技術領域

發明性布置涉及計算機網絡安全性，且更特定來說涉及用于在計算機網絡的兩個或兩個以上邏輯子區之間通信的系統，其中所述網絡可動態地操縱以抵御惡意攻擊。

背景技術

當前網絡基礎結構的主要弱點是其靜態本性。資產接收永久或不常改變的識別，此允許對手幾乎不限時間地探測網絡、映射及利用漏洞。另外，可捕獲在這些固定實體之間行進的數據及給所述數據賦予屬性。網絡安全性的當前方法圍繞固定資產應用例如防火墻及入侵檢測系統等技術，且使用加密來保護途中的數據。然而，此傳統方法根本上存在缺陷，因為其給攻擊者提供固定目標。在今天的全球連接的通信基礎結構中，靜態網絡為易受攻擊的網絡。

國防先進研究計劃局(DARPA)信息保證(IA)項目已執行動態網絡防御領域中的初始研究。在信息保證項目下開發用以出于使觀察網絡的任何潛在對手混淆的目的而動態地重新指派饋送到預先指定的網絡飛地(enclave)中的因特網協議(IP)地址空間的技術。此技術稱作動態網絡地址變換(DYNAT)。在標題為“用以阻撓對手智能的動態方法(Dynamic?Approaches?to?Thwart?Adversary?Intelligence)”(2001)的DARPA的公開論文中提出DYNAT技術的概述。

發明內容

本發明的實施例涉及一種供在動態計算機網絡中使用的路由器。所述路由器包含連接到經配置以接收數據通信的至少一個輸入端口的輸入電路。所述路由器還包含連接到經配置以發射數據通信的輸出端口的輸出電路及用于存儲至少一個表的存儲器。提供至少一個處理單元且其經配置以用于執行路由方法。所述路由方法包含：接收包含與源計算裝置及目的地計算裝置相關聯的兩個或兩個以上身份參數的數據通信。所述身份參數的集合指定假信息。所述處理單元將所述數據通信路由到所述多個輸出端口中的一者。根據對應于所述身份參數中指定假信息的至少一者的至少一個真信息，用于所述數據通信的路線是用于所述數據通信的正確路由。所述真信息與所述假信息相比不同。

本發明還涉及一種用于在使用路由器連接的邏輯網絡之間傳達數據的方法。所述方法可通過在路由器的輸入端口中的一者處接收數據通信開始。確定若干個可行路線。從所述經確定可行路線偽隨機地選擇一路線。所述方法以基于所述選定路線將所述數據通信路由通過所述路由器的輸出端口繼續。

附圖說明

將參考以下繪圖描述實施例，其中遍及所述圖，相似編號表示相似物項，且其中：

圖1是對于理解本發明有用的計算機網絡的實例。

圖2是在本發明中可用于執行身份參數的某些操控的模塊的實例。

圖3是對于理解可用以幫助表征圖1中的網絡的工具有用的圖式。

圖4是可用以選擇圖1中的模塊的動態設定的圖形用戶接口的對話框的實例。

圖5是可用以選擇與圖1中的每一模塊相關聯的作用狀態及繞過狀態的序列的圖形用戶接口的對話框的實例。

圖6是對于理解可將任務計劃傳達到圖1中的網絡中的多個模塊的方式有用的圖式。

圖7是可用以選擇任務計劃且將所述任務計劃傳達到如圖6中所展示的模塊的圖形用戶接口的對話框的實例。

圖8是對于理解圖1中的模塊的操作有用的流程圖。

圖9是對于理解網絡控制軟件應用程序(NCSA)關于創建及加載任務計劃的操作有用的流程圖。

圖10是可用以實施圖1中的模塊的計算機架構的框圖。

圖11是可用以實施圖1中所展示的網絡管理計算機(NAC)的計算機架構的框圖。

圖12是對于理解本發明有用的計算機網絡的實例。

圖13是對于理解圖1中的路由器的操作有用的流程圖。

圖14是對于理解圖1中的路由器的操作有用的流程圖。

圖15是對于理解圖1中的路由器的操作有用的流程圖。

圖16是根據本發明的可用以實施用于路由數據包的方法的路由器的實例。

圖17是對于理解可修改的一些類型的身份參數有用的表。

具體實施方式