TWI631843B - 保衛其自身免受對手攻擊之通信網路及用於保衛通信網路免受對手攻擊的方法 - Google Patents

保衛其自身免受對手攻擊之通信網路及用於保衛通信網路免受對手攻擊的方法 Download PDF

Info

Publication number
TWI631843B
TWI631843B TW105106386A TW105106386A TWI631843B TW I631843 B TWI631843 B TW I631843B TW 105106386 A TW105106386 A TW 105106386A TW 105106386 A TW105106386 A TW 105106386A TW I631843 B TWI631843 B TW I631843B
Authority
TW
Taiwan
Prior art keywords
network
node
level
event
communication
Prior art date
Application number
TW105106386A
Other languages
English (en)
Other versions
TW201707425A (zh
Inventor
傑羅姆 桑諾寶
馬可 卡爾沃爾華
理查 福特
Original Assignee
賀利實公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 賀利實公司 filed Critical 賀利實公司
Publication of TW201707425A publication Critical patent/TW201707425A/zh
Application granted granted Critical
Publication of TWI631843B publication Critical patent/TWI631843B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2111/00Details relating to CAD techniques
    • G06F2111/06Multi-objective optimisation, e.g. Pareto optimisation using simulated annealing [SA], ant colony algorithms or genetic algorithms [GA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/321Interlayer communication protocols or service data unit [SDU] definitions; Interfaces between layers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Technology Law (AREA)

Abstract

一種通信網路是使用利用跨越不同抽象層級的協調的分散式基礎架構加以保衛。在構成通信網路的每一節點計算裝置處,使用所儲存事件清單偵測在機器碼層級處發生且已知有可能直接干擾節點計算裝置的內部操作的至少一個節點事件。所述至少一個節點事件為不包括網路通信網域內的事件的事件。回應於在多個網路節點中的一者處偵測到至少一個節點事件,由網路自動選擇性地判定最佳網路層級防禦動作。網路層級防禦動作將涉及構成通信網路的多個網路節點。

Description

保衛其自身免受對手攻擊之通信網路及用於保衛通信網路免受對手攻擊的方法
本發明配置係關於安全認知網路。更特定而言,本發明配置關於實施用於在認知網路中提供利用跨越不同抽象層級的協調的安全分散式基礎架構的系統及方法。
戰術性通信系統對於軍事及民用應用兩者的任務關鍵操作極其重要。在過去若干年中,軟體定義無線電的引入及戰術性通信系統的增加的複雜性、動態性以及關鍵性一直需要開發新的且更有效的方法來可靠且即時地進行網路管理、監視及最佳化。
認知網路管理(CNM)是分散式網路管理的方法,其中將適應性演算法用於抽象化網路及環境指示項以定義用於特定操作內容脈絡的較佳組態。CNM的認知態樣指系統學習及演進從而將先前事件併入至其自身的推理中以依據經驗改良其效能的能力。安全性是CNM中重要的問題,此是因為CNM方法及系統的要求常常為可准許惡意探索系統的攻擊向量提供突破口。
在電腦網路中,構成網路的節點將常常利用開放式系統互連(「OSI」)協定堆疊來進行通信。OSI堆疊包含用 於執行各別通信功能的多個協定堆疊層。協定堆疊層包含以下七個層:(1)實體層;(2)資料連結層;(3)網路層;(4)輸送層;(5)工作階段層;(6)呈現層;以及(7)應用層。與此電腦網路相關聯的安全環境可對在通信協定堆疊的較高層處注意到的效應作出反應。舉例而言,若通信節點開始誤投送封包或放棄路由/改變路由以促進先前很少使用的投送節點,則此情形可為偵測此等異常的安全性軟體的關注點。安全性軟體可認識到,通信異常正嚴重地浪費傳輸容量,且可將所述效應加旗標為對服務攻擊的分散式阻斷。然而,結果是一或多個節點已受到危害,損害已造成,且違規節點的隔離需要相對較長時間。
本發明關於實施用於使用利用跨越不同抽象層級的協調的分散式基礎架構保衛通信網路免受對手攻擊的系統及方法。在構成通信網路的多個節點計算裝置中的每一者處,使用所儲存事件清單偵測至少一個節點事件。節點事件是在機器碼層級處發生且已知有可能直接干擾節點計算裝置的內部操作的事件。值得注意的是,至少一個節點事件是不包括網路通信網域內的事件的事件。換言之,節點事件是在網路通信堆疊網域、與網路通信堆疊排他性地相關聯的硬體元件以及處置排他性地關於通信堆疊的事件的多個機器碼元件的網域外的事件。
回應於在網路節點中的一者處偵測到至少一個節點事件,自動選擇性地判定最佳網路層級防禦動作。網路層級防禦動作將涉及構成通信網路的多個網路節點。防禦動 作是基於至少一個偵測到的節點事件,或由至少一個偵測到的節點事件判定,且基於針對網路建立的已知通信要求的集合。所述方法可更涉及:若至少一個節點事件並不需要網路層級防禦動作來確保已知通信要求的持續滿足,則自動選擇性地實施僅影響已偵測到至少一個節點事件所在的節點的節點層級防禦動作。
有利地在節點計算裝置處維持動態模型,所述模型表示通信網路的網路操作的型樣。所述方法可更涉及使用動態模型將實際網路層級事件與一系列預期網路層級事件比較。因此,當實際網路層級事件並不對應於一系列預期網路層級事件時,可選擇性地修改回應於至少一個節點事件而執行的節點層級防禦動作。舉例而言,一系列預期網路層級事件可回應於已偵測到的節點事件而減少,使得當偵測到至少一個節點事件時使網路對網路效能的非預期變化較敏感。
101‧‧‧主機計算裝置
102‧‧‧網路節點
102a‧‧‧節點
102b‧‧‧節點
102c‧‧‧節點
102d‧‧‧節點
102e‧‧‧節點
102f‧‧‧節點
102g‧‧‧節點
102h‧‧‧節點
102j‧‧‧節點
104‧‧‧無線網路/通信網路/分散式認知網路/認知網路系統
106‧‧‧CNM節點
108‧‧‧CNM基礎架構
300‧‧‧安全核心
302‧‧‧主記憶體
304‧‧‧指令
306‧‧‧處理器/處理裝置
308‧‧‧無線網路介面硬體
310‧‧‧有線網路介面裝置
312‧‧‧資料通信匯流排
400‧‧‧使用者顯示及控制系統
402‧‧‧顯示單元
404‧‧‧使用者輸入裝置
406‧‧‧游標控制裝置
408‧‧‧系統資料匯流排
410‧‧‧網路介面裝置
412‧‧‧區域網路連接
502‧‧‧軟體應用程式/主機應用程式
504‧‧‧通信介面管理器(CIM)
506‧‧‧OSI協定堆疊
508‧‧‧資料連結層
510‧‧‧實體層
512‧‧‧節點層級事件偵測及監視模組(NLEDM)
514‧‧‧分散式組件/分散式處理器
608‧‧‧受管理訊務
610‧‧‧不受管理訊務
612‧‧‧邏輯位址
614‧‧‧邏輯位址
616‧‧‧邏輯位址
618‧‧‧資訊庫
620‧‧‧路由管理器
6221‧‧‧模組
6222‧‧‧模組
624‧‧‧系統路由表
626‧‧‧封包佇列
700‧‧‧帕累托前緣
900‧‧‧概念圖
902‧‧‧專案或任務要求
904‧‧‧功能區塊
906‧‧‧功能區塊
908‧‧‧功能區塊
910‧‧‧功能區塊
912‧‧‧功能區塊
914‧‧‧功能區塊
916‧‧‧功能區塊
918‧‧‧功能區塊
920‧‧‧功能區塊
922‧‧‧功能區塊
924‧‧‧功能區塊
926‧‧‧功能區塊
928‧‧‧功能區塊
930‧‧‧功能區塊
932‧‧‧功能區塊
934‧‧‧功能區塊
936‧‧‧功能區塊
938‧‧‧回饋層約束
940‧‧‧原則引擎/功能區塊
950‧‧‧初始化參數
970‧‧‧組態參數
1052‧‧‧初始化參數產生器(「IPG」)
1060‧‧‧環境觀測組件(「EOC」)
1066‧‧‧無線電環境地圖(「REM」)資料
1070‧‧‧情境合成器
1072‧‧‧當前專案或任務要求
1076‧‧‧認知引擎
1078‧‧‧CBR組件
1080‧‧‧CBR組件
1082‧‧‧AI演算法
1084‧‧‧MOO演算法
1090‧‧‧原則引擎
1094‧‧‧連結組態最佳化(「LCO」)引擎
1100‧‧‧用於提供認知網路的方法
1201‧‧‧主機計算裝置
1202‧‧‧軟體應用程式
1302‧‧‧邏輯連結
1304‧‧‧實體層連結
1306‧‧‧實體層連結
eth0‧‧‧連結
eth1‧‧‧連結
將參看以下圖式來描述實施例,其中貫穿諸圖類似數字表示類似項目,且其中:圖1為對於理解例示性認知網路有用的圖。
圖2為對於理解多個網路節點可如何包括分散式認知網路管理基礎架構的組件有用的概念圖。
圖3為對於理解圖2的網路節點中包含的某些硬體組件的配置有用的圖。
圖4為對於理解可用於促進與網路節點的使用者互動的使用者顯示及控制系統有用的圖。
圖5為圖,其為對於理解提供於網路節點的安全核心中的 某些處理組件有用的圖。
圖6為對於理解通信介面管理器的操作有用的圖。
圖7為說明兩個目標函數F1及F2的帕累托前緣的實例的曲線圖。
圖8為非劣解的數字集合的例示性二維表示。
圖9為對於理解由圖2的認知網路使用的基本概念有用的圖。
圖10為對於理解網路節點中包含的分散式組件有用的詳細方塊圖。
圖11為用於提供認知網路的例示性方法的流程圖。
圖12為對於理解網路的兩個節點之間的習知通信有用的圖。
圖13為對於理解由多個網路節點執行的連結管理防禦功能有用的圖。
圖14A至圖14C為對於理解可由高層級防禦演算法使用的不同網路拓撲有用的圖。
圖15為對於理解網路中的多個節點(對於任務成功關鍵的路徑的某一部分,並非其他部分)有用的圖。
圖16為對於理解由網路節點執行的動作有用的流程圖。
本文中所揭露的本發明配置大體上係關於實施用於提供用於認知網路的安全分散式基礎架構的系統及方法。根據一個態樣,在平台特定事件與協定相關效應之間提供跨層相關以提供穩健、安全的基礎架構。本文中所描述的方法利用某些事件的通知來觸發及定製跨越OSI層及跨越節 點的較精確回應,使得僅在必要程度上影響網路效能。
本發明配置包含分散式跨層協調演算法,其利用多層協定知識來協調攻擊安全防護技術。此等攻擊安全防護技術回應於自下部層程式碼注入至上部層協定惡意探索的範圍內的攻擊。協調演算法判定現有的經編碼安全防護技術是否將有效地阻止攻擊或隔離被攻擊節點(若其無法阻止攻擊)。安全核心用於代管認知網路管理功能以便提供幾乎不可被駭客侵入的逐節點防禦。在此配置中,安全核心告知上部層防禦存在攻擊,且上部層演算法告知安全核心指示攻擊的操作型樣。個別節點基本上是不可被駭客侵入的,且在上部層訊務中發現的攻擊型樣可用於叫用現有防禦安全防護技術。因此,本文中所描述的發明性配置提供一種自動識別攻擊向量且判定哪些安全防護技術提供對新攻擊的安全防護的新穎方法。
本發明配置的重要特徵為平台特定事件與協定相關效應之間的有利跨層相關,以提供穩健、安全的基礎架構。然而,本發明超出此跨層相關以提供較高程度的安全性。詳言之,出於偵測指示本端節點處的攻擊的平台特定事件的目的,本發明組合跨層攻擊相關與硬體層級逐指令粒度。指令層級陷阱與本文中所描述的跨層演算法的整合提供如本文中所描述的用於認知網路管理的格外安全的方法。
藉由彼此告知及約束,可以允許認知網路有利地調適或甚至預料可疑或惡意事件的方式使用較高層級及較低層級防禦能力。舉例而言,可將由安全主機中的陷阱偵測到的安全性事件報告至較高層級協調演算法。由安全構架提供 的節點層級防禦在主機本端,且回應極迅速。相反,較高層級SCNM防禦涵蓋寬得多的區域,且與基於主機的防禦相比在慢得多的時間尺度中作出回應。
認知網路管理中的安全性挑戰
為了理解本發明配置,瞭解與分散式網路中的認知網路管理(cognitive network management;CNM)功能相關聯的主要安全性挑戰是有用的。在圖1中,主機計算裝置101連接至促進實體層網路通信的網路節點102。在所繪示的例示性實施例中,網路節點102包含促進無線網路104的軟體定義無線電。然而,本發明在此方面不受限制,且其他實體層通信裝置亦為可能的。網路節點102執行本文中所描述的分散式監視及網路管理協調任務。雖然說明為不同組件,但主機計算裝置101及網路節點102可實施為單獨裝置或實施為同一裝置的部分。
為了說明論述,考慮主機計算裝置101正運行一或多個軟體應用程式且直接連接至網路節點102的情境。在主機計算裝置101上執行的軟體應用程式可執行可需要網路通信支援的任何功能。舉例而言,在戰術性環境中,在主機計算裝置上運行的軟體應用程式可提供對語音、視訊及/或資料通信的支援。在主機上執行的其他例示性軟體應用程式可包含用於監視隊列移動的軟體、火控軟體應用程式等。當然,經設計用於非戰術性環境中的認知網路可涉及使用不同軟體應用程式,且本文中所列出的軟體應用程式僅提供為實例。
現參看圖2,CNM基礎架構可表示為彼此通信以共用資訊且協調動作的抽象CNM節點106的集合。基礎架構 的此抽象視圖亦支援CNM實施為網路節點自身的部分的狀況。因此,在圖2中,抽象CNM節點可表示實施於主機計算裝置101、網路節點102或其兩者中的功能性。出於本文中所描述的本發明配置的目的,應理解,CNM實施為網路節點102的部分。
自圖2中說明的抽象化將理解,基礎架構的兩個主要態樣可導致潛在弱點。首先,CNM基礎架構108可在如由CNM節點106實施的協調演算法的層級處受到攻擊。此類別的攻擊可包含訊息傳遞協定的破壞及修改,或管理構架中不良/虛假資訊(諸如,無效資源資訊、位置等)的注入。舉例而言,資料完整性攻擊可經設計成以協調演算法為目標。協定攻擊可經精心製作以偵聽通信且預料資源分配的改變。除針對實際協調及較高層級認知功能的彼等攻擊外,攻擊亦可針對網路中的較低層級。舉例而言,此類攻擊可針對個別節點(例如,涉及程式碼注入攻擊)。就此而言,可注意到,在低層級危害的情況下,適應性網路在通信層處的靈活性對於總體安全性實際上是不利條件。本質上,藉由允許系統進行調適,模型化及監視系統的挑戰整體上增加。
用於認知網路管理的安全分散式基礎架構
自前文對於網路弱點的論述將理解,在如上文所概述的CNM中存在必須解決的兩個主要問題。此等問題包含:a)網路通信協定及協調演算法的防禦;以及b)執行CNM功能的計算平台的防禦。為了建立安全認知網路管理(SCNM)基礎架構,因此有必要建立至少在上文所概述的兩個層級處操作的防禦機制。更進一步,將需要建構一種安全構架,其 將告知主機層級防禦存在潛在協定或網路攻擊,且將告知協定或網路存在主機層級攻擊。
因此,用於SCNM基礎架構的本發明配置包括:(1)待由CNM基礎架構108使用以用於改良對攻擊的抵抗的分散式通信及協調演算法之集合;(2)通常可抵抗軟體攻擊的基於安全硬體的計算平台;(3)整合至彼等基於硬體的計算平台中以偵測針對計算平台的攻擊的指令層級陷阱;以及(4)較高層級防禦機制(在協定及協調層級處)與低層級防禦(硬體層級)的防禦能力之間的經協調互動。值得注意的是,SCNM基礎架構的元素(1)、(2)以及(3)藉由提供可實施較高層級及較低層級防禦機制的安全條件而促進元素(4)。下文進一步詳細地描述此等安全特徵中的每一者。SCNM有利地由分散式認知網路管理基礎架構108以如圖2中所說明的分散式方式實施。
安全計算平台
現參看圖3,繪示對於理解根據本發明配置的安全計算平台有用的網路節點102的更詳細圖式。網路節點102可包含比圖3中繪示的組件多或少的組件。然而,圖3中繪示的架構對於理解如本文中所描述的安全計算平台的操作是足夠的。
網路節點102包括安全核心300,其包含處理器306、主記憶體302、有線網路介面裝置310、無線網路介面硬體308以及用於各種安全核心組件間的通信的資料通信匯流排312。主記憶體302包括電腦可讀儲存媒體,其上儲存有一或多個指令集304(例如,韌體),一或多個指令集經組態 以實施本文中所描述的方法、程序或功能中的一或多者。指令304亦可在其由電腦系統執行期間完全或至少部分駐留於處理器306內。
主記憶體302亦可具有儲存於其中的硬體資源資料、硬體環境資料、原則資料以及指令。硬體資源資料包含(但不限於)指定網路節點102的至少一種能力的資料。硬體環境資料包含(但不限於)特性化網路節點環境的資料。原則資料包含(但不限於)指定當前法規原則、專案原則及/或任務原則的資料。
構成安全核心300的所有各種實體有利地以抵抗基於軟體的攻擊的硬體元件的形式實施。電腦硬體實施有利地包括能夠以操作的邏輯序列建立或載入的非即時可更改電路邏輯裝置中的至少一者。以順序操作邏輯建立的此裝置的實例為ASIC。以順序操作邏輯離線載入(非即時可更改)的此裝置的實例為FPGA。因此,構成安全核心300的各種實體可有利地作為特殊應用積體電路(ASIC)實施於場可程式化閘陣列(FPGA)中。
無線網路介面硬體308包括用於促進與通信網路的其他節點的無線通信的實體層通信組件。根據一個態樣,無線網路介面硬體308經設計為適應性的以便促進實施認知無線電網路,其中通信協定可且確實回應於通信環境中的改變而按需要隨時間改變。因而,無線網路介面硬體可包含射頻(RF)硬體組件以促進軟體定義無線電(software defined radio;SDR)的實施。硬體組件亦可包含類比轉數位(analog-to-digital;A/D)轉換器、數位轉類比 (digital-to-analog;D/A)轉換器以及其他信號處理組件。
網路介面裝置310包括用於促進有線實體層資料通信的實體層通信組件。舉例而言,網路介面裝置310可促進網路節點102與認知電腦網路的其他節點之間的有線通信。網路介面裝置亦可促進與本端主機計算裝置101及/或如下文關於圖4描述的某些使用者顯示及控制元件的有線通信。下文進一步詳細地論述安全核心300的功能及操作。
現參看圖4,可藉由與使用者顯示及控制系統400相關聯的實體促進對網路節點102的本端控制。此等實體可包含諸如視訊顯示器(例如,液晶顯示器或LCD)的顯示單元402、使用者輸入裝置404(例如,鍵盤)以及用於自圖形使用者介面(graphical user interface;GUI)的所顯示元件作出選擇的游標控制裝置406(例如,滑鼠或軌跡墊)。使用者顯示及控制系統400亦包含網路介面裝置410以促進與網路節點102的安全核心的有線區域網路通信。可提供系統資料匯流排408以促進構成使用者顯示及控制系統400的各種實體之間的通信。在一些實施例中,使用者顯示及控制系統400的元件可提供為主機計算裝置101的部分;然而,本發明在此方面不受限制且此等組件可獨立於主機計算裝置101。可提供區域網路連接412以促進安全核心300與使用者顯示及控制系統400之間的資料通信。
現參看圖5,安全核心300代管通信介面管理器(communication interface manager;CIM)504(其與OSI協定堆疊506的操作整合)、節點層級事件偵測及監視模組(node level event detection and monitoring module;NLEDM)512, 以及分散式處理器的某些分散式組件514。
CIM 504促進由分散式組件指定的高層級防禦演算法的實施。因而,CIM可促進對由分散式SCNM基礎架構標註的攻擊條件的網路回應。隨著論述的進行,下文將更詳細地論述此等高層級防禦。NLEDM 512包括事件設陷演算法,其偵測在本端針對節點自身的低層級攻擊。分散式處理器514的分散式組件協調節點102與構成通信網路的其他節點102的操作。此協調可包含網路威脅的評估及用於對此類威脅作出回應的高層級防禦演算法的選擇。現將更詳細地論述此等組件中的每一者。
如圖5中所繪示,CIM 504的操作與OSI協定堆疊506整合。OSI協定堆疊促進駐留於主機計算裝置101上的一或多個軟體應用程式502的網路通信。此等通信可涉及與通信網路104中的其他網路節點102上代管的應用程式的語音、視訊或資料通信。CIM 504處理或管理OSI堆疊的資料連結層508與實體層510之間的層級處的資料通信。圖5中的實體層510可包含促進網路通信的實體層裝置。此實體層裝置的實例將包含無線網路介面硬體308及/或有線網路介面裝置310。CIM基本上抽象化用於每一主機計算裝置101中的應用程式的所有通信介面,以管理及控制與通信網路104的資訊交換。因而,CIM提供用於連結管理及資源控制的通信抽象的集合,以及用於訊框控制及拓撲管理的低層級介面。
圖6為對於理解本發明有用的CIM的更詳細圖式。在圖6中,省略圖5中繪示的OSI堆疊的各種協定層以促進理解CIM的操作。又,在圖6中,繪示僅單一個應用程 式502與CIM通信,但應理解,CIM可支援針對如圖5中所繪示的若干應用程式502的通信。CIM將資料訊務傳達至一或多個應用程式502及自一或多個應用程式502傳達資料訊務。CIM可經組態以將某些類型的資料訊務(例如,不受管理訊務610)直接傳遞至與實體層裝置616相關聯的特定邏輯位址612、614、616。舉例而言,不受管理訊務610可包含構成應用程式502與如圖4中所繪示的使用者顯示及控制系統400之間的通信的資料。在CIM中管理其他類型的資料(例如,受管理訊務608)以促進本文中所描述的防禦高層級演算法。
在CIM中,資訊庫618含有相關事件資料,其包括自本端節點的視角觀測到的節點的網路的行為的型樣。路由管理器620判定將利用若干通信裝置或模組中的哪些通信裝置或模組。在此實例中,模組6221、6222繪示為實施於節點中。然而,更多或更少通信模組為可能的。系統路由表624含有供路由管理器使用的可達遠端節點的集合。封包佇列626含有經放置以供在有線或無線媒體上傳輸的受管理訊務的封包。資源監視及控制功能促進調節自應用程式502至CIM的訊務封包。
再次參看圖5,由NLEDM 512偵測到的事件經報告至分散式處理器514的分散式組件。此報告促進由分散式SCNM基礎架構作出關於應何時回應於由NLEDM偵測到的低層級威脅而實施某些高層級防禦算法的判定。關於低層級節點攻擊的此資訊亦可在節點102本端使用以判定適合於對在此網路節點102處正發生的攻擊作出回應的本端防禦動 作。關於此區域化回應的判定可由分散式組件514及/或由安全核心代管的其他處理元件(未繪示)作出。
NLEDM 512包括機器或指令層級事件設陷演算法,其偵測意欲直接破壞網路節點102的操作的低層級攻擊。因而,本文中所描述的事件設陷演算法將有利地經設計以偵測中斷或干擾處理器306上執行的機器碼或機器語言指令的低層級攻擊(包含程式碼注入攻擊)。舉例而言,偵測到的事件的類型可包含(不限於)嘗試執行儲存於已被指定僅用於資料的記憶體空間中的指令、嘗試自不正確或未經授權的記憶體位址上的次常式傳回,以及使用無效作業碼。亦可偵測指示攻擊的其他類型的機器或指令層級事件。
本文中所描述的低層級攻擊事件的類型的識別可藉由使用若干安全性技術來促進。舉例而言,可使用經修改哈佛(Harvard)架構實施安全核心,其中記憶體被標記為程式碼或資料。此實施防止兩種類型的資訊的混合。雙堆疊可用於分離控制流程與資料。一個堆疊可僅由RET及CALL指令存取,且無法直接修改。第二堆疊支援對於堆疊通常將預期的指令,包含PUSH及POP。可使用指令集隨機化以在每次機器初始化時使機器的原生指令集的二進位表示隨機化。此類動作確保機器執行資料所必要的作業碼將不被攻擊者所知曉。當存在嘗試違反前述安全性協定中的一者的事件時,此事件將由與NLEDM 512相關聯的演算法偵測到。亦可偵測其他事件,且本發明不意欲限於本文中所描述的特定類型的攻擊事件。
由NLEDM 512偵測到的事件經報告至分散式處 理器514的分散式組件。在一些情境中,分散式處理器514的分散式組件可判定網路或已偵測到事件所在的節點的當前操作條件並不保證對偵測到的一或多個事件的任何回應。替代地,節點102處的分散式組件514可藉由排他性地在本端層級處執行某些防禦動作而不通知網路的其他節點來對一個事件或事件組合的發生作出回應。
在另外其他情境中,所偵測的事件或事件組合的發生由分散式處理器的分散式組件評估,以判定對低層級攻擊的可能的高層級網路防禦回應。在此類狀況下,所偵測的事件的發生可視情況經傳送至其他網路節點102。分散式處理器在彼狀況下將判定網路是否以及何時需要高層級防禦回應。下文關於圖7至圖11進一步詳細地論述分散式處理器對此類事件的分析。
另外,基於已由分散式處理器判定的安全性風險,可調整多個網路節點中的每一者處應用的安全性等級以選擇性地控制每一網路節點處的對後續低層級主機攻擊的敏感度。此類調整可改變由NLEDM報告的事件的種類、網路節點回應於所報告事件而執行區域化防禦動作時所處的條件,及/或偵測到的事件經報告至網路中的其他節點時所處的條件。
分散式處理器514的分散式組件促進構成通信網路的各種節點之間的網路動作的協調。為了理解分散式組件514的功能及操作,首先論述根據本發明配置的分散式SCNM基礎架構的某些特徵是有用的。
在行動特用戰術性軍事網路或緊急服務優先回 應者網路中,並不需要所有認知網路智慧由單一個網路節點(例如,基地台)實施,此是因為網路節點的停用或移除將導致整個認知網路的失敗。因此,本發明提供具有分散式智慧的認知網路,亦即,所述智慧是由多個網路節點而非由單一個網路節點實施。
因此,根據本發明配置的認知網路104將有利地包括以下特徵:(1)用以促進相異且變化的電磁環境中的操作的分散式反覆頻譜感測;(2)節點之間的用於惡劣環境中的穩健操作的低速率及本端命令/控制/會合資料傳送;(3)用以基於可用資源及本端強加的作用演算法要求而最佳化跨越網路節點的計算負載的分散的分散式智慧;以及(4)用以使網路能夠滿足動態專案要求或任務要求的協定堆疊的跨層及跨節點最佳化。
將開放式系統互連(「OSI」)協定堆疊的跨層節點間最佳化基於粒子群集最佳化(PSO)(一般而言)以及基於使用群集智慧(「SI」)的生物學啟發PSO(具體而言)促進以上所列出的特徵(1)至(4)的實施。
PSO通常為找到問題的解決方案的基於多目標最佳化(「MOO」)人工智慧(「AI」)的技術。因而,PSO在此項技術中亦被稱為多目標PSO(「MOPSO」)。MOPSO技術通常涉及:獲得候選解(「粒子」)的組群;以及根據其自身的先前最佳解及其群組的最佳解以某速度在搜尋空間中移動每一粒子。可根據以下數學等式(1)及(2)更新粒子的位 置。
x id =△x id +c 1 rand1( )(p id -x id )+c 2 rand2( )(p gd -x id ) (1)
x id =x id +△x id (2)
其中xid表示粒子的位置。△xid表示粒子的位置改變。c1及c2為正常數。rand1及rand2為0與1之間的隨機數。pid表示粒子的先前最佳解。pgd表示群組的先前最佳解。
生物學啟發PSO使用SI。SI通常為由彼此在本端互動且與其環境互動的簡單模擬代理程式的組群組成的分散型自組織系統的集體行為。模擬代理程式遵循極其簡單的規則。儘管不存在指明個別模擬代理程式應如何表現的集中式控制結構,但此類模擬代理程式之間的本端簡單且一定程度上隨機的互動導致出現「智慧」全域行為。SI的固有實例包含(但不限於)螞蟻群落、蜜蜂群落、蜜蜂群集、大腦、魚群以及蝗蟲群集。因此,SI演算法包含(但不限於)人工螞蟻群落演算法(「AACA」)、人工蜜蜂群落演算法(「ABCA」)、人工蜜蜂群集(「AHBS」)、人工大腦演算法(「ABA」)、人工魚群演算法(「AFSA」)以及人工蝗蟲群集演算法(「ALSA」)。AACA、ABCA、AHBS、ABA、AFSA以及ALSA為此項技術中熟知的,且因此在本文中將不詳細地描述。
在一些情境中,除PSO演算法及/或生物學啟發PSO演算法外,亦使用其他類型的MOO演算法以用於提供認知網路的認知能力。其他類型的MOO演算法包含(但不限於):正常邊界相交(「NBI」)演算法;經修改NBI演算法;法向約束(「NC」)演算法;連續帕累托(Pareto)最佳化演 算法;用於凸面多目標例項的帕累托表面產生(「PGEN」)演算法;基於自組織的間接最佳化(「IOSO」)演算法;S量度選擇演進多目標演算法(「SMS-EMOA」);反應性搜尋最佳化(「RSO」)演算法;及/或本森(Benson)的用於線性向量最佳化問題的演算法。所列出的MOO演算法中的每一者為此項技術中熟知的,且因此在本文中將不予以描述。
另外,應理解,每一MOO演算法(包含PSO、MOPSO以及生物學啟發PSO)產生非劣解的N維帕累托前緣,其中N為目標的數目。非劣解為沿著任何目標軸線的任何偏差導致所述解由較好解支配的解。圖7中繪示兩個目標函數F1及F2的帕累托前緣700的實例。一旦形成帕累托前緣,便可使用另一演算法基於某一先驗選定準則而選擇最好總體解。
因為MOO演算法及其帕累托前緣為本發明的元素,所以現呈現此等概念的更詳細概述。在具有多個約束(變數)的許多基於實際最佳化的推理演算法中,MOO提供優良結果,此是因為具有若干約束的單一個目標不能充分表示問題。在MOO中,替代大量約束,存在目標的向量F(x)=[F1(x),F2(x),...,Fm(x)],其必須以某一方式折衷。
令Gi(x)為恆定或限定的。MOO的目標為經受彼等約束或限定的目標向量F(x)的最小化。亦即: ,經受 G i (x)=0,i=1,2,K,k e G i (x)0,i=k e +1,2,K,kl x u
其中ke為等式約束的數目。k-ke為不等式約束的數目。l為x的下限。u為x的上限。
應注意,因為F(x)為向量,所以若F(x)的分量中的任一者具有競爭性,則不存在此問題的唯一解。實情為,必須使用非劣性概念來特性化目標。非劣解為一個目標中的改良需要另一目標的降級的解。為更精確地定義此概念,考慮參數空間中可行的區Ω。x為滿足所有約束的n維實數xRn的元素,亦即, ,經受 G i (x)=0,i=1,2,K,k e G i (x)0,i=k e +1,2,K,kl x u
此情形允許用於適應性函數A的對應可行區的以下定義。
效能向量F(x)將參數空間映射至適應性函數空間中。
非劣解點被定義為:點x*Ω為非劣解,條件是對於x*的某一鄰域並不存在△x使得(x*+△x)Ω且F i (x *+△x) F i (x *),i=1,2,K,mF j (x *+△x)<F j (x *)對於至少一個j。
圖8中提供非劣解的數字集合的例示性二維表示。如圖8中所繪示,非劣解的集合位於點C與點D之間的曲線上。點A及B表示特定非劣點。點A及B清楚地為非劣解點,此是因為一個目標F1中的改良需要另一目標F2中的降級,亦即,F1B<F1A,F2B>F2A。由於Ω中的作為劣點的任一點表示所有目標中可達到改良的點,所以顯然此點無值。MOO因此涉及非劣解點的產生及選擇。非劣解亦被稱為帕累托最佳解。MOO中的一般目標為建構Pareto最佳解。
例示性系統
現將關於圖9至圖11描述本發明的例示性系統。以下論述描述由通信網路104實施以選擇用於對網路通 信威脅作出回應的最佳防禦演算法的方法。當命令及控制所需的認知及其他功能分散時,各種PSO演算法用作命令及控制通信的基礎。PSO演算法可被認為不僅供應一些所需的機器智慧,而且在用於節點間訊息的資訊壓縮迴合中起作用。
認知網路104可經多參數最佳化,使得滿足其總體專案或任務量度,且並非僅一個參數對協定堆疊層特定或由僅兩個協定堆疊層共用。PSO由認知網路300使用以用於實現多參數最佳化。此多參數最佳化可包含涉及回應於動態網路條件選擇最佳防禦算法的動作。就此而言,應理解,可使用不同PSO模型,其各自具有與特定協定堆疊層的特性對準的性質,從而形成分散式跨層認知引擎的基礎。舉例而言,使用AHBS的分散式生物學啟發PSO技術因為其訊息傳遞特性而用於最佳化OSI協定堆疊的實體層的操作。使用AACA的分散式生物學啟發PSO技術因為其費洛蒙(pheromone)啟發有限衰落記憶體及加強性質而用於最佳化OSI協定堆疊的資料連結層的操作。本發明不限於此實例的特殊性。可提供其他實例,其中分散式生物學啟發及/或非生物學啟發PSO在協定堆疊層中使用以最小化非有效負載節點間通信,且其他實例與其要求匹配。
值得注意的是,由認知網路104使用的PSO模型及分散式智慧演算法參數可在其操作期間經動態地調整。可根據網路要求及網路條件的改變作出此動態調整。舉例而言,可基於延時要求、頻寬要求及/或其他通信要求的改變而動態地改變PSO模型及分散式智慧演算法參數。另外,可回應於針對網路的攻擊的改變而動態地改變PSO模型及分散式 智慧演算法。
生物學啟發PSO通常顯示符合網路的認知要求的許多性質,所述認知要求是經由RF通信協調其自身以滿足改變的專案、任務、無線電環境以及原則條件所需的。生物學啟發PSO中的「粒子」為計算代理程式,其經由共同地形成智慧實體(「群集」)的簡單訊息傳遞在本端通信。在認知網路104內容脈絡中,計算代理程式包括每一網路節點102的安全核心300中所含的處理裝置306。處理裝置300形成網路節點中的每一者中執行個體化的分散式處理器。分散式處理器包含經組態以執行下文關於圖9描述的基本概念及下文關於圖10描述的方法的硬體(亦即,電子電路)及/或韌體。
本文中所描述的分散式處理器的功能為選擇在不斷改變的要求及條件下用最小的附加項保持網路操作接近最佳的最佳防禦演算法。值得注意的是,由於使用生物學啟發PSO,因此可基於網路節點的數目、節點資訊密度以及系統層級計算要求而跨越所有作用中網路節點102動態地分割計算負載。當認知網路104的計算能力漸近地增長時以及當認知網路104的計算容量超出計算要求的漸進限制時,此動態分割為有益的。每一網路節點102的計算負載可隨著更多節點加入網路104而按比例減少,因此減少每一網路節點102的電力汲取以延長電源的壽命且很可能減少其熱及電磁輻射簽章。
現參看圖9,提供對於理解由分散式認知網路104執行的操作有用的概念圖900。如上文所提到,認知網路104通常使用分散式智慧演算法以用於最佳化其總體效能。舉例 而言,認知網路可使用呈分別提供於每一節點中作為分散式組件514的部分的認知引擎的形式的分散式SCNM智慧。分散式SCNM智慧回應於諸如針對網路的攻擊的動態網絡條件而判定包含待使用的防禦演算法的最佳網路組態。自硬體觀點來看,分散式智慧是以分散式處理器(例如,處理器306)的形式實施,分散式處理器在形成認知網路104的網路節點102的安全核心300中執行個體化。因此,藉由執行由網路節點定義的分散式處理器處的對應操作來實現概念圖900的功能區塊904至940的動作。
如圖9中所展示,藉由如實施於認知網路104中的節點102的安全核心300中的分散式處理器來接收新的或經更新的專案或任務要求902。專案或任務要求902可在標準本體中。標準本體將專案或任務要求表示為網域內的概念的集合以及此等概念之間的關係。因而,在一些情境中,本體包含多個術語及索引。索引定義術語與專案/任務要求902之間的多個關係。專案或任務要求是基於至少一個術語及所述索引而識別。
在接收專案或任務要求902之後,在功能區塊904中執行用於最佳化演算法初始化的操作。此類操作包含使用至少一個AI演算法及/或至少一個表查詢(「TLU」)方法來計算共同地待用於最佳化認知網路104的效能的多個分散式最佳化演算法的初始化參數950。在存在網路攻擊的指示的狀況下,AI演算法可判定經最佳化效能需要實施特定防禦演算法。在一些情境中,AI演算法包含(但不限於)符號AI演算法、子符號AI演算法或統計AI演算法。所列出類型的AI演 算法中的每一者為此項技術中熟知的,且因此本文中將不予以描述。
又,可根據特定「使用案例」選擇AI演算法的類型及/或初始化參數。如本文中所使用的術語「使用案例」指系統分析中使用的用以識別、闡明以及組織系統要求的方法。「使用案例」由特定環境中且關於特定目標的系統組件(例如,網路節點)與使用者之間的互動的可能序列集合組成。「使用案例」可具有以下特性;組織功能要求;模型化系統/使用者互動的目標;記錄自觸發事件至目標的路徑;描述事件的一個主要流程及/或事件的例外流程;及/或為多層級的使得另一「使用案例」可使用其功能性。
使用自成功專案或任務執行導出的回饋層約束938實現區塊904的功能。舉例而言,回饋層約束938可指定特定防禦算法已有效用於對特定類型的網絡攻擊作出回應的情況。區塊904使用成功專案或任務回饋層約束以「學習」且稍後使用所述成功專案或任務回饋層約束產生未來類似使用案例中的初始化參數。用於前述演算法的「學習」機制為此項技術中熟知的,且因此在本文中將不詳細描述。此等輸入接著用於判定先前所見的類似情形集合及對應的最終結果。最終結果接著用於初始化。回饋層約束938包含關於適用於至少一個網路節點的協定堆疊層資源的狀態及約束的資訊。
亦使用關於每一網路節點102上可用的資源的網路相關資訊達成區塊904的功能。在一些情境中,網路相關資訊包含(但不限於)每一網路節點的自由計算容量、每一 網路節點的保留電源及/或每一網路節點的頻譜環境。又,網路相關資訊可在預定義週期基礎上更新。
在一些情境中,以所有網路節點輔助計算初始化參數950的分散方式執行功能區塊904的操作。然而,在其他情境中,藉由單一個網路節點計算初始化參數950,且接著將其分散至剩餘網路節點。此外,在另外其他情境中,僅使用選定的幾個網路節點計算初始化參數950,且接著將其分散至剩餘網路節點。在最後情境中,地理上接近的網路節點經分群以便定義子認知網路。子認知網路的網路節點中的一者經選擇以計算用於其自身及子認知網路的其他網路節點的初始化參數。此子認知網絡配置為功率及安全性有效的。
一旦已計算初始化參數950,便可將其分別分散至功能區塊906至918。在功能區塊906至918中,當使用協定堆疊層參數之不同值時,初始化參數950及/或網路相關資訊用於判定帕累托有效的可能結果。就此而言,可在每一功能區塊906至918中判定用於至少一個分散式MOO演算法的帕累托前緣。帕累托前緣為此項技術中熟知的,且在上文經簡要描述。
在一些情境中,在每一功能區塊906至910中判定用於至少一個分散式MOO演算法的帕累托前緣,其可導致實體層、資料連結層或網路層的協定最佳化。如上文所提到,此協定最佳化可涉及選擇及實施由網路使用以阻止針對網路的攻擊的一或多個特定防禦演算法。如圖9中所繪示,用於功能區塊906至910中的分散式MOO演算法可包含分散式生物學啟發PSO演算法。本發明在此方面不受限制。功能區塊 906至910可另外或替代地使用其他類型的MOO演算法。類似地,在每一功能區塊912至918中判定用於至少一個分散式MOO演算法的帕累托前緣,其可導致輸送層、工作階段層、呈現層或應用層的協定最佳化。如圖9中所繪示,用於功能區塊912至918中的MOO演算法包含除PSO演算法外的MOO演算法。本發明在此方面不受限制。功能區塊912至918可另外或替代地使用PSO演算法,且更特定而言,使用分散式生物學啟發PSO演算法。
可根據特定「使用案例」選擇針對每一協定堆疊層使用的MOO演算法的數目及類型。相同或不同類型的分散式MOO演算法可用於最佳化協定堆疊層中的每一者的協定。舉例而言,第一分散式生物學啟發PSO(例如,分散式AHBS)可用於最佳化OSI協定堆疊的資料連結層及/或實體層的協定。第二不同分散式生物學啟發PSO(例如,分散式AACA)可用於最佳化OSI協定堆疊的網路層的協定。第一分散式MOO(例如,分散式SMS-EMOA演算法)及/或第三分散式PSO可用於最佳化OSI協定堆疊的輸送層的協定。第二不同分散式MOO(例如,分散式連續帕累托最佳化)及/或第四分散式PSO可用於最佳化OSI協定堆疊的工作階段層、呈現層及/或應用層的協定。第三及第四分散式PSO可與第一分散式生物學啟發PSO或第二分散式生物學啟發PSO相同或不同。本發明在此方面不受限制。
值得注意的是,用於每一功能區塊906至918中的分散式MOO演算法對於其可為唯一的,及/或針對各別協定堆疊層的要求而自訂。又,用於每一協定堆疊層的分散式 MOO演算法為由多個網路節點102實施的較大分散式智慧演算法的部分。就此而言,節點間通信可能為或可能不為促進區塊906至918的功能所需的。若節點間通信為促進區塊906至918的功能所需的,則節點通信可能為或可能不為較大分散式智慧演算法的部分。當節點間通信因此包括較大分散式智慧演算法的部分時,至少一個分散式PSO在功能區塊906至918中用作分散式MOO演算法。
在已針對所有協定堆疊層運算帕累托前緣之後,在功能區塊920中執行額外計算以產生最好總體網路解決方案。如本文中所使用,術語「最好總體網路解決方案」指給定至少當前網路架構、當前網路環境(包含針對網路的任何攻擊的狀態)、由節點層級事件偵測/監視模組在個別節點處偵測到的低層級事件、當前網路條件、當前專案或任務要求以及當前專案/任務目標的情況下對於總體協定堆疊組態的最佳解決方案。如本文中所使用,術語「最好總體網路解決方案」指給定至少當前網路架構、當前網路環境(包含針對網路的任何攻擊的狀態)、由節點層級事件偵測/監視模組在個別節點處偵測到的低層級事件、當前網路條件、當前專案或任務要求以及當前專案/任務目標的情況下對於總體協定堆疊組態的最佳解。在已偵測到對網路或對個別節點的攻擊的情況下,最好總體網路解決方案可有利地包含對至少一個高層級防禦演算法的選擇。防禦演算法將應用於每一節點處以對針對網路及/或特定的一或多個節點的攻擊作出回應。
可以多個網路節點執行一些「額外計算」的分散式方式或以單一個網路節點執行所有「額外計算」的集中方 式實施功能區塊920的功能。額外計算涉及:將另一演算法集合應用於包含帕累托前緣的整個解空間;基於演算法的解產生最好總體網路解決方案;以及根據適合於認知網路正操作所處的特定應用空間及條件的準則集合將最好總體網路解決方案排名。
用於功能區塊920中的演算法的集合可包含(但不限於)基於案例的推理(「CBR」)演算法、專家系統演算法以及神經網路演算法。此類演算法為此項技術中熟知的,且因此在本文中將不詳細描述。另外,應理解,至功能區塊920的輸入可包含(但不限於)專案相關輸入、任務相關輸入、網路拓撲輸入及/或RF環境輸入。此等輸入接著用於判定先前所見的類似情形集合及對應的最終結果。最終結果接著用於組態最佳化的初始化。若在功能區塊920中使用CBR演算法或神經網路演算法,則可回饋最終結果以供用於所述演算法的下一反覆中。對比而言,若在功能區塊920中使用專家系統演算法,則可能不回饋最終結果。
接著在功能區塊922中分析經排名的「最好總體網路解決方案」以:識別哪些解決方案符合專案/任務原則;且自經識別解決方案識別排名首位的解決方案。取決於當前操作環境,排名首位的解決方案可包含待用於對攻擊作出回應的特定防禦演算法。舉例而言,此防禦演算法可在一或多個條件指示網路或個別節點正經歷攻擊的狀況下指定。
若無經排名的「最好總體網路解決方案」符合原則,則原則引擎940試圖「建議」將使認知網路系統104符合的可能方法。「所建議的」可能方法接著首先供應至功能區 塊922。作為回應,執行區塊922的功能的第二反覆以藉此用於產生符合原則解決方案。若功能區塊922無法產生符合解決方案,則「所建議的」可能方法接著供應至功能區塊904以藉此使用。作為回應,執行區塊904至922的功能的第二反覆以產生符合原則解決方案。
若至少一個經排名的「最好總體網路解決方案」符合原則,則在功能區塊922中選擇「有利解決方案」。若攻擊或事件已由一或多個節點報告,則有利解決方案可視情況指定(連同其他準則)待用於對此攻擊作出回應的防禦演算法。類似地,若偵測到對應於針對SCNM的攻擊的某些高層級條件的發生,則防禦演算法可指定為在區塊922中選擇的網路解決方案的部分。一旦已選擇選定的最佳解決方案,則針對協定堆疊層的協定計算實現認知網路104內的「有利解決方案」的實施的組態參數970。隨後,根據各別組態參數970而組態協定堆疊層的網路資源,如由功能區塊924至936所繪示。此等動作可藉由在每一節點中執行的CIM 504執行。
網路資源保持處於其當前組態中,直至專案或任務改變,網路拓撲改變及/或網路的操作環境改變。因此,在節點層級處偵測到的指示低層級攻擊的事件以及網路行為的非預期改變可觸發選擇新的網路解決方案,如圖9中所繪示。
現參看圖10,提供繪示駐留於例示性網路節點102的安全核心中的某些分散式組件514的詳細方塊圖。如上文所解釋,網路節點102包含至少一個處理裝置306,其連同其他節點102中的類似處理裝置306一起將構成分散式處理器的部分。每一網路節點102中的分散式組件514分別代管 於每一網路節點中的處理裝置306上。分散式處理器使用分散式智慧演算法以促進認知網路104的總體效能的最佳化。因而,分散式處理器包含經組態以執行上文關於圖9所描述的操作及下文關於圖11所描述的方法的硬體(例如,電子電路)及/或韌體。每一網路節點102的處理裝置306亦將代管環境觀測組件(「EOC」)1060。EOC可感測可供認知網路使用的頻率通道。
如上文所描述,在認知網路104的操作期間計算用於分散式智慧演算法的初始化參數950。在一些情境中,藉由一或多個網路節點102計算初始化參數中的一些或全部。因此,網路節點102的認知引擎1076包含可選初始化參數產生器(「IPG」)1052。IPG 1052經組態以使用專案或任務要求902、回饋層約束938及/或網路相關資訊以計算用於由自身及/或其他網路節點102所使用的MOO演算法1084的初始化參數。可使用至少一個AI演算法1082及/或TLU方法計算初始化參數。可根據特定「使用案例」選擇AI演算法1082的類型或初始化參數,如上文所描述。若IPG 1052計算用於其他網路節點的初始化參數,則網路節點102將初始化參數分別傳達至彼等其他網路節點。初始化參數可經由命令及控制通信傳達。在初始化參數已計算之後,網路節點102使用各別初始化參數及/或網路相關資訊以促進總體網路效能的最佳化,包含任何防禦對策的實施。
在一些情境中,使用CBR及/或模糊代數計算初始化參數。CBR及模糊代數為此項技術中熟知的,且因此在本文中將不詳細描述。然而,下文提供由網路節點102執行 以用於計算初始化參數的操作的簡要論述,以輔助讀者理解CBR情境。
在CBR情境中,IPG 1052包含通常經組態以自EOC 1060接收案例相關資訊且處理所述資訊的CBR組件1080。就此而言,EOC 1060執行用以產生網路節點環境的完全特性化(「FCNNE」)的操作。FCNNE是藉由組合儲存於節點102處之硬體資源資料與無線電環境地圖(「REM」)資料1066而產生。REM資料1066特性化靜態區域網路節點環境(例如,隱藏節點、地形等)及遠端網路節點環境。REM資料1066可經由命令及控制通信更新。FCNNE接著自EOC 1060傳達至情境合成器1070。
在情境合成器1070處,FCNNE與當前專案或任務要求1072組合以便合成用於認知引擎1076的目標、限制及邊界條件的集合。目標可以特定格式(例如,表格式)儲存於記憶體(例如,主記憶體302)中。此後,目標與無線電硬體環境資料組合以產生組合的目標/環境資料。組合的目標/環境資料由情境合成器1070使用以產生至少一個案例識別符。案例識別符接著經傳達至認知引擎1076的CBR組件1078。CBR組件1078使用案例識別符以:選擇應針對每一協定堆疊層使用的MOO演算法的數目;選擇待針對每一協定堆疊層使用的MOO演算法的類型;及/或判定用於MOO演算法1084的初始化參數。
一旦已判定初始化參數,便可由認知引擎1076使用以促進協定堆疊效能的最佳化,且判定是否需要防禦對策。就此而言,判定每一選定MOO演算法1084的帕累托前 緣。值得注意的是,MOO演算法1084包括用於每一協定堆疊層的對其唯一及/或針對其要求自訂的至少一個MOO演算法。相同或不同的MOO演算法可用於協定堆疊層中的兩者或兩者以上。在一些情境中,針對協定堆疊層中的至少一者(例如,實體層、資料連結層及/或網路層)使用PSO演算法(更特定而言,生物學啟發PSO演算法)。MOO演算法(包含PSO及生物學啟發PSO)中的每一者產生非劣解的N維帕累托前緣,如上文所描述。MOO演算法(包含PSO及生物學啟發PSO)中的每一者產生非劣解的N維帕累托前緣,如上文所描述。
如上文所提到,MOO演算法為由認知網路104的網路節點102實施的較大分散式智慧演算法的部分。就此而言,節點間通信可為計算帕累托前緣所需的。因此,在一些情境中,出於導出一或多個MOO演算法1084的解的目的,網路節點102使用命令及控制通信與其他網路節點102通信。
在認知引擎1076產生帕累托前緣之後,其將帕累托前緣傳達至原則引擎1090。值得注意的是,原則引擎1090形成分散式原則引擎的部分。上文關於圖9的功能區塊940描述此分散式原則引擎的功能。上文關於圖9的功能區塊940描述的功能中的至少一些由原則引擎1090執行。
就此而言,額外操作由原則引擎1090執行以促進產生最好總體網路解決方案。額外操作涉及:將額外演算法至少應用於由認知引擎1076產生的帕累托前緣:輔助基於額外演算法的解產生最好總體網路解決方案;以及輔助根據適合於認知網路104正操作所處的特定應用空間及條件的準 則的集合而對最好總體網路解決方案進行排名。額外演算法可包含(但不限於)CBR演算法、專家系統演算法及/或網路神經演算法。
隨後,原則引擎1090輔助分析經排名的最好總體網路解決方案以:識別哪些解決方案符合當前法規原則及/或專案/任務原則;及自經識別解決方案識別排名首位的解決方案。排名首位的解決方案可包含待由網路104執行以阻止特定攻擊的一或多個高層級防禦動作或演算法。所述解決方案亦可指定個別節點對指示節點層級處之低層級攻擊的偵測到的事件或不符合預期的高層級節點條件的回應。
可使用由情境合成器1070產生的邊界條件判定原則符合性。若無經排名的最好總體解決方案為符合原則的,則原則引擎1090輔助判定將使認知網路104符合的可能方法。可能方法經回饋至MOOA組件1084或CBR組件1080以給出關於可如何使解決方案符合的方向。不存在MOOA組件1084或CBR組件1080如何使用所回饋資訊的固定程序。
若至少一個經排名的最好總體解決方案為符合原則的,則將其傳遞至連結組態最佳化(「LCO」)引擎1094。LCO引擎1094使用無線電資源成本函數以向下選擇單一個組態解。所述解決方案經評估以評定品質。在此基礎上選擇最終解決方案,且所述解決方案可包含本文中所描述的用於阻止針對網路的攻擊的高層級防禦演算法中的一或多者。解決方案亦可包含待在個別節點處實施且在逐節點基礎上指定的防禦動作。
用於選擇網路組態及防禦動作的例示性方法
現參看圖11,提供對於理解本發明有用的用於提供認知網路(例如,圖3的認知網路104)的例示性方法的流程圖。如圖11中所繪示,方法1100以步驟1102開始且以步驟1104繼續。在步驟1104中,接收專案或任務要求(例如,圖9的專案或任務要求902)。專案或任務要求接著用於步驟1106中以產生用於多個MOO演算法的初始化參數。
可使用至少一個AI演算法及/或TLU方法產生初始化參數。AI演算法可包含(但不限於)CBR演算法及/或模糊代數演算法。可根據使用案例選擇用於步驟1106中的演算法的類型。使用案例可由特定環境中的網路組件與使用者之間的互動的可能序列的集合組成。就此而言,可使用以下各者產生初始化參數:指定適用於至少一個網路節點的協定堆疊層資源的狀態及約束的資訊;及/或關於認知網路的每一網路節點上可用的資源的資訊。
在一些情境中,以認知網路的所有網路節點輔助產生初始化參數的分散式方式執行步驟1106。在其他情境中,以單一個網路節點產生初始化參數的集中式方式執行步驟1106。在另外其他情境中,以僅選定的幾個網路節點輔助產生初始化參數的半分散式方式執行步驟1106。
一旦已產生初始化參數,便使用初始化參數以判定用於協定堆疊的每一協定堆疊層的至少一個帕累托前緣(例如,圖7的帕累托前緣700),如由步驟1108所繪示。帕累托前緣是藉由對分散式MOO演算法求解來判定。分散式MOO演算法中的至少一者包括生物學啟發PSO演算法。在一些情境中,生物學啟發PSO演算法用於協定堆疊的實體層、 資料連結層及/或網路層。又,可針對協定堆疊層中的至少兩者使用不同類型的分散式MOO演算法。可基於非有效負載節點間通信的量及協定堆疊層的要求而選擇針對至少一個協定堆疊層待使用的分散式MOO演算法的類型。類似地,基於非有效負載節點間通信的量及協定堆疊層的要求而選擇針對至少一個協定堆疊層待使用的分散式MOO演算法的數目。
在下一步驟1110中,總體上分析帕累托前緣以產生多個最好總體網路解決方案。此等解決方案中的一或多者可包含實施用於阻止對網路的攻擊的網路防禦演算法。可使用基於案例的推理演算法、專家系統演算法或神經網路演算法產生最好總體網路解決方案。接著根據預定義準則對最好總體網路解決方案進行排名,如由步驟1112所繪示。在步驟1114中識別符合當前法規原則及/或專案/任務原則的最好總體網路解決方案中的排名首位的解決方案。在完成步驟1114之後,執行步驟1116,其中針對協定堆疊層的協定計算用於實現認知網路內的排名首位的解決方案的實施的組態參數。若排名首位的解決方案包含網路防禦演算法的實施,則組態參數將指定待執行以實施此演算法的動作。排名首位的解決方案是藉由根據組態參數組態其網路資源(例如,圖2的各種網路節點102的硬體及軟體資源)而實施於認知網路中,如由步驟1118所繪示。此步驟亦包含在節點中的一或多者處實施選定的高層級防禦演算法及實施關於個別節點被判定為必要的任何低層級防禦動作。在個別節點處實施的低層級防禦對策可在逐節點基礎上執行。在完成步驟1118後,執行步驟1120,其中方法1100結束或執行其他處理。
用於SCNM中的例示性高層級防禦演算法
如本文中所描述的高層級防禦演算法為將實質上消除或安全防護對手針對CNM基礎架構的攻擊的演算法。如本文中所參考的高層級防禦演算法可包含在網路層級處實施的用以抵禦對認知網路的攻擊的任何演算法、動作或協定(與關於個別節點執行的演算法相對)。因此,許多不同類型的防禦演算法可供本文中所描述的本發明配置使用。因此,許多不同類型的防禦演算法可能供本文中所描述的本發明配置使用。另外,已判定存在足以安全防護對認知網路的大多數潛在高層級攻擊的三種基本類型的高層級防禦演算法。另外,已判定存在足以安全防護對認知網路的大多數潛在高層級攻擊的三種基本類型的高層級防禦演算法。此等高層級演算法包含(1)多層位址跳躍;(2)網路及連結介面遷移;以及(3)動態拓撲管理。此類型的演算法為此項技術中已知的,且因此將不詳細描述。然而,簡要論述每一防禦演算法以促進理解本發明。
多層IP跳躍
多層跳躍涉及節點IP及/或MAC位址的頻繁偽隨機改變。預期多層跳躍安全防護目標封包丟棄、封包注入及修改的效應,此是因為其使得攻擊者難以識別網路中的特定工作階段或流程。對於分散式戰術性網路,且詳言之,對於以網狀模式操作的戰術性網路,IP位址的偽隨機改變單獨而言未必足以實現有效跳躍。因此,由CIM在資料連結層及網路層(亦即,OSI堆疊的層2及3)兩者處有利地啟用同時跳躍。此方法藉由簡單地追蹤層2來減小攻擊者危害跳躍對 策的機會。各種類型的IP跳躍方案為此項技術中已知的。因此,IP及MAC位址跳躍方法在此處將不詳細描述。然而,應理解,可使用用於實施及協調IP跳躍方案的任何合適技術,其限制條件為對惡意探索具有抵抗性。
網路及連結介面遷移
如所已知的,通信堆疊中的高層協定習知地經設計以偵測及補償通信連結中的臨時失敗。常常使用眾多視窗化技術及應用層級知識,尤其在戰術性網路環境中,以考量連結的不可靠性。雖然對於瞬時連結失敗及不穩定性為合理有效的,但此等較高層級技術對於惡意破壞可能完全無效。實際上,當經恰當計時及協調時,可相對於基礎架構自身使用習知的誤差校正及傳輸技術,以放大或實現攻擊的效應。對於此等種類的情境,提供允許節點根據內容脈絡利用冗餘連結安全防護此類攻擊的多連結協調演算法。
所述方法集中於建立實施為冗餘實體連結的集合的邏輯連結的概念。考慮(例如)說明於圖12中的習知情境,其繪示在網路環境中通信的兩個主機計算裝置1201。每一主機正執行一或多個軟體應用程式1202,其與其他主機計算裝置中的應用程式通信。在此實例中,在主機上執行的應用程式可藉助於兩個連結eth0、eth1傳達資料。假定連結為非干擾性的,但未必具有相同容量或甚至在同一網路中操作。在此例示性情境中,每一主機計算裝置上的應用程式將基於其繫結至的介面、連結的可用性及/或發送者側上的作業系統已註冊每一介面所按的次序而交換資訊。
在上文所描述的情境中,考慮應用程式繫結至與 介面中之一者(例如,eth0)相關聯的位址的狀況。在正常情形下,發送應用程式將需要經由其eth0介面(其在此圖中對應於連接至接收器側處的介面eth0的連結)發送資料。替代地,應用程式可在所有介面上可用,在此狀況下,發送應用程式將選擇連結中的一者來使用。對於安全防護對網路的攻擊的目的,無一情形為理想的。對於安全防護對網路的攻擊的目的,無一情形為理想的。
現參看圖13,繪示用於管理如本文中所描述的SCNM系統中的通信的較佳配置。每一主機計算裝置101執行如上文所描述的至少一個應用程式502。主機計算裝置與駐留於網路節點102中的安全核心300通信,且更包含如上文所描述的通信介面管理器(CIM)504。CIM有利地將多個實體層連結1304、1306抽象化成由CIM管理的單一個邏輯連結1302。因此,無關於每一主機應用程式502上繫結的應用程式,CIM將選擇較好連結用於資料傳輸,且亦將利用兩個連結1304、1306以視需要有效地在主機計算裝置之間劃分訊框的傳輸。
根據本發明的一個態樣,連結可由CIM 504管理以支援容量最大化、可靠性或適應性資料傳輸。多連結管理技術為此項技術中已知的,且因此此處將不詳細描述。然而,出於SCNM的目的,本文中所描述的連結管理能力將有利地包含管理連結1304、1306以在懷疑或預料到適應性連結破壞網路攻擊的條件下使用多個可用連結提供完全冗餘的傳輸模式。
在連結經管理以提供節點之間的通信的完全冗 餘傳輸的條件下,自應用程式502接收的每一訊框經複製且在所有連結1304、1306上同時傳輸。跨越非干擾性連結1304、1306的冗餘傳輸使得認知干擾機較難以選擇性地破壞通信流程且藉此引起系統中的不穩定性。
冗餘地使用連結的缺點為連結1302的總容量的減少。藉由複製跨越兩個連結的所有訊框,總邏輯容量受連結的最小頻寬限制。因此,根據本發明的一個態樣,CIM將有利地使用可用連結1304、1306以在可能時最大化容量,且在必要時最大化可靠性。更特定而言,在通信條件改變時,CIM 504將藉由使用多個冗餘連結最大化容量或可靠性來動態地對每一通信內容脈絡作出回應。就此而言,應注意,不存在關於受管理的連結1304、1306的容量或之間的相似性的要求。由CIM用於此目的的多連結演算法將有利地支援針對不同連結的負載平衡及連結的完全同步化以最大化容量或可靠性。
另外,每一網路節點中的CIM 504可有利地在每一連結上以時序偏移傳輸訊框從而降低適應性寬頻干擾機的有效性。換言之,同一訊框可在稍微不同時間在不同連結上發送(而非同步),以使得適應性寬頻干擾機將不太可能引起對兩個訊框的干擾。
拓撲控制
由CIM 504實施的第三層級防禦基於拓撲控制。在此上下文中,拓撲控制的目的是允許SCNM基礎架構以網絡的邏輯拓撲結構中的較廣改變響應於本地化威脅。從網絡拓撲觀點來看,存在可用於支持或擴增用於網絡管理的分 佈式協調算法的至少兩個層級的控制。在第一層級處,實體網路拓撲建立節點之間的特定連結。網路的實體拓撲隨包含連接性設定、節點的地理分佈、行動性以及環境效應的許多變量而變。在認知網路管理中,常常為如下狀況:傳輸器及接收器的實體性質(諸如,傳輸功率、波形、方向性等)中的一些亦經操縱以控制實體拓撲。
當不同節點選擇藉由將由應用程式使用的彼等相鄰節點之間的所定義較高層級路由促進經由特定連結的通信時,第二層級的拓撲控制將在網路層處發生。在此狀況下,網路層用於在給定本端連結條件的情況下識別資料流程的較廣泛路徑。重要的是應注意,OSI層三(網路層)處的拓撲管理並不影響傳輸在本端層級處發生的方式。亦即,不管如何定義路由,本端傳輸將始終根據本端RF拓撲的特性而發生。
根據本發明的一個態樣,由SCNM實施的反應性拓撲控制演算法使用CIM基於系統要求及操作內容脈絡建構至少三種類型的拓撲。三個或三個以上目標拓撲包含:a)網狀拓撲;b)樹型拓撲;以及c)點對點(p2p)拓撲。在圖14A至圖14C中,說明所提議拓撲中的每一者。網狀拓撲、樹型拓撲以及點對點拓撲可各自由SCNM在必要時建構。更特定而言,當感知到威脅時,SCNM可使用每一節點中的CIM動態地解除組裝及重新組裝當前在使用中的拓撲中的任一者,以利用不同拓撲。在所有狀況下,SCNM在實體層級處建置不同拓撲。
在例示性實施例中,拓撲管理實施可使用CIM控制傳輸功率與傳輸頻率的組合以在實體層級處建置不同拓 撲。然而,本發明在此方面不受限制,且任何合適方法可用於組裝如本文中所描述的不同拓撲。自對手的觀點來看,拓撲中的改變可破壞(例如)由網路中的受危害節點發起的區域化攻擊。此外,其可有利地破壞區域化干擾攻擊,且協調對在拓撲中操作的特定命令及控制結構的竊聽監視。
例示性防禦協調情境
自前文論述將理解,本文中所說明的本發明配置利用平台特定事件與協定相關效應之間的唯一跨層相關,以提供穩健、安全的基礎架構。習知安全環境對在通信協定堆疊的較高層處注意到的效應作出反應。舉例而言,若通信節點開始誤投送封包或放棄路由/改變路由以促進先前很少使用的投送節點,則此情形可為偵測此等異常的安全性軟體的關注點。安全性軟體認識到,此等動作表示傳輸容量的浪費,且可將所述效應加旗標為對服務攻擊的分散式阻斷。然而,結果是一或多個節點已受到危害,損害已造成,且違規節點的隔離需要相對較長時間。更複雜的安全性分析工具可接著稍後判定引起此等效應的事件為對易受攻擊節點的程式碼注入攻擊。
對此情形的一種回應將為開啟規避動作,諸如IP位址跳躍。然而,此類含糊回應幾乎始終應用於安全性管理領域中的所有節點,且與時間或事件分析無關。因此,即使大多數通信節點保持無攻擊,整個系統仍付出附加項代價以使用規避操縱。對比而言,本文中所描述的解決方案利用事件通知以選擇性地觸發跨越層及跨越節點的回應。
在圖15中,繪示如本文中所描述的SCNM如何 建立阻止攻擊的新穎能力的實例。考慮節點集合(102a至102j),其中102c為任務關鍵節點。為了任務成功,節點102a需要與102c通信,如節點102e所進行。節點102b及102d沿著關鍵路徑。節點102f、102g、102h以及102j皆在網狀通信網路中,但當前並不沿著關鍵路徑。假定節點102a或102e中的安全核心300捕獲程式碼注入嘗試,且通知分散式SCNM基礎架構。SCNM基礎架構知曉節點102c為關鍵節點且自其所管理源節點102b及102e的連結為關鍵的。基於根據圖9至圖11執行的網路最佳化分析,SCNM判定節點102b、102c以及102d應增加其對感知到的網路威脅的敏感度。換言之,在不存在感知到的威脅時的正常條件下,投送操作可根據用於接受被丟棄或重投送封包的發生的較高臨限值繼續。但遠端節點(例如,節點102a或102e)處的下部層處的一或多個事件可觸發跨越分散式實體的網路的回應為高度警示且收緊對潛在地歸因於惡意攻擊的任何效應的容限。鄰近於實體層平台陷阱已發生所處的節點的節點102f及102j由SCNM導向中等等級的效應容限。節點102g及102h不受警示影響。其當前並非潛在威脅路徑的部分,且此時不需要調節臨限值。自前文將理解,本發明配置允許對攻擊的經調變回應,以維持不受當前感知到的威脅情形影響的節點當中可能的大多數連接性及訊務容量。
至此,在前文實例中,自下而上考慮事件與效應之間的跨層相關。亦即,自基礎事件直至此類事件對網路的所感知效應。然而,本發明亦利用反向方向作為額外安全性機制。效應環境的上層模型化存在價值。且效應環境中的改 變的辨識可偵測尚未明確地建置於安全核心的事件視界中的攻擊事件。舉例而言,所部署的戰術性或緊急服務網路以可視為操作型樣的方式操作。行動節點進出遮蓋域(canopy),可被建築物阻擋,且可歸因於地形而失去視線對等連接性。所有此等實體活動建立封包重新傳輸及投送狀態更新的型樣。此等效應的模型在網路層處得以維持。在操作期間,甚至應用層改變(諸如,當歸因於當前操作而將視訊排定為優先於音訊時)亦會影響節點建立的網路訊務模型,且此等影響在記憶體中維持為「正確的」。
若節點穩固且模型行為有害地改變,則節點可具有未由安全核心300捕獲的攻擊向量的指示。若節點在運動中但模型並不允許遵循習得的型樣,則此亦可指示未知類型的攻擊。SCNM的上部層分散式組件可向節點中的安全核心300警示可能攻擊。在此狀況下,系統可斷定新的低層級惡意探索已危害到一或多個節點。雖然此並非用於安全核心的NLEDM 512中的現有事件陷阱清單的部分,但節點可被隔離且所述惡意探索被記錄以供未來核心更新。
自前文將理解,本發明配置涉及使用雙重程序機器學習(認知)方法以利用跨層活動。首先,其模型化系統操作以適配事件及效應的觀測。因此,當某些攻擊類型引起跨越通信協定堆疊的範圍的效應時,模型使此等效應相關。其次,模型預料系統的接下來的狀態。在關鍵路徑訊務情境中,根據統計預期某一層級的重新傳輸。若此層級改變,則系統的接下來的狀態將並非預期狀態。因此,模型允許在協定堆疊的較高層處注意到的條件由分散式處理器的分散式組 件注意,且向下回饋至每一節點中的安全核心。每一節點102處的個別安全程序注意到歸因於上層型樣辨識的潛在問題。
貫穿本說明書對特徵、優點或類似語言的參考並不暗示可由本發明實現的所有特徵及優點應處於或處於本發明的任何單一個實施例中。確切而言,參考特徵及優點的語言被理解為意謂結合實施例所描述的特定特徵、優點或特性包含於本發明的至少一個實施例中。因此,貫穿本說明書對特徵及優點的描述以及類似語言可能(但未必)參考同一實施例。
現參看圖16,繪示對於理解安全核心300中執行的某些動作有用的流程圖。程序在1602處開始且繼續至1603,其中節點執行動作以偵測在通信堆疊的較高層級處注意到的攻擊的網路層級效應。此等動作可在節點102處由處理器306執行。此類偵測到的效應可包含通信節點開始誤投送封包、放棄路由/改變路由以促進先前很少使用的投送節點的情況。諸如此等效應的效應可指示對網路的進行中的攻擊(例如,干擾攻擊)的存在。安全核心可認識到,此類動作正嚴重地浪費傳輸容量,且可將所述效應加旗標為對服務攻擊的分散式阻斷。
在1604處,安全核心執行動作以偵測指示意欲破壞節點的內部操作或功能的節點層級攻擊的可能出現的機器或指令層級事件。可使用NLEDM 512執行此等動作。儘管步驟1603及1604繪示為串列地執行,但應理解,對機器或指令層級事件的偵測可與監視網路通信以偵測攻擊的網路層級效應同時執行。
在1606處,作出關於是否在機器或指令程式碼層級處已偵測到指示節點層級攻擊的事件的判定。若是,則程序繼續至1608,否則程序繼續至1618。在1608處,作出關於已發生的一或多個事件是否具有一性質或頻率使得某一動作為節點102所需的判定。若否(1608:否),則程序返回至1603,以使得網路通信及節點事件的監視可繼續。
若一或多個事件屬於一種類或具有一頻率,使得節點102判定攻擊為潛在威脅或安全性風險(1608:是),則程序繼續至步驟1612,其中作出關於所述一或多個事件是否需要節點處的本端防禦動作的判定。若是(1612:是),則節點102處的安全核心將在1614處在節點處實施某些防禦動作。在節點處實施此等本端防禦動作的決策可能或可能不需要涉及分散式SCNM基礎架構。
在步驟1618處,作出關於任何偵測到的網路層級效應及/或節點層級事件是否應報告至分散式SCNM基礎架構的判定。若是(1618:是),則控制通道通信由安全核心300使用以傳達或報告此發生。程序接著繼續至1622,其中節點的安全核心將檢查以判定分散式SCNM基礎架構是否已更新節點組態設定。此類經更新節點組態設定可由SCNM基礎架構根據如本文中關於圖7至圖11所描述的程序而判定。若在1624處作出已指定經更新節點組態設定(1624:是)的判定,則在1626處更新節點組態。此後,程序返回至1603以繼續監視操作。
應注意,網路內的不同節點可經更新以具有不同節點組態設定(包含不同防禦設定)。對於每一節點102,此 等不同組態可由分散式SCNM基礎架構根據網路104的任務要求而選擇及/或最佳化。
經更新節點組態設定可使節點實施某些高層級防禦動作。此等防禦動作可包含實施諸如本文中所描述的任何防禦高層級網路演算法。此等高層級防禦演算法可涉及整個通信網路或構成網路的僅一部分的多個節點。舉例而言,網路中的選定節點可經重新組態以實施(1)多層位址跳躍、(2)網路及連結介面遷移及/或(3)動態拓撲管理演算法,從而抵禦高層級網路攻擊。在不限制的情況下,其他高層級防禦演算法是可能的。
經更新節點組態亦可使節點實施低層級(節點層級)防禦動作。此類低層級防禦動作可涉及(1)改變所偵測的機器層級事件的數目及/或類型;(2)修改當判定特定事件是否為威脅時在1608處應用的威脅評估臨限位準;(3)修改回應於被視為威脅的事件而在1612處實施的本端防禦動作的數目及/或類型;及/或(4)改變出於判定事件/效應應何時報告至分散式SCNM基礎架構的目的而在1618處應用的評估程序。
根據本發明的一個態樣,如本文中所描述由網路偵測到的且作用的節點層級事件有利地經選擇以包含不包括與網路通信網域相關聯的事件的指令集層級事件。換言之,本文中所描述的適應性網路回應於節點層級事件,包含在指令層級處發生的在正常網路通信網域外的事件。此等事件由SCNM分散式基礎架構有利地用作指示項及/或觸發項,即使所述事件不對應於通常與網路通信相關聯的功能或程序。
如本文中所使用,網路通信網域通常包含兩個系統之間的通信的所有態樣;亦即,網路通信網域不僅包含實際網路通信堆疊及相關聯網路硬體,而且包含回應於通信網域內的處置事件而執行的機器碼元件。出於觸發及塑形本文中所描述的適應性回應的目的,針對與網路通信網域相關聯的功能及程序的節點層級攻擊將自然地用於告知SCNM分散式基礎架構。然而,本文中的本發明配置進一步使得,觸發及塑形巨集或網路層級處的適應性網路回應的事件可包含與網路通信網域無關的事件。
網路通信的領域或網域外的指令層級事件可提供網路相關威脅的早期及有效指示。指令層級事件的實例可為(但不限於)對異常位置的功能呼叫、對無效記憶體的存取或執行資料的意圖。雖然此等事件可(且確實)在通信網域內發生,但亦可觀測到機器層級指令中的此等事件並不與通信網域直接相關且並不涉及網路資料的處理。舉例而言,當封包到達網路介面時,存在與處置此等封包及處理其內容相關聯的機器碼。在本發明中,如上文所描述的事件可在與網路通信網域相關聯的此機器碼外發生,且另外仍可驅使網路網域中的改變。
在一或多個實施例中,可以任何合適方式組合本發明的所描述特徵、優點及特性。熟習相關技術者將認識到,鑒於本文中的描述,可在無特定實施例的特定特徵或優點中的一或多者的情況下實踐本發明。在其他情況下,可在某些實施例中認識到可在本發明的所有實施例中未呈現的額外特徵及優點。
貫穿本說明書對「一個實施例」、「一實施例」或類似語言的參考意謂結合所指示實施例描述的特定特徵、結構或特性包含於本發明的至少一個實施例中。因此,貫穿本說明書的片語「在一個實施例中」、「在一實施例中」及類似語言可(但未必)皆指同一實施例。
除非上下文另外清楚地指明,否則如本文件中所使用,單數形式「一」及「所述」包含多個參考物。除非另外定義,否則本文中所使用的所有技術及科學術語均具有與一般熟習此項技術者通常所理解相同的含義。如本文件中所使用,術語「包括」意謂「包含(但不限於)」。
本文中所揭露及主張的所有設備、方法以及演算法可鑒於本發明在無不當實驗的情況下進行及執行。雖然已依據較佳實施例描述本發明,但熟習此項技術者將顯而易見,可在不脫離本發明的概念、精神以及範疇的情況下將變化應用於設備、方法以及方法步驟的序列。更具體而言,將顯而易見的是,某些組件可添加至、組合或替代本文中所描述的組件,同時將實現相同或類似結果。熟習此項技術者顯而易見的所有此類類似替代及修改被視為在如所定義的本發明的精神、範疇及概念內。

Claims (10)

  1. 一種用於使用利用跨越不同抽象層級的協調的一分散式基礎架構保衛一通信網路免受對手攻擊的方法,其包括:在包含一通信網路的多個節點計算裝置中的每一節點計算裝置處,使用一所儲存事件清單偵測在一機器碼層級處正發生的至少一個節點事件,所述節點事件已知有可能直接干擾所述節點計算裝置的內部操作;回應於在所述多個節點計算裝置中的一第一節點計算裝置處偵測到所述至少一個節點事件,自動選擇性地判定涉及構成所述通信網路的多個網路節點的一最佳網路層級防禦動作,所述網路層級防禦動作基於經偵測之所述至少一個節點事件且基於針對所述通信網路建立的已知通信要求的一集合;且導致於至少一個第二節點計算裝置對網路表現中之非預期變化之敏感度(sensitivity)之一增加,該至少一第二節點計算裝置係(a)不同於該第一節點計算裝置且(b)所述通信網路內之一潛在威脅路徑之部分;且其中所述至少一個節點事件包括一指令集層級(instruction-set level)事件但不包括在一網路通信網域內的一事件。
  2. 如申請專利範圍第1項所述的方法,其中所述網路通信網域包含網路通信堆疊(stack)、排他性地(exclusively)與所述網路通信堆疊相關聯的硬體元件以及處置排他性地關於所述通信堆疊的事件的多個機器碼元件。
  3. 如申請專利範圍第1項所述的方法,其更包括:若所述至少一個節點事件並不需要一網路層級防禦動作來確保所述已知通信要求的持續滿足,則自動選擇性地實施僅影響已偵測到所述至少一個節點事件所在的所述節點的一節點層級防禦動作。
  4. 如申請專利範圍第1項所述的方法,其更包括:在所述多個節點計算裝置處維持一動態模型,所述動態模型表示所述通信網路的網路操作的一型樣;使用所述動態模型以將實際網路層級事件與一系列預期網路層級事件比較;以及當所述實際網路層級事件並不對應於一系列預期網路層級事件時,選擇性地修改回應於所述至少一個節點事件而執行的一節點層級防禦動作。
  5. 如申請專利範圍第4項所述的方法,其更包括回應於已偵測到的所述節點事件而選擇性地減少所述系列預期網路層級事件,藉此當偵測到所述至少一個節點事件時使所述網路對網路效能的非預期變化較敏感。
  6. 如申請專利範圍第1項所述的方法,其中所述網路層級防禦動作係選擇自下列群組:網路位址跳躍、多連結協調以根據內容脈絡(contextually)地利用節點計算裝置之間之冗餘通信連結、及即時(real-time)動態網路拓撲管理。
  7. 如申請專利範圍第1項所述的方法,其中所述節點計算裝置處的處理活動是排他性地使用抵抗一程式碼注入攻擊的一電腦硬體實施而執行。
  8. 如申請專利範圍第7項所述的方法,其中該電腦硬體實施包括能夠以操作之邏輯序列建立或載入之非即時可更改(alterable)電路邏輯裝置。
  9. 一種通信網路,其使用利用跨越不同抽象層級的協調的一分散式基礎架構保衛其自身免受對手攻擊,所述通信網路包括:包含一通信網路的多個節點計算裝置,所述多個節點計算裝置之每一者使用一所儲存事件清單偵測在一機器碼層級處正發生的至少一個節點事件,所述節點事件已知有可能直接干擾所述節點計算裝置的內部操作;至少一個處理裝置,其回應於在所述多個節點計算裝置中的一第一節點計算裝置處偵測到所述至少一個節點事件,且自動選擇性地判定涉及構成所述通信網路的多個網路節點的一最佳網路層級防禦動作,所述網路層級防禦動作基於經偵測之所述至少一個節點事件且基於針對所述通信網路建立的已知通信要求的一集合;且導致於至少一個第二節點計算裝置對網路表現中之非預期變化之敏感度之一增加,該至少一第二節點計算裝置係(a)不同於該第一節點計算裝置且(b)所述通信網路內之一潛在威脅路徑之部分;且其中所述至少一個節點事件包括一指令集層級事件但不包括在一網路通信網域內的一事件。
  10. 如申請專利範圍第9項所述的通信網路,其中若所述至少一個節點事件並不需要一網路層級防禦動作來確保所述已知通信要求的持續滿足,所述至少一個處理裝置自動選擇性地實施僅影響已偵測到所述至少一個節點事件所在的所述節點的一節點層級防禦動作。
TW105106386A 2015-03-02 2016-03-02 保衛其自身免受對手攻擊之通信網路及用於保衛通信網路免受對手攻擊的方法 TWI631843B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/635,064 2015-03-02
US14/635,064 US9729562B2 (en) 2015-03-02 2015-03-02 Cross-layer correlation in secure cognitive network

Publications (2)

Publication Number Publication Date
TW201707425A TW201707425A (zh) 2017-02-16
TWI631843B true TWI631843B (zh) 2018-08-01

Family

ID=55521325

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105106386A TWI631843B (zh) 2015-03-02 2016-03-02 保衛其自身免受對手攻擊之通信網路及用於保衛通信網路免受對手攻擊的方法

Country Status (6)

Country Link
US (1) US9729562B2 (zh)
EP (1) EP3065376B1 (zh)
KR (1) KR101852965B1 (zh)
CN (1) CN105939331B (zh)
CA (1) CA2921517C (zh)
TW (1) TWI631843B (zh)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9729562B2 (en) 2015-03-02 2017-08-08 Harris Corporation Cross-layer correlation in secure cognitive network
CN109565737B (zh) * 2016-08-10 2023-03-07 瑞典爱立信有限公司 无线网状网络中的分组转发
CN108024352A (zh) * 2016-11-03 2018-05-11 索尼公司 用于资源管理装置、数据库和对象的电子设备和方法
US10558542B1 (en) 2017-03-31 2020-02-11 Juniper Networks, Inc. Intelligent device role discovery
GB201706132D0 (en) * 2017-04-18 2017-05-31 Nchain Holdings Ltd Computer-implemented system and method
US10491481B2 (en) * 2017-04-28 2019-11-26 Dell Products L.P. Messaging queue topology configuration system
KR102324361B1 (ko) 2017-05-29 2021-11-11 한국전자통신연구원 집단 지능 기반 악의적 기기 탐지 장치 및 방법
US10990682B2 (en) * 2017-12-18 2021-04-27 Nuvoton Technology Corporation System and method for coping with fault injection attacks
CN112219381B (zh) 2018-06-01 2023-09-05 诺基亚技术有限公司 用于基于数据分析的消息过滤的方法和装置
WO2020015831A1 (en) * 2018-07-19 2020-01-23 Nokia Technologies Oy Environment modeling and abstraction of network states for cognitive functions
US10826756B2 (en) 2018-08-06 2020-11-03 Microsoft Technology Licensing, Llc Automatic generation of threat remediation steps by crowd sourcing security solutions
US10911479B2 (en) * 2018-08-06 2021-02-02 Microsoft Technology Licensing, Llc Real-time mitigations for unfamiliar threat scenarios
CN112956146A (zh) * 2018-09-27 2021-06-11 英特尔公司 协作无线电网络中的特征检测
KR20200041771A (ko) * 2018-10-12 2020-04-22 삼성전자주식회사 전력 특성을 고려한 메모리 시스템의 설계 방법, 상기 메모리 시스템의 제조 방법, 및 상기 메모리 시스템을 설계하기 위한 컴퓨팅 시스템
CN109194692A (zh) * 2018-10-30 2019-01-11 扬州凤凰网络安全设备制造有限责任公司 防止网络被攻击的方法
US11681831B2 (en) 2019-04-10 2023-06-20 International Business Machines Corporation Threat detection using hardware physical properties and operating system metrics with AI data mining
EP4052147A4 (en) 2019-10-30 2023-11-08 Dull IP Pty Ltd DATA COMMUNICATION METHOD
CN110866287B (zh) * 2019-10-31 2021-12-17 大连理工大学 一种基于权重谱生成对抗样本的点攻击方法
US11891195B2 (en) * 2020-07-29 2024-02-06 The Boeing Company Mitigating damage to multi-layer networks
CN112346422B (zh) * 2020-11-12 2023-10-20 内蒙古民族大学 双蚁群智能对抗竞争实现机组作业调度方法
CN112702274B (zh) * 2020-12-24 2022-08-19 重庆邮电大学 战术瞄准网络技术中基于路由稳定性的跨层拥塞控制方法
CN112766865B (zh) * 2021-03-02 2023-09-22 河南科技学院 一种考虑实时订单的互联网电商仓储动态调度方法
CN113411235B (zh) * 2021-06-21 2023-11-07 大连大学 一种基于pso的未知协议数据帧特征提取方法
CN114928494A (zh) * 2022-05-24 2022-08-19 中国人民解放军国防科技大学 一种基于业务容量的网络攻击降效方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070266134A1 (en) * 2006-05-11 2007-11-15 The Mitre Corporation Adaptive cross-layer cross-node optimization
US20090300045A1 (en) * 2008-05-28 2009-12-03 Safe Channel Inc. Distributed security provisioning
US20110208849A1 (en) * 2010-02-25 2011-08-25 General Electric Company Method and system for security maintenance in a network
US20140181976A1 (en) * 2011-05-06 2014-06-26 The University Of North Carolina At Chapel Hill Methods, systems, and computer readable media for detecting injected machine code
CN103973702A (zh) * 2014-05-23 2014-08-06 浪潮电子信息产业股份有限公司 基于改进的粒子群算法的信息安全防御规则智能部署方法

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7069589B2 (en) * 2000-07-14 2006-06-27 Computer Associates Think, Inc.. Detection of a class of viral code
WO2002027426A2 (en) 2000-09-01 2002-04-04 Op40, Inc. System, method, uses, products, program products, and business methods for distributed internet and distributed network services
US7295956B1 (en) 2002-10-23 2007-11-13 Sun Microsystems, Inc Method and apparatus for using interval techniques to solve a multi-objective optimization problem
US7742902B1 (en) 2003-10-22 2010-06-22 Oracle America, Inc. Using interval techniques of direct comparison and differential formulation to solve a multi-objective optimization problem
US8024036B2 (en) 2007-03-19 2011-09-20 The Invention Science Fund I, Llc Lumen-traveling biological interface device and method of use
GB2439490B (en) 2005-03-08 2008-12-17 Radio Usa Inc E Systems and methods for modifying power usage
US20070192267A1 (en) 2006-02-10 2007-08-16 Numenta, Inc. Architecture of a hierarchical temporal memory based system
US7664622B2 (en) 2006-07-05 2010-02-16 Sun Microsystems, Inc. Using interval techniques to solve a parametric multi-objective optimization problem
US8015127B2 (en) 2006-09-12 2011-09-06 New York University System, method, and computer-accessible medium for providing a multi-objective evolutionary optimization of agent-based models
US8660499B2 (en) 2008-08-25 2014-02-25 Ntt Docomo, Inc. Delivery system, delivery apparatus, terminal apparatus and method
US8699430B2 (en) 2008-10-10 2014-04-15 The Trustees Of The Stevens Institute Of Technology Method and apparatus for dynamic spectrum access
US8660530B2 (en) 2009-05-01 2014-02-25 Apple Inc. Remotely receiving and communicating commands to a mobile device for execution by the mobile device
US8666367B2 (en) 2009-05-01 2014-03-04 Apple Inc. Remotely locating and commanding a mobile device
US8665724B2 (en) 2009-06-12 2014-03-04 Cygnus Broadband, Inc. Systems and methods for prioritizing and scheduling packets in a communication network
JP5522434B2 (ja) 2009-09-01 2014-06-18 アイシン精機株式会社 運転支援装置
GB2474748B (en) 2009-10-01 2011-10-12 Amira Pharmaceuticals Inc Polycyclic compounds as lysophosphatidic acid receptor antagonists
US8666403B2 (en) 2009-10-23 2014-03-04 Nokia Solutions And Networks Oy Systems, methods, and apparatuses for facilitating device-to-device connection establishment
US8665842B2 (en) 2010-05-13 2014-03-04 Blackberry Limited Methods and apparatus to discover network capabilities for connecting to an access network
US8332424B2 (en) 2011-05-13 2012-12-11 Google Inc. Method and apparatus for enabling virtual tags
US8665345B2 (en) 2011-05-18 2014-03-04 Intellectual Ventures Fund 83 Llc Video summary including a feature of interest
US9122993B2 (en) 2013-01-30 2015-09-01 Harris Corporation Parallel multi-layer cognitive network optimization
US9147164B2 (en) 2013-01-30 2015-09-29 Harris Corporation Sequential multi-layer cognitive network optimization
US9729562B2 (en) 2015-03-02 2017-08-08 Harris Corporation Cross-layer correlation in secure cognitive network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070266134A1 (en) * 2006-05-11 2007-11-15 The Mitre Corporation Adaptive cross-layer cross-node optimization
US20090300045A1 (en) * 2008-05-28 2009-12-03 Safe Channel Inc. Distributed security provisioning
US20110208849A1 (en) * 2010-02-25 2011-08-25 General Electric Company Method and system for security maintenance in a network
US20140181976A1 (en) * 2011-05-06 2014-06-26 The University Of North Carolina At Chapel Hill Methods, systems, and computer readable media for detecting injected machine code
CN103973702A (zh) * 2014-05-23 2014-08-06 浪潮电子信息产业股份有限公司 基于改进的粒子群算法的信息安全防御规则智能部署方法

Also Published As

Publication number Publication date
EP3065376B1 (en) 2017-09-27
KR20160106505A (ko) 2016-09-12
US20160261615A1 (en) 2016-09-08
CA2921517A1 (en) 2016-09-02
TW201707425A (zh) 2017-02-16
CA2921517C (en) 2018-01-16
CN105939331A (zh) 2016-09-14
CN105939331B (zh) 2018-07-03
KR101852965B1 (ko) 2018-04-27
US9729562B2 (en) 2017-08-08
EP3065376A1 (en) 2016-09-07

Similar Documents

Publication Publication Date Title
TWI631843B (zh) 保衛其自身免受對手攻擊之通信網路及用於保衛通信網路免受對手攻擊的方法
Rahman et al. Smartblock-sdn: An optimized blockchain-sdn framework for resource management in iot
Siriwardhana et al. AI and 6G security: Opportunities and challenges
US10862918B2 (en) Multi-dimensional heuristic search as part of an integrated decision engine for evolving defenses
US11438385B2 (en) User interface supporting an integrated decision engine for evolving defenses
Kumar et al. Securing iot-based cyber-physical human systems against collaborative attacks
Nespoli et al. Cyberprotection in IoT environments: A dynamic rule-based solution to defend smart devices
Li et al. A comprehensive survey on DDoS defense systems: New trends and challenges
Lahlou et al. TD-RA policy-enforcement framework for an SDN-based IoT architecture
Ibor et al. A survey of cyber security approaches for attack detection prediction and prevention
Pastrana et al. DEFIDNET: A framework for optimal allocation of cyberdefenses in Intrusion Detection Networks
Bhale et al. Energy efficient approach to detect sinkhole attack using roving IDS in 6LoWPAN network
Muzafar et al. Ddos attack detection approaches in on software defined network
Halabi et al. Towards adaptive cybersecurity for green IoT
Wigness et al. Internet of battlefield things: Challenges, opportunities, and emerging directions
Pasdar et al. Cybersecurity Solutions and Techniques for Internet of Things Integration in Combat Systems
Ashraf et al. Toward autonomic internet of things: Recent advances, evaluation criteria, and future research directions
Setitra et al. DoS/DDoS attacks in Software Defined Networks: Current situation, challenges and future directions
Czeczot et al. Autonomous Threat Response at the Edge Processing Level in the Industrial Internet of Things
Ashraf et al. IoT based intrusion detection systems from the perspective of machine and deep learning: a survey and comparative study.
Uddin et al. Federated learning based intrusion detection system for satellite communication
Rouff et al. Sok: Autonomic cybersecurity-securing future disruptive technologies
Kumar et al. Software defined networks (SDNs) for environmental surveillance: A Survey
Karthika et al. Analysis of Different Attacks on Software Defined Network and Approaches to Mitigate using Intelligent Techniques
Kiekintveld et al. Strategic Cyber Camouflage

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees