TWI506999B - 自發地配置一電腦網路之系統及方法 - Google Patents

自發地配置一電腦網路之系統及方法 Download PDF

Info

Publication number
TWI506999B
TWI506999B TW102115548A TW102115548A TWI506999B TW I506999 B TWI506999 B TW I506999B TW 102115548 A TW102115548 A TW 102115548A TW 102115548 A TW102115548 A TW 102115548A TW I506999 B TWI506999 B TW I506999B
Authority
TW
Taiwan
Prior art keywords
network
identification code
packet
module
switch
Prior art date
Application number
TW102115548A
Other languages
English (en)
Other versions
TW201408022A (zh
Inventor
Wayne B Smith
Original Assignee
Harris Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harris Corp filed Critical Harris Corp
Publication of TW201408022A publication Critical patent/TW201408022A/zh
Application granted granted Critical
Publication of TWI506999B publication Critical patent/TWI506999B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

自發地配置一電腦網路之系統及方法
發明性佈置係關於電腦網路安全性,且更特定而言係關於用於一電腦網路之兩個或兩個以上邏輯子區之間的通信之系統,其中該網路可動態地操縱以抵禦惡意攻擊。
當前網路基礎結構之主要弱點係其靜態本性。資產接收永久或不常改變之識別,此允許對手幾乎不限時間地探測網路、映射及惡意探索漏洞。另外,可擷取在此等固定實體之間行進之資料及給該資料賦予屬性。網路安全性之當前方法圍繞固定資產應用諸如防火牆及入侵偵測系統等技術,且使用加密來保護途中之資料。然而,此傳統方法根本上存在缺陷,此乃因其給攻擊者提供一固定目標。在今天之全球連接之通信基礎結構中,靜態網路係易受攻擊網路。
國防先進研究計劃局(「DARPA」)資訊保證(「IA」)項目已執行動態網路防禦領域中之初始研究。在IA項目下開發用以出於使觀察網路之任何潛在對手混淆之目的而動態地重新指派饋入至一預先指定之網路飛地(enclave)中之網際網路協定(「IP」)位址空間之一技術。此技術稱作動態網路位址變換(「DYNAT」)。在於2001年公佈之標題為「Dynamic Approaches to Thwart Adversary Intelligence」之DARPA之一論文中提出DYNAT技術之一概述。
本發明之實施例係關於用於自發地配置一電腦網路之操作之系統及方法。該方法涉及將該電腦網路配置為根據複數個任務計劃中之一第一任務計劃操作。每一任務計劃規定該電腦網路之至少一個節點將動態地修改至少一個識別碼參數之一經指派值之一方式。該方法亦涉及偵測該電腦網路內之一反應性觸發事件。該反應性觸發事件包括用於致使相對於該識別碼參數之該動態修改而發生一改變之一自發事件。回應於該偵測到該反應性觸發事件,自該複數個任務計劃選擇一第二任務計劃。隨後,根據該第二任務計劃自動地重新配置該電腦網路之該等操作以使得以不同於該第一任務計劃中所規定之彼方式之一方式動態地修改該識別碼參數。
100‧‧‧電腦網路/系統
101‧‧‧用戶端電腦
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦
104‧‧‧網路管理電腦
105‧‧‧模組/節點
106‧‧‧模組/節點
107‧‧‧模組/節點
108‧‧‧網路層2交換器/層2交換器/網路節點/集線器
109‧‧‧網路層2交換器/層2交換器/網路節點
110‧‧‧層3交換器/網路節點
111‧‧‧伺服器
112‧‧‧伺服器
113‧‧‧模組/節點
114‧‧‧模組/節點
115‧‧‧橋接器
120‧‧‧識別碼參數集合/識別碼參數/識別碼參數值/資料封包識別碼參數/靜態值
122‧‧‧新/經修改識別碼參數集合/識別碼參數集合/識別碼參數/假識別碼參數/假值
124‧‧‧第二網路
130‧‧‧第一邏輯網路/邏輯網路
132‧‧‧第二邏輯網路/邏輯網路
201‧‧‧資料埠
202‧‧‧資料埠
204‧‧‧網路介面裝置
205‧‧‧網路介面裝置
206‧‧‧輸出緩衝器
208‧‧‧輸入緩衝器
210‧‧‧輸入緩衝器
212‧‧‧輸出緩衝器
215‧‧‧處理器
218‧‧‧記憶體
220‧‧‧任務計劃
300‧‧‧工作場所
302‧‧‧網路組件
304‧‧‧游標
306‧‧‧資料連接
400‧‧‧對話方塊
401‧‧‧核取方塊
402‧‧‧標籤
404‧‧‧標籤
406‧‧‧標籤
408‧‧‧使用者介面控制件/核取方塊
410‧‧‧源位址方塊
412‧‧‧目的地位址方塊
414‧‧‧方塊
415‧‧‧方塊
416‧‧‧方塊
418‧‧‧核取方塊
420‧‧‧使用者介面控制件/滑桿
422‧‧‧清單方塊
424‧‧‧清單方塊
428‧‧‧核取方塊
430‧‧‧核取方塊
432‧‧‧下拉式選單
500‧‧‧對話方塊
502‧‧‧控制件
503‧‧‧表格
5041 ‧‧‧時槽
5042 ‧‧‧時槽
5043 ‧‧‧時槽
5044 ‧‧‧時槽
506‧‧‧時間紀元/時序紀元
508‧‧‧游標
510‧‧‧按鈕
602‧‧‧網路控制軟體應用程式
604‧‧‧任務計劃
606‧‧‧通信媒體
700‧‧‧對話方塊
702‧‧‧任務計劃
704‧‧‧「發送任務計劃」按鈕
1000‧‧‧模組
1002‧‧‧顯示器單元
1008‧‧‧指令
1010‧‧‧電腦可讀儲存媒體
1012‧‧‧處理器
1016‧‧‧網路介面裝置
1017‧‧‧網路介面裝置
1018‧‧‧靜態記憶體
1020‧‧‧主記憶體
1022‧‧‧匯流排
1102‧‧‧顯示器單元
1104‧‧‧使用者輸入裝置
1106‧‧‧磁碟機單元
1108‧‧‧指令
1110‧‧‧電腦可讀儲存媒體
1112‧‧‧處理器
1114‧‧‧游標控制裝置
1116‧‧‧網路介面裝置
1118‧‧‧靜態記憶體
1120‧‧‧主記憶體
1122‧‧‧匯流排
1200‧‧‧網路
1202‧‧‧主機/個人電腦
1204‧‧‧模組/活動目標技術模組
1206‧‧‧交換器/活動目標技術交換器/活動目標技術啟用交換器
1208‧‧‧路由器
1209‧‧‧路由器
1210‧‧‧路由器
1211‧‧‧路由器
1212‧‧‧交換器
1214‧‧‧主機/伺服器
1500‧‧‧交換器
1501‧‧‧資料埠/埠
1502‧‧‧資料埠/埠
1504‧‧‧網路介面裝置
1505‧‧‧網路介面裝置
1506‧‧‧輸出緩衝器
1508‧‧‧輸入緩衝器
1510‧‧‧輸入緩衝器
1512‧‧‧輸出緩衝器
1514‧‧‧方向1處理
1515‧‧‧處理器
1516‧‧‧方向2處理
1518‧‧‧記憶體
1520‧‧‧任務計劃
1522‧‧‧表格
將參考以下繪圖闡述實施例,其中遍及該等圖,相同編號表示相同物項,且其中:圖1係用於理解本發明之一電腦網路之一實例。
圖2係在本發明中可用於執行識別碼參數之某些操控之一模組之一實例。
圖3係用於理解可用以幫助表徵圖1中之網路之一工具之一圖式。
圖4係可用以選擇圖1中之模組之動態設定之一圖形使用者介面(「GUI」)之一對話方塊之一實例。
圖5係可用以選擇與圖1中之每一模組相關聯之作用狀態及繞過狀態之一序列之一GUI之一對話方塊之一實例。
圖6係用於理解可將一任務計劃傳達至圖1中之網路中之複數個模組之方式之一圖式。
圖7係可用以選擇一任務計劃且將該任務計劃傳達至如圖6中所 展示之模組之一GUI之一對話方塊之一實例。
圖8係用於理解圖1中之一模組之操作之一流程圖。
圖9係用於關於創建及載入任務計劃理解一網路控制軟體應用程式(「NCSA」)之操作之一流程圖。
圖10係可用以實施圖1中之模組之一電腦架構之一方塊圖。
圖11係可用以實施圖1中所展示之一網路管理電腦(「NAC」)之一電腦架構之一方塊圖。
圖12係用於理解本發明之一電腦網路之一實例。
圖13係用於理解圖1中之一交換器之操作之一流程圖。
圖14係用於理解圖1中之一交換器之操作之一流程圖。
圖15係根據本發明之可用以實施用於路由資料封包之方法之一交換器之一實例。
圖16係用於理解可修改之某些類型之識別碼參數之一表格。
參考附圖闡述本發明。該等圖未按比例繪製且其經提供以僅圖解說明本發明。為了圖解說明,下文參考實例性應用闡述本發明之數個態樣。應理解,列舉眾多特定細節、關係及方法以提供對本發明之一完全理解。然而,熟習相關技術者將容易地認識到,可在不具有特定細節中之一或多者之情況下或藉助其他方法實踐本發明。在其他例項中,未詳細展示眾所周知之結構或操作以避免使本發明模糊。本發明不受行動或事件之所圖解說明之次序限制,此乃因某些行動可以不同於其他行動或事件之次序發生及/或與其他行動或事件同時發生。此外,並非所有所圖解說明之行動或事件皆需要來實施根據本發明之一方法。
亦應瞭解,本文中所使用之術語僅用於闡述特定實施例之目的而並非意欲限制本發明。如本文中所使用,單數形式「一(a)」、「一 (an)」及「該(the)」亦意欲包含複數形式,除非上下文另外清楚地指示。此外,就在詳細說明及/或申請專利範圍中使用術語「包含(including)」、「包含(include)」、「具有(having)」、「具有(has)」、「具有(with)」或其變化形式而言,此等術語意欲以類似於術語「包括(comprising)」之一方式係包含性的。
此外,除非另外定義,否則本文中所使用之所有術語(包含技術及科學術語)皆具有與熟習本發明所屬之技術領域者通常所理解相同之含義。應進一步理解,應將術語(諸如常用字典中所定義之彼等術語)解釋為具有與其在相關技術之上下文中之含義一致之一含義,而不應以一理想化或過分形式化意義來解釋,除非本文中明確定義如此。
識別碼敏捷電腦網路
現在參考圖1,其展示包含複數個計算裝置之一例示性電腦網路100 之一圖式。該等計算裝置可包含用戶端電腦101103 ,NAC104 ,伺服器111112 ,網路層2交換器108109 ,層3交換器110 及一橋接器115 。用戶端電腦101103 可係可能需要網路服務之任何類型之計算裝置,諸如一習用平板電腦、筆記型電腦、膝上型電腦或桌上型電腦。層3交換器110 可係使資料封包在電腦網路之間路由之一習用路由裝置。層2交換器108109 係如此項技術中眾所周知之習用集線器裝置(例如,一乙太網路集線器)。伺服器111112 可提供由用戶端電腦101103 利用之各種計算服務。舉例而言,伺服器111112 可係提供用於由用戶端電腦101103 使用之電腦檔案之共用儲存區之一位置之檔案伺服器。
用於電腦網路100 之通信媒體可係有線的、無線的或兩者,但應在本文中為了簡化及避免使本發明模糊而闡述為一有線網路。該網路將使用一通信協定傳達資料。如此項技術中眾所周知,通信協定定義 用於遍及網路傳達資料之格式及規則。圖1中之電腦網路100 可使用任何通信協定或現在已知或未來將知曉之協定組合。舉例而言,電腦網路100 可針對此類通信使用眾所周知之乙太網路協定套組。另一選擇係,電腦網路100 可利用其他協定,諸如一網際網路協定套組(通常稱為傳輸控制協定/網際網路協定(「TCP/IP」)套組)之協定、基於同步光學網路/同步數位階層(「SONET/SDH」)之協定或非同步傳送模式(「ATM」)通信協定。在某些實施例中,此等通信協定中之一或多者可以組合方式使用。雖然圖1中展示一個網路拓撲,但本發明不限於此方面。而是,可使用任何類型之適合網路拓撲,諸如一匯流排網路、一星形網路、一環形網路或一網狀網路。
本發明大體而言係關於一種用於在一電腦網路中(例如,在電腦網路100 中)傳達資料之方法,其中將資料自一第一計算裝置傳達至一第二計算裝置。該網路內之計算裝置係用多個識別碼參數表示。如本文中所使用,片語「識別碼參數」可包含諸如一IP位址、一媒體存取控制(「MAC」)位址、一埠編號等等物項。然而,本發明不限於此方面,且識別碼參數亦可包含用於表徵一網路節點之多種其他資訊。下文進一步詳細地論述本文中所設想之各種類型之識別碼參數。
發明性佈置涉及使用活動目標技術(「MTT」)來操控電腦網路100 內之一或多個計算裝置之此等識別碼參數中之一或多者。此技術掩飾此等計算裝置之通信方式及網路位址。如本文中所闡述之識別碼參數之操控通常連同電腦網路100 中之資料通信一起執行,亦即,在待將資料自網路中之一第一電腦(例如,用戶端電腦101 )傳達至網路中之一第二電腦(例如,用戶端電腦102 )時執行。因此,所操控之識別碼參數可包含一源計算裝置(亦即,資料起源於其之裝置)及目的地計算裝置(亦即,資料正被發送至其之裝置)之彼等識別碼參數。所傳達之識別碼參數之集合在本文中稱為一識別碼參數(「IDP」)集合。 此概念圖解說明於圖1中,其展示一IDP集合120 作為一資料封包(未展示)之部分由用戶端電腦101 傳輸。
根據發明性佈置之程序涉及在電腦網路100 內之一第一位置處選擇性地修改一資料封包或資料包中所含有之規定一源計算裝置及/或一目的地計算裝置之一或多個識別碼參數之值。根據一任務計劃修改識別碼參數。其中執行此修改之位置將通常與電腦網路100 之一個模組105107113114 之位置重合。再次參考圖1,可觀察到,模組105107113114 在構成電腦網路100 中之節點之各種計算裝置之間插入於此網路中。在此等位置中,模組105107113114 攔截資料封包通信、執行識別碼參數之必要操控且沿一傳輸路徑重新傳輸資料封包。在替代實施例中,模組105107113114 可執行一類似功能,但可直接整合至計算裝置中之一或多者中。舉例而言,該等模組可整合至用戶端電腦101102103 ,伺服器111112 ,層2交換器108109 及/或層3交換器110 中。
另外,電腦網路100 可劃分成透過層3交換器110 連接之若干個邏輯子區(有時稱為子網路(sub-network或subnet))。一企業網路可出於多種管理或技術原因而劃分成若干個子網路,該等原因包含但不限於隱藏網路之拓撲以使其對外部主機不可見、利用不同網路協定連接網路、在子網路層級上單獨管理網路定址方案、由於經約束資料連接而啟用跨越子網路之資料訊務之管理及諸如此類。子網路分割係此項技術中眾所周知的且將不做進一步詳細闡述。
再次參考圖1,電腦網路100 劃分成兩個邏輯網路,即一第一邏輯網路130 及一第二邏輯網路132 。如本文中所使用,片語「邏輯網路」係指一電腦網路之任何邏輯子區。在一實施例中,邏輯網路130132 透過層3交換器110 連接。層3交換器110 負責引導邏輯網路之間(亦即,自用戶端電腦101 至用戶端電腦103 )的訊務。層3交換器110 亦負責引導自連接至電腦網路100 之任何主機去往一第二網路124 之訊務。在圖1中所展示之實施例中,自電腦網路100 路由至第二網路124 之訊務通過橋接器115 。如同上文之模組,橋接器115 之功能性可整合於層3交換器110 內。
圖2中展示一模組105 之一功能性方塊圖之一實例。圖1之模組106107113114 可具有與圖2中所展示之彼功能性方塊圖類似之一功能性方塊圖,但應理解,本發明不限於此方面。如圖2中所展示,模組105 具有至少兩個資料埠201202 ,其中之每一者可對應於一各別網路介面裝置204205 。在資料埠201 處接收之資料係在網路介面裝置204 處處理且暫時儲存於一輸入緩衝器210 處。處理器215 存取輸入緩衝器210 中所含有之輸入資料封包且執行如本文中所闡述之識別碼參數之任何必要操控。經修改資料封包係傳遞至輸出緩衝器212 且隨後使用網路介面裝置205 自資料埠202 傳輸。類似地,在資料埠202 處接收之資料係在網路介面裝置205 處處理且暫時儲存於一輸入緩衝器208 處。處理器215 存取輸入緩衝器208 中所含有之輸入資料封包且執行如本文中所闡述之識別碼參數之任何必要操控。經修改資料封包係傳遞至一輸出緩衝器206 且隨後使用網路介面裝置204 自資料埠201 傳輸。在模組105 中,處理器215 根據儲存於一記憶體218 中之一任務計劃220 執行識別碼參數之操控。
應自圖2理解,模組105 較佳地經配置以使其雙向地操作。在此等實施例中,取決於一特定資料封包之一源,模組105 可實施不同修改功能。可根據一特定資料封包之一源計算裝置在任務計劃中規定模組105 中之動態修改功能。模組105 可藉由任何適合方式判定資料封包之一源。舉例而言,可出於此目的使用一資料封包之一源位址。
在操作期間,處理器215 將判定將代替真識別碼參數值使用之一或多個假識別碼參數值。處理器215 將使一或多個真識別碼參數值變 換為由一偽隨機函數較佳地規定之一或多個假識別碼參數值。在此變換之後,模組105 將沿一傳輸路徑將經修改封包或資料包轉發至電腦網路100 之下一節點。在通信路徑中之後續點處,正監視此等網路通信之一對手將觀察關於在電腦網路100 上通信之計算裝置之識別碼之假或不正確資訊。
在一較佳實施例中,根據一或多個反應性觸發事件之發生使由僞隨機函數規定之假識別碼參數變化。一反應性觸發事件致使處理器215 使用僞隨機函數來產生一新的假識別碼參數值集合,真識別碼參數被變換成該等假識別碼參數值。因此,反應性觸發事件充當本文中所闡述之假識別碼參數之動態變化之一基礎。下文更詳細地論述反應性觸發事件。然而,應注意,用於選擇一新的假識別碼參數值集合之反應性觸發事件可基於至少一個預定義規則。該規則包括定義至少一個反應性觸發事件之一語句。在此方面,使用者規則可實施一基於封包檢驗之方案、基於壅塞位準之方案、一基於啟發性演算法之方案及/或一基於基於網路之攻擊(「NBA」)之分析之方案。下文將詳細地闡述所列示方案中之每一者。
上文所闡述之識別碼參數之變換提供出於阻撓一網路攻擊之目的而操縱一電腦網路100 之一種方式。在一較佳實施例中,由處理器215 實施之任務計劃220 亦將控制電腦網路100 可操縱之方式之某些其他態樣。舉例而言,任務計劃220 可規定操控識別碼參數之一動態選擇。該動態選擇可包含選擇哪些識別碼參數進行修改及/或選擇此等識別碼參數之一數目之一選擇。此可變選擇程序提供可用以進一步阻撓一對手滲入或瞭解一電腦網路100 之努力之不確定性或變化之一添加之維度。作為此技術之一實例,考量在一第一時間週期期間,模組105 可修改每一資料封包之一目的地IP位址及一目的地MAC位址。在一第二時間週期期間,模組105 可操控每一資料封包中之源IP位址及 一源主機名稱。在一第三時間週期期間,模組105 可操控一源埠編號及一源使用者名稱。識別碼參數之選擇之改變可同步地發生(亦即,同時改變所有選定識別碼參數)。另一選擇係,識別碼參數之選擇之改變可不同步地發生(亦即,選定識別碼參數之群組隨添加或自選定識別碼參數之群組移除個別識別碼參數而遞增地改變)。
一僞隨機函數較佳地用於判定將操控或變換成假值之識別碼值之選擇。換言之,模組105 將僅變換藉由僞隨機函數選擇之識別碼參數。在一較佳實施例中,根據一反應性觸發事件之發生使由僞隨機函數規定之識別碼參數之選擇變化。反應性觸發事件致使處理器215 使用一僞隨機函數來產生將變換成假識別碼參數之識別碼參數之一新選擇。因此,反應性觸發事件充當本文中所闡述之識別碼參數之選擇之動態變化之一基礎。值得注意的是,亦可根據一僞隨機演算法使識別碼參數之值變化。
模組105 有利地亦能夠提供出於阻撓一網路攻擊之目的而操縱電腦網路之一第三方法。具體而言,載入於模組105 中之任務計劃220 可使其中發生識別碼參數之修改或變換的網路內之位置動態地變化。考量自用戶端電腦101 發送至用戶端電腦102 之一IDP集合120 中之識別碼參數之修改可發生於模組105 中。此條件展示於圖1中,其中在模組105 中操控IDP集合120 中所含有之識別碼參數以使得IDP集合120 被變換為一新或經修改IDP集合122 。與IDP集合120 中之識別碼參數相比,IDP集合122 中之識別碼參數中之至少某些識別碼參數係不同的。但其中發生此變換之位置較佳地亦由任務計劃控制。因此,IDP集合120 之操控可(舉例而言)有時發生在圖1之模組113114 處而非在模組105 處。用以使其中發生識別碼參數之操控之位置選擇性地變化之此能力給電腦網路100 之操縱能力添加又一重要維度。
藉由選擇性地控制圖1之每一模組105107113114 之一操作 狀態促進其中修改識別碼參數之位置之動態變化。為此,圖1之每一模組105107113114 之操作狀態較佳地包含:(1)一作用狀態,其中根據一當前任務計劃處理資料;及(2)一繞過狀態,其中封包可流動通過模組,就如模組不存在一樣。藉由選擇性地致使電腦網路100 之某些模組處於一作用狀態中且致使電腦網路100 之某些模組處於一待命狀態中而控制其中執行動態修改之位置。可藉由以一協調方式使圖1之模組105107113114 之當前狀態動態地變化而動態地改變該位置。
任務計劃220 可包含用於判定其中將操控識別碼參數的電腦網路100 內之位置之一預定義序列。其中將操控識別碼參數之位置將在由一反應性觸發事件指示之時間根據該預定義序列改變。舉例而言,反應性觸發事件可致使至用於如本文中所闡述之識別碼參數之操控或變換之一新位置之一轉變。因此,反應性觸發事件充當其中修改識別碼參數之位置之一改變之發生之一基礎,且預定義序列判定該新位置將在何處。
自前述內容,應瞭解,在圖1之一模組105107113114 處修改一資料封包以包含假識別碼參數。在電腦網路100 內之某一點處,使識別碼參數恢復其真值以使得識別碼參數可用以根據特定網路協定適當地執行其預期功能係必要的。因此,發明性佈置亦包含在一第二位置(亦即,一第二模組)處根據任務計劃220 動態地修改識別碼參數之經指派值。在第二位置處之修改基本上包括在第一位置處用以修改識別碼參數之一程序之一逆程序。第二位置處之模組可因此使假值識別碼參數恢復或變換回至其真值。為了實現此動作,第二位置處之模組必須能夠判定至少:(1)將變換之識別碼參數值之一選擇;及(2)選定識別碼參數自假值至真值之一正確變換。實際上,此程序涉及用以判定識別碼參數選擇之該(等)僞隨機程序及對此等識別碼參數值實現 之改變之一逆程序。逆變換步驟圖解說明於圖1中,其中在模組106 處接收IDP集合122 ,且將IDP集合122 中之識別碼參數值變換或操控回至其原始或真值。在此情景中,模組106 將識別碼參數值轉化回至IDP集合120 之彼等識別碼參數值。
值得注意的是,一模組必須使判定適當變換或操控之某一方式適用於其接收到之每一資料通信。在一較佳實施例中,藉由審查所接收資料通信內所含有之至少一源位址識別碼參數而執行此判定。舉例而言,源位址識別碼參數可包含一源計算裝置之一IP位址。一旦已知源計算裝置之真識別碼,模組即咨詢任務計劃(或自任務計劃導出之資訊)以判定其需要採取哪些動作。舉例而言,此等動作可包含將某些真識別碼參數值轉化為假識別碼參數值。另一選擇係,此等改變可包含將假識別碼參數值轉化回至真識別碼參數值。
值得注意的是,將存在其中一所接收資料通信中所含有之源位址識別碼參數資訊已改變為一假值之例項。在彼等環境中,接收資料通信之模組將不能立即判定資料通信之源之識別碼。然而,接收通信之模組可在此等例項中仍識別源計算裝置。此在接收模組處藉由比較假源位址識別碼參數值與一查找表(「LUT」)而實現,該查找表列示在一特定時間期間正使用之所有此等假源位址識別碼參數值。LUT亦包含對應於假源位址值之真源位址識別碼參數值之一清單。LUT可由任務計劃220 直接提供或可由任務計劃220 內所含有之資訊產生。在任一情形中,可自LUT容易地判定一真源位址識別碼參數值之識別。一旦已判定真源位址識別碼參數,則接收資料通信之模組可使用此資訊來判定(基於任務計劃)需要對識別碼參數之哪些操控。
值得注意的是,任務計劃220 亦可規定其中使識別碼參數恢復為其真值之第二位置之一變化。舉例而言,假定在包括模組105 之一第一位置處動態地修改識別碼參數。任務計劃可規定如所闡述在模組106 處發生使識別碼參數恢復其真值,但另一選擇係,可規定替代地在模組113114 處發生動態修改。在某些實施例中,任務計劃根據一預定義序列動態地判定其中發生此等操控之位置。該預定義序列可判定其中將發生識別碼參數之操控之位置或模組之序列。
涉及不同位置處之動態修改之轉變較佳地根據一反應性觸發事件發生。因此,預定義序列判定其中將發生資料操控之位置之型樣或序列,且反應性觸發事件充當用於致使自一個位置至下一位置之轉變之一基礎。下文更詳細地論述反應性觸發事件;然而,應注意,反應性觸發事件可基於至少一個預定義規則。該規則包括定義至少一個反應性觸發事件之一語句。在此方面,使用者規則可實施一基於封包檢驗之方案、基於壅塞位準之方案、一基於啟發性演算法之方案及/或一基於NBA分析之方案。下文將詳細闡述所列示方案中之每一者。可以與上文關於第一位置所闡述相同之方式實現對一第二位置(亦即,其中使識別碼參數返回至其真值)之選擇之控制。具體而言,兩個或兩個以上模組之操作狀態可在一作用狀態與一繞過狀態之間雙態切換。識別碼參數之操控將僅發生於具有一作用操作狀態之模組中。具有一繞過操作狀態之模組將僅傳遞資料封包而不做出修改。
替代方法亦可用於控制其中將發生識別碼參數之操控之位置。舉例而言,一網路管理員可在一任務計劃中定義其中可將識別碼參數自真值轉化為假值之數個可能模組。在發生一反應性觸發事件後,可旋即藉由使用一僞隨機函數且使用一觸發時間作為該僞隨機函數之一種子值而自數個模組當中選擇一新位置。若每一模組皆使用相同初始種子值實施同一僞隨機函數,則每一模組將計算同一僞隨機值。可基於一時脈時間(諸如一GPS時間或系統時脈時間)判定觸發時間。以此方式,每一模組可獨立地判定其當前是否為其中應發生識別碼參數之操控之一作用位置。類似地,網路管理員可在一任務計劃中定義其中 動態操控使識別碼參數返回至其正確或真值之數個可能模組。將哪一模組用於此目的之選擇亦可根據如本文中所闡述之一觸發時間及一僞隨機函數判定。用於判定其中將發生識別碼參數操控之位置或模組之其他方法亦係可能的。因此,本發明並不意欲限於本文中所闡述之特定方法。
值得注意的是,使其中操控識別碼功能之第一及/或第二位置之定位變化通常將導致第一與第二位置沿一網路通信路徑之間的一實體距離變化。第一與第二位置之間的距離在本文中稱為一距離向量。該距離向量可係第一與第二位置之間的沿一通信路徑之一實際實體距離。然而,將該距離向量視為表示存在於第一與第二位置之間的一通信路徑中之網路節點之數目係有用的。應瞭解,動態地選擇網路內之第一及第二位置之不同定位可具有改變第一與第二位置之間的節點之數目之效應。舉例而言,在圖1中,在模組105106107113114 中之選定者中實施識別碼參數之動態修改。如先前所闡述地判定實際上用以分別實施動態修改之模組。若模組105 用於將識別碼參數轉化為假值且模組106 用以將其轉化回至真值,則在模組105106 之間存在三個網路節點(108110109 )。但若模組113 用以轉化為假值且模組114 用以將識別碼參數轉化回至真值,則在模組113114 之間存在僅一個網路節點110 。因此,應瞭解,動態地改變其中發生動態修改之位置之定位可使距離向量動態地變化。距離向量之此變化給如本文中所闡述之網路操縱或修改提供可變性之一添加之維度。
在本發明中,識別碼參數值之操控、識別碼參數之選擇及其中此等識別碼參數之位置各自定義為一操縱參數。每當在此三個操縱參數中之一者中發生一改變時,可認為一網路操縱已發生。此三個操縱參數中之一者無論在何時改變,可認為一網路操縱已發生。為了最有效地阻撓一對手滲入一電腦網路100 之努力,較佳地藉助於如先前所 闡述之一僞隨機程序控制網路操縱。熟習此項技術者將瞭解,一混亂程序亦可用於執行此功能。與僞隨機函數相比,混亂程序在技術上係不同的,但出於本發明之目的,可使用任一者且兩者視為等效的。在某些實施例中,同一僞隨機程序可用於使操縱參數中之兩者或兩者以上動態地變化。然而,在本發明之一較佳實施例中,使用兩個或兩個以上不同僞隨機程序以使得獨立於其他操縱參數修改此等操縱參數中之兩者或兩者以上。
反應性觸發事件
如上文所述,藉由至少一個反應性觸發控制對操縱參數中之每一者之動態改變。一反應性觸發係致使相對於本文中所闡述之動態修改而發生一改變之一純自發或使用者起始之事件。換言之,可認為,反應性觸發致使網路以不同於在一先前時間(亦即,在發生反應性觸發之前)之一新方式操縱。舉例而言,在一第一時間週期期間,一任務計劃或安全性模型可致使一IP位址自值A改變為值B;但在反應性觸發事件之後,IP位址可替代地自值A改變為值C。類似地,在一第一時間週期期間,一任務計劃或安全性模型可致使一IP位址及一MAC位址被修改;但在反應性觸發事件之後,該任務計劃或安全性模型可替代地致使一MAC位址及一使用者名稱被修改。
在其最簡單形式中,一反應性觸發可基於一基於封包檢驗之方案、一基於壅塞位準之方案、一基於啟發性演算法之方案及/或一基於NBA分析之方案。基於封包檢驗之方案可涉及分析一封包以獲得識別封包之一起源之一識別符、封包之一目的地、該起源或目的地所屬之一群組及/或封包中所含有之一類型之有效負載。基於封包檢驗之方案亦可涉及分析封包以判定其中是含有一碼字還是不存在一碼字。用於達成此一封包檢驗之技術係此項技術中眾所周知的。現在已知或未來將知曉之任何此類技術皆可在不具有限制之情況下與本發明一起 使用。在某些實施例中,當識別符之一值匹配一預定義值時發生一反應性觸發事件。
在封包檢驗情景中,於一封包中包含一特定類型之內容充當一觸發或充當用於選擇一觸發所基於之一時序方案之一參數。舉例而言,一觸發事件可定義為在以下時刻發生:(a)當一實體之一特定人員(例如,一軍事單位之一指揮官)將資訊傳達至該實體之其他成員時;及/或(b)當封包內含有一特定碼字時。另一選擇係或另外,一觸發事件可定義為在如由根據一特定封包檢驗應用程式選擇之一時序方案所定義之每N秒時間間隔期滿時發生,其中N係一整數。在此方面,應理解,在某些實施例中,可在以下時刻選擇一第一時序方案:(a)當一實體之一第一人員(例如,一軍事單位之一指揮官)請求與該實體之其他成員之一通信會話時;或(b)當一封包內存在一特定碼字時。可在以下時刻選擇一第二不同時序方案:(a)當一實體之一第二人員(例如,一軍事單位之一副指揮官)請求與該實體之其他成員之一通信會話時;或(b)當一封包內存在一第二碼字時等等。本發明之實施例不限於上文所提供之實例的特殊性。在此方面,應理解,一封包中所包含之其他內容可定義一觸發事件。舉例而言,若一封包之有效負載包含敏感或機密資訊,則可根據該資訊之敏感度或機密性之位準選擇一新任務計劃或安全性模型。
對於此等基於時間之觸發佈置,操縱參數中之一或多者可能根據一預定時脈時間每N(例如,60)秒改變。在某些實施例中,所有操縱參數可同時改變,使得該等改變係同步的。在一稍微更複雜之實施例中,亦可使用一基於時間之觸發佈置,但可針對每一操縱參數選擇一不同獨特觸發時間間隔。因此,假識別碼參數值可能以時間間隔X改變,識別碼參數之一選擇將根據一時間間隔Y改變,且其中執行此等改變之一位置將以時間間隔Z發生,其中X、Y及Z係不同值。
應瞭解,在依賴於時脈時間作為一觸發機制之本發明之實施例中,提供如各種模組105106107113114 中之時脈之間的同步化以確保封包不會由於未辨識之識別碼參數而丟失或丟棄係有利的。同步化方法係眾所周知的,且任何適合同步化機制皆可用於此目的。舉例而言,可藉由使用一高度準確時間參考(諸如一GPS時脈時間)來將模組同步化。另一選擇係,可將一獨特無線同步化信號自一中央控制設施廣播至模組中之每一者。
基於壅塞位準之方案可涉及:監視並追蹤一電腦網路內之壅塞之位準;比較一當前壅塞位準與一臨限值;及基於該比較之結果自複數個任務計劃/模型選擇一任務計劃或安全性模型。在某些情景中,在當前壅塞位準等於、大於或小於臨限值時選擇一新任務計劃或安全性模型。以此方式,一任務計劃或安全性模型改變基於一電腦網路內之壅塞之位準之改變以明顯不規則之時間間隔發生。
基於啟發性演算法之方案可涉及分析一網路以判定其之一狀態。此一網路分析可涉及在一延遲之特定時間監視一網路之訊務型樣(例如,使用者之數目)、協定型樣及/或熵型樣(亦即,誰正與誰通信)。可藉由收集關於網路裝備使用(例如,一處理器之使用)之資訊及自一網路裝置(例如,一網路伺服器)存在之連接之一數目而判定一訊務型樣。可對照一預定義表格或矩陣之內容比較所收集資訊以識別一電腦網路內當前存在複數個可能訊務型樣中之哪一訊務型樣。至少基於此比較操作之結果,可自複數個任務計劃及/或安全性模型選擇一新任務計劃或安全性模型以供用於電腦網路中。
在某些啟發性情景中,任務計劃及/或安全性模型可經配置以使得儘管一電腦網路中之實際訊務量改變但仍維持其內之一恆定高訊務位準。該恆定高訊務位準係藉由根據一網路中之實際訊務量調整(亦即,增加或減少)其之一雜訊位準而維持。因此,在任何給定時間遮 蔽實際訊務量及訊務型樣之類型。
可藉由收集關於與網路資源相關之使用者活動之資訊而判定一協定型樣。此資訊可包含但不限於一電腦網路之至少一個使用者之使用者活動之一歷史、使用者活動開始之時間、使用者活動停止之時間、使用者活動已逝去之時間及識別一電腦網路之至少一個使用者正執行之同時發生之使用者活動之資訊。所收集資訊可經分析以判定某一協定型樣當前是否存在。若判定一特定協定型樣當前存在,則可自複數個任務計劃/模型選擇一新任務計劃或安全性模型以供用於電腦網路中。以此方式,一任務計劃或安全性模型改變基於協定型樣之改變(更特定而言,使用者活動之改變)以明顯不規則之時間間隔發生。
可藉由收集關於誰正經由電腦網路彼此通信之資訊而判定熵型樣。基於所收集資訊,自複數個任務計劃/模型選擇一新任務計劃或安全性模型以供用於電腦網路中。在此情景中,一任務計劃或安全性模型改變基於參與通信會話之各方之改變以明顯不規則之時間間隔發生。
出於判定一NBA之層級、一NBA之一類型及/或當前對一電腦網路進行之NBA攻擊之數目之目的執行NBA分析。此等NBA分析係此項技術中眾所周知的,且因此將不在本文中闡述。仍應理解,此等NBA分析可涉及:監視並追蹤一電腦網路內之攻擊事件;及出於判定一NBA攻擊之層級及/或一NBA攻擊之類型之目的執行LUT操作。現在已知或未來將知曉之任何NBA分析技術皆可在不具有限制之情況下與本發明一起使用。一旦完成NBA分析,即可基於NBA分析之結果自複數個任務計劃/模型選擇一新任務計劃或安全性模型以供用於電腦網路中。舉例而言,若已判定一NBA係一低層級NBA及/或係為一第一類型,則自複數個任務計劃或安全性模型選擇一第一任務計劃或安全性模型。相比而言,若已判定該NBA係一高層級NBA及/或係為一第 二類型,則自該複數個任務計劃或安全性模型選擇一第二不同任務計劃或安全性模型。在此情景中,一任務計劃或安全性模型改變基於NBA攻擊之層級及/或NBA攻擊之類型之改變以明顯不規則之時間間隔發生。另外或另一選擇係,在當前對電腦網路進行相同或不同層級及/或類型之兩個或兩個以上NBA攻擊時,可選擇一新任務計劃或安全性模型。在此情景中,一任務計劃或安全性模型改變基於當前正執行之攻擊之數目之改變以明顯不規則之時間間隔發生。
在本發明之實施例中,可由一網路安全性軟體套組識別一NBA。另一選擇係,可在於一模組105106107113114 處接收到一資料封包後旋即識別NBA,其中該封包含有與網路操縱之目前狀態不一致之一或多個識別碼參數。無論用於識別一NBA之基礎如何,此NBA之存在皆可充當如上文所闡述之一反應性觸發事件。
基於上文所闡述之方案之反應性觸發事件可致使相同類型之網路操縱。舉例而言,假識別碼參數、識別碼參數之選擇及識別碼參數變換之位置可保持穩定(亦即,不改變),惟其中偵測到以下各項中之一或多者之情形除外:具有一特定起源或目的地之一封包;一封包中所含有之一碼字;一封包中所含有之秘密或機密資訊;一特定壅塞位準;一特定訊務型樣;一特定協定型樣;一特定熵型樣;一特定層級及/或類型之一NBA;及當前對一電腦網路上進行NBA之一特定數目。舉例而言,在其中頻繁網路操縱係合意的以便增加其安全性之電腦網路中可能選擇此一佈置。
另一選擇係,基於上文所闡述之方案之反應性觸發事件可致使不同類型之網路操縱。在此等實施例中,與基於一封包檢驗及/或一啟發性演算法之結果之一觸發事件相比,基於一NBA分析之結果之一觸發事件可對網路操縱具有一不同效應。舉例而言,一基於NBA之觸發事件可致使網路操縱之策略性或防禦性改變以便更積極應對此等 NBA。此等措施之精確本性可取決於威脅之本性,但可包含多種回應。舉例而言,可選擇不同僞隨機演算法,及/或可增加經選擇以用於每一IDP集合120 中之操控之識別碼參數之數目。此外,回應可包含增加網路操縱之一頻率。因此,可關於以下各項做出更頻繁改變:(1)假識別碼參數值;(2)在每一IDP集合中待改變之識別碼參數之選擇;及/或(3)其中改變識別碼參數之第一及第二位置之定位。因此,本文中所闡述之網路操縱提供用於基於多種因素以一純自發方式改變一任務計劃或安全性模型,藉此增加其安全性之一方法。
任務計劃
根據本發明之一較佳實施例,根據一任務計劃控制本文中所闡述之網路操縱。一任務計劃係定義及控制一網路之上下文及至少一個安全性模型內之操縱能力之一方案。因此,任務計劃可表示為自NAC104 傳達至圖1之每一模組105107113114 之一資料檔案。任務計劃此後由每一模組用以控制識別碼參數之操控且使其活動與網路中之其他模組之動作協調。
根據一較佳實施例,任務計劃可由一網路管理員不時地修改以更新或改變網路操縱阻撓潛在對手之方式。因此,任務計劃給一網路管理員提供促進對網路操縱將在網路內發生之時間、地點及方式之完全控制之一工具。此更新能力允許網路管理員使電腦網路之行為適合當前操作條件且更有效地阻撓對手滲入網路之努力。多個任務計劃可由一使用者定義及儲存以使其可由網路內之模組存取。舉例而言,多個任務計劃可儲存於NAC104 處且視需要傳達至模組。另一選擇係,複數個任務計劃可儲存於每一模組上且可視需要啟動或可係合意的以維持網路之安全性。舉例而言,若網路管理員判定或懷疑一對手已發現一網路之一當前任務計劃,則管理員可希望改變該任務計劃。有效安全性程序亦可命令週期性地改變任務計劃。
創建一任務計劃之程序可藉由模型化電腦網路100 開始。模型之創建藉由在一電腦上執行或在網路命令中心處服務之一NCSA促進。舉例而言,在圖1中所展示之實施例中,NCSA可在NAC104 上執行。網路模型較佳地包含定義電腦網路100 中所包含之各種計算裝置之間的資料連接及/或關係之資訊。NCSA將提供促進輸入此關係資料之一適合介面。根據一項實施例,NCSA可促進將資料輸入至可用以定義任務計劃之表格中。然而,在一較佳實施例中,使用一圖形使用者介面來促進此程序。
現在參考圖3,NCSA可包含一網路拓撲模型產生器工具。該工具用以輔助網路管理員定義網路之各種組件中之每一者之間的關係。網路拓撲工具提供一工作場所300 ,其中一管理員可藉由使用一游標304 而拖放網路組件302 。網路管理員亦可創建各種網路組件302 之間的資料連接306 。作為此模型化程序之部分,網路管理員可提供各種網路組件(包含圖1之模組105107113114 )之網路位址資訊。
網路一旦已被模型化,其即可由網路管理員保存及使用以定義各種模組105107113114 表現及彼此互動之方式。現在參考圖4,NCSA可產生可用以進一步開發一任務計劃之一對話方塊400 。一下拉式選單432 可用以選擇待將對話方塊400 中之設定應用於其之特定模組(例如,圖1之模組105 )。另一選擇係,網路管理員可使用下拉式選單432 來指示意欲將對話方塊400 中之設定應用於網路內之所有模組(例如,藉由選擇下拉式選單432 中之命令「所有」)。程序可藉由規定是否將總是在模組中之每一者中修改一固定識別碼參數集合或是否應使所操控之識別碼參數集合動態地變化而繼續。若意欲使將在模組中操控之識別碼參數之選擇或集合動態地變化,則網路管理員可標記核取方塊401 以指示彼偏好。若未標記核取方塊401 ,則待變化之識別碼參數集合係不隨時間變化之一固定集合。
對話方塊400 包含標籤402404406 ,該等標籤允許一使用者選擇他/她希望出於創建一任務計劃之目的而一起工作之特定識別碼參數。出於本發明之目的,對話方塊400 促進僅三個識別碼參數之動態變化。具體而言,此等識別碼參數包含IP位址、MAC位址及埠位址。可藉由提供額外標籤而使更多或更少識別碼參數動態地變化,但所述三個識別碼參數足以解釋發明性概念。在圖4中,使用者已選擇標籤402 與識別碼參數之IP位址類型一起工作。在標籤402 內,提供用於規定與選定模組內之IP位址之動態變化相關之細節之多種使用者介面控制件408420 。可提供更多或更少控制件以促進IP位址類型之動態操控,且僅提供所展示之控制件以輔助讀者理解該概念。在所展示之實例中,網路管理員可藉由選擇(例如,藉助一指標裝置(諸如一滑鼠))標記為「啟用IP位址跳躍」之核取方塊408 而啟用IP位址之動態變化。類似地,網路管理員可指示將使源位址、目的地位址還是兩者變化。在此實例中,標記源位址方塊410 及目的地位址方塊412 兩者,從而指示將改變兩種類型之位址。可由管理員在清單方塊422424 中規定源位址及目的地位址之所允許值之範圍。
藉由選擇一僞隨機程序而規定用以選擇假IP位址值之特定僞隨機程序。在方塊414415 中規定此選擇。不同僞隨機程序可具有針對可變真隨機程度之不同複雜性位準,且管理員可選擇最佳適合電腦網路100 之需要之程序。
對話方塊400 亦允許一網路管理員設定待用於IP位址識別碼參數之動態變化之觸發類型。在此實例中,使用者已選擇方塊416 ,從而指示一基於時間之觸發將用於判定何時轉變為新假IP位址值。此外,核取方塊418 已經選擇以指示基於時間之觸發將在一週期性基礎上發生。滑桿420 可由使用者調整以判定基於週期性時間之觸發之頻率。在所展示之實例中,觸發頻率可在每小時六個觸發之發生率(每十分 鐘發生觸發)與每小時一百二十個觸發之發生率(每三十秒發生觸發)之間調整。在此實例中,亦可選擇其他類型之觸發。舉例而言,對話方塊402 包含核取方塊428430 ,網路管理員可藉由核取方塊428430 選擇一基於事件之觸發。數個不同特定事件類型可經選擇以形成用於此等基於事件之觸發之基礎(例如,事件類型1、事件類型2等)。此等事件類型可包含各種潛在電腦網路安全性威脅之偵測。在圖4中,標籤404406 類似於標籤402 ,但使其中之控制件適合MAC位址及埠值而非IP位址之動態變化。可提供用於控制其他類型之識別碼參數之動態變化之額外標籤。
任務計劃亦可規定用於使其中修改識別碼參數之位置動態地變化之一計劃。在某些實施例中,藉由控制定義每一模組何時處於一作用狀態或一繞過狀態中之一序列而促進此可變位置特徵。因此,任務計劃有利地包含規定此序列之某一方式。在本發明之某些實施例中,此可涉及使用經定義時間間隔或時槽,該等經定義時間間隔或時槽由一觸發事件之發生分離。
現在參考圖5,一對話方塊500 可由NCSA提供以促進位置序列及時序資訊之協調及輸入。對話方塊500 可包含一控制件502 ,控制件502 用於選擇將包含於一時間紀元506 內之時槽504 1 504 n 之一數目。在所圖解說明之實例中,網路管理員已定義每時序紀元四個時槽。對話方塊500 亦可包含一表格503 ,表格503 包含電腦網路100 中之所有模組。針對所列示之每一模組,該表格包含一個時序紀元506 之可用時槽504 1 504 4 之一圖形表示。應記得,對其中操控識別碼參數之位置之動態控制係藉由每一模組是處於一作用操作狀態中還是處於繞過操作狀態中而判定。因此,在圖形使用者介面內,使用者可活動一游標508 且做出選擇以規定在每一時槽期間一特定模組是處於一作用模式中還是繞過模式中。在所展示之實例中,模組105 在時槽504 1 504 3 期間係作用的,但在時槽504 2 504 4 期間處於一繞過模式中。相比而言,模組113 在時槽504 2 504 4 期間係作用的,但在時槽504 1 504 3 期間處於繞過模式中。參考圖1,此意味著識別碼參數之操控在時槽504 1 504 3 期間發生於與模組105 相關聯之一位置處,但在時槽504 2 504 4 期間替代地發生於模組113 處。
在圖5中所展示之實例中,網路管理員已選擇使模組114 總是在一作用模式中操作(亦即,模組114 在所有時槽期間係作用的)。因此,針對自用戶端電腦101 傳輸至用戶端電腦103 之資料通信,資料封包將交替地在模組105113 中操控,但將總是在模組114 處操控。最後,在此實例中,網路管理員已選擇在時槽504 1 504 4 期間將模組106107 維持於一繞過模式中。因此,在經定義時槽中之任一者期間將不在此等模組處執行識別碼參數之操控。一旦已在對話方塊500 中定義模組時序,網路管理員即可選擇按鈕510 來將改變儲存為一經更新任務計劃之部分。可以各種格式保存任務計劃。在某些實施例中,可將任務計劃保存為一簡單表格或可由每一模組用於控制模組之行為之其他類型之經定義資料結構。
任務計劃之分佈及載入
現在將進一步詳細地闡述如本文中所揭示之任務計劃之分佈及載入。再次參考圖1,可觀察到,模組105107113114 遍及電腦網路100 分佈於一或多個位置處。該等模組整合於通信路徑內以攔截此等位置處之通信、執行必要操控且將資料轉發至網路內之其他計算裝置。藉助前述佈置,本文中所闡述之模組之任何必要維修(例如,維修以更新一任務計劃)將有可能在替換模組或將模組重新程式化時中斷網路通信。在其中網路服務之可靠性及可用性係必要之諸多情況下,此等中斷係不合意的。舉例而言,對於軍事、緊急服務及商業所使用之電腦網路,不間斷網路操作可係必要的。
為了確保不間斷網路操作,每一模組較佳地具有數種操作狀態。此等操作狀態包含:(1)一關斷狀態,其中模組被關閉電源且不處理任何封包;(2)一初始化狀態,其中模組根據任務計劃安裝軟體腳本;(3)一作用狀態,其中根據一當前任務計劃處理資料;及(4)一繞過狀態,其中封包可流動通過模組,就如模組不存在一樣。模組經配置以使得在其處於作用狀態或繞過狀態中時,模組可接收及載入由一網路管理員提供之一經更新任務計劃。模組操作狀態可由網路管理員藉助於在(舉例而言)NAC104 上執行之NCSA人工地控制。舉例而言,使用者可透過使用一圖形使用者介面控制面板選擇各種模組之操作狀態。用於控制網路之操作狀態之命令係經由電腦網路100 傳達,或者可藉由任何其他適合構件傳達。舉例而言,可出於彼目的而使用一單獨有線或無線網路(未展示)。
任務計劃可直接載入於每一模組之實體位置處,或其可自NCSA傳達至模組。此概念圖解說明於圖6中,其展示經由一通信媒體606 自NCSA602 傳達至模組105107113114 中之每一者之任務計劃604 。在所展示之實例中,NCSA軟體應用程式在由一網路管理員操作之NAC104 上執行。在某些實施例中,通信媒體可包含使用電腦網路100 之帶內發信。另一選擇係,一帶外網路(例如,一單獨無線網路)可用作通信媒體606 來將經更新任務計劃自NCSA傳達至每一模組。如圖7中所展示,NCSA可提供一對話方塊700 以促進數個任務計劃702 中之一者之選擇。此等任務計劃702 中之每一者可儲存於NAC104 上。網路管理員可自數個任務計劃702 中之一者做出選擇,此後其可啟動一「發送任務計劃」按鈕704 。另一選擇係,複數個任務計劃可傳達至每一模組且儲存於彼處。在任一情景中,使用者可選擇經定義任務計劃中之一者來啟動。
回應於用以發送任務計劃之命令,選定任務計劃在模組處於其 中其經配置以用於主動地執行如本文中所闡述之識別碼參數之動態修改之一作用狀態中時傳達至該等模組。此一佈置最小化其間網路無阻礙地操作且不操控識別碼參數之時間。然而,經更新任務計劃亦可在模組處於繞過模式中時傳達至該等模組,且此方法在某些情形中可係合意的。
一旦任務計劃由一模組接收,其即可自動地儲存於模組內之一記憶體位置中。此後,可致使模組進入繞過狀態,且在仍處於彼狀態中時,模組可載入與新任務計劃相關聯之資料。進入至繞過狀態中且載入新任務計劃資料之此程序可回應於接收到任務計劃而自動地發生,或可回應於來自由網路管理員控制之NCSA軟體之一命令而發生。該新任務計劃較佳地包含改變使識別碼參數值變化之方式。一旦已載入該新任務計劃,模組105107113114 即可以確保不發生資料通信錯誤之一同步化方式自繞過模式轉變為作用模式。任務計劃可規定模組將返回至作用模式之一時間,或網路管理員可使用NCSA來將一命令傳達至各種模組,從而引導其進入至作用模式中。更新一任務計劃之前述程序有利地允許網路安全性程序之改變在不中斷附接至電腦網路100 之各種計算裝置當中之通信之情況下發生。
每一模組105106107113114 處之各種識別碼參數之動態操控較佳地由在每一模組105107113114 上執行之應用程式軟體控制。然而,應用程式軟體之行為有利地由任務計劃控制。
現在參考圖8,其提供總結每一模組105107113114 之操作之一流程圖。為避免混淆,關於在一單個方向上之通信闡述程序800 。舉例而言,在模組105 之情形中,單個方向可涉及自用戶端電腦101 傳輸至集線器108 之資料。然而,在實踐中,較佳地,模組105107113114 雙向地操作。該程序在將模組開啟電源時在步驟802 處開始且繼續至步驟804 ,其中利用模組應用程式軟體執行本文中所闡 述之方法。在步驟806 中,自模組內之一記憶體位置載入一任務計劃。在此點處,模組準備好開始處理資料且繼續在步驟808 處如此進行,其中其自模組之一輸入資料緩衝器存取一資料封包。在步驟810 中,模組檢查以判定其是否處於一繞過操作模式中。若如此,則在步驟812 中在不具有資料封包之任何修改之情況下重新傳輸在步驟808 中存取之資料封包。若模組不在繞過模式中,則其必須在其作用操作模式中且繼續至步驟814 。在步驟814 中,模組讀取資料封包以判定資料封包起源於其之一源節點之識別碼。在步驟816 中,其審查封包以判定源節點是否有效。可比較所規定源節點與有效節點之一清單以判定所規定源節點當前是否有效。若其並非一有效節點,則在步驟818 中摒棄封包。在步驟820 中,程序檢查以判定一觸發事件是否發生。一觸發事件之發生將影響選擇假識別碼值來使用。因此,在步驟822 中,模組基於觸發資訊、時脈時間及任務計劃中之一或多者判定待使用之假識別碼值。模組然後繼續至步驟826 ,其中其操控資料封包之識別碼參數。一旦操控完成,即將資料封包自模組之輸出埠重新傳輸至一毗鄰節點。在步驟830 中,做出關於是否已命令將模組關閉電源之一判定。若如此,則程序在步驟832 處結束。在步驟808 中,程序繼續且自模組之輸入資料緩衝器存取下一資料封包。
現在參考圖9,其提供總結用於管理一動態電腦網路之本文中所闡述之方法之一流程圖。程序在步驟902 中開始且繼續至步驟904 ,其中創建一網路模型(例如,如關於圖3所展示及闡述)。在步驟906 中,做出關於是否將創建一新任務計劃之一判定。若如此,則在步驟908 中創建一新任務計劃且程序繼續至步驟910 ,其中選擇新任務計劃。另一選擇係,若在步驟906 中已創建一所要任務計劃,則方法可直接繼續至步驟910,其中選擇一現有任務計劃。在步驟912 中,將任務計劃傳達至模組(例如,圖1之模組105107113114 ),其中將任務 計劃儲存於一記憶體位置中。當網路管理員準備好實施新任務模型時,在步驟914 中發送一命令,該命令致使模組進入如本文中所闡述之一待命模式。當模組處於此待命模式中時,在步驟916 處載入任務計劃。任務計劃之載入發生於每一模組處以使得可使用任務計劃來控制在模組上執行之一應用程式軟體之操作。特定而言,使用任務計劃來控制應用程式軟體執行識別碼參數之動態操控之方式。在步驟918 中,再次致使任務模組進入至其中每一任務模組根據任務計劃執行識別碼參數之操控之一作用操作模式中。步驟914、916918 可回應於自一網路管理員發送之特定命令而發生,或可回應於在步驟912 中接收到任務計劃而在每一模組處自動地發生。在步驟918 之後,模組根據已載入之任務計劃繼續執行處理。在步驟920 中,程序藉由檢查以判定使用者是否已指示改變任務計劃之一期望而繼續;若如此,則程序返回至步驟906 ,其中其如上文所闡述地繼續。若不存在使用者或網路管理員希望改變一現有任務計劃之指示,則程序在步驟922 中判定其是否已被指示終止。若如此,則程序在步驟924 中終止。若未接收到終止指令,則程序返回至步驟920 且繼續。
現在參考圖10,其提供展示可用於執行本文中所闡述之識別碼參數之操控之一例示性模組1000 之一電腦架構的一方塊圖。模組1000 包含經由一匯流排1022 彼此通信之一處理器1012 (諸如一中央處理單元(「CPU」))、一主記憶體1020 及一靜態記憶體1018 。模組1000 可進一步包含用以指示模組之狀態之一顯示器單元1002 ,諸如一液晶顯示器(「LCD」)。模組1000 亦可包含允許模組同時在兩個單獨資料線上接收及傳輸資料之一或多個網路介面裝置10161017 。兩個網路介面埠促進圖1中所展示之佈置,其中每一模組經配置以同時攔截及重新傳輸自網路上之兩個單獨計算裝置接收之資料封包。
主記憶體1020 包含其上儲存有經配置以實施本文中所闡述之方 法、程序或功能中之一或多者之一或多組的指令1008 (例如,軟體程式碼)之一電腦可讀儲存媒體1010 。指令1008 亦可在其由模組執行期間完全或至少部分地駐存於靜態記憶體1018 內及/或處理器1012 內。靜態記憶體1018 及處理器1012 亦可構成機器可讀媒體。在本發明之各種實施例中,連接至一網路環境之一網路介面裝置1016 經由使用指令1008 之網路通信。
現在參考圖11,其展示根據發明性佈置之一例示性NAC104 。NAC104 可包括各種類型之計算系統及裝置,包含一伺服器電腦、一用戶端使用者電腦、一個人電腦(「PC」)、一平板PC、一膝上型電腦、一桌上型電腦、一控制系統或能夠執行規定彼裝置待採取之動作之一組指令(按順序或以其他方式)之任何其他裝置。此外,儘管圖11中圖解說明一單個電腦,但片語「NAC」應理解為包含個別地或聯合地執行一組(或多組)指令以執行本文中所論述之方法中之任一者或多者之計算裝置之任何集合。
現在參考圖11,NAC104 包含經由一匯流排1122 彼此通信之一處理器1112 (諸如一CPU)、一磁碟機單元1106 、一主記憶體1120 及一靜態記憶體1118 。NAC104 可進一步包含一顯示器單元1102 ,諸如一視訊顯示器(例如,一LCD)、一平面顯示器、一固態顯示器或一陰極射線管(「CRT」)。NAC104 可包含一使用者輸入裝置1104 (例如,一鍵盤)、一游標控制裝置1114 (例如,一滑鼠)及一網路介面裝置1116
磁碟機單元1106 包含其上儲存有經配置以實施本文中所闡述之方法、程序或功能中之一或多者之一或多組指令1108 (例如,軟體程式碼)之一電腦可讀儲存媒體1110 。指令1108 亦可在其執行期間完全或至少部分地駐存於主記憶體1120 、靜態記憶體1118 內及/或處理器1112 內。主記憶體1120 及處理器1112 亦可構成機器可讀媒體。
熟習此項技術者應瞭解,圖10中所圖解說明之模組架構及圖11中 之NAC架構各自表示可分別用於執行本文中所闡述之方法的一計算裝置之僅一項可能實例。然而,本發明不限於此方面,且任何其他適合計算裝置架構亦可在不具有限制之情況下使用。專用硬體實施方案包含但不限於特殊應用積體電路、可程式化邏輯陣列,且其他硬體裝置可同樣地構造以實施本文中所闡述之方法。可包含各種實施例之裝備及系統之應用廣義地包含多種電子及電腦系統。某些實施例可藉助在模組之間及貫通模組傳達之相關控制及資料信號或作為一特殊應用積體電路之部分實施兩個或兩個以上特定互連之硬體裝置中之功能。因此,例示性系統適用於軟體、韌體及硬體實施方案。
根據本發明之各種實施例,本文中所闡述之方法作為軟體程式儲存於一電腦可讀儲存媒體中且經配置以在一電腦處理器上運行。此外,軟體實施方案可包含但不限於亦可經建構以實施本文中所闡述之方法之分散式處理、組件/物件分散式處理、並行處理、虛擬機器處理。
儘管在圖10及圖11中將電腦可讀儲存媒體10101110 展示為一單個儲存媒體,但術語「電腦可讀儲存媒體」應視為包含儲存一或多組指令之一單個媒體或多個媒體(例如,一集中式或分散式資料庫及/或相關聯快取記憶體及伺服器)。術語「電腦可讀儲存媒體」亦應視為包含能夠儲存、解碼或攜載供由機器執行之一組指令且致使機器執行本發明之方法中任一者或多者之任何媒體。
術語「電腦可讀媒體」應相應地視為包含但不限於固態記憶體(諸如一記憶體卡或者裝納一或多個唯讀(非揮發性)記憶體、隨機存取記憶體或其他可重複寫入(揮發性)記憶體之其他封包);磁光媒體或光學媒體(諸如一磁碟或磁帶)。因此,本發明應視為包含如本文中所列示之一電腦可讀媒體中之任一者或多者且包含已認可之等效物及其中儲存有本文中之軟體實施方案之後續任務媒體。
連接至一不同邏輯網路之計算裝置之通信
在闡述發明性佈置之其他態樣之前,考量習用交換器之操作係有用的。習用交換器將一網路之多個分段連接在一起。執行此功能之最簡單裝置稱作「集線器」且在實體層處操作。集線器不對資料封包執行任何訊務管理任務,而僅複製在一埠處輸入之所有資料訊務,且將其向外廣播至所有其他埠。層2(或「網路」)交換器操作直至連結層,且具有檢驗進入交換器之封包的能力,且基於連結層封包之目的地實體位址,將每一封包引導至適當埠。交換器不同於集線器之處在於其可在不跨越每一埠進行廣播的情況下,將封包轉發至其目的地。多層交換器(例如,層3交換器)可操作直至網路、輸送及/或應用程式層,且能夠執行需要知曉較高層協定(諸如IP多點傳播、IP安全性、防火牆、負載平衡、安全通訊端層加密/解密及諸如此類)之操作。在較高層處操作之交換器可執行路由器及橋接器之功能中的某些或所有功能。反過來說,路由器及橋接器亦可執行較低層交換功能。
交換器藉由使每一輸出埠與一特定實體位址相關聯而將封包轉發至下一躍點。如上文所提及,交換器主要在資料連結層中操作。資料連結層訊息(亦即,資料封包)係定址至表示資料封包之路徑中之「下一躍點」的實體位址。一實體位址之一實例係用於主機之網路介面的MAC位址。使用一連結層協定(諸如位址解析協定(「ARP」))來解析MAC位址,且然後將此資訊儲存於用於迅速參考之一表格(例如,一ARP表)中。當接收到送往一特定主機之一封包時,交換器查找ARP表上之目的地MAC位址、定位與彼MAC位址相關聯之埠,且轉發封包。若用於目的地主機之MAC位址未列示於ARP表中,則交換器可在每一輸出埠上廣播一ARP輪詢訊息。若目的地主機連接至交換器,則其將用一應答回答,且交換器將使用接收到該應答之埠將封包轉發至主機。交換器亦可將埠及網路位址記錄於ARP表中以供未來轉 發至彼MAC位址。
在網路層中或上方操作之多層交換器可使用邏輯位址(例如,IP位址)來將封包轉發至其目的地。雖然網路層功能及上方通常由路由器處置,但在一習用路由器與一層3(或網路層)交換器之間存在極小的功能差異。在任一情形中,交換器(或路由器)接收送往具有一邏輯位址(亦即,一網路層或協定位址)之一特定主機之一資料封包。在接收到封包之後,網路層交換器將比較封包之目的地IP位址與一路由表,以判定至目的地主機之路徑中之下一躍點的邏輯及實體位址兩者。網路層交換器然後將封包傳輸至下一躍點。將在一層3交換器處接收之封包與由一層2交換器接收之一封包相比,其間之主要差異係在層3交換器處接收之連結層封包之目的地位址(例如,一MAC位址)係交換器自身之彼目的地位址。如上文所解釋,一連結層封包係定址至封包之路徑之下一躍點。接收封包之層3交換器(或路由器)係彼封包之下一躍點,且具有基於網路層位址(例如,一IP位址)或含於封包中之其他資訊來判定封包之下一躍點之任務。相反地,接收一封包之一層2交換器讀取連結層目的地位址,且將封包轉發至下一躍點,但層2交換器自身並非一目的地。
一活動目標技術(「MTT」)交換器能夠執行封包轉發,如上文針對根據一任務計劃操作之一MTT啟用網路所闡述。一MTT交換器能夠執行用於MTT啟用訊務之上文所闡述之一交換器之原生功能性。在某些實施例中,MTT交換器亦可經佈置以出於判定如何適當地執行此等交換操作之目的而自動地區分MTT啟用訊務與習用資料訊務。任務計劃定義對一MTT啟用網路內之資料訊務之識別碼參數執行之一組變換及其中在網路內執行此等變換之位置。如同模組,MTT啟用交換器可載入有一或多個任務計劃。另外,MTT交換器可執行模組之功能且根據任務計劃變換資料封包之識別碼參數。
當前交換技術藉由「鎖定」一特定實體位址而將資料轉發至ARP表中之交換器上之一特定埠,如上文所闡述。因此,習用交換器由於識別碼參數將根據任務計劃活動而不能處理MTT啟用訊務。舉例而言,源及/或目的地主機之IP位址、源及/或目的地主機之MAC位址或兩者可在到達交換器之前動態地修改。MTT啟用交換器具有根據任務計劃操作及藉助活動識別碼正確地轉發經交換資料封包之能力。舉例而言,當一封包到達一MTT交換器時,分析資料封包之識別碼參數且比較目的地主機與由任務計劃驅動及修改之一動態ARP表。
由任務計劃填充及/或修改動態ARP表。任務計劃具有有關遍及整個網路之識別碼參數之操控之資訊且因此可用一完全填充之ARP表供應交換器以供用於轉發封包。ARP表之此動態修改可以若干種方式發生。在某些實施例中,當將ARP表載入至交換器中時,由任務計劃填充其中之值。在此等實施例中,每當啟動一新任務計劃時重新寫入ARP表值。換言之,根據任務計劃使用如當前經操控以供用於網路中之識別碼參數改變ARP表中之值以促進封包之正確交換。在其他實施例中,由任務計劃更新ARP表中之值之間的關係。舉例而言,可由任務計劃更新埠與各種裝置位址之間的關係。在每一實施例中,任務計劃更新或修改ARP表以使得交換器藉助彼特定時間正使用之經操控識別碼參數正確地起作用。如上文所闡述,識別碼參數之操控可基於一反應性觸發事件而改變。任務計劃將定義回應於一特定類型之反應性觸發事件發生哪些改變。因此,每一反應性觸發事件可致使對一動態ARP表之一修改或更新。
在一項實施例中,一交換器包含伺服於一靜態網路及一MTT啟用網路兩者之專用埠。實際上,交換器與伺服於一靜態網路之靜態埠及伺服於一動態網路之MTT埠分隔。在此一情景中,每一組埠可具有一單獨ARP表或可共用包含一靜態區段及一MTT區段之一ARP表。伺 服於MTT啟用埠的ARP表之至少彼部分係根據一任務計劃判定,且回應於由任務計劃定義之預定反應性觸發事件而變化。在另一實施例中,交換器可識別MTT啟用訊務且將資料封包之識別碼參數變換成靜態識別碼參數(亦即,真識別碼參數)。在已變換識別碼參數之後,交換器可使用習用交換演算法(使用一靜態ARP表)處理資料封包。此後,交換器可轉發含有真識別碼參數之封包,或可轉發具有假識別碼參數之封包。該等假識別碼參數可相同於在接收時封包中所含有之彼等假識別碼參數,或交換器可操控識別碼參數以包含一不同假識別碼參數集合。在任一情形中處理封包之方式可由一任務計劃判定,如上文所闡述。
在某些實施例中,網路中可同時存在靜態及動態資料訊務兩者。因此,容納靜態及動態訊務兩者之容量係重要的。舉例而言,資料可基於資料之值或重要性而係靜態或動態的。根據一特定任務計劃操作之一主機電腦可針對藉助一特定應用程式或一特定伺服器傳輸之資料啟用MTT。相比而言,網頁瀏覽資料或其他低優先級資料可在不啟用MTT之情況下發送。因此,所有網路裝備(包含交換器)可同時容納靜態及動態訊務兩者且完全能夠除轉發靜態封包之外亦透過同一網路處置MTT啟用封包之變換及轉發。
在某些實施例中,交換器可連接至操作不同任務計劃之多個網路。另一選擇係,連接至交換器之網路中之一或多者可係靜態的(亦即,非MTT啟用的)。在此等情景中,交換器可用作一橋接器且能夠在操作不同任務計劃之網路之間或在一MTT網路與一靜態網路之間轉譯。在此等網路界限之間操作之交換器可具有用於每一網路之一ARP表,或具有帶有多個區段之一ARP表,其中每一區段對應於一不同網路。在任一情景中,可根據一任務計劃動態地填充ARP表。
除根據一任務計劃轉發MTT啟用資料封包之外,MTT交換器亦 能夠藉由僞隨機地交替用於將封包傳達至一特定目的地之輸出埠而基於任務計劃操控交換行為。舉例而言,一交換器可具有通向連接至同一企業寬域網路中之另一網路之一路由器之一個埠。交換器可具有通向進入至網際網路之一閘道器之一第二埠。兩個路徑可通向同一目的地,且交換器可在將封包傳達至同一最終目的地時在兩個路徑之間僞隨機地交替。另一選擇係或除此之外,交換器可在某些或所有埠上廣播外來封包以在網路內形成雜訊。外來封包可含有呈經加密之形式的隨機資料之無用位元以混淆且騷擾試圖滲入網路之個體及系統。MTT交換器可根據一或多個任務計劃在此等行為或其任何組合之間交替。
視情況,交換器可進一步應用一組過濾規則以用作一防火牆。在某些實施例中,交換器可基於一任務計劃識別MTT啟用訊務且濾除所有其他訊務。在其他實施例中,交換器可偵測資料訊務中之異常。過濾規則可經設計以使得交換器將非MTT啟用封包及/或異常封包引導至可模擬網路系統之行為之一「誘捕系統」伺服器以誘捕攻擊訊務。藉由將非MTT啟用封包及/或異常封包(尤其係與攻擊訊務相關聯之彼等封包)過濾至誘捕系統,一網路管理員能夠阻止一攻擊、分析網路漏洞及/或開發用於應對基於不允許之訊務之行為之攻擊之新技術。另一選擇係,可即刻摒棄或使用習用防火牆技術過濾非MTT啟用封包。
為進一步理解本文中所闡述之MTT交換器之此功能,考量圖12及以下實例。現在參考圖12,其提供一例示性網路1200 。該網路包含主機1202 ,模組1204 ,交換器12061212 ,路由器1208、1210 及主機1214 。如圖12中所展示,藉助識別碼參數120 發送一資料封包。在一項例示性實施例中,模組1204 可將識別碼參數120 變換成識別碼參數122 ,如先前所闡述。在替代實施例中,模組1204 可在主機1202 或交換器1206 內。另外,路由器12081210 ,交換器1212 及主機1214 亦可 包含一模組。雖然圖12圖解說明在一個方向上行進之資料封包,但熟習此項技術者應認識到,資料訊務可使用眾所周知之雙工技術在兩個方向上流動。
在一第一實例中,一網路分段包括串聯連接之三個單獨組件:一PC1202 、一MTT模組1204 及一MTT交換器1206 。PC1202 係透過交換器1206 進入一動態網路之一資料串流之源主機。連接於PC1202 與交換器1206 之間的係能夠對藉由PC1202 傳輸之資料串流執行僞隨機變換之一模組1204 。當資料串流到達交換器1206 時,串流內之資料封包之各種識別碼參數122 似乎已由模組1204 以隨機方式變換。更特定而言,根據一任務計劃將識別碼參數值120 中之某些識別碼參數值僞隨機地變換成假值122 。MTT啟用交換器1206 根據同一任務計劃操作,且因此保持能夠將資料串流中之封包適當地轉發至下一介面。在一替代配置中,模組1204 不必係一單獨組件,但可嵌入於一PC1202 內,如上文所論述。
在一第二實例中,模組1204 嵌入於交換器1206 內且交換器1206 自身能夠根據任務計劃變換資料封包識別碼參數120 。在此一情景中,交換器可接收非MTT啟用之一資料串流,亦即,尚未變換資料封包之識別碼參數120 。交換器然後在將識別碼參數向外轉發至網路中之前修改識別碼參數以規定假識別碼參數122 。交換器1206 處之變換可在輸入埠或輸出埠處發生。換言之,可在交換器判定透過哪一埠轉發封包之前或之後變換識別碼參數120
在一第三實例中,一MTT交換器1206 連接根據不同任務計劃操作之兩個網路(在圖12中表示為連接至路由器12081210 之網路)。為了清晰且為了避免使本發明模糊,未展示附接至路由器12081210 之網路。具體而言,網路中之一者(例如,路由器1208 )係非MTT啟用之一靜態網路。在兩個網路之間傳輸之資料訊務必須在其可被轉發至其 他網路之前由交換器1206 轉譯。舉例而言,自MTT啟用網路到達交換器之一資料封包之識別碼參數122 必須經轉譯以規定靜態值120 。相比而言,自靜態網路到達交換器之一資料封包之識別碼參數必須經轉譯以規定根據當前作用之任務計劃之識別碼參數。
在一第四實例中,一MTT交換器1206 連接網路A(亦即,路由器1209 )、B(亦即,路由器1210 )、C(亦即,路由器1211 )及D(亦即,路由器1208 )。網路A、B及C係根據一或多個任務計劃操作之動態MTT啟用網路。網路D係非MTT啟用之一靜態網路。當在MTT交換器1206 處接收資料時,其評估封包以判定其是否包括具有對應於網路A、B或C之一當前狀態(亦即,對應於根據網路A、B或C之當前任務計劃期望之內容)之假識別碼參數之MTT啟用資料。若如此,則交換器1206 使用一或多個任務計劃執行適當MTT處理以將資料路由至一適當目的地網路。此處理可涉及將一假識別碼參數集合(例如,若封包源自一MTT啟用網路)變換為一真識別碼參數集合(若目的地網路係一靜態網路(在此實例中,網路D、路由器1208 ))。另一選擇係,此處理可涉及將對應於一MTT啟用源網路(例如,網路A、路由器1209 )之一第一假識別碼參數集合變換為對應於一MTT啟用目的地網路(例如,網路B、路由器1210 )之一第二假識別碼參數集合。第一及第二假識別碼參數集合可包含識別碼參數之不同選擇(使其成為同一識別碼參數集合之假值及/或不同假值)。另一選擇係,若交換器1206 判定一所接收封包含有不對應於任何網路之當前狀態之錯誤MTT資料,則可摒棄所接收封包或將其發送至如上文所闡述之一「誘捕系統」。
上文所闡述之例示性配置並不意欲為限制性。此外,實施例不限於圖12中所圖解說明之網路拓撲。如上文所提及,一交換器之功能可內建至其他網路裝置(例如,路由器及橋接器)中。另外,模組及防火牆之功能可併入至交換器、路由器及/或橋接器中。網路組件可經 組合以達成適合任何組的需要之一動態網路系統。
現在參考圖13,其提供程序1300 之一流程圖以進一步圖解說明一MTT交換器之操作。該程序在將交換器開啟電源時在步驟1302 處開始且繼續至步驟1304 ,其中將交換器應用程式軟體初始化以執行本文中所闡述之方法。在步驟1306 中,自交換器內之一記憶體位置載入一或多個任務計劃。ARP表亦係根據任務計劃填充。一任務計劃可定義一單個動態電腦網路內之複數個網路分段之一動態操縱。可以類似於上文關於模組所闡述之彼方式之一方式將一或多個任務計劃載入於一交換器中。在一較佳實施例中,將任務計劃載入至交換器之一記憶體中且將其啟動,藉此產生一觸發事件。觸發事件用作區分使用先前作用之ARP表處理之在觸發事件之前接收之訊務及使用新啟動之ARP表處理之在觸發事件之後接收之訊務之一閘。此可以若干種方式發生。在另一實施例中,可在交換器不作用時或在停用網路之MTT操作之一時間期間將任務計劃載入至記憶體中。一旦已載入一任務計劃,交換器即準備好開始處理資料且在步驟1308 處繼續如此進行,其中其自交換器之一輸入資料緩衝器存取一資料封包。
在步驟1310 中,交換器檢查以判定是否已在網路中啟用MTT操作模式。若否(1310 :否),則在步驟1312 中使用經佈置以確保含有真識別碼參數值之封包之適當轉發之一靜態ARP表將在步驟1308 中存取之資料封包引導至一輸出埠。換言之,在MTT操作模式不作用且假定所有識別碼參數具有其真值時使用此模式。在步驟1312 中,交換器在不具有資料封包之任何修改之情況下以一習用交換器將使用之相同之方式將資料封包傳達至適當輸出埠。若啟用MTT模式(1310 :是),則程序繼續至步驟1314
網路將具有定義當前如何操控網路中之識別碼參數之某一MTT狀態。在步驟1314 中,交換器基於任務計劃及當前MTT狀態判定假識 別碼參數值之當前狀態。在步驟1316 中,系統週期性地檢查以判定是否已發生將改變MTT狀態之一觸發事件。對於一觸發事件之發生之此檢查步驟可如所展示地基於一時脈信號週期性地執行,或其可在方塊1315 內所包含之程序期間之任何時間執行。此係一重要步驟,乃因一觸發事件之發生可對網路中之當前正使用之適當假識別碼值之計算具有一顯著影響。然後使用來自步驟1316 之資訊及有關網路之MTT狀態之任何其他適當資訊來判定彼時正由網路使用之任何MTT操控之當前狀態。舉例而言,在步驟1314 中一觸發事件之發生可致使系統產生包含彼時正使用之任何假識別碼參數值及對應真識別碼參數值之一經更新交叉參考表或查找表。可使用如先前所闡述之一僞隨機程序判定有關哪些識別碼參數係假及此等識別碼參數之真值之資訊。如圖13中所展示,觸發事件可在處理步驟131413181320132413261328 中之任一者期間發生且將觸發彼時之當前MTT狀態(例如,假識別碼參數值之當前狀態)之一立即重新判定。
視情況,可在步驟1314 處啟用MTT識別碼參數之不可否認性。不可否認性係允許網路管理員在任何時間發現動態網路所使用之MTT識別碼之一安全性服務。因此,雖然具有網路訊務之識別碼參數之潛在僞隨機本性,但網路源及目的地之真識別碼係可知曉的且不可「否認」以拒絕責任。在一項實施例中,此可藉由簡單記錄所有假識別碼而達成。因此,執行一記錄功能,藉此將在步驟1314 中判定之所有假識別碼參數記錄於(舉例而言)記憶體中。另一選擇係,不可否認性可透過僞隨機函數之時間戳記記錄及與MTT任務計劃之當前狀態相關聯之種子值達成。此允許一網路管理員在網路操作期間之任何時間往回查看以依據僞隨機函數及彼時任務計劃所使用之種子值「重新建構」網路識別碼。
在步驟1318 中,交換器讀取資料封包以判定資料封包起源於其 之一源節點及目的地節點之識別碼。所接收資料之源位址資訊及目的地位址資訊係重要的,此乃因需要其來准許交換器判定如何適當地操控資料通信內所含有之識別碼參數。在步驟1320 中,交換器審查資料封包以判定源節點是否有效。此可藉由比較資料封包中所規定之源節點與當前正使用之有效源節點之一當前清單(例如,如步驟1314 中所判定)而實現。若源節點資訊並非有效,則在步驟1322 中摒棄封包。步驟13241326 係下文進一步詳細論述之選用步驟。
程序繼續至步驟1328 ,在彼點處交換器將封包引導至適當輸出埠。此步驟較佳地包含用以確保含有假識別碼參數之封包之適當轉發之適當動作。更特定而言,此步驟確保根據對應於假識別碼參數之真資訊且根據任務計劃用於資料通信之下一目的地係一正確資料通信路徑。應記得,假識別碼參數中之資訊將與真識別碼參數值不一致,因此必須做出適當調整以適應假資訊,同時仍確保資料訊息之適當轉發。存在解決此問題之至少兩種可能方法。在某些實施例中,步驟1328 可涉及藉由其判定一封包中所含有之任何假識別碼參數之真識別碼參數值之一交叉參考程序。舉例而言,在步驟1314 中產生之LUT可用於此目的。一旦判定此等識別碼參數之真值,交換器即可使用一靜態ARP表(亦即,在步驟1312 中所使用之同一表格)來判定一特定封包之正確輸出埠。此後,可將封包引導至正確輸出埠。另一選擇係,可產生一動態ARP表以供在步驟1328 中使用。動態ARP表可直接規定對應於一資料封包中所含有之假識別碼參數資訊之一正確輸出埠。其他方法亦係可能的,且本發明並不意欲限於此處所闡述之兩種方法。
在步驟1330 中,做出關於是否已命令將交換器關閉電源之一判定。若如此,則程序在步驟1332 處結束;否則,程序返回至1308 。在步驟1308 中,程序繼續且自交換器之輸入資料緩衝器存取下一資料封包。
在上文所闡述之程序中,交換器執行確保將含有假識別碼參數之資料封包仍傳達至其適當目的地節點或若干節點之轉發操作。除執行此等基本轉發功能之外,交換器亦可經配置而以類似於上文關於模組所闡述之彼方式之一方式執行識別碼參數之動態操控。再次參考圖13,選用步驟1324 可包括根據一任務計劃及一當前動態網路狀態動態操控識別碼參數。步驟1324 處之操作將類似於如上文所闡述之由圖1之模組105107113114 執行之識別碼參數操控。在完成識別碼參數之此操控後,程序將旋即基本上如上文關於步驟1328 所闡述地繼續。轉發操作將使用如由交換器操控之當前識別碼參數值執行。值得注意的是,步驟1324 中之操控操作可根據一任務計劃在進行與停止之間選擇性地雙態切換。此程序類似於上文關於模組所闡述之繞過模式,且可促進使其中執行識別碼參數操控的一網路內之一位置變化。此繞過操作模式可實施於如上文所闡述之步驟13101312 中。另一選擇係,可個別地繞過步驟1324
在如至此所闡述之程序中,已操控識別碼參數,但轉發協定係靜態的。換言之,用於轉發封包之規則已隨時間保持不變,且此等規則尚未受網路之MTT狀態之改變影響。封包總是沿與其將在具有一靜態ARP表之一預設轉發情景中轉發相同之路徑或若干路徑路由。除此等靜態路由方法之外,發明性佈置亦可包含動態轉發。
為了更完全地理解動態轉發之概念,考量一實例係有用的。在上文參考圖12所闡述之預設轉發情景中,交換器1206 將送往伺服器1214 之一封包引導至路由器1210 (經由網際網路或某一其他公用網路),此乃因此路徑具有最短數目個躍點。然而,在本發明之一動態轉發實施例中,每一交換器及/或路由器之轉發協定可經動態修改以使得一特定交換器/路由器轉發一封包之方式將隨時間(且在不同條件下)改變。此轉發變化將在無法存取任務計劃中所規定之資訊之情況 下不可預測。因此,一任務計劃可規定(舉例而言)有時將送往伺服器1214 之封包引導至路由器1208 而非直接引導至路由器1210 。然後透過網際網路(或任何其他公用網路)將封包引導至交換器1212 及最後目的地(例如,伺服器1214 )。在其他時間,送往同一伺服器之一封包可具有一不同路徑。在涉及動態轉發之此等實施例中,貫通網路1200 之封包採取之路徑可認為以一僞隨機方式動態地更改以阻撓試圖監視網路通信之對手。下文中所闡述之動態轉發方法可使用任何適合技術及意欲包含於本發明之範疇中之所有此類技術執行。此外,轉發協定之動態修改可單獨或連同如上文所闡述之識別碼參數之動態修改一起執行。
應理解,本文中所闡述之動態路由方法不限於上文所闡述之程序。在另一實施例中,根據一任務計劃操作之一交換器可判定貫通網路之多個可行路徑。交換器可根據由任務計劃定義之一僞隨機演算法分段且分散跨越可行路徑之通信。舉例而言,參考圖12,一交換器1206 可接收分段成兩個封包之一通信。根據任務計劃操作,交換器1206 可透過路由器1208 發送一個封包且將另一封包直接發送至路由器1210 。然後,在目的地(例如,伺服器1214 )處重新組合通信。在此一實施例中,交換器1206 可根據一僞隨機函數使資料封包將行進之路徑變化。熟習此項技術者應認識到,此技術可推廣至包含任何數目個交換器及/或路由器之網路。
值得注意的是,上文所闡述之動態路由程序亦可獨立於關於圖13所闡述之MTT功能中之一或多者而發生。現在參考圖14,其提供總結根據一項實施例之一交換器之操作之一流程圖,其中路由器所使用之轉發協定根據一任務計劃變化。程序1400 在將交換器開啟電源時在步驟1402 處開始且繼續至步驟1404 ,其中將交換器應用程式軟體初始化以用於執行本文中所闡述之方法。在步驟1406 中,自交換器內之一 記憶體位置載入一或多個任務計劃。在此點處,交換器準備好開始處理資料且在步驟1408 處繼續如此進行,其中其自交換器之一輸入資料緩衝器存取一所接收資料封包。在步驟1410 中,做出關於交換器是否在一動態轉發模式中操作之一判定。若否,則程序繼續至步驟1412 且將資料轉發至與至目的地主機之路徑中之下一躍點相關聯之預設埠。另一選擇係,若交換器根據一動態轉發模式操作(1410 :是),則程序繼續至包含於方塊1413 內之步驟14141418
在步驟1414 中,交換器判定貫通網路之資料封包為到達其目的地節點而可採取之一組可行路徑。可基於任務計劃判定此等路徑。舉例而言,任務計劃可瞭解貫通網路之一資料封包為了自一點行進至另一點而可採取之若干個路徑。交換器可根據當前作用之任務計劃判定此等路徑中之哪些路徑係可用的。在步驟1416 中,選擇一單個路徑以基於由一任務計劃定義之一僞隨機選擇程序發送封包。在步驟1415 中亦發生對一反應性觸發事件之發生之一檢查。如上文關於圖13所論述,在步驟1415 中判定之反應性觸發事件將觸發彼時之當前MTT狀態(例如,假識別碼參數值之當前狀態)之一立即重新判定。一旦選擇了路徑,即在步驟1418 處朝向規定為封包之下一目的地之一毗鄰節點將資料封包引導至一輸出埠。在某些實施例中,任務計劃可引導交換器在網路中產生額外雜訊。在此等實施例中,步驟1418 亦包含在用外來封包使網路滿溢且遮蔽網路之行為之一努力中將封包發送至一或多個額外埠。
在步驟1420 中,做出關於是否已命令將交換器關閉電源之一判定。若如此,則程序在步驟1422 處結束;否則,程序返回至1408 。在步驟1408 中,程序繼續且自路由器之輸入資料緩衝器存取下一資料封包。
現在參考圖15,其展示交換器1500 之一方塊圖。交換器1500 具 有至少兩個資料埠15011502 。資料埠15011502 中之每一者可對應於一各別網路介面裝置15041505 。如圖15中所展示,交換器1500 可具有複數個資料埠,每一資料埠連接至一不同網路及/或計算裝置。在埠1501 中之任一者處接收之資料係在網路介面裝置1504 處處理且暫時儲存於一輸入緩衝器1510 處。處理器1515 存取輸入緩衝器1510 中所含有之輸入資料封包且執行如本文中所闡述之任何必要路由程序(亦即,方向2處理1516) 。經修改資料封包係傳遞至輸出緩衝器1512 且隨後使用網路介面裝置1505 自埠1502 傳輸。類似地,在埠1502 處接收之資料係在網路介面裝置1505 處處理且暫時儲存於一輸入緩衝器1508 處。處理器1515 存取輸入緩衝器1508 中所含有之輸入資料封包且執行如本文中所闡述之任何必要路由程序(亦即,方向1處理1514 )。經修改資料封包係傳遞至輸出緩衝器1506 且隨後使用網路介面裝置1504 自埠1501 傳輸。在每一模組中,處理器1515 根據儲存於一記憶體1518 中之一任務計劃1520 及/或一或多個表1522 執行資料封包之動態路由。
除其路由功能(及對潛在地管理動態路由協定之需要)之外,交換器1500 之操作在諸多方面中類似於模組105107 、113、114 之彼操作。仍應瞭解,交換器1500 之操作亦以某些方式不同。舉例而言,不同於模組,交換器將決不會完全不作用,此乃因在網路作用時,總是需要其來至少執行習用轉發功能。但是,交換器之操作中之某些操作可以類似於模組之一方式在一作用模式與一非作用模式之間轉變。舉例而言,涉及識別碼參數之動態修改(圖13之步驟1324 )之由交換器執行之變換功能可在一作用模式與一非作用(繞過)模式之間轉變。當在作用模式中時,識別碼參數之動態修改可由交換器執行。當在非作用或繞過模式中時,不動態地修改識別碼參數,但轉發功能仍係作用的。值得注意的是,一任務計劃可使用交換器(以類似於上文關於模組所闡述之彼方式之一方式)來使其中執行識別碼參數操控之位置變 化。此等動作可僅由如圖12中所展示之一或多個交換器及/或路由器執行,或可連同其他裝置(諸如模組、橋接器及防火牆)一起執行。可以類似於本文中關於模組所闡述之彼方式之一方式更新交換器所使用之任務計劃,惟藉助一靜態ARP表之習用轉發功能可在載入一新任務計劃之時間期間保持啟用除外。另一選擇係,如上文所闡述,一新任務計劃之載入及啟動可致使一觸發事件發生,藉此在觸發事件之後在輸入緩衝器中接收之所有資料將使用經更新任務計劃處理。
待由一交換器操控之識別碼參數之選擇及操控其之方式可類似於上文關於模組所闡述之方法。舉例而言,識別碼參數之選擇及假識別碼參數值之選擇可由一僞隨機程序判定。該程序及/或用於此程序之種子值分別由與網路相關聯之任務計劃判定。交換器1500 將根據如上文參考模組所闡述之一或多個觸發事件之發生對待操控之識別碼參數值及/或識別碼參數之選擇做出改變。此等觸發事件可產生為隨時間而變,可由事件之發生判定或兩者。本文中所提及之事件之實例可包含一使用者命令、一時序間隔及一潛在網路安全性威脅之一偵測,如上文所論述。
可變化之識別碼參數之類型
現在參考圖16,其提供可由模組105107113114 及/或由橋接器115 操控之識別碼參數中之某些識別碼參數之一清單。圖16中所列示之參數中之每一者包含於一資料通信中,該資料通信包含於使用一TCP/IP通信協定之一網路中。圖16中所列示之大多數資訊類型係熟習此項技術者眾所周知的。然而,本文中提供每一類型之資訊之一簡要描述及其作為一識別碼參數之用途。亦提供可操控每一識別碼參數之方式之一簡要論述。
IP位址。一IP位址係指派給參與一電腦網路之每一計算裝置之一數字識別符,其中該網路使用眾所周知之網際網路協定通信。IP位址 可係一個三十二位元或一百二十八位元數。出於本發明之目的,可將IP位址數改變為隨機地選擇(例如,使用一僞隨機數產生器)之一假值。另一選擇係,可自一預定假值清單(例如,由一任務計劃規定之一清單)隨機地選擇假IP位址值。源IP位址及目的地IP位址包含於一資料封包之標頭部分中。因此,藉由簡單地改變(藉由使用改變IP標頭資訊之封包操控技術)執行此等值之操控。當封包到達一第二模組(可操控之位置)時,將假IP位址值變換回至其真值。第二模組使用同一僞隨機程序(或其逆程序)以基於假值導出真IP位址值。
MAC位址。一MAC位址係由一製造商指派給一網路介面裝置且儲存於一內建ROM中之一唯一值。出於本發明之目的,可將源MAC位址及/或目的地MAC位址改變為隨機地選擇(例如,使用一僞隨機數產生器)之一假值。另一選擇係,可自一預定假值清單(例如,由一任務計劃規定之一清單)隨機地選擇假MAC值。源MAC位址及目的地MAC位址包含於資料封包之標頭部分中。因此,藉由簡單地改變每一封包之一乙太網路標頭資訊執行此等值之操控。當封包到達一第二模組(可操控之位置)時,將假MAC位址值變換回至其真值。接收一封包之一模組將使用同一僞隨機程序(或其逆程序)來基於假值導出真MAC位址值。
網路/子網路。在某些實施例中,IP位址可視為一單個識別碼參數。然而,通常將一IP位址定義為包含至少兩個部分,該至少兩個部分包含一網路首碼部分及一主機編號部分。網路首碼部分識別待將一資料封包傳達至其之一網路。主機編號識別一區域網路(「LAN」)內之特定節點。一子網路(sub-network)(有時稱為一子網路(subnet))係一IP網路之一邏輯部分。在將一網路劃分成兩個或兩個以上子網路之情況下,使用IP位址之主機編號區段之一部分來規定一子網路編號。出於本發明之目的,網路首碼、子網路編號及主機編號可各自視為一單 獨識別碼參數。因此,此等識別碼參數中之每一者可以一僞隨機方式獨立於其他參數單獨地操控。此外,應瞭解,一資料封包將包含一源IP位址及一目的地IP位址。因此,可在用於可以一僞隨機方式操控之總共六個不同可變識別碼參數之源IP位址及/或目的地IP位址中操控網路首碼、子網路編號及主機編號。接收一封包之一模組將使用與一起源節點相同之僞隨機程序(或此程序之逆程序)來基於假值導出真網路/子網路資訊值。
TCP序列。在一TCP會話之相對側上彼此通信之兩個用戶端電腦將各自維持一TCP序號。該序號允許每一電腦追蹤其已傳達多少資料。TCP序號包含於在會話期間傳達之每一封包之TCP標頭部分中。在起始一TCP會話時,隨機地選擇初始序號值。出於本發明之目的,可根據一僞隨機程序將TCP序號操控為一識別碼參數。舉例而言,可將TCP序號改變為隨機地選擇(例如,使用一僞隨機數產生器)之一假值。當在網路之一不同模組(將使其位置動態地變化)處接收到封包時,可使用僞隨機程序之一逆程序將TCP序號自一假值變換回至一真值。
埠編號。一TCP/IP埠編號包含於一資料封包之TCP或UDP標頭部分中。如TCP/IP通信協定中所使用之埠係此項技術中眾所周知的,且因此將不在本文中詳細闡述。埠資訊含在資料封包之TCP標頭部分內。因此,藉由簡單地修改TCP標頭資訊以將一真埠值改變為一假埠值而實現埠資訊之操控。如同此處所論述之其他識別碼參數,可在一第一模組處根據一僞隨機程序將埠編號資訊操控或變換為一假值。稍後,可在一第二模組處使用僞隨機程序之一逆程序將埠資訊自一假值變換為一真值。
雖然已關於一或多個實施方案圖解說明及闡述了本發明,但熟習此項技術者在閱讀及理解本說明書及隨附圖式之後將想到等效更改 及修改。另外,儘管可能已關於數種實施方案中之僅一者揭示了本發明之一特定特徵,但此特徵可與其他實施方案之一或多個其他特徵組合,此對於任何給定或特定應用可能係合意的及有利的。因此,本發明之廣度及範疇不應受上文所闡述之實施例中之任一者限制。而是,本發明之範疇應根據以下申請專利範圍及其等效形式來定義。
100‧‧‧電腦網路
101‧‧‧用戶端電腦
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦
104‧‧‧網路管理電腦
105‧‧‧模組
106‧‧‧模組
107‧‧‧模組
108‧‧‧網路層2交換器/層2交換器/網路節點/集線器
109‧‧‧網路層2交換器/層2交換器/網路節點
110‧‧‧層3交換器/網路節點
111‧‧‧伺服器
112‧‧‧伺服器
113‧‧‧模組
114‧‧‧模組
115‧‧‧橋接器
120‧‧‧識別碼參數集合
122‧‧‧新/經修改識別碼參數集合/識別碼參數集合
124‧‧‧第二網路
130‧‧‧第一邏輯網路/邏輯網路
132‧‧‧第二邏輯網路/邏輯網路
201‧‧‧資料埠
202‧‧‧資料埠

Claims (15)

  1. 一種用於自發地配置一電腦網路之操作之方法,該方法包括:使用複數個識別碼參數在該電腦網路內的複數個節點之間傳達複數個資料封包,該複數個識別碼參數係包含在每一對應資料封包中以針對每一該資料封包識別一起源節點及一目的地節點;配置該電腦網路以根據複數個任務計劃中之一第一任務計劃操作,每一該任務計劃規定該電腦網路之至少一個該節點將動態地修改在每一該資料封包中含有之該複數個識別碼參數之至少一個識別碼參數之一經指派值之一方式,以規定代替真識別碼參數資訊之假識別碼參數資訊;偵測該電腦網路內之一反應性觸發事件,該反應性觸發事件包括用於致使相關於該至少一個識別碼參數之該動態修改而發生一改變之一自發事件;回應於該反應性觸發事件之該偵測,自該複數個任務計劃選擇一第二任務計劃;及根據該第二任務計劃,自動地重新配置該電腦網路之操作,使得由該第二任務計劃規定的方式係不同於由該第一任務計劃規定的方式;其中該方式係根據從以下組成之群組中選擇的至少一個變數來規定:(a)自該複數個識別碼參數之中之該至少一個識別碼參數之一選擇,(b)用以動態地修改該至少一個識別碼參數之一偽隨機程序,(c)用於該偽隨機程序之一種子值,及(d)在將執行該動態修改之該電腦網路中之該至少一個節點之一選擇。
  2. 如請求項1之方法,其中由儲存於該電腦網路內之至少一個預定 義規則來定義該反應性觸發事件。
  3. 如請求項2之方法,其中該預定義規則實施以下各項中之至少一者:一基於封包檢驗之方案、一基於壅塞位準之方案、一基於啟發性演算法之方案及一基於網路之攻擊(「NBA」)之分析之方案。
  4. 如請求項3之方法,其中該基於封包檢驗之方案包括:分析一封包以獲得識別該封包之一起源之一識別符、該封包之一目的地、該起源或該目的地所屬之一群組或該封包之一有效負載中所含有之資訊之一類型。
  5. 如請求項4之方法,其中當該識別符之一值匹配一預定義值時,發生該反應性觸發事件。
  6. 如請求項3之方法,其中該基於封包檢驗之方案包括:分析該封包以判定其中是含有一碼字或是不存在一碼字。
  7. 如請求項6之方法,其中當該封包內存在該碼字時,發生該反應性觸發事件。
  8. 如請求項3之方法,其中該基於封包檢驗之方案包括:根據一封包之內容選擇一時序方案,該時序方案將至少一個觸發事件定義為在每N秒時間間隔之一期滿時發生。
  9. 如請求項3之方法,其中該基於壅塞位準之方案包括:判定該電腦網路內之一壅塞位準;及比較該壅塞位準與一臨限值。
  10. 如請求項9之方法,其中當該壅塞位準等於、大於或小於該臨限值時,發生該反應性觸發事件。
  11. 如請求項3之方法,其中該基於啟發性演算法之方案包括:監視該電腦網路之訊務型樣、協定型樣及熵型樣。
  12. 如請求項11之方法,其中當該電腦網路內存在一特定訊務型樣、 一特定協定型樣及一特定熵型樣中之至少一者時,發生該反應性觸發事件。
  13. 如請求項3之方法,其中該基於NBA分析之方案包括:判定一NBA之一層級、一NBA之一類型及對該電腦網路進行之NBA攻擊之一數目中之至少一者。
  14. 如請求項13之方法,其中當該NBA係為一特定層級或類型時,發生該反應性觸發事件。
  15. 如請求項13之方法,其中當NBA攻擊之該數目等於或大於一預定義值時,發生該反應性觸發事件。
TW102115548A 2012-05-01 2013-04-30 自發地配置一電腦網路之系統及方法 TWI506999B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US13/461,112 US8898782B2 (en) 2012-05-01 2012-05-01 Systems and methods for spontaneously configuring a computer network

Publications (2)

Publication Number Publication Date
TW201408022A TW201408022A (zh) 2014-02-16
TWI506999B true TWI506999B (zh) 2015-11-01

Family

ID=48289679

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102115548A TWI506999B (zh) 2012-05-01 2013-04-30 自發地配置一電腦網路之系統及方法

Country Status (3)

Country Link
US (1) US8898782B2 (zh)
TW (1) TWI506999B (zh)
WO (1) WO2013165766A1 (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10356106B2 (en) 2011-07-26 2019-07-16 Palo Alto Networks (Israel Analytics) Ltd. Detecting anomaly action within a computer network
US9979739B2 (en) 2013-01-16 2018-05-22 Palo Alto Networks (Israel Analytics) Ltd. Automated forensics of computer systems using behavioral intelligence
JP2015198295A (ja) * 2014-03-31 2015-11-09 富士通株式会社 情報処理システム、その制御方法、及び制御装置
US10365641B2 (en) * 2017-06-19 2019-07-30 Fisher-Rosemount Systems, Inc. Synchronization of configuration changes in a process plant
US10999304B2 (en) 2018-04-11 2021-05-04 Palo Alto Networks (Israel Analytics) Ltd. Bind shell attack detection
CN108924122B (zh) * 2018-06-28 2021-01-08 无锡宏创盛安科技有限公司 一种网络敌我识别方法及系统
US11070569B2 (en) 2019-01-30 2021-07-20 Palo Alto Networks (Israel Analytics) Ltd. Detecting outlier pairs of scanned ports
US11316872B2 (en) 2019-01-30 2022-04-26 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using port profiles
US11184376B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Port scan detection using destination profiles
US11184377B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using source profiles
US11184378B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Scanner probe detection
US11509680B2 (en) 2020-09-30 2022-11-22 Palo Alto Networks (Israel Analytics) Ltd. Classification of cyber-alerts into security incidents
US12039017B2 (en) 2021-10-20 2024-07-16 Palo Alto Networks (Israel Analytics) Ltd. User entity normalization and association
US11799880B2 (en) 2022-01-10 2023-10-24 Palo Alto Networks (Israel Analytics) Ltd. Network adaptive alert prioritization system
WO2023136809A1 (en) * 2022-01-11 2023-07-20 Hewlett-Packard Development Company, L.P. Modifying rule systems

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050038708A1 (en) * 2003-08-10 2005-02-17 Gmorpher Incorporated Consuming Web Services on Demand
US20070058540A1 (en) * 2005-08-19 2007-03-15 Rony Kay Apparatus and method for facilitating network security
US20080159128A1 (en) * 2006-12-28 2008-07-03 Cisco Technology, Inc. Method and System for Providing Congestion Management within a Virtual Talk Group
US20100322391A1 (en) * 2009-06-17 2010-12-23 Avaya Inc. Personal identification and interactive device for internet-based text and video communication services

Family Cites Families (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5734649A (en) 1996-05-31 1998-03-31 Bbn Corporation Data packet router
US6052064A (en) 1997-10-30 2000-04-18 Motorola, Inc. Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones
US6646989B1 (en) 1998-06-29 2003-11-11 Lucent Technologies Inc. Hop-by-hop routing with node-dependent topology information
CA2349520C (en) 1998-10-30 2011-05-17 Science Applications International Corporation An agile network protocol for secure communications with assured system availability
US7188180B2 (en) 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7240368B1 (en) 1999-04-14 2007-07-03 Verizon Corporate Services Group Inc. Intrusion and misuse deterrence system employing a virtual network
US6981146B1 (en) 1999-05-17 2005-12-27 Invicta Networks, Inc. Method of communications and communication network intrusion protection methods and intrusion attempt detection system
US6934763B2 (en) 2000-04-04 2005-08-23 Fujitsu Limited Communication data relay system and method of controlling connectability between domains
EP1284092A2 (en) 2000-05-23 2003-02-19 Invicta Networks, Inc. Systems and methods for communication protection
US7757272B1 (en) 2000-06-14 2010-07-13 Verizon Corporate Services Group, Inc. Method and apparatus for dynamic mapping
US7043633B1 (en) 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
US8037530B1 (en) * 2000-08-28 2011-10-11 Verizon Corporate Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor
US8677505B2 (en) 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
US7739497B1 (en) 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
FI110464B (fi) 2001-04-26 2003-01-31 Nokia Corp IP-tietoturva ja liikkuvat verkkoyhteydet
US7085267B2 (en) 2001-04-27 2006-08-01 International Business Machines Corporation Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet
US6917974B1 (en) 2002-01-03 2005-07-12 The United States Of America As Represented By The Secretary Of The Air Force Method and apparatus for preventing network traffic analysis
US7114005B2 (en) 2002-02-05 2006-09-26 Cisco Technology, Inc. Address hopping of packet-based communications
US7712130B2 (en) 2002-03-22 2010-05-04 Masking Networks, Inc. Multiconfigurable device masking shunt and method of use
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7216359B2 (en) 2002-12-19 2007-05-08 International Business Machines Corporation Secure communication overlay using IP address hopping
US20040255167A1 (en) 2003-04-28 2004-12-16 Knight James Michael Method and system for remote network security management
US7469279B1 (en) 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
WO2005029782A1 (ja) 2003-09-22 2005-03-31 Sharp Kabushiki Kaisha 集線装置、中継制御方法、中継制御プログラム、中継制御プログラムを記録した記録媒体、情報処理装置、dhcpサーバ、dhcp処理方法、dhcp処理プログラム、dhcp処理プログラムを記録した記録媒体、および情報処理システム
US7382778B2 (en) 2004-01-05 2008-06-03 Tropos Networks, Inc. Link layer emulation
US7787476B2 (en) 2004-03-03 2010-08-31 Mitsubishi Electric Corporation Layer 2 switch network system
WO2005103960A1 (en) 2004-04-20 2005-11-03 The Boeing Company Apparatus and method for redirecting unresolvable addresses using a local care-of ip address
ATE480948T1 (de) 2004-09-30 2010-09-15 France Telecom Verfahren und system zum routen in kommunikationsnetzen zwischen einem ersten knoten und einem zweiten knoten
US9383750B2 (en) 2004-12-02 2016-07-05 Lockheed Martin Corporation System for predictively managing communication attributes of unmanned vehicles
WO2006075323A2 (en) 2005-01-13 2006-07-20 Flash Networks Ltd Method and system for optimizing dns queries.
US7996894B1 (en) 2005-02-15 2011-08-09 Sonicwall, Inc. MAC address modification of otherwise locally bridged client devices to provide security
JP4626811B2 (ja) 2005-09-29 2011-02-09 日本電気株式会社 ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
US8199677B1 (en) 2005-12-14 2012-06-12 Rockwell Collins, Inc. Distance vector routing via multi-point relays
US7890612B2 (en) 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
JP4732257B2 (ja) 2006-07-07 2011-07-27 富士通株式会社 中継装置、経路制御方法、及び経路制御プログラム
US8136162B2 (en) 2006-08-31 2012-03-13 Broadcom Corporation Intelligent network interface controller
JP2008177714A (ja) 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
US7853998B2 (en) 2007-03-22 2010-12-14 Mocana Corporation Firewall propagation
US7853680B2 (en) 2007-03-23 2010-12-14 Phatak Dhananjay S Spread identity communications architecture
US8464334B1 (en) 2007-04-18 2013-06-11 Tara Chand Singhal Systems and methods for computer network defense II
US8301789B2 (en) 2007-06-18 2012-10-30 Emc Corporation Techniques for port hopping
US7836354B2 (en) 2007-07-02 2010-11-16 Verizon Patent And Licensing Inc. Method and system for providing automatic disabling of network debugging
US20090059788A1 (en) 2007-08-29 2009-03-05 Motorola, Inc. Method and Apparatus for Dynamic Adaptation of Network Transport
US7895348B2 (en) 2007-10-17 2011-02-22 Dispersive Networks Inc. Virtual dispersive routing
US8560634B2 (en) 2007-10-17 2013-10-15 Dispersive Networks, Inc. Apparatus, systems and methods utilizing dispersive networking
US8539098B2 (en) 2007-10-17 2013-09-17 Dispersive Networks, Inc. Multiplexed client server (MCS) communications and systems
US20090165116A1 (en) 2007-12-20 2009-06-25 Morris Robert P Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity
CN101521569B (zh) 2008-02-28 2013-04-24 华为技术有限公司 实现服务访问的方法、设备及系统
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US9042549B2 (en) 2009-03-30 2015-05-26 Qualcomm Incorporated Apparatus and method for address privacy protection in receiver oriented channels
US8139504B2 (en) 2009-04-07 2012-03-20 Raytheon Bbn Technologies Corp. System, device, and method for unifying differently-routed networks using virtual topology representations
US20100333188A1 (en) 2009-06-29 2010-12-30 Politowicz Timothy J Method for protecting networks against hostile attack
US8793792B2 (en) 2010-05-07 2014-07-29 Raytheon Company Time-key hopping
US9225656B2 (en) 2011-02-07 2015-12-29 Brocade Communications Systems, Inc. Quality of service in a heterogeneous network
US9202078B2 (en) 2011-05-27 2015-12-01 International Business Machines Corporation Data perturbation and anonymization using one way hash
US8495738B2 (en) 2011-10-21 2013-07-23 Lockheed Martin Corporation Stealth network node

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050038708A1 (en) * 2003-08-10 2005-02-17 Gmorpher Incorporated Consuming Web Services on Demand
US20070058540A1 (en) * 2005-08-19 2007-03-15 Rony Kay Apparatus and method for facilitating network security
US20080159128A1 (en) * 2006-12-28 2008-07-03 Cisco Technology, Inc. Method and System for Providing Congestion Management within a Virtual Talk Group
US20100322391A1 (en) * 2009-06-17 2010-12-23 Avaya Inc. Personal identification and interactive device for internet-based text and video communication services

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
John Michalski et al.,"Final Report for the Network Security Mechanisms Utilizing Network Address," Translation LDRD project, Sandia National Laboratories, Nov., 2002. *

Also Published As

Publication number Publication date
WO2013165766A1 (en) 2013-11-07
US8898782B2 (en) 2014-11-25
US20130298237A1 (en) 2013-11-07
TW201408022A (zh) 2014-02-16

Similar Documents

Publication Publication Date Title
TWI506999B (zh) 自發地配置一電腦網路之系統及方法
TWI582636B (zh) 用於電腦網路之企業任務管理之系統及方法
TWI489314B (zh) 用於使用影子網路技術以識別、阻斷及/或延遲對一網路之攻擊的系統及方法
TWI496446B (zh) 一動態電腦網路中用於通信之雜訊、加密及誘餌
TWI514184B (zh) 用於動態地改變網路狀態之系統及方法
US20130298221A1 (en) Firewalls for filtering communications in a dynamic computer network
TWI464618B (zh) 於動態電腦網路中用於交流資料之路由器
TWI516072B (zh) 於原有硬體中實施活動目標技術之系統及方法
TWI510956B (zh) 交換器及用於在將複數個裝置連接至動態電腦網路之交換器中使用之方法
US9338183B2 (en) Session hopping
US9264496B2 (en) Session hopping

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees