用于情景感知网络安全的系统和方法与流程

1.领域总体上涉及入侵检测，并且更具体地涉及在已知、受控和不断变化的环境中检测恶意流量流(traffic flows)。


背景技术：

2.包括通信卫星在内的通信系统是恶意行为者的潜在目标。检测这些恶意行为者的入侵可能很困难，因为监控卫星和其他通信系统之间的每一次通信可能并不实际，因为设备和网络的配置和拓扑结构可能会随着时间的推移而不断变化。相应地，提高通信系统的检测能力的附加安全性或系统将是有利的。
3.本背景部分旨在向读者介绍可能与本公开的各个方面相关的技术的各个方面，这些方面在下文中描述和/或要求保护。该讨论被认为有助于向读者提供背景信息，以促进更好地理解本公开的各个方面。相应地，应当理解的是，这些陈述应当从这个角度来解读，而不是作为对现有技术的承认。


技术实现要素：

4.在一个方面中，提供了一种检测网络中的恶意流量流的系统。该系统包括计算机系统，该计算机系统包括与至少一个存储器设备通信的至少一个处理器。至少一个处理器经编程以存储关于包括多个设备的网络的多个情景信息。至少一个处理器还经编程以在特定时间点确定网络的网络配置。至少一个处理器还经编程以基于网络配置和多个情景信息为网络中的多个设备中的一个或多个设备生成一个或多个安全策略。此外，至少一个处理器经编程以将一个或多个安全策略部署到网络中的一个或多个设备。一个或多个设备被配置为鉴于一个或多个安全策略的对应安全策略来执行算法以监控网络上的通信。
5.在另一个方面中，提供了一种用于检测网络中的恶意流量流的方法。该方法由计算机系统实施，计算机系统包括与至少一个存储器设备通信的至少一个处理器。该方法包括存储关于包括多个设备的网络的多个情景信息。该方法还包括在特定时间点确定网络的网络配置。该方法还包括基于网络配置和多个情景信息为网络中的多个设备中的一个或多个设备生成一个或多个安全策略。此外，该方法包括，将一个或多个安全策略部署到网络中的一个或多个设备。一个或多个设备被配置为鉴于一个或多个安全策略的对应安全策略来执行算法以监控网络上的通信。
6.与上述方面相关的特征存在各种改进。在上述方面中还可以包含其他特征。这些改进和附加特征可能单独存在或以任何组合存在。例如，下面讨论的与所示示例中的任何一个相关的各种特征可以单独或以任何组合并入上述方面中的任何一个。
附图说明
7.下面描述的附图描绘了其中公开的系统和方法的各个方面。应当理解，每个附图描绘了所公开的系统和方法的特定方面的示例，并且每个附图旨在符合其可能的示例。此
外，在可能的情况下，以下描述指代包括在以下附图中的附图标记，其中多个附图中描绘的特征用一致的附图标记指定。
8.附图中图示了目前讨论的布置，但应理解，目前的示例不限于所示的精确布置和仪器，其中：
9.图1图示了根据本公开的一个示例的示例通信卫星系统的框图。
10.图2图示了包括图1所示的示例通信卫星系统的第一网络配置中的示例网络的框图。
11.图3图示了从图2所示的第一网络配置到第二网络配置的转换的框图。
12.图4图示了从图3所示的第二网络配置到第三网络配置的转换的框图。
13.图5图示了从图4所示的第三网络配置到第n网络配置的转换的框图。
14.图6图示了图2所示网络分别在图2、图3、图4和图5所示网络配置之间的转换的框图。
15.图7图示了根据本公开的一个示例，用于设置图2中所示网络的情景的示例通信设备网络分析器(“cdna”)系统的简化框图。
16.图8图示了用于确定图2所示网络的情景并使用图7所示的系统的示例过程。
17.图9图示了根据本公开的一个示例的用户计算机设备(例如在图7所示的系统中使用的客户端设备)的示例配置。
18.图10图示了根据本公开的一个示例的在图7所示的系统中使用的服务器计算机设备的示例配置。
具体实施方式
19.本技术的领域总体上涉及入侵检测，并且更具体地涉及通过分析时变网络的配置和拓扑结构来检测已知、受控和不断变化的环境中的恶意流量流。在一个示例中，通信设备网络分析器(“cdna”)计算机设备基于当前时间和可用通信设备确定通信网络，以及针对通信网络上的通信设备生成和实施一个或多个策略，以分析通信网络上的通信是否存在潜在的网络安全威胁。
20.所公开的系统和方法包括软件定义网络(sdn)系统，该sdn系统用于使用关于网络、网络拓扑结构、用户信息、连接属性和/或需求属性的可用情景信息来控制和管理一个或多个安全算法，以检测恶意流量流。情景信息可以包括用于时变卫星拓扑结构的sdn网络体系结构。情景信息还可以包括在特定时间点对特定星座中的卫星的完全了解和控制，包括卫星在哪里，哪个卫星连接到哪个其他设备，以及哪些设备应在特定时间点连接到哪个其他设备，持续多久。情景信息还可以包括但不限于，知道用户是如何连接的、卫星之间以及卫星和用户之间的连接类型、mod/cod(调制和编码，其中编码指代fec(前向纠错)开销)、数据速率和/或流量简档(预计用户和/或设备将产生何种流量)。
21.示例系统和方法确定对于给定的拓扑结构及时，情景信息可用于创建和部署安全策略。情景信息可以由sdn应用程序提供、收集、计算和/或上述操作的任何整理组合。这些sdn应用程序可以包括但不限于流量工程管理器、拓扑结构管理器、用户管理器等。此外，对于一组已知的未来拓扑结构，sdn应用程序可以使用可用的情景信息来提前确定要使用哪些算法，并为已知的未来拓扑结构预先计算一个或多个安全策略。在算法和安全策略到位
的情况下，sdn应用程序可以基于相应的安全策略使用算法来监控数据流信息，以监控和检测恶意流量流。
22.cdna系统被配置为在多个时间点获得和/或存储关于拓扑结构、网络和用户(即连接、需求等)的信息。例如，cdna系统可以确定拓扑结构应该是什么样子，设备在哪里，设备如何连接，以及设备应该如何连接。这尤其适用于网络设备受严格时间表控制的情况，如卫星。在这些情况下，cdna系统将基于时间表确定设备应位于何处以及设备应如何连接。由于cdna知道网络和连接，因此它可以确定两个通信设备之间连接的每一侧的最佳算法和安全策略，以监控该连接。
23.示例系统和方法认识到网络拓扑结构和配置会随着时间的推移而改变，尤其是那些包括移动通信设备的网络，例如与卫星、飞机、船艇、航天器、车辆、无人机和/或个人相关联的那些网络，但不限于那些网络。本文所描述的系统和方法通过基于当前网络拓扑结构针对通信设备生成和提供最新的安全策略来解决这些不断变化的网络的安全问题。当网络拓扑结构发生变化时，也会提供更新的安全策略。通过设置通信设备的安全策略，算法(如在通信设备上执行的那些)可确定何时违反这些安全策略，这可能表示网络安全威胁，例如网络入侵、恶意代码的存在和/或其他威胁。
24.本文描述的是诸如cdna计算机设备和相关计算机系统的计算机系统。如本文所述，此类计算机系统包括处理器和存储器。然而，本文所指代的计算机设备中的任何处理器也可以指代一个或多个处理器，其中处理器可以在一个计算设备中或并行工作的多个计算设备中。此外，本文指代的计算机设备中的任何存储器也可以指代一个或多个存储器，其中存储器可以在一个计算设备中或并行工作的多个计算设备中。
25.系统和过程不限于本文描述的具体示例。此外，每个系统和每个过程的部件可以独立于本文所述的其他部件和过程并且与之分离来实践。每个部件和过程也可以与其他组件包装和过程结合使用。
26.图1图示了根据本公开的一个示例的示例通信卫星系统100的框图。示例卫星系统100包括都连接到以太网交换机108的网络处理器102、存储单元104和有效负载处理器106。以太网交换机108更进一步连接到一个或多个总线控制器110，总线控制器110有助于与卫星总线子系统112和分组交换机114进行通信。在一些示例中，分组交换机114是具有安全性的可编程数据平面，该可编程数据平面允许执行算法以监控用于进出卫星100的通信连接118的多个端口116。多个端口116可以包括但不限于卫星间链路(isl)、下行链路(dl)和可以充当isl或dl的端口116。
27.图2图示了包括示例通信卫星系统100(如图1所示)的第一网络配置202中的示例网络200的框图。网络200包括多个卫星100。如第一网络配置202所示，多个卫星100位于多个轨道，例如地球同步轨道(geo)204、中地球轨道(meo)206和低地球轨道(leo)208。网络200还可以包括位于高度椭圆轨道、月球轨道或任何其他围绕天体的非地球静止(ngso)轨道上的卫星100，这些卫星的连接和位置是已知的和/或可以预测的。
28.网络200还包括多个用户设备210。用户设备210可以包括飞机、航天器、船艇、地面基车辆、地面站和/或空间站，其中用户设备210连接到网络200。
29.如第一网络配置202中所示，卫星100各自具有一个或多个isl连接212。还存在从用户设备210到卫星100的dl连接214。尽管在图中未图示为完全连接，但每个dl连接214将
网络200上的用户设备210连接到卫星100。
30.根据卫星100的性质，不同的卫星100以不同的速率绕地球轨道运行，使得网络配置202中的在时间a处的卫星100将不同于在时间b处的卫星100。例如，leo 208中的卫星100将在90到120分钟内绕地球轨道运行，而meo 206中的卫星可能需要12小时才能完成一次轨道运行。这意味着组成网络200的卫星100将随着时间的推移而改变。相应地，知道网络200的网络配置202何时改变对于正确保护和监控网络200是重要的。
31.图3-图6图示了随着时间的变化网络200从一种配置到另一种配置的转换。图3图示了从第一网络配置202到第二网络配置302的转换300的框图。在转换300中，卫星#4和卫星#7之间的isl连接212结束，并创建在卫星5和卫星8之间的新的isl连接212。图4图示了从第二网络配置302到第三网络配置402的转换400的框图。在转换400中，卫星#4、#5和#6被卫星#10、#11和#12替换。卫星#5和卫星#8之间的isl连接212被卫星#11和卫星#8之间的isl连接212替换。此外，卫星#6和卫星#3之间的isl连接212被卫星#12和卫星#3之间的isl连接212替换。图5图示了从第三网络配置402到第n网络配置502的转换500的框图(例如，其中n是大于1的任意整数)。在第三网络配置402中，geo 204中的卫星100和meo 206中的卫星100之间的isl连接112在卫星#1和卫星#4之间。
32.每个网络配置202、302、402和502表示不同时间点的网络200。图6图示了网络200(如图2所示)在网络配置202、302、402和502(分别如图2、3、4和5所示)之间的转换的框图。虽然仅示出了四种网络配置202、302、402和502，但网络200存在多个潜在的不同网络配置。每个不同的网络配置可以包括卫星100之间的不同isl连接212，以及卫星100与用户设备210以及网络200上的不同100和210之间的不同dl连接214。
33.图7图示了根据本公开的一个示例的用于设置网络200(如图2所示)的情景的示例通信设备网络分析器(“cdna”)系统700的简化框图。在该示例中，cdna系统700或sdn应用程序用于监控网络200的配置，并控制用于监控卫星100(如图1所示)的通信的算法的操作以及网络200上的其他设备。算法监控网络200上的通信是否存在可指示网络安全威胁和攻击的恶意数据流，以允许其他系统对已识别的经检测的网络安全威胁和攻击做出潜在响应。
34.cdna系统700包括与通信设备网络分析器(“cdna”)计算机设备710通信的多个客户端设备705。cdna计算机设备710与用于检索和存储数据库720中的数据的数据库服务器715通信。cdna计算机设备710还与多个算法控制器725通信。
35.cdna计算机设备710经编程以接收关于计算机网络200的不同配置的情景信息。情景信息可以包括但不限于卫星100(如图1所示)在网络200中的特定时间点的知识，包括卫星100所在的位置、哪个设备100和210连接到哪个设备、哪个设备100和210应在每个特定时间点连接到哪个设备以及每个连接118的持续时间。情景信息还可以包括但不限于用户设备210(如图2所示)如何连接到网络200和卫星100、卫星100之间以及卫星100和用户设备210之间的连接118的类型、mod/cod(调制和编码，其中编码指代fec(前向纠错)开销)、数据速率以及对于每网络配置202、302、402和502(分别在图2、图3、图4和图5中所示)沿着网络200的流量简档(用户期望生成什么类型的流量)。在一些示例中，cdna计算机设备710从一个或多个客户端设备705接收情景信息。在其他示例中，cdna计算机设备710从用户设备210本身接收情景信息的至少一部分，诸如当用户设备210连接到自组织网络200时。在一些示例中，所有的连接212和214(都在图2中示出)是预先已知的。在其他示例中，一个或多个用
户设备210可以在自组织的基础上连接到网络200。在这些示例中，新用户设备210协商到网络200的连接118。新用户设备的信息被传递到cdna计算机设备710，该cdna计算机设备710针对新用户设备210以及具有到新用户设备210的连接118的设备100和210来生成新的安全策略。
36.cdna计算机设备710使用情景信息来确定每个连接118的每一侧的安全策略。在该示例中，cdna计算机设备710针对包括卫星100的网络200上的每个连接118生成安全策略。在其他示例中，cdna计算机设备710针对包括网络200上的用户设备210之间的那些连接118的所有连接118生成安全策略。cdna计算机设备710还确定使用哪些算法来监控每个连接118，在何处将这些算法配置为使用安全策略来监控用于恶意流量流的一个或多个连接118。当网络200处于相应配置时，cdna计算机设备710激活适当的算法和适当的策略。
37.例如，基于网络配置202、302、402和502，cdna计算机设备710确定第一网络配置202将从时间a到时间b有效，第二网络配置302将从时间b到时间c有效，第三网络配置402将从时间c到时间d有效，并且第四网络配置502将从时间d到时间e有效。此外，cdna计算机设备710获得每个网络配置202、302、402和502的情景信息。该情景信息可以存储在数据库720中，或者从一个或多个客户端设备705接收。
38.对于每网络配置202、302、402和502，cdna计算机设备710确定使用哪个算法来监控每个连接118，并针对这些连接118中的每个生成安全策略。例如，在第一网络配置202中，cdna计算机设备710确定在卫星#1上运行哪个算法以用于到卫星#2的isl连接212。cdna计算机设备710还生成用于该算法的安全策略，以用于监控到卫星#2的isl连接212。安全策略可以包括以下信息，诸如但不限于，用户应该何时连接、他们将连接多长时间、连接118的mod/cod、连接118的数据速率、对连接118的需求将是定义数量的流、关于这些流的信息(诸如数据包大小)、应用程序如何传输这些数据包、到达时间、协议(如果可用)等。所有这些信息都是基于每个连接118进行编译的。cdna计算机设备710确定在卫星#2上针对isl连接212运行哪个算法，并针对卫星#2的算法生成安全策略以监控isl连接212。在每个卫星100上执行的算法和安全策略在不同的卫星100上或者甚至在同一卫星100的不同端口116上可能不同。cdna计算机设备710基于所讨论的卫星的一个或多个属性和/或网络200的配置来选择算法和安全策略。
39.cdna计算机设备710确保在正确的时间在相应的卫星100上激活适当的算法和安全策略。在一些示例中，cdna计算机设备710预先将安全策略和算法连同指示卫星100何时激活每个算法和安全策略的活动时段的时间表上传到卫星100上。例如，cdna计算机设备710可以上传用于第一网络配置202、第二网络配置302、第三网络配置402和第四网络配置502的算法和安全策略。当时间a开始时，每个卫星100激活与第一网络配置202相关联的第一预定算法和安全策略。当到达时间b时，每个卫星100停用第一算法和安全策略，并激活与第二网络配置302相关联的第二预定算法和安全策略，等等。在这些示例中，cdna计算机设备710可以在相应网络配置开始之前将算法和安全策略发送到卫星。此外，在一些示例中，可以在多个时间点重复网络配置。在这些示例中，每个卫星100可以存储多个算法和安全策略，并且cdna计算机设备710可以向卫星100发送包括要激活/停用的算法和安全策略的信号。在其他示例中，cdna计算机设备710在新网络配置开始时发送一个或多个适当算法和安全策略。尽管以上是关于卫星100所叙述的，但是任何通信设备都可以与本文描述的系统和
方法一起使用。在一些示例中，代替时间表，每个安全策略包括活动时间属性，并且cdna计算机设备710在适当的时间激活该安全策略。
40.在该示例中，客户端设备705是具有关于时变网络的情景信息的计算机和其他sdn应用程序，该时变网络包括web浏览器或软件应用程序，使得客户端设备705能够使用因特网、局域网(lan)或广域网(wan)与cdna计算机设备710通信。在一些示例中，客户端设备705通过许多接口通信地耦合到因特网，这些接口包括但不限于网络(例如因特网、lan、wan或综合业务数字网(isdn))、拨号连接、数字用户线(dsl)、蜂窝电话连接、卫星连接和电缆调制解调器中的至少一个。客户端设备705可以是能够访问网络(例如因特网)的任何设备，包括但不限于台式计算机、膝上型计算机、个人数字助理(pda)、蜂窝电话、智能手机、平板电脑、掌上电脑或其他基于web的可连接设施。在至少一个示例中，一个或多个客户端设备705包括可用于向cdna计算机设备710输出信息的web浏览器，诸如提供关于网络200的一个或多个配置的情景信息。在一些示例中，客户端设备705监控或控制卫星100的路径并提供关于卫星100的信息。在其他示例中，客户端设备705促进cdna计算机设备710和一个或多个卫星100之间的通信。
41.cdna计算机设备710包括在cdna计算机设备710上执行以执行网络分析的至少一个应用程序。该应用程序包括关于网络200中的卫星100和用户设备210的信息，并且能够确定与哪些卫星100一起使用哪些算法和哪些安全策略来监控计算机网络200的数据流。该应用程序可以通过因特网或其他网络作为基于云的web服务提供。
42.数据库服务器715通信地耦合到存储数据的数据库720。在一个示例中，数据库720包括多个卫星通信属性、多个算法属性、多个安全策略信息以及关于用户设备210的附加信息。在一些示例中，数据库720从cdna计算机设备710远程存储。在一些示例中，数据库720是分散的。在该示例中，人员可以通过登录到cdna计算机设备710经由客户端设备705访问数据库720。
43.在该示例中，算法控制器725是诸如分组交换机114(如图1所示)的系统，这些系统可以执行算法和安全策略以监控端口116上的通信118(均如图1所示)。在该示例中，算法控制器725与cdna计算机设备710通信以接收关于何时使用哪些算法和安全策略的信号。在该示例中，算法控制器725可以通过isl连接212和dl连接214与cdna计算机设备710通信。算法控制器725还可以向cdna计算机设备710、用户设备210(如图2所示)、安全信息和事件管理(siem)系统或其他客户端设备705提供关于检测到的潜在恶意数据流或与安全策略的其他偏差的信息。在其他示例中，可以在集中位置执行算法，其中集中位置处的计算机设备监控网络200中的通信(即，数据流)，并鉴于适当的安全策略审查那些通信。算法控制器725可以是卫星100或用户设备210的一部分，其中端口116上的连接118可被监控。
44.在高级别上，算法在作为算法控制器725的一部分的fpga或其他处理器上执行。该算法以日志的形式生成数据，例如统计数据。该算法可以搭配在卫星100或用户设备210上，并且也可以运行在计算机设备上，例如客户端设备705。然后，计算机设备解释日志。根据对算法的日志的审查，可能会检测到一些东西。基于检测，算法控制器725、cdna计算机设备710或其他客户端设备可以通知操作中心、安全中心或采取行动。行动可能包括但不限于提供通知、警报、触发另一个程序、更改网络的拓扑结构或阻止流量。
45.图8图示了用于确定网络200(如图2所示)的情景并使用系统700(如图7所示)的示
例过程800。过程800的步骤可由cdna计算机设备710执行(如图7所示)。cdna计算机设备710执行一个或多个应用程序以执行过程800的步骤。cdna计算机设备710与网络200中的一个或多个设备通信。网络中的设备可以包括但不限于卫星100(如图1所示)、用户设备210(如图2所示)、客户端设备705和算法控制器725(均如图7所示)。
46.cdna计算机设备710存储805关于包括多个设备100和210的网络200的多个情景信息。情景信息可以包括但不限于在特定时间点处网络200中的卫星100的知识，包括卫星100所在的位置、哪个设备100和210连接到哪个、在每个特定时间点哪个设备100和210应该连接到哪个设备以及每个连接118的持续时间是多少。情景信息还可以包括但不限于用户设备210如何连接到网络200和卫星100、卫星100之间以及卫星100和用户设备210之间的连接118的类型、mod/cod(调制和编码)、数据速率以及每个网络配置202、302、402和502(分别如图2、图3、图4和图5所示)的网络200上的流量简档。在一些示例中，cdna计算机设备710从一个或多个客户端设备705接收情景信息。在其他示例中，cdna计算机设备710从用户设备210本身接收情景信息的至少一部分，例如当用户设备210连接到自组织网络200时。在一些示例中，所有连接212和214(均在图2中所示)都是预先已知的。在其他示例中，一个或多个用户设备210可以在自组织的基础上连接到网络200。在这些示例中，新用户设备210协商到网络200的连接118。新用户设备的信息被传递到cdna计算机设备710，cdna计算机设备710针对新用户设备210以及具有到新用户设备210的连接118的设备100和210来生成新安全策略。
47.cdna计算机设备710在特定时间点确定810网络200的网络配置202。网络配置202可以是网络配置202、302、402和502中的任意一个或新配置，例如如果新用户设备210加入第二网络配置302。在一些示例中，cdna计算机设备710在特定时间点之前确定810网络配置202。在这些示例中，cdna计算机设备710可以基于存储信息确定810多个时间点的网络配置。
48.cdna计算机设备710基于网络配置202和多个情景信息针对网络200中的多个设备100和210中的一个或多个来生成815一个或多个安全策略。安全策略可以包括以下信息，诸如但不限于，用户应该何时连接、它们将连接多长时间、连接118的mod/cod、连接118的数据速率、对连接118的需求将是一些数量的流、关于这些流的信息(诸如数据包大小)、应用程序如何传输这些数据包、到达时间、协议(如果可用)等。所有这些信息都是基于每个连接118进行编译的。在一些示例中，cdna计算机设备710为多个设备100和210中的每个设备生成815安全策略。在其他示例中，cdna计算机设备710为涉及一个或多个卫星100的连接118的每侧生成815安全策略。在这些示例中，cdna计算机设备710为将在网络配置202中具有连接118的每个卫星100的每个端口116(如图1所示)生成815安全策略。在进一步的示例中，cdna计算机设备710为将在网络配置202中具有连接118的每个设备100和210的每个端口116生成815安全策略。
49.在进一步的示例中，对于网络配置202，cdna计算机设备710确定使用哪种算法来监控每个连接188，并生成安全策略以便为这些连接118中的每个连接配置算法。例如，在第一网络配置202中，cdna计算机设备710确定针对到卫星2的isl连接212在卫星#1上运行哪个算法。cdna计算机设备710还生成用于该算法的安全策略，以用于监控到卫星#2的isl连接212。
50.cdna计算机设备710将一个或多个安全策略部署820到网络200中的一个或多个设备100和210。一个或多个设备100和210被配置为鉴于相应的安全策略执行算法以监控网络200上的通信。
51.cdna计算机设备710基于网络配置将被激活的时间，针对每个网络配置重复过程800的步骤810-820。当设备100和210被添加到网络200和/或从网络200中移除时，网络配置将改变，并且cdna计算机设备710将执行过程800以确定在该时间点计算机网络200中的每个设备100和210的适当安全策略和/或算法。
52.cdna计算机设备710从执行安全策略的算法接收825潜在恶意流量流的指示。算法控制器725执行适当的算法和安全策略以监控沿其连接118的通信。如果该连接上的数据以算法判断为恶意数据流的方式违反连接118，则算法控制器725依据系统700的配置来通知cdna计算机设备710、一个或多个客户端设备705、其他安全监控设备，响应于检测到的恶意数据流来激活程序，或阻塞连接118。在一些示例中，cdna计算机设备710将指示路由到适当的目的地，例如但不限于安全信息和事件管理(siem)系统。
53.cdna计算机设备710在第一时间确定810第一网络配置202。cdna计算机设备710生成815并部署820用于该第一网络配置202的一个或多个安全策略。cdna计算机设备710还可以在第二时间确定810网络200的第二网络配置302。cdna计算机设备710基于第二网络配置302和多个情景信息针对网络200中的一个或多个设备100和210生成815一个或多个附加安全策略。cdna计算机设备710然后将一个或多个附加安全策略部署820到网络200中的一个或多个设备100和210。当网络200的拓扑结构在第二时间改变为第二网络配置302时，激活一个或多个附加安全策略。
54.cdna计算机设备710还确定要在设备100和210上执行的算法。每个设备100和210可以执行多个不同的算法，因为不同的算法对于不同的连接118更有效。例如，用于isl连接212的算法可以不同于dl连接214的算法，因为预期的通信、通信类型和通信的构成在这两种类型的连接之间都可以不同。此外，同一轨道上的卫星100之间的isl连接212可能需要不同于不同轨道之间的那些算法的算法。不同的轨道也可能需要与相同轨道之间的那些算法不同的算法。此外，用于监控不同类型通信的算法也可能不同。
55.cdna计算机设备710确定在特定时间点在多个设备100中的第一设备100上执行的第一算法。cdna计算机设备710在特定时间点为第一算法和第一设备100生成第一安全策略。cdna计算机设备710将第一算法和第一安全策略部署到第一设备100。cdna计算机设备710确定在随后的时间点在第一设备100上执行的第二算法。cdna计算机设备710在随后的时间点为第二算法和第一设备100生成第二安全策略。cdna计算机设备710将第二算法和第二安全策略部署到第一设备100。在一些示例中，第一设备100存储第一算法、第一安全策略、第二算法和第二安全策略。cdna计算机设备710向第一设备发送信号以在特定时间点执行第一算法和第一安全策略。cdna计算机设备710向第一设备发送另一信号，以在随后的时间点执行第二算法和第二安全策略。
56.在设备100和210存储一个或多个安全策略(和一个或多个算法)的一些示例中，当要激活安全策略(和算法)时，cdna计算机设备710通过将每个安全策略(和算法)发送到相应的设备100和210来部署820一个或多个策略。在设备100和210存储一个或多个安全策略(和一个或多个算法)的其他示例中，当要激活安全策略(和算法)时，cdna计算机设备710通
过向相应的设备100和210发送信号来部署820一个或多个策略。在设备100和210存储一个或多个安全策略(以及一个或多个算法)的进一步示例中，cdna计算机设备710还可以向相应的设备100和210发送脚本。脚本包括每个算法和安全策略要被激活的时间。设备100和210基于脚本激活相应的算法和安全策略。例如，脚本可以包括将在一天、一小时或其他时间段内使用的所有算法和安全策略，其中cdna计算机设备710能够提前执行过程800以设置网络200。
57.在一些示例中，还可以容纳自组织网络，其中cdna计算机设备710接收网络200的更新的网络配置数据。cdna计算机设备710基于更新的网络配置数据生成至少一个更新的安全策略。cdna计算机设备710将至少一个更新的安全策略部署到适当的设备100和210。例如，cdna计算机设备710可以确定一段时间内的算法和安全策略，并将该信息上传到设备100和210。然而，可以将新设备添加到网络200，或者cdna计算机设备710在配置202中了解到对设备100和210之一的改变。在这些情况下，cdna计算机设备710可以更新网络配置202以及相应的算法和安全策略。
58.图9图示了根据本公开的一个示例的用户计算机设备902(例如cdna系统700中使用的客户端设备705(两者均在图7中图示))的示例配置。用户计算机设备902由用户901操作。用户计算机设备902可以包括但不限于卫星100(如图1所示)、用户设备210(如图2所示)、客户端设备705和算法控制器725(均如图7所示)。用户计算机设备902包括用于执行指令的处理器905。在一些示例中，可执行指令存储在存储器区域910中。处理器905可以包括一个或多个处理单元(例如，在多核配置中)。存储区域910是允许存储和检索诸如可执行指令和/或事务数据之类的信息的任何设备。存储区域910可以包括一个或多个计算机可读介质。
59.用户计算机设备902还包括用于向用户901呈现信息的至少一个媒体输出部件915。媒体输出部件915是能够向用户901传送信息的任何部件。在一些示例中，媒体输出部件915包括输出适配器(未图示)，诸如视频适配器和/或音频适配器。输出适配器可操作地耦合到处理器905并且可操作地耦合到输出设备(诸如显示设备(例如，阴极射线管(crt)、液晶显示器(lcd)、发光二极管(led)显示器或“电子墨水”显示器)或音频输出设备(例如，扬声器或耳机))。在一些示例中，媒体输出部件915被配置为向用户901呈现图形用户界面(例如，web浏览器和/或客户端应用程序)。例如，图形用户界面可以包括用于查看关于网络200的情景信息的界面(如图2所示)。在一些示例中，用户计算机设备902包括用于接收来自用户901的输入的输入设备920。用户901可以使用输入设备920来输入情景信息或网络配置信息，但不限于此。输入设备920可以包括例如键盘、定点设备、鼠标、触笔、触敏面板(例如，触摸板或触摸屏)、陀螺仪、加速度计、位置检测器、生物特征输入设备和/或音频输入设备。诸如触摸屏之类的单个部件可以用作媒体输出部件915和输入设备920的输出设备。
60.用户计算机设备902还可以包括通信接口925，该通信接口通信地耦合到诸如cdna计算机设备710(如图7所示)的远程设备。通信接口925可以包括例如用于与移动电信网络一起使用的有线或无线网络适配器和/或无线数据收发器。
61.存储在存储器区域910中的是例如计算机可读指令，这些计算机可读指令用于经由媒体输出部件915向用户901提供用户界面，并且可选地，用于接收和处理来自输入设备920的输入。除其他可能性外，用户界面可以包括web浏览器和/或客户端应用程序。web浏览
器使得诸如用户901的用户能够显示通常嵌入在来自cdna计算机设备710的网页或网站上的媒体和其他信息并与之交互。客户端应用程序允许用户901与例如cdna计算机设备710交互。例如，指令可以由云服务存储，并且指令的执行输出发送到媒体输出部件915。
62.处理器905执行用于实施本公开的各方面的计算机可执行指令。
63.图10图示了根据本公开的一个示例在cdna系统700(图7所示)中使用的服务器计算机设备1001的示例配置。服务器计算机设备1001可以包括但不限于cdna计算机设备710和数据库服务器715(两者均在图7中示出)。服务器计算机设备1001还包括用于执行指令的处理器1005。指令可以存储在存储器区域1010中。处理器1005可以包括一个或多个处理单元(例如，在多核配置中)。
64.处理器1005操作地耦合到通信接口1015，使得服务器计算机设备1001能够与远程设备(例如另一服务器计算机设备1001、另一cdna计算机设备710或客户端设备705(如图7所示))通信。例如，通信接口1015可以经由因特网接收来自客户端设备705的请求，如图7所图示。
65.处理器1005还可以操作地耦合到存储设备1034。存储设备1034是适于存储和/或检索数据(例如但不限于与数据库720相关联的数据(如图7所示))的任何计算机操作硬件。在一些示例中，存储设备1034集成在服务器计算机设备1001中。例如，服务器计算机设备1001可以包括一个或多个硬盘驱动器作为存储设备1034。在其他示例中，存储设备1034位于服务器计算机设备1001的外部，并且可以由多个服务器计算机设备1001访问。例如，存储设备1034可以包括存储区域网络(san)、网络附加存储(nas)系统和/或多个存储单元(诸如廉价磁盘冗余阵列(raid)配置中的硬盘和/或固态磁盘)。
66.在一些示例中，处理器1005经由存储接口1020操作地耦合到存储设备1034。存储接口1020是能够向处理器1005提供对存储设备1034的访问的任何部件。存储接口1020可以包括例如高级技术附件(ata)适配器、串行ata(sata)适配器、小型计算机系统接口(scsi)适配器、raid控制器、san适配器、网络适配器和/或向处理器1005提供对存储设备1034的访问的任何部件。
67.处理器1005执行用于实施本公开的各方面的计算机可执行指令。在一些示例中，通过执行计算机可执行指令或通过以其他方式编程将处理器1005转换为专用微处理器。例如，使用如图8所示的指令对处理器1005进行编程。
68.如本文所使用的，处理器可以包括任何可编程系统，包括使用微控制器的系统；精简指令集电路(risc)、专用集成电路(asic)、逻辑电路以及能够执行本文所描述的功能的任何其他电路或处理器。上述示例仅为示例，因此无意以任何方式限制术语“处理器”的定义和/或含义
69.如本文所用，术语“网络安全威胁”包括未经授权试图访问主题系统。网络安全威胁(也称为网络攻击或网络威胁)试图利用计算机系统中的漏洞破坏计算机系统。一些网络安全威胁包括试图破坏或扰乱主题系统。这些网络安全威胁可能包括但不限于主动入侵、间谍软件、恶意软件、病毒和蠕虫。网络安全威胁可以通过多种途径(也称为攻击途径)破坏系统。这些路径可能包括操作系统攻击、错误配置攻击、应用程序级攻击和收缩包装代码攻击。网络安全威胁可由直接访问、经由通信网络或连接的系统或通过相关供应链远程地访问计算设备的个人或系统引入。
70.如本文所使用的，术语“数据库”可指代数据体、关系数据库管理系统(rdbms)或两者。如本文所使用的，数据库可以包括任何数据集合，包括分层数据库、关系数据库、平面文件数据库、对象关系数据库、面向对象数据库，以及存储在计算机系统中的记录或数据的任何其他结构化集合。上述示例仅为示例，因此无意以任何方式限制术语数据库的定义和/或含义。rdbms的示例包括但不限于数据库、mysql、db2、sql server、和postgresql。然而，可以使用能够实现本文描述的系统和方法的任何数据库。(oracle是加利福尼亚州红木海岸甲骨文股份有限公司的注册商标；ibm是纽约州阿蒙克市国际商业机器公司的注册商标；microsoft是华盛顿州雷德蒙市微软公司的注册商标；sybase是加利福尼亚州都柏林市sybase的注册商标。)
71.在另一示例中，提供了一种计算机程序，并且该程序体现在计算机可读介质上。在一个示例中，系统在单个计算机系统上执行，而不需要连接到服务器计算机。在另一个示例中，系统在环境中运行(windows是华盛顿州雷德蒙市微软公司的注册商标)。在又一个示例中，系统在大型机环境和服务器环境中运行(unix是位于英国伯克希尔雷丁的x/opencompany limited的注册商标)。在另一个示例中，系统在环境中运行(ios是位于加利福尼亚州圣何塞的思科系统公司的注册商标)。在另一个示例中，系统在mac环境中运行(mac os是位于加利福尼亚州库珀蒂诺的苹果公司的注册商标)。在另一个例子中，系统运行在操作系统上(android是加利福尼亚州山景城谷歌公司的注册商标)。在另一个示例中，系统运行在操作系统上(linux是马萨诸塞州波士顿市linus torvalds的注册商标)。该应用程序非常灵活，设计为在各种不同的环境中运行，而不会影响任何主要功能。
72.如本文所用，以单数形式叙述并以词“一”或“一个”开头的元件或步骤应理解为不排除复数元件或步骤，除非明确叙述了此类排除。此外，对本公开的“示例”或“一个示例”的引用并不意旨解释为排除也包含所述特征的附加示例的存在。此外，在本文中使用术语“包括”、“包含”、“具有”及其变体的情况下，这些术语旨在以类似于术语“包括”的方式包含作为开放过渡词，而不排除任何附加或其他元素。
73.如本文所使用的，术语“软件”和“固件”是可互换的，并且包括存储在存储器中供处理器执行的任何计算机程序，包括ram存储器、rom存储器、eprom存储器、eeprom存储器和非易失性ram(nvram)存储器。上述存储器类型仅为示例，因此不限制可用于存储计算机程序的存储器类型。
74.本文件所附的专利权利要求不意旨根据《美国法典》第35章第112节(f)进行解释，除非明确叙述了传统手段加函数语言，如(一个或多个)权利要求中明确叙述的“装置”或“步骤”语言。
75.此外，如本文所使用的，术语“实时”指代相关事件的发生时间、预定数据的测量和收集时间、处理数据的时间以及系统对事件和环境的响应时间中的至少一个。在本文描述的示例中，这些活动和事件基本上是瞬时发生的。
76.本文描述的方法和系统可以使用计算机编程或工程技术来实施，包括计算机软件、固件、硬件或任何组合或子集。如上所公开的，现有系统的至少一个技术问题是，需要用于监控通信网络的系统，其中网络随时间而变化。本文描述的系统和方法解决该技术问题。
此外，该系统提供的技术问题的至少一种技术解决方案可包括：(i)提高通过网络进行监控通信的准确性，(ii)基于所包括的用于分析的情景信息减少误报的机会；(iii)在通信性能的分析中包括所有适用数据；(iv)对通信性能的最新分析；以及(v)准确集成关于网络上所有设备的信息。
77.本文描述的方法和系统可以使用计算机编程或工程技术来实施，包括计算机软件、固件、硬件或其任何组合或子集，其中可以通过执行以下步骤中的至少一个来实现技术效果：a)存储关于包括多个设备的网络的多个情景信息，其中多个设备中的一个或多个设备是卫星，其中多个设备中的每个设备被配置为针对设备的每个连接端口执行算法和安全策略；b)在特定时间点确定网络的网络配置，其中特定时间点是第一特定时间，其中网络配置是第一网络配置；c)基于网络配置和多个情景信息，针对网络中的多个设备中的一个或多个设备生成一个或多个安全策略；d)将一个或多个安全策略部署到网络中的一个或多个设备，其中一个或多个设备被配置为鉴于一个或多个安全策略的对应安全策略执行算法以监控网络上的通信；e)从算法接收潜在恶意流量流的指示；f)在第二特定时间确定网络的第二网络配置；g)基于第二网络配置和多个情景信息，针对网络中的一个或多个设备生成一个或多个附加安全策略；h)将一个或多个附加安全策略部署到网络中的一个或多个设备，其中网络的拓扑结构在第二特定时间改变；i)确定在特定时间点在多个设备中的第一设备上执行的第一算法；j)在特定时间点针对第一算法和第一设备生成第一安全策略；k)将第一算法和第一安全策略部署到第一设备；l)向第一设备发送信号以执行第一算法和第一安全策略，m)确定在随后的时间点在第一设备上执行的第二算法；n)在随后的时间点针对第二算法和第一设备生成第二安全策略；o)将第二算法和第二安全策略部署到第一设备；p)接收网络的更新的网络配置数据；q)基于更新的网络配置数据生成至少一个更新的安全策略；r)部署至少一个更新的安全策略；s)当要激活安全策略时，将每个安全策略发送到对应的设备；t)部署一个或多个策略，至少一个处理器还经编程以在要激活安全策略时，向对应设备发送信号，其中多个设备中的每个设备存储一个或多个安全策略；以及u)向对应的设备发送时间表，其中时间表包括激活时间段，在激活时间段期间，要激活每个安全策略，其中多个设备中的每个设备存储一个或多个安全策略，以及其中设备被配置为基于时间表激活对应的安全策略。
78.在一些进一步的示例中，还可以通过执行以下步骤中的至少一个来实现技术效果：a)存储多个安全策略、至少一个算法和时间表，其中多个安全策略基于网络的至少一种配置；b)基于时间表和第一时间点确定多个安全策略中的安全策略和至少一个算法的算法为活动的；c)激活算法和安全策略，其中安全策略配置算法；以及d)基于算法和安全策略在至少一个端口上监控消息流量；e)基于时间表和第二时间点确定多个安全策略中的第二安全策略为活动的，其中算法为第一算法，安全策略为第一安全策略；f)激活第一算法和第二安全策略，其中第二安全策略配置第一算法；以及g)基于第一算法和第二安全策略在至少一个端口上监控消息流量。
79.本文讨论的计算机实现的方法可以包括附加的、较少的或替代的动作，包括本文别处讨论的那些动作。这些方法可以经由一个或多个本地或远程处理器、收发器、服务器和/或传感器(例如安装在车辆或移动设备上或与智能基础设施或远程服务器相关联的处理器、收发器、服务器和/或传感器)，和/或经由存储在一个或多个非暂时性计算机可读介
质上的计算机可执行指令来实现。此外，本文讨论的计算机系统可以包括附加的、较少的或替代的功能，包括本文别处讨论的功能。本文讨论的计算机系统可以包括存储在一个或多个非暂时性计算机可读介质上的计算机可执行指令或经由其来实施。
80.如本文所使用的，术语“非暂时性计算机可读介质”意旨表示以任何方法或技术实施的任何有形的基于计算机的设备，用于信息的短期和长期存储，例如计算机可读指令、数据结构、程序模块和子模块，或任何设备中的其他数据。因此，本文描述的方法可以被编码为体现在有形、非暂时、计算机可读介质中的可执行指令，该介质包括但不限于存储设备和/或存储器设备。此类指令当由处理器执行时，导致处理器执行本文所描述的方法的至少一部分。此外，如本文所使用的，术语“非暂时性计算机可读介质”包括所有有形的计算机可读介质，包括但不限于非暂时性计算机存储设备，包括但不限于易失性和非易失性介质，以及可移动和不可移动介质，例如固件、物理和虚拟存储器、cd-rom、dvd和任何其他数字源(诸如网络或互联网)，以及有待开发的数字手段，唯一的例外是暂时的传播信号。
81.此外，本公开包括根据以下条款的实施例：
82.条款1.一种检测网络(200)中恶意流量流的系统，该系统包括计算机系统(710)，该计算机系统包括与至少一个存储器设备(910)通信的至少一个处理器(905)，其中至少一个处理器(905)经编程以：
83.存储关于包括多个设备(100)的网络(200)的多个情景信息；
84.在特定时间点确定网络(200)的网络配置(202)；
85.基于网络配置(202)和多个情景信息，为网络(200)中的多个设备(100)中的一个或多个设备(100)生成一个或多个安全策略；以及
86.将一个或多个安全策略部署到网络(200)中的一个或多个设备(100)，其中一个或多个设备(100)被配置为鉴于一个或多个安全策略的对应安全策略来执行算法以监控网络(200)上的通信。
87.条款2.根据条款1所述的系统，其中至少一个处理器(905)进一步经编程以从算法接收潜在恶意流量流的指示。
88.条款3.根据条款1或2所述的系统，其中特定时间点是第一特定时间，其中网络配置(202)是第一网络配置(202)，并且其中至少一个处理器(905)进一步经编程以：
89.在第二特定时间确定网络(200)的第二网络配置(302)；
90.基于第二网络配置(302)和多个情景信息，为网络(200)中的一个或多个设备(100)生成一个或多个附加安全策略；以及
91.将一个或多个附加安全策略部署到网络(200)中的一个或多个设备(100)。
92.条款4.根据条款3所述的系统，其中网络(200)的拓扑结构在第二特定时间改变。
93.条款5.根据条款1-4中任一项所述的系统，其中至少一个处理器(905)进一步经编程以：
94.确定在特定时间点在多个设备(100)中的第一设备(100)上执行的第一算法；
95.在特定时间点为第一算法和第一设备(100)生成第一安全策略；以及
96.将第一算法和第一安全策略部署到第一设备(100)。
97.条款6.根据条款5所述的系统，其中至少一个处理器(905)进一步经编程以向第一设备(100)发送信号以执行第一算法和第一安全策略。
98.条款7.根据条款5所述的系统，其中至少一个处理器(905)进一步经编程以：
99.确定在随后的时间点在第一设备(100)上执行的第二算法；
100.在随后的时间点为第二算法和第一设备(100)生成第二安全策略；以及
101.将第二算法和第二安全策略部署到第一设备(100)。
102.条款8.根据条款1-7中任一项所述的系统，其中多个设备(100)中的一个或多个设备(100)为卫星(100)。
103.条款9.根据条款1-8中任一项所述的系统，其中多个设备(100)中的每个设备(100)被配置为为设备(100)的每个连接端口执行算法和对应的安全策略。
104.条款10.根据条款1-9中任一项所述的系统，其中至少一个处理器(905)进一步经编程以：
105.接收用于网络(200)的更新的网络配置(202)数据；
106.基于更新的网络配置(202)数据生成至少一个更新的安全策略；以及
107.部署至少一个更新的安全策略。
108.条款11.根据条款1-10中任一项所述的系统，其中为了部署一个或多个安全策略，至少一个处理器(905)进一步经编程以在要激活安全策略时将每个安全策略发送到对应的设备(100)。
109.条款12.根据条款1-11中任一项所述的系统，其中多个设备(100)中的每个设备(100)存储一个或多个安全策略，并且其中为了部署一个或多个安全策略，至少一个处理器(905)进一步经编程以在要激活安全策略时向对应的设备(100)发送信号。
110.条款13.根据条款1-12中任一项所述的系统，其中多个设备(100)中的每个设备(100)存储一个或多个安全策略，并且其中为了部署一个或多个安全策略，至少一个处理器(905)进一步经编程以向对应设备(100)发送时间表，其中时间表包括激活时间段，在激活时间段期间，要激活每个安全策略，并且其中设备(100)被配置为基于时间表激活对应的安全策略。
111.条款14.一种用于检测网络(200)中的恶意流量流的方法，该方法由计算机系统(710)实现，该计算机系统(710)包括与至少一个存储器设备(910)通信的至少一个处理器(905)，其中该方法包括：
112.存储关于包括多个设备(100)的网络(200)的多个情景信息；
113.在特定时间点确定网络(200)的网络配置(202)；
114.基于网络配置(202)和多个情景信息，为网络(200)中的多个设备(100)中的一个或多个设备(100)生成一个或多个安全策略；以及
115.将一个或多个安全策略部署到网络(200)中的一个或多个设备(100)，其中一个或多个设备(100)被配置为鉴于一个或多个安全策略的对应安全策略执行算法以监控网络(200)上的通信。
116.条款15.根据条款14所述的方法，还包括从算法接收潜在恶意流量流的指示。
117.条款16.根据条款14或条款15所述的方法，其中特定时间点是第一特定时间，其中网络配置(202)是第一网络配置(202)，并且其中该方法还包括：
118.在第二特定时间确定网络(200)的第二网络配置(302)；
119.基于第二网络配置(302)和多个情景信息，为网络(200)中的一个或多个设备
(100)生成一个或多个附加安全策略；以及
120.将一个或多个附加安全策略部署到网络(200)中的一个或多个设备(100)。
121.条款17.根据条款14-16中任一项所述的方法，还包括：
122.确定在特定时间点在多个设备(100)中的第一设备(100)上执行的第一算法；
123.在特定时间点为第一算法和第一设备(100)生成第一安全策略；以及
124.将第一算法和第一安全策略部署到第一设备(100)。
125.条款18.根据条款17所述的方法，还包括向第一设备(100)发送信号以执行第一算法和第一安全策略。
126.条款19.一种用于检测网络(200)中的恶意流量流的系统，该系统包括计算机系统(710)，该计算机系统包括与至少一个存储器设备(910)通信的至少一个处理器(905)，其中至少一个处理器(905)与网络(200)中的多个设备(100)通信，其中至少一个处理器(905)经编程以：
127.存储多个安全策略、至少一个算法和时间表，其中多个安全策略基于网络(200)的至少一种配置；
128.基于时间表和第一时间点确定多个安全策略的安全策略和至少一个算法的算法为活动的；
129.激活算法和安全策略，其中安全策略配置算法；以及
130.基于算法和安全策略，在至少一个端口上监控消息流量。
131.条款20.根据条款19的所述系统，其中算法是第一算法，安全策略是第一安全策略，其中至少一个处理器(905)进一步经编程以：
132.基于时间表和第二时间点确定多个安全策略中的第二安全策略为活动的；
133.激活第一算法和第二安全策略，其中第二安全策略配置第一算法；以及
134.基于第一算法和第二安全策略在至少一个端口上监控消息流量。
135.本书面描述使用示例来公开各种实施方式，包括最佳模式，并且还使本领域技术人员能够实践各种实施方式，包括制造和使用任何设备或系统以及执行任何合并的方法。本公开的可专利范围由权利要求限定，并且可以包括本领域技术人员想到的其他示例。如果这些其他示例具有与权利要求书的文字语言没有区别的结构元素，或者如果它们包括与权利要求书的文字语言没有实质性区别的等效结构元素，则这些其他示例意旨在权利要求书的范围内。