CN106716952B - 一种用于对安全异常进行分布式检测的方法、设备及介质 - Google Patents
一种用于对安全异常进行分布式检测的方法、设备及介质 Download PDFInfo
- Publication number
- CN106716952B CN106716952B CN201580046466.8A CN201580046466A CN106716952B CN 106716952 B CN106716952 B CN 106716952B CN 201580046466 A CN201580046466 A CN 201580046466A CN 106716952 B CN106716952 B CN 106716952B
- Authority
- CN
- China
- Prior art keywords
- virtual network
- computing device
- network function
- packets
- inter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
Abstract
用于对安全异常进行分布式检测的技术包括一种用于与安全服务器建立可信关系的计算设备。所述计算设备响应于建立所述可信关系而读取虚拟网络功能间网络或虚拟网络功能部件间网络中至少一者的一个或多个分组并且执行对所述一个或多个分组的安全威胁评估。所述计算设备将所述安全威胁评估传输至所述安全服务器。
Description
相关美国专利申请的交叉引用
本申请要求于2014年10月13日提交的题为“TECHNOLOGIES FOR DISTRIBUTEDDETECTION OF SECURITY ANOMOLIES(用于对安全异常进行分布式检测的技术)”美国实用新型专利申请序列号14/513,140的优先权,并根据35U.S.C.§119(e)要求于2014年9月30日提交的题为“TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES(用于对安全异常进行分布式检测的技术)”的美国临时申请序列号62/058,096的优先权。
背景技术
各种技术规范定义了网络工作的方式并且服务由世界范围的网络运营商和服务提供商部署和管理。例如,规范定义了使用虚拟化平台来递送服务并且经常服务内的组成部分可以“链接”在一起。这种技术规范包括例如针对网络功能虚拟化的欧洲电信标准学会的标准(ETSI NFV)。当网络运营商在如由 ETSI NFV当前定义的虚拟网络功能模型上运行网络功能和服务时,传统上可用于物理联网系统的很好定义的接口不再可用于流分组之间的分析。这样,用于确保威胁被检测到并作出响应以便例如防止订户访问为具有较高特权级别的订户保留的关于网络功能的服务的系统能力可以被显著地抑制。
附图说明
在附图中,以示例的方式而非限制的方式来展示在本文中所描述的概念。为了说明的简单和清晰起见,在附图中所展示的元件不一定按比例绘制。在认为适当的情况下,在附图当中重复参考标号以表示相应或相似的元件。
图1是一种用于对安全异常进行分布式检测的系统的至少一个实施例的简化框图;
图2是图1的系统的主干网络系统的至少一个实施例的简化框图;
图3是图2的主干网络系统的服务器的至少一个实施例的简化框图;
图4是图3的服务器的环境的至少一个实施例的简化框图;
图5至图6是一种可由图2的服务器执行的用于对安全异常进行分布式检测的方法的至少一个实施例的简化流程图;并且
图7是一种可由图2的安全服务器执行的用于对安全异常进行分布式检测的方法的至少一个实施例的简化流程图。
具体实施方式
虽然本公开的概念易于经历各种修改和替代形式,但是在附图中已经通过示例的方式来示出了其特定实施例并且将在本文中详细地对其进行描述。然而,应当理解的是,并不旨在将本公开的概念限制于所公开的特定形式,而相反,意图是覆盖与本公开和所附权利要求书一致的所有修改型式、等效型式和替代型式。
在说明书中提到的“一个实施例”、“实施例”、“说明性施例”等指示所描述的实施例可以包括特定特征、结构或特性,但每一个实施例可能或者可能不一定包括该特定特征、结构或特性。此外,这种短语不一定指相同的实施例。此外,当关于实施例而描述了特定特征、结构或特性时,所认为的是,无论是否进行了明确描述,关于其他实施例来实现这种特征、结构或特性都在本领域技术人员的知识内。另外,应当认识到,包括在采用“至少一个A、B和 C”形式的列表中的项可意指(A);(B);(C);(A和B);(B和C); (A和C);或(A、B和C)。类似地,采用“A、B或C中的至少一者”形式列出的项可意指(A);(B);(C);(A和B);(B和C);(A和C);或(A、B和C)。
在一些情况下,可以在硬件、固件、软件或其任意组合中实现所公开的实施例。所公开的实施例还可以被实现为一个或多个瞬态或非瞬态机器可读(例如,计算机可读)存储介质所携带或其上所存储的指令,这些指令可以由一个或多个处理器读取和执行。机器可读存储介质可以具体化为任何存储设备、机制、或用于存储或传输采用机器可读形式的信息的其他物理结构(例如,易失性或非易失性存储器、介质盘或其他介质设备)。
在附图中,一些结构或方法特征可能以具体安排和/或顺序示出。然而,应当理解的是,可以不需要这样的具体安排和/或顺序。相反,在一些实施例中,可以采用不同于在说明性图中所示出的方式和/或顺序来安排这种特征。另外,在具体的图中包括结构性特征或方法特征并不意味着暗示在所有的实施例中都需要这个特征,并且在一些实施例中,可以不包括这个特征或者这个特征可以与其他特征组合。
现在参照图1,一种用于对安全异常进行分布式检测的系统100说明性地包括主干网络系统102、回程网络系统104、一个或多个塔式系统106、以及一个或多个用户设备108。在说明性实施例中,用户设备108借助于塔式系统106 与回程网络系统104进行通信,并且回程网络系统104确保合适的数据分组被路由至主干网络系统102以用于处理和/或进一步路由。应理解的是,主干网络系统102、回程网络系统104、塔式系统106以及用户设备108中的每一者都可以被具体化为用于执行本文描述的功能的任何合适的设备或设备集。在说明性实施例中,主干网络系统102、回程网络系统104和塔式系统106中的每一者使得能够在用户设备108和/或其他设备之间进行电信通信(例如,经由互联网)。进一步地,主干网络系统102、回程网络系统104和塔式系统106可以包括任意数量的设备、网络、路由器、交换机、计算机和/或其他介入设备,以根据具体实现方式促进其相应的功能。
在一些实施例中,主干网络系统102可以被具体化为具有虚拟演进分组核心(vEPC)架构的基于网络功能虚拟化(NFV)的长期演进(LTE)主干网络。应理解的是,主干网络系统102可以充当集中式网络,并且在一些实施例中可以通信地耦合至另一个网络(例如,互联网)。在说明性实施例中,回程网络系统104包括(例如,经由中间链路)将主干网络系统102通信地耦合至塔式系统106、子网络和/或边缘网络的一个或多个设备。在一些实施例中,回程网络系统104可以被具体化为LTE回程网络系统并且可以包括各种网络,包括,例如,T1网络、IP网络、光网络、ATM网络、租用网络和/或其他网络。
塔式系统106包括被配置成用于准许通信设备(例如,移动计算设备(例如,移动电话))和/或其他用户设备108与另一个和/或其他远程设备进行通信的硬件。在这样做时,塔式系统106使得用户设备108能够与回程网络系统 104进行通信。在一些实施例中,一个或多个塔式系统106可以包括或以其他方式具体化为演进型基站(eNodeB),所述eNodeB被配置成用于与一个或多个用户设备108(例如,移动计算设备手持机)直接地或间接地进行通信。进一步地,根据具体实施例,塔式系统106可以包括或充当例如基站收发站(BTS) 或另一个站/系统。用户设备108可以被具体化为能够执行本文描述的功能的任何类型的计算设备。例如,在利用LTE回程和主干系统的实施例中,用户设备108可以被具体化为移动计算设备(例如,智能电话)并且可以被配置成用于利用蜂窝网路。
如以下详细所述,系统100可以利用各种虚拟网络功能,同时确保威胁被检测到并且(例如,经由流分组间分析)对所述威胁采取动作。另外,系统100 可以使用可信执行环境(TEE)在虚拟平台上提供增强的且细粒度安全检查能力。如下所述,在说明性实施例中,TEE被建立为安全区域,如,
软件防护扩展(SGX)。然而,在其他实施例中,TEE可以以其他方式被建立或具体化为例如管理引擎(ME)、可信平台模块(TPM)、创新引擎(IE)、安全分区、单独的处理器核,和/或以其他方式建立。
应理解的是,在网络功能虚拟化(NVF)环境中,传统的很好定义的非虚拟化环境接口通常不可用并且NFV系统可以包括多个虚拟网络功能(VNF),其中每个VNF可以包括一个或多个虚拟网络功能部件(VNFC)。VNF和/或 VNFC可以使用各种不同的机制与彼此通信,包括,例如,共享存储器、关闭的OS或管理程序特定的应用程序编程接口(API)、网络虚拟交换机测试接入点(TAP)、和/或其他机制。进一步地,在一些实施例中,可以使用例如互联网安全协议(IPsec)或安全套接字层(SSL)来对VNF内和/或VNF内流量进行加密。这样,应理解的是,传统机制可能不提供一致的方式由传统网络检查系统以针对虚拟化环境中的所有流量的清晰可见性高效地操作。
然而,在说明性实施例中,系统100被配置成用于使用TEE的能力(例如,结合微代码(ucode)、硬件指令和/或其他机制)跨虚拟化系统检查分组和/或流。例如,如下所述,系统100的每个服务器或平台可以包括充当平台安全策略检查器角色的平台特定的TEE。具体地,平台特定的TEE可以(例如,通过IP侧信道间机制)检查来自(即,进入和/或外出)于网络MAC/以太网和/或其他网络/通信接口的所有分组。另外,平台特定的TEE可以使用定义的API(例如,HECI接口)基于管理程序(例如,虚拟机监视器)特权以及与 TEE的通信检查共享存储器和/或专用API。平台特定的TEE可以另外或替代性地基于在有符号且反回退的受保护微代码(ucode)补丁上调用的更高特权来检查本地和共享处理器(例如,CPU)以及SoC缓冲存储器。在一些实施例中,平台特定的TEE使用基于TEE的VNFC隧道间密钥来监测受保护的VNFC 内和VNF内流量。另外或替代性地,平台特定的TEE可以使用接入各虚拟交换机接口和TAP的管理程序来访问流量数据。
应理解的是,在一些实施例中,TEE可以在平台上从多个源收集信息并且可以用比传统系统中所使用的方式详细得多的方式这样做。例如,TEE可以根据策略被配置成用于监测所有或所选的分组、网络流、跟踪包修改,和/或执行其他监测功能。TEE可以在所收集的数据上运行高级启发,并且根据具体策略保留威胁信息。进一步地,TEE可以基于策略和/或所接收的补救指令(例如,封锁特定的流、复制分组等)采取一个或多个补救动作。在一些实施例中,TEE 可以将异议和/或威胁启发传达至被提名的TEE(例如,在NFV分布式威胁检测安全系统上),其可以执行系统范围的安全威胁启发/分析。应理解的是,在一些实施例中,TEE“被提名”,其意义为:分布式威胁检测系统被设计从而使得其他TEE将安全信息传输至所述提名的TEE以用于进一步(例如,更宽范围的)分析。如下所述,在一些实施例中,经提名的TEE可以包括在安全服务器和/或分布式威胁检测安全系统中。进一步地,在一些实施例中,多个 TEE可以被提名以执行系统范围的或子系统范围的安全威胁分析,并且TEE 可以按层级安排。例如,在实施例中,第一提名的TEE可以基于从第一子系统中的服务器的相应TEE接收的信息执行第一子系统的安全威胁分析,并且第二提名的TEE可以基于从第二子系统中的服务器的相应TEE接收的信息执行第二子系统的安全威胁分析,等等。那些子系统TEE(例如,第一和第二提名TEE)中的每个TEE可以将其分析和/或附加信息提供至处于“更高”层级处的另一个提名的TEE,以基于从较低级别提名的TEE接收的信息执行全系统范围(或更大子系统范围)安全威胁分析。当然,经提名的TEE的数量和/ 或层级可以根据具体的实施例变化。
应理解的是,TEE的分层能力可以允许制定本地补救动作并且同时使能能够针对跨多个平台跨越VNF和VNFC的流进行系统范围的威胁检测和补救。在一些实施例中,TEE可以被保护(包括所有代码和数据),并且仅基于签名验证和测量结果(例如,使用TPM或虚拟TPM)被加载。进一步地,TEE可以具有用于运行由用于启用TPV和/或其他供应商的根密钥授权的签名验证的第三方验证(TPV)代码的能力。应理解的是,本文描述的用于通信的接口可以包括例如在SoC或处理器内的IP间通信(IPC)、设备驱动器模型(例如, HECI接口)、虚拟LAN附件、用于部件间交互的现有协议(例如,PECI、 SMBUS等)。在其他实施例中,所述部件可以例如在TLS保护的基于HTTPS 网页的REST API之上进行通信。应进一步理解的是,在一些实施例中,系统 100可以用平台方式、管理程序方式和云OS中性方式来实现。
现在参照图2,在说明性实施例中,主干网络系统102包括一个或多个 VNF 202、一个或多个服务器204、以及安全服务器206。另外,在一些实施例中,主干网络系统102包括补救服务器208和/或编排器210。尽管在图2中说明性地示出了仅一个安全服务器206、一个补救服务器208以及一个编排器 210,但是在其他实施例中主干网络系统102可以包括任意数量的安全服务器 206、补救服务器208和/或编排器210。例如,若干安全服务器206可以被包括,其中每个安全服务器可以包括如在此针对层级和分布式威胁检测所描述的经提名的TEE。应理解的是,在一些实施例中,服务器204和安全服务器206 中的每一个都可以包括类似的硬件、软件和/或固件部件。进一步地,在一些实施例中,安全服务器206可以被具体化为服务器204之一,除了包括如在此所述的经提名的TEE的安全服务器206之外。
现在参照图3,示出了系统102的服务器204、206的说明性实施例。如所示,说明性服务器204、206包括处理器310、输入/输出(“I/O”)子系统 312、存储器314、数据存储设备316、通信电路318、以及一个或多个外围设备320。另外,在某些实施例中,服务器204、206可以包括安全协处理器322。当然,在其他实施例中,服务器204、206可以包括其他或附加的部件,诸如在典型的计算设备中常见的那些部件(例如,各种输入/输出设备和/或其他部件)。另外,在某些实施例中,说明性部件中的一个或多个说明性部件可以结合在另一部件中,或以其他方式形成其一部分。例如,在某些实施例中,存储器314或其部分可以结合在处理器310中。
处理器310可以具体化为能够执行在本文中所描述的功能的任何类型的处理器。例如,处理器310可以具体化为(多个)单核或多核处理器、数字信号处理器、微控制器、或其他处理器或处理/控制电路。如所示,处理器310 可以包括一个或多个缓冲存储器324。应理解的是,存储器314可以具体化为能够执行在本文中所描述的功能的任何类型的易失性或非易失性存储器或数据存储设备。在操作中,存储器314可以存储在对服务器204、206的操作期间所使用的各种数据和软件,如操作系统、应用、程序、库、和驱动程序。存储器314经由I/O子系统312通信地耦合至处理器310,所述子系统可以具体化为电路和/或部件以促进处理器310、存储器314、和服务器204、206的其他部件的输入/输出操作。例如,I/O子系统312可以具体化为或以其他方式包括用于促进输入/输出操作的存储器控制器中枢、输入/输出控制中枢、固件设备、通信链路(即,点到点链路、总线链路、线、电缆、光导、印刷电路板迹线等) 和/或其他部件和子系统。在一些实施例中,I/O子系统312可以形成片上系统 (SoC)的一部分并且可以与服务器204、206的处理器310、存储器314以及其他部件一起被结合在单个集成电路芯片上。
数据存储设备316可以具体化为被配置成用于对数据进行短期或长期存储的任何类型的一种或多种设备,如例如,存储器设备和电路、存储器卡、硬盘驱动器、固态驱动器或其他数据存储设备。数据存储设备316和/或存储器 314可以存储在服务器204、206的操作期间对执行本文所述的功能有用的各种数据。
通信电路318可以具体化为能够使能通过网络108在服务器204、206与其他远程设备之间实现通信的任何通信电路、设备或其集合。通信电路318可以被配置成用于使用任何一项或多项通信技术(例如,无线或有线通信)和相关联的协议(例如,以太网、
WiMAX等)来实现这种通信。在一些实施例中,通信电路318包括蜂窝通信电路和/或其他远程无线通信电路。
外围设备320可以包括任何数量的附加外围或接口设备,诸如扬声器、麦克风、附加存储设备等等。包括在外围设备320中的具体设备可以取决于例如服务器204、206的类型和/或预期用途。
安全协处理器322(如果包括的话)可以具体化为能够执行安全功能、密码功能和/或建立可信执行环境的任何(多个)硬件部件或电路。例如,在一些实施例中,安全协处理器322可以具体化为可信平台模块(TPM)或带外处理器。另外,在一些实施例中,安全协处理器322可以建立与远程设备(例如,其他服务器204、206的相应安全协处理器322)的带外通信链路。
返回参照图2,如所示,主干网络系统102包括一个或多个虚拟网络功能 (VNF)202,其中每个VNF可以包括一个或多个虚拟网络功能部件(VNFC) 212。应理解的是,VNF202可以被具体化为任何合适的虚拟网络功能;类似地,VNFC 212可以被具体化为任何合适的VNF部件。例如,在一些实施例中, VNF 202可以包括安全网关(SGW)、分组数据网络网关(PNG)、计费功能和/或其他虚拟网络功能。在一些实施例中,特定的VNF 202可以具有多个子实例,所述子实例可以在相同的服务器204、206或不同的服务器204、206上执行。换言之,当被虚拟化时,传统上由与特定服务器204、206共同定位的物理硬件处理的网络功能可以跨一个或多个服务器204、206分布为VNF 202。在说明性实施例中,VNFC 212是合作以传递一个或多个VNF 202的功能的过程和/或实例。例如,在一些实施例中,VNFC 212是VNF 202的子模块。类似于VNF 202,应理解的是,VNFC 212可以跨一个或多个服务器204、206分布。进一步地,应理解的是,特定的VNFC 212可以跨多个服务器204、206分布并且仍形成在单个服务器204、206上建立的VNF 202的一部分。
如本文所描述的,在说明性实施例中,一个或多个服务器204、206的VNF 202可以例如经由一个或多个VNF间通信机制在NVF间通信网络240之上彼此进行通信。类似地,一个或多个服务器204、206的VNFC 212可以例如经由一个或多个VNFC间通信机制在NVFC间通信网络242之上彼此进行通信。应理解的是,VNF间和VNFC间通信机制可以被具体化为被配置成用于使能VNF间和/或VNFC间通信的任何合适的机制。例如,在一些实施例中,VNF 202和/或VNFC 212可以使用敞开式交换机利用管理程序和分组分析、基于标准格式的格式化分组、共享存储器(例如,由管理程序保存的物理/虚拟存储器)和 /或其他合适的机制来与彼此进行通信。在说明性实施例中,服务器204、206 的在其上特定的VNF 202或VNFC 212正执行的TEE被配置成用于(直接地或间接地)读取与特定的VNF 202或VNFC 212相关联的VNF间或VNFC间通信。
应理解的是,VNF 202可以将分组处理成服务链。然而,在操作过程中,一个或多个运行时威胁可以被注入系统中,其可以规避一组分组或流被整个服务链处理,如由特定的策略所要求的那样。这样,服务器204、206的TEE可以用于识别这种异常以及异常的VNF运行时行为,包括,例如,恶意TCP同步洪泛、丢包、流断开、违反应用级别策略以及其他可能的安全威胁。这样, TEE可以充当服务器的安全策略检查器的角色。
在图2的说明性实施例中,服务器204中的每一个包括管理程序214、存储器314、缓存324、一个或多个引擎220、一个或多个网络接口222以及可信执行环境224。另外,管理程序214包括一个或多个API 226、虚拟交换机(v 交换机)228、一个或多个加密隧道230、以及共享存储器232。当然,服务器 204在一些实施例中可以包括附加部件,所述部件为了描述简洁被省略。
管理程序214或虚拟机监视器在相应的服务器204上运行一个或多个虚拟机(VM)。这样,管理程序214可以建立和/或利用各种虚拟化硬件资源(例如,虚拟存储器、虚拟操作系统、虚拟联网部件等)。包括在管理程序214和 /或服务器204中的特定API 226通常可以根据特定的服务器204变化。在一些实施例中,API 226包括一个或多个专有API。在一些实施例中,API 226可以提供对(例如,与特定VNF 202相关联的)分组的访问,从而使得它们可以由 TEE 224分析。虚拟交换机228可以用于强制执行网络策略和/或强制执行动作 (例如,丢包、监测流、执行深度检查、执行补救动作等)。例如,虚拟交换机216可以准许系统102中的虚拟机(VM)联网。如下所述,在一些实施例中,服务器204可以建立加密隧道218以用于安全通信(例如,用于在VNF 202 之间和/或在VNFC 212之间与安全服务器206进行通信)。在一些实施例中,加密隧道218可以由服务器204的TEE 224读取(例如,借助于访问相应的加密密钥以加密形式或以非加密形式)。另外,在一些实施例中,一个或多个 VM、VNF 202和/或VNFC 212可以利用共享存储器232。例如,在一些实施例中,VNF 202和VNFC 212可以利用共享存储器232与彼此进行通信。应理解的是,根据具体实施例,共享存储器232可以包括物理存储器和/或虚拟存储器。在说明性实施例中,特定服务器204的TEE 224可以访问所述服务器204 的API 226、虚拟交换机228、加密隧道230以及共享存储器232中的每一个,以便检索针对一个或多个分组/流的安全威胁分析的数据。另外,TEE 224可以访问用于这种分析的VNF间和VNFC间通信。
如上所述,服务器204包括存储器314、缓存324、引擎220、网络接口 222以及TEE224。应理解的是,存储器314可以具体化为能够执行在本文中所描述的功能的任何类型的易失性或非易失性存储器或数据存储设备。进一步地,在一些实施例中,存储器314可以包括软件定义的存储。所述一个或多个引擎220可以被具体化为任何硬件、固件和/或软件部件,所述部件在准备安全评估的过程中生成对TEE 224和/或安全服务器206有用的数据。例如,引擎 220可以包括SoC、图形引擎、安全引擎、音频引擎、加密模块、TPM、协处理器、通信链路或信道、交换机、和/或被配置成用于处理或以其他方式处理数据的另一个引擎。网络接口222可以被具体化为与数据分组的联网过程相关联的任何接口。例如,在一些实施例中,网络接口222包括网络MAC/以太网接口、软件定义的联网模块、和/或另一个网络接口。
如以上所指示的,在说明性实施例中,TEE 224被建立为安全区域,如,
软件防护扩展(SGX)。然而,在其他实施例中,TEE 224可以以其他方式被建立为例如管理引擎(ME)、可信平台模块(TPM)、创新引擎(IE)、安全分区、单独的处理器核,和/或以其他方式建立。例如,在一些实施例中,可以借助于安全协处理器322实施或建立TEE 224。如本文所讨论的,TEE 224 被配置成用于从服务器204的各部件检索数据,所述TEE 224可以用于执行安全分析。在一些实施例中,TEE 224可以基于所检索的数据执行本地安全分析。进一步地,在说明性实施例中,TEE 224将安全威胁评估数据(即,所收集的数据和/或分析结果)传输至安全服务器206的相应TEE 224(即,至提名的 TEE 224)。应理解的是,在说明性实施例中,TEE 224可以经由带外通信网络彼此进行通信。
如本文所讨论的,安全服务器206的经提名的TEE 224执行系统范围的(或更大子系统范围的)安全评估。在一些实施例中,安全服务器206可以与补救服务器208进行通信以请求与安全评估相关联的补救指令(即,有待由服务器 204执行的合适动作)。如图2中所示,补救服务器208可以被包括在云计算环境234内,在这种情况下,补救服务器208可以与编排器210协商以确定合适的补救动作/指令。补救服务器208和编排器210可以被具体化为能够执行本文描述的功能的任何服务器或计算设备。进一步地,补救服务器208和编排器210可以包括与上述服务器204、206的部件和/或服务器中常见的部件(如,处理器、存储器、I/O子系统、数据存储设备、外围设备等等)类似的部件,所述部件为了描述简洁未在图2中展示。
现在参照图4,在使用中,一个或多个服务器204、206建立用于对安全异常进行分布式检测的环境400。服务器204、206的说明性环境400包括安全模块402、可信执行环境模块404、通信模块406、安全威胁数据库408、一个或多个策略410(例如,安全和/或配置策略)、以及启发式代码412。环境400 中的每个模块都可以具体化为硬件、软件、固件或其组合。另外,在一些实施例中,一个或多个说明性模块可以形成另一个模块的一部分和/或一个或多个说明性模块可以被具体化为一个单独的或独立的模块。例如,环境400的模块、逻辑和其他部件中的每一者可以形成服务器204、206的处理器310的一部分或另外由计算设备的处理器来建立。
安全模块402被配置成用于执行服务器206的各种安全功能。例如,安全模块402可以处理生成和验证加密密钥、签名、散列、和/或执行其他加密功能。
可信执行环境模块404建立可信执行环境(例如,TEE 224)或者另外在服务器204、206内的安全环境。如上所述,TEE 224可以与另一个服务器204、 206的相应TEE 224建立可信关系。例如,在这样做时,TEE 224可以执行密钥交换。在一些实施例中,TEE 224可以经由建立的加密的和/或另外安全的隧道彼此进行通信。如上所述,在一些实施例中,TEE 224可以经由带外通信信道(即,与相应服务器204、206之间的公共通信信道分离的通信信道)彼此进行通信。例如,服务器204之一的TEE 224可以与安全服务器206的TEE 224 建立可信关系。进一步地,如上所述,TEE 224可以读取VNFC-VNFC网络和 VNF-VNF网络的分组,从存储器314、缓存324、引擎220和/或网络接口222 检索数据。进一步地,在一些实施例中,TEE模块404对服务器204、206的熔丝、存储器314、数据存储设备316和/或其他硬件部件进行读取,以确定服务器204、206的特定策略410(例如,配置或安全策略)。另外,TEE模块 404可以基于检索的信息执行服务器204、206的一个或多个分组的安全评估,以判定例如分组是否造成了安全威胁。在这样做时,TEE模块404可以从安全威胁数据库408检索数据或以其他方式将检索的安全威胁评估数据与安全威胁数据库408进行关联。应理解的是,服务器204之一可以执行本地安全威胁评估并且安全服务器206可以执行系统范围的(或更大子系统范围)安全威胁评估。这样,那些服务器204、206的安全威胁数据库408可以包括相应的数据。在一些实施例中,TEE模块404在评估一个或多个分组的安全性的过程中可以利用启发式代码412。在一些实施例中,启发式代码412识别在其中有问题的指令应被执行的参数和/或背景(例如,在VM或安全容器中)。另外或替代性地,启发式代码412可以识别恶意代码签名、白名单、黑名单和/或以其他方式包括在评估一个或多个分组/指令的安全性的过程中对TEE模块有用的数据。
通信模块406通过合适的网络处理服务器204、206与远程设备之间的通信。例如,如上所讨论的,服务器204、206的TEE 224可以经由带外通信信道或经由加密隧道彼此进行通信。
现在参照图5至图6,在使用中,服务器204可以执行用于对安全异常进行分布式检测的方法500。说明性方法500开始于框502,其中,服务器与安全服务器206建立可信关系。如以上所讨论的,在一些实施例中,安全服务器 206可以被具体化为服务器204之一,所述服务器包括已被选择或“命名”用于执行系统范围的或子系统范围的安全分析的TEE 224。在其他实施例中,安全服务器206可以被具体化为与服务器204分离的服务器。应理解的是,在建立可信关系的过程中,服务器204可以在框504中与安全服务器206交换密码密钥和/或可以在框506中使用可信根(root of trust)和/或熔丝密钥。例如,服务器204和/或安全服务器206可以包括(例如,加密地)绑定至服务器204、 206或更具体地服务器204、206的硬件部件(例如,安全协处理器322)的密码密钥或标识。
在框508中,服务器204安全地引导。在这样做时,在框510中,服务器 204(例如,从服务器204的安全非易失性存储器)检索其配置策略。在一些实施例中,配置策略可以指示执行参数、上下文信息和/或与服务器204的操作相关联的其他信息。例如,在一些实施例中,配置策略可以用于通知关于服务器204的硬件、固件和/或软件部件的TEE 224。
在框512中,服务器204与安全服务器206建立可信隧道。在这样做时,在框514中,服务器204可以播发其活性。为了这样做,服务器204可以与安全服务器206进行通信以通知安全服务器206所述服务器204是操作的。例如,服务器204可以将心跳信号传输至安全服务器206。进一步地,在一些实施例中,服务器204可以周期性地或连续地播发其活性。另外或替代性地,在框516 中,服务器204可以将其安全策略和/或启发式代码(例如,用于应用启发安全算法以分析分组数据)传输至安全服务器206。在一些实施例中,服务器204 可以传输整个安全策略,而在其他实施例中,安全服务器206可以维持各服务器204的安全策略,从而使得服务器204可以为安全服务器206仅提供安全策略的最新更新而不是整个安全策略。进一步地,在一些实施例中,安全服务器 204可以将启发式代码传输至服务器204以用于评估安全性。
在框518中,服务器204确定服务器204的运行时姿态(例如,上下文信息和/或状态信息)。在这样做时,在框420中,服务器204可以确定服务器 204的一个或多个VNF 202的运行时姿态。例如,服务器204可以根据VNF 202、 VNFC 212和/或VM确定服务器204的当前上下文。在框422,服务器204通过管理程序214读取VNFC-VNFC和/或VNF-VNF网络的一个或多个分组。具体地,服务器204可以通过虚拟交换机228和/或网络接口222读取 VNFC-VNFC和/或VNF-VNF网络的一个或多个分组。在框524中,服务器204 从服务器204的存储器314、232和/或缓存324中读取与VNFC和/或VNF进程执行状态相关联的一个或多个分组。在图6的框526中,服务器204通过服务器204的微代码(ucode)和/或BIOS使能服务器访问。在这样做时,在框 528中,服务器204可以读取服务器204的熔丝和/或状态以确定服务器204的策略(例如,安全策略)。
在框530中,服务器204可以执行对服务器204的本地威胁评估。应理解的是,服务器204可以利用检索的或以其他方式可由服务器204访问的策略、启发式代码、运行时姿态、分组和/或其他信息。在一些实施例中,服务器204 执行一个或多个启发式算法以执行安全威胁评估。在框534中,服务器204将安全威胁评估数据上报至安全服务器206。在这样做时,服务器204可以传输由服务器204收集的原始数据、本地安全评估数据、和/或由服务器204生成的中间数据。
根据具体实施例,在框536中,服务器204可以从安全服务器206或补救服务器208接收针对网络流/分组的补救动作指令。例如,如本文所讨论的,安全服务器206可以执行系统范围的威胁分析和/或从补救服务器208请求援助以判定是否应该由服务器204执行任何特定的补救动作。若否,则在一些实施例中,服务器204可以不接收来自安全服务器206的响应。当然,在一些实施例中,服务器204可以独立地判定是否执行安全补救动作。在框538中,服务器 204强制执行网络策略和/或任何补救动作。在一些实施例中,服务器204可以借助于虚拟交换机228和/或网络接口222这样做。具体的补救动作可以根据具体的安全威胁和/或具体的实施例变化。例如,在框540中,服务器204可以基于补救指令丢弃一个或多个网路分组。在框542中,服务器204可以监测一个或多个网络流。例如,在一些实施例中,安全服务器206或补救服务器208可以基于威胁分析指导服务器204监测可能造成安全风险的特定类别的网络流。进一步地,在框544中,服务器204可以基于补救指令执行一个或多个网路分组的深度分组检查。当然,服务器204可以根据具体实施例执行广泛的各种其他补救动作。
现在参照图7,在使用中,安全服务器206可以执行用于安全异常分布式检测的方法700。说明性方法700开始于图7的框702,其中,安全服务器206 建立与服务器204之一的可信关系。如上所述,在这样做时,安全服务器206 可以在框704中执行与服务器204的密钥交换和/或在框706中利用可信根和/ 或熔丝密钥。例如,在建立双向信任的实施例中,服务器204和安全服务器206 两者都包括可信根(例如,加密绑定的密钥或标识符)。在框710中,安全服务器206与服务器204建立可信隧道,如上所述。在这样做时,在框710中,安全服务器206可以从服务器204接收安全策略更新和/或启发式代码。另外或替代性地,安全服务器204可以将启发式代码传输至服务器204(例如,以用于评估安全性)。进一步地,在框712中,安全服务器206基于所接收的信息从服务器204接收安全威胁评估数据。如以上所讨论的,服务器204可以将由服务器204收集的原始数据、本地安全评估数据和/或由服务器204生成的中间数据传输至安全服务器206以启用安全服务器206来执行系统范围的或子系统范围的安全评估。
在框714中,安全服务器206将安全威胁评估数据与安全威胁数据库408 进行关联以判定(多个)经分析的分组是否对服务器204造成安全威胁。在一些实施例中,安全服务器206可以基于姿态、安全和配置策略、上下文、启发式代码和/或关于服务器204的操作的其他信息(例如,在VM中)模拟分组的执行。另外或替代性地,安全服务器206可以将分组与各种恶意软件(例如,病毒)签名、白名单、黑名单和/或其他数据进行比较以判定分组是否安全。
在框716中,安全服务器206判定是否已经识别出安全威胁识别。若是,则在框718中,安全服务器206确定补救动作。为了这样做,在框720中,安全服务器206可以从补救服务器208请求补救确定。在这种实施例中,补救服务器208可以执行系统范围的(例如,基于云的)安全评估和/或以其他方式确定有待由服务器204执行以补救与安全威胁相关联的损害或使其最小化的补救动作。如以上所讨论的,在一些实施例中,补救服务器208可以在云计算环境 234中与编排器210合作以作出这种确定。如果补救服务器208被咨询,则在框722中,安全服务器206可以从补救服务器208接收相应的补救指令。在其他实施例中,补救服务器208可以将所述指令直接传输至服务器204。当然,在一些实施例中,安全服务器206可以对其自己执行补救分析。在框724中,安全服务器206可以将补救指令传输至服务器204。
示例
以下提供了在本文中所公开的技术的说明性示例。所述技术的实施例可以包括以下所描述的示例中的任何一个或多个示例及其任何组合。
示例1包括一种用于对安全异常进行分布式检测的计算设备,所述计算设备包括:可信执行环境模块,所述可信执行环境模块用于:(i)与安全服务器建立可信关系;(ii)响应于所述可信关系的建立而读取虚拟网络功能间网络(inter-virtual network functionnetwork)或虚拟网络功能部件间网络 (inter-virtual network function componentnetwork)中至少一者的一个或多个分组;以及(iii)执行对所述一个或多个分组的安全威胁评估;以及通信模块,所述通信模块用于将所述安全威胁评估传输至所述安全服务器。
示例2包括如示例1所述的主题,并且其中,建立所述可信关系包括与所述安全服务器的相应的可信执行环境模块建立所述可信关系。
示例3包括如示例1和2中任一项所述的主题,并且其中,传输所述安全威胁评估包括:通过在所述计算设备的所述可信执行环境模块与所述安全服务器的所述相应的可信执行环境模块之间建立的带外通信信道,将所述安全威胁评估传输至所述安全服务器的所述相应的可信执行环境模块。
示例4包括如示例1-3中任一项所述的主题,并且其中,建立所述可信关系包括:与所述安全服务器交换密钥。
示例5包括如示例1-4中任一项所述的主题,并且其中,建立所述可信关系包括:利用所述计算设备的可信根或熔丝密钥中的至少一者。
示例6包括如示例1-5中任一项所述的主题,并且其中,所述可信执行环境模块进一步用于:基于所述可信关系与所述安全服务器建立可信隧道。
示例7包括如示例1-6中任一项所述的主题,并且其中,建立所述可信隧道进一步包括:将所述计算设备的安全策略传输至所述安全服务器。
示例8包括如示例1-7中任一项所述的主题,并且其中,建立所述可信隧道进一步包括:将所述计算设备的启发式代码传输至所述安全服务器。
示例9包括如示例1-8中任一项所述的主题,并且其中,建立所述可信隧道进一步包括:从所述安全服务器接收启发式代码。
示例10包括如示例1-9中任一项所述的主题,并且其中,所述可信执行环境模块进一步用于:响应于所述可信关系的建立而引导所述计算设备。
示例11包括如示例1-10中任一项所述的主题,并且其中,引导所述计算设备包括:检索所述计算设备的配置策略。
示例12包括如示例1-11中任一项所述的主题,并且其中,所述可信执行环境模块进一步用于:确定所述计算设备的运行时姿态;并且其中,执行所述安全威胁评估包括:基于所述运行时姿态,执行对所述一个或多个分组的所述安全威胁评估。
示例13包括如示例1-12中任一项所述的主题,并且其中,确定所述计算设备的所述运行时姿态包括:确定所述计算设备的虚拟网络功能的运行时姿态。
示例14包括如示例1-13中任一项所述的主题,并且其中,所述通信模块进一步用于:从所述安全服务器接收用于所述一个或多个分组的补救动作指令。
示例15包括如示例1-14中任一项所述的主题,并且其中,所述可信执行环境模块进一步用于:强制执行与所述补救动作指令相对应的补救动作。
示例16包括一种用于由计算设备对安全异常进行分布式检测的方法,所述方法包括:由所述计算设备与安全服务器建立可信关系;由所述计算设备响应于建立了所述可信关系而读取虚拟网络功能间网络或虚拟网络功能部件间网络中至少一者的一个或多个分组;由所述计算设备执行对所述一个或多个分组的安全威胁评估;以及由所述计算设备将所述安全威胁评估传输至所述安全服务器。
示例17包括如示例16所述的主题,并且其中,建立所述可信关系包括:与所述安全服务器的相应可信执行环境模块建立所述可信关系。
示例18包括如示例16和17中任一项所述的主题,并且其中,传输所述安全威胁评估包括:通过在所述计算设备的所述可信执行环境模块与所述安全服务器的所述相应的可信执行环境模块之间建立的带外通信信道,将所述安全威胁评估传输至所述安全服务器的所述相应的可信执行环境模块。
示例19包括如示例16-18中任一项所述的主题,并且其中,建立所述可信关系包括:与所述安全服务器交换密钥。
示例20包括如示例16-19中任一项所述的主题,并且其中,建立所述可信关系包括:利用所述计算设备的可信根或熔丝密钥中的至少一者。
示例21包括如示例16-20中任一项所述的主题,并且进一步包括:由所述计算设备基于所述可信关系与所述安全服务器建立可信隧道。
示例22包括如示例16-21中任一项所述的主题,并且其中,建立所述可信隧道包括:将所述计算设备的安全策略传输至所述安全服务器。
示例23包括如示例16-22中任一项所述的主题,并且其中,建立所述可信隧道包括:将所述计算设备的安全策略传输至所述安全服务器。
示例24包括如示例16-23中任一项所述的主题,并且其中,建立所述可信隧道包括:从所述安全服务器接收启发式代码。
示例25包括如示例16-24中任一项所述的主题,并且进一步包括:响应于建立了所述可信关系而引导所述计算设备。
示例26包括如示例16-25中任一项所述的主题,并且其中,引导所述计算设备包括:检索所述计算设备的配置策略。
示例27包括如示例16-26中任一项所述的主题,并且进一步包括:由所述计算设备确定所述计算设备的运行时姿态。并且其中,执行所述安全威胁评估包括:基于所述运行时姿态,执行对所述一个或多个分组的所述安全威胁评估。
示例28包括如示例16-27中任一项所述的主题,并且其中,确定所述计算设备的所述运行时姿态包括:确定所述计算设备的虚拟网络功能的运行时姿态。
示例29包括如示例16-28中任一项所述的主题,并且进一步包括:由所述计算设备从所述安全服务器接收用于所述一个或多个分组的补救动作指令。
示例30包括如示例16-29中任一项所述的主题,并且进一步包括:由所述计算设备强制执行与所述补救动作指令相对应的补救动作。
示例31包括一种计算设备,所述计算设备包括:处理器;以及存储器,所述存储器具有存储于其中的多条指令,这些指令当被所述处理器执行时致使所述计算设备执行示例16-30中任一项所述的方法。
示例32包括一种或多种机器可读存储介质,所述一种或多种机器可读存储介质包括存储于其上的多条指令,所述指令响应于被计算设备执行而使所述计算设备执行如示例16至30中任一项所述的方法。
示例33包括一种用于对安全异常进行分布式检测的计算设备,所述计算设备包括:用于与安全服务器建立可信关系的装置;用于响应于所述可信关系的建立而读取虚拟网络功能间网络或虚拟网络功能部件间网络中至少一者的一个或多个分组的装置;用于执行对所述一个或多个分组的安全威胁评估的装置;以及用于将所述安全威胁评估传输至所述安全服务器的装置。
示例34包括如示例33所述的主题,并且其中,所述用于建立所述可信关系的装置包括:用于与所述安全服务器的相应可信执行环境模块建立所述可信关系的装置。
示例35包括如示例33和34中任一项所述的主题,并且其中,所述用于传输所述安全威胁评估的装置包括:用于通过在所述计算设备的所述可信执行环境模块与所述安全服务器的所述相应的可信执行环境模块之间建立的带外通信信道将所述安全威胁评估传输至所述安全服务器的所述相应的可信执行环境模块的装置。
示例36包括如示例33-35中任一项所述的主题,并且其中,所述用于建立所述可信关系的装置包括:用于与所述安全服务器交换密钥的装置。
示例37包括如示例33-36中任一项所述的主题,并且其中,所述用于建立所述可信关系的装置包括:用于利用所述计算设备的可信根或熔丝密钥中的至少一者的装置。
示例38包括如示例33-37中任一项所述的主题,并且进一步包括:用于基于所述可信关系与所述安全服务器建立可信隧道的装置。
示例39包括如示例33-38中任一项所述的主题,并且其中,所述用于建立所述可信隧道的装置包括:用于将所述计算设备的安全策略传输至所述安全服务器的装置。
示例40包括如示例33-39中任一项所述的主题,并且其中,所述用于建立所述可信隧道的装置包括:用于将所述计算设备的启发式代码传输至所述安全服务器的装置。
示例41包括如示例33-40中任一项所述的主题,并且其中,所述用于建立所述可信隧道的装置包括:用于从所述安全服务器接收启发式代码的装置。
示例42包括如示例33-41中任一项所述的主题,并且进一步包括:用于响应于所述可信关系的建立而引导所述计算设备的装置。
示例43包括如示例33-42中任一项所述的主题,并且其中,所述用于引导所述计算设备的装置包括:用于检索所述计算设备的配置策略的装置。
示例44包括如示例33-43中任一项所述的主题,并且进一步包括:用于确定所述计算设备的运行时姿态的装置;并且其中,所述用于执行所述安全威胁评估的装置包括:用于基于所述运行时姿态执行对所述一个或多个分组的所述安全威胁评估的装置。
示例45包括如示例33-44中任一项所述的主题,并且其中,所述用于确定所述计算设备的所述运行时姿态的装置包括:用于确定所述计算设备的虚拟网络功能的运行时姿态的装置。
示例46包括如示例33-45中任一项所述的主题,并且进一步包括:用于从所述安全服务器接收用于所述一个或多个分组的补救动作指令的装置。
示例47包括如示例33-46中任一项所述的主题,并且进一步包括:用于强制执行与所述补救动作指令相对应的补救动作的装置。
示例48包括一种用于对安全异常进行分布式检测的安全服务器,所述安全服务器包括:可信执行环境模块,所述可信执行环境模块用于与计算设备建立可信关系;以及通信模块,所述通信模块用于从所述计算设备接收所述计算设备的虚拟网络功能间网络或虚拟网络功能部件间网络中至少一者的一个或多个分组的安全威胁评估;其中,所述可信执行环境模块进一步用于:将所述安全威胁评估与所述安全服务器的安全威胁数据库进行关联以判定所述一个或多个分组是否造成安全威胁。
示例49包括如示例48所述的主题,并且其中,建立所述可信关系包括:与所述计算设备的相应可信执行环境模块建立所述可信关系。
示例50包括如示例48和49中任一项所述的主题,并且其中,接收所述安全威胁评估包括:通过在所述安全服务器的所述可信执行环境模块与所述计算设备的所述相应的可信执行环境模块之间建立的带外通信信道,从所述计算设备的所述相应的可信执行环境模块接收所述安全威胁评估。
示例51包括如示例48-50中任一项所述的主题,并且其中,建立所述可信关系包括:与所述计算设备交换密钥。
示例52包括如示例48-51中任一项所述的主题,并且其中,所述可信执行环境模块进一步用于:基于所述可信关系,与所述计算设备建立可信隧道。
示例53包括如示例48-52中任一项所述的主题,并且其中,建立所述可信隧道进一步包括:从所述计算设备接收所述计算设备的安全策略。
示例54包括如示例48-53中任一项所述的主题,并且其中,建立所述可信隧道进一步包括:从所述计算设备接收所述计算设备的安全策略。
示例55包括如示例48-54中任一项所述的主题,并且其中,建立所述可信隧道进一步包括:将启发式代码传输至所述计算设备。
示例56包括如示例48-55中任一项所述的主题,并且其中,所述可信执行环境模块进一步用于:响应于基于所述安全威胁评估与所述安全威胁数据库的关联对安全威胁的识别而确定补救动作。
示例57包括如示例48-56中任一项所述的主题,并且其中,确定所述补救动作包括:从补救服务器请求补救确定;以及从所述补救服务器接收与所述补救确定相关联的补救指令。
示例58包括如示例48-57中任一项所述的主题,并且其中,所述通信模块进一步用于:将所述补救指令传输至所述计算设备。
示例59包括一种用于由安全服务器对安全异常进行分布式检测的方法,所述方法包括:由所述安全服务器与计算设备建立可信关系;由所述安全服务器从所述计算设备接收所述计算设备的虚拟网络功能间网络或虚拟网络功能部件间网络中至少一者的一个或多个分组的安全威胁评估;以及由所述安全服务器将所述安全威胁评估与所述安全服务器的安全威胁数据库进行关联以判定所述一个或多个分组是否造成安全威胁。
示例60包括如示例59所述的主题,并且其中,建立所述可信关系包括:与所述计算设备的相应可信执行环境模块建立所述可信关系。
示例61包括如示例59和60中任一项所述的主题,并且其中,接收所述安全威胁评估包括:通过在所述安全服务器的所述可信执行环境模块与所述计算设备的所述相应的可信执行环境模块之间建立的带外通信信道,从所述计算设备的所述相应的可信执行环境模块接收所述安全威胁评估。
示例62包括如示例59-61中任一项所述的主题,并且其中,建立所述可信关系包括:与所述计算设备交换密钥。
示例63包括如示例59-62中任一项所述的主题,并且进一步包括:由所述安全服务器基于所述可信关系与所述计算设备建立可信隧道。
示例64包括如示例59-63中任一项所述的主题,并且其中,建立所述可信隧道进一步包括:从所述计算设备接收所述计算设备的安全策略。
示例65包括如示例59-64中任一项所述的主题,并且其中,建立所述可信隧道进一步包括:从所述计算设备接收所述计算设备的启发式代码。
示例66包括如示例59-65中任一项所述的主题,并且其中,建立所述可信隧道进一步包括:将启发式代码传输至所述计算设备。
示例67包括如示例59-66中任一项所述的主题,并且进一步包括:由所述安全服务器响应于基于所述安全威胁评估与所述安全威胁数据库的关联对安全威胁的识别而确定补救动作。
示例68包括如示例59-67中任一项所述的主题,并且其中,确定所述补救动作包括:从补救服务器请求补救确定;以及从所述补救服务器接收与所述补救确定相关联的补救指令。
示例69包括如示例59-68中任一项所述的主题,并且进一步包括:由所述安全服务器将所述补救指令传输至所述计算设备。
示例70包括一种安全服务器,所述安全服务器包括:处理器;以及存储器,所述存储器具有存储于其中的多条指令,所述指令当被所述处理器执行时致使所述安全服务器执行示例59-69中任一项所述的方法。
示例71包括一种或多种机器可读存储介质,所述一种或多种机器可读存储介质包括存储于其上的多条指令,所述指令响应于被安全服务器执行而使所述安全服务器执行如示例59-69中任一项所述的方法。
示例72包括一种用于对安全异常进行分布式检测的安全服务器,所述安全服务器包括:用于与计算设备建立可信关系的装置;用于从所述计算设备接收所述计算设备的虚拟网络功能间网络或虚拟网络功能部件间网络中至少一者的一个或多个分组的安全威胁评估的装置;以及用于由所述安全服务器将所述安全威胁评估与所述安全服务器的安全威胁数据库进行关联以判定所述一个或多个分组是否造成安全威胁的装置。
示例73包括如示例72所述的主题,并且其中,所述用于建立所述可信关系的装置包括:用于与所述计算设备的相应可信执行环境模块建立所述可信关系的装置。
示例74包括如示例72和73中任一项所述的主题,并且其中,所述用于接收所述安全威胁评估的装置包括:用于通过在所述安全服务器的所述可信执行环境模块与所述计算设备的所述相应的可信执行环境模块之间建立的带外通信信道从所述计算设备的所述相应的可信执行环境模块接收所述安全威胁评估的装置。
示例75包括如示例72-74中任一项所述的主题,并且其中,所述用于建立所述可信关系的装置包括:用于与所述计算设备交换密钥的装置。
示例76包括如示例72-75中任一项所述的主题,并且进一步包括:用于基于所述可信关系与所述计算设备建立可信隧道的装置。
示例77包括如示例72-76中任一项所述的主题,并且其中,所述用于建立所述可信隧道的装置包括:用于从所述计算设备接收所述计算设备的安全策略的装置。
示例78包括如示例72-77中任一项所述的主题,并且其中,所述用于建立所述可信隧道的装置包括:用于从所述计算设备接收所述计算设备的启发式代码的装置。
示例79包括如示例72-78中任一项所述的主题,并且其中,所述用于建立所述可信隧道的装置进一步包括:用于将启发式代码传输至所述计算设备的装置。
示例80包括如示例72-79中任一项所述的主题,并且进一步包括:用于响应于基于所述安全威胁评估与所述安全威胁数据库的关联对安全威胁的识别而确定补救动作的装置。
示例81包括如示例72-80中任一项所述的主题,并且其中,所述用于确定所述补救动作的装置包括:用于从补救服务器请求补救确定的装置;以及用于从所述补救服务器接收与所述补救确定相关联的补救指令的装置。
示例82包括如示例72-81中任一项所述的主题,并且进一步包括:用于将所述补救指令传输至所述计算设备的装置。
Claims (32)
1.一种用于对安全异常进行分布式检测的计算设备,所述计算设备包括:
一个或多个处理器;
一个或多个存储器设备,具有存储在所述一个或多个存储器中的多条指令,所述多条指令当由所述一个或多个处理器执行时,使所述计算设备:
在所述计算设备上建立虚拟网络功能以执行相关联的网络功能,其中,所述虚拟网络功能用于通过虚拟网络功能间网络与其他虚拟网络功能通信;
读取所述虚拟网络功能间网络的一个或多个分组;
对所述一个或多个分组执行安全威胁评估;以及
将所述安全威胁评估传输至安全计算设备。
2.如权利要求1所述的计算设备,其中,所述虚拟网络功能用于通过所述虚拟网络功能间网络与建立在所述计算设备上的另一虚拟网络功能通信。
3.如权利要求1所述的计算设备,其中,所述虚拟网络功能用于通过所述虚拟网络功能间网络与建立在不同计算设备上的另一虚拟网络功能通信。
4.如权利要求1所述的计算设备,其中,所述虚拟网络功能包括通过虚拟网络功能部件间网络彼此通信的多个虚拟网络功能部件,并且
其中,所述多条指令当被执行时进一步使所述计算设备读取所述虚拟网络功能部件间网络的一个或多个分组,
其中,执行所述安全威胁评估包括:对所述虚拟网络功能间网络的一个或多个分组和所述虚拟网络功能部件间网络的一个或多个分组执行所述安全威胁评估。
5.如权利要求4所述的计算设备,其中,所述多个虚拟网络功能部件通过所述虚拟网络功能部件间网络与所述虚拟网络功能的至少一个其他网络功能部件通信,其中,所述至少一个其他虚拟网络功能部件位于不同的计算设备上。
6.如权利要求1所述的计算设备,其中,读取所述一个或多个分组包括:访问与所述虚拟网络功能相关联的虚拟测试访问端口。
7.如权利要求1所述的计算设备,其中,所述多条指令当被执行时进一步使所述计算设备响应于所述安全威胁评估而对所述一个或多个分组执行补救动作。
8.如权利要求1所述的计算设备,其中,所述一个或多个分组是加密的。
9.一种用于对安全异常进行分布式检测的方法,所述方法包括:
在计算设备上建立虚拟网络功能以执行相关联的网络功能,其中,所述虚拟网络功能用于通过虚拟网络功能间网络与其他虚拟网络功能通信;
读取所述虚拟网络功能间网络的一个或多个分组;
对所述一个或多个分组执行安全威胁评估;以及
将所述安全威胁评估传输至安全计算设备。
10.如权利要求9所述的方法,其中,读取所述一个或多个分组包括:读取通过所述虚拟网络功能间网络在所述虚拟网络功能与建立在所述计算设备上的另一虚拟网络功能之间传递的一个或多个分组。
11.如权利要求9所述的方法,其中,读取所述一个或多个分组包括:读取通过所述虚拟网络功能间网络在所述虚拟网络功能与建立在不同计算设备上的另一虚拟网络功能之间传递的一个或多个分组。
12.如权利要求9所述的方法,其中,所述虚拟网络功能包括通过虚拟网络功能部件间网络彼此通信的多个虚拟网络功能部件,并且
所述方法进一步包括:读取所述虚拟网络功能部件间网络的一个或多个分组,
其中,执行所述安全威胁评估包括:对所述虚拟网络功能间网络的一个或多个分组和所述虚拟网络功能部件间网络的一个或多个分组执行所述安全威胁评估。
13.如权利要求12所述的方法,其中,读取在虚拟网络功能部件之间传递的一个或多个分组包括:读取通过虚拟网络功能部件间网络在位于所述计算设备上的虚拟网络功能部件与位于不同计算设备上的至少一个其他虚拟网络功能部件之间传递的一个或多个分组。
14.如权利要求9所述的方法,其中,读取所述一个或多个分组包括:访问与所述虚拟网络功能相关联的虚拟测试访问端口。
15.如权利要求9所述的方法,进一步包括:响应于所述安全威胁评估而对所述一个或多个分组执行补救动作。
16.如权利要求9所述的方法,其中,所述一个或多个分组是加密的。
17.一种或多种机器可读存储介质,包括存储在所述一种或多种机器可读存储介质上的多条指令,所述多条指令当被执行时,使计算设备:
在所述计算设备上建立虚拟网络功能以执行相关联的网络功能,其中,所述虚拟网络功能用于通过虚拟网络功能间网络与其他虚拟网络功能通信;
读取所述虚拟网络功能间网络的一个或多个分组;
对所述一个或多个分组执行安全威胁评估;以及
将所述安全威胁评估传输至安全计算设备。
18.如权利要求17所述的一种或多种机器可读存储介质,其中,所述虚拟网络功能用于通过所述虚拟网络功能间网络与建立在所述计算设备上的另一虚拟网络功能通信。
19.如权利要求17所述的一种或多种机器可读存储介质,其中,所述虚拟网络功能用于通过所述虚拟网络功能间网络与建立在不同计算设备上的另一虚拟网络功能通信。
20.如权利要求17所述的一种或多种机器可读存储介质,其中,所述虚拟网络功能包括通过虚拟网络功能部件间网络彼此通信的多个虚拟网络功能部件,并且
其中,所述多条指令当被执行时进一步使所述计算设备读取所述虚拟网络功能部件间网络的一个或多个分组,
其中,执行所述安全威胁评估包括:对所述虚拟网络功能间网络的一个或多个分组和所述虚拟网络功能部件间网络的一个或多个分组执行所述安全威胁评估。
21.如权利要求20所述的一种或多种机器可读存储介质,其中,所述多个虚拟网络功能部件通过所述虚拟网络功能部件间网络与所述虚拟网络功能的至少一个其他网络功能部件通信,其中,所述至少一个其他虚拟网络功能部件位于不同的计算设备上。
22.如权利要求17所述的一种或多种机器可读存储介质,其中,读取所述一个或多个分组包括:访问与所述虚拟网络功能相关联的虚拟测试访问端口。
23.如权利要求17所述的一种或多种机器可读存储介质,其中,所述多条指令当被执行时进一步使所述计算设备响应于所述安全威胁评估而对所述一个或多个分组执行补救动作。
24.如权利要求17所述的一种或多种机器可读存储介质,其中,所述一个或多个分组是加密的。
25.一种用于对安全异常进行分布式检测的计算设备,所述计算设备包括:
用于在计算设备上建立虚拟网络功能以执行相关联的网络功能的装置,其中,所述虚拟网络功能用于通过虚拟网络功能间网络与其他虚拟网络功能通信;
用于读取所述虚拟网络功能间网络的一个或多个分组的装置;
用于对所述一个或多个分组执行安全威胁评估的装置;以及
用于将所述安全威胁评估传输至安全计算设备的通信电路。
26.如权利要求25所述的计算设备,其中,用于读取所述一个或多个分组的装置包括:用于读取通过所述虚拟网络功能间网络在所述虚拟网络功能与建立在所述计算设备上的另一虚拟网络功能之间传递的一个或多个分组的装置。
27.如权利要求25所述的计算设备,其中,用于读取所述一个或多个分组的装置包括:用于读取通过所述虚拟网络功能间网络在所述虚拟网络功能与建立在不同计算设备上的另一虚拟网络功能之间传递的一个或多个分组的装置。
28.如权利要求25所述的计算设备,其中,所述虚拟网络功能包括通过虚拟网络功能部件间网络彼此通信的多个虚拟网络功能部件,并且
所述计算设备进一步包括:用于读取所述虚拟网络功能部件间网络的一个或多个分组的装置,
其中,用于执行所述安全威胁评估的装置包括:用于对所述虚拟网络功能间网络的一个或多个分组和所述虚拟网络功能部件间网络的一个或多个分组执行所述安全威胁评估的装置。
29.如权利要求28所述的计算设备,其中,用于读取在虚拟网络功能部件之间传递的一个或多个分组的装置包括:用于读取通过所述虚拟网络功能部件间网络在位于所述计算设备上的虚拟网络功能部件与位于不同计算设备上的至少一个其他虚拟网络功能部件之间传递的一个或多个分组的装置。
30.如权利要求25所述的计算设备,其中,用于读取所述一个或多个分组的装置包括:用于访问与所述虚拟网络功能相关联的虚拟测试访问端口的装置。
31.如权利要求25所述的计算设备,其中,响应于所述安全威胁评估而对所述一个或多个分组执行补救动作。
32.如权利要求25所述的计算设备,其中,所述一个或多个分组是加密的。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462058096P | 2014-09-30 | 2014-09-30 | |
| US62/058,096 | 2014-09-30 | ||
| US14/513,140 | 2014-10-13 | ||
| US14/513,140 US9705849B2 (en) | 2014-09-30 | 2014-10-13 | Technologies for distributed detection of security anomalies |
| PCT/US2015/046909 WO2016053514A1 (en) | 2014-09-30 | 2015-08-26 | Technologies for distributed detection of security anomalies |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106716952A CN106716952A (zh) | 2017-05-24 |
| CN106716952B true CN106716952B (zh) | 2020-11-10 |
Family
ID=55585738
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580046466.8A Active CN106716952B (zh) | 2014-09-30 | 2015-08-26 | 一种用于对安全异常进行分布式检测的方法、设备及介质 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US9705849B2 (zh) |
| EP (3) | EP4246896A3 (zh) |
| JP (1) | JP6359766B2 (zh) |
| KR (1) | KR101992547B1 (zh) |
| CN (1) | CN106716952B (zh) |
| TW (2) | TWI606711B (zh) |
| WO (1) | WO2016053514A1 (zh) |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
| US9705849B2 (en) * | 2014-09-30 | 2017-07-11 | Intel Corporation | Technologies for distributed detection of security anomalies |
| US10303879B1 (en) * | 2014-11-06 | 2019-05-28 | Amazon Technologies, Inc. | Multi-tenant trusted platform modules |
| US10496974B2 (en) * | 2015-03-25 | 2019-12-03 | Intel Corporation | Secure transactions with connected peripherals |
| CN104899524B (zh) * | 2015-05-25 | 2018-11-27 | 上海兆芯集成电路有限公司 | 中央处理器和验证主机板数据的方法 |
| US9686240B1 (en) | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
| US9749294B1 (en) * | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
| US10628764B1 (en) * | 2015-09-15 | 2020-04-21 | Synack, Inc. | Method of automatically generating tasks using control computer |
| US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
| US9811686B1 (en) | 2015-10-09 | 2017-11-07 | Sprint Communications Company L.P. | Support systems interactions with virtual network functions in a trusted security zone |
| US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
| US10135702B2 (en) | 2015-11-12 | 2018-11-20 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Methods, systems, and computer readable media for testing network function virtualization (NFV) |
| US9967165B2 (en) * | 2015-12-07 | 2018-05-08 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Methods, systems, and computer readable media for packet monitoring in a virtual environment |
| US10104114B2 (en) * | 2016-07-29 | 2018-10-16 | Rohde & Schwarz Gmbh & Co. Kg | Method and apparatus for testing a security of communication of a device under test |
| US20180088977A1 (en) * | 2016-09-28 | 2018-03-29 | Mark Gray | Techniques to determine and mitigate latency in virtual environments |
| US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
| KR20180071679A (ko) * | 2016-12-20 | 2018-06-28 | 삼성전자주식회사 | 사용자 단말 장치 및 그의 제어 방법 |
| EP3563286A1 (en) * | 2016-12-30 | 2019-11-06 | British Telecommunications Public Limited Company | Attack signature generation |
| EP3563543B1 (en) | 2016-12-30 | 2022-04-06 | British Telecommunications public limited company | Data breach detection |
| EP3563548B1 (en) * | 2016-12-30 | 2021-11-03 | British Telecommunications Public Limited Company | Historic data breach detection |
| US10691514B2 (en) * | 2017-05-08 | 2020-06-23 | Datapipe, Inc. | System and method for integration, testing, deployment, orchestration, and management of applications |
| US10567359B2 (en) * | 2017-07-18 | 2020-02-18 | International Business Machines Corporation | Cluster of secure execution platforms |
| US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
| US10944650B2 (en) * | 2018-03-29 | 2021-03-09 | Fortinet, Inc. | Programmable, policy-based efficient wireless sniffing networks in WIPS (wireless intrusion prevention systems) |
| US11157952B2 (en) * | 2018-04-30 | 2021-10-26 | Affle (India) Limited | Method and system for creating decentralized repository of fraud IPs and publishers using blockchain |
| CN112166579B (zh) * | 2018-06-01 | 2022-02-25 | 华为技术有限公司 | 提供虚拟化网络功能的多服务器架构集群 |
| US11398968B2 (en) | 2018-07-17 | 2022-07-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure |
| US10826943B2 (en) * | 2018-08-21 | 2020-11-03 | At&T Intellectual Property I, L.P. | Security controller |
| US11263318B2 (en) * | 2018-11-05 | 2022-03-01 | Red Hat, Inc. | Monitoring a process in a trusted execution environment to identify a resource starvation attack |
| US20210319098A1 (en) * | 2018-12-31 | 2021-10-14 | Intel Corporation | Securing systems employing artificial intelligence |
| CN110034925B (zh) * | 2019-01-07 | 2022-03-01 | 创新先进技术有限公司 | 跨机房可信计算集群形成及通信方法和装置 |
| US11297100B2 (en) | 2019-01-14 | 2022-04-05 | Red Hat, Inc. | Concealed monitor communications from a task in a trusted execution environment |
| US11023591B2 (en) * | 2019-01-14 | 2021-06-01 | Nxp B.V. | Data processing system having distributed security controller with local control and method for securing the data processing system |
| US11128670B2 (en) * | 2019-02-26 | 2021-09-21 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically remediating a security system entity |
| CN109922056B (zh) | 2019-02-26 | 2021-09-10 | 创新先进技术有限公司 | 数据安全处理方法及其终端、服务器 |
| US11431732B2 (en) * | 2019-07-04 | 2022-08-30 | Check Point Software Technologies Ltd. | Methods and system for packet control and inspection in containers and meshed environments |
| EP4005183B1 (en) * | 2019-11-08 | 2024-10-09 | Samsung Electronics Co., Ltd. | Method and electronic device for determining security threat on radio access network |
| US11323354B1 (en) | 2020-10-09 | 2022-05-03 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for network testing using switch emulation |
| US11483227B2 (en) | 2020-10-13 | 2022-10-25 | Keysight Technologies, Inc. | Methods, systems and computer readable media for active queue management |
| US11847205B1 (en) | 2020-10-26 | 2023-12-19 | T-Mobile Innovations Llc | Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip |
| WO2023278851A1 (en) * | 2021-07-02 | 2023-01-05 | Commscope Technologies Llc | Systems and methods for secure virtualized base station orchestration |
| US11949583B2 (en) * | 2022-04-28 | 2024-04-02 | Hewlett Packard Enterprise Development Lp | Enforcing reference operating state compliance for cloud computing-based compute appliances |
| CN115134158B (zh) * | 2022-07-04 | 2023-05-23 | 海南大学 | 充电桩云平台的访问管理方法和装置 |
| US11853254B1 (en) | 2022-10-07 | 2023-12-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch |
| US12095607B1 (en) | 2023-05-22 | 2024-09-17 | Bank Of America Corporation | System for enhanced anomaly recognition in network topologies using interactive visualization |
Family Cites Families (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7096502B1 (en) * | 2000-02-08 | 2006-08-22 | Harris Corporation | System and method for assessing the security posture of a network |
| ES2249450T3 (es) * | 2000-07-05 | 2006-04-01 | ERNST & YOUNG LLP | Metodo y aparato para proporcionar servicios informaticos. |
| US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
| US7190678B2 (en) * | 2002-10-28 | 2007-03-13 | Cisco Technology, Inc. | Arrangement for router attachments between roaming mobile routers in a clustered network |
| US7496818B1 (en) * | 2003-02-27 | 2009-02-24 | Marvell International Ltd. | Apparatus and method for testing and debugging an integrated circuit |
| US7941855B2 (en) * | 2003-04-14 | 2011-05-10 | New Mexico Technical Research Foundation | Computationally intelligent agents for distributed intrusion detection system and method of practicing same |
| KR20040102496A (ko) | 2003-05-28 | 2004-12-08 | (주)에이치인포메이션 | 오디오신호 출력 기능을 갖는 키버튼을 이용한 모바일게임시스템 및 방법 |
| US8087057B2 (en) * | 2004-04-28 | 2011-12-27 | Echostar Technologies L.L.C. | Television converter device including an internet protocol interface |
| KR100669240B1 (ko) * | 2004-12-07 | 2007-01-15 | 한국전자통신연구원 | 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법 |
| US20070266433A1 (en) * | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
| US20070271453A1 (en) * | 2006-05-19 | 2007-11-22 | Nikia Corporation | Identity based flow control of IP traffic |
| US7793110B2 (en) * | 2006-05-24 | 2010-09-07 | Palo Alto Research Center Incorporated | Posture-based data protection |
| US20140173731A1 (en) * | 2007-07-27 | 2014-06-19 | Redshift Internetworking, Inc. | System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows |
| US9369299B2 (en) * | 2008-06-10 | 2016-06-14 | Bradford Networks, Inc. | Network access control system and method for devices connecting to network using remote access control methods |
| US8087067B2 (en) * | 2008-10-21 | 2011-12-27 | Lookout, Inc. | Secure mobile platform system |
| KR101760451B1 (ko) * | 2009-03-05 | 2017-07-24 | 인터디지탈 패튼 홀딩스, 인크 | H(e)NB 무결성 검증 및 확인을 위한 방법 및 장치 |
| US20110161452A1 (en) * | 2009-12-24 | 2011-06-30 | Rajesh Poornachandran | Collaborative malware detection and prevention on mobile devices |
| WO2011103385A1 (en) * | 2010-02-22 | 2011-08-25 | Avaya Inc. | Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as soa |
| US8010992B1 (en) * | 2010-07-14 | 2011-08-30 | Domanicom Corp. | Devices, systems, and methods for providing increased security when multiplexing one or more services at a customer premises |
| US8392344B2 (en) * | 2010-07-14 | 2013-03-05 | Domanicom Corp. | Systems, devices, and methods for providing multiple services to premises over communication networks |
| US9117083B2 (en) * | 2011-02-14 | 2015-08-25 | Blackberry Limited | Managing booting of secure devices with untrusted software |
| JP5618886B2 (ja) * | 2011-03-31 | 2014-11-05 | 株式会社日立製作所 | ネットワークシステムおよび計算機振り分け装置、計算機振り分け方法 |
| US9161249B1 (en) * | 2011-07-07 | 2015-10-13 | Symantec Corporation | Systems and methods for performing internet site security analyses |
| US9767840B2 (en) * | 2011-08-18 | 2017-09-19 | Apple Inc. | Securing protected content during video playback |
| US9317689B2 (en) * | 2012-06-15 | 2016-04-19 | Visa International Service Association | Method and apparatus for secure application execution |
| US20140137188A1 (en) * | 2012-11-14 | 2014-05-15 | Domanicom Corporation | Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users |
| US20140270177A1 (en) * | 2013-03-15 | 2014-09-18 | Ernie Brickell | Hardening inter-device secure communication using physically unclonable functions |
| US8955144B2 (en) * | 2013-06-28 | 2015-02-10 | Intel Corporation | Protecting information processing system secrets from debug attacks |
| US9460286B1 (en) * | 2013-12-19 | 2016-10-04 | Amdocs Software Systems Limited | System, method, and computer program for managing security in a network function virtualization (NFV) based communication network |
| CN103763309B (zh) * | 2013-12-31 | 2018-03-30 | 曙光云计算集团有限公司 | 基于虚拟网络的安全域控制方法和系统 |
| US9400885B2 (en) * | 2014-01-10 | 2016-07-26 | Bitdefender IPR Management Ltd. | Computer security systems and methods using virtualization exceptions |
| US9473567B2 (en) * | 2014-08-20 | 2016-10-18 | At&T Intellectual Property I, L.P. | Virtual zones for open systems interconnection layer 4 through layer 7 services in a cloud computing system |
| US9367343B2 (en) * | 2014-08-29 | 2016-06-14 | Red Hat Israel, Ltd. | Dynamic batch management of shared buffers for virtual machines |
| US9705849B2 (en) * | 2014-09-30 | 2017-07-11 | Intel Corporation | Technologies for distributed detection of security anomalies |
| US9560078B2 (en) * | 2015-02-04 | 2017-01-31 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
| JP6449487B2 (ja) * | 2015-04-30 | 2019-01-09 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | ソフトウェアセキュリティ検証方法、デバイス、およびシステム |
| US9578008B2 (en) * | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
| US9742790B2 (en) * | 2015-06-16 | 2017-08-22 | Intel Corporation | Technologies for secure personalization of a security monitoring virtual network function |
| US9825982B1 (en) * | 2016-04-29 | 2017-11-21 | Ciena Corporation | System and method for monitoring network vulnerabilities |
| US20180341494A1 (en) * | 2017-05-26 | 2018-11-29 | Intel Corporation | Accelerating network security monitoring |
-
2014
- 2014-10-13 US US14/513,140 patent/US9705849B2/en active Active
-
2015
- 2015-08-26 EP EP23190104.2A patent/EP4246896A3/en active Pending
- 2015-08-26 WO PCT/US2015/046909 patent/WO2016053514A1/en active Application Filing
- 2015-08-26 KR KR1020177005493A patent/KR101992547B1/ko active IP Right Grant
- 2015-08-26 EP EP20187958.2A patent/EP3745653B1/en active Active
- 2015-08-26 JP JP2017516148A patent/JP6359766B2/ja active Active
- 2015-08-26 EP EP15847835.4A patent/EP3202096B1/en active Active
- 2015-08-26 CN CN201580046466.8A patent/CN106716952B/zh active Active
- 2015-08-28 TW TW104128351A patent/TWI606711B/zh not_active IP Right Cessation
- 2015-08-28 TW TW106131452A patent/TWI712291B/zh active
-
2016
- 2016-12-31 US US15/396,440 patent/US10469451B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| KR101992547B1 (ko) | 2019-06-24 |
| WO2016053514A1 (en) | 2016-04-07 |
| TW201824837A (zh) | 2018-07-01 |
| TW201626773A (zh) | 2016-07-16 |
| EP3745653B1 (en) | 2023-09-06 |
| EP3202096B1 (en) | 2022-05-11 |
| US20170111382A1 (en) | 2017-04-20 |
| US10469451B2 (en) | 2019-11-05 |
| EP3202096A4 (en) | 2018-06-06 |
| CN106716952A (zh) | 2017-05-24 |
| KR20170038190A (ko) | 2017-04-06 |
| JP2017534106A (ja) | 2017-11-16 |
| EP4246896A3 (en) | 2023-12-20 |
| EP4246896A2 (en) | 2023-09-20 |
| JP6359766B2 (ja) | 2018-07-18 |
| EP3202096A1 (en) | 2017-08-09 |
| TWI606711B (zh) | 2017-11-21 |
| US20160094573A1 (en) | 2016-03-31 |
| TWI712291B (zh) | 2020-12-01 |
| EP3745653C0 (en) | 2023-09-06 |
| EP3745653A1 (en) | 2020-12-02 |
| US9705849B2 (en) | 2017-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106716952B (zh) | 一种用于对安全异常进行分布式检测的方法、设备及介质 | |
| USRE48411E1 (en) | Technologies for secure inter-virtual network function communication | |
| US11533341B2 (en) | Technologies for scalable security architecture of virtualized networks | |
| US10721258B2 (en) | Technologies for secure personalization of a security monitoring virtual network function | |
| US20170250892A1 (en) | Technologies for independent service level agreement monitoring | |
| Zhou et al. | All your VMs are disconnected: Attacking hardware virtualized network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |