TWI514184B - 用於動態地改變網路狀態之系統及方法 - Google Patents

用於動態地改變網路狀態之系統及方法 Download PDF

Info

Publication number
TWI514184B
TWI514184B TW102115547A TW102115547A TWI514184B TW I514184 B TWI514184 B TW I514184B TW 102115547 A TW102115547 A TW 102115547A TW 102115547 A TW102115547 A TW 102115547A TW I514184 B TWI514184 B TW I514184B
Authority
TW
Taiwan
Prior art keywords
network
computer network
mission plan
identification code
subnet
Prior art date
Application number
TW102115547A
Other languages
English (en)
Other versions
TW201351190A (zh
Inventor
Wayne B Smith
Original Assignee
Harris Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harris Corp filed Critical Harris Corp
Publication of TW201351190A publication Critical patent/TW201351190A/zh
Application granted granted Critical
Publication of TWI514184B publication Critical patent/TWI514184B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • H04L41/0886Fully automatic configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Description

用於動態地改變網路狀態之系統及方法
發明性佈置係關於電腦網路安全性,且更特定而言係關於用於一電腦網路之兩個或兩個以上邏輯子區之間的通信之系統,其中該網路可動態地操縱以抵禦惡意攻擊。
當前網路基礎結構之主要弱點係其靜態本性。資產接收永久或不常改變之識別,此允許對手幾乎不限時間地探測網路、映射及惡意探索漏洞。另外,可擷取在此等固定實體之間行進之資料及給該資料賦予屬性。網路安全性之當前方法圍繞固定資產應用諸如防火牆及入侵偵測系統等技術,且使用加密來保護途中之資料。然而,此傳統方法根本上存在缺陷,此乃因其給攻擊者提供一固定目標。在今天之全球連接之通信基礎結構中,靜態網路係易受攻擊網路。
國防先進研究計劃局(「DARPA」)資訊保證(「IA」)項目已執行動態網路防禦領域中之初始研究。在IA項目下開發用以出於使觀察網路之任何潛在對手混淆之目的而動態地重新指派饋入至一預先指定之網路飛地(enclave)中之網際網路協定(「IP」)位址空間之一技術。此技術稱作動態網路位址變換(「DYNAT」)。在於2001年公佈之標題為「Dynamic Approaches to Thwart Adversary Intelligence」之DARPA之一論文中提出DYNAT技術之一概述。
本發明之實施例係關於供在一電腦網路中使用之系統及方法。 該等方法涉及由該電腦網路之一第一子網路根據一第一任務計劃執行操作。該第一任務計劃規定用於偽隨機地修改與該電腦網路之至少一個第一計算裝置相關聯之至少一個第一識別碼參數以規定假資訊之一第一程序。亦由該電腦網路之一第二子網路根據一第二任務計劃執行操作。該第二任務計劃規定用於偽隨機地修改與該電腦網路之至少一個第二計算裝置相關聯之至少一個第二識別碼參數以規定假資訊之一第二程序。該第二任務計劃不同於該第一任務計劃。基於該第一任務計劃及/或該第二任務計劃選擇性地判定該等第一及/或第二子網路之一功能拓撲。該功能拓撲規定待將該等第一及第二子網路之節點在通信上彼此隔離以便形成兩個全異且單獨網路之一表觀之方式。
在該等第一及第二子網路之操作期間,偵測用於觸發該電腦網路之一狀態之一改變之一第一事件。該第一事件可包含但不限於命令該狀態之一改變之一使用者-軟體互動或一預定義時間週期之一期滿。回應於該偵測到該第一事件,修改該電腦網路之該狀態。在此方面中,改變該電腦網路之一子網路架構及/或由該電腦網路實施之一任務計劃。值得注意的是,在不對該電腦網路進行實體修改之情況下改變該子網路架構。
100‧‧‧電腦網路/網路
101‧‧‧用戶端電腦/計算裝置/節點
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦/計算裝置/節點
104‧‧‧網路管理電腦/節點
105‧‧‧模組/節點
106‧‧‧模組
107‧‧‧模組/節點
108‧‧‧網路層2交換器/層2交換器/網路節點/集線器/計算裝置/模組/節點
109‧‧‧網路層2交換器/層2交換器/網路節點/節點
110‧‧‧層3交換器/網路節點/節點
111‧‧‧伺服器/節點
112‧‧‧伺服器/計算裝置/節點
113‧‧‧模組/節點
114‧‧‧模組/節點
115‧‧‧橋接器/節點
120‧‧‧識別碼參數集合
122‧‧‧新/經修改識別碼參數集合/識別碼參數集合
124‧‧‧第二網路
130‧‧‧第一邏輯網路/邏輯網路
132‧‧‧第二邏輯網路/邏輯網路
201‧‧‧資料埠
202‧‧‧資料埠
204‧‧‧網路介面裝置
205‧‧‧網路介面裝置
206‧‧‧輸出緩衝器
208‧‧‧輸入緩衝器
210‧‧‧輸入緩衝器
212‧‧‧輸出緩衝器
215‧‧‧處理器
218‧‧‧記憶體
220‧‧‧任務計劃
300‧‧‧工作場所
302‧‧‧網路組件
304‧‧‧游標
306‧‧‧資料連接
400‧‧‧對話方塊
401‧‧‧核取方塊
402‧‧‧標籤
404‧‧‧標籤
406‧‧‧標籤
408‧‧‧使用者介面控制件/核取方塊
410‧‧‧源位址方塊
412‧‧‧目的地位址方塊
414‧‧‧方塊
415‧‧‧方塊
416‧‧‧方塊
418‧‧‧核取方塊
420‧‧‧使用者介面控制件/滑桿
422‧‧‧清單方塊
424‧‧‧清單方塊
428‧‧‧核取方塊
430‧‧‧核取方塊
432‧‧‧下拉式選單
500‧‧‧對話方塊
502‧‧‧控制件
503‧‧‧表格
5041 ‧‧‧時槽
5042 ‧‧‧時槽
5043 ‧‧‧時槽
5044 ‧‧‧時槽
506‧‧‧時間紀元/時序紀元
508‧‧‧游標
510‧‧‧按鈕
602‧‧‧網路控制軟體應用程式
604‧‧‧任務計劃
606‧‧‧通信媒體
700‧‧‧對話方塊
702‧‧‧任務計劃
704‧‧‧「發送任務計劃」按鈕
1000‧‧‧模組
1002‧‧‧顯示器單元
1008‧‧‧指令
1010‧‧‧電腦可讀儲存媒體
1012‧‧‧處理器
1016‧‧‧網路介面裝置
1017‧‧‧網路介面裝置
1018‧‧‧靜態記憶體
1020‧‧‧主記憶體
1022‧‧‧匯流排
1100‧‧‧協定堆疊
1102‧‧‧層/實體層
1104‧‧‧層/資料連結層
1106‧‧‧層/網路層
1108‧‧‧層/輸送層
1110‧‧‧層/應用程式層
1112‧‧‧媒體存取控制層
1114‧‧‧層/邏輯連結控制層
1200‧‧‧習用封包/封包/資料封包/協定堆疊/習用協定堆疊
1202‧‧‧前置碼/部分
1204‧‧‧實體層協定標頭/部分/標頭/封包分量
1206‧‧‧媒體存取控制層協定標頭/部分
1208‧‧‧邏輯連結控制層協定標頭/部分
1210‧‧‧網路層協定標頭/部分/標頭
1212‧‧‧輸送層協定標頭/部分/標頭
1214‧‧‧應用程式層標頭/部分/應用程式層部分/標頭/封包分量
1216‧‧‧應用程式資料/部分/應用程式層部分
1218‧‧‧框架檢查序列/部分
1220‧‧‧源及目的地埠編號/埠編號/靜態埠編號
1222‧‧‧傳輸控制協定序號/靜態傳輸控制協定序號
1224‧‧‧源及目的地網際網路協定位址/網際網路協定位址/靜態網際網路協定位址
1226‧‧‧媒體存取控制位址/靜態媒體存取控制位址
1228‧‧‧網路首碼
1230‧‧‧主機編號
1232‧‧‧子網路編號
1300‧‧‧活動目標技術協定堆疊
1302‧‧‧層
1304‧‧‧層/活動目標技術資料連結層
1306‧‧‧活動目標技術網路層
1308‧‧‧層/活動目標技術輸送層
1310‧‧‧層
1312‧‧‧活動目標技術媒體存取控制層
1314‧‧‧層/邏輯連結控制層
1400‧‧‧活動目標技術封包/協定堆疊/封包/活動目標技術啟用封包
1402‧‧‧前置碼/部分/封包分量
1404‧‧‧實體層協定標頭/部分/標頭
1406‧‧‧活動目標技術媒體存取控制層協定標頭/部分
1408‧‧‧邏輯連結控制層協定標頭/部分
1410‧‧‧活動目標技術網路層協定標頭/部分
1412‧‧‧活動目標技術輸送層協定標頭/部分/標頭
1414‧‧‧應用程式層標頭/部分/應用程式層部分/封包分量
1416‧‧‧應用程式資料/部分/應用程式層部分
1418‧‧‧框架檢查序列/部分
1420‧‧‧編號/活動目標技術源及目的地埠編號/活動目標技術埠編號
1422‧‧‧編號/活動目標技術傳輸控制協定序號
1424‧‧‧活動目標技術網際網路協定位址/源及目的地活動目標技術網際網路協定位址
1426‧‧‧活動目標技術媒體存取控制位址
1428‧‧‧活動目標技術首碼/分量
1430‧‧‧活動目標技術主機編號/分量
1502‧‧‧活動目標技術啟用網路節點
1504‧‧‧識別碼參數轉譯
1506‧‧‧靜態啟用網路節點
1802‧‧‧顯示器單元
1804‧‧‧使用者輸入裝置
1806‧‧‧磁碟機單元
1808‧‧‧指令
1810‧‧‧電腦可讀儲存媒體
1812‧‧‧處理器
1814‧‧‧游標控制裝置
1816‧‧‧網路介面裝置
1818‧‧‧靜態記憶體
1820‧‧‧主記憶體
1822‧‧‧匯流排
1900‧‧‧系統/網路
1904‧‧‧節點/網路節點
1906‧‧‧網路節點
1907‧‧‧節點
1908‧‧‧節點
1910‧‧‧網路節點
1911‧‧‧節點
1912‧‧‧節點/網路節點
1914‧‧‧節點/網路節點
1916‧‧‧網路節點
1917‧‧‧節點
1918‧‧‧網路節點
1919‧‧‧節點
1920‧‧‧網路節點
1922‧‧‧節點/網路節點
1930‧‧‧第一子網路/子網路
1940‧‧‧第二子網路/子網路
1950‧‧‧節點/閘道器/網路橋接器/網路節點
2002‧‧‧第一子網路/子網路
2004‧‧‧第二子網路/子網路
2102‧‧‧子網路
2104‧‧‧子網路
將參考以下繪圖闡述實施例,其中遍及該等圖,相同編號表示相同物項,且其中:圖1係用於理解本發明之一電腦網路之一實例。
圖2係在本發明中可用於執行識別碼參數之某些操控之一模組之一實例。
圖3係用於理解可用以幫助表徵圖1中之網路之一工具之一圖 式。
圖4係可用以選擇圖1中之模組之動態設定之一圖形使用者介面(「GUI」)之一對話方塊之一實例。
圖5係可用以選擇與圖1中之每一模組相關聯之作用狀態及繞過狀態之一序列之一GUI之一對話方塊之一實例。
圖6係用於理解可將一任務計劃傳達至圖1中之網路中之複數個模組之方式之一圖式。
圖7係可用以選擇一任務計劃且將該任務計劃傳達至如圖6中所展示之模組之一GUI之一對話方塊之一實例。
圖8係用於理解圖1中之一模組之操作之一流程圖。
圖9係用於關於創建及載入任務計劃理解一網路控制軟體應用程式(「NCSA」)之操作之一流程圖。
圖10係可用以實施圖1中之模組之一電腦架構之一方塊圖。
圖11係一習用協定堆疊之一示意性圖解說明。
圖12係一習用封包之一示意性圖解說明。
圖13係一活動目標技術(「MTT」)協定堆疊之一示意性圖解說明。
圖14係一MTT封包之一示意性圖解說明。
圖15係用於理解經配置以轉譯識別碼參數之一模組之操作之一示意性圖解說明。
圖16至圖17各自提供用於改變一封包之至少一個識別碼參數之一例示性程序之一流程圖。
圖18係可用以實施圖1中所展示之一網路管理電腦(「NAC」)之一電腦架構之一方塊圖。
圖19至圖21各自提供一例示性網路之一示意性圖解說明,其中可在其操作期間動態地改變一網路狀態。
圖22係用於管理一網路狀態之一例示性方法之一流程圖。
參考附圖闡述本發明。該等圖未按比例繪製且其經提供以僅圖解說明本發明。為了圖解說明,下文參考實例性應用闡述本發明之數個態樣。應理解,列舉眾多特定細節、關係及方法以提供對本發明之一完全理解。然而,熟習相關技術者將容易地認識到,可在不具有特定細節中之一或多者之情況下或藉助其他方法實踐本發明。在其他例項中,未詳細展示眾所周知之結構或操作以避免使本發明模糊。本發明不受行動或事件之所圖解說明之次序限制,此乃因某些行動可以不同於其他行動或事件之次序發生及/或與其他行動或事件同時發生。此外,並非所有所圖解說明之行動或事件皆需要來實施根據本發明之一方法。
亦應瞭解,本文中所使用之術語僅用於闡述特定實施例之目的而並非意欲限制本發明。如本文中所使用,單數形式「一(a)」、「一(an)」及「該(the)」亦意欲包含複數形式,除非上下文另外清楚地指示。此外,就在詳細說明及/或申請專利範圍中使用術語「包含(including)」、「包含(include)」、「具有(having)」、「具有(has)」、「具有(with)」或其變化形式而言,此等術語意欲以類似於術語「包括(comprising)」之一方式係包含性的。
此外,除非另外定義,否則本文中所使用之所有術語(包含技術及科學術語)皆具有與熟習本發明所屬之技術領域者通常所理解相同之含義。應進一步理解,應將術語(諸如常用字典中所定義之彼等術語)解釋為具有與其在相關技術之上下文中之含義一致之一含義,而不應以一理想化或過分形式化意義來解釋,除非本文中明確定義如此。
識別碼敏捷電腦網路
現在參考圖1,其展示包含複數個計算裝置之一例示性電腦網路100 之一圖式。該等計算裝置可包含用戶端電腦101至103 ,NAC104 ,伺服器111112 ,網路層2交換器108109 ,層3交換器110 及一橋接器115 。用戶端電腦101至103 可係可能需要網路服務之任何類型之計算裝置,諸如一習用平板電腦、筆記型電腦、膝上型電腦或桌上型電腦。層3交換器110 可係使資料封包在電腦網路之間路由之一習用路由裝置。層2交換器108109 係如此項技術中眾所周知之習用集線器裝置(例如,一乙太網路集線器)。伺服器111112 可提供由用戶端電腦101至103 利用之各種計算服務。舉例而言,伺服器111112 可係提供用於由用戶端電腦101至103 使用之電腦檔案之共用儲存區之一位置之檔案伺服器。
用於電腦網路100 之通信媒體可係有線的、無線的或兩者,但應在本文中為了簡化及避免使本發明模糊而闡述為一有線網路。該網路將使用一通信協定傳達資料。如此項技術中眾所周知,通信協定定義用於遍及網路傳達資料之格式及規則。圖1中之電腦網路100 可使用任何通信協定或現在已知或未來將知曉之協定組合。舉例而言,電腦網路100 可針對此類通信使用眾所周知之乙太網路協定套組。另一選擇係,電腦網路100 可利用其他協定,諸如一網際網路協定套組(通常稱為TCP/IP套組)之協定、基於同步光學網路/同步數位階層(「SONET/SDH」)之協定或非同步傳送模式(「ATM」)通信協定。在某些實施例中,此等通信協定中之一或多者可以組合方式使用。雖然圖1中展示一個網路拓撲,但本發明不限於此方面。而是,可使用任何類型之適合網路拓撲,諸如一匯流排網路、一星形網路、一環形網路或一網狀網路。
本發明大體而言係關於一種用於在一電腦網路中(例如,在電腦網路100 中)傳達資料之方法,其中將資料自一第一計算裝置傳達至一 第二計算裝置。該網路內之計算裝置係用多個識別碼參數表示。如本文中所使用,片語「識別碼參數」可包含諸如一IP位址、一媒體存取控制(「MAC」)位址、一埠編號等等物項。然而,本發明不限於此方面,且識別碼參數亦可包含用於表徵一網路節點之多種其他資訊。下文進一步詳細地論述本文中所設想之各種類型之識別碼參數。
發明性佈置涉及使用MTT來操控電腦網路100 內之一或多個計算裝置之此等識別碼參數中之一或多者。此技術掩飾此等計算裝置之通信方式及網路位址。如本文中所闡述之識別碼參數之操控通常連同電腦網路100 中之資料通信一起執行,亦即,在待將資料自網路中之一第一電腦(例如,用戶端電腦101 )傳達至網路中之一第二電腦(例如,用戶端電腦102 )時執行。因此,所操控之識別碼參數可包含一源計算裝置(亦即,資料起源於其之裝置)及目的地計算裝置(亦即,資料正被發送至其之裝置)之彼等識別碼參數。所傳達之識別碼參數之集合在本文中稱為一識別碼參數(「IDP」)集合。此概念圖解說明於圖1中,其展示一IDP集合120 作為一資料封包(未展示)之部分由用戶端電腦101 傳輸。
根據發明性佈置之程序涉及在電腦網路100 內之一第一位置處選擇性地修改一資料封包或資料包中所含有之規定一源計算裝置及/或一目的地計算裝置之一或多個識別碼參數之值。根據一任務計劃修改識別碼參數。其中執行此修改之位置將通常與電腦網路100 之一個模組105至107113114 之位置重合。再次參考圖1,可觀察到,模組105至107113114 在構成電腦網路100 中之節點之各種計算裝置之間插入於此網路中。在此等位置中,模組105至107113114 攔截資料封包通信、執行識別碼參數之必要操控且沿一傳輸路徑重新傳輸資料封包。在替代實施例中,模組105至107113114 可執行一類似功能,但可直接整合至計算裝置中之一或多者中。舉例而言,該等模組 可整合至用戶端電腦101102103 ,伺服器111112 ,層2交換器108109 及/或層3交換器110 中。在此情景中,該等模組可包括添加至計算之硬體及/或安裝於計算裝置101至103108至112 上之軟體。在某些軟體實施例中,將該等模組實施為修改識別碼參數之核心模式軟體(例如,裝置驅動程式)。
另外,電腦網路100 可劃分成透過層3交換器110 連接之若干個邏輯子區(有時稱為子網路(子網路或subnet))。一企業網路可出於多種管理或技術原因而劃分成若干個子網路,該等原因包含但不限於隱藏網路之拓撲以使其對外部主機不可見、利用不同網路協定連接網路、在子網路層級上單獨管理網路定址方案、由於經約束資料連接而啟用跨越子網路之資料訊務之管理及諸如此類。子網路分割係此項技術中眾所周知的且將不做進一步詳細闡述。
再次參考圖1,電腦網路100 劃分成兩個邏輯網路,即一第一邏輯網路130 及一第二邏輯網路132 。如本文中所使用,片語「邏輯網路」係指一電腦網路之任何邏輯子區。在一實施例中,邏輯網路130132 透過層3交換器110 連接。層3交換器110 負責引導邏輯網路之間(亦即,自用戶端電腦101 至用戶端電腦103 )的訊務。層3交換器110 亦負責引導自連接至電腦網路100 之任何主機去往一第二網路124 之訊務。在圖1中所展示之實施例中,自電腦網路100 路由至第二網路124 之訊務通過橋接器115 。如同上文之模組,橋接器115 之功能性可整合於層3交換器110 內。
圖2中展示一模組105 之一功能性方塊圖之一實例。圖1之模組106107113114 可具有與圖2中所展示之彼功能性方塊圖類似之一功能性方塊圖,但應理解,本發明不限於此方面。如圖2中所展示,模組105 具有至少兩個資料埠201202 ,其中之每一者可對應於一各別網路介面裝置204205 。在資料埠201 處接收之資料係在網路 介面裝置204 處處理且暫時儲存於一輸入緩衝器210 處。處理器215 存取輸入緩衝器210 中所含有之輸入資料封包且執行如本文中所闡述之識別碼參數之任何必要操控。經修改資料封包係傳遞至輸出緩衝器212 且隨後使用網路介面裝置205 自資料埠202 傳輸。類似地,在資料埠202 處接收之資料係在網路介面裝置205 處處理且暫時儲存於一輸入緩衝器208 處。處理器215 存取輸入緩衝器208 中所含有之輸入資料封包且執行如本文中所闡述之識別碼參數之任何必要操控。經修改資料封包係傳遞至一輸出緩衝器206 且隨後使用網路介面裝置204 自資料埠201 傳輸。在模組105 中,處理器215 根據儲存於一記憶體218 中之一任務計劃220 執行識別碼參數之操控。
應自圖2理解,模組105 較佳地經配置以使其雙向地操作。在此等實施例中,取決於一特定資料封包之一源,模組105 可實施不同修改功能。可根據一特定資料封包之一源計算裝置在任務計劃中規定模組105 中之動態修改功能。模組105 可藉由任何適合方式判定資料封包之一源。舉例而言,可出於此目的使用一資料封包之一源位址。
在操作期間,處理器215 將判定將代替真識別碼參數值使用之一或多個假識別碼參數值。處理器215 將使一或多個真識別碼參數值變換為由一偽隨機函數較佳地規定之一或多個假識別碼參數值。在此變換之後,模組105 將沿一傳輸路徑將經修改封包或資料包轉發至電腦網路100 之下一節點。在通信路徑中之後續點處,正監視此等網路通信之一對手將觀察關於在電腦網路100 上通信之計算裝置之識別碼之假或不正確資訊。
在一較佳實施例中,根據至少一個前瞻性觸發事件或至少一個反應性觸發事件之發生使由偽隨機函數規定之假識別碼參數變化。一前瞻性/反應性觸發事件致使處理器215 使用偽隨機函數來產生一新的假識別碼參數值集合,真識別碼參數被變換成該等假識別碼參數值。 因此,前瞻性/反應性觸發事件充當本文中所闡述之假識別碼參數之動態變化之一基礎。下文更詳細地論述前瞻性及反應性觸發事件。然而,應注意,用於選擇一新的假識別碼參數值集合之前瞻性/反應性觸發事件可基於至少一個預定義規則。該規則包括定義至少一個前瞻性或反應性觸發事件之一語句。在此方面中,使用者規則可實施一前瞻性觸發方案或一反應性觸發方案。一前瞻性觸發方案包括一基於時間之方案。一反應性觸發方案包括一基於使用者啟動之方案、一基於封包檢驗之方案、基於擁塞位準之方案、一基於啟發性演算法之方案及/或一基於基於網路之攻擊(「NBA」)之分析之方案。下文將詳細地闡述所列示方案中之每一者。
上文所闡述之識別碼參數之變換提供出於阻撓一網路攻擊之目的而操縱一電腦網路100 之一種方式。在一較佳實施例中,由處理器215 實施之任務計劃220 亦將控制電腦網路100 可操縱之方式之某些其他態樣。舉例而言,任務計劃220 可規定操控識別碼參數之一動態選擇。該動態選擇可包含選擇哪些識別碼參數進行修改及/或選擇此等識別碼參數之一數目之一選擇。此可變選擇程序提供可用以進一步阻撓一對手滲入或瞭解一電腦網路100 之努力之不確定性或變化之一添加之維度。作為此技術之一實例,考量在一第一時間週期期間,模組105 可修改每一資料封包之一目的地IP位址及一目的地MAC位址。在一第二時間週期期間,模組105 可操控每一資料封包中之源IP位址及一源主機名稱。在一第三時間週期期間,模組105 可操控一源埠編號及一源使用者名稱。識別碼參數之選擇之改變可同步地發生(亦即,同時改變所有選定識別碼參數)。另一選擇係,識別碼參數之選擇之改變可不同步地發生(亦即,選定識別碼參數之群組隨添加或自選定識別碼參數之群組移除個別識別碼參數而遞增地改變)。
一偽隨機函數較佳地用於判定將操控或變換成假值之識別碼值 之選擇。換言之,模組105 將僅變換藉由偽隨機函數選擇之識別碼參數。在一較佳實施例中,根據一前瞻性/反應性觸發事件之發生使由偽隨機函數規定之識別碼參數之選擇變化。前瞻性/反應性觸發事件致使處理器215 使用一偽隨機函數來產生將變換成假識別碼參數之識別碼參數之一新選擇。因此,前瞻性/反應性觸發事件充當本文中所闡述之識別碼參數之選擇之動態變化之一基礎。值得注意的是,亦可根據一偽隨機演算法使識別碼參數之值變化。
模組105 有利地亦能夠提供出於阻撓一網路攻擊之目的而操縱電腦網路之一第三方法。具體而言,載入於模組105 中之任務計劃220 可使其中發生識別碼參數之修改或變換的網路內之位置動態地變化。考量自用戶端電腦101 發送至用戶端電腦102 之一IDP集合120 中之識別碼參數之修改可發生於模組105 中。此條件展示於圖1中,其中在模組105 中操控IDP集合120 中所含有之識別碼參數以使得IDP集合120 被變換為一新或經修改IDP集合122 。與IDP集合120 中之識別碼參數相比,IDP集合122 中之識別碼參數中之至少某些識別碼參數係不同的。 但其中發生此變換之位置較佳地亦由任務計劃控制。因此,IDP集合120 之操控可(舉例而言)有時發生在圖1之模組113114 處而非在模組105 處。用以使其中發生識別碼參數之操控之位置選擇性地變化之此能力給電腦網路100 之操縱能力添加又一重要維度。
藉由選擇性地控制圖1之每一模組105至107113114 之一操作狀態促進其中修改識別碼參數之位置之動態變化。為此,圖1之每一模組105至107113114 之操作狀態較佳地包含:(1)一作用狀態,其中根據一當前任務計劃處理資料;及(2)一繞過狀態,其中封包可流動通過模組,就如模組不存在一樣。藉由選擇性地致使電腦網路100 之某些模組處於一作用狀態中且致使電腦網路100 之某些模組處於一待命狀態中而控制其中執行動態修改之位置。可藉由以一協調方式 使圖1之模組105至107113114 之當前狀態動態地變化而動態地改變該位置。
任務計劃220 可包含用於判定其中將操控識別碼參數的電腦網路100 內之位置之一預定義序列。其中將操控識別碼參數之位置將在由一前瞻性/反應性觸發事件指示之時間根據該預定義序列改變。舉例而言,前瞻性/反應性觸發事件可致使至用於如本文中所闡述之識別碼參數之操控或變換之一新位置之一轉變。因此,前瞻性/反應性觸發事件充當其中修改識別碼參數之位置之一改變之發生之一基礎,且預定義序列判定該新位置將在何處。
自前述內容,應瞭解,在圖1之一模組105至107113114 處修改一資料封包以包含假識別碼參數。在電腦網路100 內之某一點處,使識別碼參數恢復其真值以使得識別碼參數可用以根據特定網路協定適當地執行其預期功能係必要的。因此,發明性佈置亦包含在一第二位置(亦即,一第二模組)處根據任務計劃220 動態地修改識別碼參數之經指派值。在第二位置處之修改基本上包括在第一位置處用以修改識別碼參數之一程序之一逆程序。第二位置處之模組可因此使假值識別碼參數恢復或變換回至其真值。為了實現此動作,第二位置處之模組必須能夠判定至少:(1)將變換之識別碼參數值之一選擇;及(2)選定識別碼參數自假值至真值之一正確變換。實際上,此程序涉及用以判定識別碼參數選擇之該(等)偽隨機程序及對此等識別碼參數值實現之改變之一逆程序。逆變換步驟圖解說明於圖1中,其中在模組106 處接收IDP集合122 ,且將IDP集合122 中之識別碼參數值變換或操控回至其原始或真值。在此情景中,模組106 將識別碼參數值轉化回至IDP集合120 之彼等識別碼參數值。
值得注意的是,一模組必須使判定適當變換或操控之某一方式適用於其接收到之每一資料通信。在一較佳實施例中,藉由審查所接 收資料通信內所含有之至少一源位址識別碼參數而執行此判定。舉例而言,源位址識別碼參數可包含一源計算裝置之一IP位址。一旦已知源計算裝置之真識別碼,模組即咨詢任務計劃(或自任務計劃導出之資訊)以判定其需要採取哪些動作。舉例而言,此等動作可包含將某些真識別碼參數值轉化為假識別碼參數值。另一選擇係,此等改變可包含將假識別碼參數值轉化回至真識別碼參數值。
值得注意的是,將存在其中一所接收資料通信中所含有之源位址識別碼參數資訊已改變為一假值之例項。在彼等環境中,接收資料通信之模組將不能立即判定資料通信之源之識別碼。然而,接收通信之模組可在此等例項中仍識別源計算裝置。此在接收模組處藉由比較假源位址識別碼參數值與一查找表(「LUT」)而實現,該查找表列示在一特定時間期間正使用之所有此等假源位址識別碼參數值。LUT亦包含對應於假源位址值之真源位址識別碼參數值之一清單。LUT可由任務計劃220 直接提供或可由任務計劃220 內所含有之資訊產生。在任一情形中,可自LUT容易地判定一真源位址識別碼參數值之識別。一旦已判定真源位址識別碼參數,則接收資料通信之模組可使用此資訊來判定(基於任務計劃)需要對識別碼參數之哪些操控。
值得注意的是,任務計劃220 亦可規定其中使識別碼參數恢復為其真值之第二位置之一變化。舉例而言,假定在包括模組105 之一第一位置處動態地修改識別碼參數。任務計劃可規定如所闡述在模組106 處發生使識別碼參數恢復其真值,但另一選擇係,可規定替代地在模組113114 處發生動態修改。在某些實施例中,任務計劃根據一預定義序列動態地判定其中發生此等操控之位置。該預定義序列可判定其中將發生識別碼參數之操控之位置或模組之序列。
涉及不同位置處之動態修改之轉變較佳地根據一前瞻性/反應性觸發事件發生。因此,預定義序列判定其中將發生資料操控之位置之 型樣或序列,且前瞻性/反應性觸發事件充當用於致使自一個位置至下一位置之轉變之一基礎。下文更詳細地論述前瞻性/反應性觸發事件;然而,應注意,前瞻性/反應性觸發事件可基於至少一個預定義規則。該規則包括定義至少一個前瞻性/反應性觸發事件之一語句。在此方面中,該規則可實施前瞻性觸發方案或反應性觸發方案。一前瞻性觸發方案包括一基於時間之方案。一反應性觸發方案包括一基於使用者啟動之方案、一基於封包檢驗之方案、一基於擁塞位準之方案、一基於啟發性演算法之方案及/或一基於NBA分析之方案。下文將詳細闡述所列示方案中之每一者。可以與上文關於第一位置所闡述相同之方式實現對一第二位置(亦即,其中使識別碼參數返回至其真值)之選擇之控制。具體而言,兩個或兩個以上模組之操作狀態可在一作用狀態與一繞過狀態之間雙態切換。識別碼參數之操控將僅發生於具有一作用操作狀態之模組中。具有一繞過操作狀態之模組將僅傳遞資料封包而不做出修改。
替代方法亦可用於控制其中將發生識別碼參數之操控之位置。舉例而言,一網路管理員可在一任務計劃中定義其中可將識別碼參數自真值轉化為假值之數個可能模組。在發生一前瞻性/反應性觸發事件後,可旋即藉由使用一偽隨機函數且使用一觸發時間作為該偽隨機函數之一種子值而自數個模組當中選擇一新位置。若每一模組皆使用相同初始種子值實施同一偽隨機函數,則每一模組將計算同一偽隨機值。可基於一時脈時間(諸如一GPS時間或系統時脈時間)判定觸發時間。以此方式,每一模組可獨立地判定其當前是否為其中應發生識別碼參數之操控之一作用位置。類似地,網路管理員可在一任務計劃中定義其中動態操控使識別碼參數返回至其正確或真值之數個可能模組。將哪一模組用於此目的之選擇亦可根據如本文中所闡述之一觸發時間及一偽隨機函數判定。用於判定其中將發生識別碼參數操控之位 置或模組之其他方法亦係可能的。因此,本發明並不意欲限於本文中所闡述之特定方法。
值得注意的是,使其中操控識別碼功能之第一及/或第二位置之定位變化通常將導致第一與第二位置沿一網路通信路徑之間之一實體距離變化。第一與第二位置之間的距離在本文中稱為一距離向量。該距離向量可係第一與第二位置之間之沿一通信路徑之一實際實體距離。然而,將該距離向量視為表示存在於第一與第二位置之間之一通信路徑中之網路節點的數目係有用的。應瞭解,動態地選擇網路內之第一及第二位置之不同定位可具有改變第一與第二位置之間之節點之數目的效應。舉例而言,在圖1中,於模組105106107113114 中之選定者中實施識別碼參數之動態修改。如先前所闡述地判定實際上用以分別實施動態修改之模組。若模組105 係用於將識別碼參數轉化為假值,且模組106 係用以將其轉化回至真值,則在模組105106 之間存在三個網路節點(108110109 )。但若模組113 係用以轉化為假值,且模組114 係用以將識別碼參數轉化回至真值,則在模組113114 之間僅存在一個網路節點110 。因此,應瞭解,動態地改變其中發生動態修改之位置的定位可使距離向量動態地變化。距離向量之此變化給如本文中所闡述之網路操縱或修改提供可變性之一添加的範圍。
在本發明中,識別碼參數值之操控、識別碼參數之選擇及其中此等識別碼參數改變之位置各自定義為一操縱參數。每當在此三個操縱參數中之一者中發生一改變時,可認為一網路操縱已發生。此三個操縱參數中之一者無論在何時改變,可認為一網路操縱已發生。為了最有效地阻撓一對手滲入一電腦網路100 之努力,宜藉助於如先前所闡述之一偽隨機程序來控制網路操縱。熟習此項技術者將瞭解,一混亂程序亦可用於執行此功能。與偽隨機函數相比,混亂程序在技術上係不同的,但出於本發明之目的,可使用任一者,且兩者係視為等效的。 在某些實施例中,同一偽隨機程序可用於使操縱參數中之兩者或兩者以上動態地變化。然而,在本發明之一較佳實施例中,使用兩個或兩個以上不同偽隨機程序,使得獨立於其他操縱參數來修改此等操縱參數中之兩者或兩者以上。
前瞻性及反應性觸發事件
如上文所述,藉由至少一個前瞻性觸發或反應性觸發控制對操縱參數中之每一者之動態改變。一前瞻性觸發係致使相對於本文中所闡述之動態修改而發生一改變之一預定義事件。相比而言,一反應性觸發係致使相對於本文中所闡述之動態修改而發生一改變之一純自發或使用者起始之事件。換言之,可認為,前瞻性或反應性觸發致使網路以不同於在一先前時間(亦即,在發生前瞻性或反應性觸發之前)之一新方式操縱。舉例而言,在一第一時間週期期間,一任務計劃或安全性模型可致使一IP位址自值A改變為值B;但在前瞻性/反應性觸發事件之後,IP位址可替代地自值A改變為值C。類似地,在一第一時間週期期間,一任務計劃或安全性模型可致使一IP位址及一MAC位址被修改;但在前瞻性/反應性觸發事件之後,該任務計劃或安全性模型可替代地致使一MAC位址及一使用者名稱被修改。
在其最簡單形式中,一前瞻性觸發事件可基於一基於時間之方案。在一基於時間之方案中,每一模組中之一時脈時間可充當一觸發。舉例而言,一觸發事件可定義為在每N(例如,六十)秒時間間隔之期滿時發生。針對此一佈置,操縱參數中之一或多者可根據一預定時脈時間每N秒改變。在某些實施例中,所有操縱參數可同時改變以使得該等改變係同步的。在一稍微更複雜實施例中,亦可使用一基於時間之觸發佈置,但可針對每一操縱參數選擇一不同獨特觸發時間間隔。因此,假識別碼參數值可能以時間間隔X改變,識別碼參數之一選擇將根據一時間間隔Y改變,且其中執行此等改變之一位置將以時 間間隔Z發生,其中X、Y及Z係不同值。
應瞭解,在依賴於時脈時間作為一觸發機制之本發明之實施例中,提供如各種模組105106107113114 中之時脈之間的同步化以確保封包不會由於未辨識之識別碼參數而丟失或丟棄係有利的。同步化方法係眾所周知的且任何適合同步化機制皆可用於此目的。舉例而言,可藉由使用一高度準確時間參考(諸如一GPS時脈時間)而將模組同步化。另一選擇係,可將一獨特無線同步化信號自一中央控制設施廣播至模組中之每一者。
在其最簡單形式中,一反應性觸發可基於一基於使用者啟動之方案、一基於封包檢驗之方案、一基於擁塞位準之方案、一基於啟發性演算法之方案及/或一基於NBA分析之方案。在基於使用者啟動之方案中,一使用者-軟體互動定義一觸發事件。舉例而言,當一計算裝置(例如,圖1之計算裝置101至103 )之一使用者按壓一使用者介面之一給定按鈕時,發生一觸發事件。
基於封包檢驗之方案可涉及分析一封包以獲得識別封包之一起源之一識別符、封包之一目的地、該起源或目的地所屬之一群組及/或封包中所含有之一類型之有效負載。基於封包檢驗之方案亦可涉及分析封包以判定其中是否含有一碼字。用於達成此一封包檢驗之技術係此項技術中眾所周知的。現在已知或未來將知曉之任何此類技術皆可在不具有限制之情況下與本發明一起使用。在某些實施例中,當識別符之一值匹配一預定義值時發生一反應性觸發事件。
在封包檢驗情景中,在一封包中包含一特定類型之內容充當一觸發或用於選擇一觸發基於其之一時序方案之一參數。舉例而言,一觸發事件可定義為在以下時刻發生:(a)當一實體之一特定人員(例如,一軍事單位之一指揮官)將資訊傳達至該實體之其他成員時;及/或(b)當封包內含有一特定碼字時。另一選擇係或另外,一觸發事件 可定義為在如由根據一特定封包檢驗應用程式選擇之一時序方案定義之每N秒時間間隔期滿時發生,其中N係一整數。在此方面,應理解,在某些實施例中,可在以下時刻選擇一第一時序方案:(a)當一實體之一第一人員(例如,一軍事單位之一指揮官)請求與該實體之其他成員之一通信會話時;或(b)當一封包內存在一特定碼字時。可在以下時刻選擇一第二不同時序方案:(a)當一實體之一第二人員(例如,一軍事單位之一副指揮官)請求與該實體之其他成員之一通信會話時;或(b)當一封包內存在一第二碼字時等等。本發明之實施例不限於上文所提供之實例之特殊性。在此方面,應理解,一封包中所包含之其他內容可定義一觸發事件。舉例而言,若一封包之有效負載包含敏感或機密資訊,則可根據該資訊之敏感度或機密性之位準選擇一新任務計劃或安全性模型。
對於此等基於時間之觸發佈置,操縱參數中之一或多者可能根據一預定時脈時間每N(例如,60)秒改變。在某些實施例中,所有操縱參數可同時改變以使得該等改變係同步的。在一稍微更複雜實施例中,亦可使用一基於時間之觸發佈置,但可針對每一操縱參數選擇一不同獨特觸發時間間隔。因此,假識別碼參數值可能以時間間隔X改變,識別碼參數之一選擇將根據一時間間隔Y改變,且其中執行此等改變之一位置將以時間間隔Z發生,其中X、Y及Z係不同值。
基於擁塞位準之方案可涉及:監視並追蹤一電腦網路內之擁塞之位準;比較一當前擁塞位準與一臨限值;及基於該比較之結果自複數個任務計劃/模型選擇一任務計劃或安全性模型。在某些情景中,當當前擁塞位準等於、大於或小於臨限值時選擇一新任務計劃或安全性模型。以此方式,一任務計劃或安全性模型改變基於一電腦網路內之擁塞之位準之改變以明顯不規則之時間間隔發生。
基於啟發性演算法之方案可涉及分析一網路以判定其之一狀 態。此一網路分析可涉及在一延遲之特定時間監視一網路之訊務型樣(例如,使用者之數目)、協定型樣及/或熵型樣(亦即,誰正與誰通信)。可藉由收集關於網路裝備使用(例如,一處理器之使用)之資訊及自一網路裝置(例如,一網路伺服器)存在之連接之一數目而判定一訊務型樣。可對照一預定義表格或矩陣之內容比較所收集資訊以識別一電腦網路內當前存在複數個可能訊務型樣中之哪一訊務型樣。至少基於此比較操作之結果,可自複數個任務計劃及/或安全性模型選擇一新任務計劃或安全性模型以供用於電腦網路中。
在某些啟發性情景中,任務計劃及/或安全性模型可經配置以使得儘管一電腦網路中之實際訊務量改變但仍維持其內之一恆定高訊務位準。該恆定高訊務位準係藉由根據一網路中之實際訊務量調整(亦即,增加或減少)其之一雜訊位準而維持。因此,在任何給定時間遮蔽實際訊務量及訊務型樣之類型。
可藉由收集關於與網路資源相關之使用者活動之資訊而判定一協定型樣。此資訊可包含但不限於一電腦網路之至少一個使用者之使用者活動之一歷史、使用者活動開始之時間、使用者活動停止之時間、使用者活動已消逝之時間及識別一電腦網路之至少一個使用者正執行之同時發生之使用者活動之資訊。所收集資訊可經分析以判定某一協定型樣當前是否存在。若判定一特定協定型樣當前存在,則可自複數個任務計劃/模型選擇一新任務計劃或安全性模型以供用於電腦網路中。以此方式,一任務計劃或安全性模型改變基於協定型樣之改變(更特定而言,使用者活動之改變)以明顯不規則之時間間隔發生。
可藉由收集關於誰正經由電腦網路彼此通信之資訊而判定熵型樣。基於所收集資訊,自複數個任務計劃/模型選擇一新任務計劃或安全性模型以供用於電腦網路中。在此情景中,一任務計劃或安全性模型改變基於參與通信會話之各方之改變以明顯不規則之時間間隔發 生。
出於判定一潛在安全性威脅、一NBA之層級、一NBA之一類型及/或當前對一電腦網路進行之NBA攻擊之數目之目的執行NBA分析。此等NBA分析係此項技術中眾所周知的,且因此將不在本文中闡述。仍應理解,此等NBA分析可涉及:監視並追蹤一電腦網路內之攻擊事件;及出於判定是否存在一潛在安全性威脅及/或判定一NBA攻擊之層級及/或一NBA攻擊之類型之目的執行LUT操作。現在已知或未來將知曉之任何NBA分析技術皆可在不具有限制之情況下與本發明一起使用。一旦完成NBA分析,即可基於NBA分析之結果自複數個任務計劃/模型選擇一新任務計劃或安全性模型以供用於電腦網路中。 舉例而言,若已判定一NBA係一低層級NBA及/或係為一第一類型,則自複數個任務計劃或安全性模型選擇一第一任務計劃或安全性模型。相比而言,若已判定該NBA係一高層級NBA及/或係為一第二類型,則自該複數個任務計劃或安全性模型選擇一第二不同任務計劃或安全性模型。在此情景中,一任務計劃或安全性模型改變基於NBA攻擊之層級及/或NBA攻擊之類型之改變以明顯不規則之時間間隔發生。另外或另一選擇係,在當前對電腦網路進行相同或不同層級及/或類型之兩個或兩個以上NBA攻擊時,可選擇一新任務計劃或安全性模型。在此情景中,一任務計劃或安全性模型改變基於當前正執行之攻擊之數目之改變以明顯不規則之時間間隔發生。
在本發明之實施例中,可由一網路安全性軟體套組識別一NBA。另一選擇係,可在於一模組105106107113114 處接收到一資料封包後旋即識別NBA,其中該封包含有與網路操縱之目前狀態不一致之一或多個識別碼參數。無論用於識別一NBA之基礎如何,此NBA之存在皆可充當如上文所闡述之一反應性觸發事件。
基於上文所闡述之方案之前瞻性/反應性觸發事件可致使相同類 型之網路操縱。舉例而言,假識別碼參數、識別碼參數之選擇及識別碼參數變換之位置可保持穩定(亦即,不改變),惟其中偵測到以下各項中之一或多者之情形除外:一時脈時間;具有一特定起源或目的地之一封包;一封包中所含有之一碼字;一封包中所含有之秘密或機密資訊;一特定擁塞位準;一特定訊務型樣;一特定協定型樣;一特定熵型樣;一安全性威脅;一特定層級及/或類型之一NBA;及當前對一電腦網路進行之NBA之一特定數目。舉例而言,在其中頻繁網路操縱係合意的以便增加其安全性之電腦網路中可能選擇此一佈置。
另一選擇係,基於上文所闡述之方案之前瞻性/反應性觸發事件可致使不同類型之網路操縱。在此等實施例中,與基於一封包檢驗及/或一啟發性演算法之結果之一觸發事件相比,基於一NBA分析之結果之一觸發事件可對網路操縱具有一不同效應。舉例而言,一基於NBA之觸發事件可致使網路操縱之策略性或防禦性改變以便更積極應對此等NBA。此等措施之精確本性可取決於威脅之本性,但可包含多種回應。舉例而言,可選擇不同偽隨機演算法,及/或可增加經選擇以用於每一IDP集合120 中之操控之識別碼參數之數目。此外,回應可包含增加網路操縱之一頻率。因此,可關於以下各項做出更頻繁改變:(1)假識別碼參數值;(2)在每一IDP集合中待改變之識別碼參數之選擇;及/或(3)其中改變識別碼參數之第一及第二位置之定位。因此,本文中所闡述之網路操縱提供用於基於多種因素以一純自發方式改變一任務計劃或安全性模型,藉此增加其安全性之一方法。
任務計劃
根據本發明之一較佳實施例,根據一任務計劃控制本文中所闡述之網路操縱。一任務計劃係定義及控制一網路之上下文及至少一個安全性模型內之操縱能力之一方案。因此,任務計劃可表示為自NAC104 傳達至圖1之每一模組105至107113至114 之一資料檔案。任務計 劃此後由每一模組用以控制識別碼參數之操控且使其活動與網路中之其他模組之動作協調。
根據一較佳實施例,任務計劃可由一網路管理員不時地修改以更新或改變網路操縱阻撓潛在對手之方式。因此,任務計劃給一網路管理員提供促進對網路操縱將在網路內發生之時間、地點及方式之完全控制之一工具。此更新能力允許網路管理員使電腦網路之行為適合當前操作條件且更有效地阻撓對手滲入網路之努力。多個任務計劃可由一使用者定義及儲存以使其可由網路內之模組存取。舉例而言,多個任務計劃可儲存於NAC104 處且視需要傳達至模組。另一選擇係,複數個任務計劃可儲存於每一模組上且可視需要啟動或可係合意的以維持網路之安全性。舉例而言,若網路管理員判定或懷疑一對手已發現一網路之一當前任務計劃,則管理員可希望改變該任務計劃。有效安全性程序亦可命令週期性地改變任務計劃。
創建一任務計劃之程序可藉由模型化電腦網路100 開始。模型之創建藉由在一電腦上執行或在網路命令中心處服務之一NCSA促進。舉例而言,在圖1中所展示之實施例中,NCSA可在NAC104 上執行。網路模型較佳地包含定義電腦網路100 中所包含之各種計算裝置之間的資料連接及/或關係之資訊。NCSA將提供促進輸入此關係資料之一適合介面。根據一項實施例,NCSA可促進將資料輸入至可用以定義任務計劃之表格中。然而,在一較佳實施例中,使用一GUI來促進此程序。
現在參考圖3,NCSA可包含一網路拓撲模型產生器工具。該工具用以輔助網路管理員定義網路之各種組件中之每一者之間的關係。網路拓撲工具提供一工作場所300 ,其中一管理員可藉由使用一游標304 而拖放網路組件302 。網路管理員亦可創建各種網路組件302 之間的資料連接306 。作為此模型化程序之部分,網路管理員可提供各種 網路組件(包含圖1之模組105至107113114 )之網路位址資訊。
網路一旦已被模型化,其即可由網路管理員保存及使用以定義各種模組105至107113114 表現及彼此互動之方式。現在參考圖4,NCSA可產生可用以進一步開發一任務計劃之一對話方塊400 。一下拉式選單432 可用以選擇待將對話方塊400 中之設定應用於其之特定模組(例如,圖1之模組105 )。另一選擇係,網路管理員可使用下拉式選單432 來指示意欲將對話方塊400 中之設定應用於網路內之所有模組(例如,藉由選擇下拉式選單432 中之命令「所有」)。程序可藉由規定是否將總是在模組中之每一者中修改一固定識別碼參數集合或是否應使所操控之識別碼參數集合動態地變化而繼續。若意欲使將在模組中操控之識別碼參數之選擇或集合動態地變化,則網路管理員可標記核取方塊401 以指示彼偏好。若未標記核取方塊401 ,則待變化之識別碼參數集合係不隨時間變化之一固定集合。
對話方塊400 包含標籤402404406 ,該等標籤允許一使用者選擇他/她希望出於創建一任務計劃之目的而一起工作之特定識別碼參數。出於本發明之目的,對話方塊400 促進僅三個識別碼參數之動態變化。具體而言,此等識別碼參數包含IP位址、MAC位址及埠位址。可藉由提供額外標籤而使更多或更少識別碼參數動態地變化,但所述三個識別碼參數足以解釋發明性概念。在圖4中,使用者已選擇標籤402 與識別碼參數之IP位址類型一起工作。在標籤402 內,提供用於規定與選定模組內之IP位址之動態變化相關之細節之多種使用者介面控制件408至420 。可提供更多或更少控制件以促進IP位址類型之動態操控,且僅提供所展示之控制件以輔助讀者理解該概念。在所展示之實例中,網路管理員可藉由選擇(例如,藉助一指標裝置(諸如一滑鼠))標記為「啟用IP位址跳躍」之核取方塊408 而啟用IP位址之動態變化。類似地,網路管理員可指示將使源位址、目的地位址還是兩者變 化。在此實例中,標記源位址方塊410 及目的地位址方塊412 兩者,從而指示將改變兩種類型之位址。可由管理員在清單方塊422424 中規定源位址及目的地位址之所允許值之範圍。
藉由選擇一偽隨機程序而規定用以選擇假IP位址值之特定偽隨機程序。在方塊414415 中規定此選擇。不同偽隨機程序可具有針對可變真隨機程度之不同複雜性位準,且管理員可選擇最佳適合電腦網路100 之需要之程序。
對話方塊400 亦允許一網路管理員設定待用於IP位址識別碼參數之動態變化之觸發類型。在此實例中,使用者已選擇方塊416 ,從而指示一基於時間之觸發將用於判定何時轉變為新假IP位址值。此外,核取方塊418 已經選擇以指示基於時間之觸發將在一週期性基礎上發生。滑桿420 可由使用者調整以判定基於週期性時間之觸發之頻率。在所展示之實例中,觸發頻率可在每小時六個觸發之發生率(每十分鐘發生觸發)與每小時一百二十個觸發之發生率(每三十秒發生觸發)之間調整。在此實例中,亦可選擇其他類型之觸發。舉例而言,對話方塊400 包含核取方塊428430 ,網路管理員可藉由核取方塊428430 選擇一基於事件之觸發。數個不同特定事件類型可經選擇以形成用於此等基於事件之觸發之基礎(例如,事件類型1、事件類型2等)。此等事件類型可包含以下各項之偵測:具有一特定起源或目的地之一封包;一封包中所含有之一碼字;一封包中所含有之秘密或機密資訊;一特定擁塞位準;一特定訊務型樣;一特定協定型樣;一特定熵型樣;一安全性威脅;一特定層級及/或類型之一NBA;及當前對一電腦網路進行之NBA之一特定數目。在圖4中,標籤404406 類似於標籤402 ,但使其中之控制件適合MAC位址及埠值而非IP位址之動態變化。可提供用於控制其他類型之識別碼參數之動態變化之額外標籤。
任務計劃亦可規定用於使其中修改識別碼參數之位置動態地變 化之一計劃。在某些實施例中,藉由控制定義每一模組何時處於一作用狀態或一繞過狀態中之一序列而促進此可變位置特徵。因此,任務計劃有利地包含規定此序列之某一方式。在本發明之某些實施例中,此可涉及使用經定義時間間隔或時槽,該等經定義時間間隔或時槽由一觸發事件之發生分離。
現在參考圖5,一對話方塊500 可由NCSA提供以促進位置序列及時序資訊之協調及輸入。對話方塊500 可包含一控制件502 ,控制件502 用於選擇將包含於一時間紀元506 內之時槽504 1 至504 n 之一數目。在所圖解說明之實例中,網路管理員已定義每時序紀元四個時槽。對話方塊500 亦可包含一表格503 ,表格503 包含電腦網路100 中之所有模組。針對所列示之每一模組,該表格包含一個時序紀元506 之可用時槽504 1 至504 4 之一圖形表示。應記得,對其中操控識別碼參數之位置之動態控制係藉由每一模組是處於一作用操作狀態中還是處於繞過操作狀態中而判定。因此,在圖形使用者介面內,使用者可活動一游標508 且做出選擇以規定在每一時槽期間一特定模組是處於一作用模式中還是繞過模式中。在所展示之實例中,模組105 在時槽504 1 504 3 期間係作用的,但在時槽504 2 504 4 期間處於一繞過模式中。相比而言,模組113 在時槽504 2 504 4 期間係作用的,但在時槽504 1 504 3 期間處於繞過模式中。參考圖1,此意味著識別碼參數之操控在時槽504 1 504 3 期間發生於與模組105 相關聯之一位置處,但在時槽504 2 504 4 期間替代地發生於模組113 處。
在圖5中所展示之實例中,網路管理員已選擇使模組114 總是在一作用模式中操作(亦即,模組114 在所有時槽期間係作用的)。因此,針對自用戶端電腦101 傳輸至用戶端電腦103 之資料通信,資料封包將交替地在模組105113 中操控,但將總是在模組114 處操控。最後,在此實例中,網路管理員已選擇在時槽504 1 至504 4 期間將模組106107 維持於一繞過模式中。因此,在經定義時槽中之任一者期間將不在此等模組處執行識別碼參數之操控。一旦已在對話方塊500 中定義模組時序,網路管理員即可選擇按鈕510 來將改變儲存為一經更新任務計劃之部分。可以各種格式保存任務計劃。在某些實施例中,可將任務計劃保存為一簡單表格或可由每一模組用於控制模組之行為之其他類型之經定義資料結構。
任務計劃之分佈及載入
現在將進一步詳細地闡述如本文中所揭示之任務計劃之分佈及載入。再次參考圖1,可觀察到,模組105至107113114 遍及電腦網路100 分佈於一或多個位置處。該等模組整合於通信路徑內以攔截此等位置處之通信、執行必要操控且將資料轉發至網路內之其他計算裝置。藉助前述佈置,本文中所闡述之模組之任何必要維修(例如,維修以更新一任務計劃)將有可能在替換模組或將模組重新程式化時中斷網路通信。在其中網路服務之可靠性及可用性係必要之諸多情況下,此等中斷係不合意的。舉例而言,對於軍事、緊急服務及商業所使用之電腦網路,不間斷網路操作可係必要的。
為了確保不間斷網路操作,每一模組較佳地具有數種操作狀態。此等操作狀態包含:(1)一關斷狀態,其中模組被關閉電源且不處理任何封包;(2)一初始化狀態,其中模組根據任務計劃安裝軟體腳本;(3)一作用狀態,其中根據一當前任務計劃處理資料;及(4)一繞過狀態,其中封包可流動通過模組,就如模組不存在一樣。模組經配置以使得在其處於作用狀態或繞過狀態中時,模組可接收及載入由一網路管理員提供之一經更新任務計劃。模組操作狀態可由網路管理員藉助於(舉例而言)在NAC104 上執行之NCSA人工地控制。舉例而言,使用者可透過使用一GUI控制面板選擇各種模組之操作狀態。用於控制網路之操作狀態之命令係經由電腦網路100 傳達,或者可藉由 任何其他適合構件傳達。舉例而言,可出於彼目的而使用一單獨有線或無線網路(未展示)。
任務計劃可直接載入於每一模組之實體位置處,或其可自NCSA傳達至模組。此概念圖解說明於圖6中,其展示經由一通信媒體606 自NCSA602 傳達至模組105至107113114 中之每一者之任務計劃604 。在所展示之實例中,NCSA軟體應用程式在由一網路管理員操作之NAC104 上執行。在某些實施例中,通信媒體可包含使用電腦網路100 之帶內發信。另一選擇係,一帶外網路(例如,一單獨無線網路)可用作通信媒體606 來將經更新任務計劃自NCSA傳達至每一模組。如圖7中所展示,NCSA可提供一對話方塊700 以促進數個任務計劃702 中之一者之選擇。此等任務計劃702 中之每一者可儲存於NAC104 上。網路管理員可自數個任務計劃702 中之一者做出選擇,此後其可啟動一「發送任務計劃」按鈕704 。另一選擇係,複數個任務計劃可傳達至每一模組且儲存於彼處。在任一情景中,使用者可選擇經定義任務計劃中之一者來啟動。
回應於用以發送任務計劃之命令,選定任務計劃在模組處於其中其經配置以用於主動地執行如本文中所闡述之識別碼參數之動態修改之一作用狀態中時傳達至該等模組。此一佈置最小化其間網路無阻礙地操作且不操控識別碼參數之時間。然而,經更新任務計劃亦可在模組處於繞過模式中時傳達至該等模組,且此方法在某些情形中可係合意的。
一旦任務計劃由一模組接收,其即可自動地儲存於模組內之一記憶體位置中。此後,可致使模組進入繞過狀態,且在仍處於彼狀態中時,模組可載入與新任務計劃相關聯之資料。進入至繞過狀態中且載入新任務計劃資料之此程序可回應於接收到任務計劃而自動地發生,或可回應於來自由網路管理員控制之NCSA軟體之一命令而發 生。該新任務計劃較佳地包含改變使識別碼參數值變化之方式。一旦已載入該新任務計劃,模組105至107113114 即可以確保不發生資料通信錯誤之一同步化方式自繞過模式轉變為作用模式。任務計劃可規定模組將返回至作用模式之一時間,或網路管理員可使用NCSA來將一命令傳達至各種模組,從而引導其進入至作用模式中。更新一任務計劃之前述程序有利地允許網路安全性程序之改變在不中斷附接至電腦網路100 之各種計算裝置當中之通信之情況下發生。
每一模組105106107113114 處之各種識別碼參數之動態操控較佳地由在每一模組105至107113114 上執行之應用程式軟體控制。然而,應用程式軟體之行為有利地由任務計劃控制。
現在參考圖8,其提供總結每一模組105至107113114 之操作之一流程圖。為避免混淆,關於在一單個方向上之通信闡述程序800 。舉例而言,在模組105 之情形中,單個方向可涉及自用戶端電腦101 傳輸至集線器108 之資料。然而,在實踐中,較佳地,模組105至107113114 雙向地操作。該程序在將模組開啟電源時在步驟802 處開始且繼續至步驟804 ,其中利用模組應用程式軟體執行本文中所闡述之方法。在步驟806 中,自模組內之一記憶體位置載入一任務計劃。在此點處,模組準備好開始處理資料且繼續在步驟808 處如此進行,其中其自模組之一輸入資料緩衝器存取一資料封包。在步驟810 中,模組檢查以判定其是否處於一繞過操作模式中。若如此,則在步驟812 中在不具有資料封包之任何修改之情況下重新傳輸在步驟808 中存取之資料封包。若模組不在繞過模式中,則其必須在其作用操作模式中且繼續至步驟814 。在步驟814 中,模組讀取資料封包以判定資料封包起源於其之一源節點之識別碼。在步驟816 中,其審查封包以判定源節點是否有效。可比較所規定源節點與有效節點之一清單以判定所規定源節點當前是否有效。若其並非一有效節點,則在步驟818 中 摒棄封包。在步驟820 中,程序檢查以判定一觸發事件是否發生。一觸發事件之發生將影響選擇假識別碼值來使用。因此,在步驟822 中,模組基於觸發資訊、時脈時間及任務計劃中之一或多者判定待使用之假識別碼值。模組然後繼續至步驟826 ,其中其操控資料封包之識別碼參數。一旦操控完成,即將資料封包自模組之輸出埠重新傳輸至一毗鄰節點。在步驟830 中,做出關於是否已命令將模組關閉電源之一判定。若如此,則程序在步驟832 處結束。在步驟808 中,程序繼續且自模組之輸入資料緩衝器存取下一資料封包。
現在參考圖9,其提供總結用於管理一動態電腦網路之本文中所闡述之方法之一流程圖。程序在步驟902 中開始且繼續至步驟904 ,其中創建一網路模型(例如,如關於圖3所展示及闡述)。在步驟906 中,做出關於是否將創建一新任務計劃之一判定。若如此,則在步驟908 中創建一新任務計劃且程序繼續至步驟910 ,其中選擇新任務計劃。另一選擇係,若在步驟906 中已創建一所要任務計劃,則方法可直接繼續至步驟910 ,其中選擇一現有任務計劃。在步驟912 中,將任務計劃傳達至模組(例如,圖1之模組105至107113114 ),其中將任務計劃儲存於一記憶體位置中。當網路管理員準備好實施新任務模型時,在步驟914 中發送一命令,該命令致使模組進入如本文中所闡述之一待命模式。當模組處於此待命模式中時,在步驟916 處載入任務計劃。任務計劃之載入發生於每一模組處,使得可使用任務計劃來控制在模組上執行之一應用程式軟體的操作。特定而言,使用任務計劃來控制應用程式軟體執行識別碼參數之動態操控的方式。在步驟918 中,再次致使任務模組進入至其中每一任務模組根據任務計劃執行識別碼參數之操控之一作用操作模式中。步驟914916918 可回應於自一網路管理員發送之特定命令而發生,或可回應於在步驟912 中接收到任務計劃而在每一模組處自動地發生。在步驟918 之後,模組根 據已載入之任務計劃繼續執行處理。在步驟920 中,程序藉由檢查以判定使用者是否已指示改變任務計劃之一期望而繼續;若如此,則程序返回至步驟906 ,其中其如上文所闡述地繼續。若不存在使用者或網路管理員希望改變一現有任務計劃之指示,則程序在步驟922 中判定其是否已被指示終止。若如此,則程序在步驟924 中終止。若未接收到終止指令,則程序返回至步驟920 且繼續。
現在參考圖10,其提供展示可用於執行本文中所闡述之識別碼參數之操控之一例示性模組1000 之一電腦架構之一方塊圖。模組1000 包含經由一匯流排1022 彼此通信之一處理器1012 (諸如一中央處理單元(「CPU」))、一主記憶體1020 及一靜態記憶體1018 。模組1000 可進一步包含用以指示模組之狀態之一顯示器單元1002 ,諸如一液晶顯示器(「LCD」)。模組1000 亦可包含允許模組同時在兩個單獨資料線上接收及傳輸資料之一或多個網路介面裝置10161017 。兩個網路介面埠促進圖1中所展示之佈置,其中每一模組經配置以同時攔截及重新傳輸自網路上之兩個單獨計算裝置接收的資料封包。
主記憶體1020 包含其上儲存有經配置以實施本文中所闡述之方法、程序或功能中之一或多者之一或多組的指令1008 (例如,軟體程式碼)之一電腦可讀儲存媒體1010 。指令1008 亦可在其由模組執行期間完全或至少部分地駐存於靜態記憶體1018 內及/或處理器1012 內。靜態記憶體1018 及處理器1012 亦可構成機器可讀媒體。在本發明之各種實施例中,連接至一網路環境之一網路介面裝置1016 經由使用指令1008 之網路通信。
指令1008 致使模組1000 用作一基於封包之靜態網路之彼等識別碼參數與一基於封包之MTT啟用網路之彼等識別碼參數之間的一識別碼參數轉譯器。圖11中提供基於封包之靜態網路之一習用協定堆疊。根據圖11中所展示之實施例,協定堆疊1100 包含規定基於封包之靜態 網路內之節點之特定功能之五個層11021104110611081110 。 本發明仍不限於此方面。根據一特定基於封包之靜態網路應用,協定堆疊1100 可包含任何數目個層。舉例而言,若靜態網路採用一開放式系統互連(「OSI」)協定堆疊,則協定堆疊1100 可進一步包含一會話層及一表示層。
再次參考圖11,協定堆疊1100 提供圖解說明如何將資訊自安裝於靜態網路之一第一節點(例如,一用戶端電腦)中之一軟體應用程式傳遞至安裝於靜態網路之一第二節點(例如,一用戶端電腦)中之一軟體應用程式之一框架。協定堆疊1100 係熟習此項技術者眾所周知的。 因此,本文中將不詳細闡述協定堆疊1100 。然而,下文提供一簡要論述以輔助一讀者理解至少由圖1之模組105至108114 執行之識別碼參數轉譯。
如圖11中所展示,協定堆疊1100 由一實體層1102 、一資料連結層1104 、一網路層1106 、一輸送層1108 及一應用程式層1110 構成。實體層1102 由經配置以透過一網路發送及接收資料之韌體及/或硬體構成。資料連結層1104 提供用於在網路節點之間傳送資料之傳輸協定。 此等傳輸協定可包含一乙太網路協定(或一IEEE 802.3協定)、一點對點協定、一IEEE 802.11協定、一IEEE 802.15協定、一IEEE 802.16協定及其他此類協定。
資料連結層1104 可由兩個(2)子層構成,即一邏輯連結控制(「LLC」)層1114 及一媒體存取控制(「MAC」)層1112 。LLC層1114 由經配置以在經由MAC層1112 傳輸協定之前將協定多工且在傳輸協定之後及在接收到協定後旋即將協定解多工之韌體及/或硬體構成。 LLC層1114 亦由經配置以提供封包之流量控制、封包之偵測及經丟棄封包之重新傳輸之韌體及/或硬體構成。
MAC層1112 由經配置以判定何時傳輸通信及何時接收通信之韌 體及/或硬體構成。在此方面中,MAC層1112 執行涉及協調至一共用無線電通道之進入及利用增強經由一無線連結之通信之協定之動作。 如本文中所使用之術語「協定」係指定義如何在網路節點之間交換資訊之一組規則。此等網路節點包含但不限於用戶端電腦、伺服器、路由器、交換器及橋接器。MAC層1112 提供用於在網路節點之間傳送資料之傳輸協定。此等傳輸協定包含MAC協定。MAC協定確保自不同節點跨越同一通道發送之信號不衝突。
網路層1106 由經配置以將資料自一個節點傳送至另一節點之韌體構成。在此方面中,網路層1106 提供用於將資料自一個節點傳送至另一節點之協定。傳輸協定包含路由協定及轉發協定。此等傳輸協定包含網際網路協定,諸如一版本4網際網路協定(「IPv4」)、一版本6網際網路協定(「IPv6」)及網際網路安全性協定(「IP層安全性」)。
輸送層1108 由經配置以在終端系統之間傳達資料之韌體構成。 在此方面中,輸送層1108 提供用於在終端系統之間傳輸資料之輸送協定。此等輸送協定包含一傳輸控制協定(「TCP」)及一使用者資料包協定(「UDP」)。應用程式層1110 通常僅實施於韌體中。應用程式層1110 提供用於終端-使用者應用程式(諸如鑒認應用程式、資料語法應用程式、服務品質應用程式及終端-使用者應用程式)之發信協定。
現在參考圖12,其提供一靜態網路之一習用封包1200 之一方塊圖。封包1200 由一前置碼1202 、一實體層協定標頭1204 、一MAC層協定標頭1206 、一LLC層協定標頭1208 、一網路層協定標頭1210 及一輸送層協定標頭1212 構成。封包1200 亦由一應用程式層標頭1214 、一應用程式資料1216 及一框架檢查序列(「FCS」)1218 構成。如本文中所使用,片語「框架檢查序列」係指用於錯誤偵測及校正之添加至一通信協定中之一封包或一框架之額外總和檢查碼字元。封包1200 之所列示分量中之每一者係熟習此項技術者眾所周知的且在區域網路及都 會區網路以及網際網路工程任務推動小組(「IEFT」)之電機電子工程師學會(「IEEE」)標準之開放式工業標準中良好定義。因此,本文中將不詳細闡述此等分量。
然而,應瞭解,應用程式資料1216 可係發信協定資料、使用者資料或管理資料。使用者資料可包含聲音資料、視訊資料或諸如此類。亦應瞭解,應用程式資料1216 係封裝於應用程式層標頭1214 與FCS1218 之間。應用程式層標頭1214 係封裝於輸送層協定標頭1212 與應用程式資料1216 之間。類似地,輸送層協定標頭1212 係封裝於網路層協定標頭1210 與應用程式層標頭1214 之間。同樣,網路層協定標頭1210 係封裝於LLC層協定標頭1208 與輸送層協定標頭1212 之間。LLC層協定標頭1208 係封裝於MAC層協定標頭1206 與網路層協定標頭1210 之間。MAC層協定標頭1206 係封裝於實體層協定標頭1204 與LLC層協定標頭1208 之間。實體層協定標頭1204 係封裝於前置碼1202 與MAC層協定標頭1206 之間。
輸送層協定標頭1212 包括源及目的地埠編號1220 。一埠係充當一電腦之作業系統中之一通信端點之一特殊應用程式軟體建構。一埠係藉由一個十六位元數(亦即,一埠編號1220 )針對每一IP位址及協定識別。
輸送層協定標頭1212 亦包括一TCP序號1222 。在一TCP會話之相對側上彼此通信之兩個用戶端電腦將各自維持一TCP序號1222 。TCP序號1222 允許每一電腦追蹤其已傳達多少資料。TCP序號包含於在會話期間傳達之每一封包之TCP標頭部分中。在起始一TCP會話時,隨機地選擇初始序號值。
網路層協定標頭1210 包括源及目的地IP位址1224 。一IP位址1224 係指派給參與其中網路使用眾所周知之網際網路協定通信之一電腦網路之一計算裝置之一數字識別符。IP位址1224 可係一IPv4系統中之一 個三十二位元數或一IPv6系統中之一百二十八位元數。IP位址1224 係一個二進制數,但其通常儲存於一文字檔案中且顯示於一人類可讀標記中(例如,IPv4系統之175.18.252.1.及IPv6之2003:db6:0:1234:0:469:6:1)。
在某些實施例中,每一IP位址1224 可視為一單個識別碼參數。然而,一IP位址1224 通常定義為包含至少兩部分,其包含一網路首碼1228 及一主機編號1230 。網路首碼1228 識別待將一資料封包1200 傳達至其之一網路。主機編號1230 識別一區域網路(「LAN」)內之特定節點。一子網路(子網路)(有時稱為一子網路(subnet))係一IP網路之一邏輯部分。在一網路被劃分成兩個或兩個以上子網路之情況下,IP位址1224 之主機編號1230 之一部分用以規定一子網路編號1232 。出於本發明之目的,網路首碼1228 、子網路編號1232 及主機編號1230 可各自視為一單獨識別碼參數。由於在網路層協定標頭1210 中含有一源IP位址及一目的地IP位址,因此在標頭1210 中存在總共六個不同識別碼參數。
MAC層協定標頭1206 包括一MAC位址1226 。一MAC位址1226 係由一製造商指派給一網路介面裝置且儲存於一內建ROM中之一唯一值。取決於協定堆疊1100 之MAC層1112 所採用之協定,MAC位址1226 可包含一個四十八位元數或一個六十四位元數。
MTT啟用網路採用一MTT協定堆疊之協定。圖13中提供一例示性MTT協定堆疊1300 之一示意性圖解說明。如圖13中所展示,MTT協定堆疊1300 包括規定MTT啟用網路內之節點之特定功能之五個層1302 至1314。值得注意的是,某些層130213101314 與協定堆疊1100 之彼等層110211101114 相同。因此,上文關於此等層110211101114 所提供之說明足以理解圖13之層130213101314 。然而,MTT協定堆疊1300 包括不同於協定堆疊1100 之彼等層1104至1108 之層1304 至1308 。因此,下文將提供此等層之一簡要論述。
MTT資料連結層1304 可由兩個(2)子層構成,即一LLC層1314 及一MTT MAC層1312 。LLC層1314 相同或實質上類似於圖11之LLC層1114 。因此,上文關於層1114 所提供之說明足以理解層1314 。MTT MAC層1312 不同於圖11之MAC層1112 。在此方面中,應理解,MAC層1112 針對每一網路介面裝置採用一靜態MAC位址1226 。相比而言,MTT MAC層1312 針對每一網路介面裝置採用一非靜態MAC位址(例如,圖14之MTT MAC位址1426 )。非靜態MAC位址可動態地變化。舉例而言,可在MTT啟用網路之操作期間隨機地或偽隨機地改變非靜態MAC位址。
MTT網路層1306 不同於圖11之網路層1106 。在此方面中,應理解,網路層1106 採用靜態IP位址1224 。相比而言,MTT網路層1306 之IP位址(例如,圖14之MTT IP位址1424 )係非靜態(亦即,可在MTT啟用網路之操作期間使其動態地變化)。舉例而言,可根據一偽隨機程序改變一IP位址編號。
MTT輸送層1308 不同於圖11之輸送層1108 。輸送層1108 採用靜態埠編號1220 及靜態TCP序號1222 。相比而言,MTT輸送層1308 所採用之埠編號(例如,圖14之編號1420 )及TCP序號(例如,圖14之編號1422 )係非靜態的。在此方面中,應理解,可根據一隨機或偽隨機程序改變非靜態埠編號及序號中之每一者。
現在參考圖14,其提供MTT啟用網路之一例示性MTT封包1400 之一示意性圖解說明。MTT封包1400 由一前置碼1402 、一實體層協定標頭1404 、一MTT MAC層協定標頭1406 、一LLC層協定標頭1408 、一MTT網路層協定標頭1410 、一MTT輸送層協定標頭1412 、一應用程式層標頭1414 、應用程式資料1416 及一FCS1418 構成。MTT封包1400 之部分140214041408141414161418 相同或實質上類似於圖 12之部分120212041208121412161218 。因此,上文關於部分120212041208121412161218 所提供之說明足以理解MTT封包1400 之部分140214041408141414161418 。然而,部分140614101412 不同於圖12之部分120612101212 。因此,本文中將闡述部分140614101412 中之每一者。
MTT輸送層協定標頭1412 包括MTT源及目的地埠編號1420 。一埠係充當一電腦之作業系統中之一通信端點之一特殊應用程式軟體建構。一埠係藉由一個十六位元數針對每一IP位址及協定識別。十六位元數關於一MTT啟用網路稱為一MTT埠編號1420 。值得注意的是,每一MTT埠編號1420 係一非靜態編號(亦即,其可由一模組根據一隨機或偽隨機程序改變)。MTT輸送層協定標頭1412 亦包括一MTT TCP序號1422 。MTT TCP序號1422 係一非靜態編號。MTT埠編號1420 及MTT TCP序號1422 之操控可藉由簡單修改TCP標頭資訊以改變其值而實現。
MTT網路層協定標頭1410 包括源及目的地MTT IP位址1424 。可根據一隨機或偽隨機程序使每一MTT IP位址1424 之一值動態地變化。每一MTT IP位址1424 包括一MTT首碼1428 及一MTT主機編號1430 。亦可在一MTT啟用網路之操作期間使此等分量14281430 中之每一者動態地變化。MTT IP位址1424 、MTT首碼1428 及MTT主機編號1430 之操控可藉由簡單修改MTT網路層協定標頭1410 之IP標頭資訊而達成。
MTT MAC層協定標頭1406 包括一MTT MAC位址1426 。可在MTT啟用網路之操作期間使MTT MAC位址1426 動態地變化。MTT MAC位址1426 之操控可藉由簡單修改MTT MAC層協定標頭1406 之一乙太網路標頭資訊而達成。
現在參考圖15,其提供用於理解模組1000 在其實施為硬體時之 操作之一示意性圖解說明。如圖15中所展示,模組1000 根據協定堆疊12001400 兩者執行操作。在此方面中,模組1000 經配置以將MTT封包1400 傳達至一MTT啟用網路節點1502 (例如,圖1之一節點104至109111112 )及自MTT啟用網路節點1502 傳達MTT封包1400 。模組1000 亦經配置以將習用封包1200 傳達至一靜態啟用網路節點1506 (例如,圖1之一節點101至103110115 )及自靜態啟用網路節點1506 傳達習用封包1200 。模組1000 進一步經配置以將習用封包1200 轉化成MTT啟用封包1400 且反之亦然。此封包轉化係經由一識別碼參數轉譯(「IPT」)1504 達成。用於達成一IPT之一程序通常涉及:將封包12001400 之應用程式層部分1214121614141416 解封裝及重新封裝。用於將封包封裝及解封裝之方法係此項技術中眾所周知的且因此將不在本文中闡述。用於將封包封裝及解封裝之任何已知方法或將知曉之方法可在不具有限制之情況下與本發明一起使用。圖16及圖17中圖解說明用於達成一IPT之此等程序之實例。
如圖16中所展示,一例示性程序1600 在步驟1602 處開始且以步驟1604 繼續。在步驟1604 中,藉由自習用封包1200 移除前置碼1202 及標頭1204至1212 而將該封包之應用程式層部分12141216 解封裝。在下一步驟1606 中,根據MTT協定堆疊1300 之協定產生封包分量1402至1414 。此後,執行步驟1608 ,其中重新封裝應用程式層部分12141216 以便形成一MTT封包1400 。藉由將封包分量1402至1414 附加至應用程式層部分12141216 而達成重新封裝。在完成步驟1608 後,程序1600 旋即結束或執行其他處理。
如圖17中所展示,一例示性程序1700 在步驟1702 處開始且以步驟1704 繼續。在步驟1704 中,藉由自一MTT封包1400 移除前置碼1402 及標頭1404至1412 而將封包1400 之應用程式層部分14141416 解封裝。接下來,在步驟1706 中,根據習用協定堆疊1100 之協定產生封包 分量1204至1214 。在下一步驟1708 中,藉由將前置碼1202 及標頭1204至1214 附加至應用程式層部分14141416 而重新封裝應用程式層部分14141416 以便形成一習用封包1200
現在參考圖18,其展示根據發明性佈置之一例示性NAC104 。 NAC104 可包括各種類型之計算系統及裝置,包含一伺服器電腦、一用戶端使用者電腦、一個人電腦(「PC」)、一平板PC、一膝上型電腦、一桌上型電腦、一控制系統或能夠執行規定彼裝置待採取之動作之一組指令(按順序或以其他方式)之任何其他裝置。此外,儘管圖18中圖解說明一單個電腦,但片語「NAC」應理解為包含個別地或聯合地執行一組(或多組)指令以執行本文中所論述之方法中之任一者或多者之計算裝置之任何集合。
現在參考圖18,NAC104 包含經由一匯流排1822 彼此通信之一處理器1812 (諸如一CPU)、一磁碟機單元1806 、一主記憶體1820 及一靜態記憶體1818 。NAC104 可進一步包含一顯示器單元1802 ,諸如一視訊顯示器(例如,一LCD)、一平面顯示器、一固態顯示器或一陰極射線管(「CRT」)。NAC104 可包含一使用者輸入裝置1804 (例如,一鍵盤)、一游標控制裝置1814 (例如,一滑鼠)及一網路介面裝置1816
磁碟機單元1806 包含其上儲存有經配置以實施本文中所闡述之方法、程序或功能中之一或多者之一或多組指令1808 (例如,軟體程式碼)之一電腦可讀儲存媒體1810 。指令1808 亦可在其執行期間完全或至少部分地駐存於主記憶體1820 、靜態記憶體1818 內及/或處理器1812 內。主記憶體1820 及處理器1812 亦可構成機器可讀媒體。
熟習此項技術者應瞭解,圖10至圖17中所圖解說明之模組架構及圖18中之NAC架構各自表示可分別用於執行本文中所闡述之方法的一計算裝置之僅一項可能實例。然而,本發明不限於此方面,且任何其他適合計算裝置架構亦可在不具有限制之情況下使用。專用硬體實 施方案包含但不限於特殊應用積體電路、可程式化邏輯陣列,且其他硬體裝置可同樣地構造以實施本文中所闡述之方法。可包含各種實施例之裝備及系統之應用廣義地包含多種電子及電腦系統。某些實施例可藉助在模組之間及貫通模組傳達之相關控制及資料信號或作為一特殊應用積體電路之部分實施兩個或兩個以上特定互連之硬體裝置中之功能。因此,例示性系統適用於軟體、韌體及硬體實施方案。
根據本發明之各種實施例,本文中所闡述之方法作為軟體程式儲存於一電腦可讀儲存媒體中且經配置以在一電腦處理器上運行。此外,軟體實施方案可包含但不限於亦可經建構以實施本文中所闡述之方法之分散式處理、組件/物件分散式處理、並行處理、虛擬機器處理。
儘管在圖10及圖18中將電腦可讀儲存媒體10101810 展示為一單個儲存媒體,但術語「電腦可讀儲存媒體」應視為包含儲存一或多組指令之一單個媒體或多個媒體(例如,一集中式或分散式資料庫及/或相關聯快取記憶體及伺服器)。術語「電腦可讀儲存媒體」亦應視為包含能夠儲存、解碼或攜載供由機器執行之一組指令且致使機器執行本發明之方法中任一者或多者之任何媒體。
術語「電腦可讀媒體」應相應地視為包含但不限於固態記憶體(諸如一記憶體卡或者裝納一或多個唯讀(非揮發性)記憶體、隨機存取記憶體或其他可重複寫入(揮發性)記憶體之其他封包);磁光媒體或光學媒體(諸如一磁碟或磁帶)。因此,本發明應視為包含如本文中所列示之一電腦可讀媒體中之任一者或多者且包含已認可之等效物及其中儲存有本文中之軟體實施方案之後續任務媒體。
網路狀態管理
在某些情景中,可作為離散組件管理一網路(例如,圖1之網路100 )之節點。然而,在此等情景中,改變與離散組件相關聯之一或多 個識別碼參數可能不會(a)最小化一攻擊表面或(b)減小一成功攻擊之一機率。因此,本發明提供用於達成(a)及(b)之解決方案。
此等解決方案通常涉及以一整體方式而非以一離散組件方式檢視一網路。在此方面中,該等解決方案包括回應於一前瞻性/反應性觸發事件而動態地改變一網路狀態。一網路狀態至少由以下各項中之一或多者定義:子網路參數、端點配置參數、通信規範參數、網路管線配置參數、協定參數、封包參數、網路雜訊參數及任務計劃識別參數。除任務計劃識別參數之外的所有其他參數係此項技術中眾所周知的且因此將不在本文中詳細闡述。然而,應理解,可簡單地藉由修改所列示參數中之一或多者而改變一網路狀態。舉例而言,一網路狀態修改可涉及改變:網路節點所採用之一通信協定;將使用一特定通信協定之網路節點之一數目;及/或將用於促進在網路節點上運行之應用程式之間的通信之通信路徑。
改變該等參數之方式可由一網路管理者人工地完成或根據在網路內實施之一或多個網路管理計劃/規則自動地完成。每一網路管理計劃/規則可定義兩個或兩個以上子網路且規定在發生一前瞻性/反應性觸發事件時子網路將使用哪些任務計劃。舉例而言,一網路管理計劃/規則可規定:網路節點1至3構成一第一子網路;網路節點4至6構成一第二子網路;在僅接在一第一觸發事件(例如,一預定義時間週期之期滿)之後的一持續時間期間,第一子網路將採用任務計劃A且第二子網路將採用任務計劃B;及在緊接在一第二觸發事件(例如,用於命令一網路狀態改變之使用者-軟體互動)之後的一持續時間期間,第一子網路將採用任務計劃C且第二子網路將採用任務計劃D。
現在參考圖19,其提供一網路1900 之一示意性圖解說明,其中可在其操作期間動態地修改其狀態。如圖19中所展示,網路1900 具有一匯流排狀網路拓撲。本發明之實施例不限於此方面。舉例而言,另 一選擇係,網路1900 可具有一星形網路拓撲、一環形網路拓撲或一網狀網路拓撲。在所有此等拓撲情景中,網路1900 包括複數個網路節點,諸如圖19中所展示之節點1904至1922 。網路節點19041906191019121916191819201922 中之每一者相同或實質上類似於圖1之一節點101至104111112 。類似地,每一節點19081914 相同或實質上類似於圖1之一節點108109 。同樣,節點1907191119171919 中之每一者相同或實質上類似於圖1之一節點105至107113114 。上文關於節點101至104108109111至114 所提供之說明足以理解節點1904至1922
在網路1900 之操作期間,該等網路節點經配置以定義兩個或兩個以上子網路19301940 。子網路19301940 以功能上不同之方式同時操作以便提供兩個全異且單獨網路之一表觀,藉此阻撓一對手對網路1900 之實際實體及功能架構之檢視。舉例而言,在一操作持續時間D1 期間,子網路1930 之網路節點以由一任務計劃A規定之一功能方式操作,且子網路1940 之網路節點以由一任務計劃B規定之一不同功能方式操作。在下一操作持續時間D2 中,子網路1930 之網路節點以由一任務計劃C規定之一功能方式操作,且子網路1940 之網路節點以由一任務計劃D規定之一不同功能方式操作。如上文所闡述,任務計劃A至D可回應於前瞻性/反應性觸發事件而改變。
貫穿每一持續時間D1 及D2 ,基於由子網路19301940 實施之至少一個任務計劃而選擇性地判定其功能拓撲。功能拓撲規定待將子網路19301940 之節點在通信上彼此隔離以便形成兩個全異且單獨網路之一表觀之方式。在此情景中,在操作持續時間D1 及D2 期間,子網路1940 之網路節點不能與子網路1930 之網路節點雙向地通信。因此,若根據任務計劃A操作之一第一節點(例如,節點1904 )回應查驗(ping)根據任務模型B操作之一第二節點(例如,節點1912 ),則該第一節點將 不自該第二節點接收一回應,且反之亦然。因此,一對手不能判定網路1900 之實際實體架構。
如圖19中所展示,網路1900 之一節點1950 經配置以充當用於在通信上連接子網路19301940 之節點之一閘道器或網路橋接器1950 。因此,子網路19301940 之節點可經由節點1950 間接彼此通信。閘道器及網路橋接器係此項技術中眾所周知的且因此將不在本文中闡述。然而,應注意,閘道器或網路橋接器1950 可使用一LUT來判定網路節點屬於哪一子網路19301940 。在某些實施例中,可根據子網路架構改變動態地更新LUT。另一選擇係,在一子網路架構改變之後,一不同節點可用作閘道器或橋接器。下文將闡述子網路架構改變。
雖然圖19中將網路1900 展示為具有兩個靜態子網路架構,但本發明之實施例不限於此方面。舉例而言,網路1900 可在不同操作持續時間期間具有不同子網路架構。圖20至圖21中展示此一網路配置。
在圖20中,在一操作持續時間DA 期間,將網路節點1904至1922 劃分成兩個子網路20022004 。在發生一觸發事件後,旋即在不對網路1900 進行實體修改之情況下(亦即,在不添加及/或移除一實體裝置之情況下)改變網路1900 之子網路架構。此外,將網路1900 所採用之任務計劃E、F改變為其他任務計劃。圖21中示意性地圖解說明此情況。
如圖21中所展示,在發生一前瞻性/反應性觸發事件後,旋即將子網路20022004 切換為子網路21022104 。子網路21022104 中之每一者包括圖20之子網路20022004 中所含有之網路節點之一部分。更具體而言,子網路2102 包括網路節點1904至1912 。子網路2104 包括網路節點1914至1922
一旦已建立或簡單選擇子網路21022104 ,即在網路1900 內部署新任務計劃G及H。具體而言,在子網路2102 中部署任務計劃G。在 子網路2104 中部署任務計劃H。任務計劃之部署可涉及:命令每一網路節點將一任務計劃E或F切換為一任務計劃G或H;存取每一網路節點之一局部資料儲存區(未展示);自局部資料儲存區(未展示)讀取一任務計劃G或H;及在每一網路節點處執行用於促進一子網路21022104 內之一任務計劃G或H之一實施方案之軟體。另一選擇係或另外,任務計劃部署可涉及:存取網路1900 之一中央資料儲存區(未展示);自該資料儲存區讀取任務計劃G及H;將任務G或H傳達至一各別子網路21022104 之每一節點;及在每一網路節點處執行用於促進一任務計劃G或H之一實施方案之軟體。
值得注意的是,在圖20至圖21中,在持續時間DA 及DB 期間利用同一網路節點1950 作為一閘道器或橋接器。本發明之實施例不限於此方面。舉例而言,在持續時間DA 及DB 期間可使用不同網路節點作為一閘道器或橋接器。可由一網路管理員根據一網路管理計劃/規則及/或根據一任務計劃選擇「閘道器或橋接器」節點。
現在參考圖22,其提供用於理解本發明之用於網路狀態管理之一例示性方法。如圖22中所展示,方法2200 以步驟2202 開始且以步驟2204 繼續。步驟2204 涉及定義至少複數個子網路。該等子網路可包含但不限於一第一子網路(例如,圖19之子網路1930 或圖20之子網路2002 )、一第二子網路(例如,圖19之子網路1940 或圖20之子網路2004 )、一第三子網路(例如,圖21之子網路2102 )及一第四子網路(例如,圖21之子網路2104 )。可在至少一個網路管理計劃/規則中定義該等子網路。網路管理計劃/規則可儲存於一網路(例如,圖19之網路1900 )之一中央資料儲存區中。
在定義子網路之後,方法2200 以步驟2206 繼續,其中選擇至少兩個任務計劃以供由每一子網路實施。舉例而言,選擇一任務計劃A、C及/或E以供由第一子網路(例如,圖19之子網路1930 或圖20之子 網路2002 )實施。選擇一任務計劃B、D及/或F以供由第二子網路(例如,圖19之子網路1940 或圖20之子網路2004 )實施。選擇一任務計劃G以用於第三子網路(例如,圖21之子網路2102 )之實施方案。選擇一任務計劃H以用於第四子網路(例如,圖21之子網路2104 )之實施方案。 可在網路管理計劃/規則中識別任務計劃以便與各別子網路相關聯。
在下一步驟2208 中,規定用於致使一網路狀態之一改變(亦即,一子網路架構之一改變及/或由子網路實施之任務計劃之一改變)之至少一個觸發事件。該觸發事件可包含但不限於上文所闡述之前瞻性觸發事件及反應性觸發事件。舉例而言,該觸發事件可包含命令一網路狀態改變之一使用者-軟體互動或自最後一次網路狀態改變以來之一預定義時間週期(例如,二十四個小時)之一期滿。可在網路管理計劃/規則中將該觸發事件規定為指示將在何時改變一網路狀態及應修改哪些參數以致使該網路狀態改變。此等參數可包含但不限於子網路參數、端點配置參數、通信規範參數、網路管線配置參數、協定參數、封包參數、網路雜訊參數及/或任務計劃識別參數。所列示參數中之每一者係此項技術中眾所周知的且因此將不在本文中詳細闡述。
在完成步驟2208 後,旋即執行步驟2210 ,其中在網路(例如,圖19之網路1900 )內建立至少第一子網路及第二子網路。用於建立子網路之方法係此項技術中眾所周知的且因此將不在本文中闡述。用於建立一子網路之任何此類已知或將知曉之方法可在不具有限制之情況下與本發明一起使用。
接下來,在步驟2212 中,在第一子網路中部署一第一任務計劃,且在第二子網路中部署一第二任務計劃。可根據網路管理計劃/規則部署該等第一及第二任務計劃。該等任務計劃之部署可涉及:命令第一子網路之網路節點實施第一任務計劃(例如,圖19之任務計劃A或圖20之任務計劃E);命令第二子網路之網路節點實施第二任務計劃 (例如,圖19之任務計劃B或圖20之任務計劃F);由網路節點中之每一者執行用以存取一局部資料儲存區並自其讀取第一或第二任務計劃之操作;及在每一網路節點處執行用於促進第一或第二任務計劃之一實施方案之軟體。另一選擇係或另外,任務計劃部署可涉及:由一網路管理電腦執行用以存取網路之一中央資料儲存區並自其讀取第一及第二任務計劃之動作;將第一任務計劃傳達至第一子網路之每一節點且將第二任務計劃傳達至第二子網路之每一節點;及在每一網路節點處執行用於促進第一或第二任務計劃之一實施方案之軟體。
在於網路中部署第一及第二任務計劃之後,由第一及第二子網路根據第一及第二任務計劃執行操作,如步驟2214 所展示。在第一及第二子網路之操作期間,在步驟2216 中偵測一觸發事件。該觸發事件可包含但不限於上文所闡述之前瞻性觸發事件及/或反應性觸發事件。回應於偵測到該觸發事件,方法2200 以步驟2218至2220 繼續以改變網路之一狀態。
步驟2218 涉及在不實體地修改網路(例如,圖19之網路1900 )之情況下建立至少第三及第四子網路。第三及第四子網路中之每一者可相同或不同於第一及第二子網路中之一者。如上文所述,用於建立子網路之方法係此項技術中眾所周知的且因此將不在本文中闡述。任何此類已知或將知曉之方法可在不具有限制之情況下在步驟2218 中使用。
步驟2220 涉及在第三子網路中部署一第三任務計劃且在第四子網路中部署一第四任務計劃。第三及第四任務計劃中之每一者相同或不同於第一及第二任務計劃。此後,在步驟2222 中由第三及第四子網路中之每一者根據第三或第四任務計劃執行操作。在下一步驟2224 中,方法2200 結束或執行其他處理。
雖然已關於一或多個實施方案圖解說明及闡述了本發明,但熟習此項技術者在閱讀及理解本說明書及隨附圖式之後將想到等效更改 及修改。另外,儘管可能已關於數種實施方案中之僅一者揭示了本發明之一特定特徵,但此特徵可與其他實施方案之一或多個其他特徵組合,此對於任何給定或特定應用可能係合意的及有利的。因此,本發明之廣度及範疇不應受上文所闡述之實施例中之任一者限制。而是,本發明之範疇應根據以下申請專利範圍及其等效形式來定義。
100‧‧‧電腦網路/網路
101‧‧‧用戶端電腦/計算裝置/節點
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦/計算裝置/節點
104‧‧‧網路管理電腦/節點
105‧‧‧模組/節點
106‧‧‧模組
107‧‧‧模組/節點
108‧‧‧網路層2交換器/層2交換器/網路節點/集線器/計算裝置/模 組/節點
109‧‧‧網路層2交換器/層2交換器/網路節點/節點
110‧‧‧層3交換器/網路節點/節點
111‧‧‧伺服器/節點
112‧‧‧伺服器/計算裝置/節點
113‧‧‧模組/節點
114‧‧‧模組/節點
115‧‧‧橋接器/節點
120‧‧‧識別碼參數集合
122‧‧‧新/經修改識別碼參數集合/識別碼參數集合
124‧‧‧第二網路
130‧‧‧第一邏輯網路/邏輯網路
132‧‧‧第二邏輯網路/邏輯網路
201‧‧‧資料埠
202‧‧‧資料埠

Claims (10)

  1. 一種供在一電腦網路中使用之方法,其包括:由該電腦網路之一第一子網路根據一第一任務計劃來執行操作,該第一任務計劃規定用於偽隨機地修改與該電腦網路之至少一個第一計算裝置相關聯之至少一個第一識別碼參數之一第一程序以規定假資訊;由該電腦網路之一第二子網路根據一第二任務計劃來執行操作,該第二任務計劃規定用於偽隨機地修改與該電腦網路之至少一個第二計算裝置相關聯之至少一個第二識別碼參數之一第二程序以規定假資訊,該第二任務計劃不同於該第一任務計劃;基於該等第一及第二任務計劃中之至少一者,選擇性地判定該等第一及第二子網路中之至少一者之一功能拓撲,該功能拓撲規定待將該第一子網路之節點與該第二子網路之節點在通信上隔離而形成兩個不同且分離的網路之一表觀之一方式;偵測用於觸發該電腦網路之一狀態之一改變之一第一事件;及回應於該偵測到該第一事件而動態地且自動地改變該等第一及第二子網路之一功能拓撲,此係藉由修改該電腦網路之多個子網路之至少一者及重新指派至少一節點,該至少一節點僅藉由執行在該電腦網路中之邏輯操作而將該等第一及第二子網路至少一者定義到該電腦網路之另一子網路,其中在不對該電腦網路進行實體修改的情況下,建立該等第一及第二子網路。
  2. 如請求項1之方法,其中藉由改變由該電腦網路實施之一任務計劃而修改該狀態。
  3. 如請求項1之方法,其進一步包含建立各自不同於該等第一及第二子網路之一第三子網路及一第四子網路。
  4. 如請求項3之方法,進一步包括:由該第三子網路根據一第三任務計劃且由該第四子網路根據一第四任務計劃來執行操作,該等第三及第四任務計劃中之至少一者不同於該等第一及第二任務計劃。
  5. 如請求項1之方法,其中該第一事件包括命令該狀態之一改變之一使用者-軟體互動或一預定義時間週期之一期滿。
  6. 如請求項1之方法,其中藉由修改以下各項中之至少一者而改變該狀態:一子網路參數、一端點配置參數、一通信規範參數、一網路管線配置參數、一協定參數、一封包參數及一網路雜訊參數。
  7. 如請求項1之方法,進一步包括:配置該電腦網路之至少一個第一網路節點以充當該等第一與第二子網路之間之一閘道器或橋接器。
  8. 一種用於動態地改變網路狀態之系統,其包括:多個網路節點之一電腦網路,其包含一第一子網路,該第一子網路根據一第一任務計劃來執行操作,該第一任務計劃規定用於偽隨機地修改與該電腦網路之至少一個第一計算裝置相關聯之至少一個第一識別碼參數之一第一程序以規定假資訊;及一第二子網路,該第二子網路根據一第二任務計劃來執行操作,該第二任務計劃規定用於偽隨機地修改與該電腦網路之至少一個第二計算裝置相關聯之至少一個第二識別碼參數之一第二程序以規定假資訊,該第二任務計劃不同於該第一任務計劃;及一計算裝置,其偵測用於觸發該電腦網路之一狀態之一改變之 一第一事件;其中基於該等第一及第二任務計劃中之至少一者來選擇性地判定該等第一及第二子網路中之至少一者之一功能拓撲,該功能拓撲規定待將該第一子網路之節點與該第二子網路之節點在通信上隔離而形成兩個不同且分離的網路之一表觀之一方式;其中該電腦網路之多個子網路之至少一者及至該電腦網路之該等第一及第二子網路之至少第一者之至少一節點之一指派係僅藉由由該電腦網路執行邏輯操作以回應於該偵測該第一事件而動態地且自動地改變;且其中在不對該電腦網路進行實體修改的情況下,建立該等第一及第二子網路。
  9. 如請求項8之系統,其中藉由改變由該電腦網路實施之一任務計劃而修改該狀態。
  10. 如請求項8之系統,其中藉由在不對該電腦網路進行實體修改的情況下改變該電腦網路之一子網路架構而修改該狀態。
TW102115547A 2012-05-01 2013-04-30 用於動態地改變網路狀態之系統及方法 TWI514184B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US13/461,042 US8935786B2 (en) 2012-05-01 2012-05-01 Systems and methods for dynamically changing network states

Publications (2)

Publication Number Publication Date
TW201351190A TW201351190A (zh) 2013-12-16
TWI514184B true TWI514184B (zh) 2015-12-21

Family

ID=48444589

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102115547A TWI514184B (zh) 2012-05-01 2013-04-30 用於動態地改變網路狀態之系統及方法

Country Status (5)

Country Link
US (1) US8935786B2 (zh)
KR (1) KR101532190B1 (zh)
CN (1) CN104322028B (zh)
TW (1) TWI514184B (zh)
WO (1) WO2013165863A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI630488B (zh) * 2017-08-04 2018-07-21 中華電信股份有限公司 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015116768A2 (en) 2014-01-29 2015-08-06 Sipn, Llc Systems and methods for protecting communications
US9325676B2 (en) * 2012-05-24 2016-04-26 Ip Ghoster, Inc. Systems and methods for protecting communications between nodes
US10778659B2 (en) 2012-05-24 2020-09-15 Smart Security Systems Llc System and method for protecting communications
US20160323313A1 (en) * 2013-05-31 2016-11-03 Tt Government Solutions, Inc. Moving-target defense with configuration-space randomization
US9479506B2 (en) 2014-04-16 2016-10-25 Intel Corporation At least one mechanism to permit, at least in part, allocation and/or configuration, at least in part, of at least one network-associated object
US20160092670A1 (en) * 2014-09-30 2016-03-31 Frank Douglas Moseley Answer Question User Authentication Process
CN108604221B (zh) * 2015-11-25 2022-09-09 安东·弗兰茨·约瑟夫·弗利里 用于比较多个交互网络中的对象诱发的信息流的方法和描述符
EP3267639B1 (en) * 2016-07-06 2019-12-25 Alcatel Lucent Congestion control within a communication network
US10600001B2 (en) 2017-02-09 2020-03-24 Facebook, Inc. Determining a target device profile including an expected behavior for a target device
US10361913B2 (en) * 2017-02-09 2019-07-23 Kodacloud Inc. Determining whether to include or exclude device data for determining a network communication configuration for a target device
KR102231040B1 (ko) * 2018-02-05 2021-03-23 한국전자기술연구원 링 구조의 이중화 이더넷을 위한 데이터 통신방법
US11194930B2 (en) 2018-04-27 2021-12-07 Datatrendz, Llc Unobtrusive systems and methods for collecting, processing and securing information transmitted over a network

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7043633B1 (en) * 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
US7469279B1 (en) * 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
TW201008177A (en) * 2008-07-31 2010-02-16 Hewlett Packard Development Co Selectively re-mapping a network topology
US7739497B1 (en) * 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
US20100274923A1 (en) * 2000-06-14 2010-10-28 Verizon Corporate Services Group Inc. Method and apparatus for dynamic mapping

Family Cites Families (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5734649A (en) 1996-05-31 1998-03-31 Bbn Corporation Data packet router
US6052064A (en) 1997-10-30 2000-04-18 Motorola, Inc. Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones
US6646989B1 (en) 1998-06-29 2003-11-11 Lucent Technologies Inc. Hop-by-hop routing with node-dependent topology information
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US6826616B2 (en) 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
EP3086533B1 (en) 1998-10-30 2019-09-11 VirnetX Inc. An agile network protocol for secure communications with assured system availability
US7240368B1 (en) 1999-04-14 2007-07-03 Verizon Corporate Services Group Inc. Intrusion and misuse deterrence system employing a virtual network
US6981146B1 (en) 1999-05-17 2005-12-27 Invicta Networks, Inc. Method of communications and communication network intrusion protection methods and intrusion attempt detection system
US6934763B2 (en) 2000-04-04 2005-08-23 Fujitsu Limited Communication data relay system and method of controlling connectability between domains
US7236598B2 (en) 2000-05-23 2007-06-26 Invicta Networks, Inc. Systems and methods for communication protection
US8677505B2 (en) 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
FI110464B (fi) 2001-04-26 2003-01-31 Nokia Corp IP-tietoturva ja liikkuvat verkkoyhteydet
US7085267B2 (en) 2001-04-27 2006-08-01 International Business Machines Corporation Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet
US6917974B1 (en) 2002-01-03 2005-07-12 The United States Of America As Represented By The Secretary Of The Air Force Method and apparatus for preventing network traffic analysis
US7114005B2 (en) 2002-02-05 2006-09-26 Cisco Technology, Inc. Address hopping of packet-based communications
US7712130B2 (en) 2002-03-22 2010-05-04 Masking Networks, Inc. Multiconfigurable device masking shunt and method of use
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7216359B2 (en) 2002-12-19 2007-05-08 International Business Machines Corporation Secure communication overlay using IP address hopping
WO2004097584A2 (en) 2003-04-28 2004-11-11 P.G.I. Solutions Llc Method and system for remote network security management
US20050038708A1 (en) 2003-08-10 2005-02-17 Gmorpher Incorporated Consuming Web Services on Demand
WO2005029782A1 (ja) 2003-09-22 2005-03-31 Sharp Kabushiki Kaisha 集線装置、中継制御方法、中継制御プログラム、中継制御プログラムを記録した記録媒体、情報処理装置、dhcpサーバ、dhcp処理方法、dhcp処理プログラム、dhcp処理プログラムを記録した記録媒体、および情報処理システム
US7382778B2 (en) 2004-01-05 2008-06-03 Tropos Networks, Inc. Link layer emulation
CN100499540C (zh) 2004-03-03 2009-06-10 三菱电机株式会社 第二层交换网络系统
US7493414B2 (en) 2004-04-20 2009-02-17 The Boeing Company Apparatus and methods relating to web browser redirection
US20080205399A1 (en) 2004-09-30 2008-08-28 Christophe Delesalle Method and System for Routing in Communication Networks Between a First Node and a Second Node
US9383750B2 (en) 2004-12-02 2016-07-05 Lockheed Martin Corporation System for predictively managing communication attributes of unmanned vehicles
WO2006075323A2 (en) 2005-01-13 2006-07-20 Flash Networks Ltd Method and system for optimizing dns queries.
US7996894B1 (en) 2005-02-15 2011-08-09 Sonicwall, Inc. MAC address modification of otherwise locally bridged client devices to provide security
US7937756B2 (en) 2005-08-19 2011-05-03 Cpacket Networks, Inc. Apparatus and method for facilitating network security
JP4626811B2 (ja) 2005-09-29 2011-02-09 日本電気株式会社 ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
US8199677B1 (en) 2005-12-14 2012-06-12 Rockwell Collins, Inc. Distance vector routing via multi-point relays
US7890612B2 (en) 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
JP4732257B2 (ja) 2006-07-07 2011-07-27 富士通株式会社 中継装置、経路制御方法、及び経路制御プログラム
US8136162B2 (en) 2006-08-31 2012-03-13 Broadcom Corporation Intelligent network interface controller
US8189460B2 (en) 2006-12-28 2012-05-29 Cisco Technology, Inc. Method and system for providing congestion management within a virtual talk group
JP2008177714A (ja) 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
US7853998B2 (en) 2007-03-22 2010-12-14 Mocana Corporation Firewall propagation
US7853680B2 (en) 2007-03-23 2010-12-14 Phatak Dhananjay S Spread identity communications architecture
US8464334B1 (en) 2007-04-18 2013-06-11 Tara Chand Singhal Systems and methods for computer network defense II
US8301789B2 (en) 2007-06-18 2012-10-30 Emc Corporation Techniques for port hopping
US7836354B2 (en) 2007-07-02 2010-11-16 Verizon Patent And Licensing Inc. Method and system for providing automatic disabling of network debugging
US20090059788A1 (en) 2007-08-29 2009-03-05 Motorola, Inc. Method and Apparatus for Dynamic Adaptation of Network Transport
US8560634B2 (en) 2007-10-17 2013-10-15 Dispersive Networks, Inc. Apparatus, systems and methods utilizing dispersive networking
US8539098B2 (en) 2007-10-17 2013-09-17 Dispersive Networks, Inc. Multiplexed client server (MCS) communications and systems
WO2009052452A2 (en) 2007-10-17 2009-04-23 Dispersive Networks Inc. Virtual dispersive routing
US20090165116A1 (en) 2007-12-20 2009-06-25 Morris Robert P Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity
CN101521569B (zh) 2008-02-28 2013-04-24 华为技术有限公司 实现服务访问的方法、设备及系统
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
CN101754471A (zh) * 2008-12-09 2010-06-23 中兴通讯股份有限公司 无线局域网接入设备的工作模式切换方法、装置
US9042549B2 (en) 2009-03-30 2015-05-26 Qualcomm Incorporated Apparatus and method for address privacy protection in receiver oriented channels
US8139504B2 (en) 2009-04-07 2012-03-20 Raytheon Bbn Technologies Corp. System, device, and method for unifying differently-routed networks using virtual topology representations
US8553849B2 (en) 2009-06-17 2013-10-08 Avaya Inc. Personal identification and interactive device for internet-based text and video communication services
US20100333188A1 (en) 2009-06-29 2010-12-30 Politowicz Timothy J Method for protecting networks against hostile attack
US8793792B2 (en) 2010-05-07 2014-07-29 Raytheon Company Time-key hopping
US9225656B2 (en) * 2011-02-07 2015-12-29 Brocade Communications Systems, Inc. Quality of service in a heterogeneous network
US9202078B2 (en) 2011-05-27 2015-12-01 International Business Machines Corporation Data perturbation and anonymization using one way hash
US8495738B2 (en) 2011-10-21 2013-07-23 Lockheed Martin Corporation Stealth network node

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100274923A1 (en) * 2000-06-14 2010-10-28 Verizon Corporate Services Group Inc. Method and apparatus for dynamic mapping
US7043633B1 (en) * 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
US7739497B1 (en) * 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
US7469279B1 (en) * 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
TW201008177A (en) * 2008-07-31 2010-02-16 Hewlett Packard Development Co Selectively re-mapping a network topology

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI630488B (zh) * 2017-08-04 2018-07-21 中華電信股份有限公司 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統

Also Published As

Publication number Publication date
CN104322028A (zh) 2015-01-28
US20130298235A1 (en) 2013-11-07
TW201351190A (zh) 2013-12-16
US8935786B2 (en) 2015-01-13
CN104322028B (zh) 2016-03-16
WO2013165863A1 (en) 2013-11-07
KR20150006039A (ko) 2015-01-15
KR101532190B1 (ko) 2015-06-26

Similar Documents

Publication Publication Date Title
TWI489314B (zh) 用於使用影子網路技術以識別、阻斷及/或延遲對一網路之攻擊的系統及方法
TWI514184B (zh) 用於動態地改變網路狀態之系統及方法
TWI582636B (zh) 用於電腦網路之企業任務管理之系統及方法
TWI496446B (zh) 一動態電腦網路中用於通信之雜訊、加密及誘餌
TWI506999B (zh) 自發地配置一電腦網路之系統及方法
TWI516072B (zh) 於原有硬體中實施活動目標技術之系統及方法
TW201407405A (zh) 在一動態電腦網路中過濾通信之防火牆
TWI464618B (zh) 於動態電腦網路中用於交流資料之路由器
TWI510956B (zh) 交換器及用於在將複數個裝置連接至動態電腦網路之交換器中使用之方法
TWI479860B (zh) 具有可變識別參數之動態電腦網路
TWI496445B (zh) 動態電腦網路之任務管理
US9338183B2 (en) Session hopping
TWI479357B (zh) 用於與一動態電腦網路進行通訊之橋接
US9264496B2 (en) Session hopping

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees