[发明专利]用于计算机网络的企业任务管理的系统及方法

说明书

技术领域

发明性布置涉及计算机网络安全性，且更特定来说涉及用于在计算机网络的两个或两个以上逻辑子区之间通信的系统，其中所述网络可动态地操纵以抵御恶意攻击。

背景技术

当前网络基础结构的主要弱点是其静态本性。资产接收永久或不常改变的识别，此允许对手几乎不限时间地探测网络、映射及利用漏洞。另外，可捕获在这些固定实体之间行进的数据及给所述数据赋予属性。网络安全性的当前方法围绕固定资产应用例如防火墙及入侵检测系统等技术，且使用加密来保护途中的数据。然而，此传统方法根本上存在缺陷，因为其给攻击者提供固定目标。在今天的全球连接的通信基础结构中，静态网络为易受攻击的网络。

国防先进研究计划局(“DARPA”)信息保证(“IA”)项目已执行动态网络防御领域中的初始研究。在IA项目下开发用以出于使观察网络的任何潜在对手混淆的目的而动态地重新指配馈送到预先指定的网络飞地中的因特网协议(“IP”)地址空间的技术。此技术称作动态网络地址变换(“DYNAT”)。在于2001年公布的标题为“用以阻挠对手智能的动态方法(Dynamic Approaches to Thwart Adversary Intelligence)”的DARPA的论文中提出DYNAT技术的概述。

发明内容

本发明的实施例涉及用于其中节点操作可动态地配置的计算机网络的企业任务管理的系统及方法。所述方法涉及将所述计算机网络配置为根据至少一个第一任务计划操作。所述第一任务计划指定将由所述计算机网络的至少一个第一节点动态地修改至少一个第一身份参数(“IDP”)的经指配值的方式。此后，在所述计算机网络内检测指示需要在所述计算机网络内实施新任务计划的第一触发事件。可基于以下各项来检测所述第一触发事件：正在所述计算机网络内传达的包的内容、所述计算机网络的拥塞等级、所述计算机网络的状态、所述计算机网络内的用户活动，及/或对所述计算机网络的恶意攻击。

响应于所述触发事件，获得第二任务计划。所述第二任务计划指定将由所述计算机网络的至少一个第二节点动态地修改至少一个第二IDP的经指配值的方式。在一些情景中，通过以下各项来获得所述第二任务计划：基于新任务的要求及来自分析所述计算机网络的操作方面的结果从多个预存储的任务计划选择任务计划；基于新任务的要求及来自分析所述计算机网络的操作方面的结果而自动地产生任务计划；或基于以下各项中的至少一者而动态地产生任务计划：任务的操作的概念、所述计算机网络的架构、所述计算机网络的资源之间的关系，及与多个IDP相关联的有效性评级。

接下来，做出关于在由所述第二任务计划定义的所述第二节点的操作与由所述第一任务计划定义的所述第一节点的操作之间是否存在任何冲突的确定。如果确定在由所述第一任务计划及所述第二任务计划定义的所述第一节点及所述第二节点的操作之间不存在冲突，那么所述计算机网络的操作经配置以进一步根据所述第二任务计划操作。与此对比，如果确定在由所述第一任务计划及所述第二任务计划定义的所述第一节点及所述第二节点的操作之间确实存在冲突，那么修改所述第二任务计划以获得第三任务计划。随后，做出关于在由所述第三任务计划定义的第三节点的操作与由所述第一任务计划定义的所述第一节点的操作之间是否存在任何冲突的确定。如果确定在如由所述第一任务计划及所述第三任务计划定义的所述第一节点及所述第三节点的操作之间不存在冲突，那么所述计算机网络的操作经配置以根据所述第三任务计划操作。

在一些情景中，所述方法还可涉及确定所述计算机网络是否应继续根据作用中的第一或第二任务计划操作。如果确定所述计算机网络不应继续根据所述作用中的第一或第二任务计划操作，那么执行操作以：重新配置所述计算机网络以使得所述计算机网络不再根据所述第一任务计划或所述第二任务计划操作；及/或重新配置所述计算机网络以根据第三任务计划而非所述第一任务计划或所述第二任务计划操作。

附图说明

将参考以下绘图描述实施例，其中遍及所述图，相似编号表示相似物项，且其中：

图1是对于理解本发明有用的计算机网络的实例。

图2是在本发明中可用于执行IDP的某些操控的模块的实例。

图3是用于手动地产生任务计划的示范性过程的流程图。

图4是对于理解可用以帮助表征图1中的网络的工具有用的图式。

图5是可用以选择图1中的模块的动态设置的图形用户接口(“GUI”)的实例。