用于威胁检测的情景感知型网络安全监控的制作方法

本申请是于2011年9月21日提交的题为“由智能代理下载辅助的网络拓扑”的美国专利申请号13/239,183的部分继续申请并且要求该申请的优先权；美国专利申请13/239,183是于2010年11月18日提交的题为“基于点波束的认证”的美国专利申请号12/949,404的部分继续申请，并且要求该申请的优先权。通过引用将两个专利申请的全部内容结合在此。

技术领域

本申请涉及于2011年3月8日发行的Knapp等的题为“用于利用互联网协议(IP)流量转换数据的异常检测的方法和系统”的美国专利第 7,903,566号；并且涉及于2011年8月9日发行的Knapp等的题为“用于互联网协议(IP)流量转换检测和存储的方法和系统”的美国专利第 7,995,496号。

背景技术：

此外，本公开涉及网络安全监控。具体地，涉及用于威胁检测的情景感知型网络安全监控。

技术实现要素：

在一个或多个实施方式中，本公开涉及一种用于对威胁检测进行情景感知型网络安全监控的方法、系统、以及装置。具体地，本公开教导了一种方法，包括：通过至少一个处理器监控网络中与至少一个用户相关联的至少一个节点的行为，以生成用户的行为模式。该方法进一步包括通过至少一个处理器将至少一个用户的行为模式与用户的基准行为模式比较。此外，该方法包括通过至少一个处理器确定至少一个用户的行为模式与用户的基准行为模式之间何时存在差异。此外，该方法包括：当差异超过基准阈值水平、不超过基准阈值水平、满足至少一个标准、和/或不满足至少一个标准时，通过至少一个处理器对与该差异相关联的事件进行标记。此外，该方法包括通过至少一个处理器将事件分类到事件类别。此外，该方法包括通过关联于与至少一个用户相关联的至少一个节点的至少一个发送器将该事件发送至网络中的至少一个其他节点和/或网络运行中心。

在至少一个实施方式中，至少一个节点(与至少一个用户相关联或者不与至少一个用户相关联)是蜂窝电话、个人数字助理(PDA)、个人计算机、计算机节点、互联网协议(IP)节点、服务器、路由器、网关、 WI-FI节点、网络节点、个人区域网(PAN)节点、局域网(LAN)节点、广域网(WAN)节点、蓝牙节点、ZigBee节点、微波存取全球互通(WIMAX) 节点、第二代(2G)无线节点、第三代(3G)无线节点、和/或第四代(4G) 无线节点。

在一个或多个实施方式中，该方法进一步包括通过至少一个处理器对网络中与至少一个用户相关联的至少一个节点的行为进行初始监控，以生成用户的基准行为模式。在至少一种实施方式中，该方法进一步包括通过至少一个发送源将至少一个用户的基准行为模式发送至与至少一个用户相关联的节点，并且通过关联于与至少一个用户相关联的节点的至少一个接收器接收用户的基准行为模式。在一个或多个实施方式中，至少一个发送源与网络中的至少一个其他节点和/或网络运行中心中的至少一个相关联。在至少一个实施方式中，至少一个处理器和与至少一个用户相关联的至少一个节点、网络中的至少一个其他节点、和/或网络运行中心相关联。

在至少一个实施方式中，在至少一个卫星和/或至少一个伪卫星中采用至少一个发送源。在一些实施方式中，至少一个卫星是低地球轨道(LEO) 卫星、中地球轨道(MEO)卫星、和/或同步地球轨道(GEO)卫星。在一个或多个实施方式中，本公开的方法采用铱LEO卫星星座，其中，星座中的每个卫星均具有以不同的点波束方向图发射四十八(48)个点波束的天线几何结构。在至少一个实施方式中，可从星座中的至少一个铱卫星发送至少一个基准行为模式和/或智能代理下载。可以利用铱卫星的四十八 (48)个点波束将本地认证信号和/或包含至少一个基准行为模式和/或至少一个智能代理下载的信号发送至位于地球表面上或者附近的接收源(关联于与至少一个用户相关联的至少一个节点)。与这些信号相关联的广播消息脉冲串内容包括随机数据和/或伪随机噪音(PRN)数据。因为给定的消息脉冲串可以在特定时间出现在特定卫星点波束中，所以可以利用包括 PRN和特有的波束参数(例如，时间、卫星标识(ID)、波束标识(ID)、时偏、轨道数据等)的消息脉冲串内容对接收源的位置进行认证。应注意，当采用上述所述铱LEO卫星中的一个时，传输信号功率足够充分强大，从而允许信号稳定地穿透室内环境，并且为此可采用信号编码方法。这允许本公开方法用在许多室内应用中。

在至少一个实施方式中，该方法进一步包括：通过至少一个发送源将事件更新发送至与至少一个用户相关联的至少一个网络节点；并且通过至少一个处理器利用事件更新对用户的基准行为模式进行更新。在一个或多个实施方式中，对与至少一个用户相关联的至少一个节点的行为进行监控包括：监控与至少一个用户相关联的至少一个节点的使用；监控与至少一个用户相关联的至少一个节点的位置；监控通过与至少一个用户相关联的至少一个节点的数据(例如，包括数据和包报头的数据包)；监控通过与至少一个用户相关联的至少一个节点的数据的量；监控数据通过与至少一个用户相关联的至少一个节点的时刻；监控数据通过与至少一个用户相关联的至少一个节点的日期；监控最初发送数据的起始源；和/或监控发送数据的最终目的地。

在至少一个实施方式中，该方法进一步包括由至少一个认证器设备对与至少一个用户相关联的至少一个节点的位置进行认证。在至少一个实施方式中，至少一个认证器设备通过评估至少一个认证信号对与至少一个用户相关联的至少一个节点的位置进行认证。在一些实施方式中，至少一个认证信号通过至少一个发送源发送并且通过关联于与至少一个用户相关联的至少一个节点的至少一个接收源接收。在一个或多个实施方式中，至少一个标准与下列项有关：与至少一个用户相关联的至少一个网络节点的位置、通过与至少一个用户相关联的至少一个网络节点的数据类型、与至少一个用户相关联的至少一个网络节点接收数据的时刻、与至少一个用户相关联的至少一个网络节点接收数据的日期、与至少一个用户相关联的至少一个网络节点发送数据的时刻、与至少一个用户相关联的至少一个网络节点发送数据的日期、最初发送数据的起始源的位置、和/或发送数据的最终目的地源的位置。

在一个或多个实施方式中，公开了一种用于对威胁检测进行情景感知型网络安全监控的系统。该系统包括至少一个处理器，该处理器用于：监控网络中与至少一个用户相关联的至少一个节点的行为，以生成用户的行为模式；比较至少一个用户的行为模式与用户的基准行为模式；确定至少一个用户的行为模式与用户的基准行为模式之间何时存在差异；当该差异超过基准阈值水平、不超过基准阈值水平、满足至少一个标准、和/或不满足至少一个标准时对与该差异相关联的事件进行标记；并且将事件分类到事件类别。该系统进一步包括关联于与至少一个用户相关联的至少一个节点的至少一个发送器，该至少一个发送器将事件发送至网络中的至少一个其他节点和/或网络运行中心。

在至少一个实施方式中，处理器还用于初始监控网络中与至少一个用户相关联的至少一个节点的行为，以生成用户的基准行为模式。在一些实施方式中，该系统进一步包括至少一个发送源和至少一个接收器，该至少一个发送源将至少一个用户的基准行为模式发送至与用户相关联的至少一个节点；该至少一个接收器关联于与至少一个用户相关联的至少一个节点，该至少一个接收器接收用户的基准行为模式。

在一个或多个实施方式中，该系统进一步包括至少一个发送源和至少一个处理器，该至少一个发送源将事件更新发送至与至少一个用户相关联的至少一个网络节点；该至少一个处理器通过利用事件更新对用户的基准行为模式进行更新。在至少一个实施方式中，该系统进一步包括至少一个认证器设备，用于对与至少一个用户相关联的至少一个节点的位置进行认证。在一个或多个实施方式中，至少一个认证器设备通过评估至少一个认证信号对与至少一个用户相关联的至少一个节点的位置进行认证。在一些实施方式中，至少一个认证信号由至少一个发送源发送并且由关联于与至少一个用户相关联的至少一个节点的至少一个接收源接收。

根据本公开的一个实施方式，公开了一种系统，该系统包括地理定位网络节点，用于在发送智能代理下载之前对节点进行地理认证(即，对节点的位置进行认证)。

根据本公开的一个实施方式，公开了一种方法，该方法包括采用至少一个智能代理下载对各个用户(与特定节点(例如，路由器、计算设备、智能电话、服务器等)相关联)模式进行动态发展。

根据本公开的一个实施方式，公开了一种方法，包括采用至少一个智能代理下载对各个用户(与特定节点(例如，路由器、计算设备、智能电话、服务器等)相关联)模式进行动态发展，其中，使与该节点相关联的特定用户的模式个性化。

根据本公开的一个实施方式，公开了一种方法，包括基于节点用户的标称的计算、存储、和/或通信操作使该节点的至少一个用户模式个性化。

根据本公开的一个实施方式，公开了一种方法，包括将至少一个用户基准模式分割成可用于更好地检测威胁的多个基准。在至少一个实施方式中，基准中的至少一个是时间。在至少一个实施方式中，基准中的至少一个是地理空间。

根据本公开的一个实施方式中，公开了一种方法，包括采用诸如路由器等节点的智能代理者(即，将智能代理下载“智能代理者”下载至节点中)对基于地理空间的用户模式进行动态发展。

根据本公开的一个实施方式，公开了一种方法，包括通过采用诸如路由器等节点的智能代理者(即，将智能代理下载“智能代理者”下载至节点中)并且将其与包含数据包报头内的地理位置签名的启用IP网络包结构结合，来对基于地理空间的用户模式进行动态发展。

根据本公开的一个实施方式，公开了一种方法，包括采用节点(诸如，路由器)上的智能代理者对基于时间的用户模式进行动态发展。

根据本公开的一个实施方式，使用所建立的用户基准(即，用户基准模式)和用户模式监控在现有正常行为约束内操作的网络内部用户(即，网络的有效用户)。

根据本公开的一个实施方式，使用所建立的用户基准(即，用户基准模式)和用户模式监控在现有正常行为约束之外操作的网络内部用户(即，网络的有效用户)并且发送网络内部用户(即，网络的有效用户)的警告 /通知。在一些实施方式中，可由网络管理实体和/或诸如策略服务器等分发点限定识别现有正常行为约束的阈值和/或标准。

根据本公开的一个实施方式，使用所建立的用户基准(即，用户基准模式)和用户模式识别网络中的黑客(即，不是网络的有效用户)。

根据本公开的一个实施方式，使用所建立的用户基准(即，用户基准模式)和用户模式监控网络中的黑客(即，不是网络的有效用户)。

根据本公开的一个实施方式，使用所建立的用户基准(即，用户基准模式)和用户模式将网络中的黑客再路由至蜜罐。蜜罐是检测、偏离、或者以某种方式阻碍企图未经授权而使用信息系统的诱捕设置。通常，蜜罐由计算机数据或者看似为网络的一部分的网络站点构成，但是，实际上，蜜罐是被隔离并且被监控的，并且蜜罐好像包含对攻击者有价值的信息或者资源。

根据本公开的一个实施方式，使用所建立的用户基准(即，用户基准模式)和用户模式监控高级持续性威胁(APT)。

根据本公开的一个实施方式，使用所建立的用户基准(即，用户基准模式)和用户模式监控网络的内部流氓用户(即，网络中行为不适当并且由此耍流氓的有效用户)。

根据本公开的一个实施方式，公开了一种方法，包括通过下游网络节点利用上游网络节点获知和分发的信息对“集群/自展”系统(即，在无外部帮助的情况下，自我保持继续执行的系统)视图进行动态开发(develop)。

根据本公开的一个实施方式，公开了一种方法，包括利用已知地理认证节点和端到端流量(即，经过以源节点开始并且以目的地节点结束的网络的路径数据)信息对路由器和其他相似设备的网络配置的地理空间和时间用户情景/模式进行动态开发。

根据本公开的一个实施方式，公开了一种方法，包括支持在节点、嵌入节点、以及系统/网络层级处对异常用户行为的缓解进行的监控和检测。

根据本公开的一个实施方式，公开了一种采用安全监控基础设施系统 (SMIS)工具的系统。

在一个或多个实施方式中，本公开涉及一种关于由智能代理下载辅助网络拓扑的方法、系统、以及装置。具体地，本公开教导了一种方法，包括使用至少一个认证器设备对至少一个请求方进行认证。该方法进一步包括通过至少一个发送源将智能代理下载发送至与至少一个请求方相关联的至少一个接收源。此外，该方法包括通过至少一个接收源接收智能代理下载。此外，该方法包括通过至少一个处理器执行智能代理下载。此外，该方法包括通过智能代理下载监控网络行为。

在一个或多个实施方式中，至少一个认证器设备对至少一个请求方进行认证。在至少一个实施方式中，通过评估至少一个认证信号执行认证。在至少一个实施方式中，至少一个认证信号由至少一个发送源发送并且通过至少一个接收源接收。在一些实施方式中，从同一发送源发送至少一个认证信号和智能代理下载。在一个或多个实施方式中，从不同发送源发送至少一个认证信号和智能代理下载。在至少一个实施方式中，以同一频率发送至少一个认证信号和智能代理下载。在一些实施方式中，以不同频率发送至少一个认证信号和智能代理下载。

在至少一个实施方式中，至少一个请求方是实体和/或用户。在一个或多个实施方式中，在至少一个卫星和/或至少一个伪卫星中采用至少一个发送源。在一些实施方式中，至少一个卫星是低地球轨道(LEO)卫星、中地球轨道(MEO)卫星、和/或同步地球轨道(GEO)卫星。

在一个或多个实施方式中，本公开的方法采用铱LEO卫星星座，其中，星座中的每个卫星均具有以不同的点波束方向图发射四十八(48)个点波束的天线几何结构。在至少一个实施方式中，从星座中的铱卫星中的至少一个可发送至少一个认证信号和/或智能代理下载。可以使用铱卫星的四十八(48)个点波束将本地认证信号和/或包含智能代理下载的信号发送至位于地球表面上或者附近的接收源。与这些信号相关联的广播消息脉冲串内容包括伪随机噪音(PRN)数据。因为给定消息脉冲串可以在指定时间内出现在指定卫星点波束中，所以可以使用包括PRN和独特波束参数(例如，时间、卫星标识(ID)、波束标识(ID)、时偏、轨道数据等)的消息脉冲串内容对接收源的位置进行认证。应注意，当采用上述所述铱 LEO卫星中的一个时，传输信号功率足够充分强大，从而允许信号稳定地穿透室内环境，并且可采用信号编码方法以完成此。这允许本公开的方法用在许多室内应用中。

在至少一个实施方式中，在蜂窝电话、个人数字助理(PDA)、个人计算机、计算机节点、互联网协议(IP)节点、服务器、路由器、网关、 WI-FI节点、网络节点、个人区域网(PAN)节点、局域网(LAN)节点、广域网(WAN)节点、蓝牙节点、ZIGBEE节点、微波存取全球互通 (WIMAX)节点、第二代(2G)无线节点、第三代(3G)无线节点、和 /或第四代(4G)无线节点中采用至少一个接收源。在一个或多个实施方式中，请求方为静态和/或移动的。在一些实施方式中，本公开的方法进一步包括将智能代理下载存储在存储器中。在至少一个实施方式中，在蜂窝电话、个人数字助理(PDA)、个人计算机、计算机节点、互联网协议(IP) 节点、服务器、路由器、网关、WI-FI节点、网络节点、个人区域网(PAN) 节点、局域网(LAN)节点、广域网(WAN)节点、蓝牙节点、ZIGBEE 节点、微波存取全球互通(WIMAX)节点、第二带(2G)无线节点、第三代(3G)无线节点、和/或第四代(4G)无线节点中采用至少一个处理器和/或存储器。

在一个或多个实施方式中，监控网络行为包括：监控与至少一个请求方相关联的至少一个设备的使用，其中，至少一个设备是蜂窝电话、个人数字助理(PDA)、个人计算机、计算机节点、互联网协议(IP)节点、服务器、路由器、网关、WI-FI节点、网络节点、个人区域网(PAN)节点、局域网(LAN)节点、广域网(WAN)节点、蓝牙节点、ZIGBEE节点、微波存取全球互通(WIMAX)节点、第二代(2G)无线节点、第三代(3G)无线节点、和/或第四代(4G)无线节点；监控与至少一个请求方相关联的至少一个设备的位置；监控网络中的用户；监控通过网络的数据(例如，包括数据和包报头的数据包)；和/或监控通过网络的数据量。在至少一个实施方式中，本公开的方法进一步包括：通过至少一个处理器评估网络行为；并且在处理器确定网络行为出现异常时通过智能代理下载触发执行特定任务。在至少一个实施方式中，本公开的方法进一步包括：通过与至少一个请求方相关联的发送设备将网络行为发送至网络运行中心；通过网络运行中心处的至少一个处理器评估网络行为；并且在网络运行中心处的至少一个处理器确定网络行为出现异常时，通过智能代理下载触发执行特定任务。

在一个或多个实施方式中，一种由智能代理下载辅助网络拓扑的系统，包括至少一个认证器设备、至少一个发送源、至少一个接收源、以及至少一个处理器。在至少一个实施方式中，使用至少一个认证器设备对至少一个请求方进行认证。在一些实施方式中，使用至少一个发送源将智能代理下载发送至与至少一个请求方相关联的至少一个接收源。在一个或多个实施方式中，使用至少一个接收源接收智能代理下载。在一个或多个实施方式中，使用至少一个处理器执行智能代理下载，其中，智能代理下载在被执行时用于监控网络行为。

在至少一个实施方式中，本公开的系统进一步包括用于存储智能代理下载的存储器。在一些实施方式中，本公开的系统进一步包括发送设备和至少一个处理器，该发送设备与至少一个请求方相关联，用于将网络行为指示符发送至网络运行中心；并且该至少一个处理器位于网络运行中心处，用于评估网络行为。在这些实施方式中，在网络运行中心处的至少一个处理器确定网络行为出现异常时，智能代理下载触发执行特定任务。

在一个或多个实施方式中，一种由智能代理下载辅助网络拓扑的装置，包括至少一个认证器设备，用于对与该装置相关联的至少一个请求方进行认证。该装置进一步包括用于接收智能代理下载的至少一个接收源。此外，该装置包括用于存储智能代理下载的存储器。此外，该装置包括用于执行智能代理下载的至少一个处理器，智能代理下载在被执行时监控网络行为。在一些实施方式中，该装置进一步包括用于发送网络行为的发送源。

特征、功能、以及优点可以在本发明的各种实施方式中独立实现或者在又一些其他实施方式可组合。

附图说明

参考下列描述、所附权利要求、以及附图将更容易理解本公开的这些和其他特征、方面、以及优点，其中：

图1至图12集中于根据本公开至少一个实施方式的用于对威胁检测进行情景感知型网络安全监控所公开的系统和方法。

图1是根据本公开的至少一个实施方式的用于对威胁检测进行情景感知型网络安全监控所公开的系统。

图2是根据本公开的至少一个实施方式的用于对威胁检测进行情景感知型网络安全监控所公开的方法。

图3是根据本公开的至少一个实施方式的用于对威胁检测进行情景感知型网络安全监控所公开的系统和方法可采用的安全监控基础设施系统 (SMIS)的示意图。

图4是根据本公开的至少一个实施方式的图3中的SMIS的功能的框图。

图5是根据本公开的至少一个实施方式的用于由智能代理下载辅助 (即，软件更新)进行的对威胁检测的情景感知型网络安全监控所公开的系统的示意图。

图6是根据本公开的至少一个实施方式的用于对威胁检测进行情景感知型网络安全监控所公开的方法的整体图的流程图。

图7是根据本公开的至少一个实施方式的用于对威胁检测进行情景感知型网络安全监控所公开的系统的拓扑图，其中，该系统采用地理认证启用路由器。

图8是根据本公开的至少一个实施方式的用于对威胁检测进行情景感知型网络安全监控所公开的系统的示意图，其中，该系统采用网络策略服务器(NPS)。

图9是根据本公开的至少一个实施方式的用于对威胁检测进行情景感知型网络安全监控所公开的系统的示意图，示出了监控用户/节点行为的特征。

图10是根据本公开的至少一个实施方式的图3中的SMIS的功能的另一框图。

图11是根据本公开的至少一个实施方式的图3的SMIS的功能的框图，其示出了对至少一个检测到的异常行为的至少一个节点进行再训练的特征。

图12是根据本公开的至少一个实施方式的图3的SMIS的功能的框图，其示出了中经由网络管理实体对至少一个检测到的异常行为的至少一个节点进行再训练的特征。

图13是根据本公开的至少一个实施方式的用于由智能代理下载辅助对威胁检测的情景感知型网络安全监控的公开系统的示意图，其中，该系统采用SMIS。

图14至图18集中于根据本公开的至少一个实施方式的用于由智能代理下载辅助的网络拓扑所公开的系统和方法。

图14是根据本公开的至少一个实施方式的用于由智能代理下载辅助的网络拓扑的公开系统的示意图。

图15是根据本公开的至少一个实施方式的用于由智能代理下载辅助的网络拓扑的公开方法的流程图。

图16是示出了根据本公开的至少一个实施方式的监控网络行为的网络操作中心(NOC)的示意图。

图17是示出了根据本公开的至少一个实施方式的网络行为异常检测的示图。

图18是显示根据本公开的至少一个实施方式的将网络的逻辑拓扑关联至物理拓扑的示例性网状物理架构的示意图。

图19至图22集中于根据本公开的至少一个实施方式的用于对请求方进行基于点波束的认证的公开系统和方法。

图19是根据本公开的至少一个实施方式的由本公开的基于点波束的认证系统所采用的基于卫星的通信系统的示意图。

图20A、图20B以及图20C是示出了根据本公开的至少一个实施方式的基于卫星的认证系统的示意图。

图21A是根据本公开的至少一个实施方式的可被适配成实现本公开的基于卫星的认证系统的计算设备的示意图。

图21B是根据本公开的至少一个实施方式的可以由本公开的基于点波束的认证系统所采用的基于卫星的通信系统的示意图。

图22是示出了根据本公开的至少一个实施方式的对请求方进行认证的本公开的基于点波束的认证方法的流程图。

具体实施方式

在下列描述中，阐述了许多细节，以提供对该系统更为完整的理解。然而，对本领域技术人员显而易见的是，在不具备这些特定细节的情况下，也可以实现本公开的系统。在其他情况下，未详细描述熟知的特征，以不使该系统不必要地变得模糊。

1.对威胁检测进行情景感知型网络安全监控

本文中所公开的方法和系统提供一种用于动态情景节点模式的操作系统。具体地，该系统涉及用于计算机网络安全威胁检测应用的情景感知型安全监控系统。具体地，本公开教导了启用(例如，智能代理能力)网络节点或者网络链路中开发动态用户行为模式的其他结点。可以利用这些用户模式的偏离改善网络中的异常行为检测、监控、以及异常缓解算法。通过首先检测和了解关于网络某些区域中的新威胁，网络其余部分可获益并且做出适当响应，以进一步阻止网络中其他地方的网络威胁的负面影响。

目前，随着电子系统在各个企业和社交任务中更加根深蒂固，网络安全变得越来越重要。之前许多管理业务流程已经延伸至在线电子数据处理，从而使得在线信息和计算安全发展技术成为必备的需求，以保护这些日常使用的系统。重要文档和利用从社会安全号码至全国性基础设施相关信息的信息的其他数据存储在网络系统中，如果未被授权方对重要文档和其他数据进行访问，则将产生从损害至灾难性社交基础设施损坏等不同程度的社会影响。同时，随着对电子系统的依赖性增强，国家也已经发现恐怖主义和计算机黑客在惊人地增加；从而要求社会致力于改善方法，以保护我们的网络计算机系统。

网络攻击和网络渗透正逐渐变得太过于寻常。这些频繁发生的事情致使对因商业和军事环境中的外部威胁而产生的网络渗透威胁的讨论成为焦点。当前访问控制方法主要基于静态密码、或者基于使用密码的认证和基于公钥基础设施(PKI)的智能徽章凭证。由于通常通过模仿终端用户进行系统攻击，所以具有使组织集中于用户认证方法来减少网络数据拦截网络漏洞的趋势。这些方法对复杂攻击仍是易受攻击的，因此，需要开发出一种除正常三维(你知道什么、你具备什么、以及你是谁)的认证之外还补充有额外尺度/信息的访问控制新范例，其通过添加诸如用户位置等地理空间位置/情景从而提供额外和正交保护层，其提供位置与对映射至逻辑网络和信息管理视图的集成物理地理位置的情景感知之间的增强关联性。

而且，经常以匿名形式掩盖现有网络攻击的事实已经产生了额外的关注问题。通常，发起人试图排除较大的攻击，使其成为较小的入侵/攻击，从而更好地理解将来开发时系统的漏洞并且为之后更大破坏性攻击奠定基础。至今，许多大规模的网络攻击不仅使攻击接收人仍能够从遗留下的损坏恢复，而且接收人也不能够通过反击或者其他方式阻止任何进一步的损坏，这是因为在对攻击发起人不具备清晰追溯能力，并且由此通常缺少响应的权利。如果不清楚攻击动机，则接收人告诉攻击是否仅是破坏公物行为、有目的的偷窃、或者威胁国家安全的更险恶手段更是不可能的。因此，有助于拒绝流氓用户访问网络和/或提供可追踪的数据以助于识别发起人的任何系统对减少和减轻拒绝服务(DoS)和网络数据截止攻击具有很大的实用性。

本公开集中于网络管理，具体地，改善了异常行为监控、检测、以及减轻，并且本公开可以与现已经存在的系统、方法、以及设备结合地使用，或者作为这些的可替代解决方法。这种现有方法可包括：入侵检测系统 (IDS)和进阶持续性威胁(APT)管理。本公开的系统和方法补充了与安全监控基础设施系统(SMIS)相关联的功能，其集中于网络安全和网络监控数据，以提供下面进一步详细描述的完整情形感知画面。

现有系统依赖于签名与策略更新之间在本质上为静态的签名与策略，而且，现有系统对于特定的计算设备和/或系统通信、以及存储使用用户模式而言并非定制化。识别异常行为的预加载签名和策略允许对已知网络威胁和其消除进行快速事件相关联并且针对大量已经分类和已知网络威胁还具有良好防御性。然而，其并不能以动态和及时方式响应新出现的网络威胁，并且一些APT威胁缺少已知的模式并且关联需要超长的历史存储，因此，通过减少或者消除全部这些问题可改善这些方法。

本公开总体上涉及通过威胁检测进行网络管理和安全。具体地，本公开涉及与计算机网络安全威胁检测应用的情景感知型安全监控系统的特定节点相关联的动态情景用户模式，并且可以独立或者结合安全监控基础设施系统(SMIS)工具使用，下面进一步详细描述。

本文中公开了一种用于开发动态情景模式以实现计算机网络安全应用的定制化异常行为监控、检测、以及消除的方法和系统。在一个或多个实施方式中，本公开方法包括：利用至少一个认证器设备对与至少一个用户相关联的至少一个节点进行认证；通过至少一个发送源将智能代理下载发送至与节点相关联的至少一个接收源；通过至少一个接收源接收智能代理下载；将智能代理下载存储在与接收源相关联的存储器中；通过与存储器相关联的至少一个处理器执行智能代理下载；通过智能代理下载对用户行为定基准(即，监控节点的用户行为，以建立基准模式)；通过智能代理下载监控节点的用户行为；通过智能代理下载检测对于该节点用户行为与用户基准(即，用户基准模式)的偏差；并且当该偏差为下列中的至少一个时：满足可接受的阈值、不满足可接受的阈值、满足可接受的标准、不满足可接受的标准、和/或其组合时，根据需要，通过智能代理下载对该事件进行标记。

本公开涉及根据各种实施方式的方法和系统，以通过动态威胁监控和检测改善网络管理和安全。更具体地，本公开教导了开发针对特定节点的动态情景用户模式，从而实现计算机网络安全威胁检测应用的定制化异常行为监控、检测、以及消除的方法。

在一个或多个实施方式中，本公开可根据需要采用智能代理者将智能代理软件下载至使能网络节点，以启用公开的系统和方法来支持技术跟进并且分发关于潜在安全威胁的信息的。(关于智能代理下载的细节讨论，请参考本公开中由智能代理下载辅助的网络拓扑的部分)。

在一些实施方式中，本公开利用智能代理者开发特定节点的动态情景感知用户模式，以在单独的设备层次实现定制化异常行为监控、检测、以及消除。这些模式可被编译成经由多个节点或者网络层级核查所提取的信息。利用智能代理下载对启用嵌入式设备的可操作模式和启用设备中的用户模式(即，与用户相关联的节点的基准模式)定基准(即，进行监控，以建立基准模式)，并且针对计算、存储、和/或通信操作开发启用嵌入式设备的可操作模式和启用设备中的用户模式。进一步基于情景开发模式，其中，开发与用户正在操作的特定嵌入式设备和/或特定设备有关的用户模式，并且该模式还可与设备运行所在的位置有关。在至少一些实施方式中，基于终端用户及其使用特征使模式个性化。在一些实施方式中，可以将一个基准模式分割成能用于更好地检测威胁的多个基准。在至少一个实施方式中，这些基准中的至少一个是时间。在至少一个实施方式中，这些基准中的至少一个是地理空间。本公开的系统和方法则能够将获知的异常行为模式分布至系统中的其他节点，其中，可以使用这些节点更好地消除威胁，其中包括自展其自身的检测算法。

而且，同样，可以使用本公开的系统和方法动态开发网络流量的地理空间和/或时间情景感知模式以及可用于系统中启用节点的配置管理。

在一个或多个实施方式中，本公开的系统能够将智能代理软件下载至位于诸如室内环境等衰减环境中的启用设备(即，启用节点)。还可进一步结合各种不同的地理定位方法使用本公开的系统，以将设备物理映射至典型的互联网协议(IP)架构。这允许从其物理位置识别特定设备访问给定网络的位置，从而导致其自身增强网络内的情形感知，并且还有助于提供对网络配置的动态理解。

关于地理定位的优选方法使用来自低地球轨道(LEO)卫星(即，铱卫星)的信号来向网络节点提供基于其位置对网络节点进行认证的手段 (称之为“地理位置认证”)，并且提供使网络节点接收智能代理软件的手段。因为地理认证确保了无目的的用户不能接收软件下载，所以节点的地理认证对于架构是重要的。在一些实施方式中，可优选为在其部署之前，软件预被加载到启用设备中或经由陆地网络被预加载，并且优选为仅通过 LEO卫星发送软件更新，以使信号需求最小化。然后，可以使用智能代理软件帮助监控节点行为，以识别异常网络活动。

本公开的系统和方法可对本身用作端口嗅探器的安全监控基础设施系统(SMIS)工具件进行补充，以增强地理认证能力，该地理认证能力用于认证位置与时间相关标称操作模式之间的增强关联性，时间相关标称操作模式可包括计算、通信、以及存储使用模式，从而产生包括时间属性以及认证的地理空间位置的设备情景感知。通过动态建立并且更新整体设备行为的标称基准运行模式，包括跨时间和认证的地理空间位置的计算、通信、以及存储功能；可建立对于操作的特定设备专用的独特和统计意义的情景。这与操作时的设备指纹打印相似，当跟踪与转变有关的运行模式的更新时，一旦统计意义上已经确定，则可基于自动或者网络管理器驱动决策支持系统被分类成经批准的或者异常行为。

在至少一个实施方式中，网络可包括本文中统称为安全监控系统 (SMS)的SMIS的电子取证数据采集器(FDC)和安全实用服务器(SUS) 元件的等同物。在SMIS工具应用中，FDC用作位于需要监控的节点附近并且与商用现货(COTS)入侵检测系统相似的网络传感器。FDC可帮助系统基于触发事件采集数据。这种采集的数据可包括通过网络中的特定节点路由的IP报头或者整个IP包。安全实用服务器(SUS)允许网络管理实体设置阈值和/或其他标准，以在因特定动作被触发时产生警报，诸如，发送通知给网络管理系统(NMS)。应注意，在本公开中，该实例与现有 SMIS表示(美国专利第7,903,566中公开的)的不同之处在于，其不以基础设施为基础，而是基于算法并且使整体SMIS功能共置，其中包括作为单个实体(被称为SMS)的FDC和SUS，SMS主要监控、检测、以及消除本地设备层级的异常行为。通过智能代理下载应用能够实现此操作，智能代理下载应用教导了使SMS软件的至少一部分下载到设备上和/或设备的软件(可根据需要接收必要的更新或者警报)上的方式。

此外，节点(例如，设备、路由器、以及嵌入式系统)中的SMS操作被分配为其可以保持在各个使能节点中，并且由此SMS操作更适用于无线游牧计算和诸如路由器和嵌入式系统等的自管理互联网设备。

SMS算法开发了包括计算、通信、以及存储节点的使用行为的标称基准模式，从而提供节点的完整情景。因为异常行为的指示并不仅局限于通信活动，而且还包括计算和存储活动，所以这非常重要。应将SMS功能整合到各个终端用户设备、路由器、以及嵌入式系统中，并且由此增强之前所描述的地理位置认证和授权方法的功能，同时还在认证/授权过程之间的运行阶段期间提供额外的网络威胁监控、检测、以及消除功能。此外，公开的SMS功能通过提供自定义和对象化的终端用户模式以及操作情景，对普遍存在和快速扩展应用的移动终端用户设备(诸如，移动电话和无线个人设备)极其有用，从而允许IDS/APT管理对动态、新出现的网络威胁进行识别、通知、以及消除。

本公开具有若干关键特征。一个关键特征在于，本公开通过应用SMS 原理，以在不需要静态或者定期刷新签名或者策略的情况下，动态地开发特定设备、路由器、以及嵌入式系统的计算、通信、以及存储使用模式的情景，而提供对之前描述的力认证系统的增强。另一关键特征在于，本公开提供了基于算法、动态创建的标称(nominal正常)操作的情景模式，于是，正常操作的情景模式构成用于检测和管理由于网络威胁而产生的异常行为的基础。此外，另一关键特征在于，本公开提供了对之前描述的地理认证系统认证和授权方法的算法驱动SMS增强，包括对象化的地理空间和时间计算、通信、以及存储使用模式，并且进一步监控每次建立和学习正常基准的使用情况，以检测、通知、并且消除异常行为。此外，另一关键特征在于，本公开提供了允许与对等和相邻的协作地理认证使能设备、路由器、以及嵌入式系统交换检测的异常行为状态，以用于动态情景感知，从而调用统一隔离并且消除网络威胁的积极预防措施的工具。

A.节点模式：特定用户、特定节点

通过利用智能代理下载设定节点模式的基准(即，创建基准模式)并且为特定网络节点定制化节点模式。在一个实施方式中，针对终端用户节点开发模式，并且在由特定用户操纵的计算、存储、和/或通信操作方面开发模式。进一步基于情景开发模式。这可包括基于但不限于下列中的至少一项开发模式：时间和地理空间情景。换言之，相对于与用户正在操作的设备开发用户模式(即，与用户相关联的节点的模式)，并且还可相对于其中设备应当运行在的地理区域以及如何为用户随着时间正常操作该设备有，来开发用户模式。例如，公司中的给定用户可访问其用于执行其工作职责的多个终端用户设备。这些设备可包括个人数字助理(PDA)、膝上型计算机、桌上型计算机、租赁设备等。桌上型计算机的位置对于该用户可总是保持不变，而膝上型计算机可在多个不同的位置使用，诸如，用户家中、办公室、以及实验室位置，因此，租赁膝上型计算机可具备更多的非典型位置使用。针对这些情形和其他情形中的每一个可开发阈值和/ 或标准，例如，特定用户设备仅能够在之前限定的许可地理区域内运行，并且当设备位于该限定阈值之外时，算法可识别异常事件并且将其标记。

而且，在应用层级建立用户模式，并且将基于计算、存储、和/或通信应用考虑应用使用、互联网网站使用、以及其他节点使用。例如，可基于如何使用应用监控会话模式，诸如用户如何访问其电子邮件或者类似 Facebook或Google+等其他应用等。

用户模式的巨大变化被被即时标记为事件。事件可被评定并且分类成好或者不良，并且随后可相应地识别对该事件的响应动作。在至少一个实施方式中，可将该结果提供给从时间和地理上进行分析的融合中心(和/ 或分发点)。同样，该系统可有助于其他设备的自展，因此，其他设备能够检测威胁并且对威胁做出更块的响应。根据给定情景，对于特定事件，可以采取各种动作。例如，一些动作可包括但不限于下列：可记录该事件；可记录与该事件有关的数据；可关闭节点；可隔离该节点；可将任何学习行为分发给其他节点，以用于消除将来的事件；可将与该事件相关联的用户转移至蜜罐；和/或与该事件相关联的用户可调用其访问特权。

可进一步基于个性化节点模式的元素限定对数据和/或可用系统功能的访问能力。例如，旅行中的用户基于其处于潜在较不安全区域中而对数据或者功能的访问受到限制，以进一步消除不理想的事件发生。然而，更为重要的是，个性化节点模式以每个人的模式为基础。具备多个用户的现有系统并没有认识到不同的用户使用同一机器但具有不同方式。该同一机器不能识别用户(用户1)是否登录属于另一用户(用户2)的账户，因此，系统不能识别这不是用户1的正确行为。

开发的节点模式与节点类型有关。在至少一个实施方式中，节点模式可基于特定用户如何使用特定的节点。例如，节点模式认识到，对于特定节点，用户可使用下列设备中的一个：PDA、膝上型计算机、桌上型计算机、租赁计算机、和/或导航设备。

在一些实施方式中，可基于用户的计算、通信、和/或存储使用开发关于终端用户使能网络设备的行为模式。在至少一个实施方式中，使用智能代理下载开发用户模式。可基于计算、存储、和/或通信开发模式基准。在一些实施方式中，可基于情景进一步开发模式，诸如，相对于与用户正在操作的设备和与该设备相关联的应用使用开发用户模式。在一些实施方式中，还可相对于其中设备应当运行在的位置开发模式。就更为通用的意义而言，节点模式一般基于下列、但并不仅局限于这些：(1)谁正在执行动作？(特定用户-即，静态密码、生物学等)；(2)哪个设备执行该动作？ (设备相关-即，PDA、膝上型计算机、桌上型计算机、租赁计算机、导航设备等)；(3)其正在执行(和/或不执行)的动作类型？(即，计算/ 通信/存储相关的任务/应用使用)；(4)其何时执行该动作？(时间模式，例如，每日模式)；(5)其如何执行该动作(潜在地，本文中列出的若干模式因素的组合)；以及(6)其从何处执行该动作？(地理空间/地理位置 /地理认证)。

例如，用户A正在其工作有关的膝上型计算机(节点1)上工作，在其工作场所、工作实验室、和/或其家中是可接受地使用。可针对节点1 中的用户A设定模式基准，从而动态开发基准模式(可包括诸如用户A 在节点1中使用什么样的应用、用户A在节点1中访问哪些网站、以及用户A如何使用各项应用等信息)，以就计算、存储、和/或通信方面大致构建与其对节点1的使用相关联的用户印迹。用户A可能在各个可接受位置(工作场所、工作实验室、以及其家中)中的每一个使用不同的应用，如此其可分配在模式中。

在另一实施例中，桌上型计算机的位置可始终保持相同。在另一实施例中，可在多个位置(家中、办公室、实验室等)使用膝上型计算机，并且即使对于同一用户，租赁膝上型计算机可在更多非典型的位置使用。该模式可将该类事宜视为应用和互联网网站使用。

在至少一个实施方式中，在能够访问设备、执行计算、通信、和/或存储操作之前，用户可能需要证明其位于可接受的地理位置内。例如，如在本公开的基于点波束的认证部分中所描述的，通过地理定为/地理认证方法可对用户和/或其设备进行认证。

B.节点模式：流量特征化

在另一实施方式中，节点模式可以基于通过互联网协议(IP)网络的流量。例如，该节点可以是使多个IP数据包通过网络的网络路由器。在一个实施方式中，路由器节点具有通过其路由的流量(即，IP数据包)。可以从地理空间和/或时间上表征该流量。与之前所讨论的终端用户节点模式的基准模型相似，可以开发一个基准模型(即，该节点的基准模式)，并且可以根据基准监控流量。

在一个实施方式中，至少两个通信耦接的节点(例如，使能的蜂窝电话)的系统被配置为经由网络中的互联网协议(IP)进行通信。可以通过观察一段时间内的IP至IP数据包流量，并且开发可被监控以对潜在网络威胁或者其他异常行为进行标记的阈值和/或其他标准，来针对至少两个耦接节点的标称IP网络流量开发基准模型。在一些实施方式中，可以针对异常行为分析与多个IP至IP数据包相关联的唯一IP数据包报头的至少一个实例。在一些实施方式中，IP数据包报头可包括安全签名部分。在至少一个实施方式中，安全签名部分可包括关于IP数据包已经通过或者路由的至少一个网络节点的地理位置信息。在至少一个实施方式中，地理位置信息是至少一个地理标签或者地理凭证形式。在其他或者补充实施方式中，通过下列中的至少一项可识别事件：活动自身唯一性、一周时间的唯一性、一天时间的唯一性、一周中每天的唯一性、数据量唯一性、地理位置信息唯一性。如上所述，事件可被标记，然后，发生各个动作，诸如，提供对应于检测的异常行为的警报。例如，可从诸如网络策略服务器等分发点发送警报。在至少一个实施方式中，将该警报发送至网络管理系统。在另一实施方式中，可将该警报发送至相邻的对等设备或者其他设备。

在一些实施方式中，将被监控的数据记录在功能设备的存储器中。另一方面，系统包括至少一个处理器，被分配对记录在存储器中的数据包报头进行分析。在至少一个实施方式中，通过相同设备执行这些功能。在其他实施方式中，在通过有线或者无线方式耦接在一起的不同设备中保持这些功能。

在一些实施方式中，基于下列分析包报头：基于IP至IP端口操作元组确定在历史和统计相关期限内是否已经对IP网络执行特定操作；确定在历史和统计相关期限内的一周当中的特定小时内是否对IP网络执行特定操作；和/或确定在历史和统计相关期限内的一周当中的给定小时内对 IP网络执行的特定操作是否使用统计上不同的带宽量。

本公开的系统和方法的额外功能包括但不限于：动态开发路由器的网络流量地理空间和/或时间情景/模式以及配置管理，从而能够使异常行为监控、检测、以及消除定制化，而无需基于签名的IDS/APT管理；能够将观察的算法学习异常行为模式分发给对等/相邻的卫星位置/定位系统，以发起潜在网络威胁的协作监控和消除；并且能够确定给定设备/路由器/嵌入式系统、或者其集群中的异常行为模式，作为对跨管理环境中其他设备 /路由器/嵌入式系统的事件相关性引擎进行的预见性情形感知，从而自展其动态异常行为检测算法。

C.节点模式：配置管理

在至少一个实施方式中，多个地理认证使能路由器具有通过其被路由的IP数据包流量。因为这些是协作的地理认证使能路由器，所以路由器的位置是已知的。此外，数据包通过网络所花费的流量(端到端，即，从源节点至目的地节点)时间和其中IP包通过的路径也是已知的。通过该信息，路由器系统的配置管理是已知的。

在典型系统中，对数据包进行检查并且针对检查的包核查已知病毒和恶意软件的签名。然而，尽管这对于已知威胁非常有效，然而，未知威胁的签名是不知道，但对于这些情况，本公开的系统和方法是有帮助的。

剥离未知威胁的部分可包括监控网络中的高级持续性威胁(APT)。因为其低版本和缓慢的解决方法通常允许这种威胁成为噪音的一部分并且由此不能被检测，所以通常难以对其进行跟踪。该系统和方法可用于识别新的流量，这可用于识别是否应将事件分类成良好并且用于再训练基准，或者是否将事件分类成不良并且然后做出适当的动作(例如，对该事件进行标记和/或发送警报)。例如，系统可具有在相对较短的时间段内识别进入系统中的数据包的新流量的手段，但不能够识别一周中的两个脉冲 (ping)(例如，两个数据包)。因为中频声脉冲低于预定阈值，所以系统不能捕获到该声脉冲，但是，事实上，其仍可归于之后网络中发生的更为灾难性的事件。本公开的系统和方法用于识别这些类型的通常不可检测的异常行为。

APT适用于所有的网络结构，并且入侵检测更为适用于网络的边界。其实施例可以是查看边界的流入量中的数据包并且剥去电子邮件中的诸如zip文件等可疑附件的公司电子邮件系统。网络边界可包括位于网络边界的终端用户设备和/或路由器。因为边界处通常首先遭遇新的威胁，所以监控这些边界处的网络流量至关重要。再次，通过建立标称的基准，本公开的系统和方法可用于算法学习并且由此对经批准的行为偏差的基准进行再训练和/或对识别的威胁做出适当地反应。

D.异常行为的分发和情形感知

例如，在一些实施方式中，网络中的节点利用异常检测机构检测异常。因为节点是节点网络中的一部分并且具有对等节点或者其相对附近处与其交互的其他节点，所以可以假定还可影响其他节点。以此方式，前向节点可获知并且分发观察的异常行为给尾随节点。在至少一个实施方式中，融合中心可利用来自至少两个节点(可以是对等节点)的信息，来协助评估是否发生攻击，使得对等节点自身无需再对事件进行分类，因为其他节点可帮助分类。如果识别一个以上节点具有相似的模式，则归属可信度增强，从而允许对威胁做出更为良好的响应。在至少一个实施方式中，使用分发点分发关于异常行为或者异常行为模式的信息，以减少对尚未被攻击的节点的影响。在至少一个实施方式中，分发点采用网络策略服务器形式，网络策略服务器可基于这些新的攻击开发新的策略，并且将新的策略分发给网络中的节点的至少一部分。通过这种方法，网络可具有被监督、增强的机器学习机制。

学习异常行为花费时间，但是，随后，网络中的其他节点可利用该信息自展其动态异常行为检测算法而自身学习行为。在至少一个实施方式中，APT在试图找出网络漏洞时可尝试测试边界节点。系统可学习异常行为模式并且随后可开发复杂规则。例如，如果系统找出需要观察的特定模式(例如，一周中的两次脉冲(ping))，则在系统观察到该行为模式时，该系统可对该行为模式做出响应，以致使特定触发器做出响应。然后，可将该信息(即，对观察的特定行为模式的响应)分发给网络中的其他节点。以此方式，下游节点能够阻止攻击，而非仅检测行为模式并且随后对其做出响应。然而，在任何情况下，因为该系统感知到学习异常行为模式，所以该系统均能够保护其自身。

本公开通过使能这样的技术提供对安全监控基础设施系统(SMIS) 工具的增强，即，该技术包括将软件稳健地下载至室内环境中的网络节点的能力，该软件可用于以各种方式支持网络诸如，作节点行为监控传感器。智能代理下载允许网络节点能够确定其位置，从而提供额外的地理空间情景并且进一步允许根据需要对节点进行地理认证。

本公开具有五个主要特征。第一个特征涉及情景感知个性化模式。该特征涉及基于计算、通信、以及存储使用而动态开发针对终端用户/嵌入式设备的情景感知个性化模式，从而能够对异常行为监控、检测、以及消除进行定制化，而无需基于签名的入侵检测系统(IDS)/高级持续性威胁 (APT)管理。第二个特征涉及网络流量模式。该特征涉及动态开发针对路由器的网络流量的地理空间和时间情景/模式，从而能够对异常行为监控、检测、以及消除进行定制化，而无需基于签名的IDS/APT管理。第三个特征涉及配置管理。该特征涉及动态开发针对路由器以及其他相似设备的网络配置的地理空间和时间情景/模式，从而能够对异常行为监控、检测、以及消除进行定制化，而无需基于签名的IDS/APT管理。第四个特征涉及异常行为的分发。该特征涉及将观察的算法学习异常行为模式分发给对等 /相邻的使能网络定位系统，以发起潜在网络威胁的协作监控和消除。第五个特征涉及情形感知。该特征涉及确定给定设备/路由器/嵌入式系统、或者其集群中的异常行为模式，作为对跨管理环境中的其他设备/路由器/嵌入式系统的事件相关性引擎的预见性情形感知，从而自展(bootstrap)其动态异常行为检测算法。

图1是根据本公开的至少一个实施方式的对威胁检测进行情景感知型网络安全监控的本公开的系统1000的示意图。在该图中，示出了卫星1100 以卫星点波束1500将信号1600发送至地理定位硬件1300，地理定位硬件 1300包括接收信号1600并且具有地理定位功能以及认证功能的接收器(未示出)。应注意，在一些实施方式中，地理定位硬件1300和接收器(未示出)一起被容纳在单个单元中；并且在其他实施方式中，地理定位硬件 1300和接收器被容纳在通过有线或者无线方式连接在一起的两个独立单元中。

点波束1500可具有如该图所示的圆形区域，或者在其他实施方式中，点波束1500可以是具有不规则形状区域的点波束形状。系统1000中的卫星1100可采用各种类型的卫星和/或伪卫星。卫星1100可采用的卫星类型包括但不限于低地球轨道(LEO)卫星、中地球轨道(MEO)卫星、以及同步地球轨道(GEO)卫星。在一个或多个其他实施方式中，对于卫星1100，系统1000采用LEO铱卫星。因为该类型的卫星的传输信号足够强，以至于能够通过衰减环境而传播，包括，在室内传播，所以采用该类型的卫星比较有利。

可以在与用户相关联的设备1200(例如，蜂窝电话、个人数字助理 (PDA)、和/或个人计算机)中采用地理定位硬件1300；可以在与一个或者多个用户相关联的认证器设备(未示出)中实现地理定位硬件1300；和 /或可以在与用户相关联的网络部件(例如，计算机节点、互联网协议(IP) 节点、服务器、路由器、网关、Wi-Fi节点、网络节点、个人区域网(PAN) 节点、局域网(LAN)节点、广域网(WAN)节点、蓝牙节点、ZigBee 节点、微波存取全球互通(WiMAX)节点、第二代(2G)节点、第三代 (3G)节点、和/或第四代(4G)节点)中采用地理定位硬件1300。地理定位硬件1300包含使能芯片组并且具有处理、接收、发送(在一些实施方式中)、和/或存储功能，因此，在一些实施方式中，地理定位硬件1300 能够接收智能代理下载(也被称之为“智能代理”)并且将其存储到存储器中。地理定位硬件1300连接至有线和/或无线网络1700。在该图中，地理定位硬件1300被示出为连接至采用蜂窝塔1400作为中继器的无线网络 1700。应注意，与用户相关联的设备1200、认证器设备、和/或网络部件可以为静态和/或移动的。

在卫星1100将智能代理下载发送至地理定位硬件1300之前，系统 1000通过对与用户相关联的设备1200、认证器设备、和/或网络部件(例如，节点)的位置进行认证而对用户进行认证。系统1000可利用各种不同类型的认证系统和方法来对用户进行认证。在一个或多个实施方式中，系统1000利用基于点波束的认证系统和方法对用户进行认证。在这些实施方式中，对卫星1100，采用LEO铱卫星发送用于对用户进行认证的至少一个认证信号。下面在本公开的基于点波束的认证部分中展开关于基于点波束的认证系统和方法的细节讨论。此外，应注意，本公开的系统1000 可采用认证器设备(未示出)对从卫星1100发送的至少一个认证信号进行评估，而对用户进行认证。

在对用户进行认证之后，卫星1100将智能代理下载发送1600至地理定位硬件1300(或者在一个实施方式中，发送至接收器(未示出))。在一个或多个实施方式中，从卫星1100发送智能代理下载和至少一个认证信号。在可替代的实施方式中，从不同的卫星1100或者发送源发送智能代理下载和至少一个认证信号。此外，在一个或多个实施方式中，以同一频率发送智能代理下载和至少一个认证信号。在其他实施方式中，以不同频率发送智能代理下载和至少一个认证信号。

在地理定位硬件1300(或者接收器)接收智能代理下载之后，地理定位硬件1300将智能代理下载存储到其存储器中。智能代理下载包含关于与设备1200、认证器设备、或者网络部件(例如，节点)相关联的至少一个用户的初始基准行为模式(也被称之为“基准”)；关于与设备1200、认证器设备、或者网络部件(例如，节点)相关联的至少一个用户的更新行为模式(即，事件更新)；监控软件和/或安全监控基础设施系统(SMIS) 软件。

在将智能代理下载存储到存储器中之后，地理定位硬件1300中的至少一个处理器执行和/或处理智能代理下载。应注意，在可替代的实施方式中，代替由地理定位硬件1300中的处理器执行和/或处理智能代理下载，可以使用至少一个不同的处理器执行智能代理下载。该不同的处理器可以在与至少一个用户相关联(或者不与至少一个用户相关联)的各个设备或者部件中实现，包括但不限于蜂窝电话、个人数字助理(PDA)、个人计算机、计算机节点、IP节点、服务器、路由器、网关、Wi-Fi节点、网络节点、个人区域网(PAN)节点、局域网(LAN)节点、广域网(WAN) 节点、蓝牙节点、ZigBee节点、微波存取全球互通(WiMAX)节点、第二代(2G)无线节点、第三代(3G)无线节点、第四代(4G)无线节点、以及网络运行中心(NOC)。

此外，应注意，在一个或多个实施方式中，为了使处理器执行和/或处理智能代理下载，需要处理器利用专用的密钥、代码、和/或其他安全方法对智能代理下载软件进行启用并且执行智能代理下载软件。专用密钥、代码、和/或其他安全方法的使用使得包含智能代理下载的信号附近的“窃听者”不能够接收和解译被提供至与至少一个用户相关联的目标设备1200、认证器设备、或者网络部件(例如，节点)的智能代理下载。

如果智能代理下载包含监控软件和/或SMIS软件，则一旦执行智能代理下载，至少一个处理器将利用智能代理下载软件监控至少一个用户(与设备1200、认证器设备、或者网络部件(例如，节点)相关联)的各种类型的活动，以获得活动中任何可能的异常。由处理器监控的活动类型可包括但不局限于：监控与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)的使用(例如，监控用户对特定节点的使用)；监控与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)的位置(例如，经由如图19至图22中的描述所描述的基于点波束的认证可确定设备1200、认证器设备、或者网络部件的位置)；监控通过与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)的实际数据(例如，监控通过与用户相关联的特定节点的实际数据)；监控通过与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)的数据量；监控数据通过与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)的时间；监控数据通过与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)的日期；监控最初发送数据的起始源；并且监控发送数据的最终目的地。在处理器利用智能代理下载软件监控用户的各种类型的活动之后，至少一个处理器使用监控数据建立用户的行为模式，该行为模式与和该用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)有关。

至少一个处理器利用智能代理下载软件以评估监控的用户网络行为，从而确定是否发生异常行为。在一个或多个实施方式中，至少一个处理器利用智能代理下载软件比较用户的行为模式与用户的基准模式(即，基准行为模式)。应注意，处理器通过下列方式获得用户的基准模式：(1)从智能代理下载获得用户的基准模式；(2)通过利用智能代理下载软件初始监控用户的网络行为，并且随后利用监控数据建立用户的基准模式；(3) 从网络中的另一节点接收用户的基准模式；和/或(4)从网络运行中心 (NOC)接收用户的基准模式。还应注意，基准模式和/或行为模式(即，更新的行为模式)可包含一个或多个行为。然后，至少一个处理器确定用户的行为模式与用户的基准模式之间是否存在差异。当该差异超过基准阈值水平(例如，特定的预定和/或可编程活动阈值)、不超过基准阈值水平、满足至少一个标准、和/或不满足至少一个标准时，至少一个处理器对与该差异相关联的事件进行标记。在一个或多个实施方式中，至少一个标准与下列项有关：与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)的位置(例如，经由在图19至图22中的描述所描述的基于点波束的认证可确定设备1200、认证器设备、或者网络部件的位置)；通过与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)的数据类型；与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)接收数据的时间；与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)接收数据的日期；与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)发送数据的时间；与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)发送数据的日期；最初发送数据的起始源的位置；和/或发送数据的最终目的地源的位置。

在处理器对事件进行标记之后，处理器将该事件分类成事件类别。然后，与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点) 可利用该事件对与用户相关联的行为模式进行更新，和/或选择性地更新位于其上(即，位于与用户相关联的设备1200、认证器设备、或者网络部件 (例如，节点)上)的其他用户的一个或者多个或者全部行为模式。此外，可以使用该事件选择性地更新位于网络中的其他设备、认证器设备、或者网络部件(例如，其他节点)上的其他用户的一个或者多个或者全部行为模式。应注意，设备1200、其他设备、认证器设备、和/或网络部件(例如，节点)可具有存储在其上的一个或者多个行为模式。行为模式中的每个均与用户(可以是个人、一群人、或者实体)相关联或者与管理员(可以是个人、一群人、或者实体)相关联。可替代地，与管理员相关联的行为模式可以仅是不与人、一群人、或者实体相关联的模板行为模式)。

然后，和与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)相关联的至少一个发送器将事件发送至网络中至少另一个节点和/或网络运行中心(NOC)，至少另一个节点可包含其他用户的行为模式。然后，将事件更新发送至与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)。在与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)接收事件更新之后，至少一个处理器将利用事件更新对与设备1200、认证器设备、或者网络部件(例如，节点)相关联的用户的基准模式进行更新。与用户相关联的设备1200、认证器设备、或者网络部件(例如，节点)从智能代理下载、网络中的至少另一个节点、和 /或网络运行中心(NOC)接收事件更新。

在一个或多个实施方式中，一旦NOC接收事件更新(即，指示用户活动中存在异常)，则NOC将消息发送至智能代理下载以向智能代理下载软件警告异常。在智能代理下载接收该消息之后，智能代理下载触发执行特定任务，其中，特定任务可以是阻止地理定位硬件1300和/或与用户相关联的部件或者设备1200完整地运行在网络1700中或者在网络1700中运行。在其他实施方式中，在NOC接收事件更新之后，NOC并不将警报消息发送至智能代理下载，而是NOC触发执行特定任务，其中，特定任务可以是阻止地理定位硬件1300和/或与用户相关联的部件或者设备1200 完整地运行在网络1700中或者在网络1700中运行。

在其他实施方式中，代替NOC将消息发送至智能代理下载以向智能代理下载软件通知异常，NOC触发执行特定任务。特定任务可以是将异常记录在存储在存储器中的异常列表中、将消息发送至NOC的操作人员以从网络1700中移除与用户相关联的部件或者设备1200、和/或阻止地理定位硬件1300和/或与用户相关联的部件或者设备1200完整地运行或者运行在网络1700中。

图2是根据本公开的至少一个实施方式的对威胁检测进行情景感知型网络安全监控的本公开方法2000的流程图。在方法2000的开始2100处，至少一个处理器监控网络中与至少一个用户相关联的至少一个节点的行为，以生成2200用户的行为模式。然后，至少一个处理器比较2300至少一个用户的行为模式与用户的基准行为模式。至少一个处理器然后确定 2400至少一个用户的行为模式与用户的基准行为模式之间何时存在差异。然后，当该差异超过基准阈值水平、不超过基准阈值水平、满足至少一个标准、和/或不满足至少一个标准时，至少一个处理器对与该差异相关联的事件进行标记2500。至少一个处理器然后将事件分类成事件类别2600。然后，和与至少一个用户相关联的至少一个节点相关联的至少一个发送器将事件发送至网络中的至少另一个节点和/或网络运行中心2700。在发送器发送事件之后，方法2000结束2800。

图3是根据本公开的至少一个实施方式的由对威胁检测进行情景感知型网络安全监控的本公开的系统和方法所采用的安全监控基础设施系统(SMIS)的示意图3000。SMIS是将网络安全和网络监控数据聚合以提供完整的情形感知图片的工具。SMIS提供完整的、预整合的安全监控解决方案，其中包括网络传感器、数据采集、数据和事件存储、事故处理、以及报告生成。SMIS允许信息技术(IT)管理者监控其网络，以检测异常和攻击、隔离和分析威胁、并且启用手动和/或自动决策支持系统。图3 中所示出的SMIS设计架构由两个重要部件构成，即，电子取证数据采集器(FDC)3010和安全实用程序服务器(SUS)3020。如图3所示，SMIS 部署由多个FDC 3010构成，即，位于需要被监控的网络元件附近的网络传感器。FDC 3010主要基于商用现货(COTS)解决方案，诸如SNORT、入侵检测系统(IDS)、基于签名的检测和其他数据采集以及日志工具，诸如TCPDUMP和系统日志工具。通过FDC 3010采集的信息包括基于IDS 传感器的触发事件和IP包的报头、互联网协议版本4(IPv4)和互联网协议版本6(Ipv6)、以及在特定网络元件上传输的整个IP包。注意，由于给定FDC 3010内的数据存储限制，所以将可用存储器设置为具有可配置限制的圆环形缓冲器。因此，存档的整个IP包的数目存在限制。应注意，因为报头存档对于开发事务会话的情景至关重要，所以在其存档之前对报头进行压缩，以使可存储在给定FDC 3010内的报头数目最大化。由FDC 3010采集的信息通过SUS 3020检索，并且经由事件相关性引擎(ECE) 3030分析，事件相关性引擎(ECE)3030由算法异常和行为检测例程构成。当通过FDC 3010检测感兴趣的特定事件时，SUS 3020允许网络管理器设置警报标准和阈值。当触发生成通知/警报的给定条件时，SUS 3020 经由网络管理系统(NMS)3010将通知/警报指示给利用网络运行中心 (NOC)3050处基于HTTP的“瘦客户端”显示器的网络管理器。SMIS 至关重要的区别属性之一是其确定/检测异常行为并且用算法方式构建正常通信流情景的能力，该情景与基于时间的可配置变动窗口时间帧相关。

SMIS至关重要的优点之一在于异常行为检测的区域，因为其与静态签名/策略文件无关，而是针对特定设备的学习正常行为进行定制化的。 SUS 3020使用来自FDC 3010的报头构建包括事务会话或者“谈话”(如 SMIS定义的)的图片。SMIS根据配置设置和各个会话的状态在相关持续时间段内跟踪所识别的事务会话。SMIS基于IP数据包报头的源地址、目的地地址、源端口、以及目的地端口通过独特的元组空间定义事务会话。一旦识别事务会话或者“谈话”，则基于时间建立其统计学行为。最初，还显示该识别的事务会话，并且经由基于HTTP的“瘦客户端”将该识别的事务会话通知网络管理器，以用于情形感知。一旦该系统在正常条件下运行一定时间段，则SUS 3020建立希望在正常运行情景下发生的所有事务会话或者“谈话”的统计上重要并且时间相关的正常运行模式。

当将新设备或者应用添加到操作系统中时，一旦满足统计学重要性和 /或条件，则可识别这些新的事务会话；然后，将通知/警报提供给网络管理器，以用于更新的情形感知。如果网络管理器宣称对于新发现的事务会话或者现有一些会话的更新没有例外，则导致对情景的时间相关正常基准模式进行动态更新。当识别到新事务会话超出正常运行模式基准的统计约束之外时，生成通知和/或警报并且将其发送至网络管理器，以用于更新的情形感知，并且使能进一步分析的开始。一旦确定事务会话为导致网络威胁的异常行为，则发起消除步骤。

图4是根据本公开的至少一个实施方式的图3中的SMIS的功能的框图。如本领域中已知，网络安全监控是基于通过网络的实际数据包(例如，网络流量/包)20。SMIS提供查看该数据水平的两种方法。第一个是“获取包”工具22，其允许对通过传感器观察对所有数据包的先进先出(FIFO) 队列进行的原始访问。网络流量层20的第二种工具是“获取报头”工具 24，其构成SMIS系统中其他系统部件的基础。具体地，SMIS从计算机网络收集或者捕获IP包、从捕获的IP包剥离包报头数据、针对多次发生的类似的包报头数据查看剥离的包报头数据、并且针对被确定为多次发生的任何查看的包报头，例如将每个唯一的包报头的单个实例存储在数据库中。

更具体地，SMIS从每个包捕获完整的报头信息、使用计数器表示多个类似包的发生次数、并且将特定的报头信息插入到数据库中以用于显示、进一步处理和分析。SMIS仅允许捕获和存储完整的报头，从而降低盘空间需求并且消除包报头截断的风险。此外，SMIS仅存储类似包的单个副本加计数值，而非分别存储每个包报头。

参考图4，在SMIS中，网络流量经历“算法”26和“签名”28，以建立“事件”30，其是安全性分析的原始构建块。可基于顺序签名规则匹配在传感器中建立这些事件，例如，传统的入侵检测系统(IDS)就基于该技术并且已相当成熟，但是，还可基于以非顺序性方法处理包数据的算法建立事件并且将该事件放置到事件流中。

通过“日志查看器”工具32中的SMIS可以查看安全“事件”30。然后，使安全事件30通过“过滤器”34，“过滤器”34用于移除基于网络中熟知的基本条件的事件或者被视为正常活动并且由此不应用作安全警报的相关性或者升级的一部分的事件。

在对事件进行过滤和标准化之后，将其传递给中央存储库，从而将其升级为用于馈送至相关性引擎的“标准化过滤事件”36。“相关性”38是用于自动分组并且将“标准化过滤事件”36存储在“相关性实例”40中的一般规则或者算法。经由“升级器”42可随着一定时间存储并且跟踪这些“相关性实例”40，“升级器”42用于确定给定的相关性实例40是否应被升级到安全“分析家”44的关注。

例如，在“警报”46时，人类通过一条或者多条状态消息、来自网络管理软件的指示、以及获取警报过程而成为手动处理的一部分。问题报告 (PR)指示器用于指示外部问题报告系统如何连接至SMIS系统。此时，整个系统被构建成使网络和安全数据的大量处理自动化，以使得仅将最为重要的数据展示给用于人类调差的分析家。此时，人类分析家可获得对安全数据环境的各个单独层级的访问，以进行必要评估和分析，从而确定单一或者一组安全警报是否需要某种响应形式。

SMIS提供从警报46向下至相关性实例40的完成向下追踪、标准化过滤事件36、事件30、以及包报头和原包数据本身，所有来自单一点和点击环境中。SMIS还提供额外更高层次的安全数据处理。一旦分析家44 查看被馈送至升级的警报46和所有数据，则其可通过将评论放入与“警报46”自动相关联的“英特尔日志”48中将人类智能插入到该过程中(根据需要)。如果存在皆与同一基层问题有关的许多“警报”46，则SMIS 提供将多个英特尔日志条目(并且参考基础警报46、相关性38、标准化过滤事件36等)关联到被跟踪并且被报告的单一“问题日志”50的手段。最后，根据需要，SMIS基于“问题日志”50条目提供“事故日志”52的概念和工具，从而将该问题升级至正式的安全事故响应。

SMIS提供对被整合在同一环境中的安全数据金字塔的整个环境的完全访问，从而提供从每个其他层级对所有数据的简单点-击访问。

应注意，为了补充SMIS，智能代理下载可扩展其功能，这主要依赖于端口嗅探。添加下载的智能代理算法允许各个节点针对流入和流出节点的数据包监控其计算、存储、以及通信使用。这通过使系统允许对未知网络威胁进行快速事件关联而增强了SMIS基础设施，并且进一步经由网络分发学习到的异常行为，从而改善这些威胁的消除。

图5是根据本公开的至少一个实施方式的用于对由智能代理下载辅助的威胁检测(即，软件更新)进行情景感知型网络安全监控的本公开的系统5000的示意图。在该图中，存在具有位于从卫星5060辐射的给定点波束5050中的使能设备(例如，使能网络节点)5030、5040的多个用户5010、 5020。用户设备5030、5040包括预先已知的软件算法(例如，如果设备 5030、5040是蜂窝电话或者其他相似设备，当激活设备5030、5040时，可将软件安装在设备5030、5040上，或者在激活设备5030、5040之后，通过应用程序下载可将软件安装在设备5030、5040上)。当网络威胁不断演变时，设备5030、5040可继续接收软件更新，以对用于现有威胁和新出现的威胁的算法定制化。可经由从使能卫星5060上的发送源发送至使能设备5030、5040的智能代理下载接收这些软件更新，使能设备5030、 5040能够接收该下载、将下载存储在存储器中、并且执行该下载。使能设备5030、5040连接至有线和/或无线网络。在该图中，使能设备5030、5040 连接至采用蜂窝塔5070作为中继器的无线网络。

图6是根据本公开的至少一个实施方式的对威胁检测进行情景感知型网络安全监控的本公开方法6000的整体概况的流程图。在方法6000开始时，通过利用智能代理下载，为特定节点(例如，诸如计算机等设备)中的用户行为设定基准(即，建立节点中的用户的基准行为模式)6010。为了监控用户的行为偏差，定义了阈值、和/或标准，以帮助对适当的事件进行标记。在一个实施例中，网络策略服务器可定义阈值和/或标准，而在其他实施例中，更是通过本地管理阈值和/或标准，以确保基于特定用户对特定节点的正常使用对阈值和/或标准也适当地定制化。与基准的偏差被检测到并且被标记作为事件6020，并且然后，将偏差分类为良好/核准的事件 6030或者不良事件6040。例如，经核准的事件可以是员工(即，用户) 在其工作时间内于其桌上型计算机(即，用户的相关联节点)上查看本地新闻网站，当典型的使用显示在其午餐时间内访问同一网站的员工时。例如，不良事件可以是已经执行了来自电子邮件的恶意软件的事件，其通过非典型使用而被识别。如果证明事件为良好/核准，则可再训练6050该算法，以将该事件包括在一个或者多个节点的一个或者多个用户行为模式的基准中。如果该事件与不良相关联，则复杂规则处理器可帮助定义网络的适当响应6060。如果从统计学上看很可能是恶意软件，则这可包括将给定节点隔离。由于将不良事件进行分类并且易于理解，所以网络可额外地将异常行为模式分发给其他节点，以增加防止其他节点6070受感染的可能性。

图7是根据本公开的至少一个实施方式的对威胁检测进行情景感知型网络安全监控的本公开的系统的拓扑图7000，其中，该系统采用地理认证使能路由器7050、7060、7070。该图示出了将逻辑拓扑7020关联到网络的物理拓扑7030的网状物理架构7010。在该图中，逻辑拓扑7020与在网络内传输数据的方式有关。在这种情况下，经由多个地理认证使能路由器 7050、7060、7070以及设备(即，膝上型计算机)7080、7090通过网络 7030传输数据(即，IP数据包)。

物理拓扑7030与物理网络设计有关，并且在该应用中，物理拓扑7030 基于地球表面上或者附近的节点(即，路由器)7050、7060、7070。本公开的系统使用卫星7040和接收器以允许对使能网络节点(即，路由器) 7050、7060、7070的地理认证从对自身进行地理定位。(参考本公开的基于点波束的认证部分，以获得关于地理认证过程的细节描述)。然后，可再次将其物理位置映射至IP协议逻辑映射中，以帮助提高网络安全性。例如，通过NOC将通知直接发送至芯片组的入侵节点或者以隔离关注区域的方式将通知发送给网关节点，识别并且封锁诸如路由器7060等入侵网络节点7060。

此外，还已知流量(端到端)(即，数据包跨越网络花费的时间)和IP数据包通过的路径。通过该信息，可更好地理解路由器系统的配置管理。这具有包括理解是否发生网络攻击以及数据路由选择的若干潜在应用。

图8是根据本公开的至少一个实施方式的对威胁检测进行情景感知型网络安全监控的本公开的系统的示意图8000，其中，该系统采用网络策略服务器(NPS)8090。在至少一个实施方式中，与用户相关联的节点利用标准机器学习算法为其用户建立基准模式，该节点然后可以使用基准模式以帮助识别行为偏差。该节点然后利用异常检测机制检测某一行为不符合规范(即，在行为模式中，与基准模式的行为存在偏差)。如果该节点确实遭遇某种类型的网络攻击，则该节点可假定其附近的其他节点已经或者将遭受该同一事件的影响。该节点可对该事件进行标记并且将其传递至分发点，例如，策略服务器，然后，策略服务器可对该事件进行评估并且提供适当的响应。在至少一个实施方式中，在将事件提供至分发点之前，节点本身可对其自身进行评估。通过这种方法，一个节点可位于前沿上(例如，前向路由器在其他尾随路由器之前看到攻击)，并且通过系统可传播该信息。因此，前向路由器可经由分发点将异常行为通知给其他路由器，以使得各个独立的路由器其自身并不学习异常行为。

在该图中，网络攻击正在轰击四个节点8010、8020、8030、8040(即，一个用户设备8010和三个路由器8020、8030、8040)。这四个节点8010、 8020、8030、8040可交换信息或者将该信息报告给融合中心(例如，网络策略服务器(NPS))8090，其获得检测的异常并且帮助进一步定义事件，诸如，得出关于是否存在攻击的更多结论性决策。因为多个节点8010、 8020、8030、8040正在检测相似的异常行为，所以就统计学意义而言，可能发生了攻击。该融合中心/分发点8090则可利用该信息向其他下游本地节点8050、8060、8070、8080推出新策略，或者关闭而将策略推出整个网络外部。其他动作可包括对等组阻止威胁或者隔离威胁。

例如，在该实施例中，存在位于中间网络附近的对等节点组。在一些实施方式中，这可包括这样的用户节点，即，加入位于一个位置的网络但这些用户节点位于不同地理区域内(即，节点中的两个用户各自通过在位于加利福尼亚州南部的服务器上运行的虚拟私有网络(VPN)过程加入同一网络，其中，一个节点位于西雅图，而另一个节点位于圣何塞)，但是，从网络覆盖角度而言，用户/节点位于同一组内。如果节点中的一个检测出异常，则节点可将其标记为加利福尼亚州南部的分发点，然后，可将该信息中继给对等组中的另一个节点。

图9是根据本公开的至少一个实施方式的对威胁检测进行情景感知型网络安全监控的本公开的系统的示意图9000，示出了监控用户/节点行为的特征。在该实施方式中，节点已经建立了该节点用户的基准模式。检测到了异常(即，检测该行为与基准的偏差)。该系统必须确定该行为是否是不良的或者该行为在行为模式的正常偏移内(即，用户是否仅改变其使用某种事物的手段)。对该事件进行分类有助于确定该事件是消极或者中立/良好事件。这种考虑是基于情景的，诸如，在这种情况下，已知网络流量依赖于时间。例如，在其午餐时间在其设备(例如，桌上型计算机)上查看新闻网站的员工(即，用户)可以是基准事件，即，临时正常。其是有效的流量，即，对日期时间也是有条件的，即，用户的午餐时间。

在该图中，员工A的典型行为是接收电子邮件9010、打开电子邮件以阅读电子邮件9020、并且几分钟内发彼此送若干电子邮件9030。在该实施例中，员工A已经接收了带有病毒9040的电子邮件。当员工A打开电子邮件并且点击电子邮件9050内的附加链接时，员工A不知不觉地开始分发病毒。该链接可将包含病毒链接9060的批量电子邮件(在几分钟内彼此)立即发送给员工A地址簿中的每个人，从而向前传播病毒。该节点可能识别这是异常行为，因为通常员工A并不在关闭的时间帧内发送大量的电子邮件，但是，可能没有意识到其是不良事件还是员工A的行为是突然改变。同时，员工B接收包含相同病毒链接9070的电子邮件，并且发生相似的节点行为模式(即，当员工B打开电子邮件并且点击附加的病毒链接时，发送包含病毒链接的批量电子邮件，员工B不知不觉地开始传播病毒)9080、9090。因为在多台机器(即，多个节点)中发生这种情况的几率非常低，所以系统现在能够将该行为分类成不良事件。由于更多的机器(即，节点)识别了这些相同的行为，所以其快速明白这是网络攻击。

该系统能够对行为进行分类并且将其归属到不良行为。向后推断，可以确定由于用户点击病毒链接而传播病毒并且由此识别传送机制。在这种情况下，该系统可采取及时动作来隔离病毒、使电子邮件变慢、并且可额外地查看各个节点行为，以查看病毒是否已经传播到各个节点/通过各个节点。在一些实施方式中，可以自动或者部分自动完成此操作(例如，人在回路的过程中，其中，每个人均核查活动的取证并且使用该信息帮助保护其他节点)。在至少一个实施方式中，分发点可中继使节点通过其自身自我隔离而响应该攻击的新策略。

图10是根据本公开的至少一个实施方式的图3中的SMIS的功能的另一框图。图11是根据本公开的至少一个实施方式的图3中的SMIS的功能的框图11000，其示出了对至少一个检测异常行为的至少一个节点再训练(retrain)的特征。图12是根据本公开的至少一个实施方式的图3中的SMIS的功能的框图12000，其示出了经由网络管理实体对至少一个检测的异常行为的至少一个节点再训练的特征。应注意，图10是图11和图 12的组合，因此，下面仅详细描述图11和图12。图11和图12的描述适用于图10。

在图11中，已经发布警报1010。在一个实施例中，用户(即，用户 A)可从用户正在使用的节点(即，节点1)接收提示，以帮助将该事件分类成“良好”11030或者“不良”1020。如果用户(即，用户A)按照该提示将事件分类成“良好”11030，则该节点(即，节点1)将再训练该用户的该节点基准模式(即，模式A)，因此，在将来，节点已经了解该行为，并且用户不再需要系统识别其是正常事件的动作。如果用户按照提示将事件分类成“不良”，则同样再训练用户的节点基准模式(即，模式 A)。

然而，在这种情况下，系统还可更新同一节点(即，节点1)11040 中的其他用户(例如，用户B)模式(例如，模式B)和/或将其检测到的威胁通知给其他本地/对等节点(例如，节点4)11050。在图3中，节点1 与用户A相关联，并且其关联模式(即，模式A)可接收警报，并且该节点可将其分类成“不良”。然后，节点1将通过再训练第二用户(即，用户B)的基准模式(即，模式B)而做出响应。此外，节点111070可通过本地网络11060将该信息(相同信息)中继给本地/对等节点(例如，节点4)11050，因此，其可再训练用户的基准模式(例如，节点4再训练用户B的基准模式(即，模式B))。

图12示出了另一变形，其中，代替发出警报12010和向本地用户(即，用户A)12050提供提示，将警报发送给网络管理实体(NME)12020，例如，策略服务器。在NME 12020，在监控网络中的至少两个节点(例如，节点212030和节点312040)的过程中可获得额外的理解，以获得与在整个系统中传播威胁的方式有关的额外信息。由于NME 12020学习关于威胁的信息，所以其还可提供对正在服务的节点(例如，节点112050、节点212030、节点312040)和/或额外节点(未示出)的更新。在一个实施例中，NME 12020可经由某些陆地网络将上游节点(即，节点1)12050 识别的更新威胁签名发送至下游节点(例如，节点212030和节点3 12040)。在另一实施例中，NME 12020可发送用于再训练特定用户的基准模式或者多个模式、和/或更新威胁签名的信息。在至少一个实施方式中，通过利用如图13所示的使能节点下载的智能代理下载可完成这些更新(例如，经由卫星的铱星座)。

图13是根据本公开的至少一个实施方式的对由智能代理下载辅助的威胁检测进行情景感知型网络安全监控的本公开的系统的示意图13000，其中，该系统采用SMIS。例如，被监控的系统中存在三个用户(即，用户A、用户B、以及用户C)。用户A访问(即，定义的用户模式)两个节点(即，与用户A相关联的膝上型计算机13010和蜂窝电话)。用户B 访问三个节点(即，与用户B相关联的膝上型计算机和蜂窝电话、以及共享的实验室桌上型计算机)。用户C访问两个节点(即，蜂窝电话和与用户B访问的相同共享的实验室桌上型计算机)。

在一个实施例中，用户A的基准膝上型计算机模式获知用户A通常在太平洋标准时间(PST)上午8点至8:30之间登录膝上型计算机13010。用户A的模式还显示用户A使用谷歌浏览器(即，特定的网络浏览器) 查看本地新闻网站以及访问所有其他的网站，并且显示用户A还在登录时查看了其电子邮件并且回复各个电子邮件，通常，一封恢复电子邮件或者可替代地可能多封回复电子邮件不晚于传输(即，发送)之间预定时间X 回复。一个早晨，用户A在其正常的时间内登陆，并且继续查看其本地新闻网站。然而，当天，用户A使用IE浏览器，而非使用谷歌浏览器。这就是与用户A的基准模式的偏差，并且因此，将其标记为事件。

为简便起见，假定经由关于该事件的发生的提示向用户A通知相应的动作要求(即，关于该项的关联性的威胁等级可能超过了其阈值，使得可能以此方式设置的阈值允许此成为关注，但实际上并不是这样)。因此，当被提示时，用户A可将该事件分类成“良好”事件，用户A已知原因，并且可重新调整用户A模式的基准。

在可替代的实施例中，用户B已经在与用户C共享的节点上登录其个人电子邮箱账户。用户B打开包含可疑文件的电子邮件，并且在打开电子邮件时，没有认识到其动作的潜在影响。同时，恶意软件可执行文件开始起作用，并且能够将大量的电子邮件发送给用户B的本地联系人数据库中的每个，其中包括个人和工作方。在该实施例中，系统被设置成监控发送至节点并且从节点发送的数据包以及用户如何操作其电子邮件应用。由于系统被训练成获知用户B实际上不能在几秒钟内向十多个联系人单独发送各个电子邮件，所以系统将其识别为不符合用户B规范的事件。

在该实施例中，系统能够做出该区别而不需要提示用户，因为这种行为不符合任何可能的可操作规范(即，对于可根据当前事件的情形情景触发不同动作(例如，向用户提示该节点、向NME 13020发出警报、隔离节点等)，视具体情况而定)的事件，存在不同的阈值)。节点可向NME 13020发出警报，其中关于威胁的细节可以用于将有关威胁的更新经由智能代理13040(即，经由铱卫星13030将可执行的文件更新发送至节点) 发送至下游节点13050，以使得保护其远离威胁。此外，NME 13020可使节点隔离，或者节点自身能够识别该问题并且其自身自我隔离。

II.由智能代理下载辅助的网络拓扑

本文中所公开的方法和装置提供一种用于由智能代理下载辅助的网络拓扑的操作系统。具体地，该系统涉及根据需要将智能代理软件下载至使能系统和/或网络部件或者设备，以支持技术跟进和新出现的安全威胁。本公开的系统能够将智能代理软件下载到位于衰减环境(诸如，室内)中的部件或者设备。此外，本公开的系统可以结合各种不同的地理定位方法使用，以将设备物理地映射至典型的互联网协议(IP)架构，从而从物理位置上识别特定设备在何处正在访问给定网络(例如，可以使用设备的IP 地址识别设备的物理位置。与电话号码区域代码相似，设备的IP地址描述了设备的物理位置/区域)。智能代理软件用于监控各种不同类型的网络行为，以识别异常网络活动，其可能指示不合法和/或未经授权的请求方正在操作网络。

当前，随着日常业务和社交任务中的电子系统的逐渐深入，网络安全变得越来越重要。许多之前管理的业务过程已经扩展至在线电子数据处理，从而使得在线信息和计算安全高级技术已经称为必要的需求，以保护这些日常使用的系统。重要文档和使用从社交安全号码至国家基础设施相关信息的信息的其他数据被存储在网络系统中，如果未经授权方访问重要文档和其他数据，其将产生不同程度的社会影响，从令人厌烦至灾难性的社会基础设施损坏等。在增加电子系统的可靠性同时，国家还看到了恐怖主义和计算机黑客的大幅增多；从而要求社会致力于改善用于保护我们的网络计算机系统的方法。

网络(cyber，计算机)攻击和网络渗透变得越来越普遍。这些频繁发生的事情将对因商用和军事环境中的外部威胁而产生的网络渗透的危险的讨论提上议程。当前的访问控制方法主要基于静态密码或者基于使用密码的认证以及基于公钥基础设施(PKI)的智能徽章凭证。由于通常通过模仿终端用户而实施系统攻击，所以具有使组织集中于用户认证方法来减少网络数据拦截网络漏洞的趋势。这些解决方法仍易于遭受复杂的攻击，并且由此，需要开发一种新的访问控制范例，其通过添加地理空间位置/ 情景(诸如用户位置和用户情景)以提供额外的和正交的保护层向正常三维(你知道什么、你具有什么、以及你是谁)认证补充了额外尺度/信息，这提供了位置与对从完整的物理地理位置至逻辑网络和信息管理视图的映射的情景感知之间的增强关联性。

而且，事实在于通常以匿名形式掩盖了现有网络攻击，这种事实已经产生了额外的关注问题。通常，发起人试图防止较大的攻击，从而做出较小的入侵/攻击以更好地理解将来开发系统的漏洞，并且为之后更大破坏性的攻击奠定基础。至今，许多大规模的网络攻击不但使攻击的接收方从遗留下的损坏仍能够恢复，而且接收方还不能够通过反击或者其他方式阻止任何进一步的损坏，从而对攻击发起人没有清晰的跟踪能力并且由此通常缺少做出响应的权力。如果不清楚攻击目的，则接收方弄明白攻击是否仅是故意破坏行为、有目的的偷窃、或者威胁国家安全的更加恶意的方法更是不可能的。因此，有助于拒绝流氓用户访问网络和/或提供可跟踪的数据、以有助于识别发起人的任何系统将具有减少和消除拒绝服务(oS)以及网络数据截取攻击的极大实用性。

本公开整体上涉及从计算机和/或网络安全获益的网络系统。更具体地，本公开的系统通过使用经由认证的点波束传输下载的智能代理，来改善信息和系统/网络管理和安全性。

本公开具有两个主要特征。第一个特征是使用智能代理软件，可通过本公开的系统架构(即，经由LEO卫星下行链路，其提供更强的信号和改善的信号结构)下载智能代理软件。不同于LEO卫星下行链路，关于下行链路的现有方法不足够稳健，以致于不允许室内网络设备稳定地接收软件更新。而且，使用基于点波束的认证方法来识别精确的点波束，其中发送特定的智能代理软件以将其下载至正确的使能接收设备中。不同于附近的其他设备，目标设备可利用这些认证方法打开并且提取可执行的软件。目标用户可进一步验证下载的完整性。

本公开的第二个特征是使用地理定位设备将网络设备物理地映射至典型的IP架构，IP架构根据物理位置方面(例如，使用设备的电话号码和/或互联网协议(IP)号来定位设备的特定位置/区域)识别特定设备从何处访问给定网络。此外，可以使用下载的智能代理监控和管理各个用户和网络。可以使用捕获的数据和趋势创建网络行为模型。可以使用模型和现有/潜在威胁，来开发防御和进攻措施，其由所使用的智能代理或者其他可用的系统节点软件和/或硬件管理，以提高网络安全性。该特征提供用于改善、跟踪、以及监控系统中的用户和/或设备的新信息管理视角。

A.智能代理相关实施方式

在一个或多个实施方式中，智能代理可使用各种类型的认证方法对相邻的网络节点、数据包等进行认证。下面在本公开的基于点波束的认证部分中详细描述了各种不同类型的认证方法。

在至少一个实施方式中，智能代理可管理网络中的或进入网络的流量。例如，智能代理可用于使最接近于潜在问题区域的流量变慢，诸如，网络设备看上去被入侵或者已经识别到恶意软件。例如，智能代理可被设置为对每个潜在威胁采取特定动作并且例如可被配置为停止或者重新路由流量，以使对整个系统的影响最小化或者完全地阻止威胁。智能代理可被配置为监控能够识别可能威胁的密钥度量。例如，通过数据延迟度量中的尖波可识别中间攻击方。一旦被识别，则系统中的智能代理可根据需要重新路由数据。重要数据和/或用户可调整为具有增加的优先级作，以使得 DoS攻击对这些至关重要的用户具有较少的影响。对于这些情况，至关重要的数据/用户将被推至队列前面，以使得攻击影响最小化。

在一些实施方式中，智能代理可执行利用点波束认证方法的用户访问特权或者执行被实施为提高网络安全性的其他策略。

在一个或多个实施方式中，智能代理允许灵活的网络和系统管理，如根据需要可以将额外的软件、修改、或者更新加载到路由器或者其他类型的系统节点中。这可包括对软件定期更新或者更多目标更新，以处理新的威胁。还可完成对可访问系统的软件修改/更新等；尽管本公开主要集中于计算机网络管理和安全，然而，显而易见的是，可出于各种原因根据需要加载软件。例如，使用为诸如汽车、火车、或者飞机等交通工具定制化的系统，该系统可用于完成所需的软件更新，而之前在现有架构下不能完成所需的软件更新。

在至少一个实施方式中，随着技术的发展，可以使用智能代理更好地提高系统的准确度。例如，可以对智能代理进行更新，以有助于系统接受与新研发的基础设施相关联的额外不同修正。经由星座下行链路/下载对智能代理的更新可允许系统更新为最新/最佳可用的技术。

B.网络拓扑映射相关实施方式

在一个或多个实施方式中，可以使用智能代理捕获数据以及用于建立和/或改善网络行为模型的趋势。可以使用模型和现有/潜在的威胁开发防御和进攻措施，其通过使用智能代理或者其他可用系统节点软件和/或硬件来管理从而改善网络安全性。

图14是根据本公开的至少一个实施方式的用于由智能代理下载辅助的网络拓扑的公开系统100的示意图。在该图中，卫星110被示出为以卫星点波束150将信号160发送至地理定位硬件130，地理定位硬件130具有地理地位功能以及认证功能。如该图所示，点波束150可具有圆形区域 (footprint)，或者在其他实施方式中，点波束150可以是具有不规则形状区域的点波束形状。对于系统100中的卫星110，可采用各种类型的卫星和/或伪卫星。针对卫星110可采用的卫星类型包括但不限于，低地球轨道 (LEO)卫星、中地球轨道(MEO)卫星、以及同步地球轨道(GEO)卫星。在一个或多个实施方式中，系统100针对卫星110采用LEO铱卫星。因为该类型卫星的传输信号足够强大，以至于能够通过衰减环境而传播，包括在室内传播，所以采用这种类型的卫星是有利的。

地理定位硬件130可以用在与请求方(例如，蜂窝电话、个人数字助理(PDA)、和/或个人计算机)相关联的设备120中；可以在与一个或者多个请求方相关联的认证器设备(未示出)中实现；和/或可以用在与请求方(例如，计算机节点、互联网协议(IP)节点、服务器、路由器、网关、 Wi-Fi节点、网络节点、个人区域网(PAN)节点、局域网(LAN)节点、广域网(WAN)节点、蓝牙节点、ZigBee节点、微波存取全球互通(WiMAX) 节点、第二代(2G)节点、第三代(3G)无线节点、和/或第四代(4个) 无线节点)相关联的网络部件中。地理定位硬件130包含使能芯片组，并且具有处理、接收、发送(在一些实施方式中)以及存储功能，因此，地理定位硬件130能够接收智能代理下载并且将其存储到存储器中。地理定位硬件130连接至有线和/或无线网络170。在该图中，地理定位硬件130 被示出为连接至采用蜂窝塔140作为中继器的无线网络170。应注意，请求方可以是用户和/或实体并且可以是静态和/或移动的。

在卫星110将智能代理下载发送至地理定位硬件130之前，通过系统 100对请求方进行认证。系统100可以使用各种不同类型的认证系统和方法对请求方进行认证。在一个或多个实施方式中，系统100使用基于点波束的认证系统和方法对请求方进行认证。在这些实施方式中，对卫星110 采用LEO铱卫星来发送用于对请求方进行认证的至少一个认证信号。下面在本公开的基于点波束的认证部分中展示了关于基于点波束的认证系统和方法的细节讨论。此外，应注意，本公开的系统100可采用认证器设备(未示出)评估从卫星110发送的至少一个认证信号，来对请求方进行认证。

在对请求方进行认证之后，卫星110将智能代理下载发送(160)至地理定位硬件130。在一个或多个实施方式中，智能代理下载和至少一个认证信号均从卫星110发送。在可替代的实施方式中，智能代理下载和至少一个认证信号从不同的卫星110或者发送源发送。此外，在一个或多个实施方式中，智能代理下载和至少一个认证信号以同一频率发送。在其他实施方式中，智能代理下载和至少一个认证信号以不同频率发送。

在地理定位硬件130接收智能代理下载之后，地理定位硬件130将智能代理下载存储到其存储器中。在将智能代理下载存储到存储器中之后，地理定位硬件130中的处理器执行智能代理下载。应注意，在可替代的实施方式中，代替由地理定位硬件130中的处理器执行智能代理下载，可使用不同的处理器执行智能代理下载。该不同的处理器可以在与请求方相关联的各种设备或者部件中实现，各种设备或者部件包括但不限于蜂窝电话、个人数字助理(PDA)、个人计算机、计算机节点、IP节点、服务器、路由器、网关、Wi-Fi节点、网络节点、个人区域网(PAN)节点、局域网(LAN)节点、广域网(WAN)节点、蓝牙节点、ZigBee节点、微波存取全球互通(WiMAX)节点、第二代(2G)无线节点、第三代(3G) 无线节点、以及第四代(4G)无线节点。

此外，还应注意，为了使处理器执行智能代理下载，在一个或多个实施方式中，处理器可能需要使用特定的密钥、代码、和/或其他安全手段来开启智能代理下载软件并且执行智能代理下载软件。使用特定的密钥、代码、和/或其他安全手段使得包含智能代理下载的信号附近的“切听者”不能接收和解译被提供给目标设备120的智能代理下载。

一旦执行智能代理下载，智能代理下载则监控各种类型的网络活动，以获得活动中的任何可能异常。由智能代理下载监控的网络活动类型可包括但不限于：监控与请求方相关联的设备120或者部件的使用(例如，监控特定节点的使用)；监控与请求方相关联的设备或者部件的位置；监控操作网络170的用户；监控通过网络170的实际数据(例如，监控通过特定节点的实际数据)；并且监控通过网络170的数据数量。智能代理下载评估监控的网络行为，以确定是否发生异常。为了确定是否发生异常，可将特定的预定和/或可编程活动阈值作为智能代理下载的指南。一旦智能代理下载确定已经超过活动阈值并且由此已经发生行为异常，智能代理下载则触发被执行的特定任务。特定任务可以是将网络行为异常消息发送至网络运行中心(NOC)(未示出)、和/或阻止地理定位硬件130和/或与请求方相关联的部件或者设备120完整地运行或者在网络170中运行。

在可替代的实施方式中，代替智能代理下载评估所监控的网络行为以确定是否发生异常，在智能代理下载已获取监控的网络活动之后，通过发送源将监控的网络活动发送至NOC，以使NOC评估网络行为，从而确定活动中是否发生异常。可以使用NOC中的处理器评估监控的网络活动，并且确定是否发生异常。一旦NOC中的处理器确定活动中发生异常，则 NOC将消息发送至智能代理下载以警告智能代理下载软件发生异常。在智能代理下载接收该消息之后，智能代理下载则触发执行特定任务，其中，特定任务可以是阻止地理定位硬件130和/或与请求方相关联的部件或者设备120在网络170中完整地运行或者运行。在其他实施方式中，一旦 NOC中的处理器确定活动中发生异常，则NOC不将警报消息发送至智能代理下载，而是NOC触发执行特定任务，其中，特定任务可以是阻止地理定位硬件130和/或与请求方相关联的部件或者设备120在网络170中完整地运行或者运行。

在其他实施方式中，代替NOC消息发送至智能代理下载以将异常通知给智能代理下载软件，NOC触发执行特定任务。特定任务可以是将异常记录在存储在存储器中的异常列表；将消息发送至NOC的操作人员，以从网络170中移除与该请求方相关联的部件或者设备120；和/或阻止地理定位硬件130和/或与请求方相关联的部件或者设备120完整地运行或者在网络170中运行。

图15是根据本公开的至少一个实施方式的由智能代理下载辅助的网络拓扑的公开方法的流程图200。在方法的开始(210)时，使用认证器设备对请求方进行认证(220)。在对请求方进行认证之后，发送源将智能代理下载发送至与请求方相关联的接收源(230)。接收源然后接收智能代理下载(240)。在接收源接收智能代理下载之后，处理器执行智能代理下载 (250)。一旦执行智能代理下载，则智能代理下载软件监控网络行为 (260)，然后，方法结束(270)。

图16是示出了根据本公开的至少一个实施方式的用于监控网络行为的网络运行中心(NOC)350的示意图300。在该图中，多个网络节点330、 340被示出为经由有线和/或无线网络而连接。网络节点330中的一些用作用于通过网络路由数据的集线器(例如，节点B)。此外，网络节点330 中的一些被示出为具有相关联的授权和/或合法请求方310，并且一个节点 340被示出为具有未经授权和/或不合法的请求方320。智能代理下载被下载至网络节点330、340并且被执行以监控网络活动。在一个或多个实施方式中，监控的网络活动经由蜂窝塔360通过无线方式发送至NOC 350 以被进行评估。

根据至少一个实施方式，可以使用智能代理下载软件，来开发各个用户(或者请求方)行为模式，从而建立用户基准参数和趋势。通过了解用户的可接受正常条件，可更快地识别和断定落在适当阈值之外的参数，这可能由入侵硬件和/或恶意软件导致的。同样，可对大量的各个用户行为模式及其互连进行查看，以开发可接受的网络行为标准模式，这可用于对中间攻击方做出更好的反应。根据至少一个实施方式，可以使用智能代理管理网络中的或进入网络的流量。

如图16所示，诱骗设备320试图通过入侵的节点430在节点A 340 访问网络。通过各种装置(例如，基于点波束的认证系统和方法以及智能代理下载监控软件)，可以识别入侵的节点340。一旦被识别，则可以使用与节点340相关联的地理定位启用硬件(图16中未示出)执行多个任务，诸如，使最接近于潜在问题区域的流量变慢，以使网络风险最小化；重新路由网络流量或者在节点B 330阻止网络流量，以隔离诱骗装置320，以使得其不能够进一步危害网络或者一起阻止威胁。智能代理下载软件可被配置为监控可识别这些可能的威胁以及其他威胁(诸如，中间攻击方等) 的密钥度量。例如，通过数据延迟度量中的尖波可以识别中间攻击方。一旦被识别，系统中的智能代理可根据需要重新路由数据。可以将重要的数据和/或用户调整为具有增加的优先级，以使得拒绝服务(DoS)攻击对这些至关重要的用户产生较少的影响。至关重要的数据/或用户被推至队列前面，以使攻击影响最小化。

应注意，通过使用智能代理下载软件，该软件可监控并且跟踪网络流量的重要互联网骨干/主干路线。互联网路由器通过网络执行聚合网络流量转发和路由。这些转发和路由路径易于受试图访问网络的流氓用户的操纵。通过智能代理下载软件可实时并且随后离线分析网络流量，以识别可能的拒绝服务(DoS)攻击。

在一个或多个实施方式中，为了有利于减少潜在的风险，本公开的系统可对相邻的路由器(即，点对点路由器)进行补充，以对转发给彼此的网络流量进行分类，并且针对各个网络流量类别评估数据延迟特征。这些路由器可通过交换和验证彼此供应的地理位置数据而对彼此进行认证。这些路由器可通过各种方式获得其地理位置数据，包括但不限于利用全球定位系统(GPS)信号和利用基于点波束的认证系统和方法。应注意，尽管由于诸如改变服务质量(QoS)规定策略和与各种网络流量类别相关联的带宽实际量等因素，所有的网络流量并不经历相同的数据延迟特征，然而，可基于动态改变窗口计算数据延迟特征，该动态改变窗口考虑到改变的流量模式并去适应于该改变的流量模式，该改变的流量模式基于诸如骨干/ 主干网络基础设施中的日间模式和潜在故障等因素。

当从互联网网络基础设施添加或者移除路由器时，这引起网络拓扑的更新和由诸如OSPF或BGP等链路状态协议驱动的包转发路径的变化。由白天的流量模式引起的网络流量模式的转变逐渐更新网络拓扑，并且包转发路径的变化更快地更新网络拓扑。网络拓扑和包转发路径的变化经由网络管理事件和链路状态协议通过互联网网络基础设施传播，因此，当发生这种变化时，每个路由器均感知到离散事件，并且可相应地将其纳入诸如数据延迟等各个评估过程中。在互联网网络基础设施正常运行的情况下，人们不会预料到路由器之间转发和路由路径的巨大变化。因此，如果相邻点对点路由器的智能代理下载检测到针对一个或者多个网络流量类别在两个路由器之间的网络流量特征偏差位于基准可接受范围外，则智能代理下载可向网络管理实体触发警报，并且还通过控制特定类别的网络流量的比率，或者在极端情况下，通过完全终止或者经由可替代的路径重新路由流量，来用作限制潜在不利影响的自主机构。

还可采用监控和管理相邻的点对点路由器之间的网络流量的这种协同机构，来确保在DoS攻击时允许重要的网络流量利用DoS优先级跨越网络。在这种情况下，可在出口路由器处控制被视为流量形状特征规范之外的网络流量类别的比率。比率控制包括通过允许最重要的网络流量通过和不允许被视为规范之外的网络流量通过，而迫使被监控的网络流量的比率位于特定阈值比率以下。可以使用该控制确保DoS攻击并不进一步通过网络传播，同时允许重要网络流量通过网络。监控、检测、以及得出结论的警报和通知机构可采用复杂事件处理(CEP)和分析，诸如，对检测的异常和关联性的因果链分析，以识别数据流量流特征和策略驱动自动网络管理决策和/或动作。这种解决方法可补充各个路由器中的下载目标智能代理软件的使用，反之，其可与后方的NOC 350或者网络管理实体相接，以根据需要提取额外的执行文件。

图17是示出了根据本公开的至少一个实施方式的网络行为的异常 440检测的图示400。具体地，示出了从用于监控通过特定节点的网络流量的智能代理下载收集的数据的示例性图示。在该图中，x轴描述了通过特定节点410的网络流量的体积量，并且y轴示出了时间段420。在时间零(0)至时间T，节点的流量活动水平保持与节点430 的正常流量活动水平接近。然而，在时间T，节点的流量活动上升至明显更高的水平。从时间T开始，针对该节点的节点流量活动水平被示出为比正常节点流量活动水平高许多，因此，通过分析该数据，智能代理下载确定该节点中发生节点异常440(例如，发生节点攻击)。

图18是示出了根据本公开的至少一个实施方式的将逻辑拓扑510关联至网络中的物理拓扑520的示例性网状物理架构500的示意图。从两个视图而言，将物理和逻辑视图以及可见性整合到网络行为模型中，以能够使智能代理下载更准确并且鲁棒地跟踪和追溯特定事件和行为，并且根据观察进一步确定异常事件的来源。后端NOC或者网络管理实体可使用通过协同启用的计算设备和路由器而中继的监控信息来构造行为模型，其允许对网络防御和进攻目的的通信和计算进行定制化。

在该图中，逻辑拓扑510与在网络内传输数据的方式有关。在这种情况下，经由IP路由并且通过使用中继卫星580来通过网络570传输数据。物理拓扑520涉及物理网络设计，并且在本申请中，物理拓扑520基于地球表面上或者附近的节点位置。本公开的系统使用卫星530和接收器以允许网络节点对自身进行地理定位。然后，可将其物理位置映射至IP协议逻辑映射，以帮助提高网络安全性。例如，通过将通知直接发送至入侵节点的芯片组或者以隔离关注区域的方式将通知发送至网关节点，NOC可识别并且封锁560诸如路由器550等入侵网络节点540

III.基于点波束的认证

实体或者用户认证技术能够使第三方验证器通过单向认证方法使远程资源证实用户标识、资产、或者设备(例如，请求方)。然而，应注意，主机系统还可直接使用该单向方法使请求方有效。实体可以是需要被跟踪的设备(例如，移动电话、计算机、服务器等)或者资产，而用户可以是人或者其他有生命/无生命的实体。在整个连接或者会话过程中可以对实体和/或用户进行认证。实体和/或用户可在初始认证之后要求重新认证。重新认证需求可由主机网络限定并且可以是情景专用的。可替代地，该系统可用于需要对每条消息进行单独认证过程的基于消息的认证系统。本文中所描述的技术可用于基于会话的认证、基于消息的认证、或者其组合。

此外，该方法可应用于接收设备自身，以使得单向认证无需通过远程第三方完成，而是通过一个或者多个接收设备完成。当通过单个设备执行该方法时，其仍被视为单向认证方法。然而，该方法还可应用在多向认证技术中，以允许至少两个对等设备对彼此进行认证。在这种单向或者多向设备对设备的认证方法中，认证可总体上依赖于两个合法接收设备中的每个各自获知并且任何未经授权或者流氓接收设备不知道的共享秘密(对称和不对称)。每个设备均可具有诸如在其自身与对等设备之间分享的密码或者安全证书形式的公共/私有密钥对等唯一的认证凭证。当一设备证明满足对等设备，当设备证明其获知共享秘密并且由此合法时，该设备已经对其自身进行了验证。一旦通过多向认证方法完成至少两个设备之间的认证，则设备已经向彼此证明了其身份。设备则可创建其自身认证网络，在该网络中，可以选择实施经同意的网络安全策略，以保护针对给定内容的网络资源的通信和访问。

现有认证方法可以被使用或者被组合，以生成初始安全密钥。初始安全密钥例如可以使用Diffie-Hellman技术协作生成，或者仅通过一个对等设备生成并且经由可替代的安全渠道/过程将其发送至另一个对等设备。

在任何情况下，伴随有初始安全密钥可包括一些共享的活跃度信息 (如上所限定)。在该应用中，活跃度信息由卫星点波束提供并且可包括在认证时作为时间戳和伪随机数(PRN)使用的参数。

共享活跃度信息的用途可以用在推导中，其允许每次发起设备向对等设备认证其自身时使用不同的安全密钥。这就阻碍了潜在的流氓窃听者在每次对发起设备进行认证时发起统计攻击，将新截取的消息添加到其在发起设备之前会话过程中截取的消息的分析中。然后，可将活跃度信息和初始安全密钥作为输入传递给确定性函数。如本文中使用的，术语“确定性”指函数的输出完全由输入确定的函数。该确定性函数可以单独地运行在发起设备或者对等设备上。如果这两种设备在其运行确定性函数时产生不同的输出，则从该函数导出的安全密钥将不匹配，不能对该设备进行认证，并且由此不能用于相互通信。

除了确定性之外，为安全起见，该函数是固有不可逆的。了解该函数的输出之后，确定其输入是非常困难的或者不可能的。散列构成具有确定性和性质上不可逆的一类函数，并且由此通常用于加密和认证计算。熟知的传输层安全(TLS)协议中使用的伪随机函数(PRF)是可以使用的确定性函数实施方式的实施例。

PRF将两个熟知的散列函数(消息摘要算法5(MD5)以及安全散列算法1(SHA-1))的结果组合。正如在某人确定如何倒转两个散列函数中的一个的情况，PRF使用两个散列函数来保护安全性。这两个散列函数产生过短而不是安全性的最佳值的输出。SHA-1产生20字节输出，并且MD5 产生16字节输出。因此，对于两个散列函数中的每个，可以定义使用散列函数以产生任意长度的输出的“数据扩展函数”。对于SHA-1，可将数据扩展函数定义为P_SHA-1：

EQ 1:P_SHA-1(初始-安全密钥，活跃度)＝SHA-1(初始-安全密钥, A(1)+活跃度)+SHA-1(初始-安全密钥,A(2)+活跃度)+SHA-1(初始-安全密钥,A(3)+活跃度)+…

其中A(0)＝活跃度；

A(i)＝SHA-1(初始-安全密钥,A(i-1))；

并且“+”符号标识字符串串联。

数据扩展函数P_MD5的定义与上述无论其何时出现时以“MD5”取代“SHA-1”的定义相似。可根据需要在许多步骤中迭代数据扩展函数，以生成理想长度的输出。可将理想的输出长度设置为实施方式的选项。在至少一个实施方式中，对于每个散列函数，理想的输出长度均为128字节。 P_SHA-1可被迭代至A(7)而获得140字节的总输出长度(每次迭加均增加20字节输出长度)。然后，可将输出截断至128字节。P_MD5的每次迭代均产生16字节，因此，将其迭代至A(8)而产生理想的128字节，而无需截断。

在用于基于点波束认证的一个实施方式中，已经选择了散列函数并且将其数据扩展函数迭代至理想的输出长度，PRF将扩展的初始安全密钥、标签(预定的ASCII字符串)、以及交换的活跃度信息作为输入。PFR被定义成两个散列数据扩展函数P_MD5和P_SHA-1的输出的逐位排他性 OR(XOR)：

EQ:2PRF(经扩展的初始-安全密钥，标签，活跃度)＝P_MD5(S1, 标签+活跃度)XOR P_SHA-1(S2,标签+活跃度)

其中，S1是扩展的初始-安全密钥的第一半，以字节进行测量，并且 S2是扩展的初始-安全密钥的第二半。(如果扩展的初始-安全密钥的长度是奇数，则其中间字节既是S1的最后字节，又是S2的第一字节)。由于将P_MD5和P_SHA-1迭代以生成128字节输出，所以PRF的输出也是 128字节。

将PRF的128字节输出分割成四个32字节会话安全密钥。然后，将每个会话安全密钥截断成所使用的认证和加密协议所需要的长度。截断结果是瞬时会话安全密钥的新集合中的一个。瞬时会话安全密钥的偏差使发起设备和对等设备不能直接使用初始-密钥或者扩展的初始-安全密钥，以使安全密钥信息的泄露最小化或者至少降低安全密钥信息的泄露。瞬时会话安全密钥的偏差还允许发起设备和对等设备以规则的间隔恢复从扩展的初始安全密钥得出的会话安全密钥，或者在被命令防止统计分析时限制会话安全密钥的使用。

认证和加密瞬时会话安全密钥中的每个均具有下列特殊的用途：i)为保密起见，将加密数据从发起设备交换至对等设备；ii)为保密起见，将加密数据从对等设备交换至发起设备；iii)为完整性起见，从发起设备将签名数据交换至对等设备；并且iv)为完整性起见，将签名数据从对等设备交换至发起设备。

基于点波束的认证的初始-安全密钥的偏差可使用利用经协定的和熟知的公共原始根生成器“g”和素数模数“p”的Diffie-Hellman技术。发起设备和对等设备各自选择随机的密钥整数并且交换其相应的((g^(密钥整数))模数p)。该交换允许发起设备和对等设备利用Diffie-Hellman得出共享的初始-密钥。

例如，在使用P_SHA-1得出发起设备与对等设备之间共享的初始-密钥之后，可以使用数据扩展得出扩展的初始-密钥。关于数据扩展过程的活跃信息可以是经发起设备与对等设备同意的已知随机值或者时间戳。在一些实施方式中，对等设备可选择随机值并且经由卫星或者陆地网络将其发送给发起设备。可替代地，发起设备与对等设备可就时间戳达成一致，因为他们在时间上严格同步，并且由此在能够从共享/公共时间戳值中选择活跃时避免数据交换。

之后，发起设备和对等设备具有共享扩展的初始-密钥，其可用于得出瞬时会话安全密钥的新集合。再次，对于活跃度(liveness)，发起设备和对等设备可使用由对等设备发送的共享随机值或者共享/共同的时间戳值。发起设备和对等设备可使用瞬时会话安全密钥，以用于对发起设备与对等设备之间的地理位置和其他情景信息交换进行进一步加密和签名。地理位置和其他情景信息被视为保密并且由此对该信息进行加密以确保仅经认证的发起设备和对等设备可提取交换的地理位置和情景信息是适合的。应注意，通过在使用伪随机(PRN)代码段和不同波束参数的本专利申请中描述的过程对地理位置进行认证。共享的情景信息可包括关于目标网络防御应用程序执行或者决策支持系统的其他状态或者控制信息。除加密之外，通过利用用于上面所述签名用途的瞬时会话安全密钥确保交换地理位置和情景信息的完整性。

简要概述，在一些实施方式中，本文中所描述的认证系统和方法可补充地理定位技术以确定请求方的位置(作为认证过程的一部分)。在题为“补充点波束迭加的地理定位”的共同转让和未决的美国专利申请号 12/756961中定义了一个这种地理定位技术，通过引用将其全部内容结合在此。当要求认证时，请求方设备可捕获并且将不同的签名参数发送至验证设备。此外，请求方设备可发送其要求保护的行进路径(即，各个的停靠点和时间)。无论设备是静态还是移动的，均可发送停靠点。验证设备可使用请求方要求保护的波束签名参数、至少一个位置停靠点、以及与该停靠点和波束参数捕获相关联的至少一个时间，对请求方进行认证。例如，如果将从至少一个点波束捕获的波束参数和至少一个要求保护的停靠点确认为已知的有效数据集，则请求方可被视为经过验证器认证。同样，可认证请求方在特定时间位于一区域内。基于这些参数的合成代码提供极其难以仿效、侵入、或者诱骗的信号。而且，信号签名和卫星的接收信号功率允许在室内或者其他衰减环境中进行认证。这提高了该系统解决方法的整体实用性。

在诸如通过铱卫星实施的那些的低地球轨道(LEO)卫星的上下文中主要描述了本申请的主题。然而，本领域技术人员应当认识到，本文中所描述的技术易于应用于其他卫星系统，例如，中地球轨道(MEO)卫星系统或者同步轨道(GEO)卫星系统。这种基于卫星的通信系统可包括或利用其他移动通信系统，例如，机载通信系统等，以及静态通信平台，包括但不限于，船只或者蜂窝电话塔。

图19是根据实施方式的基于卫星的通信系统600的示意图。实际上，基于卫星的通信系统600可包括轨道上的至少一个卫星610。为简洁起见，图19中示出了单个卫星。参考图19，在一些实施方式中，系统600包括与一个或者多个接收设备620通信的一个或者多个卫星610。在一些实施方式中，卫星610可实施为诸如铱卫星星座中的那些的LEO卫星。卫星 610在已知轨道内围绕地球转动并且可以以已知模式将一个或者多个点波束630发送至地球表面上。每个点波束630均可包括诸如伪随机(PRN) 数据和一个或者多个不同的波束参数(例如，时间、卫星ID、时偏、卫星轨道数据等)等信息。

接收设备620可被实施为诸如卫星或者蜂窝电话等通信设备或者被实施为通信设备或者计算设备等的部件，例如，个人计算机、膝上型计算机、个人数字助理等。在一些实施方式中，接收设备(620)可包括一个或者多个定位或者导航设备或者与全球定位系统(GPS)结合使用的设备类似的模块。

图20A、图20B、以及图20C是根据实施方式的基于卫星认证系统 700的示意图。首先参考图20A，在一些实施方式中，轨道中的卫星610 将一个或者多个点波束630发送到地球表面上。接收设备620可被配置为接收来自点波束的信号。在图20A中所描述的实施方式中，接收设备是位于地面上的并且可以在衰减的环境中运行。例如，诸如屋顶、建筑等物体 710可阻碍卫星610与接收设备之间的通信路径的一部分。

发送器720将通过接收设备620接收的数据和/或通过接收设备620 生成的数据发送给验证器730。图20A中所描述的发送器720是将数据从接收设备中继给验证器的无线发送器。然而，本领域技术人员应当认识到，经由有线通信系统、无线通信系统、或者有线与无线系统的组合可发送来自接收设备620的数据。验证器730使用接收设备620经由点波束捕获的数据通过单向认证方法(也是图20B中的情况)向验证器730证明其是授权用户。

而且，图20B描述了其中接收设备620可以是例如飞机625中的机载 (airborne)的布置。在图20B中所描述的实施方式中，飞机625可与卫星610保持上行链路，例如，L-波段上行链路，并且通过飞机中的接收设备620捕获的数据可以经由上行链路被发送回至卫星610。卫星610可将数据发送至第二交叉连接的卫星610，其反之可将数据发送至验证器730。

图20C中描述的系统示出了其中两个(或者多个)对等设备620可实施双向认证技术以对彼此进行认证的实施方式。简要参考上述所述图20C，轨道中的卫星610将一个或者多个点波束630发送至地球的表面。第一接收设备620A可被配置为从点波束接收信号。第一接收设备620A可被配置为例如使用上述所述Diffie-Helman解决方法得出结合有来自点波束的 PRN数据的安全密钥。

PRN数据还被发送至第二设备620B。在一些实施方式中，第二设备 620B可以位于点波束630外部，在这种情况下，PRN数据可由耦接至第二设备620B的计算设备740经由通信网络发送。计算设备740可通信地耦接至卫星610。例如，但不限于，计算设备740可以是经由通信链路单独耦接至卫星610的服务器。计算机740可以与卫星610的控制网络相关联并且由此可持有与点波束630相关联的PRN数据。

在运行时，第一接收设备620A发起对认证数据的请求，该请求被发送至第二接收设备620B。通过发送网络720可以执行或者实现第一接收设备620A和第二接收设备620B之间的通信链路。第二接收设备620B响应该请求并且与来自第一接收设备620A发起几乎同步的认证数据请求。第一接收设备620A对第二接收设备620B进行认证并且向第二接收设备 620B发起对认证数据几乎同步的响应，然后，第二接收设备620B对第一接收设备620A进行认证。

如上所述，在第一接收设备620A与第二接收设备620B之间实施的认证过程可以是其中共享秘密包括由点波束630发送的PRN数据的至少一部分的Diffie-Hellman交换。因此，图20C中所描述的系统能够实现接收设备620A、620B的点到点认证。本领域技术人员应当认识到，该双向认证解决方法可以被扩展至接收设备和服务器以及其他硬件架构或者扩展至两个以上的设备。

图21A是根据实施方式的可被适配成实现基于卫星的认证系统的计算系统的示意图。例如，在图20A和图20B中所描述的实施方式中，通过图21A中描述的计算系统可以实现验证器730。参考图21A，在一个实施方式中，系统800可包括计算设备808和一个或者多个附属输入/输出设备，其包括具有屏幕804的显示器802、一个或者多个扬声器806、键盘 810、一个或者多个其他I/O设备812、以及鼠标814。其他I/O设备812 可包括触摸屏、语音激活输入设备、滚动球、以及允许系统800接收来自用户的输入的任何其他设备。

计算设备808包括系统硬件820和存储器830，存储器830可被实施为随机存取存储器和/或只读存储器。文件存储880可被通信地耦接至计算设备808。文件存储880可位于计算设备808内部，诸如，一个或者多个硬盘驱动器、CD-ROM驱动器、DVD-ROM驱动器、或者其他类型的存储设备。文件存储880还可位于计算机808外部，诸如，一个或者多个外部硬盘驱动器、网络附接存储器、或者独立的存储网络。

系统硬件820可包括一个或者多个处理器822、至少两个图形处理器 824、网络接口826、以及总线结构828。在一个实施方式中，处理器822 可被实施为双核处理器，其可从美国加利福尼亚州圣克拉拉市英特尔公司购买。如本文中使用的，术语“处理器”指任何类型的计算元件，诸如，但不限于，微处理器、微控制器、复杂指令集计算(CISC) 微处理器、精简指令集(RISC)微处理器、超长指令字(VLIW)微处理器、或者任何其他类型的处理器或者处理电路。

图形处理器824可用作管理图形和/或视频操作的辅助处理器。图形处理器824可被集成到计算系统800的母板上或者经由扩展槽可被耦接在母板上。

在一个实施方式中，网络接口826可以是有线接口，诸如以太网接口 (例如，参见电气与电子工程师协会/IEEE 802.3-2002)，或者无线接口，诸如IEEE 802.11a、b、或者g兼容接口(例如，参见系统间LAN/MAN 的IT电信和信息交换的IEEE标准的第II部分：无线LAN媒体访问控制 (MAC)与物理层(PHY)规范修订4：2.4GHz波段，802.11G-2003的进一步更高数据速率扩展)。无线接口的另一实施例是通用包速率服务 (GPRS)接口(例如，参见GPRS手机要求指南、全球移动通信系统/GSM 协会，2002年12月3.0.1版)。

总线结构828连接系统硬件820的各个部件。在一个实施方式中，总线结构828可以是一个或多个若干类型的总线结构，其中包括存储器总线、外围总线或者外部总线、和/或使用任何各种可用总线架构的局部总线，包括但不限于，11比特总线、工业标准架构(ISA)、微信道架构(MSA)、扩展的ISA(EISA)、智能驱动电子(IDE)、VESA局部总线(VLB)、外围部件互连(PCI)、通用串行总线(USB)、高级图形端口(AGP)、个人计算机存储卡国际协会总线(PCMCIA)、以及小型计算机系统接口 (SCSI)。

存储器830可包括用于管理计算设备808的操作的操作系统840。在一个实施方式中，操作系统840包括为系统硬件820提供接口的硬件接口模块854。此外，操作系统840可包括管理计算设备808运行时使用的文件的文件系统850和管理在计算设备808上执行的处理的过程 控制子系统 852。

操作系统840可包括(或者管理)可结合系统硬件820运行以收发来自远程源的数据包和/或数据流的一个或者多个通信接口。操作系统840 可进一步包括提供操作系统840与驻留在存储器830中的一个或者多个应用模块之间的接口的系统调用接口模块842。操作系统840可被实施为 UNIX操作系统或者其任何衍生物(例如，Linux、Solaris、Berkeley软件分布(BSD)、Android等)或者品牌操作系统、或者其他操作系统。

在各种实施方式中，计算设备808可实施为个人计算机、膝上型计算机、个人数字助理、移动电话、娱乐设备、或者另一计算设备。

在一个实施方式中，存储器830包括基于从请求方接收的数据对请求方进行认证的认证模块862。在一个实施方式中，认证模块862可包括被编码在非临时性计算机可读介质中的逻辑指令，当由处理器822执行逻辑指令时，逻辑指令致使处理器822基于从请求方接收的数据对请求方进行认证。此外，存储器830可包括卫星轨道数据库864，卫星轨道数据库864 包括卫星610位于围绕地球的预定轨道内的轨道信息。下面描述关于通过认证模块862实现的认证过程和操作的额外细节。

在一些实施方式中，接收设备620可被实施为适配成与常规计算设备 622(例如，膝上型计算机、PDA、或者智能电话设备)耦接的卫星通信模块。接收设备620可通过合适的通信连接耦接至计算设备622，例如，通过通用串行总线(USB)接口、RS-232接口、光学接口等。在图21B 中描述的实施方式中，接收设备620可以是“瘦”设备，在这种意义上，接收设备620可包括接收器和有限的处理能力，例如，被配置为实现认证例程的专用集成电路(ASIC)或者现场可编程门阵列(FPGA)。

在操作时，计算设备622的用户可利用接收设备620对使用主机网络 890的计算设备622进行认证。如上所述，图21B中描述的接收设备620 可从卫星610接收包括不同波束签名和伪随机数(PRN)的点波束传输 630。计算设备622可发起对主机网络890的访问请求。访问请求可包括用户专用信息，例如，用户ID、来自基于地球坐标系的一个或者多个坐标(例如，zip代码、区域代码、纬度/经度、通用横轴墨卡托投影(UTM)；地球地心坐标(ECEF)、世界地理基准系(GEOREF)、或者其他各种各样的系统，例如，zip代码)、以及从卫星610接收的PRN数据的至少一部分。

主机网络890可将用户访问请求作为认证请求发送给验证器730。在一些实施方式中，主机网络可将额外的信息添加到请求en中，以能够使验证器730对计算机622进行认证。例如，主机网络630可提供关于从什么位置对请求方进行认证(即，从什么地理位置)的限制。验证器730可对请求方进行验证并且将认证响应提供给主机网络890。反之，主机网络 890可将访问响应转发至计算设备622。

图22是示出了根据实施方式的对请求方进行认证的方法中的操作的流程图。参考图22，在操作910，请求方设备确定请求方设备的物理位置。在一些实施方式中，请求方设备620可包括确定请求方设备620的位置的一个或者多个位置模块。例如但不限于，请求方设备620可包括或者通信地耦接至全球定位系统(GPS)模块，以基于来自全球定位系统的信号确定位置。可替代地，或者此外，请求方设备620可包括基于来自一个或者多个LEO或者MEO卫星610的信号确定位置的逻辑，如在美国专利第 7,489,926号、第7,372,400号、第7,579,987号、以及第7,468,696号中的一个或者多个中所描述的，通过引用将其的公开内容全部结合在此。在一些实施方式中，请求方设备620的位置可以以纬度/经度坐标或者另一基于地球的坐标系表达。

在操作915，请求方设备620从卫星610接收点波束传输。在一些实施方式中，请求方设备620从卫星点波束提取包括伪随机代码段的一个或者多个不同波束参数(例如，时间、卫星ID、波束ID、时偏、卫星轨道数据等)。在一些实施方式中，请求方设备620可将波束参数存储在请求方设备620的存储模块中或者通信地耦接至请求方设备620的存储模块中。在一个或多个实施方式中，操作915可与其之前的操作910几乎同时发生。

在操作920，请求方设备620可继续生成一个或者多个停靠点数据快照，该一个或者多个停靠点数据快照可包括来自操作910中的请求方设备 620的位置信息和经由操作920中提示的卫星点波束发送的一个或者多个不同波束参数。在一些实施方式中，可将停靠点数据快照存储在请求方设备620中的存储模块中或者通信地耦接至请求方设备620的存储模块中。

在一些实施方式中，请求方设备620可随着时间采集一系列停靠点数据快照。例如，通过从随着时间经过请求方设备620的多个卫星610接收点波束可构造一系列停靠点数据快照。可替代地，或者此外，通过相对于卫星610移动请求方设备620，例如，通过将请求方设备620放置在飞机 625中(如图20B中描述的)，可以构造一系列停靠点数据快照。额外的实施例包括请求方设备作为跟踪器以确定包括危险材料的实体或者资产的行进路线。可以对请求方设备进行轮询，以提供停靠点数据，从而验证所期望的路径与实际路径匹配。可对请求方设备进行随机轮询。

在操作920，从请求方设备620将停靠点数据快照传输至验证器设备 730。例如，在图20A中描述的实施方式中，经由发送器720或者通过另一通信网络可发送停靠点数据快照。在图20B中描述的实施方式中，可将停靠点数据快照从飞机625发送至卫星610，然后，经由卫星网络发送至验证器设备730。

在操作925，验证器设备730从请求方设备620接收位置数据和停靠点(waypoint，路径点)数据。在操作930，验证器设备730将位置信息和停靠点数据与已知有效数据集中的相应数据进行比较，以对请求方进行认证。例如，诸如铱卫星星座等LEO卫星环绕已知轨道中的地球飞行，其近似参数是事先已知可用的。验证器设备730可包括卫星轨道数据库 864或者可通信地耦接至卫星轨道数据库864。卫星轨道数据库864包括关于地球已知轨道中的卫星610的轨道信息。

在一些实施方式中，将从请求方设备接收的位置数据和停靠点数据与已知数据集中的位置和停靠点数据相比较(操作930)，以确定请求方设备 620在预期的时间内是否实际位于预期地理位置的合理阈值距离内。例如但不限于，可从卫星轨道数据库864搜索与从请求方设备620发送的不同波束参数对应的数据记录。当锁定匹配记录时，可将从轨道数据库864检索的记录中的轨道数据与从请求方设备620接收的数据相比较。例如，已知的数据可包括地球表面上的点波束630的中心坐标和点波束630的半径指示。可将从请求方设备620接收的坐标与点波束的位置相比较，以确定接收数据是否指示请求方设备620在从请求方设备接收的数据中指示的时间位于点波束所限定的区域内。在至少一个实施方式中，点波束可以是不规则的形状。在至少一个实施方式中，请求方设备可以位于地球表面以上的高度。

在操作935，如果从请求方设备620接收的数据指示请求方设备620 在与来自请求方设备的数据相关联的时间，位于由来自卫星610的点波束所覆盖的地理区域内，则请求方设备620可被视为经过认证。在认证系统中，则将控制进行至操作940，并且允许请求方访问资源。例如但不限于，验证器设备730可授予请求方设备620经过认证的令牌。远程系统可以使用令牌授权对资源进行访问。

相反，如果从请求方设备620接收的数据指示请求方设备620在与来自请求方设备620的数据相关联的时间，不位于来自卫星610的点波束覆盖的地理区域内，则请求方设备620不被视为经过认证。在认证系统中，则将控制进行至操作945，并且拒绝请求方对资源进行访问。例如但不限于，验证器设备730可拒绝授予请求方设备620经过认证的令牌。在缺少令牌时，可拒绝请求方设备访问由远程系统管理的资源。

因此，图19至图21中所描述的系统架构和图22中所描述的方法使能一个或者多个请求方设备620的基于卫星的认证。认证系统可用于许可或者拒绝对由远程计算系统管理的一个或多个资源的访问。在一些实施方式中，请求方设备可以是静态的，而在其他实施方式中，请求方可以是移动的，并且认证过程可基于时间、基于位置、或者两种的组合。

在一些实施方式中，可以使用该系统实现基于会话的认证，其中，要求保护的设备620经过认证，以使用整个会话的资源。在其他实施方式中，该系统可实现基于消息的认证，其中，必须针对从请求方设备620发送至远程资源的每条消息单独地对请求方设备620进行认证。

在一个示例性实施方式中，还可使用本文中所描述的认证系统提供对诸如企业电子邮件系统、企业网络、军事或者民用基础设施网络、或者电子银行设施等安全计算资源进行访问的认证。在其他示例性实施方式中，可以使用认证系统确认物流系统中车辆的路线。例如，诸如卡车、火车、船只、或者飞机等移动实体可包括一个或者多个请求方设备620。在预定的任务过程中，物流系统可定期地轮询请求方设备620，请求方设备620 可用从卫星610获得的认证数据做出响应。可将认证数据收集在物流系统中并且根据物流计划使用认证数据确认请求方设备在预定时间内位于特定位置。

在又一实施例中，可以使用本文中所描述的认证系统的实施方式，来验证与监控系统相关联的请求方设备的位置，例如，软禁监视系统。在该实施方式中，请求方设备可整合一个或者多个生物识别传感器(诸如指纹生物识别传感器)对系统中的用户进行认证，同时，可使用认证系统确认请求方设备在预定时间内位于预定位置(即，请求方在正确的时间内位于正确的地点并且是正确的人)。认证设备还可通过在认可时间段内的一组认可的位置查找请求方设备的位置和时间进一步从认可位置的限定列表查找请求方设备的位置，其中列表也由认证系统进行了提炼。而且，可以使用该系统对登记的罪犯的性别进行跟踪。

在一些实施方式中，卫星610可以是LEO卫星系统的一部分，诸如在已知轨道中围绕地球运转并且发射具有已知几何形状的点波束的铱星座等，因此，通过确认所请求方设备在指定时间位于指定点波束内就可以对所请求方设备进行认证。因此，利用单个信号源(例如，单个卫星610) 可对请求方进行认证。此外，因为诸如铱星座等LEO卫星和MEO卫星发射相对高功率的信号水平，所以可以使用该系统对位于受阻环境(例如，室内或者城市地区)中的一个或者多个请求方设备进行认证。此外，LEO 卫星和MEO卫星的相对高信号强度使这些信号较不易受干扰影响。

尽管本文中已经公开了特定的示出性实施方式和方法，然而，对于本领域技术人员从上述公开显而易见的是，在不背离本领域所公开的真实精神和范围的情况下，可以对这些实施方式和方法做出变形和改造。存在本领域公开的许多其他实施例，每种仅在细节上彼此不同。因此，本领域公开旨在仅局限于由所附权利要求和适用法律的规则和原理所规定的范围。