KR20160106505A - 보안 인지 네트워크에서의 층간 상호관계 - Google Patents

보안 인지 네트워크에서의 층간 상호관계 Download PDF

Info

Publication number
KR20160106505A
KR20160106505A KR1020160023963A KR20160023963A KR20160106505A KR 20160106505 A KR20160106505 A KR 20160106505A KR 1020160023963 A KR1020160023963 A KR 1020160023963A KR 20160023963 A KR20160023963 A KR 20160023963A KR 20160106505 A KR20160106505 A KR 20160106505A
Authority
KR
South Korea
Prior art keywords
network
node
level
event
communication
Prior art date
Application number
KR1020160023963A
Other languages
English (en)
Other versions
KR101852965B1 (ko
Inventor
제롬 손넨버그
마크로 카발호
리차드 포드
Original Assignee
해리스 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 해리스 코포레이션 filed Critical 해리스 코포레이션
Publication of KR20160106505A publication Critical patent/KR20160106505A/ko
Application granted granted Critical
Publication of KR101852965B1 publication Critical patent/KR101852965B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2111/00Details relating to CAD techniques
    • G06F2111/06Multi-objective optimisation, e.g. Pareto optimisation using simulated annealing [SA], ant colony algorithms or genetic algorithms [GA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/321Interlayer communication protocols or service data unit [SDU] definitions; Interfaces between layers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Technology Law (AREA)

Abstract

통신 네트워크는 분산 추상 레벨들에 걸친 조정을 행사하는 분산된 기반시설을 사용하여 방어된다. 통신 네트워크를 포함하는 각 노드 연산 장치에서, 저장된 이벤트 목록을 사용하여 기계 코드 레벨에서 발생하고 또한 상기 노드 연산 장치의 상기 내부 동작을 직접 방해하기 위한 잠재력을 갖는 것으로 알려진 적어도 하나의 노드 이벤트를 검출한다. 상기 적어도 하나의 노드 이벤트는 네트워크 통신 영역 내의 이벤트를 배제하는 것이다. 상기 복수의 네트워크 노드들 중 하나에서 상기 적어도 하나의 노드 이벤트를 검출하는 것에 응답하여, 최적 네트워크 레벨 방어 작용은 네트워크에 의해 자동 선택적으로 결정된다. 상기 네트워크 레벨 방어 작용은 상기 통신 네트워크를 포함하는 복수의 네트워크 노드들을 포함한다.

Description

보안 인지 네트워크에서의 층간 상호관계{CROSS-LAYER CORRELATION IN SECURE COGNITIVE NETWORK}
본 발명의 장치는 보안 인지 네트워크들(secure cognitive networks)에 관한 것이다. 특히, 본 발명의 장치는 상이한 추상 레벨들(disparate abstraction levels)에 걸친 조정에 작용하는 인지 네트워크에서 보안 분산된 기반시설을 제공하기 위한 시스템들 및 방법들을 구현하는 것에 관한 것이다.
전술 통신 시스템들은 군사 및 민간 응용 프로그램들 양자 모두에 대하여 중요한 임무수행 동작을 위해 매우 중요하다. 지난 수년 동안, 소프트웨어 기반 무선통신의 도입과 전술 통신 시스템들의 복잡성, 역동성, 및 중요성이 증가함에 따라 신뢰할만하고 시기적절한 네트워크 관리, 모니터링 및 최적화에 대하여 새롭고도 더 효율적인 접근방법들의 개발이 요구되고 있다.
인지 네트워크 관리(cognitive network management: CNM)는 분산된 네트워크 관리에 대한 접근방법으로서, 여기서 적응 알고리즘들(adaptive algorithms)을 사용하여 네트워크 및 환경 지표들을 추상하여 특정 운영 상황들을 위한 바람직한 구성들을 정의한다. CNM의 인지 양태는 이전의 이벤트들을 그 자신의 추론에 병합하여 학습 및 진화함으로써 그의 성능을 경험으로부터 개선하기 위한 시스템의 능력을 말한다. 보안은 CNM에서 중요한 사안이다. 왜냐하면 CNM 방법들 및 시스템들의 요건들이 종종 공격 벡터들(attack vectors)에 대한 창구가 되어시스템이 악용되도록 허용할 수 있기 때문이다.
컴퓨터 네트워크에서, 네트워크를 포함하는 노드들은 종종 통신을 위해 개방 시스템 상호연결 프로토콜 스택(Open System Interconnection: OSI) protocol stack)을 사용한다. OSI 스택은 통신 기능들을 각각 수행하기 위한 복수의 프로토콜 스택 층들을 포함한다. 프로토콜 스택 층들은 다음과 같은 7층들: (1) 물리 층; (2) 데이터 링크 층: (3) 네트워크 층; (4) 전송 층; (5) 세션 층(session layer); (6) 표현 층(presentation layer); 및 (7) 응용 프로그램 층(application layer)을 포함한다. 그러한 컴퓨터 네트워크와 연관된 보안 환경은 통신 프로토콜 스택의 더 높은 층들에서 주목되는 효과들에 대하여 반응할 수 있다. 예를 들어, 만일 통신 노드가 패킷(packet)을 잘못 라우팅(misrouting)하기 시작하거나 또는 이전에 거의 사용되지 않은 경로 노드를 선호하도록 경로 삭제/경로 변경하기 시작할 경우, 이는 이 비정상들을 검출하는 보안 소프트웨어와 관련될 수도 있다. 보안 소프트웨어는 통신 이상이 전송 용량을 심각하게 낭비하고 있음을 인식할 수 있으며, 또한 분산 서비스 공격 거부와 같은 효과를 표시할 수 있다. 그러나 그 결과는 하나 이상의 노드들이 절충되었고, 손상되었으며, 또한 잘못된 네트워크 노드(들)의 격리에 상대적으로 장시간이 걸린다.
본 발명은 비 대응 추상 레벨들에 걸친 조정을 행사하는 분산된 기반시설을 사용하여 적대적인 공격으로부터 통신 네트워크를 방어하기 위한 시스템들 및 방법들을 구현하는 것에 관련된다. 통신 네트워크를 포함하는 복수의 노드 연산 장치들 각각에서 저장된 이벤트 목록은 적어도 하나의 노드 이벤트를 검출하기 위해 사용된다. 노드 이벤트는 기계 코드 레벨에서 발생하는 것으로 노드 연산 장치의 내부 동작을 직접 방해하도록 잠재력을 갖는 것으로 알고 있다. 특히 적어도 하나의 노드 이벤트는 네트워크 통신 영역 내에서 한 이벤트를 전용하는 것이다. 다시 말하여 노드 이벤트는 네트워크 스택의 영역을 벗어난 것, 네트워크 통신 스택과 전용으로 연관되는 하드웨어 요소들, 및 통신 스택에 속하는 이벤트를 전용으로 취급하는 복수의 기계 코드 요소들이다.
네트워크 노드들 중 하나에서 적어도 하나의 노드 이벤트를 검출하는 것에 응답하여, 최적 네트워크 레벨 방어 작용은 자동 선택적으로 결정된다. 네트워크 레벨 방어 작용은 통신 네트워크를 포함하는 다중 네트워크 노드들을 포함할 것이다. 방어 작용은 저어도 하나의 검출된 노드 이벤트에 기초하거나 또는 그에 의해 결정되며 또한 네트워크를 위해 확립되는 알려진 통신 요건들의 집합에 기초한다. 그 방법은 알려진 통신 요건들의 계속된 만족을 보장하도록 네트워크 레벨 방어 작용을 요구하지 않을 경우, 적어도 하나의 노드 이벤트가 검출된 노드 만에 영향을 주는 노드 레벨 방어 작용을 자동 선택적으로 구현하는 것을 더 포함할 수 있다.
동적 모델은 노드 연산 장치들에서 유리하게 유지되며, 이 모델은 통신 네트워크를 위한 네트워크 동작의 한 패턴을 대표한다. 그 방법은 실제 네트워크 레벨 이벤트들을 예상되는 네트워크 레벨 이벤트들의 범위와 비교하도록 동적 모델을 사용하는 것을 더 포함한다. 따라서 적어도 하나의 노드 이벤트에 응답하여 수행되는 노드 레벨 방어 작용은 실제 네트워크 레벨 이벤트들이 예상되는 네트워크 레벨 이벤트들의 범위에 상응하지 않을 때 선택적으로 수정될 수 있다. 예를 들어, 예상되는 네트워크 레벨 이벤트들의 범위는 검출된 노드 이벤트에 응답하여 감소될 수 있으며, 그 결과 네트워크는 적어도 하나의 노드 이벤트가 검출될 때 네트워크 성능의 예상하지 못한 변화에 더 민감해진다.
이하 도면을 참조하여 실시 예들을 설명하며, 여기서 동일 번호는 전체 도면에 걸쳐 동일 항목들을 나타낸다.
도 1은 예시적 인지 네트워크를 이해하기에 유용한 도면이다.
도 2는 복수의 네트워크 노드들이 어떻게 분산된 인지 네트워크 관리 기반시설의 구성요소들을 포함하는지를 이해하는데 유용한 개념적 도면이다.
도 3은 도 2의 네트워크 노드들에 포함되는 소정 하드웨어 구성요소들의 배치를 이해하는데 유용한 도면이다.
도 4는 사용자의 네트워크 노드와의 상호작용을 가능하게 하기 위해 사용될 수 있는 사용자 디스플레이 및 제어 시스템을 이해하는데 유용한 도면이다.
도 5는 네트워크 노드의 보안 핵심에 제공되는 소정의 처리 구성요소들을 이해하기 위해 유용한 도면이다.
도 6은 통신 인터페이스 관리자의 동작들을 이해하는데 유용한 도면이다.
도 7은 두 목표 함수들(F1 및 F2)을 위한 파레토 프론트(Pareto front)의 일 예를 예시하는 그래프이다.
도 8은 비 열화 솔루션들(non-inferior solutions)의 도형 집합의 예시적인 2-차원 표현이다.
도 9는 도 2의 인지 네트워크에 의해 사용되는 기본 개념을 이해하는데 유용한 도면이다.
도 10은 네트워크 노드들 내에 포함되는 분산된 구성요소들을 이해하는데 유용한 상세한 블록도이다.
도 11은 인지 네트워크를 제공하기 위한 예시적인 방법의 흐름도이다.
도 12는 네트워크의 두 노드들 간의 종래의 통신들을 이해하는데 유용한 도면이다.
도 13은 복수의 네트워크 노드들에 의해 수행되는 링크 관련 방어 기능을 이해하는데 유용한 도면이다.
도 14a 내지 도 14c는 고 레벨 방어 알고리즘에 의해 사용될 수 있는 상이한 네트워크 토폴로지들(network topologies)을 이해하는데 유용한 도면들이다.
도 15는 네트워크에서 복수의 노드들, 즉, 다른 것이 아니고 임무 성공에 중요한 경로의 일부를 이해하는데 유용한 도면이다.
도 16은 네트워크 노드에 의해 수행되는 작용들을 이해하는데 유용한 흐름도이다.
본원에 개시되는 발명의 장치는 일반적으로 인지 네트워크를 위한 보안 분산 기반시설을 제공하기 위한 시스템들 및 방법들을 구현하는 것에 관한다. 일 양태에 따르면, 층간 상호관계(cross-layer correlation)는 플랫폼(platform) 특정 이벤트들 간 및 프로토콜 관련 이벤트들 간에 강력한 보안 기반시설을 제공하기 위해 제공된다. 여기서 설명되는 접근방법은 OSI 층간 및 노드간에 좀 더 정밀한 응답들을 트리거 및 맞춤하기 위해 소정 이벤트들의 고지를 이용한다.
본 발명의 장치들은 공격 완화 기술들을 조정하기 위해 다중 층 프로토콜 지식을 이용하는 분산된 층간 조정 알고리즘을 포함한다. 이 공격 완화 기술들은 더 낮은 레벨 층 코드 주입으로부터 더 높은 레벨 층 프로토콜 업적들까지의 범위에 이르는 공격들에 응답한다. 조정 알고리즘은 기존 인코딩 완화 기술이 공격을 효과적으로 저지하는지를 결정하고 또는 저지할 수 없을 경우 공격된 노드를 격리한다. 보안 핵심은 인지 네트워크 관리 기능들을 실행하도록 사용되므로 거의 해킹할 수 없는 노드별 방어를 제공할 수 있다. 그러한 장치에서 보안 핵심은 공격들을 방어하는 상부 층에 알리고, 또한 그 상부 층 알고리즘들은 공격을 지시하는 동작의 패턴들을 보안 핵심에 알린다. 개별 노드들은 근본적으로 해킹할 수 없으며, 상부 층 트래픽에서 발견된 공격의 패턴들은 기존 방어 완화 기술들을 적용하기 위해 사용될 수 있다. 따라서 여기서 설명되는 본 발명의 장치들은 공격 벡터들을 자동으로 식별하고 또한 어느 완화 기술들이 새로운 공격에 대한 완화를 감당하는지를 결정하는 신규한 방법을 제공한다.
본 발명의 장치들의 중요한 특색은 플랫폼 특정 이벤트들과 프로토콜 관련 이벤트들 간의 유익한 층간 상호관계인데 이에 의해 강력한 보안 기반시설을 제공할 수 있다. 그러나 본 발명은 그러한 층간 상호관계를 넘어가므로 더 높은 정도의 보안을 제공할 수 있다. 특히 본 발명은 층간 공격 상호관계를 하드웨어 레벨과 조합하는데, 로컬 노드에서 공격을 표시하는 플랫폼 특정 이벤트들을 검출하는 목적을 위해 명령 단위로 한다. 명령 레벨 트랩(trap)들의 여기서 설명되는 층간 알고리즘들과의 통합은 여기서 설명되는 바와 같이 인지 네트워크 관리를 위한 예외적인 보안 방법을 제공한다.
서로 알리고 제한함으로써, 더 높은 레벨 및 더 낮은 레벨 방어 능력들은 인지 네트워크가 유리하게 적응하고 또는 심지어 의심스럽거나 악의적인 이벤트들까지도 예측하도록 허용하는 방식으로 사용될 수 있다. 예를 들어, 보안 호스트에서 트랩들에 의해 검출되는 보안 이벤트들은 더 높은 레벨 조정 알고리즘들에 보고될 수 있다. 보안 체제에 의해 제공되는 노드 레벨 방어는 호스트에 대하여 국부적이고, 응답 시간이 아주 고속이다. 반대로 고 레벨 SCNM 방어들은 호스트 기반 방어에 비해 훨씬 더 넓은 영역을 커버하고, 또한 훨씬 더 느린 시간 척도로 응답한다.
인지 네트워크 관리에서의 보안 과제
본 발명의 장치를 이해하기 위해, 분산된 네트워크에서 인지 네트워크 관리(CNM) 기능들과 연관된 주요 보안 과제들을 인식하는 것이 유용하다. 도 1에서 호스트 연산 장치(101)는 물리 층 네트워크 통신을 가능하게 하는 네트워크 노드(102)에 연결된다. 도시된 예시적 실시예에서 네트워크 노드(102)는 인지 네트워크(104)를 가능하게 하는 소프트웨어 정의된 무선선 통신들을 포함한다. 그러나 본 발명은 이에 관하여 제한되지 않으며, 다른 물리 층 통신 장치들도 가능하다. 네트워크 노드(102)는 여기서 설명되는 분산된 모니터링 및 네트워크 관리 조정 임무들을 실행한다. 상이한 구성요소들로서 예시되지만, 호스트 연산 장치(101) 및 네트워크 노드(102)는 개별 장치들로서 또는 동일한 장치의 일부로서 구현될 수 있다.
그 설명을 예시하기 위하여, 호스트 연산 장치(101)가 하나 이상의 소프트웨어 응용 프로그램들을 실행하고 있고 또한 네트워크 노드(102)에 직접 연결되는 시나리오를 고려해 보자. 호스트 연산 장치(101)에서 실행하는 소프트웨어 응용 프로그램들은 네트워크 통신 지원을 요구할 수도 있는 임의 기능을 수행할 수 있다. 예를 들어, 전술적인 환경에서, 호스트 연산 장치에서 실행하는 소프트웨어 응용 프로그램들은 음성, 비디오, 및/또는 데이터 통신들을 위한 지원을 제공할 수 있다. 호스트 상에서 실행하는 다른 예시적 소프트웨어 응용 프로그램들은 부대 이동, 사격 통제 소프트웨어 응용 프로그램들 등을 모니터링하기 위한 소프트웨어를 포함할 수 있다. 물론, 비 전술 환경들에서 사용하기 위해 설계된 인지 네트워크들은 상이한 소프트웨어 응용 프로그램들의 사용을 포함할 수도 있고 또한 여기에 나열되는 소프트웨어 응용 프로그램들은 단지 예로서 제공된다.
이제, 도 2를 참조하면, CNM 기반시설은 정보를 공유하고 작용들을 조정하도록 서로 통신하는 추상 CNM 노드들(106)의 집합으로서 표현될 수 있다. 기반시설의 이러한 추상 관점은 또한 CNM이 네트워크 노드 자체의 일부로서 구현되는 경우를 지원한다. 그에 따라서 도 2에서 추상 CNM 노드들은 호스트 연산 장치(101), 네트워크 노드(102), 또는 양자 모두에서 구현되는 기능들을 나타낼 수 있다. 여기서 설명되는 본 발명의 장치들의 목적을 위해 CNM이 네트워크 노드(102)의 일부로서 구현되는 것을 이해해야 한다.
도 2에 예시되는 추상으로부터, 잠재적인 취약성을 초래할 수 있는 기반시설의 두 주요 양태들이 있다는 것을 이해할 것이다. 우선, 분산된 인지 네트워크 관리 기반시설(108)은 추상 CNM 노드들(106)에 의해 구현되는 바와 같이 조정 알고리즘들의 레벨에서 공격을 받을 수 있다. 이러한 급수의 공격들은 메시징 프로토콜들(messaging protocols)의 중단 및 수정, 또는 관리 체제에서 불량한/그릇된 정보(무효 자원 정보, 위치 등과 같은)의 주입을 포함할 수도 있다. 예를 들어, 데이터 완전성 공격들(data integrity attacks)은 조정 알고리즘을 목표하도록 설계될 수 있다. 프로토콜 공격들은 통신들을 듣고 자원 할당의 변화들을 예측하도록 조작될 수 있다. 실제의 조정 및 더 높은 레벨의 인지 기능들에 지향되는 그 공격들에 더하여, 네트워크에서의 더 낮은 레벨들에서도 공격들이 지향될 수 있다. 예를 들어, 그러한 공격들은 개별 노드들(예, 코드 주입 공격들을 포함함)에 대하여 지향될 수 있다. 이에 관하여, 주목되는 것은 통신 층에서의 적응적 네트워크의 융통성이 사실상 저 레벨 타협시 전체 보안에 대한 책임이 있다는 것이다. 본질적으로, 시스템이 적응하도록 허용함으로써, 전체적으로 시스템을 모델링하고 또한 모니터링하는 과제가 증가된다.
인지 네트워크 관리를 위한 보안 분산된 기반시설
네트워크 취약성들에 관한 전술한 설명으로부터, 위에서 개설한 바와 같이 CNM에서 해결되어야 하는 두 개의 주요 관심사들이 있음을 이해할 것이다. 이들은: a) 네트워크 통신 프로토콜들 및 조정 알고리즘들의 방어 및 b) CNM 기능들을 실행하는 연산 플랫폼들의 방어를 포함한다. 보안 인지 네트워크 관리(secure cognitive network management: SCNM) 기반시설을 창출하기 위해서는, 결국, 위에서 개설한 적어도 두 개의 레벨들에서 동작하는 방어 메커니즘을 필히 창출해야 한다. 훨씬 더 좋게는, 보안 체제를 구축하여 잠재적인 프로토콜 또는 네트워크 공격들에 관한 호스트 레벨 방어들을 알리는 것과, 그 반대로 하는 것이 바람직하다.
그에 따라서, SCNM 기반시설을 위한 본 발명의 장치들은 (1) 공격들에 대하여 개선된 저항을 하기 위한 CNM 기반시설에 의해 사용될 분산된 통신 및 조정 알고리즘들의 집합, (2) 일반적으로 소프트웨어 공격에 대하여 저항하는 보안 하드웨어 기반 연산 플랫폼들, (3) 연산 플랫폼에 대하여 지향되는 공격들을 검출하도록 하드웨어 기반 연산 플랫폼들에 통합되는 명령 레벨 트랩들(traps), 및(4) 더 높은 레벨 방어 메카니즘들(프로토콜 및 조정 레벨들에서) 및 낮은 레벨 방어(하드웨어 레벨)의 방어 능력들 간의 조정된 상호작용을 포함한다. 특히, SCNM 기반시설의 요소들 (1), (2) 및 (3)은 더 높은 레벨 및 더 낮은 레벨 방어 메카니즘들이 구현될 수 있는 보안 조건들을 제공함으로써 요소(4)를 가능하게 한다. 이 보안 특징들 각각을 아래에 더 상세히 설명한다. SCNM은 분산된 인지 네트워크 관리 기반시설(108)에 의해 도 2에 예시된 바와 같은 분산된 방식으로 유리하게 구현된다.
보안 연산 플랫폼
이제, 도 3을 참조하면, 네트워크 노드(102)의 더욱 상세한 도면이 도시되어 있는데, 이는 본 발명의 장치들에 따른 보안 연산 플랫폼을 이해하는데 유용하다. 네트워크 노드(102)는 도 3에 도시된 것들보다 다소 더 많거나 적은 구성요소들을 포함할 수 있다. 그러나, 도 3에 도시된 아키텍처는 여기서 설명되는 바와 같은 보안 연산 플랫폼의 동작들을 이해하기 위해 충분하다.
네트워크 노드(102)는, 처리기(306), 주 메모리(302), 유선 네트워크 인터페이스 장치(310), 무선 네트워크 인터페이스 하드웨어(308), 및 다양한 보안 핵심 구성요소들 간의 통신들을 위한 데이터 통신 버스(312)를 포함하는, 보안 핵심(300)으로 이루어진다. 주 메모리(302)는 본 명세서에 기술된 방법, 절차, 또는 기능들 중 하나 이상을 구현하도록 구성되는 명령(304)(예, 펌웨어)의 하나 이상의 집합들을 저장하는 컴퓨터 판독 가능한 기억 매체로 구성된다. 명령들(304)은 또한 컴퓨터 시스템에 의해, 실행하는 동안 처리기(306) 내에 완전히 또는 적어도 부분적으로 상주할 수 있다.
주 메모리(302)는 또한 내부 하드웨어 자원 데이터, 하드웨어 환경 데이터, 정책 데이터 및 명령들을 저장할 수 있다. 하드웨어 자원 데이터는 네트워크 노드(102)의 적어도 하나의 능력을 구체화하는 데이터를 포함한다. 그러나 그에 제한되지 않는다.
보안 핵심(300)을 포함하는 모든 다양한 엔티티(entity)들은 소프트웨어 기반 공격들에 저항하는 하드웨어 요소들의 형태로 유리하게 구현된다. 컴퓨터 하드웨어 구현은 동작의 논리 순서로 생성 또는 로드될 수 있는 적어도 하나의 비 실시간 변경가능 회로 논리 장치로 유리하게 구성된다. 순차적인 동작 논리로 생성되는 그러한 장치의 일 예는 ASIC이다. 순차적인 동작 논리로 오프라인 로드(비 실시간 변경가능)되는 그러한 장치의 일 예는 FPGA이다. 따라서 보안 핵심(300)을 포함하는 다양한 엔티티들은 주문형 집적 회로(application specific integrated circuit: ASIC)로서, 필드 프로그램가능 게이트 어레이(field programmable gate array: FPGA)로 유리하게 구현될 수 있다.
무선 네트워크 인터페이스 하드웨어(308)는 통신 네트워크의 다른 노드들과 무선 통신들을 가능하게 하기 위한 물리 층 통신 구성요소들을 포함한다. 일 양상에 따르면, 무선 네트워크 인터페이스 하드웨어(308)는, 통신 환경에서의 변화에 응답하여 필요한 만큼 통신 프로토콜들이 시간이 지남에 따라 변화할 수 있어 그렇게 변화하는 인지 무선 네트워크를 구현하는 것을 가능하도록 하기 위해 적응성이 되도록 설계된다. 그와 같이, 무선 네트워크 인터페이스 하드웨어는 소프트웨어 정의된 무선(software defined radio: SDR)의 구현을 가능하도록 하기 위해 무선 주파수(radio frequency: RF) 하드웨어 구성요소들을 포함할 수 있다. 하드웨어 구성요소들은 또한 아날로그-디지털(A/D) 변환기, 디지털-아날로그(D/A) 변환기, 및 기타 신호 처리 구성요소들을 포함할 수 있다.
네트워크 인터페이스 장치(310)는 유선 물리 층 데이터 통신을 가능하게 하기 위한 물리 층 통신 구성요소들을 포함한다. 예를 들어, 네트워크 인터페이스 장치(310)는 네트워크 노드(102)와 인지 컴퓨터 네트워크의 다른 노드들 간의 유선 통신들을 가능하게 할 수 있다. 네트워크 인터페이스 장치는 또한 도 4와 관련하여 이후 설명되는 바와 같이 로컬 호스트 연산 장치(101) 및/또는 소정의 사용자 디스플레이 및 제어 요소들과 유선 통신들을 가능하게 할 수 있다. 보안 핵심(300)의 기능들 및 동작들은 아래에 더 상세히 설명한다.
이제, 도 4를 참조하면, 네트워크 노드(102)를 통한 로컬 제어는 사용자 디스플레이 및 제어 시스템(400)과 연관된 엔티티들에 의해 가능하게 될 수 있다. 이 엔티티들은 비디오 디스플레이(예, 액정 디스플레이 또는 LCD), 사용자 입력 장치(404)(예, 키보드), 및 그래픽 사용자 인터페이스(graphical user interface: GUI)의 표시 소자들로부터 선택을 위한 커서 제어 장치(406)(예, 마우스 또는 트랙패드(trackpad))를 포함할 수 있다. 사용자 디스플레이 및 제어 시스템(400)은 또한 네트워크 노드(102)의 보안 핵심과의 무선 로컬 네트워크 통신들을 가능하도록 하기 위해 네트워크 인터페이스 장치(410)를 포함한다. 시스템 데이터 버스(408)는 사용자 디스플레이 및 제어 시스템(400)을 포함하는 다양한 엔티티들 간의 통신들을 가능하도록 하기 위해 제공될 수 있다. 일부 실시예들에서, 사용자 디스플레이 및 제어 시스템(400)의 요소들은 호스트 연산 장치(101)의 일부로서 제공될 수 있다. 그러나 본 발명은 이에 관하여 제한되지 않으며 또한 이 구성요소들은 호스트 연산 장치(101)와 무관할 수 있다. 로컬 네트워크 접속(412)은 보안 핵심(300)과 사용자 디스플레이 및 제어 시스템(400) 간의 데이터 통신을 가능하도록 제공될 수 있다.
이제, 도 5를 참조하면, 보안 핵심(300)은 통신 인터페이스 관리자(communication interface manager: CIM)(504)(OSI 프로토콜 스택(506)의 동작들과 통합됨), 노드 레벨 이벤트 검출 및 모니터링 모듈(node level event detection and monitoring module: NLEDM)(512), 및 분산된 처리기의 소정 분산된 처리기(514)을 실행한다.
CIM(504)은 분산된 구성요소들에 의해 구체화되는 고 레벨 방어 알고리즘들의 구현을 가능하게 한다. 그와 같이 CIM은 분산된 SCNM 기반시설에 의해 고지된 공격 조건들에 대한 네트워크 응답을 가능하게 할 수 있다. 이 고 레벨 방어들은 설명 진행상 아래에 더 상세히 설명한다. NLEDM(512)은 노드 자체에서 국부적으로 지향되는 저 레벨 공격들을 검출하는 이벤트 포착 알고리즘들로 구성된다. 분산된 처리기(514)의 분산된 구성요소들은 통신 네트워크를 포함하는 다른 노드들(102)로 노드(102)의 동작을 조정한다. 그러한 조정은 네트워크 위협들의 평가 및 그러한 위협들에 응답하기 위한 고 레벨 방어 알고리즘들의 선택을 포함할 수 있다. 이제, 이 구성요소들의 각각을 더 상세히 설명한다.
도 5에 도시된 바와 같이 CIM(504)의 동작은 OSI 프로토콜 스택(506)과 통합된다. OSI 프로토콜 스택은 호스트 연산 장치(101)에 상주하는 하나 이상의 소프트웨어 응용 프로그램들(502)을 위한 네트워크 통신들을 가능하게 한다. 이 통신들은 통신 네트워크(104) 내의 다른 네트워크 노드들(102) 상에서 실행되는 응용 프로그램들과의 음성, 비디오 또는 데이터 통신들을 포함할 수 있다. CIM(504)은 OSI 스택의 데이터 링크 층(508)과 물리 층(510) 간의 한 레벨에서 데이터 통신들을 처리 또는 관리한다. 도 5 내의 물리 층(510)은 네트워크 통신들을 가능하게 하는 물리 층 장치들을 포함할 수 있다. 그러한 물리 층 장치의 일 예는 무선 네트워크 인터페이스 하드웨어(308) 및/또는 유선 네트워크 인터페이스 장치(310)를 포함할 수도 있다. CIM은 각 호스트 연산 장치(101) 내의 응용 프로그램들이 통신 네트워크(104)와의 정보의 교환을 관리 및 제어하도록 모든 통신 인터페이스들을 필수적으로 추상한다. 그와 같이 CIM은 링크 관리 및 자원 통제를 위한 통신 추상들의 집합뿐만 아니라 프레임 제어 및 토폴로지 관리를 위한 저 레벨 인터페이스들을 제공한다.
도 6은 본 발명을 이해하는데 유용한 CIM의 좀 더 상세한 도면이다. 도 6에서는, 도 5에 도시된 OSI 스택의 다양한 프로토콜 층들을 생략하여 CIM 동작의 이해를 용이하게 한다. 또 도 6에서는, 단지 하나의 응용 프로그램(502)이, 비록 도 5에 도시된 바와 같은 여러 응용 프로그램들(502)을 대신하여 통신들을 지원할 수 있는 것으로 이해해야 하지만, CIM과 통신하는 것으로 도시되어 있다. CIM은 데이터 트래픽(traffic)을 하나 이상의 응용 프로그램(502)으로 또한 그로부터 통신한다. CIM은 데이터 트래픽의 일부 타입들(예, 미 관리된 트래픽(610))을 물리 층 장치(616)와 연관되는 특정 논리 어드레스들(612, 614, 616)로 직접 통과시키도록 구성될 수 있다. 예를 들어, 미 관리된 트래픽(610)은 응용 프로그램(502)과 도 4에 도시된 바와 같은 사용자 디스플레이 및 제어 시스템(400) 간의 통신들을 구성하는 데이터를 포함할 수 있다. 데이터의 다른 타입들(예, 관리된 트래픽(608))은 여기서 설명되는 고 레벨 방어 알고리즘들을 가능하도록 하기 위해 CIM에서 관리된다.
CIM에서, 정보 기반(618)은 로컬 노드의 관점으로부터 노드들의 네트워크의 행동의 관측된 패턴들을 포함하는 상호관계된 이벤트 데이터를 포함한다. 경로 관리자(620)는 여러 통신 장치들 또는 모듈들 중 어느 것을 사용할 것인지를 결정한다. 이 예에서, 모듈들(6221, 6222)은 노드에서 구현되는 것으로 도시된다. 그러나 더 많거나 또는 더 적은 통신 모듈들이 가능하다. 시스템 라우팅 테이블(624)은 경로 관리자에 의해 사용하기 위한 도달 가능한 원거리 노드들의 집합을 포함한다. 패킷 큐(626)는 유선 또는 무선 매체 상에 전송을 위해 위치되는 관리된 트래픽의 패킷들을 포함한다. 자원 모니터링 및 제어 기능은 응용 프로그램(502)으로부터 CIM에 대한 트래픽의 패킷들의 규제를 가능하게 한다.
다시 도 5를 참조하면, NLEDM(512)에 의해 검출된 이벤트들은 분산된 처리기(514)의 분산된 구성요소들에 보고된다. 그러한 보고는 소정의 고 레벨 방어 알고리즘이 NLEDM에 의해 검출되는 저 레벨 위협들에 응답하여 구현되어야 할 때에 관하여 분산된 SCNM 기반시설에 의한 결정들을 가능하게 한다. 저 레벨 노드 공격들에 관한 이러한 정보는 또한 그러한 네트워크 노드(102)에서 발생하는 공격에 응답하기 위해 적합한 로컬 방어 작용을 결정하도록 노드(102)에서 국부적으로 사용될 수 있다. 그러한 국부적 응답에 관한 결정은 분산된 처리기(514)에 의해 및/또는 보안 핵심에 의해 실행되는 다른 처리 요소들(도시 안됨)에 의해 이루어질 수 있다.
NLEDM(512)은 네트워크 노드(102)의 동작들을 직접적으로 방해하도록 의도된 저 레벨 공격들을 검출하는 기계 또는 명령 레벨 이벤트 포착 알고리즘들로 구성된다. 그와 같이, 여기서 설명되는 이벤트 트래핑 알고리즘들은 처리기(306)에서 실행하는 기계 코드 또는 기계어 명령들을 중단 또는 방해하는 저 레벨 공격들(코드 주입 공격들을 포함함)을 검출하도록 유리하게 설계된다. 예를 들어, 검출되는 이벤트들의 타입들은 데이터용으로만 설계된 메모리 공간에 저장되는 명령들을 실행하기 위한 시도들, 부정확한 또는 승인되지 않은 메모리 어드레스 상의 더 낮은 경로로부터 복구하기 위한 시도들, 및 무효 연산코드(invalid opcode)의 사용을 제한함이 없이 포함할 수 있다. 공격을 나타내는 기계 또는 명령 레벨 이벤트들의 다른 타입들도 검출될 수 있다.
여기서 설명되는 저 레벨 공격 이벤트들의 타입들의 식별은 여러 보안 기술들의 사용에 의해 가능하게 될 수 있다. 예를 들어, 보안 핵심은 수정된 하바드 아키텍처(Harvard Architecture)를 사용하여 구현될 수 있으며, 여기서 메모리는 코드 또는 데이터로서 표시(tag)된다. 그러한 구현은 두 타입의 정보가 혼합되는 것을 방지한다. 이중 스택들은 제어 흐름 및 데이터를 분리하기 위해 사용될 수 있다. 한 스택은 단지 RET 및 CALL 명령들에 의해 액세스 될 수 있고, 직접 변형될 수 없다. 두 번째 스택은 PUSH 및 POP을 포함하여 스택에 대하여 통상적으로 기대하는 명령들을 지원한다. 명령 집합 랜덤화(instruction set randomization)는 기계가 초기화될 때마다 기계의 본래 명령의 2진 표현을 랜덤화 하도록 채용될 수 있다. 그러한 작용들은 데이터를 실행할 기계에 필요한 연산 코드들이 공격자에게 알려지지 않는 것을 보장한다. 전술한 보안 프로토콜들 중 하나를 위배하려고 시도하는 이벤트가 있을 때, 그러한 이벤트는 NLEDM(512)과 연관된 알고리즘들에 의해 검출된다. 다른 이벤트들도 또한 검출될 수 있으며, 본 발명은 여기서 설명되는 공격 이벤트들의 특정 타입들로 제한되지 않는다.
NLEDM(512)에 의해 검출되는 이벤트들은 분산된 처리기(514)의 분산된 구성요소들에 보고된다. 일부 시나리오들에서, 분산된 처리기(514)의 분산된 구성요소들은 네트워크의 현재 동작 조건들 또는 이벤트가 검출된 노드가 검출된 이벤트 또는 이벤트들에 대하여 임의 응답을 보증하지 않음을 결정할 수도 있다. 대안적으로 노드(102)에서 분산된 구성요소들(514)은 로컬 레벨에서 전용으로 소정의 방어 작용들을 수행함으로써, 네트워크의 다른 노드들에 고지함이 없이 한 이벤트 또는 이벤트들의 조합의 발생에 응답할 수 있다.
또 다른 시나리오들에서, 검출된 이벤트 또는 이벤트들의 조합의 발생은 분산된 처리기의 분산된 구성요소들에 의해 평가되어, 저 레벨 공격에 대하여 가능한 고 레벨 네트워크 방어 응답들을 결정할 수 있다. 그러한 경우들에서, 검출된 이벤트들의 발생은 다른 네트워크 노드(102)와 선택적으로 통신될 수 있다. 그 경우에 분산된 처리기는 고 레벨 방어 응답이 네트워크에 의해 필요한 경우와 그러한 때를 결정한다. 분산된 처리기에 의한 그러한 이벤트들의 분석은 도 7 내지 도 11과 관련하여 아래에 더 상세히 설명한다.
또한 분산된 처리기에 의해 결정된 보안 위험에 기초하여, 복수의 네트워크 노드들 각각에서 적용되는 보안 레벨은 그 다음의 저 레벨 호스트 공격들에 대한 각 네트워크 노드에서의 감도를 선택적으로 제어하도록 조정될 수 있다. 그러한 조정은 NLEDM에 의해 보고되는 이벤트들의 종류들, 네트워크 노드들이 보고된 이벤트들에 응답하여 국부적인 방어 작용들을 수행하는 조건들, 및/또는 검출된 이벤트들이 네트워크 내의 다른 노드들에 보고되는 조건들을 변화시킬 수 있다.
분산된 처리기(514)의 분산된 구성요소들은 통신 네트워크를 포함하는 다양한 노드들 간에서와 같은 네트워크 작용들의 조정을 가능하게 한다. 분산된 처리기(514)의 기능과 동작을 이해하기 위해, 본 발명의 장치들에 따른 분산된 SCNM 기반시설의 일부 특징들을 먼저 설명하는데 유용하다.
이동 애드 호크(mobile ad hoc) 전술 군용 네트워크들 또는 비상 서비스 제1 응답기 네트워크에서는, 단일 네트워크 노드(예, 기지국)에 의해 구현되는 인지 네트워크 지능의 모든 것을 갖는 것이 바람직하지 않다. 왜냐하면, 그 네트워크 노드의 불능 또는 제거가 전체 인지 네트워크의 고장을 초래하기 때문이다. 따라서, 본 발명은 분산된 지능을 갖는 인지 네트워크를 제공한다. 즉, 지능은 단일 네트워크 노드에 의해서 보다 복수의 네트워크 노드들에 의해 구현된다.
따라서, 본 발명의 장치들에 따른 인지 네트워크(104)는 다음과 같은 특징들을 유리하게 포함한다:
(1) 다양하고 변화하는 전자기 환경에서의 동작을 가능하게 하도록 분산된 반복 스펙트럼의 감지;
(2) 가혹한 환경에서 강력한 동작을 위한 노드들 간의 저속 및 로컬 명령/제어/랑데부 데이터(rendezvous data) 전송;
(3) 사용 가능한 자원들 및 국부적으로 부과되는 능동 알고리즘 요건들에 기초한 네트워크 노드들에 걸친 연산 로드의 분산을 최적화하기 위한 분산된 지능; 및
(4) 네트워크가 동적 프로젝트 요건들 또는 임무 요건들에 부합가능 하도록 하기 위해 프로토콜 스택의 층간 및 노드간 최적화.
개방형 시스템 상호연결(Open System Interconnection: OST) 프로토콜 스택의 층간 내부 노드 최적화를 일반적으로 입자 집단 최적화(Particle Swarm Optimization: PSO)에 기초하고 또한 구체적으로 집단 지능(Swarm Intelligence: ST)을 채용하는 생물학적으로 영감되는 PSO들에 기초하는 것은 위에 나열된 특징들(1)-(4)의 구현들을 가능하게 한다.
일반적으로, PSO는 문제에 대한 솔루션을 구하는 기술에 기초한 다중 목표 최적화(multi-objective optimization: MOO) 인공지능(Artificial Intelligence: AI)이다. 그와 같이 PSO는 본 기술 분야에서 또한 다중 목표 PSO(Multi-Objective PSO: MOPSO)로서 호칭된다. 일반적으로, MOPSO 기술은 후보 솔루션들("입자들")의 집단을 구하는 것; 및 각 입자를 그 자신의 종전 최상의 솔루션 및 그의 집단의 최상의 솔루션에 따른 속도로 탐색 공간에서 이동하는 것을 포함한다. 입자의 위치는 다음과 같은 수학식 1 및 2에 따라 갱신될 수도 있다.
Figure pat00001
Figure pat00002
여기서 x id 는 입자의 위치를 나타낸다. Δx id 는 입자의 위치변화를 나타낸다. c 1 c 2는 양의 상수이다. rand1rand2는 0과 1 간의 난수이다. p id 는 입자에 대한 종전의 최상 솔루션을 나타낸다. p gd 는 그 집단에 대한 종전의 최상 솔루션을 나타낸다.
생물학적으로 영감되는 PSO는 SI를 채용한다. SI는 일반적으로 서로에 대해 그들의 환경에 대해 국부적으로 상호작용하는 간단한 시뮬레이션 에이전트들(simulation agents)의 집단을 구성하는 분산된 자기 조직 시스템의 집단행동이다. 시뮬레이션 에이전트들은 아주 간단한 규칙들을 따른다. 비록 개별 시뮬레이션 에이전트들이 어떻게 국부적이고, 간단하고, 어느 정도 무질서하게 행동해야 되는지를 지시하는 중앙 집중된 제어 구조가 없지만, 그러한 시뮬레이션 에이전트들 간의 상호작용들은 "지능형" 글로벌 행동의 출현을 유도한다. SI의 자연 예들은 개미떼, 꿀벌떼, 꿀벌 집단들, 뇌, 어류 군들 및 메뚜기 떼들을 포함한다. 그러나 이에 한정되지는 않는다. 따라서, SI 알고리즘들은 인공 개미 떼 알고리즘(Artificial Ant Colony Algorithm: AACA), 인공 벌떼 알고리즘(Artificial Bee Colony Algorithm: ABCA), 인공 꿀벌 집단(Artificial Honey Bee Swarm: AHBS), 인공 뇌 알고리즘들(Artificial Brain Algorithms: ABA), 인공 어류 집단 알고리즘(Artificial Fish Swarm Algorithm: AFSA), 및 인공 메뚜기떼 알고리즘(Artificial Locust Swarm Algorithm: ALSA)을 포함한다. 그러나 그에 제한되지 않는다. AACA들, ABCA들, AHBS들, ABA들, AFSA들, 및 ALSA들은 본 기술 분야에서 잘 알려져 있다. 그러므로 여기서 상세히 설명하지 않는다.
일부 시나리오들에서, MOO 알고리즘들의 다른 타입들은 인지 네트워크의 인지 능력들을 제공하기 위한 PSO 알고리즘들 및/또는 생물학적으로 영감되는 PSO 알고리즘들에 부가하여 채용된다. MOO 알고리즘들의 다른 타입들은 통상 경계 교차(Normal Boundary Intersection: NBI) 알고리즘; 수정된 NBI 알고리즘; 통상 제약(Normal Constraint: NC) 알고리즘; 계속 파레토(Pareto) 최적화 알고리즘; 파레토 표면 생성(Pareto Surface Generation: PGEN) 알고리즘; 볼록 다중 목표 사례들; 자기 조직에 기초한 간접 최적화(Indirect Optimization on the basis of Self-Organization: IOSO) 알고리즘; S-메트릭 선택 진화 다중 목표 알고리즘(S-Metric Selection Evolutionary Multi-Objective Algorithm: SMS-EMOA); 반응성 검색 최적화(Reactive Search Optimization: RSO) 알고리즘; 및/또는 선형 벡터 최적화 문제에 대한 벤슨의 알고리즘(Benson's algorithm) 을 포함한다. 그러나 이에 제한되지 않는다. 나열된 MOO 알고리즘의 각각은 당 업계에 공지되어 있으므로 여기서 설명하지 않는다.
또한 모든 MOO 알고리즘(PSO들, MOPSO들 및 생물학적으로 영감되는 PSO들을 포함함)이 비 열등한 솔루션들의 N-차원 파레토 폰트를 산출한다는 것을 이해해야 한다. 여기서 N은 목표들의 수이다. 비 열등한 솔루션들은 임의 목표 축을 따른 임의 편차가 더 좋은 솔루션에 의해 지배되는 그 솔루션을 결과로 초래하는 솔루션들이다. 두 목표 함수들 F1 및 F2에 대한 파레토 프론트(700)의 일 예를 도 7에 나타낸다. 일단 파레토 프론트가 형성되면, 다른 알고리즘을 사용하여 어떤 우선 선택 기준에 기초하여 최상의 전체 솔루션을 선택할 수 있다.
MOO 알고리즘들 및 그들의 파레토 프론트들은 본 발명의 요소들이기 때문에, 이 개념들에 대한 좀 더 상세한 개요를 이제, 제시한다. 다중 제약들(변수들)을 갖는 추론 알고리즘들에 기초한 많은 실용적 최적화에서, MOO는 우수한 결과들을 제공한다. 그 때문에 여러 가지 제약들을 갖는 단일 목표는 적절하게 문제를 나타낼 수 없다. MOO에서는 다수의 제약들 대신에 목표들의 한 벡터 즉, F(x) = [F1(x), F2(x), . . ., Fm(x)] 가 있는데, 이는 어떤 방식으로 절충되어야 한다.
Gi(x)를 상수 또는 경계로 두자. MOO의 목표는 이러한 제약들 또는 제한 조건하에서 목표 벡터들 F(x)를 최소화한다. 즉;
Figure pat00003
여기서 ke는 평등한 제한들의 수이다. k-ke는 불평등한 제한들의 수이다. l은 x의 하한값이다. U는 x의 상한값이다.
F(x)는 벡터이기 때문에 만일 F(x)의 임의 성분이 양립할 경우, 이 문제에 대한 독특한 솔루션이 없음을 주지해야 한다. 그 대신 비 열등의 개념은 목표들을 특징화하기 위해 사용되어야 한다. 비 열등 솔루션은 한 목표에서의 개선이 다른 목표의 저하를 요구하는 것이다. 이러한 개념을 좀 더 정확하게 정의하기 위해 파라미터 공간에서 실행 가능한 영역 Ω를 고려하자. x는 모든 제한들을 만족하는 n-차 실수들(x
Figure pat00004
Rn)의 요소이다. 즉,
Figure pat00005
이는 적합 함수(fitness function) Λ에 대하여 대응하는 실행 가능한 영역을 다음과 같이 정의한다.
Figure pat00006
성능 벡터 F(X)는 적합 함수 공간으로 파라미터 공간을 매핑한다.
비 열등한 솔루션 지점은 다음과 같이 정의된다: 지점(x*Ω)은 x*의 어떤 일부에 대해 (x*+Δx) Ω 및 하기식인 Δx가 없으면 비 열등 솔루션이다.
Figure pat00007
비 열등한 솔루션들의 도형 집합의 예시적인 2차원 표현은 도 8에 제공된다. 도 8에 도시된 바와 같이, 비 열등 솔루션들의 집합은 지점(C)과 지점(D) 간의 곡선 상에 있다. 지점들(A 및 B)은 특정한 비 열등 지점들을 나타낸다. 지점들(A 및 B)은 명백히 비 열등 솔루션 지점들이다. 왜냐하면, 한 목표(F1)에서의 개선은 다른 목표들(F2)에서의 저하, 즉, F1B < F1A, F2B > F2A을 요구한다. 열등한 지점인 Ω 내의 임의 지점이 모든 목표들에서 개선이 얻어질 수 있는 지점을 나타내기 때문에, 그러한 지점은 값이 없음이 명백하다. 그러므로 MOO는 비 열등 솔루션 지점들의 생성 및 선택과 관련된다. 비 열등 솔루션들은 또한 파레토 옵티마(Pareto Optima)로 호칭된다. MOO에서의 일반적인 목표는 파레토 옵티마를 구성한다.
예시적인 시스템들
이제, 본 발명의 예시적인 시스템들이 도 9 내지 도 11을 참조하여 설명된다. 다음과 같은 설명은 네트워크 통신 위협들에 응답하기 위한 최적의 방어 알고리즘을 선택하기 위한 인지 네트워크(104)에 의해 구현되는 접근방법을 기술한다. 명령과 제어에 요구되는 인지 및 다른 기능들이 분포될 때, 다양한 PSO 알고리즘들은 명령과 제어 통신의 기반으로서 사용된다. PSO 알고리즘들은 요구되는 기계 지능의 일부를 단지 공급하는 것이 아닌 내부 코드 메시지들에 대한 정보 압축 역할에서 작용하는 것으로 생각될 수 있다.
인지 네트워크(104)는 전체 프로젝트 또는 임무 메트릭(mission metrics)이 충족되도록 최적화된 다중 파라미터일 수 있으며, 또한 프로토콜 스택 층에 대하여 특정하거나 또는 단 두 개의 프로토콜 스택 층들에 의해 공유되는 단 하나의 파라미터가 아닐 수 있다. PSO는 다중 파라미터 최적화를 달성하기 위한 보안 핵심(300)에 의해 채용된다. 그러한 다중 파라미터 최적화는 동적 네트워크 조건들에 응답하여 최적의 방어 알고리즘을 선택하는 것으로 포함되는 작용들을 포함할 수 있다. 이에 관하여, 이해해야 하는 것은 상이한 PSO 모델들이 각각 특정 프로토콜 스택 층의 특징들과 정렬된 특성들과 더불어 사용될 수 있으므로 분산된 교차 층 인지 엔진의 기반을 형성할 수 있다. 예를 들어, AHBS를 채용하는 분산된 생물학적으로 영감되는 PSO 기술이 그의 메시징 특징들 때문에 OSI 프로토콜 스택의 물리 층의 동작들을 최적화하기 위해 사용된다. AACA를 채용하는 분산된 생물학적으로 영감되는 PSO 기술은 그의 페로몬(pheromone) 영감되는 유한 페이딩(finite fading) 메모리 및 보강 특성 때문에 OSI 프로토콜 스택의 데이터 링크 층의 동작들을 최적화하기 위해 사용된다. 본 발명은 본 예의 특성들로 제한되지 않는다. 다른 예들이 제공될 수 있는데, 여기서는 분산된 생물학적으로 영감되는 및/또는 비 생물학적으로 영감되는 PSO들이 비 페이로드(non-payload) 내부 노드 통신을 최소화하도록 프로토콜 스택에서 사용되고 또한 그의 요건들에 정합한다.
특히, 인지 네트워크(104)에 의해 채용되는 PSO 모델들 및 분산된 지능 알고리즘 파라미터들은 그의 동작 중 동적으로 조정될 수 있다. 이 동적 조정은 네트워크 요구사항들 및 네트워크 조건들에서의 변화에 따라 행해질 수 있다. 예를 들어, PSO 모델들 및 분산된 지능 알고리즘 파라미터들은 잠재 요건들, 대역폭 요건들, 및/또는 기타 통신 요건들의 변화에 기초하여 동적으로 변화될 수도 있다. 또한 PSO 모델들 및 분산된 지능 알고리즘은 네트워크에 대하여 지향되는 공격들에서의 변화들에 대한 응답에 기초하여 동적으로 변화될 수 있다.
생물학적으로 영감되는 PSO들은 변화하는 프로젝트, 임무, 무선 환경, 및 정책 조건들에 합치하도록 RF 통신을 통해 그들 스스로 조정하도록 요구되는 네트워크들의 인지 요건들과 일치하는 많은 특성들을 일반적으로 표시한다. 생물학적으로 영감되는 PSO들에서의 "입자들"은 지능 엔티티("집단")를 집합적으로 형성하는 간단한 메시징을 통하여 국부적으로 통신하는 연산 에이전트들이다. 인지 네트워크(104) 상황에서, 연산 에이전트들은 네트워크 노드(102) 각각의 보안 핵심(300) 내에 포함되는 처리 장치들(306)을 포함한다. 보안 핵심(300)은 네트워크 노드들 각각에 예시되는 분산된 처리기를 형성한다. 분산된 처리기는 도 9를 참조하여 아래에 설명되는 기본 개념들 및 도 10을 참조하여 아래에 설명되는 방법들을 수행하도록 구성되는 하드웨어(즉, 전기회로들) 및/또는 펌웨어를 포함한다.
여기서 설명되는 분산된 처리기의 기능은 변화하는 요건들 및 조건들에서 오버헤드(overhead)를 최소화하여 네트워크 동작을 최적 부근에 유지하기 위한 최적 방어 알고리즘들을 선택하는 것이다. 특히, 생물학적으로 영감되는 PSO들을 사용하는 결과로서, 연산 로딩은 네트워크 노드들의 수, 노드 정보 밀도, 및 시스템 레벨 연산 요건들에 기초한 모든 활성 네트워크 노드들(102)에 걸쳐 동적으로 분할될 수 있다. 이는 인지 네트워크(104)의 연산 능력이 점근적으로 성장할 때 및 인지 네트워크(104)의 연산 용량이 연산 요건의 점근적인 제한을 초과할 때 유익하다. 네트워크 노드(102) 각각의 연산 로드는 더 많은 노드들이 네트워크(104)를 결합할 때 축소될 수 있으므로 결국 네트워크 노드(102) 각각의 전력 소모를 줄여 전원 수명을 연장할 수 있고 또한 열 및 전자기 방사 특성을 감소시킬 수 있다.
이제, 도 9를 참조하면, 분산된 인지 네트워크(104)에 의해 수행되는 동작들을 이해하는데 유용한 개념도(900)가 제공된다. 위에서 고지한 바와 같이, 인지 네트워크(104)는 일반적으로 그의 전체 성능을 최적화하기 위해 분산된 지능 알고리즘을 채용한다. 예를 들어, 인지 네트워크는 분산된 SCNM 지능을 분산된 구성요소들(514)의 일부로서 각 노드에 제각기 제공되는 인지 엔진들의 형태로 채용할 수 있다. 분산된 SCNM 지능은 네트워크에 대하여 지향되는 공격들과 같은 동적 네트워크 조건들에 응답하여 채용될 예정인 방어 알고리즘들을 포함하는 최적 네트워크 구성들을 결정한다. 하드웨어의 관점으로부터 분산된 지능은 인지 네트워크(104)를 형성하는 네트워크 노드들(102)의 보안 핵심들(300) 내에 예시되는 분산된 처리기들(예, 처리기(306))의 형태로 구현된다. 따라서, 개념도(900)의 기능 블록들(기능 블록(904, 940)의 작용들은 네트워크 노드들에 의해 정의되는 분산된 처리기에서 상응하는 동작들을 수행함으로써 달성된다.
도 9에 도시된 바와 같이, 새로운 또는 갱신된 프로젝트 또는 임무 요건들(902)은 인지 네트워크(104) 내의 네트워크 노드들(102)의 보안 핵심들(300)에서 구현되는 바와 같은 분산된 처리기들에 의해 수신된다. 프로젝트 또는 임무 요건들(902)은 표준 온톨로지(ontology)에 있을 수 있다. 표준 온톨로지는 영역 내의 개념들의 집합으로서 프로젝트 또는 임무 요건들, 및 이 개념들 간의 상호관계를 표현한다. 그와 같이 일부 시나리오들에서, 온톨로지는 복수의 조항들 및 인덱스들을 포함한다. 인덱스는 조항들과 프로젝트 또는 임무 요건들(902) 간의 복수의 상호관계들을 정의한다. 프로젝트 또는 임무 요건은 적어도 하나의 조항들 및 인덱스에 기초하여 식별된다.
프로젝트 또는 임무 요건들(902)을 수신 후, 최적화 알고리즘 초기화를 위한 동작들은 기능 블록(904)에서 수행된다. 그러한 동작들은 인지 네트워크(104)의 성능을 최적화하도록 집합적으로 사용될 예정인 복수의 분산된 최적화 알고리즘들에 대한 초기화 파라미터(950)을 연산하도록 적어도 하나의 AI 알고리즘 및/또는 적어도 하나의 테이블 룩업(Table Look Up: TLU) 방법을 사용하는 것을 포함한다. 네트워크 공격의 지시가 있는 경우에, AI 알고리즘은 최적화된 성능이 특정 방어 알고리즘의 구현을 요구하는 것을 결정할 수도 있다. 일부 시나리오들에서, AI 알고리즘은 기호 AI 알고리즘, 서브기호 AI 알고리즘, 또는 통계적 AI 알고리즘을 포함한다. 그러나 이에 제한되지는 않는다. AI 알고리즘들의 나열된 타입들 각각은 당 업계에서 공지되었으므로 여기서 설명하지 않는다.
또한 AI 알고리즘(들) 및/또는 초기화 파라미터(들)의 타입은 입자 "사용 사례(use case)"에 따라 선택될 수 있다. 여기서 사용되는 바와 같이 용어 "사용 사례"는 시스템 요건들을 식별, 명료, 및 조직화하도록 시스템 분석에 사용되는 방법론을 말한다. "사용 사례"는 특정 환경에서 시스템 구성요소들(예, 네트워크 노드들)과 사용자들 간의 상호작용들의 가능한 순서들의 집합으로 구성되고 또한 특정 목표와 관련된다. "사용 사례"는 다음과 같은 특징들: 기능 요건들을 조직화하고; 시스템/사용자 상호작용들의 목표들을 모델링하고; 경로들을 트리거 이벤트들로부터 목표들까지 기록하고; 이벤트들의 하나의 주요 흐름 및/또는 이벤트들의 예외적인 흐름을 설명하고; 및/또는 다른 "사용 사례"가 그의 기능성을 사용할 수 있도록 다중 레벨로 하는 등을 가질 수 있다.
기능 블록(904)의 기능들은 성공적인 프로젝트 또는 임무 실행들로부터 유도된 귀환 층 제한들(938)을 사용하여 달성된다. 예를 들어, 귀환 층 제한들(938)은 특정 방어 알고리즘이 특정 타입의 네트워크 공격에 응답하기 위해 효과적이었던 경우들을 구체화할 수도 있다. 기능 블록(904)은 미래에 유사한 사용 사례들에서 초기화 파들을 생성하기 위해 상기 성공적인 프로젝트 및 임무 귀환 층 제한들을 "학습"하여 추후 사용하도록 성공적인 프로젝트 및 임무 귀환 층 제한들을 사용한다. 전술한 알고리즘들을 위한 "학습" 메커니즘들은 본 기술분야에서 공지된 것이므로 여기서 상세히 설명하지 않는다. 그 다음 이 입력들은 종전에 보인 유사한 환경 집합 및 상응하는 최종 결과들을 결정하기 위해 사용된다. 그 다음 최종 결과들은 초기화를 위해 사용된다. 귀환 층 제한들(938)은 적어도 하나의 네트워크 노드의 스택 층 자원들을 프로토콜 하도록 적용하는 상황 및 제한들에 관련하는 정보를 포함한다.
블록(904)의 기능들은 또한 네트워크 노드(102) 상에서 이용할 수 있는 자원들에 관한 네트워크 관련 정보를 사용하여 달성된다. 일부 시나리오들에서, 네트워크 관련 정보는 각 네트워크 노드의 자유 연산 용량, 각 네트워크 노드의 보유 파워, 및/또는 각 네트워크 노드의 스펙트럼 환경을 포함한다. 그러나 이들로 제한되지 않는다. 또한 네트워크 관련 정보는 사전 정해진 주기로 갱신된다.
일부 시나리오들에서, 기능 블록(904)의 동작들은 모든 네트워크 노드들이 초기화 파라미터(950)를 연산할 시에 협조하는 분산 방식으로 수행된다. 그러나 다른 시나리오들에서, 초기화 파라미터(950)는 단일 네트워크 노드에 의해 연산된 다음, 잔여 네트워크 노드들로 분산된다. 또한 다른 시나리오들에서, 초기화 파라미터(950)는 네트워크 노드들 중 선택된 소수만을 사용하여 연산된 다음, 잔여 네트워크 노드들에 분산된다. 마지막 시나리오들에서, 지리학적으로 근접한 네트워크 노드들은 서브-인지 네트워크를 정의하기 위해 그룹화된다. 서브-인지 네트워크의 네트워크 노드들 중 하나는 서브-인지 네트워크의 자체 및 다른 네트워크 노드들을 위한 초기화 파라미터들을 연산하도록 선택된다. 그러한 서브-인지 네트워크 구성은 파워와 보안이 효율적이다.
일단 초기화 파라미터(950)가 연산되면, 그들은 기능 블록들(906-918)에 제각기 분산된다. 기능 블록들(906-918)에서, 초기화 파라미터(950) 및/또는 네트워크 관련 정보는 프로토콜 스택 층 파라미터들에 대하여 상이한 값들이 적용될 때 파레토 효과인 가능한 결과들을 결정하기 위해 사용된다. 이에 관하여, 적어도 하나의 분산된 MOO 알고리즘을 위한 파레토 프론트는 기능 블록들(906-918) 각각에서 결정될 수 있다. 파레토 프론트들은 본 기술분야에서 공지되었으므로 위에서 간략히 설명되었다.
일부 시나리오들에서, 적어도 하나의 분산된 MOO 알고리즘을 위한 파레토 프론트는 물리 층, 데이터 링크 층, 또는 네트워크 층의 프로토콜 최적화를 결과할 수 있는 기능 블록들(906-910) 각각에서 결정된다. 위에 언급된 바와 같이, 그러한 프로토콜 최적화는 네트워크에 대하여 지향되는 공격들을 저지하도록 네트워크에 의해 채용된 하나 이상의 특정 방어 알고리즘들의 선택과 구현을 포함할 수 있다. 도 9에 도시된 바와 같이, 기능 블록들(906-910)에서 적용된 분산된 MOO 알고리즘들은 분산된 생물학적으로 영감되는 PSO 알고리즘들을 포함할 수 있다. 본 발명은 이에 관하여 제한되지 않는다. 기능 블록들(906-910)은 다른 타입의 MOO 알고리즘들을 부가적으로 또는 대안적으로 채용할 수 있다. 마찬가지로, 적어도 하나의 분산된 MOO 알고리즘을 위한 파레토 프론트는 전송 층, 세션 층(session layer), 표현 층, 또는 응용 프로그램 층의 프로토콜 최적화로 결과될 수 있는 기능 블록들(906-918) 각각에서 결정된다. 도 9에 도시된 바와 같이, 기능 블록(906-918)에서 채용된 MOO 알고리즘들은 PSO 알고리즘들 이외에 MOO 알고리즘들을 포함한다. 본 발명은 이에 관하여 제한되지 않는다. 기능 블록(906-918)은 PSO 알고리즘들, 좀더 구체적으로 분산된 생물학적으로 영감되는 PSO 알고리즘들을 부가적으로 또는 대안적으로 채용할 수 있다.
각 프로토콜 스택 층을 위해 채용 또는 MOO 알고리즘들의 수와 타입들은 특정 "사용 사례"에 따라 선택될 수 있다. 분산된 MOO 알고리즘의 동일 또는 상이한 타입은 프로토콜 스택 층들의 각각의 프로토콜들을 최적화하기 위해 사용될 수 있다. 예를 들어, 제1 분산된 생물학적으로 영감되는 PSO(예, 분산된 AHBS)는 OSI 프로토콜 스택의 데이터 링크 층 및/또는 물리 층의 프로토콜들을 최적화하기 위해 사용될 수 있다. 제2 상이한 분산된 생물학적으로 영감되는 PSO(예, 분산된AACA)는 OSI 프로토콜 스택의 네트워크 층의 프로토콜들을 최적화하기 위해 사용될 수 있다. 제1 분산된 MOO(예, 분산된 SMS-EMOA 알고리즘) 및/또는 제3 분산된 PSO는 OSI 프로토콜 스택의 이송 층의 프로토콜들을 최적화하기 위해 사용될 수 있다. 제2 상이한 분산된 MOO(예, 분산된 연속 파레토 최적화) 및/또는 제4 분산된 PSO는 OSI 프로토콜 스택의 세션 층, 표현 층, 및/또는 응용 프로그램 층의 프로토콜들을 최적화하기 위해 사용될 수 있다. 제3 및 제4 분산된 PSO들은 제1 분산된 생물학적으로 영감되는 PSO 또는 제2 분산된 생물학적으로 영감되는 PSO와 동일 또는 상이할 수 있다. 본 발명은 이에 관하여 제한되지 않는다.
특히, 기능 블록들(906-918) 각각에서 사용되는 분산된 MOO 알고리즘(들)은 각 프로토콜 스택 층의 요건들에 유일하며 및/또는 맞춰서 주문될 수도 있다. 또 각 프로토콜 스택 층을 위한 분산된 MOO 알고리즘(들)은 복수의 네트워크 노드(102)에 의해 구현되는 대형 분산된 지능 알고리즘의 일부이다. 이에 관하여 내부 노드 통신들은 블록(906-918)의 기능들을 가능하게 하기 위해 요구될 수도 있고 또는 요구되지 않을 수도 있다. 만일 내부 노드 통신들이 블록(906-918)의 기능들을 가능하게 하기 위해 요구되면, 선형 내부 노드 통신들은 대형 분산된 지능 알고리즘의 일부일 수도 있고 또는 일부가 아닐 수도 있다. 적어도 하나의 분산된 PSO는 그러므로 내부 노드 통신들이 대형 분산된 지능 알고리즘의 일부를 포함할 때 분산된 MOO 알고리즘으로서 기능 블록(906-918)에서 채용된다.
파레토 프론트들이 모든 프로토콜 스택 층들에 대해 계산된 후, 부가 연산들이 최상 전체 네트워크 솔루션들을 출현하도록 기능 블록(920)에서 수행된다. 여기서 사용되는 바와 같이 용어 "최상 전체 네트워크 솔루션"은 최소 현재 네트워크 아키텍처, 현재 네트워크 환경(네트워크 상에 지향되는 임의 공격들의 상황을 포함함), 노드 레벨 이벤트 검출/모니터링 모듈들에 의해 개별 노드들에서 검출되는 저 레벨 이벤트들, 현재 네트워크 조건들, 현재 프로젝트 및 임무 요건들, 및 현재 프로젝트 및 임무 목표들에서 주어진 전체 프로토콜 스택 구성을 위한 최적 솔루션을 말한다. 네트워크 상 또는 개별 노드 상의 공격이 검출된 경우에, 최상 전체 네트워크 솔루션은 적어도 하나의 고 레벨 방어 알고리즘의 선택을 유리하게 포함할 수 있다. 방어 알고리즘은 네트워크 상 및/또는 특정 노드 또는 노드들에서 검출되는 공격에 응답하기 위해 각 노드에 적용된다.
기능 블록(920)의 기능들은 복수의 네트워크 노드들이 "부가 연산들"의 일부를 수행하는 분산된 형식 또는 단일 네트워크 노드가 모든 "부가 연산들"을 수행하는 중앙 집중 형식으로 구현될 수도 있다. 부가 연산들은: 알고리즘들의 다른 집합을 파레토 프론트들을 포함하는 전 솔루션 공간들에 적용하는 것; 알고리즘들을 위한 솔루션들에 기초한 최상 전체 네트워크 솔루션들을 생성하는 것; 및 특정 응용 프로그램 공간에 적합한 기준 집합 및 인지 네트워크가 동작하고 있는 조건들에 따라 최상 전체 네트워크 솔루션들을 순위를 정하는 것을 포함한다.
기능 블록(920)에 사용되는 알고리즘들의 집합은 사례 기반 추론(Case-Based Reasoning: CBR) 알고리즘들, 전문가 시스템 알고리즘들, 및 신경 네트워크 알고리즘들을 포함할 수 있다. 그러나 그들로 제한되지 않는다. 그러한 알고리즘들은 본 기술 분야에서 공지되어 있다. 그러므로 여기서 상세히 설명하지 않는다. 또 이해해야 하는 것은 기능 블록(920)에 대한 입력들이 프로젝트 관련 입력들, 임무 관련 입력들, 네트워크 토폴로지 입력들, 및/또는 RF 환경 입력들을 포함할 수도 있다는 것이다. 그러나 그들로 제한되지 않는다. 그 다음 이 입력들은 종전에 본 유사한 환경들의 집합 및 상응하는 최종 결과를 결정하도록 사용된다. 그 다음 최종 결과는 구성 최적화의 초기화를 위해 사용된다. 만일 CBR 알고리즘 또는 신경 네트워크 알고리즘이 기능 블록(920)에서 사용되면, 최종 결과들은 상기 알고리즘의 다음 반복에서 사용을 위해 귀환될 수도 있다. 대조적으로, 만일 전문가 시스템 알고리즘들이 기능 블록(920)에서 채용될 경우, 최종 결과들은 귀환되지 않을 수도 있다.
그 다음 순위 결정된 "최상 전체 네트워크 솔루션들"은 블록(922)에서 분석되어, 어느 솔루션들이 프로젝트/임무 정책들과 일치하는지를 식별하고; 및 식별된 솔루션들로부터 상위 결정된 솔루션을 식별한다. 현재의 동작 환경에 따라 상위 결정된 솔루션은 공격에 응답하기 위해 사용될 예정인 특정 방어 알고리즘을 포함할 수 있다. 예를 들어, 그러한 방어 알고리즘은 하나 이상의 조건들이 네트워크 또는 개별 노드가 공격을 경험하고 있음을 나타내는 경우에 구체화될 수도 있다.
만일 순위 랭크된 "최상 전체 네트워크 솔루션들"이 정책을 준수하지 않을 경우, 정책 엔진(940)은 인지 네트워크(104)가 준수하게 하는 가능한 접근방법들을 "제안"하도록 시도한다. 그 다음 "제시된" 가능한 접근방법들은 우선 블록(922)에 공급된다. 그에 응답하여 블록(922)의 두 번째 반복이 사용을 위해 수행되어 정책 순응 솔루션을 생성한다. 만일 블록(922)이 순응 솔루션을 생성할 수 없을 경우, "제안된" 가능한 접근방법들이 사용을 위해 기능 블록(904)에 공급된다. 그에 응답하여 블록들(기능 블록(904-922)의 기능들의 두 번째 반복이 수행되어 정책 순응 솔루션들을 생성한다.
만일 적어도 하나의 랭크된 "최상 전체 네트워크 솔루션들"이 정책을 준수하면, "선호 솔루션"이 블록(922)에서 선택된다. 만일 공격 또는 이벤트가 하나 이상의 노드들에 의해 보고되면, 선호된 솔루션은 다른 기준들 중에서 그러한 공격에 응답하기 위해 사용될 방어 알고리즘을 선택적으로 구체화할 수 있다. 마찬가지로, 만일 소정의 고 레벨 조건들의 발생이 검출되어 그것이 SCNM에 지향되는 공격들에 상응하면, 방어 알고리즘이 블록(922)에서 선택된 네트워크 솔루션의 일부로서 구체화될 수 있다. 일단 선택되어 최적 솔루션이 선택되면, 구성 파라미터(970)는 인지 네트워크(104) 내의 "선호된 솔루션"의 구현을 가능하게 하는 프로토콜 스택 층들의 프로토콜들에 대해 연산된다. 그 다음 프로토콜 스택 층들의 네트워크 자원들은 기능 블록들(924-936)에 의해 도시된 바와 같이, 구성 파라미터(970)에 따라 구성된다. 이 작용들은 각 노드에서 실행하는 CIM(504)에 의해 수행될 수 있다.
네트워크 자원들은 프로젝트 또는 임무가 변화하고, 네트워크 토폴로지가 변화하고, 및/또는 네트워크의 동작 환경이 변화할 때까지 그들 현재의 구성을 유지한다. 따라서, 저 레벨 공격들을 지시하는 노드 레벨에서 검출되는 이벤트들, 및 네트워크의 행동에서의 예상치 못한 변화들이 도 9에 도시된 바와 같이, 새로운 네트워크 솔루션의 선택을 트리거할 수 있다.
이제, 도 10을 참조하면, 예시적인 네트워크 노드(102)의 보안 핵심에 상주하는 분산된 처리기(514)를 나타내는 상세한 블록도가 제공된다. 위에 설명된 바와 같이 네트워크 노드(102)는 다른 노드들(102) 내의 유사한 처리 장치들(306)과 함께 분산된 처리기의 일부를 포함하는 적어도 하나의 처리기(306)를 포함한다. 각 네트워크 노드(102) 내의 분산된 구성요소들(514)은 각 네트워크 노드 내의 처리기(306) 상에서 제각기 실행된다. 분산된 처리기는 인지 네트워크(104)의 전체 성능의 최적화를 가능하게 하기 위한 분산된 지능 알고리즘을 채용한다. 그와 같이, 분산된 처리기는 도 9를 참조하여 위에 설명되는 동작들 및 도 11을 참조하여 아래에 설명되는 방법을 수행하도록 구성되는 하드웨어(예, 전기회로들) 및/또는 펌웨어를 포함한다. 네트워크 노드(102) 각각의 처리 장치(306)는 환경 관측 구성요소(Environment Observation Component: EOC)(1060)를 실행한다. EOC는 인지 네트워크에 의해 사용을 위해 이용 가능한 주파수 채널들을 감지할 수 있다.
상술한 바와 같이, 분산된 지능 알고리즘을 위한 초기화 파라미터(950)는 인지 네트워크(104)가 동작하는 동안 연산된다. 일부 시나리오들에서, 초기화 파라미터들의 일부 또는 전부는 하나 이상의 네트워크 노드(102)에 의해 연산된다. 다라서 네트워크 노드(102)의 인지 엔진(1076)은 선택적 초기화 파라미터 생성기(Initialization Parameter Generator: IPG)(1052)를 포함한다. IPG(1052)는 프로젝트 또는 임무 요건들(902), 귀환 층 제한들(938) 및/또는 자체 및/또는 다른 네트워크 노드(102)에 의해 의해 채용되는 MOOA 구성요소(1084)를 위한 초기화 파라미터들을 연산하기 위한 네트워크 관련 정보를 사용하도록 구성된다. 초기화 파라미터들은 적어도 하나의 AI 알고리즘(1082) 및/또는 TLU 방법을 사용하여 연산될 수 있다. AI 알고리즘(1082)의 타입 또는 초기화 파라미터들은 상술한 바와 같이 특정한 "사용 사례"에 따라 선택될 수 있다. 만일 IPG(1052)가 다른 네트워크 노드에 대한 초기화 파라미터들을 연산하면, 네트워크 노드(102)는 초기화 파라미터들을 다른 네트워크 노드들 각각과 통신한다. 초기화 파라미터들은 명령 및 제어 통신을 통하여 통신될 수 있다. 초기화 파라미터들이 연산된 후, 네트워크 노드(102)는 초기화 파라미터들 및/또는 네트워크 관련 정보 제각각을 사용함으로써 임의 방어 전략의 구현을 포함하여 전체 네트워크 성능의 최적화를 가능하게 한다.
일부 시나리오들에서, 초기화 파라미터들은 CBR 및/또는 퍼지 대수학(fuzzy algebra)을 사용하여 연산된다. CBR 및/또는 퍼지 대수학은 본 기술 분야에서 공지되어 있다. 그러므로 여기서 상세히 설명하지 않는다. 그러나 초기화 파라미터들을 연산하기 위해 네트워크 노드(102)에 의해 수행되는 동작들을 아래에 간략하게 설명하여 독자들에게 CBR 시나리오들을 이해하도록 협조한다.
CBR 시나리오들에서, IPG(1052)는 EOC(1060)로부터 일반적으로 사례 관련 정보를 수신하여 동일한 것을 처리하도록 구성되는 CBR 구성요소(1080)를 포함하고 있다. 이에 관하여, EOC(1060)는 네트워크 노드 환경(Network Node Environment: FCNNE)의 완전한 특성을 생성하도록 동작들을 수행한다. FCNNE는 네트워크 노드(102)에 저장된 하드웨어 자원을 무선 환경 맵(Radio Environment Map: REM) 데이터(1066)와 조합함으로써 생성된다. REM 데이터(1066)는 정지 로컬 네트워크 노드 환경(예, 숨겨진 노드들, 지역, 등) 및 원격 네트워크 노드 환경들을 특징화한다. REM 데이터(1066)는 명령 및 제어 통신을 통하여 갱신 가능하다. FCNNE는 EOC(1060)로부터 시나리오 합성기(1070)로 통신된다.
시나리오 합성기(1070)에서, FCNNE는 현 프로젝트 및 임무 요건들(1072)과 조합되어 인지 엔진(1076)을 위한 목표들, 한계들, 및 경계 조건들의 집합을 합성할 수 있다. 목표들은 특정 포멧(예, 테이블 포멧)으로 메모리(예, 주 메모리(302)) 내에 저장될 수도 있다. 그러므로 목표들은 무선 하드웨어 환경 데이터와 조합되어 조합된 목표/환경 데이터를 생성할 수 있다. 사례 식별자(들)는 인지 엔진(1076)의 CBR 구성요소(1078)에 통신된다. CBR 구성요소(1078)는 사례 식별자(들)를 사용하여 각 프로토콜 스택 층마다 채용되어야 하는 MOO 알고리즘들의 수를 선택하고; 각 프로토콜 스택 층마다 채용될 MOO 알고리즘(들)의 타입을 선택하고; 및/또는 MOOA 구성요소(1084)에 대한 초기화 파라미터들을 결정한다.
일단 초기화 파라미터들이 결정되면, 그들은 인지 엔진(1076)에 의해 사용되어 프로토콜 스택 성능의 최적화를 가능하게 하고, 및 방어 전략이 필요한지를 결정한다. 이에 관하여 각각의 선택된 MOOA 구성요소(1084)마다 파레토 프론트가 결정된다. 특히 MOOA 구성요소(1084)는 그의 요건들에 대하여 유일하고 및/또는 맞춤 주문되는 각 프로토콜 스택 층마다 적어도 하나의 MOO 알고리즘을 포함한다. 동일 또는 상이한 MOO 알고리즘은 둘 이상의 프로토콜 스택 층들을 위해 사용될 수 있다. 일부 시나리오들에서, PSO 알고리즘(특히, 생물학적으로 영감되는 PSO 알고리즘)은 적어도 하나의 프로토콜 스택 층들(예, 물리 층, 데이터 링크 층, 및/또는 네트워크 층)을 위해 채용된다. MOO 알고리즘들(PSO들 및 생물학적으로 영감되는 PSO들) 각각은 상술한 바와 같이 비 열등 솔루션들의 N-차원 파레토 프론트를 산출한다.
위에 언급한 바와 같이, MOO 알고리즘들은 인지 네트워크(104)의 네트워크 노드(102)에 의해 구현되는 대형 분산된 지능 알고리즘의 일부이다. 이에 관하여, 내부 노드 통신들은 파레토 프론트들을 연산하기 위해 요구될 수도 있다. 따라서, 일부 시나리오들에서, 네트워크 노드(102)는 하나 이상의 MOOA 구성요소(1084)에 대한 솔루션을 유도할 목표를 위해 명령 및 제어 통신을 사용하여 다른 네트워크 노드(102)와 통신한다.
인지 엔진(1076)은 파레토 프론트를 생성한 후 파레토 프론트를 정책 엔진(1090)에 통신한다. 특히, 정책 엔진(1090)은 분산된 정책 엔진의 일부를 형성한다. 그러한 분산된 정책 엔진의 기능들은 도 9의 정책 엔진(940)과 관련하여 상술된다. 도 9의 정책 엔진(940)과 관련하여 상술된 기능들의 적어도 일부는 정책 엔진(1090)에 의해 수행된다.
이와 관련하여, 부가 동작들이 정책 엔진(1090)에 의해 수행되어 최상 전체 네트워크 솔루션들의 생성을 가능하게 한다. 부가 동작들은: 부가 알고리즘들을 인지 엔진(1076)에 의해 적어도 생성된 파레토 프론트에 적용하는 단계; 부가 알고리즘들에 대한 솔루션들에 기초한 최상 전체 네트워크 솔루션들의 생성시에 지원하는 단계; 및 특정 응용 프로그램 공간에 적합한 기준들의 집합 및 인지 네트워크(104)가 동작하는 동안의 조건들에 따라 최상 전체 네트워크 솔루션들의 순위 결정시 지원하는 단계를 포함한다. 부가 알고리즘들은 CBR 알고리즘들, 전문가 시스템 알고리즘들, 및/또는 신경 네트워크 알고리즘들을 포함할 수 있다. 그러나 그들로 제한되지 않는다.
그 다음, 정책 엔진(1090)은 순위 결정된 최상 전체 네트워크 솔루션들의 분석을 지원하여: 어느 솔루션들이 현재 규제 정책 및/또는 프로젝트/임무 정책들을 준수하는지를 식별하고; 및 식별된 솔루션들로부터 상위 랭크된 솔루션을 식별한다. 상위 랭크된 솔루션은 특정 공격을 저지하기 위한 인지 네트워크(104)에 의해 수행될 하나 이상의 고 레벨 방어 작용들 또는 알고리즘들을 포함할 수 있다. 솔루션은 또한 기대를 갖는 변수인 노드 레벨 또는 고 레벨 노드 조건들에서 저 레벨 공격들을 지시하는 개별 노드들 또는 검출된 이벤트들에 대한 응답들을 구체화할 수 있다.
정책 준수는 시나리오 합성기(1070)에 의해 생성되는 경계 조건들을 사용하여 결정될 수 있다. 만일 순위 랭크된 최상 전체 솔루션들이 정책을 준수하지 않으면, 정책 엔진(1090)은 인지 네트워크(104)가 준수하게 하는 가능한 접근방법들의 결정시 지원한다. 가능한 접근방법들은 MOOA 구성요소(1084) 또는 CBR 구성요소(1080)로 귀환하여 솔루션이 어떻게 준수하게 될 수 있는지에 관한 지시를 줄 수 있다. MOOA 구성요소(1084) 또는 CBR 구성요소(1080)가 어떻게 귀환된 정보를 사용하는지를 위한 정해진 프로세스는 없다.
만일 적어도 하나의 순위 랭크된 최상 전체 솔루션들이 정책을 준수하면, 링크 구성 최적화(Link Configuration Optimization: LCO) 엔진(1094)으로 통과된다. LCO 엔진(1094)은 무선 자원 비용 축소 기능을 사용하여 단일 구성 솔루션을 선택한다. 솔루션은 품질을 감정하기 위해 평가된다. 최종 솔루션은 이러한 기조로 선택되며, 솔루션은 네트워크에 대하여 지향되는 공격들을 저지하기 위해 여기서 설명되는 하나 이상의 고 레벨 방어 알고리즘들을 포함할 수 있다. 솔루션들은 또한 개별 노드들에서 구현되고 또한 노드 단위로 구체화되는 방어 작용들을 포함할 수 있다.
네트워크 구성들 및 방어 작용들을 선택하기 위한 예시적인 방법들
이제, 도 11을 참조하면, 본 발명을 이해하기 위해 유용한 인지 네트워크(예, 도 3의 인지 네트워크(104))를 제공하기 위한 예시적인 방법의 흐름도가 제공되어 있다. 도 11에 도시된 바와 같이, 방법(1100)은 단계(1102)로 시작하여 단계(1104)를 계속한다. 단계(1104)에서, 프로젝트 및 임무 요건들(예, 도 9에서 프로젝트 및 임무 요건들(902))이 수신된다. 그 다음 프로젝트 및 임무 요건들은 단계(1106)에서 사용되어 복수의 MOO 알고리즘들을 위한 초기화 파라미터들을 생성한다.
초기화 파라미터들은 적어도 하나의 AI알고리즘 및/또는 TLU 방법을 사용하여 생성될 수 있다. AI 알고리즘은 CBR 알고리즘 및/또는 퍼지 대수법 알고리즘을 포함한다. 그러나 그들로 제한되지 않는다. 단계(1106)에서 사용되는 알고리즘의 타입은 사용 사례에 따라 선택될 수 있다. 사용 사례는 특정 환경에서 네트워크 구성요소들 및 사용자들 건의 상호 작용들의 가능한 순서들의 집합으로 이루어질 수 있다. 이에 관하여 초기화 파라미터들은 적어도 하나의 네트워크 노드의 프로토콜 스택 층 자원들에 적용하는 상황 및 제한들을 구체화하는 정보; 및/또는 인지 네트워크의 각 네트워크 노드 상에서 이용할 수 있는 자원들에 관한 정보를 사용하여 생성될 수도 있다.
일부 시나리오들에서, 단계(1106)는 인지 네트워크의 모든 네트워크 노드들이 초기화 파라미터들을 생성시에 지원하는 분산 형식으로 수행된다. 다른 시나리오들에서, 단계(1106)는 단일 네트워크 노드가 초기화 파라미터들을 생성하는 중앙 집중된 형식으로 수행된다. 또 다른 시나리오들에서, 단계(1106)는 네트워크 노드들 중 단지 선택된 소수의 네트워크 노드만이 초기화 파라미터들의 생성시에 지원하는 반 분산된 형식으로 수행된다.
일단 초기화 파라미터들이 생성되면 그들은 단계(1108)에 의해 도시된 바와 같이, 프로토콜 스택의 각 프로토콜 스택 층마다 적어도 하나의 파레토 프론트(예, 도 7의 파레토 프론트(700))를 결정하기 위해 사용된다. 파레토 프론트들은 분산된 MOO 알고리즘들을 해결함으로써 결정된다. 적어도 하나의 분산된 MOO 알고리즘들은 생물학적으로 영감되는 PSO 알고리즘을 포함한다. 일부 시나리오들에서, 생물학적으로 영감되는 PSO 알고리즘은 프로토콜 스택의 물리 층, 데이터 링크 층, 및/또는 네트워크 층을 위해 사용된다. 또한 상이한 타입의 분산된 MOO 알고리즘은 적어도 두 개의 프로토콜 스택 층들을 위해 채용될 수도 있다. 적어도 하나의 프로토콜 스택 층을 위해 채용될 분산된 MOO 알고리즘의 타입은 비 페이로드 내부 노드 통신의 양 및 프로토콜 스택 층의 요건들에 기초하여 선택될 수 있다. 마찬가지로, 적어도 하나의 프로토콜 스택 층을 위해 채용될 분산된 MOO 알고리즘들의 수행되는 비 페이로드 내부 노드 통신의 양 및 프로토콜 스택 층의 요건들에 기초하여 선택된다.
다음 단계(1110)에서, 파레토 프론트들은 복수의 최상 전체 네트워크 솔루션들을 생성하도록 집계 시에 분석된다. 하나 이상의 이 솔루션들은 네트워크 상의 공격을 저지하기 위한 네트워크 방어 알고리즘의 구현을 포함할 수 있다. 최상 전체 네트워크 솔루션들은 사례 기반 추론 알고리즘, 전문가 시스템 알고리즘 또는 신경 네트워크 알고리즘을 사용하여 생성될 수 있다. 최상 전체 네트워크 솔루션들은 단계(1112)에 의해 도시된 바와 같이, 사전 정의된 기준들에 따라 순위 랭크된다. 상위 랭크된 솔루션은 현재의 규제 정책들 및/또는 프로젝트 및 임무 정책들을 준수하는 최상 전체 네트워크 솔루션들을 위한 단계(1114)에서 식별된다. 단계(1114)를 완료한 다음, 단계(1116)가 수행되어 구성 파라미터들이 인지 네트워크에서의 상위 랭크된 솔루션의 구현을 가능하게 하는 프로토콜 스택 층들의 프로토콜들에 대해 연산한다. 만일 상위 랭크된 솔루션은 네트워크 방어 알고리즘의 구현을 포함하면, 구성 파라미터들은 그러한 알고리즘을 구현하기 위해 수행될 작용들을 구체화한다. 상위 랭크된 솔루션은 단계(1118)에 의해 도시된 바와 같이, 구성 파라미터들에 따라 그의 네트워크 자원들(예, 도 2의 다양한 네트워크 노드(102)의 하드웨어 및 소프트웨어 자원들)을 구성함으로써 인지 네트워크에서 구현된다. 이 단계는 또한 하나 이상의 노드들에서 선택된 고 레벨 방어 알고리즘을 구현하는 단계, 및 개별 노드들에 대하여 필요한 것으로 결정되는 임의 저 레벨 방어 작용들을 구현하는 단계를 포함한다. 개별 노드들에서 구현되는 저 레벨 방어 전략들은 노드 단위로 수행될 수 있다. 단계(1118) 완료시, 단계(1120)가 수행되어 방법(1100)이 종료되거나 또는 다른 처리가 수행된다.
SCNM에서 사용되는 예시적 고 레벨 방어 알고리즘들
여기서 설명되는 고 레벨방어 알고리즘은 공격자에 의해 CNM 기반시설에 지향되는 공격들을 실질적으로 제거 또는 완화하는 것이다. 여기에 참조된 바와 같이 고 레벨 방어 알고리즘들은 인지 네트워크 상의 공격들을 격파하도록 기능하는 네트워크 레벨(개별 노드에 대하여 수행되는 알고리즘들에 반대되는 것)에서 구현되는 임의 알고리즘, 작용 또는 프로토콜을 포함할 수 있다. 따라서 많은 상이한 타입의 방어 알고리즘들은 여기서 설명되는 본 발명의 장치들과 함께 사용 가능하다. 또한 인지 네트워크 상의 최상의 잠재 고 레벨 공격들을 완화하기에 충분한 3가지 기본 타입들의 고 레벨 방어 알고리즘이 있다. 이 고 레벨 알고리즘들은 (1) 다층 어드레스 호핑(hopping), (2) 네트워크 및 링크 인터페이스 이동, 및 (3) 동적 토폴로지 관리를 포함한다. 이 타입의 알고리즘들은 본 기술 분야에서 공지되어 있다. 그러므로 여기서 상세히 설명하지 않는다. 그러나 본 발명의 이해를 도모하기 위해 각 방어 알고리즘에 대하여 간략하게 설명한다.
다중 층 IP 호핑
다중 층 호핑은 노드 IP 및/또는 MAC 어드레스들에 대한 빈번한 의사 랜덤 변화들을 포함한다. 다중 층 호핑은 목표된 패킷 폐기, 패킷 주입 및 수정의 영향들을 완화하는 것으로 예상되며, 그에 의해 네트워크에서 특정 세션들 또는 흐름들을 공격자가 식별하는 것을 어렵게 만든다. 분산된 전술 네트워크들을 위해, 특히 메시 모드(mesh mode)에서 동작하는 전술 네트워크들을 위해, IP 어드레스에서의 의사 랜덤 변화들만으로 효과적인 호핑을 가능하게 하기에 반드시 충분하지 않다. 따라서, 동시 호핑은 데이터 링크 및 네트워크 층들(즉, OSI 스택의 층들(2 및 3)) 양자 모두에서 CIM에 의해 유리하게 가능해진다. 이 접근방법은 층(2) 프레임 어드레스들을 단순히 추적함으로써 호핑 전략을 절충하는 공격자의 변화들을 줄인다. IP 호핑 방식들의 다양한 타입들은 본 기술 분야에서 공지되어 있다. 따라서, IP 및 MAC 어드레스 호핑 방법들은 여기서 상세히 설명하지 않는다. 그러나, 개발에 대하여 저항이 있는 경우 IP 호핑 방식을 구현 및 조정하기 위한 임의 적합한 기술이 사용될 수 있음을 이해해야 한다.
네트워크 및 링크 인터페이스 이동
공지된 바와 같이, 통신 스택 내의 고 층 프로토콜들은 통신 링크에서 임시 고장을 검출 및 보상하도록 관례적으로 설계된다. 수많은 윈도 기술들 및 응용 프로그램 레벨 지식들은 특히 전술 네트워크 환경들에서 종종 사용되어 링크의 비 신뢰성을 고려할 수 있다. 일시적 링크에 대한 합리적인 효과가 고장 나서 불안정한 동안, 이 고 레벨 기술들은 악성 장애들에 대하여 완전히 비 효과적일 수 있다. 사실상, 적당히 시간을 맞추어 조정될 때 종래의 에러 정정 및 전송 기술들은 공격의 효과들을 증폭 또는 가능하게 하여 자체 기반시설에 대하여 사용될 수 있다. 이러한 시나리오의 종류에 대하여 다중 링크 조정 알고리즘이 제공됨으로써 노드들이 중복 링크들을 전후 관계로 사용하는 것을 허용하므로 이러한 공격들의 급수를 완화할 수 있다.
[00115] 접근방법은 중복 물리 링크들의 수집으로서 구현되는 논리 링크를 생성하는 개념에 집중된다. 예를 들어, 도 12에 예시되며 네트워크 환경에서 통신하고 있는 두 개의 호스트 연산 장치들(1201)을 나타내는 종래의 시나리오를 고려해 보자. 각 호스트는 다른 호스트 연산 장치들에서 응용 프로그램들을 가지고 통신하는 하나 이상의 소프트웨어 응용 프로그램들(1202)을 실행한다. 이 예에서 호스트들 상에서 실행하는 응용 프로그램들은 두 링크들(eth0, eth1)에 의해 데이터를 통신할 수 있다. 링크들은 비 장애일 것으로 가정하지만 동일한 용량 또는 심지어 동일한 네트워크에서 동작할 필요는 없다. 이 예시적인 시나리오에서, 각 호스트 연산 장치 상의 응용 프로그램들은 그들이 결속되는 인터페이스, 링크들의 이용성, 및/또는 발신기 측의 운영 체제가 각 인터페이스를 등록한 순서에 기초하여 정보를 교환한다.
[00116] 상술한 시나리오에서, 응용 프로그램이 인터페이스들 중 하나(예를 들어, eth0)와 연관된 주소에 결속되는 경우를 고려하자. 정상적인 상황하에서, 송신 응용 프로그램은 eth0 인터페이스(이 도면에서, 수신기 측에서 인터페이스(eth0)에 접속되는 링크에 상응함)를 통해 데이터를 송출할 필요가 있을 것이다. 대안적으로, 응용 프로그램들은 송신 응용 프로그램이 사용할 링크들 중 하나를 선택할 경우 모든 인터페이스들에서 사용할 수 있다. 어느 상황도 네트워크 상의 공격들을 완화할 목표로 이상적이지 않다.
이제, 도 13을 참조하면, 여기서 설명되는 바와 같은 SCNM 시스템에서의 통신들을 관리하기 위한 양호한 장치가 도시되어 있다. 각 호스트 연산 장치(101)는 상술한 바와 같이 적어도 하나의 응용 프로그램(502)을 실행한다. 호스트 연산 장치는 네트워크 노드(102)에 상존하는 보안 핵심(300)과 통신하며 또한 상술한 바와 같이 통신 인터페이스 관리자(communication interface manager: CIM)(504)를 더 포함한다. CIM은 다중 물리 층 링크들(1304, 1306)을 CIM에 의해 관리되는 단일 논리 링크(1302) 내로 유리하게 추상한다. 결과적으로 소프트웨어 응용 프로그램들(502) 상의 응용 프로그램 결속들과 무관하게 CIM은 데이터 전송을 위한 최상의 링크를 선택하고, 또한 두 링크들(1304, 1306)의 장점을 취하여 필요할 때 호스트 연산 장치들 간의 프레임들의 전송을 효과적으로 분할할 수 있다.
본 발명의 일 양태에 따르면, 링크들은 용량 최대화, 신뢰성, 또는 적응성 데이터 전송을 지원하도록 CIM(504)에 의해 관리될 수 있다. 다중 링크 관리 기술들은 본 기술 분야에서 공지되어 있다. 그러므로 여기서 상세히 설명되지 않는다. 그러나 SCNM의 목표를 위해, 여기서 설명되는 링크 관리 능력은 링크들(1304, 1306)을 관리하는 것을 포함하고 있어, 그에 의해 적응성 링크 중단 네트워크 공격들이 의심 또는 예상되는 조건들하에서 복수의 이용 가능한 링크들을 사용하여 완전 중복 전송 모드를 제공할 수 있다.
링크가 노드들 간 통신의 완전 중복 전송을 제공하기 위해 관리되는 조건하에서, 응용 프로그램(502)으로부터 수신된 각각의 프레임이 모든 링크들(1304, 1306) 상에 동시에 중복하여 전송된다. 비 간섭 링크들(1304, 1306) 간 중복 전송은 인지 전파 방해기가 통신 흐름을 선택적으로 방해하여 시스템에서 불안정을 야기하기 어렵게 만든다.
링크들을 중복으로 사용하는 단점은 링크(1302)의 전체 용량의 감소이다. 두 링크들 간의 모든 프레임들을 중복함으로써, 전체 논리 용량이 링크들의 최소 대역폭에 의해 제한된다. 그러므로 본 발명의 일 양태에 따르면, CIM은 사용가능 링크들(1304, 1306)을 유리하게 사용하여 가능할 때 용량을 최대화하고 또한 필요할 때 신뢰성을 최대화할 수 있다. 특히, CIM(504)은 통신 조건 변화로서 용량 또는 신뢰성을 최대화하도록 다중 중복 링크들을 사용함으로써 각 통신 상황에 동적으로 응답한다. 이에 관하여, 관리되는 링크들(1304, 1306) 간의 용량 또는 유사성에 관하여 요구 조건들이 없음을 주목해야 한다. 이러한 목표를 위해, CIM에 의해 사용되는 다중 링크 알고리즘은 상이한 링크들에 대하여 부하 평형, 및 링크들의 완전 동기화를 유리하게 지원하여 용량 또는 신뢰성을 최대화할 수 있다.
또 각 네트워크 노드에서 CIM(504)은 적응성 광 대역 전파 방해기들의 유효성을 감소하도록 타이밍 옵셋으로 각 링크 상에 프레임들을 유리하게 전송할 수 있다. 다시 말하여, 동일한 프레임은 약간 상이한 시간(오히려 동기화되기 보다)에서 상이한 링크들 상에 보내질 수 있으므로 결국 적응성 광 대역 전파방해기는 양자 프레임들에 장애를 야기할 가능성이 적을 수 있다.
토폴로지 제어
CIM(504)에 의해 구현되는 제3 레벨의 방어는 토폴로지 제어에 기초한다. 이러한 상황에서 토폴로지 제어의 목표는 SCNM 기반시설이 네트워크의 물리 토폴로지의 넓은 변화를 갖는 국부적인 위협들에 응답하도록 허용하기 위한 것이다. 네트워크 토폴로지 관점으로부터 네트워크 관리를 위한 분산된 조정 알고리즘들을 지원 또는 보완하기 위해 사용될 수 있는 적어도 두 레벨들의 제어가 있다. 제1 레벨에서 물리 네트워크 토폴로지는 노드들 간에 특정 링크들을 확립한다. 네트워크의 물리적 토폴로지는 많은 변수들의 함수로서 접속성 설정들, 노드들의 지리적 분포, 이동성, 및 환경 효과들을 포함한다. 인지 네트워크 관리에서, 송신기들 및 수신기들(전송 파워, 파형들, 지향성, 등과 같음)의 물리적 특성들의 일부는 또한 종종 물리적 토폴로지를 제어하도록 조작되는 경우이다.
제2 레벨의 토폴로지 제어는, 상이한 노드들이 응용 프로그램들에 의해 사용될 이웃 노드들 간의 정의된 고 레벨 경로들에 의해 특정 링크들을 통하여 통신들을 선호하도록 선택될 때, 네트워크 층에서 일어난다. 이 경우에, 네트워크 층은 데이터 흐름들을 위한 더 넓은 경로들, 즉 주어진 로컬 링크 조건들을 식별하기 위해 사용된다. OSI 층(3)(네트워크 층)에서 토폴로지 관리는 전송이 로컬 레벨에서 발생하는 방식에 악영향을 주지 않는다는 것을 주목하는 것이 중요하다. 즉, 경로들이 정의되는 방법에 불구하고, 로컬 전송은 언제나 로컬 RF 토폴로지의 특성들에 따라 일어난다.
본 발명의 일 양태에 따르면, SCNM에 의해 구현되는 반응 토폴로지 제어 알고리즘은 CIM을 사용하여 시스템 요건들 및 연산 상황에 기초하여 a) 메쉬 토폴로지, b) 트리(tree) 토폴로지, 및 c) 3개 이상의 목표 토폴로지들 점대점(p2p) 토폴로지를 포함하여, 적어도 3 타입의 토폴로지들을 구성할 수 있다. 도 14A 내지 도 14C에서, 제안된 토폴로지들 각각이 예시된다. 메쉬 토폴로지, 트리 토폴로지, 및 점대점 토폴로지들은 필요할 때 각각 SCNM에 의해 구성될 수 있다. 특히, 위협이 감지될 때, SCNM은 각 노드에서 CIM을 사용할 수 있어 그에 의해 상이한 토폴로지에 유리하게 토폴로지들 중 현재 사용 중에 있는 임의 것을 동적으로 분해 및 재조립할 수 있다.
예시적인 실시 예에서, 토폴로지 관리 구현은 물리적 레벨에서 상이한 토폴로지들을 확립하도록 송신기 파워 및 송신 주파수의 조합을 제어하도록 CIM을 사용할 수 있다. 그러나, 본 발명은 이에 관하여 제한되지 않으며, 임의 적당한 방법이 여기서 설명되는 바와 같은 상이한 토폴로지들을 조립하기 위해 사용될 수 있다. 공격자의 관점에서, 토폴로지의 변화는 예를 들어, 네트워크에서의 절충된 노드에 의해 개시되는 국부적인 공격들을 방해할 수 있다. 게다가 국부적인 전파방해 공격들, 및 토폴로지에서 동작하는 특정 명령 및 제어 구조를 탐지하는 조정된 도청을 유리하게 방해할 수 있다.
예시적인 방어 조정 시나리오
전술한 설명으로부터 여기서 설명되는 본 발명의 장치들은 강력한 보안 기반시설을 제공하도록 플랫폼 특정 이벤트들과 프로토콜 관련 영향들 간의 유일한 층간 상호관계를 이용하는 것을 이해할 것이다. 종래의 보안 환경은 통신 프로토콜 스택의 더 높은 층들에서 주목되는 영향들에 반응한다. 예를 들어, 만일 통신 노드가 패킷들을 잘못 라우팅하거나 또는 이전에 거의 사용되지 않은 라우팅 노드를 선호하도록 경로들을 폐기 및 경로들을 변경하기 시작할 경우, 이러한 이상 현상들을 검출하는 보안 소프트웨어에 관심을 둘 수도 있다. 보안 소프트웨어는 이 작용들이 전송 용량의 낭비를 나타내고 또한 서비스 공격의 분산된 거부로서 그 효과를 표시(flag)할 수도 있음을 인식한다. 그러나 그 결과 하나 이상의 노드들이 절충되었고, 손상이 이루어졌고 또한 잘못된 네트워크 노드(들)의 격리를 상대적으로 긴 시간 취한다. 더 정교한 보안 분석 도구들은 이러한 효과들을 야기한 이벤트가 취약한 노드 상의 코드 주입 공격이었던 것으로 추후 판정할 수도 있다.
이러한 상황에 대한 응답은 IP 어드레스 호핑과 같은 회피 작용들로 선회하는 것이다. 그러나 그러한 혼란스러운 응답들은 보안 관리 영역 내에서 시간 또는 이벤트 분석에 관계없이 모든 노드들에 거의 항상 적용된다. 따라서 전체 시스템은 심지어 통신 노드들의 다수가 공격 없이 그대로 있더라도 회피 기동들을 채용할 시에 총괄 가격을 지불한다. 대조적으로 여기서 설명되는 솔루션은 이벤트들의 고지를 사용하여 층들 간 및 노드들 간 응답들을 선택적으로 트리거할 수 있다.
도 15에는 여기서 설명되는 바와 같은 SCNM이 공격들을 저지하기 위한 신규한 능력을 어떻게 생성하는지의 일 예가 도시되어 있다. 102c가 임무 기준 노드인 노드들의 집합(102a-102j)을 고려해보자. 네트워크 노드(102a)는 네트워크 노드(102e)를 행할 때 임무 성공을 위해 102c와 통신할 필요가 있다. 노드들(102b 및 102d)은 임계 경로를 따른다. 노드들(102f, 102g, 102h 및 102j)은 모두 메쉬 통신 네트워크에 있지만 현재 임계 경로를 따르지 않는다. 네트워크 노드(102a 또는 102e) 내의 보안 핵심(300)이 코드 주입 시도를 포착하여 분산된 SCNM 기반시설에 통지하는 것을 가정하자. SCNM 기반시설은 네트워크 노드(102c)가 중요한 노드이고 또한 그의 관리된 소스 노드들(102b 및 102e)로부터의 링크들이 중요함을 알게 되었다. 도 9 내지 도 11에 따라 수행되는 네트워크 최적 분석에 기초하여 SCNM은 노드들(102b, 102c 및 102d)이 인식된 네트워크 위협들에 대한 그들의 감도를 증가시켜야 한다는 것을 결정한다. 다시 말하여, 정상 조건하에서 위협이 인식되지 않을 때 라우팅 동작은 폐기되거나 또는 라우팅되는 패킷들의 발생을 수용하기 위한 더 높은 임계값으로 계속할 수도 있다. 그러나 먼 네트워크 노드(예, 네트워크 노드(102a 또는 102e)의 더 낮은 층에서 이벤트 또는 이벤트들이 높은 경고에 있을 그리고 악의적인 공격들로 인하여 임의 영향들에 대한 저항성을 잠재적으로 강화할 분산된 엔티티들의 네트워크를 통한 응답을 트리거할 수 있다. 물리 층 플랫폼 트랩들이 발생된 노드들에 인접하는 노드들(102f 및 102j)은 SCNM에 의해 효과 내성의 중간 레벨로 검출된다. 노드들(102g 및 102h)은 경고들에 의해 영향을 받지 않는다. 그들은 현재 잠재적인 위협 경로의 일부가 아니다. 전술로부터 본 발명의 장치들은 현재 인식된 위협 상황에 의해 영향 받지 않는 노드들 간의 가능한 최상의 접속성 및 트래픽 용량을 유지하면서 공격들에 대한 변조된 응답을 허용함을 이해할 것이다.
전술한 예에서 한 지점까지, 우리는 처음부터 즉, 기본 이벤트들로부터 네트워크 상의 그러한 이벤트들의 인식된 효과들까지 이벤트들과 효과들 간의 층간 상호관계를 고려하였다. 그러나, 본 발명은 또한 부가 보안 메커니즘으로서 역방향을 이용한다. 효과 환경의 상부 층 모델링에 가치가 있다. 또 효과 환경에서 변화들의 인식은 보안 핵심의 이벤트 수평선에 분명하게 들어가 있지 않은 공격 이벤트를 검출할 수도 있다. 예를 들어, 배포된 전술 또는 비상 서비스 네트워크는 한 패턴의 동작으로서 볼 수 있는 방식으로 동작한다. 이동 노드들은 캐노피 안으로 가고 또한 밖으로 가서, 건물들에 의해 차단될 수도 있고, 또한 지형으로 인한 가시선 응시 접속성을 상실할 수도 있다. 모든 이러한 물리적 행태들은 패킷 재전송의 패턴을 생성하고 또한 및 라우팅 상태를 갱신한다. 이 효과들의 모델은 네트워크 층에서 유지된다. 동작하는 동안 심지어 응용 프로그램 층 변화들(현재의 동작들로 인하여 영상이 음성보다 우월할 때, 등)이 네트워크 트래픽 모델에 영향을 주더라도, 노드 생성 및 이 영향들은 "보정"으로서 메모리에 유지된다.
만일 노드들이 정상이고 또한 모델 행태가 불리하게 변경되면, 노드는 보안 핵심(300)에 의해 포착되지 않는 공격 벡터의 표시를 가질 수도 있다. 만일 노드들이 이동 중에 있지만 모델이 학습 패턴을 따르지 않으면, 이는 또한 미지 타입의 공격을 표시할 수도 있다. SCNM의 상부 층 분산 구성요소들은 가능한 공격의 노드 내의 보안 핵심(300)을 변경할 수 있다. 이 경우에, 시스템은 새로운 저 레벨 업적이 하나 이상의 노드들을 절충하였다는 결론에 이를 수도 있다. 이것이 보안 핵심의 NLEDM(512)에서 사용되는 기존 이벤트 트랩 목록의 일부는 아니지만, 노드들은 격리될 수 있고 또한 장래의 코어를 위해 고지된 업적이 갱신될 수 있다.
전술로부터 본 발명의 장치들은 층간 행태의 장점을 취하기 위한 이중 처리 장치 학습(인식) 방법의 사용을 포함한다. 우선 이벤트들 및 효과들의 관측들을 맞추도록 시스템 동작을 모델링한다. 따라서 소정의 공격 타입들이 통신 프로토콜 스택의 범위에 걸친 효과들을 야기할 때 모델은 이벤트들과 상호관계한다. 둘째, 모델은 시스템의 다음 상태를 예상한다. 중요한 경로 트래픽 시나리오들에서, 재전송의 소정 레벨은 통계적으로 예상된다. 이 레벨이 변화하면, 시스템의 다음 상태가 무엇인지 예상하지 못한다. 따라서 모델은 분산된 처리기의 분산된 구성요소들에 의해 고지되고 또한 각 노드에서 보안 핵심으로 하향 귀환될 프로토콜 스택의 더 고 레벨 층들에서 고지된 조건들을 허용한다. 개별 보안은 상부 층 패턴 인식으로 인한 잠재적인 문제들을 고지하는 네트워크 노드(102)에서 처리한다.
본 명세서 전체에 걸쳐 특징들, 장점들, 또는 유사한 문구에 대한 참조는 본 발명으로 실현될 수도 있는 모든 특징들 및 장점들이 본 발명의 임의 단일 실시 예에 있거나 있어야 하는 것을 암시하지 못한다. 오히려, 특징들 및 장점들을 언급하는 문구는 실시 예와 관련하여 설명되는 특정 특징, 장점, 또는 특성이 본 발명의 적어도 하나의 실시 예에 포함되는 것을 의미하는 것으로 이해된다. 따라서 본 명세서 전체에 걸쳐 특징들 및 장점들에 관한 설명 및 유사한 문구는 동일한 실시 예를 언급할 수도 있다. 그러나 반드시 그런 것은 아니다.
이제, 도 16을 참조하면, 보안 핵심(300)에서 수행되는 소정 작용들을 이해하기 위해 유용한 흐름도가 도시되어 있다. 처리는 1602에서 시작하여 1603으로 계속되고, 여기서 노드는 통신 스택의 더 고 레벨 층들에서 고지된 공격들의 네트워크 레벨 효과들을 검출하기 위한 작용들을 수행한다. 이 작용들은 처리기(306)에 의해 네트워크 노드(102)에서 수행될 수 있다. 그러한 검출된 효과들은 통신 노드가 이전에 거의 사용되지 않은 라우팅 노드를 선호하도록 패킷들을 잘못 라우팅하고, 경로들을 폐기하고 또한 경로들을 변경하기 시작하는 사례들을 포함할 수 있다. 이와 같은 효과들은 네트워크 상에서 진행되고 있는 공격, 예를 들어, 전파방해 공격의 출현을 나타낸다. 보안 핵심은 그러한 작용들이 전송 용량을 심각하게 낭비하고 있으며, 또 서비스 공격의 분산된 거부와 같은 효과를 표시하는 것을 인식할 수 있다.
1604에서, 보안 핵심은 노드의 내부 동작들 또는 기능들을 방해하도록 의도된 노드 레벨 공격의 가능한 발생을 나타내는 기계 또는 명령 레벨 이벤트들을 검출하기 위한 작용들을 수행한다. 이 작용들은 NLEDM(512)을 사용하여 수행될 수 있다. 비록 단계들(1603 및 1604)은 일련으로 수행되는 것으로 보이고 있지만, 기계 또는 명령 레벨 이벤트들의 검출이 네트워크 통신들의 모니터링과 동시에 수행되어 공격들의 네트워크 레벨 효과들을 검출할 수 있음을 이해해야 한다.
1606에서, 이벤트가 노드 레벨 공격을 나타내는 기계 또는 명령 코드 레벨에서 검출되었는지에 대한 결정이 수행된다. 만일 그렇다면, 처리는 1608로 계속하고; 그렇지 않으면 처리는 1618로 계속한다. 1608에서 발생된 이벤트 또는 이벤트들이 소정 작동 네트워크 노드(102)에 의해 요구되는 종류 또는 주파수인지에 대한 결정이 수행된다. 만일 아니면(1608: 아니오), 처리는 1603으로 복귀되어 네트워크 통신들 및 노드 이벤트들의 모니터링이 계속될 수 있다.
만일 이벤트 또는 이벤트들이 종류 또는 주파수로서 네트워크 노드(102)가 공격이 잠재적 위협 또는 보안 위험인 것으로 결정하면(1608: 예), 처리는 단계 1612로 계속하여 여기서 이벤트 또는 이벤트들이 노드에서 로컬 방어 작용을 요구하는지에 대한 결정을 수행하다. 만일 그렇다면(1612: 예), 네트워크 노드(102)의 보안 핵심은 1614에서 노드에서의 소정 방어 작용들을 구현할 것이다. 노드에서의 이러한 로컬 방어 작용들을 구현하기 위한 결정은 분산된 SCNM 기반시설의 포함을 요구하지 않는다.
단계(1618)에서, 임의 검출된 네트워크 레벨 효과들 및/또는 노드 레벨 이벤트들이 분산된 SCNM 기반시설에 보고되어야 하는지에 대한 결정이 수행된다. 만일 예이면(1618: 예), 제어 채널 통신들은 그러한 발생을 통신 또는 보고하도록 보안 핵심(300)에 의해 사용된다. 그 다음 처리는 1622로 계속하여, 여기서 노드의 보안 핵심은 분산된 SCNM 기반시설이 노드 구성 설정들을 갱신했는지를 결정하도록 점검할 것이다. 그러한 갱신된 노드 구성 설정들은 도 7 내지 도 11과 관련하여 여기서 설명되는 바와 같은 처리에 따라 SCNM 기반시설에 의해 결정될 수 있다. 만일 결정이 1624에서 행해져 갱신된 노드 구성 설정들이 구체화되면(1624: 예), 노드 구성은 1626에서 갱신된다. 그 후 처리는 1603으로 복귀되어 모니터링 동작들을 계속 한다.
여기서 주목해야 하는 것은 네트워크가 상이한 노드 구성 설정들(상이한 방어 설정들을 포함함)을 갖도록 갱신될 수도 있다는 것이다. 이러한 상이한 구성들은 인지 네트워크(104)의 임무 요건들에 따라 분산된 SCNM 기반시설에 의해 네트워크 노드(102)마다 선택 및/또는 최적화될 수 있다.
갱신된 노드 구성 설정들은 노드가 소정 고 레벨 방어 작용들을 구현하게 할 수 있다. 이러한 방어 작용들은 여기서 설명되는 바와 같은 임의 방어 고 레벨 네트워크 알고리즘들의 구현을 포함할 수 있다. 이러한 고 레벨 방어 작용들은 네트워크의 일부만을 포함하는 전체 통에 또는 복수의 노드들을 포함할 수 있다. 예를 들어, 네트워크에서 선택된 노드들은 (1) 다중 층 어드레스 호핑, (2) 네트워크 및 링크 인터페이스 이동, 및/또는(3) 고 레벨 네트워크 공격들에 대해 방어하기 위한 동적 토폴로지 관리 알고리즘들을 구현하도록 재구성될 수 있다. 다른 고 레벨 방어 알고리즘들은 제한 없이 가능하다.
갱신된 노드 구성은 또한 노드가 저 레벨(노드 레벨) 방어 작용들을 구현하게 할 수 있다. 그러한 저 레벨 방어 작용들은(1) 검출되는 기계 레벨 이벤트들의 수 및/또는 타입들을 변화시키는 단계, (2) 특정 이벤트가 위협인지를 결정할 때 1608에서 적용되는 위협 평가 임계 레벨을 수정하는 단계, (3) 위협들로 간주하는 이벤트들에 응답하여 1612에서 구현되는 로컬 방어 작용들의 수 및/또는 타입들을 수정하는 단계, 및/또는 (4) 이벤트들/효과들이 분산된 SCNM 기반시설에 보고되어야 할 때를 결정하는 목표들을 위해 1618에서 적용되는 평가 처리를 변화시키는 단계를 포함할 수 있다.
본 발명의 일 양태에 따르면, 여기서 설명되는 바와 같은 네트워크에 의해 검출되어 그에 작용하는 노드 레벨 이벤트들은 네트워크 통신 영역과 연관되는 이벤트들의 제외하는 명령 집합 레벨 이벤트들을 포함하도록 유리하게 선택된다. 다시 말하여, 여기서 설명되는 적응 네트워크는 명령 레벨에서 발생하는 이벤트들을 포함하여 노드 레벨 이벤트들에 응답하며, 이는 네트워크 통신들의 정상 영역을 벗어나 있다. 이 이벤트들은 그들이 네트워크 통신들과 통상적으로 연관된 기능들 또는 처리들에 상응하지 않을지라도 분산된 SCNM 기반시설에 의해 지시기들 및/또는 트리거로서 유리하게 사용된다.
여기서 사용되는 바와 같이 네트워크 영역은 일반적으로 두 시스템들 간의 통신의 모든 양상들을 포함한다. 즉 네트워크 통신 영역은 실제 네트워크 통신 스택 및 연관된 네트워크 하드웨어뿐만 아니라 통신 영역 내의 이벤트들을 취급하는 것에 응답하여 실행하는 기계 코드 요소들을 포함한다. 네트워크 통신 영역과 연관되는 기능들 및 처리들에 지향되는 노드 레벨 공격들은 자연적으로 여기서 설명되는 적응 응답들을 트리거링 및 정형할 목표로 분산된 SCNM 기반시설에 알리기 위해 사용될 것이다. 그러나 여기서 본 발명의 장치들은 거대 또는 네트워크 레벨의 적응 네트워크 응답들을 트리거 및 정형하는 이벤트들이 네트워크 통신 영역과 관련 없는 이벤트들을 포함할 수 있는 한 더 진행한다.
네트워크 통신들의 범위 또는 영역 밖의 명령 레벨 이벤트들은 네트워크 관련 위협들의 조기의 효과적인 지시들을 제공할 수 있다. 명령 레벨 이벤트들의 예들은 이례적인 위치들에 대한 호출 기능, 메모리에 대한 액세스, 또는 데이터를 실행하기 위한 시도들일 수 있다. 그러나 이들로 제한되지 않는다. 이 이벤트들은 통신 영역 내에서 발생할 수 있지만 우리는 또한 통신 영역에 직접 관련되지 않고 또한 네트워크 데이터의 처리 단계를 포함하지 않는 기계 레벨 명령들에서 이 이벤트들을 관찰할 수 있다. 예를 들어, 패킷들이 네트워크 인터페이스에 도달할 때 이 패킷들을 취급하는 단계 및 그들의 내용을 처리하는 단계와 연관되는 기계 코드가 있다. 본 발명에서, 상술한 바와 같이 이벤트들은 통신 영역과 연관되는 이 기계 코드의 외부에서 발생할 수 있으며, 또한 네트워크 영역 내의 변화들을 여전히 구동할 수 있다.
본 발명의 설명된 특징들, 장점들 및 특성들은 하나 이상의 실시 예들에서 임의의 적합한 방식으로 조합될 수도 있다. 당 업계의 숙련자는 여기의 설명에 비추어 본 발명이 특정 실시 예의 하나 이상의 특정 특징들 또는 장점들 없이 실시될 수 있음을 인식할 것이다. 다른 예들에서, 부가 특징들 및 장점들은 본 발명의 모든 실시 예에 존재하지 않을 수도 있는 소정 실시 예들에서 인식될 수도 있다.
본 명세서 전체에 걸친"일 실시예", "실시예", 또는 유사한 문구에 대한 참고는 지시된 실시 예와 관련하여 설명되는 특정 특징, 구조, 또는 특성이 본 발명의 적어도 하나의 실시 예에서 포함되는 것을 의미한다. 따라서, 본 명세서 전체에 걸쳐 문구 "일 실시예에서", "실시예에서", 및 유사한 문구는 모두 동일 실시 예를 말할 수도 있다. 그러나 반드시 그렇지는 않다.
본 문서에서 사용되는 바와 같이, 단수 형태 "일", "한", 및 "그"는 그 문맥이 명백하게 다른 것을 나타내지 않는 한 복수를 포함한다. 달리 한정하지 않는 한 여기서 사용되는 모든 기술 및 과학 용어들은 당 업계에서 통상의 지식을 가진 자에 의해 공통적으로 이해되는 것과 동일한 의미를 갖는다. 본 문서에서 사용되는 바와 같이 용어 "포함하는"은 "내포하는"을 의미한다. 그러나 그것으로 제한되지 않는다.
여기서 개시되고 청구되는 모든 장치들, 방법들, 및 알고리즘들은 본 개시에 비추어 실험 없이 제조 및 실행될 수 있다. 본 발명은 양호한 실시 예들에 의해 설명되었지만, 본 기술 분야에 숙련자들은 장치, 방법 및 그 방법의 단계들의 순서에 본 발명의 개념, 정신 및 범위에서 벗어나지 않는 범위 내에서 변경가능 하다는 것은 자명할 것이다. 특히, 동일 또는 유사한 결과를 달성하지만 여기서 설명되는 구성요소들에 소정의 구성요소들을 부가하거나, 조합하거나 또는 치환할 수도 있음이 자명할 것이다. 모든 그러한 유사한 치환 및 수정들은 정의된 바와 같이 본 발명의 정신, 범위 및 개념 내에 있는 것으로 간주된다.

Claims (10)

  1. 분산 추상 레벨들에 걸친 조정을 행사하는 분산된 기반시설을 사용하여 적대적 공격으로부터 통신 네트워크를 방어하기 위한 방법에 있어서,
    통신 네트워크를 포함하는 복수의 노드 연산 장치들 각각에서, 상기 노드 연산 장치의 상기 내부 동작을 직접 방해하는 잠재력을 갖는 것으로 알려진 기계 코드 레벨에서 발생하는 적어도 하나의 노드 이벤트를 검출하도록 저장된 이벤트 목록을 사용하는 단계;
    상기 복수의 네트워크 노드들 중 하나에서 상기 적어도 하나의 노드 이벤트를 검출하는 것에 응답하여, 상기 통신 네트워크를 포함하는 복수의 네트워크 노드들을 포함하는 최적 네트워크 레벨 방어 작용을 자동 선택적으로 결정하는 단계;를 포함하며,
    상기 네트워크 레벨 방어 작용은 상기 적어도 하나의 검출된 노드 이벤트 및 상기 네트워크를 위해 확립된 알려진 통신 요건들의 집합에 기초하며, 그리고
    상기 적어도 하나의 노드 이벤트는 네트워크 통신 영역 내의 이벤트를 배제하는 것을 특징으로 하는 방법.
  2. 제1항에 있어서,
    상기 네트워크 통신 영역은 상기 네트워크 통신 스택, 상기 네트워크 통신 스택과 전용으로 연관되는 하드웨어 요소들, 및 상기 통신 스택에 전용으로 속하는 이벤트들을 취급하는 복수의 기계 코드 요소들을 포함하는 것을 특징으로 하는 방법.
  3. 제1항에 있어서,
    상기 적어도 하나의 노드 이벤트가 상기 알려진 통신 요건들의 계속된 만족을 보장하기 위해 네트워크 레벨 방어 작용을 요구하지 않는지를 검출한 노드만에 영향을 주는 노드 레벨 방어 작용을 자동 선택적으로 구현하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  4. 제1항에 있어서,
    상기 복수의 노드 연산 장치들에서 상기 통신 네트워크를 위한 네트워크 동작의 패턴을 나타내는 동적 모델을 유지하는 단계;
    상기 동적 모델을 사용하여 실제의 네트워크 레벨 이벤트들을 예상되는 네트워크 레벨 이벤트들의 범위와 비교하는 단계; 및
    상기 실제 네트워크 레벨 이벤트들이 예상되는 네트워크 레벨 이벤트들의 범위와 일치하지 않을 때 상기 적어도 하나의 노드 이벤트에 응답하여 수행되는 노드 레벨 방어 작용을 선택적으로 수정하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  5. 제4항에 있어서,
    검출된 상기 노드 이벤트에 응답하여 상기 예상되는 네트워크 레벨 이벤트들의 범위를 선택적으로 감소하는 단계를 더 포함하며, 그에 의해 상기 네트워크는 상기 적어도 하나의 노드 이벤트가 검출될 때 네트워크 성능의 예상하지 못한 변화들에 대하여 더 민감하게 이루어지는 것을 특징으로 하는 방법.
  6. 제1항에 있어서,
    상기 노드 연산 장치에서의 처리 작용들은 코드 주입 공격에 대하여 저항하는 컴퓨터 하드웨어 구현을 전용으로 사용하여 수행되는 것을 특징으로 하는 방법.
  7. 제1항에 있어서,
    상기 노드 연산 장치에서 적어도 하나의 노드 이벤트를 검출하는 것에 응답하여 다음의 검출된 노드 이벤트들에 대한 하나 이상의 상기 노드 연산 장치들의 예정된 방어적 반응을 자동 선택적으로 수정하는 단계를 포함하는 것을 특징으로 하는 방법.
  8. 분산 추상 레벨들에 걸쳐 조정을 행사하는 분산된 기반시설을 사용하여 적대적 공격으로부터 자신을 방어하는 통신 네트워크에 있어서,
    통신 네트워크를 포함하는 복수의 노드 연산 장치들; 각 장치는 상기 노드 연산 장치의 상기 내부 동작을 직접 방해하기 위한 잠재력을 갖는 것으로 알려진 기계 코드 레벨에서 발생하는 적어도 하나의 노드 이벤트를 검출하도록 저장된 이벤트 목록을 각각 사용하고,
    상기 복수의 네트워크 노드들 중 처음 하나에서 상기 적어도 하나의 노드 이벤트를 검출하는 것에 응답하며, 또한 상기 통신 네트워크를 포함하는 복수의 네트워크 노드들을 포함하는 최적 네트워크 레벨 방어 작용을 자동 선택적으로 결정하는 적어도 하나의 처리 장치;를 포함하고, 상기 네트워크 레벨 방어 작용은 상기 적어도 하나의 검출된 노드 이벤트 및 상기 네트워크를 위해 확립된 공지의 통신 요건들의 집합에 기초하며, 그리고
    상기 적어도 하나의 노드 이벤트는 네트워크 통신 영역 내의 이벤트를 배제하는 것을 특징으로 하는 통신 네트워크.
  9. 제8항에 있어서,
    상기 적어도 하나의 처리 장치는 상기 알려진 통신 요건들의 계속된 만족을 보장하기 위해 상기 적어도 하나의 노드 이벤트가 네트워크 레벨 방어 작용을 요구하지 않는지를 검출한 노드만에 영향을 주는 노드 레벨 방어 작용을 자동 선택적으로 구현하는 것을 특징으로 하는 통신 네트워크.
  10. 제8항에 있어서,
    상기 적어도 하나의 처리 장치는:
    상기 복수의 노드 연산 장치들에서 상기 통신 네트워크를 위한 네트워크 동작의 패턴을 나타내는 동적 모델을 유지하며;
    상기 동적 모델을 사용하여 실제 네트워크 레벨 이벤트들을 예상되는 네트워크 레벨 이벤트들의 범위와 비교하고;
    상기 실제 네트워크 레벨 이벤트들이 예상되는 네트워크 레벨 이벤트들의 범위에 일치하지 않을 때 상기 적어도 하나의 노드 이벤트에 응답하여 수행되는 노드 레벨 방어 작용을 수정하는 것을 특징으로 하는 통신 네트워크.
KR1020160023963A 2015-03-02 2016-02-29 보안 인지 네트워크에서의 층간 상호관계 KR101852965B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/635,064 2015-03-02
US14/635,064 US9729562B2 (en) 2015-03-02 2015-03-02 Cross-layer correlation in secure cognitive network

Publications (2)

Publication Number Publication Date
KR20160106505A true KR20160106505A (ko) 2016-09-12
KR101852965B1 KR101852965B1 (ko) 2018-04-27

Family

ID=55521325

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160023963A KR101852965B1 (ko) 2015-03-02 2016-02-29 보안 인지 네트워크에서의 층간 상호관계

Country Status (6)

Country Link
US (1) US9729562B2 (ko)
EP (1) EP3065376B1 (ko)
KR (1) KR101852965B1 (ko)
CN (1) CN105939331B (ko)
CA (1) CA2921517C (ko)
TW (1) TWI631843B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10798115B2 (en) 2017-05-29 2020-10-06 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious device based on swarm intelligence

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9729562B2 (en) 2015-03-02 2017-08-08 Harris Corporation Cross-layer correlation in secure cognitive network
WO2018030923A1 (en) * 2016-08-10 2018-02-15 Telefonaktiebolaget Lm Ericsson (Publ) Packet forwarding in a wireless mesh network
CN108024352A (zh) * 2016-11-03 2018-05-11 索尼公司 用于资源管理装置、数据库和对象的电子设备和方法
US10558542B1 (en) 2017-03-31 2020-02-11 Juniper Networks, Inc. Intelligent device role discovery
GB201706132D0 (en) * 2017-04-18 2017-05-31 Nchain Holdings Ltd Computer-implemented system and method
US10491481B2 (en) * 2017-04-28 2019-11-26 Dell Products L.P. Messaging queue topology configuration system
US10990682B2 (en) * 2017-12-18 2021-04-27 Nuvoton Technology Corporation System and method for coping with fault injection attacks
WO2019228832A1 (en) 2018-06-01 2019-12-05 Nokia Technologies Oy A method for message filtering in an edge node based on data analytics
WO2020015831A1 (en) * 2018-07-19 2020-01-23 Nokia Technologies Oy Environment modeling and abstraction of network states for cognitive functions
US10826756B2 (en) 2018-08-06 2020-11-03 Microsoft Technology Licensing, Llc Automatic generation of threat remediation steps by crowd sourcing security solutions
US10911479B2 (en) * 2018-08-06 2021-02-02 Microsoft Technology Licensing, Llc Real-time mitigations for unfamiliar threat scenarios
CN112956146A (zh) * 2018-09-27 2021-06-11 英特尔公司 协作无线电网络中的特征检测
KR20200041771A (ko) * 2018-10-12 2020-04-22 삼성전자주식회사 전력 특성을 고려한 메모리 시스템의 설계 방법, 상기 메모리 시스템의 제조 방법, 및 상기 메모리 시스템을 설계하기 위한 컴퓨팅 시스템
CN109194692A (zh) * 2018-10-30 2019-01-11 扬州凤凰网络安全设备制造有限责任公司 防止网络被攻击的方法
US11681831B2 (en) 2019-04-10 2023-06-20 International Business Machines Corporation Threat detection using hardware physical properties and operating system metrics with AI data mining
WO2021081575A1 (en) * 2019-10-30 2021-05-06 Dull Pty Ltd Method for data communication
CN110866287B (zh) * 2019-10-31 2021-12-17 大连理工大学 一种基于权重谱生成对抗样本的点攻击方法
US11891195B2 (en) * 2020-07-29 2024-02-06 The Boeing Company Mitigating damage to multi-layer networks
CN112346422B (zh) * 2020-11-12 2023-10-20 内蒙古民族大学 双蚁群智能对抗竞争实现机组作业调度方法
CN112702274B (zh) * 2020-12-24 2022-08-19 重庆邮电大学 战术瞄准网络技术中基于路由稳定性的跨层拥塞控制方法
CN112766865B (zh) * 2021-03-02 2023-09-22 河南科技学院 一种考虑实时订单的互联网电商仓储动态调度方法
CN113411235B (zh) * 2021-06-21 2023-11-07 大连大学 一种基于pso的未知协议数据帧特征提取方法
CN114928494A (zh) * 2022-05-24 2022-08-19 中国人民解放军国防科技大学 一种基于业务容量的网络攻击降效方法

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7069589B2 (en) * 2000-07-14 2006-06-27 Computer Associates Think, Inc.. Detection of a class of viral code
WO2002027426A2 (en) 2000-09-01 2002-04-04 Op40, Inc. System, method, uses, products, program products, and business methods for distributed internet and distributed network services
US7295956B1 (en) 2002-10-23 2007-11-13 Sun Microsystems, Inc Method and apparatus for using interval techniques to solve a multi-objective optimization problem
US7742902B1 (en) 2003-10-22 2010-06-22 Oracle America, Inc. Using interval techniques of direct comparison and differential formulation to solve a multi-objective optimization problem
US8019413B2 (en) 2007-03-19 2011-09-13 The Invention Science Fund I, Llc Lumen-traveling biological interface device and method of use
WO2006096854A2 (en) 2005-03-08 2006-09-14 E-Radio Usa, Inc. Systems and methods for modifying power usage
US20070192267A1 (en) 2006-02-10 2007-08-16 Numenta, Inc. Architecture of a hierarchical temporal memory based system
US7975036B2 (en) * 2006-05-11 2011-07-05 The Mitre Corporation Adaptive cross-layer cross-node optimization
US7664622B2 (en) 2006-07-05 2010-02-16 Sun Microsystems, Inc. Using interval techniques to solve a parametric multi-objective optimization problem
US8015127B2 (en) 2006-09-12 2011-09-06 New York University System, method, and computer-accessible medium for providing a multi-objective evolutionary optimization of agent-based models
US7899849B2 (en) * 2008-05-28 2011-03-01 Zscaler, Inc. Distributed security provisioning
CN102132590B (zh) 2008-08-25 2013-11-06 株式会社Ntt都科摩 发布系统、发布装置、终端装置以及方法
US8699430B2 (en) 2008-10-10 2014-04-15 The Trustees Of The Stevens Institute Of Technology Method and apparatus for dynamic spectrum access
US8660530B2 (en) 2009-05-01 2014-02-25 Apple Inc. Remotely receiving and communicating commands to a mobile device for execution by the mobile device
US8666367B2 (en) 2009-05-01 2014-03-04 Apple Inc. Remotely locating and commanding a mobile device
US8665724B2 (en) 2009-06-12 2014-03-04 Cygnus Broadband, Inc. Systems and methods for prioritizing and scheduling packets in a communication network
JP5522434B2 (ja) 2009-09-01 2014-06-18 アイシン精機株式会社 運転支援装置
GB2474748B (en) 2009-10-01 2011-10-12 Amira Pharmaceuticals Inc Polycyclic compounds as lysophosphatidic acid receptor antagonists
US8666403B2 (en) 2009-10-23 2014-03-04 Nokia Solutions And Networks Oy Systems, methods, and apparatuses for facilitating device-to-device connection establishment
US8112521B2 (en) * 2010-02-25 2012-02-07 General Electric Company Method and system for security maintenance in a network
US8665842B2 (en) 2010-05-13 2014-03-04 Blackberry Limited Methods and apparatus to discover network capabilities for connecting to an access network
US9305165B2 (en) * 2011-05-06 2016-04-05 The University Of North Carolina At Chapel Hill Methods, systems, and computer readable media for detecting injected machine code
US8332424B2 (en) 2011-05-13 2012-12-11 Google Inc. Method and apparatus for enabling virtual tags
US8665345B2 (en) 2011-05-18 2014-03-04 Intellectual Ventures Fund 83 Llc Video summary including a feature of interest
US9122993B2 (en) 2013-01-30 2015-09-01 Harris Corporation Parallel multi-layer cognitive network optimization
US9147164B2 (en) 2013-01-30 2015-09-29 Harris Corporation Sequential multi-layer cognitive network optimization
CN103973702A (zh) * 2014-05-23 2014-08-06 浪潮电子信息产业股份有限公司 基于改进的粒子群算法的信息安全防御规则智能部署方法
US9729562B2 (en) 2015-03-02 2017-08-08 Harris Corporation Cross-layer correlation in secure cognitive network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10798115B2 (en) 2017-05-29 2020-10-06 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious device based on swarm intelligence

Also Published As

Publication number Publication date
US20160261615A1 (en) 2016-09-08
CN105939331B (zh) 2018-07-03
KR101852965B1 (ko) 2018-04-27
EP3065376A1 (en) 2016-09-07
CA2921517C (en) 2018-01-16
TW201707425A (zh) 2017-02-16
CA2921517A1 (en) 2016-09-02
TWI631843B (zh) 2018-08-01
CN105939331A (zh) 2016-09-14
US9729562B2 (en) 2017-08-08
EP3065376B1 (en) 2017-09-27

Similar Documents

Publication Publication Date Title
KR101852965B1 (ko) 보안 인지 네트워크에서의 층간 상호관계
Rahman et al. Smartblock-sdn: An optimized blockchain-sdn framework for resource management in iot
Srinidhi et al. Network optimizations in the Internet of Things: A review
Moura et al. Fog computing systems: State of the art, research issues and future trends, with a focus on resilience
Ridwan et al. Applications of machine learning in networking: a survey of current issues and future challenges
Roberts et al. An improved high performance clustering based routing protocol for wireless sensor networks in IoT
Vatambeti A novel wolf based trust accumulation approach for preventing the malicious activities in mobile ad hoc network
Sharma et al. QSec-RPL: detection of version number attacks in RPL based mobile IoT using Q-learning
Geepthi et al. RETRACTED ARTICLE: Network traffic detection for peer-to-peer traffic matrices on bayesian network in WSN
Bhattasali et al. Lightweight hierarchical model for HWSNET
Singh et al. Capitulation of mitigation techniques of packet drop attacks in MANET to foreground nuances and ascertain trends
Sandhu et al. Enhancing dependability of wireless sensor network under flooding attack: a machine learning perspective
Talpur et al. Adversarial attacks against deep reinforcement learning framework in Internet of Vehicles
Ashraf et al. Toward autonomic internet of things: Recent advances, evaluation criteria, and future research directions
Priyadarshini et al. Invalidation of tunnelling attacks in ubiquitous IoT & wireless sensor enviroment using ML methods
Kumar et al. Software defined networks (SDNs) for environmental surveillance: A Survey
Chadli et al. Combination of Hierarchical and Cooperative Models of an IDS for MANETs
Chadli et al. A new model of IDS architecture based on multi-agent systems for MANET
Godala et al. A weight optimized deep learning model for cluster based intrusion detection system
Górski et al. A method of trust management in wireless sensor networks
Castañares et al. Slice aware framework for intelligent and reconfigurable battlefield networks
Khordadpour Proposed Smart 5G Framework: Incorporating Federated Learning and Transfer Learning
Kumar et al. Security concerns over IoT routing using emerging technologies: a review
Rughinis et al. TinyAFD: Attack and fault detection framework for wireless sensor networks
Darra et al. A survey of intrusion detection systems in wireless sensor networks

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant