用于计算机网络的企业任务管理的系统及方法
【技术领域】
[0001]发明性布置涉及计算机网络安全性,且更特定来说涉及用于在计算机网络的两个或两个以上逻辑子区之间通信的系统,其中所述网络可动态地操纵以抵御恶意攻击。
【背景技术】
[0002]当前网络基础结构的主要弱点是其静态本性。资产接收永久或不常改变的识别,此允许对手几乎不限时间地探测网络、映射及利用漏洞。另外,可捕获在这些固定实体之间行进的数据及给所述数据赋予属性。网络安全性的当前方法围绕固定资产应用例如防火墙及入侵检测系统等技术,且使用加密来保护途中的数据。然而,此传统方法根本上存在缺陷,因为其给攻击者提供固定目标。在今天的全球连接的通信基础结构中,静态网络为易受攻击的网络。
[0003]国防先进研宄计划局(“DARPA”)信息保证(“IA”)项目已执行动态网络防御领域中的初始研宄。在IA项目下开发用以出于使观察网络的任何潜在对手混淆的目的而动态地重新指配馈送到预先指定的网络飞地中的因特网协议(“IP”)地址空间的技术。此技术称作动态网络地址变换(“DYNAT”)。在于2001年公布的标题为“用以阻挠对手智能的动态方法(Dynamic Approaches to Thwart Adversary Intelligence) ” 的 DARPA 的论文中提出DYNAT技术的概述。
【发明内容】
[0004]本发明的实施例涉及用于其中节点操作可动态地配置的计算机网络的企业任务管理的系统及方法。所述方法涉及将所述计算机网络配置为根据至少一个第一任务计划操作。所述第一任务计划指定将由所述计算机网络的至少一个第一节点动态地修改至少一个第一身份参数(“IDP”)的经指配值的方式。此后,在所述计算机网络内检测指示需要在所述计算机网络内实施新任务计划的第一触发事件。可基于以下各项来检测所述第一触发事件:正在所述计算机网络内传达的包的内容、所述计算机网络的拥塞等级、所述计算机网络的状态、所述计算机网络内的用户活动,及/或对所述计算机网络的恶意攻击。
[0005]响应于所述触发事件,获得第二任务计划。所述第二任务计划指定将由所述计算机网络的至少一个第二节点动态地修改至少一个第二 IDP的经指配值的方式。在一些情景中,通过以下各项来获得所述第二任务计划:基于新任务的要求及来自分析所述计算机网络的操作方面的结果从多个预存储的任务计划选择任务计划;基于新任务的要求及来自分析所述计算机网络的操作方面的结果而自动地产生任务计划;或基于以下各项中的至少一者而动态地产生任务计划:任务的操作的概念、所述计算机网络的架构、所述计算机网络的资源之间的关系,及与多个IDP相关联的有效性评级。
[0006]接下来,做出关于在由所述第二任务计划定义的所述第二节点的操作与由所述第一任务计划定义的所述第一节点的操作之间是否存在任何冲突的确定。如果确定在由所述第一任务计划及所述第二任务计划定义的所述第一节点及所述第二节点的操作之间不存在冲突,那么所述计算机网络的操作经配置以进一步根据所述第二任务计划操作。与此对比,如果确定在由所述第一任务计划及所述第二任务计划定义的所述第一节点及所述第二节点的操作之间确实存在冲突,那么修改所述第二任务计划以获得第三任务计划。随后,做出关于在由所述第三任务计划定义的第三节点的操作与由所述第一任务计划定义的所述第一节点的操作之间是否存在任何冲突的确定。如果确定在如由所述第一任务计划及所述第三任务计划定义的所述第一节点及所述第三节点的操作之间不存在冲突,那么所述计算机网络的操作经配置以根据所述第三任务计划操作。
[0007]在一些情景中,所述方法还可涉及确定所述计算机网络是否应继续根据作用中的第一或第二任务计划操作。如果确定所述计算机网络不应继续根据所述作用中的第一或第二任务计划操作,那么执行操作以:重新配置所述计算机网络以使得所述计算机网络不再根据所述第一任务计划或所述第二任务计划操作;及/或重新配置所述计算机网络以根据第三任务计划而非所述第一任务计划或所述第二任务计划操作。
【附图说明】
[0008]将参考以下绘图描述实施例,其中遍及所述图,相似编号表示相似物项,且其中:
[0009]图1是对于理解本发明有用的计算机网络的实例。
[0010]图2是在本发明中可用于执行IDP的某些操控的模块的实例。
[0011]图3是用于手动地产生任务计划的示范性过程的流程图。
[0012]图4是对于理解可用以帮助表征图1中的网络的工具有用的图式。
[0013]图5是可用以选择图1中的模块的动态设置的图形用户接口( “⑶I”)的实例。
[0014]图6是可用以选择与图1中的每一模块相关联的作用中状态及绕过状态的序列的⑶I的实例。
[0015]图7是用于自动地及动态地产生任务计划的示范性过程的流程图。
[0016]图8是用于识别及解决任务计划冲突的示范性过程。
[0017]图9是对于理解可将任务计划传达到图1中的网络中的多个模块的方式有用的图式。
[0018]图10是可用以从多个任务计划选择任务计划并将选定任务计划传达到如图9中所展示的模块的示范性GUI的示意性图解说明。
[0019]图11是对于理解图1中的模块的操作有用的流程图。
[0020]图12是对于理解计算机网络的总体企业行为有用的示意性图解说明。
[0021]图13是对于理解企业任务管理有用的示意性图解说明。
[0022]包含图14A及14B的图14是用于动态计算机网络的企业任务管理的示范性方法的流程图。
[0023]图15是可用以实施图1中的模块的计算机架构的框图。
[0024]图16是可用以实施图1中所展示的网络管理计算机(“NAC”)的计算机架构的框图。
[0025]图17是对于理解本发明有用的计算机网络的实例。
[0026]图18是对于理解图1中的交换器的操作有用的流程图。
[0027]图19是对于理解图1中的交换器的操作有用的流程图。
[0028]图20是根据本发明可用以实施用于路由数据包的方法的交换器的实例。
[0029]图21是对于理解可修改的一些类型的IDP有用的表。
【具体实施方式】
[0030]参考附图描述本发明。所述图未按比例绘制且其经提供以仅图解说明本发明。为了图解说明,下文参考实例性应用描述本发明的数个方面。应理解,陈述众多特定细节、关系及方法以提供对本发明的完全理解。然而,相关领域的技术人员将容易地认识到,可在不具有特定细节中的一或多者的情况下或借助其它方法实践本发明。在其它例子中,未详细展示众所周知的结构或操作以避免使本发明模糊。本发明不受行动或事件的所图解说明的次序限制,因为一些行动可以不同于其它行动或事件的次序发生及/或与其它行动或事件同时发生。此外,并非需要所有所图解说明的行动或事件来实施根据本发明的方法。
[0031]还应了解,本文中所使用的术语仅用于描述特定实施例的目的而并非打算限制本发明。如本文中所使用,单数形式“一(a及an)”、及“所述(the) ”也打算包含复数形式,除非上下文另外清楚地指示。此外,就在详细说明及/或权利要求书中使用术语“包含(including、include) ”、“具有(having、has及with) ”或其变化形式来说,此类术语打算以类似于术语“包括(comprising) ”的方式为包含性的。
[0032]此外,除非另外定义,否则本文中所使用的所有术语(包含技术及科学术语)均具有与本发明所属领域的技术人员通常所理解相同的含义。应进一步理解,应将术语(例如常用字典中所定义的那些术语)解释为具有与其在相关技术的上下文中的含义一致的含义,而不应以理想化或过分形式化意义来解释,除非本文中明确界定如此。
[0033]身份敏捷计算机网络
[0034]现在参看图1,其展示包含多个计算装置的示范性计算机网络100的图式。所述计算装置可包含客户端计算机101到103,NAC 104,服务器111、112,网络层2交换器108、109,层3交换器110及桥接器115。客户端计算机101到103可为可能需要网络服务的任何类型的计算装置,例如常规平板计算机、笔记本型计算机、膝上型计算机或桌上型计算机。层3交换器110可为在计算机网络之间路由数据包的常规路由装置。层2交换器108、109为如所属领域中众所周知的常规集线器装置(例如,以太网集线器)。服务器111、112可提供由客户端计算机101到103利用的各种计算服务。举例来说,服务器111、112可为提供用于由客户端计算机101到103使用的计算机文件的共享存储的位置的文件服务器。
[0035]用于计算机网络100的通信媒体可为有线的、无线的或两者,但在本文中为了简化及避免使本发明模糊而将描述为有线网络。所述网络将使用通信协议传达数据。如所属领域中众所周知,通信协议定义用于遍及网络传达数据的格式及规则。图1中的计算机网络100可使用现在已知或未来将知晓的任何通信协议或协议组合。举例来说,计算机网络100可针对此类通信使用众所周知的以太网协议套件。或者,计算机网络100可利用其它协议,例如因特网协议套件(通常称为发射控制协议/因特网协议(“TCP/IP”)套件)的协议、基于同步光学网络/同步数字层次(“S0NET/SDH”)的协议或非同步传送模式(“ATM”)通信协议。在一些实施例中,这些通信协议中的一或多者可以组合方式使用。虽然图1中展示一个网络拓扑,但本发明在此方面并不受限。而是,可使用任何类型的适合网络拓扑,例如总线网络、星形网络、环形网络或网状网络。
[0036]本发明大体来说涉及一种用于在计算机网络中(例如,在计算机网络100中)传达数据的方法,其中将数据从第一计算装置传达到第二计算装置。所述网络内的计算装置用多个IDP表示。如本文中所使用,短语“身份参数或IDP”可包含例如IP地址、媒体接入控制(“MAC”)地址、端口编号等等物项。然而,本发明在此方面并不受限,且IDP也可包含对于表征网络节点有用的多种其它信息。下文进一步详细地论述本文中所预期的各种类型的IDP。在一些情景中,IDP包含数据包的标头及/或包尾部分中所含有的那些参数且不包含数据包的有效载荷部分中所含有的那些参数。仍然,实施例并不限于那些情景的细节。
[0037]发明性布置涉及使用移动目标技术(“MTT”)来操控计算机网络100内的一或多个计算装置的此类IDP中的一或多者。此技术掩饰此类计算装置的通信模式及网络地址。如本文中所描述的IDP的操控通常连同计算机网络100中的数据通信一起执行,即,在待将数据从网络中的第一计算机(例如,客户端计算机101)传达到网络中的第二计算机(例如,客户端计算机102)时执行。因此,所操控的IDP可包含源计算装置(即,数据始发于其的装置)及目的地计算装置(即,数据正被发射到其的装置)的那些IDP。所传达的IDP的集合在本文中称为IDP集合。此概念图解说明于图1中,其展示IDP集合120作为数据包(未展示)的部分由客户端计算机101发射。
[0038]根据发明性布置的过程涉及在计算机网络100内的第一位置处选择性地修改数据包或数据报中所含有的指定源计算装置及/或目的地计算装置的一或多个身份参数的值。根据任务计划修改IDP。其中执行此修改的位置将通常与计算机网络100的一个模块105到107、113、114的位置重合。再次参看图1,可观察到,模块105到107、113、114在构成计算机网络100中的节点的各种计算装置之间插入于此网络中。在这些位置中,模块105到107、113、114拦截数据包通信、执行IDP的必要操控且沿发射路径重新发射数据包。在替代实施例中,模块105到107、113、114可执行类似功能,但可直接集成到所述计算装置中的一或多者中。举例来说,所述模块可集成到客户端计算机101、102、103,服务器111、112,层2交换器108、109及/或层3交换器110中。
[0039]另外,计算机网络100可划分成通过层3交换器110连接的若干个逻辑子区(有时称为子网络或子网)。企业网络可出于多种管理或技术原因而划分成若干个子网,所述原因包含但不限于隐藏网络的拓扑以使其对外部主机不可见、利用不同网络协议连接网络、在子网层级上单独管理网络寻址方案、由于经约束数据连接而启用跨越子网的数据业务的管理及诸如此类。子网分割为所属领域中众所周知的且将不做进一步详细描述。
[0040]再次参看图1,计算机网络100划分成两个逻辑网络,即第一逻辑网络130及第二逻辑网络132。如本文中所使用,短语“逻辑网络”是指计算机网络的任何逻辑子区。在实施例中,逻辑网络130、132通过层3交换器110连接。层3交换器110负责引导逻辑网络之间(即,从客户端计算机101到客户端计算机103)的业务。层3交换器110也负责引导从连接到计算机网络100的任何主机去往第二网络124的业务。在图1中所展示的实施例中,从计算机网络100路由到第二网络124的业务通过桥接器115。如同上文的模块,桥接器115的功能性可集成于层3交换器110内。
[0041]图2中展示模块105的功能性框图的实例。图1的模块106、107、113、114可具有与图2中所展示的功能性框图类似的功能性框图,但应理解,本发明在此方面并不受限。如图2中所展示,模块105具有至少两个数据端口 201、202,其中的每一者可对应于相应网络接口装置204、205。在数据端口 201处接收的数据在网络接口装置204处处理且暂时存储于输入缓冲器210处。处理器215存取输入缓冲器210中所含有的输入数据包且执行如本文中所描述的IDP的任何必要操控。经修改数据包传递到输出缓冲器212且随后使用网络接口装置205从数据端口 202发射。类似地,在数据端口 202处接收的数据在网络接口装置205处处理且暂时存储于输入缓冲器208处。处理器215存取输入缓冲器208中所含有的输入数据包且执行如本文中所描述的IDP的任何必要操控。经修改数据包传递到输出缓冲器206且随后使用网络接口装置204从数据端口 201发射。在模块105中,处理器215根据存储于存储器218中的任务计划220执行IDP的操控。
[0042]从图2应理解,模块105优选地经配置以使其双向地操作。在此类实施例中,取决于特定数据包的源,模块105可实施不同修改功能。可根据特定数据包的源计算装置在任务计划中指定模块105中的动态修改功能。模块105可通过任何适合手段确定数据包的源。举例来说,可出于此目的使用数据包的源地址。
[0043]在操作期间,处理器215将确定将代替真IDP值使用的一或多个假IDP值。处理器215将使一或多个真IDP值变换为由伪随机函数优选地指定的一或多个假IDP值。在此变换之后,模块105将沿发射路径将经修改包或数据报转发到计算机网络100的下一节点。在通信路径中的后续点处,正监视此类网络通信的对手将观察到关于在计算机网络100上通信的计算装置的身份的假的或不正确的信息。
[0044]IDP值将具有由通信协议定义的预定格式。举例来说,IP地址及MAC地址将各自具有已知的预定格式。由于期望攻击者不能将真IDP与假IDP辨别开,因此假IDP值应具有与真IDP相同的格式。换句话说,假IDP应具有在使用特定网络通信协议时通常针对所述类型的IDP指定的所有正确特性及格式化。出于本发明的目的,预期可以明文形式发射IDP(即,信息将不被加密)。通过维持所发射数据包中所包含的真及假IDP两者的正确格式,系统确保观察网络业务的对手无法有效地确定所发射IDP值实际上是真还是假。
[0045]在一些情景中,根据一或多个被动性触发事件的发生而使由伪随机函数指定的假IDP变化。被动性触发事件致使处理器215使用伪随机函数来产生新的假IDP值集合,真IDP被变换成所述假IDP值。因此,被动性触发事件充当本文中所描述的假IDP的动态变化的基础。下文更详细地论述被动性触发事件。然而,应注意,用于选择新的假IDP值集合的被动性触发事件可基于至少一个预定义规则。所述规则包括定义至少一个被动性触发事件的语句。就这一点来说,用户规则可实施基于包检验的方案、基于拥塞等级的方案、基于启发性算法的方案及/或基于基于网络的攻击(“NBA”)的分析的方案。下文将详细地描述所列示方案中的每一者。
[0046]上文所描述的IDP的变换提供出于阻挠网络攻击的目的而操纵计算机网络100的一种方式。在一些情景中,由处理器215实施的任务计划220也将控制计算机网络100可操纵的方式的某些其它方面。举例来说,任务计划220可指定操控IDP的动态选择。所述动态选择可包含选择哪些IDP进行修改及/或选择此类IDP的数目的选择。此可变选择过程提供可用以进一步阻挠对手渗入或了解计算机网络100的努力的不确定性或变化的添加的维度。作为此技术的实例,考虑在第一时间周期期间,模块105可修改每一数据包的目的地IP地址及目的地MAC地址。在第二时间周期期间,模块105可操控每一数据包中的源IP地址及源主机名称。在第三时间周期期间,模块105可操控源端口编号及源用户名称。IDP的选择的改变可同步地发生(即,同时改变所有选定IDP)。或者,IDP的选择的改变可不同步地发生(即,选定IDP的群组随给选定IDP的群组添加或移除个别IDP而递增地改变)。
[0047]伪随机函数优选地用于确定将操控或变换成假值的身份值的选择。换句话说,模块105将仅变换通过伪随机函数选择的IDP。在一些情景中,根据被动性触发事件的发生使由伪随机函数指定的IDP的选择变化。被动性触发事件致使处理器215使用伪随机函数来产生将变换成假IDP的IDP的新选择。因此,被动性触发事件充当本文中所描述的ID