KR101581155B1 - 섀도우 네트워킹 기법을 사용하여 네트워크에 대한 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법 - Google Patents

섀도우 네트워킹 기법을 사용하여 네트워크에 대한 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법 Download PDF

Info

Publication number
KR101581155B1
KR101581155B1 KR1020147033723A KR20147033723A KR101581155B1 KR 101581155 B1 KR101581155 B1 KR 101581155B1 KR 1020147033723 A KR1020147033723 A KR 1020147033723A KR 20147033723 A KR20147033723 A KR 20147033723A KR 101581155 B1 KR101581155 B1 KR 101581155B1
Authority
KR
South Korea
Prior art keywords
network
packet
identification parameter
mission plan
module
Prior art date
Application number
KR1020147033723A
Other languages
English (en)
Other versions
KR20150008158A (ko
Inventor
웨인 비. 스미스
엘렌 케이. 린
Original Assignee
해리스 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 해리스 코포레이션 filed Critical 해리스 코포레이션
Publication of KR20150008158A publication Critical patent/KR20150008158A/ko
Application granted granted Critical
Publication of KR101581155B1 publication Critical patent/KR101581155B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 컴퓨터 네트워크("CN") 상에 가해지는 악의적인 공격을 식별하고, 억제하며 그리고/또는 지연시키기 위한 시스템(100) 및 방법(2100)에 관한 것이다. 그 방법은 제 1 네트워크 노드("MN")에서 미션 플랜("MP")을 실행하는 단계를 포함한다. MP(1900, 1902)는: 제 2 NN을 위한 제 1 식별 파라미터("식별 파라미터")가 그것과 연관된 다수의 가능한 값을 갖고; 그리고 적어도 두 개의 가능한 값이 타임 프레임(2020-2026)의 다른 타임슬롯에서 제 2 NN에서의 그리고 그로부터의 통신에 사용되어야 함을 특정한다. 제 1 NN에서, 수신된 패킷에 포함된 제 1 식별 파라미터를 위한 값은 그 값이 현재 타임슬롯에 대해 "정확한" 값인지를 결정하도록 MP에서 특정된 가능한 값과 비교된다. 값이 현재 타임슬롯에 대해 "정확하지" 않다고 결정되면, 그때 제 1 NN은 CN 상의 가능한 악의적 공격을 식별하고, 억제하거나 또는 지연시키는 작업을 수행한다.

Description

섀도우 네트워킹 기법을 사용하여 네트워크에 대한 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법{SYSTEMS AND METHODS FOR IDENTIFYING, DETERRING AND/OR DELAYING ATTACKS TO A NETWORK USING SHADOW NETWORKING TECHNIQUES}
본 발명의 배열은 컴퓨터 네트워크 보안, 그리고 더 구체적으로 네트워크가 악의적인 공격에 대해 방어하도록 동적으로 전환가능한 컴퓨터 네트워크의 두 개 이상의 논리 서브영역 사이에 통신하기 위한 시스템에 관한 것이다.
현재 사이버 인프라의 주된 취약점은 정적 특성이다. 자산은 영구적이거나 드물게 변하는 신원확인을 받아들이고, 적들이 네트워크를 조사하고, 맵핑하고 취약점을 이용할 거의 무제한적인 시간을 허용한다. 부가적으로, 이들 고정된 개체 사이를 오고가는 데이터가 캡처되고 속성화될 수 있다. 사이버 보안에 대한 현재의 접근은 고정자산 주위에 방화벽 및 침입 검출 시스템과 같은 기술을 위치시키고, 도중에 데이터를 보호하도록 암호화를 사용한다. 그러나, 이러한 전통적인 접근은 공격자에게 고정된 목표를 제공하기 때문에 근본적으로 결함을 갖고 있다. 오늘날 세계적으로 연결된 통신 인프라에서, 정적 네트워크는 취약한 네트워크이다.
방위고등연구계획국("DARPA") 정보 보증("IA") 프로그램은 동적 네트워크 방어의 영역에서 최초 연구를 수행했다. 기법은 네트워크를 관찰하는 어떤 장래의 적들을 혼동시키려는 목적을 위해 미리-지정된 네트워크 집단에 공급하는 인터넷 프로토콜("IP") 어드레스 공간을 동적으로 재할당하는 IA 프로그램에 따라 개발되었다. 이러한 기법은 동적인 네트워크 어드레스 변환("DYNAT")으로 불린다. DYNAT 기술의 개요는 2001년에 발행된 "적들의 지능을 방해하는 동적인 접근"으로 명명된 DARPA에 의한 논문에 제시되었다.
본 발명의 목적은 컴퓨터 네트워크 상에 가해지는 악의적인 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법을 제공하는 것이다.
본 발명의 실시예는 컴퓨터 네트워크 상에 가해지는 악의적인 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법에 관한 것이다. 그 방법은 제 1 네트워크 노드에서 미션 플랜을 실행하는 단계를 포함한다. 미션 플랜은 제 2 네트워크 노드를 위한 적어도 하나의 제 1 식별 파라미터가 그것과 연관된 복수의 가능한 값을 갖고; 그리고 가능한 값 중 적어도 두개가 타임 프레임의 복수의 타임슬롯 중 다른 타임슬롯에서 제 2 네트워크 노드로의 그리고 그로부터의 통신에서 사용되어야 함을 특정한다. 제 1 네트워크 노드에서, 수신된 패킷에 포함된 제 1 식별 파라미터를 위한 값은 그 값이 현재 타임슬롯을 위한 "정확한" 값인지 여부를 결정하도록 미션 플랜에서 특정된 가능한 값과 비교된다(즉, 미션 플랜에 의해 특정된 바와 같이, 현재 타임슬롯에서 제 2 네트워크 노드로의 그리고 그로부터의 통신에 사용될 가능한 값 중 하나). 그 값이 현재 타임슬롯에 대해 "정확하지" 않다고 결정되면, 그때 제 1 네트워크 노드는 컴퓨터 네트워크 상의 가능한 악의적 공격으로 식별, 억제 또는 지연시키는 적어도 하나의 작업을 수행한다. 그 작업은 수신된 패킷을 드롭하고, 수신된 패킷을 침입 분석 도구 또는 허니팟 분석 도구, 수신된 패킷과 연관된 로깅 정보로 포워딩하고, 수신된 패킷의 소스를 결정하거나, 또는 수신된 패킷의 소스로 응답을 보내는 것을 포함하지만, 그들로 한정되지 않는다.
본 발명은 컴퓨터 네트워크 보안, 그리고 더 구체적으로 네트워크가 악의적인 공격에 대해 방어하도록 동적으로 전환가능한 컴퓨터 네트워크의 두 개 이상의 논리 서브영역 사이에 통신하기 위한 시스템을 제공한다.
실시예는 다음의 도면을 참조하여 설명될 것이고, 동일한 도면 부호는 도면에 걸쳐 동일한 개체를 나타내며, 여기서:
도 1은 본 발명을 이해하기에 유용한 컴퓨터 네트워크의 실시예이다.
도 2는 식별 파라미터의 특정 조작을 수행하도록 본 발명에 사용될 수 있는 모듈의 실시예이다.
도 3은 도 1에서의 네트워크를 특징화하는 것을 돕도록 사용될 수 있는 툴을 이해하기에 유용한 도면이다.
도 4는 도 1에서의 모듈을 위한 동적 설정을 선택하기에 유용할 수 있는 그래픽 유저 인터페이스("GUI")의 대화 상자의 실시예이다.
도 5는 도 1에서 각각의 모듈과 연관된 활성 상태 및 바이패스 상태의 시퀀스를 선택하도록 사용될 수 있는 GUI의 대화 상자의 실시예이다.
도 6은 미션 플랜이 도 1에서의 네트워크에서 복수의 모듈에 전달될 수 있는 방식을 이해하기에 유용한 도표이다.
도 7은 도 6에 도시된 바와 같이 미션 플랜을 선택하고 모듈에 미션 플랜을 전달하도록 사용될 수 있는 GUI의 대화 상자의 실시예이다.
도 8은 도 1에서 모듈의 동작을 이해하기에 유용한 흐름도이다.
도 9는 미션 플랜을 생성하고 로딩하는 것에 관련해서 네트워크 제어 소프트웨어 어플리케이션("NCSA")의 동작을 이해하기에 유용한 흐름도이다.
도 10은 도 1에서 모듈을 실행하기에 유용할 수 있는 컴퓨터 아키텍처의 블록도이다.
도 11은 종래의 프로토콜 스택의 개략도이다.
도 12는 종래의 패킷의 개략도이다.
도 13은 이동 타킷 기술("MTT") 프로토콜 스택의 개략도이다.
도 14는 MTT 패킷의 개략도이다.
도 15는 식별 파라미터를 해석하도록 구성된 모듈의 동작을 이해하기에 유용한 개략도이다.
도 16-17 각각은 패킷의 적어도 하나의 식별 파라미터를 변경하기에 유용한 실시예 프로세스의 흐름도를 제공한다.
도 18은 도 1에 도시된 네트워크 관리 컴퓨터("NAC")를 실행하도록 사용될 수 있는 컴퓨터 아키텍처의 블록도이다.
도 19는 예시적인 미션 플랜의 개략도이다.
도 20a-20e 각각은 도 19에 도시된 적어도 하나의 미션 플랜을 위한 예시적인 시간 구조를 제공한다.
도 21은 섀도우 네트워킹을 위한 예시적인 방법의 흐름도이다.
본 발명은 첨부된 도면을 참조하여 설명된다. 도면은 축척에 따라 그려지지 않고 그들은 단지 즉각적으로 본 발명을 도시하도록 제공된다. 본 발명의 여러 측면은 도시를 위해 예시적인 어플리케이션을 참조하여 아래에 설명된다. 다수의 특정 세부사항, 관계, 및 방법은 본 발명의 완전한 이해를 제공하도록 제시된다는 것이 이해될 수 있다. 그러나 해당 기술분야의 당업자는 본 발명이 특정 세부사항 중 하나 이상 없이 또는 다른 방법으로 실시될 수 있다는 것을 용이하게 인지할 것이다. 다른 실시예에서, 공지된 구조 또는 동작은 본 발명을 모호하게 하는 것을 회피하도록 구체적으로 도시되지 않는다. 본 발명은 일부 동작이 다른 순서로 그리고/또는 다른 동작 또는 이벤트와 동시에 발생할 수 있기 때문에 동작 또는 이벤트의 도시된 순서에 의해 한정되지 않는다. 또한, 모든 도시된 동작 또는 이벤트가 본 발명에 따른 방법론을 실행하도록 요구되는 것은 아니다.
또한 여기에 사용된 용어가 특정 실시예를 설명하는 목적을 위한 것이고 본 발명을 한정하도록 의도되지 않는다는 것이 인지될 수 있다. 여기 사용된 바와 같이, 단수형 "어(a)", "언(an)" 및 "상기(the)"는 문맥이 달리 명백하게 지시하지 않는다면, 복수형 역시 포함하도록 의도된다. 또한, 용어 "포함하는(including)", "포함하다(includes)", "갖는(having)", "갖다(has)", "함께(with)", 또는 그것의 변형이 상세한 설명 및/또는 청구항에 사용된다면, 그러한 용어는 용어 "포함하는(comprising)"과 유사한 방식으로 포함하도록 의도된다.
또한, 달리 정의되지 않는다면, 여기에 사용된 모든 용어(기술적이고 과학적인 용어를 포함)는 본 발명이 속하는 해당 기술분야의 당업자에 의해 흔히 이해되는 바와 동일한 의미를 가진다. 공통으로 사용된 사전에 정의된 이들과 같은 용어는 관련 기술의 문맥에서의 의미에 일치하는 의미를 갖는 바와 같이 해석될 수 있고 여기에 강조해서 그렇게 정의되지 않으면 이상화되거나 지나치게 형식적인 관점에서 해석되지 않는다는 것이 더 이해될 수 있다.
식별 애자일 컴퓨터 네트워크
이제 도 1에 대해 언급하면서, 복수의 컴퓨팅 디바이스를 포함하는 예시적인 컴퓨터 네트워크(100)의 다이어그램이 도시되어 있다. 컴퓨팅 디바이스는 클라이언트 컴퓨터(101-103), NAC(104), 서버(111, 112), 네트워크층2 스위치(108, 109), 층3 스위치(110), 및 브릿지(115)를 포함할 수 있다. 클라이언트 컴퓨터(101-103)는 종래의 태블릿, 노트북, 랩탑 또는 데스크탑 컴퓨터와 같은 네트워크 서비스를 요구할 수 있는 임의 유형의 컴퓨팅 디바이스일 수 있다. 층3 스위치(110)는 컴퓨터 네트워크 사이에 데이터 패킷을 라우팅하는 종래의 라우팅 디바이스일 수 있다. 층2 스위치(108, 109)는 해당 기술분야에 공지된 바와 같은 종래의 허브 디바이스(예, 이더넷 허브)이다. 서버(111, 112)는 클라이언트 컴퓨터(101-103)에 의해 사용된 다양한 컴퓨팅 서비스를 제공할 수 있다. 예를 들어, 서버(111, 112)는 클라이언트 컴퓨터(101-103)에 의해 사용된 컴퓨터 파일의 공유된 저장을 위한 위치를 제공하는 파일 서버일 수 있다.
컴퓨터 네트워크(100)용 통신 미디어는 유선, 무선 또는 그 둘 모두일 수 있으나, 단순함을 위해 그리고 본 발명을 모호하게 하는 것을 피하기 위해 유선 네트워크로 여기에 설명될 수 있다. 네트워크는 통신 프로토콜을 사용하여 데이터를 통신할 것이다. 해당 기술분야에 공지된 바와 같이, 통신 프로토콜은 네트워크를 통해 데이터를 통신하도록 사용된 포맷 및 룰을 정의한다. 도 1에서 컴퓨터 네트워크(100)는 현재 공지되거나 장래에 공지될 임의 통신 프로토콜 또는 프로토콜의 조합을 사용할 수 있다. 예를 들어, 컴퓨터 네트워크(100)는 그러한 통신에 적합한 공지된 이더넷 프로토콜을 사용할 수 있다. 대안적으로, 컴퓨터 네트워크(100)는 인터넷 프로토콜 스위트의 프로토콜(종종 TCP/IP 스위트로 언급됨), 동기식 광통신망/동기식 디지털 계층 구조("SONET/SDH") 기반 프로토콜, 또는 비동기 전송 모드("ATM") 통신 프로토콜과 같은, 다른 프로토콜을 이용할 수 있다. 일부 실시예에서, 이들 통신 프로토콜 중 하나 이상은 조합해서 사용될 수 있다. 하나의 네트워크 토폴로지가 도 1에 도시됨에도, 본 발명은 이점에서 제한되지 않는다. 대신에, 버스 네트워크, 스타 네트워크, 링 네트워크 또는 메쉬 네트워크와 같은 임의 유형의 적합한 네트워크 토폴로지가 사용될 수 있다.
본 발명은 일반적으로 데이터가 제 1 컴퓨팅 디바이스로부터 제 2 컴퓨팅 디바이스로 전달되는 컴퓨터 네트워크(예, 컴퓨터 네트워크(100)에서)에서 데이터를 통신하기 위한 방법에 관한 것이다. 네트워크 내의 컴퓨팅 디바이스는 다중 식별 파라미터로 표현된다. 여기에 사용된, 어구 "식별 파라미터"는 IP 어드레스, 미디어 액세스 제어("MAC") 어드레스, 포트 넘버 등과 같은 아이템을 포함할 수 있다. 그러나, 본 발명은 이 점에서 한정되지 않고, 식별 파라미터는 또한 네트워크 노드를 특징화하기에 유용한 다양한 다른 정보를 포함할 수 있다. 여기에 고려되는 다양한 유형의 식별 파라미터가 아래에 더 구체적으로 논의된다.
본 발명의 배열은 컴퓨터 네트워크(100) 내의 하나 이상의 컴퓨팅 디바이스를 위한 그러한 식별 파라미터 중 하나 이상을 조작하기 위한 MTT의 사용을 포함한다. 이러한 기법은 그러한 컴퓨팅 디바이스의 통신 패턴 및 네트워크 어드레스를 가장한다. 여기에 설명된 바와 같은 식별 파라미터의 조작은 컴퓨터 네트워크(100)에서 데이터 통신과 관련해서, 즉, 데이터가 네트워크에서 제 1 컴퓨터(예, 클라이언트 컴퓨터(101))로부터 네트워크에서 제 2 컴퓨터(예, 클라이언트 컴퓨터(102))로 통신될 때 일반적으로 수행된다. 따라서, 조작되는 식별 파라미터는 소스 컴퓨팅 디바이스(즉, 데이터가 발생된 디바이스) 및 목적지 컴퓨팅 디바이스(즉, 데이터가 보내질 디바이스)의 이들을 포함할 수 있다. 통신되는 식별 파라미터의 세트는 식별 파라미터("IDP") 세트로 여기에 언급된다. 이러한 개념이 IDP 세트(120)가 데이터 패킷(미도시)의 일부분으로서 클라이언트 컴퓨터(101)에 의해 송신되는 것을 나타내는, 도 1에 도시된다.
본 발명의 배열에 따른 프로세스는 컴퓨터 네트워크(100) 내의 제 1 위치에서 소스 컴퓨팅 디바이스 및/또는 목적지 컴퓨팅 디바이스의 하나 이상의 식별 파라미터를 특정하는 데이터 패킷 또는 데이터그램에 포함된 값을 선택적으로 수정하는 것을 포함한다. 식별 파라미터는 미션 플랜에 따라서 수정된다. 그러한 수정이 수행되는 위치는 컴퓨터 네트워크(100)의 하나의 모듈(105-107, 113, 114)의 위치와 일반적으로 일치할 것이다. 도 1에 대해 다시 한 번 더 언급하면서, 모듈(105-107, 113, 114)이 그러한 네트워크에서 노드를 포함하는 다양한 컴퓨팅 디바이스 사이의 컴퓨터 네트워크(100)에 개재된다는 것이 관찰될 수 있다. 이들 위치에서, 모듈(105-107, 113, 114) 인터셉트 데이터 패킷 통신은 식별 파라미터의 필요한 조작을 수행하고, 송신 경로를 따라 데이터 패킷을 재송신한다. 대안적인 실시예에서, 모듈(105-107, 113, 114)은 유사한 기능을 수행할 수 있지만, 컴퓨팅 디바이스 중 하나 이상에 직접적으로 일체화될 수 있다. 예를 들어, 모듈은 클라이언트 컴퓨터(101, 102, 103), 서버(111, 112), 층2 스위치(108, 109) 및/또는 층3 스위치(110)에 일체화될 수 있다. 이러한 시나리오에서, 모듈은 컴퓨팅에 추가되는 하드웨어 및/또는 컴퓨팅 디바이스(101-103, 108-112) 상에 설치되는 소프트웨어를 포함할 수 있다. 일부 소프트웨어 실시예에서, 모듈은 식별 파라미터를 수정하는 커널 모드 소프트웨어로서(예, 디바이스 드라이버로서) 실행된다.
부가적으로, 컴퓨터 네트워크(100)는 층3 스위치(110)를 통해 연결된, 때때로 서브-네트워크 또는 서브넷으로 언급되는 다수의 논리 서브영역으로 나누어질 수 있다. 엔터프라이즈 네트워크는 외부 호스트에 보일 수 있는 것으로부터 네트워크의 토폴로지를 숨기고, 다른 네트워크 프로토콜을 사용하여 네트워크를 연결하며, 서브넷 레벨 상의 네트워크 어드레싱 스킴을 분리하여 관리하고, 제한된 데이터 연결로인한 서브넷을 가로지른 데이터 트래픽의 관리를 가능하게 하고, 그리고 그와 유사한 것을 포함하지만, 그들로 한정되지 않는 다양한 관리 또는 기술적 이유로 인해 다수의 서브넷으로 나누어질 수 있다. 서브넷팅은 해당 기술분야에 공지되어 있고 더 구체적으로 설명되지 않을 것이다.
도 1에 대해 다시 언급하면서, 컴퓨터 네트워크(100)는 두 개의 논리 네트워크, 즉 제 1 논리 네트워크(130) 및 제 2 논리 네트워크(132)로 나누어진다. 여기에 사용된 바와 같은, 어구 "논리 네트워크"는 컴퓨터 네트워크의 임의의 논리 서브영역을 말한다. 실시예에서, 논리 네트워크(130, 132)는 층3 스위치(110)를 통해 연결된다. 층3 스위치(110)는 논리 네트워크 사이에(즉, 클라이언트 컴퓨터(101)로부터 클라이언트 컴퓨터(103)로) 트래픽을 지향하는데 책임이 있다. 층3 스위치(110)는 또한 제 2 네트워크(124)에 결합된 컴퓨터 네트워크(100)에 연결된 임의의 호스트로부터 트래픽을 지향하는데 책임이 있다. 도 1에 도시된 실시예에서, 컴퓨터 네트워크(100)로부터 제 2 네트워크(124)로 라우팅된 트래픽은 브릿지(115)를 통해 통과한다. 위의 모듈에 대해서, 브릿지(115)의 기능성은 층3 스위치(110) 내에 일체화될 수 있다.
모듈(105)의 기능 블록도의 실시예가 도 2에 도시된다. 도 1의 모듈(106, 107, 113, 114)은 도 2에 도시된 것과 유사한 기능 블록도를 가질 수 있지만, 본 발명이 이 점에서 한정되지 않는다는 것이 이해되어야만 한다. 도 2에 도시된 바와 같이, 모듈(105)은 각각이 각각의 네트워크 인터페이스 디바이스(204, 205)에 대응할 수 있는 적어도 두 개의 데이터 포트(201, 202)를 가진다. 데이터 포트(201)에 수신된 데이터는 네트워크 인터페이스 디바이스(204)에서 처리되고 입력 버퍼(210)에 임시 저장된다. 프로세서(215)는 입력 버퍼(210)에 포함된 입력 데이터 패킷에 접근하고 여기에 설명된 바와 같은 식별 파라미터의 임의 필요한 조작을 수행한다. 수정된 데이터 패킷은 출력 버퍼(212)로 통과되고 이어서 네트워크 인터페이스 디바이스(205)를 사용하여 데이터 포트(202)로부터 송신된다. 유사하게, 데이터 포트(202)에 수신된 데이터는 네트워크 인터페이스 디바이스(205)에서 처리되고 입력 버퍼(208)에 임시 저장된다. 프로세서(215)는 입력 버퍼(208)에 포함된 입력 데이터 패킷에 접근하고 여기에 설명된 바와 같은 식별 파라미터의 임의 필요한 조작을 수행한다. 수정된 데이터 패킷은 출력 버퍼(206)로 통과되고 이어서 네트워크 인터페이스 디바이스(204)를 사용하여 데이터 포트(201)로부터 송신된다. 모듈(105)에서, 식별 파라미터의 조작은 메모리(218)에 저장된 미션 플랜(220)에 따라 프로세서(215)에 의해 수행된다.
모듈(105)은 그것이 양방향으로 동작하도록 바람직하게 구성된다는 것이 도 2로부터 이해될 것이다. 그러한 실시예에서, 모듈(105)은 특정 데이터 패킷의 소스에 따라서, 다른 수정 기능을 실행할 수 있다. 모듈(105)에서 동적인 수정 기능은 특정 데이터 패킷의 소스 컴퓨팅 디바이스에 따라 미션 플랜에서 특정될 수 있다. 모듈(105)은 임의의 적합한 수단에 의해 데이터 패킷의 소스를 결정할 수 있다. 예를 들어, 데이터 패킷의 소스 어드레스는 이러한 목적을 위해 사용될 수 있다.
동작 동안, 프로세서(215)는 참 식별 파라미터 값 대신에 사용될 하나 이상의 거짓 식별 파라미터 값을 판단할 것이다. 프로세서(215)는 하나 이상의 참 식별 파라미터 값을 의사랜덤 함수에 의해 바람직하게 특정되는 하나 이상의 거짓 식별 파라미터 값으로 변환할 것이다. 이러한 변환에 이어서, 모듈(105)은 송신 경로를 따라서 수정된 패킷 또는 데이터그램을 컴퓨터 네트워크(100)의 다음의 노드로 보낼 것이다. 통신 경로에서 이어지는 포인트에서, 그러한 네트워크 통신을 모니터링하는 적은 컴퓨터 네트워크(100) 상에 통신하는 컴퓨팅 디바이스의 식별에 관한 거짓 또는 부정확한 정보를 발견할 것이다.
바람직한 실시예에서, 의사랜덤 함수에 의해 특정된 거짓 식별 파라미터는 적어도 하나의 프로액티브 트리거 이벤트 또는 적어도 하나의 리액티브 트리거 이벤트의 발생에 따라서 변화된다. 프로액티브/리액티브 트리거 이벤트는 프로세서(215)가 참 식별 파라미터가 변환되는 거짓 식별 파라미터 값의 새로운 세트를 발생시키도록 의사랜덤 함수를 사용하게 한다. 따라서, 프로액티브/리액티브 트리거 이벤트는 여기에 설명된 거짓 식별 파라미터의 동적인 변화에 관한 토대로서 역할한다. 프로액티브 및 리액티브 트리거 이벤트는 아래에 더 구체적으로 논의된다. 그러나 식별 파라미터에 관한 거짓값의 새로운 세트를 선택하기 위한 프로액티브/리액티브 트리거 이벤트가 적어도 하나의 미리정의된 룰에 기반할 수 있다는 것이 언급되어야만 한다. 룰은 적어도 하나의 프로액티브 또는 리액티브 트리거 이벤트를 정의하는 문장을 포함한다. 이 점에서, 사용자 룰은 프로액티브 트리거링 스킴 또는 리액티브 트리거링 스킴을 실행할 수 있다. 프로액티브 트리거링 스킴은 시간 기반 스킴을 포함한다. 리액티브 트리거링 스킴은 사용자 활성 기반 스킴, 패킷 검사 기반 스킴, 혼잡도 기반 스킴, 휴리스틱 알고리즘 기반 스킴 및/또는 네트워크 기반 공격("NBA") 분석 기반 스킴을 포함할 수 있다. 열거된 스킴의 각각은 아래에 구체적으로 설명될 것이다.
위에 설명된 식별 파라미터의 변환은 사이버 공격을 막는 목적을 위해 컴퓨터 네트워크(100)를 전환시키는 하나의 방식을 제공한다. 바람직한 실시예에서, 프로세서(215)에 의해 실행된 미션 플랜(220)은 또한 컴퓨터 네트워크(100)가 전환할 수 있는 방식의 특정 다른 측면을 제어할 것이다. 예를 들어, 미션 플랜(220)은 식별 파라미터의 동적 선택이 조작된다는 것을 특정할 수 있다. 동적인 선택은 어느 식별 파라미터가 수정을 위해 선택되는지의 선택 및/또는 선택되는 그러한 식별 파라미터의 수를 포함할 수 있다. 이러한 가변적인 선택 프로세스는 컴퓨터 네트워크(100)에 대해 침투하거나 습득하려는 적의 노력을 더 막을 수 있도록 사용될 수 있는 추가된 불특정성 또는 변동성의 특성을 제공한다. 이러한 기법의 실시예로서, 제 1 시간 기간 동안, 모듈(105)이 각각의 데이터 패킷의 목적지 IP 어드레스 및 목적지 MAC 어드레스를 수정할 수 있다는 것을 고려한다. 제 2 시간 기간 동안, 모듈(105)은 각각의 데이터 패킷에서 소스 IP 어드레스 및 소스 호스트 네임을 조작할 수 있다. 시간의 제 3 기간 동안, 모듈(105)은 소스 포트 넘버 및 소스 사용자 네임을 조작할 수 있다. 식별 파라미터의 선택에서 변화는 동시에 발생할 수 있다(즉, 모든 선택된 식별 파라미터는 동시에 변화된다). 대안적으로, 식별 파라미터의 선택에서의 변화는 비동기로 발생할 수 있다(즉, 선택된 식별 파라미터의 그룹은 개별 식별 파라미터가 선택된 식별 파라미터의 그룹으로부터 추가되거나 제거됨에 따라 점차적으로 변한다).
의사랜덤 함수는 바람직하게 거짓값으로 조작되거나 변환될 식별 값의 선택을 결정하도록 사용된다. 달리 말해서, 모듈(105)은 의사랜덤 함수에 의해 선택된 식별 파라미터만을 변환할 것이다. 바람직한 실시예에서, 의사랜덤 함수에 의해 특정된 식별 파라미터의 선택은 프로액티브/리액티브 트리거 이벤트의 발생에 따라 변화된다. 프로액티브/리액티브 트리거 이벤트는 프로세서(215)가 거짓 식별 파라미터로 변환될 식별 파라미터의 새로운 선택을 발생시키도록 의사랜덤 함수를 사용하게 한다. 따라서, 프로액티브/리액티브 트리거 이벤트는 여기에 설명된 식별 파라미터의 선택의 동적인 변화를 위한 토대로서 역할한다. 특히, 식별 파라미터의 값은 또한 의사랜덤 알고리즘에 따라 변화될 수 있다.
그 모듈(105)은 또한 사이버 공격을 막는 목적을 위해 컴퓨터 네트워크를 전환하는 제 3의 방법을 유리하게 제공할 수 있다. 구체적으로, 모듈(105)에 로딩된 미션 플랜(220)은 식별 파라미터의 수정 또는 변환이 발생할 수 있는 네트워크 내의 위치를 동적으로 변하게 할 수 있다. 클라이언트 컴퓨터(101)로부터 클라이언트 컴퓨터(102)로 보내진 IDP 세트(120)에서 식별 파라미터의 수정이 모듈(105)에서 발생할 수 있다는 것을 고려한다. 이러한 조건은 IDP 세트(120)가 새로운 또는 수정된 IDP 세트(122)로 변환되도록 IDP 세트(120)에 포함된 식별 파라미터가 모듈(105)에서 조작되는 도 1에 도시된다. IDP 세트(122)에서 식별 파라미터의 적어도 일부는 IDP 세트(120)에서의 식별 파라미터에 비해 다르다. 그러나 그러한 변환이 발생하는 위치는 또한 바람직하게 미션 플랜에 의해 제어된다. 따라서, IDP 세트(120)의 조작은 예를 들어, 모듈(105)에서 대신에 도 1의 모듈(113, 114)에서 때때로 발생할 수 있다. 식별 파라미터의 조작이 발생하는 위치를 선택적으로 변경하는 이러한 능력은 컴퓨터 네트워크(100)의 전환 능력에 더 중요한 특성을 부가한다.
식별 파라미터가 수정되는 위치에서 동적인 변화는 도 1의 각각의 모듈(105-107, 113, 114)의 동작 상태를 선택적으로 제어하는 것에 의해 용이해진다. 그 목적을 위해, 도 1의 각각의 모듈(105-107, 113, 114)의 동작 상태는 바람직하게 (1) 데이터가 현재의 미션 플랜에 따라 처리되는 활성 상태, 및 (2) 모듈이 존재하지 않았던 것처럼 패킷이 모듈을 통해 흐를 수 있는 바이패스 상태를 포함한다. 동적인 수정이 수행되는 위치는 선택적으로 컴퓨터 네트워크(100)의 특정 모듈이 활성 상태에 있게 하고 컴퓨터 네트워크(100)의 특정 모듈이 대기 상태에 있게 하는 것에 의해 제어된다. 위치는 조정된 방식으로 도 1의 모듈(105-107, 113, 114)의 현재 상태를 동적으로 변경하는 것에 의해 동적으로 변화될 수 있다.
미션 플랜(220)은 식별 파라미터가 조작될 컴퓨터 네트워크(100) 내의 위치를 결정하기 위한 미리 정해진 시퀀스를 포함할 수 있다. 식별 파라미터가 조작될 위치는 때때로 프로액티브/리액티브 트리거 이벤트에 의해 지시된 미리 정해진 시퀀스를 따라 변할 것이다. 예를 들어, 프로액티브/리액티브 트리거 이벤트는 여기에 설명된 바와 같은 식별 파라미터의 조작 또는 변환을 위한 새로운 위치로의 천이를 야기할 수 있다. 따라서, 프로액티브/리액티브 트리거 이벤트는 식별 파라미터가 수정되는 위치에서 변화의 발생을 위한 토대로서 역할하고, 미리 정해진 시퀀스는 어디에 새로운 위치가 있을지를 결정한다.
앞서 언급한 것으로부터, 데이터 패킷이 거짓 식별 파라미터를 포함하도록 도 1의 모듈(105-107, 113, 114)에서 수정된다는 것이 인지될 것이다. 컴퓨터 네트워크(100) 내의 일부 포인트에서, 식별 파라미터를 참값으로 복원하는 것이 필요하고, 그래서 식별 파라미터는 특정 네트워크 프로토콜에 따라 의도된 기능을 적절하게 수행하도록 사용될 수 있다. 따라서, 본 발명의 배열은 또한 제 2 위치(즉, 제 2 모듈)에서 미션 플랜(220)에 따라 식별 파라미터에 대해 할당된 값을 동적으로 수정하는 것을 포함한다. 제 2 위치에서 수정은 식별 파라미터를 수정하도록 제 1 위치에서 사용된 프로세스의 역을 핵심적으로 포함한다. 따라서 제 2 위치에서 모듈은 거짓값 식별 파라미터를 그들의 참값으로 다시 복구하거나 변환할 수 있다. 이러한 동작을 달성하기 위해, 제 2 위치에서 모듈은 적어도 (1) 변환될 식별 파라미터 값의 선택, 및 (2) 거짓값에서 참값으로의 선택된 식별 파라미터의 정확한 변환을 결정할 수 있어야만 한다. 사실상, 이러한 프로세스는 식별 파라미터 선택 및 그러한 식별 파라미터에 영향을 준 변화를 결정하도록 사용된 의사랜덤 프로세스 또는 프로세스들의 역을 포함한다. 역변환 단계는 도 1에 도시되고, 여기서 IDP 세트(122)는 모듈(106)에서 수신되고, IDP 세트(122)에서의 식별 파라미터 값은 원래 또는 참값으로 다시 변환되거나 조작된다. 이러한 시나리오에서, 모듈(106)은 식별 파라미터 값을 IDP 세트(120)의 것으로 다시 변환한다.
특히, 모듈은 그것이 수신하는 각각의 데이터 통신에 적용하기 위한 적절한 변환 또는 조작을 결정하는 일부 방식을 가져야만 한다. 바람직한 실시예에서, 이러한 결정은 수신된 데이터 통신 내에 포함된 적어도 소스 어드레스 식별 파라미터를 검토하는 것에 의해 수행된다. 예를 들어, 소스 어드레스 식별 파라미터는 소스 컴퓨팅 디바이스의 IP 어드레스를 포함할 수 있다. 소스 컴퓨팅 디바이스의 참 식별이 알려지면, 모듈은 어떤 조치를 취할 필요가 있는지를 결정하기 위해 미션 플랜(또는 미션 플랜으로부터 유도된 정보)을 참고한다. 예를 들어, 이들 조치는 특정 참 식별 파라미터 값을 거짓 식별 파라미터 값으로 변환하는 것을 포함할 수 있다. 대안적으로, 이러한 변화는 거짓 식별 파라미터 값을 참 식별 파라미터 값으로 다시 변환하는 것을 포함할 수 있다.
특히, 수신된 데이터 통신에 포함된 소스 어드레스 식별 파라미터 정보가 거짓값으로 변화되는 예가 있을 것이다. 이러한 환경에서, 데이터 통신을 수신하는 모듈은 데이터 통신의 소스의 식별을 즉시 결정할 수 없을 것이다. 그러나, 통신을 수신했던 모듈은 그러한 예에서 소스 컴퓨팅 디바이스를 여전히 식별할 수 있다. 이것은 특정 시간 동안 사용 시에 모든 그러한 거짓 소스 어드레스 식별 파라미터 값을 나열하는 룩-업-테이블("LUT")과 거짓 소스 어드레스 식별 파라미터 값을 비교하는 것에 의해 수신 모듈에서 달성된다. LUT는 또한 거짓 소스 어드레스 값에 대응하는 참 소스 어드레스 식별 파라미터 값의 목록을 포함한다. LUT는 미션 플랜(220)에 의해 직접적으로 제공될 수 있거나 미션 플랜(220) 내에 포함된 정보에 의해 발생될 수 있다. 둘 중 어느 한 경우에, 참 소스 어드레스 식별 파라미터 값의 식별화는 LUT로부터 쉽게 결정될 수 있다. 참 소스 어드레스 식별 파라미터가 결정되면, 그때 데이터 통신을 수신했던 모듈은 식별 파라미터에 어떤 조작이 요구되는지를 (미션 플랜에 기반해서) 결정하도록 이러한 정보를 사용할 수 있다.
특히, 미션 플랜(220)은 또한 식별 파라미터가 참값으로 복구되는 제 2 위치에서의 변화를 특정할 수 있다. 예를 들어, 식별 파라미터가 모듈(105)을 포함하는 제 1 위치에서 동적으로 수정되는 것을 가정한다. 미션 플랜은 참값으로의 식별 파라미터의 복구가 설명된 바와 같이 모듈(106)에서 발생하는 것을 특정할 수 있지만, 대신에 동적인 수정이 모듈(113, 114)에서 발생하는 것을 대안적으로 특정할 수 있다. 일부 실시예에서, 그러한 조작이 발생하는 위치는 미리 정의된 시퀀스에 따라 미션 플랜에 의해 동적으로 결정된다. 미리 정의된 시퀀스는 식별 파라미터의 조작이 발생하는 위치 또는 모듈의 시퀀스를 결정할 수 있다.
다른 위치에서 동적 수정을 포함하는 천이는 바람직하게 프로액티브/리액티브 트리거 이벤트에 따라 일어난다. 따라서, 미리 정의된 시퀀스는 데이터 조작이 발생하는 위치의 패턴 또는 시퀀스를 결정하고, 프로액티브/리액티브 트리거 이벤트는 하나의 위치로부터 다음으로의 천이를 야기하기 위한 토대로서 역할한다. 프로액티브/리액티브 트리거 이벤트는 아래에 더 구체적으로 논의되지만; 프로액티브/리액티브 트리거 이벤트가 적어도 하나의 미리 정의된 룰에 기반할 수 있다는 것이 언급되어야만 한다. 룰은 적어도 하나의 프로액티브/리액티브 트리거 이벤트를 정의하는 문장을 포함한다. 이 점에서, 룰은 프로액티브 트리거링 스킴 또는 리액티브 트리거링 스킴을 실행할 수 있다. 프로액티브 트리거링 스킴은 시간 기반 스킴을 포함한다. 리액티브 트리거링 스킴은 사용자 활성 기반 스킴, 패킷 검사 기반 스킴, 혼잡도 기반 스킴, 휴리스틱 알고리즘 기반 스킴 및/또는 NBA 분석 기반 스킴을 실행할 수 있다. 열거된 스킴의 각각은 아래에 구체적으로 설명될 것이다. 제 2 위치(즉, 식별 파라미터가 참값으로 되돌아가는 곳)의 선택에 대한 제어는 제 1 위치에 관해 위에 설명된 바와 동일한 방식으로 영향받을 수 있다. 구체적으로, 둘 이상의 모듈의 동작 상태는 활성 상태와 바이패스 상태 사이에 토글링될 수 있다. 식별 파라미터의 조작은 활성 동작 상태를 갖는 모듈에서만 발생할 것이다. 바이패스 동작 상태를 갖는 모듈은 수정 없이 데이터 패킷을 단순히 통과시킬 것이다.
대안적인 방법 역시 식별 파라미터의 조작이 발생할 위치를 제어하도록 사용될 수 있다. 예를 들어, 네트워크 관리자는 미션 플랜에서 식별 파라미터가 참값에서 거짓값으로 변환될 수 있는 여러 가능한 모듈을 정의할 수 있다. 프로액티브/리액티브 트리거 이벤트의 발생 시에, 새로운 위치는 의사랜덤 함수를 사용하고, 의사랜덤 함수를 위한 시드값으로 트리거 시간을 사용하는 것에 의해 여러 모듈 가운데로부터 선택될 수 있다. 각각의 모듈이 동일한 최초 시드 값을 사용하여 동일한 의사랜덤 함수를 실행한다면 그때 각각의 모듈은 동일한 의사랜덤 값을 계산할 것이다. 트리거 시간은 (GPS 시간 또는 시스템 클록 시간과 같은) 클록 시간에 기반해서 결정될 수 있다. 이 방식으로, 각각의 모듈은 그것이 현재 식별 파라미터의 조작이 발생해야만 하는 활성 위치인지 여부를 독립적으로 결정할 수 있다. 유사하게, 네트워크 관리자는 미션 플랜에서 동적인 조작이 식별 파라미터를 참값으로 되돌리는 여러 가능한 모듈을 정의할 수 있다. 어느 모듈이 이러한 목적을 위해 사용되는가에 대한 선택 역시 여기에 설명된 바와 같이 트리거 시간 및 의사랜덤 함수에 따라 결정될 수 있다. 식별 파라미터 조작이 발생할 위치 또는 모듈을 결정하기 위한 다른 방법 역시 가능하다. 따라서, 본 발명은 여기에 설명된 특정 방법으로 한정되는 것으로 의도되지 않는다.
특히, 식별 함수가 조작되는 제 1 및/또는 제 2 위치의 위치를 변경하는 것은 네트워크 통신 경로를 따라 제 1 및 제 2 위치 사이의 물리적 거리를 변경하는 것을 종종 초래할 것이다. 제 1 및 제 2 위치 사이의 거리는 거리 벡터로서 여기에 언급된다. 거리 벡터는 제 1 및 제 2 위치 사이의 통신 경로에 따른 실제 물리적 거리일 수 있다. 그러나, 제 1 및 제 2 위치 사이의 통신 경로에 존재하는 네트워크 노드의 수를 나타내는 바와 같이 거리 벡터를 생각하는 것은 유용하다. 네트워크 내의 제 1 및 제 2 위치에 대해 다른 위치를 동적으로 선택하는 것은 제 1 및 제 2 위치 사이의 노드의 수를 변경하는 효과를 가질 수 있다는 것이 인지될 것이다. 예를 들어, 도 1에서, 식별 파라미터의 동적인 수정은 모듈(105, 106, 107, 113, 114) 중 선택된 하나에서 실행된다. 동적 수정을 각각 실행하도록 실제로 사용된 모듈은 앞서 설명된 바와 같이 결정된다. 모듈(105)이 식별 파라미터를 거짓값으로 변환하도록 사용되고 모듈(106)이 그들을 참값으로 다시 변환하도록 사용된다면, 그때 모듈(105, 106) 사이에 세 개의 네트워크 노드(108, 110, 109)가 있다. 그러나 모듈(113)이 거짓값으로 변환하도록 사용되고 모듈(114)이 식별 파라미터를 참값으로 다시 변환하도록 사용된다면, 그때 모듈(113, 114) 사이에 단지 하나의 네트워크 노드(110)만이 있다. 따라서, 동적 수정이 발생하는 위치의 위치를 동적으로 변경하는 것은 거리 벡터를 동적으로 변경할 수 있다는 것이 인지될 수 있다. 거리 벡터의 이러한 변동은 여기에 설명된 바와 같이 네트워크 전환 또는 수정에 추가된 가변성의 특성을 제공한다.
본 발명에서, 식별 파라미터 값의 조작, 식별 파라미터의 선택, 및 이들 식별 파라미터가 있는 위치가 전환 파라미터로서 각각 정의된다. 변경이 이들 세 개의 전환 파라미터 중 하나에서 발생할 때마다, 네트워크 전환이 발생했다고 말해질 수 있다. 언제든 이들 세 개의 전환 파라미터 중 하나가 변경되면, 네트워크 전환이 발생했다고 말할 수 있다. 컴퓨터 네트워크(100)에 침투하려는 적들의 노력을 가장 효과적으로 방해하기 위해서, 네트워크 전환은 바람직하게 앞서 설명된 바와 같이 의사랜덤 프로세스에 의해 제어된다. 해당 기술분야의 당업자는 혼돈 프로세스 역시 이러한 기능을 수행하도록 사용될 수 있다는 것을 인지할 것이다. 혼돈 프로세스는 의사랜덤 함수에 비해 기술적으로 다르지만, 본 발명의 목적을 위해, 둘 중 어느 하나가 사용될 수 있고, 그 두 개는 동일한 것으로 간주된다. 일부 실시예에서, 동일한 의사랜덤 프로세스는 전환 파라미터 중 두 개 이상을 동적으로 변경하도록 사용될 수 있다. 그러나, 본 발명의 바람직한 실시예에서, 두 개 이상의 다른 의사랜덤 프로세스가 이들 전환 파라미터 중 둘 이상이 다른 것들과 독립적으로 수정되도록 사용된다.
프로액티브 리액티브 트리거 이벤트
위에 언급된 바와 같이, 전환 파라미터의 각각에 대한 동적 변경은 적어도 하나의 프로액티브 또는 리액티브 트리거에 의해 제어된다. 프로액티브 트리거는 변경이 여기 설명된 동적 수정에 관련해서 발생하게 하는 미리 정의된 이벤트이다. 반대로, 리액티브 트리거는 변경이 여기에 설명된 동적 수정에 관련하여 발생하도록 하는 순수하게 자발적이거나 또는 사용자에 의해 시작된 이벤트이다. 달리 말해서, 프로액티브 또는 리액티브 트리거는 네트워크가 이전 시간에서(즉, 프로액티브 또는 리액티브 트리거의 발생 전에)와 다른 새로운 방식으로 전환하게 한다는 것이 언급될 수 있다. 예를 들어, 시간의 제 1 기간 동안, 미션 플랜 또는 보안 모델이 IP 어드레스가 값 A로부터 값 B로 변경되게 할 수 있지만; 대신에 프로액티브/리액티브 트리거 이벤트 후에, IP 어드레스는 값 A에서 값 C로 변경될 수 있다. 유사하게, 시간의 제 1 기간 동안 미션 플랜 또는 보안 모델은 IP 어드레스 및 MAC 어드레스가 수정되게 할 수 있지만; 대신에 프로액티브/리액티브 트리거 이벤트 후에, 미션 플랜 또는 보안 모델은 MAC 어드레스 및 사용자 네임이 수정되게 할 수 있다.
가장 단순한 형태로 프로액티브 트리거 이벤트는 시간 기반 스킴에 기반할 수 있다. 시간 기반 스킴에서, 각각의 모듈에서 클록 시간은 트리거로서 역할할 수 있다. 예를 들어, 트리거 이벤트는 매 N(예, 60)초 시간 간격의 만료 시에 발생하는 것으로 정의될 수 있다. 그러한 배열에 있어서, 전환 파라미터 중 하나 이상이 미리 정의된 클록 시간에 따라서 매 N(예, 60)초마다 변할 수 있다. 일부 실시예에서, 전환 파라미터의 전부가 변경이 동기화되도록 동시에 변경할 수 있다. 조금 더 복잡한 실시예에서, 시간 기반 트리거 배열 역시 사용될 수 있지만, 다른 고유한 트리거 시간 간격이 각각의 전환 파라미터에 대해 선택될 수 있다. 따라서, 거짓 식별 파라미터 값은 시간 간격 X에서 변경될 수 있고, 식별 파라미터의 선택은 시간 간격 Y에 따라 변할 수 있으며, 그러한 변화가 수행되는 위치는 시간 간격 Z에서 발생할 수 있고, 여기서 X, Y 및 Z는 다른 값이다.
트리거 메커니즘으로서 클록 시간에 의존하는 본 발명의 실시예에서, 인식되지 않은 식별 파라미터로 인해 패킷이 손실되거나 떨어지지 않는다는 것을 보장하도록 다양한 모듈(105, 106, 107, 113, 114)에서 클록 사이에서와 같이 동기화를 제공하는 것이 유리하다는 것이 인지될 것이다. 동기화 방법은 공지되어 있고 임의의 적합한 동기화 메커니즘이 이러한 목적을 위해 사용될 수 있다. 예를 들어, 모듈은 GPS 클록 시간과 같은 매우 정확한 시간 기준을 사용하는 것에 의해 동기화될 수 있다. 대안적으로, 고유한 무선 동기화 신호가 중앙 제어 시설로부터 각각의 모듈로 방송될 수 있다.
가장 단순한 형태로 리액티브 트리거는 사용자 활성 기반 스킴, 패킷 검사 기반 스킴, 혼잡도 기반 스킴, 휴리스틱 알고리즘 기반 스킴 및/또는 NBA 분석 기반 스킴에 기반할 수 있다. 사용자 활성 기반 스킴에서, 사용자-소프트웨어 상호작용은 트리거 이벤트를 규정한다. 예를 들어, 트리거 이벤트는 컴퓨팅 디바이스(예, 도 1의 컴퓨팅 디바이스(101-103))의 사용자가 사용자 인터페이스의 소정 버튼을 누를 때 발생한다.
패킷 검사 기반 스킴은 패킷의 기원, 패킷의 목적지, 기원 또는 목적지가 속하는 그룹, 및/또는 패킷에 포함된 페이로드의 유형을 식별하는 식별자를 얻도록 패킷을 분석하는 것을 포함할 수 있다. 패킷 검사 기반 스킴은 또한 코드 단어가 그 안에 포함되는지 여부를 결정하도록 패킷을 분석하는 것을 포함할 수 있다. 그러한 패킷 검사를 얻기 위한 기법은 해당 기술분야에 공지되어 있다. 현재 공지되거나 또는 장래에 공지될 임의의 그러한 기법이 제한 없이 본 발명으로 사용될 수 있다. 일부 실시예에서, 리액티브 트리거 이벤트는 식별자의 값이 미리 정의된 값에 일치할 때 발생한다.
패킷 검사 시나리오에서, 패킷에서 내용의 특정 유형의 포함은 트리거가 기반하는 타이밍 스킴을 선택하기 위한 트리거로서 또는 파라미터로서 역할한다. 예를 들어, 트리거 이벤트는 (a) 단체의 특정 사람(예, 군대의 사령관)이 단체의 다른 멤버에게 정보를 전달할 때, 및/또는 (b) 특정 코드 단어가 패킷 내에 포함될 때 발생하는 것으로 정의될 수 있다. 대안적으로 또는 부가적으로, 트리거 이벤트는 특정 패킷 검사 어플리케이션에 따라 선택된 타이밍 스킴에 의해 정의된 바와 같이 매 N 초 시간 간격의 만료에서 발생하는 바와 같이 정의될 수 있고, 여기서 N은 정수이다. 이 점에서, 일부 실시예에서 제 1 타이밍 스킴은 (a) 단체의 제 1 사람(예, 군대의 사령관)이 단체의 다른 멤버와의 통신 세션을 요청할 때 또는 (b) 특정 코드 단어가 패킷 내에 존재할 때 선택될 수 있다는 것이 이해될 수 있다. 제 2 다른 타이밍 스킴은 (a) 단체의 제 2 사람(예, 군대의 소령)이 단체의 다른 멤버와의 통신 세션을 요청할 때 또는 (b) 제 2 코드 단어가 패킷 내에 존재하는 등의 때에 선택될 수 있다. 본 발명의 실시예는 위에 제공된 실시예의 세부사항으로 한정되지 않는다. 이 점에서, 패킷에 포함된 다른 내용이 트리거 이벤트를 규정할 수 있다는 것이 이해될 수 있다. 예를 들어, 패킷의 페이로드가 민감하거나 기밀인 정보를 포함한다면, 그때 새로운 미션 플랜 또는 보안 모델이 언급된 정보의 민감도 또는 기밀도의 레벨에 따라 선택될 수 있다.
그러한 시간 기반 트리거 배열에 있어서, 전환 파라미터 중 하나 이상이 미리 정의된 클록 시간에 따라서 매 N(예, 60)초마다 변할 수 있다. 일부 실시예에서, 전환 파라미터의 전부가 변경이 동기화되도록 동시에 변경할 수 있다. 조금 더 복잡한 실시예에서, 시간 기반 트리거 배열 역시 사용될 수 있지만, 다른 고유한 트리거 시간 간격이 각각의 전환 파라미터에 대해 선택될 수 있다. 따라서, 거짓 식별 파라미터 값은 시간 간격 X에서 변경될 수 있고, 식별 파라미터의 선택은 시간 간격 Y에 따라 변할 수 있으며, 그러한 변화가 수행되는 위치는 시간 간격 Z에서 발생할 수 있고, 여기서 X, Y 및 Z는 다른 값이다.
혼잡도 기반 스킴은: 컴퓨터 네트워크 내의 혼잡도를 모니터링하고 추적하고; 현재 혼잡도와 임계값을 비교하며; 그리고 비교의 결과에 기반해서 복수의 미션 플랜/모델로부터 미션 플랜 또는 보안 모델을 선택하는 것을 포함할 수 있다. 일부 시나리오에서, 새로운 미션 플랜 또는 보안 모델은 현재의 혼잡도가 임계값과 같거나, 그보다 크거나 또는 그보다 작을 때 선택된다. 이 방식으로, 미션 플랜 또는 보안 모델 변경은 컴퓨터 네트워크 내의 혼잡도에서 변화에 기반해서 명백하게 불규칙한 시간 간격에서 발생한다.
휴리스틱 알고리즘 기반 스킴은 상태를 결정하도록 네트워크를 분석하는 것을 포함할 수 있다. 그러한 네트워크 분석은 트래픽 패턴(예, 사용자의 수), 프로토콜 패턴, 및/또는 하루의 특정 시간에서 네트워크의 엔트로피 패턴(즉, 누군가와 통신하는 누군가)을 모니터링하는 것을 포함할 수 있다. 트래픽 패턴은 네트워크 장비 사용(예, 프로세서의 사용) 및 네트워크 디바이스(예, 네트워크 서버)로부터 존재하는 연결의 수에 관한 정보를 수집하는 것에 의해 결정될 수 있다. 수집된 정보는 복수의 가능한 트래픽 패턴 중 어느 것이 컴퓨터 네트워크 내에서 현재 존재하는지를 식별하도록 미리 정의된 표 또는 매트릭스의 내용과 비교될 수 있다. 적어도 이러한 비교 동작의 결과에 기반해서, 새로운 미션 플랜 또는 보안 모델이 컴퓨터 네트워크에서의 사용을 위해 복수의 미션 플랜 및/또는 보안 모델로부터 선택될 수 있다.
일부 휴리스틱한 시나리오에서, 미션 플랜 및/또는 보안 모델은 그 안의 실제 트래픽의 양에서의 변화에도 불구하고 일정한 하이 레벨의 트래픽이 컴퓨터 네트워크 내에서 유지되는 바와 같이 구성될 수 있다. 일정한 하이 레벨의 트래픽은 그 안의 실제 트래픽의 양에 따라서 네트워크의 잡음 레벨을 조절하는(즉, 증가시키거나 또는 감소시키는) 것에 의해 유지된다. 결과적으로, 임의의 소정 시간에서 실제 트래픽의 양과 트래픽 패턴의 유형은 가려진다.
프로토콜 패턴은 네트워크 리소스에 관련된 사용자 활동에 관한 정보를 수집하는 것에 의해 결정될 수 있다. 그러한 정보는 컴퓨터 네트워크의 적어도 하나의 사용자에 관한 사용자 활동의 이력, 사용자 활동이 시작하는 시간, 사용자 활동이 멈추는 시간, 사용자 활동이 경과된 시간, 및 컴퓨터 네트워크의 적어도 하나의 사용자에 의해 수행된 동시에 발생한 사용자 활동을 식별하는 정보를 포함할 수 있지만, 그들로 한정되지 않는다. 수집된 정보는 특정 프로토콜 패턴이 현재 존재하는지 여부를 결정하도록 분석될 수 있다. 특정 프로토콜 패턴이 현재 존재한다고 결정되면, 그때 새로운 미션 플랜 또는 보안 모델이 컴퓨터 네트워크에서 사용을 위해 복수의 미션 플랜/모델로부터 선택될 수 있다. 이 방식으로, 미션 플랜 또는 보안 모델 변화가 프로토콜 패턴에서의 변화(더 구체적으로, 사용자 활동에서의 변화)에 기반해서 명백하게 불규칙한 시간 간격에서 발생한다.
엔트로피 패턴은 누가 컴퓨터 네트워크를 통해 서로 통신하는지에 관한 정보를 수집하는 것에 의해 결정될 수 있다. 수집된 정보에 기반해서, 새로운 미션 플랜 또는 보안 모델이 컴퓨터 네트워크에서 사용을 위해 복수의 미션 플랜/모델로부터 선택된다. 이러한 시나리오에서, 미션 플랜 또는 보안 모델 변화는 통신 세션에 참여하는 단체의 변화에 기반해서 명백하게 불규칙한 시간 간격에서 발생한다.
NBA 분석은 잠재적 보안 위협, NBA의 레벨, NBA의 유형, 및/또는 현재 컴퓨터 네트워크에 가해지는 NBA 공격의 수를 결정하는 목적을 위해 수행된다. 그러한 NBA 분석은 해당기술분야에 공지되어 있고, 그러므로 여기에 설명되지 않을 것이다. 또한, 그러한 NBA 분석은: 컴퓨터 네트워크 내의 공격 이벤트를 모니터링하고 추적하며; 그리고 NBA 공격의 레벨 및/또는 NBA 공격의 유형을 결정하는 목적을 위해 LUT 동작을 수행하는 것을 포함할 수 있다는 것이 이해될 수 있다. 현재 공지되거나 장래에 공지될 임의의 NBA 분석 기법은 제한 없이 본 발명으로 사용될 수 있다. NBA 분석이 완료되면, 새로운 미션 플랜 또는 보안 모델이 NBA 분석의 결과에 기반해서 컴퓨터 네트워크에서 사용을 위해 복수의 미션 플랜/모델로부터 선택될 수 있다. 예를 들면, NBA가 로우 레벨 NBA이고 그리고/또는 제 1 유형이라고 결정된다면, 그때 제 1 미션 플랜 또는 보안 모델이 복수의 미션 플랜 또는 보안 모델로부터 선택된다. 반대로, NBA가 하이 레벨 NBA이고 그리고/또는 제 2 유형이라고 결정된다면, 그때 제 2 다른 미션 플랜 또는 보안 모델이 복수의 미션 플랜 또는 보안 모델로부터 선택된다. 이러한 시나리오에서, 미션 플랜 또는 보안 모델 변화는 NBA 공격의 레벨 및/또는 NBA 공격의 유형에서의 변화에 기반해서 명백하게 불규칙한 시간 간격에서 발생한다. 부가적으로 또는 대안적으로, 동일하거나 다른 레벨 및/또는 유형의 두 개 이상의 NBA 공격이 현재 컴퓨터 네트워크에 가해질 때 새로운 미션 플랜 또는 보안 모델이 선택될 수 있다. 이러한 시나리오에서, 미션 플랜 또는 보안 모델 변화는 현재 수행되는 공격의 수에서의 변화에 기반해서 명백하게 불규칙한 시간 간격에서 발생한다.
본 발명의 실시예에서, NBA는 네트워크 보안 소프트웨어 스위트에 의해 식별될 수 있다. 대안적으로, NBA는 패킷이 네트워크 전환의 현재 상태에 불일치하는 하나 이상의 식별 파라미터를 포함하는 모듈(105, 106, 107, 113, 114)에서 데이터 패킷의 수신 시에 식별될 수 있다. NBA를 식별하기 위한 토대에 상관없이, 그러한 NBA의 존재는 위에 설명된 바와 같이 리액티브 트리거 이벤트로서 역할할 수 있다.
위에 설명된 스킴에 기반한 프로액티브/리액티브 트리거 이벤트는 동일한 네트워크 전환의 유형을 야기할 수 있다. 예를 들어, 거짓 식별 파라미터, 식별 파라미터의 선택 및 식별 파라미터 변환의 위치는 다음 중 하나 이상이 검출되는 경우를 제외하고 안정적으로(즉, 변경되지 않고) 유지될 수 있다: 특정 기원 또는 목적지를 갖는 패킷; 패킷에 포함된 코드 단어; 패킷에 포함된 비밀 또는 기밀 정보; 특정 혼잡도; 특정 트래픽 패턴; 특정 프로토콜 패턴; 특정 엔트로피 패턴; 보안 위협; 특정 레벨 및/또는 유형의 NBA; 및 컴퓨터 네트워크 상에 현재 가해지는 NBA의 특정 수. 그러한 배열은 예를 들어, 보안을 증가시키도록 잦은 네트워크 전환이 요구되는 컴퓨터 네트워크에서 선택될 수 있다.
대안적으로, 위에 설명된 스킴에 기반해서 프로액티브/리액티브 트리거 이벤트는 다른 유형의 네트워크 전환을 야기할 수 있다. 그러한 실시예에서, NBA 분석의 결과에 기반해서 트리거 이벤트는 패킷 검사 및/또는 휴리스틱 알고리즘의 결과에 기반해서 트리거 이벤트에 비해서 네트워크 전환에 다른 효과를 가질 수 있다. 예를 들어, NBA 기반 트리거 이벤트는 그러한 NBA에 더 공격적으로 대응하도록 네트워크 전환에서 전략적이거나 공격적인 변화를 야기할 수 있다. 그러한 측정의 정밀성은 위협의 성질에 달려 있으나, 다양한 응답을 포함할 수 있다. 예를 들어, 다른 의사랜덤 알고리즘이 선택될 수 있고, 그리고/또는 각각의 IDP 세트(120)에서 조작을 위해 선택된 식별 파라미터의 수는 증가될 수 있다. 또한, 응답은 네트워크 전환의 빈도를 증가시키는 것을 포함할 수 있다. 따라서, 더 잦은 변화가 (1) 거짓 식별 파라미터 값, (2) 각각의 IDP 세트에서 변화될 식별 파라미터의 선택, 및/또는 (3) 식별 파라미터가 변화되는 제 1 및 제 2 위치의 위치에 대해서 이루어질 수 있다. 따라서, 여기에 설명된 네트워크 전환은 다양한 인자에 기반해서 순수하게 자발적인 방식으로 미션 플랜 또는 보안 모델을 변경하기 위한 방법을 제공하고, 그로써 보안을 증가시킨다.
미션 플랜
본 발명의 바람직한 실시예에 따라서, 여기에 설명된 네트워크 전환은 미션 플랜에 따라 제어된다. 미션 플랜은 네트워크 및 적어도 하나의 보안 모델에 관한 문맥 내의 기동성을 정의하고 제어하는 개념이다. 그러한 바와 같이, 미션 플랜은 도 1의 NAC(104)로부터 각각의 모듈(105-107, 113-114)로 통신되는 데이터 파일로서 표현될 수 있다. 그런 후에 미션 플랜이 식별 파라미터의 조작을 제어하고 네트워크에서 다른 모듈의 동작으로 활동을 조정하도록 각각의 모듈에 의해 사용된다.
바람직한 실시예에 따라서, 미션 플랜은 네트워크가 잠재적 적을 저지하도록 전환하는 방식을 업데이트 또는 변경하도록 네트워크 관리자에 의해 때때로 수정될 수 있다. 그러한 바와 같이, 미션 플랜은 네트워크 관리자에게 네트워크 전환이 네트워크 내에서 발생할 시간, 위치 및 방식에 관한 완벽한 제어를 용이하게 하는 툴을 제공한다. 그러한 업데이트 능력은 네트워크 관리자가 컴퓨터 네트워크의 거동을 현재 동작 조건에 맞추고 네트워크에 침입하려는 적의 노력을 더 효과적으로 저지하게 한다. 다중 미션 플랜은 사용자에 의해 정의될 수 있고 네트워크 내의 모듈에 접근가능하도록 저장된다. 예를 들어, 다중 미션 플랜이 NAC(104)에 저장될 수 있고 필요에 따라 모듈에 전달될 수 있다. 대안적으로, 복수의 미션 플랜이 각각의 모듈 상에 저장될 수 있고 네트워크의 보안을 유지할 필요 또는 요구에 따라 활성화될 수 있다. 예를 들어, 네트워크 관리자가 적이 네트워크에 대한 현재의 미션 플랜을 발견했다고 결정하거나 의심하면, 관리자는 미션 플랜을 변경하길 원할 수 있다. 효과적인 보안 절차는 또한 미션 플랜이 주기적으로 변경되는 것을 요구할 수 있다.
미션 플랜을 생성하는 프로세스는 컴퓨터 네트워크(100)를 모델링하는 것에 의해 시작할 수 있다. 모델의 생성은 네트워크 커맨드 센터에서 컴퓨터 또는 서버 상에 실행하는 NCSA에 의해 용이해진다. 예를 들어, 도 1에 도시된 실시예에서, NCSA는 NAC(104) 상에 실행할 수 있다. 네트워크 모델은 컴퓨터 네트워크(100)에 포함되는 다양한 컴퓨팅 디바이스 사이의 데이터 연결 및/또는 관계를 규정하는 정보를 바람직하게 포함한다. NCSA는 그러한 관계 데이터의 진입을 용이하게 하는 적합한 인터페이스를 제공할 것이다. 일 실시예에 따라서, NCSA는 미션 플랜을 규정하도록 사용될 수 있는 표에 데이터의 진입을 용이하게 할 수 있다. 그러나, 바람직한 실시예에서, GUI는 이러한 프로세스를 용이하게 하도록 사용된다.
이제 도 3에 대해 언급하면서, NCSA는 네트워크 토포그래피 모델 발생기 툴을 포함할 수 있다. 툴은 네트워크의 다양한 성분의 각각 사이의 관계를 규정하는 것에서 네트워크 관리자를 돕도록 사용된다. 네트워크 토포그래피 툴은 관리자가 커서(304)를 사용하는 것에 의해 네트워크 성분(302)을 드래그 및 드롭할 수 있는 작업공간(300)을 제공한다. 네트워크 관리자는 또한 다양한 네트워크 성분(302) 사이에 데이터 연결(306)을 생성할 수 있다. 이러한 모델링 프로세스의 일부로서, 네트워크 관리자는 도 1의 모듈(105-107, 113, 114)을 포함하는, 다양한 네트워크 성분에 관한 네트워크 어드레스 정보를 제공할 수 있다.
네트워크가 모델링되면, 그것은 다양한 모듈(105-107, 113, 114)이 거동하고 서로 상호작용하는 방식을 규정하도록 네트워크 관리자에 의해 저장되고 사용될 수 있다. 이제 도 4에 관해 언급하면서, NCSA는 미션 플랜을 더 발전시키도록 사용될 수 있는 대화 상자(400)를 발생시킬 수 있다. 드롭-다운 메뉴(432)는 대화 상자(400)에서의 설정이 적용될 특정 모듈(예, 도 1의 모듈(105))을 선택하도록 사용될 수 있다. 대안적으로, 네트워크 관리자는 대화 상자(400)에서의 설정이 네트워크 내의 모든 모듈에 적용되도록 의도되는 것을 지시하도록 드롭-다운 메뉴(432)를 사용할 수 있다(예, 드롭-다운 메뉴(432)에서 명령어 "모두(All)"를 선택하는 것에 의해). 프로세스는 식별 파라미터의 고정 세트가 항상 모듈의 각각에서 수정될지 여부, 또는 조작되는 식별 파라미터의 세트가 동적으로 변화될지 여부를 특정하는 것에 의해 계속할 수 있다. 모듈에서 조작될 식별 파라미터의 선택 또는 세트가 동적으로 변하도록 의도된다면, 네트워크 관리자는 그 선호를 나타내도록 체크 상자(401)에 표시할 수 있다. 체크-상자(401)가 표시되지 않는다면, 그때 변경될 식별 파라미터의 세트는 시간에 따라 변하지 않을 고정 세트이다.
대화 상자(400)는 그/그녀가 미션 플랜을 생성하는 목적을 위해 동작하기 원하는 특정 식별 파라미터를 사용자가 선택하도록 하는 탭(402, 404, 406)을 포함한다. 본 개시의 목적을 위해, 대화 상자(400)는 세 개의 식별 파라미터의 동적 변화만을 용이하게 한다. 구체적으로, 이들은 IP 어드레스, MAC 어드레스 및 포트 어드레스를 포함한다. 더 많은 또는 더 적은 식별 파라미터가 추가적인 탭을 제공하는 것에 의해 동적으로 변화될 수 있지만, 언급된 세 개의 식별 파라미터는 본 발명의 개념을 설명하기에 충분하다. 도 4에서, 사용자는 식별 파라미터의 IP 어드레스 유형과 동작하도록 탭(402)을 선택했다. 탭(402) 내에서, 다양한 사용자 인터페이스 제어(408-420)가 선택된 모듈 내의 IP 어드레스의 동적 변화에 관련된 세부사항을 특정하도록 제공된다. 더 많거나 더 적은 제어가 IP 어드레스 유형의 동적 조작을 용이하게 하도록 제공될 수 있고, 도시된 제어는 단지 독자가 본 개념을 이해하는 것을 돕도록 제공된다. 도시된 실시예에서, 네트워크 관리자는 표시된 체크 상자(408): "IP 어드레스 호핑"을 (예를 들어, 마우스와 같은 포인팅 디바이스로) 선택하는 것에 의해 IP 어드레스의 동적 변화를 가능하게 할 수 있다. 유사하게, 네트워크 관리자는 소스 어드레스, 목적지 어드레스 또는 둘 모두가 변경될지 여부를 지시할 수 있다. 이러한 실시예에서, 소스 및 목적지 어드레스 상자(410, 412) 모두가 선택되어, 어드레스의 모든 유형이 변경되어야함을 나타낸다. 소스 및 목적지 어드레스를 위해 허용된 값의 범위는 목록 상자(422, 424)에서 관리자에 의해 특정될 수 있다.
거짓 IP 어드레스 값을 선택하도록 사용된 특정 의사랜덤 프로세스는 의사랜덤 프로세스를 선택하는 것에 의해 특정된다. 이러한 선택은 상자(414, 415)에서 특정된다. 다른 의사랜덤 프로세스는 다양한 참 무질서도에 대해 다른 복잡도를 가질 수 있고, 관리자는 컴퓨터 네트워크(100)의 필요에 가장 적합한 프로세스를 선택할 수 있다.
대화 상자(400)는 또한 네트워크 관리자가 IP 어드레스 식별 파라미터의 동적 변화에 사용될 트리거 유형을 설정하게 한다. 이러한 실시예에서, 사용자는 상자(416)를 선택해서, 시간 기반 트리거가 언제 새로운 거짓 IP 어드레스 값으로 천이될지를 결정하도록 사용되어야 함을 나타낸다. 게다가, 체크상자(418)는 시간 기반 트리거가 주기적 기반으로 발생되어야 함을 나타내도록 선택되었다. 슬라이더(420)는 주기적 시간 기반 트리거의 빈도를 결정하도록 사용자에 의해 조절될 수 있다. 도시된 실시예에서, 트리거 빈도는 시간당 6 트리거 발생(매 10분마다 트리거)과 시간당 120 트리거 발생(매 30초마다 트리거) 사이에 조절될 수 있다. 이러한 실시예에서, 선택은 다른 유형의 트리거에도 이용가능하다. 예를 들어, 대화 상자(402)는 네트워크 관리자가 이벤트 기반 트리거를 선택할 수 있는 체크 상자(428, 430)를 포함한다. 여러 다른 특정 이벤트 유형이 그러한 이벤트 기반 트리거(예, 이벤트 유형 1, 이벤트 유형 2, 등)에 대한 토대를 형성하도록 선택될 수 있다. 이들 이벤트 유형은: 특정 기원 또는 목적지를 갖는 패킷; 패킷에 포함된 코드 단어; 패킷에 포함된 비밀 또는 기밀 정보; 특정 혼잡도; 특정 트래픽 패턴; 특정 프로토콜 패턴; 특정 엔트로피 패턴; 보안 위협; 특정 레벨 및/또는 유형의 NBA; 및 컴퓨터 네트워크에 현재 가해지는 특정 수의 NBA의 검출을 포함할 수 있다. 도 4에서, 탭(404, 406)은 탭(402)과 유사하지만, 그 안의 제어는 IP 어드레스보다는 MAC 어드레스 및 포트값의 동적 변화에 맞춰진다. 추가적인 탭이 다른 유형의 식별 파라미터의 동적 변화를 제어하기 위해 제공될 수 있다.
미션 플랜은 또한 식별 파라미터가 수정되는 위치를 동적으로 변경하도록 플랜을 특정할 수 있다. 일부 실시예에서, 이러한 가변 위치 특징은 언제 각각의 모듈이 활성 상태 또는 바이패스 상태에 있을지를 규정하는 시퀀스를 조절하는 것에 의해 용이해진다. 따라서, 미션 플랜은 이러한 시퀀스를 특정하는 일부 수단을 유리하게 포함한다. 본 발명의 일부 실시예에서, 이것은 트리거 이벤트의 발생에 의해 분리되는, 정의된 시간 간격 또는 타임 슬롯의 사용을 포함할 수 있다.
이제 도 5에 대해 언급하면서, 대화 상자(500)는 위치 시퀀스와 타이밍 정보의 조정 및 진입을 용이하게 하도록 NCSA에 의해 제공될 수 있다. 대화 상자(500)는 시간 기점(506) 내에 포함될 타임 슬롯(5041-504n)의 수를 선택하기 위한 제어(502)를 포함할 수 있다. 도시된 실시예에서, 네트워크 관리자는 타이밍 기점당 4개의 타임 슬롯을 규정했다. 대화 상자(500)는 컴퓨터 네트워크(100)에 모든 모듈을 포함하는 표(503)를 포함할 수 있다. 나열된 각각의 모듈에 대해, 표는 하나의 시간 기점(506)에 대해 이용가능한 타임 슬롯(5041-5044)의 그래픽 표현을 포함한다. 식별 파라미터가 조작되는 위치에 대한 동적 제어는 각각의 모듈이 활성 또는 바이패스 동작 상태에 있는지 여부에 의해 결정된다. 따라서, 그래픽 유저 인터페이스 내에서, 사용자는 커서(508)를 이동하고 특정 모듈이 각각의 타임 슬롯 동안 활성 또는 바이패스 모드에 있는지 여부를 특정하도록 선택할 수 있다. 도시된 실시예에서, 모듈(105)은 타임 슬롯(5041, 5043) 동안 활성이지만, 타임 슬롯(5041, 5044) 동안 바이패스 모드에 있다. 반대로, 모듈(113)은 타임 슬롯(5042, 5044) 동안 활성이지만, 타임 슬롯(5041, 5043) 동안 바이패스 모드에 있다. 도 1을 참조해서, 이것은 식별 파라미터의 조작이 타임 슬롯(5041, 5043) 동안 모듈(105)과 연관된 위치에서 발생하지만, 대신에 타임 슬롯(5042, 5044) 동안 모듈(113)에서 발생한다는 것을 의미한다.
도 5에 도시된 실시예에서, 네트워크 관리자는 모듈(114)이 항상 활성 모드에서 동작하도록 선택했다(즉, 모듈(114)은 모든 타임 슬롯 동안 활성이다). 따라서, 클라이언트 컴퓨터(101)로부터 클라이언트 컴퓨터(103)로 전달된 데이터 통신에 있어서, 데이터 패킷은 모듈(105, 113)에서 교대로 조작될 것이지만, 항상 모듈(114)에서 조작될 것이다. 최종으로, 이러한 실시예에서, 네트워크 관리자는 타임 슬롯(5041-5044) 동안 바이패스 모드에서 모듈(106, 107)을 유지하도록 선택했다. 따라서, 어떠한 식별 파리미터의 조작도 규정된 타임 슬롯 중 어느 것 동안도 이들 모듈에서 수행되지 않을 것이다. 모듈 타이밍이 대화 상자(500)에서 규정되면, 네트워크 관리자는 업데이트된 미션 플랜의 부분으로서 변화를 저장하도록 버튼(510)을 선택할 수 있다. 미션 플랜은 다양한 형태로 저장될 수 있다. 일부 실시예에서, 미션 플랜은 단순한 표 또는 모듈의 거동을 제어하도록 각각의 모듈에 의해 사용될 수 있는 다른 유형의 규정된 데이터 구조로서 저장될 수 있다.
미션 플랜의 분배 및 로딩
여기에 개시된 바와 같은 미션 플랜의 분배 및 로딩이 이제 더 구체적으로 설명될 것이다. 도 1에 대해 다시 한 번 더 언급하면서, 모듈(105-107, 113, 114)이 하나 이상의 위치에서 컴퓨터 네트워크(100)에 걸쳐 분배된다는 것이 관찰될 수 있다. 모듈은 그러한 위치에서 통신을 인터셉트하고, 필요한 조작을 수행하고, 네트워크 내의 다른 컴퓨팅 디바이스로 데이터를 보내도록 통신 경로 내에 일체화된다. 앞서 언급된 배열로, 여기에 설명된 모듈의 임의의 필수적인 유지(예, 미션 플랜을 업데이트하기 위한 유지)는 네트워크 통신을 방해할 잠재성을 가질 것인 반면에 모듈은 교체되거나 재프로그램된다. 그러한 방해는 네트워크 서비스의 신뢰성과 이용가능성이 필수적인 많은 상황에서 요구되지 않을 수 있다. 예를 들어, 방해되지 않은 네트워크 동작은 군대, 긴급 서비스 및 비지니스에 의해 사용되는 컴퓨터 네트워크에 있어서 필수적일 수 있다.
방해받지 않는 네트워크 동작을 보장하기 위해, 각각의 모듈은 바람직하게 여러 동작 상태를 가진다. 이들 동작 상태는 (1)모듈이 전원 차단되고 임의 패킷을 처리하지 않는 오프셋 상태, (2)모듈이 미션 플랜에 따라 소프트웨어 스크립트를 인스톨하는 개시 상태, (3)데이터가 현재의 미션 플랜에 따라 처리되는 활성 상태, 및 (4) 모듈이 존재하지 않는 것처럼 패킷이 모듈을 통해 흐를 수 있는 바이패스 상태를 포함한다. 모듈은 그것이 활성 상태 또는 바이패스 상태에 있을 때, 모듈이 네트워크 관리자에 의해 제공된 업데이트된 미션 플랜을 수신하고 로딩할 수 있도록 구성된다. 모듈 동작 상태는 예를 들어, NAC(104) 상에서 실행하는 NCSA에 의해 네트워크 관리자에 의해 수동으로 제어될 수 있다. 예를 들어, 사용자는 GUI 제어 패널의 사용을 통해 다양한 모듈에 대해 동작 상태를 선택할 수 있다. 네트워크의 동작 상태를 제어하기 위한 명령어는 컴퓨터 네트워크(100)를 통해 전달되거나, 또는 임의 다른 적합한 수단에 의해 전달될 수 있다. 예를 들어, 분리 유선 또는 무선 네트워크(미도시)는 그러한 목적을 위해 사용될 수 있다.
미션 플랜은 각각의 모듈의 물리적 위치에서 직접적으로 로딩될 수 있거나, 또는 그것은 NCSA로부터 모듈로 전달될 수 있다. 이러한 개념은 미션 플랜(604)이 통신 매체(606)를 통해 NCSA(602)로부터 모듈(105-107, 113, 114)의 각각에 전달되는 것을 나타내는 도 6에 도시된다. 도시된 실시예에서, NCSA 소프트웨어 어플리케이션은 네트워크 관리자에 의해 동작된 NAC(104) 상에 실행한다. 통신 매체는 일부 실시예에서 컴퓨터 네트워크(100)를 사용하는 대역내 시그널링을 포함할 수 있다. 대안적으로, 대역외 네트워크(예, 분리 무선 네트워크)는 NCSA로부터 각각의 모듈로 업데이트된 미션 플랜을 전달하도록 통신 매체(606)로서 사용될 수 있다. 도 7에 도시된 바와 같이, NCSA는 여러 미션 플랜(702) 중 하나의 선택을 용이하게 하도록 대화 상자(700)를 제공할 수 있다. 이들 미션 플랜(702)의 각각은 NAC(104) 상에 저장될 수 있다. 네트워크 관리자는 "미션 플랜 보내기" 버튼(704)을 활성화할 수 있는 후에, 여러 미션 플랜(702) 중 하나로부터 선택할 수 있다. 대안적으로, 복수의 미션 플랜이 각각의 모듈에 전달되고 그곳에 저장될 수 있다. 둘 중 어느 한 시나리오에서, 사용자는 정의된 미션 플랜 중 하나가 활성화하도록 선택할 수 있다.
미션 플랜을 보내는 명령어에 응답해서, 선택된 미션 플랜은 모듈에 전달되는 반면에 그들은 여기 설명된 바와 같이 식별 파라미터의 동적 수정을 능동적으로 수행하도록 구성된 활성 상태에 있다. 그러한 배열은 네트워크가 분명하게 그리고 식별 파라미터를 조작하지 않고 동작하는 동안의 시간을 최소화한다. 그러나, 업데이트된 미션 플랜 역시 모듈에 전달될 수 있는 반면에 그들은 바이패스 모드에 있고, 이러한 접근은 특정 경우에 바람직할 수 있다.
미션 플랜이 모듈에 의해 수신되면, 그것은 모듈 내의 메모리 위치에 자동으로 저장된다. 그런 후에, 모듈은 바이패스 상태에 진입하도록 야기될 수 있고, 여전히 그 상태 동안, 모듈은 새로운 미션 플랜과 연관된 데이터를 로딩할 수 있다. 바이패스 상태에 진입하고 새로운 미션 플랜 데이터에 진입하는 이러한 프로세스는 미션 플랜의 수신에 응답해서 자동으로 발생할 수 있거나, 또는 네트워크 관리자에 의해 제어된 NCSA 소프트웨어로부터의 명령어에 응답해서 발생할 수 있다. 새로운 미션 플랜은 식별 파라미터 값이 변화되는 방식에서의 변경을 포함한다. 새로운 미션 플랜이 로딩되면, 모듈(105-107, 113, 114)은 데이터 통신 에러가 발생하지 않는 것을 보장하는 동기화된 방식으로 바이패스 모드로부터 활성 모드로 천이될 수 있다. 미션 플랜은 모듈이 활성 모드로 돌아가거나, 또는 네트워크 관리자가 명령어를 다양한 모듈에 전달해서, 그들을 활성 모드에 진입하게 하도록 NCSA를 사용할 수 있을 때의 시간을 특정할 수 있다. 미션 플랜을 업데이트하는 앞서 언급한 프로세스는 컴퓨터 네트워크(100)에 부착된 다양한 컴퓨팅 디바이스 가운데 통신을 방해하지 않고 네트워크 보안 절차에서의 변경을 유리하게 발생하게 한다.
각각의 모듈(105, 106, 107, 113, 114)에서 다양한 식별 파라미터의 동적 조작은 각각의 모듈(105-107, 113, 114) 상에 실행하는 어플리케이션 소프트웨어에 의해 유리하게 제어된다. 그러나, 어플리케이션 소프트웨어의 거동은 미션 플랜에 의해 유리하게 제어된다.
이제 도 8에 대해 언급하면서, 각각의 모듈(105-107, 113, 114)의 동작을 요약하는 흐름도가 제공되어 있다. 혼동을 피하기 위해, 프로세스(800)는 단일 방향으로의 통신에 대해서 설명된다. 예를 들어, 모듈(105)의 경우에, 단일 방향은 클라이언트 컴퓨터(101)로부터 허브(108)로 송신된 데이터를 포함할 수 있다. 그러나, 실행시에, 모듈(105-107, 113, 114)가 양방향으로 동작하는 것이 바람직하다. 프로세스는 모듈이 전원공급될 때 단계(802)에서 시작하고 모듈 어플리케이션 소프트웨어가 여기 설명된 방법을 실행하도록 시작되는 단계(804)로 이어진다. 단계(806)에서, 미션 플랜은 모듈 내의 메모리 위치로부터 로딩된다. 이 점에서, 모듈은 데이터를 처리하기 시작할 준비가 되고 그것이 모듈의 입력 데이터 버퍼로부터 데이터 패킷에 접근하는 단계(808)에서 그렇게 하도록 진행한다. 단계(810)에서, 모듈은 그것이 동작의 바이패스 모드에 있는지를 결정하도록 체크한다. 그렇다면, 단계(808)에서 접근된 데이터 패킷은 데이터 패킷의 임의 수정 없이 단계(812)에서 재송신된다. 모듈이 바이패스 모드에 있지 않다면, 그때 동작의 활성 모드에 있지 않아야만 하고 단계(814)로 이어진다. 단계(814)에서, 모듈은 데이터 패킷이 발생한 소스 노드의 식별을 결정하도록 데이터 패킷을 판독한다. 단계(816)에서, 그것은 소스 노드가 유효한지를 결정하도록 패킷을 검사한다. 특정된 소스 노드가 현재 유효한지를 결정하도록 특정된 소스 노드가 유효 노드의 목록과 비교될 수 있다. 그것이 유효 노드가 아니라면 그때 패킷이 단계(818)에서 폐기된다. 단계(820)에서, 프로세스는 트리거 이벤트가 발생했는지 여부를 결정하도록 확인한다. 트리거 이벤트의 발생은 사용할 거짓 식별값의 선택에 영향을 준다. 따라서, 단계(822)에서, 모듈은 트리거 정보, 클록 시간 및 미션 플랜 중 하나 이상에 기반해서 사용할 거짓 식별값을 결정한다. 그런 후에 모듈은 그것이 데이터 패킷의 식별 파라미터를 조작하는 단계(826)로 이어진다. 조작이 완료되면, 데이터 패킷은 모듈의 출력 포트로부터 인접한 노드로 재송신된다. 단계(830)에서, 모듈이 전원을 차단하도록 명령될 지 여부에 관한 결정이 이루어진다. 그렇다면, 프로세스는 단계(832)에서 종료한다. 단계(808)에서, 프로세스가 이어지고 다음 데이터 패킷은 모듈의 입력 데이터 버퍼로부터 접근된다.
이제 도 9에 대해 언급하면서, 동적 컴퓨터 네트워크를 관리하도록 여기에 설명된 방법을 요약하는 흐름도가 제공된다. 프로세스는 단계(902)에서 시작하고 네트워크 모델이 생성되는 단계(904)로 이어진다(예, 도 3에 관련해서 도시되고 설명된 바와 같음). 단계(906)에서, 새로운 미션 플랜이 생성될지 여부에 관한 결정이 이루어진다. 그렇다면, 새로운 미션 플랜이 단계(908)에서 생성되고 프로세스는 새로운 미션 플랜이 선택되는 단계(910)로 이어진다. 대안적으로, 단계(906)에서 요구되는 미션 플랜이 이미 생성되었다면, 그때 방법은 기존 미션 플랜이 선택되는 단계(910)로 직접 이어질 수 있다. 단계(912)에서, 미션 플랜은 미션 플랜이 메모리 위치에 저장되는 모듈(예, 도 1의 모듈(105-107, 113, 114))로 전달된다. 네트워크 관리자가 새로운 미션 모델을 실행할 준비가 될 때, 명령어는 모듈이 여기에 설명된 바와 같이 대기 모드에 진입하게 하는 단계(914)에서 보내진다. 모듈이 이러한 대기 모드에 있는 반면에, 미션 플랜은 단계(916)에 로딩된다. 미션 플랜의 로딩은 미션 플랜이 모듈 상에 실행하는 어플리케이션 소프트웨어의 동작을 제어하도록 사용될 있도록 각각의 모듈에서 발생한다. 특히, 미션 플랜은 어플리케이션 소프트웨어가 식별 파라미터의 동적 조작을 수행하는 방식을 제어하도록 사용된다. 단계(918)에서, 미션 모델은 각각의 미션 모듈이 미션 플랜에 따라 식별 파라미터의 조작을 수행하는 활성 동작 모드로 진입하도록 다시 야기된다. 단계(914, 916, 918)는 네트워크 관리자로부터 보내진 특정 명령어에 응답해서 발생할 수 있고, 또는 단계(912)에서 미션 플랜을 수신하는 것에 응답해서 각각의 모듈에서 자동으로 발생할 수 있다. 단계(918) 후에, 모듈은 로딩된 미션 플랜을 따른 처리를 수행하는 것을 계속한다. 단계(920)에서, 프로세스는 사용자가 미션 플랜을 변경할 요구를 나타냈는지 여부를 결정하도록 확인하는 것에 의해 이어지고; 그렇다면, 프로세스는 그것이 위에 설명된 바와 같이 이어지는 단계(906)로 돌아간다. 사용자 또는 네트워크 관리자가 기존 미션 플랜을 변경하기를 원하는 어떠한 지표도 없다면, 그때 프로세스는 단계(922)에서 그것이 종료하도록 지시될지 여부를 결정한다. 그렇다면, 프로세스는 단계(924)에서 종료한다. 종료 명령이 수신되지 않는다면, 프로세스는 단계(920)로 돌아가고 이어진다.
이제 도 10으로 돌아가서, 여기 설명된 식별 파라미터의 조작을 수행하도록 사용될 수 있는 예시적인 모듈(1000)의 컴퓨터 아키텍처를 나타내는 블록도가 제공된다. 모듈(1000)은 버스(1022)를 통해 서로 통신하는, 프로세서(1012)(중앙 처리 장치("CPU")와 같음), 메인 메모리(1020) 및 정적 메모리(1018)를 포함한다. 모듈(1000)은 모듈의 상태를 나타내도록 액정 디스플레이("LCD")와 같은, 디스플레이 유니트(1002)를 더 포함할 수 있다. 모듈(1000)은 또한 모듈이 두 개의 분리 데이터 라인 상에서 동시에 데이터를 수신하고 송신하도록 하는 하나 이상의 네트워크 인터페이스 디바이스(1016, 1017)를 포함할 수 있다. 두 개의 네트워크 인터페이스 포트는 각각의 모듈이 네트워크 상의 두 개의 분리 컴퓨팅 디바이스로부터 수신된 패킷을 동시에 인터셉트하고 재송신하도록 구성된, 도 1에 도시된 배열을 용이하게 한다.
메인 메모리(1020)는 여기에 설명된 방법론, 절차, 또는 기능 중 하나 이상을 실행하도록 구성된 명령어(1008)(예, 소프트웨어 코드) 중 하나 이상의 세트가 저장되는 컴퓨터 판독가능한 저장 매체(1010)를 포함한다. 명령어(1008)는 또한 모듈에 의한 그것의 실행 동안 정적 메모리(1018), 및/또는 프로세서(1012) 내에 완전히 또는 적어도 부분적으로 잔류할 수 있다. 정적 메모리(1018) 및 프로세서(1012)는 또한 기계 판독가능한 매체를 구성할 수 있다. 본 발명의 다양한 실시예에서, 네트워크 환경에 연결된 네트워크 인터페이스 디바이스(1016)는 명령어(1008)를 사용하여 네트워크를 통해 통신한다.
명령어(1008)는 모듈(1000)이 패킷 기반 정적 네트워크의 것들과 패킷 기반 MTT 가능하게된 네트워크의 것들 사이에서 식별 파라미터의 변환기로 동작하게 한다. 패킷 기반 정적 네트워크를 위한 종래의 프로토콜 스택이 도 11에 제공된다. 도 11에 도시된 실시예에 따라서, 프로토콜 스택(1100)은 패킷 기반 정적 네트워크 내의 노드의 특정 기능을 특정하는 다섯 개의 층(1102, 1104, 1106, 1108, 1110)을 포함한다. 여전히 본 발명은 이 점에서 한정되지 않는다. 프로토콜 스택(1100)은 특정 패킷 기반 정적 네트워크 어플리케이션에 따라 임의 수의 층을 포함할 수 있다. 예를 들어, 개방형 시스템 상호접속("OSI") 프로토콜 스택이 정적 네트워크에 의해 사용된다면, 그때 프로토콜 스택(1100)은 세션층 및 표현층을 더 포함할 수 있다.
도 11에 대해 다시 언급하면서, 프로토콜 스택(1100)은 어떻게 정보가 정적 네트워크(예, 클라이언트 컴퓨터)의 제 1 노드에 설치된 소프트웨어 어플리케이션으로부터 정적 네트워크(예, 클라이언트 컴퓨터)의 제 2 노드에 설치된 소프트웨어 어플리케이션으로 통과되는지를 도시하는 체계를 제공한다. 프로토콜 스택(1100)은 해당 기술분야의 당업자에게 공지되어 있다. 따라서, 프로토콜 스택(1100)은 여기에 구체적으로 설명되지 않을 것이다. 그러나, 간략한 논의가 독자가 적어도 도 1의 모듈(105-108)에 의해 수행되는 식별 파라미터 변환을 이해하는 것을 돕도록 제공된다.
도 11에서 도시된 바와 같이, 프로토콜 스택(1100)은 물리층(1102), 데이터 링크층(1104), 네트워크층(1106), 전송층(1108), 및 응용층(1110)으로 구성된다. 물리층(1102)은 네트워크를 통해 데이터를 보내고 받도록 구성된 펌웨어 및/또는 하드웨어로 구성된다. 데이터 링크층(1104)은 네트워크 노드 사이에 데이터를 전달하도록 송신 프로토콜을 제공한다. 그러한 송신 프로토콜은 이더넷 프로토콜(또는 IEEE 802.3 프로토콜), 포인트-투-포인트 프로토콜, IEEE 802.11 프로토콜, IEEE 802.15 프로토콜, IEEE 802.16 프로토콜, 및 다른 그러한 프로토콜을 포함할 수 있다.
데이터 링크층(1104)은 두 개의 서브층, 즉 논리 링크 제어("LLC") 층(1114) 및 미디어 액세스 제어("MAC") 층(1112)으로 구성될 수 있다. LLC 층(1114)은 MAC 층(1112)을 통해 송신되기 전에 프로토콜을 다중화하도록 그리고 송신된 후에 그리고 수신 시에 프로토콜을 역다중화하도록 구성된 펌웨어 및/또는 하드웨어로 구성된다. LLC 층(1114)은 또한 패킷의 흐름 제어, 패킷의 검출, 및 드롭된 패킷의 재송신을 제공하도록 구성된 펌웨어 및/또는 하드웨어로 구성된다.
MAC 층(1112)은 언제 통신을 송신할지 그리고 언제 통신을 수신할지를 결정하도록 구성된 펌웨어 및/또는 하드웨어로 구성된다. 이 점에서, MAC 층(1112)은 공유된 라디오 채널에 대한 접근을 조정하고 무선 링크를 통한 통신을 향상시키는 프로토콜을 이용하는 것을 포함하는 작업을 수행한다. 여기 사용된 바와 같은 용어 "프로토콜"은 어떻게 정보가 네트워크 노드 사이에 교환되는지를 규정하는 룰의 세트를 말한다. 그러한 네트워크 노드는 클라이언트 컴퓨터, 서버, 라우터, 스위치 및 브릿지를 포함하지만, 그들로 한정되지 않는다. MAC 층(1112)은 네트워크 노드 사이에 데이터를 전달하기 위한 송신 프로토콜을 제공한다. 그러한 송신 프로토콜은 MAC 프로토콜을 포함한다. MAC 프로토콜은 동일한 채널을 가로질러 다른 노드로부터 보내진 신호가 충돌하지 않는다는 것을 보장한다.
네트워크층(1106)은 하나의 노드에서 또 다른 노드로 데이터를 전달하도록 구성된다. 이 점에서, 네트워크층(1106)은 데이터를 하나의 노드에서 또 다른 노드로 전달하기 위한 프로토콜을 제공한다. 송신 프로토콜은 프로토콜을 라우팅하고 프로토콜을 포워딩하는 단계를 포함한다. 그러한 송신 프로토콜은 인터넷 프로토콜의 버전 4("IPv4"), 인터넷 프로토콜의 버전 6("IPv6"), 및 인터넷 보안 프로토콜("IP 층 보안")과 같은 인터넷 프로토콜을 포함한다.
전송층(1108)은 엔드 시스템 사이에 데이터를 통신하도록 구성된 펌웨어로 구성된다. 이 점에서, 전송층(1108)은 엔드 시스템 사이에 데이터의 송신을 위한 전송 프로토콜을 제공한다. 그러한 전송 프로토콜은 송신 제어 프로토콜("TCP") 및 유저 데이터그램 프로토콜("UDP")을 포함한다. 응용층(1110)은 일반적으로 펌웨어에서만 실행된다. 응용층(1110)은 인증 어플리케이션, 데이터 구문 어플리케이션, 서비스 품질 어플리케이션, 및 최종 사용자 어플리케이션과 같은 최종 사용자 어플리케이션을 위한 시그널링 프로토콜을 제공한다.
이제 도 12에 대해 언급하면서, 정적 네트워크의 종래의 패킷(1200)의 블록도가 제공되어 있다. 패킷(1200)은 프리앰블(1202), 물리층 프로토콜 헤더(1204), MAC 층 프로토콜 헤더(1206), LLC 층 프로토콜 헤더(1208), 네트워크층 프로토콜 헤더(1210), 및 전송층 프로토콜 헤더(1212)로 구성된다. 패킷(1200)은 또한 응용층 헤더(1214), 응용 데이터(1216), 및 프레임 체크 시퀀스("FCS")(1218)로 구성된다. 여기에 사용된 바와 같은, 어구 "프레임 체크 시퀀스"는 에러 검출 및 정정을 위한 통신 프로토콜에서 패킷 또는 프레임에 추가된 검사합계 문자를 말한다. 패킷(1200)의 열거된 성분의 각각은 해당 기술분야의 당업자에게 공지되어 있고 지방 및 대도시 지역 네트워크를 위한 미국전자전기학회("IEEE") 표준 및 인터넷 엔지니어링 태스크 포스("IEFT")의 개방형 산업 표준에 잘 정의되어 있다. 따라서, 그러한 성분은 여기에 구체적으로 설명되지 않을 것이다.
그러나, 응용 데이터(1216)가 시그널링 프로토콜 데이터, 사용자 데이터, 또는 관리 데이터일 수 있다는 것이 인지될 수 있다. 사용자 데이터는 보이스 데이터, 비디오 데이터, 또는 그와 유사한 것을 포함할 수 있다. 응용 데이터(1216)가 응용층 헤더(1214)와 FCS(1218) 사이에 캡슐화되어야 한다는 것 역시 인지될 수 있다. 응용층 헤더(1214)는 전송층 프로토콜 헤더(1212)와 응용 데이터(1216) 사이에 캡슐화된다. 유사하게, 전송층 프로토콜 헤더(1212)는 네트워크층 프로토콜 헤더(1210)와 응용층 헤더(1214) 사이에 캡슐화된다. 유사하게, 네트워크층 프로토콜 헤더(1210)는 LLC 층 프로토콜 헤더(1208)와 전송층 프로토콜 헤더(1212) 사이에 캡슐화된다. LLC 층 프로토콜 헤더(1208)는 MAC 층 프로토콜 헤더(1206)와 네트워크층 프로토콜 헤더(1210) 사이에 캡슐화된다. MAC 층 프로토콜 헤더(1206)는 물리층 프로토콜 헤더(1204)와 LLC 층 프로토콜 헤더(1208) 사이에 캡슐화된다. 물리층 프로토콜 헤더(1204)는 프리앰블(1202)과 MAC 층 프로토콜 헤더(1206) 사이에 캡슐화된다.
전송층 프로토콜 헤더(1212)는 소스 및 목적지 포트 넘버(1220)를 포함한다. 포트는 컴퓨터의 동작 시스템에서 통신 엔드포인트로서 역할하는 응용 특정 소프트웨어 구성이다. 포트는 16 비트 넘버(즉, 포트 넘버(1220))에 의해 각각의 IP 어드레스 및 프로토콜에 대해 식별된다.
전송층 프로토콜 헤더(1212)는 또한 TCP 시퀀스 넘버(1222)를 포함한다. TCP 세션의 반대 측면 상에서 서로 통신하는 두 개의 클라이언트 컴퓨터는 각각 TCP 시퀀스 넘버(1222)를 유지할 것이다. TCP 시퀀스 넘버(1222)는 각각의 컴퓨터가 그것이 얼마나 많은 데이터를 전달할지를 추적하게 한다. TCP 시퀀스 넘버는 세션 동안 전달되는 각각의 패킷의 TCP 헤더부에 포함된다. TCP 세션의 시작에서, 최초 시퀀스 넘버 값은 무작위로 선택된다.
네트워크층 프로토콜 헤더(1210)는 소스 및 목적지 IP 어드레스(1224)를 포함한다. IP 어드레스(1224)는 네트워크가 통신을 위해 공지된 인터넷 프로토콜을 사용하는 컴퓨터 네트워크에 참여하는 컴퓨팅 디바이스에 할당된 수치 식별자이다. IP 어드레스(1224)는 IPv4 시스템에서 32 비트 넘버 또는 IPv6 시스템에서 128 비트 넘버일 수 있다. IP 어드레스(1224)는 2진수이지만, 일반적으로 텍스트 파일로 저장되고 사람이 판독가능한 표기법(예, IPv4 시스템에 대해 175.18.252.1. 및 IPv6에 있어서 2003:db6:0:1234:0:469:6:1)으로 디스플레이된다.
일부 실시예에서, 각각의 IP 어드레스(1224)는 단일 식별 파라미터로 간주될 수 있다. 그러나 IP 어프레스(1224)는 일반적으로 네트워크 프리픽스(1228) 및 호스트 넘버(1230)를 포함하는 적어도 두 개의 부분을 포함하는 것으로 정의된다. 네트워크 프리픽스(1228)는 데이터 패킷(1200)이 전달될 네트워크를 식별한다. 호스트 넘버(1230)는 근거리 통신망("LAN") 내의 특정 노드를 식별한다. 하위-네트워크(때때로 서브넷으로 언급됨)는 IP 네트워크의 논리부이다. 네트워크가 두 이상의 하위 네트워크로 나누어지는 곳에서, IP 어드레스(1224)의 호스트 넘버(1230)의 일부가 서브넷 넘버(1232)를 특정하도록 사용된다. 본 발명의 목적을 위해서, 네트워크 프리픽스(1228), 서브넷 넘버(1232) 및 호스트 넘버(1230)는 각각 분리 식별 파라미터이도록 간주될 수 있다. 소스 IP 어드레스 및 목적지 IP 어드레스가 네트워크층 프로토콜 헤더(1210)에 포함되기 때문에, 헤더(1210)에 총 6개의 다른 식별 파라미터가 있다.
MAC 층 프로토콜 헤더(1206)는 MAC 어드레스(1226)를 포함한다. MAC 어드레스(1226)는 제조자에 의해 네트워크 인터페이스 디바이스에 할당된 고유값이고 온보드 ROM에 저장된다. MAC 어드레스(1226)는 프로토콜 스택(1100)의 MAC 층(1112)에 의해 사용된 프로토콜에 기반해서 46 비트 넘버 또는 64 비트 넘버를 포함할 수 있다.
MTT 가능하게된 네트워크는 MTT 프로토콜 스택의 프로토콜을 사용한다. 예시적인 MTT 프로토콜 스택(1300)의 개략적인 도시가 도 13에 제공된다. 도 13에 도시된 바와 같이, MTT 프로토콜 스택(1300)은 MTT 가능하게된 네트워크 내의 노드의 특정 기능을 특정하는 다섯 개의 층(1302-1314)을 포함한다. 특히, 층(1302, 1310, 1314) 중 일부는 프로토콜 스택(1100)의 이들(1102, 1110, 1114)과 동일하다. 그러한 바와 같이, 이들 층(1102, 1110, 1114)과 관련하여 위에 제공된 설명은 도 13의 층(1302, 1310, 1314)을 이해하기에 충분하다. 그러나, MTT 프로토콜 스택(1300)은 프로토콜 스택(1100)의 이들(1104-1108)과는 다른 층(1304-1308)을 포함한다. 그러한 바와 같이, 이들 층에 관한 간략한 논의가 아래에 제공될 것이다.
MTT 데이터 링크층(1304)은 두 개(2)의 하위층, 즉 LLC 층(1314) 및 MTT MAC 층(1312)으로 구성될 수 있다. LLC 층(1314)은 도 1의 LLC 층(1114)과 같거나 또는 실질적으로 유사하다. 그러한 바와 같이, 층(1114)에 관련해서 위에 제공된 설명은 층(1314)을 이해하기에 충분하다. MTT MAC 층(1312)은 도 11의 MAC 층(1112)과 다르다. 이 점에서, MAC 층(1112)은 각각의 네트워크 인터페이스 디바이스에 대해 정적 MAC 어드레스(1226)를 사용한다는 것이 이해될 수 있다. 반대로, MTT MAC 층(1312)은 각각의 네트워크 인터페이스 디바이스에 대해 비정적 MAC 어드레스(예, 도 14의 MTT MAC 어드레스(1426))를 사용한다. 비정적 MAC 어드레스는 동적으로 변경가능하다. 예를 들어, 비정적 MAC 어드레스는 MTT 가능하게된 네트워크의 동작 동안 랜덤하게 또는 의사랜덤하게 변경될 수 있다.
MTT 네트워크층(1306)은 도 11의 네트워크층(1106)과 다르다. 이 점에서, 네트워크층(1106)은 정적 IP 어드레스(1224)를 사용한다는 것이 이해될 수 있다. 반대로, MTT 네트워크층(1306)의 IP 어드레스(예, 도 14의 MTT IP 어드레스(1424))는 비정적이다(즉, 그들은 MTT 가능하게된 네트워크의 동작 동안 동적으로 변경될 수 있다). 예를 들어, IP 어드레스 넘버는 의사랜덤 프로세스에 따라 변경될 수 있다.
MTT 전송층(1308)은 도 11의 전송층(1108)과 다르다. 전송층(1108)은 정적 포트 넘버(1220) 및 정적 TCP 시퀀스 넘버(1222)를 사용한다. 반대로, MTT 전송층(1308)에 의해 사용된 포트 넘버(예, 도 14의 넘버(1420)) 및 TCP 시퀀스 넘버(예, 도 14의 넘버(1422))는 비정적이다. 이 점에서, 비정적 포트 넘버 및 시퀀스넘버의 각각은 랜덤 또는 의사랜덤 프로세스에 따라 변경될 수 있다는 것이 이해될 수 있다.
이제 도 14에 대해서 언급하면서, MTT 가능하게된 네트워크의 예시적인 MTT 패킷(1400)의 개략적인 도시가 제공되어 있다. MTT 패킷(1400)은 프리앰블(1402), 물리층 프로토콜 헤더(1404), MTT MAC 층 프로토콜 헤더(1406), LLC 층 프로토콜 헤더(1408), MTT 네트워크 층 프로토콜 헤더(1410), MTT 전송층 프로토콜 헤더(1412), 응용층 헤더(1414), 응용 데이터(1416) 및 FCS(1418)로 구성된다. MTT 패킷(1400)의 부분(1402, 1404, 1408, 1414, 1416, 1418)은 도 12의 부분(1202, 1204, 1208, 1214, 1216, 1218)과 같거나 또는 실질적으로 유사하다. 그러한 바와 같이, 부분(1202, 1204, 1208, 1214, 1216, 1218)에 관련하여 위에 제공된 설명은 MTT 패킷(1400)의 부분(1402, 1404, 1408, 1414, 1416, 1418)을 이해하기에 충분하다. 그러나, 부분(1406, 1410, 1412)은 도 12의 부분(1206, 1210, 1212)과 다르다. 그러한 바와 같이 부분(1406, 1410, 1412)의 각각은 여기에 설명될 것이다.
MTT 전송층 프로토콜 헤더(1412)는 MTT 소스 및 목적지 포트 넘버(1420)를 포함한다. 포트는 컴퓨터의 동작 시스템에서 통신 엔드포인트로 역할하는 응용-특정 소프트웨어 구성이다. 포트는 16 비트 넘버에 의해 각각의 IP 어드레스 및 프로토콜에 대해 식별된다. 16 비트 넘버는 MTT 포트 넘버(1420)로서 MTT 가능하게된 네트워크에 관련하여 언급된다. 특히, 각각의 MTT 포트 넘버(1420)는 비정적 넘버이다(즉, 램덤 또는 의사 랜덤 프로세스에 따라 모듈에 의해 변경될 수 있다). MTT 전송층 프로토콜 헤더(1412) 역시 MTT TCP 시퀀스 넘버(1422)를 포함한다. MTT TCP 시퀀스 넘버(1422)는 비정적 넘버이다. MTT 포트 넘버(1420)와 MTT TCP 시퀀스 넘버(1422)의 조작은 단순히 TCP 헤더 정보를 변경값으로 수정하는 것에 의해 달성될 수 있다.
MTT 네트워크층 프로토콜 헤더(1410)는 소스 및 목적지 MTT IP 어드레스(1424)를 포함한다. 각각의 MTT IP 어드레스(1424)의 값은 랜덤 또는 의사랜덤 프로세스에 따라 동적으로 변경될 수 있다. 각각의 MTT IP 어드레스(1424)는 MTT 프리픽스(1428) 및 MTT 호스트 넘버(1430)를 포함한다. 이들 성분(1428, 1430)의 각각은 또한 MTT 가능하게된 네트워크의 동작 동안 동적으로 변경될 수 있다. MTT IP 어드레스(1424), MTT 프리픽스(1428) 및 MTT 호스트 넘버(1430)는 단순히 MTT 네트워크층 프로토콜 헤더(1410)의 IP 헤더 정보를 수정하는 것에 의해 달성될 수 있다.
MTT MAC 층 프로토콜 헤더(1406)는 MTT MAC 어드레스(1426)를 포함한다. MTT MAC 어드레스(1426)는 MTT 가능하게된 네트워크의 동작 동안 동적으로 변경될 수 있다. MTT MAC 어드레스(1426)의 조작은 MTT MAC 층 프로토콜 헤더(1406)의 이더넷 헤더 정보를 단순히 수정하는 것에 의해 달성될 수 있다.
이제 도 15에 대해 언급하면서, 하드웨어로서 실행될 때 모듈(1000)의 동작을 이해하기에 유용한 개략적인 도시가 제공되어 있다. 도 15에 도시된 바와 같이, 모듈(1000)은 프로토콜 스택(1200, 1400) 모두를 따라 동작을 수행한다. 이 점에서, 모듈(1000)은 MTT 가능하게된 네트워크 노드(1502)(예, 도 1의 노드(104-109, 111, 112))로 그리고 그로부터 MTT 패킷(1400)을 전달하도록 구성된다. 모듈(1000)은 MTT 가능하게된 패킷(1400)으로 종래의 패킷(1200)을 변환하도록 더 구성되고, 그 역도 성립한다. 이러한 패킷 변환은 식별 파라미터 변환("IPT")(1504)을 통해 달성된다. IPT를 달성하기 위한 프로세스는 패킷(1200, 1400)의 응용층 부분(1214, 1216, 1414, 1416)을 캡슐해제하고 재캡슐화하는 것을 일반적으로 포함한다. 패킷을 캡슐화 및 캡슐해제하기 위한 방법은 해당 분야에 공지되어 있고, 그러므로 여기에 설명되지 않는다. 패킷을 캡슐화하고 캡슐해제하기 위한 임의의 공지된 방법 또는 공지될 방법은 한정 없이 본 발명으로 사용될 수 있다. IPT를 달성하기 위한 그러한 프로세스의 실시예는 도 16 및 도 17에 도시된다.
도 16에 도시된 바와 같이, 예시적인 프로세스(1600)는 단계(1602)에서 시작하고 단계(1604)로 이어진다. 단계(1604)에서, 종래의 패킷(1200)의 응용층 부분(1214, 1216)은 패킷으로부터 프리앰블(1202) 및 헤더(1204-1212)를 제거하는 것에 의해 캡슐해제된다. 다음 단계(1606)에서, 패킷 성분(1402-1414)은 MTT 프로토콜 스택(1300)의 프로토콜을 따라 발생된다. 그런 후에, 응용층 부분(1214, 1216)이 MTT 패킷(1400)을 형성하도록 재캡슐화되는 단계(1608)가 수행된다. 재캡슐화는 그것에 패킷 성분(1402-1414)을 첨부하는 것에 의해 달성된다. 단계(1608)를 완료할 시에, 프로세스(1600)는 종료하거나 또는 다른 처리가 수행된다.
도 17에 도시된 바와 같이, 예시적인 프로세스(1700)가 단계(1702)에서 시작하고 단계(1704)로 이어진다. 단계(1704)에서, MTT 패킷(1400)의 응용층 부분(1414, 1416)은 패킷(1400)으로부터 프리앰블(1402) 및 헤더(1404-1412)를 제거하는 것에 의해 캡슐해제된다. 다음으로 단계(1706)에서, 패킷 성분(1204-1214)이 종래의 프로토콜 스택(1200)의 프로토콜에 따라 발생된다. 다음 단계(1708)에서, 응용층 부분(1414, 1416)은 종래의 패킷(1200)을 형성하도록 그것에 프리앰블(1202) 및 헤더(1204-1214)를 첨부하는 것에 의해 재캡슐화된다.
이제 도 18에 대해 언급하면서, 본 발명의 배열을 따라 예시적인 NAC(104)가 도시되어 있다. NAC(104)는 서버 컴퓨터, 클라이언트 유저 컴퓨터, 개인용 컴퓨터("PC"), 태블릿 PC, 랩탑 컴퓨터, 데스크탑 컴퓨터, 제어 시스템 또는 (순차적이거나 또는 그렇지 않으면) 디바이스에 의해 취해질 작업을 특정하는 명령어의 세트를 실행할 수 있는 임의의 다른 디바이스를 포함하는 다양한 유형의 컴퓨팅 시스템 및 디바이스를 포함할 수 있다. 또한, 단일 컴퓨터가 도 18에 도시되는 반면에, 어구 "NAC"는 여기 논의된 방법론 중 임의의 하나 이상을 수행하는 명령어의 세트(또는 다중 세트)를 개별적으로 또는 결합해서 실행하는 컴퓨팅 디바이스의 임의의 집합을 포함하는 것으로 이해될 수 있다.
이제 도 18에 대해 언급하면서, NAC(104)는 프로세서(1812)(CPU와 같음), 디스크 드라이브 유니트(1806), 메인 메모리(1820) 및 버스(1822)를 통해 서로 통신하는 정적 메모리(1818)를 포함한다. NAC(104)는 비디오 디스플레이(예, LCD), 플랫 패널, 솔리드 스테이트 디스플레이, 또는 음극선관("CRT")을 더 포함할 수 있다. NAC(104)는 사용자 입력 디바이스(1804)(예, 키보드), 커서 제어 디바이스(1814)(예, 마우스) 및 네트워크 인터페이스 디바이스(1816)를 포함할 수 있다.
디스크 드라이브 유니트(1816)는 여기 설명된 방법론, 절차, 또는 기능 중 하나 이상을 실행하도록 구성된 하나 이상의 명령어(1808)(예, 소프트웨어 코드)의 세트가 저장되는 컴퓨터-판독가능한 저장 매체(1810)를 포함한다. 명령어(1808)는 또한 실행 동안 메인 메모리(1820), 정적 메모리(1818) 내에, 그리고/또는 프로세서(1812) 내에 완전히 또는 적어도 부분적으로 잔류할 수 있다. 메인 메모리(1820) 및 프로세서(1812) 역시 기계-판독가능한 미디어를 구성할 수 있다.
해당 기술분야의 당업자는 도 10-17에 도시된 모듈 아키텍처 및 도 18에 NAC 아키텍처 각각이 여기 설명된 방법을 수행하도록 각각 사용될 수 있는 컴퓨팅 디바이스의 단지 하나의 가능한 실시예를 나타낸다는 것을 인지할 것이다. 그러나, 본 발명은 이 점에서 한정되지 않고 임의의 다른 적합한 컴퓨팅 디바이스 아키텍처 역시 한정 없이 사용될 수 있다. 특수 용도의 집적 회로, 프로그래머블 논리 어레이, 및 다른 하드웨어 디바이스를 포함하지만, 그들로 한정되지 않는 전용 하드웨어 실행이 여기 설명된 방법을 실행하도록 유사하게 구성될 수 있다. 다양한 실시예의 장치 및 시스템을 포함할 수 있는 어플리케이션은 광범위하게 다양한 전자 및 컴퓨터 시스템을 포함한다. 일부 실시예는 모듈 사이에 그리고 그들을 통해 전달된 관련된 제어 및 데이터 신호와 두 개 이상의 특정 상호연결된 하드웨어 디바이스에서, 또는 특수 용도의 집적 회로의 부분으로서 기능을 실행할 수 있다. 따라서, 예시적인 시스템은 소프트웨어, 펌웨어, 및 하드웨어 실행에 적용가능하다.
본 발명의 다양한 실시예에 따라서, 여기 설명된 방법은 컴퓨터 판독가능한 저장 매체에서 소프트웨어 프로그램으로서 저장되고 컴퓨터 프로세서 상에 동작하도록 구성된다. 또한, 소프트웨어 실행은 또한 여기 설명된 방법을 실행하도록 구성될 수 있는, 분산 처리, 성분/대상 분산 처리, 병렬 처리, 가상 기계 처리를 포함할 수 있지만, 그들로 한정되지 않는다.
컴퓨터 판독가능한 저장 매체(1010, 1810)는 단일 저장 매체이도록 도 10 및 도 18에 도시되는 한편, 용어 "컴퓨터 판독가능한 저장 매체"는 하나 이상의 명령어의 세트를 저장하는 단일 매체 또는 다중 매체(예, 중앙 또는 분산 데이터베이스, 및/또는 연관된 캐쉬 및 서버)를 포함하도록 취해질 수 있다. 용어 "컴퓨터 판독가능한 저장 매체"는 또한 기계에 의한 실행 동안 명령어의 세트를 저장, 인코딩 또는 실어나를 수 있고 기계가 본 개시의 방법론 중 임의의 하나 이상을 수행하게 하는 임의의 매체를 포함하도록 취해질 수 있다.
용어 "컴퓨터 판독가능한 매체"는 따라서 하나 이상의 판독 전용(비휘발성) 메모리를 하우징하는 메모리 카드 또는 다른 패키지와 같은 솔리드 스테이트 메모리, 랜덤 액세스 메모리, 또는 다른 재기록가능한(휘발성) 메모리; 디스크 또는 테이프와 같은 자기-광학 또는 광학 매체를 포함하도록 취해질 수 있지만, 그들로 한정되지 않는다. 따라서, 본 개시는 여기에 나열된 컴퓨터 판독가능한 매체 중 임의의 하나 이상을 포함하고 그리고 여기에서의 소프트웨어 실행이 저장된 인지된 균등물 및 그 차기 매체를 포함하는 것으로 간주된다.
섀도우 네트워킹
일부 시나리오에서, 위에 설명된 컴퓨터 네트워크는 악의적인 공격에 여전히 취약할 수 있다. 그러한 바와 같이, 본 발명은 위에 설명된 MTT 기술을 사용하여 컴퓨터 네트워크의 공격자를 검출하고, 방해하며 지연시키는 방식을 제공한다. 본 발명은 공격자를 검출하고, 방해하며 지연시키도록 섀도우 네트워킹을 사용한다. 일반적으로, 섀도우 네트워킹은 컴퓨터 네트워크 상에 가해지는 가능한 악의적 공격이 있다는 것을 나타내는 의심 패킷을 검출하도록 식별 파라미터 값을 사용하는 것을 포함한다. 가능한 악의적 공격이 검출되면, 하나 이상의 작업이 공격자를 방해하고 그리고/또는 지연시키도록 취해질 수 있다. 그러한 작업은 소스를 결정하도록 의심 패킷을 분석하고, 의심 패킷의 소스를 추적하며, 의심 패킷에 관련된 정보를 로깅하고, 의심 패킷을 드롭하며, 그리고 또는 의심 패킷의 소스에 대한 반응을 보내는 것을 포함할 수 있지만, 그들로 한정되지 않는다. 나열된 작업은 (a) 공격자가 컴퓨터 네트워크에 포함된 네트워크 디바이스의 위치 및/또는 유형을 결정하는 것을 어렵게 하고, 그리고/또는 (b) 공격 시도가 검출되었다는 사실을 숨기는 목적을 위해 수행될 수 있다.
섀도우 네트워킹의 세부사항은 이제 도 19-21에 관련해서 설명될 것이다. 도 19는 두 개의 예시적인 미션 플랜(1900, 1902)의 개략적인 도시이다. 도 19에 도시된 바와 같이, 각각의 미션 플랜은 어떻게 네트워크 디바이스가 MTT 기술 및 섀도우 네트워킹 기술에 따라 동작해야하는지를 설명하는 미션 모델(1904, 1906)을 포함한다. 더 구체적으로, 각각의 미션 모델(1904, 1906)은 적어도 하나의 네트워크 디바이스 ND1, ND2(예, 도 1의 네트워크 디바이스(105-109, 111, 112))의 적어도 하나의 식별 파라미터(예, 도 14의 식별 파라미터(1420, 1422, 1424, 1426, 1428, 1432))에 관한 값이 각각의 미션 플랜(1900, 1902)이 컴퓨터 네트워크(예, 도 1의 컴퓨터 네트워크(100))에 의해 사용될 때 시간의 기간 동안 주기적으로 변경됨을 특정한다. 예를 들어, 각각의 미션 모델(1904, 1906)은 두 개의 네트워크 디바이스의 IP 어드레스에 관한 값이 각각의 미션 플랜(1900, 1902)이 컴퓨터 네트워크에 의해 사용될 때 주기적으로 변경되어야 함을 특정한다. 본 발명의 실시예는 이 점에서 한정되지 않는다. 미션 플랜(1904, 1906)은 다른 식별 파라미터에 관한 값이 미션 플랜(1900, 1902)이 컴퓨터 네트워크에 의해 사용될 때 주기적으로 변경되어야함을 나타낼 수 있다.
도 19에 도시된 바와 같이, 각각의 미션 모델(1904, 1906)은 참값과 복수의 거짓값이 네트워크 디바이스 ND1, ND2의 식별 파라미터에 할당되는 것을 나타낸다.예를 들어, 각각의 미션 모델(1904, 1906)은 각각의 네트워크 디바이스 ND1, ND2의 IP 어드레스가 9개의 가능한 값 TV, FV1, FV2, FV3, FV4, FV5, FV6, FV7, FV8을 가진다는 것을 나타낸다. 네트워크 디바이스 ND1의 IP 어드레스에 관한 9개의 가능한 값은 참값 TV1=175.18.252.1 및 거짓값 FV1 -1=176.18.252.1, FV1 -2=175.18.252.2, FV1 -3=176.18.253.1, FV1 -4=177.18.252.2, FV1 -5=178.18.254.1, FV1 -6=179.20.252.3, FV1 -7=177.18.262.5, FV1 -8=179.12.263.7을 포함한다. 네트워크 디바이스 ND2의 IP 어드레스에 관한 9개의 가능한 값은 참값 TV2=172.14.236.7 및 거짓값 FV2 -1=176.18.252.1, FV2 -2=175.18.254.2, FV2 -3=179.20.252.3, FV2 -4=179.12.253.7, FV2 -5=172.16.242.9, FV2 -6=179.18.251.3, FV2 -7=170.20.242.1, FV2 -8=179.14.262.1을 포함한다.
위의 언급으로부터 명백할 바와 같이, 네트워크 디바이스 ND1, ND2는 IP 어드레스(예, 176.18.252.1, 178.18.254.1, 179.20.252.3, 179.12.263.7)에 할당된 동일한 거짓값의 일부를 가진다. 이들 거짓값은 공통 거짓값으로 여기에 언급된다. 특히, 공통 거짓값은 (a)미션 플랜(1900)이 그로써 사용될 때의 시간의 기간 동안의 네트워크 디바이스 ND1 및 (b) 미션 플랜(1902)이 그로써 사용될 때의 시간 기간 동안의 네트워크 디바이스 ND2에 대해 활성이지 않다(또는 사용되지 않는다). 그러한 바와 같이, 공통 거짓값은 (a)미션 플랜(1900)이 그로써 사용될 때 네트워크 ND1 및 (b)미션 플랜(1902)이 그로써 사용될 때의 네트워크 디바이스 ND2에 대해 "공백" 식별 파라미터 값("IDPV")을 구성한다. 반대로, 공통 거짓값은 (a)미션 플랜(1900)이 그로써 사용될 때 시간의 기간 동안 네트워크 디바이스 ND2 및 (b)미션 플랜(1902)이 그로써 사용될 때 시간의 기간 동안 네트워크 디바이스 ND1에 대해 활성이다(또는 사용된다). 따라서, 공통 거짓값은 (a)미션 플랜(1900)이 그로써 사용될 때 네트워크 ND2 및 (b)미션 플랜(1902)이 그로써 사용될 때의 네트워크 디바이스 ND1에 대해 "활성" IDPV을 구성한다.
도 19가 미션 플랜(1904)의 "공백" IDPV 전부가 미션 플랜(1906)에서 "활성" IDPV임을 나타냄에도, 본 발명의 실시예는 이 점에서 한정되지 않는다. 예를 들어, 미션 모델(1904, 1906)은 적어도 하나의 거짓값이 미션 플랜(1900, 1902) 중 어느 하나가 그로써 사용될 때 특정 네트워크 디바이스 ND1 또는 ND2에 대해 "공백" IDPV를 구성함을 특정할 수 있다.
각각의 미션 모델(1904, 1906)은 또한 네트워크 디바이스를 위한 "활성" IDPV가 사용될 타임슬롯을 특정한다. 예를 들어, 미션 모델(1904)은: 네트워크 ND1의 IP 어드레스를 위한 거짓값 FV1 -3이 제 2 타임슬롯 TS1 동안 사용되어야 하고; 네트워크 디바이스 ND1의 IP 어드레스를 위한 참값 TV1은 제 2 타임슬롯 TS2 동안 사용되어야 하고; 네트워크 디바이스 ND1의 IP 어드레스를 위한 거짓값 FV1 -7은 제 2 타임슬롯 TS3 동안 사용되어야 하며; 네트워크 디바이스 ND1의 IP 어드레스를 위한 거짓값 FV1 -4는 제 2 타임슬롯 TS4 동안 사용되어야 하고; 그리고 네트워크 디바이스 ND1의 IP 어드레스를 위한 거짓값 FV1 -2는 제 2 타임슬롯 TS5 동안 사용되어야함을 특정한다. 미션 모델(1904)은: 네트워크 디바이스 ND2의 IP 어드레스를 위한 거짓값 FV2-1가 제 2 타임슬롯 TS1 동안 사용되어야 하고; 네트워크 ND2의 IP 어드레스를 위한 거짓값 FV2 -2은 제 2 타임슬롯 TS2 동안 사용되어야 하며; 네트워크 디바이스 ND3의 IP 어드레스를 위한 거짓값 FV2 -3은 제 2 타임슬롯 TS3 동안 사용되어야 하고; 네트워크 디바이스 ND2의 IP 어드레스를 위한 거짓값 FV2 -4는 제 2 타임슬롯 TS4 동안 사용되어야 하며; 그리고 네트워크 디바이스 ND2의 IP 어드레스를 위한 참값 TV2는 제 2 타임슬롯 TS5 동안 사용되어야 함을 또한 특정한다.
각각의 미션 플랜(1904, 1906)은 동작 동안 컴퓨터 네트워크의 모듈(예, 도 1의 모듈(105-107, 113, 114))에 의해 수행될 섀도우 네트워킹 활동을 더 특정한다. 예를 들어, 미션 플랜(1904)은 각각의 모듈이 네트워크 디바이스 ND1 및/또는 네트워크 디바이스 ND2와 연관된 IP 어드레스를 위한 "공백" IDPV 또는 "낡은(또는 섀도우)" IDPV를 포함하는지 여부를 결정하도록 매 패킷마다 수신된 위협을 분석해야함을 나타낸다. 모듈이 수신된 패킷이 네트워크 디바이스 ND1 및/또는 네트워크 디바이스 ND2와 연관된 IP 어드레스를 위한 "공백" IDPV를 포함한다고 결정하면, 그때 패킷은 그 정보가 로깅될 수 있도록 침입 분석기로 드롭되고 보내진다. 반대로, 모듈이 수신된 패킷이 네트워크 디바이스 ND1 및/또는 네트워크 디바이스 ND2와 연관된 IP 어드레스를 위한 "낡은(또는 섀도우)" IDPV를 포함한다고 결정하면, 그때 패킷은 그 정보가 로깅되고 응답이 그 소스로 보내질 수 있도록 침입 분석기로 보내진다. "낡은(또는 섀도우)" IPDV는 도 20a-20e와 관련하여 아래에 더 구체적으로 설명될 것이다.
이제 도 20a-20e에 대해 언급하면서, 무엇이 "낡은(또는 섀도우)" IPDV를 구성하는지를 이해하기에 유용한 개략적인 도시가 제공되어 있다. 미션 플랜(1900)을 위한 시간 구조(2000)가 도 20a에 제공된다. 도 20a에 도시된 바와 같이, 미션 플랜(1900)은 타임 프레임(2020, 2022) 동안 네트워크 디바이스 ND1, ND2에 의해 사용된다. 미션 플랜(1902)을 위한 시간 구조(2002)가 도 20b에 제공된다. 도 20b에 도시된 바와 같이, 미션 플랜(1902)은 시간 프레임(2024, 2026) 동안 네트워크 디바이스 ND1, ND2에 의해 사용된다. 미션 플랜(1900)으로부터 미션 플랜(1902)로의 천이에 관한 시간 구조(2004)가 도 20c에 제공된다. 도 20c에 도시된 바와 같이, 미션 플랜 천이는 트리거 이벤트(2006)에 응답해서 타임 프레임(2022)의 단부에서 발생한다. 트리거 이벤트(2006)는 위에 설명된 프로액티브 또는 액티브 트리거 이벤트 중 어느 하나를 포함한다.
도 20a-20c는 각각의 미션 플랜(1900, 1902)이 두 개의 연속적인 타임 프레임에 대해 사용됨에도, 본 발명에 대한 실시예는 이 점에서 한정되지 않는다. 각각의 미션 플랜(1900, 1902)은 두 개의 트리거 이벤트 사이의 시간의 기간 동안 타임 프레임의 일부, 하나의 타임 프레임, 또는 두 개 이상의 연속적인 타임 프레임에 대해 사용될 수 있다. 또한, 미션 플랜(1900, 1902)은 트리거 이벤트의 발생에 따라서 다른 수의 연속적이거나 비연속적인 타임 프레임에 대해 사용될 수 있다.
도 20d는 도 20a에 도시된 타임 프레임(2020, 2022)의 더 세부적인 개략적인 도시를 제공한다. 유사하게, 도 20e는 도 20b에 도시된 타임 프레임(2024, 2026)의 더 구체적인 개략적인 도시를 제공한다. 도 20d의 내용은 아래에 더 구체적으로 설명될 것이다. 그러나, 도 20e의 내용은 도 20d에 관한 논의가 도 20e를 이해하기에 충분하기 때문에 구체적으로 설명되지 않을 것이다.
도 20d에 도시된 바와 같이, 각각의 타임 프레임(2020, 2022)은 복수의 타임슬롯 TS1, TS2, TS3, TS4, TS5를 포함한다. 각각의 타임슬롯 TS1, TS2, TS3, TS4, TS5은 동일한 정적 지속시간, 동일한 가변 지속시간, 또는 다른 지속시간을 가진다. 각각의 타임슬롯 TS1, TS2, TS3, TS4, TS5은 미션 플랜(1900)에서 네트워크 디바이스 ND1, ND2와 연관된 소정 "활성" IDPV가 그것에 그리고 그로부터 전달된 패킷에서 식별 파라미터 값에 대해 사용될 때의 시간 기간을 특정한다.
도 20d는 또한 각각의 타임 프레임(2020, 2022)의 타임슬롯 TS1, TS2, TS3, TS4, TS5이 각각의 네트워크 디바이스 ND1, ND2에 대해 그와 연관된 "섀도우" IDPV의 세트를 가진다는 것을 나타낸다. 각각의 "섀도우" IDPV의 세트는: (a)각각의 네트워크 디바이스에 대해 "활성" IPDV로서 미션 플랜(1900)에 정의되고; (b)각각의 네트워크 디바이스 ND1 또는 ND2로 그리고 그로부터 전달된 패킷에서 식별 파라미터 값으로서 앞서 사용되며; 그리고 c) 언급된 식별 파라미터 값으로서 현재 타임슬롯TS1, TS2, TS3, TS4, TS5 동안 사용되지 않은 IPDV를 포함한다. 예를 들어, 타임 프레임(2020)은 미션 플랜(1900)이 사용된 제 1 타임 프레임이다. 그러한 바와 같이, 타임 프레임(2020)의 타임슬롯 TS1 동안, 네트워크 디바이스 ND1 및 ND2에 대해 어떠한 "섀도우" 식별도 없다. 타임 프레임(2020)의 타임슬롯 TS2에서, 네트워크 디바이스 ND1 및 ND2에 대해 "섀도우" 식별은 각각 FV1 -3, FV2 -1을 포함한다. 타임 프레임(2020)의 타임슬롯 TS3에서, 네트워크 디바이스 ND1, ND2에 관한 "섀도우" 식별은 각각, TV1, FV1 -3, FV2 -1, FV2 -2를 포함한다. 타임 프레임(2020)의 타임슬롯 TS4에서, 네트워크 디바이스 ND1, ND2에 관한 "섀도우" 식별은 TV1, FV1 -3, FV1 -7, FV2 -1, FV2 -2, FV2-3 각각 포함한다. 타임 프레임(2020)의 타임슬롯 TS5에서, 네트워크 디바이스 ND1, ND2에 관한 "섀도우" 식별은 TV1, FV1 -3, FV1 -4, FV1 -7, FV2 -1, FV2 -2, FV2 -3, FV2 -4 각각 포함한다. 타임 프레임(2022)의 타임 슬롯 TS1에서, 네트워크 디바이스 ND1, ND2에 관한 "섀도우" IPDV는 TV1, FV1 -3, FV1 -4, FV1 -7, TV2, FV2 -2, FV2 -3, FV2 -4 등을 포함한다. 이들 "섀도우" 식별은 컴퓨터 네트워크(예, 도 1의 컴퓨터 네트워크(100)) 상의 가능한 악의적 공격을 검출하도록 타임슬롯 TS1 동안 모듈에 의해 사용될 수 있다. "섀도우" 식별이 가능한 악의적 공격을 검출하도록 사용되는 방식은 논의가 진행함에 따라 더 명백해질 것이다.
특히, 도 20d의 슬라이딩 윈도우 간격(2050, 2052, 2054, 2056)은 패킷이 제 1 위치(예, 미국)에 머무는 소스 디바이스로부터 제 2 원격 위치(예, 영국)에 위치된 목적지 디바이스로 이동하는 데 걸리는 시간(예, 3초)을 설명하도록 제공될 수 있다. 일부 실시예에서, 슬라이딩 윈도우 간격은 필요에 따라 가능해지지 않거나 가능해질 수 있는 미래일 수 있다. 각각의 슬라이딩 윈도우 간격 동안, 모듈은 가능한 악의적 공격을 검출하는 목적을 위해 이전의 타임슬롯에 관한 "섀도우" IDPV 및 현재의 타임슬롯에 관한 "섀도우" IDPV를 사용할 수 있다. 예를 들어, 슬라이딩 윈도 간격(2050) 동안, 모듈은 가능한 악의적 공격을 검출하는 목적을 위해 타임슬롯 TS1에 관한 "섀도우" IDPV 및 타임슬롯 TS2에 관한 "섀도우" IDPV를 사용한다. 슬라이딩 윈도우 간격(2052) 동안, 모듈은 가능한 악의적 공격을 검출하는 목적을 위해 타임슬롯 TS2에 관한 "섀도우" IDPV 및 타임슬롯 TS3에 관한 "섀도우" IDPV를 사용한다. 슬라이딩 윈도우 간격(2054) 동안, 모듈은 가능한 악의적 공격을 검출하는 목적을 위해 타임슬롯 TS3에 관한 "섀도우" IDPV 및 타임슬롯 TS4에 관한 "섀도우" IDPV를 사용한다. 슬라이딩 윈도우 간격(2056) 동안, 모듈은 가능한 악의적 공격을 검출하는 목적을 위해 타임슬롯 TS4에 관한 "섀도우" IDPV 및 타임슬롯 TS5에 관한 "섀도우" IDPV를 사용한다.
도 20d에 도시된 바와 같이, 슬라이딩 윈도우 간격(2050, 2052, 2054, 2056)은 동일하거나 실질적으로 유사한 지속시간을 가진다. 본 발명의 실시예는 이 점에서 한정되지 않는다. 슬라이딩 윈도우 간격(2050, 2052, 2054, 2056)은 다른 지속시간을 가질 수 있다. 또한 슬라이딩 윈도우 간격(2050, 2052, 2054, 2056) 각각은 각각의 타임슬롯 TS1, TS2, TS3, TS4, TS5의 지속시간보다 더 짧은 임의의 지속시간을 가질 수 있다.
도 21에 대해 이제 언급하면서, 섀도우 네트워킹에 관한 예시적인 방법(2100)의 흐름도가 제공되어 있다. 방법(2100)은 단계(2102)로 시작하고 단계(2104)로 이어진다. 단계(2104)에서, 패킷은 MTT 가능해진 디바이스(예, 도 1의 모듈(105-107, 113, 114))에서 수신된다. MTT 가능해진 디바이스에서, 패킷은 식별 파라미터의 전부가 단계(2106)에 의해 도시된 바와 같이, 시간의 현재 기간 동안 "현재의" 값을 가지는지 여부를 결정하도록 분석된다. "현재의" 값은 식별 파라미터에 관한 참값 또는 시간의 현재 기간(도 20a-20b의 타임 프레임(2020, 2022, 2024, 2026)의 타임슬롯 TS1, TS2, TS3, TS4, TS5) 동안 네트워크 디바이스로 그리고 그로부터 전달되는 패킷에 사용될 식별 파라미터에 관한 거짓값이다. 예를 들어, 시간의 현재 기간이 타임 프레임(2020)의 타임슬롯 TS2에 의해 정의되면, 그때 IP 어드레스에 관한 "정확한" 값은 미션 플랜(1900)에서 특정된 바와 같이 TV1 또는 FV2 -2이다. 미션 플랜(1900) 시나리오에서, 포트 넘버, TCP 시퀀스 넘버, 및 MAC 어드레스에 관한 "정확한" 값은 참값이다. 본 발명의 실시예는 이 점에서 한정되지 않는다.
모든 식별 파라미터가 "정확한" 값을 가진다면[2018:예], 그때 패킷이 의도된 목적지 디바이스에 보내지는 단계(2110)가 수행된다. 그런 후에, 방법(2100)은 단계(2104)로 돌아간다. 적어도 하나의 식별 파라미터가 "정확한" 값을 갖지 않는다면[2108: 아니오], 그때 식별 파라미터에 관한 "부정확한" 값이 단계(2112)에 의해 도시된 바와 같이, 패킷으로부터 추출된다. 다음 단계(2114)에서, "부정확한" 값은 컴퓨터 네트워크(예, 도 1의 컴퓨터 네트워크(100))에 의해 현재 사용되는 미션 플랜에 특정된 식별 파라미터에 관한 가능한 값 중 적어도 하나의 목록과 비교된다. 예를 들어, "부정확한" 값은 미션 플랜(1900)에 제공된 가능한 IP 어드레스 값의 목록과 비교된다. 미션 플랜(1900) 시나리오에서, 단계(2114)의 비교 동작은 "부정확한" 값이 네트워크 노드 ND1 또는 ND2에 관한 IP 어드레스와 연관된 "공백" IDPV 또는 "섀도우" IDPV인지 여부에 관해 결정하는 목적을 위해 수행된다. 본 발명의 실시예는 이 점에서 한정되지 않는다.
"부정확한" 값이 네트워크 노드에 관한 "공백" IDPV 또는 "섀도우" IDPV가 아니라면[2116:아니오], 그때 패킷이 드롭되고 방법(2100)은 단계(2118)에 의해 도시된 바와 같이 단계(2104)로 돌아간다. "부정확한" 값이 네트워크 노드에 관한 "공백" IDPV 또는 "섀도우" IDPV라면[2116:예], 그때 방법(1200)은 단계(2118)로 이어진다. 단계(2118)에서, 하나 이상의 섀도우 네트워킹 활동이 미션 플랜(예, 도 19의 미션 플랜(1900, 1902)에 의해 특정된 바와 같이 MTT 가능하게된 디바이스에 의해 수행된다. 그러한 섀도우 네트워킹 활동은 패킷을 드로핑, 패킷을 침입 분석및/또는 하니팟 분석 툴에 포워딩, 패킷과 연관된 정보를 로깅, 패킷의 소스를 결정, 및/또는 패킷의 소스에 응답을 보내는 것을 포함하지만, 그들로 한정되지 않는다. 침입 분석 툴 및 하니팟 분석 툴은 해당 기술분야에 공지되어 있으므로, 여기에 설명되지 않을 것이다. 임의의 그러한 공지되거나 공지될 침입 또는 하니팟 분석 툴은 한정 없이 본 발명으로 사용될 수 있다. 단계(2118)에서 수행된 섀도우 네트워킹 활동은 컴퓨터 네트워크에 의해 현재 사용되는 미션 플랜에 특정된다. 단계(2118)에서 수행된 섀도우 네트워킹 활동의 유형은 "부정확한" 값이 "공백" IDPV 또는 "섀도우" IDPV인지 여부에 기반해서 선택될 수 있다. 이 점에서, 다른 섀도우 네트워킹 활동은 "부정확한" 값이 "섀도우" IDPV와는 반대로 "공백" IDPV일 때 단계(2118)에서 수행될 수 있고, 그 역 역시 맞다는 것이 이해될 수 있다. 단계(2118)를 완료할 시에, 방법(2100)이 종료하거나 다른 처리가 수행되는 단계(2120)가 수행된다.
본 발명이 하나 이상의 실행에 대해 도시되고 설명되었지만, 균등한 대안 및 수정이 본 명세서 및 첨부된 도면을 읽고 이해할 때 해당 기술분야의 당업자에 의해 이루어질 것이다. 덧붙여, 본 발명의 특정 특징이 여러 실행 중 하나에 대해서만 개시될 수 있지만, 그러한 특징은 요구될 수 있는 바와 같이 다른 실행 중 하나 이상의 다른 특징과 조합될 수 있고 임의의 소정 또는 특정 어플리케이션에 대해 유리할 수 있다. 따라서, 본 발명의 사상 및 범위는 위에 설명된 실시예 중 어느 하나에 의해 한정되지 않을 것이다. 그보다는, 본 발명의 범위는 다음의 청구항 및 그들의 균등물에 따라 정의될 수 있다.

Claims (10)

  1. 컴퓨터 네트워크 상에 가해지는 악의적인 공격을 식별하기 위한 방법으로서,
    제 1 네트워크 노드에서 미션 플랜을 실행하는 단계, 상기 미션 플랜은 (a) 제 2 네트워크 노드에 관한 적어도 하나의 제 1 식별 파라미터가 그와 연관된 복수의 가능한 값을 갖고, 그리고 (b) 상기 복수의 가능한 값 중 적어도 두 개의 가능한 값은 타임 프레임의 복수의 타임슬롯 중 다른 타임슬롯에서 상기 제 2 네트워크 노드로 그리고 그로부터의 통신에 사용되어야 함을 특정하고;
    상기 제 2 네트워크 노드로부터 제 3 네트워크 노드로 보내진 상기 제 1 네트워크 노드에서 제 1 패킷을 수신하는 단계, 상기 제 1 패킷은 상기 제 2 및 제 3 네트워크 노드 중 적어도 하나의 하드웨어 및 소프트웨어를 고유하게 식별하는 복수의 식별 파라미터를 포함하는 페이로드 데이터 및 헤더 데이터를 포함하고, 상기 복수의 식별 파라미터 중 상기 적어도 하나의 제 1 식별 파라미터의 참값은 상기 참값을 상기 복수의 가능한 값으로부터 거짓값으로 변환하도록 상기 컴퓨터 네트워크에서의 제 1 위치에서 미리 수정되었고;
    상기 미션 플랜은 식별 파라미터가 (a) 상기 복수의 타임슬롯 중 어느 하나 동안 상기 제 2 노드로 그리고 그로부터 전달된 패킷에 사용되지 않아야 하거나 또는 (b) 상기 복수의 타임슬롯 중 이전의 타임슬롯 동안 상기 제 2 노드로 또는 그로부터 전달된 패킷에 사용되었음을 나타내는지 여부를 결정하도록 상기 미션 플랜에 특정된 상기 복수의 가능한 값과 수신된 패킷에 포함된 상기 제 1 식별 파라미터에 관한 값을 상기 제 1 네트워크 노드에 의해 비교하는 단계;
    상기 미션 플랜은 식별 파라미터가 상기 복수의 타임슬롯 중 어느 하나 동안 상기 제 2 노드로 그리고 그로부터 전달된 패킷에 사용되지 않아야 함을 나타내는 것이 결정된다면 상기 컴퓨터 네트워크 상의 가능한 악의적 공격을 식별하고, 억제하거나 또는 지연시키도록 적어도 하나의 제 1 작동을 상기 제 1 네트워크 노드에 의해 수행하는 단계;
    상기 미션 플랜은 식별 파라미터가 상기 복수의 타임슬롯 중 이전의 타임슬롯 동안 상기 제 2 노드로 또는 그로부터 전달된 패킷에 사용되었음을 나타낸다고 결정되면 상기 제 1 작동과 다른 적어도 하나의 제 2 작동을 상기 네트워크 노드에 의해 수행하는 단계; 및
    식별 파라미터값 변환이 상기 제 1 위치를 제 2 다른 위치로 동적으로 변경하는 것에 의해 상기 제 2 및 제 3 네트워크 노드 사이의 통신 동안 발생하는 상기 컴퓨터 네트워크 내의 위치를 변경하는 단계;를 포함하는 것을 특징으로 하는 방법.
  2. 제 1항에 있어서,
    상기 적어도 하나의 제 1 식별 파라미터는 포트 넘버, 송신 제어 프로토콜(TCP) 시퀀스 넘버, 인터넷 프로토콜(IP) 어드레스, 네트워크 프리픽스, 호스트 넘버, 또는 미디어 액세스 제어(MAC) 어드레스를 포함하는 것을 특징으로 하는 방법.
  3. 제 1항에 있어서,
    상기 복수의 가능한 값은 상기 적어도 하나의 제 1 식별 파라미터에 관한 참 정보를 특정하는 참값 및 상기 적어도 하나의 제 1 식별 파라미터 관한 거짓 정보를 특정하는 적어도 하나의 거짓값을 포함하는 것을 특징으로 하는 방법.
  4. 제 1항에 있어서,
    상기 제 1 또는 제 2 작동은 상기 제 1 패킷을 드로핑, 상기 제 1 패킷을 침입 분석 툴 또는 하니팟 분석 툴에 포워딩, 상기 제 1 패킷과 연관된 정보를 로깅, 상기 제 1 패킷의 소스를 결정, 및/또는 상기 제 1 패킷의 상기 소스에 응답을 보내는 것을 포함하는 것을 특징으로 하는 방법.
  5. 제 1항에 있어서,
    상기 제 1 및 제 2 작동은 상기 미션 플랜에 특정되는 것을 특징으로 하는 방법.
  6. 제 1항에 있어서,
    상기 미션 플랜은 식별 파라미터가 현재 타임슬롯 동안 상기 제 2 네트워크 노드로 또는 그로부터 전달된 패킷에 사용되어야 함을 나타낸다면 의도된 목적지 디바이스에 상기 제 1 패킷을 상기 제 1 네트워크 노드에 의해 포워딩하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  7. (a) 제 2 네트워크 노드에 대한 적어도 하나의 제 1 식별 파라미터는 그것과 연관된 복수의 가능한 값을 갖고, 그리고 (b) 상기 복수의 가능한 값 중 적어도 두 개의 가능한 값이 타임 프레임의 복수의 타임슬롯 중 다른 타임슬롯에 상기 제 2 네트워크 노드로 그리고 그로부터 통신에 사용되어야 함을 특정하는 미션 플랜을 실행하는 컴퓨팅 디바이스를 포함하는 적어도 하나의 제 1 네트워크 노드를 포함하는 시스템으로서,
    상기 제 1 네트워크 노드는 상기 제 2 네트워크 노드로부터 제 3 네트워크 노드로 보내진 제 1 패킷을 수신하도록 구성되고, 상기 제 1 패킷은 상기 제 2 및 제 3 네트워크 노드 중 적어도 하나의 하드웨어 및 소프트웨어를 고유하게 식별하는 복수의 식별 파라미터를 포함하고, 상기 복수의 식별 파라미터의 상기 적어도 하나의 제 1 식별 파라미터의 참값은 상기 참값을 상기 복수의 가능한 값으로부터 거짓값으로 변환하도록 상기 시스템에서의 제 1 위치에서 미리 수정되었고,
    상기 미션 플랜은 식별 파라미터가 (a) 상기 복수의 타임슬롯 중 어느 하나 동안 상기 제 2 네트워크 노드로 그리고 그로부터 전달된 패킷에서 사용되지 않아야 하거나 또는 (b) 상기 복수의 타임슬롯의 이전의 타임슬롯 동안 상기 제 2 노드로 또는 그로부터 전달된 패킷에서 사용되었음을 나타내는지 여부를 결정하도록 상기 미션 플랜에 특정된 상기 복수의 가능한 값과 상기 제 1 패킷에 포함된 상기 제 1 식별 파라미터에 대한 값을 비교하고,
    상기 미션 플랜은 식별 파라미터가 상기 복수의 타임슬롯 중 어느 하나 동안 상기 제 2 노드로 그리고 그로부터 전달된 패킷에 사용되지 않아야 함을 나타내는 것이 결정되면 컴퓨터 네트워크 상의 가능한 악의적 공격을 식별하고, 억제하거나 또는 지연시키도록 적어도 하나의 제 1 작동을 수행하고, 그리고
    상기 미션 플랜은 식별 파라미터가 상기 복수의 타임슬롯의 이전의 타임슬롯 동안 상기 제 2 노드로 또는 그로부터 전달된 패킷에 사용되었음을 나타내는 것이 결정되면 상기 제 1 작동과는 다른 적어도 하나의 제 2 작동을 수행하며;
    위치는 식별 파라미터값 변환이 상기 제 1 위치를 제 2 다른 위치로 동적으로 변경하는 것에 의해 상기 제 2 및 제 3 네트워크 노드 사이의 통신 동안 발생하는 상기 컴퓨터 네트워크 내에서 변경되는 것을 특징으로 하는 시스템.
  8. 제 7항에 있어서,
    상기 적어도 제 1 식별 파라미터는 포트 넘버, 송신 제어 프로토콜(TCP) 시퀀스 넘버, 인터넷 프로토콜(IP) 어드레스, 네트워크 프리픽스, 호스트 넘버, 또는 미디어 액세스 제어(MAC) 어드레스를 포함하는 것을 특징으로 하는 시스템.
  9. 제 7항에 있어서,
    상기 복수의 가능한 값은 상기 적어도 하나의 제 1 식별 파라미터 관한 참정보를 식별하는 참값 및 상기 적어도 하나의 제 1 식별 파라미터에 관한 거짓 정보를 식별하는 적어도 하나의 거짓값을 포함하는 것을 특징으로 하는 시스템.
  10. 제 7항에 있어서,
    상기 제 1 또는 제 2 작동은 상기 제 1 패킷을 드로핑, 상기 제 1 패킷을 침입 분석 툴 또는 하니팟 분석 툴에 포워딩, 상기 제 1 패킷과 연관된 정보를 로깅, 상기 제 1 패킷의 소스를 결정, 및/또는 상기 제 1 패킷의 상기 소스에 응답을 보내는 것을 포함하는 것을 특징으로 하는 시스템.
KR1020147033723A 2012-05-01 2013-04-29 섀도우 네트워킹 기법을 사용하여 네트워크에 대한 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법 KR101581155B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/461,069 2012-05-01
US13/461,069 US9075992B2 (en) 2012-05-01 2012-05-01 Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
PCT/US2013/038557 WO2014014537A2 (en) 2012-05-01 2013-04-29 Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques

Publications (2)

Publication Number Publication Date
KR20150008158A KR20150008158A (ko) 2015-01-21
KR101581155B1 true KR101581155B1 (ko) 2016-01-11

Family

ID=49513678

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147033723A KR101581155B1 (ko) 2012-05-01 2013-04-29 섀도우 네트워킹 기법을 사용하여 네트워크에 대한 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법

Country Status (5)

Country Link
US (1) US9075992B2 (ko)
KR (1) KR101581155B1 (ko)
CN (1) CN104272700B (ko)
TW (1) TWI489314B (ko)
WO (1) WO2014014537A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102178501B1 (ko) * 2019-09-05 2020-11-13 주식회사 가디언이엔지 시설물 기반 위치 추적 시스템 및 방법

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9075992B2 (en) * 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
US9130907B2 (en) 2012-05-01 2015-09-08 Harris Corporation Switch for communicating data in a dynamic computer network
US9154458B2 (en) 2012-05-01 2015-10-06 Harris Corporation Systems and methods for implementing moving target technology in legacy hardware
US9325676B2 (en) * 2012-05-24 2016-04-26 Ip Ghoster, Inc. Systems and methods for protecting communications between nodes
US10778659B2 (en) 2012-05-24 2020-09-15 Smart Security Systems Llc System and method for protecting communications
WO2014063110A1 (en) * 2012-10-19 2014-04-24 ZanttZ, Inc. Network infrastructure obfuscation
US9519803B2 (en) * 2012-11-30 2016-12-13 Intel Corporation Secure environment for graphics processing units
US9503324B2 (en) 2013-11-05 2016-11-22 Harris Corporation Systems and methods for enterprise mission management of a computer network
US9338183B2 (en) 2013-11-18 2016-05-10 Harris Corporation Session hopping
US9264496B2 (en) 2013-11-18 2016-02-16 Harris Corporation Session hopping
US10122708B2 (en) 2013-11-21 2018-11-06 Harris Corporation Systems and methods for deployment of mission plans using access control technologies
US9936008B2 (en) * 2013-12-03 2018-04-03 Red Hat, Inc. Method and system for dynamically shifting a service
US10382595B2 (en) 2014-01-29 2019-08-13 Smart Security Systems Llc Systems and methods for protecting communications
TWI502348B (zh) * 2014-05-02 2015-10-01 Via Tech Inc 延伸唯讀記憶體管理系統、方法及其管理主機
US10193924B2 (en) 2014-09-17 2019-01-29 Acalvio Technologies, Inc. Network intrusion diversion using a software defined network
TWI553502B (zh) * 2015-03-05 2016-10-11 緯創資通股份有限公司 用於應用程式層之防火牆裝置的保護方法與其電腦系統
KR101697189B1 (ko) 2015-08-28 2017-01-17 국방과학연구소 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법
US10181912B1 (en) * 2016-02-26 2019-01-15 Amazon Technologies, Inc. Network link testing
US10243993B2 (en) * 2016-11-17 2019-03-26 Harris Corporation Systems and method for providing dynamic computer networks in which behavior models drive cyber mission models
US11017078B2 (en) * 2018-04-24 2021-05-25 Microsoft Technology Licensing, Llc Environmentally-trained time dilation
US10965444B2 (en) 2018-04-24 2021-03-30 Microsoft Technology Licensing, Llc Mitigating timing attacks via dynamically triggered time dilation
US10785017B2 (en) 2018-04-24 2020-09-22 Microsoft Technology Licensing, Llc Mitigating timing attacks via dynamically scaled time dilation
US11194930B2 (en) 2018-04-27 2021-12-07 Datatrendz, Llc Unobtrusive systems and methods for collecting, processing and securing information transmitted over a network
CN108769040B (zh) * 2018-06-06 2021-03-19 中国联合网络通信集团有限公司 一种识别伪装簇内节点的方法及装置
US11700185B2 (en) * 2019-06-17 2023-07-11 Eagle Technology, Llc Systems and method for providing an ontogenesis intelligence engine
US11677768B2 (en) * 2019-10-22 2023-06-13 Honeywell International Inc. Apparatuses, methods, and computer program products for automatic improved network architecture generation

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080235755A1 (en) 2007-03-22 2008-09-25 Mocana Corporation Firewall propagation
US20090031042A1 (en) 2007-03-23 2009-01-29 Phatak Dhananjay S Spread identity communications architecture

Family Cites Families (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5734649A (en) 1996-05-31 1998-03-31 Bbn Corporation Data packet router
US6052064A (en) 1997-10-30 2000-04-18 Motorola, Inc. Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones
US6646989B1 (en) 1998-06-29 2003-11-11 Lucent Technologies Inc. Hop-by-hop routing with node-dependent topology information
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
CA2349520C (en) 1998-10-30 2011-05-17 Science Applications International Corporation An agile network protocol for secure communications with assured system availability
US7188180B2 (en) 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US7240368B1 (en) 1999-04-14 2007-07-03 Verizon Corporate Services Group Inc. Intrusion and misuse deterrence system employing a virtual network
US6981146B1 (en) 1999-05-17 2005-12-27 Invicta Networks, Inc. Method of communications and communication network intrusion protection methods and intrusion attempt detection system
US6275470B1 (en) 1999-06-18 2001-08-14 Digital Island, Inc. On-demand overlay routing for computer-based communication networks
US6934763B2 (en) 2000-04-04 2005-08-23 Fujitsu Limited Communication data relay system and method of controlling connectability between domains
EP1284092A2 (en) 2000-05-23 2003-02-19 Invicta Networks, Inc. Systems and methods for communication protection
US7757272B1 (en) * 2000-06-14 2010-07-13 Verizon Corporate Services Group, Inc. Method and apparatus for dynamic mapping
US7043633B1 (en) 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
US8677505B2 (en) 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
US7739497B1 (en) 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
FI110464B (fi) 2001-04-26 2003-01-31 Nokia Corp IP-tietoturva ja liikkuvat verkkoyhteydet
US7085267B2 (en) 2001-04-27 2006-08-01 International Business Machines Corporation Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet
US6917974B1 (en) 2002-01-03 2005-07-12 The United States Of America As Represented By The Secretary Of The Air Force Method and apparatus for preventing network traffic analysis
US7114005B2 (en) 2002-02-05 2006-09-26 Cisco Technology, Inc. Address hopping of packet-based communications
US7712130B2 (en) 2002-03-22 2010-05-04 Masking Networks, Inc. Multiconfigurable device masking shunt and method of use
TWI246298B (en) * 2002-04-30 2005-12-21 Ibm Cryptographic communication system, key distribution server and terminal device constituting the system, and method for sharing key
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
WO2004046924A1 (en) * 2002-11-18 2004-06-03 Arm Limited Processor switching between secure and non-secure modes
US7216359B2 (en) 2002-12-19 2007-05-08 International Business Machines Corporation Secure communication overlay using IP address hopping
US20040255167A1 (en) 2003-04-28 2004-12-16 Knight James Michael Method and system for remote network security management
US7469279B1 (en) 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
US20050038708A1 (en) 2003-08-10 2005-02-17 Gmorpher Incorporated Consuming Web Services on Demand
WO2005029782A1 (ja) 2003-09-22 2005-03-31 Sharp Kabushiki Kaisha 集線装置、中継制御方法、中継制御プログラム、中継制御プログラムを記録した記録媒体、情報処理装置、dhcpサーバ、dhcp処理方法、dhcp処理プログラム、dhcp処理プログラムを記録した記録媒体、および情報処理システム
US7382778B2 (en) 2004-01-05 2008-06-03 Tropos Networks, Inc. Link layer emulation
US7787476B2 (en) 2004-03-03 2010-08-31 Mitsubishi Electric Corporation Layer 2 switch network system
WO2005103960A1 (en) 2004-04-20 2005-11-03 The Boeing Company Apparatus and method for redirecting unresolvable addresses using a local care-of ip address
ATE480948T1 (de) 2004-09-30 2010-09-15 France Telecom Verfahren und system zum routen in kommunikationsnetzen zwischen einem ersten knoten und einem zweiten knoten
US9383750B2 (en) 2004-12-02 2016-07-05 Lockheed Martin Corporation System for predictively managing communication attributes of unmanned vehicles
WO2006075323A2 (en) 2005-01-13 2006-07-20 Flash Networks Ltd Method and system for optimizing dns queries.
US7996894B1 (en) 2005-02-15 2011-08-09 Sonicwall, Inc. MAC address modification of otherwise locally bridged client devices to provide security
US7937756B2 (en) 2005-08-19 2011-05-03 Cpacket Networks, Inc. Apparatus and method for facilitating network security
JP4626811B2 (ja) * 2005-09-29 2011-02-09 日本電気株式会社 ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
JP3920305B1 (ja) 2005-12-12 2007-05-30 株式会社日立コミュニケーションテクノロジー パケット転送装置
US8199677B1 (en) 2005-12-14 2012-06-12 Rockwell Collins, Inc. Distance vector routing via multi-point relays
US7890612B2 (en) 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
JP4732257B2 (ja) 2006-07-07 2011-07-27 富士通株式会社 中継装置、経路制御方法、及び経路制御プログラム
JP4834493B2 (ja) 2006-08-25 2011-12-14 アラクサラネットワークス株式会社 ネットワーク中継装置、および、ネットワーク中継装置の制御方法
US8136162B2 (en) 2006-08-31 2012-03-13 Broadcom Corporation Intelligent network interface controller
US8189460B2 (en) 2006-12-28 2012-05-29 Cisco Technology, Inc. Method and system for providing congestion management within a virtual talk group
JP2008177714A (ja) 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
US8862747B2 (en) * 2007-03-10 2014-10-14 Bridge And Post, Inc. Method and apparatus for tagging network traffic using extensible fields in message headers
US8464334B1 (en) 2007-04-18 2013-06-11 Tara Chand Singhal Systems and methods for computer network defense II
US8301789B2 (en) 2007-06-18 2012-10-30 Emc Corporation Techniques for port hopping
US7836354B2 (en) 2007-07-02 2010-11-16 Verizon Patent And Licensing Inc. Method and system for providing automatic disabling of network debugging
US20090059788A1 (en) * 2007-08-29 2009-03-05 Motorola, Inc. Method and Apparatus for Dynamic Adaptation of Network Transport
US8539098B2 (en) 2007-10-17 2013-09-17 Dispersive Networks, Inc. Multiplexed client server (MCS) communications and systems
US8560634B2 (en) 2007-10-17 2013-10-15 Dispersive Networks, Inc. Apparatus, systems and methods utilizing dispersive networking
US7895348B2 (en) 2007-10-17 2011-02-22 Dispersive Networks Inc. Virtual dispersive routing
US20090165116A1 (en) 2007-12-20 2009-06-25 Morris Robert P Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity
CN101521569B (zh) 2008-02-28 2013-04-24 华为技术有限公司 实现服务访问的方法、设备及系统
US7990877B2 (en) 2008-05-15 2011-08-02 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for dynamically runtime adjustable path computation
US8572717B2 (en) * 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US9042549B2 (en) * 2009-03-30 2015-05-26 Qualcomm Incorporated Apparatus and method for address privacy protection in receiver oriented channels
US8139504B2 (en) 2009-04-07 2012-03-20 Raytheon Bbn Technologies Corp. System, device, and method for unifying differently-routed networks using virtual topology representations
US8553849B2 (en) 2009-06-17 2013-10-08 Avaya Inc. Personal identification and interactive device for internet-based text and video communication services
US20100333188A1 (en) * 2009-06-29 2010-12-30 Politowicz Timothy J Method for protecting networks against hostile attack
US8793792B2 (en) * 2010-05-07 2014-07-29 Raytheon Company Time-key hopping
US9225656B2 (en) 2011-02-07 2015-12-29 Brocade Communications Systems, Inc. Quality of service in a heterogeneous network
US9202078B2 (en) 2011-05-27 2015-12-01 International Business Machines Corporation Data perturbation and anonymization using one way hash
US8769688B2 (en) * 2011-09-23 2014-07-01 Universidad Politécnica de P.R. Simultaneous determination of a computer location and user identification
US8495738B2 (en) * 2011-10-21 2013-07-23 Lockheed Martin Corporation Stealth network node
US8844032B2 (en) * 2012-03-02 2014-09-23 Sri International Method and system for application-based policy monitoring and enforcement on a mobile device
US8959573B2 (en) * 2012-05-01 2015-02-17 Harris Corporation Noise, encryption, and decoys for communications in a dynamic computer network
US20130298221A1 (en) * 2012-05-01 2013-11-07 Harris Corporation Firewalls for filtering communications in a dynamic computer network
US9075992B2 (en) * 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080235755A1 (en) 2007-03-22 2008-09-25 Mocana Corporation Firewall propagation
US20090031042A1 (en) 2007-03-23 2009-01-29 Phatak Dhananjay S Spread identity communications architecture

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102178501B1 (ko) * 2019-09-05 2020-11-13 주식회사 가디언이엔지 시설물 기반 위치 추적 시스템 및 방법

Also Published As

Publication number Publication date
US9075992B2 (en) 2015-07-07
CN104272700A (zh) 2015-01-07
WO2014014537A3 (en) 2014-04-17
US20130298236A1 (en) 2013-11-07
TWI489314B (zh) 2015-06-21
CN104272700B (zh) 2016-09-14
WO2014014537A2 (en) 2014-01-23
TW201351191A (zh) 2013-12-16
KR20150008158A (ko) 2015-01-21

Similar Documents

Publication Publication Date Title
KR101581155B1 (ko) 섀도우 네트워킹 기법을 사용하여 네트워크에 대한 공격을 식별, 억제 그리고/또는 지연시키기 위한 시스템 및 방법
KR101532190B1 (ko) 네트워크 상태를 동적으로 변경하기 위한 시스템 및 방법
KR101723715B1 (ko) 컴퓨터 네트워크의 엔터프라이즈 미션 관리를 위한 시스템 및 방법
US8959573B2 (en) Noise, encryption, and decoys for communications in a dynamic computer network
US8898782B2 (en) Systems and methods for spontaneously configuring a computer network
KR101542028B1 (ko) 동적 컴퓨터 네트워크에서 데이터를 통신하기 위한 라우터
US9154458B2 (en) Systems and methods for implementing moving target technology in legacy hardware
KR101601586B1 (ko) 동적 컴퓨터 네트워크에서 데이터 통신용 스위치
KR101497292B1 (ko) 가변적인 식별 파라미터를 갖는 동적 컴퓨터 네트워크
US20130212676A1 (en) Mission management for dynamic computer networks
KR101547080B1 (ko) 동적 컴퓨터 네트워크와의 통신을 위한 브릿지

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181207

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191213

Year of fee payment: 5