意すべきは、このシミュレーションでは、物理的なコンピュータが2つだけ用いられていることである。
図3は、実施例によるコンピュータネットワークのグラフィカルなネットワークモニタ図を示している。スクリーンショット300において、コンピュータを表す様々なIPアドレスが輪になって示されており、それらの間のネットワークトラフィックは、コンピュータ間の線として示されている。それらの線は、トラフィックが行き来するのと同様にリアルタイムで行き来する。ノードの周囲の円が大きいほど、その位置から行き来するトラフィックは多くなる。色は、しばしば、送信されたトラフィックの種類を描くために用いられる。例えば、電子メールトラフィックは、黄色で示すことができ、ビデオトラフィックは、赤色で示すことができる。
ノードがネットワークに追加又はネットワークから差し引かれると、それらに対応するIPアドレスは、スクリーンに現れ又はスクリーンから消える。図3のネットワークマッピングツールであるグラフィカルユーザインターフェース(GUI)を有する、図2A及び図2Bにおいてシミュレーションされたネットワークを見ているハッカーは、現実のネットワークと区別することが不可能でないとしても困難な活動ネットワークを見る。
図4A〜図4Cは、実施例による検査ネットワークにおける参加者を示している。ネットワーク範囲は、LANモード行動仮想化ホストVM(仮想機械)431、専用モード行動仮想化サーバ432、非武装化地帯(DMZ)ネットワークサービス及びセンサ433、境界434、仮想化ハブ435、仮想インターネット436、及び、参加者ワークステーション437を含む。
ネットワークの防御検査を経験しているネットワーク管理者等のユーザは、仮想化ハブ435を介してネットワークにアクセスするため、参加者ワークステーション437を用いる。他のコンピュータは、仮想機械であってもなくてもよいが、そのハブを介してアクセスされる。モデル行動仮想化ホストVM431は、単一のコンピュータ、いくつかのコンピュータに散在する仮想機械、又は、単一のコンピュータ上で起動する他の仮想機械から仕切られた仮想機械であり得る。専用モード行動仮想化サーバ432は、同様に実行され得る。境界434は、ファイアウォール又は他の境界であり得る。DMZ433は、仮想インターネット436からの境界の保護なしに、境界の「外側」に位置している。
図4Bに示されるように、LANモード行動仮想化コントローラは、特定の数の仮想化ワークステーション438を作り出すようにLANモード行動仮想化ホストに命令するものであり、それぞれの仮想化ワークステーション438は、行為者に対応する仮想ネットワークインターフェースを有している。これらの行為者は、例えば、人間により操作される装置又は自動的にネットワーク化された装置をエミュレートすることができる。
専用モード行動仮想化サーバ432は、特定の数の専用モード行動仮想化ワークステーションVMs439を作り出すように命令されるものであり、それぞれの専用仮想化ワークステーションVMは、仮想ネットワークインターフェースを有している。複数の専用モード行動仮想化ワークステーションVMは、例えば検査の間、現実の人間のユーザにより操作されることができる。
パケットスニファー/ネットワークマッパを用いる参加者ワークステーション437におけるユーザは、仮想化ワークステーション438と専用モード行動仮想化ワークステーションVM439との間のネットワークトラフィックを見る。そのトラフィックは、シナリオが進行するとき持続している。
図4Cは、他のものの中において、それらのIPアドレスをランダムに混合することによって仮想化ワークステーション438の内部に隠されている、専用モード行動仮想化ワークステーションVM439を示している。仮想化ワークステーション438との間で行き来する確率的行為者からの現実的ネットワークトラフィックのため、参加者にとって、それらのワークステーションを専用モード行動仮想化ワークステーションVM439と区別することは困難である。
発明者らは、この構成が、全体の物理的コンピュータネットワークをセットアップするのに必要であるよりも少ない労働及びハードウエアを用いて操作者を訓練するために効果的な方法であり得ることを発見した。訓練の必要性に応じて、多数又は少数のコンピュータがエミュレートされることができる。例えば、サイバー攻撃シミュレーションの間、青チームは、ツール、戦略、及び、手順において彼らを訓練することができる見かけ上のネットワークを見る。
更に、発明者らは、大量の仮想化ワークステーションの内部における現実の物理的なワークステーションを隠すことにより、ハッカーが効果的に現実のデータをネットワークから取得し、ネットワークの操作を発効し、又は、ネットワークをハッキングすることを困難にすることができることを発見した。
いくつかの実施例において、それらにより操作される仮想化ワークステーション及びソフトウエアにより定義されたネットワークは、ハッカーマッピングツール及びネットワーク攻撃に対する防御を行うため、迅速に変更され得る。無線周波数(RF)における周波数ホッピングと同種の、ソフトウエアにより定義されたネットワーク「ホッピング」は、外部者がネットワークをマッピングし又は妨害することを困難にすることができる。ソフトウエアにより定義されたネットワークは、あるネットワークイベントに自動的に応答して又はランダムに、設定時間間隔で異なる構成に跳ぶことができる。
訓練、検査、及び/又は、ネットワークセキュリティに役立ついくつかの実施例において、時々「センサ」と呼ばれる、自律的なソフトウエアエージェントは、ネットワークの視点からホストシステムの向こう側のプロセス間活動を検出して観察することができる。その後、それらは、物理的、仮想的、及び、ソフトウエアにより定義されたネットワークの内部に抽象ネットワーク環境を作り出すことにより、これらの観察に反応するか、又は、ネットワークの構造を修正することができる。
一旦、ホストシステムが現実のネットワークトポロジーを変更し、行動仮想化及び抽象ネットワーク環境を作り出すために構造を切り替える制御を行うために利用されると、その後、ローカル状況又は観察に基づいて局所的にかつ大域的にネットワークのトポロジー及び行動を変更することが可能となる。
エージェント/センサは、ネットワークスタック又は他のホストオペレーティングシステムの適切な層の内部にインストールされて存在することができる。各センサは、ネットワークにおける他のシステム/サービスへのホストとの通信に関連するプロセスを行うために進行中のプロセスを推定するように、そのホストの内部でプロセス活動を観察する。
エージェント/センサは、中央管理サーバプラットフォームの背後にある物理的ネットワーク中に配置されたリレーを介して通信することができる。センサは、活動データを処理及び解釈する際に補助するため、及び/又は、解析のために管理者に概略情報を提供するため、独立して前記概略したデータを解析することができ、又は、リレー及び管理サーバの内部のプログラムを信頼する。
センサは、自動的に又は管理者の指令により、現実のネットワーキングトポロジーを変更することができ、これには、その後、ホストが存在している、物理的、仮想的、又は、ソフトウエアにより定義されたネットワークの全て又は一部を模倣することのできる類似のエージェント/センサを有し、インストールされたホスト及び/又はいくつかのホストの内部における抽象ネットワーク環境を動的に作り出すことが含まれる。また、それには、現実の本来のターゲットネットワークの内部においてもはや動作していないプロセスを明らかにすることなしに、あるプロセスからの現実のネットワークのパケット/データの流れ、及び、抽象ネットワーク環境へのプログラムを制限することが含まれる。これは、現実のネットワーク環境における印象の下で、プロセス又はプログラムに実行の継続を許可している間、架空であるが現実的な抽象ネットワーク環境におけるプロセス又はプログラムを分離するためのものであり得る。そのような活動は、ネットワークリソースの全体をインストール又は関与させることを要求することなく、シミュレーションされてスケーリングされたネットワーク上でのアプリケーション及びプロセスを検査する効率的な方法を可能とする。それは、ネットワークリソースの全体をインストール又は関与させることを要求することなく、ネットワークのスケール及び実在論でアプリケーション又はプロセス上でのユーザの訓練に役立たせることができる。
また、それは、疑わしいプロセスを終結させることなく、又は、その疑わしいプロセスにそれは現実のネットワークにおいてまだ動作していないことを明らかにすることなく、包含された環境において疑わしいプロセスを分離及び観察することによりターゲット攻撃に対してネットワークセキュリティを提供するができるため、その疑わしいプロセスは、重大なシステム及びリスクのあるプロセスを置くことなく、その真実の意図を明らかにするために観察され得ることになる。
例えば、偽りの見かけ上の表示は、構造ファイルに格納されて、必要に応じて読み出すことができる。ネットワーク構造の偽りの見かけ上の表示は、現実のネットワーク構造と異なっている。ハッカーは、ノードの量、それらのIPアドレス、及び、ネットワークにおける他の情報を識別するために、ネットワークマッピングツールを用いることができる。しかしながら、侵入検出ソフトウエアは、ハッカーがネットワークの外部又は会社の本社とは異なる国にいることを判定することができる。いくつかの偽りの表示間の選択は、マッピングツール又は侵入者の地理的エリアの識別に基づいてなされ得る。その要求に対する応答は、見かけの表示、偽りのIPアドレスを含む応答、及び、ハッカーを難読化するための他の誤情報に基づいてなされ得る。その応答は、ハッカーを混乱させて歪めるために、他の応答とともに、ネットワークマッピングツールに送信することができる。加えて、ランダム化された動的なDMZオーバレイメッシュは、ハッカーを難読化するために配備することができる。
いくつかの実施例において、二つの分離したホストは、それら自身のソフトウエアエージェント及びメッシュを有している。これらは、完全に異なるローカルエリアネットワーク(LAN)に接続され得る同一の物理的ホストにおける二つの仮想機械であり得る。これらのLANの各々は、同一の「位置」にあり得るか、又は、異なる「位置」にあるだろう。二つのVMが同一の存在点(すなわち、同一の「位置」)において二つのソフトウエアエージェントを有する場合、それらの抽象機械は、様々な抽象層において混ぜ合わせられ得る。どのような切り替えをも要求されることなくネットワークを作り出すことができることは、実証されている。ネットワークは、「切り替える」ことができるが、現実の物理的スイッチを必要とするものではない。
コントローラの担当は、抽象ネットワーク環境を作り出すために、ホストリソースを調整する(SAN等のローカルファイルシステム、ネットワークからのデータを計算し、記憶する)ことである。コントローラは、どのリソースが抽象ネットワーク環境を作り出すために、かつ、上記の行動エンジン及び抽象機械エンジンの機能を実行するために利用可能であるかを判定するため、ホストとの非同期通信を開始する。いくつかの実施例において、コントローラは、まず、記憶された機械イメージ(ファイルとして記憶されている)及び記述言語(例えば、これらの機械がどのように一緒にネットワーク化されるべきか)に関するデータを収集するため、ホストの内部において記憶サービスと通信する。その後、それは、抽象機械を機械メッシュにセットアップするように命令するため、ホストにあるKVM(カーネルに基づく仮想機械)と会話するためのLibvirt、又は、他のハイパーバイザアプリケーションを用いることができる。最後に、コントローラは、全てのホストに渡ってネットワークメッシュを作り出すために、ホストの内部、及び、ネットワークの他のホストにおけるネットワーキングスタックと通信する。すなわち、コントローラは、抽象機械、行為者、及び、サービスのメッシュを通信可能にするため、ネットワーキング環境を作り出す。これは、抽象ネットワーク環境と呼ぶことができ、実行方法に関する行動エンジンからの指令を受け取る用意がある。一つは、必要に応じた多くの抽象ネットワーク環境であって、それらを作り出すのに利用可能な提供されたリソースをセットアップすることができる。単一のラップトップは、ネットワークにおいて半ダースの抽象機械を作り出すことができることが実証されている。サーバブレードは、中規模ビジネスネットワークを表現することができ、サーバのラックは、企業全体の抽象ネットワーク環境を作り出すことができる。
図5は、実施例によるプロセスのフローチャートである。工程501において、複数のオンライン行為者に対してユーザにより定義されたモデルをユーザから受け取り、各行為者は、ネットワーク化された設備又はネットワーク化された装置を操作する人間のシミュレーションを行い、受け取ったモデルは、各行為者に対して少なくとも一つの行為及び所定の単位時間当たりにその行為が起こる確率及びその行為が起こる回数を定義する。工程502において、各行為者に関連付けられた行為の計画スケジュールは、統計エンジンを用いて、対応する確率に基づいて決定される。工程503において、各行為者に対する記憶バッファは、そのモデルを用いて生成される。工程504において、各行為者に関連付けられた行為の計画スケジュールは、対応するバッファに追加される。工程505において、固有のメディアアクセス制御(MAC)アドレスは、各行為者に対して確立される。工程506において、インターネットプロトコル(IP)アドレスは、各行為者に対して予約される。工程507において、ネットワークトラフィックは、計画スケジュールに基づいて各行為者に対するコンピュータネットワークに送信され、各行為者に対するネットワークトラフィックは、MAC及びIPアドレスを介して関連付けられた行為者に起因しており、コンピュータネットワーク上におけるネットワーク化した設備及び人間により操作されたネットワーク化した装置のシミュレーションを行う。
図6は、実施例によるプロセスのフローチャートである。工程601において、現実の物理的構成を有する物理的コンピュータネットワークが提供される。工程602において、構成ファイルから、ネットワーク構成の第1の偽りの見かけ上の表示の定義を受け取る。工程603において、構成ファイルから、ネットワーク構成の第2の偽りの見かけ上の表示の定義を受け取り、第1及び第2の偽りの見かけ上の表示は互いに異なり、ネットワーク構成の第1及び第2の偽りの見かけ上の表示は、物理的コンピュータネットワークの現実の物理的構成とは異なっている。工程604において、コンピュータネットワークにおける多数のノード及びノードの各々のインターネットプロトコル(IP)アドレスを識別するためにユーザにより実行されたネットワークマッピングツールから、物理的コンピュータネットワークに対する要求を受け取る。工程605において、ユーザが物理的構成の偽りの表示を見ていることが判定され、その判定は、要求しているユーザのネットワーク位置に基づいて行われる。工程606において、その要求とネットワークマッピングツールとの関連性に基づいて、選択が第1又は第2の偽りの見かけ上の表示の間でなされ、その選択は、ユーザが物理的構成の偽りの表示を見ていることの判定に基づく。工程607において、要求に対する応答は、選択された第1又は第2の偽りの見かけ上の表示に基づいて作られ、その応答は、ノードの偽りの数、及び、選択された第1又は第2の偽りの見かけ上の表示に関連付けられたノードの各々における少なくとも一つの偽りのIPアドレスを含んでいる。工程608において、ネットワークマッピングツールに対して作られた応答は、ネットワークを介して送信される。
それらの工程は、前記所定の順序、又は、適用可能な異なる順番で実行することができる。それらは、コンピュータ又は他の機械で自動化されることができ、機械が読み取り可能な指令として符号化されたソフトウエア、ファームウエア、又は、ハードにおいて符号化され、その指令を実行可能な一つ又は複数のプロセッサを介して起動することができる。
前述の明細書において、本発明は特定の実施例を参照して説明されているが、当業者は本発明がそれらに限定されるものではないことを認識するだろう。前記記載の本発明の様々な特徴及び側面は個々に又は共同で用いることができる。更に、本発明は、本明細書のより広い精神及び要旨から逸脱しない範囲内において、ここでの説明を超えた種々の環境及びアプリケーションにおいて利用可能である。従って、本明細書及び図面は、限定的なものとしてではなく説明に役立つものとみなされるべきである。
前記に説明した方法、システム、及び、装置は、単なる実施例であることを意図したものであることに注意すべきである。様々な実施例は、適宜、様々な手順や要素を省略、代替、又は、追加することができるということを強調しなければならない。例えば、代替的な実施例において、方法は、説明とは異なる順番で実行可能であり、また、様々なステップを追加、省略、又は、組み合わせることができる。また、ある実施例に関して説明した特徴は、様々な他の実施例において組み合わせることができる。実施例の異なる側面及び要素は、同様の方法で組み合わせることが可能である。また、技術は発展するということを強調すべきであり、そのために、多くの要素は実施例であって、本発明の範囲を限定するように解釈すべきではない。
具体的詳細は、説明中において与えられ、実施例の完全な理解を提供している。しかしながら、実施例は、これらの具体的詳細なしに当業者により実施できるものであることが理解される。例えば、周知の回路、プロセス、アルゴリズム、構造、及び、技術は、実施例をわかりにくくすることを回避するため、不要な詳細なしで示されている。
また、実施例は、フロー図又はブロック図として描かれるプロセスとして説明することができる。各々は、逐次的なプロセスとしての工程を説明することができるが、多くの工程は、並行して又は同時に実行することができる。加えて、工程の順番を並び替えることができる。プロセスは、図面に含まれない追加のステップを有していてもよい。
更に、ここで説明するように、「メモリ」又は「メモリユニット」の用語は、情報を記憶するため、リードオンリーメモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気RAM、コアメモリ、磁気ディスク記憶媒体、光学記憶媒体、フラッシュメモリ装置、又は、その他の情報を記憶するコンピュータが読み取り可能な媒体を含む、データを記憶する一つ又は複数の装置を表している。「コンピュータが読み取り可能な媒体」の用語は、ポータブル又は固定された記憶装置、光学記憶装置、無線チャンネル、シムカード、他のスマートカード、及び、指令又はデータを記憶、包含、又は、送信可能な様々な他の媒体を含むが、これらに限定されるものではない。
更に、実施例は、ハードウエア、ソフトウエア、ファームウエア、ミドルウエア、マイクロコード、ハードウエア記述言語、又は、それらのいずれかの組み合わせによって実施することができる。ソフトウエア、ファームウエア、ミドルウエア、又は、マイクロコードにおいて実施されると、必要なタスクを実行するためのプログラムコード又はコードセグメントは、記憶媒体等のコンピュータが読み取り可能な媒体に記憶され得る。プロセッサは、必要なタスクを実行することができる。
いくつかの実施例を説明したことにより、様々な変更、代替的な構造、及び、均等なものが本発明の精神を逸脱しない範囲において用いることができることが当業者によって理解される。例えば、前記要素は、単に大規模システムの成分に過ぎず、他の規則は、本発明の適用に優先するか、又は、本発明の適用を変更することができる。また、多数のステップは、前記要素が考慮される前、考慮している間、又は、考慮された後に開始することができる。従って、前記説明は、本発明の範囲を限定するものとみなされるべきではない。
いくつかの実施例は、ハッカーネットワークマッピングツールから現実のコンピュータネットワークを保護するために偽りの見かけ上のコンピュータネットワークを投影する方法に関する。その方法は、物理的コンピュータネットワークを提供する工程、ここで該物理的コンピュータネットワークは現実の物理的構成を有し、構成ファイルから、ネットワーク構成の第1の偽りの見かけ上の表示の定義を受け取る工程、構成ファイルから、ネットワーク構成の第2の偽りの見かけ上の表示の定義を受け取る工程、ここで前記第1及び第2の偽りの見かけ上の表示は互いに異なり、ネットワーク構成の該第1及び第2の偽りの見かけ上の表示は前記物理的コンピュータネットワークの前記現実の物理的構成とは異なり、前記コンピュータネットワークにおけるノードの数及び該ノードの各々のインターネットプロトコル(IP)アドレスの識別のためにユーザにより実行されるネットワークマッピングツールからの要求を、前記物理的コンピュータネットワークに対して受け取る工程、プロセッサにより、前記ユーザが前記コンピュータネットワークにおけるノードの数及び前記ノードの各々の前記IPアドレスに関する前記物理的構成の偽りの表示を見ていることを判定する工程、ここで該判定は、安全性が損なわれた可能性のある該ユーザのネットワーク位置に基づいて行われ、ネットワークマッピングツールとともに前記要求の関連性に基づいて前記第1又は前記第2の偽りの見かけ上の表示を選択する工程、ここで該選択は、前記ユーザが前記物理的構成の偽りの表示を見ていることの判定に基づいて行われ、選択された前記第1又は第2の偽りの見かけ上の表示に基づいて前記要求に対する応答を作る工程、ここで該応答は、選択された該第1又は第2の偽りの見かけ上の表示に応じたノードの偽り数及び該ノードの各々の少なくとも一つの偽りのIPアドレスを含み、及び、作られた前記応答を、前記コンピュータネットワークを介して前記ネットワークマッピングツールに送信する工程、を有する。
その他の実施例は、前記方法のための指示を用いるか又は記憶する、機械が読み取り可能な記憶媒体及びコンピュータシステムに関する。
Claims (20)
- コンピュータネットワークのシミュレーション方法であって、
ユーザから、複数のオンライン行為者に対してユーザにより定義されたモデルを受け取る工程、ここで各行為者は、ネットワーク化された設備又はネットワーク化された装置を操作する人間のシミュレーションを行い、該受け取ったモデルは、少なくとも一つの行為及び対応する各行為に対して該行為が起こる確率及び該行為が所定の単位時間に起こる回数を定義し、
動作可能なようにメモリに接続された少なくとも一つのプロセッサを用いて、統計エンジンを用いて前記対応する確率に基づいて各行為者に関連付けられた行為の計画スケジュールを決定する工程、
各行為者に対して、固有のメディアアクセス制御(MAC)アドレスを確立する工程、
各行為者に対して、インターネットプロトコル(IP)アドレスを予約する工程、及び、
前記計画スケジュールに基づいて各行為者に対してコンピュータネットワーク上でネットワークトラフィックを送信する工程、ここで各行為に対する該ネットワークトラフィックは、前記MAC及びIPアドレスを介して前記関連付けられた行為者に起因し、前記コンピュータネットワーク上において前記ネットワーク化された設備及び人間により操作されるネットワーク化された装置のシミュレーションを行う、を有することを特徴とする方法。 - 前記モデルを用いて各行為者に対する記憶バッファを生成する工程、及び、
各行為者に関連付けられた行為の前記計画スケジュールを、対応する前記バッファに加える工程、を更に有することを特徴とする請求項1に記載の方法。 - 所定の頻度で各行為を前記バッファから引き出す工程を更に有することを特徴とする請求項2に記載の方法。
- 各バッファをソフトウエアクロックに関連付ける工程、及び、
前記関連付けられたソフトウエアクロックに従い、所定の頻度で各行為を前記バッファから押し出す工程、更に有することを特徴とする請求項2に記載の方法。 - 前記MAC及び前記IPアドレスは、仮想ネットワークカードに関連付けられていることを特徴とする請求項1に記載の方法。
- 行為者のアドレスに関してネットワークマッピングツールからの要求を受け取る工程、及び、
要求された前記行為者の前記IPアドレスを含むパケットで前記要求に応答する工程を更に有することを特徴とする請求項1に記載の方法。 - 前記要求は、前記コンピュータネットワークの外側から受け取られることを特徴とする請求項6に記載の方法。
- 行為がターゲットとする現実のネットワークリソースを確認する工程、
確認された前記リソースを、決定された前記計画スケジュールに加える工程、及び、
プラグインを、確認された前記リソースに向ける工程を更に有することを特徴とする請求項1に記載の方法。 - 前記受け取る工程及び前記決定する工程は、行動エンジンアプリケーションを介し、前記送信する工程は、前記アプリケーション及びプラグインの外部にあるソフトウエアを呼び出すプラグインを介して実行されることを特徴とする請求項1に記載の方法。
- 前記ネットワークトラフィックを送信する工程は、各行為者にとって持続的なものであり、ユーザにより停止されるまで継続することを特徴とする請求項1に記載の方法。
- シミュレーションされた前記ネットワーク化された設備は、ウエブサーバ、プリントサーバ、記憶サーバ、及び、プリンタからなるグループから選択されることを特徴とする請求項1に記載の方法。
- 前記人間により操作される、シミュレーションされた前記ネットワーク化された装置は、デスクトップ型、ノートブック型、又は、タブレット型のパーソナルコンピュータ(PC)、ワークステーション、パーソナルデジタルアシスタント(PDA)、ボイスオーバーインターネットプロトコル(VoIP)電話、ネットワークアプライアンス、又は、スマートフォンを含むことを特徴とする請求項1に記載の方法。
- 前記工程は、それぞれ、示された順番で実行されることを特徴とする請求項1に記載の方法。
- 各工程は、操作可能にメモリに接続された少なくとも一つのプロセッサにより実行されることを特徴とする請求項1に記載の方法。
- 一つ又は複数の機械に請求項1の工程を実行させるための指令を示す情報を具現化することを特徴とする、機械が読み取り可能な有形の記憶媒体。
- コンピュータプログラムにおける指令を実行するコンピュータシステムであって、前記コンピュータプログラムの指令は、請求項1の工程を実行するためのプログラムコードを有することを特徴とするコンピュータシステム。
- 現実のコンピュータネットワークを保護するために偽りの見かけ上のコンピュータネットワークを投影する方法であって、
物理的コンピュータネットワークを提供する工程、ここで該物理的コンピュータネットワークは現実の物理的構成を有し、
構成ファイルから、ネットワーク構成の第1の偽りの見かけ上の表示の定義を受け取る工程、
構成ファイルから、ネットワーク構成の第2の偽りの見かけ上の表示の定義を受け取る工程、ここで前記第1及び第2の偽りの見かけ上の表示は互いに異なり、ネットワーク構成の該第1及び第2の偽りの見かけ上の表示は前記物理的コンピュータネットワークの前記現実の物理的構成とは異なり、
前記コンピュータネットワークにおけるノードの数及び該ノードの各々のインターネットプロトコル(IP)アドレスの識別のためにユーザにより実行されるネットワークマッピングツールからの要求を、前記物理的コンピュータネットワークに対して受け取る工程、
前記ユーザが前記物理的構成の偽りの表示を見ていることを判定する工程、ここで該判定は該ユーザのネットワーク位置に基づいて行われ、
ネットワークマッピングツールとともに前記要求の関連性に基づいて前記第1又は前記第2の偽りの見かけ上の表示を選択する工程、ここで該選択は、前記ユーザが前記物理的構成の偽りの表示を見ていることの判定に基づいて行われ、
選択された前記第1又は第2の偽りの見かけ上の表示に基づいて前記要求に対する応答を作る工程、ここで該応答は、選択された該第1又は第2の偽りの見かけ上の表示に応じたノードの偽り数及び該ノードの各々の少なくとも一つの偽りのIPアドレスを含み、及び、
作られた前記応答を前記ネットワークマッピングツールに送信する工程、を有することを特徴とする方法。 - 前記ユーザの前記ネットワーク位置は、提供された前記物理的コンピュータネットワークの外側であることを特徴とする請求項17に記載の方法。
- 二つ以上の前記ノードの間で送信されるトラフィックの種類に対する前記ネットワークマッピングツールからの第2の要求を、前記物理的コンピュータネットワークに受け取る工程、
選択された前記第1又は第2の偽りの見かけ上の表示に基づいて前記第2の要求に対する第2の応答を作る工程、ここで該第2の応答は、前記2つ以上のノードの間で送信されるトラフィックの偽りの種類を含み、及び、
作られた前記第2の応答を前記ネットワークマッピングツールに送信する工程、を更に有することを特徴とする請求項17に記載の方法。 - トラフィックの前記種類は、電子メールトラフィック、プリンタトラフィック、及び、ビデオトラフィックからなるグループから選択されたネットワークトラフィックを含むことを特徴とする請求項19に記載の方法。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US42352810P | 2010-12-15 | 2010-12-15 | |
US61/423,528 | 2010-12-15 | ||
US13/327,150 | 2011-12-15 | ||
US13/327,150 US8413216B2 (en) | 2010-12-15 | 2011-12-15 | Network stimulation engine |
PCT/US2011/065283 WO2012083079A2 (en) | 2010-12-15 | 2011-12-15 | Network stimulation engine |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2014506045A true JP2014506045A (ja) | 2014-03-06 |
Family
ID=46235529
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013544794A Pending JP2014506045A (ja) | 2010-12-15 | 2011-12-15 | ネットワーク刺激エンジン |
Country Status (6)
Country | Link |
---|---|
US (4) | US8413216B2 (ja) |
EP (1) | EP2652906A4 (ja) |
JP (1) | JP2014506045A (ja) |
AU (1) | AU2011343699B2 (ja) |
CA (1) | CA2818375C (ja) |
WO (1) | WO2012083079A2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015231138A (ja) * | 2014-06-05 | 2015-12-21 | 日本電信電話株式会社 | サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム |
JP2017208757A (ja) * | 2016-05-20 | 2017-11-24 | 日本電信電話株式会社 | トラヒック予測装置及びトラヒック予測方法 |
JP2018117326A (ja) * | 2017-01-20 | 2018-07-26 | 日本電信電話株式会社 | 無線区間可用帯域推定装置、無線区間可用帯域推定方法、及びプログラム |
Families Citing this family (62)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9083609B2 (en) | 2007-09-26 | 2015-07-14 | Nicira, Inc. | Network operating system for managing and securing networks |
US9525647B2 (en) | 2010-07-06 | 2016-12-20 | Nicira, Inc. | Network control apparatus and method for creating and modifying logical switching elements |
US8743888B2 (en) | 2010-07-06 | 2014-06-03 | Nicira, Inc. | Network control apparatus and method |
US10103939B2 (en) * | 2010-07-06 | 2018-10-16 | Nicira, Inc. | Network control apparatus and method for populating logical datapath sets |
US8413216B2 (en) * | 2010-12-15 | 2013-04-02 | ZanttZ, Inc. | Network stimulation engine |
US9043452B2 (en) | 2011-05-04 | 2015-05-26 | Nicira, Inc. | Network control apparatus and method for port isolation |
EP2814205A4 (en) * | 2012-02-10 | 2015-09-16 | Nec Corp | COMPUTER SYSTEM AND METHOD FOR VISUALIZING A VIRTUAL NETWORK |
WO2013118690A1 (ja) | 2012-02-10 | 2013-08-15 | 日本電気株式会社 | コンピュータシステム、及び仮想ネットワークの可視化方法 |
CN104335220B (zh) | 2012-03-30 | 2018-04-20 | 爱迪德技术有限公司 | 用于防止和检测安全威胁的方法和系统 |
WO2014063110A1 (en) | 2012-10-19 | 2014-04-24 | ZanttZ, Inc. | Network infrastructure obfuscation |
US8441961B1 (en) | 2012-12-24 | 2013-05-14 | Sideband Networks, Inc. | Metadata-driven switch network control |
FI20135058L (fi) * | 2013-01-21 | 2014-07-22 | Tellabs Oy | Menetelmä ja ohjausjärjestelmä ohjelmallisesti määriteltävän verkon kontrolloimiseksi |
CN105103494B (zh) * | 2013-01-31 | 2018-09-25 | 慧与发展有限责任合伙企业 | 网络交换机仿真 |
US10541898B2 (en) | 2013-03-15 | 2020-01-21 | Brian Weinberg | System and method for creating, deploying, and administering distinct virtual computer networks |
US9363204B2 (en) | 2013-04-22 | 2016-06-07 | Nant Holdings Ip, Llc | Harmonized control planes, systems and methods |
FI20135462L (fi) * | 2013-05-03 | 2014-11-04 | Tellabs Oy | Ohjelmallisesti määriteltävän verkon verkkoelementti |
US9413485B2 (en) * | 2013-06-24 | 2016-08-09 | Nec Corporation | Network followed by compute load balancing procedure for embedding cloud services in software-defined flexible-grid optical transport networks |
CN105393515B (zh) * | 2013-07-26 | 2019-05-10 | 中兴通讯(美国)公司 | 自适应软件定义的联网控制器及用于虚拟化联网的系统 |
US9491189B2 (en) | 2013-08-26 | 2016-11-08 | Guardicore Ltd. | Revival and redirection of blocked connections for intention inspection in computer networks |
CN105745886B (zh) * | 2013-09-23 | 2019-06-04 | 迈克菲有限公司 | 在两个实体之间提供快速路径 |
EP3053053A4 (en) * | 2013-09-30 | 2017-05-31 | Hewlett-Packard Enterprise Development LP | Software-defined network application deployment |
CN103532672B (zh) * | 2013-10-22 | 2017-06-16 | 芮雄丽 | 一种sdn网络中分片报文乱序的处理方法及应用 |
US9491190B2 (en) | 2013-12-26 | 2016-11-08 | Guardicore Ltd. | Dynamic selection of network traffic for file extraction shellcode detection |
US9397917B2 (en) * | 2014-01-10 | 2016-07-19 | Huawei Technologies Co., Ltd. | System and method for zoning in software defined networks |
WO2015136842A1 (ja) * | 2014-03-13 | 2015-09-17 | 日本電気株式会社 | ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法および記録媒体 |
US9460182B2 (en) | 2014-03-20 | 2016-10-04 | International Business Machines Corporation | Networking-assisted input/output order preservation for data replication |
US10567221B2 (en) | 2014-05-15 | 2020-02-18 | Hewlett Packard Enterprise Development Lp | Network scheduling |
WO2015174989A1 (en) | 2014-05-15 | 2015-11-19 | Hewlett-Packard Development Company, L.P. | Network traffic tuning |
US9667637B2 (en) | 2014-06-09 | 2017-05-30 | Guardicore Ltd. | Network-based detection of authentication failures |
FR3022058A1 (fr) * | 2014-06-10 | 2015-12-11 | Bull Sas | Simulateur de reseaux d'interconnexion et procede de simulation de reseaux d'interconnexion |
US9798810B2 (en) | 2014-09-30 | 2017-10-24 | At&T Intellectual Property I, L.P. | Methods and apparatus to track changes to a network topology |
US9591022B2 (en) | 2014-12-17 | 2017-03-07 | The Boeing Company | Computer defenses and counterattacks |
FR3034543A1 (fr) * | 2015-03-31 | 2016-10-07 | Orange | Systeme et procede d'execution d'une application dans un terminal muni d'une carte a puce |
US20160359664A1 (en) * | 2015-06-08 | 2016-12-08 | Cisco Technology, Inc. | Virtualized things from physical objects for an internet of things integrated developer environment |
US10382484B2 (en) | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
US9553885B2 (en) | 2015-06-08 | 2017-01-24 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
US10169203B2 (en) | 2015-10-14 | 2019-01-01 | At&T Intellectual Property I, L.P. | Test simulation for software defined networking environments |
US11055601B2 (en) * | 2015-10-28 | 2021-07-06 | Qomplx, Inc. | System and methods for creation of learning agents in simulated environments |
US10142365B2 (en) * | 2016-01-22 | 2018-11-27 | The Boeing Company | System and methods for responding to cybersecurity threats |
US10936966B2 (en) | 2016-02-23 | 2021-03-02 | At&T Intellectual Property I, L.P. | Agent for learning and optimization execution |
US10187413B2 (en) * | 2016-03-25 | 2019-01-22 | Cisco Technology, Inc. | Network-based approach for training supervised learning classifiers |
US9979750B2 (en) | 2016-04-26 | 2018-05-22 | Acalvio Technologies, Inc. | Tunneling for network deceptions |
ES2728337T3 (es) * | 2016-07-14 | 2019-10-23 | Ironnet Cybersecurity Inc | Simulación y realidad virtual basada en sistemas de comportamiento cibernético |
JP7158113B2 (ja) | 2016-09-26 | 2022-10-21 | ナント ホールディングス アイピー,エルエルシー | クラウドネットワークにおける仮想回線 |
US11201888B2 (en) | 2017-01-06 | 2021-12-14 | Mastercard International Incorporated | Methods and systems for discovering network security gaps |
US9935818B1 (en) | 2017-05-02 | 2018-04-03 | At&T Intellectual Property I, L.P. | Diagnostic traffic generation for automatic testing and troubleshooting |
US11606263B2 (en) | 2017-10-17 | 2023-03-14 | Science Applications International Corporation | Large network simulation |
US10990432B1 (en) | 2017-11-30 | 2021-04-27 | Ila Corporation | Method and system for interactive cyber simulation exercises |
CN110381342B (zh) * | 2018-04-13 | 2021-09-07 | 武汉斗鱼网络科技有限公司 | 一种信息处理方法及相关设备 |
US10785108B1 (en) * | 2018-06-21 | 2020-09-22 | Wells Fargo Bank, N.A. | Intelligent learning and management of a networked architecture |
US10333976B1 (en) | 2018-07-23 | 2019-06-25 | Illusive Networks Ltd. | Open source intelligence deceptions |
US10404747B1 (en) | 2018-07-24 | 2019-09-03 | Illusive Networks Ltd. | Detecting malicious activity by using endemic network hosts as decoys |
US10382483B1 (en) | 2018-08-02 | 2019-08-13 | Illusive Networks Ltd. | User-customized deceptions and their deployment in networks |
US10333977B1 (en) | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
US10432665B1 (en) | 2018-09-03 | 2019-10-01 | Illusive Networks Ltd. | Creating, managing and deploying deceptions on mobile devices |
US10924481B2 (en) | 2018-11-06 | 2021-02-16 | Bank Of America Corporation | Processing system for providing console access to a cyber range virtual environment |
US10958670B2 (en) | 2018-11-06 | 2021-03-23 | Bank Of America Corporation | Processing system for providing console access to a cyber range virtual environment |
US11138312B2 (en) * | 2018-12-19 | 2021-10-05 | Accenture Global Solutions Limited | Cyber range integrating technical and non-technical participants, participant substitution with AI bots, and AI bot training |
CN110191043B (zh) * | 2019-05-23 | 2021-08-27 | 北京永信至诚科技股份有限公司 | 城市级网络靶场的vlan划分方法和系统 |
WO2021123100A1 (en) * | 2019-12-20 | 2021-06-24 | Abstraktor Ab | System and method for testing of system under test |
US11966351B2 (en) * | 2021-03-11 | 2024-04-23 | Xilinx, Inc. | Network interface device |
CN115242562B (zh) * | 2022-09-26 | 2022-11-29 | 中电运行(北京)信息技术有限公司 | 一种基于虚拟化技术的网络安全靶场及其运行方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000252987A (ja) * | 1999-03-02 | 2000-09-14 | Nippon Telegr & Teleph Corp <Ntt> | 通信ネットワークシステム及び同システムにおけるトラフィック生成方法ならびにネットワーク性能評価方法 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6757742B1 (en) * | 2000-05-25 | 2004-06-29 | Advanced Micro Devices, Inc. | Computer-based system for validating hash-based table lookup schemes in a network switch |
US20020157020A1 (en) | 2001-04-20 | 2002-10-24 | Coby Royer | Firewall for protecting electronic commerce databases from malicious hackers |
US20030028803A1 (en) * | 2001-05-18 | 2003-02-06 | Bunker Nelson Waldo | Network vulnerability assessment system and method |
US6829491B1 (en) * | 2001-08-15 | 2004-12-07 | Kathrein-Werke Kg | Dynamic and self-optimizing smart network |
US7552480B1 (en) | 2002-04-23 | 2009-06-23 | Citibank, N.A. | Method and system of assessing risk using a one-dimensional risk assessment model |
US7620535B2 (en) | 2002-12-19 | 2009-11-17 | Computer Associates Think, Inc. | Method and apparatus for the simulation of computer networks |
US20050166072A1 (en) | 2002-12-31 | 2005-07-28 | Converse Vikki K. | Method and system for wireless morphing honeypot |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
KR100609710B1 (ko) * | 2004-11-25 | 2006-08-08 | 한국전자통신연구원 | 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그방법 |
US7716720B1 (en) | 2005-06-17 | 2010-05-11 | Rockwell Collins, Inc. | System for providing secure and trusted computing environments |
US20090319248A1 (en) | 2008-06-18 | 2009-12-24 | Eads Na Defense Security And Systems | Systems and methods for a simulated network traffic generator |
US8413216B2 (en) * | 2010-12-15 | 2013-04-02 | ZanttZ, Inc. | Network stimulation engine |
-
2011
- 2011-12-15 US US13/327,150 patent/US8413216B2/en active Active
- 2011-12-15 AU AU2011343699A patent/AU2011343699B2/en not_active Ceased
- 2011-12-15 EP EP11848948.3A patent/EP2652906A4/en not_active Withdrawn
- 2011-12-15 WO PCT/US2011/065283 patent/WO2012083079A2/en unknown
- 2011-12-15 CA CA2818375A patent/CA2818375C/en not_active Expired - Fee Related
- 2011-12-15 JP JP2013544794A patent/JP2014506045A/ja active Pending
-
2012
- 2012-06-13 US US13/495,589 patent/US8335678B2/en active Active
-
2013
- 2013-03-15 US US13/839,318 patent/US8978102B2/en active Active
-
2015
- 2015-02-05 US US14/615,054 patent/US9680867B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000252987A (ja) * | 1999-03-02 | 2000-09-14 | Nippon Telegr & Teleph Corp <Ntt> | 通信ネットワークシステム及び同システムにおけるトラフィック生成方法ならびにネットワーク性能評価方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015231138A (ja) * | 2014-06-05 | 2015-12-21 | 日本電信電話株式会社 | サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム |
JP2017208757A (ja) * | 2016-05-20 | 2017-11-24 | 日本電信電話株式会社 | トラヒック予測装置及びトラヒック予測方法 |
JP2018117326A (ja) * | 2017-01-20 | 2018-07-26 | 日本電信電話株式会社 | 無線区間可用帯域推定装置、無線区間可用帯域推定方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
AU2011343699A1 (en) | 2013-06-13 |
WO2012083079A2 (en) | 2012-06-21 |
WO2012083079A3 (en) | 2012-10-04 |
US9680867B2 (en) | 2017-06-13 |
CA2818375C (en) | 2014-06-17 |
US20120158395A1 (en) | 2012-06-21 |
US20160014150A1 (en) | 2016-01-14 |
US20130212644A1 (en) | 2013-08-15 |
EP2652906A2 (en) | 2013-10-23 |
CA2818375A1 (en) | 2012-06-21 |
US8335678B2 (en) | 2012-12-18 |
EP2652906A4 (en) | 2014-03-19 |
AU2011343699B2 (en) | 2014-02-27 |
US8413216B2 (en) | 2013-04-02 |
US20120253779A1 (en) | 2012-10-04 |
US8978102B2 (en) | 2015-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9680867B2 (en) | Network stimulation engine | |
US9729567B2 (en) | Network infrastructure obfuscation | |
US10238948B2 (en) | Mission-based, game-implemented cyber training system and method | |
US10958478B2 (en) | Resilient polymorphic network architectures | |
US20180375897A1 (en) | Automated network device cloner and decoy generator | |
US9954884B2 (en) | Method and device for simulating network resiliance against attacks | |
Williams et al. | GARNET: A graphical attack graph and reachability network evaluation tool | |
KR101460589B1 (ko) | 사이버전 모의 훈련 관제 서버 | |
Chadha et al. | Cybervan: A cyber security virtual assured network testbed | |
CN111327451B (zh) | 用于使用隐马尔可夫模型(hmm)标识和协助网络服务配置的创建和实现的系统 | |
US20180309779A1 (en) | Multi-dimensional heuristic search as part of an integrated decision engine for evolving defenses | |
CN110493238A (zh) | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 | |
US20200366650A1 (en) | Method and system for creating a secure public cloud-based cyber range | |
CN108605264A (zh) | 网络管理 | |
CN105025067B (zh) | 一种信息安全技术研究平台 | |
Shortridge et al. | Lamboozling Attackers: A New Generation of Deception: Software engineering teams can exploit attackers' human nature by building deception environments. | |
CA3088179A1 (en) | Intelligent security automation and continuous verification and response platform | |
Van Leeuwen et al. | Empirical assessment of network-based moving target defense approaches | |
Shortridge et al. | Lamboozling Attackers: A New Generation of Deception | |
Shope | Effective cyber situation awareness (CSA) assessment and training final report | |
Shortridge et al. | The magazine archive includes every article published in Communications of the ACM for over the past 50 years. | |
Möller et al. | From simulation to emulation-an integrated approach for network security evaluation | |
Hecker | A methodology for intelligent honeypot deployment and active engagement of attackers | |
Salevski et al. | Malware mimics for network security assessment | |
Acosta et al. | A Scalable and Dynamic Testbed for Conducting Penetration-Test Training in a Laboratory Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20131120 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131126 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140507 |