TWI582636B - 用於電腦網路之企業任務管理之系統及方法 - Google Patents

用於電腦網路之企業任務管理之系統及方法 Download PDF

Info

Publication number
TWI582636B
TWI582636B TW103138419A TW103138419A TWI582636B TW I582636 B TWI582636 B TW I582636B TW 103138419 A TW103138419 A TW 103138419A TW 103138419 A TW103138419 A TW 103138419A TW I582636 B TWI582636 B TW I582636B
Authority
TW
Taiwan
Prior art keywords
network
computer network
mission plan
plan
mission
Prior art date
Application number
TW103138419A
Other languages
English (en)
Other versions
TW201528033A (zh
Inventor
偉恩B 史密斯
尼伯M 瑪格麗特
艾喜莉M 寇普曼
Original Assignee
賀利實公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 賀利實公司 filed Critical 賀利實公司
Publication of TW201528033A publication Critical patent/TW201528033A/zh
Application granted granted Critical
Publication of TWI582636B publication Critical patent/TWI582636B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • H04L41/0873Checking configuration conflicts between network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

用於電腦網路之企業任務管理之系統及方法
發明性配置係關於電腦網路安全性,且更特定而言係關於用於在一電腦網路之兩個或兩個以上邏輯子區之間通信之系統,其中該網路可動態地操縱以抵禦惡意攻擊。
當前網路基礎結構之主要弱點係其靜態本性。資產接收永久或不常改變之識別,此允許對手幾乎不限時間地探測網路、映射及利用漏洞。另外,可擷取在此等固定實體之間行進之資料及給該資料賦予屬性。網路安全性之當前方法圍繞固定資產應用諸如防火牆及入侵偵測系統等技術,且使用加密來保護途中之資料。然而,此傳統方法根本上存在缺陷,此乃因其給攻擊者提供一固定目標。在今天之全球連接之通信基礎結構中,靜態網路係易受攻擊之網路。
國防進階研究計劃局(「DARPA」)資訊保證(「IA」)項目已執行動態網路防禦領域中之初始研究。在IA項目下開發用以出於使觀察網路之任何潛在對手混淆之目的而動態地重新指派饋送至一預先指定之網路飛地中之網際網路協定(「IP」)位址空間之一技術。此技術稱作動態網路位址變換(「DYNAT」)。在於2001年公佈之標題為「Dynamic Approaches to Thwart Adversary Intelligence」之DARPA之一論文中提出了DYNAT技術之一概述。
本發明之實施例係關於用於其中節點操作可動態地組態之一電腦網路之企業任務管理之系統及方法。該方法涉及將該電腦網路組態為根據至少一個第一任務計劃操作。該第一任務計劃規定將由該電腦網路之至少一個第一節點動態地修改至少一個第一身分識別參數(「IDP」)之一經指派值之一方式。此後,在該電腦網路內偵測指示需要在該電腦網路內實施一新任務計劃之一第一觸發事件。可基於以下各項來偵測該第一觸發事件:正在該電腦網路內傳達之一封包之內容、該電腦網路之一擁塞等級、該電腦網路之一狀態、該電腦網路內之使用者活動,及/或對該電腦網路之惡意攻擊。
回應於該觸發事件,獲得一第二任務計劃。該第二任務計劃規定將由該電腦網路之至少一個第二節點動態地修改至少一個第二IDP之一經指派值之一方式。在某些情景中,藉由以下各項來獲得該第二任務計劃:基於一新任務之要求及來自分析該電腦網路之操作態樣之結果自複數個預儲存之任務計劃選擇一任務計劃;基於一新任務之要求及來自分析該電腦網路之操作態樣之結果而自動地產生一任務計劃;或基於以下各項中之至少一者而動態地產生一任務計劃:一任務之一操作概念、該電腦網路之一架構、該電腦網路之資源之間的關係,及與複數個IDP相關聯之有效性分級。
接下來,做出關於在由該第二任務計劃定義之該第二節點之操作與由該第一任務計劃定義之該第一節點之操作之間是否存在任何衝突之一判定。若判定在由該第一任務計劃及該第二任務計劃定義之該第一節點及該第二節點之操作之間不存在衝突,則該電腦網路之操作經組態以進一步根據該第二任務計劃操作。相比而言,若判定在由該第一任務計劃及該第二任務計劃定義之該第一節點及該第二節點之操作之間確實存在一衝突,則修改該第二任務計劃以獲得一第三任務計 劃。隨後,做出關於在由該第三任務計劃定義之一第三節點之操作與由該第一任務計劃定義之該第一節點之操作之間是否存在任何衝突之一判定。若判定在如由該第一任務計劃及該第三任務計劃定義之該第一節點及該第三節點之操作之間不存在衝突,則該電腦網路之操作經組態以根據該第三任務計劃操作。
在某些情景中,該方法亦可涉及判定該電腦網路是否應繼續根據作用之第一任務計劃或第二任務計劃操作。若判定該電腦網路不應繼續根據作用之該第一任務計劃或該第二任務計劃操作,則執行操作以:重新組態該電腦網路以使得該電腦網路不再根據該第一任務計劃或該第二任務計劃操作;及/或重新組態該電腦網路以根據一第三任務計劃而非該第一任務計劃或該第二任務計劃操作。
100‧‧‧例示性電腦網路/電腦網路
101‧‧‧用戶端電腦
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦
104‧‧‧網路管理電腦(NAC)
105‧‧‧模組
106‧‧‧模組
107‧‧‧模組
108‧‧‧層2交換器/網路節點/集線器
109‧‧‧層2交換器/網路節點
110‧‧‧層3交換器/網路節點
111‧‧‧伺服器
112‧‧‧伺服器
113‧‧‧模組
114‧‧‧模組
115‧‧‧橋接器
120‧‧‧身分識別參數(IDP)集合/身分識別參數/身分識別參數值
122‧‧‧身分識別參數(IDP)集合/身分識別參數/假值/假身分識別參數
124‧‧‧第二網路
130‧‧‧第一邏輯網路/邏輯網路
132‧‧‧第二邏輯網路/邏輯網路
201‧‧‧資料埠
202‧‧‧資料埠
204‧‧‧網路介面裝置
205‧‧‧網路介面裝置
206‧‧‧輸出緩衝器
208‧‧‧輸入緩衝器
210‧‧‧輸入緩衝器
212‧‧‧輸出緩衝器
215‧‧‧處理器
218‧‧‧記憶體
220‧‧‧任務計劃
400‧‧‧工作空間
402‧‧‧網路組件
404‧‧‧游標
406‧‧‧資料連接
500‧‧‧圖形使用者介面(GUI)
501‧‧‧核取方塊
502‧‧‧標籤
504‧‧‧標籤
506‧‧‧標籤
508‧‧‧使用者介面控制件/核取方塊
510‧‧‧使用者介面控制件/源位址方塊
512‧‧‧使用者介面控制件/目的地位址方塊
514‧‧‧使用者介面控制件/方塊
515‧‧‧使用者介面控制件/方塊
516‧‧‧使用者介面控制件/方塊
518‧‧‧使用者介面控制件/核取方塊
520‧‧‧使用者介面控制件/滑桿
522‧‧‧清單方塊
524‧‧‧清單方塊
528‧‧‧核取方塊
530‧‧‧核取方塊
532‧‧‧下拉式選單
600‧‧‧圖形使用者介面(GUI)
602‧‧‧控制件
603‧‧‧表
6041‧‧‧時槽
6042‧‧‧時槽
6043‧‧‧時槽
6044‧‧‧時槽
608‧‧‧時期
610‧‧‧按鈕
902‧‧‧網路控制軟體應用程式(NCSA)
904‧‧‧任務計劃
906‧‧‧通信媒體
1000‧‧‧圖形使用者介面(GUI)
1002‧‧‧任務計劃
1004‧‧‧「發送任務計劃」按鈕
1500‧‧‧例示性模組/例示性模組
1502‧‧‧顯示器單元
1508‧‧‧指令
1510‧‧‧電腦可讀儲存媒體
1512‧‧‧處理器
1516‧‧‧網路介面裝置
1517‧‧‧網路介面裝置
1518‧‧‧靜態記憶體
1520‧‧‧主記憶體
1522‧‧‧匯流排
1602‧‧‧顯示器單元
1604‧‧‧使用者輸入裝置
1606‧‧‧磁碟機單元
1608‧‧‧指令
1610‧‧‧電腦可讀儲存媒體
1612‧‧‧處理器
1614‧‧‧游標控制裝置
1616‧‧‧網路介面裝置
1618‧‧‧靜態記憶體
1620‧‧‧主記憶體
1622‧‧‧匯流排
1700‧‧‧例示性網路/網路
1702‧‧‧主機
1704‧‧‧模組
1706‧‧‧交換器/移動目標技術啟用交換器/MTT交換器
1708‧‧‧路由器
1709‧‧‧路由器
1710‧‧‧路由器
1711‧‧‧路由器
1712‧‧‧交換器
1714‧‧‧主機/伺服器
2000‧‧‧交換器
2001‧‧‧資料埠/埠
2002‧‧‧資料埠/埠
2004‧‧‧網路介面裝置
2005‧‧‧網路介面裝置
2006‧‧‧輸出緩衝器
2008‧‧‧輸入緩衝器
2010‧‧‧輸入緩衝器
2012‧‧‧輸出緩衝器
2014‧‧‧方向1處理
2015‧‧‧處理器
2016‧‧‧方向2處理
2018‧‧‧記憶體
2020‧‧‧任務計劃
2022‧‧‧表
將參考以下繪圖闡述實施例,其中遍及該等圖,相似編號表示相似物項,且其中:
圖1係對於理解本發明有用之一電腦網路之一實例。
圖2係在本發明中可用於執行IDP之特定操控之一模組之一實例。
圖3係用於手動地產生一任務計劃之一例示性處理程序之一流程圖。
圖4係對於理解可用以幫助表徵圖1中之網路之一工具有用之一圖式。
圖5係可用以選擇圖1中之模組之動態設定之一圖形使用者介面(「GUI」)之一實例。
圖6係可用以選擇與圖1中之每一模組相關聯之作用狀態及繞過狀態之一序列之一GUI之一實例。
圖7係用於自動地及動態地產生一任務計劃之一例示性處理程序 之一流程圖。
圖8係用於識別及解決任務計劃衝突之一例示性處理程序。
圖9係對於理解可將一任務計劃傳達至圖1中之網路中之複數個模組之方式有用之一圖式。
圖10係可用以自複數個任務計劃選擇一任務計劃並將選定任務計劃傳達至如圖9中所展示之模組之一例示性GUI之一示意性圖解說明。
圖11係對於理解圖1中之一模組之操作有用之一流程圖。
圖12係對於理解一電腦網路之一總體企業行為有用之一示意性圖解說明。
圖13係對於理解企業任務管理有用之一示意性圖解說明。
包括圖14A及圖14B之圖14係用於一動態電腦網路之企業任務管理之一例示性方法之一流程圖。
圖15係可用以實施圖1中之模組之一電腦架構之一方塊圖。
圖16係可用以實施圖1中所展示之一網路管理電腦(「NAC」)之一電腦架構之一方塊圖。
圖17係對於理解本發明有用之一電腦網路之一實例。
圖18係對於理解圖1中之一交換器之操作有用之一流程圖。
圖19係對於理解圖1中之一交換器之操作有用之一流程圖。
圖20係根據本發明可用以實施用於路由資料封包之方法之一交換器之一實例。
圖21係對於理解可修改之某些類型之IDP有用之一表。
參考附圖闡述本發明。該等圖未按比例繪製且其經提供以僅圖解說明本發明。為了圖解說明,下文參考實例性應用闡述本發明之數個態樣。應理解,陳述眾多特定細節、關係及方法以提供對本發明之 一完全理解。然而,熟習此項技術者將容易地認識到,可在不具有特定細節中之一或多者之情況下或藉助其他方法實踐本發明。在其他例項中,未詳細展示眾所周知之結構或操作以避免使本發明模糊。本發明不受行動或事件之所圖解說明之次序限制,此乃因某些行動可以不同於其他行動或事件之次序發生及/或與其他行動或事件同時發生。此外,並非需要所有所圖解說明之行動或事件來實施根據本發明之一方法。
亦應瞭解,本文中所使用之術語僅用於闡述特定實施例之目的而並非意欲限制本發明。如本文中所使用,單數形式「一(a及an)」及「該(the)」亦意欲包含複數形式,除非內容脈絡另外清楚地指示。此外,就在詳細說明及/或申請專利範圍中使用術語「包含(including、include)」、「具有(having、has及with)」或其變化形式而言,此等術語意欲以類似於術語「包括(comprising)」之一方式係包含性的。
此外,除非另外定義,否則本文中所使用之所有術語(包含技術及科學術語)皆具有與本發明所屬技術之技術者通常所理解相同之含義。應進一步理解,應將術語(諸如常用字典中所定義之彼等術語)解釋為具有與其在相關技術之內容脈絡中之含義一致之一含義,而不應以一理想化或過分形式化意義來解釋,除非本文中明確定義如此。
身分識別敏捷電腦網路
現在參考圖1,其展示包含複數個計算裝置之一例示性電腦網路100之一圖式。該計算裝置可包含用戶端電腦101至103,NAC 104,伺服器111112,網路層2交換器108109,層3交換器110及橋接器115。用戶端電腦101至103可係可能需要網路服務之任何類型之計算裝置,諸如一習用平板電腦、筆記本型電腦、膝上型電腦或桌上型電腦。層3交換器110可係在電腦網路之間路由資料封包之一習用路由裝置。層2交換器108109係如此項技術中眾所周知之習用集線器裝置 (例如,一乙太網路集線器)。伺服器111112可提供由用戶端電腦101至103利用之各種計算服務。舉例而言,伺服器111112可係提供用於由用戶端電腦101至103使用之電腦檔案之共用儲存之一位置之檔案伺服器。
用於電腦網路100之通信媒體可係有線的、無線的或兩者,但在本文中為了簡化及避免使本發明模糊而將闡述為一有線網路。該網路將使用一通信協定傳達資料。如此項技術中眾所周知,通信協定定義用於遍及網路傳達資料之格式及規則。圖1中之電腦網路100可使用現在已知或未來將知曉之任何通信協定或協定組合。舉例而言,電腦網路100可針對此等通信使用眾所周知之乙太網路協定套件。另一選擇係,電腦網路100可利用其他協定,諸如一網際網路協定套件(通常稱為傳輸控制協定/網際網路協定(「TCP/IP」)套件)之協定、基於同步光學網路/同步數字階層(「SONET/SDH」)之協定或非同步傳送模式(「ATM」)通信協定。在某些實施例中,此等通信協定中之一或多者可以組合方式使用。雖然圖1中展示一個網路拓撲,但本發明在此方面並不受限。而是,可使用任何類型之適合網路拓撲,諸如一匯流排網路、一星形網路、一環形網路或一網狀網路。
本發明大體而言係關於一種用於在一電腦網路中(例如,在電腦網路100中)傳達資料之方法,其中將資料自一第一計算裝置傳達至一第二計算裝置。該網路內之計算裝置用多個IDP表示。如本文中所使用,片語「身分識別參數或IDP」可包含諸如一IP位址、一媒體存取控制(「MAC」)位址、一埠編號等等物項。然而,本發明在此方面並不受限,且IDP亦可包含對於表徵一網路節點有用之多種其他資訊。下文進一步詳細地論述本文中所預期之各種類型之IDP。在某些情景中,IDP包含一資料封包之一標頭及/或包尾部分中所含有之彼等參數且不包含資料封包之一有效負載部分中所含有之彼等參數。仍然,實 施例並不限於彼等情景之細節。
發明性配置涉及使用移動目標技術(「MTT」)來操控電腦網路100內之一或多個計算裝置之此等IDP中之一或多者。此技術掩飾此等計算裝置之通信型樣及網路位址。如本文中所闡述之IDP之操控通常連同電腦網路100中之資料通信一起執行,亦即,在待將資料自網路中之一第一電腦(例如,用戶端電腦101)傳達至網路中之一第二電腦(例如,用戶端電腦102)時執行。因此,所操控之IDP可包含一源計算裝置(亦即,資料始發於其之裝置)及目的地計算裝置(亦即,資料正被傳輸至其之裝置)之彼等IDP。所傳達之IDP之集合在本文中稱為一IDP集合。此概念圖解說明於圖1中,其展示一IDP集合120作為一資料封包(未展示)之部分由用戶端電腦101傳輸。
根據發明性配置之處理程序涉及在電腦網路100內之一第一位置處選擇性地修改一資料封包或資料報中所含有之規定一源計算裝置及/或一目的地計算裝置之一或多個身分識別參數之值。根據一任務計劃修改IDP。其中執行此修改之位置將通常與電腦網路100之一個模組105至107113114之位置重合。再次參考圖1,可觀察到,模組105至107113114插入於電腦網路100中在構成此網路中之節點之各種計算裝置之間。在此等位置中,模組105至107113114攔截資料封包通信、執行IDP之必要操控且沿一傳輸路徑重新傳輸資料封包。在替代實施例中,模組105至107113114可執行一類似功能,但可直接整合至該等計算裝置中之一或多者中。舉例而言,該等模組可整合至用戶端電腦101102103,伺服器111112,層2交換器108109及/或層3交換器110中。
另外,電腦網路100可劃分成透過層3交換器110連接之若干個邏輯子區(有時稱為子網路(sub-network/subnet))。一企業網路可出於多種管理或技術原因而劃分成若干個子網路,該等原因包含但不限於隱 藏網路之拓撲以使其對外部主機不可見、利用不同網路協定連接網路、在子網路層級上單獨管理網路定址方案、由於經約束資料連接而啟用跨越子網路之資料訊務之管理及諸如此類。子網路分割為此項技術中眾所周知的且將不做進一步詳細闡述。
再次參考圖1,電腦網路100劃分成兩個邏輯網路,即,一第一邏輯網路130及一第二邏輯網路132。如本文中所使用,片語「邏輯網路」係指一電腦網路之任何邏輯子區。在一實施例中,邏輯網路130132透過層3交換器110連接。層3交換器110負責引導邏輯網路之間(亦即,自用戶端電腦101至用戶端電腦103)之訊務。層3交換器110亦負責引導自連接至電腦網路100之任何主機去往一第二網路124之訊務。在圖1中所展示之實施例中,自電腦網路100路由至第二網路124之訊務通過橋接器115。如同上文之模組,橋接器115之功能性可整合於層3交換器110內。
圖2中展示一模組105之一功能性方塊圖之一實例。圖1之模組106107113114可具有與圖2中所展示之功能性方塊圖類似之一功能方塊圖,但應理解,本發明在此方面並不受限。如圖2中所展示,模組105具有至少兩個資料埠201202,其中之每一者可對應於一各別網路介面裝置204205。在資料埠201處接收之資料在網路介面裝置204處處理且暫時儲存於一輸入緩衝器210處。處理器215存取輸入緩衝器210中所含有之輸入資料封包且執行如本文中所闡述之IDP之任何必要操控。經修改資料封包傳遞至輸出緩衝器212且隨後使用網路介面裝置205自資料埠202傳輸。類似地,在資料埠202處接收之資料在網路介面裝置205處處理且暫時儲存於一輸入緩衝器208處。處理器215存取輸入緩衝器208中所含有之輸入資料封包且執行如本文中所闡述之IDP之任何必要操控。經修改資料封包傳遞至一輸出緩衝器206且隨後使用網路介面裝置204自資料埠201傳輸。在模組105中,處 理器215根據儲存於一記憶體218中之一任務計劃220執行IDP之操控。
自圖2應理解,模組105較佳地經組態以使得其雙向地操作。在此等實施例中,取決於一特定資料封包之一源,模組105可實施不同修改功能。可根據一特定資料封包之一源計算裝置在任務計劃中規定模組105中之動態修改功能。模組105可藉由任何適合手段判定資料封包之一源。舉例而言,可出於此目的使用一資料封包之一源位址。
在操作期間,處理器215將判定將代替真IDP值使用之一或多個假IDP值。處理器215將使一或多個真IDP值變換為較佳地由一偽隨機函數規定之一或多個假IDP值。在此變換之後,模組105將沿一傳輸路徑將經修改封包或資料報轉發至電腦網路100之下一節點。在通信路徑中之後續點處,正監視此等網路通信之一對手將觀察到關於在電腦網路100上通信之計算裝置之身分識別之假的或不正確的資訊。
IDP值將具有由一通信協定定義之一預定格式。舉例而言,一IP位址及一MAC位址將各自具有一已知之預定格式。由於期望一攻擊者不能將真IDP與假IDP辨別開,因此假IDP值應具有與真IDP相同之格式。換言之,一假IDP應具有在使用一特定網路通信協定時通常針對該類型之IDP規定之所有正確特性及格式化。出於本發明之目的,預期可以明文形式傳輸IDP(亦即,資訊將不被加密)。藉由維持所傳輸資料封包中所包含之真及假IDP兩者之正確格式,系統確保觀察網路訊務之一對手無法有效地判定所傳輸IDP值實際上是真還是假。
在某些情景中,根據一或多個被動性觸發事件之發生而使由偽隨機函數規定之假IDP變化。一被動性觸發事件致使處理器215使用偽隨機函數來產生真IDP被變換成的一新的假IDP值集合。因此,被動性觸發事件充當本文中所闡述之假IDP之動態變化之一基礎。下文更詳細地論述被動性觸發事件。然而,應注意,用於選擇一新的假IDP值集合之被動性觸發事件可基於至少一個預定義規則。該規則包括定 義至少一個被動性觸發事件之一陳述式。就這一點而言,使用者規則可實施一基於封包檢驗之方案、基於擁塞等級之方案、一基於啟發性演算法之方案及/或一基於以網路為基礎之攻擊(「NBA」)之分析之方案。下文將詳細地闡述所列示方案中之每一者。
上文所闡述之IDP之變換提供出於阻撓一網路攻擊之目的而操縱一電腦網路100之一種方式。在某些情景中,由處理器215實施之任務計劃220亦將控制電腦網路100可操縱之方式之某些其他態樣。舉例而言,任務計劃220可規定操控IDP之一動態選擇。該動態選擇可包含對選擇哪些IDP進行修改及/或選擇此等IDP之一數目的一選擇。此可變選擇處理程序提供可用以進一步阻撓一對手滲入或瞭解一電腦網路100之努力之不確定性或變化之一添加之維度。作為此技術之一實例,考量在一第一時間週期期間,模組105可修改每一資料封包之一目的地IP位址及一目的地MAC位址。在一第二時間週期期間,模組105可操控每一資料封包中之源IP位址及一源主機名稱。在一第三時間週期期間,模組105可操控一源埠編號及一源使用者名稱。IDP之選擇之改變可同步地發生(亦即,同時改變所有選定IDP)。另一選擇係,IDP之選擇之改變可不同步地發生(亦即,選定IDP之群組隨給選定IDP之群組添加或移除個別IDP而遞增地改變)。
一偽隨機函數較佳地用於判定將操控或變換成假值之身分識別值之選擇。換言之,模組105將僅變換由偽隨機函數選擇之IDP。在某些情景中,根據一被動性觸發事件之發生使由偽隨機函數規定之IDP之選擇變化。被動性觸發事件致使處理器215使用一偽隨機函數來產生將變換成假IDP之IDP之一新選擇。因此,被動性觸發事件充當本文中所闡述之IDP之選擇之動態變化之一基礎。值得注意的是,亦可根據一偽隨機演算法使IDP之值變化。
模組105有利地能夠亦提供出於阻撓一網路攻擊之目的而操縱電 腦網路之一第三方法。具體而言,載入於模組105中之任務計劃220可使網路內之其中發生IDP之修改或變換之位置動態地變化。考量自用戶端電腦101發送至用戶端電腦102之一IDP集合120中之IDP之修改可發生於模組105中。此條件展示於圖1中,其中在模組105中操控IDP集合120中所含有之IDP以使得IDP集合120被變換為一新的或經修改之IDP集合122。與IDP集合120中之IDP相比,IDP集合122中之IDP中之至少某些IDP係不同的。但其中發生此變換之位置較佳地亦由任務計劃控制。因此,IDP集合120之操控可(舉例而言)有時發生在圖1之模組113114處而非在模組105處。使其中發生IDP之操控之位置選擇性地變化之此能力給電腦網路100之操縱能力添加又一重要維度。
藉由選擇性地控制圖1之每一模組105107113114之一操作狀態來促進其中修改IDP之位置之動態變化。為此目的,圖1之每一模組105107113114之操作狀態較佳地包含:(1)一作用狀態,其中根據一當前任務計劃處理資料;及(2)一繞過狀態,其中封包可流動通過模組,就如模組不存在一樣。藉由選擇性地致使電腦網路100之某些模組處於一作用狀態中且致使電腦網路100之某些模組處於一待用狀態中而控制其中執行動態修改之位置。可藉由以一協調方式使圖1之模組105107113114之當前狀態動態地變化而動態地改變該位置。
任務計劃220可包含用於判定電腦網路100內之其中將操控IDP之位置之一預定義序列。其中將操控IDP之位置將在由一被動性觸發事件指示之時間根據該預定義序列改變。舉例而言,被動性觸發事件可致使至用於如本文中所闡述之IDP之操控或變換之一新位置之一轉變。因此,被動性觸發事件充當其中修改IDP之位置之一改變之發生之一基礎,且預定義序列判定該新位置將在何處。
自前述內容,應瞭解,在圖1之一模組105107113114處修 改一資料封包以包含假IDP。在電腦網路100內之某一點處,使IDP還原至其真值以使得IDP可用以根據特定網路協定恰當地執行其既定功能係必要的。因此,發明性配置亦包含在一第二位置(亦即,一第二模組)處根據任務計劃220動態地修改IDP之經指派值。在第二位置處之修改本質上包括在第一位置處用以修改IDP之一處理程序的一逆處理程序。第二位置處之模組可因此使假值IDP還原或變換回至其真值。為了達成此動作,第二位置處之模組必須能夠判定至少:(1)將變換之IDP值之一選擇;及(2)選定IDP自假值至真值之一正確變換。實際上,此處理程序涉及用以判定IDP選擇之偽隨機處理程序及對此等IDP值達成之改變之一逆處理程序。逆變換步驟圖解說明於圖1中,其中在模組106處接收IDP集合122,且將IDP集合122中之IDP值變換或操控回至其原始或真值。在此情景中,模組106將IDP值轉換回至IDP集合120之彼等IDP值。
值得注意的是,一模組必須使判定恰當變換或操控之某一方式適用於其接收到之每一資料通信。在某些情景中,藉由檢查所接收資料通信內所含有之至少一源位址IDP而執行此判定。舉例而言,源位址IDP可包含一源計算裝置之一IP位址。一旦知曉源計算裝置之真身分識別,模組即諮詢任務計劃(或自任務計劃導出之資訊)以判定其需要採取哪些動作。舉例而言,此等動作可包含將某些真IDP值轉換為假IDP值。另一選擇係,此等改變可包含將假IDP值轉換回至真IDP值。
值得注意的是,將存在其中一所接收資料通信中所含有之源位址IDP資訊已改變為一假值之例項。在彼等情形下,接收資料通信之模組將不能立即判定資料通信之源之身分識別。然而,在此等例項中,接收通信之模組可仍識別源計算裝置。此在接收模組處藉由比較假源位址IDP值與一查找表(「LUT」)而達成,該查找表列示在一特 定時間期間使用之所有此等假源位址IDP值。LUT亦包含對應於假源位址值之真源位址IDP值之一清單。LUT可直接由任務計劃220提供或可由任務計劃220內所含有之資訊產生。在任一情況中,可自LUT容易地判定一真源位址IDP值之識別。一旦已判定真源位址IDP,則接收資料通信之模組可使用此資訊來判定(基於任務計劃)需要對IDP之哪些操控。
值得注意的是,任務計劃220亦可規定其中使IDP還原至其真值之第二位置之一變化。舉例而言,假定在包括模組105之一第一位置處動態地修改IDP。任務計劃可規定如所闡述在模組106處發生使IDP還原至其真值,但另一選擇係,可規定代替地在模組113114處發生動態修改。在某些實施例中,任務計劃根據一預定義序列動態地判定其中發生此等操控之位置。該預定義序列可判定其中將發生IDP之操控之位置或模組之序列。
涉及在不同位置處之動態修改之轉變較佳地根據一被動性觸發事件發生。因此,預定義序列判定其中將發生資料操控之位置之型樣或序列,且被動性觸發事件充當用於致使自一個位置至下一位置之轉變之一基礎。下文更詳細地論述被動性觸發事件;然而,應注意,被動性觸發事件可基於至少一個預定義規則。該規則包括定義至少一個被動性觸發事件之一陳述式。就這一點而言,使用者規則可實施一基於封包檢驗之方案、基於擁塞等級之方案、一基於啟發性演算法之方案及/或一基於NBA分析之方案。下文將詳細闡述所列示方案中之每一者。可以與上文關於第一位置所闡述相同之方式達成對一第二位置(亦即,其中使IDP返回至其真值)之選擇之控制。具體而言,兩個或兩個以上模組之操作狀態可在一作用狀態與一繞過狀態之間雙態切換。IDP之操控將僅發生於具有一作用操作狀態之模組中。具有一繞過操作狀態之模組將僅傳遞資料封包而不進行修改。
替代方法亦可用於控制其中將發生IDP之操控之位置。舉例而言,一網路管理員可在一任務計劃中定義其中可將IDP自真值轉換為假值之數個可能模組。在發生一被動性觸發事件後,可旋即藉由使用一偽隨機函數且使用一觸發時間作為該偽隨機函數之一種子值而自數個模組當中選擇一新位置。若每一模組皆使用相同初始種子值實施相同偽隨機函數,則每一模組將計算相同偽隨機值。可基於一時脈時間(諸如一GPS時間或系統時脈時間)判定觸發時間。以此方式,每一模組可獨立地判定其當前是否為其中應發生IDP之操控之一作用位置。類似地,網路管理員可在一任務計劃中定義其中動態操控使IDP返回至其正確值或真值之數個可能模組。將哪一模組用於此目的之選擇亦可根據如本文中所闡述之一觸發時間及一偽隨機函數判定。用於判定其中將發生IDP操控之位置或模組之其他方法亦係可能的。因此,本發明並不意欲限於本文中所闡述之特定方法。
值得注意的是,使其中操控身分識別函數之第一位置及/或第二位置之定位變化將通常導致使第一位置與第二位置之間沿一網路通信路徑之一實體距離變化。第一位置與第二位置之間的距離在本文中稱為一距離向量。該距離向量可係第一位置與第二位置之間沿一通信路徑之一實際實體距離。然而,將該距離向量視為表示存在於第一位置與第二位置之間的一通信路徑中之網路節點之數目係有用的。應瞭解,動態地選擇網路內之第一位置及第二位置之不同定位可具有改變第一位置與第二位置之間的節點之數目之效應。舉例而言,在圖1中,在模組105106107113114中之選定者中實施IDP之動態修改。如先前所闡述判定實際上用以分別實施動態修改之模組。若模組105用於將IDP轉換為假值且模組106用以將其轉換回至真值,則在模組105106之間存在三個網路節點(108110109)。但若模組113用以轉換為假值且模組114用以將IDP轉換回至真值,則在模組113114 之間存在僅一個網路節點110。因此,應瞭解,動態地改變其中發生動態修改之位置之定位可使距離向量動態地變化。在某些情景中,距離向量具有根據由一任務計劃規定之一總體網路行為改變之一可變值。距離向量之此變化給如本文中所闡述之網路操縱或修改提供一添加之可變性維度。
在本發明中,IDP值之操控、IDP之選擇及其中操控此等IDP之位置各自定義為一操縱參數。每當在此三個操縱參數中之一者中發生一改變時,可認為一網路操縱已發生。此三個操縱參數中之一者無論在何時改變,皆可認為一網路操縱已發生。為了最有效地阻撓一對手滲入一電腦網路100之努力,較佳地藉助於如先前所闡述之一偽隨機處理程序控制網路操縱。熟習此項技術者將瞭解,一混亂處理程序亦可用於執行此功能。與偽隨機函數相比,混亂處理程序在技術上係不同的,但出於本發明之目的,可使用任一者且兩者視為等效的。在某些實施例中,相同偽隨機處理程序可用於使操縱參數中之兩者或兩者以上動態地變化。然而,在某些情景中,使用兩個或兩個以上不同偽隨機處理程序以使得此等操縱參數中之兩者或兩者以上獨立於其他操縱參數而被修改。
被動性觸發事件
如上文所述,藉由至少一個被動性觸發控制對操縱參數中之每一者之動態改變。一被動性觸發係致使相對於本文中所闡述之動態修改而發生一改變之一純自發或使用者起始之事件。換言之,可認為,被動性觸發致使網路以不同於在一先前時間(亦即,在發生被動性觸發之前)之一新方式操縱。舉例而言,在一第一時間週期期間,一任務計劃或安全性模型可致使一IP位址自值A改變為值B;但在被動性觸發事件之後,IP位址可代替地自值A改變為值C。類似地,在一第一時間週期期間,一任務計劃或安全性模型可致使一IP位址及一MAC 位址被修改;但在被動性觸發事件之後,該任務計劃或安全性模型可代替地致使一MAC位址及一使用者名稱被修改。
在其最簡單形式中,一被動性觸發可基於一基於封包檢驗之方案、一基於擁塞等級之方案、一基於啟發性演算法之方案及/或一基於NBA分析之方案。基於封包檢驗之方案可涉及分析一封包以獲得識別該封包之一起源之一識別符、該封包之一目的地、起源或目的地裝置所屬之一群組及/或該封包中所含有之有效負載之一類型。基於封包檢驗之方案亦可涉及分析封包以判定其中是含有還是不存在一碼字。用於達成此一封包檢驗之技術係此項技術中眾所周知的。現在已知或未來將知曉之任何此等技術皆可在無限制之情況下與本發明一起使用。在某些實施例中,當識別符之一值匹配一預定義值時發生一被動性觸發事件。
在封包檢驗情景中,在一封包中包含一特定類型之內容充當一觸發或用於基於其選擇一觸發之一時序方案之一參數。舉例而言,一觸發事件可定義為在以下時刻發生:(a)當一實體之一特定人員(例如,一軍事單位之一指揮官)將資訊傳達至該實體之其他成員時;及/或(b)當封包內含有一特定碼字時。另一選擇係或另外,一觸發事件可定義為在如由根據一特定封包檢驗應用程式選擇之一時序方案定義之每N秒時間間隔期滿時發生,其中N係一整數。就這一點而言,應理解,在某些實施例中,可在以下時刻選擇一第一時序方案:(a)當一實體之一第一人員(例如,一軍事單位之一指揮官)請求與該實體之其他成員之一通信工作階段時;或(b)當一封包內存在一特定碼字時。可在以下時刻選擇一第二不同時序方案:(a)當一實體之一第二人員(例如,一軍事單位之一副指揮官)請求與該實體之其他成員之一通信工作階段時;或(b)當一封包內存在一第二碼字時等等。本發明之實施例不限於上文所提供之實例之細節。就這一點而言,應理解, 一封包中所包含之其他內容可定義一觸發事件。舉例而言,若一封包之有效負載包含敏感或機密資訊,則可根據該資訊之敏感度或機密性之等級選擇一新任務計劃或安全性模型。
對於此等基於時間之觸發配置,操縱參數中之一或多者可根據一預定時脈時間每N(例如,60)秒改變。在某些實施例中,所有操縱參數可同時改變以使得該改變係同步的。在一稍微更複雜實施例中,亦可使用一基於時間之觸發配置,但可針對每一操縱參數選擇一不同獨特觸發時間間隔。因此,假IDP值可能以時間間隔X改變,IDP之一選擇將根據一時間間隔Y改變,且其中執行此等改變之一位置將以時間間隔Z發生,其中X、Y及Z係不同值。
應瞭解,在依賴於時脈時間作為一觸發機制之本發明之實施例中,提供如各種模組105106107113114中之時脈之間的同步以確保封包不會由於未辨識之IDP而丟失或丟棄係有利的。同步方法係眾所周知的且任何適合同步機制皆可用於此目的。舉例而言,可藉由使用一高度準確時間參考(諸如一GPS時脈時間)而將模組同步。另一選擇係,可將一獨特無線同步信號自一中央控制設施廣播至模組中之每一者。
基於擁塞等級之方案可涉及:監視並追蹤一電腦網路內之擁塞等級;比較一當前擁塞等級與一臨限值;及基於該比較之結果自複數個任務計劃/模型選擇一任務計劃或安全性模型。在某些情景中,當當前擁塞等級等於、大於或小於臨限值時選擇一新任務計劃或安全性模型。以此方式,一任務計劃或安全性模型改變基於一電腦網路內之擁塞等級之改變以明顯不規則之時間間隔發生。
基於啟發性演算法之方案可涉及分析一網路以判定其之一狀態。此一網路分析可涉及在一天之特定時間監視一網路之訊務型樣(例如,使用者之數目)、協定型樣及/或熵型樣(亦即,誰正與誰通 信)。可藉由收集關於網路裝備使用(例如,一處理器之使用)及自一網路裝置(例如,一網路伺服器)存在之連接之一數目之資訊而判定一訊務型樣。可比較所收集資訊與一預定義表或矩陣之內容以識別一電腦網路內當前存在複數個可能訊務型樣中之哪一訊務型樣。至少基於此比較操作之結果,可自複數個任務計劃及/或安全性模型選擇一新任務計劃或安全性模型以供在電腦網路中利用。
在某些啟發性情景中,任務計劃及/或安全性模型可經組態以使得儘管一電腦網路中之實際訊務量改變但仍維持其內之一恆定高訊務等級。藉由根據一網路中之實際訊務量調整(亦即,增加或減少)該網路之一雜訊位準而維持該恆定高訊務等級。因此,在任何給定時間遮罩實際訊務量及訊務型樣之類型。
可藉由收集關於與網路資源相關之使用者活動之資訊而判定一協定型樣。此資訊可包含但不限於一電腦網路之至少一個使用者之使用者活動之一歷史、使用者活動開始之時間、使用者活動停止之時間、使用者活動已消逝之時間及識別一電腦網路之至少一個使用者正執行之同時發生之使用者活動之資訊。所收集資訊可經分析以判定一特定協定型樣當前是否存在。若判定當前存在一特定協定型樣,則可自複數個任務計劃/模型選擇一新任務計劃或安全性模型以供在電腦網路中利用。以此方式,一任務計劃或安全性模型改變基於協定型樣之改變(更特定而言,使用者活動之改變)以明顯不規則之時間間隔發生。
可藉由收集關於誰正經由電腦網路彼此通信之資訊而判定熵型樣。基於所收集資訊,自複數個任務計劃/模型選擇一新任務計劃或安全性模型以供在電腦網路中利用。在此情景中,一任務計劃或安全性模型改變基於參與通信工作階段之各方之改變以明顯不規則之時間間隔發生。
出於判定一NBA之等級、一NBA之一類型及/或當前正對一電腦網路進行之NBA攻擊之數目的目的執行NBA分析。此等NBA分析係此項技術中眾所周知的,且因此將不在本文中闡述。仍應理解,此等NBA分析可涉及:監視並追蹤一電腦網路內之攻擊事件;及出於判定一NBA攻擊之等級及/或一NBA攻擊之類型之目的執行LUT操作。現在已知或未來將知曉之任何NBA分析技術皆可在無限制之情況下與本發明一起使用。一旦完成NBA分析,即可基於NBA分析之結果自複數個任務計劃/模型選擇一新任務計劃或安全性模型以供在電腦網路中利用。舉例而言,若已判定一NBA係一低等級NBA及/或係為一第一類型,則自複數個任務計劃或安全性模型選擇一第一任務計劃或安全性模型。相比而言,若已判定NBA係一高等級NBA及/或係為一第二類型,則自複數個任務計劃或安全性模型選擇一第二不同任務計劃或安全性模型。在此情景中,一任務計劃或安全性模型改變基於NBA攻擊之等級及/或NBA攻擊之類型之改變以明顯不規則之時間間隔發生。另外或另一選擇係,在當前正對電腦網路進行相同或不同等級及/或類型之兩個或兩個以上NBA攻擊時,可選擇一新任務計劃或安全性模型。在此情景中,一任務計劃或安全性模型改變基於當前正執行之攻擊之數目之改變以明顯不規則之時間間隔發生。
在本發明之實施例中,可由一網路安全性軟體套件識別一NBA。另一選擇係,可在於一模組105106107113114處接收到一資料封包後旋即識別NBA,其中該封包含有與網路操縱之目前狀態不一致之一或多個IDP。無論用於識別一NBA之基礎如何,此NBA之存在皆可充當一被動性觸發事件,如上文所闡述。
基於上文所闡述之方案之被動性觸發事件可引起相同類型之網路操縱。舉例而言,假IDP、IDP之選擇及IDP變換之位置可保持穩定(亦即,不改變),惟在其中偵測到以下各項中之一或多者之情況中除 外:具有一特定起源或目的地之一封包;一封包中所含有之一碼字;一封包中所含有之秘密或機密資訊;一特定擁塞等級;一特定訊務型樣;一特定協定型樣;一特定熵型樣;一特定等級及/或類型之一NBA;及當前正對一電腦網路進行之NBA之一特定數目。舉例而言,在其中頻繁網路操縱係合意的以便增加其安全性之電腦網路中可能選擇此一配置。
另一選擇係,基於上文所闡述之方案之被動性觸發事件可引起不同類型之網路操縱。在此等實施例中,與基於一封包檢驗及/或一啟發性演算法之結果之一觸發事件相比,基於一NBA分析之結果之一觸發事件可對網路操縱具有一不同影響。舉例而言,一基於NBA之觸發事件可引起網路操縱之策略性或防禦性改變以便更積極應對此等NBA。此等措施之精確本性可取決於威脅之本性,但可包含多種回應。舉例而言,可選擇不同偽隨機演算法,及/或可增加每一IDP集合120中經選擇以用於操控之IDP之數目。此外,回應可包含增加網路操縱之一頻率。因此,可關於以下各項做出更頻繁改變:(1)假IDP值;(2)在每一IDP集合中待改變之IDP之選擇;及/或(3)其中改變IDP之第一位置及第二位置之定位。因此,本文中所闡述之網路操縱提供用於基於多種因素以一純自發方式改變一任務計劃或安全性模型,藉此增加其安全性之一方法。
任務計劃
根據一任務計劃控制本文中所闡述之網路操縱。一任務計劃係定義及控制一網路之內容脈絡及至少一個安全性模型內之操縱能力之一方案。如此,任務計劃可表示為自NAC 104傳達至圖1之每一模組105至107113到114之一資料檔案。任務計劃此後由每一模組用以控制IDP之操控且使其活動與網路中之其他模組之動作協調。
在某些情景中,一任務計劃包含但不限於以下源側資訊:裝置 識別資訊;將使其真值改變為假值之彼等IDP之IDP識別資訊;真IDP值;一假IDP值集合(例如,FV1、FV2、...、FVX);規定何時使用該假IDP值集合中之每一假值之時序資訊;用於動態地產生該假IDP值集合之新假值之一偽隨機或混亂函數;規定何時調用用於產生該假IDP值集合之新值之偽隨機或混亂函數之規則;規定何時動態地選擇哪些IDP來使其真值改變為假值之規則;規定待選擇之IDP之數目及將選擇哪些IDP來進行值修改之一規則;規定將同步地(亦即,同時改變所有選定IDP)還是不同步地(亦即,IDP之群組隨給選定IDP之群組添加或移除個別IDP而遞增地改變)改變IDP之一規則;及用於使電腦網路內之其中發生IDP之修改或變換之位置動態地變化之一規則。任務計劃亦可包含以下目的地側資訊:用於使IDP之假值還原至真值之第一規則;及用於使電腦網路內之其中發生IDP值之修改或還原之位置動態地變化之第二規則。第一規則可包含但不限於用於判定將變換之IDP值之至少一選擇之規則及/或用於選定IDP自假值至真值之正確變換(例如,使用至少一個LUT)之規則。本發明之實施例在此方面並不受限。另一選擇係,源側及目的地側資訊可含在至少兩個單獨任務計劃中。
一任務計劃可不時地由一網路管理員手動地及/或由NCSA自動地修改以更新或改變網路操縱以阻撓潛在對手之方式。如此,任務計劃可給一網路管理員及/或NCSA提供對網路操縱將在網路內發生之時間、地點及方式之完全控制之一手段。此更新能力允許網路管理員及/或NCSA修整電腦網路之行為以適合當前操作條件且更有效地阻撓對手滲入網路之努力。
可由一使用者手動地定義及/或由NCSA自動地產生多個任務計劃。該任務計劃可然後經儲存以使得其可由網路內之模組存取。舉例而言,多個任務計劃可儲存於NAC 104處且視需要傳達至模組。另一 選擇係,複數個任務計劃可儲存於每一模組上且可視需要或視情況經啟動以維持網路之安全性。舉例而言,若網路管理員及/或NCSA判定或懷疑一對手已發現一網路之一當前任務計劃,則管理員及/或NCSA可希望改變該任務計劃。有效安全性程序亦可指示週期性地改變任務計劃。
任務計劃之手動產生
現在參考圖3,其提供用於手動地產生一任務計劃之一例示性處理程序300之一流程圖。圖3中所展示之方法步驟之次序係例示性的。本發明並不限於此次序。舉例而言,可以任何循序次序執行或另一選擇係並行地執行步驟308至312
產生一任務計劃之處理程序可藉由模型化電腦網路100開始,如步驟302所展示。模型之創建藉由在網路命令中心處之一電腦或伺服器上執行之NCSA促進。舉例而言,在圖1中所展示之實施例中,NCSA可在圖1之NAC 104上執行。網路模型較佳地包含定義電腦網路100中所包含之各種計算裝置之間的資料連接及/或關係之資訊。NCSA將提供促進輸入此關係資料之一適合介面。在某些情景中,NCSA可促進將資料輸入至可用以定義任務計劃之表中。然而,在其他情景中,一圖形使用者介面用以促進此處理程序。
在一下一步驟304中,網路管理員執行用於定義網路之各種組件中之每一者之間的關係之使用者-軟體互動。在某些情景中,使用由NCSA提供之一網路拓撲模型產生器(「NTMG」)工具來達成此等使用者-軟體互動。該NTMG工具用以輔助網路管理員定義網路之各種組件中之每一者之間的關係。NTMG工具提供如圖4中所展示之一工作空間400,其中網路管理員可藉由使用一游標404而拖放網路組件402。網路管理員亦可創建各種網路組件402之間的資料連接406。作為此模型化處理程序之部分,網路管理員可提供各種網路組件(包含 圖1之模組105至107113114)之網路位址資訊。
一旦已將網路模型化,即可將其保存於系統之一資料儲存區中,如圖3之步驟308所展示。此後,網路管理員使用所儲存資訊來定義各種模組105至107113114表現及彼此互動之方式。就這一點而言,NCSA可產生可由網路管理員用以進一步開發一任務計劃之一GUI(例如,一視窗或一對話方塊)。圖5中提供此GUI之一例示性實施例500之一示意性圖解說明。
如圖5中所展示,一下拉式選單532可用以選擇待將GUI 500中之設定應用於其之特定模組(例如,圖1之模組105)。另一選擇係,網路管理員可使用下拉式選單532來指示意欲將GUI 500中之設定應用於網路內之全部模組(例如,藉由選擇下拉式選單532中之命令「全部」)。處理程序可藉由規定是否將總是在模組中之每一者中修改一固定IDP集合或是否應使所操控之IDP集合動態地變化而繼續。若意欲使將在模組中操控之IDP之選擇或集合動態地變化,則網路管理員可標記核取方塊501以指示該偏好。若未標記核取方塊501,則待變化之IDP集合係不隨時間變化之一固定集合。
GUI 500包含標籤502504506,該等標籤允許一使用者選擇(她)他出於創建一任務計劃之目的而希望處理之特定IDP。出於本發明之目的,GUI 500促進僅三個IDP之動態變化。具體而言,此等身分識別參數包含IP位址、MAC位址及埠位址。可藉由提供額外標籤而使更多或更少IDP動態地變化,但所述的三個IDP足以闡釋發明性概念。在圖5中,使用者已選擇標籤502來處理IDP之IP位址類型。在標籤502內,提供用於規定與選定模組內之IP位址之動態變化相關之細節之多種使用者介面控制件508520。可提供更多或更少控制件以促進IP位址類型之動態操控,且僅提供所展示之控制件以輔助讀者理解該概念。在所展示之實例中,網路管理員可藉由選擇(例如,藉助一 指標裝置(諸如一滑鼠))標記為「啟用IP位址跳躍」之核取方塊508而啟用IP位址之動態變化。類似地,網路管理員可指示將使源位址、目的地位址還是兩者變化。在此實例中,標記源位址方塊510及目的地位址方塊512兩者,從而指示將改變兩種類型之位址。可由管理員在清單方塊522524中規定源位址及目的地位址之所允許值之範圍。
藉由選擇一偽隨機處理程序而規定用以選擇假IP位址值之特定偽隨機處理程序。在方塊514515中規定此選擇。不同偽隨機處理程序可具有針對可變真隨機程度之不同複雜性程度,且管理員可選擇最適合電腦網路100之需要之處理程序。
GUI 500亦允許一網路管理員設定待用於IP位址IDP之動態變化之觸發類型。在此實例中,使用者已選擇方塊516,從而指示一基於時間之觸發將用於判定何時轉變為新的假IP位址值。此外,核取方塊518已經選擇以指示基於時間之觸發將在一週期性基礎上發生。滑桿520可由使用者調整以判定基於週期性時間之觸發之頻率。在所展示之實例中,可在每小時六個觸發之發生率(每十分鐘發生觸發)與每小時一百二十個觸發之發生率(每三十秒發生觸發)之間調整觸發頻率。在此實例中,亦可選擇其他類型之觸發。舉例而言,對話方塊502包含網路管理員可藉以選擇一基於事件之觸發之核取方塊528530。數個不同特定事件類型可經選擇以形成用於此等基於事件之觸發(例如,事件類型1、事件類型2等)之基礎。此等事件類型可包含各種潛在電腦網路安全性威脅之偵測。在圖5中,標籤504506類似於標籤502,但其中之控制件經修整以適合MAC位址及埠值而非IP位址之動態變化。可提供用於控制其他類型之IDP之動態變化之額外標籤。
再次參考圖3,處理程序300以步驟312繼續,其中網路管理員規定用於使其中修改IDP之位置動態地變化之一計劃。在某些實施例中,藉由控制定義每一模組何時處於一作用狀態或一繞過狀態中之一 序列而促進此可變位置特徵。因此,NCSA有利地包含規定此序列之某一GUI手段。在本發明之某些實施例中,此可涉及使用經定義時間間隔或時槽,該等經定義時間間隔或時槽由一觸發事件之發生分離。圖6中提供促進由網路管理員進行之此等規定之一例示性GUI 600之一示意性圖解說明。
如圖6中所展示,一GUI 600可由NCSA提供以促進位置序列及時序資訊之協調及輸入。GUI 600可包含一控制件602,控制件602用於選擇將包含於一時期606內之時槽604 1 604 n 之一數目。在所圖解說明之實例中,網路管理員已定義每時期四個時槽。GUI 600亦可包含一表603,表603包含電腦網路100中之所有模組。針對所列示之每一模組,該表包含一個時期606之可用時槽604 1 604 4 之一圖形表示。應記得,藉由每一模組是處於一作用操作狀態還是繞過操作狀態中而判定對其中操控IDP之位置之動態控制。因此,在GUI內,使用者可移動一游標608且做出選擇以規定在每一時槽期間一特定模組是處於一作用模式還是繞過模式中。在所展示之實例中,模組105在時槽604 1 604 3 期間係作用的,但在時槽604 2 604 4 期間處於一繞過模式中。相反地,模組113在時槽604 2 604 4 期間係作用的,但在時槽604 1 604 3 期間處於繞過模式中。參考圖1,此意味著IDP之操控在時槽604 1 604 3 期間發生於與模組105相關聯之一位置處,但在時槽604 2 604 4 期間代替地發生於模組113處。
在圖6中所展示之實例中,網路管理員已選擇使模組114總是在一作用模式中操作(亦即,模組114在所有時槽期間係作用的)。因此,針對自用戶端電腦101傳輸至用戶端電腦103之資料通信,資料封包將交替地在模組105113中操控,但將總是在模組114處操控。最後,在此實例中,網路管理員已選擇在時槽604 1 604 4 期間將模組106107維持於一繞過模式中。因此,在經定義時槽中之任一者期間 將不在此等模組處執行IDP之操控。
再次參考圖3,網路管理員可將改變儲存為一經更新任務計劃之部分,如步驟314所展示。舉例而言,一旦已在GUI 600中定義模組時序,網路管理員即可選擇圖6之按鈕610以將改變儲存為一經更新任務計劃之部分。可以各種格式保存任務計劃。在某些實施例中,可將任務計劃保存為一簡單表或可由每一模組用於控制該模組之行為之其他類型之經定義資料結構。
在某些情景中,一現有任務模型可需要由一操作者在操作期間在現場手動地修改。任務模型含有允許任務操作之一關係集合。可需要針對以下各項修改任務模型:(a)改變需要保護之內容;(b)允許不同種類之通信;及(c)基於任務攻擊等級改變安全性等級。因此,用於修改一任務模型之一種方法涉及:選擇若干件任務模型;及創建一新任務模型。可藉由以下各項來創建新任務模型:添加至一現有任務模型;聯合或組合兩個或兩個以上現有任務模型;自一現有任務模型減去若干部分;將一現有任務模型分裂成兩個或兩個以上任務模型;修改一現有任務模型之參數;複製一任務模型並修改任務模型複本;及/或刪除一任務模型。任務模型通常控制可操縱性。如此,任務模型包含規定一移動策略、何時引起移動及何種模式之一策略、一掩蔽策略、一影子網路連線策略及/或一通信群組策略之資訊。可改變此等策略中之一或多者以創建新任務模型。
任務計劃之自動及動態產生
在某些情景中,至少一個任務計劃由NCSA在電腦網路(例如,圖1之電腦網路100)之操作期間動態地及自動地產生。藉由考量以下各項來達成一任務計劃之動態產生:(1)操作概念(「CONOPS」),(2)計算基礎結構資源及網路資產,(3)基礎結構資源與網路資產之間的關係,(4)電腦網路內之所偵測到之活動,及/或(5)與IDP相關聯之有效 性分級。
圖7中提供由NCSA執行之用於動態地產生任務計劃之一例示性自動處理程序700之一流程圖。圖7所展示之方法步驟之次序係例示性的。本發明並不限於此次序。舉例而言,可以任何循序次序執行或另一選擇係並行地執行方法步驟中之兩者或兩者以上。
如圖7中所展示,處理程序700以步驟702開始且以步驟704繼續。在步驟704中,由NCSA獲得一預儲存之電腦網路模型及相關聯組件關係資訊。接下來,在步驟706中,NCSA執行用以選擇至少一個任務計劃將應用於的電腦網路模型之模組(例如,圖1之模組105106107113及/或114)之操作。
此後,在步驟708中,針對選定模組中之每一者選擇待修改之至少一個IDP。在某些情景中,IDP包含但不限於一IP位址、一MAC位址及/或一埠編號。可基於以下各項選擇IDP:(1)CONOPS,(2)先前由NCSA偵測到之對電腦網路之攻擊之類型,及/或(3)與IDP相關聯之有效性分級。舉例而言,若CONOPS目標係維持機密性通信且在電腦網路上偵測到之惡意攻擊之類型係一等級1攻擊,則IDP包含具有等級1之一有效性分級之IDP(例如,僅一IP位址)。相比而言,若CONOPS目標係維持機密性通信且在電腦網路上偵測到之惡意攻擊之類型係一等級2攻擊,則IDP包含具有等級2之一有效性分級之IDP(例如,一IP位址及一埠編號)。若CONOPS目標係維持機密性通信且在電腦網路上偵測到之惡意攻擊之類型係一等級3攻擊,則IDP包含具有等級3之一有效性分級之IDP(例如,一IP位址及一MAC位址)。若CONOPS目標係維持機密性通信且在電腦網路上偵測到之惡意攻擊之類型係一等級4攻擊,則IDP包含具有等級4之一有效性分級之IDP(例如,一IP位址、一MAC位址及一埠編號)。本發明之實施例不限於此實例之細節。
接下來,在步驟712中,做出關於是否將使IDP動態地變化之一判定。若將使IDP動態地變化,則執行步驟714,其中規定與動態變化相關之細節。就這一點而言,步驟714可涉及:針對待動態地變化之每一IDP啟用IDP跳躍;指示是否將使源及/或目的地IDP變化;規定每一IDP之所允許值之一範圍;選擇待用於產生每一IDP之假值之一偽隨機函數或一混亂函數;及/或設定待用於每一IDP之一值之動態變化之一觸發類型。此等所列示操作中之每一者可基於:(1)CONOPS目標,及/或(2)電腦網路內之所偵測到之活動之類型。舉例而言,若CONOPS目標係維持所有通信源之秘密性且已偵測到一等級1攻擊,則將基於一第一偽隨機函數僅動態地修改源IDP。相比而言,若CONOPS目標係維持所有通信目的地之秘密性且已偵測到一等級2攻擊,則將基於一第二不同偽隨機函數僅動態地修改目的地IDP。若CONOPS目標係維持所有通信源/目的地之秘密性且已偵測到一等級3攻擊,則將基於至少一個第三不同偽隨機函數動態地修改源/目的地IDP。若CONOPS目標係維持所有通信源/目的地之秘密性且已偵測到一等級4攻擊,則將基於至少一個混亂函數動態地修改源/目的地IDP。本發明之實施例不限於此實例之細節。
在完成步驟714後,旋即執行步驟716,其中規定用於使其中應修改IDP之一位置動態地變化之額外細節。就這一點而言,步驟716涉及針對選定模組中之每一者選擇將包含於一時期內之時槽之數目。此選擇可基於上文所闡述之一距離向量。在某些情景中,該距離向量具有根據由任務計劃規定之一總體網路行為改變之可變值。在一下一步驟718中,儲存任務計劃。隨後,處理程序700結束或執行其他處理。
在某些情景中,可需要在操作期間自動地修改一任務模型。任務模型含有允許任務操作之一關係集合。可需要針對以下各項修改任務模型:(a)改變需要保護之內容;(b)允許不同種類之通信;及(c)基 於任務攻擊等級改變安全性等級。因此,用於修改一任務模型之一種方法涉及:選擇若干件任務模型;及創建一新任務模型。可藉由以下各項來創建任務模型:添加至一現有任務模型;聯合或組合兩個或兩個以上現有任務模型;自一現有任務模型減去若干部分;將一現有任務模型分裂成兩個或兩個以上任務模型;修改一現有任務模型之參數;複製一任務模型並修改任務模型複本;及/或刪除一任務模型。任務模型通常控制可操縱性。如此,任務模型包含規定一移動策略、何時引起移動及何種模式之一策略、一掩蔽策略、一影子網路連線策略及/或一通信群組策略之資訊。可修改此等策略中之一或多者以創建新任務模型。
任務計劃衝突分析
一旦已產生兩個或兩個以上任務計劃,NCSA即執行用以識別及解決由該任務計劃定義之模組操作之間的任何衝突之操作。在某些情景中,每當由網路管理員及/或NCSA產生一新任務計劃時且在如下文所闡述分配及載入新任務計劃之前執行衝突分析。
圖8中提供用於識別及解決任務計劃衝突之一例示性處理程序800之一示意性圖解說明。如圖8中所展示,處理程序800以步驟802開始且以步驟804繼續。在步驟804中,自一資料儲存區擷取至少兩個任務計劃。所擷取任務計劃可包含但不限於一新產生之任務計劃(亦即,尚未分配及載入之任務計劃)及/或一預產生之任務計劃(亦即,已預產生但已分配及載入或尚未分配及載入之任務計劃)。
然後在步驟806中使用所擷取任務計劃來模擬由該任務計劃定義之網路行為。舉例而言,一第一任務計劃規定:將在一第一預定義時間週期期間在模組105處將一第一源IP位址之一真值修改為一假值;將基於一第一偽隨機函數自一經定義假值集合選擇該假值;及將每十秒重新選擇該假值。一第二任務計劃規定:將在與第一預定時間週期 至少部分地重疊之一第二預定義時間週期期間在模組105處將一第二源IP位址之一真值修改為一假值;將基於一第二偽隨機函數自一經定義假值集合動態地選擇該假值;及將每小時重新選擇該假值。在此情況中,如在該第一任務計劃及該第二任務計劃中所定義來模擬模組105之操作。
基於模擬之結果,在步驟808中產生至少一個表、圖表或曲線圖,其隨後可用以識別由於實施該任務計劃而在模組行為中之任何衝突。舉例而言,該表、圖表及/或曲線圖可包含但不限於指示以下各項之資訊:(1)第一源IP位址在第一預定義時間週期期間之所有時間處之假值,及(2)第二源IP位址在第二預定義時間週期期間之所有時間處之假值。
接下來,在步驟812中,將表、圖表及/或曲線圖之內容彼此比較。基於此比較之結果,在步驟814中做出關於在由任務計劃定義之模組行為之間是否存在任何衝突之一決策。舉例而言,在某些情景中,做出關於在第一及第二預定時間週期之重疊週期內之任何給定時間處第一及第二源IP位址之假值是否相同之一決策。
若做出在由任務計劃定義之模組行為之間不存在一衝突之一判定[814:否],則執行步驟816,其中分配及載入任務計劃中之至少一者。下文將詳細地闡述分配及載入任務計劃之方式。
若做出在由任務計劃定義之模組行為之間確實存在一衝突之一判定[814:是],則執行步驟818,其中修改任務計劃中之至少一者。此後,執行步驟820,其中使用經修改任務計劃及/或未修改任務計劃來重複處理程序800
任務計劃之分配及載入
現在將進一步詳細地闡述如本文中所揭示之任務計劃之分配及載入。再次參考圖1,可觀察到,模組105至107113114遍及電腦 網路100分散於一或多個位置處。該等模組整合於通信路徑內以攔截此等位置處之通信、執行必要操控且將資料轉發至網路內之其他計算裝置。在前述配置之情況下,本文中所闡述之對模組之任何必要維護(例如,更新一任務計劃之維護)將有可能在替換模組或將模組重新程式化時打斷網路通信。在其中網路服務之可靠性及可用性係至關重要之許多情形下,此等打斷係不合意的。舉例而言,對於軍事、應急服務及商業所使用之電腦網路,不中斷網路操作可係至關重要的。
為了確保不中斷網路操作,每一模組較佳地具有數種操作狀態。此等操作狀態包含:(1)一關斷狀態,其中模組被關閉電源且不處理任何封包;(2)一初始化狀態,其中模組根據任務計劃安裝軟體描述性語言;(3)一作用狀態,其中根據一當前任務計劃處理資料;及(4)一繞過狀態,其中封包可流動通過模組,就如模組不存在一樣。模組經組態以使得在其處於作用狀態或繞過狀態中時,模組可接收及載入由一網路管理員提供之一經更新任務計劃。模組操作狀態可由網路管理員藉助於(舉例而言)在NAC 104上執行之NCSA手動地控制。舉例而言,使用者可透過使用一圖形使用者介面控制面板選擇各種模組之操作狀態。另一選擇係,模組操作狀態可由(舉例而言)在NAC 104上執行之NCSA自動地控制。用於控制網路之操作狀態之命令經由電腦網路100傳達,或者可藉由任何其他適合手段來傳達。舉例而言,可出於該目的而使用一單獨有線或無線網路(未展示)。
任務計劃可直接載入於每一模組之實體位置處,或其可自NCSA傳達至模組。此概念圖解說明於圖9中,其展示任務計劃904經由一通信媒體906自NCSA 902傳達至模組105至107113114中之每一者。在所展示之實例中,NCSA軟體應用程式在NAC 104上執行。在某些實施例中,通信媒體可包含使用電腦網路100之帶內發信號。另一選擇係,一帶外網路(例如,一單獨無線網路)可用作通信媒體906以將 經更新任務計劃自NCSA傳達至每一模組。
在其中NAC正由一網路管理員控制之情景中,NCSA可提供用以促進數個任務計劃1002中之一者之選擇之一GUI 1000,如圖10所展示。此等任務計劃1002中之每一者可儲存於NAC 104上。網路管理員可自數個任務計劃1002中之一者進行選擇,此後其可啟動一「發送任務計劃」按鈕1004。另一選擇係,可將複數個任務計劃傳達至每一模組且儲存於該模組處。在任一情景中,使用者可選擇經定義任務計劃中之一者來啟動。
在其中自動地控制網路可操縱性之情景中,NCSA基於諸如上文所闡述之衝突分析之一衝突分析之結果自複數個任務計劃選擇至少一個任務計劃。此後,NCSA產生用以發送任務計劃之一命令。
回應於用以發送任務計劃之命令,選定任務計劃在模組處於其中其經組態以用於主動地執行IDP之動態修改之一作用狀態中(如本文中所闡述)時傳達至該等模組。此一配置最小化其間網路以明文方式操作且不操控IDP之時間。然而,經更新任務計劃亦可在模組處於繞過模式中時傳達至該等模組,且此方法在某些情況中可係合意的。
一旦任務計劃由一模組接收,其即可自動地儲存於模組內之一記憶體位置中。此後,可致使模組進入繞過狀態,且在仍處於該狀態中時,模組可載入與新任務計劃相關聯之資料。進入至繞過狀態中且載入新任務計劃資料之此處理程序可回應於接收到任務計劃而自動地發生,或可回應於來自由網路管理員控制之NCSA軟體之一命令而發生。該新任務計劃較佳地包含改變使IDP值變化之方式。一旦已載入新任務計劃,模組105至107113114即可以確保不發生資料通信錯誤之一同步方式自繞過模式轉變為作用模式。任務計劃可規定模組將返回至作用模式之一時間,或網路管理員可使用NCSA來將一命令傳達至各種模組,從而引導其進入至作用模式中。更新一任務計劃之前 述處理程序有利地允許網路安全性程序之改變在不打斷附接至電腦網路100之各種計算裝置當中之通信之情況下發生。
每一模組105106107113114處之各種IDP之動態操控較佳地由在每一模組105至107113114上執行之應用程式軟體控制。然而,應用程式軟體之行為有利地由任務計劃控制。
現在參考圖11,其提供概述每一模組105至107113114之操作之一流程圖。為避免混淆,關於在一單個方向上之通信闡述處理程序1100。舉例而言,在模組105之情況中,單個方向可涉及自用戶端電腦101傳輸至集線器108之資料。然而,在實務中,較佳地,模組105至107113114雙向地操作。該處理程序在步驟1102處在將模組開啟電源時開始且繼續至步驟1104,其中將用於執行本文中所闡述之方法之模組應用程式軟體初始化。在步驟1106中,自模組內之一記憶體位置載入一任務計劃。在此點處,模組準備好開始處理資料且繼續進行至在步驟1108處處理資料,其中其自模組之一輸入資料緩衝器存取一資料封包。在步驟1110中,模組檢查以判定其是否處於一繞過操作模式中。若如此,則在步驟1112中在不對資料封包進行任何修改之情況下重新傳輸在步驟1108中存取之資料封包。若模組不在繞過模式中,則其必定在其作用操作模式中且繼續至步驟1114。在步驟1114中,模組讀取資料封包以判定資料封包始發於其之一源節點之身分識別。在步驟1116中,其檢查封包以判定源節點是否有效。可比較所規定源節點與有效節點之一清單以判定所規定源節點當前是否有效。若其並非一有效節點,則在步驟1118中摒棄封包。在步驟1120中,處理程序檢查以判定一觸發事件是否發生。一觸發事件之發生將影響對待使用之假身分識別值之選擇。因此,在步驟1122中,模組基於觸發資訊、時脈時間及任務計劃中之一或多者判定待使用之假身分識別值。模組然後繼續至步驟1126,其中其操控資料封包之IDP。一旦操控完 成,即將資料封包自模組之輸出埠重新傳輸至一毗鄰節點。在步驟1130中,做出關於是否已命令將模組關閉電源之一判定。若如此,則處理程序在步驟1132處結束。在步驟1108中,處理程序繼續且自模組之輸入資料緩衝器存取下一資料封包。
企業任務管理
自一企業觀點來管理一操縱電腦網路(例如,圖1之電腦網路100)之總體行為,以使得電腦網路根據企業CONOPS以及任務CONOPS來操作。就這一點而言,電腦網路之總體行為由如在於電腦網路內實施之任務計劃中所規定之模組行為之總和定義,如圖12中所展示。因此,NCSA基於定義總體企業目標/規則/策略以及電腦網路架構之各種層之間的關係之一分析而管理任務計劃至電腦網路之端點或端點區域之分配及控制。如圖13中所展示,該等層可包含但不限於一CONOPS層、一網路架構層及一移動目標技術參數層。
在某些情景中,在正由網路管理員使用之電腦系統處提供一圖形使用者介面。該圖形使用者介面通常經組態以呈現電腦網路之當前總體行為之一示意性圖解說明。示意性圖解說明之內容隨電腦網路之行為改變而動態地改變。舉例而言,當採用一新任務計劃或一舊任務變為非作用時,修改該示意性圖解說明以反映此改變。圖形使用者介面亦允許一使用者即時地或實質上即時地看到正由網路之每一節點或選定節點執行之操作。該圖形使用者介面可包含用以允許一使用者選擇性地修改總體網路或網路之至少一個節點之行為之介面工具集。
現在參考圖14,其提供用於一動態電腦網路之企業任務管理之一例示性方法1400之一流程圖。方法1400以步驟1402開始且繼續至步驟14041406,其中由NCSA執行追蹤操作。該等追蹤操作涉及:追蹤在任何給定時間處作用之任務計劃之數目;及追蹤所有作用任務計劃之一「存續壽命」。
接下來,在步驟1408中,NCSA執行用以觀察及分析一電腦網路(例如,圖1之電腦網路100)之態樣之操作。執行此等操作以判定何時需要分配一新任務計劃。因此,此等操作可包含但不限於以下操作中之一或多者:封包檢驗操作;基於擁塞等級之操作;基於網路狀態之操作;基於使用者活動之操作;及基於網路攻擊之操作。
在某些情景中,封包檢驗操作涉及:分析一封包以獲得識別該封包之一起源、該封包之一目的地、起源或目的地所屬之一群組及/或該封包中所含有之有效負載之一類型之資訊;分析一封包以判定其中是否含有一碼字;比較自該封包獲得之資訊與儲存於一資料儲存區中之資訊以判定是否存在一匹配;及/或基於該比較之結果判定是否已發生用於分配一新任務計劃之一觸發事件。
在某些情景中,基於擁塞等級之操作涉及:監視電腦網路內之擁塞等級;追蹤電腦網路內之擁塞等級;及/或比較一當前擁塞等級與一臨限值以判定是否已發生用於分配一新任務計劃之一觸發事件。
在某些情景中,基於網路狀態之操作涉及:監視電腦網路之一狀態;追蹤電腦網路之狀態;分析電腦網路以判定其之一狀態;及基於該分析之結果判定是否已發生用於分配一新任務計劃之一觸發事件。
在某些情景中,基於使用者活動之操作涉及:監視電腦網路內之使用者活動;收集關於使用者活動之資訊;分析所收集資訊以判定是否存在一特定協定型樣;及基於該分析之結果判定是否已發生用於分配一新任務計劃之一觸發事件。
在某些情景中,基於網路攻擊之操作涉及:監視電腦網路內之攻擊事件;追蹤電腦網路內之攻擊事件;執行LUT操作以判定對電腦網路之一攻擊之一等級及/或攻擊之類型;及基於該等LUT操作之結果判定是否已發生用於分配一新任務計劃之一觸發事件。
再次參考圖14,方法1400以步驟1410繼續,其中NCSA執行用以理解及定義符合企業及任務CONOPS之新任務要求之操作。就這一點而言,NCSA判定新任務計劃應分配至的模組。隨後,執行步驟14121414
步驟1412涉及基於新任務要求及來自分析電腦網路之操作態樣之結果自複數個預儲存之任務計劃選擇一新任務計劃。舉例而言,若偵測到一等級1攻擊,則選擇一第一任務計劃。相比而言,若偵測到一等級5攻擊,則選擇一第二不同任務計劃。
步驟1414涉及產生並儲存一新任務計劃。該新任務計劃可由一網路管理手動地或由NCSA自動地產生,如上文所闡述。在所有情景中,可基於新任務要求及來自分析電腦網路之操作態樣之結果而產生新任務計劃。舉例而言,可至少部分地基於在步驟1408中偵測到之觸發事件之類型、一封包中所含有之內容、電腦網路之當前擁塞等級、電腦網路之當前狀態、電腦網路內之使用者活動之類型、在電腦網路上偵測到之一攻擊之等級及/或在電腦網路上偵測到之攻擊之類型選擇一任務計劃之一時序方案、一偽隨機函數及/或一混亂函數。
一旦已選擇或產生新任務計劃,即由NCSA執行步驟1416。在步驟1416中,NCSA執行一衝突分析(例如上文所闡述之衝突分析)以識別在由新任務計劃定義之模組操作與由所有作用任務計劃定義之模組操作之間存在之任何衝突。若NCSA判定確實存在一衝突[1418:是],則修改新任務計劃,如步驟1420所展示。此後,使用經修改任務計劃來執行衝突分析。若NCSA判定不存在一衝突[1418:否],則執行步驟1422,其中將新任務計劃傳達至電腦網路之模組,其中該任務計劃儲存於一記憶體位置中。
當網路管理員及/或NCSA準備好實施新任務計劃時,在步驟1424中發送一命令,該命令致使模組進入如本文中所闡述之一待用模式。 在模組處於此待用模式中時,在步驟1426處載入任務計劃。任務計劃之載入發生於模組處以使得可使用任務計劃來控制在模組上執行之一應用程式軟體之操作。特定而言,使用任務計劃來控制應用程式軟體執行IDP之動態操控之方式。在完成步驟1426後,方法1400旋即以圖14B之步驟1428繼續。
在步驟1428中,再次致使任務模組進入至其中模組根據任務計劃執行IDP之操控之一作用操作模式中。步驟142414261428可回應於自一網路管理員發送之特定命令而發生,或可回應於在步驟1422中接收到任務計劃而在模組處自動地發生。
在步驟1428之後,模組根據已載入之任務計劃繼續執行處理。在步驟1430中,方法400藉由觀察及分析電腦網路之操作態樣以判定何時及是否應將一作用任務計劃置於一非作用狀態中而繼續。舉例而言,若網路管理員及/或NCSA判定或懷疑一對手已發現電腦網路之一作用任務計劃,則改變任務計劃以便維持電腦網路之安全性可係合意的。
若NCSA判定不應將作用任務計劃中之任一者置於一非作用狀態中[1432:否],則執行下文將闡述之步驟1436。相比而言,若NCSA判定應將一作用任務計劃置於一非作用狀態中[1432:是],則執行步驟1434,其中將任務計劃置於一非作用狀態中(亦即,致使模組停止執行由任務計劃定義之操作)。此後,執行步驟1436,其中方法1400結束或執行其他處理(例如,方法1400返回至步驟1404)。其他處理可涉及將電腦網路重新組態為根據意欲維持電腦網路之安全性之另一任務計劃而操作。
現在參考圖15,其提供展示可用於執行本文中所闡述之IDP之操控之一例示性模組1500之一電腦架構之一方塊圖。模組1500包含經由一匯流排1522彼此通信之一處理器1512(諸如一中央處理單元 (「CPU」))、一主記憶體1520及一靜態記憶體1518。模組1500可進一步包含用以指示模組之狀態之一顯示器單元1502,諸如一液晶顯示器(「LCD」)。模組1500亦可包含允許模組同時在兩個單獨資料線上接收及傳輸資料之一或多個網路介面裝置15161517。兩個網路介面埠促進圖1中所展示之配置,其中每一模組經組態以同時攔截及重新傳輸自網路上之兩個單獨計算裝置接收之資料封包。
主記憶體1520包含其上儲存有經組態以實施本文中所闡述之方法、程序或功能中之一或多者之一或多組指令1508(例如,軟體程式碼)之一電腦可讀儲存媒體1510。指令1508亦可在其由模組執行期間完全或至少部分地駐存於靜態記憶體1518內及/或處理器1512內。靜態記憶體1518及處理器1512亦可構成機器可讀媒體。在本發明之各種實施例中,連接至一網路環境之一網路介面裝置1516使用指令1508經由網路通信。
現在參考圖16,其展示根據發明性配置之一例示性NAC 104。NAC 104可包括各種類型之計算系統及裝置,包含一伺服器電腦、一用戶端使用者電腦、一個人電腦(「PC」)、一平板PC、一膝上型電腦、一桌上型電腦、一控制系統或能夠執行規定該裝置待採取之動作之一組指令(循序或其他)之任何其他裝置。此外,儘管圖16中圖解說明一單個電腦,但片語「NAC」應理解為包含個別地或聯合地執行一組(或多組)指令以執行本文中所論述之方法中之任一者或多者之計算裝置之任何集合。
現在參考圖16,NAC 104包含經由一匯流排1622彼此通信之一處理器1612(諸如一CPU)、一磁碟機單元1606、一主記憶體1620及一靜態記憶體1618。NAC 104可進一步包含一顯示器單元1602,諸如一視訊顯示器(例如,一LCD)、一平板顯示器、一固態顯示器或一陰極射線管(「CRT」)。NAC 104可包含一使用者輸入裝置1604(例如,一鍵 盤)、一游標控制裝置1614(例如,一滑鼠)及一網路介面裝置1616
磁碟機單元1606包含其上儲存有經組態以實施本文中所闡述之方法、程序或功能中之一或多者之一或多組指令1608(例如,軟體程式碼)之一電腦可讀儲存媒體1610。指令1608亦可在其執行期間完全或至少部分地駐存於主記憶體1620、靜態記憶體1618內及/或處理器1612內。主記憶體1620及處理器1612亦可構成機器可讀媒體。
熟習此項技術者應瞭解,圖15中所圖解說明之模組架構及圖16中之NAC架構各自表示可分別用於執行本文中所闡述之方法之一計算裝置之僅一項可能實例。然而,本發明在此方面並不受限,且任何其他適合計算裝置架構亦可在無限制之情況下使用。包含但不限於特殊應用積體電路、可程式化邏輯陣列及其他硬體裝置之專用硬體實施方案可同樣地經建構以實施本文中所闡述之方法。可包含各種實施例之設備及系統之應用廣義地包含多種電子及電腦系統。某些實施例可藉助在模組之間及貫通模組傳達之相關控制及資料信號或作為一特殊應用積體電路之部分實施兩個或兩個以上特定互連之硬體裝置中之功能。因此,例示性系統適用於軟體、韌體及硬體實施方案。
根據本發明之各種實施例,本文中所闡述之方法作為軟體程式儲存於一電腦可讀儲存媒體中且經組態以在一電腦處理器上運行。此外,軟體實施方案可包含但不限於亦可經建構以實施本文中所闡述之方法之分散式處理、組件/物件分散式處理、並行處理、虛擬機器處理。
儘管在圖15及圖16中將電腦可讀儲存媒體15101610展示為一單個儲存媒體,但術語「電腦可讀儲存媒體」應視為包含儲存一或多組指令之一單個媒體或多個媒體(例如,一集中式或分散式資料庫及/或相關聯快取記憶體及伺服器)。術語「電腦可讀儲存媒體」亦應視為包含能夠儲存、編碼或攜載供由機器執行之一組指令且致使機器執 行本發明之方法中之任一者或多者之任何媒體。
術語「電腦可讀媒體」應相應地視為包含但不限於固態記憶體(諸如一記憶體卡或者裝納一或多個唯讀(非揮發性)記憶體、隨機存取記憶體或其他可重複寫入(揮發性)記憶體之其他封裝);磁光媒體或光學媒體(諸如一磁碟或磁帶)。因此,本發明應視為包含如本文中所列示之一電腦可讀媒體中之任一者或多者且包含已認可之等效物及其中儲存有本文中之軟體實施方案之後續媒體。
與連接至一不同邏輯網路之計算裝置之通信
在闡述發明性配置之其他態樣之前,考量習用交換器之操作係有用的。習用交換器將一網路之多個分段連接在一起。執行此功能之最簡單裝置稱作「集線器」且在實體層處操作。集線器不對資料封包執行任何訊務管理任務,而是僅複製在一埠處進入之所有資料訊務且將其向外廣播至所有其他埠。層2(或「網路」)交換器操作直至連結層,且具有檢驗進入交換器之封包之能力,且基於連結層封包之目的地實體位址將每一封包引導至恰當埠。交換器與集線器之不同之處在於其可在不跨越每一埠進行廣播之情況下將封包轉發至其目的地。多層交換器(例如,層3交換器)可操作直至網路、輸送及/或應用程式層,且能夠執行需要知曉較高層協定(諸如IP多點播送、IP安全性、防火牆、負載平衡、安全通訊端層加密/解密及諸如此類)之操作。在較高層處操作之交換器可執行路由器及橋接器之功能中之某些或所有功能。相反地,路由器及橋接器亦可執行較低層交換功能。
交換器藉由使每一輸出埠與一特定實體位址相關聯而將封包轉發至下一躍點。如上文所提及,交換器主要在資料連結層中操作。資料連結層訊息(亦即,資料封包)定址到表示資料封包之路徑中之「下一躍點」之實體位址。一實體位址之一實例係用於主機機器之網路介面之MAC位址。使用一連結層協定(諸如位址解析協定(「ARP」))解 析MAC位址,且然後將此資訊儲存於用於迅速參考之一表(例如,一ARP表)中。當接收到送往一特定主機之一封包時,交換器查找ARP表上之目的地MAC位址、定位與該MAC位址相關聯之埠且轉發該封包。若用於目的地主機之MAC位址未列示於ARP表中,則交換器可在每一輸出埠上廣播一ARP輪詢訊息。若目的地主機連接至交換器,則其將用一應答進行回答且交換器將使用接收到該應答之埠將封包轉發至主機。交換器亦可將埠及網路位址記錄於ARP表中以供未來轉發至該MAC位址。
在網路層中或以上操作之多層交換器可使用邏輯位址(例如,IP位址)來將封包轉發至其目的地。雖然網路層功能及以上層功能通常由路由器處置,但在一習用路由器與一層3(或網路層)交換器之間存在很小功能差異。在任一情況中,交換器(或路由器)接收送往具有一邏輯位址(亦即,一網路層或協定位址)之一特定主機之一資料封包。在接收到封包之後,網路層交換器將比較封包之目的地IP位址與一路由表以判定至目的地主機之路徑中之下一躍點之邏輯及實體位址兩者。網路層交換器然後將封包傳輸至下一躍點。在一層3交換器處接收之封包與由一層2交換器接收之一封包相比其間之主要差異係在層3交換器處接收之連結層封包之目的地位址(例如,一MAC位址)係交換器自身之目的地位址。如上文所闡釋,一連結層封包定址至封包之路徑之下一躍點。接收封包之層3交換器(或路由器)是該封包之下一躍點,且具有基於網路層位址(例如,一IP位址)或封包中所含有之其他資訊判定封包之下一躍點之任務。相比而言,接收一封包之一層2交換器讀取連結層目的地位址且將封包轉發至下一躍點,但層2交換器自身並非係一目的地。
一移動目標技術(「MTT」)交換器能夠執行封包轉發,如上文針對在任何給定時間根據至少一個任務計劃操作之一MTT啟用網路所闡 述。一MTT交換器能夠執行上文針對MTT啟用訊務所闡述之一交換器之原生功能性。在某些實施例中,MTT交換器亦可經配置以出於判定如何恰當地執行此等交換操作之目的而自動地區分MTT啟用訊務與習用資料訊務。任務計劃定義對一MTT啟用網路內之資料訊務之IDP執行之一組變換及在網路內執行此等變換之位置。如同模組,MTT啟用交換器可載入有一或多個任務計劃。另外,MTT交換器可執行模組之功能且根據任務計劃變換資料封包之IDP。
當前交換技術藉由「鎖定」一特定實體位址而將資料轉發至ARP表中之交換器上之一特定埠,如上文所闡述。因此,習用交換器由於IDP將根據任務計劃移動而不能處理MTT啟用訊務。舉例而言,源及/或目的地主機之IP位址、源及/或目的地主機之MAC位址或兩者可在到達交換器之前動態地修改。MTT啟用交換器具有根據任務計劃操作及藉助移動身分識別正確地轉發經交換資料封包之能力。舉例而言,當一封包到達一MTT交換器時,分析資料封包之IDP且比較目的地主機與由任務計劃驅動及修改之一動態ARP表。
由任務計劃填充及/或修改動態ARP表。任務計劃具有有關遍及整個網路對IDP之操控之資訊,且因此可給交換器供應一完全填充之ARP表以供在轉發封包時使用。ARP表之此動態修改可以若干種方式發生。在某些實施例中,當將ARP表載入至交換器中時,由任務計劃填充其中之值。在此等情景中,每當啟動一新任務計劃時重新寫入ARP表值。換言之,根據任務計劃使用如當前經操控以供用於網路中之IDP改變ARP表中之值以促進封包之正確交換。在其他實施例中,由任務計劃更新ARP表中之值之間的關係。舉例而言,可由任務計劃更新埠與各種裝置位址之間的關係。在每一情景中,任務計劃更新或修改ARP表以使得交換器藉助在該特定時間正使用之經操控IDP正確地起作用。如上文所闡述,IDP之操控可基於一被動性觸發事件而改 變。任務計劃將定義回應於一特定類型之被動性觸發事件發生何種改變。因此,每一被動性觸發事件可引起對一動態ARP表之一修改或更新。
在某些情景中,一交換器包含服務於一靜態及一MTT啟用網路兩者之專用埠。實際上,交換器與服務於一靜態網路之靜態埠及服務於一動態網路之MTT埠分隔。在此一情景中,每一組埠可具有一單獨ARP表或可共用包含一靜態區段及一MTT區段之一ARP表。ARP表之服務於MTT啟用埠之至少該部分係根據一任務計劃而判定,且回應於由任務計劃定義之預定被動性觸發事件而變化。在另一實施例中,交換器可識別MTT啟用訊務且將資料封包之IDP變換成靜態IDP(亦即,真IDP)。在已變換IDP之後,交換器可使用一靜態ARP表而使用習用交換演算法來處理資料封包。此後,交換器可轉發含有真IDP之封包,或可轉發具有假IDP之封包。該等假IDP可與在接收時封包中所含有之假IDP相同,或交換器可操控IDP以包含一不同假IDP集合。在任一情況中處理封包之方式可由一任務計劃判定,如上文所闡述。
在某些實施例中,網路中可同時存在靜態及動態資料訊務兩者。因此,容納靜態及動態訊務兩者之容量係重要的。舉例而言,資料可基於資料之值或重要性而係靜態或動態的。根據一特定任務計劃操作之一主機電腦可針對藉助一特定應用程式或向一特定伺服器傳輸之資料啟用MTT。相比而言,可在不啟用MTT之情況下發送web瀏覽資料或其他低優先級資料。因此,所有網路裝備(包含交換器)可同時容納靜態及動態訊務兩者且除轉發靜態封包之外亦完全能夠透過相同網路處置MTT啟用封包之變換及轉發。
在某些實施例中,交換器可連接至操作不同任務計劃之多個網路。另一選擇係,連接至交換器之網路中之一或多者可係靜態的(亦即,非MTT啟用的)。在此等情景中,交換器可用作一橋接器且能夠 在操作不同任務計劃之網路之間或在一MTT網路與一靜態網路之間轉譯。在此等網路邊界之間操作之交換器可具有用於每一網路之一ARP表,或具有帶有多個區段之一ARP表,其中每一區段對應於一不同網路。在任一情景中,可根據一任務計劃動態地填充ARP表。
除根據一任務計劃轉發MTT啟用資料封包之外,MTT交換器亦能夠藉由偽隨機地交替用於將封包傳達至一特定目的地之輸出埠而基於任務計劃操控交換行為。舉例而言,一交換器可具有通向連接至相同企業廣域網路中之另一網路之一路由器之一個埠。交換器可具有通向進入至網際網路中之一閘道器之一第二埠。兩個路徑可通向相同目的地,且交換器可在將封包傳達至相同最終目的地時在該等路徑之間偽隨機地交替。另一選擇係或除此之外,交換器亦可在某些或所有埠上廣播外來封包以在網路內形成雜訊。外來封包可含有呈經加密形式之隨機資料之無用位元以使試圖滲入網路之個體及系統混淆及困擾。MTT交換器可根據一或多個任務計劃在此等行為或其任何組合之間交替。
視情況,交換器可進一步應用一組篩選規則以充當一防火牆。在某些實施例中,交換器可基於一任務計劃識別MTT啟用訊務且篩除所有其他訊務。在其他實施例中,交換器可偵測資料訊務中之異常。篩選規則可經設計以使得交換器將非MTT啟用封包及/或異常封包引導至可模擬網路系統之行為之一「誘捕系統」伺服器以誘捕攻擊訊務。藉由將非MTT啟用封包及/或異常封包(尤其是與攻擊訊務相關聯之封包)篩選至誘捕系統,一網路管理員能夠阻止一攻擊、分析網路漏洞及/或開發用於基於不允許之訊務之行為而對抗攻擊之新技術。另一選擇係,可立即摒棄或使用習用防火牆技術來篩選非MTT啟用封包。
為進一步理解本文中所闡述之MTT交換器之此功能,考量圖17 及以下實例。現在參考圖17,其提供一例示性網路1700。該網路包含主機1702,模組1704,交換器17061712,路由器17081710及主機1714。如圖17中所展示,藉助IDP 120發送一資料封包。在一項例示性實施例中,模組1704可將IDP 120變換成IDP 122,如先前所闡述。在替代實施例中,模組1704可在主機1702或交換器1706內。另外,路由器17081710,交換器1712及主機1714亦可包含一模組。雖然圖17圖解說明在一個方向上行進之資料封包,但熟習此項技術者應認識到,資料訊務可使用眾所周知之雙工技術在兩個方向上流動。
在一第一實例中,一網路分段包括串聯連接之三個單獨組件:一PC 1702、一MTT模組1704及一MTT交換器1706。PC 1702係透過交換器1706進入一動態網路之一資料串流之源主機。連接於PC 1702與交換器1706之間的係能夠對由PC 1702傳輸之資料串流執行偽隨機變換之一模組1704。當資料串流到達交換器1706時,串流內之資料封包之各種IDP 122看似已由模組1704以隨機方式變換。更特定而言,根據一任務計劃將IDP值120中之某些IDP值偽隨機地變換為假值122。MTT啟用交換器1706根據相同任務計劃操作,且因此保持能夠將資料串流中之封包恰當地轉發至下一介面。在一替代組態中,模組1704不需要係一單獨組件,而是可嵌入於一PC 1702內,如上文所論述。
在一第二實例中,模組1704嵌入於交換器1706內且交換器1706自身能夠根據任務計劃變換資料封包IDP 120。在此一情景中,交換器可接收非MTT啟用之一資料串流,亦即,尚未變換資料封包之IDP 120。交換器然後在將IDP向外轉發至網路中之前修改該等IDP以規定假IDP 122。交換器1706處之變換可在輸入埠或輸出埠處發生。換言之,可在交換器判定透過哪一埠轉發封包之前或之後變換IDP 120
在一第三實例中,一MTT交換器1706連接根據不同任務計劃操作之兩個網路(在圖17中表示為連接至路由器17081710之網路)。為 了清晰且為了避免使本發明模糊,未展示附接至路由器17081710之網路。具體而言,網路中之一者(例如,路由器1708)係非MTT啟用之一靜態網路。在兩個網路之間傳輸之資料訊務必須在其可被轉發至另一網路之前由交換器1706轉譯。舉例而言,自MTT啟用網路到達交換器之一資料封包之IDP 122必須經轉譯以規定靜態值120。相反地,自靜態網路到達交換器之一資料封包之IDP必須經轉譯以規定根據當前作用之任務計劃之IDP。
在一第四實例中,一MTT交換器1706連接網路A(亦即,路由器1709)、B(亦即,路由器1710)、C(亦即,路由器1711)及D(亦即,路由器1708)。網路A、B及C係根據一或多個任務計劃操作之動態MTT啟用網路。網路D係非MTT啟用之一靜態網路。當在MTT交換器1706處接收到資料時,其評估封包以判定其是否包括具有對應於網路A、B或C之一當前狀態(亦即,對應於根據網路A、B或C之當前任務計劃預期之狀態)之假IDP之MTT啟用資料。若如此,則交換器1706使用一或多個任務計劃執行適當MTT處理以將資料路由至適當目的地網路。此處理可涉及將一假IDP集合(例如,若封包源自一MTT啟用網路)變換為一真IDP集合(若目的地網路係一靜態網路(在此實例中,網路D、路由器1708))。另一選擇係,此處理可涉及將對應於一MTT啟用源網路(例如,網路A、路由器1709)之一第一假IDP集合變換為對應於一MTT啟用目的地網路(例如,網路B、路由器1710)之一第二假IDP集合。第一假IDP集合及第二假IDP集合可包含使其成為假的IDP之不同選擇及/或相同IDP集合之不同假值。另一選擇係,若交換器1706判定一所接收封包含有不對應於任何網路之當前狀態之錯誤MTT資料,則可摒棄所接收封包或將其發送至如上文所闡述之一「誘捕系統」。
上文所闡述之例示性組態並不意在係限制性的。此外,實施例不限於圖17中所圖解說明之網路拓撲。如上文所提及,一交換器之功 能可內建至其他網路裝置(例如,路由器及橋接器)中。另外,模組及防火牆之功能可併入至交換器、路由器及/或橋接器中。網路組件可經組合以達成適合任何組之需要之一動態網路系統。
現在參考圖18,其提供處理程序1800之一流程圖以進一步圖解說明一MTT交換器之操作。處理程序在步驟1802處在將交換器開啟電源時開始且繼續至步驟1804,其中將用於執行本文中所闡述之方法之交換器應用程式軟體初始化。在步驟1806中,自交換器內之一記憶體位置載入一或多個任務計劃。亦根據任務計劃填充ARP表。一任務計劃可定義一單個動態電腦網路內之複數個網路分段之一動態操縱。可以類似於上文關於模組所闡述之方式之一方式將一或多個任務計劃載入於一交換器中。在某些情景中,將任務計劃載入至交換器之一記憶體中且將其啟動,藉此產生一觸發事件。觸發事件充當區分使用一先前作用之ARP表處理之在觸發事件之前接收之訊務與使用新啟動之ARP表處理之在觸發事件之後接收之訊務之一閘。這可以若干種方式發生。在另一實施例中,當交換器不作用時或在停用網路之MTT操作之一時間期間,可將任務計劃載入至記憶體中。一旦已載入一任務計劃,交換器即準備好開始處理資料且在步驟1808處繼續如此進行,其中其自交換器之一輸入資料緩衝器存取一資料封包。
在步驟1810中,交換器檢查以判定是否已在網路中啟用MTT操作模式。若否(1810:否),則在步驟1812中使用經配置以確保含有真IDP值之封包之恰當轉發之一靜態ARP表將在步驟1808中存取之資料封包引導至一輸出埠。換言之,在MTT操作模式不作用且假定所有IDP具有其真值時使用此模式。在步驟1812中,交換器在不對資料封包進行任何修改之情況下以一習用交換器將使用之相同之方式將資料封包傳達至適當輸出埠。若啟用MTT模式(1810:是),則處理程序繼續至步驟1814
網路將具有定義當前如何操控網路中之IDP之某一MTT狀態。在步驟1814中,交換器基於任務計劃及當前MTT狀態判定假IDP值之當前狀態。在步驟1816中,系統週期性地檢查以判定是否已發生將改變MTT狀態之一觸發事件。針對一觸發事件之發生之此檢查步驟可如所展示地基於一時脈信號週期性地執行,或其可在方塊1815內所包含之處理程序期間之任何時間執行。此係一重要步驟,此乃因一觸發事件之發生可對網路中當前正使用之恰當假身分識別值之計算具有一顯著影響。然後使用來自步驟1816之資訊及有關網路之MTT狀態之任何其他適當資訊來判定那時網路正使用之任何MTT操控之當前狀態。舉例而言,在步驟1814中一觸發事件之發生可致使系統產生包含那時正使用之任何假IDP值及對應真IDP值之一經更新交叉參考或LUT。可使用如先前所闡述之一偽隨機處理程序判定有關哪些IDP係假及此等IDP之真值之資訊。如圖18中所展示,觸發事件可在處理步驟181418181820182418261828中之任一者期間發生且將觸發那時之當前MTT狀態(例如,假IDP值之當前狀態)之一立即重新判定。
視情況,可在步驟1814處啟用MTT IDP之不可否認性。不可否認性係允許網路管理員在任何時間發現動態網路所使用之MTT身分識別之一安全性服務。因此,儘管具有網路訊務之IDP之潛在偽隨機本性,但網路源及目的地之真身分識別係可知曉的且不能「否認」以拒絕責任。在一項實施例中,此可藉由簡單記錄所有假身分識別而達成。因此,執行一記錄功能,藉此將在步驟1814中判定之所有假IDP記錄於(舉例而言)記憶體中。另一選擇係,可透過偽隨機函數之時間戳記錄及與MTT任務計劃之當前狀態相關聯之種子值來達成不可否認性。此允許一網路管理員在網路操作期間之任何時間往回查看以依據偽隨機函數及那時任務計劃所使用之種子值「重新建構」網路身分識別。
在步驟1818中,交換器讀取資料封包以判定資料封包自其始發之一源節點及目的地節點之身分識別。所接收資料之源位址資訊及目的地位址資訊係重要的,此乃因需要其來准許交換器判定如何恰當地操控資料通信內所含有之IDP。在步驟1820中,交換器檢查資料封包以判定源節點是否有效。此可藉由比較資料封包中所規定之源節點與當前正使用之有效源節點之一當前清單(例如,如步驟1814中所判定)而達成。若源節點資訊並非有效,則在步驟1822中摒棄封包。步驟18241826係下文進一步詳細論述之選用步驟。
處理程序繼續至步驟1828,在此時交換器將封包引導至適當輸出埠。此步驟較佳地包含用以確保含有假IDP之封包之恰當轉發之適當動作。更特定而言,此步驟確保根據對應於假IDP之真資訊且根據任務計劃,用於資料通信之下一目的地係用於資料通信之一正確路徑。應記得,假IDP中之資訊將與真IDP值不一致,因此必須做出適當調整以適應假資訊,同時仍確保資料訊息之恰當轉發。存在解決此問題之至少兩種可能方法。在某些實施例中,步驟1828可涉及藉以判定一封包中所含有之任何假IDP之真IDP值之一交叉參考處理程序。舉例而言,在步驟1814中產生之LUT可用於此目的。一旦判定此等IDP之真值,交換器即可使用一靜態ARP表(亦即,在步驟1812中所使用之相同表)來判定一特定封包之正確輸出埠。此後,可將封包引導至正確輸出埠。另一選擇係,可產生一動態ARP表以供在步驟1828中使用。動態ARP表可直接規定對應於一資料封包中所含有之假IDP資訊之一正確輸出埠。其他方法亦係可能的,且本發明並不意欲限於此處所闡述之兩種方法。
在步驟1830中,做出關於是否已命令將交換器關閉電源之一判定。若如此,則處理程序在步驟1832處結束;否則,處理程序返回至1808。在步驟1808中,處理程序繼續且自交換器之輸入資料緩衝器存 取下一資料封包。
在上文所闡述之處理程序中,交換器執行確保將含有假IDP之資料封包仍傳達至其恰當目的地節點之轉發操作。除執行此等基本轉發功能之外,交換器亦可經組態而以類似於上文關於模組所闡述之方式之一方式執行IDP之動態操控。再次參考圖18,選用步驟1824可包括根據一任務計劃及一當前動態網路狀態動態地操控IDP。步驟1824處之操作將類似於如上文所闡述之由圖1之模組105至107113114執行之IDP操控。在完成IDP之此操控後,處理程序將旋即基本上如上文關於步驟1828所闡述地繼續。將使用如由交換器操控之當前IDP值來執行轉發操作。值得注意的是,步驟1824中之操控操作可根據一任務計劃在進行與停止之間選擇性地雙態切換。此處理程序類似於上文關於模組所闡述之繞過模式,且可促進使一網路內之其中執行IDP操控之一位置變化。可在如上文所闡述之步驟18101812中實施此繞過操作模式。另一選擇係,可個別地繞過步驟1824
在如至此所闡述之處理程序中,已操控IDP,但轉發協定一直係靜態的。換言之,用於轉發封包之規則已隨時間保持相同,且此等規則尚未受網路之MTT狀態之改變影響。封包總是沿與其將在具有一靜態ARP表之一預設轉發情景中轉發相同之路徑來路由。除此等靜態路由方法之外,發明性配置亦可包含動態轉發。
為了更完全地理解動態轉發之概念,考量一實例係有用的。在上文參考圖18所闡述之預設轉發情景中,交換器1706將送往伺服器1714之一封包引導至路由器1710(經由網際網路或某一其他公用網路),此乃因此路徑具有最短數目個躍點。然而,在本發明之一動態轉發實施例中,每一交換器及/或路由器之轉發協定可經動態修改以使得一特定交換器/路由器轉發一封包之方式將隨時間(且在不同條件下)改變。此等轉發變化在不存取任務計劃中所規定之資訊之情況下 將不可預測。因此,一任務計劃可規定(舉例而言)有時將送往伺服器1714之封包引導至路由器1708而非直接引導至路由器1710。然後透過網際網路(或任何其他公用網路)將封包引導至交換器1712及最後目的地(例如,伺服器1714)。在其他時間,送往相同伺服器之一封包可具有一不同路徑。在涉及動態轉發之此等實施例中,可認為封包貫通網路1700採取之路徑以一偽隨機方式動態地更改以阻撓試圖監視網路通信之對手。下文中所闡述之動態轉發方法可使用任何適合技術執行且所有此等技術意欲包含於本發明之範疇中。此外,轉發協定之動態修改可單獨地或連同如上文所闡述之IDP之動態修改一起執行。
應理解,本文中所闡述之動態路由方法不限於上文所闡述之處理程序。在另一實施例中,根據一任務計劃操作之一交換器可判定貫通網路之複數個可行路徑。交換器可根據由任務計劃定義之一偽隨機演算法將跨越可行路徑之通信分段及分散。舉例而言,參考圖17,一交換器1706可接收分段成兩個封包之一通信。根據任務計劃操作,交換器1706可透過路由器1708發送一個封包且將另一封包直接發送至路由器1710。然後,在目的地(例如,伺服器1714)處重新彙編通信。在此一實施例中,交換器1706可根據一偽隨機函數而使資料封包將行進之路徑變化。熟習此項技術者應認識到,此技術可擴縮到包含任何數目個交換器及/或路由器之網路。
值得注意的是,上文所闡述之動態路由處理程序亦可獨立於關於圖18所闡述之MTT功能中之一或多者而發生。現在參考圖19,其提供概述根據一項實施例之一交換器之操作之一流程圖,其中路由器所使用之轉發協定根據一任務計劃變化。處理程序1900在步驟1902處在將交換器開啟電源時開始且繼續至步驟1904,其中將用於執行本文中所闡述之方法之交換器應用程式軟體初始化。在步驟1906中,自交換器內之一記憶體位置載入一或多個任務計劃。在此時,交換器準備好 開始處理資料且在步驟1908處繼續如此進行,其中其自交換器之一輸入資料緩衝器存取一所接收資料封包。在步驟1910中,做出關於交換器是否在一動態轉發模式中操作之一判定。若否,則處理程序繼續至步驟1912且將資料轉發至與到目的地主機之路徑中之下一躍點相關聯之預設埠。另一選擇係,若交換器根據一動態轉發模式操作[1910:是],則處理程序繼續至包含於方塊1913內之步驟1914至1918
在步驟1914中,交換器判定貫通網路的資料封包為到達其目的地節點而可採取之一組可行路徑。可基於任務計劃判定此等路徑。舉例而言,任務計劃可知曉貫通網路的一資料封包為了自一點行進至另一點而可採取之若干個路徑。交換器可根據當前作用之任務計劃判定此等路徑中之哪些路徑係可用的。在步驟1916中,基於由一任務計劃定義之一偽隨機選擇處理程序選擇一單個路徑以發送封包。在步驟1915中亦發生對一被動性觸發事件之發生之一檢查。如上文關於圖18所論述,在步驟1915中判定之被動性觸發事件將觸發那時之當前MTT狀態(例如,假IDP值之當前狀態)之一立即重新判定。一旦選擇了路徑,即在步驟1918處朝向規定為封包之下一目的地之一毗鄰節點將資料封包引導至一輸出埠。在某些實施例中,任務計劃可引導交換器在網路中產生額外雜訊。在此等實施例中,步驟1918亦包含將封包發送至一或多個額外埠以努力使外來封包湧入網路且遮罩網路之行為。
在步驟1920中,做出關於是否已命令將交換器關閉電源之一判定。若如此,則處理程序在步驟1922處結束;否則,處理程序返回至1908。在步驟1908中,處理程序繼續且自路由器之輸入資料緩衝器存取下一資料封包。
現在參考圖20,其展示交換器2000之一方塊圖。交換器2000具有至少兩個資料埠20012002。資料埠20012002中之每一者可對應於一各別網路介面裝置20042005。如圖20中所展示,交換器2000可 具有複數個資料埠,每一資料埠連接至一不同網路及/或計算裝置。在埠2001中之任一者處接收之資料在網路介面裝置2004處處理且暫時儲存於一輸入緩衝器2010處。處理器2015存取輸入緩衝器2010中所含有之輸入資料封包且執行如本文中所闡述之任何必要路由程序(亦即,方向2處理2016)。經修改資料封包傳遞至輸出緩衝器2012且隨後使用網路介面裝置2005自埠2002傳輸。類似地,在埠2002處接收之資料在網路介面裝置2005處處理且暫時儲存於一輸入緩衝器2008處。處理器2015存取輸入緩衝器2008中所含有之輸入資料封包且執行如本文中所闡述之任何必要路由程序(亦即,方向1處理2014)。經修改資料封包傳遞至輸出緩衝器2006且隨後使用網路介面裝置2004自埠2001傳輸。在每一模組中,處理器2015根據一任務計劃2020及/或儲存於一記憶體2018中之一或多個表2022執行資料封包之動態路由。
除其路由功能(及對潛在地管理動態路由協定之需要)之外,交換器2000之操作亦在許多方面類似於模組105至107113114之操作。仍應瞭解,交換器2000之操作亦以某些方式不同。舉例而言,不同於模組,交換器將決不會完全不作用,此乃因在網路作用時,總是需要其來至少執行習用轉發功能。但是,交換器之操作中之某些操作可以類似於模組之一方式在一作用模式與一非作用模式之間轉變。舉例而言,由交換器執行之涉及IDP之動態修改(圖18之步驟1824)之變換功能可在一作用模式與一非作用(繞過)模式之間轉變。當在作用模式中時,IDP之動態修改可由交換器執行。當在非作用或繞過模式中時,不動態地修改IDP,但轉發功能仍係作用的。值得注意的是,一任務計劃可使用交換器(以類似於上文關於模組所闡述之方式之一方式)來使其中執行IDP操控之位置變化。此等動作可僅由如圖17中所展示之一或多個交換器及/或路由器執行,或可連同其他裝置(例如模組、橋接器及防火牆)一起執行。可以類似於本文中關於模組所闡述之方式 之一方式更新交換器所使用之任務計劃,惟藉助一靜態ARP表之習用轉發功能可在載入一新任務計劃之時間期間保持啟用除外。另一選擇係,如上文所闡述,一新任務計劃之載入及啟動可致使一觸發事件發生,藉此在觸發事件之後在輸入緩衝器中接收之所有資料將使用經更新任務計劃處理。
待由一交換器操控之IDP之選擇及操控其之方式可類似於上文關於模組所闡述之方法。舉例而言,IDP之選擇及假IDP值之選擇可由一偽隨機或混亂處理程序判定。該處理程序及/或用於此處理程序之種子值分別由與網路相關聯之任務計劃判定。交換器2000將根據如上文參考模組所闡述之一或多個觸發事件之發生對待操控之IDP值及/或IDP之選擇做出改變。此等觸發事件可隨時間而變地產生,可由事件之發生判定或兩者兼具。本文中所提及之事件之實例可包含一使用者命令、一時序間隔及一潛在網路安全性威脅之一偵測,如上文所論述。
可變化之IDP之類型
現在參考圖21,其提供可由模組105至107113114及/或由橋接器115操控之IDP中之某些IDP之一清單。圖21中所列示之參數中之每一者包含於在使用一TCP/IP通信協定之一網路中所包含之一資料通信中。圖21中所列示之大多數資訊類型係熟習此項技術者眾所周知的。然而,本文中提供每一類型之資訊及其作為一IDP之使用之一簡要闡述。亦提供可操控每一IDP之方式之一簡要論述。
IP位址。一IP位址係指派給參與一電腦網路之每一計算裝置之一數字識別符,其中該網路使用眾所周知之網際網路協定進行通信。IP位址可係一個三十二位元或一百二十八位元數。出於本發明之目的,可將IP位址數改變為隨機地選擇(例如,使用一偽隨機數產生器)之一假值。另一選擇係,可自一預定假值清單(例如,由一任務計劃規定 之一清單)隨機地選擇假IP位址值。源IP位址及目的地IP位址包含於一資料封包之一標頭部分中。因此,藉由經由使用改變IP標頭資訊之包操控技術簡單地改變執行此等值之操控。當包到達一第二模組(可操控該第二模組之位置)時,將假IP位址值變換回至其真值。第二模組使用相同偽隨機處理程序(或其逆處理程序)來基於假值導出真IP位址值。
MAC位址。一MAC位址係由一製造商指派給一網路介面裝置且儲存於一板上ROM中之一唯一值。出於本發明之目的,可將源MAC位址及/或目的地MAC位址改變為隨機地選擇(例如,使用一偽隨機數產生器)之一假值。另一選擇係,可自一預定假值清單(例如,由一任務計劃規定之一清單)隨機地選擇假MAC值。源MAC位址及目的地MAC位址包含於資料封包之標頭部分中。因此,藉由簡單地改變每一封包之一乙太網路標頭資訊執行此等值之操控。當封包到達一第二模組(可操控該第二模組之位置)時,將假MAC位址值變換回至其真值。接收一封包之一模組將使用相同偽隨機處理程序(或其逆處理程序)來基於假值導出真MAC位址值。
網路/子網路。在某些實施例中,可將IP位址視為一單個IDP。然而,通常將一IP位址定義為包含至少兩個部分,該至少兩個部分包含一網路首碼部分及一主機編號部分。網路首碼部分識別待將一資料封包傳達至其之一網路。主機編號識別一區域網路(「LAN」)內之特定節點。一子網路(有時稱為一子網路)係一IP網路之一邏輯部分。在將一網路劃分成兩個或兩個以上子網路之情況下,使用IP位址之主機編號區段之一部分來規定子網路編號。出於本發明之目的,網路首碼、子網路編號及主機編號可各自視為一單獨IDP。因此,此等IDP中之每一者可以一偽隨機方式獨立於其他參數單獨地操控。此外,應瞭解,一資料封包將包含一源IP位址及一目的地IP位址。因此,可在源 IP位址及/或目的地IP位址中操控網路首碼、子網路編號及主機編號,總共六個可以一偽隨機方式操控之不同可變IDP。接收一封包之一模組將使用與一始發節點相同之偽隨機處理程序(或此處理程序之逆處理程序)來基於假值導出真網路/子網路資訊值。
TCP序列。在一TCP工作階段之相對側上彼此通信之兩個用戶端電腦將各自維持一TCP序號。該序號允許每一電腦追蹤其已傳達多少資料。TCP序號包含於在工作階段期間傳達之每一封包之TCP標頭部分中。在起始一TCP工作階段時,隨機地選擇初始序號值。出於本發明之目的,可根據一偽隨機處理程序將TCP序號操控為一IDP。舉例而言,可將TCP序號改變為隨機地選擇(例如,使用一偽隨機數產生器)之一假值。當在網路之一不同模組(其位置將動態地變化)處接收到封包時,可使用偽隨機處理程序之一逆處理程序將TCP序號自一假值變換回至一真值。
埠編號。一TCP/IP埠編號包含於一資料封包之TCP或UDP標頭部分中。如TCP/IP通信協定中所使用之埠係此項技術中眾所周知的,且因此將不在本文中詳細闡述。埠資訊含在資料封包之TCP標頭部分內。因此,藉由簡單地修改TCP標頭資訊以將一真埠值改變為一假埠值而達成埠資訊之操控。如同本文所論述之其他IDP,可在一第一模組處根據一偽隨機處理程序將埠編號資訊操控或變換為一假值。稍後,可在一第二模組處使用偽隨機處理程序之一逆處理程序將埠資訊自一假值變換為一真值。
雖然已關於一或多項實施方案圖解說明及闡述了本發明,但熟習此項技術者在閱讀及理解本說明書及隨附圖式之後將想到等效更改及修改。另外,儘管可能已關於數種實施方案中之僅一者揭示了本發明之一特定特徵,但此特徵可與其他實施方案之一或多個其他特徵組合,此對於任何給定或特定應用可能係合意及有利的。因此,本發明 之廣度及範疇不應受上文所闡述之實施例中之任一者限制。而是,本發明之範疇應根據隨附申請專利範圍及其等效形式來定義。
100‧‧‧例示性電腦網路/電腦網路
101‧‧‧用戶端電腦
102‧‧‧用戶端電腦
103‧‧‧用戶端電腦
104‧‧‧網路管理電腦(NAC)
105‧‧‧模組
106‧‧‧模組
107‧‧‧模組
108‧‧‧層2交換器/網路節點/集線器
109‧‧‧層2交換器/網路節點
110‧‧‧層3交換器/網路節點
111‧‧‧伺服器
112‧‧‧伺服器
113‧‧‧模組
114‧‧‧模組
115‧‧‧橋接器
120‧‧‧身分識別參數(IDP)集合/身分識別參數/身分識別參數值
122‧‧‧身分識別參數(IDP)集合/身分識別參數/假值/假身分識別參數
124‧‧‧第二網路
130‧‧‧第一邏輯網路/邏輯網路
132‧‧‧第二邏輯網路/邏輯網路
201‧‧‧資料埠
202‧‧‧資料埠

Claims (10)

  1. 一種用於其中節點操作可動態地組態之一電腦網路之企業任務(enterprise mission)管理之方法,該方法包括:將該電腦網路組態為根據複數個任務計劃之至少一個第一任務計劃來表現,該第一任務計劃基於一第一經選擇功能以指定(specify)將由該電腦網路之至少一個第一節點動態地修改包含於一資料封包內之複數個識別參數(identity parameters)的至少一個第一識別參數之一經指派值之一方式,其中該複數個識別參數特定地(uniquely)識別在該電腦網路中之該複數個節點之至少一個節點之硬體及軟體;在該電腦網路內偵測一第一觸發事件(trigger event),該第一觸發事件指示一新任務計劃需要在該電腦網路內被實施;獲得該複數個任務計劃之一第二任務計劃,以回應於該觸發事件,該第二任務計劃不同於該第一任務計劃,且該第二任務計劃指定基於一第二經選擇功能以將由該電腦網路之至少一個第二節點動態地修改該複數個識別參數之至少一個第二識別參數之一經指派值之一方式;判定由該第二任務計劃定義之該第二節點之操作與由該第一任務計劃定義之該第一節點之操作之間是否存在任何衝突;及若判定在如由該第一任務計劃及該第二任務計劃定義之該第一節點及該第二節點之操作之間不存在衝突,則將該電腦網路之操作組態為進一步根據該第二任務計劃來表現(behave),使得由該第二任務計劃指定之方式不同於由該第一任務計劃規定之方式;其中該方式進一步根據該至少一個識別參數中之至少一一個 選擇來界定,該至少一個識別參數包含自該複數個識別參數之間的一IP位址、一MAC位址、一網路/子網路(subnet)、一TCP序號或一埠編號。
  2. 如請求項1之方法,其中第一觸發事件係基於以下各項中之至少一者來偵測:正在該電腦網路內傳達(communicate)之一封包之內容、該電腦網路之一擁塞等級(congestion level)、該電腦網路之一狀態、該電腦網路內之使用者活動,及對該電腦網路之惡意攻擊(malicious attacks)。
  3. 如請求項1之方法,其中該第二任務計畫係藉由基於以下各項中之至少一者而由複數個預儲存之任務計劃選擇一任務計劃而獲得:一新任務之要求,及來自分析該電腦網路之操作態樣(operational aspects)之結果。
  4. 如請求項1之方法,其中該第二任務計畫係藉由基於以下各項中之至少一者自動地產生一任務計劃而獲得:一新任務之要求;及來自分析該電腦網路之操作態樣之結果。
  5. 如請求項1之方法,其中該第二任務計畫係藉由基於以下各項中之至少一者動態地產生一任務計劃而獲得:一任務之一操作概念(a concept of operations)、該電腦網路之一架構、該電腦網路之資源之間的關係,及與複數個識別參數相關聯之一有效性分級(effectiveness ratings)。
  6. 一種系統,該系統包括:一或多個處理器,其操作以:將一電腦網路組態為根據複數個任務計劃之至少一個第一任務計劃來表現,該第一任務計劃基於一第一選擇功能以指定將由該電腦網路之至少一個第一節點動態地修改包含於一資料封包內之複數個識別參數的至少一個第一識別參數之一經指派 值之一方式,其中該複數個識別參數特定地識別在該電腦網路中之該複數個節點之至少一個節點之硬體及軟體;在該電腦網路內偵測一第一觸發事件,該一第一觸發事件指示一新任務計劃需要在該電腦網路內被實施;獲得該複數個任務計劃之一第二任務計劃,以回應於該觸發事件,該第二任務計劃不同於該第一任務計劃,且該第二任務計劃指定基於一經選擇功能以將由該電腦網路之至少一個第二節點動態地修改該複數個識別參數之至少一個第二識別參數之一經指派值之一方式;判定由該第二任務計劃定義之該第二節點之操作與由該第一任務計劃定義之該第一節點之操作之間是否存在任何衝突;及若判定在由該第一任務計劃及該第二任務計劃定義之該第一節點及該第二節點之操作之間不存在衝突,則將該電腦網路之操作組態為進一步根據該第二任務計劃來表現,使得由該第二任務計劃指定之方式不同於由該第一任務計劃指定之方式;其中該方式進一步根據該至少一個識別參數中之至少一個選擇來界定,該至少一個識別參數包含自該複數個識別參數之一IP位址、一MAC位址、一網路/子網路、一TCP序號或一埠編號。
  7. 如請求項6之系統,其中第一觸發事件係基於以下各項中之至少一者來偵測:正在該電腦網路內傳達之一封包之內容、該電腦網路之一擁塞等級、該電腦網路之一狀態、該電腦網路內之使用者活動,及對該電腦網路之惡意攻擊。
  8. 如請求項6之系統,其中該第二任務計畫係藉由基於以下各項中之至少一者而由複數個預儲存之任務計劃選擇一任務計劃而獲 得:一新任務之要求,及來自分析該電腦網路之操作態樣之結果。
  9. 如請求項6之系統,其中該第二任務計畫係藉由基於以下各項中之至少一者自動地產生一任務計劃而獲得:一新任務之要求,及來自分析該電腦網路之操作態樣之結果。
  10. 如請求項6之系統,其中該第二任務計畫係藉由基於以下各項中之至少一者動態地產生一任務計劃而獲得該:一任務之一操作概念、該電腦網路之一架構、該電腦網路之資源之間的關係,及與複數個識別參數相關聯之一有效性分級。
TW103138419A 2013-11-05 2014-11-05 用於電腦網路之企業任務管理之系統及方法 TWI582636B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US14/072,361 US9503324B2 (en) 2013-11-05 2013-11-05 Systems and methods for enterprise mission management of a computer network

Publications (2)

Publication Number Publication Date
TW201528033A TW201528033A (zh) 2015-07-16
TWI582636B true TWI582636B (zh) 2017-05-11

Family

ID=53007907

Family Applications (1)

Application Number Title Priority Date Filing Date
TW103138419A TWI582636B (zh) 2013-11-05 2014-11-05 用於電腦網路之企業任務管理之系統及方法

Country Status (4)

Country Link
US (1) US9503324B2 (zh)
KR (1) KR101723715B1 (zh)
CN (1) CN104618321B (zh)
TW (1) TWI582636B (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015146641A1 (ja) * 2014-03-27 2015-10-01 株式会社日立国際電気 編成内ネットワークシステム、編成内ネットワーク管理方法、および管理装置
US9882807B2 (en) * 2015-11-11 2018-01-30 International Business Machines Corporation Network traffic classification
US11005809B2 (en) * 2016-03-29 2021-05-11 Motorola Solutions, Inc. Methods, devices, and systems for generating a plurality of network addresses for a plurality of communication devices
US10938781B2 (en) 2016-04-22 2021-03-02 Sophos Limited Secure labeling of network flows
US11165797B2 (en) 2016-04-22 2021-11-02 Sophos Limited Detecting endpoint compromise based on network usage history
GB2570543B8 (en) * 2016-04-22 2021-12-08 Sophos Ltd Detecting triggering events for distributed denial of service attacks
US11102238B2 (en) 2016-04-22 2021-08-24 Sophos Limited Detecting triggering events for distributed denial of service attacks
US10986109B2 (en) 2016-04-22 2021-04-20 Sophos Limited Local proxy detection
US11277416B2 (en) 2016-04-22 2022-03-15 Sophos Limited Labeling network flows according to source applications
EP3826240A1 (en) * 2016-08-02 2021-05-26 Maxcess Americas, Inc. Web handling system
US10547630B2 (en) * 2016-11-29 2020-01-28 Harris Corporation Systems and method for providing dynamic computer networks in which goal induced dynamic modifications to mission plans occur
EP3373553B1 (en) * 2017-03-09 2024-05-08 Argus Cyber Security Ltd System and method for providing cyber security to an in-vehicle network
US10560326B2 (en) * 2017-09-22 2020-02-11 Webroot Inc. State-based entity behavior analysis
US20190044812A1 (en) * 2018-09-13 2019-02-07 Intel Corporation Technologies for dynamically selecting resources for virtual switching
DE102019210223A1 (de) * 2019-07-10 2021-01-14 Robert Bosch Gmbh Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
US11765188B2 (en) * 2020-12-28 2023-09-19 Mellanox Technologies, Ltd. Real-time detection of network attacks
US20220239694A1 (en) * 2021-01-28 2022-07-28 Robert Bosch Gmbh System and method for detection and deflection of attacks on in-vehicle controllers and networks

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080235755A1 (en) * 2007-03-22 2008-09-25 Mocana Corporation Firewall propagation
US20090103726A1 (en) * 2007-10-18 2009-04-23 Nabeel Ahmed Dual-mode variable key length cryptography system
US20090265299A1 (en) * 2008-04-17 2009-10-22 Meirav Hadad Computing solutions to problems using dynamic association between abstract graphs
US8429393B1 (en) * 2004-09-30 2013-04-23 Rockwell Automation Technologies, Inc. Method for obscuring a control device's network presence by dynamically changing the device's network addresses using a cryptography-based pattern
TW201336280A (zh) * 2012-02-09 2013-09-01 Harris Corp 具有可變識別參數之動態電腦網路

Family Cites Families (97)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6587872B2 (en) * 1994-06-20 2003-07-01 Faith Inc. Network system and network management method
IL117792A (en) * 1995-05-08 2003-10-31 Rafael Armament Dev Authority Autonomous command and control unit for mobile platform
US5671412A (en) * 1995-07-28 1997-09-23 Globetrotter Software, Incorporated License management system for software applications
US5757924A (en) 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5793763A (en) 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
US5734649A (en) 1996-05-31 1998-03-31 Bbn Corporation Data packet router
US6128305A (en) * 1997-01-31 2000-10-03 At&T Corp. Architecture for lightweight signaling in ATM networks
US6052064A (en) 1997-10-30 2000-04-18 Motorola, Inc. Method and apparatus in a wireless messaging system for dynamic creation of directed simulcast zones
US6055236A (en) 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
US6154839A (en) 1998-04-23 2000-11-28 Vpnet Technologies, Inc. Translating packet addresses based upon a user identifier
US6646989B1 (en) 1998-06-29 2003-11-11 Lucent Technologies Inc. Hop-by-hop routing with node-dependent topology information
WO2000027090A2 (en) 1998-10-30 2000-05-11 Science Applications International Corporation Network protocol for secure communications
US7188180B2 (en) 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US6535511B1 (en) 1999-01-07 2003-03-18 Cisco Technology, Inc. Method and system for identifying embedded addressing information in a packet for translation between disparate addressing systems
US7240368B1 (en) 1999-04-14 2007-07-03 Verizon Corporate Services Group Inc. Intrusion and misuse deterrence system employing a virtual network
US6981146B1 (en) 1999-05-17 2005-12-27 Invicta Networks, Inc. Method of communications and communication network intrusion protection methods and intrusion attempt detection system
US7185075B1 (en) * 1999-05-26 2007-02-27 Fujitsu Limited Element management system with dynamic database updates based on parsed snooping
US6275470B1 (en) 1999-06-18 2001-08-14 Digital Island, Inc. On-demand overlay routing for computer-based communication networks
US7007080B2 (en) * 1999-12-23 2006-02-28 Solution Inc Limited System for reconfiguring and registering a new IP address for a computer to access a different network without user intervention
US6934763B2 (en) 2000-04-04 2005-08-23 Fujitsu Limited Communication data relay system and method of controlling connectability between domains
WO2001091503A2 (en) 2000-05-23 2001-11-29 Invicta Networks, Inc. Systems and methods for communication protection
US7089303B2 (en) 2000-05-31 2006-08-08 Invicta Networks, Inc. Systems and methods for distributed network protection
US7757272B1 (en) 2000-06-14 2010-07-13 Verizon Corporate Services Group, Inc. Method and apparatus for dynamic mapping
US8037530B1 (en) 2000-08-28 2011-10-11 Verizon Corporate Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor
US6826684B1 (en) 2000-08-28 2004-11-30 Verizon Corporate Services Group Inc. Sliding scale adaptive self-synchronized dynamic address translation
US7043633B1 (en) 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
FR2814883A1 (fr) * 2000-10-03 2002-04-05 Canon Kk Procede et dispositif de declaration et de modification de fonctionnalite d'un noeud dans un reseau de communication
US6978300B1 (en) * 2000-10-19 2005-12-20 International Business Machines Corporation Method and apparatus to perform fabric management
US8677505B2 (en) 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7739497B1 (en) 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
FI110464B (fi) 2001-04-26 2003-01-31 Nokia Corp IP-tietoturva ja liikkuvat verkkoyhteydet
US7085267B2 (en) 2001-04-27 2006-08-01 International Business Machines Corporation Methods, systems and computer program products for translating internet protocol (IP) addresses located in a payload of a packet
US20030097445A1 (en) * 2001-11-20 2003-05-22 Stephen Todd Pluggable devices services and events for a scalable storage service architecture
US6917974B1 (en) 2002-01-03 2005-07-12 The United States Of America As Represented By The Secretary Of The Air Force Method and apparatus for preventing network traffic analysis
US7114005B2 (en) 2002-02-05 2006-09-26 Cisco Technology, Inc. Address hopping of packet-based communications
US7712130B2 (en) 2002-03-22 2010-05-04 Masking Networks, Inc. Multiconfigurable device masking shunt and method of use
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7216359B2 (en) 2002-12-19 2007-05-08 International Business Machines Corporation Secure communication overlay using IP address hopping
US7853250B2 (en) * 2003-04-03 2010-12-14 Network Security Technologies, Inc. Wireless intrusion detection system and method
US7603710B2 (en) * 2003-04-03 2009-10-13 Network Security Technologies, Inc. Method and system for detecting characteristics of a wireless network
US20040255167A1 (en) 2003-04-28 2004-12-16 Knight James Michael Method and system for remote network security management
US7469279B1 (en) 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
US20050038708A1 (en) 2003-08-10 2005-02-17 Gmorpher Incorporated Consuming Web Services on Demand
WO2005029782A1 (ja) 2003-09-22 2005-03-31 Sharp Kabushiki Kaisha 集線装置、中継制御方法、中継制御プログラム、中継制御プログラムを記録した記録媒体、情報処理装置、dhcpサーバ、dhcp処理方法、dhcp処理プログラム、dhcp処理プログラムを記録した記録媒体、および情報処理システム
US7382778B2 (en) 2004-01-05 2008-06-03 Tropos Networks, Inc. Link layer emulation
CN100499540C (zh) 2004-03-03 2009-06-10 三菱电机株式会社 第二层交换网络系统
US20060031394A1 (en) 2004-04-20 2006-02-09 Tazuma Stanley K Apparatus and methods for transparent handling of browser proxy configurations in a network gateway device
ATE480948T1 (de) 2004-09-30 2010-09-15 France Telecom Verfahren und system zum routen in kommunikationsnetzen zwischen einem ersten knoten und einem zweiten knoten
US9383750B2 (en) 2004-12-02 2016-07-05 Lockheed Martin Corporation System for predictively managing communication attributes of unmanned vehicles
US7984163B2 (en) 2005-01-13 2011-07-19 Flash Networks, Inc. Method and system for optimizing DNS queries
US7996894B1 (en) 2005-02-15 2011-08-09 Sonicwall, Inc. MAC address modification of otherwise locally bridged client devices to provide security
US7526536B2 (en) * 2005-04-12 2009-04-28 International Business Machines Corporation System and method for port assignment management across multiple nodes in a network environment
US7937756B2 (en) 2005-08-19 2011-05-03 Cpacket Networks, Inc. Apparatus and method for facilitating network security
JP4626811B2 (ja) 2005-09-29 2011-02-09 日本電気株式会社 ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
US8626882B2 (en) * 2005-10-07 2014-01-07 GM Global Technology Operations LLC Reconfigurable communication for distributed embedded systems
JP3920305B1 (ja) 2005-12-12 2007-05-30 株式会社日立コミュニケーションテクノロジー パケット転送装置
US8199677B1 (en) 2005-12-14 2012-06-12 Rockwell Collins, Inc. Distance vector routing via multi-point relays
US8522341B2 (en) 2006-03-31 2013-08-27 Sap Ag Active intervention in service-to-device mapping for smart items
US20070256078A1 (en) * 2006-04-28 2007-11-01 Falk Nathan B Resource reservation system, method and program product used in distributed cluster environments
US7890612B2 (en) 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
JP4732257B2 (ja) 2006-07-07 2011-07-27 富士通株式会社 中継装置、経路制御方法、及び経路制御プログラム
JP4834493B2 (ja) 2006-08-25 2011-12-14 アラクサラネットワークス株式会社 ネットワーク中継装置、および、ネットワーク中継装置の制御方法
US8136162B2 (en) 2006-08-31 2012-03-13 Broadcom Corporation Intelligent network interface controller
US8189460B2 (en) 2006-12-28 2012-05-29 Cisco Technology, Inc. Method and system for providing congestion management within a virtual talk group
JP2008177714A (ja) 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
WO2008112663A2 (en) 2007-03-10 2008-09-18 Feeva Technology, Inc. Method and apparatus for tagging network traffic using extensible fields in message headers
US7853680B2 (en) 2007-03-23 2010-12-14 Phatak Dhananjay S Spread identity communications architecture
US8464334B1 (en) 2007-04-18 2013-06-11 Tara Chand Singhal Systems and methods for computer network defense II
US8301789B2 (en) 2007-06-18 2012-10-30 Emc Corporation Techniques for port hopping
US7836354B2 (en) 2007-07-02 2010-11-16 Verizon Patent And Licensing Inc. Method and system for providing automatic disabling of network debugging
US20090059788A1 (en) 2007-08-29 2009-03-05 Motorola, Inc. Method and Apparatus for Dynamic Adaptation of Network Transport
WO2009052452A2 (en) 2007-10-17 2009-04-23 Dispersive Networks Inc. Virtual dispersive routing
US8560634B2 (en) 2007-10-17 2013-10-15 Dispersive Networks, Inc. Apparatus, systems and methods utilizing dispersive networking
US8539098B2 (en) 2007-10-17 2013-09-17 Dispersive Networks, Inc. Multiplexed client server (MCS) communications and systems
US20090165116A1 (en) 2007-12-20 2009-06-25 Morris Robert P Methods And Systems For Providing A Trust Indicator Associated With Geospatial Information From A Network Entity
CN101521569B (zh) 2008-02-28 2013-04-24 华为技术有限公司 实现服务访问的方法、设备及系统
US7990877B2 (en) 2008-05-15 2011-08-02 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for dynamically runtime adjustable path computation
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
CN101754471A (zh) * 2008-12-09 2010-06-23 中兴通讯股份有限公司 无线局域网接入设备的工作模式切换方法、装置
US9042549B2 (en) 2009-03-30 2015-05-26 Qualcomm Incorporated Apparatus and method for address privacy protection in receiver oriented channels
US8139504B2 (en) 2009-04-07 2012-03-20 Raytheon Bbn Technologies Corp. System, device, and method for unifying differently-routed networks using virtual topology representations
US8553849B2 (en) * 2009-06-17 2013-10-08 Avaya Inc. Personal identification and interactive device for internet-based text and video communication services
US20100333188A1 (en) 2009-06-29 2010-12-30 Politowicz Timothy J Method for protecting networks against hostile attack
US8934487B2 (en) * 2009-11-05 2015-01-13 Telefonaktiebolaget Lm Ericsson (Publ) Network topology concealment using address permutation
US8793792B2 (en) 2010-05-07 2014-07-29 Raytheon Company Time-key hopping
US9225656B2 (en) 2011-02-07 2015-12-29 Brocade Communications Systems, Inc. Quality of service in a heterogeneous network
US9202078B2 (en) 2011-05-27 2015-12-01 International Business Machines Corporation Data perturbation and anonymization using one way hash
US8769688B2 (en) 2011-09-23 2014-07-01 Universidad Politécnica de P.R. Simultaneous determination of a computer location and user identification
US8495738B2 (en) 2011-10-21 2013-07-23 Lockheed Martin Corporation Stealth network node
US8935780B2 (en) * 2012-02-09 2015-01-13 Harris Corporation Mission management for dynamic computer networks
US8844032B2 (en) 2012-03-02 2014-09-23 Sri International Method and system for application-based policy monitoring and enforcement on a mobile device
US9154458B2 (en) 2012-05-01 2015-10-06 Harris Corporation Systems and methods for implementing moving target technology in legacy hardware
US8959573B2 (en) 2012-05-01 2015-02-17 Harris Corporation Noise, encryption, and decoys for communications in a dynamic computer network
US20130298221A1 (en) 2012-05-01 2013-11-07 Harris Corporation Firewalls for filtering communications in a dynamic computer network
US9075992B2 (en) 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8429393B1 (en) * 2004-09-30 2013-04-23 Rockwell Automation Technologies, Inc. Method for obscuring a control device's network presence by dynamically changing the device's network addresses using a cryptography-based pattern
US20080235755A1 (en) * 2007-03-22 2008-09-25 Mocana Corporation Firewall propagation
US20090103726A1 (en) * 2007-10-18 2009-04-23 Nabeel Ahmed Dual-mode variable key length cryptography system
US20090265299A1 (en) * 2008-04-17 2009-10-22 Meirav Hadad Computing solutions to problems using dynamic association between abstract graphs
TW201336280A (zh) * 2012-02-09 2013-09-01 Harris Corp 具有可變識別參數之動態電腦網路

Also Published As

Publication number Publication date
TW201528033A (zh) 2015-07-16
KR20150051918A (ko) 2015-05-13
US9503324B2 (en) 2016-11-22
CN104618321A (zh) 2015-05-13
CN104618321B (zh) 2018-01-09
US20150127790A1 (en) 2015-05-07
KR101723715B1 (ko) 2017-04-18

Similar Documents

Publication Publication Date Title
TWI582636B (zh) 用於電腦網路之企業任務管理之系統及方法
TWI506999B (zh) 自發地配置一電腦網路之系統及方法
TWI496446B (zh) 一動態電腦網路中用於通信之雜訊、加密及誘餌
TWI489314B (zh) 用於使用影子網路技術以識別、阻斷及/或延遲對一網路之攻擊的系統及方法
TWI514184B (zh) 用於動態地改變網路狀態之系統及方法
US20130298221A1 (en) Firewalls for filtering communications in a dynamic computer network
TWI516072B (zh) 於原有硬體中實施活動目標技術之系統及方法
TWI464618B (zh) 於動態電腦網路中用於交流資料之路由器
TWI510956B (zh) 交換器及用於在將複數個裝置連接至動態電腦網路之交換器中使用之方法
US9338183B2 (en) Session hopping

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees