TW201407405A - 在一動態電腦網路中過濾通信之防火牆 - Google Patents

在一動態電腦網路中過濾通信之防火牆 Download PDF

Info

Publication number
TW201407405A
TW201407405A TW102113512A TW102113512A TW201407405A TW 201407405 A TW201407405 A TW 201407405A TW 102113512 A TW102113512 A TW 102113512A TW 102113512 A TW102113512 A TW 102113512A TW 201407405 A TW201407405 A TW 201407405A
Authority
TW
Taiwan
Prior art keywords
identification code
network
module
parameters
mission plan
Prior art date
Application number
TW102113512A
Other languages
English (en)
Inventor
Wayne B Smith
Ryan E Sharpe
Original Assignee
Harris Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harris Corp filed Critical Harris Corp
Publication of TW201407405A publication Critical patent/TW201407405A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本發明揭示一種用於在一動態電腦網路中過濾資料通信之方法及裝置。該方法包括接收包括複數個識別碼參數之一資料封包。藉由比較該複數個識別碼參數與一過濾規則集合來過濾該資料封包。該等過濾規則在該等識別碼參數之一集合已經偽隨機地變換以指定假識別碼參數且彼等假識別碼參數在基於一任務計劃而判定之一當前經允許假識別碼參數集合內的情況下,允許該資料封包進入該網路中。

Description

在一動態電腦網路中過濾通信之防火牆
本發明之配置係關於電腦網路安全性,且更特定言之,係關於用於過濾進入網路之通信之系統,其中該網路可動態操控以抵禦惡意攻擊。
當前電腦基礎結構之主要弱點為其靜態性質。資產接收永久性或偶爾改變之識別,從而允許敵人有幾乎無限的時間來探查網路、勘查及利用弱點。另外,可擷取及表徵在此等固定實體之間行進之資料。達到電腦安全性之當前途徑在固定資產周圍置放諸如防火牆及侵入偵測系統之技術,且使用加密以保護在途中之資料。然而,此傳統途徑根本上有缺陷,此係因為其向攻擊者提供固定目標。在如今之全球連接之通信基礎結構中,靜態網路係易受攻擊之網路。
美國國防高級研究計劃局(DARPA)資訊保證(IA)程式已在動態網路防衛之領域中執行初始研究。開發在資訊保證程式下用以動態地重新指派饋入至預先指定的網路指定位址空間(enclave)中之網際網路協定(IP)位址空間以達成混淆觀測該網路之任何潛在敵人的目的之技術。此技術稱為動態網路位址變換(DYNAT)。在題為「Dynamic Approaches to Thwart Adversary Intelligence」(2001年)之由DARPA發佈之論文中呈現DYNAT技術之綜述。
本發明之實施例係關於一種在一動態電腦網路中過濾資料通信之方法。該方法包括接收包括複數個識別碼參數之一資料封包。藉由比較該複數個識別碼參數與一過濾規則集合來過濾該資料封包。該等過濾規則在該等識別碼參數之一集合已偽隨機地變換以指定假識別碼參數且彼等假識別碼參數係在基於一任務計劃而判定之一當前經允許假識別碼參數集合內的情況下允許該資料封包進入該網路中。
本發明亦係關於一種網路器件,該網路器件包括輸入電路,該輸入電路連接至經組態以接收一資料封包之一輸入埠。該資料封包包括複數個識別碼參數。該網路器件亦包括一電腦可讀儲存媒體,該電腦可讀儲存媒體上儲存有用於在一動態網路中過濾資料通信之一電腦程式,該電腦程式具有複數個程式碼區段,該等程式碼區段可由一網路器件執行以使該網路器件執行一系列步驟。該等步驟包括藉由比較該複數個識別碼參數與一過濾規則集合來過濾該資料封包。該等過濾規則在該等識別碼參數之一集合已偽隨機地變換以指定在基於一任務計劃而判定之一當前經允許假識別碼參數集合內的假識別碼參數的情況下允許該資料封包進入該網路中。
100‧‧‧電腦網路
101‧‧‧用戶端電腦
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦
104‧‧‧網路管理電腦(NAC)
105‧‧‧模組
106‧‧‧模組
107‧‧‧模組
108‧‧‧網路集線器/網路節點
109‧‧‧網路集線器/網路節點
110‧‧‧路由器/網路節點
111‧‧‧伺服器
112‧‧‧伺服器
113‧‧‧模組
114‧‧‧模組
115‧‧‧橋接器
120‧‧‧識別碼參數(IDP)集合
122‧‧‧識別碼參數(IDP)集合
124‧‧‧第二網路
130‧‧‧第一邏輯網路
132‧‧‧第二邏輯網路
201‧‧‧資料埠
202‧‧‧資料埠
204‧‧‧網路介面器件
205‧‧‧網路介面器件
206‧‧‧輸出緩衝器
208‧‧‧輸入緩衝器
210‧‧‧輸入緩衝器
212‧‧‧輸出緩衝器
215‧‧‧處理器
218‧‧‧記憶體
220‧‧‧任務計劃
300‧‧‧工作區
302‧‧‧網路組件
304‧‧‧游標
306‧‧‧資料連接
400‧‧‧對話方塊
401‧‧‧核取方塊
402‧‧‧索引標籤
404‧‧‧索引標籤
406‧‧‧索引標籤
408‧‧‧使用者介面控制項/致能IP位址跳頻
410‧‧‧使用者介面控制項/源位址方塊
412‧‧‧使用者介面控制項/目的地位址方塊
414‧‧‧使用者介面控制項/偽隨機程序
415‧‧‧使用者介面控制項/偽隨機程序
416‧‧‧使用者介面控制項/基於時間之觸發器
418‧‧‧使用者介面控制項/週期性地發生基於時間之觸發器
420‧‧‧使用者介面控制項/滑桿
422‧‧‧源位址之所允許值之範圍
424‧‧‧目的地位址之所允許值之範圍
428‧‧‧基於事件之觸發器
430‧‧‧基於事件之觸發器
432‧‧‧下拉式選單
500‧‧‧對話方塊
502‧‧‧控制項
503‧‧‧表
5041‧‧‧時槽
5042‧‧‧時槽
5043‧‧‧時槽
5044‧‧‧時槽
506‧‧‧定時時期
508‧‧‧游標
510‧‧‧按鈕
602‧‧‧網路控制軟體應用程式(NCSA)
604‧‧‧任務計劃
606‧‧‧通信媒體
700‧‧‧對話方塊
702‧‧‧任務計劃
704‧‧‧發送任務計劃按鈕
1000‧‧‧模組/電腦系統
1002‧‧‧顯示單元
1008‧‧‧指令集/指令
1010‧‧‧電腦可讀儲存媒體
1012‧‧‧處理器
1016‧‧‧網路介面器件
1017‧‧‧網路介面器件
1018‧‧‧靜態記憶體
1020‧‧‧主記憶體
1022‧‧‧匯流排
1102‧‧‧顯示單元
1104‧‧‧使用者輸入器件
1106‧‧‧磁碟機單元
1108‧‧‧指令集/指令
1110‧‧‧電腦可讀儲存媒體
1112‧‧‧處理器
1114‧‧‧游標控制器件
1116‧‧‧網路介面器件
1118‧‧‧靜態記憶體
1120‧‧‧主記憶體
1122‧‧‧匯流排
將參看以下圖式來描述實施例,在該等圖式中,相同數字貫穿諸圖表示相同項目,且在該等圖式中:圖1為有用於理解本發明之電腦網路的實例。
圖2為可用於本發明中以用於執行識別碼參數之某些操縱之模組的實例。
圖3為有用於理解可用以幫助特性化圖1之網路的工具之圖式。
圖4為可用以選擇圖1中之模組之動態設定的圖形使用者介面之對話方塊的實例。
圖5為可用以選擇與圖1中之每一模組相關聯的作用中狀態及旁路狀態序列之圖形使用者介面之對話方塊的實例。
圖6為有用於理解可將任務計劃傳達至圖1中之網路中之複數個模組之方式的圖式。
圖7為可用以選擇任務計劃且將該任務計劃傳達至如圖6所示之模組的圖形使用者介面之對話方塊的實例。
圖8為有用於理解圖1中之模組之操作的流程圖。
圖9為有用於理解與建立及載入任務計劃有關之網路控制軟體應用程式(NCSA)之操作的流程圖。
圖10為可用以實施圖1中之模組之電腦架構的方塊圖。
圖11為可用以實施圖1中之網路管理電腦(NAC)之電腦架構的方塊圖。
圖12為有用於理解防火牆之操作的流程圖。
圖13為有用於理解可被修改之識別碼參數之一些類型的表。
參考附圖來描述本發明。該等圖未按比例繪製,且提供該等圖僅僅係為了說明本發明。下文參考用於說明之實例應用來描述本發明之若干態樣。應理解,闡述眾多特定細節、關係及方法以提供對本發明之全面理解。然而,一般熟習相關技術者將易於認識到,可在不具有特定細節中之一或多者的情況下或藉由其他方法來實踐本發明。在其他情況下,為避免混淆本發明,未詳細地展示熟知結構或操作。本發明不受動作或事件之所說明排序限制,此係因為一些動作可以不同次序發生及/或可與其他動作或事件同時發生。此外,並不需要所有所說明動作或事件來實施根據本發明之方法。
亦應瞭解,本文所使用之術語係僅出於描述特定實施例之目的且不意欲限制本發明。如本文所使用,單數形式「一」及「該」意欲 亦包括複數形式,除非上下文另外明確地指示。此外,就在【實施方式】及/或申請專利範圍中使用術語「包括」、「具有」或其變體而言,此等術語意欲以與術語「包含」類似之方式而為包括性的。
另外,除非另有定義,否則本文所使用之所有術語(包括技術及科學術語)皆具有與由一般熟習本發明所屬之技術者通常理解之含義相同的含義。應進一步理解,術語(諸如,常用辭典中所定義的彼等術語)應被解釋為具有與其在相關技術背景中之含義一致的含義,且不應以理想化或過度形式化之意義來解釋,除非本文中明確地如此定義。
識別碼敏捷式電腦網路
現在參看圖1,展示包括複數個計算器件之例示性網路100之圖式。計算器件可包括用戶端電腦101至103、網路管理電腦(NAC)104、伺服器111、112、網路集線器108、109、路由器110,及橋接器115。用戶端電腦可為可需要網路服務之任何類型之計算器件,諸如,習知平板電腦、筆記型電腦、膝上型電腦或桌上型電腦。路由器110可為在電腦網路之間投送資料封包之習知路徑選擇器件。集線器108、109為如在此項技術中熟知之習知集線器器件(例如,乙太網路集線器)。伺服器111、112可提供由用戶端電腦101至103利用之各種計算服務。舉例而言,伺服器111、112可為提供由用戶端電腦101至103使用之電腦檔案之共用儲存之位置的檔案伺服器。
用於網路100之通信媒體可為有線的、無線的或其兩者,但為簡單起見且為了避免混淆本發明,在本文將被描述為有線網路。該網路將使用通信協定傳達資料。如在此項技術中為吾人所熟知,通信協定定義用於貫穿網路傳達資料之格式及規則。圖1中之網路可使用任何通信協定或未被知曉或在未來知曉之協定之組合。舉例而言,網路可使用熟知乙太網路協定套組以用於此等通信。或者,網路可使用其他 協定,諸如,網際網路協定套組(常常被稱作TCP/IP)、SONET/SDH,或非同步傳送模式(ATM)通信協定。在一些實施例中,可組合地使用此等通信協定中之一或多者。儘管圖1中展示一個網路拓撲,但本發明在此方面不受限制。實情為,可使用任何類型之合適網路拓撲,諸如,匯流排網路、星形網路、環形網路或網狀網路。
本發明大體而言係關於一種用於在電腦網路中(例如,在電腦網路100中)傳達資料之方法,其中資料係自第一計算器件而傳達至第二計算器件。該網路內之計算器件係用多個識別碼參數表示。如本文所使用之片語「識別碼參數」可包括諸如網際網路協定(IP)位址、媒體存取控制(MAC)位址、埠等等之項目。然而,本發明在此方面不受限制,且識別碼參數亦可包括有用於特性化網路節點之多種其他資訊。 在下文進一步詳細地論述本文所預期之各種類型之識別碼參數。本發明之配置涉及使用移動目標技術(MTT)以操縱用於該網路內之一或多個計算器件之此等識別碼參數中的一或多者。此技術偽裝此等計算器件之通信型樣及網路位址。如本文所描述之識別碼參數之操縱大體而言係結合網路中之資料通信(亦即,當資料待自網路中之第一電腦(例如,用戶端電腦101)傳達至網路中之第二電腦(例如,用戶端電腦102)時)來執行。因此,經操縱之識別碼參數可包括源計算器件(資料源自之器件)及目的地計算器件(資料被發送至之器件)之彼等識別碼參數。經傳達之識別碼參數之集合在本文被稱作識別碼參數集合(IDP集合)。圖1中說明此概念,圖1展示IDP集合120係由用戶端電腦101傳輸而作為資料封包(未圖示)之部分。
根據本發明之配置之程序涉及選擇性地修改在電腦網路內之第一位置處的在指定源及/或目的地計算器件之一或多個識別碼參數之資料封包或資料報中所含有的值。根據任務計劃來修改識別碼參數。執行此修改之位置通常將與模組105至107、113、114中之一者之位置 一致。再次參看圖1,可看到,模組105、106、107、113、114在該網路中插入於在此網路中包含節點之各種計算器件之間。在此等位置中,該等模組截獲資料封包通信、執行識別碼參數之必要操縱,且沿著傳輸路徑重新傳輸該等資料封包。在替代實施例中,模組105、106、107、113、114可執行類似功能,但可直接整合至計算器件中之一或多者中。舉例而言,該等模組可整合至用戶端電腦101、102、103、伺服器111、112、集線器108、109、橋接器115,及/或路由器110內。集線器108、109、橋接器115及/或路由器110亦可包括能夠過濾包括經修改IDP集合之訊務的防火牆。
另外,網路100可劃分成數個邏輯分部(有時被稱作子網路),其係經由路由器110連接。出於多種管理或技術原因,企業網路可劃分成數個子網路,該等原因包括(但不限於)隱藏網路之拓撲使其對外部主機不可見、連接利用不同網路協定之網路、分離地管理子網路層級上之網路定址方案、使得能夠管理歸因於受約束資料連接之橫越子網路之資料訊務,及其類似者。子網路連接在此項技術中為吾人所熟知,且將不予以進一步詳細地描述。
再次參看圖1,網路100劃分成兩個邏輯網路:第一邏輯網路130及第二邏輯網路132。如本文所使用之片語「邏輯網路」指代電腦網路之任何邏輯分部。在一實施例中,邏輯網路130、132經由路由器110連接。路由器110負責將訊務引導於該等邏輯網路之間,亦即,自用戶端電腦101引導至用戶端電腦103。路由器110亦負責將訊務自連接至網路100之任何主機引導前往第二網路124。在圖1所示之實施例中,自網路100投送至第二網路124之訊務傳遞通過橋接器115。如同上文之模組一樣,橋接器115之功能性可整合於路由器110內及/或包括防火牆。
圖2展示模組105之功能方塊圖之實例。模組106至107、113、114 可具有類似功能方塊圖,但應理解,本發明在此方面不受限制。如圖2所示,模組105具有至少兩個資料埠201、202,其中每一者可對應於一各別網路介面器件204、205。在網路介面器件204處處理在埠201處接收之資料,且暫時將在埠201處接收之資料儲存於輸入緩衝器210處。處理器215存取輸入緩衝器210中所含有之輸入資料封包且執行如本文所描述之識別碼參數之任何必要操縱。將經修改資料封包傳遞至輸出緩衝器212,且隨後自埠202使用網路介面器件205傳輸該等經修改資料封包。類似地,在網路介面器件205處處理在埠202處接收之資料,且暫時將在埠202處接收之資料儲存於輸入緩衝器208處。處理器215存取輸入緩衝器208中所含有之輸入資料封包,且執行如本文所描述之識別碼參數之任何必要操縱。將經修改資料封包傳遞至輸出緩衝器206,且隨後自埠201使用網路介面器件204傳輸該等經修改資料封包。在每一模組中,藉由處理器215根據儲存於記憶體218中之任務計劃220來執行識別碼參數之操縱。
自圖2應理解,模組較佳經組態而使得其雙向地操作。在此等實施例中,該模組可取決於特定資料封包之源而實施不同修改功能。可根據特定資料封包之源計算器件在任務計劃中指定每一模組中之動態修改功能。模組可藉由任何合適構件判定資料封包之源。舉例而言,出於此目的,可使用資料封包之源位址。
在網路100內之選定模組處,處理器215將判定待代替真識別碼參數值而使用之一或多個假識別碼參數值。處理器將把一或多個真識別碼參數值變換成較佳藉由偽隨機函數指定之一或多個假識別碼參數值。在此變換之後,模組將會將經修改封包或資料報沿著傳輸路徑轉遞至網路之下一節點。在通信路徑中之後續點處,監視此等網路通信之敵人將觀測到關於在網路上傳達之計算器件之識別碼的假或不正確資訊。
在一較佳實施例中,藉由偽隨機函數指定之假識別碼參數根據一或多個觸發事件之發生而變化。觸發事件引起處理器215使用偽隨機函數以產生真識別碼參數變換成之假識別碼參數值之新集合。因此,觸發事件充當本文所描述之假識別碼參數之動態變化之基礎。下文中更詳細地論述觸發事件。然而,應注意,用於選擇識別碼參數之假值之新集合的觸發事件可基於時間之推移及/或某些網路事件之發生。觸發事件亦可藉由使用者命令起始。
上文所描述之識別碼參數之變換提供一種用以操控電腦網路100以達成阻礙電腦攻擊之目的之方式。在一較佳實施例中,由處理器215實施之任務計劃220亦將控制可操控電腦網路之方式之某些其他態樣。舉例而言,任務計劃可指定識別碼參數之動態選擇被操縱。動態選擇可包括哪些識別碼參數被選擇用於修改之選擇,及/或所選擇之此等識別碼參數之數目。此可變選擇程序提供不確定性或變化之添加維度,其可用以進一步阻礙敵人滲入或獲悉電腦網路100之努力。作為此技術之一實例,考慮在第一時間週期期間,模組可修改每一資料封包之目的地IP位址及目的地MAC位址。在第二時間週期期間,模組可操縱每一資料封包中之源IP位址及源主機名稱。在第三時間週期期間,模組可操縱源埠數目及源使用者名稱。可同步地發生識別碼參數之選擇之改變(所有選定識別碼參數同時改變)。或者,可非同步地發生識別碼參數之選擇之改變(選定識別碼參數之群組隨著添加個別識別碼參數或自選定識別碼參數之群組移除個別識別碼參數而遞增地改變)。
偽隨機函數較佳用於判定待操縱或變換成假值之識別碼值之選擇。換言之,模組將僅變換藉由偽隨機函數選擇之識別碼參數。在一較佳實施例中,藉由偽隨機函數指定之識別碼參數之選擇根據觸發事件之發生而變化。觸發事件引起處理器215使用偽隨機函數以產生待 變換成假識別碼參數之識別碼參數之新選擇。因此,觸發事件充當本文所描述之識別碼參數之選擇之動態變化的基礎。值得注意地,識別碼參數之值亦可根據偽隨機演算法而變化。
有利地,模組亦能夠提供操控電腦網路以達成阻礙電腦攻擊之目的之第三種方法。特定言之,載入於每一模組中之任務計劃可動態地變化網路內發生識別碼參數之修改或變換的位置。考慮可在模組105中發生自用戶端電腦101發送至用戶端電腦102之IDP集合120中之識別碼參數之修改。圖1中展示此條件,其中在模組105中操縱IDP集合120中所含有之識別碼參數使得IDP集合120變換成新或經修改IDP集合122。相比於IDP集合120中之識別碼參數,IDP集合122中之至少一些識別碼參數係不同的。但發生此變換之位置較佳亦受到任務計劃控制。因此,舉例而言,有時可在模組113或114處而非在模組105處發生對IDP集合120之操縱。用以選擇性地變化發生識別碼參數之操縱之位置的此能力將另一重要維度添加至電腦網路之操控能力。
藉由選擇性地控制每一模組之操作狀態來促進修改識別碼參數之位置的動態變化。為此,每一模組之操作狀態較佳包括(1)資料根據當前任務計劃予以處理之作用中狀態,及(2)封包可如同模組不存在而流動通過模組之旁路狀態。藉由選擇性地使某些模組處於作用中狀態且某些模組處於待用狀態來控制執行動態修改之位置。可藉由以協調方式動態地變化模組之當前狀態來動態地改變該位置。
任務計劃可包括用於判定在電腦網路100內待操縱識別碼參數之位置的預定義序列。待操縱識別碼參數的位置將根據該序列在觸發事件指示的時間改變。舉例而言,觸發事件可引起轉變至新位置,以操縱或變換如本文所描述之識別碼參數。因此,觸發事件充當識別碼參數被修改之位置之改變的發生的基礎,且預定義序列判定新位置將在何處。
自前述內容,應瞭解,資料封包在模組處經修改以包括假識別碼參數。在電腦網路內之某點處,有必要使識別碼參數復原至其真值,使得識別碼參數可用以根據特定網路協定適當地執行其所欲之功能。因此,本發明之配置亦包括在第二位置(亦即,第二模組)處根據任務計劃動態地修改識別碼參數之經指派值。在第二位置處之修改基本上包含以第一位置處之程序的逆程序來修改識別碼參數。第二位置處之模組因此可將假值識別碼參數復原或變換回至其真值。為了實現此動作,第二位置處之模組必須至少能夠判定(1)待變換之識別碼參數值之選擇,及(2)選定識別碼參數自假值至真值之正確變換。實際上,此程序涉及偽隨機程序之逆程序或用以判定識別碼參數選擇及對此等識別碼參數值實現之改變的程序。圖1中說明逆變換步驟,其中在模組106處接收IDP集合122,且IDP集合122中之識別碼參數值經變換或經操縱回至其原始值或真值。在此情境中,模組106將該等識別碼參數值轉換回至IDP集合120之彼等識別碼參數值。
值得注意地,模組必須具有判定用來施加至其接收之每一資料通信之適當變換或操縱的某種方式。在一較佳實施例中,藉由至少檢查所接收資料通信內所含有之源位址識別碼參數來執行此判定。舉例而言,源位址識別碼參數可包括源計算器件之IP位址。一旦源計算器件之真識別碼為吾人所知,模組即諮詢任務計劃(或自任務計劃導出之資訊)以判定其需要採取哪些動作。舉例而言,此等動作可包括將某些真識別碼參數值轉換成假識別碼參數值。或者,此等改變可包括將假識別碼參數值轉換回至真識別碼參數值。
值得注意地,將存在所接收資料通信中所含有之源位址識別碼參數資訊已改變成假值之情況。在彼等情形下,接收資料通信之模組將不能夠立即判定該資料通信之源之識別碼。然而,接收通信之模組在此等情況下仍可識別源計算器件。此情形在接收模組處藉由如下操 作來實現:比較假源位址識別碼參數值與列出在特定時間期間使用之所有此等假源位址識別碼參數值之查找表(LUT)。LUT亦包括對應於假源位址值之真源位址識別碼參數值清單。LUT可由任務計劃直接提供或可由任務計劃內所含有之資訊產生。在任一狀況下,可容易地自LUT判定真源位址識別碼參數值之識別。一旦已判定真源位址識別碼參數,則接收資料通信之模組即可使用此資訊以判定(基於任務計劃)需要對該等識別碼參數之哪些操縱。
值得注意地,任務計劃亦可指定識別碼參數經復原至其真值之第二位置之變化。舉例而言,假定在包含模組105之第一位置處動態地修改識別碼參數。任務計劃可指定在如所描述之模組106處發生識別碼參數復原至其真值,但可替代地指定改為在模組113或114處發生彼動態修改。在一些實施例中,藉由任務計劃根據預定義序列來動態地判定發生此等操縱之位置。預定義序列可判定將發生識別碼參數之操縱之位置或模組序列。
較佳根據觸發事件而發生涉及在不同位置處之動態修改之轉變。因此,預定義序列判定將發生資料操縱之位置之型樣或序列,且觸發事件充當引起自一位置至下一位置之轉變之基礎。在下文更詳細地論述觸發事件;然而,應注意,觸發事件可基於時間之推移、使用者控制,及/或某些網路事件之發生。可以與上文關於第一位置所描述之方式相同地方式實現對第二位置(亦即,識別碼參數恢復至其真值之處)之選擇的控制。特定言之,兩個或兩個以上模組之操作狀態可在作用中狀態與旁路狀態之間雙態觸發。將僅在具有作用中操作狀態之模組中發生識別碼參數之操縱。具有旁路操作狀態之模組僅僅將傳遞資料封包,而無修改。
亦可使用替代方法來控制將發生識別碼參數之操縱之位置。舉例而言,網路管理員可在任務計劃中界定識別碼參數可自真值轉換成 假值之若干可能模組。在發生觸發事件後,可藉由使用偽隨機函數且將觸發時間用作偽隨機函數之種子值(seed value)來自該等若干模組當中選擇新位置。若每一模組實施使用相同初始種子值之相同偽隨機函數,則每一模組將演算出相同偽隨機值。可基於諸如GPS時間或系統時脈時間之時脈時間來判定觸發時間。以此方式,每一模組可獨立地判定當前是否為應發生識別碼參數之操縱之作用中位置。類似地,網路管理員可在任務計劃中界定動態操縱將識別碼參數恢復至其正確值或真值之若干可能模組。亦可根據如本文所描述之觸發時間及偽隨機函數來判定選擇哪一模組用於此目的。其他方法亦有可能用於判定待發生識別碼參數操縱之位置或模組。因此,本發明不意欲限於本文所描述之特定方法。
值得注意地,變化識別碼函數被操縱之第一位置及/或第二位置之地點常常將引起變化沿著網路通信路徑在第一位置與第二位置之間的實體距離。第一位置與第二位置之間的距離在本文中被稱作距離向量。距離向量可為沿著第一位置與第二位置之間的通信路徑之實際實體距離。然而,將距離向量視為表示存在於第一位置與第二位置之間的通信路徑中之網路節點之數目係有用的。應瞭解,在網路內動態地選擇第一位置與第二位置之不同地點可具有改變第一位置與第二位置之間的節點之數目的效果。舉例而言,在圖1中,在模組105、106、107、113、114中之選定一者中實施識別碼參數之動態修改。如先前所描述來判定實際上用以分別實施動態修改之模組。若模組105用於將識別碼參數轉換成假值且模組106用以將其轉換回至真值,則在模組105與106之間存在三個網路節點(108、110、109)。但若模組113用以轉換成假值且模組114用以將識別碼參數轉換回至真值,則在模組113與114之間存在僅一個網路節點(110)。因此,應瞭解,動態地改變發生動態修改之位置之地點可動態地變化距離向量。距離向量之此變 化提供對如本文所描述之網路操控或修改之可變性的添加維度。
在本發明中,識別碼參數值之操縱、識別碼參數之選擇及此等識別碼參數所處之位置各自被定義為一操控參數。無論何時此三個操控參數中之一者發生改變,即可稱已發生網路操控。無論何時此三個操控參數中之一者改變,吾人即可稱已發生網路操控。為了最有效地阻礙敵人滲入電腦網路100之努力,網路操控較佳藉助於如先前所描述之偽隨機程序控制。熟習此項技術者應瞭解,混亂程序亦可用於執行此功能。混亂程序相比於偽隨機函數在技術上不同,但出於本發明之目的,可使用任一者且該兩者被認為等效。在一些實施例中,可使用相同偽隨機程序來動態地變化操控參數中之兩個或兩個以上參數。然而,在本發明之一較佳實施例中,使用兩個或兩個以上不同偽隨機程序使得此等操控參數中之兩個或兩個以上參數獨立於其他者而被修改。
觸發事件
如上文所提及,操控參數中每一者之動態改變係受至少一觸發器控制。觸發器為引起發生關於本文所描述之動態修改之改變的事件。換言之,可稱觸發器引起網路以與之前情況(亦即,在觸發器發生之前)不同的新方式操控。舉例而言,在第一時間週期期間,任務計劃可引起IP位址可自值A改變至值B;但在觸發事件之後,IP位址可改為自值A改變至值C。類似地,在第一時間週期期間,任務計劃可引起IP及MAC位址被修改;但在觸發事件之後,任務計劃可改為引起MAC位址及使用者名稱被修改。作為第三實例,考慮在第一時間週期期間,任務計劃可引起將在IDP集合120到達模組105時改變識別碼參數;但在觸發事件之後可引起將改為在IDP集合120到達模組113時改變識別碼參數。
以最簡單形式,觸發器可由使用者啟動或基於簡單定時方案。 在此實施例中,每一模組中之時脈時間可充當觸發器。舉例而言,觸發事件可被定義為在每隔60秒時間間隔到期時發生。對於此配置,操控參數中之一或多者可根據預定時脈時間每隔60秒進行改變。在一些實施例中,所有操控參數可同時改變而使得改變同步。在一稍微更複雜實施例中,亦可使用基於時間之觸發配置,但針對每一操控參數可選擇一不同獨特觸發時間間隔。因此,假識別碼參數值可在時間間隔X時改變,識別碼參數之選擇將根據時間間隔Y改變,且執行此等改變之位置將在時間間隔Z處發生,其中X、Y及Z為不同值。
應瞭解,在依賴時脈時間作為觸發機制之本發明之實施例中,有利的是提供如在各種模組105、106、107、113、114中之時脈之間的同步以確保歸因於未經辨識之識別碼參數封包不會丟失或丟棄。同步方法為吾人所熟知,且出於此目的可使用任何合適同步機制。舉例而言,可藉由使用諸如GPS時脈時間之高度準確時間基準而使模組同步。或者,可將獨特無線同步信號自中央控制設施廣播至模組中每一者。
關於本發明,其他類型之觸發器亦係可能的。舉例而言,觸發事件可係基於潛在網路安全性威脅之發生或偵測。根據本發明之一實施例,潛在網路安全性威脅可由網路安全性軟體套組識別。或者,可在模組105、106、107、113、114處接收資料封包後識別潛在網路安全性威脅,其中封包含有與網路操控之目前狀態不一致之一或多個識別碼參數。無關於識別網路安全性威脅之基礎,此威脅之存在可充當觸發事件。基於網路安全性威脅之觸發事件可引起與藉由上文所描述之基於時間之觸發器引起之彼等網路操控相同類型的網路操控。舉例而言,假識別碼參數、識別碼參數之選擇及識別碼參數變換之位置可保持穩定(亦即,未改變),惟在偵測到網路安全性威脅之狀況下除外。舉例而言,可在頻繁網路操控不理想之電腦網路中選擇此配置。
或者,可將基於時間之觸發事件與基於對網路安全性之潛在威脅之觸發事件組合。在此等實施例中,相比於基於時間之觸發器,基於安全性威脅之觸發事件可對網路操控具有不同影響。舉例而言,基於安全性威脅之觸發事件可引起網路操控之策略性或防衛性改變以便更積極地反擊此網路安全性威脅。此等措施之精確性質可取決於威脅之性質,但可包括多種回應。舉例而言,可選擇不同偽隨機演算法,及/或可增加經選擇用於每一IDP集合120中之操縱之識別碼參數之數目。在已經使用基於時間之觸發器的系統中,回應亦可包括增加網路操控之頻率。因此,可作出關於如下各者之更頻繁改變:(1)假識別碼參數值、(2)每一IDP集合中待改變之識別碼參數之選擇,及/或(3)改變識別碼參數之第一位置及第二位置之地點。因此,本文所描述之網路操控提供用於識別潛在網路安全性威脅且對其作出回應之方法。
任務計劃
根據本發明之一較佳實施例,根據任務計劃來控制本文所描述之網路操控。任務計劃為定義且控制在網路及安全性模型之內容脈絡內之可操控性之結構描述(schema)。因而,任務計劃可被表示為自網路管理電腦(NAC)104傳達至每一模組105至107、113至114之資料檔案。該任務計劃此後由每一模組使用以控制識別碼參數之操縱且使該模組之活動與網路中之其他模組之動作協調。
根據一較佳實施例,任務計劃可由網路管理員時常修改以更新或改變網路操控以阻礙潛在敵人之方式。因而,任務計劃向網路管理員提供促進對在網路內將發生網路操控之時間、地點及方式之完全控制之工具。此更新能力允許網路管理員使電腦網路之行為適應當前操作條件且更有效地阻礙滲入網路之敵人努力。多個任務計劃可由使用者定義且經儲存使得其可由網路內之模組存取。舉例而言,多個任務計劃可儲存於NAC 104處,且在需要時傳達至模組。或者,複數個任 務計劃可儲存於每一模組上,且可在必要時或理想地經啟動以維持網路之安全性。舉例而言,若網路管理員判定或懷疑敵人已發現網路之當前任務計劃,則系統管理員可能希望改變該任務計劃。有效安全性程序亦可規定任務計劃週期性地改變。
建立任務計劃之程序可藉由模型化網路100開始。藉由在網路命令中心處執行於電腦或伺服器上之網路控制軟體應用程式(NCSA)促進模型之建立。舉例而言,在圖1所示之實施例中,NCSA可執行於NAC 104上。網路模型較佳包括定義包括於網路100中之各種計算器件之間的資料連接及/或關係之資訊。NCSA將提供促進此等關係資料之輸入之合適介面。根據一實施例,NCSA可促進將資料輸入至可用以定義任務計劃之表中。然而,在一較佳實施例中,使用圖形使用者介面以促進此程序。現在參看圖3,NCSA可包括網路構形模型產生器工具。該工具係用以輔助網路管理員定義網路之各種組件中每一者之間的關係。網路構形工具提供系統管理員可藉由使用游標304而拖曳及放置網路組件302之工作區300。網路管理員亦可在各種網路組件302之間建立資料連接306。作為此模型化程序之部分,網路管理員可向各種網路組件(包括模組105至107、113、114)提供網路位址資訊。
一旦已模型化網路,則網路可由網路管理員儲存及使用以定義各種模組105至107、113、114表現且彼此互動之方式。現在參看圖4,NCSA可產生可用以進一步產生任務計劃之對話方塊400。下拉式選單432可用以選擇對話方塊400中之設定待施加至之特定模組(例如,模組105)。或者,網路管理員可使用下拉式選單432以指示對話方塊400中之設定意欲施加至網路內之所有模組(例如,藉由選擇選單432中之「全部」)。該程序可藉由指定是否將始終在模組中之每一者中修改固定識別碼參數集合或被操縱之識別碼參數集合是否應動態地變化而繼續。若模組中待操縱之識別碼參數之選擇或集合意欲動態地 變化,則網路管理員可標記核取方塊401以指示彼偏好。若未標記核取方塊401,則其將指示待變化之識別碼參數集合為不隨時間推移而變化之固定集合。
對話方塊400包括索引標籤402、404、406,索引標籤402、404、406允許使用者選擇出於建立任務計劃之目的其想要合作之特定識別碼參數。出於本發明之目的,對話方塊400促進僅三個識別碼參數之動態變化。特定言之,此等識別碼參數包括IP位址、MAC位址及埠位址。可藉由提供額外索引標籤來動態地變化更多或更少識別碼參數,但所提及之三個識別碼參數足以解釋本發明之概念。在圖4中,使用者已選擇索引標籤402以與識別碼參數之IP位址類型合作。在索引標籤402內,提供多種使用者介面控制項408至420以用於指定與選定模組內之IP位址之動態變化有關之細節。可提供更多或更少控制項以促進對IP位址類型之動態操縱,且提供所展示控制項僅係為了輔助讀者理解概念。在所展示之實例中,網路管理員可藉由選擇(例如,用諸如滑鼠之指標器件)核取方塊408而致能IP位址之動態變化,核取方塊408被標記為:致能IP位址跳頻。類似地,網路管理員可指示源位址、目的地位址或其兩者是否將變化。在此實例中,源位址方塊410及目的地位址方塊412兩者皆被標記,從而指示兩種類型之位址將改變。源位址及目的地位址之經允許值範圍可由系統管理員在清單方塊422、424中指定。
藉由選擇偽隨機程序來指定用以選擇假IP位址值之特定偽隨機程序。在方塊414、415中指定此選擇。不同偽隨機程序可具有針對真隨機性之可變程度之複雜性的不同等級,且系統管理員可選擇最適合網路100之需要的程序。
對話方塊400亦允許網路管理員設定待用於IP位址識別碼參數之動態變化的觸發類型。在此實例中,使用者已選擇方塊416,從而指 示基於時間之觸發將用於判定何時轉變至新的假IP位址值。此外,核取方塊418已經選擇以指示將週期性地發生基於時間之觸發器。滑桿420可由使用者調整以判定基於週期性時間之觸發器的頻率。在所展示之實例中,觸發器頻率可經調整成介於每小時發生6次觸發器(每隔10分鐘觸發)與每小時發生120次觸發器(每隔30秒觸發)之間。在此實例中,選擇亦可用於其他類型之觸發器。舉例而言,對話方塊402包括核取方塊428、430,網路管理員藉由其可選擇基於事件之觸發器。可選擇若干不同特定事件類型以形成此等基於事件之觸發器之基礎(例如,事件類型1、事件類型2,等等)。此等事件類型可包括各種潛在電腦網路安全性威脅之偵測。在圖4中,索引標籤404及406與索引標籤402類似,但其中之控制適應MAC位址及埠值而非IP位址之動態變化。可提供額外索引標籤以控制其他類型之識別碼參數之動態變化。
任務計劃亦可指定動態地變化修改識別碼參數之位置的計劃。在一些實施例中,藉由控制界定每一模組何時處於作用中狀態或旁路狀態之序列來促進此可變位置特徵。因此,有利地,任務計劃包括指定此序列之一些方式。在本發明之一些實施例中,此可涉及使用由於觸發事件之發生而分離的經定義時間間隔或時槽。
現在參看圖5,對話方塊500可由NCSA提供以促進位置序列及定時資訊之協調及輸入。對話方塊500可包括控制項502以用於選擇待包括於時期506內之時槽5041至504n之數目。在所說明之實例中,網路管理員已定義每定時時期4個時槽。對話方塊500亦可包括表503,表503包括網路100中之所有模組。對於所列出之每一模組,該表包括針對一個定時時期506之可用時槽5041至504n之圖形表示。應記得,藉由每一模組係處於作用中操作狀態或是旁路操作狀態來判定對識別碼參數經操縱之位置之動態控制。因此,在圖形使用者介面內,使用者 可移動游標508且作出指定特定模組在每一時槽期間是處於作用中模式或是旁路模式之選擇。在所展示之實例中,模組105在時槽5041及5043期間係作用中的,但在時槽5042、5044期間處於旁路模式。相反地,模組113在時槽5042、5044期間係作用中的,但在時槽5041及5043期間處於旁路模式。參看圖1,此情形意謂在時槽5041及5043期間在與模組105相關聯之位置處發生識別碼參數之操縱,但在時槽5042、5044期間改為在模組113處發生識別碼參數之操縱。
在圖5所示之實例中,網路管理員已推選成使模組114始終在作用中模式下操作(亦即,模組114在所有時槽期間係作用中的)。因此,對於自用戶端電腦101傳輸至用戶端電腦103之資料通信,資料封包將交替地在模組105、113中被操縱,但將在模組114處始終被操縱。最後,在此實例中,網路管理員已推選成在時槽5041至5044期間將模組106及107維持處於旁路模式。因此,在經定義時槽中的任一者期間,在此等模組處將不執行識別碼參數之操縱。一旦模組定時已定義於對話方塊500中,網路管理員即可選擇按鈕510以儲存改變作為經更新任務計劃之部分。任務計劃可以各種格式予以儲存。在一些實施例中,可將任務計劃儲存為可由每一模組使用以控制該模組之行為的簡單表或其他類型之經定義資料結構。
任務計劃之散發及載入
現在將進一步詳細地描述如本文所揭示之任務計劃之散發及載入。再次參看圖1,可看到,模組105至107、113、114貫穿網路100散發於一或多個位置處。該等模組整合於通信路徑內以截獲在此等位置處之通信、執行必要操縱,且將資料轉遞至網路內之其他計算器件。在使用前述配置的情況下,本文所描述之模組之任何必要維護(例如,用以更新任務計劃之維護)將具有在該等模組被替換或重新程式化時破壞網路通信之可能性。在網路服務之可靠性及可用性必不可少 之許多情形下,此等破壞不理想。舉例而言,不中斷網路操作對於由軍事、應急服務及商業使用之電腦網路可為必不可少的。
為了確保不中斷網路操作,每一模組宜具有若干操作狀態。此等操作狀態包括(1)模組被斷電且不處理任何封包之關斷狀態、(2)模組根據任務計劃安裝軟體指令碼之初始化狀態、(3)根據當前任務計劃處理資料之作用中狀態,及(4)封包可如同模組不存在而流動通過模組之旁路狀態。模組經組態使得當其處於作用中狀態或旁路狀態時,該模組可接收且載入由網路管理員提供之經更新任務計劃。模組操作狀態可由網路管理員藉助於執行於(例如)NAC 104上之NCSA來手動地控制。舉例而言,使用者可經由使用圖形使用者介面控制面板來選擇各種模組之操作狀態。在網路100上傳達用於控制網路之操作狀態的命令,或可藉由任何其他合適構件來傳達用於控制網路之操作狀態的命令。舉例而言,出於彼目的可使用單獨有線或無線網路(未圖示)。
可將任務計劃直接載入於每一模組之實體位置處,或可將其自NCSA傳達至模組。圖6中說明此概念,圖6展示任務計劃604自NCSA 602經由通信媒體606而傳達至模組105至107、113、114中每一者。在所展示之實例中,NCSA軟體應用程式執行於由網路管理員操作之NAC 104上。在一些實施例中,通信媒體可包括使用電腦網路100之頻帶內傳訊。或者,頻帶外網路(例如,單獨無線網路)可用作通信媒體606,以將經更新之任務計劃自NCSA傳達至每一模組。如圖7所示,NCSA可提供對話方塊700以促進若干任務計劃702中之一者的選擇。此等任務計劃702中每一者可儲存於NAC 104上。網路管理員可自若干任務計劃702中之一者進行選擇,在此之後其可啟動發送任務計劃按鈕704。或者,複數個任務計劃可被傳達至每一模組且儲存於其中。在任一情境下,使用者可選擇啟動經定義任務計劃中之一者。
回應於用以發送任務計劃之命令,當模組處於作用中狀態時,將選定任務計劃傳達至該等模組,其中該等模組經組態以用於主動地執行如本文所描述之識別碼參數的動態修改。此配置最小化網路不受阻礙地且在不操縱識別碼參數的情況下操作的時間。然而,當模組處於旁路模式時,亦可將經更新任務計劃傳達至該等模組,且此途徑在某些狀況下可能係理想的。
一旦任務計劃由模組接收到,其即將自動地儲存於該模組內之記憶體位置中。此後,可使模組進入旁路狀態,且雖然仍處於彼狀態,但該模組可載入與新任務計劃相關聯之資料。可回應於接收到任務計劃而自動發生進入旁路狀態且載入新任務計劃資料之此程序,或可回應於來自受網路管理員控制之NCSA軟體之命令而發生進入旁路狀態且載入新任務計劃之此程序。新任務計劃較佳包括以識別碼參數值變化之方式之改變。一旦已載入新任務計劃,模組105至107、113及114即可以同步化方式自旁路模式轉變成作用中模式以確保不發生資料通信錯誤。任務計劃可指定模組待恢復至作用中模式之時間,或網路管理員可使用NCSA以將命令傳達至各種模組,從而引導其進入作用中模式。有利地,更新任務計劃之前述程序允許在不破壞附接至電腦網路100之各種計算器件之間的通信的情況下發生網路安全性程序之改變。
在每一模組105、106、107、113及114處各種識別碼參數之動態操縱較佳受到執行於每一模組105至107、113、114上之應用程式軟體控制。然而,有利地,應用程式軟體之行為受到任務計劃控制。
現在參看圖8,提供概述每一模組105至107、113、114之操作之流程圖。為了避免混淆,關於在單一方向上之通信來描述該程序。舉例而言,在模組105之狀況下,單一方向可涉及資料自用戶端電腦101傳輸至集線器108。然而,實務上,模組105至107、113、114雙向地 操作係較佳的。該程序在步驟802處在模組被供電時開始,且繼續至步驟804,其中初始化模組應用程式軟體以執行本文所描述之方法。在步驟806中,自模組內之記憶體位置載入任務計劃。就此而言,模組準備好開始處理資料,且繼續進行以在步驟808處進行此處理,其中其自模組之輸入資料緩衝器存取資料封包。在步驟810中,模組檢查以判定其是否處於旁路操作模式。若是,則在步驟812中重新傳輸在步驟808中存取之資料封包,而無資料封包之任何修改。若模組不處於旁路模式,則其必須處於其作用中操作模式且繼續至步驟814。 在步驟814中,模組讀取資料封包以判定該資料封包源自之源節點之識別碼。在步驟816中,模組檢查封包以判定源節點是否有效。可比較經指定源節點與有效節點清單以判定該經指定源節點當前是否有效。若其不為有效節點,則在步驟818中捨棄封包。在步驟820中,程序檢查以判定是否發生觸發事件。觸發事件之發生將影響將使用之假識別碼值之選擇。因此,在步驟822中,模組基於觸發資訊、時脈時間及任務計劃中之一或多者判定將使用之假識別碼值。模組接著繼續至步驟826,其中其操縱資料封包之識別碼參數。一旦完成操縱,即將資料封包自模組之輸出埠重新傳輸至鄰近節點。在步驟830中,作出關於模組是否被命令斷電之判定。若是,則程序在步驟832處結束。在步驟808中,程序繼續,且自模組之輸入資料緩衝器存取下一資料封包。
現在參看圖9,提供概述本文所描述之用於管理動態電腦網路之方法的流程圖。程序在步驟902中開始,且繼續至步驟904,其中建立網路模型(例如,如關於圖3所展示並描述)。在步驟906中,作出關於是否將建立新任務計劃之判定。若是,則在步驟908中建立新任務計劃,且程序繼續至步驟910,其中選擇新任務計劃。或者,若在步驟906中已經建立所要任務計劃,則方法可直接繼續至步驟910,其中選 擇現有任務計劃。在步驟912中,將任務計劃傳達至模組(例如,模組105至107、113、114),其中將任務計劃儲存於記憶體位置中。當網路管理員準備好實施新任務模型時,在步驟914中發送使模組進入如本文所描述之待用模式之命令。當模組處於此待用模式時,在步驟916處載入任務計劃。在每一模組處發生任務計劃之載入,使得任務計劃可用以控制執行於模組上之應用程式軟體之操作。詳言之,任務計劃用以控制應用程式軟體執行識別碼參數之動態操縱之方式。在步驟918中,再次使任務模組進入作用中操作模式中,其中每一任務模組執行根據任務計劃之識別碼參數之操縱。可回應於自網路管理員發送之特定命令而發生步驟914、916及918,或可在每一模組處回應於接收到步驟912中之任務計劃而自動地發生步驟914、916及918。在步驟918之後,模組繼續執行根據已載入之任務計劃之處理。在步驟920中,程序藉由檢查以判定使用者是否已指示希望改變任務計劃而繼續;若是,則程序返回至步驟906,其中其繼續,如上文所描述。若不存在使用者或網路管理員希望改變現有任務計劃之指示,則程序在步驟922中判定其是否已被指示終止。若是,則程序在步驟924中終止。若未接收終止指示,則程序返回至步驟920且繼續。
現在參看圖10,提供展示例示性模組1000之電腦架構的方塊圖,該例示性模組1000可用於執行本文所描述之識別碼參數之操縱。模組1000包括處理器1012(諸如,中央處理單元(CPU))、主記憶體1020及靜態記憶體1018,其經由匯流排1022而彼此通信。電腦系統1000可進一步包括諸如液晶顯示器或LCD之顯示單元1002以指示模組之狀態。模組1000亦可包括允許該模組在兩個單獨資料線上同時地接收及傳輸資料之一或多個網路介面器件1016、1017。該兩個網路介面埠促進圖1所示之配置,其中每一模組經組態以同時截獲且重新傳輸自網路上之兩個單獨計算器件接收之資料封包。
主記憶體1020包括儲存有一或多個指令集1008(例如,軟體程式碼)之電腦可讀儲存媒體1010,該一或多個指令集1008經組態以實施本文所描述之方法、程序或功能中之一或多者。指令1008亦可在其藉由模組之執行期間完全地或至少部分地駐留於靜態記憶體1018及/或處理器1012內。靜態記憶體1018及處理器1012亦可構成機器可讀媒體。在本發明之各種實施例中,連接至網路環境之網路介面器件1016使用指令1008在網路上通信。
現在參看圖11,展示根據本發明之配置的例示性網路管理電腦(NAC)114。NAC可包含各種類型之計算系統及器件,包括:伺服器電腦、用戶端使用者電腦、個人電腦(PC)、平板PC、膝上型電腦、桌上型電腦、控制系統或能夠執行指令集(順次地或以其他方式)之任何其他器件,指令集指定待由彼器件採取之動作。另外,雖然圖11中說明單一電腦,但片語「NAC」應理解為包括個別地或聯合地執行用以執行本文所論述之方法中之任一者或多者的一指令集(或多個指令集)之計算器件之任何集合。
現在參看圖11,NAC 104包括處理器1112(諸如,中央處理單元(CPU))、磁碟機單元1106、主記憶體1120及靜態記憶體1118,其經由匯流排1122彼此通信。NAC 104可進一步包括顯示單元1102,諸如,視訊顯示器(例如,液晶顯示器或LCD)、平板、固態顯示器,或陰極射線管(CRT)。NAC 104可包括使用者輸入器件1104(例如,鍵盤)、游標控制器件1114(例如,滑鼠)及網路介面器件1116。
磁碟機單元1106包括儲存有一或多個指令集1108(例如,軟體程式碼)之電腦可讀儲存媒體1110,該一或多個指令集1108經組態以實施本文所描述之方法、程序或功能中之一或多者。指令1108亦可在其執行期間完全地或至少部分地駐留於主記憶體1120、靜態記憶體1118及/或處理器1112內。主記憶體1120及處理器1112亦可構成機器可讀 媒體。
熟習此項技術者應瞭解,圖10中所說明之模組架構及圖11中之NAC架構各自僅僅表示可分別用於執行本文所描述之方法的計算器件之一個可能實例。然而,本發明在此方面不受限制,且亦可使用任何其他合適計算器件架構,而無限制。包括(但不限於)特殊應用積體電路、可程式化邏輯陣列及其他硬體器件之專用硬體實施同樣可經建構以實施本文所描述之方法。可包括各種實施例之裝置及系統之應用廣泛地包括多種電子及電腦系統。一些實施例可在兩個或兩個以上特定互連式硬體器件中實施功能,其中相關控制及資料信號在模組之間且經由模組傳達,或將功能實施為特殊應用積體電路之部分。因此,例示性系統適用於軟體、韌體及硬體實施。
根據本發明之各種實施例,本文所描述之方法作為軟體程式而儲存於電腦可讀儲存媒體中且經組態以供執行於電腦處理器上。此外,軟體實施可包括(但不限於)分散式處理、組件/物件分散式處理、並行處理、虛擬機器處理,其亦可經建構以實施本文所描述之方法。
雖然圖10及圖11中將電腦可讀儲存媒體1010、1110展示成單一儲存媒體,但術語「電腦可讀儲存媒體」應被視為包括儲存一或多個指令集之單一媒體或多個媒體(例如,集中式或分散式資料庫,及/或相關聯快取記憶體及伺服器)。術語「電腦可讀儲存媒體」亦應被視為包括能夠儲存、編碼或攜載供由機器執行之指令集且使機器執行本發明之方法中之任一者或多者之任何媒體。
因此,術語「電腦可讀媒體」應被視為包括(但不限於)固態記憶體,諸如,記憶卡或容納一或多個唯讀(非揮發性)記憶體、隨機存取記憶體或其他可重寫(揮發性)記憶體之其他封裝;磁光學或光學媒體,諸如,磁碟或磁帶。因此,本發明被認為包括如本文所列出之電腦可讀媒體中之任一者或多者,且包括儲存有本文之軟體實施之已辨 識等效物及後代媒體。
在動態網路中過濾通信
在描述本發明之配置之另外態樣之前,考慮習知防火牆之操作係有用的。防火牆為過濾在網路之邊界處之通信之專門網路組件。在習知防火牆中基於過濾規則集合來過濾通信。存在三個主要類別之防火牆:封包或網路層防火牆、狀態防火牆,及應用層防火牆。所有三個此等類別可含有使用者定義之過濾規則以擴充防火牆之原生功能性。另外,一些類型之應用層防火牆可應用啟發式過濾規則以識別及終止潛在惡意連接。
封包防火牆藉由檢測資料封包之內容且比較該等內容與過濾規則集合而操作。基於封包與過濾規則中之一者是否匹配,防火牆判定是否允許該封包進入網路中。封包防火牆操作直至協定堆疊之網路層。
狀態防火牆可藉由將連接之屬性儲存於記憶體中來追蹤網路連接之狀態。一旦已在防火牆內設定經允許連接,來自該經允許連接之封包即可由該防火牆辨識,且允許該等封包進入網路。將拒絕未被辨識為已知作用中連接之部分之封包。狀態防火牆操作直至協定堆疊之輸送層,且因此能夠執行封包防火牆之功能。
應用防火牆實現類似任務,但能夠過濾在應用或程序層級上之通信。因此,應用防火牆能夠區分在應用層級處之經允許訊務與未經允許訊務。正如其名稱所暗示,應用防火牆可操作通過協定堆疊之所有層(高達且包括應用層)。因此,應用防火牆包括上文所論述之封包及狀態防火牆之功能性。
另外,應用層防火牆可在深封包檢測技術中進行,深封包檢測技術使得能夠除了封包之標頭資訊以外亦檢測封包之資料負載。啟發式過濾將上述防火牆之功能性與能夠分析網路訊務之侵入偵測系統組 合以識別常見電腦攻擊之啟發及型樣。啟發式防火牆藉由識別資料訊務中之與超出基線參數之某預定義集合的常見攻擊、統計異常及/或超出常規網路活動之廣義設定檔的協定狀態之偏差匹配之預定義簽名或型樣來操作。
使用者定義之過濾規則係由使用者(通常為網路管理員)定義。使用者定義之過濾規則可簡單地為允許或拒斥來自特定埠之所有訊務、使用來自特定源位址之特定協定,或訊務屬性之任何組合。使用者定義之過濾規則亦可由於基於網路安全性策略之相關規則集合而為複雜的。其可應用於上文所描述之三種類別之防火牆中的任一者。
移動目標技術(MTT)防火牆能夠根據上文所描述之三種類別之防火牆中之一或多者但在根據任務計劃操作之MTT允用網路內執行防火牆功能。除了執行習知防火牆對習知資料訊務之原生功能以外,MTT防火牆亦能夠執行防火牆對MTT允用資料訊務之功能。為了實現此情形,MTT防火牆能夠基於任務計劃識別MTT允用訊務,且對經識別MTT允用訊務執行過濾功能。此等過濾功能可包括與用於習知防火牆中之彼等過濾規則類似但對MTT允用訊務可操作之過濾規則。替代地或另外,此等過濾規則可包括經特定設計以用於過濾MTT允用訊務之MTT過濾規則。
MTT允用防火牆之第一態樣為根據任務計劃操作且基於彼任務計劃識別MTT允用訊務之能力。為了有效地過濾至MTT允用網路中之傳入訊務,使防火牆能夠識別至少三種類型之資料訊務係有利的:MTT訊務、靜態常規(良性)訊務,及攻擊訊務。可使用現有防火牆技術來過濾常規訊務及攻擊訊務。然而,當前技術不能夠處理MTT允用訊務。進入防火牆之MTT訊務之實例為自操作第一MTT允用網路之一安全指定位址空間經由網際網路而發送至操作第二MTT允用網路之另一指定位址空間之資料封包。在此情境下,有利地,每一指定位址空 間處之防火牆能夠識別且區分MTT訊務與靜態訊務。
現在參看圖12,提供描述MTT允用防火牆之方法實施例的流程圖。該程序在步驟1202處在防火牆被供電時開始,且繼續至步驟1204,其中初始化防火牆應用程式軟體以執行本文所描述之方法。在步驟1206中,自防火牆內之記憶體位置載入一或多個任務計劃。任務計劃可定義單一動態電腦網路內之一或多個邏輯網路之動態操控。可以與上文關於模組所描述之方式類似的方式將一或多個任務計劃載入於防火牆中。舉例而言,第一任務計劃可定義第一指定位址空間中之第一MTT允用網路之動態操控,且第二任務計劃可定義第二指定位址空間中之第二MTT允用網路之動態操控。在本文所描述之例示性實施例中,第一MTT允用網路為封包已源自之源MTT網路,且第二MTT允用網路為該封包已經發送至之目的地MTT網路。可將每一網路之任務計劃載入至與防火牆相關聯之記憶體中。在一較佳實施例中,將任務計劃載入至與防火牆相關聯之記憶體中且啟動該等任務計劃。通常將基於一或多個觸發事件判定每一任務計劃之狀態。觸發事件為使任務計劃之操作動態地改變在網路中操縱識別碼參數之方式的任何預定類型之刺激。因而,觸發事件之發生會有效地引起MTT器件(例如,防火牆)能夠區分在該觸發事件之前接收的使用先前作用中規則而處理之訊務與在該觸發事件之後接收的使用新近經啟動規則而處理之訊務。如上文所提及,觸發事件可起因於施加至網路之多種不同條件及輸入刺激。在一些實施例中,當防火牆不在作用中時或在網路之MTT操作停用之時間期間(例如,當防火牆處於旁路狀態時),可將經儲存以供防火牆使用之任務計劃載入於記憶體中。
一旦已載入任務計劃,防火牆即準備好開始處理資料,且繼續進行以在步驟1208處進行此處理,其中其自防火牆之輸入資料緩衝器存取資料封包。輸入資料緩衝器將含有在防火牆處自源MTT網路接收 之資料封包。舉例而言,可在防火牆處經由網際網路接收封包。熟習此項技術者應認識到,防火牆器件亦可包括橋接器、路由器或模組之功能性。或者,橋接器、路由器或模組亦可包括防火牆功能性。本發明之實施例在此方面不受限制。
在步驟1210中,防火牆檢查以判定是否已停用MTT操作模式。更特定言之,防火牆檢查以判定當前操作模式是否為旁路模式。若啟用旁路模式(1210:是),則根據習知防火牆技術過濾在步驟1208中存取之資料封包。將習知防火牆過濾規則應用於資料,且基於此過濾,在步驟1212中將資料傳輸至防火牆之輸出緩衝器或捨棄資料。步驟1212可涉及使用適於含有真識別碼參數值之封包之習知過濾規則集合。換言之,當MTT操作模式不在作用中且假定所有識別碼參數具有其真值時使用此模式。在此情形下,防火牆根據過濾規則集合而決定允許封包且將其傳達至適當輸出埠,或拒絕封包且捨棄其。因此,當在旁路模式中時,防火牆以與習知防火牆將起作用之方式實質上相同的方式起作用。
若未啟用旁路模式(1210:否),則此將充當預期MTT資料之指示,且程序繼續至步驟1214。在步驟1214中,防火牆判定當前由源MTT網路使用之識別碼參數值(包括假識別碼參數值)。可以多種不同方式執行此步驟。在一些實施例中,此步驟可藉由如下操作實現:存取與源MTT網路相關聯之任務計劃,且執行偽隨機處理以演算當前在源網路內使用之所有假識別碼參數值之完整集合。此步驟可涉及藉由使用種子值及任務計劃中所指定之偽隨機變換演算法對當前有效真識別碼參數集合執行偽隨機變換來判定當前經允許假識別碼參數集合。接著可將由此演算之假識別碼參數值儲存於表中以供後續處理步驟使用。此步驟亦可涉及用一當前經允許假識別碼參數填入與每一真識別碼參數值有關之表。
或者,步驟1214可涉及涉及僅演算假識別碼參數值之部分集合之較有限判定。舉例而言,此部分集合可限於識別碼參數之選定群組。使用此等部分集合可限制防火牆達成評估資料報中所含有之所有識別碼參數值之目的之能力。然而,演算假識別碼參數之部分集合係處理較不密集的,且可在某些情境下有利,尤其當識別碼參數值以快速速率改變時。
在步驟1216中,防火牆檢查以判定是否已發生將改變MTT狀態之觸發事件。可如所展示基於時脈信號週期性地執行檢查觸發事件之發生之此步驟,或可在包括於方塊1215內之程序期間之任何時間執行檢查觸發事件之發生之此步驟。此為重要步驟,此係因為觸發事件之發生可對當前用於源MTT網路中之適當假識別碼參數值之演算有顯著影響。接著使用來自步驟1216之資訊及關於源MTT網路之MTT狀態之任何其他適當資訊來更新由源MTT網路在彼時間使用之任何MTT操縱之當前狀態,且執行對應用於傳入封包之防火牆規則之任何必要修改。舉例而言,在步驟1214中,觸發事件之發生可引起系統基於基於任務計劃之假值識別碼參數之新集合而產生經更新過濾規則集合。此等新過濾規則允許防火牆適當地識別及過濾在發生觸發事件之後所接收之資料封包。
在步驟1218中,防火牆判定封包是否為MTT允用封包。在此步驟中,分析資料封包之識別碼參數且將其與針對MTT訊務所期望之彼等識別碼參數比較。以其最簡單形式,此情形可涉及僅僅判定封包中所含有之識別碼參數中的每一者是否對應於當前使用之如藉由針對源網路之任務計劃所指定之假識別碼參數集合。舉例而言,此情形可藉由如下操作實現:比較所接收資料報中之假識別碼參數以判定在步驟1214中產生之表中是否含有該等假識別碼參數。然而,分析之更複雜等級亦係可能的。舉例而言,防火牆可評估封包中所含有之假識別碼 參數中之兩者或兩者以上以判定其是否適當地一起使用以識別網路之特定源及/或目的地節點。另外,因為假識別碼參數係由任務計劃控管,所以防火牆能夠識別或演算識別碼參數之「移動」,亦即,假識別碼參數在先前時期中為多少、其在當前時期中為多少,及/或其在下一時期中將為多少。又,本發明在此方面不受限制,且其他評估方案亦係可能的。假識別碼參數之過去值及未來值之此演算可有用於達成提供時間窗以適應如在源網路與目的網路之間的系統延遲及定時變化之目的。
一旦資料封包被識別為MTT資料封包(1218:是),防火牆即可簡單地在此基礎上允許訊務進入至目的地網路中。若在步驟1218中判定資料封包與MTT允用網路不相關聯(1218:否),則防火牆繼續進行至步驟1220,其中其判定非MTT訊務是否由任務計劃允許。若否(1220:否),則防火牆在步驟1222中捨棄封包,且返回至步驟1208以存取防火牆之輸入緩衝器中的下一封包。若允許非MTT訊務(1220:是),則防火牆繼續進行至步驟1212,其中其施加對封包之習知過濾/啟發分析且基於過濾規則集合允許或捨棄該封包。
如上文所描述,在步驟1220中簡單地將封包識別為MTT允用可足以允許該封包在步驟1226中進入網路。視情況,防火牆可繼續進行至步驟1224,其中其可進一步應用已針對MTT訊務特定地定義之MTT過濾規則集合。在一些實施例中,此等MTT過濾規則可與應用於在步驟1212中執行之習知過濾操作之規則類似。當然,若應用此等習知過濾規則,則必須作出合適調整以適應MTT允用封包中之假識別碼參數值。此情形可涉及出於應用過濾規則之目的之假識別碼參數值至真識別碼參數值之過濾規則及/或變換之動態修改。或者,應用於MTT允用資料之過濾規則可不同於習知防火牆規則。
若MTT資料封包在步驟1224中滿足MTT過濾規則之要求,則在 步驟1226中允許封包進入至網路中。若MTT資料封包不滿足MTT過濾規則之要求,則在步驟1226中不允許封包進入網路中。或者,過濾規則可設計成使得允許不滿足特定規則之要求之封包且不允許確實滿足特定規則之要求之封包。在任一狀況下,在步驟1222中可捨棄未經允許封包。在另一實施例中,防火牆可包括可模擬網路系統之行為以引誘攻擊訊務之「蜜罐(honeypot)」伺服器或與可模擬網路系統之行為以引誘攻擊訊務之「蜜罐」伺服器通信。如本文所使用,蜜罐伺服器為經特定組態以誤導網路攻擊者之伺服器。在此實施例中,過濾規則可設計成使得在步驟1222中防火牆將未經允許封包引導至蜜罐而非完全捨棄其。藉由將未經允許封包(尤其是與攻擊訊務相關聯之彼等封包)過濾至蜜罐,網路管理員可不僅防止成功攻擊,而且可分析網路弱點及/或開發用於基於未經允許訊務之行為反擊攻擊之新技術。在另一實施例中,在捨棄封包或將封包引導至蜜罐之前,記錄或登入封包。在步驟1222中處理未經允許訊務之後,防火牆返回至步驟1208以存取防火牆之輸入緩衝器中的下一封包。
除了執行本文所描述之過濾功能以外,防火牆可經組態而以與上文關於模組所描述之方式類似的方式執行識別碼參數之動態操縱。再次參看圖12,可選步驟1228可包含根據任務計劃及目的地MTT網路之當前網路狀態動態地操縱識別碼參數。步驟1228處之操作將與藉由如上文所描述之模組105至107、113、114執行之識別碼參數操縱類似。防火牆可修改被指派假值之識別碼參數群組。防火牆亦可操縱一或多個假識別碼參數值以指定不同於由源MTT網路指派之彼等假值的假值。在一較佳實施例中,將根據針對目的地MTT網路之任務計劃來判定假識別碼參數集合及實際假值。值得注意地,可根據任務計劃將步驟1228中之操縱操作選擇性地雙態觸發成接通及關斷。可在如上文所描述之步驟1210及1212中實施此旁路操作模式。或者,可個別地略
過步驟1228。
一旦完成方塊1215中之所有過濾處理且允許封包進入至網路中,處理即繼續至步驟1230,其中接著將封包傳輸至器件輸出緩衝器,而無額外處理。防火牆接著返回至步驟1208以自輸入緩衝器存取下一封包。
至此出於描述本發明之目的,已假定根據與源網路相關聯之任務計劃操縱自源網路接收之封包。然而,在一些實施例中,在將資料報中之識別碼參數傳輸至目的地網路之前使源網路操縱該資料報中之識別碼參數可為有利的。特定言之,經傳輸封包中之識別碼參數可經操縱而使得其與由目的地網路使用之當前假識別碼參數集合一致。此情形將在源網路處藉由利用針對目的地網路之任務計劃來實現。若所接收封包已經操縱成含有與目的地網路一致之假識別碼參數,則圖12中之某些步驟可經調整以適應本發明之此變化。舉例而言,在步驟1214中,經判定之假識別碼參數值將為在目的地網路內使用之彼等假識別碼參數值。類似地,步驟1214將涉及評估資料報是否包括正確地對應於當前在目的地網路內使用之彼等假識別碼參數的假識別碼參數。又,步驟1228及1230通常將在此情境下沒有必要,此係因為所接收封包將已經含有與用於目的地網路中之彼等假識別碼參數一致的假識別碼參數。
應進一步注意,本發明不限於本文所描述之用於評估所接收資料報中之假識別碼參數之特定方法。其他方法亦係可能的,且所有此等方法皆意欲包括於本發明之範疇內。舉例而言,可使用不同途徑,而非試圖產生含有當前用於步驟1214中之所有假識別碼參數之表。在此實施例中,目的地節點處之防火牆可應用源節點處所使用之演算法之逆演算法以基於資料報中所含有之假識別碼參數值而直接計算「真」識別碼參數值集合。此情形將涉及讀取與資料封包相關聯之時 戳且使用種子值及該時戳執行逆偽隨機變換,以判定對應於該封包之該等識別碼參數中之至少一者的真識別碼參數。接著可評估此「真」識別碼參數值集合以判定其事實上是否在與源網路及/或目的地網路適當地相關聯之識別碼參數之經允許範圍內。當然,可在如下情況下使用類似途徑:其中假識別碼參數已在源網路處經操縱成含有對應於當前由目的地網路使用的如在任務計劃中指定之彼等假識別碼參數值之假識別碼參數值。
為了進一步理解本文所描述之MTT防火牆之操作,考慮已建立FTP會話之應用層防火牆之實例。在將FTP會話設定為作用中連接之後,彼連接之屬性可根據由任務計劃定義之MTT會話而改變。舉例而言,可根據特定任務計劃回應於觸發事件來變換會話之源IP位址。如上文所論述,觸發可基於依時間順序事件,諸如,時脈時間,或某預定時間週期之到期。或者,觸發可基於偵測到使用者輸入或網路威脅。防火牆可自網路操作中心接收關於此等觸發事件之通知。此等通信可為頻帶內的(使用網路)或藉由使用在網路外部之某頻帶外通信方法來進行。在發生觸發事件之後,到達防火牆之同一會話之新封包將呈現為如同其自不同源位址予以發送,而朝向不同目的地位址,及/或到達與在會話開始時使用之埠不同的埠。該等新封包仍來自同一原始源主機且經發送至同一原始目的地主機。然而,來自彼主機之封包之識別碼參數根據任務計劃「移動」。習知防火牆將不能夠處置此等新封包,此係因為其在如藉由連接狀態定義之原始會話之範疇外。根據與封包之源網路相同的任務計劃而操作之MTT允用防火牆將能夠辨識作為先前以不同識別碼參數建立之相同會話之部分的新封包之移動。換言之,MTT防火牆經組態以允許根據任務計劃且回應於在連接處於作用中狀態時可能發生之各種觸發事件中任一者之識別碼參數之移動。因此,MTT防火牆藉由經建立FTP會話識別新封包且允許該等 封包進入網路。可藉由狀態防火牆規則且在MTT訊務之訊務啟發及分析中實現類似功能。
可變化之識別碼參數之類型
現在參看圖13,提供可藉由模組105至107、113、114、橋接器115及/或藉由路由器110操縱之識別碼參數中之一些的清單。圖13中所列出之參數中每一者包括於使用TCP/IP通信協定之網路中所包括的資料通信中。圖13中所列出之大多數資訊類型為熟習此項技術者所熟知。然而,本文中提供每一類型之資訊及其作為識別碼參數之使用之簡短描述。亦提供每一識別碼參數可被操縱之方式之簡短論述。
IP位址。IP位址為指派給參與電腦網路之每一計算器件之數字識別符,其中該網路使用熟知之網際網路協定用於通信。IP位址可為32位元或128位元數目。出於本發明之目的,IP位址數目可改變成隨機地選擇之假值(例如,使用偽隨機數目產生器)。或者,可自預定假值清單(例如,藉由任務計劃指定之清單)隨機地選擇假IP位址值。源IP位址及目的地IP位址包括於資料封包之標頭部分中。因此,藉由僅僅藉由使用改變IP標頭資訊之封包操縱技術進行改變來執行此等值之操縱。當封包到達第二模組(其位置可被操縱)時,假IP位址值變換回至其真值。第二模組使用相同偽隨機程序(或其逆程序)以基於假值導出真IP位址值。
MAC位址。MAC位址為由製造商指派給網路介面器件且儲存於機上ROM中之獨特值。出於本發明之目的,源MAC位址及/或目的地MAC位址可改變成隨機地選擇之假值(例如,使用偽隨機數目產生器)。或者,可自預定假值清單(例如,藉由任務計劃指定之清單)隨機地選擇假MAC值。源MAC位址及目的地MAC位址包括於資料封包之標頭部分中。因此,藉由僅僅改變每一封包之乙太網路標頭資訊來執行此等值之操縱。當封包到達第二模組(其位置可被操縱)時,假MAC 位址值變換回至其真值。接收封包之模組將使用相同偽隨機程序(或其逆程序)以基於假值導出真MAC位址值。
網路/子網路。在一些實施例中,IP位址可被視為單一識別碼參數。然而,IP位址通常被定義為包括包括網路前置項部分及主機數目部分之至少兩個部分。網路前置項部分識別資料封包待傳達至之網路。主機數目識別區域網路(LAN)內之特定節點。子網路為IP網路之邏輯部分。當網路劃分成兩個或兩個以上子網路的情況下,IP位址之主機數目區段之部分係用以指定子網路數目。出於本發明之目的,網路前置項、子網路數目及主機數目各自可被認為係一單獨識別碼參數。因此,此等識別碼參數中每一者可以偽隨機方式獨立於彼此而分離地操縱。此外,應瞭解,資料封包將包括源IP位址及目的地IP位址。因此,對於可以偽隨機方式操縱之總共六個不同的可變識別碼參數,網路前置項、子網路數目及主機數目可在源IP位址及/或目的地IP位址中予以操縱。接收封包之模組將使用與起源節點相同的偽隨機程序(或此程序之逆程序)以基於假值導出真網路/子網路資訊值。
TCP序列。在TCP會話之相對側上彼此通信之兩個用戶端電腦將各自維護一TCP序號。序號允許每一電腦追蹤其已傳達多少資料。TCP序號包括於在會話期間傳達之每一封包之TCP標頭部分中。在TCP會話之起始時,隨機地選擇初始序號值。出於本發明之目的,可根據偽隨機程序將TCP序號操縱為識別碼參數。舉例而言,TCP序號可改變成隨機地選擇之假值(例如,使用偽隨機數目產生器)。當在網路之不同模組(其位置將動態地變化)處接收封包時,可使用偽隨機程序之逆程序將TCP序號自假值變換回至真值。
埠數目。TCP/IP埠數目包括於資料封包之TCP或UDP標頭部分中。如用於TCP/IP通信協定中之埠在此項技術中為吾人所熟知,且因此在本文中將不予以詳細描述。資料封包之TCP標頭部分內含有埠資 訊。因此,藉由僅僅修改TCP標頭資訊以將真埠值改變成假埠值來實現埠資訊之操縱。如同本文所論述之其他識別碼參數一樣,可在第一模組處根據偽隨機程序將埠數目資訊操縱或變換成假值。稍後可在第二模組處使用偽隨機程序之逆程序將埠資訊自假值變換成真值。
儘管本發明已關於一或多個實施予以說明及描述,但熟習此項技術者在閱讀及理解本說明書及附圖後將想到等效變更及修改。另外,雖然可已關於若干實施中之僅一者揭示本發明之特定特徵,但此特徵可與如對於任何給定或特定應用可為所要且有利之其他實施之一或多個其他特徵組合。因此,本發明之廣度及範疇不應由上述實施例中任一者限制。實情為,本發明之範疇應根據以下申請專利範圍及其等效物予以界定。
100‧‧‧電腦網路
101‧‧‧用戶端電腦
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦
104‧‧‧網路管理電腦(NAC)
105‧‧‧模組
106‧‧‧模組
107‧‧‧模組
108‧‧‧網路集線器/網路節點
109‧‧‧網路集線器/網路節點
110‧‧‧路由器/網路節點
111‧‧‧伺服器
112‧‧‧伺服器
113‧‧‧模組
114‧‧‧模組
115‧‧‧橋接器
120‧‧‧識別碼參數(IDP)集合
122‧‧‧識別碼參數(IDP)集合
124‧‧‧第二網路
130‧‧‧第一邏輯網路
132‧‧‧第二邏輯網路
201‧‧‧資料埠
202‧‧‧資料埠

Claims (10)

  1. 一種在一動態電腦網路中過濾資料通信之方法,該方法包含:接收包括複數個識別碼參數之一資料封包;及藉由比較該複數個識別碼參數與一過濾規則集合來過濾該資料封包,其中該等過濾規則包含在如下條件下允許該資料封包:該等識別碼參數之一第一集合已經偽隨機地變換,以指定在基於一任務計劃而判定之一當前經允許假識別碼參數集合內的假識別碼參數。
  2. 如請求項1之方法,其中該等過濾規則進一步包含在指定假識別碼參數之識別碼參數之該第一集合中的至少一識別碼參數不在該當前經允許假識別碼參數集合內的條件下,捨棄該封包。
  3. 如請求項1之方法,其中該等過濾規則進一步包含在該假識別碼參數集合中的至少一假識別碼參數不在該當前經允許假識別碼參數集合內的條件下,將該封包引導至經特定組態以誤導一網路攻擊者之一伺服器。
  4. 如請求項1之方法,進一步包含:藉由使用一種子值及該任務計劃中所指定之一偽隨機變換演算法,對一當前有效真識別碼參數集合執行一偽隨機變換來判定該當前經允許假識別碼參數集合。
  5. 如請求項4之方法,進一步包含:用該當前經允許假識別碼參數集合之一假識別碼參數填入與該當前有效真識別碼參數集合之每一真識別碼參數有關之一表。
  6. 如請求項4之方法,其中在接收每一資料封包時執行該偽隨機變換,該方法進一步包含: 讀取與該資料封包相關聯之一時戳;及使用該種子值及該時戳來執行該偽隨機變換,以判定對應於該封包之該等識別碼參數中之至少一者之一真識別碼參數。
  7. 如請求項4之方法,其中回應於該任務計劃中所指定之一觸發事件且基於一使用者命令、一定時間隔及一潛在網路安全性威脅之一偵測中的至少一者來變化該偽隨機變換中之至少一要素。
  8. 如請求項7之方法,進一步包含:回應於該觸發事件且基於該任務計劃而變換該資料封包之該複數個識別碼參數之一第二集合。
  9. 如請求項1之方法,進一步包含將至少一過濾規則應用於該資料封包,惟測試該等當前經允許假識別碼參數之發生除外。
  10. 如請求項9之方法,其中該複數個識別碼參數全部指定真資訊。
TW102113512A 2012-05-01 2013-04-16 在一動態電腦網路中過濾通信之防火牆 TW201407405A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US13/461,158 US20130298221A1 (en) 2012-05-01 2012-05-01 Firewalls for filtering communications in a dynamic computer network

Publications (1)

Publication Number Publication Date
TW201407405A true TW201407405A (zh) 2014-02-16

Family

ID=48289676

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102113512A TW201407405A (zh) 2012-05-01 2013-04-16 在一動態電腦網路中過濾通信之防火牆

Country Status (3)

Country Link
US (1) US20130298221A1 (zh)
TW (1) TW201407405A (zh)
WO (1) WO2013165764A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI741698B (zh) * 2020-07-28 2021-10-01 中華電信股份有限公司 察覺惡意攻擊的方法及網路安全管理裝置

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9154458B2 (en) 2012-05-01 2015-10-06 Harris Corporation Systems and methods for implementing moving target technology in legacy hardware
US9075992B2 (en) * 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
US9130907B2 (en) 2012-05-01 2015-09-08 Harris Corporation Switch for communicating data in a dynamic computer network
US9100366B2 (en) 2012-09-13 2015-08-04 Cisco Technology, Inc. Early policy evaluation of multiphase attributes in high-performance firewalls
US9794275B1 (en) * 2013-06-28 2017-10-17 Symantec Corporation Lightweight replicas for securing cloud-based services
US10129284B2 (en) 2013-09-25 2018-11-13 Veracode, Inc. System and method for automated configuration of application firewalls
US9503324B2 (en) 2013-11-05 2016-11-22 Harris Corporation Systems and methods for enterprise mission management of a computer network
US9264496B2 (en) 2013-11-18 2016-02-16 Harris Corporation Session hopping
US9338183B2 (en) 2013-11-18 2016-05-10 Harris Corporation Session hopping
US10122708B2 (en) 2013-11-21 2018-11-06 Harris Corporation Systems and methods for deployment of mission plans using access control technologies
KR20180078000A (ko) * 2016-12-29 2018-07-09 (주)피앤지테크놀로지 클라우드 서비스 품질 향상을 위한 광역 통신망 접속회선 다중화 장치
EP3588894B1 (en) * 2018-06-28 2022-08-10 eperi GmbH Communicating data between computers by harmonizing data types
US10764089B2 (en) * 2017-08-29 2020-09-01 eperi GmbH Gateway computer system with intermediate data processing according to rules that are specified by templates
US20190166098A1 (en) * 2017-11-28 2019-05-30 Packetviper, Llc Methods and Systems for Protecting Computer Networks by Modulating Defenses
US11080432B2 (en) * 2018-07-30 2021-08-03 Texas Instruments Incorporated Hardware countermeasures in a fault tolerant security architecture
US11265346B2 (en) * 2019-12-19 2022-03-01 Palo Alto Networks, Inc. Large scale high-interactive honeypot farm
US11271907B2 (en) * 2019-12-19 2022-03-08 Palo Alto Networks, Inc. Smart proxy for a large scale high-interaction honeypot farm
CN115834091A (zh) * 2021-09-16 2023-03-21 华为云计算技术有限公司 网络流量控制方法以及相关系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7043633B1 (en) * 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
US7739497B1 (en) * 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7853998B2 (en) * 2007-03-22 2010-12-14 Mocana Corporation Firewall propagation
US7853680B2 (en) * 2007-03-23 2010-12-14 Phatak Dhananjay S Spread identity communications architecture
US9042549B2 (en) * 2009-03-30 2015-05-26 Qualcomm Incorporated Apparatus and method for address privacy protection in receiver oriented channels
US8495738B2 (en) * 2011-10-21 2013-07-23 Lockheed Martin Corporation Stealth network node

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI741698B (zh) * 2020-07-28 2021-10-01 中華電信股份有限公司 察覺惡意攻擊的方法及網路安全管理裝置

Also Published As

Publication number Publication date
US20130298221A1 (en) 2013-11-07
WO2013165764A1 (en) 2013-11-07

Similar Documents

Publication Publication Date Title
TW201407405A (zh) 在一動態電腦網路中過濾通信之防火牆
TWI496446B (zh) 一動態電腦網路中用於通信之雜訊、加密及誘餌
TWI489314B (zh) 用於使用影子網路技術以識別、阻斷及/或延遲對一網路之攻擊的系統及方法
TWI506999B (zh) 自發地配置一電腦網路之系統及方法
US8935786B2 (en) Systems and methods for dynamically changing network states
TWI464618B (zh) 於動態電腦網路中用於交流資料之路由器
TWI516072B (zh) 於原有硬體中實施活動目標技術之系統及方法
TWI510956B (zh) 交換器及用於在將複數個裝置連接至動態電腦網路之交換器中使用之方法
EP2813052B1 (en) Dynamic computer network with variable identity parameters
TWI496445B (zh) 動態電腦網路之任務管理
CA2861014C (en) Bridge for communicating with a dynamic computer network