TWI496446B - 一動態電腦網路中用於通信之雜訊、加密及誘餌 - Google Patents

一動態電腦網路中用於通信之雜訊、加密及誘餌 Download PDF

Info

Publication number
TWI496446B
TWI496446B TW102115504A TW102115504A TWI496446B TW I496446 B TWI496446 B TW I496446B TW 102115504 A TW102115504 A TW 102115504A TW 102115504 A TW102115504 A TW 102115504A TW I496446 B TWI496446 B TW I496446B
Authority
TW
Taiwan
Prior art keywords
message
network
identification code
module
mission plan
Prior art date
Application number
TW102115504A
Other languages
English (en)
Other versions
TW201408021A (zh
Inventor
Wayne B Smith
Charles Powers
Ellen K Lin
Christopher T Dowin
Ryan E Sharpe
Original Assignee
Harris Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harris Corp filed Critical Harris Corp
Publication of TW201408021A publication Critical patent/TW201408021A/zh
Application granted granted Critical
Publication of TWI496446B publication Critical patent/TWI496446B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

一動態電腦網路中用於通信之雜訊、加密及誘餌
發明性佈置係關於電腦網路安全性,且更特定而言係關於用於在網路可動態地操縱以抵禦惡意攻擊之情況下產生雜訊、誘餌及加密之系統。
當前網路基礎結構之主要弱點係其靜態本性。資產接收永久或不常改變之識別,此允許對手幾乎不限時間地探測網路、映射及惡意探索漏洞。另外,可擷取在此等固定實體之間行進之資料及給該資料賦予屬性。網路安全性之當前方法圍繞固定資產應用諸如防火牆及入侵偵測系統等技術,且使用加密來保護途中之資料。然而,此傳統方法根本上存在缺陷,此乃因其給攻擊者提供一固定目標。在今天之全球連接之通信基礎結構中,靜態網路係易受攻擊網路。
國防先進研究計劃局(DARPA)資訊保證(IA)項目已執行動態網路防禦領域中之初始研究。在資訊保證項目下開發用以出於使觀察網路之任何潛在對手混淆之目的而動態地重新指派饋入至一預先指定之網路飛地(enclave)中之網際網路協定(IP)位址空間之一技術。此技術稱作動態網路位址轉換(DYNAT)。在標題為「Dynamic Approaches to Thwart Adversary Intelligence」(2001)之DARPA之一公開論文中提出DYNAT技術之一概述。
本發明揭示一種處理一動態電腦網路中之資料訊息之方法。該方法包含實施規定假訊息之一訊息類型、一訊息產生位置及一訊息距離向量之一任務計劃。該方法包含接收包含複數個識別碼參數之根據該任務計劃產生之一資料訊息。判定該所接收訊息之一訊息類型及一訊息距離向量。基於該訊息類型係一假訊息且已耗盡該假訊息之該距離向量之一條件,丟棄該資料訊息。基於尚未耗盡該假訊息之該距離向量之一條件,根據該任務計劃傳輸該假訊息。
本發明揭示一種用於處理資料訊息之網路裝置。該網路裝置連接至一第一網路。該網路裝置上之複數個埠經配置以接收及傳輸包含複數個識別碼參數之資料訊息。一記憶體經配置以儲存規定假訊息之一訊息類型、一訊息產生位置及一訊息距離向量之一任務計劃。該裝置亦包含經配置以基於該任務計劃產生一假訊息之至少一個處理單元。該處理單元亦經配置以判定一所接收資料訊息之一訊息類型及一訊息距離向量。若該訊息類型係一假訊息且已耗盡該假訊息之該距離向量,則配置該處理單元以丟棄該資料訊息。另一方面,若尚未耗盡該資料訊息之該距離向量,則根據該任務計劃傳輸該資料訊息。
100‧‧‧電腦網路/網路
101‧‧‧用戶端電腦
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦
104‧‧‧網路管理電腦
105‧‧‧模組
106‧‧‧模組
107‧‧‧模組
108‧‧‧網路集線器/集線器/網路節點
109‧‧‧網路集線器/集線器/網路節點
110‧‧‧路由器/網路節點
111‧‧‧伺服器
112‧‧‧伺服器
113‧‧‧模組
114‧‧‧模組
115‧‧‧橋接器
120‧‧‧識別碼參數集合
122‧‧‧新/經修改識別碼參數集合/識別碼參數集合/訊息
124‧‧‧第二網路
130‧‧‧第一邏輯網路/邏輯網路
132‧‧‧第二邏輯網路/邏輯網路
201‧‧‧資料埠/埠
202‧‧‧資料埠/埠
204‧‧‧網路介面裝置
205‧‧‧網路介面裝置
206‧‧‧輸出緩衝器
208‧‧‧輸入緩衝器
210‧‧‧輸入緩衝器
212‧‧‧輸出緩衝器
215‧‧‧處理器
218‧‧‧記憶體
220‧‧‧任務計劃
300‧‧‧工作場所
302‧‧‧網路組件
304‧‧‧游標
306‧‧‧資料連接
400‧‧‧對話方塊
401‧‧‧核取方塊
402‧‧‧標籤
404‧‧‧標籤
406‧‧‧標籤
408‧‧‧使用者介面控制件/核取方塊
410‧‧‧源位址方塊
412‧‧‧目的地位址方塊
414‧‧‧方塊
415‧‧‧方塊
416‧‧‧方塊
418‧‧‧核取方塊
420‧‧‧使用者介面控制件/滑桿
422‧‧‧清單方塊
424‧‧‧清單方塊
428‧‧‧核取方塊
430‧‧‧核取方塊
432‧‧‧下拉式選單/選單
500‧‧‧對話方塊
502‧‧‧控制件
503‧‧‧表格
5041 ‧‧‧時槽
5042 ‧‧‧時槽
5043 ‧‧‧時槽
5044 ‧‧‧時槽
506‧‧‧時間紀元/時序紀元
508‧‧‧游標
510‧‧‧按鈕
602‧‧‧網路控制軟體應用程式
604‧‧‧任務計劃
606‧‧‧通信媒體
700‧‧‧對話方塊
702‧‧‧任務計劃
704‧‧‧發送任務計劃按鈕
1000‧‧‧模組/電腦系統
1002‧‧‧顯示器單元
1008‧‧‧指令
1010‧‧‧電腦可讀儲存媒體
1012‧‧‧處理器
1016‧‧‧網路介面裝置
1017‧‧‧網路介面裝置
1018‧‧‧靜態記憶體
1020‧‧‧主記憶體
1022‧‧‧匯流排
1102‧‧‧顯示器單元
1104‧‧‧使用者輸入裝置
1106‧‧‧磁碟機單元
1108‧‧‧指令
1110‧‧‧電腦可讀儲存媒體
1112‧‧‧處理器
1114‧‧‧游標控制裝置
1116‧‧‧網路介面裝置
1118‧‧‧靜態記,憶體
1120‧‧‧主記憶體
1122‧‧‧匯流排
將參考以下繪圖闡述實施例,其中遍及該等圖,相同編號表示相同物項,且其中:圖1係用於理解本發明之一電腦網路之一實例。
圖2係在本發明中可用於執行識別碼參數之某些操控之一模組之一實例。
圖3係用於理解可用以幫助表徵圖1中之網路之一工具之一圖式。
圖4係可用以選擇圖1中之模組之動態設定之一圖形使用者介面 之一對話方塊之一實例。
圖5係可用以選擇與圖1中之每一模組相關聯之作用狀態及繞過狀態之一序列之一圖形使用者介面之一對話方塊之一實例。
圖6係用於理解可將一任務計劃傳達至圖1中之網路中之複數個模組之方式之一圖式。
圖7係可用以選擇一任務計劃且將該任務計劃傳達至如圖6中所展示之模組之一圖形使用者介面之一對話方塊之一實例。
圖8係用於理解圖1中之一模組之操作之一流程圖。
圖9係用於關於創建及載入任務計劃理解一網路控制軟體應用程式(NCSA)之操作之一流程圖。
圖10係可用以實施圖1中之模組之一電腦架構之一方塊圖。
圖11係可用以實施圖1中之網路管理電腦(NAC)之一電腦架構之一方塊圖。
圖12係用於理解處理雜訊及誘餌訊息之一網路裝置之操作之一流程圖。
圖13係用於理解可修改之某些類型之識別碼參數之一表格。
參考附圖闡述本發明。該等圖未按比例繪製且其經提供以僅圖解說明本發明。為了圖解說明,下文參考實例性應用闡述本發明之數個態樣。應理解,列舉眾多特定細節、關係及方法以提供對本發明之一完全理解。然而,熟習相關技術者將容易地認識到,可在不具有特定細節中之一或多者之情況下或藉助其他方法實踐本發明。在其他例項中,未詳細展示眾所周知之結構或操作以避免使本發明模糊。本發明不受行動或事件之所圖解說明之次序限制,此乃因某些行動可以不同於其他行動或事件之次序發生及/或與其他行動或事件同時發生。此外,並非所有所圖解說明之行動或事件皆需要來實施根據本發明之 一方法。
亦應瞭解,本文中所使用之術語僅用於闡述特定實施例之目的而並非意欲限制本發明。如本文中所使用,單數形式「一(a)」、「一(an)」及「該(the)」亦意欲包含複數形式,除非上下文另外清楚地指示。此外,就在詳細說明及/或申請專利範圍中使用術語「包含(including)」、「包含(include)」、「具有(having)」、「具有(has)」、「具有(with)」或其變化形式而言,此等術語意欲以類似於術語「包括(comprising)」之一方式係包含性的。
此外,除非另外定義,否則本文中所使用之所有術語(包含技術及科學術語)皆具有與熟習本發明所屬之技術領域者通常所理解相同之含義。應進一步理解,應將術語(諸如常用字典中所定義之彼等術語)解釋為具有與其在相關技術之上下文中之含義一致之一含義,而不應以一理想化或過分形式化意義來解釋,除非本文中明確定義如此。
識別碼敏捷電腦網路
現在參考圖1,其展示包含複數個計算裝置之一例示性網路100 之一圖式。該等計算裝置可包含用戶端電腦101至103 ,網路管理電腦(NAC)104 ,伺服器111112 ,網路集線器108109 ,路由器110 及一橋接器115 。用戶端電腦可係可能需要網路服務之任何類型之計算裝置,諸如一習用平板電腦、筆記型電腦、膝上型電腦或桌上型電腦。路由器110 可係使資料封包在電腦網路之間路由之一習用路由裝置。集線器108109 係如此項技術中眾所周知之習用集線器裝置(例如,一乙太網路集線器)。伺服器111112 可提供由用戶端電腦101至103 利用之各種計算服務。舉例而言,伺服器111112 可係提供用於由用戶端電腦101至103 使用之電腦檔案之共用儲存區之一位置之檔案伺服器。
用於網路100 之通信媒體可係有線的、無線的或兩者,但應在本文中為了簡化及避免使本發明模糊而闡述為一有線網路。該網路將使用一通信協定傳達資料。如此項技術中眾所周知,通信協定定義用於遍及網路傳達資料之格式及規則。圖1中之網路可使用任何通信協定或現在已知或未來將知曉之協定組合。舉例而言,該網路可針對此類通信使用眾所周知之乙太網路協定套組。另一選擇係,該網路可利用其他協定,諸如網際網路協定套組(通常稱為TCP/IP)、SONET/SDH或非同步傳送模式(ATM)通信協定。在某些實施例中,此等通信協定中之一或多者可以組合方式使用。雖然圖1中展示一個網路拓撲,但本發明不限於此方面。而是,可使用任何類型之適合網路拓撲,諸如一匯流排網路、一星形網路、一環形網路或一網狀網路。
本發明大體而言係關於一種用於在一電腦網路中(例如,在電腦網路100 中)傳達資料之方法,其中將資料自一第一計算裝置傳達至一第二計算裝置。該網路內之計算裝置係用多個識別碼參數表示。如本文中所使用之片語「識別碼參數」可包含諸如一網際網路協定(IP)位址、媒體存取控制(MAC)位址、埠等等物項。然而,本發明不限於此方面,且識別碼參數亦可包含用於表徵一網路節點之多種其他資訊。下文進一步詳細地論述本文中所設想之各種類型之識別碼參數。發明性佈置涉及使用活動目標技術(MTT)來操控網路內之一或多個計算裝置之此類識別碼參數中之一或多者。此技術掩飾此等計算裝置之通信方式及網路位址。如本文中所闡述之識別碼參數之操控通常連同網路中之資料通信一起執行,亦即,在待將資料自網路中之一第一電腦(例如,用戶端電腦101 )傳達至網路中之一第二電腦(例如,用戶端電腦102 )時執行。因此,所操控之識別碼參數可包含一源計算裝置(亦即,資料起源於其之裝置)及目的地計算裝置(亦即,資料正被發送至其之裝置)之彼等識別碼參數。所傳達之識別碼參數之集合在本文中 稱為一識別碼參數集合(IDP集合)。此概念圖解說明於圖1中,其展示一IDP集合120 作為一資料封包(未展示)之部分由用戶端電腦101 傳輸。
根據發明性佈置之程序涉及在電腦網路內之一第一位置處選擇性地修改一資料封包或資料包中所含有之規定一源計算裝置及/或目的地計算裝置之一或多個識別碼參數之值。根據一任務計劃修改識別碼參數。其中執行此修改之位置將通常與模組105至107113114 中之一者之位置重合。再次參考圖1,可觀察到,模組105106107113114 在構成網路中之節點之各種計算裝置之間插入於此網路中。在此等位置中,該等模組攔截資料封包通信、執行識別碼參數之必要操控且沿一傳輸路徑重新傳輸資料封包。在替代實施例中,模組105106107113114 可執行一類似功能,但可直接整合至計算裝置中之一或多者中。舉例而言,該等模組可整合至用戶端電腦101102103 ,伺服器111112 ,集線器108109 ,橋接器115 中及/或路由器110 內。集線器108109 ,橋接器115 及/或路由器110 亦可包含能夠過濾包含一經修改IDP集合之訊務之一防火牆。
另外,網路100 可劃分成透過路由器110 連接之若干個邏輯子區(有時稱為子網路(sub-network或subnet))。一企業網路可出於多種管理或技術原因而劃分成若干個子網路,該等原因包含但不限於隱藏網路之拓撲以使其對外部主機不可見、利用不同網路協定連接網路、在子網路層級上單獨管理網路定址方案、由於經約束資料連接而啟用跨越子網路之資料訊務之管理及諸如此類。子網路分割係此項技術中眾所周知的且將不做進一步詳細闡述。
再次參考圖1,網路100 劃分成兩個邏輯網路,即一第一邏輯網路130 及一第二邏輯網路132 。如本文中所使用之片語「邏輯網路」係指一電腦網路之任何邏輯子區。在一實施例中,邏輯網路130132 路 由器110 連接。路由器110 負責引導邏輯網路之間(亦即,自用戶端電腦101 至用戶端電腦103 )的訊務。路由器110 亦負責引導自連接至網路100 之任何主機去往第二網路124 之訊務。在圖1中所展示之實施例中,自網路100 路由至第二網路124 之訊務通過橋接器115 。如同上文之模組,橋接器115 之功能性可整合於路由器110 內及/或包含一防火牆。
圖2中展示一模組105 之一功能性方塊圖之一實例。模組106107113114 可具有一類似功能性方塊圖,但應理解,本發明不限於此方面。如圖2中所展示,模組105 具有至少兩個資料埠201202 ,其中之每一者可對應於一各別網路介面裝置204205 。在埠201 處接收之資料係在網路介面裝置204 處處理且暫時儲存於一輸入緩衝器210 處。處理器215 存取輸入緩衝器210 中所含有之輸入資料封包且執行如本文中所闡述之識別碼參數之任何必要操控。經修改資料封包係傳遞至輸出緩衝器212 且隨後使用網路介面裝置205 自埠202 傳輸。類似地,在埠202 處接收之資料係在網路介面裝置205 處處理且暫時儲存於一輸入緩衝器208 處。處理器215 存取輸入緩衝器208 中所含有之輸入資料封包且執行如本文中所闡述之識別碼參數之任何必要操控。經修改資料封包係傳遞至輸出緩衝器206 且隨後使用網路介面裝置204 自埠201 傳輸。在每一模組中,處理器215 根據儲存於一記憶體218 中之一任務計劃220 執行識別碼參數之操控。
應自圖2理解,一模組較佳地經配置以使其雙向地操作。在此等實施例中,取決於一特定資料封包之一源,模組可實施不同修改功能。可根據一特定資料封包之一源計算裝置在任務計劃中規定每一模組中之動態修改功能。模組可藉由任何適合方式判定資料封包之一源。舉例而言,可出於此目的使用一資料封包之一源位址。
在網路100 內之一選定模組處,處理器215 將判定將代替真識別 碼參數值使用之一或多個假識別碼參數值。處理器將使一或多個真識別碼參數值轉換為由一偽隨機函數較佳地規定之一或多個假識別碼參數值。在此轉換之後,模組將沿一傳輸路徑將經修改封包或資料包轉發至網路之下一節點。在通信路徑中之後續點處,正監視此等網路通信之一對手將觀察關於在網路上通信之計算裝置之識別碼之假或不正確資訊。
在一較佳實施例中,根據一或多個觸發事件之發生使由偽隨機函數規定之假識別碼參數變化。觸發事件致使處理器215 使用偽隨機函數來產生一新的假識別碼參數值集合,真識別碼參數被轉換成該等假識別碼參數值。因此,觸發事件充當本文中所闡述之假識別碼參數之動態變化之一基礎。下文更詳細地論述觸發事件。然而,應注意,用於選擇一新的假識別碼參數值集合之觸發事件可基於時間之消逝及/或某些網路事件之發生。觸發事件亦可由一使用者命令起始。
上文所闡述之識別碼參數之轉換提供出於阻撓一網路攻擊之目的而操縱一電腦網路100 之一種方式。在一較佳實施例中,由處理器215 實施之任務計劃220 亦將控制電腦網路可操縱之方式之某些其他態樣。舉例而言,任務計劃可規定操控識別碼參數之一動態選擇。該動態選擇可包含選擇哪些識別碼參數進行修改及/或選擇此等識別碼參數之一數目之一選擇。此可變選擇程序提供可用以進一步阻撓一對手滲入或瞭解一電腦網路100 之努力之不確定性或變化之一添加之維度。作為此技術之一實例,考量在一第一時間週期期間,一模組可修改每一資料封包之一目的地IP位址及一目的地MAC位址。在一第二時間週期期間,模組可操控每一資料封包中之源IP位址及一源主機名稱。在一第三時間週期期間,模組可操控一源埠編號及一源使用者名稱。識別碼參數之選擇之改變可同步地發生(同時改變所有選定識別碼參數)。另一選擇係,識別碼參數之選擇之改變可不同步地發生 (選定識別碼參數之群組隨添加或自選定識別碼參數之群組移除個別識別碼參數而遞增地改變)。
一偽隨機函數較佳地用於判定將操控或轉換成假值之識別碼值之選擇。換言之,模組將僅轉換藉由偽隨機函數選擇之識別碼參數。在一較佳實施例中,根據一觸發事件之發生使由偽隨機函數規定之識別碼參數之選擇變化。觸發事件致使處理器215 使用一偽隨機函數來產生將轉換成假識別碼參數之識別碼參數之一新選擇。因此,觸發事件充當本文中所闡述之識別碼參數之選擇之動態變化之一基礎。值得注意的是,亦可根據偽隨機演算法使識別碼參數之值變化。
模組有利地亦能夠提供出於阻撓一網路攻擊之目的而操縱電腦網路之一第三方法。具體而言,載入於每一模組中之任務計劃可使其中發生識別碼參數之修改或轉換的網路內之位置動態地變化。考量自用戶端電腦101 發送至用戶端電腦102 之一IDP集合120 中之識別碼參數之修改可發生於模組105 中。此條件展示於圖1中,其中在模組105 中操控IDP集合120 中所含有之識別碼參數以使得IDP集合120 被轉換為一新或經修改IDP集合122 。與IDP集合120 中之識別碼參數相比,IDP集合122 中之識別碼參數中之至少某些識別碼參數係不同的。但其中發生此轉換之位置較佳地亦由任務計劃控制。因此,IDP集合120 之操控可(舉例而言)有時發生在模組113114 處而非在模組105 處。用以使其中發生識別碼參數之操控之位置選擇性地變化之此能力給電腦網路之操縱能力添加又一重要維度。
藉由選擇性地控制每一模組之一操作狀態促進其中修改識別碼參數之位置之動態變化。為此,每一模組之操作狀態較佳地包含:(1)一作用狀態,其中根據一當前任務計劃處理資料;及(2)一繞過狀態,其中封包可流動通過模組,就如模組不存在一樣。藉由選擇性地致使某些模組處於一作用狀態中且致使某些模組處於一待命狀態中而 控制其中執行動態修改之位置。可藉由以一協調方式使模組之當前狀態動態地變化而動態地改變該位置。
任務計劃可包含用於判定其中將操控識別碼參數的電腦網路100 內之位置之預定義序列。其中將操控識別碼參數之位置將在由一觸發事件指示之時間根據該序列改變。舉例而言,觸發事件可致使至用於如本文中所闡述之識別碼參數之操控或轉換之一新位置之一轉變。因此,觸發事件充當其中修改識別碼參數之位置之一改變之發生之一基礎,且預定義序列判定該新位置將在何處。
自前述內容,應瞭解,在一模組處修改一資料封包以包含假識別碼參數。在電腦網路內之某一點處,使識別碼參數恢復其真值以使得識別碼參數可用以根據特定網路協定適當地執行其預期功能係必要的。因此,發明性佈置亦包含在一第二位置(亦即,一第二模組)處根據任務計劃動態地修改識別碼參數之經指派值。在第二位置處之修改基本上包括在第一位置處用以修改識別碼參數之一程序之一逆程序。第二位置處之模組可因此使假值識別碼參數恢復或轉換回至其真值。為了實現此動作,第二位置處之模組必須能夠判定至少:(1)將轉換之識別碼參數值之一選擇;及(2)選定識別碼參數自假值至真值之一正確轉換。實際上,此程序涉及用以判定識別碼參數選擇之該(等)偽隨機程序及對此等識別碼參數值實現之改變之一逆程序。逆轉換步驟圖解說明於圖1中,其中在模組106 處接收IDP集合122 ,且將IDP集合122 中之識別碼參數值轉換或操控回至其原始或真值。在此情景中,模組106 將識別碼參數值轉化回至IDP集合120 之彼等識別碼參數值。
值得注意的是,一模組必須使判定適當轉換或操控之某一方式適用於其接收到之每一資料通信。在一較佳實施例中,藉由審查所接收資料通信內所含有之至少一源位址識別碼參數而執行此判定。舉例而言,源位址識別碼參數可包含一源計算裝置之一IP位址。一旦已知 源計算裝置之真識別碼,模組即咨詢任務計劃(或自任務計劃導出之資訊)以判定其需要採取哪些動作。舉例而言,此等動作可包含將某些真識別碼參數值轉化為假識別碼參數值。另一選擇係,此等改變可包含將假識別碼參數值轉化回至真識別碼參數值。
值得注意的是,將存在其中一所接收資料通信中所含有之源位址識別碼參數資訊已改變為一假值之例項。在彼等環境中,接收資料通信之模組將不能立即判定資料通信之源之識別碼。然而,接收通信之模組可在此等例項中仍識別源計算裝置。此在接收模組處藉由比較假源位址識別碼參數值與一查找表(LUT)而實現,該查找表列示在一特定時間期間正使用之所有此等假源位址識別碼參數值。LUT亦包含對應於假源位址值之真源位址識別碼參數值之一清單。LUT可由任務計劃直接提供或可由任務計劃內所含有之資訊產生。在任一情形中,可自LUT容易地判定一真源位址識別碼參數值之識別。一旦已判定真源位址識別碼參數,則接收資料通信之模組可使用此資訊來判定(基於任務計劃)需要對識別碼參數之哪些操控。
值得注意的是,任務計劃亦可規定其中使識別碼參數恢復為其真值之第二位置之一變化。舉例而言,假定在包括模組105 之一第一位置處動態地修改識別碼參數。任務計劃可規定如所闡述在模組106 處發生識別碼參數恢復其真值,但另一選擇係,可規定替代地在模組113114 處發生動態修改。在某些實施例中,任務計劃根據一預定義序列動態地判定其中發生此等操控之位置。該預定義序列可判定其中將發生識別碼參數之操控之位置或模組的序列。
涉及不同位置處之動態修改的轉變宜根據一觸發事件發生。因此,預定義序列判定其中將發生資料操控之位置的型樣或序列,且觸發事件充當用於致使自一個位置至下一個位置之轉變之一基礎。下文更詳細地論述觸發事件;然而,應注意,觸發事件可係基於時間之消 逝、使用者控制及/或某些網路事件之發生。可以與上文關於第一位置所闡述相同之方式來實現對一第二位置(亦即,其中使識別碼參數返回至其真值)之選擇的控制。具體而言,兩個或兩個以上模組之操作狀態可在一作用狀態與一繞過狀態之間雙態切換。識別碼參數之操控將僅發生於具有一作用操作狀態之模組中。具有一繞過操作狀態之模組將僅傳遞資料封包而不做修改。
替代方法亦可用於控制其中將發生識別碼參數之操控的位置。舉例而言,一網路管理員可在一任務計劃中定義其中可將一識別碼參數自真值轉化為假值之數個可能模組。在發生一觸發事件後,可旋即藉由使用一偽隨機函數且使用一觸發時間作為該偽隨機函數之一種子值而自數個模組當中選擇一新位置。若每一模組皆使用相同初始種子值來實施同一偽隨機函數,則每一模組將計算同一偽隨機值。可基於一時脈時間(諸如一GPS時間或系統時脈時間)來判定觸發時間。以此方式,每一模組可獨立地判定其當前是否為其中應發生識別碼參數之操控之一作用位置。類似地,網路管理員可在一任務計劃中定義其中動態操控使識別碼參數返回至其正確或真值的數個可能模組。將哪一模組用於此目的之選擇亦可根據如本文中所闡述之一觸發時間及一偽隨機函數來判定。用於判定其中將發生識別碼參數操控之位置或模組之其他方法亦係可能的。因此,本發明並不意欲限於本文中所闡述之特定方法。
值得注意的是,使其中操控識別碼功能之第一及/或第二位置之定位變化通常將導致第一與第二位置沿一網路通信路徑之間的一實體距離變化。第一與第二位置之間的距離在本文中稱為一距離向量。該距離向量可係第一與第二位置之間的沿一通信路徑之一實際實體距離。然而,將該距離向量視為表示存在於第一與第二位置之間的一通信路徑中之網路節點之數目係有用的。應瞭解,動態地選擇網路內之 第一及第二位置之不同定位可具有改變第一與第二位置之間的節點之數目之效應。舉例而言,在圖1中,在模組105106107113114 中之選定者中實施識別碼參數之動態修改。如先前所闡述地判定實際上用以分別實施動態修改之模組。若模組105用於將識別碼參數轉化為假值且模組106 用以將其轉化回至真值,則在模組105106 之間存在三個網路節點(108110109 )。但若模組113 用以轉化為假值且模組114 用以將識別碼參數轉化回至真值,則在模組113114 之間存在僅一個網路節點(110 )。因此,應瞭解,動態地改變其中發生動態修改之位置之定位可使距離向量動態地變化。距離向量之此變化給如本文中所闡述之網路操縱或修改提供可變性之一添加之維度。
在本發明中,識別碼參數值之操控、識別碼參數被改變之選擇及其中此等識別碼參數之位置各自定義為一操縱參數。每當在此三個操縱參數中之一者中發生一改變時,可認為一網路操縱已發生。此三個操縱參數中之一者無論在何時改變,可認為一網路操縱已發生。為了最有效地阻撓一對手滲入一電腦網路100 之努力,較佳地藉助於如先前所闡述之一偽隨機程序控制網路操縱。熟習此項技術者將瞭解,一混亂程序亦可用於執行此功能。與偽隨機函數相比,混亂程序在技術上係不同的,但出於本發明之目的,可使用任一者且兩者視為等效的。在某些實施例中,同一偽隨機程序可用於使操縱參數中之兩者或兩者以上動態地變化。然而,在本發明之一較佳實施例中,使用兩個或兩個以上不同偽隨機程序以使得獨立於其他操縱參數修改此等操縱參數中之兩者或兩者以上。
觸發事件
如上文所述,藉由至少一個觸發控制對操縱參數中之每一者之動態改變。一觸發係致使相對於本文中所闡述之動態修改而發生一改變之一事件。換言之,可認為,觸發致使網路以不同於在一先前時間 (亦即,在發生觸發之前)之一新方式操縱。舉例而言,在一第一時間週期期間,一任務計劃可致使一IP位址自值A改變為值B;但在觸發事件之後,IP位址可替代地自值A改變為值C。類似地,在一第一時間週期期間,一任務計劃可致使一IP及MAC位址被修改;但在觸發事件之後,該任務計劃可替代地致使一MAC位址及使用者名稱被修改。作為一第三實例,考量在一第一時間週期期間,一任務計劃可致使識別碼參數在一IDP集合120 到達模組105 處時改變;但在觸發事件之後,可致使識別碼參數替代地在一IDP集合120 到達模組113 處時改變。
在其最簡單形式中,一觸發可係使用者啟動的或基於一簡單時序方案。在此一實施例中,每一模組中之一時脈時間可充當一觸發。舉例而言,一觸發事件可定義為在每60秒時間間隔之期滿時發生。對於此一佈置,操縱參數中之一或多者可根據一預定時脈時間每60秒改變。在某些實施例中,所有操縱參數可同時改變以使得該等改變係同步的。在一稍微更複雜實施例中,亦可使用一基於時間之觸發佈置,但可針對每一操縱參數選擇一不同獨特觸發時間間隔。因此,假識別碼參數值可能以時間間隔X改變,識別碼參數之一選擇將根據一時間間隔Y改變,且其中執行此等改變之一位置將以時間間隔Z發生,其中X、Y及Z係不同值。
應瞭解,在依賴於時脈時間作為一觸發機制之本發明之實施例中,提供如各種模組105106107113114 中之時脈之間的同步化以確保封包不會由於未辨識之識別碼參數而丟失或丟棄係有利的。同步化方法係眾所周知的且任何適合同步化機制皆可用於此目的。舉例而言,可藉由使用一高度準確時間參考(諸如一GPS時脈時間)而將模組同步化。另一選擇係,可將一獨特無線同步化信號自一中央控制設施廣播至模組中之每一者。
關於本發明之其他類型之觸發亦係可能的。舉例而言,觸發事件可基於潛在網路安全性威脅之發生或偵測。根據本發明之一實施例,一潛在網路安全性威脅可由一網路安全性軟體套組識別。另一選擇係,可在於一模組105106107113114 處接收到一資料封包後旋即識別潛在網路安全性威脅,其中該封包含有與網路操縱之目前狀態不一致之一或多個識別碼參數。無論用於識別一網路安全性威脅之基礎如何,此威脅之存在可充當一觸發事件。基於一網路安全性威脅之一觸發事件可致使與上文所闡述之基於時間之觸發導致之彼等類型之網路操縱相同之類型之網路操縱。舉例而言,假識別碼參數、識別碼參數之選擇及識別碼參數轉換之位置可保持穩定(亦即,不改變),惟其中偵測到一網路安全性威脅之情形除外。舉例而言,可在其中頻繁網路操縱係不合意之電腦網路中選擇此一佈置。
另一選擇係,基於時間之觸發事件可與基於對網路安全性之潛在威脅之觸發事件組合。在此等實施例中,與基於時間之觸發相比,基於一安全性威脅之一觸發事件可對網路操縱具有一不同效應。舉例而言,一基於安全性威脅之觸發事件可致使網路操縱之策略性或防禦性改變以便更積極應對此網路安全性威脅。此等措施之精確本性可取決於威脅之本性,但可包含多種回應。舉例而言,可選擇不同偽隨機演算法,及/或可增加經選擇以用於每一IDP集合120 中之操控之識別碼參數之數目。在已利用基於時間之觸發之系統中,回應亦可包含增加網路操縱之一頻率。因此,可關於以下各項做出更頻繁改變:(1)假識別碼參數值;(2)在每一IDP集合中待改變之識別碼參數之選擇;及/或(3)其中改變識別碼參數之第一及第二位置之定位。因此,本文中所闡述之網路操縱提供用於識別潛在網路安全性威脅及對潛在網路安全性威脅做出回應之一方法。
任務計劃
根據本發明之一較佳實施例,根據一任務計劃控制本文中所闡述之網路操縱。一任務計劃係定義及控制一網路之上下文及一安全性模型內之操縱能力之一方案。因此,任務計劃可表示為自網路管理電腦(NAC)104 傳達至每一模組105至107113至114 之一資料檔案。任務計劃此後由每一模組用以控制識別碼參數之操控且使其活動與網路中之其他模組之動作協調。
根據一較佳實施例,任務計劃可由一網路管理員不時地修改以更新或改變網路操縱阻撓潛在對手之方式。因此,任務計劃給一網路管理員提供促進對網路操縱將在網路內發生之時間、地點及方式之完全控制之一工具。此更新能力允許網路管理員使電腦網路之行為適合當前操作條件且更有效地阻撓對手滲入網路之努力。多個任務計劃可由一使用者定義及儲存以使其可由網路內之模組存取。舉例而言,多個任務計劃可儲存於NAC104 處且視需要傳達至模組。另一選擇係,複數個任務計劃可儲存於每一模組上且可視需要啟動或可係合意的以維持網路之安全性。舉例而言,若網路管理員判定或懷疑一對手已發現一網路之一當前任務計劃,則管理員可希望改變該任務計劃。有效安全性程序亦可命令週期性地改變任務計劃。
創建一任務計劃之程序可藉由模型化網路100 開始。模型之創建藉由在一電腦上執行或在網路命令中心處服務之一網路控制軟體應用程式(NCSA)促進。舉例而言,在圖1中所展示之實施例中,NCSA可在NAC104 上執行。網路模型較佳地包含定義網路100 中所包含之各種計算裝置之間的資料連接及/或關係之資訊。NCSA將提供促進輸入此關係資料之一適合介面。根據一項實施例,NCSA可促進將資料輸入至可用以定義任務計劃之表格中。然而,在一較佳實施例中,使用一圖形使用者介面來促進此程序。現在參考圖3,NCSA可包含一網路拓撲模型產生器工具。該工具用以輔助網路管理員定義網路之各種組 件中之每一者之間的關係。網路拓撲工具提供一工作場所300 ,其中一管理員可藉由使用一游標304 而拖放網路組件302 。網路管理員亦可創建各種網路組件302 之間的資料連接306 。作為此模型化程序之部分,網路管理員可提供各種網路組件(包含模組105至107113114 )之網路位址資訊。
網路一旦已被模型化,其即可由網路管理員保存及使用以定義各種模組105至107113114 表現及彼此互動之方式。現在參考圖4,NCSA可產生可用以進一步開發一任務計劃之一對話方塊400 。一下拉式選單432 可用以選擇待將對話方塊400 中之設定應用於其之特定模組(例如,模組105 )。另一選擇係,網路管理員可使用下拉式選單432 來指示意欲將對話方塊400 中之設定應用於網路內之所有模組(例如,藉由選擇選單432 中之「所有」)。程序可藉由規定是否將總是在模組中之每一者中修改一固定識別碼參數集合或是否應使所操控之識別碼參數集合動態地變化而繼續。若意欲使將在模組中操控之識別碼參數之選擇或集合動態地變化,則網路管理員可標記核取方塊401 以指示彼偏好。若未標記核取方塊401 ,則彼將指示待變化之識別碼參數集合係不隨時間變化之一固定集合。
對話方塊400 包含標籤402404406 ,該等標籤允許一使用者選擇他希望出於創建一任務計劃之目的而一起工作之特定識別碼參數。出於本發明之目的,對話方塊400 促進僅三個識別碼參數之動態變化。具體而言,此等識別碼參數包含IP位址、MAC位址及埠位址。可藉由提供額外標籤而使更多或更少識別碼參數動態地變化,但所述三個識別碼參數足以解釋發明性概念。在圖4中,使用者已選擇標籤402 與識別碼參數之IP位址類型一起工作。在標籤402 內,提供用於規定與選定模組內之IP位址之動態變化相關之細節之多種使用者介面控制件408至420 。可提供更多或更少控制件以促進IP位址類型之動態操 控,且僅提供所展示之控制件以輔助讀者理解該概念。在所展示之實例中,網路管理員可藉由選擇(例如,藉助一指標裝置(諸如一滑鼠))標記為啟用IP位址跳躍之核取方塊408 而啟用IP位址之動態變化。類似地,網路管理員可指示將使源位址、目的地位址還是兩者變化。在此實例中,標記源位址方塊410 及目的地位址方塊412 兩者,從而指示將改變兩種類型之位址。可由管理員在清單方塊422424 中規定源位址及目的地位址之所允許值之範圍。
藉由選擇一偽隨機程序而規定用以選擇假IP位址值之特定偽隨機程序。在方塊414415 中規定此選擇。不同偽隨機程序可具有針對可變真隨機程度之不同複雜性位準,且管理員可選擇最佳適合網路100 之需要之程序。
對話方塊400 亦允許一網路管理員設定待用於IP位址識別碼參數之動態變化之觸發類型。在此實例中,使用者已選擇方塊416 ,從而指示一基於時間之觸發將用於判定何時轉變為新假IP位址值。此外,核取方塊418 已經選擇以指示基於時間之觸發將在一週期性基礎上發生。滑桿420 可由使用者調整以判定基於週期性時間之觸發之頻率。在所展示之實例中,觸發頻率可在每小時6個觸發之發生率(每10分鐘發生觸發)與每小時120 個觸發之發生率(每30秒發生觸發)之間調整。在此實例中,亦可選擇其他類型之觸發。舉例而言,對話方塊400 包含核取方塊428430 ,網路管理員可藉由核取方塊428430 選擇一基於事件之觸發。數個不同特定事件類型可經選擇以形成用於此等基於事件之觸發之基礎(例如,事件類型1、事件類型2等)。此等事件類型可包含各種潛在電腦網路安全性威脅之偵測。在圖4中,標籤404406 類似於標籤402 ,但使其中之控制件適合MAC位址及埠值而非IP位址之動態變化。可提供用於控制其他類型之識別碼參數之動態變化之額外標籤。
任務計劃亦可規定用於使其中修改識別碼參數之位置動態地變化之一計劃。在某些實施例中,藉由控制定義每一模組何時處於一作用狀態或一繞過狀態中之一序列而促進此可變位置特徵。因此,任務計劃有利地包含規定此序列之某一方式。在本發明之某些實施例中,此可涉及使用經定義時間間隔或時槽,該等經定義時間間隔或時槽由一觸發事件之發生分離。
現在參考圖5,一對話方塊500 可由NCSA提供以促進位置序列及時序資訊之協調及輸入。對話方塊500 可包含一控制件502 ,控制件502 用於選擇將包含於一時間紀元506 內之時槽504 1 504 n 之一數目。在所圖解說明之實例中,網路管理員已定義每時序紀元4個時槽。對話方塊500 亦可包含一表格503 ,表格503 包含網路100 中之所有模組。針對所列示之每一模組,該表格包含一個時序紀元506 之可用時槽504 1 至504 4 之一圖形表示。應記得,對其中操控識別碼參數之位置之動態控制係藉由每一模組是處於一作用操作狀態中還是處於繞過操作狀態中而判定。因此,在圖形使用者介面內,使用者可活動一游標508 且做出選擇以規定在每一時槽期間一特定模組是處於一作用模式中還是繞過模式中。在所展示之實例中,模組105 在時槽504 1 504 3 期間係作用的,但在時槽504 2 504 4 期間處於一繞過模式中。相比而言,模組113 在時槽504 2 504 4 期間係作用的,但在時槽504 1 504 3 期間處於繞過模式中。參考圖1,此意味著識別碼參數之操控在時槽504 1 504 3 期間發生於與模組105 相關聯之一位置處,但在時槽504 2 504 4 期間替代地發生於模組113 處。
在圖5中所展示之實例中,網路管理員已選擇使模組114 總是在一作用模式中操作(亦即,模組114 在所有時槽期間係作用的)。因此,針對自用戶端電腦101 傳輸至用戶端電腦103 之資料通信,資料封包將交替地在模組105113 中操控,但將總是在模組114 處操控。最 後,在此實例中,網路管理員已選擇在時槽504 1 至504 4 期間將模組106107 維持於一繞過模式中。因此,在經定義時槽中之任一者期間將不在此等模組處執行識別碼參數之操控。一旦已在對話方塊500 中定義模組時序,網路管理員即可選擇按鈕510 來將改變儲存為一經更新任務計劃之部分。可以各種格式保存任務計劃。在某些實施例中,可將任務計劃保存為一簡單表格或可由每一模組用於控制模組之行為之其他類型之經定義資料結構。
任務計劃之分佈及載入
現在將進一步詳細地闡述如本文中所揭示之任務計劃之分佈及載入。再次參考圖1,可觀察到,模組105至107113114 遍及網路100 分佈於一或多個位置處。該等模組整合於通信路徑內以攔截此等位置處之通信、執行必要操控且將資料轉發至網路內之其他計算裝置。藉助前述佈置,本文中所闡述之模組之任何必要維修(例如,維修以更新一任務計劃)將有可能在替換模組或將模組重新程式化時中斷網路通信。在其中網路服務之可靠性及可用性係必要之諸多情況下,此等中斷係不合意的。舉例而言,對於軍事、緊急服務及商業所使用之電腦網路,不間斷網路操作可係必要的。
為了確保不間斷網路操作,每一模組較佳地具有數種操作狀態。此等操作狀態包含:(1)一關斷狀態,其中模組被關閉電源且不處理任何封包;(2)一初始化狀態,其中模組根據任務計劃安裝軟體腳本;(3)一作用狀態,其中根據一當前任務計劃處理資料;及(4)一繞過狀態,其中封包可流動通過模組,就如模組不存在一樣。模組經配置以使得在其處於作用狀態或繞過狀態中時,模組可接收及載入由一網路管理員提供之一經更新任務計劃。模組操作狀態可由網路管理員藉助於在(舉例而言)NAC104 上執行之NCSA人工地控制。舉例而言,使用者可透過使用一圖形使用者介面控制面板選擇各種模組之操 作狀態。用於控制網路之操作狀態之命令係經由電腦網路100 傳達,或者可藉由任何其他適合構件傳達。舉例而言,可出於彼目的而使用一單獨有線或無線網路(未展示)。
任務計劃可直接載入於每一模組之實體位置處,或其可自NCSA傳達至模組。此概念圖解說明於圖6中,其展示經由一通信媒體606 自NCSA602 傳達至模組105至107113114 中之每一者之任務計劃604 。在所展示之實例中,NCSA軟體應用程式在由一網路管理員操作之NAC104 上執行。在某些實施例中,通信媒體可包含使用電腦網路100 之帶內發信。另一選擇係,一帶外網路(例如,一單獨無線網路)可用作通信媒體606 來將經更新任務計劃自NCSA傳達至每一模組。如圖7中所展示,NCSA可提供一對話方塊700 以促進數個任務計劃702 中之一者之選擇。此等任務計劃702 中之每一者可儲存於NAC104 上。網路管理員可自數個任務計劃702 中之一者做出選擇,此後其可啟動一發送任務計劃按鈕704 。另一選擇係,複數個任務計劃可傳達至每一模組且儲存於彼處。在任一情景中,使用者可選擇經定義任務計劃中之一者來啟動。
回應於用以發送任務計劃之命令,選定任務計劃在模組處於其中其經配置以用於主動地執行如本文中所闡述之識別碼參數之動態修改之一作用狀態中時傳達至該等模組。此一佈置最小化其間網路無阻礙地操作且不操控識別碼參數之時間。然而,經更新任務計劃亦可在模組處於繞過模式中時傳達至該等模組,且此方法在某些情形中可係合意的。
一旦任務計劃由一模組接收,其即可自動地儲存於模組內之一記憶體位置中。此後,可致使模組進入繞過狀態,且在仍處於彼狀態中時,模組可載入與新任務計劃相關聯之資料。進入至繞過狀態中且載入新任務計劃資料之此程序可回應於接收到任務計劃而自動地發 生,或可回應於來自由網路管理員控制之NCSA軟體之一命令而發生。該新任務計劃較佳地包含改變使識別碼參數值變化之方式。一旦已載入該新任務計劃,模組105至107113114 即可以確保不發生資料通信錯誤之一同步化方式自繞過模式轉變為作用模式。任務計劃可規定模組將返回至作用模式之一時間,或網路管理員可使用NCSA來將一命令傳達至各種模組,從而引導其進入至作用模式中。更新一任務計劃之前述程序有利地允許網路安全性程序之改變在不中斷附接至電腦網路100 之各種計算裝置當中之通信之情況下發生。
每一模組105106107113114 處之各種識別碼參數之動態操控較佳地由在每一模組105至107113114 上執行之應用程式軟體控制。然而,應用程式軟體之行為有利地由任務計劃控制。
現在參考圖8,其提供總結每一模組105至107113114 之操作之一流程圖。為避免混淆,就在一單個方向上之通信來闡述程序。舉例而言,在模組105 之情形中,單個方向可涉及自用戶端電腦101 傳輸至集線器108 之資料。然而,在實踐中,模組105至107113114 宜雙向地操作。該程序在將模組開啟電源時於步驟802 處開始且繼續至步驟804 ,其中利用模組應用程式軟體執行本文中所闡述之方法。在步驟806 中,自模組內之一記憶體位置載入一任務計劃。在此點處,模組準備好處理資料且繼續在步驟808 處如此進行,其中其自模組之一輸入資料緩衝器存取一資料封包。在步驟810 中,模組檢查以判定其是否處於一繞過操作模式中。若如此,則在步驟812 中於不具有資料封包之任何修改的情況下重新傳輸在步驟808 中存取的資料封包。若模組不在繞過模式中,則其必須在其作用操作模式中且繼續至步驟814 。在步驟814 中,模組讀取資料封包以判定資料封包起源於其之一源節點之識別碼。在步驟816 中,其審查封包以判定源節點是否有效。可比較所規定源節點與有效節點之一清單以判定所規定源節點當 前是否有效。若其並非一有效節點,則在步驟818 中摒棄封包。在步驟820 中,程序檢查以判定一觸發事件是否發生。一觸發事件之發生將影響選擇假識別碼值來使用。因此,在步驟822 中,模組基於觸發資訊、時脈時間及任務計劃中之一或多者來判定待使用之假識別碼值。模組然後繼續至步驟826 ,其中其操控資料封包之識別碼參數。一旦操控完成,即將資料封包自模組之輸出埠重新傳輸至一毗鄰節點。在步驟830 中,做出關於是否已命令將模組關閉電源之一判定。若如此,則程序在步驟832 處結束。在步驟808 中,程序繼續且自模組之輸入資料緩衝器存取下一資料封包。
現在參考圖9,其提供總結用於管理一動態電腦網路之本文中所闡述之方法之一流程圖。程序在步驟902 中開始且繼續至步驟904 ,其中創建一網路模型(例如,如關於圖3所展示及闡述)。在步驟906 中,做出關於是否將創建一新任務計劃之一判定。若如此,則在步驟908 中創建一新任務計劃且程序繼續至步驟910 ,其中選擇新任務計劃。另一選擇係,若在步驟906 中已創建一所要任務計劃,則方法可直接繼續至步驟910 ,其中選擇一現有任務計劃。在步驟912 中,將任務計劃傳達至模組(例如,模組105至107113114 ),其中將任務計劃儲存於一記憶體位置中。當網路管理員準備好實施新任務模型時,在步驟914 中發送一命令,該命令致使模組進入如本文中所闡述之一待命模式。當模組處於此待命模式中時,在步驟916 處載入任務計劃。任務計劃之載入發生於每一模組處,使得可使用任務計劃來控制在模組上執行之一應用程式軟體之操作。特定而言,使用任務計劃來控制應用程式軟體執行識別碼參數之動態操控的方式。在步驟918 中,再次致使任務模組進入至其中每一任務模組根據任務計劃執行識別碼參數之操控之一作用操作模式中。步驟914916918 可回應於自一網路管理員發送之特定命令而發生,或可回應於在步驟912 中接收到任務 計劃而在每一模組處自動地發生。在步驟918 之後,模組根據已載入之任務計劃繼續執行處理。在步驟920 中,程序藉由檢查以判定使用者是否已指示改變任務計劃之一期望而繼續;若如此,則程序返回至步驟906 ,其中其如上文所闡述地繼續。若不存在使用者或網路管理員希望改變一現有任務計劃之指示,則程序在步驟922 中判定其是否已被指示終止。若如此,則程序在步驟924 中終止。若未接收到終止指令,則程序返回至步驟920 且繼續。
現在參考圖10,其提供展示可用於執行本文中所闡述之識別碼參數之操控之一例示性模組1000 之一電腦架構的一方塊圖。模組1000 包含經由一匯流排1022 彼此通信之一處理器1012 (諸如一中央處理單元(CPU))、一主記憶體1020 及一靜態記憶體1018 。電腦系統1000 可進一步包含用以指示模組之狀態之一顯示器單元1002 ,諸如一液晶顯示器或LCD。模組1000 亦可包含允許模組同時在兩個單獨資料線上接收及傳輸資料之一或多個網路介面裝置10161017 。兩個網路介面埠促進圖1中所展示之佈置,其中每一模組經配置以同時攔截及重新傳輸自網路上之兩個單獨計算裝置接收之資料封包。
主記憶體1020 包含其上儲存有經配置以實施本文中所闡述之方法、程序或功能中之一或多者之一或多組的指令1008 (例如,軟體程式碼)之一電腦可讀儲存媒體1010 。指令1008 亦可在其由模組執行期間完全或至少部分地駐存於靜態記憶體1018 內及/或處理器1012 內。靜態記憶體1018 及處理器1012 亦可構成機器可讀媒體。在本發明之各種實施例中,連接至一網路環境之一網路介面裝置1016 經由使用指令1008 之網路通信。
現在參考圖11,其展示根據發明性佈置之一例示性網路管理電腦(NAC)104 。NAC可包括各種類型之計算系統及裝置,包含一伺服器電腦、一用戶端使用者電腦、一個人電腦(PC)、一平板PC、一膝上 型電腦、一桌上型電腦、一控制系統或能夠執行規定彼裝置待採取之動作之一組指令(按順序或以其他方式)之任何其他裝置。此外,儘管圖11中圖解說明一單個電腦,但片語「NAC」應理解為包含個別地或聯合地執行一組(或多組)指令以執行本文中所論述之方法中之任一者或多者之計算裝置之任何集合。
現在參考圖11,NAC104 包含經由一匯流排1122 彼此通信之一處理器1112 (諸如一中央處理單元(CPU))、一磁碟機單元1106 、一主記憶體1120 及一靜態記憶體1118 。NAC104 可進一步包含一顯示器單元1102 ,諸如一視訊顯示器(例如,一液晶顯示器或LCD)、一平面顯示器、一固態顯示器或一陰極射線管(CRT)。NAC104 可包含一使用者輸入裝置1104 (例如,一鍵盤)、一游標控制裝置1114 (例如,一滑鼠)及一網路介面裝置1116
磁碟機單元1106 包含其上儲存有經配置以實施本文中所闡述之方法、程序或功能中之一或多者之一或多組指令1108 (例如,軟體程式碼)之一電腦可讀儲存媒體1110 。指令1108 亦可在其執行期間完全或至少部分地駐存於主記憶體1120 、靜態記憶體1118 內及/或處理器1112 內。主記憶體1120 及處理器1112 亦可構成機器可讀媒體。
熟習此項技術者應瞭解,圖10中所圖解說明之模組架構及圖11中之NAC架構各自表示可分別用於執行本文中所闡述之方法的一計算裝置之僅一項可能實例。然而,本發明不限於此方面,且任何其他適合計算裝置架構亦可在不具有限制之情況下使用。專用硬體實施方案包含但不限於特殊應用積體電路、可程式化邏輯陣列,且其他硬體裝置可同樣地構造以實施本文中所闡述之方法。可包含各種實施例之裝備及系統之應用廣義地包含多種電子及電腦系統。某些實施例可藉助在模組之間及貫通模組傳達之相關控制及資料信號或作為一特殊應用積體電路之部分實施兩個或兩個以上特定互連之硬體裝置中之功能。 因此,例示性系統適用於軟體、韌體及硬體實施方案。
根據本發明之各種實施例,本文中所闡述之方法作為軟體程式儲存於一電腦可讀儲存媒體中且經配置以在一電腦處理器上運行。此外,軟體實施方案可包含但不限於亦可經建構以實施本文中所闡述之方法之分散式處理、組件/物件分散式處理、並行處理、虛擬機器處理。
儘管在圖10及圖11中將電腦可讀儲存媒體10101110 展示為一單個儲存媒體,但術語「電腦可讀儲存媒體」應視為包含儲存一或多組指令之一單個媒體或多個媒體(例如,一集中式或分散式資料庫及/或相關聯快取記憶體及伺服器)。術語「電腦可讀儲存媒體」亦應視為包含能夠儲存、解碼或攜載供由機器執行之一組指令且致使機器執行本發明之方法中任一者或多者之任何媒體。
術語「電腦可讀媒體」應相應地視為包含但不限於固態記憶體(諸如一記憶體卡或者裝納一或多個唯讀(非揮發性)記憶體、隨機存取記憶體或其他可重複寫入(揮發性)記憶體之其他封包);磁光媒體或光學媒體(諸如一磁碟或磁帶)。因此,本發明應視為包含如本文中所列示之一電腦可讀媒體中之任一者或多者且包含已認可之等效物及其中儲存有本文中之軟體實施方案之後續任務媒體。
一動態網路中之雜訊、誘餌及加密
如上文所論述,一模組可係獨立網路裝置或整合至一或多個計算裝置中。如論在網路內如何實施模組,模組可攔截資料封包通信、執行識別碼參數之必要操控且沿一資料傳輸路徑重新傳輸資料封包。模組之另一重要功能係適當處置遍及一活動目標技術(MTT)網路傳輸之假訊息(亦即,並非有效訊息之雜訊及誘餌封包)。
出於以下論述之目的,以下定義適用。一「資料訊息」係包括用以貫通一電腦網路輸送資訊之一或多個資料封包之一訊息。一「有 效訊息」係含有真實資料(亦即,源節點與目的地節點之間的正常網路訊務)之一資料訊息。一「語式正確之訊息(well formed message)」係含有識別為一有效訊息必需之所有資訊之一訊息。依據定義,有效訊息係語式正確之訊息。一「假訊息」係不含有真實資料但如同其係一有效訊息一樣貫通網路產生及傳輸之一資料訊息。假訊息可包含雜訊訊息/封包及誘餌訊息/封包。
一「雜訊封包」係包含隨機資料且不輸送可用資訊之一假訊息資料封包。一「誘餌封包」係包含表面上有效資料且似乎輸送有效及可用資訊但不包含有效識別碼參數之一語式正確之假訊息資料封包。一「有效封包」係包含有效資料且確實輸送可用資訊(亦即,包含有效識別碼參數)之一有效訊息資料封包。最後,一「經加密封包」係已透過一加密演算法之應用加密以使得無法在不接達一加密金鑰之情況下恢復資料的上文所闡述之封包中之任一者。所有上文封包類型係根據一當前作用之任務計劃控制及定義。
一「無效訊息」係既非一有效訊息亦非一假訊息之一資料訊息。無效訊息可係損毀訊息、攻擊訊息或不能由網路識別之任何其他類型之訊息。一「無效封包」係包含損毀、惡意及/或以其他方式無效之未識別之資料之一無效訊息資料封包。
如上文所論述,任務計劃係載入至模組中且控制包含識別碼參數之操控的模組之行為。再次參考圖1,模組105106107113114 與用戶端電腦101102103 ,伺服器111112 ,集線器108109 ,橋接器115 及路由器110 形成網路100 且根據至少一個任務計劃操作。任務計劃亦定義可由動態網路內之模組或任何MTT啟用裝置形成之誘餌及雜訊封包。此等封包藉由使貫通網路之有效封包之流動模糊而提供一額外安全性位準。
在一例示性實施例中,誘餌及雜訊封包由偽隨機地修改透過 MTT網路發送之有效封包之識別碼參數之同一裝置產生。每一誘餌及/或雜訊封包經受定義封包之一「壽命跨度」之一距離向量。此外,誘餌及/或雜訊封包亦可被偽隨機地修改至與有效訊息相同之程度。所有此等特徵皆規定於任務計劃中。舉例而言,根據一任務計劃操作之模組105 可產生具有足以允許封包在自網路中濾除之前行進通過三個網路節點之一距離向量之一誘餌封包。在此實例中,類似於圖1之訊息122 之一訊息經產生且在用戶端電腦102 作為其目的地之情況下透過網路發送。訊息在到達模組106 之前行進通過網路節點108110109 。在模組106 處,根據當前作用之任務計劃分析封包且發現封包已耗盡其距離向量。此可以關於所接收之每一訊息定義模組106 之行為之僅在模組106 處作用之過濾規則之形式實施。由於假訊息係根據任務計劃產生,因此模組106 可包含通知模組106 轉發或丟棄假訊息之一組過濾規則。返回至例示性實施例,當在模組106 (其可係獨立的或嵌入於用戶端電腦102 內)處接收到誘餌封包時,訊息被識別為具有一經耗盡距離向量之一誘餌訊息且被丟棄。值得注意的是,此發生在訊息到達用戶端電腦102 之前,此乃因雖然其係語式正確的,但誘餌封包不包含有效資料。
在上文所闡述之例示性實施例中,以一類似方式處理雜訊封包,惟其並非語式正確的除外。視情況,包含誘餌及雜訊訊息之任何訊息或該訊息之任何部分可使用任何加密技術加密以使得其不能在不具有適當加密金鑰之情況下與雜訊區分。因此,網路管理員可以若干種組合實施MTT網路之雜訊、誘餌及加密能力以使有效訊息不能與雜訊及/或誘餌區分。因此,一攻擊者試圖在MTT網路上竊聽以自雜訊及/或誘餌訊息過濾出有效訊息係極困難的。
現在參考圖12,其提供闡述用於根據一任務計劃分析雜訊及誘餌封包之一程序之一流程圖。該程序在將裝置開啟電源時在步驟1202 處開始且繼續至步驟1204 ,其中利用模組執行本文中所闡述之方法。在步驟1206 中,自裝置內之一記憶體位置載入一或多個任務計劃。一任務計劃可定義一單個動態電腦網路內之一或多個邏輯網路之一動態操縱。可以如上文參考模組所闡述之一方式將一或多個任務計劃載入於一裝置中。
舉例而言,一任務計劃可定義一MTT啟用網路之一動態操縱。在本文中所闡述之例示性實施例中,MTT啟用網路包含一封包起源於其之一源節點及該封包已被發送至其之一目的地節點。在一較佳實施例中,一或多個任務計劃係載入至與裝置相關聯之記憶體中且被啟動。每一任務計劃之狀態將通常基於一或多個觸發事件判定。觸發事件係致使任務計劃之一操作動態地改變在網路中操控識別碼參數之方式之任何預定類型之刺激。因此,一觸發事件之發生有效地產生一MTT裝置(例如,一模組、交換器、路由器、防火牆及諸如此類),該MTT裝置能夠區分係使用先前作用之任務計劃處理之在觸發事件之前接收之訊務與使用新啟動之任務計劃處理之在觸發事件之後接收之訊務。如上文所述,觸發事件可起因於多種不同條件及應用於網路之輸入刺激。在某些實施例中,當裝置不作用時或在停用網路之MTT操作之一時間期間(例如,當裝置在一繞過狀態中時),經儲存以供由裝置使用之任務計劃可載入至記憶體中。
一旦已載入任務計劃,裝置即準備好開始處理資料且在步驟1208 處繼續如此進行,其中其自裝置之一輸入資料緩衝器存取一資料封包。輸入資料緩衝器將含有在裝置處自一源節點接收之資料封包。舉例而言,可經由網際網路在與一防火牆嵌在一起之一模組處接收封包。熟習此項技術者應認識到,一模組亦可包含一橋接器、路由器及/或防火牆之功能性。另一選擇係,一橋接器、路由器或防火牆亦可包含模組功能性。本發明之實施例不限於此方面。
在步驟1210 中,裝置檢查以判定是否已發生將改變MTT狀態之一觸發事件。對於一觸發事件之發生之此檢查步驟可如所展示地基於一時脈信號週期性地執行,或其可在方塊1211 內所包含之程序期間之任何時間執行。此係一重要步驟,乃因一觸發事件之發生可對MTT網路中之當前正使用之適當假識別碼值之計算(包含用以識別雜訊及誘餌封包之彼等計算)具有一顯著影響。然後使用來自步驟1210 之資訊及有關MTT網路之MTT狀態之任何其他適當資訊來更新彼時正由MTT網路使用之任何MTT操控之當前狀態,且幫助識別有效、雜訊及誘餌封包。
在步驟1212 中,裝置可視情況將封包解密。加密及解密技術係此項技術中眾所周知的,且可在不具有限制之情況下使用任何加密/解密方法。將封包加密之細節由任務計劃規定。程序在步驟1214 中繼續,裝置判定所接收未加密之資料封包是否為一有效資料封包。裝置藉由對照到達裝置處之一有效資料封包所期望之彼等識別碼參數比較所接收資料封包之識別碼參數而做出此判定。若針對當前任務計劃及紀元,識別碼參數係有效的(1214 :是),則根據當前裝置之正常功能性處理有效封包。舉例而言,在步驟1216 處,可由上文關於圖8所闡述之一模組裝置處理有效封包。另一選擇係,可由一MTT啟用路由器、橋接器、交換器、集線器、防火牆、伺服器、用戶端電腦或任何其他MTT網路裝置根據特定裝置之操作程序處理有效封包。
若封包並非一有效封包(1214 :否),則程序繼續至步驟1218 。在步驟1218 中,裝置判定資料封包是一雜訊封包還是一誘餌封包。同樣,模組藉由比較資料封包中之識別碼參數值與任務計劃所期望之彼等識別碼參數值而做出此判定。可以多種不同方式執行此步驟。如上文所闡述,一任務計劃可定義當前正由MTT網路使用之參數值(包含假識別碼參數值)。此等參數值不僅包含有效封包所使用之彼等參數 值,而且亦包含雜訊及誘餌封包所使用之彼等參數值。在某些實施例中,可藉由以下操作實現步驟1218 中之比較:存取與MTT網路相關聯之一任務計劃,且執行偽隨機處理以計算當前正在源網路內使用之所有假識別碼參數值(包含用於誘餌及雜訊封包之彼等假識別碼參數值)之一完整集合。在其他實施例中,可將一組過濾規則應用於封包。在此等實施例中,由任務計劃定義之過濾規則將允許裝置區別雜訊及誘餌封包與無效、損壞或惡意封包。
另一選擇係,步驟1218 可涉及一更有限判定,該更有限判定涉及僅計算假識別碼參數值之一部分集合。舉例而言,此部分集合可能限於識別碼參數之一選定群組。此等部分集合之使用可將裝置之能力限於評估一封包中所含有之所有識別碼參數值。然而,假識別碼參數之一部分集合之計算需要較少密集處理且在某些情景中(尤其在正以一迅速速率改變識別碼參數值時)可能係不利的。
若封包並非一誘餌或一雜訊封包(1218 :否),則程序繼續至步驟1220,其中摒棄封包。步驟1220 可以多種方式實施以適應網路管理員之安全性偏好。在一項實施例中,可在不進行額外處理或分析之情況下簡單丟棄封包。另一選擇係,可將封包引導至其中可出於網路安全性及證據搜集目的而分析經損毀封包及/或惡意封包之一誘捕系統。在另一實施例中,可出於記錄及不可否認性目的而記錄封包中之資訊。熟習此項技術者應認識到,可以任何組合應用上文之程序。另外,任務計劃可識別上文所闡述之程序中之一或多者。
若封包係一誘餌或一雜訊封包(1218 :是),則程序繼續至步驟1222 。在步驟1222 中,判定誘餌/雜訊封包之距離向量。如上文所論述,距離向量係通常表達為節點之一數目的一通信路徑中之一第一與一第二位置之間的距離。根據任務計劃,關於誘餌及雜訊封包,一距離向量係封包將在其被網路丟棄之前行進之躍點之數目。在一例示性 實施例中,藉由參考當前任務計劃分析封包之當前識別碼參數而判定距離向量。網路裝置包含用以判定待應用於所產生之任何假訊息之在任務計劃中定義之一組規則之一基礎識別碼。若任務計劃規定距離向量在裝置處結束(1222 :是),則裝置丟棄封包。另一方面,若距離向量不在裝置處結束(1222 :否),則程序繼續。
除執行本文中所闡述之功能之外,裝置可經配置而以類似於上文關於模組所闡述之彼方式之一方式執行識別碼參數之動態操控。再次參考圖12,選用步驟1226 可包括根據一任務計劃及目的地MTT網路之一當前網路狀態動態操控識別碼參數。步驟1226 處之操作將類似於如上文所闡述之由模組105至107113114 執行之識別碼參數操控。裝置可修改將針對其指派假值之識別碼參數之群組。裝置亦可操控一或多個假識別碼參數值以規定不同於由源MTT網路指派之彼等值之假值。在一較佳實施例中,將根據用於目的地MTT網路之一任務計劃判定假識別碼參數及實際假值之集合。值得注意的是,步驟1226 中之操控操作可根據一任務計劃在進行與停止之間選擇性地雙態切換。
如上文所述,可將行進通過網路之任何訊息或資料串流加密且在處理之前將所接收經加密封包解密。因此,在選用步驟1228 處,可在將封包傳輸至通信路徑中之下一躍點之前將封包加密。最後,程序在步驟1230 處結束,其中將封包發送至裝置之輸出緩衝器且傳輸至通信路徑中之下一躍點。程序然後返回至步驟1208 以自裝置之輸入緩衝器存取下一封包。
可變化之識別碼參數之類型
現在參考圖13,其提供可由模組105至107113114 ,橋接器115 及/或由路由器110 操控之識別碼參數中之某些識別碼參數之一清單。圖13中所列示之參數中之每一者包含於一資料通信中,該資料通信包含於使用一TCP/IP通信協定之一網路中。圖13中所列示之大多數 資訊類型係熟習此項技術者眾所周知的。然而,本文中提供每一類型之資訊之一簡要描述及其作為一識別碼參數之用途。亦提供可操控每一識別碼參數之方式之一簡要論述。
IP位址。一IP位址係指派給參與一電腦網路之每一計算裝置之一數字識別符,其中該網路使用眾所周知之網際網路協定通信。IP位址可係一32位元或128位元數。出於本發明之目的,可將IP位址數改變為隨機地選擇(例如,使用一偽隨機數產生器)之一假值。另一選擇係,可自一預定假值清單(例如,由一任務計劃規定之一清單)隨機地選擇假IP位址值。源IP位址及目的地IP位址包含於一資料封包之標頭部分中。因此,藉由簡單地改變(藉由使用改變IP標頭資訊之封包操控技術)執行此等值之操控。當封包到達一第二模組(可操控之位置)時,將假IP位址值轉換回至其真值。第二模組使用同一偽隨機程序(或其逆程序)以基於假值導出真IP位址值。
MAC位址。一MAC位址係由一製造商指派給一網路介面裝置且儲存於一內建ROM中之一唯一值。出於本發明之目的,可將源MAC位址及/或目的地MAC位址改變為隨機地選擇(例如,使用一偽隨機數產生器)之一假值。另一選擇係,可自一預定假值清單(例如,由一任務計劃規定之一清單)隨機地選擇假MAC值。源MAC位址及目的地MAC位址包含於資料封包之標頭部分中。因此,藉由簡單地改變每一封包之一乙太網路標頭資訊執行此等值之操控。當封包到達一第二模組(可操控之位置)時,將假MAC位址值轉換回至其真值。接收一封包之一模組將使用同一偽隨機程序(或其逆程序)來基於假值導出真MAC位址值。
網路/子網路。在某些實施例中,IP位址可視為一單個識別碼參數。然而,通常將一IP位址定義為包含至少兩個部分,該至少兩個部分包含一網路首碼部分及一主機編號部分。網路首碼部分識別待將一 資料封包傳達至其之一網路。主機編號識別一區域網路(LAN)內之特定節點。一子網路(sub-network)(有時稱為一子網路(subnet))係一IP網路之一邏輯部分。在將一網路劃分成兩個或兩個以上子網路之情況下,使用IP位址之主機編號區段之一部分來規定一子網路編號。出於本發明之目的,網路首碼、子網路編號及主機編號可各自視為一單獨識別碼參數。因此,此等識別碼參數中之每一者可以一偽隨機方式獨立於其他參數單獨地操控。此外,應瞭解,一資料封包將包含一源IP位址及一目的地IP位址。因此,可在用於可以一偽隨機方式操控之總共六個不同可變識別碼參數之源IP位址及/或目的地IP位址中操控網路首碼、子網路編號及主機編號。接收一封包之一模組將使用與一起源節點相同之偽隨機程序(或此程序之逆程序)來基於假值導出真網路/子網路資訊值。
TCP序列。在一TCP會話之相對側上彼此通信之兩個用戶端電腦將各自維持一TCP序號。該序號允許每一電腦追蹤其已傳達多少資料。TCP序號包含於在會話期間傳達之每一封包之TCP標頭部分中。在起始一TCP會話時,隨機地選擇初始序號值。出於本發明之目的,可根據一偽隨機程序將TCP序號操控為一識別碼參數。舉例而言,可將TCP序號改變為隨機地選擇(例如,使用一偽隨機數產生器)之一假值。當在網路之一不同模組(將使其位置動態地變化)處接收到封包時,可使用偽隨機程序之一逆程序將TCP序號自一假值轉換回至一真值。
埠編號。一TCP/IP埠編號包含於一資料封包之TCP或UDP標頭部分中。如TCP/IP通信協定中所使用之埠係此項技術中眾所周知的,且因此將不在本文中詳細闡述。埠資訊含在資料封包之TCP標頭部分內。因此,藉由簡單地修改TCP標頭資訊以將一真埠值改變為一假埠值而實現埠資訊之操控。如同此處所論述之其他識別碼參數,可在一 第一模組處根據一偽隨機程序將埠編號資訊操控或轉換為一假值。稍後,可在一第二模組處使用偽隨機程序之一逆程序將埠資訊自一假值轉換為一真值。
雖然已關於一或多個實施方案圖解說明及闡述了本發明,但熟習此項技術者在閱讀及理解本說明書及隨附圖式之後將想到等效更改及修改。另外,儘管可能已關於數種實施方案中之僅一者揭示了本發明之一特定特徵,但此特徵可與其他實施方案之一或多個其他特徵組合,此對於任何給定或特定應用可能係合意的及有利的。因此,本發明之廣度及範疇不應受上文所闡述之實施例中之任一者限制。而是,本發明之範疇應根據以下申請專利範圍及其等效形式來定義。
100‧‧‧電腦網路/網路
101‧‧‧用戶端電腦
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦
104‧‧‧網路管理電腦
105‧‧‧模組
106‧‧‧模組
107‧‧‧模組
108‧‧‧網路集線器/集線器/網路節點
109‧‧‧網路集線器/集線器/網路節點
110‧‧‧路由器/網路節點
111‧‧‧伺服器
112‧‧‧伺服器
113‧‧‧模組
114‧‧‧模組
115‧‧‧橋接器
120‧‧‧識別碼參數集合
122‧‧‧新/經修改識別碼參數集合/識別碼參數集合/訊息
124‧‧‧第二網路
130‧‧‧第一邏輯網路/邏輯網路
132‧‧‧第二邏輯網路/邏輯網路
201‧‧‧資料埠/埠
202‧‧‧資料埠/埠

Claims (11)

  1. 一種用於在連接至一動態電腦網路之一網路裝置中處理資料訊息之方法,該方法包括:基於一訊息類型及一訊息距離向量,實施規定待應用於在複數個網路裝置中之每一者處接收之訊息之一組過濾規則之一任務計劃;自複數個不同訊息類型當中基於至少一識別碼參數值以判定根據該任務計劃產生之一所接收資料訊息之一訊息類型,該至少一識別碼參數值係包含於該所接收資料訊息中且有用於識別一網路節點;基於該訊息類型係一假訊息之一條件,判定是否已耗盡該假訊息之該訊息距離向量;基於已耗盡該假訊息之該距離向量之一條件,丟棄該所接收資料訊息;及基於尚未耗盡該假訊息之該距離向量之一條件,根據該任務計劃傳輸該所接收資料訊息。
  2. 如請求項1之方法,其中該假訊息係一雜訊訊息或一誘餌訊息中之一者。
  3. 如請求項1之方法,進一步包括:基於該訊息類型係一無效訊息之一條件,執行以下各項中之至少一者:摒棄該資料訊息、記錄該資料訊息及將該資料訊息引導至一誘捕系統。
  4. 如請求項1之方法,進一步包括:基於該訊息類型係一有效訊息之一條件,根據該網路裝置之一原生功能來處理該訊息。
  5. 如請求項1之方法,其中判定該訊息類型進一步包括:比較包含於該所接收訊息中之該識別碼參數值與由該任務計劃產生之一期望之識別碼參數值集合。
  6. 如請求項1之方法,其中判定是否已耗盡該假訊息之該訊息距離向量進一步包括:比較包含於該所接收訊息中之該等識別碼參數值與由該任務計劃產生之一組過濾規則。
  7. 如請求項1之方法,進一步包括在傳輸該資料訊息之前,偽隨機地修改用於該所接收資料訊息之識別碼參數之一集合之值,以將該集合變換為規定假資訊。
  8. 如請求項7之方法,其中回應於一觸發事件而判定該集合。
  9. 如請求項8之方法,進一步包括基於以下各項中之至少一者來判定該觸發事件之發生:一使用者命令、一時序間隔及一潛在網路安全性威脅之一偵測。
  10. 如請求項1之方法,進一步包括在該接收步驟之後,將該所接收資料訊息解密。
  11. 如請求項8之方法,進一步包括在該傳輸步驟之前,將該所接收資料訊息加密。
TW102115504A 2012-05-01 2013-04-30 一動態電腦網路中用於通信之雜訊、加密及誘餌 TWI496446B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US13/461,057 US8959573B2 (en) 2012-05-01 2012-05-01 Noise, encryption, and decoys for communications in a dynamic computer network

Publications (2)

Publication Number Publication Date
TW201408021A TW201408021A (zh) 2014-02-16
TWI496446B true TWI496446B (zh) 2015-08-11

Family

ID=48537000

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102115504A TWI496446B (zh) 2012-05-01 2013-04-30 一動態電腦網路中用於通信之雜訊、加密及誘餌

Country Status (3)

Country Link
US (1) US8959573B2 (zh)
TW (1) TWI496446B (zh)
WO (1) WO2013165861A1 (zh)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9130907B2 (en) 2012-05-01 2015-09-08 Harris Corporation Switch for communicating data in a dynamic computer network
US9075992B2 (en) * 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
US9154458B2 (en) 2012-05-01 2015-10-06 Harris Corporation Systems and methods for implementing moving target technology in legacy hardware
US9705957B2 (en) 2013-03-04 2017-07-11 Open Garden Inc. Virtual channel joining
US9503324B2 (en) 2013-11-05 2016-11-22 Harris Corporation Systems and methods for enterprise mission management of a computer network
US9264496B2 (en) 2013-11-18 2016-02-16 Harris Corporation Session hopping
US9338183B2 (en) 2013-11-18 2016-05-10 Harris Corporation Session hopping
US10122708B2 (en) * 2013-11-21 2018-11-06 Harris Corporation Systems and methods for deployment of mission plans using access control technologies
US9503975B2 (en) 2014-02-07 2016-11-22 Open Garden Inc. Exchanging energy credits wirelessly
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US10516665B2 (en) * 2014-03-13 2019-12-24 Nec Corporation Network management apparatus, network management method, and recording medium
TW201605198A (zh) * 2014-07-31 2016-02-01 萬國商業機器公司 智慧網路管理裝置以及管理網路的方法
US20160255056A1 (en) * 2015-02-27 2016-09-01 Open Garden Inc. Apparatus and method for messaging security and reliability
US10193929B2 (en) * 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US9430676B1 (en) * 2015-03-17 2016-08-30 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Processor related noise encryptor
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
CN105282176B (zh) * 2015-11-16 2019-07-19 上海斐讯数据通信技术有限公司 一种云计算环境下的数据安全系统和方法
TWI593602B (zh) * 2015-12-03 2017-08-01 新唐科技股份有限公司 無人飛行器之電子調速器驗證系統及方法
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
CN110048986B (zh) * 2018-01-15 2022-02-25 中兴通讯股份有限公司 一种保证环网协议运行安全的方法及装置
US12093375B2 (en) * 2019-02-28 2024-09-17 SpyCloud, Inc. Generating and monitoring fictitious data entries to detect breaches
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US12050693B2 (en) 2021-01-29 2024-07-30 Varmour Networks, Inc. System and method for attributing user behavior from multiple technical telemetry sources
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6052064A (en) * 1997-10-30 2000-04-18 Motorola, Inc. Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones
US20070261112A1 (en) * 2006-05-08 2007-11-08 Electro Guard Corp. Network Security Device
TW200830782A (en) * 2006-12-21 2008-07-16 3Com Corp Network traffic redirection in bi-planar networks
US20090165116A1 (en) * 2007-12-20 2009-06-25 Morris Robert P Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity

Family Cites Families (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5734649A (en) 1996-05-31 1998-03-31 Bbn Corporation Data packet router
US6646989B1 (en) 1998-06-29 2003-11-11 Lucent Technologies Inc. Hop-by-hop routing with node-dependent topology information
JP4451566B2 (ja) 1998-10-30 2010-04-14 バーネットエックス インコーポレーティッド 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
US7188180B2 (en) 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7240368B1 (en) 1999-04-14 2007-07-03 Verizon Corporate Services Group Inc. Intrusion and misuse deterrence system employing a virtual network
US6981146B1 (en) 1999-05-17 2005-12-27 Invicta Networks, Inc. Method of communications and communication network intrusion protection methods and intrusion attempt detection system
US6275470B1 (en) 1999-06-18 2001-08-14 Digital Island, Inc. On-demand overlay routing for computer-based communication networks
US6934763B2 (en) 2000-04-04 2005-08-23 Fujitsu Limited Communication data relay system and method of controlling connectability between domains
WO2001091503A2 (en) 2000-05-23 2001-11-29 Invicta Networks, Inc. Systems and methods for communication protection
US7757272B1 (en) 2000-06-14 2010-07-13 Verizon Corporate Services Group, Inc. Method and apparatus for dynamic mapping
US7043633B1 (en) 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
US8677505B2 (en) 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
US7739497B1 (en) 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
FI110464B (fi) 2001-04-26 2003-01-31 Nokia Corp IP-tietoturva ja liikkuvat verkkoyhteydet
US7085267B2 (en) 2001-04-27 2006-08-01 International Business Machines Corporation Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet
US6917974B1 (en) 2002-01-03 2005-07-12 The United States Of America As Represented By The Secretary Of The Air Force Method and apparatus for preventing network traffic analysis
US7114005B2 (en) 2002-02-05 2006-09-26 Cisco Technology, Inc. Address hopping of packet-based communications
US7712130B2 (en) 2002-03-22 2010-05-04 Masking Networks, Inc. Multiconfigurable device masking shunt and method of use
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7216359B2 (en) 2002-12-19 2007-05-08 International Business Machines Corporation Secure communication overlay using IP address hopping
WO2004097584A2 (en) 2003-04-28 2004-11-11 P.G.I. Solutions Llc Method and system for remote network security management
US7469279B1 (en) 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
US20050038708A1 (en) 2003-08-10 2005-02-17 Gmorpher Incorporated Consuming Web Services on Demand
CN100431310C (zh) 2003-09-22 2008-11-05 夏普株式会社 集线装置、中继控制方法、以及信息处理装置
US7382778B2 (en) 2004-01-05 2008-06-03 Tropos Networks, Inc. Link layer emulation
CN100499540C (zh) 2004-03-03 2009-06-10 三菱电机株式会社 第二层交换网络系统
US20060031394A1 (en) 2004-04-20 2006-02-09 Tazuma Stanley K Apparatus and methods for transparent handling of browser proxy configurations in a network gateway device
DE602005023512D1 (de) 2004-09-30 2010-10-21 France Telecom Verfahren und system zum routen in kommunikationsnetzen zwischen einem ersten knoten und einem zweiten knoten
US9383750B2 (en) 2004-12-02 2016-07-05 Lockheed Martin Corporation System for predictively managing communication attributes of unmanned vehicles
WO2006075323A2 (en) 2005-01-13 2006-07-20 Flash Networks Ltd Method and system for optimizing dns queries.
US7996894B1 (en) 2005-02-15 2011-08-09 Sonicwall, Inc. MAC address modification of otherwise locally bridged client devices to provide security
US7937756B2 (en) 2005-08-19 2011-05-03 Cpacket Networks, Inc. Apparatus and method for facilitating network security
JP4626811B2 (ja) 2005-09-29 2011-02-09 日本電気株式会社 ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
US8199677B1 (en) 2005-12-14 2012-06-12 Rockwell Collins, Inc. Distance vector routing via multi-point relays
JP4732257B2 (ja) 2006-07-07 2011-07-27 富士通株式会社 中継装置、経路制御方法、及び経路制御プログラム
US8136162B2 (en) 2006-08-31 2012-03-13 Broadcom Corporation Intelligent network interface controller
US8189460B2 (en) 2006-12-28 2012-05-29 Cisco Technology, Inc. Method and system for providing congestion management within a virtual talk group
JP2008177714A (ja) 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
US7853998B2 (en) 2007-03-22 2010-12-14 Mocana Corporation Firewall propagation
US7853680B2 (en) 2007-03-23 2010-12-14 Phatak Dhananjay S Spread identity communications architecture
US8464334B1 (en) 2007-04-18 2013-06-11 Tara Chand Singhal Systems and methods for computer network defense II
US8301789B2 (en) 2007-06-18 2012-10-30 Emc Corporation Techniques for port hopping
US7836354B2 (en) 2007-07-02 2010-11-16 Verizon Patent And Licensing Inc. Method and system for providing automatic disabling of network debugging
US20090059788A1 (en) 2007-08-29 2009-03-05 Motorola, Inc. Method and Apparatus for Dynamic Adaptation of Network Transport
US8560634B2 (en) 2007-10-17 2013-10-15 Dispersive Networks, Inc. Apparatus, systems and methods utilizing dispersive networking
WO2009052452A2 (en) 2007-10-17 2009-04-23 Dispersive Networks Inc. Virtual dispersive routing
US8539098B2 (en) 2007-10-17 2013-09-17 Dispersive Networks, Inc. Multiplexed client server (MCS) communications and systems
CN101521569B (zh) 2008-02-28 2013-04-24 华为技术有限公司 实现服务访问的方法、设备及系统
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US9042549B2 (en) 2009-03-30 2015-05-26 Qualcomm Incorporated Apparatus and method for address privacy protection in receiver oriented channels
US8139504B2 (en) 2009-04-07 2012-03-20 Raytheon Bbn Technologies Corp. System, device, and method for unifying differently-routed networks using virtual topology representations
US8553849B2 (en) 2009-06-17 2013-10-08 Avaya Inc. Personal identification and interactive device for internet-based text and video communication services
US20100333188A1 (en) 2009-06-29 2010-12-30 Politowicz Timothy J Method for protecting networks against hostile attack
US8793792B2 (en) 2010-05-07 2014-07-29 Raytheon Company Time-key hopping
US9225656B2 (en) 2011-02-07 2015-12-29 Brocade Communications Systems, Inc. Quality of service in a heterogeneous network
US9202078B2 (en) 2011-05-27 2015-12-01 International Business Machines Corporation Data perturbation and anonymization using one way hash
US8495738B2 (en) 2011-10-21 2013-07-23 Lockheed Martin Corporation Stealth network node

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6052064A (en) * 1997-10-30 2000-04-18 Motorola, Inc. Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones
US20070261112A1 (en) * 2006-05-08 2007-11-08 Electro Guard Corp. Network Security Device
TW200830782A (en) * 2006-12-21 2008-07-16 3Com Corp Network traffic redirection in bi-planar networks
US20090165116A1 (en) * 2007-12-20 2009-06-25 Morris Robert P Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity

Also Published As

Publication number Publication date
US20130298181A1 (en) 2013-11-07
TW201408021A (zh) 2014-02-16
WO2013165861A1 (en) 2013-11-07
US8959573B2 (en) 2015-02-17

Similar Documents

Publication Publication Date Title
TWI496446B (zh) 一動態電腦網路中用於通信之雜訊、加密及誘餌
TWI489314B (zh) 用於使用影子網路技術以識別、阻斷及/或延遲對一網路之攻擊的系統及方法
TWI582636B (zh) 用於電腦網路之企業任務管理之系統及方法
TWI506999B (zh) 自發地配置一電腦網路之系統及方法
US8935786B2 (en) Systems and methods for dynamically changing network states
TWI464618B (zh) 於動態電腦網路中用於交流資料之路由器
US20130298221A1 (en) Firewalls for filtering communications in a dynamic computer network
US10122708B2 (en) Systems and methods for deployment of mission plans using access control technologies
TWI516072B (zh) 於原有硬體中實施活動目標技術之系統及方法
TWI510956B (zh) 交換器及用於在將複數個裝置連接至動態電腦網路之交換器中使用之方法
EP2813052B1 (en) Dynamic computer network with variable identity parameters
WO2013119428A1 (en) Mission management for dynamic computer networks
CA2861014C (en) Bridge for communicating with a dynamic computer network

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees