TW201346626A - 用於與一動態電腦網路進行通訊之橋接 - Google Patents

用於與一動態電腦網路進行通訊之橋接 Download PDF

Info

Publication number
TW201346626A
TW201346626A TW102104973A TW102104973A TW201346626A TW 201346626 A TW201346626 A TW 201346626A TW 102104973 A TW102104973 A TW 102104973A TW 102104973 A TW102104973 A TW 102104973A TW 201346626 A TW201346626 A TW 201346626A
Authority
TW
Taiwan
Prior art keywords
network
module
location
identification parameters
mission plan
Prior art date
Application number
TW102104973A
Other languages
English (en)
Other versions
TWI479357B (zh
Inventor
Wayne Smith
Original Assignee
Harris Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harris Corp filed Critical Harris Corp
Publication of TW201346626A publication Critical patent/TW201346626A/zh
Application granted granted Critical
Publication of TWI479357B publication Critical patent/TWI479357B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種用於在一電腦網路中傳達資料之方法涉及在該電腦網路中之一第一位置處動態地修改複數個真值。該等真值正確地表示複數個識別參數。將此等真值變換為不正確地表示該等識別參數之假值。隨後,在一第二位置處修改該等識別參數以將該等假值變換回至該等真值。該等第一及/或第二位置之定位隨著此處理程序之部分而動態地變更。當在該網路外部傳達時,一橋接變換識別參數值。該等識別參數之動態修改係根據一任務計劃而發生,該任務計劃可在不中斷該網路中之資料傳達之情況下進行修改。

Description

用於與一動態電腦網路進行通訊之橋接
本發明配置係關於電腦網路安全,且更特定言之係關於用於在兩個或兩個以上網路之間進行通訊之系統,其中該等網路之至少一者可動態地操控(maneuverable)以防禦惡意攻擊。
當前網路基礎設施之主要弱點係其靜態特性。資產獲得永久或不經常改變之識別符,允許敵手擁有幾乎無限時間來探查網路、標定(map)及惡意探索漏洞。此外,可擷取並屬性化(attributed)在此等固定實體之間傳輸之資料。針對網路安全之當前途徑係在固定資產周圍設置諸如防火牆及入侵偵測系統之技術,且使用加密以保護在途中之資料。然而,此傳統途徑在根本上有缺陷,因為其對攻擊者提供固定目標。在現今之全球連接通訊基礎設施中,靜態網路係易受攻擊的網路。
國防高級研究計劃局(DARPA)資訊保證(IA)項目已在動態網路防禦之領域中進行初步研究。在資訊保證項目下開發一種技術以動態地重新指派饋送至預先指定之網路飛地(enclave)之網際網路協定(IP)位址空間以使觀察網路之任何潛在敵手混淆。此技術稱為動態網路位址變換(DYNAT)。已在由DARPA發表之標題為Dynamic Approaches to Thwart Adversary Intelligence(2001)的論文中提呈DYNAT技術之概 述。
本發明之實施例涉及一種用於在一電腦網路中傳達資料之方法。該方法包含在該電腦網路上從一第一計算裝置傳達資料至一第二計算裝置。該資料包含與該等第一及第二計算裝置之一者或兩者相關聯之一或多個識別參數。該方法繼續在該電腦網路中之一第一位置處動態地修改複數個真值之步驟。該等真值正確地表示複數個識別參數。將此等真值變換為不正確地表示識別參數之假值。隨後,在該電腦網路中之一第二位置處動態地修改資料通訊中含有之識別參數。該第二位置處之修改涉及將假值變換回至真值。注意,該電腦網路內之該等第一及/或第二位置之定位亦隨著此處理程序之部分而動態地改變。
根據本發明之另一態樣,該方法可進一步涉及在該等第一及第二位置處根據一任務計劃執行識別參數之動態修改。在此等實施例中,該方法進一步涉及將該任務計劃改變為一第二任務計劃(不同於該第一任務計劃)以改變在第一位置及/或第二位置處執行之動態操縱。在不中斷網路中之資料傳達之情況下執行將任務計劃改變為一第二任務計劃之此處理程序。多個任務計劃可由使用者定義且經儲存使得其等可存取至網路裝置。因此,使用者可如所需或期望般從一任務計劃改變為一不同任務計劃以維持網路之安全。
本發明亦涉及一種從包含於一第一電腦網路中之一第一計算裝置傳達資料至包含於一第二電腦網路中之一第二計算裝置之方法。該方法可從在該第一電腦網路上傳輸一資料通訊開始。該資料通訊將包含指定與該等第一及第二計算裝置之至少一者相關聯之真值之識別參數之一第一群組。此後,藉由在該第一電腦網路中之一第一位置處動態地修改識別參數之該第一群組之一第一組而繼續該處理程序。該動 態修改涉及變換該第一組以指定假資訊。此變換係在將資料通訊重新傳輸至一橋接位置之前執行。在該橋接位置處,藉由動態地修改該第一組以變換該第一組以指定真資訊而繼續該處理程序。在該橋接位置處變換該第一組以指定真資訊之後,藉由從該橋接位置傳輸該資料通訊至該第二電腦網路而繼續該方法。該方法進一步包含動態地變更該電腦網路內之該第一位置之定位。
100‧‧‧電腦網路
101‧‧‧用戶端電腦
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦
104‧‧‧網路管理電腦(NAC)
105‧‧‧模組
106‧‧‧模組
107‧‧‧模組
108‧‧‧網路集線器/網路節點
109‧‧‧網路集線器/網路節點
110‧‧‧路由器/網路節點
111‧‧‧伺服器
112‧‧‧伺服器
113‧‧‧模組
114‧‧‧模組
115‧‧‧橋接
120‧‧‧識別參數(IDP)組
122‧‧‧識別參數(IDP)組
124‧‧‧第二網路
201‧‧‧資料埠
202‧‧‧資料埠
204‧‧‧網路介面裝置
205‧‧‧網路介面裝置
206‧‧‧輸出緩衝器
208‧‧‧輸入緩衝器
210‧‧‧輸入緩衝器
212‧‧‧輸出緩衝器
215‧‧‧處理器
218‧‧‧記憶體
220‧‧‧任務計劃
300‧‧‧工作空間
302‧‧‧網路組件
304‧‧‧游標
306‧‧‧資料連接
400‧‧‧對話方塊
401‧‧‧核取方塊
402‧‧‧標籤
404‧‧‧標籤
406‧‧‧標籤
408‧‧‧使用者介面控制項/核取方塊
410‧‧‧使用者介面控制項/來源位址方塊
412‧‧‧使用者介面控制項/目的地位址方塊
414‧‧‧使用者介面控制項/方塊
415‧‧‧使用者介面控制項/方塊
416‧‧‧使用者介面控制項/方塊
418‧‧‧使用者介面控制項/核取方塊
420‧‧‧使用者介面控制項/滑軸
422‧‧‧清單方塊
424‧‧‧清單方塊
428‧‧‧核取方塊
430‧‧‧核取方塊
432‧‧‧下拉式選單
500‧‧‧對話方塊
502‧‧‧控制項
503‧‧‧表
5041-504n‧‧‧時槽
506‧‧‧時間紀元
508‧‧‧游標
510‧‧‧按鈕
602‧‧‧網路控制軟體應用程式
604‧‧‧任務計劃
606‧‧‧通訊媒體
700‧‧‧對話方塊
702‧‧‧任務計劃
704‧‧‧發送任務計劃按鈕
1000‧‧‧模組/電腦系統
1002‧‧‧顯示單元
1008‧‧‧指令
1010‧‧‧電腦可讀儲存媒體
1012‧‧‧處理器
1016‧‧‧網路介面裝置
1017‧‧‧網路介面裝置
1018‧‧‧靜態記憶體
1020‧‧‧主記憶體
1022‧‧‧匯流排
1102‧‧‧顯示單元
1104‧‧‧使用者輸入裝置
1106‧‧‧磁碟機單元
1108‧‧‧指令
1110‧‧‧電腦可讀儲存媒體
1112‧‧‧處理器
1114‧‧‧游標控制裝置
1116‧‧‧網路介面裝置
1118‧‧‧靜態記憶體
1120‧‧‧主記憶體
1122‧‧‧匯流排
圖1係有用於瞭解本發明之一電腦網路之實例。
圖2係可在本發明中使用以執行識別參數之特定操縱之一模組之實例。
圖3係有用於瞭解可用於幫助特性化圖1中之網路之工具之圖。
圖4係可用於針對圖1中之模組選擇動態設定之圖形使用者介面之對話方塊之實例。
圖5係可用於選擇與圖1中之每個模組相關聯之一序列作用中狀態及旁通狀態之一圖形使用者介面之一對話方塊之實例。
圖6係有用於瞭解一任務計劃可傳達至圖1中之網路中之複數個模組之方式之圖式。
圖7係可用於選擇一任務計劃且將該任務計劃傳達至如圖6中所示之模組之一圖形使用者介面之一對話方塊之實例。
圖8係有用於瞭解圖1中之模組之操作之流程圖。
圖9係有用於瞭解關於建立及載入任務計劃之一網路控制軟體應用程式(NCSA)之操作之流程圖。
圖10係可用於實施圖1中之模組之一電腦架構之方塊圖。
圖11係可用於實施圖1中之網路管理電腦(NAC)之一電腦架構之方塊圖。
圖12係有用於瞭解圖1中之橋接之操作之流程圖。
圖13係有用於瞭解可被修改之一些類型之識別參數之表。
將參考以下圖式描述實施例,其中貫穿該等圖式,相同數字表示相同品項。
參考附圖描述本發明。該等圖並非按比例繪製且其等僅為繪示本發明而提供。出於圖解之目的,下文參考例示性應用而描述本發明之若干態樣。應瞭解,闡明許多具體細節、關係及方法以提供本發明之全面瞭解。然而,相關技術之一般技術者將容易認知,本發明可在沒有該等具體細節之一或多者下或使用其他方法實踐。在其他例項中,未詳細展示熟知結構或操作以避免使本發明變得模糊。本發明不受所繪示之動作或事件順序限制,因為一些動作可以不同順序發生及/或與其他動作或事件同時發生。此外,實施根據本發明之方法無需所有經繪示之動作或事件。
亦應了解,本文中使用之術語僅係為了描述特定實施例且並非意欲限制本發明。如本文中所使用,單數形式「一」、「一個」及「該」意欲亦包含複數形式,除非上下文另有清楚指示。此外,就在詳細描述及/或申請專利範圍中使用的術語「包括」、「具有」或其變體而言,此等術語意欲以類似於術語「包括」之方式包含。
此外,除非另外定義,否則本文中使用之全部術語(包含技術及科學術語)具有相同於本發明所屬之技術之一般人員普遍瞭解之含意。應進一步瞭解,術語(諸如普遍使用之字典中定義之術語)應解釋為具有與其等在相關技術之內容背景中之含意一致之含意且不應以理想化或過於正式之意義來解釋,除非本文中明確地如此定義。
識別敏捷電腦網路
現參考圖1,展示包含複數個計算裝置之一例示性網路100之圖式。該等計算裝置可包含用戶端電腦101至103、網路管理電腦 (NAC)104、伺服器111、112、網路集線器108、109、路由器110及橋接115。用戶端電腦可為可能需要網路服務之任何類型之計算裝置,諸如習知平板電腦、筆記型電腦、膝上型電腦或桌上型電腦。路由器110可為在電腦網路之間轉送資料封包之習知路由裝置。集線器108、109係此項技術中熟知之習知集線器裝置(例如,乙太網路集線器)。伺服器111、112可提供由用戶端電腦101至103利用之各種計算服務。例如,伺服器111、112可為檔案伺服器,其等為由用戶端電腦101至103使用之電腦檔案之共用儲存器提供位置。
網路100之通訊媒體可為有線、無線或兩者,但是為簡單起見及避免使本發明變得模糊,在本文中應描述為有線網路。該網路將使用一通訊協定傳達資料。如此項技術中熟知,通訊協定定義用於貫穿該網路傳達資料之格式及規則。圖1中之網路可使用現在已知或未來已知之任何通訊協定或協定組合。例如,該網路可使用適於此等通訊之熟知乙太網路協定。或者,該網路可利用其他協定,諸如網際網路協定套組(通常稱為TCP/IP)、SONET/SDH或非同步傳送模式(ATM)通訊協定。在一些實施例中,可組合使用此等通訊協定之一或多者。雖然圖1中展示一網路拓樸,但是本發明在此方面不受限制。取而代之,可使用任何類型之適宜網路拓樸,諸如匯流排網路、星狀網路、環狀網路或網狀網路。
本發明通常涉及一種用於在一電腦網路(例如電腦網路100中)中傳達資料之方法,其中資料從一第一計算裝置傳達至一第二計算裝置。該網路內之計算裝置用多個識別參數表示。如本文中使用之片語「識別參數」可包含諸如網際網路協定(IP)位址、媒體存取控制(MAC)位址、埠等等之項目。然而,本發明在此方面不受限制,且識別參數亦可包含有用於特性化一網路節點之多種其他資訊。在下文中更詳細論述本文中預期之各種類型之識別參數。本發明配置涉及使用 移動目標技術(MTT)以操縱該網路內一或多個計算裝置之此等識別參數之一或多者。此技術偽裝此等計算裝置之通訊模式及網路位址。如本文中所述之識別參數之操縱通常與該網路中之資料通訊一起(即,在資料欲從該網路中之一第一電腦(例如,用戶端電腦101)傳達至該網路中之一第二電腦(例如,用戶端電腦102)時)執行。因此,所操縱之識別參數可包含來源計算裝置(資料源自該裝置)及目的地計算裝置(資料被發送至該裝置)之識別參數。經傳達之該組識別參數在本文中稱為一識別參數組(IDP組)。此概念繪示於圖1中,其展示IDP組120藉由用戶端電腦101作為一資料封包之部分(未作圖式)而傳輸。
根據本發明配置之處理程序涉及在電腦網路中之一第一位置處選擇性地修改一資料封包或資料包中所含有之指定來源及/或目的地計算裝置之一或多個識別參數的值。根據一任務計劃而修改該等識別參數。執行此修改之位置通常將與模組105至107、113、114之一者之位置重合。再次參考圖1,可觀察到模組105、106、107、113、114插置於各種計算裝置(其等構成此網路中之節點)之間之網路中。在此等位置中,模組攔截資料封包通訊,執行識別參數之必要操縱,且沿著一傳輸路徑重新傳輸資料封包。在替代實施例中,模組105、106、107、113、114可執行一類似功能,但可直接整合於一或多個計算裝置中。例如,模組可整合於用戶端電腦101、102、103、伺服器111、112、集線器108、109中及/或路由器110內。
在圖2中展示模組105之功能方塊圖之實例。模組106至107、113、114可具有類似功能方塊圖,但是應瞭解,本發明在此方面不受限制。如圖2中所示,模組105具有至少兩個資料埠201、202,其等之各者可對應於一各自網路介面裝置204、205。在埠201處接收之資料在網路介面裝置204處經處理且暫時儲存於一輸入緩衝器210。處理器215存取輸入緩衝器210中所含有之輸入資料封包,且執行如本文中所 述之識別參數之任何必要操縱。所修改之資料封包經傳遞至輸出緩衝器212且隨後使用網路介面裝置205而從埠202傳輸。類似地,在埠202處接收之資料在網路介面裝置205處經處理且暫時儲存於一輸入緩衝器208。處理器215存取輸入緩衝器208中所含有之輸入資料封包且執行如本文中所述之識別參數之任何必要操縱。所修改之資料封包經傳遞至輸出緩衝器206且隨後使用網路介面裝置204而從埠201傳輸。在每個模組中,藉由處理器215根據儲存於一記憶體218中之一任務計劃220而執行識別參數之操縱。
從圖2將瞭解,一模組較佳經組態使得其雙向操作。在此等實施例中,取決於特定資料封包之來源,該模組可實施不同修改功能。可根據一特定資料封包之來源計算裝置而在任務計劃中指定每個模組中之動態修改功能。模組可藉由任何適宜方法判定資料封包之來源。例如,出於此目的可使用一資料封包之來源位址。
在該網路100內之一選定模組處,處理器215將判定欲代替真識別參數值而使用之一或多個假識別參數值。該處理器將一或多個真識別參數值變換為較佳由一偽隨機函數指定之一或多個假識別參數值。在此變換之後,該模組將沿著一傳輸路徑將經修改之封包或資料包轉送至網路之下一節點。在通訊路徑中之後續節點處,正監測此等網路通訊之敵手將觀察到關於在網路上傳達之計算裝置之識別之假或不正確資訊。
在一較佳實施例中,由偽隨機函數指定之假識別參數根據一或多個觸發事件之發生而改變。觸發事件導致處理器215使用偽隨機函數以產生真識別參數所變換成的一組新的假識別參數值。因此,觸發事件用作本文中所述之假識別參數之動態變更之基礎。在下文中更詳細論述觸發事件。然而應注意,用於選擇一組新的假識別參數值之觸發事件可基於經過之時間及/或特定網路事件之發生。觸發事件亦可 藉由使用者命令起始。
上文所述之識別參數之變換提供一種操控(maneuver)電腦網路100以阻撓網路攻擊之方式。在一較佳實施例中,由處理器215實施之任務計劃220亦將控制電腦網路可操控之方式之某些其他態樣。例如,任務計劃可指定操縱識別參數之一動態選擇。該動態選擇可包含選擇修改哪些識別參數之一選擇,及/或所選擇之此等識別參數之數目。此可變選擇處理程序提供附加之不確定性或變更維度,此可用於進一步阻撓敵手嘗試侵入或獲悉電腦網路100。作為此技術之一實例,認為在一第一時段期間,一模組可修改每個資料封包之一目的地IP位址及一目的地MAC位址。在一第二時段期間,該模組可操縱每個資料封包中之來源IP位址及來源主機名稱。在一第三時段期間,該模組可操縱一來源埠號及一來源使用者名稱。識別參數選擇之改變可同步發生(所有選定之識別參數同時改變)。或者,識別參數選擇之改變可非同步地發生(隨著個別識別參數被添加或從選定之識別參數群組移除,所選定之識別參數群組遞增地改變)。
偽隨機函數較佳係用於判定待操縱或變換為假值之識別值之選擇。換言之,該模組將僅變換由偽隨機函數選擇之識別參數。在一較佳實施例中,由偽隨機函數指定之識別參數之選擇根據觸發事件之發生而改變。觸發事件導致處理器215使用一偽隨機函數以產生待變換為假識別參數之識別參數之一新選擇。因此,觸發事件用作本文中所述之識別參數之選擇之動態變更之基礎。注意,識別參數之值亦可根據偽隨機演算法而改變。
該等模組有利地亦能夠提供操控電腦網路以阻撓網路攻擊之第三方法。明確而言,載入每個模組中之任務計劃可動態地變更網路內發生識別參數之修改或變換之位置。認為在從用戶端電腦101發送至用戶端電腦102之一IDP組120中之識別參數之修改可發生於模組105 中。在圖1中展示此條件,其中IDP組120中所含有之識別參數在模組105中經操縱,使得IDP組120變換為新的或經修改之IDP組122。相較於IDP組120中之識別參數,IDP組122中之至少一些識別參數係不同的。但是發生此變換之位置較佳亦由任務計劃控制。因此,IDP組120之操縱可例如有時發生於模組113或114處,而非模組105處。選擇性地變更發生識別參數之操縱之位置之此能力對電腦網路之操控能力增添更重要維度。
藉由選擇性地控制每個模組之操作狀態而促進修改識別參數之位置之動態變更。為此,每個模組之操作狀態較佳包含(1)作用中狀態,其中根據當前任務計劃處理資料,及(2)旁通狀態,其中封包可流動通過模組宛如模組並不存在。藉由選擇性地導致特定模組處於作用中狀態及特定模組處於待用狀態而控制執行動態修改之位置。該位置可藉由以協調之方式動態地變更模組之當前狀態而動態地改變。
任務計劃可包含用於判定電腦網路100內將要操縱識別參數之位置之預定義序列。將要操縱識別參數之位置將根據由一觸發事件指示之時間序列而改變。例如,觸發事件可導致轉變至新位置以如本文中所述地操縱或變換識別參數。因此,觸發事件用作修改識別參數之位置發生改變之基礎,且預定義序列判定新位置將在何處。
從前文應了解,在一模組處修改一資料封包以包含假識別參數。某些時候在電腦網路內,必需使識別參數還原至其等之真值,使得該等識別參數可用於根據特定網路協定而適當地執行其等之預期功能。因此,本發明配置亦包含在一第二位置(即,一第二模組)處根據任務計劃動態地修改識別參數之指派值。該第二位置處之修改基本上包括在第一位置處所使用之一處理程序之逆處理程序以修改識別參數。該第二位置處之模組可因此使假值識別參數還原或變換回至其等之真值。為完成此動作,該第二位置處之模組必須能夠判定至少(1) 待變換之識別參數值之選擇,及(2)選定識別參數從假值至真值之正確變換。實際上,此處理程序涉及用於判定識別參數選擇之偽隨機處理程序或若干偽隨機處理程序之逆處理程序及對此等識別參數值實現之改變。在圖1中繪示逆變換步驟,其中在模組106處接收IDP組122,且IDP組122中之識別參數值被變換或操縱回至其等之原始或真值。在此案例中,模組106將識別參數值轉換回至IDP組120之識別參數值。
注意,模組必須具有判定適當變換或操縱以施加至其接收之每個資料通訊之某種方式。在一較佳實施例中,藉由檢查所接收之資料通訊內含有之至少一來源位址識別參數而執行此判定。例如,該來源位址識別參數可包含一來源計算裝置之IP位址。一旦已知來源計算裝置之真識別,該模組查閱任務計劃(或從任務計劃導出之資訊)以判定其需要採取之動作。例如,此等動作可包含將特定真識別參數值轉換為假識別參數值。或者,此等改變可包含將假識別參數值轉換回至真識別參數值。
注意,將存在所接收之資料通訊中含有之來源位址識別參數資訊已改變為假值之情況。在該等境況中,接收資料通訊之模組不會立即能夠判定資料通訊之來源的識別。然而,接收通訊之模組在此等例項中仍可識別來源計算裝置。此在接收模組處藉由比較假來源位址識別參數值與列出在一特定時間期間投入使用之所有此等假來源位址識別參數值之查詢表(LUT)而完成。LUT亦包含對應於假來源位址值之真來源位址識別參數值之一清單。LUT可藉由任務計劃直接提供,或可由任務計劃中含有之資訊產生。在任一情況中,可從LUT容易地判定一真來源位址識別參數值之識別符。一旦已判定真來源位址識別參數,則接收資料通訊之模組可使用此資訊以(基於任務計劃)判定該等識別參數所需之操縱。
注意,任務計劃亦可指定使識別參數還原至其等之真值之第二 位置之變更。例如,假設在包括模組105之一第一位置處動態地修改該等識別參數。該任務計劃可指定該等識別參數至其等之真值之還原如所述般發生於模組106處,但是可替代性地指定動態修改代替性地發生於模組113或114處。在一些實施例中,發生此等操縱之位置藉由任務計劃根據一預定義序列而動態判定。預定義序列可判定將發生識別參數之操縱之位置或模組之序列。
涉及不同位置處之動態修改之轉變較佳根據一觸發事件而發生。因此,預定義序列判定將發生資料操縱之位置之型樣或序列,且觸發事件用作導致從一位置轉變至下一位置之基礎。在下文中更詳細論述觸發事件;然而,應注意,觸發事件可基於經過之時間、使用者控制及/或特定網路事件之發生。對第二位置(即,識別參數返回至其等之真值之位置)之選擇的控制可以相同於上文關於第一位置所述之方式而實現。明確而言,兩個或兩個以上模組之操作狀態可在一作用中狀態與一旁通狀態之間切換。識別參數之操縱將僅發生於具有作用中操作狀態之模組中。具有旁通操作狀態之模組將僅傳遞資料封包而無修改。
亦可使用替代方法以控制將發生識別參數之操縱之位置。例如,網路管理員可在一任務計劃中定義識別參數可從真值轉換為假值之若干可能模組。在發生觸發事件時,可藉由使用一偽隨機函數而在該若干模組之間選擇一新位置,且使用一觸發時間作為偽隨機函數之種子值。若每個模組使用相同初始種子值實施相同偽隨機函數,則每個模組將計算相同偽隨機值。觸發時間可基於時脈時間判定,諸如GPS時間或系統時脈時間。以此方式,每個模組可獨立地判定其當前是否為應發生識別參數之操縱之一作用中位置。類似地,網路管理員可在一任務計劃中定義動態操縱將識別參數返回至其等之正確值或真值之若干可能模組。選擇哪個模組用於此目的亦可根據如本文中所述 之觸發時間及偽隨機函數而判定。其他方法亦可用於判定將發生識別參數操縱之位置或模組。因此,本發明不意欲限制於本文中所述之特定方法。
注意,變更操縱識別參數之第一位置及/或第二位置之定位通常將導致變更第一位置與第二位置之間沿著網路通訊路徑之物理距離。該第一位置與該第二位置之間之距離在本文中稱為距離向量。距離向量可為該第一位置與該第二位置之間沿著一通訊路徑之一實際物理距離。然而,將距離向量視為表示第一位置與第二位置之間之通訊路徑中所存在之網路節點數目係有用的。應了解,針對網路內之第一位置及第二位置動態地選擇不同定位可具有改變該第一位置與該第二位置之間之節點數目之效果。例如,在圖1中,在模組105、106、107、113、114之選定者中實施識別參數之動態修改。如前文所述般判定實際上用於分別實施動態修改之模組。若模組105係用於將識別參數轉換為假值且模組106係用於將其等轉換回至真值,則在模組105與106之間存在三個網路節點(108、110、109)。但若模組113係用於轉換為假值且模組114係用於將識別參數轉換回至真值,則在模組113與114之間僅存在一網路節點(110)。因此,應了解,動態地改變發生動態修改之位置之定位可動態地變更距離向量。距離向量之此變更對網路操控或修改提供附加可變性維度,如本文中所述。
在本發明中,將識別參數值之操縱、識別參數之選擇及此等識別參數之位置之各者定義為一操控參數。每當此三個操控參數之一者中發生改變時,便可認為已發生網路操控。無論何時此三個操控參數之一者改變,吾人便可認為已發生網路操控。為最有效地阻撓敵手嘗試侵入電腦網路100,較佳借助於如前文所述之一偽隨機處理程序而控制網路操控。熟習此項技術者將了解,亦可使用一混亂處理程序以執行此功能。相較於偽隨機函數,混亂處理程序在技術上不同,但是 出於本發明之目的,可使用任一者,且將該兩者視為等效。在一些實施例中,可使用相同偽隨機處理程序以動態地變更操控參數之兩者或兩者以上。然而,在本發明之一較佳實施例中,使用兩個或兩個以上不同偽隨機處理程序使得此等操控參數之兩者或兩者以上獨立於其他操控參數而修改。
觸發事件
如上文所述,藉由至少一觸發控制每個操控參數之動態改變。觸發係導致發生關於本文中所述之動態修改之改變之事件。換言之,可認為觸發導致網路以不同於先前時間(即,在發生觸發之前)之新的方式操控。例如,在一第一時段期間,一任務計劃可導致一IP位址可從值A改變為值B;但在觸發事件之後,IP位址可代替性地從值A改變為值C。類似地,在一第一時段期間,一任務計劃可導致IP及MAC位址被修改;但在觸發事件之後,任務計劃可代替性地導致MAC位址及使用者名稱被修改。作為一第三實例,認為在一第一時段期間,一任務計劃可導致識別參數在ID組120到達模組105時改變;但在觸發事件之後,可導致識別參數代替性地在ID組120到達模組113時改變。
以其最簡單形式,一觸發可經使用者啟動,或基於一簡單時序方案。在此一實施例中,每個模組中之一時脈時間可用作觸發。例如,觸發事件可定義為發生於每個60秒時間間隔期滿時。對於此一配置,操控參數之一或多者可根據一預定時脈時間每隔60秒而改變。在一些實施例中,所有操控參數可同時改變,使得同步化該等改變。在一略微更複雜之實施例中,亦可使用基於時間之觸發配置,但是可對於每個操控參數選擇一不同獨有觸發時間間隔。因此,可依時間間隔X改變假識別參數值,識別參數之選擇將根據時間間隔Y而改變,且執行此等改變之位置將依時間間隔Z而發生,其中X、Y及Z係不同值。
應了解,在本發明之實施例(其等依賴於作為觸發機製之時脈時間)中,有利地提供各種模組105、106、107、113、114中之時脈之間之同步化以確保封包不會由於未經辨識之識別參數而遺失或丟失。同步化方法係熟知的,且可出於此目的使用任何適當同步化機製。例如,可藉由使用高度精確時間參考(諸如GPS時脈時間)而同步化該等模組。或者,一獨有無線同步化信號可從一中央控制設施廣播至每個模組。
其他類型之觸發對於本發明亦可行。例如,觸發事件可基於潛在網路安全威脅之發生或偵測。根據本發明之一實施例,可藉由一網路安全軟體套組識別潛在網路安全威脅。或者,可在模組105、106、107、113、114處接收一資料封包時識別潛在網路安全威脅,其中該封包含有與網路操控之當前狀態不一致之一或多個識別參數。無關於用於識別網路安全威脅之基礎,此威脅之存在可用作一觸發事件。基於一網路安全威脅之觸發事件可導致與由上文所述之基於時間之觸發引起之網路操控相同類型之網路操控。例如,除偵測到一網路安全威脅之情況之外,假識別參數、識別參數之選擇及識別參數變換之位置可保持穩定(即,不改變)。例如在不期望頻繁之網路操控之電腦網路中可選擇此一配置。
或者,基於時間之觸發事件可與基於對網路安全之潛在威脅之觸發事件組合。在此等實施例中,相較於基於時間之觸發,基於安全威脅之一觸發事件可對網路操控具有不同影響。例如,基於安全威脅之觸發事件可導致網路操控中之戰略或防禦性改變,以便更積極地對抗此網路安全威脅。此等措施之確切性質可取決於威脅之性質,但可包含多種回應。例如,可選擇不同偽隨機演算法,及/或可增加針對每個IDP組120中之操縱而選擇之識別參數之數目。在已利用基於時間之觸發之系統中,回應亦可包含增加網路操控之頻率。因此,可對以 下各者進行更頻繁改變:(1)假識別參數值;(2)每個IDP組中待改變之識別參數之選擇;及/或(3)改變識別參數之第一位置及第二位置之定位。因此,本文中所述之網路操控提供用於識別潛在網路安全威脅且回應於潛在網路安全威脅之方法。
任務計劃
根據本發明之一較佳實施例,根據一任務計劃控制本文中所述之網路操控。一任務計劃係定義及控制在網路及安全模型之內容背景中之可操控性之方案。因而,任務計劃可表示為從網路管理電腦(NAC)104傳達至每個模組105至107、113至114之資料檔案。此後由每個模組使用任務計劃以控制識別參數之操縱,且使其活動與網路中之其他模組之動作協調。
根據一較佳實施例,任務計劃可不時由一網路管理員修改,以更新或改變網路操控之方式以阻撓潛在敵手。因而,任務計劃對網路管理員提供一工具,該工具促進對該網路內將發生網路操控之時間、地點及方式之完全控制。此更新能力允許網路管理員針對當前操作條件而定製電腦網路之行為,且更有效地阻撓敵手嘗試侵入網路。多個任務計劃可由一使用者定義且經儲存使得其等可存取至網路內之模組。例如,多個任務計劃可儲存於NAC 104處且視需要傳達至模組。或者,複數個任務計劃可儲存於每個模組上且可如所需或期望般經啟動以維持網路之安全。例如,若網路管理員判定或懷疑敵手已發現網路之當前任務計劃,則管理員可希望改變任務計劃。有效安全程序亦可指示週期性地改變任務計劃。
藉由模型化網路100,可開始建立一任務計劃之處理程序。藉由在網路命令中心處之電腦或伺服器上執行之一網路控制軟體應用程式(NCSA)而促進模型之建立。例如,在圖1中所示之實施例中,NCSA可執行於NAC 104上。網路模型較佳包含定義該網路100中所包含之 各種計算裝置之間之資料連接及/或關係之資訊。NCSA將提供促進鍵入此關係資料之適當介面。根據一實施例,該NCSA可促進將資料鍵入可用於定義任務計劃之表中。然而,在一較佳實施例中,使用一圖形使用者介面以促進此處理程序。現參考圖3,NCSA可包含一網路拓樸模型產生器工具。該工具用於幫助網路管理員定義網路之各種組件之各者之間之關係。網路拓樸工具提供其中管理員可藉由使用一游標304拖曳及置放網路組件302之一工作空間300。網路管理員亦可建立各種網路組件302之間之資料連接306。作為此模型化處理程序之部分,網路管理員可提供各種網路組件(包含模組105至107、113、114)之網路位址資訊。
一旦已模型化該網路,便可藉由網路管理員保存及使用該網路以定義各種模組105至107、113、114之行為及彼此互動之方式。現參考圖4,NCSA可產生一對話方塊400,該對話方塊400可用於進一步開發任務計劃。可使用一下拉式選單432以選擇對話方塊400中之設定將應用至之特定模組(例如,模組105)。或者,網路管理員可使用下拉式選單432以指示對話方塊400中之設定意欲應用於網路中之所有模組(例如,藉由選擇選單432中之「全部」)。可藉由指定是否在每個模組中將始終修改識別參數之一固定組,或是否應動態地變更被操縱之該組識別參數而繼續該處理程序。若意欲動態地變更在模組中待操縱之識別參數之選擇或組,則網路管理員可標記核取方塊401以指示該偏好。若核取方塊401未經標記,則將指示將要變更之該組識別參數係不隨時間變更之一固定組。
對話方塊400包含標籤402、404、406,該等標籤允許使用者選擇其想要運作之特定識別參數以建立一任務計劃。出於本揭示內容之目的,對話方塊400促進僅三個識別參數之動態變更。明確而言,此等標籤包含IP位址、MAC位址及埠位址。可藉由提供額外標籤動態地 變更更多或更少識別參數,但是所述之三個識別參數足以解釋本發明之概念。在圖4中,使用者已選擇標籤402以與IP位址類型之識別參數運作。在標籤402內,提供多種使用者介面控制項408至420以指定與所選定模組內之IP位址之動態變更有關之細節。可提供更多或更少控制項以促進IP位址類型之動態操縱,且僅提供所示之控制項以幫助讀者瞭解概念。在所示之實例中,網路管理員可藉由(例如,用一指標裝置,諸如滑鼠)選擇標記為啟用IP位址跳躍之核取方塊408而啟用IP位址之動態變更。類似地,網路管理員可指示是否將改變來源位址、目的地位址或兩者。在此實例中,標記來源位址方塊及目的地位址方塊410、412兩者,從而指示將改變兩種類型之位址。來源位址及目的地位址之允許值之範圍可由管理員在清單方塊422、424中指定。
藉由選擇偽隨機處理程序而指定用於選擇假IP位址值之特定偽隨機處理程序。在方塊414、415中指定此選擇。不同偽隨機處理程序對於真隨機性之可變程度可具有不同位準之複雜性,且管理員可選擇最適合網路100之需求之處理程序。
對話方塊400亦允許網路管理員設定待用於IP位址識別參數之動態變更之觸發類型。在此實例中,使用者已選擇方塊416,從而指示將使用基於時間之觸發以判定何時轉變為新的假IP位址值。此外,已選擇核取方塊418以指示基於時間之觸發將以週期性為基礎而發生。可由使用者調整滑軸420以判定週期性基於時間之觸發之頻率。在所示之實例中,觸發頻率可經調整而介於每小時發生6次觸發(每10分鐘觸發)與每小時發生120次觸發(每30秒觸發)之間。在此實例中,選擇亦可用於其他類型之觸發。例如,對話方塊402包含核取方塊428、430,網路管理員可藉由核取方塊428、430而選擇基於事件之觸發。可選擇若干不同特定事件類型以形成此等基於事件之觸發之基礎(例如,事件類型1、事件類型2等等)。此等事件類型可包含各種潛在電 腦網路安全威脅之偵測。在圖4中,標籤404及406類似於標籤402,但是其中之控制項係針對MAC位址及埠值(而非IP位址)之動態變更而定製。可提供額外標籤以控制其他類型之識別參數之動態變更。
任務計劃亦可指定用於動態地變更修改識別參數之位置之計劃。在一些實施例中,藉由控制定義每個模組何時處於作用中狀態或旁通狀態之一序列而促進此可變位置特徵。因此,任務計劃有利地包含指定此序列之一些構件。在本發明之一些實施例中,此可涉及使用藉由觸發事件之發生而分離之經定義時間間隔或時槽。
現在參考圖5,可由NCSA提供一對話方塊500以促進位置序列及時序資訊之協調及鍵入。對話方塊500可包含一控制項502,控制項502用於選擇待包含在一時間紀元506內之許多時槽5041至504n。在所繪示之實例中,網路管理員已定義每時序紀元4個時槽。對話方塊500亦可包含表503,表503包含網路100中之所有模組。對於列出之每個模組,該表包含一時序紀元506之可用時槽5041至5044之圖形表示。回顧對操縱識別參數之位置之動態控制係由每個模組是否處於作用中或旁通操作狀態而判定。因此,在圖形使用者介面中,使用者可移動一游標508且進行選擇以指定一特定模組在每個時槽期間是否處於作用中或旁通模式。在所示之實例中,模組105在時槽5041及5043期間處於作用中,但在時槽5042、5044期間處於旁通模式。相反地,模組113在時槽5042、5044期間處於作用中,但在時槽5041及5043期間處於旁通模式。參考圖1,此意謂識別參數之操縱在時槽5041及5043期間發生在與模組105相關聯之位置處,但在時槽5042、5044期間代替性地發生在模組113處。
在圖5中所示之實例中,網路管理員已作出選擇以使模組114始終以作用中模式操作(即,模組114在所有時槽期間皆處於作用中)。因此,對於從用戶端電腦101傳輸至用戶端電腦103之資料通訊,在模組 105、113中將交替操縱資料封包,但是在模組114處將始終操縱資料封包。最後,在此實例中,網路管理員已作出選擇以在時槽5041至5044期間將模組106及107維持於旁通模式中。因此,在任何所定義之時槽期間,在此等模組處將不執行識別參數之操縱。一旦已在對話方塊500中定義模組時序,網路管理員便可選擇按鈕510以儲存改變作為經更新任務計劃之部分。任務計劃可以各種格式保存。在一些實施例中,任務計劃可保存為一簡單表或可由每個模組使用以控制模組之行為的其他類型之經定義資料結構。
任務計劃之分佈及載入
現將更詳細描述如本文中所揭示之任務計劃之分佈及載入。再次參考圖1,可觀察到該等模組105至107、113、114貫穿網路100而分佈於一或多個位置。該等模組整合於通訊路徑內以在此等位置處攔截通訊,執行必要操縱,且將資料轉送至該網路內之其他計算裝置。運用前述配置,本文中所述之模組之任何必要維護(例如,用以更新一任務計劃之維護)將具有在替換或重新程式化模組時中斷網路通訊之潛能。此等中斷在網路服務之可靠性及可用性係至關重要的許多情境況係非所要的。例如,對於軍用、急救用及商用之電腦網路,不中斷之網路操作可為至關重要。
為確保不中斷之網路操作,每個模組較佳具有若干操作狀態。此等操作狀態包含:(1)關閉狀態,其中模組經斷電且不處理任何封包;(2)初始化狀態,其中模組根據任務計劃安裝軟體指令碼;(3)作用中狀態,其中根據當前任務計劃處理資料;及(4)旁通狀態,其中封包可流動通過模組宛如該模組並不存在。該模組經組態使得,當其處於作用中狀態或旁通狀態時,該模組可接收及載入由一網路管理員提供之經更新任務計劃。模組操作狀態可由網路管理員借助於例如在NAC 104上執行之NCSA而手動控制。例如,使用者可透過使用圖形 使用者介面控制面板而選擇各種模組之操作狀態。用於控制網路之操作狀態之命令經由網路100傳達,或可藉由任何其他適宜方式傳達。例如,出於該目的可使用一單獨有線或無線網路(未展示)。
該任務計劃可直接載入於每個模組之實體位置,或其可從NCSA傳達至該模組。此概念繪示於圖6中,其展示任務計劃604經由通訊媒體606從NCSA 602傳達至每個模組105至107、113、114。在所示之實例中,NCSA軟體應用程式係在由網路管理員操作之NAC 104上執行。在一些實施例中,通訊媒體可包含使用電腦網路100之頻帶內傳訊。或者,可將一頻帶外網路(例如,單獨無線網路)用作為通訊媒體606以將經更新之任務計劃從NCSA傳達至每個模組。如圖7中所示,NCSA可提供一對話方塊700以促進選擇若干任務計劃702之一者。此等任務計劃702之各者可儲存於NAC 104上。網路管理員可從該若干任務計劃702之一者選擇,此後其等可啟動一發送任務計劃按鈕704。或者,複數個任務計劃可傳達至每個模組且儲存於每個模組。在任一案例中,使用者可選擇啟動所定義之任務計劃之一者。
回應於發送任務計劃之命令,在模組處於作用中狀態(其中該等模組經組態以主動執行如本文中所述之識別參數之動態修改)時將所選定之任務計劃傳達至該等模組。此一配置最小化網路在明文(clear)且未操縱識別參數之情況下操作之時間。然而,在模組處於旁通模式時亦可將經更新之任務計劃傳達至該等模組,且此途徑在某些情況中係可期望的。
一旦任務計劃由一模組接收,該任務計劃便自動儲存於該模組內之一記憶體位置。此後,可導致該模組進入旁通狀態,在仍處於該狀態時,該模組可載入與新任務計劃相關聯之資料。進入旁通狀態及載入新任務計劃資料之此處理程序可回應於接收任務計劃而自動發生,或可回應於來自由網路管理員控制之NCSA軟體之一命令而發 生。新任務計劃較佳包含變更識別參數值之方式之改變。一旦已載入新任務計劃,該等模組105至107、113及114便可以同步化方式從旁通模式轉變為作用中模式,以確保不發生資料通訊錯誤。任務計劃可指定模組返回至作用中模式之時間,或網路管理員可使用NCSA以將一命令傳達至各種模組,從而引導該等模組進入作用中模式中。更新一任務計劃之前述處理程序有利地允許在不中斷附接至電腦網路100之各種計算裝置之間之通訊之情況下發生網路安全程序之改變。
每個模組105、106、107、113及114處之各種識別參數之動態操縱較佳由在每個模組105至107、113、114上所執行之應用程式軟體控制。然而,應用程式軟體之行為有利地由任務計劃控制。
現參考圖8,提供概述每個模組105至107、113、114之操作之一流程圖。為避免混淆,關於單向通訊描述處理程序。例如,在模組105之情況中,單向可涉及資料從用戶端電腦101傳輸至集線器108。然而在實務上,較佳的是模組105至107、113、114雙向操作。當模組通電時,處理程序開始於步驟802且繼續至步驟804(其中初始化模組應用程式軟體以執行本文中所述之方法)。在步驟806中,從該模組內之一記憶體位置載入一任務計劃。此時,模組準備開始處理資料且在步驟808開始處理資料,其中該模組從其之一輸入資料緩衝器存取資料封包。在步驟810中,模組檢查以判定其是否處於操作之旁通模式中。若是,則在步驟812中在無任何資料封包修改之情況下重新傳輸在步驟808中存取之資料封包。若模組並未處於旁通模式中,則其必然處於其操作之作用中模式,且繼續至步驟814。在步驟814中,模組讀取資料封包以判定資料封包所源自之一來源節點之識別。在步驟816中,模組檢驗該封包以判定該來源節點是否有效。可比較指定之來源節點與有效節點之一清單以判定該指定之來源節點當前是否有效。若指定之來源節點並非一有效節點,則在步驟818中捨棄該封 包。在步驟820中,該處理程序檢查以判定是否發生觸發事件。觸發事件之發生將影響待使用之假識別值之選擇。因此,在步驟822中,模組基於觸發資訊、時脈時間及任務計劃之一者或多者而判定待使用之該等假識別值。接著,模組繼續至步驟826,其中該模組操縱資料封包之識別參數。一旦完成操縱,便將資料封包從該模組之輸出埠重新傳輸至一鄰近節點。在步驟830中,作出關於是否已命令該模組斷電之判定。若是,則該處理程序在步驟832結束。在步驟808,該處理程序繼續且從模組之輸入資料緩衝器存取下一資料封包。
現參考圖9,提供概述本文中所述之用於管理動態電腦網路之方法之流程圖。處理程序始於步驟902且繼續至步驟904,其中建立一網路模型(例如,如關於圖3所示及所述)。在步驟906中,作出關於是否將要建立一新任務計劃之判定。若是,則在步驟908中建立新任務計劃且處理程序繼續至步驟910,其中選擇新任務計劃。或者,若在步驟906中已建立一所要任務計劃,則該方法可直接繼續至步驟910,其中選擇一現有任務計劃。在步驟912中,將任務計劃傳達至模組(例如,模組105至107、113、114),其中該任務計劃儲存於一記憶體位置中。當網路管理員準備實施新任務模型時,在步驟914中發送導致模組進入如本文中所述之待用模式之一命令。當模組處於此待用模式時,在步驟916載入任務計劃。任務計劃之載入發生於每個模組處,使得任務計劃可用於控制在該模組上執行之一應用程式軟體之操作。特定而言,任務計劃係用於控制應用程式軟體執行識別參數之動態操縱之方式。在步驟918中,再次導致任務模組進入作用中操作模式,其中每個任務模組根據任務計劃而執行識別參數之操縱。步驟914、916及918可回應於從網路管理員發送之特定命令而發生,或可回應於在步驟912中接收任務計劃而在每個模組處自動發生。在步驟918之後,模組繼續根據已載入之任務計劃而執行處理。在步驟920中,藉 由檢查以判定使用者是否已指示期望改變任務計劃而繼續處理程序;若是,則處理程序返回至步驟906,其中處理程序如上文所述般繼續。若不存在使用者或網路管理員希望改變一現有任務計劃之指示,則處理程序在步驟922中判定是否已指示終止處理程序。若是,則處理程序在步驟924中終止。若未接收到終止指令,則處理程序返回至步驟920且繼續。
現參考圖10,提供展示可用於執行本文中所述之識別參數之操縱之一例示性模組1000之一電腦架構之方塊圖。該模組1000包含一處理器1012(諸如中央處理單元(CPU))、一主記憶體1020及一靜態記憶體1018,其等經由一匯流排1022彼此通訊。電腦系統1000可進一步包含一顯示單元1002(諸如液晶顯示器或LCD)以指示模組之狀態。模組1000亦可包含允許模組在兩個單獨資料線上同時接收及傳輸資料之一或多個網路介面裝置1016、1017。兩個網路介面埠促進圖1中所示之配置,其中每個模組經組態以同時攔截及重新傳輸從網路上之兩個單獨計算裝置接收之資料封包。
主記憶體1020包含其上儲存一或多組指令1008(例如,軟體程式碼)之一電腦可讀儲存媒體1010,該等指令1008經組態以實施本文中所述之方法論、程序或功能之一或多者。該等指令1008亦可在其藉由模組之執行期間完全或至少部分駐留於靜態記憶體1018內及/或處理器1012內。靜態記憶體1018及處理器1012亦可組成機器可讀媒體。在本發明之各種實施例中,連接至網路環境之一網路介面裝置1016使用指令1008而經由網路通訊。
現參考圖11,展示根據本發明配置之一例示性網路管理電腦(NAC)104。NAC可包括各種類型之計算系統及裝置,包含伺服器電腦、用戶端使用者電腦、個人電腦(PC)、平板電腦PC、膝上型電腦、桌上型電腦、控制系統或能夠執行指定待由該裝置採取之動作之(循 序或以其他方式)一組指令之任何其他裝置。此外,雖然圖11中繪示單個電腦,但是應瞭解片語「NAC」包含個別或共同執行一組(或多組)指令以執行本文中論述之任何一或多個方法論之計算裝置之任何集合。
現參考圖11,NAC 104包含一處理器1112(諸如中央處理單元(CPU))、一磁碟機單元1106、一主記憶體1120及一靜態記憶體1118,其等經由一匯流排1122而彼此通訊。NAC 104可進一步包含一顯示單元1102,諸如視訊顯示器(例如,液晶顯示器或LCD)、平板、固態顯示器或陰極射線管(CRT)。該NAC 104可包含一使用者輸入裝置1104(例如,鍵盤)、一游標控制裝置1114(例如,滑鼠)及一網路介面裝置1116。
磁碟機單元1106包含其上儲存一或多組指令1108(例如,軟體程式碼)之一電腦可讀儲存媒體1110,該等指令1108經組態以實施本文中所述之方法論、程序或功能之一或多者。該等指令1108亦可在其執行期間完全或至少部分駐留於主記憶體1120、靜態記憶體1118內及/或處理器1112內。主記憶體1120及處理器1112亦可組成機器可讀媒體。
熟習此項技術者應了解,圖10中繪示之模組架構及圖11中之NAC架構各表示可分別用以執行本文中所述之方法之一計算裝置之僅一可能實例。然而,本發明在此方面不受限制且在無限制之情況下亦可使用任何其他適宜計算裝置架構。專用硬體實施方案包含(但不限於)特定應用積體電路、可程式化邏輯陣列,且其他硬體裝置可同樣經建構以實施本文中所述之方法。可包含各種實施例之設備及系統的應用廣泛包含多種電子及電腦系統。一些實施例可實施兩個或兩個以上特定互連之硬體裝置(其中在模組之間及透過模組傳達相關控制及資料信號)中或作為特定應用積體電路之部分之功能。因此,例示性 系統可應用於軟體、韌體及硬體實施方案。
根據本發明之各種實施例,本文中所述之方法係儲存為一電腦可讀儲存媒體中之軟體程式,且經組態以在一電腦處理器上運行。此外,軟體實施方案可包含(但不限於)分散式處理、組件/物件分散式處理、並行處理、虛擬機器處理,其等亦可經建構以實施本文中所述之方法。
雖然在圖10及圖11中將電腦可讀儲存媒體1010、1110展示為單個儲存媒體,但是術語「電腦可讀儲存媒體」應視為包含儲存一或多組指令之單個媒體或多個媒體(例如,集中式或分散式資料庫及/或相關聯之高速快取區及伺服器)。術語「電腦可讀儲存媒體」亦應視為包含能夠儲存、編碼或載送一組指令以藉由機器執行且導致機器執行本發明之任何一或多個方法論之任何媒體。
因此,術語「電腦可讀媒體」應視為包含(但不限於)固態記憶體,諸如記憶體卡或容置一或多個唯讀(非揮發性)記憶體、隨機存取記憶體或其他可重寫(揮發性)記憶體之其他封裝;磁光或光學媒體,諸如磁碟或磁帶。因此,本揭示內容被視為包含本文中列出之任何一或多個電腦可讀媒體,且包含公認等效物及後繼媒體(其中儲存本文中之軟體實施方案)。
與動態網路外部之計算裝置通訊
雖然本文中所述之用於識別參數之動態操縱之方法可在網路100內良好地運作,但是該等方法確實存在關於與網路100外部之電腦通訊之一些問題。例如,網路100外部之電腦將不知道在運作中之用於操縱識別參數之動態處理程序。因此,若未採取適當動作,則可能中斷與網路100外部之電腦的通訊。因此,網路100有利地包含至少一橋接115,橋接115經配置以處理進入或離開網路100之通訊。該橋接確保該網路100內之計算裝置與該網路100外部之計算裝置之間之此等通 訊可在無錯誤之情況下發生。
橋接115係將具有類似於如圖2中所示之一模組之功能方塊圖之一功能方塊圖之一計算裝置。橋接115亦可具有類似於圖10中所示之電腦架構之一電腦架構。由橋接115執行之操作類似於由模組105至107、113、114執行之操作。橋接將從網路100接收資料通訊,且將在將此等資料通訊重新傳輸至一第二網路124之前根據一任務計劃而操縱識別參數。在一些實施例中,此等操縱將涉及將假識別參數轉換回至真識別參數,其中真識別參數基於該任務計劃中含有之資訊而判定。在第二網路未動態修改識別參數資訊之情況下,此一配置係足夠的。
在一替代實施例中,第二網路124係以類似於網路100之方式操作之一動態網路。因而,該第二網路可具有其自身之任務計劃(第二任務計劃)。在該情況中,橋接將從第一網路接收一資料通訊中之識別參數,且將具有假值之一第一組該等識別參數變換為代替性地具有真值。第二網路124之任務計劃可指定完全不同之動態網路。例如,第二網路之任務計劃可指定待修改之不同識別參數、不同觸發時序等等。因此,橋接將需要從第一網路接收訊息,根據第一網路100之任務計劃校正該第一組中之假值,且接著根據第二網路之任務計劃而動態地修改一第二組中之相同(或不同)識別參數。一旦該第二組識別參數已適當地轉換為假值,便將該資料通訊傳輸至第二網路。
應了解,根據與第一網路相關聯之一第一任務計劃判定第一組,且根據與第二網路相關聯之一第二任務計劃判定第二組。類似地,根據第一任務計劃判定該第一組中所含有之假資訊,且根據第二任務計劃判定該第二組中所含有之假資訊。該第一組識別參數相較於該第二組識別參數可為相同或不同。再者,應了解,第一組及第二組可包含該資料通訊中包含之所有或一些識別參數。該資料通訊通常將 為含有複數個識別參數之一封包資料通訊。該橋接亦將從第二網路124接收資料通訊,且將根據第一網路、第二網路或兩者之任務計劃而操縱此等資料通訊中之識別參數。例如,橋接可從第二資料網路接收一第二資料通訊,第二資料通訊可包含第二複數個識別參數。取決於第二網路是否動態地修改識別參數,該等第二識別參數可或可不指定假資訊。若第二網路未動態地修改識別參數,則橋接僅需使用與第一網路相關聯之任務計劃以動態地變換一組第二複數個識別參數以指定假資訊。
若第二網路確實動態地修改識別參數,則橋接將需要使用與第二網路相關聯之任務計劃以將一第一組第二複數個識別參數(具有假值)轉換為真值。此步驟較佳在該橋接使用與第一網路相關聯之任務計劃以將一第二組第二複數個識別參數變換為假值之前執行。第一組及第二組可相同或不同,且將在每個情況中藉由每個網路之任務計劃而判定。同樣地,經執行以將識別參數轉換為假值之變換可相同或不同,且將取決於與每個網路相關聯之任務計劃。此後,該橋接將此等資料通訊重新傳輸至網路100。
在一些實施例中,根據一偽隨機處理程序判定網路100、124之假識別參數。在該情況中,可藉由相關聯網路之任務計劃判定偽隨機處理程序及/或偽隨機處理程序之種子值。同樣地,可藉由偽隨機處理程序判定將要操縱之識別參數之選擇,其中藉由與每個網路相關聯之任務計劃分別判定該處理程序及/或此處理程序之種子值。如上文關於模組所描述,橋接將根據一或多個觸發事件之發生而對假識別參數值及/或將要操縱之識別參數之選擇作出改變。不同於模組,橋接115將需要相對於觸發事件而執行此等動作,該等觸發事件相對於第一網路及第二網路而發生。
除需要潛在地管理與一個以上任務計劃相關聯之動態操作以 外,橋接115之操作類似於模組之操作。然而應了解,橋接115之操作相較於模組105至107、113、114之操作係不同的。例如,不同於模組,執行識別參數操縱之位置在橋接115之情況中不改變。代替性地,當網路100中之至少一個模組處於作用中模式時,橋接115將始終處於作用中模式,因為橋接形成與網路100外部之計算裝置之一連結。
現參考圖12,提供概述橋接115之操作之流程圖。當橋接通電時,處理程序開始於步驟1202且繼續至步驟1204,其中初始化橋接應用程式軟體以執行本文中所述之方法。在步驟1206中,從該橋接內之一記憶體位置載入一或多個任務計劃。若橋接連接至未參與識別參數之動態操縱之一網路,則僅需要單個任務計劃。然而,若橋接連接兩個或兩個以上網路(其各者如本文中所述動態地修改識別參數),則在步驟1206中將載入一個以上任務計劃。一第一任務計劃可定義一第一網路之一動態操控,且一第二任務計劃可定義一第二網路之一動態操控。此時,橋接準備開始處理資料且在步驟1208中開始處理資料,其中橋接從其之一輸入資料緩衝器存取資料封包。在步驟1210中,橋接檢查其是否處於操作之旁通模式中。若是,則在步驟1212中在無任何資料封包修改之情況下重新傳輸在步驟1208中存取之資料封包。若橋接不處於旁通模式,則其必然處於其操作之作用中模式,且繼續至步驟1214。
在步驟1214中,橋接讀取資料封包以判定資料封包所源自之來源節點及目的地節點之識別。在步驟1216中,橋接檢驗資料封包以判定該來源節點是否有效。此可藉由比較該資料封包中指定之來源節點與有效來源節點之當前清單而完成。若來源節點資訊無效,則在步驟1218中捨棄該封包。在步驟1220中,處理程序檢查以判定是否已發生一觸發事件。此係重要步驟,因為觸發事件之發生可對適當假識別值 之計算具有顯著影響。若橋接使用兩個或兩個以上任務計劃,則此步驟包含判定是否已發生關於任一任務計劃之觸發事件。注意,每個任務計劃可涉及不同觸發事件。
所接收資料之來源及目的地位址資訊係重要的,因為需要允許橋接判定如何適當地操縱資料通訊內所含有之識別參數。一旦已判定此資訊,接著橋接便繼續至步驟1222,其中橋接判定假識別參數之選擇/值。接著,處理程序繼續至步驟1226,在該步驟橋接根據一或多個任務計劃而操縱資料封包之識別參數。一旦完成操縱,在1228處將資料封包從橋接之輸出埠重新傳輸至一鄰近節點。在步驟1230中,作出關於是否已命令橋接斷電之判定。若是,則處理程序在步驟1232結束;否則,處理程序返回至1208。在步驟1208中,處理程序繼續且從橋接之輸入資料緩衝器存取下一資料封包。如上文所解釋,在步驟1216處執行之操縱之類型將取決於資料通訊之來源及目的地,及是否存在一個或一個以上正動態操控之網路。
可變更之識別參數之類型
現參考圖13,提供可由模組105至107、113、114及/或由橋接115操縱之一些識別參數之一清單。圖13中列出之參數之各者包含於一資料通訊中,該資料通訊包含於使用TCP/IP通訊協定之一網路中。圖13中列出之大多數資訊類型為熟習此項技術者所熟知。然而,在本文中提供每個資訊類型及其作為識別參數之使用之簡單描述。亦提供每個識別參數可被操縱之方式之簡要論述。
IP位址。IP位址係指派至參與一電腦網路之每個計算裝置之數字識別符,其中該網路使用熟知的網際網路協定進行通訊。IP位址可為32位元或128位元數字。出於本發明之目的,IP位址數字可改變為隨機選擇之一假值(例如,使用偽隨機數字產生器)。或者,可從假值之一預定清單(例如,由任務計劃指定之一清單)隨機選擇假IP位址值。 來源及目的地IP位址包含於資料封包之TCP標頭部分中。因此,此等值之操縱藉由使用封包操縱技術僅改變IP標頭資訊而執行。當封包到達一第二模組(可操縱其位置)時,將假IP位址值變換回至其等之真值。第二模組使用相同偽隨機處理程序(或其逆處理程序)以基於假值而導出真IP位址值。
MAC位址。MAC位址係由製造商指派至一網路介面裝置且儲存於板載ROM中之唯一值。出於本發明之目的,來源及/或目的地MAC位址可改變為隨機選擇之一假值(例如,使用偽隨機數字產生器)。或者,可從假值之一預定清單(例如,由任務計劃指定之一清單)隨機選擇假MAC值。來源及目的地MAC位址包含於資料封包之IP標頭部分中。因此,此等值之操縱藉由僅改變每個封包之乙太網路標頭資訊而執行。當封包到達一第二模組(可操縱其位置)時,將假MAC位址值變換回至其等之真值。接收封包之一模組將使用相同偽隨機處理程序(或其逆處理程序)以基於假值而導出真MAC位址值。
網路/子網。在一些實施例中,IP位址可被視作單個識別參數。然而,IP位址通常定義為包含至少兩個部分,該等部分包含網路首碼部分及主機號碼部分。網路首碼部分識別資料封包待傳達至之網路。主機號碼識別區域網絡(LAN)內之特定節點。子網路(有時稱為子網)係IP網路之一邏輯部分。在網路被劃分為兩個或兩個以上子網路之情況下,IP位址之主機號碼區段之一部分係用於指定子網號碼。出於本發明之目的,可將網路首碼、子網號碼及主機號碼之各者視作單獨識別參數。因此,此等識別參數之各者可以偽隨機方式獨立於其他者而單獨操縱。此外,應了解,資料封包將包含來源IP位址及目的地IP位址。因此,可在來源IP位址及/或目的地IP位址中操縱網路首碼、子網號碼及主機號碼,從而可以偽隨機方式操縱總共六個不同可變識別參數。接收封包之模組將使用相同於源節點之偽隨機處理程序(或此處 理程序之逆處理程序)以基於假值導出真網路/子網資訊值。
TCP序列。在TCP會期之相對側上彼此通訊之兩個用戶端電腦各將維持一TCP序列號碼。該序列號碼允許每個電腦追蹤其已傳達多少資料。TCP序列號碼包含於在會期期間傳達之每個封包之TCP標頭部分中。在TCP會期起始時,隨機選擇初始序列號碼值。出於本發明之目的,TCP序列號碼可根據一偽隨機處理程序而操縱為一識別參數。例如,TCP序列號碼可改變為隨機選擇之一假值(例如,使用偽隨機數字產生器)。當在網路之一不同模組(將動態地變更其位置)處接收封包時,該TCP序列號碼可使用偽隨機處理程序之逆處理程序而從假值變換回至真值。
埠號碼。TCP/IP埠號碼包含於資料封包之TCP或UDP標頭部分中。如TCP/IP通訊協定中使用之埠在此項技術中係熟知的,且因此在本文中將不詳細描述。埠資訊包含於資料封包之TCP標頭部分內。因此,埠資訊之操縱藉由僅修改TCP標頭資訊以將真埠值改變為假埠值而完成。如同本文中論述之其他識別參數,可在第一模組處根據一偽隨機處理程序將埠號碼資訊操縱或變換為假值。隨後,可在第二模組處使用偽隨機處理程序之逆處理程序將埠資訊從假值變換為真值。
雖然已關於一或多個實施方案繪示及描述本發明,但是熟習此項技術者在閱讀及瞭解本說明書及該等附圖之後將想起等效變更及修改。此外,雖然可能已關於若干實施方案之僅一者揭示本發明之一特定特徵,但是如對於任何給定或特定應用可期望及有利,此特徵可與其他實施方案之一或多個其他特徵組合。因此,本發明之廣度及範疇不應受限於任何上述實施例。實情係,本發明之範疇應根據以下申請專利範圍及其等效物加以定義。
105‧‧‧模組
201‧‧‧資料埠
202‧‧‧資料埠
204‧‧‧網路介面裝置
205‧‧‧網路介面裝置
206‧‧‧輸出緩衝器
208‧‧‧輸入緩衝器
210‧‧‧輸入緩衝器
212‧‧‧輸出緩衝器
215‧‧‧處理器
218‧‧‧記憶體
220‧‧‧任務計劃

Claims (10)

  1. 一種用於將資料從包含於一第一電腦網路中之一第一計算裝置傳達至包含於一第二電腦網路中之一第二計算裝置之方法,其包括:在該第一電腦網路上傳輸一資料通訊,該資料通訊包含第一複數個識別參數,其等指定與該等第一及第二計算裝置之至少一者相關聯之真值;在該第一電腦網路中之一第一位置處動態地修改一第一組該第一複數個識別參數,以在將該資料通訊重新傳輸至一橋接位置之前變換該第一組以指定假資訊;在該電腦網路中之該橋接位置處動態地修改該第一組,以變換該第一組以指定真資訊;在該橋接位置處變換該第一組以指定真資訊之後,將該資料通訊從該橋接位置傳輸至該第二電腦網路;及動態地變更該電腦網路內之該第一位置之一定位。
  2. 如請求項1之方法,其中該第二電腦網路未動態地修改識別參數,且該資料通訊從該橋接傳輸至該第二網路,其中所有該第一複數個識別參數含有真資訊。
  3. 如請求項1之方法,其中該第二電腦網路動態地修改識別參數,且該方法進一步包括在該橋接位置處動態地修改一第二組該複數個識別參數,以變換該第二組以指定假資訊。
  4. 如請求項3之方法,其中該第一組係根據一第一任務計劃判定,且該第二組係根據一第二任務計劃判定。
  5. 如請求項4之方法,其中該第一組中含有之該假資訊係根據該第一任務計劃判定,且該第二組中含有之該假資訊係根據該第二 任務計劃判定。
  6. 如請求項4之方法,其中該第一組不同於該第二組。
  7. 如請求項1之方法,其進一步包括:在該橋接位置處從該第二電腦網路之該第二計算裝置接收一第二資料通訊,該第二資料通訊含有與該等第一及第二計算裝置之至少一者相關聯之第二複數個識別參數;在該橋接位置處動態地修改一第一組該第二複數個識別參數,以變換該第一組該第二複數個識別參數以指定假資訊;及在變換該第一組該第二複數個識別參數以指定假資訊之後,將該資料通訊從該橋接位置傳輸至該第一電腦網路。
  8. 如請求項1之方法,其進一步包括回應於至少一觸發事件而變更該第一位置之該定位。
  9. 如請求項8之方法,其進一步包括基於一使用者命令、一時序間隔及一潛在網路安全威脅之一偵測之至少一者而判定該觸發事件之發生。
  10. 一種用於在包含於一第一電腦網路中之一第一計算裝置與包含於一第二電腦網路中之一第二計算裝置之間傳達資料之橋接,其中該資料包含用於轉換關於該第一計算裝置及該第二計算裝置之至少一者之資訊之複數個識別參數值,該橋接包括:至少一電腦處理裝置,其經組態以:選擇性地執行一第一變換,其中從該第一計算裝置至該第二計算裝置之一第一資料通訊中之一第一組識別參數值從假值變換為真值;配合該第一電腦網路中之複數個模組而動態地判定該第一變換之至少一特性。
TW102104973A 2012-02-09 2013-02-07 用於與一動態電腦網路進行通訊之橋接 TWI479357B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US13/369,442 US8898795B2 (en) 2012-02-09 2012-02-09 Bridge for communicating with a dynamic computer network

Publications (2)

Publication Number Publication Date
TW201346626A true TW201346626A (zh) 2013-11-16
TWI479357B TWI479357B (zh) 2015-04-01

Family

ID=47679110

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102104973A TWI479357B (zh) 2012-02-09 2013-02-07 用於與一動態電腦網路進行通訊之橋接

Country Status (7)

Country Link
US (1) US8898795B2 (zh)
EP (1) EP2813050B1 (zh)
KR (1) KR101547080B1 (zh)
CN (1) CN104106250B (zh)
CA (1) CA2861014C (zh)
TW (1) TWI479357B (zh)
WO (1) WO2013119429A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10397196B2 (en) * 2017-02-28 2019-08-27 Cyber 2.0 (2015) Ltd. Port-scrambling-based networks
US10554683B1 (en) * 2016-05-19 2020-02-04 Board Of Trustees Of The University Of Alabama, For And On Behalf Of The University Of Alabama In Huntsville Systems and methods for preventing remote attacks against transportation systems

Family Cites Families (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5734649A (en) 1996-05-31 1998-03-31 Bbn Corporation Data packet router
US6052064A (en) 1997-10-30 2000-04-18 Motorola, Inc. Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones
US6646989B1 (en) * 1998-06-29 2003-11-11 Lucent Technologies Inc. Hop-by-hop routing with node-dependent topology information
ATE492973T1 (de) 1998-10-30 2011-01-15 Virnetx Inc Netzwerkprotokoll zur geschützten kommunikation
US6839759B2 (en) 1998-10-30 2005-01-04 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7240368B1 (en) 1999-04-14 2007-07-03 Verizon Corporate Services Group Inc. Intrusion and misuse deterrence system employing a virtual network
US6981146B1 (en) 1999-05-17 2005-12-27 Invicta Networks, Inc. Method of communications and communication network intrusion protection methods and intrusion attempt detection system
US6934763B2 (en) * 2000-04-04 2005-08-23 Fujitsu Limited Communication data relay system and method of controlling connectability between domains
AU2001271267A1 (en) 2000-05-23 2001-12-03 Invicta Networks, Inc. Systems and methods for communication protection
US7757272B1 (en) * 2000-06-14 2010-07-13 Verizon Corporate Services Group, Inc. Method and apparatus for dynamic mapping
US7043633B1 (en) 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
US8677505B2 (en) * 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
US7739497B1 (en) * 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
FI110464B (fi) * 2001-04-26 2003-01-31 Nokia Corp IP-tietoturva ja liikkuvat verkkoyhteydet
US7085267B2 (en) * 2001-04-27 2006-08-01 International Business Machines Corporation Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet
US6917974B1 (en) 2002-01-03 2005-07-12 The United States Of America As Represented By The Secretary Of The Air Force Method and apparatus for preventing network traffic analysis
US7114005B2 (en) 2002-02-05 2006-09-26 Cisco Technology, Inc. Address hopping of packet-based communications
US7712130B2 (en) 2002-03-22 2010-05-04 Masking Networks, Inc. Multiconfigurable device masking shunt and method of use
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7216359B2 (en) 2002-12-19 2007-05-08 International Business Machines Corporation Secure communication overlay using IP address hopping
US20040255167A1 (en) 2003-04-28 2004-12-16 Knight James Michael Method and system for remote network security management
US7469279B1 (en) 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
US20050038708A1 (en) 2003-08-10 2005-02-17 Gmorpher Incorporated Consuming Web Services on Demand
US8934116B2 (en) * 2003-09-22 2015-01-13 Sharp Kabushiki Kaisha Line concentrator and information processing system using the same, assigning transmitted data to all devices in the group of information processing devices
US7382778B2 (en) 2004-01-05 2008-06-03 Tropos Networks, Inc. Link layer emulation
EP1732265B1 (en) * 2004-03-03 2010-10-06 National Institute of Information and Communications Technology, Incorporated Administrative Agency Layer 2 switch network system
WO2005103958A1 (en) 2004-04-20 2005-11-03 The Boeing Company Apparatus and method for automatic web proxy discovery and configuration
US20080205399A1 (en) * 2004-09-30 2008-08-28 Christophe Delesalle Method and System for Routing in Communication Networks Between a First Node and a Second Node
US9383750B2 (en) 2004-12-02 2016-07-05 Lockheed Martin Corporation System for predictively managing communication attributes of unmanned vehicles
WO2006075323A2 (en) 2005-01-13 2006-07-20 Flash Networks Ltd Method and system for optimizing dns queries.
US7996894B1 (en) * 2005-02-15 2011-08-09 Sonicwall, Inc. MAC address modification of otherwise locally bridged client devices to provide security
US7937756B2 (en) 2005-08-19 2011-05-03 Cpacket Networks, Inc. Apparatus and method for facilitating network security
JP4626811B2 (ja) 2005-09-29 2011-02-09 日本電気株式会社 ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
US8199677B1 (en) * 2005-12-14 2012-06-12 Rockwell Collins, Inc. Distance vector routing via multi-point relays
US7890612B2 (en) 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
JP4732257B2 (ja) * 2006-07-07 2011-07-27 富士通株式会社 中継装置、経路制御方法、及び経路制御プログラム
US8136162B2 (en) 2006-08-31 2012-03-13 Broadcom Corporation Intelligent network interface controller
US8189460B2 (en) 2006-12-28 2012-05-29 Cisco Technology, Inc. Method and system for providing congestion management within a virtual talk group
JP2008177714A (ja) 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
US7853998B2 (en) 2007-03-22 2010-12-14 Mocana Corporation Firewall propagation
US7853680B2 (en) 2007-03-23 2010-12-14 Phatak Dhananjay S Spread identity communications architecture
US8464334B1 (en) 2007-04-18 2013-06-11 Tara Chand Singhal Systems and methods for computer network defense II
US8301789B2 (en) 2007-06-18 2012-10-30 Emc Corporation Techniques for port hopping
US7836354B2 (en) 2007-07-02 2010-11-16 Verizon Patent And Licensing Inc. Method and system for providing automatic disabling of network debugging
US20090059788A1 (en) 2007-08-29 2009-03-05 Motorola, Inc. Method and Apparatus for Dynamic Adaptation of Network Transport
US8560634B2 (en) 2007-10-17 2013-10-15 Dispersive Networks, Inc. Apparatus, systems and methods utilizing dispersive networking
WO2009052452A2 (en) 2007-10-17 2009-04-23 Dispersive Networks Inc. Virtual dispersive routing
US8539098B2 (en) 2007-10-17 2013-09-17 Dispersive Networks, Inc. Multiplexed client server (MCS) communications and systems
US20090165116A1 (en) 2007-12-20 2009-06-25 Morris Robert P Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity
CN101521569B (zh) * 2008-02-28 2013-04-24 华为技术有限公司 实现服务访问的方法、设备及系统
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US9042549B2 (en) 2009-03-30 2015-05-26 Qualcomm Incorporated Apparatus and method for address privacy protection in receiver oriented channels
US8139504B2 (en) * 2009-04-07 2012-03-20 Raytheon Bbn Technologies Corp. System, device, and method for unifying differently-routed networks using virtual topology representations
US8553849B2 (en) 2009-06-17 2013-10-08 Avaya Inc. Personal identification and interactive device for internet-based text and video communication services
US20100333188A1 (en) 2009-06-29 2010-12-30 Politowicz Timothy J Method for protecting networks against hostile attack
US8793792B2 (en) 2010-05-07 2014-07-29 Raytheon Company Time-key hopping
US9225656B2 (en) 2011-02-07 2015-12-29 Brocade Communications Systems, Inc. Quality of service in a heterogeneous network
US9202078B2 (en) * 2011-05-27 2015-12-01 International Business Machines Corporation Data perturbation and anonymization using one way hash
US8495738B2 (en) 2011-10-21 2013-07-23 Lockheed Martin Corporation Stealth network node

Also Published As

Publication number Publication date
KR101547080B1 (ko) 2015-08-25
TWI479357B (zh) 2015-04-01
EP2813050A1 (en) 2014-12-17
WO2013119429A1 (en) 2013-08-15
US20130212687A1 (en) 2013-08-15
CN104106250A (zh) 2014-10-15
CA2861014C (en) 2015-09-08
CA2861014A1 (en) 2013-08-15
US8898795B2 (en) 2014-11-25
CN104106250B (zh) 2016-06-29
KR20140124777A (ko) 2014-10-27
EP2813050B1 (en) 2019-01-02

Similar Documents

Publication Publication Date Title
TWI489314B (zh) 用於使用影子網路技術以識別、阻斷及/或延遲對一網路之攻擊的系統及方法
TWI496446B (zh) 一動態電腦網路中用於通信之雜訊、加密及誘餌
TWI514184B (zh) 用於動態地改變網路狀態之系統及方法
TW201407405A (zh) 在一動態電腦網路中過濾通信之防火牆
TWI464618B (zh) 於動態電腦網路中用於交流資料之路由器
TWI516072B (zh) 於原有硬體中實施活動目標技術之系統及方法
TWI479860B (zh) 具有可變識別參數之動態電腦網路
TWI496445B (zh) 動態電腦網路之任務管理
TWI510956B (zh) 交換器及用於在將複數個裝置連接至動態電腦網路之交換器中使用之方法
TWI479357B (zh) 用於與一動態電腦網路進行通訊之橋接

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees